网络信息安全技术 2
合集下载
北邮-网络信息安全-第二阶段作业 答案
A.管理员
B.安全操作系统
C.安全策略
D.防毒系统
知识点:
第四单元
学生答案:
[C;]
得分:
[10]
试题分值:
10.0
8.以下选项中,防火墙无法带来好处的是()。
A.过滤不安全的服务
B.控制对系统的访问
C.代替安全策略
D.增强保密性
知识点:
第四单元
学生答案:
[C;]
得分:
[10]
试题分值:
10.0
9.关于防火墙技术的描述中,错误的是()。
D.防火墙可以过滤各种垃圾邮件
知识点:
第四单元
学生答案:
[B;]
得分:
[10]
试题分值:
10.0
11.
C.利用邮件系统的脆弱性
D.利用缓冲区溢出的脆弱性
知识点:
第二单元
学生答案:
[C;]
得分:
[10]
试题分值:
10.0
6.IPSec属于()上的安全机制。
A.传输层
B.应用层
C.数据链路层
D.网络层
知识点:
第四单元
学生答案:
Байду номын сангаас[D;]
得分:
[10]
试题分值:
10.0
7.仅设立防火墙系统,而没有(),防火墙就形同虚设。
一、单项选择题(共10道小题,共100.0分)
1.RSA算法是一种基于()的公钥体系。
A.素数不能分解
B.大数没有质因数的假设
C.大数不可能质因数分解的假设
D.公钥可以公开的假设
知识点:
第三单元
学生答案:
[C;]
得分:
B.安全操作系统
C.安全策略
D.防毒系统
知识点:
第四单元
学生答案:
[C;]
得分:
[10]
试题分值:
10.0
8.以下选项中,防火墙无法带来好处的是()。
A.过滤不安全的服务
B.控制对系统的访问
C.代替安全策略
D.增强保密性
知识点:
第四单元
学生答案:
[C;]
得分:
[10]
试题分值:
10.0
9.关于防火墙技术的描述中,错误的是()。
D.防火墙可以过滤各种垃圾邮件
知识点:
第四单元
学生答案:
[B;]
得分:
[10]
试题分值:
10.0
11.
C.利用邮件系统的脆弱性
D.利用缓冲区溢出的脆弱性
知识点:
第二单元
学生答案:
[C;]
得分:
[10]
试题分值:
10.0
6.IPSec属于()上的安全机制。
A.传输层
B.应用层
C.数据链路层
D.网络层
知识点:
第四单元
学生答案:
Байду номын сангаас[D;]
得分:
[10]
试题分值:
10.0
7.仅设立防火墙系统,而没有(),防火墙就形同虚设。
一、单项选择题(共10道小题,共100.0分)
1.RSA算法是一种基于()的公钥体系。
A.素数不能分解
B.大数没有质因数的假设
C.大数不可能质因数分解的假设
D.公钥可以公开的假设
知识点:
第三单元
学生答案:
[C;]
得分:
《网络信息安全》第1-2讲
目前网络信息安全问题的根源之一。实际上,网络环境下的信息安全
不仅涉及到技术问题,而且涉及到法律政策问题和管理问题。技术问 题虽然是最直接的保证信息安全的手段,但离开了法律政策和管理的
基础,纵有最先进的技术,网络信息安全也得不到保障。
遵义师范学院
1.2 网络信息安全体系架构
1.网络信息系统中的资源
我们将网络信息系统中的资源分为三种: (1) 人:信息系统的决策者、使用者和管理者。 (2) 应用:由一些业务逻辑组件及界面组件组成。 (3) 支撑:为开发应用组件而提供技术上支撑的资源,包括网 络设施、操作系统软件等。
遵义师范学院
1.1 网络信息安全问题的根源
5.人员的安全意识与技术问题
人是信息活动的主体,是引起网络信息安全问题最主要的因素
之一,这可以从以下三个方面来理解。第一,人为的无意失误主要 是指用户安全配置不当造成的安全漏洞,包括用户安全意识不强、 用户口令选择不当、用户将自己的账号信息与别人共享和用户在使 用软件时未按要求进行正确的设置等。第二,人为的恶意黑客攻
1.1 网络信息安全问题的根源
4.设备物理安全问题
网络设备和计算机系统本身的物理安全隐患,如灰尘、潮湿、
雷击和电磁泄露等,也是网络信息安全出现问题的重要根源之一。
物理安全包括三个方面:
1) 环境安全:对系统所在环境的安全保护。 区域保护:电子监控; 灾难保护:灾难的预警、应急处理、恢复 2) 设备安全: 防盗:上锁,报警器;防毁:接地保护,外壳 防电磁信息泄漏:屏蔽,吸收,干扰 防止线路截获:预防,探测,定位,对抗 抗电磁干扰:对抗外界,消除内部 电源保护:UPS,纹波抑制器 3) 媒体安全 :对媒体及媒体数据的安全保护。 媒体的安全 : 媒体的安全保管。 防盗;防毁、防霉等。 媒体数据安全:防拷贝,消磁,丢失。
网络信息安全技术(第二版)第10章包过滤技术原理及应用
第10章 包过滤技术原理及应用
10.3.2 “往内”与“往外”
在我们制订包过滤规则时,必须准确理解“往内”与“往外” 的包和“往内”与“往外”的服务这几个词的语义。一个往外的 服务(如上面提到的Telnet)同时包含往外的包(键入信息)和 往内的包(返回的屏幕显示信息)。虽然大多数人习惯于用“服 务”来定义规定,但在制订包过滤规则时,我们一定要具体到每 一种类型的包。我们在使用包过滤时也一定要弄清“往内”与 “往外”的包和“往内”与“往外”的服务这几个词之间的区别。
