信息系统安全第1章技术总结.ppt

1.8.3 僵尸网络 僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序，从而在控制者和感染主机间形成一个可一对多控制的网络，被感染主机将通过一个控制信道接收攻击者的指令。 1.僵尸网络的基本功能 ⑴作为黑客发动DDOS攻击的工具 ⑵发送垃圾邮件 ⑶信息窃取 ⑷扩散、升级或下载恶意软件 ⑸伪造点击量、骗取奖金、操控网上投票和游戏，被网络推手作为绑架舆论的工具 ⑹下载文件 ⑺启动或终止进程。 2.僵尸程序及其传播 ⑴利用系统漏洞。先漏洞扫描以获得访问权，再注入代码。过程：例①感染Slapper主机 ②开始发动攻击。 ⑵利用邮件、即时消息通信携带 ⑶伪装软件 ⑷利用蠕虫携带 3.僵尸程序与黑客之间的通信 ⑴利用已有的通信协议，直接加以利用或简单改造； ⑵定制一个私有协议，利用公共端口传递。 4.僵尸网络的形成。僵尸程序一旦被植入，就会自动执行，主动连接到黑客在僵尸代码中指定的计算机，依靠一定的协议进行通信。 5.僵尸网络的加入 ⑴有域名先解析 ⑵僵尸主机与IRC（即网络即时聊天协议或网上交谈）服务器建立TCP连接 ⑶僵尸主机与IRC服务器发送NICK和USER命令 ⑷加入预定义频道 6.黑客对于僵尸主机的控制 ⑴攻击者或僵尸网络的主人建立控制主机； ⑵僵尸主机主动连接IRC服务器，加入到某个特定频道； ⑶控制者主机也连接到IRC服务器位这个特定频道上； ⑷控制者认证自己，执行用户发送的命令。 7.主控者向僵尸主机发布命令的方法 实现的功能：①僵尸网络控制命令 ②扩散传播命令 ③信息窃取命令 ④下载与更新命令 ⑤主机控制命令 三种： ⑴设置频道主题命令； ⑵使用频道或单个僵尸程序发送PRIVMSG（悄悄话）消息； ⑶通过NOTICE（通知）消息发送命令。 1.9 陷门攻击 1.9.1 陷门及其分类 陷门（trap doors）也称“后门”， 是一种利用系统脆弱性进行重复攻击的技术，通常是一段非法的操作系统程序，通过它可以在一个程序模块中留下未被登记的秘密入口，使用户可以不按正常的访问步骤获得访问权。 陷门一般有如下一些技术或功能特征： （1）陷门通常寄生于某些程序（有宿主），但无自我复制功能。 （2）它们可以在系统管理员采取了增强系统安全措施（如改变所有密码）的情况下，照样进入系统。 （3）它们可以使攻击者以最短的时间再次进入系统，而不是重新挖掘漏洞。 （4）许多陷门可以饶过注册直接进入系统或者帮助攻击者隐藏其在系统中一举一动。 （5）陷门可以把再次入侵被发现的可能性降至最低。 1. 账号与注册陷门 （1）Login 陷门 （2）密码破解陷门 （3）超级账号陷门 （4）rhosts++陷门 2．通信与连接陷门 （1）网络通信陷门 （2）TCP Shell陷门 （3）UDP Shell陷门 （4）ICMP Shell 陷门 （5）TELNET陷门 （6）校验及时间戳陷门 3. 隐匿陷门 （1）隐匿进程陷门 （2）文件系统陷门 （3）共享库陷门 （4）Cronjob 陷门 （5）内核陷门 （6） Boot块陷门 1.9.2 一些常见陷门工具 1.9.3 黑客及其攻击过程 黑客是一个精通计算机技术的特殊群体。三类：侠客（好奇和出风头）、骇客（恶作剧）和入侵者（破坏）。 工作流程：收集情报、远程攻击、远程登录、取得权限留下后门、清除日志；主要内容：目标分析、文档获取、破解密码、日志清除等；包括在攻击的三个阶段： 1.攻击的准备阶段 ⑴确定目的； ⑵踩点； ⑶查点； ⑷扫描； ⑸模拟攻击。 2. 攻击的实施阶段 ⑴获取权限； ⑵权限提升； ⑶实施攻击。 3.攻击的善后工作 ⑴修改日志； ⑵设置后门； ⑶进一步隐匿。 1.10信息系统风险与安全策略 恶意代码 可感染（可自我复制） 不感染（不自我复制） 独立性 寄生性 蠕 虫 细 菌 病 毒 特洛伊木马 逻 辑 炸 弹 陷 门 黑客攻击的一般流程 踩 点 扫 描 查 点 模拟攻击 获取成功 拒绝访问攻击 权限提升 窃取 掩盖踪迹 创建后门 获取访问权 实施攻击 * * （3）精确地猜测来自目标请求的正确序列数 方法是根据TCP序列号的编排规律： 初始的TCP序列号是由tcp_init函数确定的，是一个随机数，并且它每秒钟增加128 000。这表明，在没有连接的情况下，TCP的序列号每9.32小时会复位一次。而有连接时，每次连接把TCP序列号增加64 000。 随机的初始序列号的产生也是有一定规律的。在Berkeley系统中，初始序列号由一个常量每秒钟