計算機安全實用技術及研究(二)

本論文在其他論文欄目，由論文格式網整理,轉載請注明來源www.donglienglish.cn,更多論文,請點論文格式范文查看時，仍能為授權用戶提供有效服務的特性。可用性是網絡信息系統面向用戶的安全性能。網絡信息系統最基本的功能是向用戶提供服務，而用戶的需求是隨機的、多方面的、有時還有時間要求。可用性一般用系統正常使用時間和整個工作時間之比來度量。
可用性還應該滿足以下要求：身份識別與確認、訪問控制（對用戶的權限進行控制，只能訪問相應權限的資源，防止或限制經隱蔽通道的非法訪問。包括自主訪問控制和強制訪問控制）、業務流控制（利用均分負荷方法，防止業務流量過度集中而引起網絡阻塞）、路由選擇控制（選擇那些穩定可靠的子網，中繼線或鏈路等）、審計跟蹤（把網絡信息系統中發生的所有安全事件情況存儲在安全審計跟蹤之中，以便分析原因，分清責任，及時采取相應的措施。審計跟蹤的信息主要包括：事件類型、被管客體等級、事件時間、事件信息、事件回答以及事件統計等方面的信息。）
3、保密性
保密性是網絡信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性。即，防止信息泄漏給非授權個人或實體，信息只為授權用戶使用的特性。保密性是在可靠性和可用性基礎之上，保障網絡信息安全的重要手段。
常用的保密技術包括：防偵收（使對手偵收不到有用的信息）、防輻射（防止有用信息以各種途徑輻射出去）、信息加密（在密鑰的控制下，用加密算法對信息進行加密處理。即使對手得到了加密后的信息也會因為沒有密鑰而無法讀懂有效信息）、物理保密（利用各種物理方法，如限制、隔離、掩蔽、控制等措施，保護信息不被泄露）。
4、完整性
完整性是網絡信息未經授權不能進行改變的特性。即網絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成和正確存儲和傳輸。
完整性與保密性不同，保密性要求信息不被泄露給未授權的人，而完整性則要求信息不致受到各種原因的破壞。影響網絡信息完整性的主要因素有：設備故障、誤碼（傳輸、處理和存儲過程中產生的誤碼，定時的穩定度和精度降低造成的誤碼，各種干擾源造成的誤碼）、人為攻擊、計算機病毒等。
保障網絡信息完整性的主要方法有：
協議：通過各種安全協議可以有效地檢測出被復制的信息、被刪除的字段、失效的字段和被修改的字段；
糾錯編碼方法：由此完成檢錯和糾錯功能。最簡單和常用的糾錯編碼方法是奇偶校驗法；
密碼校驗和方法：它是抗撰改和傳輸失敗的重要手段；
數字簽名：保障信息的真實性；
公證：請求網絡管理或中介機構證明信息的真實性。
5、不可抵賴性
不可抵賴性也稱作不可否認性，在網絡信息系統的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經完成的操作和承諾。利用信息源證據可以防止發信方不真實地否認已發送信息，利用遞交接收證據可以防止收信方事后否認已經接收的信息。
6、可控性
可控性是對網絡信息的傳播及內容具有控制能力的特性。
概括地說，網絡信息安全與保密的核心是通過計算機、網絡、密碼技術和安全技術，保護在公用網絡信息系統中傳輸、交換和存儲的消息的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等。
1.3 網絡安全所面臨的威脅
說起網絡安全所面臨的威脅，幾乎所有人的第一反映就是黑客，其實，黑客固然是網絡安全所面臨的威脅中不可缺少的中堅力量，但是，網絡安全面臨的威脅卻遠遠不限于黑客，它來自很多方面，并且隨著時間的變化而變化。這些威脅可以宏觀地分為人為威脅和自然威脅。（哦，概念太大了？并且誰都知道自然威脅是不受關注的？恩，這個這個……）當然，我們重點討論的還是人為的威脅。人為的惡意攻擊是有目的破壞，可以分為主動攻擊和被動攻擊。主動攻擊是指以各種方式有選擇地破壞信息（如：修改、刪除、偽造、添加、重放、亂序、冒充、病毒等）。被動攻擊是指在不干擾網絡信息系統正常工作的情況下，進行偵收、截獲、竊取、破譯和業務流量分析及電磁泄露等。人為惡意攻擊具有以下特性：
