计算机网络基础第18册.docx

资源描述

1、计算机百科知识计算机网络基础 (十八) 本书编写组编山东科学技术出版社图书在版编目(CIP)数据计算机百科知识/本书编写组编济南山东科学技术出版社2003ISBN 7-5331-1651-8计本计算机网络基本知识汇编 TP39中国版本图书馆 CIP 数据核字(2003)第 004271 号山东科学技术出版社出版发行 (济南市玉函路 16 号250001)全国各地新华书店经销莒县新华印刷厂印刷开本 7871092 1/32 印张 240字数 4 000 千字2003 年 7 月第 1 版2003 年 7 月第 1 次印刷印数11 000 册书号ISBN 7-5331-1651-8/ D

2、112定价698.00 元目录采用安全端到端互联的时机 .网络防火墙技术 .入侵检测之日志检测 .入侵检测系统 FAQ .SNORT 策略配置分析 .如何建立好的 SNORT 规则.3COM 确保企业网成功的另一招防火墙+高速缓存+负载均衡. 防火墙介绍1 .防火墙介绍2 .透过不同结构的防火墙放置后门.在 WINDOWS98 下通过天网防火墙实现 SYNFLOOD 的设想及具体实现 . 用户选购防火墙的十项注意.CHECKPOINT 防火墙简介 .FIREWALL-1 的功能特点 .网络安全的新模式 STATEFULINSPECTION 技术.FIREWALL-1 的远程网络访问的安全

3、保障. SECUREMOTE 远程加密功能.解读防火墙记录端口 .TROJANHORSE 探测 .I基于 WINDOWS 平台的防火墙实现.CHECKPOINT 公司 FIREWALL-1 .FIREWALL-1 产品模块功能介绍. 企业通信带宽管理.第四代防火墙1.第四代防火墙2.状态检测工作机制.防火墙技术 .第四代防火墙的主要技术与功能. INTERNET 网关技术.II计算机网络基础采用安全端到端互联的时机随着黑客入侵与病毒发作事件在全球范围内的不断增加不难理解为什么许多企业将网络的安全性看作确保企业盈利能力的一项重要因素 Microsoft eBay Yahoo 和 A 等一

4、些巨型公司便是因网络入侵事件而导致企业正常运转中断的典型例子类似于 CodeRed SIRcam 和 NImda 等电子邮件病毒已经越来越成为现在主流商务新闻了由于黑客和病毒作者变得越来越狡猾网络安全产品必须保持技术上的优势嵌入式防火墙为智能安全性解决方案加入了一层防范入侵的分布式保护层防火墙硬件能够被轻松集成进笔记本计算机桌面系统和各类服务器中为企业构建安全的系统具备安全意识的企业用户应该向他们的 PC 设备制造商询问他们是否能够提供支持嵌入式防火墙系统一套嵌入式防火墙解决方案3Com 公司为用户提供业界一流的基于硬件的分布式网络安全产品 3Com 公司已经与

5、著名的 SideWindeR 防火墙产品制造商在安全技术领域拥有超过 20 年经验的 Secure Computing 公司结成了合作伙伴共同生产 3Com 嵌入式防火墙解决方案 3ComEmbeddedFirewallsolution作为一款集支持防火墙技术网卡硬件与安全管理软件产品于一身的产品 3Com 嵌入式防火墙解决方案可以采用 3Com10/100 安全服务器网卡 3Com10/100Secureservernic 3Com10/100 安全网卡3Com10/100SecuReNIC以及 3Com 公司嵌入式防火墙策略服务器 3ComEmbeddedFIRewallPoLI

6、cyServer 进行实施 3Com 公司认为 3Com 嵌入式防火墙解决方案是专为弥补并改善各类安全能力不足的企业边缘防火墙防病毒程序基于主机的应用程序入侵检测告警程序以及网络代理程序而设计它确保了企业内部与外部的网络具有以下功能不论企业局域网的拓扑结构如何变更防护措施都能延伸到网络边缘为网络提供保护基于硬件能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行甚至在安全性较差的宽带链路上都能实现安全移动与远程接入可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义网络防火墙技术本文分析了网络防火墙技术及其实现方法介绍了防火墙的类

