现代密码学理论及实践第18章入侵者.pptVIP

现代密码学理论与实践-18 入侵者 现代密码学理论与实践第18章 入侵者 Fourth Edition by William Stallings Slides by 杨寿保 syang@ /~syang 2012年11月 本章要点 对计算机系统或网络的入侵已成为计算机安全最严重的威胁之一。 入侵检测系统可以提供早期的预警，从而避免或减轻入侵所造成的损失。 入侵检测涉及对正常行为的模式检测和对与入侵相关的异常行为的模式检测。 防备入侵一个重要的组成部分就是口令管理，其目标是阻止非授权用户获得其他用户的口令。 18.1 入侵者 用户非法入侵(黑客)与软件非法入侵(病毒) 三类入侵者 (hackers or crackers): 伪装者Masquerader 违法行为者Misfeasor 秘密用户Clandestine user 系统入侵已经明显地发展成为一个社会问题 许多入侵看起来是无害的，但仍消耗大量资源 可以通过被控制的系统向其他机器发起攻击 18.1.1 入侵技术 口令文件及其保护 One-way encryption(单向加密), 用口令产生一个密钥用于加密 Access Control(访问控制)，限制对口令文件的访问 猜测口令的技术 尝试默认口令 穷尽所有短口令(1到3个字符) 尝试在线词典中的单词或看似口令的单词表(60,000) 收集用户信息，如爱好、生日、配偶或孩子名 尝试用户电话、社会安全号，住址 使用特洛伊木马 窃听远程用户和主机之间的线路 入侵者和黑客 入侵者(攻击者)指怀着不良的企图，闯入远程计算机系统甚至破坏远程计算机系统完整性的人。入侵者利用获得的非法访问权，破坏重要数据，拒绝合法用户的服务请求，或为了自己的目的故意制造麻烦。入侵者的行为是恶意的，入侵者可能技术水平很高，也可能是个初学者。 黑客指利用通信软件通过网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的电脑入侵者。黑客们通过猜测程序对截获的用户账号和口令进行破译，以便进入系统后做更进一步的操作。 黑客攻击的三个阶段 1．信息收集 黑客会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。 SNMP协议：查阅网络系统路由器的路由表，了解目标主机所在网络的拓扑结构及其内部细节。 TraceRoute程序：获得到达目标主机所要经过的路径。 Whois协议：提供所有有关的DNS域和相关的管理参数。 DNS服务器：提供了系统中可以访问的主机IP地址表和它们所对应的主机名。 Finger协议：获取指定主机上的所有用户的详细信息，如用户注册名、电话号码、最后注册时间以及是否读邮件等。 Ping程序：用来确定一个指定主机的位置。 Wardialing软件：向目标站点一次连续拨出大批电话号码，直到遇到某一正确的号码使其MODEM响应。 黑客攻击的三个阶段(2) 2．系统安全弱点的探测 黑客可能使用下列方式自动扫描驻留在网络上的每台主机，以寻求该系统的安全漏洞或安全弱点。 （1）自编程序。黑客发现“补丁”程序的接口后会自己编写程序，通过该接口进入目标系统。 （2）利用公开工具，对整个网络或子网进行扫描，寻找安全漏洞。 3．网络攻击 （1）毁掉攻击入侵的痕迹，并在受害系统上建立新的安全漏洞或后门, 以便在先前的攻击点被发现之后, 继续访问该系统。 （2）在目标系统中安装探测器软件，包括特洛伊木马程序，用来窥探所在系统的活动，收集黑客感兴趣的一切信息。 （3）进一步发现受损系统在网络中的信任等级，通过该系统信任级展开对整个系统的攻击。 对付黑客入侵 “被入侵”指的是网络遭受到非法闯入的情况, 分为不同的程度： （1）入侵者只获得访问权(一个登录名和口令)； （2）入侵者获得访问权，并毁坏、侵蚀或改变数据； （3）入侵者获得访问权，并获得系统一部分或整个系统控制权，拒绝拥有特权用户的访问； （4）入侵者没有获得访问权，而是用不良程序，引起网络持久性或暂时性的运行失败、重新启动、挂起或其它无法操作的状态。 1．发现黑客 可以在Unix平台检查系统命令, 如rm, login, /bin/sh及perl等的使用情况。在Windows上，可以定期检查Event Log中的Security Log，以寻找可疑行为。 对付黑客入侵(2) 2．应急操作 （l）估计形势 ①黑客是否已成功闯入站点？ ②黑客是否还滞留在系统中？ ③可以关闭系统或停止有影响的服务(FTP, Gopher, Telnet等)，甚至可能需要关闭因特网连接。 ④入侵是否有来自内部威胁的可能？ ⑤是否了解入侵者身份？可预先留出一些