Download
1 / 97
970 likes | 1.16k Views
第 3 章 网络入侵初步分析. 第 3 章 网络入侵初步分析. 项目一 网络入侵. 项目二 基本入侵操作. 一、 网络入侵者 二、 网络入侵的基本原理 三、网络入侵的基本防范. 四、 net 命令应用 五、 at命令应用 六 、 psexec 命令应用. 一、 网络入侵者. ㈠网络入侵者 ( 黑客 ) 的范围. 《Maxi-mum Security》 一书中对黑客定义如下:.
E N D
第3章 网络入侵初步分析 项目一 网络入侵 项目二 基本入侵操作 一、网络入侵者 二、网络入侵的基本原理 三、网络入侵的基本防范 四、net命令应用 五、at命令应用 六、psexec命令应用
一、 网络入侵者 ㈠网络入侵者(黑客)的范围 《Maxi-mum Security》一书中对黑客定义如下: 黑客指对于任何计算机操作系统的奥秘都有强烈兴趣的人。黑客大都是程序员,他们具有操作系统和编程语言方面的高级知识,知道系统中的漏洞及其原因所在;他们不断追求更深的知识,并公开他们的发现,与其他人分享;并且从来没有破坏数据的企图。入侵者是指怀着不良的企图,闯入甚至破坏远程机器系统完整性的人。
一、 网络入侵者 ㈡黑客简史 ⑴早期的计算机窃贼与病毒 ①20世纪六七十年代的电话窃用 目前非法侵袭网络的现象可追溯到20世纪六七十年代的电话窃用,当时美国电话公司(AT&T)和电话窃用者之间存在很大的矛盾:窃用者异想天开地利用AT&T电话系统上的薄弱点,无限制地打免费长途电话。
一、 网络入侵者 ㈡黑客简史 ⑴早期的计算机窃贼与病毒 ②地下邮箱(BBS) 20世纪70年代后期,侵袭者组织的许多通信都从硬拷贝转向了公告牌系统(BBS)。
一、 网络入侵者 ㈡黑客简史 ⑵20世纪90年代职业计算机窃贼 从20世纪90年代初以来,越来越多的职业窃贼参与到非法的计算机地下组织中:大多数电话公司都曾遭受其害。现在,银行和商业部门正受到职业窃贼的袭击。
二、网络入侵的基本原理 网络入侵的目的有: 获取文件和传 输中的数据 获得超级用户的权限 对系统的 非法访问 执行程序 进行不许可 的操作 拒绝服务 涂改信息 暴露信息
二、网络入侵的基本原理 网络攻击可分为3个阶段: 获得初始的访问权和特权 找目标,收集信息 攻击其他系统
二、网络入侵的基本原理 ㈠网络入侵的典型特征 客观原因 ⑴攻击时间 大部分的攻击(或至少是商业攻击时间)一般是服务器所在地的深夜。 在白天,大多数入侵者要工作、上学或在其他环境中花费时间,以至没空进行攻击,换句话就是这些人不能整天坐在计算机前面。
二、网络入侵的基本原理 ㈠网络入侵的典型特征 保密原因 速度原因 ⑴攻击时间 网络正变得越来越拥挤,因此最佳的工作时间是在网络能提供高传输速度的时间,最佳的时间段会根据目标机所在地的不同而不同。 入侵者总是喜欢攻击那些没有使用的机器。
二、网络入侵的基本原理 ㈠网络入侵的典型特征 ⑵入侵者使用何种操作系统 入侵者使用的操作系统各不相同:UNIX是使用最多的平台,其中包括FreeB SD和Linux。 入侵者将SolarisX86或SCO作为使用平台的现象相当常见。 Sun UNIX平台受欢 迎的原因之一 是它只耗费系 统小部分资源。 Microsoft平台支持许多合法的安全工具,而这些工具可被用于攻击远程主机。 UNIX Microsoft
二、网络入侵的基本原理 ㈠网络入侵的典型特征 ⑶攻击的源头 数年前,许多攻击来源于大学,因为从那里能对Internet进行访问。 如今形势发生了巨大的变化,入侵者可在他们的家里、办公室或车中入侵网络。然而,这里也有一些规律。
二、网络入侵的基本原理 ㈠网络入侵的典型特征 ⑷典型入侵者的特点 能用C、C++或Perl进行编码 1 2 2 对TCP/IP有透彻的了解 每月至少花50小时上Internet 3 有一份和计算机相关的工作 4 收集老的、过时但经典的计算机硬件或软件 5