第10章 包过滤技术原理及应用
包过滤不允许的操作 (1) 允许某个用户从外部网用Telnet登录而不允许其他用 户进行这种操作; (2) 允许用户传送一些文件而不允许用户传送其他文件。
第10章 包过滤技术原理及应用 图 10.1 源地址伪装
第10章 包过滤技术原理及应用
10.2.3 1. 包过滤方式的优点 包过滤方式有许多优点,而其主要优点之一是仅用一个放
第10章 包过滤技术原理及应用
路由器针对每一个接收到的包做出路由决定如何将包送达 目的地。在一般情况下,包本身不包含任何有助确定路由的信 息。包只告诉路由器要将它发往何地,至于如何将它送达,包 本身则不提供任何帮助。路由器之间通过诸如RIP和OSPF的路 由协议相互通信,并在内存中建立路由表。当路由器对包进行 路由时, 它将包的目的地址与路由表中的入口地址相比较,并 依据该表来发送这个包。在一般情况下,一个目的地的路由不 可能是固定的。同时,路由器还经常使用“默认路由”, 即把
第10章 包过滤技术原理及应用
10.3.3 “默认允许”与“默认拒绝” 网络的安全策略中有两种方法:默认拒绝(没有明确地被
允许就应被拒绝)与默认允许(没有明确地被拒绝就应被允 许)。从安全角度来看, 用默认拒绝应该更合适。 就如我们前 面讨论的,我们首先应从拒绝任何传输来开始设置包过滤规则, 然后再对某些应被允许传输的协议设置允许标志。这样做我们 会感到系统的安全性更好一些。
网络安全第2章 黑客与攻击技术
遵循一定的原则,有利于抓住入侵者
定期检查登录文件 注意不寻常的登录 注意突然活跃的账号 预判入侵者的活动时间
2.1.5
黑客与信息安全
进入21世纪,黑客的行为又呈现出新 的特点,主要表现为: (1)群体组织化 (2)地域全球化 (3)构成大众化 (4)阵容年轻化 (5)技术智能化 (6)手段多样化 (7)动机商业化 (8)身份合法化 (9)行为军事化
(6)攻击的破坏效果增大
由于用户越来越多地依赖计算机网络提供各种服 务,完成日常业务,黑客攻击网络基础设施造成的破 坏影响越来越大。 由于攻击技术的进步,攻击者可以较容易地利用 分布式攻击技术,对受害者发动破坏性攻击。随着黑 客软件部署自动化程度和攻击工具管理技巧的提高, 安全威胁的不对称性将继续增加。攻击者的数量也不 断增加。
2.信息收集型攻击
信息收集就是对目标主机及其相关设施、管理人 员进行非公开的了解,用于对攻击目标安全防卫工作 情况的掌握。 (1)简单信息收集。可以通过一些网络命令对目 标主机进行信息查询。如,Ping、Finger、Whois、 Tracerroute等。 (2)网络扫描。使用扫描工具对网络地址、开放 端口等情况扫描。 (3)网络监听。使用监听工具对网络数据包进行 监听,以获得口令等敏感信息。
(3)有组织的攻击越来越多
攻击的群体在改变,从个体到有组织的群 体,各种各样黑客组织不断涌现,进行协同作 战。 在攻击工具的协调管理方面,随着分布式 攻击工具的出现,黑客可以容易地控制和协调 分布在Internet上的大量已部署的攻击工具。 目前,分布式攻击工具能够更有效地发动拒绝 服务攻击,扫描潜在的受害者,危害存在安全 隐患的系统。
2.黑客守则
任何职业都有相关的职业道德,黑客也有其“行 规”,一些守则是必须遵守的,归纳起来就是“黑客 守则”。 (1)不要恶意破坏任何系统,否则会给自己带来麻 烦。 (2)不要破坏别人的软件和资料。 (3)不要修改任何系统文件,如果是由于进入系统 的需要,则应该在目的达到后将其恢复原状。 (4)不要轻易地将你要黑的或者黑过的站点告诉不 信任的朋友。 (5)在发表黑客文章时不要用自己的真实名字。
网络安全技术与实践第二版课后答案
网络安全期末复习题型:1、选择、判断、简答(45%)2、分析题(55%)注:如有发现错误,希望能够提出来。
第一章引言一、填空题1、信息安全的3个基本目标是:保密性、完整性和可用性。
此外,还有一个不可忽视的目标是:合法使用。
2、网络中存在的4种基本安全威胁有:信息泄漏、完整性破坏、拒绝服务和非法使用。
3、访问控制策略可以划分为:强制性访问控制策略和自主性访问控制策略。
4、安全性攻击可以划分为:被动攻击和主动攻击。
5、X.800定义的5类安全服务是:认证、访问控制、数据保密性、数据完整性、不可否认性。
6、X.800定义的8种特定的安全机制是:加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。
7、X.800定义的5种普遍的安全机制是:可信功能度、安全标志、事件检测、安全审计跟踪和安全恢复。
二、思考题2、基本的安全威胁有哪些?主要的渗入类型威胁是什么?主要的植入类型威胁时什么?请列出几种最主要的威胁。
答:基本的安全威胁有:信息泄露、完整性破坏、拒绝服务、非法使用。
主要的渗入类型威胁有:假冒、旁路、授权侵犯。