智能性：從事惡意攻擊的人員大都具有相當高的專業技術和熟練的操作技能。他們的文化程度高，許多人都是具有一定社會地位的部門業務主管。他們在攻擊前都經過了周密的預謀和精心策劃。
嚴重性：涉及到金融資產的網絡信息系統惡意攻擊，往往會由于資金損失巨大，而使金融機構、企業蒙受重大損失，甚至破產。同時，也給社會穩定帶來震蕩。如美國資產融資公司計算機欺詐案，涉及金額20億美元之巨，犯罪影響震蕩全美。（典型事例就是N年前的一部美國大片《偷天陷阱》，如果是真的的話……不過做這么各小偷也夠難的），在我國也發生數起計算機盜竊案，金額在數萬到數百萬人民幣，給相關單位帶來了嚴重的損失。
隱蔽性：人為惡意攻擊的隱蔽性很強，不易引起懷疑，作案的技術難度大。一般情況下，其犯罪的證據，存在于軟件的數據和信息資料之中，若無專業知識很難獲取偵破證據。相反，犯罪行為人卻可以很容易地毀滅證據。計算機犯罪的現場也不象是傳統犯罪現場那樣明顯。
多樣性：隨著計算機互聯網的迅速發展，網絡信息系統中的惡意攻擊也隨之發展變化。出于經濟利益的巨大誘惑，近年來，各種惡意攻擊主要集中于電子商務和電子金融領域。攻擊手段日新月異，新的攻擊目標包括偷稅漏稅、利用自動結算系統洗錢以及在網絡上進行盈利性的商業間諜活動，等等。
第二章黑客技術分析
2.1 黑客技術概述
隨著互聯網的日益普及，現在連上網的計算機越來越多。網上的黑客站點也是呈幾何遞增，各種黑客軟件的出現讓一個只接觸互聯網很短時間的人很快就能成為一名傻瓜式的黑客。網絡的安全問題日益嚴重。你的計算機一旦接入Internet，就面臨著安全性威脅。而最常見的黑客攻擊方法有：
●拒絕服務攻擊（Denial of Service）包括分布式Ddos攻擊
●電子郵件攻擊
●緩沖區溢出*攻擊*
●網絡監聽攻擊技術
●IP欺騙攻擊
●掃描程序與口令攻擊
●計算機病毒
●Trojan Horse和PGP攻擊
2.1.1 拒絕服務攻擊（Denial of Service）
拒絕服務算是新興攻擊中最另人厭惡的攻擊方式之一。因為目前網絡中幾乎所有的機器都在使用著TCP/IP協議。這種攻擊主要是用來攻擊域名服務器、路由器以及其它網絡操作服務，攻擊之后造成被攻擊者無法正常運行和工作，嚴重的可以使網絡一度癱瘓。拒絕服務攻擊是指一個用戶占據了大量的共享資源，使系統沒剩余的資源給其它用戶再提供服務的一種攻擊方式。拒絕服務攻擊的結果可以降低系統資源的可用性，這些資源可以是CPU、CPU時間、磁盤空間、Mode、打印機、甚至是系統管理員的時間，往往是減少或者失去服務。拒絕服務攻擊是針對IP實現的核心進行的，它可以出現在任何一個平臺之上。在UNIX系統面臨的一些拒絕服務的攻擊方式，完全可能也可以用相同的方式出現在Windows NT和其它系統中，他們的攻擊方式和原理都大同小異。在大多版本的UNIX系統中一般會有管理員限制一個用戶可以打開的最大文件數或者可以使用的進程數，其它的一些版本的UNIX也允許針對單個帳戶設置可以使用的字盤存儲量。但跟其它平臺比較UNIX在防止拒絕服務攻擊面前還是相對老套的。拒絕服務攻擊的方式很多，有將連接局域網的電纜接地、向域名服務器發送大量垃圾請求數據包，使其無法完成來自其他主機的解析請求、制造大量的信息包，占據網絡的帶寬，減慢網絡的傳輸速率，從而造成不能正常服務等，下面題解的是拒絕服務的詳細內容。
拒絕服務的類型