二、网络入侵的基本原理 ㈠网络入侵的典型特征 ⑸典型目标的特征 很难说什么才是典型目标,因为不同入侵者会因不同的原因而攻击不同类型的网络。然而一种常见的攻击是小型的私有网。因为: 网络的拥有者们对Internet的使用还处于入门阶段 1 2 其系统管理员更熟悉局域网,而不是TCP/IP 其设备和软件都很陈旧(可能是过时的) 3
二、网络入侵的基本原理 ㈠网络入侵的典型特征 ⑹入侵者入侵的原因 • 怨恨 4.好奇 2.挑战 5.政治目的 3. 愚蠢
二、网络入侵的基本原理 ㈠网络入侵的典型特征 ⑺攻击 攻击的法律定义是指:攻击仅仅发生在入侵行为完全完成且入侵者已在目标网络内。即从一个入侵者开始在目标机上工作的那个时间起,攻击就开始。可通过下面的文章了解入侵的事例。 http://ww.takedown.com/evidence/anklebiters/mlf/index.html http://www.alw.nih.gov/security/first/papers/general/holland.ps http://www.alw.nih.gov/security/first/papers/general/fual.ps http://www.alw.nih.gov/security/first/papers/general/hacker.txt
二、网络入侵的基本原理 ㈠网络入侵的典型特征 ⑻入侵层次索引 (1)邮件炸弹攻击 (2)简单拒绝服务 (3)本地用户获得非授权读访问 (4)本地用户获得他们本不应拥有的文件的写权限
二、网络入侵的基本原理 ㈠网络入侵的典型特征 ⑻入侵层次索引 (5)远程用户获得了非授权的账号 (6)远程用户获得了特权文件的读权限 (7)远程用户获得了特权文件的写权限 (8)远程用户拥有了根权限(他们已经攻克了你的系统)
㈡桌面操作系统平台入侵 恶意程序的威胁。包括病毒、逻辑炸弹、后门、特洛伊木马等等。 不合法使用。包括合法用户在未授权使用某些数据、资源或程序的情况下越过系统的安全检查而越权访问;或者虽然属合法授权,但有意或无意地错误使用某些功能而导致重要信息失密。 恶意入侵者。他们的主要目的是窃取数据和非法修改系统。其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;其手段之二便是利用操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令。 应用程序的安全性。系统应监督应用程序使用数据或资源权限的合法性。程序的执行还应该采用“最小特权”原则,即程序应按照它能做事的最小权限运行,否则就有可能被人利用。 数据的安全性。机密数据如果没有保存在安全的空间内,或者数据的加密处理不够规范和健壮,也可能带来安全问题。 二、网络入侵的基本原理
二、网络入侵的基本原理 ㈢口令认证入侵 ⑴口令攻击 安全的口令有以下特点: 位数大于6位。 1 大小写字母混合,如果用一个大写字母,既不要放在开头,也不要放在结尾。 2 如果记得住的话,可以把数字无序的加在字母中。 3 系统用户一定用8位口令,而且有!@#%^&*()<>?’:”{}等符号。 4
二、网络入侵的基本原理 ㈢口令认证入侵 ⑴口令攻击 不安全的口令则有如下几种情况: 1 使用用户名(账号)作为口令。 2 使用用户名(账号)的变换形式作为口令。 3 使用自己或者亲友的生日作为口令。 4 使用常用的英义单词作为口令。 使用5位或5位以下的字符作为口令。 5
二、网络入侵的基本原理 ㈢口令认证入侵 ⑵获得主机口令的方法 • 如缓冲区溢出、Sendmail漏洞、Sun的ftpd漏洞、Ultrix的fingerd及AIX的rlogin等。 利用技术漏洞 • 如root身份运行httpd、建立shadow的备份但是忘记更改其属性及用户邮件寄送密码等。 利用管理漏洞