7、型结构安全策略设计和标准并提出了防火墙技术的今后发展方向从广义上来讲计算机网络安全主要有两个方面的问题 1如何保证在网络上传输的信息私有性防止被非法窃取篡改伪造 2如何限制网络上用户或程序的访问权限防止非法用户或程序的侵入现在解决第一个问题的技术比较成熟可以采用信息加密技术而解决第二个问题比较困难但又是关键目前普遍采用防火墙技术 2 网络防火墙网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备如路由器网关等它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查来决定网络之间的通信是否被允许其中被保护的网络称为内部网络另

8、一方则称为外部网络或公用网络它能有效地控制内部网络与外部网络之间的访问及数据传送从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的一个好的防火墙系统应具有 3 方面的特性 1所有在内部网络和外部网络之间传输的数据必须通通过防火墙 2只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙织会3防火墙本身不受各种攻击的影响国际标准化组 ISO 的计算机专业委员 ISOIECJTCISC21根据网络开放系统互连 7 层模型 OSIRM制定了一个网络安全体系结构用来解决网络系统中的信息安全问题如表 1 所示防火墙是实现安全访问控制的因此按照 OS

9、IRM 防火墙可以在 OSIRM7 层中的 5 层设置如图 1 所示防火墙从功能上来分通常由以下几部分组成如图 2 所示 3 防火墙技术的分类目前从概念上来讲防火墙技术主要分为 3 种 1包过滤PacketfILteR防火墙又称筛选路由器 ScreenIngRouteR 或网络层防火墙 NetworkLeveLfIRewall它是对进出内部网络的所有信息进行分析并按照一定的安全策略信息过滤规则对进出内部网络的信息进行限制允许授权信息通过拒绝非授权信息通过信息过滤规则是以其所收到的数据包头信息为基础比如 IP 数据包源地址 IP 数据包目的地址封装协议类型TCPUDPIC

10、MP 等TCPIP 源端口号TCPIP 目的端口号ICMP 报文类型等当一个数据包满足过滤规则则允许此数据包通过否则拒绝此包通过相当于此数据包所要到达的网络物理上被断开起到了保护内部网络的作用采用这种技术的防火墙优点在于速度快实现方便但安全性能差且由于不同操作系统环境下 TCP 和 UDP 端口号所代表的应用服务协议类型有所不同故兼容性差级2 应用层网关 AppLIcatIonLeveLgatewav 防火墙又称代理PRoxy它由两部分组成代理服务器和筛选路由器这种防火墙技术是目前最通用的一种它是把筛选路由器技术和软件代理技术结合在一起由筛选路由器负责网络的互联进行

11、严格的数据选择应用代理则提供应用层服务的控制代理服务器起到了外部网络向内部网络申请服务时中间转接作用内部网络只接受代理服务器提出的服务请求拒绝外部网络其它节点的直接请求代理服务器其实是外部网络和内部网络交互信息的交换点当外部网络向内部网络的某个节叔申请某种服务时比如 FTPTelnetWWWGopherwais 等先由代理服务器接受然后代理服务器根据其服务类型服务内容被服务的对象及其它因素例如服务申请者的域名范围时间等决定是否接受此项服务如果接受就由代理服务器内部网络转发这项请求并把结果反馈结申请者否则就拒绝根据其处理协议的功能可分为 FTP 网关型防火墙T

12、elnet 网关型防火墙WWW 网关型防火墙 WAIS 网关型防火墙等它的优点在于既能进行安全控制又可以加速访问安全性好但是寥实现比较困难对于每一种服务协议必须为其设计一个代理软件模块来进行安全控制机3双宿主机DuaL-homedhost技术防火墙又称堡垒主 BastIonhost它的结构如图 4 所示采用主机取代路由器执行安全控制功能故类似于包过滤防火墙双宿主机即一台配有多个网络接口的主机它可以用来在内部网络和外部网络之间进行寻径如果在一台双宿主机中寻径功能被禁止了则这个主机可以隔离与它相连的内部网络与外部网络之间的通信而与它相连的内部网络和外部网络仍可以

