第2章网络安全威胁

数据库安全
DB中数据备份方面的不足； 网络软件缺陷机制的不完 善； 数据存储的完整性、机密 性不足。
网络应用缺陷
16
网络安全威胁分类
网络安全威胁
1、根据威胁对象分类
网络拓扑 安全
网络协议 安全
网络软件 安全
网络设备 安全
17
网络设备安全
网络设备安全：
Hub、网桥、交换机、路由 器等安全隐患
网桥的安全隐患：
11
网络安全威胁分类
网络安全威胁
1、根据威胁对象分类
网络拓扑 安全
网络协议 安全
网络软件 安全
网络设备 安全
12
网络协议安全
通信网的运行机制基于通信协议
各传输协议之间的不一致性 会大大影响信息的安全质量
网络协议安全
TCP/IP协议存在漏洞
13
网络协议安全
14
网络安全威胁分类
网络安全威胁
1、根据威胁对象分类
网桥只能最大限度 地使网络沟通、互 连，而不负责网络 之间数据的校验。 广播风暴 （Broadcasting Storm）
路由器的安全隐患
低等级加密，ＷｉＦｉ 密码容易被破解；使用 默认的路由器管理ＩＰ 地址；路由器固件存在 漏洞。
18
网络安全威胁分类
网络安全威胁
2、根据威胁动机分类
利用型 攻击
信息收集 型攻击
38
网络安全威胁分类
网络安全威胁
2、根据威胁动机分类
利用型 攻击
信息收集 型攻击
消息伪造 攻击
拒绝服务 攻击
39
消息伪造攻击
v DNS欺骗 § DNS服务器交换信息时不进行身份认证； § 黑客可以使用错误信息将用户引向设定主机 v 伪造电子邮件 § SMTP不对邮件发送者身份进行鉴定
40
网络安全威胁分类
v SYN flooding
§ 当前最流行、最有效的DoS方式之一； § 利用建立TCP连接的三次握手机制进行攻击； 回顾TCP协议… § 阻止服务器方接受客户方的TCP确认标志（ACK）
v UDP flooding
§ UNIX系统中开放的测试端口：echo（UDP端口7），chargen （UDP 端口19）
利用型 攻击
信息收集 型攻击
消息伪造 攻击
拒绝服务 攻击
25
利用型攻击
v 口令猜测
§ 攻击者可获取口令文件运用口令破解工具进行字典攻击。
v 特洛伊木马 v 缓冲区溢出
§ 来自于C语言本质的不安全性：没有边界来限制数组和指针的引 用；标准C库中还有很多非安全字符串操作：strcpy()， gets(),etc. § 通过往程序的缓冲区写超过其长度的内容，使缓冲区溢出，破坏 程序的堆栈，达到攻击目的。 § 可导致程序运行失败，系统死机，重启
消息伪造 攻击
拒绝服务 攻击
19
北京邮电大学信息安全中心
安全威胁分类
威胁对象
网络拓扑安全 网络协议安全
威胁动机
信息收集型 消息伪造攻击
威胁起因
网络信息收集 拒绝服务攻击
网络软件安全
网络设备安全
拒绝服务攻击
利用型攻击
有害程序
网络系统缺陷 网络欺骗
20
北京邮电大学信息安全中心
网络攻击流程
v 网络攻击的一般步骤
28
北京邮电大学信息安全中心
信息收集—扫描技术
v 网络安全扫描的基本原理
通过向远程或本地主机发送探测数据包，获取主机的响应，并根据反 馈的数据包，进行解包、分析，从而发现网络或主机的配置信息、 TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。
Ping扫描
• ping扫描是判断主机是否“活动”的有效方式，目的就是确 认目标主机的IP地址，即扫描的IP地址是否分配给了主机。
第二讲 网络安全威胁
牛秋娜
1
网络安全威胁分类
•网络系统面临的威胁主要来自外部的人为影响和自然环境 的影响，尤其是“人为攻击”。
•人为攻击:攻击者对系统的攻击范围从随便浏览信息到使用
特殊技术对系统进行攻击，以便得到有针对性的信息。
– 只通过监听网络线路上的信息流获得 被动攻击: 信息内容，破坏了信息的保密性。 网络威胁---人为攻击
22
北京邮电大学信息安全中心
网络攻击流程
4、创建后门
• 一次成功的入侵往往要耗费攻击者的大量时间与精力，为了 长期保持对已攻系统的访问权，在退出之前攻击者常在系统 中创建一些后门，以便下次入侵。木马就是创建后门的一个 典型范例。 • 创建后门的常见方法：放宽文件许可权、重新开放不安全的 服务、修改系统配置、替换系统共享库文件、修改系统源代 码、安装嗅探器、建立隐蔽信道。
