第四章 网络安全风险分析.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,第四章 常见网络风险分析,常见程序漏洞问题,恶意代码攻击,木马和后门,拒绝服务攻击,欺骗攻击,常见程序漏洞问题,什么是程序中的,“,bug,”,？,开发者犯错误,-,导致设计中过失编码（,error,）,-,一个或多个错误（,fault,）。,错误：,系统内部观点，开发者所见,失效：,系统外部观点，用户看到的问题。对系统要求行为的违反。,不是所有的错误都会导致失效，,例如错误代码从来未被执行或者系统从来没有进入某种状态。,非恶意的程序漏洞,缓冲区溢出,及其安全威胁,例：,char sample10;,for(i=0;i 10?,输入参数长度,10,Fill up buffer,Write over function parameter,Write over return address,“,Return,”,will jump to location determined by input,Return addr,char*inp,buf9,buf8,buf1,buf0,缓冲区溢出举例,Understanding C functions and the stack.,Some familiarity with machine code.,对机器代码有些了解,Know how systems calls are made.,知道如何系统调用,The exec()system call.,Attacker needs to know which CPU and OS are running on the target machine.,vs.,What is needed,Some unsafe C lib functions,strcpy(char*dest,const char*src),strcat(char*dest,const char*src),gets(char*s),scanf(const char*format,),printf(conts char*format,),2,病毒和其他恶意代码,最早纪录,1970,年。,Ware,在,1970,年的研究和,Anderson,为空军所作的计划研究准确描述了病毒的威胁,程序的脆弱点和程序安全性漏洞,.,病毒,(virus):,一种具有隐蔽性、破坏性、传染性的恶意代码。病毒无法自动获得运行的机会，必须附着在其他可执行程序代码上或隐藏在具有执行脚本的数据文件中才能被执行。,恶意代码的种类,特洛伊木马,(Trojan horse),:,包含意外的不易被发现的功能。,逻辑炸弹,(logic bomb):,在特定条件产生时被引爆。定时炸弹是其中一种,满足时间条件。,陷门,(trapdoor),后门,(backdoor):,允许利用来作访问，例如留给维护人员,.,也可能被恶意人员用作破坏。,蠕虫,(worm),:,通过网络大量传播自身拷贝的恶意代码。与病毒差异,:,传播通过网络,自身拷贝以独立程序形式传播。,兔子,(rabbit):,无限制的复制自己来消耗计算机的系统资源。,流氓软件（,Badware,）,：未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。,有针对性地恶意代码,病毒为,无针对性的、没有固定破坏目标,的恶意代码。,有针对性地恶意代码,专门为某一特定系统、特定应用和特定目的设计。,陷门（,trapdoor,）,通往一个模块内部的入口，在文档中没有该入口记录。在代码开发期间加入，目的测试模块，或者为修改和扩充提供,“,钩子,”,（,hook,）,或系统失效时提供特别通道。可使程序员进入程序。,成因：开发者忘记去掉陷门；或者 处于测试和维护的目的，刻意留在程序中；作为一个隐藏的访问方式。,逻辑炸弹,逻辑炸弹攻击是一种隐藏于计算机系统中以某种方式触发后对计算机系统硬件、软件或数据进行恶意破坏的程序代码。,逻辑炸弹和病毒的,共同点,是：,1,）都具有隐蔽性，用户一般不会察觉；,2,）具有攻击性，发作后会干扰屏幕显示，或降低电脑运行速度，或删除程序，或破坏数据。,两者的,不同点,：病毒具有,“,传染性,”,，而逻辑炸弹是没有,“,传染性,”,的。,逻辑炸弹的逻辑条件具有不可控制的意外性。,“,流氓软件,”,其实起源于国外的,“,Badware,”,一词，对,“,Badware,”,的定义为：是一种跟踪你上网行为并将你的个人信息反馈给,“,躲在阴暗处的,”,市场利益集团的软件，并且，他们可以通过该软件能够向你弹出广告。,国内互联网业界人士一般将该类软件称之为,“,流氓软件,”,，并归纳出间谍软件、行为记录软件、浏览器劫持软件、搜索劫持软件、广告软件、自动拨号软件、盗窃密码软件等。,流氓软件,流氓软件,特点,强制安装,：指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装软件的行为。,难以卸载,：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍活动程序的行为。,浏览器劫持,：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。,广告弹出,：指未明确提示用户或未经用户许可的情况下，利用安装在用户计算机或其他终端上的软件弹出广告的行为。