一般的拒絕服務類型大多有兩種，第一種就是試圖破壞資源，使目標無人可以使用這個資源。第二就是過載一些系統服務或者消耗一些資源，但這個有時候是攻擊者攻擊所造成的，也有時候是因為系統錯誤造成的。但是通過這樣的方式可以造成其它用戶不能使用這個服務（你可以填滿一個磁盤的分區，讓用戶和系統程序無法識別和再生成新的文件來實現。）這兩種情況大半是因用戶錯誤或程序錯誤造成的，并非針對性的攻擊。（例如：一個經典的情況是程序出錯，在遞歸條件中本來是用x！=0，結果寫錯了成x= =0。）
針對網絡中的幾種方式的拒絕服務攻擊：
信息數據包流量式：此類方式經常發生在Internet中某一臺主機向另一臺機器發送大量的大尺寸的數據包，用來減慢這臺機器處理數據的速度，從而破壞其正常處理服務的請求情況。這樣的數據包往往可能是要求登陸、文件服務或者是簡單的PWG。不管是什么樣子，這樣大量的數據包就會加重影響目標機器CPU的負載能力，使其消耗大量的資源來響應這些垃圾請求。嚴重之下可以造成機器沒有內存來做任何緩沖存放其它的新的請求，結果就可能會因錯誤而死機，很多服務器被如此攻擊的事實屢見不鮮。在98年，美國人Victory針對加拿大的一臺服務器做出了一次這樣的攻擊，他先寫了個程序，這個程序每秒可以發送近千個echo請求到加的服務器請求echo服務，來炸這個NIS服務器，結果使加的這個服務器在一段時間內根本無法再響應網絡中的任何請求，同時Victory登陸到一臺跳板的特權用戶，這個跳板向加的NIS服務器詢問NIS口令，但是因加的NIS服務器遇到了echo數據包的襲擊根本不能做出這個響應，這個時候Victory所用的主機便可以偽裝成為一個服務器用來響應跳板的請求，向跳板發出一個用戶口令錯誤的信息，然后Victory再利用這個時間編寫了一個程序，專門用來回答那些本來應由加的NIS服務器回答的請求，這樣以來，Victory輕而易舉的拿到了這個主機的用戶口令和權限。對于此類攻擊的一般防御是通過一個監視程序，將網絡分割成若干小的子網，可以有效的防止，但完全防止是不可能的。
SYN-Flooding攻擊：其實這樣的攻擊也就是所謂的IP欺騙。就是用一個偽裝的地址向目標機器發送一個SYN的請求，多發便可占用目標機器足夠的資源，從而造成服務拒絕。它的原理就是向目標機器發出這樣的請求之后，就會使用一些資源來為新的連接提供服務，接著回復請求一個SYN-ACK的答復。由于這個回復是返回到一個偽裝的地址上了，所以它沒有任何響應，目標機器便會無休止的繼續發送這個回復直到“對方”反應為止，但事實上“對方”根本上不會做出任何反應的。在一些系統中都有缺省的回復次數和超時時間，只有回復一定的次數或者超時的時候占用資源才會釋放。NT3.5x和4.0中缺省設置為可重復發送SYN-ACK答復5次，每次重發后等待時間翻一翻，第一次等待時間為3秒鐘，到5次重發之時機器將等待48秒才能得到響應，如果仍是無法收到響應的時候系統將仍要等待96秒才取消分配給連接的資源，在這些資源得到釋放之前已經是189秒之后了。其實這樣的攻擊不會得到任何系統的訪問權限的，但對于大多數的TCP/IP協議棧，處于SYN-RECEIVED狀態的連接數量非常有限，當達到端口極限的時候目標機器通常作出個響應，重新設置所有的額外連接請求，直到分配的資源釋放出來為止。一般情況下你可以使用網絡netstat命令來查看自己的連接情況來確認是否正處于或者受到SYN-Flood攻擊。你可用netstat –n –a tcp命令就可。如果大量的連接線路處于SYN-RECEIVED狀態，那么你正在遭受著攻擊。。。。。。其實這樣的感覺你可以在oicq中發送一個因網絡不通的信息就可以體會得到的。