原理：利用ICMP请求响应报文和ICMP应答报文
来实现。
优点：操作简单方便 不足：使用受限，因为很多个人防火墙从安全角
度考虑都对ICMP ping报文进行了屏蔽。而且这 种扫描过程容易被防火墙日志记录，屏蔽性不强。
30
ICMP echo request
ICMP echo reply
本地主机
5、清除攻击痕迹
• 攻击者为了隐蔽自身，一般在入侵后要做善后工作，避免系 统管理员发现其攻击行为。 • 方法：修改日志文件中的审计信息、改变系统事件造成日志 文件数据文件紊乱、删除或停止审计服务进程、干扰入侵检 测系统正常工作、修改完整性标签。
23
北京邮电大学信息安全中心
网络攻击流程
v 网络攻击的一般流程
目标主机
图
ping 扫描原理
31
端口扫描原理
端口扫描主机发现技术是利用TCP/IP协议中
TCP协议的确认机制，本地主机通过特定端口向 目标主机发送连接请求，目标主机通常会回应一 个数据包进行响应，以表明连接的状态。用户可 以通过目标主机的响应报文来判断它是否存在。
优点：效率较高，可避免防火墙记录，隐蔽性较
网络拓扑安全
v 星型拓扑结构
8
星型拓扑安全缺陷
1 电缆的长度与 安装
需大量的电缆， 电缆沟、维护、 安装麻烦
2 扩展困难
需事先设置好大 量的冗余电缆
3 对中央节点的 依赖性太大
9
网络拓扑安全
v 环型拓扑结构
10
环型拓扑安全缺陷
1 节点故障将引 起全网故障 2 诊断故障困难 3 不易重新配置 网络 4 影响访问协议
网络设备 安全
4
网络拓扑安全
v 常见的网络拓扑结构
5
网络拓扑安全
v 总线型拓扑结构
6
总线型拓扑安全缺陷
1 故障诊断困难
网络非集中控 制，需在各节点 分别检测
3 中继器配置 2 故障隔离困难
故障发生在传输 介质时…
在干线基础上扩 充，需重新配置 一切信息
4 终端必须是智 能的
没有网络控制设 备
7
26
网络安全威胁分类
网络安全威胁
2、根据威胁动机分类
利用型 攻击
信息收集 型攻击
消息伪造 攻击
拒绝服务 攻击
27
信息收集型攻击
v 体系结构刺探（协议栈指纹） § 确定目标主机所运行的操作系统 § 不同操作系统厂商的IP协议栈实现之间存在许多细微差 别，因此每种操作系统都有独特的响应方法 v利用信息服务 v 扫描技术 § 地址扫描 § 端口扫描 § 漏洞扫描：漏洞特征库；模拟攻击
优点：效率高，隐蔽性强，因为ARP解析是局域
网中正常的活动，一般防火墙都不阻拦。
不足：使用范围有限，只能用于局域网。这个方
法适用于内网突破时使用。
34
ARP request（广播）
ARP reply
本地主机
目标主机
图
ARP扫描原理
35
北京邮电大学信息安全中心
信息收集—扫描技术
漏洞扫描
• 漏洞扫描绝大多数都是针对特定操作系统所提供的特定网络 服务，也就是针对操作系统中某一个特定端口的。 • 两类基本的方法：漏洞特征库匹配和模拟攻击方法 • 漏洞特征库匹配：在端口扫描后得知目标主机开启端口和端 口上提供的服务，将这些信息与网络漏洞扫描系统提供的漏 洞信息库进行匹配，查看是否有漏洞存在。如FTP漏洞扫描、 HTTP漏洞扫描、CGI漏洞扫描等 • 模拟攻击方法：通过模拟黑客的攻击方法，对目标主机系统 进行攻击性漏洞扫描，如果模拟成功，则表示系统存在漏洞， 主要是攻击者经验的直接体现，如Unicode遍历目录漏洞探测、 FTP弱势密码探测等。
攻击过程可以归纳为：信息收集、实施攻击、隐藏攻击行 为、创建后门和消除攻击痕迹五个步骤
1、信息收集
• 通过各种方式获取所需要的信息，比如目标系统使用的操作 系统、管理员账号等,信息收集属于攻击前的准备阶段,也称之 为踩点。 • 确定攻击目的和收集攻击目标信息 • 目标信息类型：系统一般信息、系统管理和配置信息、系统 口令的安全性、提供的服务 • 收集方式：使用扫描攻击进行大规模扫描、利用第三方资源 进行信息收集、使用查询手段进行信息收集。
网络安全威胁
2、根据威胁动机分类
利用型 攻击
信息收集 型攻击
消息伪造 攻击
拒绝服务 攻击
41