主要的植入威胁有:特洛伊木马、陷门最主要安全威胁:(1)授权侵犯(2)假冒攻击(3)旁路控制(4)特洛伊木马或陷阱(5)媒体废弃物(出现的频率有高到低)4.什么是安全策略?安全策略有几个不同的等级?答:安全策略:是指在某个安全区域内,施加给所有与安全相关活动的一套规则。
安全策略的等级:1安全策略目标;2机构安全策略;3系统安全策略。
6.主动攻击和被动攻击的区别是什么?请举例说明。
答:区别:被动攻击时系统的操作和状态不会改变,因此被动攻击主要威胁信息的保密性。
主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作,因此主动攻击主要威胁信息的完整性、可用性和真实性。
主动攻击的例子:伪装攻击、重放攻击、消息篡改、拒绝服务。
被动攻击的例子:消息泄漏、流量分析。
9、请画出一个通用的网络安全模式,并说明每个功能实体的作用。
02-信息安全与技术(第2版)-朱海波-清华大学出版社
广义的设备安全包括物理设备的防盗,防止自然灾害或 设备本身原因导致的毁坏,防止电磁信息辐射导致的 信息的泄漏,防止线路截获导致的信息的毁坏和篡改, 抗电磁干扰和电源保护等措施。狭义的设备安全是指 用物理手段保障计算机系统或网络系统安全的各种技 术。
一、硬件设备的维护和管理
计算机网络系统的硬件设备一般价格昂贵,一旦被损坏 而又不能及时修复,可能会产生严重的后果。因此, 必须加强对计算机网络系统硬件设备的使用管理,坚 持做好硬件设备的日常维护和保养工作。
信息安全与技术 (第二版)
清华大学出版社
第2章物理安全体系
物理安全是指为了保证计算机系统安全、可 靠地运行,确保系统在对信息进行采集、传输、 存储、处理、显示、分发和利用的过程中,不会 受到人为或自然因素的危害而使信息丢失、泄露 和破坏,对计算机系统设备、通信与网络设备、 存储媒体设备和人员所采取的安全技术措施。物 理安全主要考虑的问题是环境、场地和设备的安 全及物理访问控制和应急处置计划等。物理安全 在整个计算机网络信息系统安全中占有重要地位。 它主要包括环境安全、设备安全和媒体安全三个 方面。
一、机房安全设计
计算机系统中的各种数据依据其重要性,可以划 分为不同等级,需要提供不同级别的保护。如果对高 等级数据采取低水平的保护,就会造成不应有的损失; 相反,如果对低等级的数据提供高水平的保护,又会 造成不应有的浪费。因此,应根据计算机机房视其管
1.机房安全等级
机房的安全等级分为A类、B类和C类3个基本类别。
另一种方法是根据机房内设备的总数进行机房面积的估 算。假设设备的总和数为K,则估算公式如下:
机房面积=(4.5~5.5)K (m2) 在这种计算方法中,估算的准确与否和各种设备的尺 寸是否大致相同有密切关系,一般的参考标准是按台 式计算机的尺寸为一台设备进行估算。如果一台设备 占地面积太大,最好将它按两台或多台台式计算机来 计算,这样可能会更准确。系数4.5~5.5也是根据我国 具体情况的统计数据确定的。
一、硬件设备的维护和管理
计算机网络系统的硬件设备一般价格昂贵,一旦被损坏 而又不能及时修复,可能会产生严重的后果。因此, 必须加强对计算机网络系统硬件设备的使用管理,坚 持做好硬件设备的日常维护和保养工作。
信息安全与技术 (第二版)
清华大学出版社
第2章物理安全体系
物理安全是指为了保证计算机系统安全、可 靠地运行,确保系统在对信息进行采集、传输、 存储、处理、显示、分发和利用的过程中,不会 受到人为或自然因素的危害而使信息丢失、泄露 和破坏,对计算机系统设备、通信与网络设备、 存储媒体设备和人员所采取的安全技术措施。物 理安全主要考虑的问题是环境、场地和设备的安 全及物理访问控制和应急处置计划等。物理安全 在整个计算机网络信息系统安全中占有重要地位。 它主要包括环境安全、设备安全和媒体安全三个 方面。
一、机房安全设计
计算机系统中的各种数据依据其重要性,可以划 分为不同等级,需要提供不同级别的保护。如果对高 等级数据采取低水平的保护,就会造成不应有的损失; 相反,如果对低等级的数据提供高水平的保护,又会 造成不应有的浪费。因此,应根据计算机机房视其管
1.机房安全等级
机房的安全等级分为A类、B类和C类3个基本类别。
另一种方法是根据机房内设备的总数进行机房面积的估 算。假设设备的总和数为K,则估算公式如下:
机房面积=(4.5~5.5)K (m2) 在这种计算方法中,估算的准确与否和各种设备的尺 寸是否大致相同有密切关系,一般的参考标准是按台 式计算机的尺寸为一台设备进行估算。如果一台设备 占地面积太大,最好将它按两台或多台台式计算机来 计算,这样可能会更准确。系数4.5~5.5也是根据我国 具体情况的统计数据确定的。
信息安全技术(第二版)一到七章课后习题答案 俞承杭
信息安全技术复习资料第一章1.对于信息的功能特征,它的____基本功能_____在于维持和强化世界的有序性动态性。
2.对于信息的功能特征,它的____社会功能____表现为维系社会的生存、促进人类文明的进步和自身的发展。
3.信息技术主要分为感测与识别技术、__信息传递技术__、信息处理与再生技术、信息的施用技术等四大类。