“Paste”式攻擊：在很多UNIX系統的TCP/IP協議實現程序中，往往存在著被濫用的可能性，那么這樣就會被別人利用從而使用TCP的半連接來消耗系統資源造成服務拒絕。TCP連接是通過三次握手來建立一個連接和設置參數的，我想這個對你來說不會陌生的，因為這屬于上網的常識性問題。如果向一個目標機器發出很多個連接的請求，這樣就可以建立初步的連接，但并非是個完全的連接，因為它沒有完成所有的連接步驟，這就是所謂的半連接，當目標機器收到這樣的半連接之后便會將其保留，并占有限的資源。但大多時候這樣的連接所使用的是偽造的源地址，表明了連接來自一臺不存在的機器或者一臺根本無法訪問的機器，這樣就不可能去跟蹤這個連接，唯一能做的只能是等待這個連接因為超時而釋放。
服務過載式：當大量的服務請求發送到一臺目標機器中的守護進程，這樣就使目標機器忙于處理這樣的請求，造成無法處理其它的常規任務，同時一些其它的連接也將被丟棄，因為已經沒有余力和空間來存放這些請求，這時候就會發生服務過載。如果攻擊所針對的是TCP協議的服務，那么這些請求還將會被重發，結果更加會造成網絡的負擔。類似如此的攻擊多半是源于想隱藏自己，防止所被攻擊的機器將自己記錄，這樣的攻擊還可以阻止系統提供的其它一些特定的服務。此外當被攻擊的服務有inetd進程的話，使用nowait選項啟動時，缺省的inetd有個“strangle”的功能在里面。在很短時間內，針對它所監視的那些服務帶來了過多的請求時它將開始拒絕那些請求了，并且用Syslog記錄下那些錯誤的服務請求。在這樣的情況之下服務進程本身不會運行失敗的，同時也留下了記錄，可以追蹤到問題的根本所在。。。
過載攻擊：
過載攻擊可有進程過載攻擊、系統過載攻擊、磁盤過載攻擊等。
進程過載攻擊是最簡單的拒絕服務攻擊。它攻擊的效果就是拒絕與你同時間內連接目標機器的其它用戶，這樣往往表現在發生共享的機器上，如果沒人跟你爭那么這樣將毫無必要。這樣的攻擊對于現在的UNIX系統不會有太大的效果的，現在的Unix限制任何UID（除了0）使用的進程數目。這個限制叫做“MAXUPROC”，當系統構筑時，在內核進行設置，一些系統允許在啟動的時候設置這個值。比如Solaris允許在/etc/system文件中設置這個值。Set MAXUPROC=100
在Unix系統中，可以通過發送sigterm信號來消除一些垃圾進程。命令如：
#kill-TERM-1
#
或者是（如果你當前的Unix沒有上述的話）
#kill-TERM1
#
（當然了，你必須有root的權限）Unix會自動kill掉一些的垃圾進程，然后進入單機模式，再者可以執行sync重新啟動系統即可。但如果沒有root權限在手的話，你可以使用exec來運行su，因為這個不需要生成新的進程，
% exec/bin/su
password:
#
系統過載攻擊：流行的一種基于進程的攻擊，原因是一個用戶產生了許多進程，消耗了大量的CPU的時間，這樣就減少了其它用戶可用的CPU處理時間。比如說當你使用了近十多個find命令，并使用了gerp在一些目錄里查找文件，這些都可以使系統變的很慢。建議多用戶使用nice從而降低后臺運行進程的優先級，或使用at和batch命令將一些長的任務安排在系統較清閑的時候使用。不過如果是有意式攻擊的話沒人理會這個的哦。你還得通過root登陸，再將自己的優先級設置高點，通過ps查看然后針對垃圾進程kill掉就可以了。
其實在網絡中，系統對拒絕服務攻擊的抵抗能力很差的，今年的雅虎、亞馬遜、CNN、ebay等國際著名站點都是被拒絕服務攻擊所癱瘓。而在這些攻擊中所用的工具從去年就開始流行于網絡中了，這就是udpflood。
兩種破壞性的拒絕服務的攻擊以及措施
1.重新格式化磁盤分區或運行newfs/mkfs命令
2.刪除關鍵文件，比如像/dev/下的文件或者是ect/passwd文件
防備：防止任何用戶在單用戶狀態下訪問機器，保護系統管理員的帳號，對那些只讀的磁盤進行保護。使用正確的模式字（像755或711）保護系統文件，保護好root權限，將NFS的文件設置為root所有，并且以只讀的方式調出。
2.1.2 分布式拒絕服務（DDos）攻擊
