计算机安全实用技术及研究(二)

本论文在其他论文栏目，由论文格式网整理,转载请注明来源www.lwgsw.com,更多论文,请点论文格式范文查看时，仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。
可用性还应该满足以下要求：身份识别与确认、访问控制（对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制）、业务流控制（利用均分负荷方法，防止业务流量过度集中而引起网络阻塞）、路由选择控制（选择那些稳定可靠的子网，中继线或链路等）、审计跟踪（把网络信息系统中发生的所有安全事件情况存储在安全审计跟踪之中，以便分析原因，分清责任，及时采取相应的措施。审计跟踪的信息主要包括：事件类型、被管客体等级、事件时间、事件信息、事件回答以及事件统计等方面的信息。）
3、保密性
保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。即，防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。
常用的保密技术包括：防侦收（使对手侦收不到有用的信息）、防辐射（防止有用信息以各种途径辐射出去）、信息加密（在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息）、物理保密（利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露）。
4、完整性
完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输。
完整性与保密性不同，保密性要求信息不被泄露给未授权的人，而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有：设备故障、误码（传输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源造成的误码）、人为攻击、计算机病毒等。
保障网络信息完整性的主要方法有：
协议：通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段；
纠错编码方法：由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法；
密码校验和方法：它是抗撰改和传输失败的重要手段；
数字签名：保障信息的真实性；
公证：请求网络管理或中介机构证明信息的真实性。
5、不可抵赖性
不可抵赖性也称作不可否认性，在网络信息系统的信息交互过程中，确信参与者的真实同一性。即，所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接收的信息。
6、可控性
可控性是对网络信息的传播及内容具有控制能力的特性。
概括地说，网络信息安全与保密的核心是通过计算机、网络、密码技术和安全技术，保护在公用网络信息系统中传输、交换和存储的消息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等。
1.3 网络安全所面临的威胁
说起网络安全所面临的威胁，几乎所有人的第一反映就是黑客，其实，黑客固然是网络安全所面临的威胁中不可缺少的中坚力量，但是，网络安全面临的威胁却远远不限于黑客，它来自很多方面，并且随着时间的变化而变化。这些威胁可以宏观地分为人为威胁和自然威胁。（哦，概念太大了？并且谁都知道自然威胁是不受关注的？恩，这个这个……）当然，我们重点讨论的还是人为的威胁。人为的恶意攻击是有目的破坏，可以分为主动攻击和被动攻击。主动攻击是指以各种方式有选择地破坏信息（如：修改、删除、伪造、添加、重放、乱序、冒充、病毒等）。被动攻击是指在不干扰网络信息系统正常工作的情况下，进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。人为恶意攻击具有以下特性：
智能性：从事恶意攻击的人员大都具有相当高的专业技术和熟练的操作技能。他们的文化程度高，许多人都是具有一定社会地位的部门业务主管。他们在攻击前都经过了周密的预谋和精心策划。
严重性：涉及到金融资产的网络信息系统恶意攻击，往往会由于资金损失巨大，而使金融机构、企业蒙受重大损失，甚至破产。同时，也给社会稳定带来震荡。如美国资产融资公司计算机欺诈案，涉及金额20亿美元之巨，犯罪影响震荡全美。（典型事例就是N年前的一部美国大片《偷天陷阱》，如果是真的的话……不过做这么各小偷也够难的），在我国也发生数起计算机盗窃案，金额在数万到数百万人民币，给相关单位带来了严重的损失。