㈠桌面操作系统平台的安全性 (1)安全性设计的原则: 系统设计必须公开。认为入侵者由于不知道系统的工作原理而会减少入侵可能性的想法是错误的,这样只能迷惑管理者。 默认情况应是拒绝访问。合法访问被拒绝的情况比未授权访问被允许的情况更容易获知。 检查操作的当前授权信息。系统不应只检查访问是否允许,然后只根据第一次的检查结果而不理会后续的操作。 为每个进程赋予可能的最小权限。每个进程只应当具备完成其特定功能的最小权限。 保护机制必须简单、一致并建立到系统底层。系统的安全性和系统的正确性一样,不应当是一种附加特性,而必须建立到系统底层而成为系统固有的特性。 方案必须是心理上可接收的。如果用户感觉到为保护自己的文件而必须做这做那的话,用户就会有厌烦心理,并且可能因侥幸心理而不会利用所提供的方案保护数据。 三、网络入侵的基本防范
首先,是用户帐号的管理。通常对用户帐号进行分组管理,并且这种分组管理应该是针对安全性问题而考虑的分组。也就是说,应该根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据,执行指定范围的程序。首先,是用户帐号的管理。通常对用户帐号进行分组管理,并且这种分组管理应该是针对安全性问题而考虑的分组。也就是说,应该根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据,执行指定范围的程序。 其次,是用户口令的加密机制。用户口令的加密算法必须有足够的安全强度,用户的口令存放必须安全,不能被轻易窃取。 最后,是认证机制。身份认证必须强有力,在用户登录时,与系统的交互过程必须有安全保护,不会被第三方干扰或截取。认证机制是用户安全管理的重点。 三、网络入侵的基本防范 ㈠桌面操作系统平台的安全性 ⑵桌面操作系统的安全服务 ①用户管理的安全性
三、网络入侵的基本防范 ㈠桌面操作系统平台的安全性 ⑵桌面操作系统的安全服务 ②访问控制 访问控制实质上是对资源使用的限制,它决定主体是否被授权对客体执行某种操作。它依赖于鉴别使主体合法化,并将组成成员关系和特权与主体联系起来。只有经授权的用户,才允许访问特定的网络资源。 用户访问系统资源或执行程序时,系统应该先进行进行合法性检查,没有得到授权的用户的访问或执行请求将被拒绝。系统还要对访问或执行的过程进行监控,防止用户越权。 程序的执行也应该受到监控。程序执行应遵循“最小”特权原则,程序不能越权调用执行另外一些与本程序执行无关的程序,特别是某些重要的系统调用;也不能越权访问无关的重要资源。
三、网络入侵的基本防范 ㈠桌面操作系统平台的安全性 ⑶用户身份认证 用户身份认证通常采用账号/密码的方案。用户提供正确的账号和密码后,系统才能确认他的合法身份。不同的系统内部采用的认证机制和过程一般是不同的。
三、网络入侵的基本防范 ㈠桌面操作系统平台的安全性 ⑶用户身份认证 账号/密码的认证方案普遍存在着安全的隐患和不足之处: (1)认证过程的安全保护不够健壮,登录的步骤没有做集成和封装,暴露在外,容易受到恶意入侵者或系统内特洛伊木马的干扰或者截取。 (2) 密码的存放与访问没有严格的安全保护。 (3)认证机制与访问控制机制不能很好地相互配合和衔接,使得通过认证的合法用户进行有意或无意的非法操作的机会大大增加。
三、网络入侵的基本防范 ㈠桌面操作系统平台的安全性 ⑷访问控制 系统中的访间控制通常通过定义对象保护域(对象、权限)来实现。访问令牌有下述两个目的。 (1) 访问令牌保存有全部的安全性信息(SID),该标识符可在系统中唯一标识一个用户。可加速访问验证过程。 (2) 因为每个进程均有一个与之相关联的访问令牌。因此,每个进程也可以在不影响其他代表该用户运行的进程的情况下,在某种可允许的范围内修改进程的安全性特征。