1999年7月份左右，微軟公司的視窗操作系統的一個bug被人發現和利用，并且進行了多次攻擊，這種新的攻擊方式被稱為“分布式拒絕服務攻擊”即“DDos（Distributed Denial Of Service Attacks）攻擊”。這也是一種特殊形式的拒絕服務攻擊。它是利用多臺已經被攻擊者所控制的機器對某一臺單機發起攻擊，在這樣的帶寬相比之下被攻擊的主機很容易失去反應能力的。現在這種方式被認為是最有效的攻擊形式，并且很難于防備。但是利用DDos攻擊是用一定難度的，沒有高超的技術是很難實現的，因為不但要求攻擊者熟悉入侵的技術而且還要有足夠的時間和腦袋。而現在卻因有黑客編寫出了傻瓜式的工具來幫助所以也就使DDos攻擊相對變的簡單了。比較杰出的此類工具目前網上可找到的有Trin00、TFN等。這些源代碼包的安裝使用過程比較復雜，因為你首先得找到目標機器的漏洞，然后通過一些的遠程溢出漏洞攻擊程序，獲取系統的控制權，再在這些機器上安裝并運行的DDos分布端的攻擊守護進程。
其實Trin00有點像木馬程序，它由三部分構成，三部分分別是客戶端、主控端（master）、Broadcast（即分布端攻擊守護進程）。客戶端是telnet的程序，作用是向目標主制端（master）攻擊發送命令。主控端（master）主要是監聽兩個連接的端口27655和31355。其中27655就是用來接收由客戶端發來的命令，這個執行要求密碼，如果缺省密碼可能是“betaalmostdone”，主控端（master）啟動的時候會顯示一個提示符號“？”，等待密碼輸入之后（密碼為g0rave）31355這個端口便開始等候分布端的UDP報文。至于Broadcast（即分布端攻擊守護進程），在這個時候當然毫無疑問的就是執行攻擊的了。這個端是安裝在一臺已經被你所控制的機器上的，編譯分布端之前首先得先植入主控端（master）的真實有效的IP地址，它跟主控端（master）是利用UDP報文通信的，發送至主控端（master）的31355端口，其中包含“*HELLO*”的字節數據，主控端把目標機器的信息通過UDP27444端口發送給Broadcast（即分布端攻擊守護進程），這個時候Broadcast（即分布端攻擊守護進程）便回開始發起攻擊了。這次攻擊的流向顯而易見為：
發起攻擊的機器-à主控端（master）-à Broadcast—>目標機器
從Broadcast（即分布端攻擊守護進程）向目標機器發出的都是UDP報文，每個包含4個空字節，這些報文都是從一個端口發出的，但是針對的目標機器的端口則是不同的。目標機器對每個報文都要回復一個ICMP Port Unreachable的信息，大量不同主機發來的這些UDP報文會把目標機器變的慢慢的速度減低。一直到帶寬成為0。
關于這個Trin00工具你可以從http://semxa.kstar.com/hacking/Trin00.exe獲得。但是需要你再進行編譯和移植哦，否則將不可使用。
DDos攻擊的主要效果是消耗目標機器的帶寬，所以很難防御的。但有很多方法可以檢測的到這種攻擊。可以通過IDS來防御和檢測，分析得到的UDP報文，尋找那些針對本地不同端口的報文而又是從一個源地址的同一個端口發來的UDP報文。或者可以拿出十個以上的UDP報文，分析是否來自同一個地址，相同的地址，相同的端口，不同的只是端口報文，那么這個就必須得注意了。還有一種就是尋找那些相同的源地址和相同的目標地址的ICMP Port Unreachable的信息。這些方法都可以使管理員識別到攻擊來自何方。
2.1.3 緩沖區溢出攻擊

首頁上一頁 1 2 3 4 5 6 下一頁尾頁 2/6/6

相關論文


上一篇：LED數碼管顯示技術	下一篇：防御網站被攻擊對策探討

Tags：計算機安全實用技術研究

【收藏】【返回頂部】