13、执行由它所提供的网络应用如果这个应用允许的话它们就可以共享数据这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息但内部网络与外部网络之间却不能传递信息从而达到保护内部网络的作用防火墙技术从其功能上来分又可分为 FTP 防火墙 TeLnet 防火墙 EMail 防火墙病毒防火墙等各种专用防火墙通常几种防火墙技术被一起使用来弥补各自的缺陷增加系统的安全性能 4 防火墙的安全标准防火墙技术发展很快但是现在标准尚不健全导致各大防火墙产品供应商生产的防火墙产品兼容性差给不同厂商的防火墙产品的互联带来了困难为了解决这个问题目前已提出了 2 个标准

14、 1 RSA 数据安全公司与一些防火墙的生产厂商如 SunMicRosystem 公司CheckPoint 公司TIS 公司等以及一些 TCPIP 协议开发商如 FTP 公司等提出了 SecureWANSWAN标准它能使在 IP 层上由支持数据加密技术的不同厂家生产的防火墙和 TCPIP 协议具有互操作性从而解决了建立虚拟专用网VPN的一个主要障碍此标准包含两个部分防火墙中采用的信息加密技术一致即加密算法安全协议一致使得遵循此标准生产的防火墙产品能够实现无缝互联但又不失去加密功能安全控制策略的规范性逻辑上的正确合理性避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞

15、而对整个内部保护网络产生危害 2 美国国家计算机安全协会NCSA NationalComputerSecurityAssociation成立的防火墙开发商 FWPD FIRewallPRoductDeveLopeR 联盟制订的防火墙测试标准 5 展望防火墙技术作为目前用来实现网络安全的一种手段主要是用来拒绝未经授权的用户访问阻止未经授权的用户存取敏感数据同时允许合法用户不受妨碍地访问网络资源如果使用得当可以在很大程度上提高网络安全性能但是并不能百分之百解决网络上的信息安全问题比如防火墙虽然能对外部网络的功击进行有效的防护但对来自内部网络的功击却无能为力事实上据统计 6

16、0以上的网络安全问题来自内部网络而且网络程序和网络管理系统中也可能存在缺陷因此网络安全单靠防火墙是不够的还需要考虑其它技术和非技术的因素如信息加密技术制订法规提高网络管理使用人员的安全意识等现在网络防火墙技术在不断地发展值得研究的课题很多如如何对一个防火墙产品进行危险评估如何对网络中传输的敏感数据进行加密数据应在网络哪一层加密采用传统密码体制还是公钥密码体制如何在网络协议中增加鉴别机制对通信双方的身份进行鉴别防火墙算法设计知识工程和专家系统在防火墙安全策略研究中的应用如何减少对网络性能的影响设计开放的与硬件平台和软件平台无关的防火墙产品等等入侵

17、检测之日志检测入侵检测IntRusIonDetectIon顾名思义便是对入侵行为的发觉它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象进行入侵检测的软件与硬件的组合便是入侵检测系统IntRusIonDetectIonSystem简称 IDS与其他安全产品不同的是入侵检测系统需要更多的智能它必须可以将得到的数据进行分析并得出有用的结果一个合格的入侵检测系统能大大的简化管理员的工作保证网络安全的运行概述入侵检测IntRusIonDetectIon顾名思义便是对入侵行为的发觉它通过对计算机网络或

18、计算机系统中的若干关键点收集信息并对其进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象进行入侵检测的软件与硬件的组合便是入侵检测系统IntRusIonDetectIonSystem 简称 IDS与其他安全产品不同的是入侵检测系统需要更多的智能它必须可以将得到的数据进行分析并得出有用的结果一个合格的入侵检测系统能大大的简化管理员的工作保证网络安全的运行日志是使系统顺利运行的重要保障它会告诉我们系统发生了什么和什么没有发生然而由于日志记录增加得太快了铺天盖地的日志使系统管理员茫然无措最终使日志成为浪费大量磁盘空间的垃圾日志具有无可替代的价值