4.信息系统是指基于计算机技术和网络通信技术的系统,是人、____规程_________、数据库、硬件和软件等各种设备、工具的有机集合。
5.在信息安全领域,重点关注的是与____信息处理生活周期________相关的各个环节。
6.信息化社会发展三要素是物质、能源和____信息________。
7.信息安全的基本目标应该是保护信息的机密性、____完整性________、可用性、可控性和不可抵赖性。
8.____机密性________指保证信息不被非授权访问,即使非授权用户得到信息也无法知晓信息的内容,因而不能使用。
9.____完整性________指维护信息的一致性,即在信息生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。
10._____可用性_______指授权用户在需要时能不受其他因素的影响,方便地使用所需信息。
这一目标是对信息系统的总体可靠性要求。
11.____可控性________指信息在整个生命周期内都可由合法拥有者加以安全的控制。
12.____不可抵赖性________指保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为。
13.PDRR模型,即“信息保障”模型,作为信息安全的目标,是由信息的____保护____、信息使用中的___检测____、信息受影响或攻击时的____响应____和受损后的___恢复____组成的。
14.当前信息安全的整体解决方案是PDRR模型和___安全管理_________的整合应用。
1.DoS破坏了信息的(C)。
A.保密性B.完整性C.可用性D.可控性2.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?(B)A.缓冲区溢出攻击B.钓鱼攻击C.后门攻击D.DDoS攻击3.在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用的,这是对(A)的攻击。
网络安全与防火墙技术2 网络安全技术
• 如图2.4所示,在公钥加密算法下,加密密钥与解密密钥是不同的,公钥是公 开的,不需要安全信道来传送密钥,任何人可以用公钥加密信息,再将密文 发送给私钥拥有者;私钥是保密的,只需利用本地密钥发生器产生解密密钥 即可。
12
图2.4 公钥密码系统的原理框架图
• 密码技术是保护信息安全的主要手段之一。密码技术是结合数学、计算机科 学、电子与通信等诸多学科于一身的综合学科。它不仅具有信息加密功能, 而且具有数字签名、身份验证、秘密分存、系统安全等功能。使用密码技术 不仅可以保证信息的机密性,而且可以保证信息的完整性和正确性,防止信 息被篡改、伪造或假冒。
27
• 2.3.6 强制访问控制 • 强制访问控制是系统强制用户服从访问控制政策。 • 2.3.7 基于角色的访问控制 • 角色,是一个或一群用户在组织内可执行的操作的集合。用户在一定的部门
中具有一定的角色,其所执行的操作与其所扮演的角色的职能相匹配。 • 系统定义了各种角色,每种角色可以完成一定的职能,换言之,每种角色规
• 2 网络安全技术
• 2.1 安全技术概述
• 计算机网络的安全主要涉及传输的数据和存储的数据的安全问题。它包含两 个主要内容:一是保密性,即防止非法地获悉数据;二是完整性,即防止非 法地编辑数据。解决这个问题的基础是现代密码学。
1
• 对传输中的数据,即网络通信的安全,通常有两种攻击形式,如图2.1所示。 图2.1 网络通信安全的威胁
系统来完成。 • ④评估系统关键资源和数据文件的完整性。
29
• ⑤识别已知的攻击行为,统计分析异常行为。 • ⑥操作系统日志管理,并识别违反安全策略的用户活动等。 • 2.4.2 基于主机、网络以及分布式的入侵检测系统 • 按照入侵检测输入数据的来源和系统结构体系来看,入侵检测系统可以分为3
12
图2.4 公钥密码系统的原理框架图
• 密码技术是保护信息安全的主要手段之一。密码技术是结合数学、计算机科 学、电子与通信等诸多学科于一身的综合学科。它不仅具有信息加密功能, 而且具有数字签名、身份验证、秘密分存、系统安全等功能。使用密码技术 不仅可以保证信息的机密性,而且可以保证信息的完整性和正确性,防止信 息被篡改、伪造或假冒。
27
• 2.3.6 强制访问控制 • 强制访问控制是系统强制用户服从访问控制政策。 • 2.3.7 基于角色的访问控制 • 角色,是一个或一群用户在组织内可执行的操作的集合。用户在一定的部门
中具有一定的角色,其所执行的操作与其所扮演的角色的职能相匹配。 • 系统定义了各种角色,每种角色可以完成一定的职能,换言之,每种角色规
• 2 网络安全技术
• 2.1 安全技术概述
• 计算机网络的安全主要涉及传输的数据和存储的数据的安全问题。它包含两 个主要内容:一是保密性,即防止非法地获悉数据;二是完整性,即防止非 法地编辑数据。解决这个问题的基础是现代密码学。
1
