网络环境下对主机的入侵和其防御的研究.pdfVIP

网络环境下对主机的入侵及其防御的研究 王玲李俊 中国科学院计算机网络信息中心100080 摘要本文针对网络入侵愈演愈烈的现状，分析了网络入侵者攻击UNIX主机惯用的方法，入 侵步骤以及所利用的系统弱点，并在此基础上提出了针对不同的入侵手段进行防御的一系列的 方法：包括使用防火墙、正确配置系统、对常见的系统弱点进行扫描、入侵检测、设置陷阱等。 本文详细分析了每一种防御方法所针对的入侵的手法和入侵阶段、防御的原理，并给出了防御 效果的评价。在文章的最后．作者强调了管理的重要性。 关键字计算机安全入侵防火墙弱点扫描入侵检测主动防御 网络对经济和社会的发展，起到了无与伦比的革命性作用。然而，针对网络的各种违法犯 罪，也随之滋生。2000年2月7日至9日一连三天，美国爆发了一场规模空前的网络攻击战， 是互联网时代缔造的财富神话、商业奇迹，一边却是黑客们如入无人之境的猖狂。我们不得不 重新审视这令我们有些目眩的互联网络：改变了人类生活的网络，难道就这样不堪一击?面对 黑客们的肆意进攻，难道我们就束手无策了吗? 我们应如何来防御入侵。保护主机的安全? 一、入侵者的入侵方式、步骤和网络安全的弱点 有口令猜测、地址欺骗、连接盗用、业务否定、对域名系统和基础设施破坏、邮件炸弹，病毒 携带等等。 一般来说。入侵者对一个主机的攻击可以分为五个阶段： 第一个阶段：观察和信息收集，探测可用于进入系统的服务或访问方法； 第二个阶段：利用已知的缺陷或坏口令获得访问权； 第三个阶段：夺取主机的最高权力——根访问权．此时，入侵者主要是利用特定的Unix系 统的漏洞和网络问题： 第四个阶段：清除入侵痕迹，修改实用工具以便再次访问； 第五个阶段：以被攻陷的主机为新的基地开始下一轮入侵． 入侵的泛滥从侧面反映了网络安全的危机．。木桶”理论应用在网络安全领域就是：网络 安全系统的强度取决于网络中最为薄弱的一环。攻击者也正是通过这些薄弱的环节达到入侵的 目的．这些薄弱环节主要在于以下方面： ．21． l、 协议设计的缺陷 协议的三次握手和状态转换．攻击者可以通过发送大量使用虚假源地址的SYN包，使受害主 机向本来就不存在的口地址回应ACK／SYN，并且无望地等待从此地址收到AcK——以完成 握手协议。这就是一次拒绝服务攻击。 2、 ofDeath的攻击方式，仅仅通过向一个目标主机发送 程序实现上的不足：例如Ping 一个比65536字节还长的Ping数据包。使接收程序由于不知道如何进行处理而崩溃． 3、 拙劣的配置：咀受害主机的地址为源地址，向一个允许广播的路由器发送广播Ping 包．所返回的报文就足以把受害主机淹没． 4、 管理和培训的不足：使用容易被猜测到的密码的账号，往往是入侵的突破口． 队上弱点，有些是可以通过制度和措施来补救的：比如对于错误配置的改正．不幸的是， 务”攻击是无能为力的。我们所能做的补救方法只是使用防火墙，以限制系统对随机Interact攻 击的暴露。 二、网络主机入侵防御的方法 通过以上的分析，我们知道入侵是针对网络的各个层次，各个方面，所以防御入侵，保护 主机的安全是一个立体的工程，需要使用不同方法，针对入侵的不同阶段和入侵者所使用的不 同手法，对可能存在的弱点，采取必要的安全措施． 首先，防火墙是必不可少的。一个优秀的防火墙可以屏蔽掉大部分来自外部的恶意连接： 其次．对于网络中，尤其是同一网段内部的窥探和欺骗，我们可采取加密和认证的方法．以上 手段主要是针对入侵的头两个阶段，即收集信息和试图获得访问权的阶段．对于已经获得了访 问权的入侵者，它在夺取root权限时一般是利用系统设置的疏忽和系统漏洞，对此，管理员 要保证系统的正确设置并且尽可能地减少漏洞：同时，管理员应检测入侵的发生以便及时给予 制止，并且尽可能找到入侵者。这是最后的防线，若等到入侵者获得了根权限，我们就几乎是 无能为力了．以下是对这些手段的详细论述： ’ (一)、架设防火墙 防火墙一般被用作保护内部网络的第一道防线。使用防火墙的目的是隐蔽网络内部的主机． 以避免来自外部网络的扫描和恶意连接。并且可以防止内部的机密信息