郑万波《网络安全精品教学》第3章网络安全威胁分析.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 扫描器介绍 （1）主要扫描器 ISS Internet Scanner 该产品一直是安全扫描器的业界标准。 优点：报告功能强大，漏洞检查集完备，可用性很好。 平台：Windows NT URL：Http:// 扫描器介绍 Nessus 由Renaud编写的开放源码项目。 优点：采用分布式结构引擎具有极大弹性，可扩展性强，漏洞库较全面。 平台：UNIX URL：Http:// 扫描器介绍 SAINT 以SATAN为基础的网络安全扫描工具。 平台：UNIX URL：Http:// 例子---扫描器程序设计 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 网络攻击模型 — 弱点信息挖掘分析 攻击者收集到大量目标系统的信息后，开始从中挖掘可用于攻击的目标系统弱点信息。常用到的弱点挖掘方法如下： 系统或应用服务软件漏洞：如利用finger、tftp、email等服务中的弱点获取系统的访问权限。 主机信任关系漏洞：网络攻击者总是寻找那些被信任的主机。这些主机可能是管理员使用的机器，或是一台被认为安全的服务器。攻击者可以利用CGI的漏洞，读取/etc/hosts.allow等文件。通过这些文件，攻击者可以大致了解主机间的信任关系，然后，探测这些被信任主机存在哪些漏洞。 目标网络的使用者漏洞：通过目标网络使用者漏洞，寻找攻破目标系统的捷径。 通信协议漏洞：分析目标网络的协议信息，寻找漏洞，如寻找TCP/IP协议安全漏洞。 网络业务系统漏洞：分析目标网络的业务流程信息，挖掘其中的漏洞，如网络申请使用权限登记漏洞。 * 网络攻击模型 — 目标使用权限获取 一般账户对目标系统只有有限的访问权限，要达到某些攻击目标，攻击者必须具有更多的权限。因此在获得一般账户权限之后，攻击者经常会试图获得更高的权限，如系统管理账户的权限。获取系统管理权限通常有以下途径： 获得系统管理员的口令，如专门针对root用户的口令攻击。 利用系统管理上的漏洞，如错误的文件许可权，错误的系统配置，某些SUID程序中存在的缓冲区溢出漏洞等。 使系统管理员运行特洛伊木马程序，如经篡改之后的LOGIN程序等。 窃听管理员口令。 * 网络攻击模型 — 攻击行为隐蔽 进入系统之后，攻击者要做的第一件事就是隐藏行踪，攻击者隐藏自己的行踪通常要用到下面的技术： 连接隐藏，如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等。 进程隐藏，如使用重定向技术减少ps给出的信息量、使用特洛伊木马代替ps程序等。 文件隐蔽，如利用字符串的相似来麻痹系统管理员，或修改文件属性使普通显示方法无法看到。 利用操作系统可加载模块特性，隐藏攻击时所产生的信息。 * 网络攻击模型 — 攻击实施 不同的攻击者有不同的攻击目标。一般来说，攻击目标有以下几个方面： 攻击其他被信任的主机和网络。 修改或删除重要数据。 窃听敏感数据。 停止网络服务。 下载敏感数据。 删除用户账号。 修改数据记录。 * 网络攻击模型 — 开辟后门 一次成功的入侵通常要耗费攻击者大量的时间与资源，因此攻击者在退出系统之前会在系统中制造一些后门，方便下次入侵。攻击者开辟后门时通常会应用以下方法： 放宽文件许可权。 重新开放不安全的配置，如TFTP等。 修改系统的配置，如系统启动文件、网络服务配置文件等。 替换系统的共享库文件。 修改系统的源代码，安装各种特洛伊木马。 安装嗅探器。 建立隐蔽信道。 * 网络攻击模型 — 开辟后门 攻击者为了避免IDS和系统安全管理员的追踪，攻击时和攻击后都要设法消除攻击痕迹。常用的方法有： 篡改日志文件中的审计信息。 改变系统时间造成日志文件数据紊乱。 删除或停止审计服务进程。 干扰入侵检测系统的正常运行。 修改完整性检测标签。 * 网络攻击模型 — 攻击讨论 攻击过程的关键阶段是弱点信息挖掘分析和目标使用权限获取阶段。根据收集到的目标系统信息，攻击者对这些信息进行弱点分析。攻击者攻击成功的条件之一是目标系统存在安全漏洞或弱点。显然，攻击者攻击系统能力的强弱在于尽早发现或利用安全漏洞的能力。 目标使用权限获取是网络攻击的难点。对内部攻击者来说，大都具备目标的普通权限，攻击者往往具备发起后续攻击活动的条件。攻击者为了获得目标系统更大的管理权限，通常会寻找系统漏洞提升自己的权限，如利用操作系统的漏洞或猜测管理员的口令。获得系统的管理权限之后，攻击者己接近于完全成功。 攻击者能否成功地攻破一个系统，取决于多方