• 对传输中的数据,即网络通信的安全,通常有两种攻击形式,如图2.1所示。 图2.1 网络通信安全的威胁
系统来完成。 • ④评估系统关键资源和数据文件的完整性。
29
• ⑤识别已知的攻击行为,统计分析异常行为。 • ⑥操作系统日志管理,并识别违反安全策略的用户活动等。 • 2.4.2 基于主机、网络以及分布式的入侵检测系统 • 按照入侵检测输入数据的来源和系统结构体系来看,入侵检测系统可以分为3
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
13
下面是一个典型的缓冲区溢出例子:
void func(char *userdata) { char buf [256]; ... strcpy (buf, userdata) ; ... }
程序员是以要拷贝的数据肯定少于256字节为假设前 提, 并将数据直接存放到缓冲区中。然而,由于数据是 由用户提供的,数据的内容和大小就可以是任意的。 strcpy() 函数将会连续地从 *userdata 中拷贝数据到 buf 中,直至碰到一个 NULL 字符为止。任何大于 256 字节 的数据都会从这个缓冲区溢出。 14
15
3.2 缓冲区溢出攻击的防范措施
为了避免缓冲区溢出,程序员可以使用 strncpy() 函 数来拷贝数据,strncpy()函数只拷贝满足缓冲区大小的 数据。在上面的例子中,将strcpy (buf, userdata) 替换 成 strncpy (buf, userdata, 256), 而 strncpy (buf,
8
2.2 DDoS攻击的检测方法 DDoS攻击不仅仅是简单地发送海量信息,它还利用 了 网 络 协 议 的 缺 陷 来 增 强 攻 击 力 和 隐 蔽 性 。 首 先, DDoS 工具利用了 IP协议中可以伪装 IP源地址的缺陷, 利用原始IP包(raw IP packet)来发送信息,使得难以追 踪 攻 击 者 。 其 次 , DDoS 工 具 利 用 了 TCP、UDP 和 ICMP协议的缺陷,例如,利用TCP SYN报文建立半边 TCP 连接,利用 UDP 的无连接和无源地址认证特性来 发送海量信息等。 为了增强攻击力,DDoS工具还可通过发送单独的数 据包来探测网络协议的缺陷, 并利用这些缺陷进行网络 攻击。
在缓冲区溢出攻击中,攻击者将一个包含攻击代码 shellcode 的数据拷贝到缓冲区中,使缓冲区产生溢出 , shellcode的地址将覆盖所保存的指令地址。这样,当函 数返回时,程序将会重定向到攻击代码上执行,参见图 3.1。 缓冲区溢出攻击有多种方式,它们主要采用程序重 定向法来达到攻击的目的。
DDoS攻击时将会形成某些特征的异常网络流量。如 果在网络上中发现了这些异常网络流量,则说明该网 络可能正在受到DDoS攻击。下面是异常网络流量的主 要特征: (1) 异常的浪涌流量:如果一个网络系统的当前网络 流量大大超出平时的最大网络流量,则表明在网络流 量中包含着明显的海量攻击。 (2) 超长的数据包:在正常的 ICMP和 UDP 通信中, 其数据包都比较小。一般的 ICMP数据包为 64到 128 字 节,而 UDP 数据包不超过 10 个字节。超长的 ICMP 或 UDP 数据包说明可能携带有控制信息,如攻击目标主 机地址、攻击命令和其它参数等。
4
2.1 DDoS攻击的基本原理
从 DDoS 攻 击 机 理 来 看 , 攻 击 者 首 先 扫 描 和 寻 找 Internet中有安全漏洞的主机,然后将这些主机有效地 组织起来,构成一个强大的攻击网络(Attack Network, AN),然后利用这个攻击网络中的主机向目标系统发起 大规模的DoS攻击,耗尽目标系统的可用资源,使目标 系统过载而崩溃。 这个攻击网络由三类节点组成:攻击者 (Attacker, AK)、攻击控制者 (Attacker Master,AM) 和攻击代理 者(Attacker Agent,AA),参见图2.1。
第二章 网络信息安全威胁
一、网络安全威胁
ISO在定义OSI安全体系结构的同时,也指出了OSI
环境中所面临的各种安全威胁。在现实网络世界中,常
见的安全威胁或网络攻击主要有如下几种: (1) 网络监听:通过监听和分析网络数据包来获取有 关重要信息,如用户名和口令、重要数据等; (2) 信息欺骗:通过篡改、删除或重放数据包进行信
20
如果C掌握了A的ISN基值及其增加规律(例如每秒增 加 128000 ,每次连接增加 64000) ,也计算出 C 到 A 的 RTT平均值(RTT/2时间),则可立即转入IP欺骗攻击。 (3) C伪装B向A发送TCP SYN报文请求建立连接, 其源 IP 为 B,TCP 端口为 513 端口 (rlogin)。A 向 B 回送 TCP SYN+ACK 报文进行响应,由于 B 处于暂时瘫痪 状态,无法向A发送TCP ACK报文进行响应。 (4) C伪装成B向A发送TCP ACK报文,该报文中带 有C所预测的A的序列号ISN+1。如果序列号预测准确, 则这个TCP连接便建立起来,转入数据传送阶段。 由于这个连接是 A与B之间的连接,A向B发送数据, 而不是向C,C仍然无法看到A发送给B的数据。