隐蔽性：人为恶意攻击的隐蔽性很强，不易引起怀疑，作案的技术难度大。一般情况下，其犯罪的证据，存在于软件的数据和信息资料之中，若无专业知识很难获取侦破证据。相反，犯罪行为人却可以很容易地毁灭证据。计算机犯罪的现场也不象是传统犯罪现场那样明显。
多样性：随着计算机互联网的迅速发展，网络信息系统中的恶意攻击也随之发展变化。出于经济利益的巨大诱惑，近年来，各种恶意攻击主要集中于电子商务和电子金融领域。攻击手段日新月异，新的攻击目标包括偷税漏税、利用自动结算系统洗钱以及在网络上进行盈利性的商业间谍活动，等等。
第二章黑客技术分析
2.1 黑客技术概述
随着互联网的日益普及，现在连上网的计算机越来越多。网上的黑客站点也是呈几何递增，各种黑客软件的出现让一个只接触互联网很短时间的人很快就能成为一名傻瓜式的黑客。网络的安全问题日益严重。你的计算机一旦接入Internet，就面临着安全性威胁。而最常见的黑客攻击方法有：
●拒绝服务攻击（Denial of Service）包括分布式Ddos攻击
●电子邮件攻击
●缓冲区溢出*攻击*
●网络监听攻击技术
●IP欺骗攻击
●扫描程序与口令攻击
●计算机病毒
●Trojan Horse和PGP攻击
2.1.1 拒绝服务攻击（Denial of Service）
拒绝服务算是新兴攻击中最另人厌恶的攻击方式之一。因为目前网络中几乎所有的机器都在使用着TCP/IP协议。这种攻击主要是用来攻击域名服务器、路由器以及其它网络操作服务，攻击之后造成被攻击者无法正常运行和工作，严重的可以使网络一度瘫痪。拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没剩余的资源给其它用户再提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性，这些资源可以是CPU、CPU时间、磁盘空间、Mode、打印机、甚至是系统管理员的时间，往往是减少或者失去服务。拒绝服务攻击是针对IP实现的核心进行的，它可以出现在任何一个平台之上。在UNIX系统面临的一些拒绝服务的攻击方式，完全可能也可以用相同的方式出现在Windows NT和其它系统中，他们的攻击方式和原理都大同小异。在大多版本的UNIX系统中一般会有管理员限制一个用户可以打开的最大文件数或者可以使用的进程数，其它的一些版本的UNIX也允许针对单个帐户设置可以使用的字盘存储量。但跟其它平台比较UNIX在防止拒绝服务攻击面前还是相对老套的。拒绝服务攻击的方式很多，有将连接局域网的电缆接地、向域名服务器发送大量垃圾请求数据包，使其无法完成来自其他主机的解析请求、制造大量的信息包，占据网络的带宽，减慢网络的传输速率，从而造成不能正常服务等，下面题解的是拒绝服务的详细内容。
拒绝服务的类型
一般的拒绝服务类型大多有两种，第一种就是试图破坏资源，使目标无人可以使用这个资源。第二就是过载一些系统服务或者消耗一些资源，但这个有时候是攻击者攻击所造成的，也有时候是因为系统错误造成的。但是通过这样的方式可以造成其它用户不能使用这个服务（你可以填满一个磁盘的分区，让用户和系统程序无法识别和再生成新的文件来实现。）这两种情况大半是因用户错误或程序错误造成的，并非针对性的攻击。（例如：一个经典的情况是程序出错，在递归条件中本来是用x！=0，结果写错了成x= =0。）
针对网络中的几种方式的拒绝服务攻击：
信息数据包流量式：此类方式经常发生在Internet中某一台主机向另一台机器发送大量的大尺寸的数据包，用来减慢这台机器处理数据的速度，从而破坏其正常处理服务的请求情况。这样的数据包往往可能是要求登陆、文件服务或者是简单的PWG。不管是什么样子，这样大量的数据包就会加重影响目标机器CPU的负载能力，使其消耗大量的资源来响应这些垃圾请求。严重之下可以造成机器没有内存来做任何缓冲存放其它的新的请求，结果就可能会因错误而死机，很多服务器被如此攻击的事实屡见不鲜。在98年，美国人Victory针对加拿大的一台服务器做出了一次这样的攻击，他先写了个程序，这个程序每秒可以发送近千个echo请求到加的服务器请求echo服务，来炸这个NIS服务器，结果使加的这个服务器在一段时间内根本无法再响应网络中的任何请求，同时Victory登陆到一台跳板的特权用户，这个跳板向加的NIS服务器询问NIS口令，但是因加的NIS服务器遇到了echo数据包的袭击根本不能做出这个响应，这个时候Victory所用的主机便可以伪装成为一个服务器用来响应跳板的请求，向跳板发出一个用户口令错误的信息，然后Victory再利用这个时间编写了一个程序，专门用来回答那些本来应由加的NIS服务器回答的请求，这样以来，Victory轻而易举的拿到了这个主机的用户口令和权限。对于此类攻击的一般防御是通过一个监视程序，将网络分割成若干小的子网，可以有效的防止，但完全防止是不可能的。
