为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
恶意攻击:特洛伊木马、黑客攻击、后门、计算机病毒、拒绝服务攻击、内外部泄密、蠕虫、逻辑炸弹、信息丢失篡改销毁
黑客使用计算机作为攻击主体,发送请求,被攻击主机成为攻击对象的远程系统,进而被窃取信息。
特洛伊木马通过电子邮件或注入免费游戏一类的软件进行传播,当软件或电子邮件附件被执行后,特洛伊木马被激活。特洛伊密码释放他的有效负载,监视计算机活动,安装后门程序,或者向黑客传输信息。
指故意的攻击网络协议实现的缺陷或直接通过暴力手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。
最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。(1)带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。(2)连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
(1)被攻击主机上有大量等待的TCP连接;(2) 网络中充斥着大量的无用的数据包;(3)源地址为假,制造高流量无用数据 ,造成网络拥塞,使受害主机无法正常和外界通讯;(4)利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;(5)严重时会造成系统死机。
寄生在宿主文件中,将病毒代码嵌入到宿主文件中,针对本地程序或文件,宿主程序运行时被触发进传染。防治的关键是将病毒代码从宿主文件中摘除。
独立存在的程序个体,通过自身拷贝进行传染。针对网络上的其他计算机,通过系统漏洞进行传染。防治的关键是为系统打补丁。
指硬件、软件或策略上的缺陷,这种缺陷导致非法用户 未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限,非法用户就可以为所欲为,从而造成对网络安全的威胁。
区别于后门。后门:是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令,这些口令无论是被攻破,还是只掌握在制造者手中,都对使用者的系统安全构成严重的威胁。
(1) 物理保密:利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露(锁好柜、关好门、看好人)
(4) 信息加密:在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息
网络信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性
完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、正确存储和正确传输
(1)良好的协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段
(1)系统能够在规定条件和时间内完成规定功能的特性,是所有网络信息系统的运行和建设的基本目标。
(3)可靠性是在给定的时间间隔和给定条件下,系统能正确执行其功能的概率。
(1)网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体 使用的特性,或者是网络部分受损或需要降级使 用时,仍能为授权用户提供有效服务的特性
(2)可用性是系统在执行任务的任意时刻能正常工作的概率,一般用系统正常使用时间和整个工作时间之比来度量
(1)也称作不可抵赖性,在网络信息系统的信息交互过程中,确信参与者的线)所有参与者都不可能否认或抵赖曾经完成的操作和承诺
(1)利用信息源证据可以防止发信方不真实地否认已发送信息, 利用递交接收证据可以防止收信方事后否认已经接收的信息
(1)物理侵入:侵入者绕过物理控制而获得对系统的访问。对主 有物理进入权限 (比如他们能使用键盘) 。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。
(2)系统侵入: 已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁,就会给侵入者提供一个利用漏洞获得系统管理员权限的机会
(3)远程侵入: 通过网络远程进入系统。侵入者从无特权开始这种侵入方式,包括多种形式。如果在他和受害主机之间有防火墙存在,侵入就复杂得多
(4)信任的关系:侵入者常用“跳板”的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的环节一样安全。
暴力破解(Brute Force Attacks): 同字典攻击类似, 侵入者可能尝试所有的字符组合方式
传统的以太网中, 你只要在线上启动 Sniffer就可以看到在一个网段的所有通信
在一个交换的网络里,如果入侵者可以在一个服务器(特别是做路由器的)安装sniffer程序,入侵者就可以使用得到的信息来攻击客户主机和信任主机。比如,你可能不知道某个用户的口令,通过在他登陆的时候监听Telnet会话,就可以得到他的口令