5
ቤተ መጻሕፍቲ ባይዱ 攻击者
攻击网络
攻击控制者
攻击控制者
……
攻击控制者
攻击代 理者
……
攻击代 理者
攻击代 理者
……
攻击代 理者
攻击代 理者
……
攻击代 理者
被攻击目标
图2.1 攻击网络组成
6
DDoS攻击首先利用 Internet 中的脆弱主机构建一个 分布式攻击系统,然后通过这个分布式攻击系统对目标 系统实施DoS攻击,其过程如下: 1. AK使用漏洞扫描工具和其它方法在 Internet 中寻 找和发现脆弱主机,并且要达到一定的数量级; 2. AK基于攻击策略为脆弱主机分配适当角色(AM或 AA),建立起分布攻击视图; 3. AK根据分布攻击视图对脆弱主机进行攻击,获得 对脆弱主机的控制权限(如Root权限),然后在脆弱主机 上安装AM或AA程序; 4. 在所有脆弱主机上安装了 AM或AA程序后, 便建 立起一个分布式DDoS攻击系统;
9
构成DDoS攻击的基础是 Internet上存在大量有安全漏 洞的计算机系统。因此,管理员应当加强网络管理: 1. 经常使用安全漏洞扫描工具来检查本网络中的主 机是否存在着安全漏洞,并采取相应的弥补措施,以避 免主机被攻击者所利用。 2. 在网络边界的接入点上设置防火墙,对网络流量 进行过滤,以阻止任何伪造IP地址的数据包进入网络, 从源头上阻止DDoS攻击或削弱其攻击力。 3. 使用入侵检测系统 (IDS) 来检测进入网络的可疑 流量 , 并及时发出报警信号,提醒管理员采取应对措施 ,如切断连接或反向跟踪等。通常, IDS应当包含当前 最新攻击模式的特征描述,并不断地更新安全策略或规 10 则。
3
DDoS 攻击将 DoS攻击技术向前发展了一步, DoS攻 击采用单点结构,攻击力有限,呈现“孤岛效应”; DDoS攻击则采用分布式结构,攻击力强大,形成“规 模效应”。两者相比,DDoS攻击对网络系统的威胁要 大得多。 DDoS 攻击是一种渗透 (Penetration) 式攻击 , 通过发 送海量数据包来验证一个网络系统所能处理的最大网络 流量。事实上,在网络容量测试中采用了相类似的网络 渗透方法,其目的是确定一个网络系统能够处理多大的 网络流量,以此决定是否需要增加网络带宽。但是,这 类商用软件工具的源代码是不公开的。
19
假设B是A所信任的主机,所谓信任是指在A的 /etc/hosts.equiv 和 $HOME/.rhosts 文件中注册有 B 的 IP地址。如果C企图攻击A,则必须知道A信任B。下面 是C采用IP欺骗手法攻击A的基本过程。 (1) 假设C已经知道了A信任B,首先设法使B的网络 功能暂时瘫痪,以免 B 干扰攻击。可以通过 TCP SYN flood攻击来达到这一目的,即通过TCP SYN flood攻击 使B的网络功能暂时瘫痪。 (2) C设法探测A的当前ISN, 可以采用连续向25端口 发送TCP SYN报文请求来实现。25端口是SMTP服务, 不提供任何安全检查机制。同时,还要计算 C 到 A 的 RTT(round trip time)平均值。
11
(3) 异常的数据包内容:在有些DDoS数据包中, 只包 含英文字符 , 没有空格、标点符号和控制字符。例如 , TFN2K包采用BASE64代码封装, 只包含BASE64字符,并
且TFN2K包中含有重复的“AAAA…”字符串,这些字符
串是用来填充缓存区中加密程序未被填满的部分。 (4) 异常的通信端口: DDoS攻击工具大都使用特定 的高端口号来发送数据。如果发现TCP或UDP通信的目 的端口号大于1024,则该通信是非常可疑的,因为任何
范技术。
2
二、分布式拒绝服务攻击
2000年2月,美国著名的网站Yahoo!、eBay、Buy、 CNN 和 ZDNet 等相继遭到网络黑客大规模的分布式拒 绝服务 (Distributed Denial of Service,DDoS)攻击,导 致这些网站系统瘫痪,服务中断。这一事件在美国乃至 全球都引起了强烈震动。 DDoS攻击采用了与DoS攻击相同的攻击手法,通过 产 生 大 量 虚 假 的 数 据 包 来 耗 尽 目 标 系 统 的 资 源 ,如 CPU 周期、内存和磁盘空间、通信带宽等,使系统无 法处理正常的服务,直到过载而崩溃。
18
在建立远程连接时 , 服务程序是根据 $HOME/.rhosts 以及 /etc/hosts.equiv 文件进行安全检查的,并且只根据 信源IP地址来确认用户的身份,以确定是否接受用户的 RPC请求。 由于 RPC 连接是基于特定端口的 TCP 连接,而建立 TCP连接需要经历“三次握手”过程。每次建立TCP连 接时, TCP 都要为该连接产生一个初始序列号 (ISN)。 为了防止因 TCP 报文的延迟和重传带来的不安全因素 , TCP协议采用适当的算法来产生初始序列号,而不能随 便选取,并且不同的TCP实现系统可能采用不同的生成 算法。如果掌握了TCP初始序列号的分配方法及其随时 间变化的规律,则很容易实施IP欺骗攻击。
