第十章-安全脆弱性分析.pptVIP

第十 章 安全脆弱性分析 10.1 安全威胁分析 10.2 安全扫描技术 （1） 口令攻击 （2） 拒绝服务攻击（Denial of Services DoS） （3） 利用型攻击 （4） 信息收集型攻击 （5） 假消息攻击 （2）拒绝服务(Denial of Service)攻击 回顾信息安全的三个主要需求： – 保密性、完整性、可用性(availability) – DoS是针对可用性发起的攻击 定义：通过某些手段使得目标系统或者网络不 能提供正常的服务 – DoS攻击主要是利用了TCP/IP 协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的缺陷。 难以防范，有些DoS可以通过管理的手段预防。 DoS的类型 粗略来看，分为三种形式 – 使一个系统或网络瘫痪，发送一些非法数据包使系统死机或重起 – 向系统发送大量信息，使系统或网络不能响应 – 物理部件的移除，或破坏 DDoS攻击过程 (1) 攻击者寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。 (2) 攻击者在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。 (3) 最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。 网络911 2000年2月7日10时15分，汹涌而来的垃圾邮件堵死了雅虎网站除电子邮件服务等三个站点之外的所有服务器，雅虎大部分网络服务陷入瘫痪。 第二天，世界最著名的网络拍卖行eBay、美国有线新闻网CNN的网站、顶级购物网站Amazon也因黑客 袭击而瘫痪。 在此之后又有一些著名网站被袭击：ZDnet，Etrade，Excite，Datek……到2月17日为止，黑客攻击个案已增至17宗，而且可能有更多网站受袭而未被察觉。 引起美国道琼斯和纳斯达克指数大幅下挫。 特洛伊木马 特洛伊木马只是一种远程管理工具，它本质上把带伤害性，也没有传染性，所以不能称之病毒。但是如果被人不正当的使用，破坏力可比病毒更强。 特洛伊木马起源：特洛伊木马源于一场古希腊战争。希腊人制作了一个巨大无比的木马，特洛伊人认为这是神的恩赐，于是决定把木马拖入城内庆祝，但城门过小，特洛伊人只好推倒 了抵抗了希腊军队十年的坚固的城墙，就在特洛伊人欢庆并为此喝得大醉的时候，藏在木马里的希腊人轻而易举地攻下了特洛伊城。特洛伊木马因此而得名。人们之所以用特洛伊木马命名这种远程控制软件，是因为它攻击的欺骗性和希腊人的手法相同。 10.2 安全扫描技术 ACK：命令正确应答。接受站向发送站表明收到的报文无差错的过程。 RST：复位，置“0” SYN：同步信号，非常小的数据包 10.2 安全扫描技术 10.2.1 安全扫描技术概论 安全扫描技术： 手工的或使用特定的软件工具对系统脆弱点进行评估，寻找可能对系统造成损害的安全漏洞。 在手工进行扫描时，需要熟悉各种命令。对命令执行后的输出进行分析。用扫描软件进行扫描时，许多扫描器软件都有分析数据的功能。 目的：通过一定的方法和手段发现系统或网络存在的隐患，以利于己方及时修补或发动对敌方系统的攻击。 安全扫描器的分类： 安全扫描器的类型： —本地扫描器或系统扫描器 —远程扫描器或网络扫描器 扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器你可以不留痕迹的发现远程服务器的各TCP端口的分配及提供的服务和它们的软件版本！这就能让我们间接的或直观的了解到远程主机所存在的安全问题。 10.2.2 安全扫描的内容 安全扫描器需要对目标系统进行全面的检查，以发现可能的安全漏洞。但两大类扫描器在检查项目方面又有所侧重。 1.本地扫描器 主要分析文件的内容，查找可能存在的问题。 本地扫描器通常针对特定的宿主操作系统如：unix,windowsnt/2000等进行。（见教材p149-150） 2. 远程扫描器 检查网络和分布式系统的安全漏洞。发送精心构造的数据包来检测目标系统。远程扫描检查的项目有： 网络端口扫描 身份认证机制漏洞 拒绝服务攻击 网络协议欺骗等 10.2.4 安全扫描技术分析 扫描器的工作过程分为以下三阶段： 1. 发现目标主机或网络 2. 发现目标后，进一步发现目标系统类型及配置等信息 包括： —确认目标主机操作系统类型 —运行的服务及服务软件版本等 —网络的拓扑结构及路由设置等 3. 测试哪些服务具有安全漏洞 扫描器是