19、但不幸的是它们经常被忽略因为系统管理员在并不充裕的时间里难以查看大量的信息标准的日志功能不能自动过滤和检查日志记录并提供系统管理员所需要的信息对于入侵者来说要做的第一件事就是清除入侵的痕迹这需要入侵者获得 Root 权限而一旦系统日志被修改就无法追查到攻击的情况因此好的系统管理员应该建立日志文件检测有很多工具可以实现日志检测的功能其中就有 Logcheck 和 Swatch 本文将对 Logcheck 和 Swatch 逐一进行介绍日志文件系统审计和日志功能对于系统来说是非常重要的可以把感兴趣的操作都记录下来供分析和检查 UNIX 采用了 sysLog 工具

20、来实现此功能如果配置正确的话所有在主机上发生的事情都会被记录下来不管是好的还是坏的 SysLog 已被许多日志系统采纳它用在许多保护措施中任何程序都可以通过 sysLog 记录事件 SysLog 可以记录系统事件可以写到一个文件或设备中或给用户发送一个信息它能记录本地事件或通过网络纪录另一个主机上的事件 gdSysLog 依据两个重要的文件 /sbIn/sysLo 守护进程和/etc/sysLog.conf 配置文件习惯上多数 sysLog 信息被写到/vaR/adm 或/vaR/Log 目录下的信息文件中messages.*一个典型的 sysLog 纪录包括

21、生成程序的名字和一个文本信息它还包括一个设备和一个行为级别但不在日志中出现 /etc/sysLog.conf 的一般格式如下设备.行为级别设备.行为级别记录行为设备描述 auth 认证系统 Login su getty 等即询问用户名和口令 authpRIv 同 LOG_AUTH但只登录到所选择的单个用户可读的文件中 croncron 守护进程 daemon 其他系统守护进程如 Routed keRn 内核产生的消息 LpR 打印机系统LpR Lpd Mail 电子邮件系统 news 网络新闻系统 sysLog 由 sysLogd 产生的内部消息 useR 随机用户进程产生的

22、消息 uucpUUCP 子系统 LocaL0LocaL7 为本地使用保留行为级别描述 debug 包含调试的信息通常旨在调试一个程序时使用 Info 情报信息 notIce 不是错误情况但是可能需要处理 warn(Warning)警告信息 eRR(error)错误信息 cRIt 重要情况如硬盘错误 aLeRt 应该被立即改正的问题如系统数据库破坏 emeRg(panIc)紧急情况记录行为举例描述 /dev/consoLe 发送消息到控制台 /vaR/adm/messages把消息写到文件/vaR/adm/messages Loghost 把消息发到其它的日志记录服务器 fR

23、eduseR1 传送消息给用户 *传送消息给所有的在线用户有个小命令 LoggeR 为 sysLog 系统日志文件提供一个 sheLL 命令接口使用户能创建日志文件中的条目用法 LoggeR 例如 LoggeRThisIsatest 它将产生一个如下的 sysLog 纪录 ApR2611 22 34onLy_youThisIsatest! 更详细的帮助信息请 mansysLogdmansys Log.conf Logcheck 介绍Logcheck 是一软件包用来实现自动检查日志文件以发现安全入侵和不正常的活动 Logcheck 用 LogtaIL 程序来记录读到的日志文件的位

24、置下一次运行的时候从记录下的位置开始处理新的信息所有的源代码都是公开的实现方法也非常简单 LogcheckSHELL 脚本和 LogtaIL.c 程序用关键字查找的方法进行日志检测在这儿提到的关键字就是指在日志文件中出现的关键字会触发向系统管理员发的报警信息 Logcheck 的配置文件自带了缺省的关键字适用于大多数的*Inx 系统但是最好还是自己检查一下配置文件看看自带的关键字是否符合自己的需要 Logcheck 脚本是简单的 SHELL 程序 LogtaIL.c 程序只调用了标准的 ANSIC 函数 Logcheck 要在 cRon 守护进程中配置至少要每小

25、时运行一次脚本用简单的 gRep 命令来从日志文件检查不正常的活动如果发现了就发 MAIL 给管理员如果没有发现异常活动就不会收到 MAIL 程序文件介绍Logcheck.sh 主脚本文件控制所有的处理过程用 gRep 命令检查日志文件发现问题报告系统管理员由 cRon 定时启动 LogtaIL 记录日志文件上次处理到的位置被 Logcheck 程序调用避免重复处理已处理过的日志文件所有的日志文件都由此程序处理在同一目录下会产生文件#.offset其中#是检查的日志文件名文件中记录了 LogtaIL 开始处理的偏移量如果删除掉则从文件开始处进行处理Logchec