在使用这些函数时,应当采取预防措施。并且在不同 的操作系统上,这些函数的实现可能会不同,在编程 之前, 必须认真地阅读程序设计语言有关的技术说明。
17
四、 IP欺骗攻击
下面是一个典型的缓冲区溢出例子:
void func(char *userdata) { char buf [256]; ... strcpy (buf, userdata) ; ... }
程序员是以要拷贝的数据肯定少于256字节为假设前 提, 并将数据直接存放到缓冲区中。然而,由于数据是 由用户提供的,数据的内容和大小就可以是任意的。 strcpy() 函数将会连续地从 *userdata 中拷贝数据到 buf 中,直至碰到一个 NULL 字符为止。任何大于 256 字节 的数据都会从这个缓冲区溢出。 14
15
3.2 缓冲区溢出攻击的防范措施
为了避免缓冲区溢出,程序员可以使用 strncpy() 函 数来拷贝数据,strncpy()函数只拷贝满足缓冲区大小的 数据。在上面的例子中,将strcpy (buf, userdata) 替换 成 strncpy (buf, userdata, 256), 而 strncpy (buf,
8
2.2 DDoS攻击的检测方法 DDoS攻击不仅仅是简单地发送海量信息,它还利用 了 网 络 协 议 的 缺 陷 来 增 强 攻 击 力 和 隐 蔽 性 。 首 先, DDoS 工具利用了 IP协议中可以伪装 IP源地址的缺陷, 利用原始IP包(raw IP packet)来发送信息,使得难以追 踪 攻 击 者 。 其 次 , DDoS 工 具 利 用 了 TCP、UDP 和 ICMP协议的缺陷,例如,利用TCP SYN报文建立半边 TCP 连接,利用 UDP 的无连接和无源地址认证特性来 发送海量信息等。 为了增强攻击力,DDoS工具还可通过发送单独的数 据包来探测网络协议的缺陷, 并利用这些缺陷进行网络 攻击。
在缓冲区溢出攻击中,攻击者将一个包含攻击代码 shellcode 的数据拷贝到缓冲区中,使缓冲区产生溢出 , shellcode的地址将覆盖所保存的指令地址。这样,当函 数返回时,程序将会重定向到攻击代码上执行,参见图 3.1。 缓冲区溢出攻击有多种方式,它们主要采用程序重 定向法来达到攻击的目的。
DDoS攻击时将会形成某些特征的异常网络流量。如 果在网络上中发现了这些异常网络流量,则说明该网 络可能正在受到DDoS攻击。下面是异常网络流量的主 要特征: (1) 异常的浪涌流量:如果一个网络系统的当前网络 流量大大超出平时的最大网络流量,则表明在网络流 量中包含着明显的海量攻击。 (2) 超长的数据包:在正常的 ICMP和 UDP 通信中, 其数据包都比较小。一般的 ICMP数据包为 64到 128 字 节,而 UDP 数据包不超过 10 个字节。超长的 ICMP 或 UDP 数据包说明可能携带有控制信息,如攻击目标主 机地址、攻击命令和其它参数等。
4
2.1 DDoS攻击的基本原理
从 DDoS 攻 击 机 理 来 看 , 攻 击 者 首 先 扫 描 和 寻 找 Internet中有安全漏洞的主机,然后将这些主机有效地 组织起来,构成一个强大的攻击网络(Attack Network, AN),然后利用这个攻击网络中的主机向目标系统发起 大规模的DoS攻击,耗尽目标系统的可用资源,使目标 系统过载而崩溃。 这个攻击网络由三类节点组成:攻击者 (Attacker, AK)、攻击控制者 (Attacker Master,AM) 和攻击代理 者(Attacker Agent,AA),参见图2.1。
第二章 网络信息安全威胁
一、网络安全威胁
ISO在定义OSI安全体系结构的同时,也指出了OSI
环境中所面临的各种安全威胁。在现实网络世界中,常
见的安全威胁或网络攻击主要有如下几种: (1) 网络监听:通过监听和分析网络数据包来获取有 关重要信息,如用户名和口令、重要数据等; (2) 信息欺骗:通过篡改、删除或重放数据包进行信
20
如果C掌握了A的ISN基值及其增加规律(例如每秒增 加 128000 ,每次连接增加 64000) ,也计算出 C 到 A 的 RTT平均值(RTT/2时间),则可立即转入IP欺骗攻击。 (3) C伪装B向A发送TCP SYN报文请求建立连接, 其源 IP 为 B,TCP 端口为 513 端口 (rlogin)。A 向 B 回送 TCP SYN+ACK 报文进行响应,由于 B 处于暂时瘫痪 状态,无法向A发送TCP ACK报文进行响应。 (4) C伪装成B向A发送TCP ACK报文,该报文中带 有C所预测的A的序列号ISN+1。如果序列号预测准确, 则这个TCP连接便建立起来,转入数据传送阶段。 由于这个连接是 A与B之间的连接,A向B发送数据, 而不是向C,C仍然无法看到A发送给B的数据。
5
ቤተ መጻሕፍቲ ባይዱ 攻击者
攻击网络
攻击控制者
攻击控制者
……
攻击控制者
攻击代 理者
……