SYN-Flooding攻击：其实这样的攻击也就是所谓的IP欺骗。就是用一个伪装的地址向目标机器发送一个SYN的请求，多发便可占用目标机器足够的资源，从而造成服务拒绝。它的原理就是向目标机器发出这样的请求之后，就会使用一些资源来为新的连接提供服务，接着回复请求一个SYN-ACK的答复。由于这个回复是返回到一个伪装的地址上了，所以它没有任何响应，目标机器便会无休止的继续发送这个回复直到“对方”反应为止，但事实上“对方”根本上不会做出任何反应的。在一些系统中都有缺省的回复次数和超时时间，只有回复一定的次数或者超时的时候占用资源才会释放。NT3.5x和4.0中缺省设置为可重复发送SYN-ACK答复5次，每次重发后等待时间翻一翻，第一次等待时间为3秒钟，到5次重发之时机器将等待48秒才能得到响应，如果仍是无法收到响应的时候系统将仍要等待96秒才取消分配给连接的资源，在这些资源得到释放之前已经是189秒之后了。其实这样的攻击不会得到任何系统的访问权限的，但对于大多数的TCP/IP协议栈，处于SYN-RECEIVED状态的连接数量非常有限，当达到端口极限的时候目标机器通常作出个响应，重新设置所有的额外连接请求，直到分配的资源释放出来为止。一般情况下你可以使用网络netstat命令来查看自己的连接情况来确认是否正处于或者受到SYN-Flood攻击。你可用netstat –n –a tcp命令就可。如果大量的连接线路处于SYN-RECEIVED状态，那么你正在遭受着攻击。。。。。。其实这样的感觉你可以在oicq中发送一个因网络不通的信息就可以体会得到的。
“Paste”式攻击：在很多UNIX系统的TCP/IP协议实现程序中，往往存在着被滥用的可能性，那么这样就会被别人利用从而使用TCP的半连接来消耗系统资源造成服务拒绝。TCP连接是通过三次握手来建立一个连接和设置参数的，我想这个对你来说不会陌生的，因为这属于上网的常识性问题。如果向一个目标机器发出很多个连接的请求，这样就可以建立初步的连接，但并非是个完全的连接，因为它没有完成所有的连接步骤，这就是所谓的半连接，当目标机器收到这样的半连接之后便会将其保留，并占有限的资源。但大多时候这样的连接所使用的是伪造的源地址，表明了连接来自一台不存在的机器或者一台根本无法访问的机器，这样就不可能去跟踪这个连接，唯一能做的只能是等待这个连接因为超时而释放。
服务过载式：当大量的服务请求发送到一台目标机器中的守护进程，这样就使目标机器忙于处理这样的请求，造成无法处理其它的常规任务，同时一些其它的连接也将被丢弃，因为已经没有余力和空间来存放这些请求，这时候就会发生服务过载。如果攻击所针对的是TCP协议的服务，那么这些请求还将会被重发，结果更加会造成网络的负担。类似如此的攻击多半是源于想隐藏自己，防止所被攻击的机器将自己记录，这样的攻击还可以阻止系统提供的其它一些特定的服务。此外当被攻击的服务有inetd进程的话，使用nowait选项启动时，缺省的inetd有个“strangle”的功能在里面。在很短时间内，针对它所监视的那些服务带来了过多的请求时它将开始拒绝那些请求了，并且用Syslog记录下那些错误的服务请求。在这样的情况之下服务进程本身不会运行失败的，同时也留下了记录，可以追踪到问题的根本所在。。。
过载攻击：
过载攻击可有进程过载攻击、系统过载攻击、磁盘过载攻击等。
进程过载攻击是最简单的拒绝服务攻击。它攻击的效果就是拒绝与你同时间内连接目标机器的其它用户，这样往往表现在发生共享的机器上，如果没人跟你争那么这样将毫无必要。这样的攻击对于现在的UNIX系统不会有太大的效果的，现在的Unix限制任何UID（除了0）使用的进程数目。这个限制叫做“MAXUPROC”，当系统构筑时，在内核进行设置，一些系统允许在启动的时候设置这个值。比如Solaris允许在/etc/system文件中设置这个值。Set MAXUPROC=100
在Unix系统中，可以通过发送sigterm信号来消除一些垃圾进程。命令如：
#kill-TERM-1
#
或者是（如果你当前的Unix没有上述的话）
#kill-TERM1
#
（当然了，你必须有root的权限）Unix会自动kill掉一些的垃圾进程，然后进入单机模式，再者可以执行sync重新启动系统即可。但如果没有root权限在手的话，你可以使用exec来运行su，因为这个不需要生成新的进程，
% exec/bin/su
password:
#
系统过载攻击：流行的一种基于进程的攻击，原因是一个用户产生了许多进程，消耗了大量的CPU的时间，这样就减少了其它用户可用的CPU处理时间。比如说当你使用了近十多个find命令，并使用了gerp在一些目录里查找文件，这些都可以使系统变的很慢。建议多用户使用nice从而降低后台运行进程的优先级，或使用at和batch命令将一些长的任务安排在系统较清闲的时候使用。不过如果是有意式攻击的话没人理会这个的哦。你还得通过root登陆，再将自己的优先级设置高点，通过ps查看然后针对垃圾进程kill掉就可以了。
其实在网络中，系统对拒绝服务攻击的抵抗能力很差的，今年的雅虎、亚马逊、CNN、ebay等国际著名站点都是被拒绝服务攻击所瘫痪。而在这些攻击中所用的工具从去年就开始流行于网络中了，这就是udpflood。
两种破坏性的拒绝服务的攻击以及措施
1.重新格式化磁盘分区或运行newfs/mkfs命令
2.删除关键文件，比如像/dev/下的文件或者是ect/passwd文件
防备：防止任何用户在单用户状态下访问机器，保护系统管理员的帐号，对那些只读的磁盘进行保护。使用正确的模式字（像755或711）保护系统文件，保护好root权限，将NFS的文件设置为root所有，并且以只读的方式调出。
2.1.2 分布式拒绝服务（DDos）攻击
1999年7月份左右，微软公司的视窗操作系统的一个bug被人发现和利用，并且进行了多次攻击，这种新的攻击方式被称为“分布式拒绝服务攻击”即“DDos（Distributed Denial Of Service Attacks）攻击”。这也是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击，在这样的带宽相比之下被攻击的主机很容易失去反应能力的。现在这种方式被认为是最有效的攻击形式，并且很难于防备。但是利用DDos攻击是用一定难度的，没有高超的技术是很难实现的，因为不但要求攻击者熟悉入侵的技术而且还要有足够的时间和脑袋。而现在却因有黑客编写出了傻瓜式的工具来帮助所以也就使DDos攻击相对变的简单了。比较杰出的此类工具目前网上可找到的有Trin00、TFN等。这些源代码包的安装使用过程比较复杂，因为你首先得找到目标机器的漏洞，然后通过一些的远程溢出漏洞攻击程序，获取系统的控制权，再在这些机器上安装并运行的DDos分布端的攻击守护进程。
其实Trin00有点像木马程序，它由三部分构成，三部分分别是客户端、主控端（master）、Broadcast（即分布端攻击守护进程）。客户端是telnet的程序，作用是向目标主制端（master）攻击发送命令。主控端（master）主要是监听两个连接的端口27655和31355。其中27655就是用来接收由客户端发来的命令，这个执行要求密码，如果缺省密码可能是“betaalmostdone”，主控端（master）启动的时候会显示一个提示符号“？”，等待密码输入之后（密码为g0rave）31355这个端口便开始等候分布端的UDP报文。至于Broadcast（即分布端攻击守护进程），在这个时候当然毫无疑问的就是执行攻击的了。这个端是安装在一台已经被你所控制的机器上的，编译分布端之前首先得先植入主控端（master）的真实有效的IP地址，它跟主控端（master）是利用UDP报文通信的，发送至主控端（master）的31355端口，其中包含“*HELLO*”的字节数据，主控端把目标机器的信息通过UDP27444端口发送给Broadcast（即分布端攻击守护进程），这个时候Broadcast（即分布端攻击守护进程）便回开始发起攻击了。这次攻击的流向显而易见为：
发起攻击的机器-à主控端（master）-à Broadcast—>目标机器
从Broadcast（即分布端攻击守护进程）向目标机器发出的都是UDP报文，每个包含4个空字节，这些报文都是从一个端口发出的，但是针对的目标机器的端口则是不同的。目标机器对每个报文都要回复一个ICMP Port Unreachable的信息，大量不同主机发来的这些UDP报文会把目标机器变的慢慢的速度减低。一直到带宽成为0。
关于这个Trin00工具你可以从http://semxa.kstar.com/hacking/Trin00.exe获得。但是需要你再进行编译和移植哦，否则将不可使用。
DDos攻击的主要效果是消耗目标机器的带宽，所以很难防御的。但有很多方法可以检测的到这种攻击。可以通过IDS来防御和检测，分析得到的UDP报文，寻找那些针对本地不同端口的报文而又是从一个源地址的同一个端口发来的UDP报文。或者可以拿出十个以上的UDP报文，分析是否来自同一个地址，相同的地址，相同的端口，不同的只是端口报文，那么这个就必须得注意了。还有一种就是寻找那些相同的源地址和相同的目标地址的ICMP Port Unreachable的信息。这些方法都可以使管理员识别到攻击来自何方。
2.1.3 缓冲区溢出攻击

首页上一页 1 2 3 4 5 6 下一页尾页 2/6/6