电子科技大学《网络与系统安全技术》复习,内容主要来自于ppt 。
网络安全技术复习重点:
攻防重点是网络信息收集、DOSDDOS攻击、缓冲区溢出攻击、恶意代码攻击中木马攻击、注入攻击、跨站点攻击等
主要是:各种攻防技术的原理、类型、攻击的危害、防范措施、攻防工具等
一、网络信息收集
1.1 网络踩点技术
技术手段:DNS与IP查询、Web信息搜索与挖掘、网络拓扑侦察(路由跟踪)
WHOIS查询:查询特定域名的3R详细注册信息
Web信息搜索与挖掘防范措施:个人隐私信息不要随便在因特网上发布;个人上网时尽量匿名;必须提供个人信息时,选择信誉好的网站;定期对自己在web上的足迹进行搜索。
网络侦察防范措施:路由器配置:只允许特定系统响应ICMP/UDP数据包;网络入侵检测系统: Snort;虚假响应信息:RotoRouter。
1.2 网络扫描技术
包括:主机扫描、端口扫描、操作系统/网络服务辨识、漏洞扫描。
主机扫描
目的:检查目标主机是否活跃。
方式:传统ICMP Ping 扫描、ACK Ping 扫描、SYN Ping 扫描、UDP Ping 扫描。
主机扫描防范措施:更关注Ping扫射;网络入侵检测系统Snort(主机扫描监测工具Scanlogd);仔细考虑对ICMP通信的过滤策略。
端口扫描
连接目标主机的TCP和UDP端口,确定哪些服务正在运行的过程。
目的:防御者---找出没有必要开放的端口并关闭;攻击者---找出可供进一步攻击的网络服务。
TCP连接扫描、SYN扫描、隐蔽端口扫描方式、UDP端口扫描 --- 开放端口与关闭端口不同的响应
扫描工具:nmap
防范措施:开启网络入侵检测系统: Snort中的portscan检测插件;开启防火墙;禁用所有不必要的服务。
操作系统类型探查
主动探测:端口扫描、应用服务旗标攫取、主动协议栈指纹鉴别。
被动识别:流量监听、被动应用服务识别、被动协议栈指纹鉴别。
网络服务类型探查
主动:(网络服务)旗标抓取和探测 nmap
被动:(网络服务)特征匹配和识别 PADS
漏洞扫描
漏洞是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。
漏洞扫描:检查系统是否存在已公布的安全漏洞。
双刃剑:检查系统安全性;列出最可能成功的攻击方法。
工具:ISS、Nessus、OpenVAS、Xscan
防范措施:周期性进行漏洞扫描然后进行修补;确保桌面计算机的安全漏洞及补丁自动管理;检测和防御漏洞扫描行为。
1.3 网络查点技术
对已知的弱点更加充分更具针对性的探查。
与踩点的区别:攻击者的入侵程度
与扫描的区别:攻击者的针对性与信息搜集的目标性
方法:网络服务旗标抓取技术 telnet netcat。又分为:通用网络服务、Windows平台网络服务查点。
应对Windows查点方法:关闭不必要的服务及端口;加强网络服务的安全配置;不要让主机名暴露使用者身份。
二、DOS、DDOS攻击
2.1 DOS
DoS攻击是指利用漏洞耗尽被攻击目标资源,使其无法正常提供服务,直至系统停止响应甚至崩溃的攻击方式。
DoS的基本模式:资源耗尽型(消耗网络带宽、磁盘空间、CPU和内存资源);配置修改型;基于系统缺陷型(密码重试);物理实体破坏型。
DoS攻击的基本形式:服务过载、消息流、信号接地、"粘住"攻击。
DoS攻击分类:
最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。
- SYN Flood 防御:在防火墙上过滤来自同一主机的后续连接。
- 死ping:当发送ping请求的数据包声称自己的尺寸超过ICMP上限,就会使ping请求接收方出现内存分配错误,导致当机。 防御:对防火墙进行配置,阻断ICMP以及任何未知协议。