26、k跟踪日志文件的 Inode 号和文件大小如果 Inode 号发生变化或者是文件大小比上次运行时的小 LogtaIL 会重置偏移量处理整个文件 Logcheck.hackIng 文件中包含了系统受到攻击时的关键字这个文件的关键字比较稀少除非能知道某种特定的攻击方式的特征缺省的关键字是 ISS InternetSecurityScanneR攻击产生的或者是 sendMail 中的地址栏里的非法语法在日志文件中找到了关键字就会给管理员发信 Logcheck.vIoLatIons 文件中包含了产生否定或拒绝信息的系统事件如 denIedRefused 等 Logcheck.vIoLatIo

27、ns.Ignore 文件中包含了要对 Logcheck.vIoLatIons 进行反向查找的关键字配置为了使 Logcheck 运行正常先要对 sysLog.conf 进行配置你应该根据自己的需要进行配置下面给出的只是一个例子入侵检测系统 FAQ 介绍什么是网络侵入检测系统(NIDS)? 入侵是指一些人(称为黑客骇客 )试图进入或者滥用你的系统词语滥用的范围是很广泛的可以包括从严厉的偷窃机密数据到一些次要的事情比如滥用你的电子邮件系统发垃圾邮件(虽然对我们中许多人呢这个是主要的) 侵入检测系统(IDS)是用来检测这些入侵的系统根据这个 FAQ 的打算IDS

28、可以有如下的分类网络侵入检测系统(NIDS) 监视网线的数据包并试图是否有黑客/骇客试图进入系统(或者进行拒绝服务攻击 DoS)一个典型的例子是一个系统观察到一个目标主机的很多不同端口的大量 TCP 连接请求(SYN)来发现是否有人正在进行 TCP 的端口扫描一个 NIDS 可以运行在目标主机上观察他自己的流量(通常集成在协议栈或服务本身)也可以运行在独立主机上观察整个网络的流量(集线器路由器探测器pRobe)注意一个网络IDS 监视很多主机然而其他的只是监视一个主机(他们所安装的) 系统完整检验(SIV)监视系统文件试图发现是否有侵入者更改了文件(可能留个后门) 这样系

29、统最著名的就是 TRIpwIRe 一个 SIV 也应该能监视其他的组件比如 Windows 的注册表和 chRon 的配置目的是发现知名的迹象他也应该能检测到一个一般用户偶然获得 Root/AdmInIstRator 级别权限这个领域更多的产品应该被认为是工具而不是一个系统比如 TRIpwIRe 类似的工具检测临界系统组件的更改却不能产生实时的告警日志文件监视器(LFM)监视网络设备产生的日志文件同 NIDS 类似这些系统通过对日志文件的模式匹配提出是否有入侵者攻击的建议一个典型的例子就是分析 HTTP 日志文件来发现入侵者试图一些知名漏洞(比如 phf

30、攻击) 实例有 swatch 诱骗系统(包括 decoysLuResfLy-tRaps honeypots)还有一些伪服务目的是模拟一些知名洞来诱陷黑客参见掌统工具包中的例子http/ 也可以简单的通过重新命名 NT 的系统管理员帐号然后建立一个无权限的虚帐号进行广泛的审计在此文档后面有关于诱骗系统的更多描述谁在滥用(mIsusing)系统?有两个词来描述攻击者黑客和骇客黑客是一个一般术语喜欢进入东西的人良性的黑客是那些喜欢进入他/她自己的计算机发现如何工作的人恶意的黑客是那些喜欢进入其他人系统的人良性黑客希望媒体能停止对所有黑客的苛刻批评使用骇客来做替代很

