《网络安全技术及实践》第一篇网络安全分析.pptVIP

* * * * * * * * * * * * * * * * * finger服务就是finger服务器提供一项查询本地或远程主机用户公开信息的服务。在RFC1288里，它的名字是用户信息查找程序。在早期的UNIX系统上，很多学生，研究人员利用finger服务来公开自己的某些特定信息，以便进行交流。比如有些研究人员用其公开自己的课题研究情况，有些老师公开一些课程时间安排。还有的主机播报球赛的情况，有的发布一些当前地震活动的信息。不过，finger服务更多的用处的是公开某人的特定信息。finger服务就是finger服务器提供一项查询本地或远程主机用户公开信息的服务。在RFC1288里，它的名字是用户信息查找程序。在早期的UNIX系统上，很多学生，研究人员利用finger服务来公开自己的某些特定信息，以便进行交流。比如有些研究人员用其公开自己的课题研究情况，有些老师公开一些课程时间安排。还有的主机播报球赛的情况，有的发布一些当前地震活动的信息。不过，finger服务更多的用处的是公开某人的特定信息。 * 网络攻击的类型 3. 信息收集型攻击 信息收集型攻击并不对目标本身造成危害，这类攻击主要用来为进一步入侵提供有用的信息。包括：扫描、体系结构刺探、信息服务利用。 DNS域转换 DNS协议不对转换或信息性的更新进行身份认证，这使得该协议可以被人以一些不同的方式加以利用，黑客只需实施一次域转换操作就能得到所有主机的名称以及内部IP地址。 防御方法：在防火墙处过滤掉域转换请求。 Finger服务 黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。 防御方法：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。 LDAP服务（目录信息服务） 黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。 防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。 假消息攻击 用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件等。 DNS高速缓存污染 由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。 防御方法：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。 伪造电子邮件 由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。 防御方法：使用PGP等安全工具并安装电子邮件证书。 二、典型网络攻击分析 1. SYN Flood攻击 这种因为假连接而导致打开网页缓慢或服务器无法响应情况，就是我们常说的服务器端SYN Flood攻击。 SYN Flood攻击 SYN Flood攻击的监测 对于SYN Flood攻击，目前尚没有很好的监测和防御方法，不过如果系统管理员熟悉攻击方法和系统架构，通过一系列的设定，也能从一定程度上降低被攻击的负面影响。 一般来说，如果一个主机的负荷突然升高甚至失去响应，使用Netstat命令看到大量SYN_RCVD的半连接（数量500或占总连接数的10% 以上），就基本可以认定，这个主机遭到了SYN Flood攻击。 SYN Flood攻击（取证） 当遭到SYN Flood攻击时，首先要做的就是取证，可通过Netstat–n–p tcp resaul. txt记录目前所有TCP连接状态。当然，如果用嗅探器或者TcpDump之类的工具，可记录TCP SYN报文的所有细节，将有助于追查和防御 SYN Flood攻击（取证） 需要记录的字段有：源地址、IP首部中的标识、TCP首部中的序列号、TTL值等。这些信息虽然很可能是攻击者伪造的，但有助于分析攻击者的心理状态和攻击程序。特别是TTL值，如果大量的攻击包来自不同的IP但TTL值却相同，就可以推断出攻击者与我们之间的路由器距离，至少可以通过过滤特定TTL值的报文，降低攻击的效果，保证TTL值与攻击报文不同用户的正常访问。 SYN Flood攻击的防护 可缩短SYN Timeout时间和设置SYN Cookie来进行SYN攻击保护。对早期的Win系统，可修改注册表来降低SYN Flood的危害，在注册表中作如下改动：打开regedit，找到HKEY_LOCAL_ MACHINE\ System\CurrentControlSet\Se