,恶意收集用户信息,：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。,恶意捆绑,：指在软件中捆绑已被认定为恶意软件的行为。,流氓软件,特点,恶意卸载,：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载非恶意软件的行为。,恶意安装,：未经许可的情况下，强制在用户电脑里安装其它非附带的独立软件。,备注,：强制安装到系统盘的软件也被称为流氓软件。其他侵犯用户知情权、选择权的恶意行为。,流氓软件,特点,什么是木马,木马（,Trojan,）这个名字来源于古希腊传说，它是指通过一段特定的程序（木马程序）来控制另一台计算机。随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段，如,Rootkit,，隐蔽自己，使普通用户很难在中毒后发觉，及时发现也难以查杀。,木马的基本原理,两个执行文件：客户端程序，服务器端程序。,客户端程序是安装在攻击者（黑客）方的控制台，它负责远程遥控指挥。服务器端程序即是木马程序，它被隐藏安装在被攻击（受害）方的电脑上,木马攻击第一步：把木马服务程序植入攻击对象。第二步：把主机信息发送给攻击者,木马程序的分类,第一代，简单的密码窃取，发送,第二代，在技术上有了很大的进步，冰河可以说为是国内木马的典型代表之一。,第三代,在数据传递技术上，又做了不小的改进，出现了,ICMP,等类型的木马，利用畸形报文传递数据，增加了查杀的难度。,第四代,在进程隐藏方面，做了大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入,DLL,线程或者挂接,PSAPI,实现木马程序的隐藏，甚至在,Windows NT/2000,下，都达到了良好的隐藏效果。,木马的危害,网游木马病毒,：大量针对网络游戏的木马，它会盗取用户帐号。,网银木马病毒,：网银木马专门针对网络银行攻击，采用记录键盘和系统动作的方法盗取网银的帐号和密码，并发送到作者指定的邮件，直接导致用户的经济损失。,木马的危害,即时通讯木马病毒,：可以利用即时通讯工具,(,比如：,QQ,、,MSN),进行传播。中了木马后电脑会下载病毒作者指的任意程序，其危害不可确定。,后门木马病毒,：对被感染的系统进行远程文件和注册表的操作,可以捕获被控制的电脑的屏幕,可远程重启和关闭计算机。,广告木马病毒,：修改,IE,等网页浏览器的主页，收集系统信息发送给传播广告木马的网站。修改网页定向，导致一些正常的网站不能登录。,后门技术（,Back Door,）,后门程序,一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。,在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。,拒绝服务攻击,DoS,指任何导致你的服务器不能正常提供服务的攻击。,最常见的,DoS,攻击有,计算机网络带宽攻击和连通性攻击,。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过；连通性攻击指用大量的连接请求冲击计算机，使得计算机所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。,基于本地的拒绝服务攻击,按攻击地点可以分为,本地,攻击和远程（网络）攻击,.,本地攻击,是指不通过网络，直接对本地主机的攻击，远程攻击则必须通过网络连接。由于,本地,攻击要求攻击者与受害者处于同一地，这对攻击者的要求太高，通常只有内部人员能够做到。同时，由于,本地,攻击通常可以通过物理安全措施以及对内部人员的严格控制予以解决,基于本地的拒绝服务攻击特点,停止本地服务,杀死进程,：一个有足够权限的攻击者（如系统管理员）可以很容易的在,DoS,攻击中杀死本地进程。如服务器进程,重新配置系统,：拥有足够权限的攻击者能重新配置系统，使其不再提供服务或者过滤掉特定的用户。例如，在一个,Windows NT,文件服务器上，攻击者可以简单通过网络设置停止文件共享，以阻止合法用户远程访问此文件服务器有价值的数据。,使进程崩溃,：如果攻击者没有超级权限，他们也可以利用系统的弱点使进程崩溃。例如：攻击者可以通过向本地机任意输入大量的随机数据使堆栈缓冲区溢出。由于在溢出攻击期间入栈的返回指针是随机的，所以目标进程很容易崩溃，使系统拒绝用户访问,消耗本地资源,填充进程表,：一个攻击者可能会写一个程序，使用这种程序，攻击者就能像系统为用户启动进程那样迅速的建立新进程。最后，计算机的进程表被填满了，从而阻止了正常用户开启进程并拒绝任何的访问。,填充文件系统,：通过不断的给文件系统发送大量的数据，攻击者能将文件分区表填满，阻止其他用户建立文件，还有可能使系统崩溃。,发送网络数据，阻塞通信链路,：攻击者写一个程序，给被攻击的系统发送伪造的网络信息，消耗处理器和连接线路带宽。如果攻击者的程序能生成足够多的数据包，合法用户就不能与系统交换数据。,基于远程的拒绝服务攻击,利用网络发送各种缺陷数据包或其他类型数据包以及系统的漏洞来实施攻击的。,基于远程的拒绝服务攻击,（,1,）,远程终止服务,Land,型数据包：,发送一个假的数据包，它的源,IP,地址和端口号均与目标主机相同。目标主机就会收到这样的数据包，来自本主机同一端口且同时到达。旧的,TCP/IP,栈在这种未知的情况下就会造成混乱，甚至崩溃。