三、网络入侵的基本防范 ㈠桌面操作系统平台的安全性 ⑷访问控制 图3-1 安全性描述与各部分关系框图
访问控制是指通过某种途径显式地准许或限制用户对资源的访问权限及范围的一种方式,它主要是限制对关键资源的访问,是针对越权使用资源的防御措施。访问控制是指通过某种途径显式地准许或限制用户对资源的访问权限及范围的一种方式,它主要是限制对关键资源的访问,是针对越权使用资源的防御措施。 访问控制的定义 :访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。 访问控制技术
客体(Object):可供访问的各种软硬件资源。 主体(Subject):是一个主动的实体,规定可以访问该资源的实体,通常指用户或代表用户执行的程序。 授权:资源所有者对他人使用资源的许可,规定可对该资源执行的动作,如读、写、执行或拒绝访问。 访问控制包括三个要素
防止任何对资源(如计算机、通信、信息资源)进行未授权的访问,从而使计算机系统在合法范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。防止任何对资源(如计算机、通信、信息资源)进行未授权的访问,从而使计算机系统在合法范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。 访问控制和身份认证的关系:身份认证是访问控制的前提和基础。身份认证解决的是“你是谁”的问题,访问控制解决的是“你能做什么”的问题。 访问控制的基本目标
认证:包括主体对客体的识别认证和客体对主体检验认证。认证:包括主体对客体的识别认证和客体对主体检验认证。 控制策略:设定规则集合从而确保正常用户对信息资源的合法使用,既要防止非法用户,也要考虑敏感资源的泄漏,对于合法用户而言,更不能越权行使控制策略所赋予其权利以外的功能。 安全审计:使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。 访问控制的内容
访问控制对机密性、完整性起直接的作用。 对于可用性,访问控制通过对以下信息的有效控制来实现。 (1)谁可以颁发影响网络可用性的网络管理指令; (2)谁能够滥用资源以达到占用资源的目的; (3)谁能够获得可以用于拒绝服务攻击的信息。 访问控制的作用
访问控制可以由访问控制矩阵、访问能力表、访问控制表和授权关系表等几种方式实现,其中访问控制表是目前操作系统中常用的方式。在访问控制中有3种策略,自主访问控制(DAC,Discretionary Access Control)策略、强制访问控制(MAC, Mandatory Access Control)策略和基于角色访问控制(RBAC,Role-Based Access Control)策略。前2种属于传统的访问控制策略,RBAC是新的访问控制策略,它是访问控制的发展趋势。 访问控制策略
访问控制矩阵以行表示各种资源,以列表示网络用户,行和列的交叉点表示某个用户对某种资源的访问权限,如表3.1所示。访问控制矩阵以行表示各种资源,以列表示网络用户,行和列的交叉点表示某个用户对某种资源的访问权限,如表3.1所示。 访问控制矩阵
注:Own表所有权,R表可读,W表可写,query表可查询,admin表超级用户,use表可使用。注:Own表所有权,R表可读,W表可写,query表可查询,admin表超级用户,use表可使用。 表3.1 一个访问控制矩阵的例子
可以从用户出发,表达矩阵某一行的信息,这就是访问能力表,如下图所示。可以从用户出发,表达矩阵某一行的信息,这就是访问能力表,如下图所示。 访问能力表(从用户出发) 访问能力表和访问控制表
也可以从资源出发,表达矩阵某一列的信息,这便成了访问控制表,如下图所示。也可以从资源出发,表达矩阵某一列的信息,这便成了访问控制表,如下图所示。 访问控制表(从资源出发)