PSH:推标志,通知接收端尽可能的将数据传递给应用层,在telnet登陆时,会使用到这个标志;
SYN:同步标志,用于三次握手的建立,提示接收TCP连接的服务端检查序号;
FIN:结束标志,表示发送端已经没有数据再传输了,希望释放连接, 但接收端仍然可以继续发送数据。
2 基于IP地址的认证(即信任):登录主机的地址受到被登录服务器信任,则从该主机登录不要口令;如远程登录rlogin(TCP 513),首先是基于信任关系的认证,其次才进行口令认证。
可以尝试显示目标主机的文件系统在哪里被export, 或者使用rpcinfo来分析有用信息
黑客向被信任的主机的TCPA发送大量SYN请求, 使得被信任主机的TCP/IP链接达到队列的最上限, 从而无法响应目标主机的SYN请求
在此期间,黑客就有机会伪装成被信任主机的IP地址,将SYN请求返回给目标主机,
黑客利用网络监听和抓包软件,采样目标主机的 TCP序列号,并猜测目标主机的数据包序列号, 尝试建立与目标主机的基于地址验证的应用连接。
一旦与目标主机建立TCP/IP连接,黑客就会使用命令,通过目标主机的安全性较弱的端口,种植后门程序
后门种植成功后,黑客一般会断开与目标主机的连 接,并且停止对被信任主机的攻击,全身而退。黑客推出后,找寻合理时机,对目标主机进行远程控制和非法操作。
1)若X和A及B在同一局域网中,从理论上说很容易实现IP欺骗攻击。因为攻击者X甚至于不用猜测A发送给B的数据包中包含的序列号——用嗅探技术即可。
2)若X来自于外网,要想猜测到A和B所在的局域网中传送的数据包中的序列号非常困难——理论可行。
3)美国头号电脑黑客米特尼克是第一个在广域网成功实现IP欺骗攻击的人。但当时的序列号相对现在非常容易猜测。
1)X首先必须对B进行DoS攻击,否则在图中第4步中B 收到A发送来的它未请求过的请求应答包,将向A返 回RST报文而终止连接,黑客不能冒充连接成功。
2)X发送到A的rlogin端口的伪造数据包的源IP地址是 “假冒”了B的IP地址。
3)为何X不能直接将自己的IP地址修改为B的IP地址来 连接到A的rlogin端口?
在边界路由器上进行源地址过滤,也就是说,对进入本网络的IP包,要检查其源IP地址,禁止外来的 却使用本地IP的数据包进入,这也是大多数路由器的缺省配置。
禁止r-类型的服务,用SSH(专为远程登录会话和其 他网络服务提供安全性的协议,传输的数据均加密) 代替rlogin这样的不安全的网络服务。
分割序列号空间。Bellovin提出一种弥补TCP序列号随机性不足的方法,就是分割序列号空间,每一个连接都将有自己独立的序列号空间。连接之间序列号没有明显的关联。
广播类网络上,可以将某一网络适配器(NIC)设为接收相应广播域上传输的所有帧
sniffer属第二层次(数据链路层)的攻击。通常是攻击者已经进入了 目标系统
如果sniffer运行在路由器,或有路由器功能的主机上,则可同时监视多个广播域,危害更大
通常,sniffer程序只需看到一个数据包的前200-300个字节的数据, 就能发现用户名和口令等信息
管理员应使各计算机之间的信任关系最小,如lan要和internet相 连,仅有firewall是不行的,要考虑一旦入侵成功后他能得到什么, 保证一旦出现sniffer他只对最小范围有效
交换机不会让网络中每一台主机侦听到其他主机的通讯,因此Sniffer技术在这时必须结合网络端口镜像技术进行配合。
路由器(Router): 是连接因特网中各局域网、广域网的设备。在路由器中记录着路由表,它会根据信道的情况自动选择和设定路由,以最佳路径 ,按前后顺序发送信号。发生在网络层。提供了防火墙的服务,只转发特定地址的数据包,不传送不支持路由协议的数据包传送和求知目标网络数据包的传送,从而可以防止广播风暴。
交换机(Switch): 是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路,把传输的信息送到符合要求的相应路由上。发生在数据链路层。
集线器(Hub): 是指将多条以太网双绞线或光纤集合连接在同一段物理介质下的设备。发生在物理层。
端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关);
自动检测远端或本机安全性弱点的程序,用户可不留痕迹的发现远端机器各端口的分配及运行的服务及软件版本
TCPconnect(): 入侵者无须任何权限,速度快,但是其易被发现,也易被过滤;
TCPSYN: 扫描器发送syn数据包,如果返回ack/syn同时需要再发送 RST关闭连接过程,表示端口处监听状态;如果返回RST,则不在侦听,不会留下入侵记录,但需要有root权限才能建立自己的syn数据包
TCPFIN: 一般防火墙或过滤器会过掉syn包,但FIN可以没有麻烦的通过,于是可能存在关闭的端口会用RST来响应FIN,而打开的端口 则不会响应,但有的系统不管打开与否都响应回复RST包
通过向目标主机传送一个小数据包,目标主机接收并将该包返送回来,如果返回的数据包和发送的数据包一致,则Ping命令成功。根据返回的信息,可以推断TCP/IP参数是否设置正确,以及运行是否正常、网络是否通畅等。