31、不幸这个想法没有被接受无论如何在这个 FAQ 使用的词语是入侵者来一般表示那些想要进入其他人系统的人侵入者可以被分为两类外部的你网络外面的侵入者或者可能攻击你的外部存在(乱改的 web 服务器通过 e-Mail 服务器转来的垃圾邮件) 外部的侵入者可能来自 Internet 拨号线物理介入或者从同你网络连接的伙伴网络 (卖主客户中间商等) 内部的合法使用你的互连网络的侵入者包括滥用权力的人(比如社会安全雇员因为不喜欢某人就将其标志为死亡)和模仿更改权力的人 (比如使用别人的终端) 一个常被引用的统计就是 80%的安全问题同内部人有关有几种类型的侵入者快乐骑士

32、(JoyRIdeRs) 因能而黑文化破坏者 (VandaLs)意于毁坏或更改 Web 页面奸商(PRofIteeRs)意于利益如控制系统勒索或者窃取数据得利入侵者如何进入系统?入侵者进入系统的主要途径物理侵入如果一个侵入者对主机有物理进入权限 (比如他们能使用键盘或者参与系统) 应该可以进入方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写) 甚至 BIOS 保护也很容易穿过的事实上所有的 BIOS 都有后门口令系统侵入这类侵入表现为侵入者已经拥有在系统用户的较低权限如果系统没有打最新的漏洞补丁就会给侵入者提供一个利用知名漏洞获得系统管理员

33、权限的机会远程侵入这类入侵指入侵者通过网络远程进入系统侵入者从无特权开始这种侵入方式包括多种形式比如如果在他/她和受害主机之间有防火墙存在侵入者就复杂得多应该注意网络侵入检测系统主要关心远程侵入 1.4 入侵者为什么能侵入系统? 软件总是存在 bug 系统管理员和开发人员永远无法发现和解决所有的可能漏洞侵入者只要发现一个漏洞就可以入侵系统软件 bug软件 bug 存在于服务器后台程序(Daemons) 客户程序操作系统网络协议栈软件 bug 可以分为如下几种缓冲区溢出我们读来的几乎所有的安全漏洞归于这一类一个典型的例子是一个开发人员设定了一个 256

34、字符长的缓冲区来存储用户名开发人员想当然的认为没有人的名字比这个长但是黑客想如果我输入一个错误的很长的用户名会发生什么呢?附加的字符会去哪里 ?如果黑客恰巧做对了他们发送 300 个字符包括了被服务器执行的代码并且他们进入了系统黑客们通过几个方法发现这些 bug首先很多服务的源代码在网络上是公开的黑客们经常读这些代码寻找有缓冲区溢出问题的程序第二黑客们可以读程序本身来看是否有问题存在虽然读汇编代码输出真的很难第三黑客们会检查程序所有的输入并且试图利用随机数据来溢出如果程序崩溃了就会存在让黑客认真构造输入并且允许进入的机会应该注意这个问题在 C/C+编写的程序中普遍存

35、在却很少出现在 Java 的程序当中意外结合程序通常被组合成很多层代码包括了潜在的作为最下面的操作系统层侵入者常可以发送一些对于一层无意义的输入却对其他层有意义 Web 上最常见的控制用户输入的语言就是 PeRL PeRL 写的程序往往发送这些输入到其他的程序来进一步的处理一个常见的黑客技术就是输入字符串 |Mail/etc/passwd这个命令得以执行是因为操作系统为这个输入启动一个附加的程序然而操作系统解释管道符|并且按语义启动Mail程序结果是将 password 文件寄给侵入者未处理的输入很多程序写成处理有效的输入很多程序员不知道当一些人的输入不符合规格的后

36、果竞争(Race)条件现在的许多系统是多任务/多线程的这就意味着他们可以同时运行多个程序如果两个程序同时访问同一个数据就会发生危险想象 A 和 B 的两个程序需要修改同一个文件为了修改每个程序将文件读入内存在内存中改变内容然后将内存复制到文件当程序 A 将文件读入内存并且进行修改的时候产生了一个竞争条件在 A 写文件前程序 B 执行并且获得读写权限现在程序 A 将内存复制到文件中因为程序 A 在 B 修改前开始所有 B 的修改丢失了因为你必须获得正确的执行顺序所以竞争条件是非常稀有的侵入者通常不得不试上千次然后获得权限进入系统系统配置系统配置 bug 可以分为