拒绝服务攻击
简单DoS Denial of Service (DoS)
反射式DoS
分布式DoS
42
简单拒绝服务攻击
v Ping flooding
§ 在某一时刻，多台主机对目标主机使用Ping程序，以耗尽其网络 带宽和处理能力。
21
北京邮电大学信息安全中心
网络攻击流程
2、实施攻击
• 获取系统权限，进行破坏性或其它攻击
3、隐藏攻击行为
• 获取系统权限，进行破坏性或其它攻击 攻击者在获得系统最高管理员权限之后，可以随意修改系统 上的文件。然而一旦入侵系统，就必然会留下痕迹；所以在入侵 系统之后，攻击者大多都会采取隐藏技术来消隐自己的攻击行为。 （1）隐藏连接：删除或修改日志文件 （2）隐藏进程：系统程序替换 （3）隐蔽文件：利用字符的相似性麻痹系统管理员，或采用 其他手段隐瞒攻击时产生的信息。
– 攻击者对传输中的信息或存储的信息 主动攻击: 进行各种非法处理，有选择地更改、插 入、延迟、删除或复制这些信息。
2
网络安全威胁分类
1 2
依据威胁对象分类
依据威胁动机分类 依据威胁起因分类
3
Company Logo
3
网络安全威胁分类
网络安全威胁
1、根据威胁对象分类
网络拓扑 安全
网络协议 安全
网络软件 安全
信息收集 获得用户E-mail 获得域名或IP地址 扫描
获得开放端口
获得开放服务
获得漏洞
获得系统账户
获取网络信息
DoS/DDoS攻击 发送E-mail
口令破解 获取访问权限
获取网络资源
病毒入侵
提升访问权限
创建后门
Hale Waihona Puke Baidu
窃取/破坏文件
安装嗅探器
隐蔽攻击行为
清除攻击痕迹
24
网络安全威胁分类
网络安全威胁
2、根据威胁动机分类
36
北京邮电大学信息安全中心
通用漏洞扫描原理
1、控制台模块 2、扫描活动处理 模块 3、扫描引擎模块 4、结果处理模块 5、漏洞库
37
北京邮电大学信息安全中心
信息收集—扫描技术
常见扫描工具
• • • • • 漏洞扫描及分析工具：Nessus 网络漏洞扫描工具：SuperScan 网络主机扫描工具：Nmap 系统用户扫描工具：GetNTUser 漏洞扫描工具：X-Scan
网络拓扑 安全
网络协议 安全
网络软件 安全
网络设备 安全
15
网络软件缺陷
OS是网络信息系统中的核 心控制模块；对于设计上不 够安全的 OS，事后采用增 加安全特性和补丁的方法是 一项很艰巨的任务。
操作系统漏洞
应用软件是用户使用网络服 网络软件缺陷 务的接口； 应用软件的缺 陷会直接导致用户遭受损失。
v 电子邮件炸弹
§ 用伪造的IP地址或电子邮件地址向同一信箱发送垃圾邮件 § 导致目标邮箱或电子邮件服务器瘫痪
43
邮件炸弹
伪造发送者
快速发送大量邮件
反射式拒绝服务攻击（DRDoS）
DRDoS（Distributed Reflection Denial of Service ）
v Smurf § 利用Ping程序中使用的ICMP协议; § 攻击者找出网络上有哪些路由器会回应ICMP请求； § 然后用一个虚假的IP源地址向路由器的广播地址发出讯 息，路由器会把这讯息广播到网络上所连接的每一台 设备； § 这些设备又马上回应，这样会产生大量讯息流量，从 而占用所有设备的资源及网络带宽 § 回应的地址就是受攻击的目标； § Smurf攻击实际上是一种IP欺骗式的攻击，将导致拒绝 服务攻击的结果。
强，可以对有防火墙的主机进行探测。不足之处： 不同操作系统TCP/IP协议栈实现原理不一样， 同一种方法在不同的ＯＳ上肯能结果不一样。
32
TCP（ACK）destport=80
TCP（rst）
本地主机
目标主机
图
端口扫描原理
33
ＡＲＰ扫描
ARP扫描指通过ARP请求（查询目标主机的物理
地址），如果目标主机回应一个ARP响应报文， 则说明它是存活的。
端口扫描
• 向目标主机的TCP/UDP服务端口发送探测数据包，并记录目 标主机的响应，通过响应分析判断服务端口处于打开/关闭状 态，以获取端口提供的服务。分为TCP扫描和UDP扫描。
29
Ping扫描原理
Ping扫描是网络中最原始的扫描方法，主要用
于网络连通性的测试与判断，也可用于主机的发 现。