◼ 木马主要是根据它的有效载体,或者是其功能来定义的,更多情况下是根据其意图来定义的
◼ 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性, 但我们习惯上将其纳入广义病毒,也就是说,木马也是广义病毒的一个子类
◼ 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是 否具有隐蔽性、是否具有非授权性
木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序) 三部分组成。
◼ 控制端上的控制端程序可借助这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制,实现的 远程控制就如同本地操作
◼ 浏览者在打开该页面的时候,这段代码被执行, 然后下载并运行某木马的服务器端程序,进而控制浏览者的主机
6、多功能集成网关(下一代防火墙 )—嵌入多种防护功能,经过多层过滤后判断能否通过
数据包过滤(Packet Filtering)技术在网络层对数据包进行选择, 选择的依据是系统内设置的过滤逻辑,即访问控制表(Access Control List,ACL)
◆逻辑简单 ◆有较强的透明性 ◆网络性能的影响较小 ◆开销较小,设备便宜
◆在传输层或则是网络层上检测数据,不 能在更高一层检测数据,比如能禁止和通过一个向内的HTTP请求,但不能判断这个 请求是非法的还是合法的。
◆防止欺骗攻击很难,特别是容易受到IP 欺骗攻击(允许来自网络外部的流量,包过 滤防火墙只能检测数据包中的源IP,无法 确定是否是真正的源地址)
◆所有可能用到的端口(尤其是1024的端 口)都必需放开,增加了被攻击的可能性
状态检测防火墙由动态包过滤防火墙演变而来,工作在传输层,使用各种状态表(state tables)来追踪活跃的TCP会话,它能够根据连接状态信息动态地建 立和维持一个连接状态表,并且把这个连接状态表用于后续报文的处理。
如果数据包和连接表的各项都不匹配,那么防火墙就会检测数据包 是否与它所配置的规则集相匹配。
在检测完毕后,防火墙会根据路由转发数据包,并且会在连接表中 为此次对话创建或者更新一个连接项
防火墙通常对TCP包中被设置的FIN位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。
◆最大缺点是要求用户改变自己的行为,或者在访问代理服务的 每个系统上安装特殊的软件
◆分析困难,实现困难,每一种应用服务必须设计一个代理软件模块进行安全控制,并 且应用升级时,一半代理服务程序也要升级
对于核检测防火墙,它可以将不同报文,在防火墙内部, 模拟成应用层客户端或服务器端,对整个报文进行重组,合成一个会话来进行理解,进行访问控制。
包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
应用代理防火墙:不检查IP、TCP报头,不建立连接状态表 ,网络层保护比较弱,影响用户的网速。
状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱
核检测防火墙:可以检查整个数据包内容,网络层保护强, 应用层保护强,前后报文有联系。
2、衡量标准:吞吐量作为衡量防火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈,以致影响到整个网络的性能
2、衡量标准:背对背包的测试结果能体现出被测防火墙的缓冲容量, 网络上经常有一些应用会产生大量的突发数据包(例如:NFS、备份、 路由更新等),而且这样的数据包的丢失可能会产生更多的数据包,强大的缓冲能力可以减小这种突发情况对网络造成的影响
从狭义来讲,分布式防火墙产品是指那些驻留在网络主机中,如服务器或桌面机,并对主机系统自身提供安全防护的软件产品从广义来讲,分布式防火墙是一种新的防火墙体系 结构。
◼ 总体安全策略的策划、管理、分发及日志的汇总,解决 了由分布技术而带来的管理问题。
研究密码技术的学科称为密码学(cryptology) ,它包 含两个分支:
单钥的优点是:保密强度高,运算速度快,缺点是密钥数目大,密钥分配困难,天法实现不可否认服务。
◼ 如果分析者能够用某种方式进入源系统,并向系统中插入分析者自己选定的明文
◼ 这时,密码分析者能选择特定的明文块去加密, 并比较明文和对应的密文信息,从中可以发现更 多与密钥有关的信息。这往往比已知明文攻击更 有效。此时,分析者的任务是推出用来加密消息 的密钥或导出一个算法,该算法可以对用同一密 钥加密的任何新的消息进行解密。
◼ 密码分析者能选择不同的被加密的密文,并可得到相应的明文。密码分析者的任务是推出密钥。例如,用一定的手段在通信过程中伪造消息替换真实消息,然后窃取通信另 一方获得并解密的结果,有可能正好发现随手伪造的密文解密结果是有意义的
已知:C1,P1=Dk(C1),C2,P2=Dk(C2),··· ,Ci, Pi=Dk(Ci),推导出: K
单表替换密码(凯撒密码)、同音替代密码、多字母组替密码、多表替换密码(Vigenere)
RSA 、背包密码、McEliece密码、Rabin、 椭圆 曲线、EIGamal D_H