授权关系表融合了访问控制表和访问能力表,特别适合关系数据库,它的表结构如下表所示。授权关系表融合了访问控制表和访问能力表,特别适合关系数据库,它的表结构如下表所示。 表授权关系表例子 授权关系表
这张表如果按照用户进行排序,就得到了一张访问能力表,如果按照资源进行排序,就是一张访问控制表。这张表如果按照用户进行排序,就得到了一张访问能力表,如果按照资源进行排序,就是一张访问控制表。
自主访问控制是目前计算机系统中使用最多的访问控制机制,它是在确认用户(主体)身份以及用户(主体)所属组身份的基础上对客体访问进行限定的一种方法。在DAC系统中,一个拥有一定访问权限的用户可以直接或间接地将权限传给其他用户。自主访问控制是目前计算机系统中使用最多的访问控制机制,它是在确认用户(主体)身份以及用户(主体)所属组身份的基础上对客体访问进行限定的一种方法。在DAC系统中,一个拥有一定访问权限的用户可以直接或间接地将权限传给其他用户。 自主访问控制的优点:灵活性高。 缺点:安全性低。 自主访问控制(DAC)
对于客体0j,主体s0只有读(r)的权限;主体s1只有写(w)的权限;主体s2只有执行(e)的权限;主体sx具有读(r)、写(w)和执行(e)的权限。对于客体0j,主体s0只有读(r)的权限;主体s1只有写(w)的权限;主体s2只有执行(e)的权限;主体sx具有读(r)、写(w)和执行(e)的权限。
属于TEACH组的所有主体都对客体oj具有读和写的权限;但是只有TEACH组中的主体Cai才额外具有执行的权限(第一列);无论是哪一组中的Li都可以读客体oj(第三列);最后一个表项(第四列)说明所有其他的主体,无论属于哪个组,都不具备对oj有任何访问权限。属于TEACH组的所有主体都对客体oj具有读和写的权限;但是只有TEACH组中的主体Cai才额外具有执行的权限(第一列);无论是哪一组中的Li都可以读客体oj(第三列);最后一个表项(第四列)说明所有其他的主体,无论属于哪个组,都不具备对oj有任何访问权限。
强制访问控制是系统强制主体和客体服从访问控制政策。系统事先给所有的主体和客体指定不同的安全级别,比如绝密级、机密级、秘密级和无密级。在实施访问控制时,系统先对主体和客体的安全级别进行比较,再决定访问主体能否访问该客体。所以,不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。(多用于机密、军事部门)如下图:强制访问控制是系统强制主体和客体服从访问控制政策。系统事先给所有的主体和客体指定不同的安全级别,比如绝密级、机密级、秘密级和无密级。在实施访问控制时,系统先对主体和客体的安全级别进行比较,再决定访问主体能否访问该客体。所以,不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。(多用于机密、军事部门)如下图: 强制访问控制(MAC)
保障信息完整性策略:为了保障信息的完整性,低级别的主体可以读高级别客体的信息(不保密),但低级别的主体不能写高级别的客体(保障信息完整),因此采用的是上读/下写策略。保障信息完整性策略:为了保障信息的完整性,低级别的主体可以读高级别客体的信息(不保密),但低级别的主体不能写高级别的客体(保障信息完整),因此采用的是上读/下写策略。 保障信息保密性策略:与保障完整性策略相反,为了保障信息的保密性,低级别的主体不可以读高级别的信息(保密),因此采用的是下读/上写策略。上写指的是不允许高敏感度的信息写入低级别低敏感度区域,但低级别的主体可以写高级别的客体(完整性可能破坏)。
强制访问控制的优点:能阻止特洛伊木马。 缺点:实现工作量太大,由于过分偏重安全保密,对其他方面如方便授权、可管理性、灵活性等考虑不足。
