网络攻击防范模型讲义.ppt

第一篇 网络攻击与防范概论 第3章网络攻击与防范模型 第一篇 网络攻击与防范概论 对正常的网络行为建立模型，把所有通过安全设备的网络数据拿来和保存在模型内的正常模式相匹配，如果不是这个正常范围以内，那么就认为是攻击行为，对其做出处理。这样做的最大好处是可以阻挡未知攻击。 第3章 网络攻击与防范模型 3.1 网络攻击的整体模型 3.2 网络防范的原理及模型 3.3 网络攻防实训平台的建设总体方案 3.1 网络攻击的整体模型 网络攻击模型将攻击过程划分为以下阶段： 1.攻击身份和位置隐藏； 2.目标系统信息收集； 3.弱点信息挖掘分析； 4.目标使用权限获取； 5.攻击行为隐藏； 6.攻击实施； 7.开辟后门； 8.攻击痕迹清除。 3.1 网络攻击的整体模型 攻击身份和位置隐藏：隐藏网络攻击者的身份及主机位置。可以通过利用被入侵的主机（肉鸡）作跳板；利用电话转接技术；盗用他人帐号上网；通过免费网关代理；伪造IP地址；假冒用户帐号等技术实现。 目标系统信息收集：确定攻击目标并收集目标系统的有关信息，目标系统信息收集包括：系统的一般信息（软硬件平台、用户、服务、应用等）；系统及服务的管理、配置情况；系统口令安全性；系统提供服务的安全性等信息。 3.1 网络攻击的整体模型 弱点信息挖掘分析：从收集到的目标信息中提取可使用的漏洞信息。包括系统或应用服务软件漏洞、主机信任关系漏洞、目标网络使用者漏洞、通信协议漏洞、网络业务系统漏洞等。 目标使用权限获取：获取目标系统的普通或特权账户权限。获得系统管理员口令、利用系统管理上的漏洞获取控制权（如缓冲区溢出）、令系统运行特洛伊木马、窃听帐号口令输入等。 3.1 网络攻击的整体模型 攻击行为隐藏：隐蔽在目标系统中的操作，防止攻击行为被发现。连接隐藏，冒充其他用户、修改logname环境变量、修改utmp日志文件、IP SPOOF；隐藏进程，使用重定向技术ps给出的信息、利用木马代替ps程序；文件隐藏，利用字符串相似麻痹管理员；利用操作系统可加载模块特性，隐藏攻击时产生的信息等。 3.1 网络攻击的整体模型 攻击实施：实施攻击或者以目标系统为跳板向其他系统发起新的攻击。攻击其他网络和受信任的系统；修改或删除信息；窃听敏感数据；停止网络服务；下载敏感数据；删除用户帐号；修改数据记录。 开辟后门：在目标系统中开辟后门，方便以后入侵。放宽文件许可权；重新开放不安全服务，如TFTP等；修改系统配置；替换系统共享库文件；修改系统源代码、安装木马；安装嗅探器；建立隐蔽通信信道等。 3.1 网络攻击的整体模型 攻击痕迹清除：清除攻击痕迹，逃避攻击取证。篡改日志文件和审计信息；改变系统时间，造成日志混乱；删除或停止审计服务；干扰入侵检测系统的运行；修改完整性检测标签等。 3.1 网络攻击的整体模型 典型的网络攻击的一般流程： 3.1 网络攻击的整体模型 攻击过程中的关键阶段是：弱点挖掘和权获取限； 攻击成功的关键条件之一是：目标系统存在安全漏洞或弱点； 网络攻击难点是：目标使用权的获得。能否成功攻击一个系统取决于多方面的因素。 3.2 网络防范的原理及模型 面对当前的如此猖獗的黑客攻击，必须做好网络的防范工作。网络防范分为积极防范和消极防范，下面介绍这两种防范的原理： 积极安全防范的原理 积极安全防范的原理是：对正常的网络行为建立模型，把所有通过安全设备的网络数据拿来和保存在模型内的正常模式相匹配，如果不是这个正常范围以内，那么就认为是攻击行为，对其做出处理。这样做的最大好处是可以阻挡未知攻击，如攻击者才发现的不为人所知的攻击方式。对这种方式来说，建立一个安全的、有效的模型就可以对各种攻击做出反应了。 积极安全防范的原理 例如，包过滤路由器对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。管理员可以配置基于网络地址、端口和协议的允许访问的规则，只要不是这些允许的访问，都禁止访问。 入侵检测分:误用检测和异常检测 消极安全防范的原理 消极安全防范的原理是：以已经发现的攻击方式，经过专家分析后给出其特征进而来构建攻击特征集，然后在网络数据中寻找与之匹配的行为，从而起到发现或阻挡的作用。它的缺点是使用被动安全防范体系，不能对未被发现的攻击方式做出反应。 消极安全防范的原理 消极安全防范的一个主要特征就是针对已知的攻击，建立攻击特征库，作为判断网络数