攻击代 理者
攻击代 理者
……
攻击代 理者
攻击代 理者
……
攻击代 理者
被攻击目标
图2.1 攻击网络组成
6
DDoS攻击首先利用 Internet 中的脆弱主机构建一个 分布式攻击系统,然后通过这个分布式攻击系统对目标 系统实施DoS攻击,其过程如下: 1. AK使用漏洞扫描工具和其它方法在 Internet 中寻 找和发现脆弱主机,并且要达到一定的数量级; 2. AK基于攻击策略为脆弱主机分配适当角色(AM或 AA),建立起分布攻击视图; 3. AK根据分布攻击视图对脆弱主机进行攻击,获得 对脆弱主机的控制权限(如Root权限),然后在脆弱主机 上安装AM或AA程序; 4. 在所有脆弱主机上安装了 AM或AA程序后, 便建 立起一个分布式DDoS攻击系统;
9
构成DDoS攻击的基础是 Internet上存在大量有安全漏 洞的计算机系统。因此,管理员应当加强网络管理: 1. 经常使用安全漏洞扫描工具来检查本网络中的主 机是否存在着安全漏洞,并采取相应的弥补措施,以避 免主机被攻击者所利用。 2. 在网络边界的接入点上设置防火墙,对网络流量 进行过滤,以阻止任何伪造IP地址的数据包进入网络, 从源头上阻止DDoS攻击或削弱其攻击力。 3. 使用入侵检测系统 (IDS) 来检测进入网络的可疑 流量 , 并及时发出报警信号,提醒管理员采取应对措施 ,如切断连接或反向跟踪等。通常, IDS应当包含当前 最新攻击模式的特征描述,并不断地更新安全策略或规 10 则。
3
DDoS 攻击将 DoS攻击技术向前发展了一步, DoS攻 击采用单点结构,攻击力有限,呈现“孤岛效应”; DDoS攻击则采用分布式结构,攻击力强大,形成“规 模效应”。两者相比,DDoS攻击对网络系统的威胁要 大得多。 DDoS 攻击是一种渗透 (Penetration) 式攻击 , 通过发 送海量数据包来验证一个网络系统所能处理的最大网络 流量。事实上,在网络容量测试中采用了相类似的网络 渗透方法,其目的是确定一个网络系统能够处理多大的 网络流量,以此决定是否需要增加网络带宽。但是,这 类商用软件工具的源代码是不公开的。
19
假设B是A所信任的主机,所谓信任是指在A的 /etc/hosts.equiv 和 $HOME/.rhosts 文件中注册有 B 的 IP地址。如果C企图攻击A,则必须知道A信任B。下面 是C采用IP欺骗手法攻击A的基本过程。 (1) 假设C已经知道了A信任B,首先设法使B的网络 功能暂时瘫痪,以免 B 干扰攻击。可以通过 TCP SYN flood攻击来达到这一目的,即通过TCP SYN flood攻击 使B的网络功能暂时瘫痪。 (2) C设法探测A的当前ISN, 可以采用连续向25端口 发送TCP SYN报文请求来实现。25端口是SMTP服务, 不提供任何安全检查机制。同时,还要计算 C 到 A 的 RTT(round trip time)平均值。
11
(3) 异常的数据包内容:在有些DDoS数据包中, 只包 含英文字符 , 没有空格、标点符号和控制字符。例如 , TFN2K包采用BASE64代码封装, 只包含BASE64字符,并
且TFN2K包中含有重复的“AAAA…”字符串,这些字符
串是用来填充缓存区中加密程序未被填满的部分。 (4) 异常的通信端口: DDoS攻击工具大都使用特定 的高端口号来发送数据。如果发现TCP或UDP通信的目 的端口号大于1024,则该通信是非常可疑的,因为任何
范技术。
2
二、分布式拒绝服务攻击
2000年2月,美国著名的网站Yahoo!、eBay、Buy、 CNN 和 ZDNet 等相继遭到网络黑客大规模的分布式拒 绝服务 (Distributed Denial of Service,DDoS)攻击,导 致这些网站系统瘫痪,服务中断。这一事件在美国乃至 全球都引起了强烈震动。 DDoS攻击采用了与DoS攻击相同的攻击手法,通过 产 生 大 量 虚 假 的 数 据 包 来 耗 尽 目 标 系 统 的 资 源 ,如 CPU 周期、内存和磁盘空间、通信带宽等,使系统无 法处理正常的服务,直到过载而崩溃。
18
在建立远程连接时 , 服务程序是根据 $HOME/.rhosts 以及 /etc/hosts.equiv 文件进行安全检查的,并且只根据 信源IP地址来确认用户的身份,以确定是否接受用户的 RPC请求。 由于 RPC 连接是基于特定端口的 TCP 连接,而建立 TCP连接需要经历“三次握手”过程。每次建立TCP连 接时, TCP 都要为该连接产生一个初始序列号 (ISN)。 为了防止因 TCP 报文的延迟和重传带来的不安全因素 , TCP协议采用适当的算法来产生初始序列号,而不能随 便选取,并且不同的TCP实现系统可能采用不同的生成 算法。如果掌握了TCP初始序列号的分配方法及其随时 间变化的规律,则很容易实施IP欺骗攻击。
在使用这些函数时,应当采取预防措施。并且在不同 的操作系统上,这些函数的实现可能会不同,在编程 之前, 必须认真地阅读程序设计语言有关的技术说明。
17
四、 IP欺骗攻击