,Latierra,型数据包：,与,Land,型数据包类似，但会同时给多个端口发送多种类型的,Land,数据包。,Ping of Death,型数据包：,发送一个超长的数据包，当主机收到时，由于旧的,TCP/IP,栈不能有效处理一个大于,64K,的,Ping,包而崩溃。,Jolt2,型数据包,：,发送一些数据包碎片，长度为零。因此这些空的数据包碎片看起来像一串数据包的第一个。只要这种数据包碎片发送出去，目标主机会耗尽处理器全部能力来重新组装这些数据包碎片。,Teardrop,、,Newtear,、,Bonk,、,Syndrop,等类型的数据包,：发送重叠的数据包碎片，在数据包头内碎片的长度被设置为不正确的值，所以主机对这些数据包碎片组装时不能对其正确排队。一些,TCP/IP,栈就会崩溃。,Winnuke,型数据包：,向一个,Windows,主机的开放文件共享系统端口（如,TCP,端口,139,）发送垃圾数据，当端口收到这种数据时，由于不能用合法的服务器信息块（,SMB,）协议对其进行格式化，导致系统瘫痪。,消耗远程资源,远程占用目标主机的资源，特别是通信链路的带宽。在这种方式的攻击中，攻击者会利用数据包洪来消耗你所有的网络处理能力。,SYN FLOOD,攻击,利用服务器的连接缓冲区（,Backlog Queue,），利用特殊的程序，设置,TCP,的,Header,，向服务器端不断地成倍发送只有,SYN,标志的,TCP,连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。,SYN,请求超过了服务器能容纳的限度，缓冲区队列满，服务器就不再接收新的请求了。,基于远程的拒绝服务攻击（,2,）,正常的三段握手图例,SYN FLOOD,攻击的三段握手攻击图例,Smurf,攻击,Smurf,是一种简单但有效的 拒绝服务攻击技术，它利用了,ICMP(Internet,控制信息协议,),。,Smurf,是用一个偷来的帐号安装到一个计算机上的，然后用一个伪造的源地址连续,ping,一个或多个计算机网络，这个伪造的源地址，实际上就是攻击的目标，它将,被极大数量的响应信息量所淹没,。,attacker,ICMP echo req,Src:target,dst:xxx.xxx.xxx.,255,Echo reply,Echo reply,Echo reply,target,分布式拒绝服务攻击（,DDoS,）,DDoS,攻击分为,3,层,：,攻击者,：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。,主控端：,主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。,代理端：,代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。,发起,DDoS,攻击的步骤,寻找在,Internet,上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。,在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。,被,DDoS,攻击时的现象,1,被攻击主机上有大量等待的,TCP,连接。,2,网络中充斥着大量的无用的数据包，源地址为假。,3,制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。,4,利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求。,5,严重时会造成系统死机。,防御常见拒绝服务攻击,确保系统内没有,zombie,在外部路由器或防火墙上加过滤器，滤除伪造数据包，防止由你的系统内,zombie,发出的数据洪泛，保护外部计算机。,使用,“,Find DDoS,”,发现是否被安装,zombie,。,使用,“,zombie zapper,”,停止,zombie,运行。,防御,DDoS,泛洪,尽快察觉，利用,ISP,（,Internet Service Provider,）的突发事件反应，与,ISP,的突发事件反应组联系。快速阻截泛洪。,防止,Web,欺骗,使用类似的域名,注意观察,URL,地址栏的变化,不要信任不可靠的,URL,信息,改写,URL,查看页面的源文本可以发现,使用,SSL,Web,会话劫持,养成显式注销的习惯,使用长的会话,ID,Web,的安全问题很多，我们需要更多的手段来保证,Web,安全,电子邮件欺骗,电子邮件欺骗的动机,隐藏发信人的身份，匿名信,挑拨离间，唯恐世界不乱,骗取敏感信息,欺骗的形式,使用类似的电子邮件地址,修改邮件客户软件的账号配置,直接连到,smtp,服务器上发信,电子邮件动态链接库欺骗,使用类似的地址,:,发信人使用被假冒者的名字注册一个账号，然后给目标发送一封正常的信,我是你的上司,XX,，请把,XXX,发送给我,我在外面度假，请送到我的个人信箱,他,(,她,),能识别吗？,邮件欺骗,直接连接,smtp,服务器,由于简单邮件传输协议（,SMTP,）没有验证系统，伪造,E-mail,十分方便。如果站点允许与,SMTP,端口联系，任何人都可以与该端口联系，并以你甚至虚构的某人的名义发出,E-mail,。,直接连接,smtp,服务器的,25,端口，然后发送命令，常见命令为,Helo(or EHLO),Mail from:,Rcpt to:,Data,Quit,收件人接收到的邮件为,