37、如下类别缺省配置许多系统交付给客户的时候采用的缺省的易用的配置不幸的是易用就意味着易侵入几乎所有的交付给你的 UnIx 和 WinNT 系统可以很容易的被攻击懒惰的系统管理员惊人的数字的主机被配置成没有系统管理员口令这个是因为系统管理员太懒惰了以至于懒得马上配置一个他们只是希望系统最好能少麻烦的尽快启动运行不幸他们再也不回来设置一个让侵入者轻易的进来侵入者最容易的事情就是先扫描所有的机器找没有口令的主机生成的漏洞事实上所有的程序可能被配置成一个非安全的模式有的时候系统管理员将不注意的在主机上打开一个漏洞许多系统管理员手册都建议系统管理

38、员关掉所有不是绝对必要的程序和服务来避免意外漏洞应该注意安全审计包通常可以发现这些漏洞并且提醒系统管理员信任的关系侵入者常用岛跳的方法利用信任关系攻击网络一个互相信任主机的网络和他们最脆弱的连结一样安全口令解密这个是一个特殊的部分真正脆弱的口令很多人使用他们自己的名字孩子的名字配偶的名字宠物的名字或者小车的型号做口令也有的用户使用 password 或者简单到什么也没有这给出了侵入者可以自己键入的不多与 30 个可能性的列表字典攻击上述攻击失败后侵入者开始试图字典攻击这种方法侵入者利用程序尝试字典中的单词的每种可能字典攻击可以利用重复的登陆或者收集

39、加密的口令并且试图同加密后的字典中单词匹配侵入者通常利用一个英语字典或其他语言的字典他们也使用附加的类字典数据库比如名字和常用的口令强力攻击(Brute force attacks)同字典攻击类似侵入者可能尝试所有的字符组合方式一个 4 个由小写字母组成的口令可以在几分钟内被破解 (大约的共有 50 万个可能的组合)一个较长的由大小写字母组成的口令包括数字和标点(10 万亿种可能的组合)可以在一个月内破解如果你可以每秒试 100 万种组合 (实际上一个单机每秒可以算上几千次 ) 监听不安全的通信共享媒体传统的以太网中你只要在线上启动 SnIffeR 就可以看到在一个

40、网段的所有通信现在这个方法由于更多公司采用交换以太网而困难服务器监听然而在一个交换的网络里如果你可以在一个服务器(特别是做路由器的)安装 sniffer 程序你就可以可以使用得到的信息来攻击客户主机和信任主机比如你可能不知道某个用户的口令通过在他登陆的时候监听 Telnet 会话就可以得到他的口令远程监听大量的主机可以 RMON 带有公共团体字符串当带宽非常低的时候(你不能监听所有的通信) 则呈现有趣的可能性设计的缺点甚至当一个软件完全按照设计来实现的时候仍然可能因为设计时的 bug 带来被侵入 TCP/IP 协议缺点 TCP/IP 协议在我们有很多被黑经验前

41、被设计结果有很多可能引起安全问题的设计缺点一些例子比如 smuRf 攻击 ICMP 不可达的连结 IP 哄骗和 Synfloods 最大的问题是 IP 协议本身非常信任黑客自由的伪造和更改 IP 数据 IPsec 被设计成解决了很多的缺点但是没有被广泛的应用 Unix 设计缺点有很多 UnIx 固有的缺点使得 UnIx 系统频繁的被入侵主要问题是权限控制系统只有Root才是系统管理员权限入侵者如何获得口令入侵者利用如下方法获得口令明文监听一些协议(TeLnet FTP 基本 HTTP) 使用明文的口令意味着他们在比如客户/服务器传输过程中不进行加密入侵者可以使用一个协议分析仪观察线缆上的这样的口令不需要更多的努力入侵者马上可以使用这些口令来登陆密文监听许多协议使用加密的口令这种情况下入侵者就需要执行字典或者强力攻击口令来试图解密应该注意到你不能发现入侵者的存在因为他/她是完全被动并且不用向线缆传送任何东西口令破解在入侵者利用自己的机器来鉴权的时候不许要发送人和东西到线缆重放(Replay)攻击很多情况下入侵者不必解密口令他们可以使用加密的格式来代替登陆系统这通常需要重新编码客户端软件来使用加密的口令口令文件窃取

展开阅读全文