- 泪滴:泪滴攻击利用那些在TCP/IP堆栈实现中,信任IP碎片中的包的标题头所包含的信息来实现攻击。(发送重叠的分段) 防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组。
- Land攻击: 特别打造一个SYN包,其源地址和目标地址都被设置成某一个服务器地址 解决办法:打最新的补丁。
- Smurf攻击:通过采用ICMP技术进行攻击。 解决办法:去掉ICMP服务。
- Fraggle攻击 :与Smurf攻击类似,但它使用的不是ICMP,而是 UDP Echo。 防范:在防火墙上过滤UDP应答消息。
2.2 DDOS
DDoS攻击分为3层:攻击者、主控端、代理端
DDoS发送的都是UDP报文(每一个包含4个空字符),从一个端口发出,随机袭击目标主机上的不同端口。
应付DDoS攻击的策略:
- IDS的检测方法:分析一系列UDP报文,寻找那些针对不同目标端口,但来自于相同源端口的UDP报文。或者分析来自于相同的源IP、目标IP和源端口,但不同的目标端口的报文。
- 寻找那些相同的源地址和目标地址的ICMP Port Unreachable的信息。
三、缓冲区溢出攻击
缓冲区是应用程序用来保存用户输入数据、程序临时数据的内存空间。 本质:数组 存储位置:栈、堆、数据段。
缓冲区溢出:用户输入的数据长度超出了程序为其分配的内存空间,这些数据就会覆盖程序为其它数据分配的内存空间。
危害:应用程序异常;系统不稳定甚至崩溃;程序跳转到恶意代码,控制权被窃。
最常见的手段:通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其他命令。
寄存器:ESP(栈顶指针)、EBP(栈底指针)、EIP(函数调用返回后下一条执行语句的地址)
压入栈:依次 参数(从右至左)、返回地址(EIP)、当前EBP、函数局部变量
缓冲区溢出种类:
- 栈溢出:缓冲区在栈中分配,拷贝的数据过长,覆盖了函数的返回地址或其它一些重要数据结构和函数指针。 c(4个) 和 c++(多一个自由存储区) 内存分配
堆与栈的区别:栈是系统提供的功能,特点是快速高效,缺点是有限制,数据不灵活;而堆是函数库提供的功能,特点是灵活方便,数据适应面广泛,但是效率所降低。
- 堆溢出:缓冲区在堆中分配,拷贝的数据过长,覆盖了堆管理结构
- 整型溢出:宽度溢出、运算溢出、符号溢出
- 格式化字符串溢出:fprintf、printf、sprintf
- Data section溢出
共性:大object向小object复制数据,容纳不下造成溢出;溢出会覆盖一些关键性数据;利用程序的后续流程,得到程序的控制权。
措施:编写正确的代码;数组边界检查、编译时加入条件(canary保护);使用类型安全语言;强制缓冲区的内容不得执行。
危险的函数:strcpy、strcat、memcpy、printf、gets...
四、恶意代码攻击中的木马攻击
特洛伊木马是指黑客用来远程控制目标计算机的特殊程序。
工作方式:C/S模式 服务器端---目标机 客户端---攻击者机器
与一般病毒区别:木马不会自我繁殖,也不刻意地去感染其他文件;主要是为攻击者打开用户的电脑门户。
伪装:冒充图象文件或游戏程序;捆绑程序欺骗;伪装成应用程序扩展组件
特点:隐蔽性强、潜伏能力强、非授权性
功能:保留访问权限;远程控制;信息收集
存放位置与命名:一般位置是在c:windows和c:windowssystem 原因:windows的一些系统文件在这两个位置;木马的文件名总是尽量和windows的系统文件接近。
工作原理:
- 木马隐藏技术:启动隐藏(自动启动、捆绑方式启动、修改文件关联)、文件隐藏、运行隐藏、通信隐藏(端口复用技术、利用高层协议隧道)
- 木马程序建立连接技术:合并端口木马;使用ICMP协议进行数据的发送;反弹端口型木马(半反弹型连接、全反弹型连接);使用基于嗅探原理的原始套接字木马
木马编程技术:修改注册表技术、调用win32API编程、多线程技术、后台监控技术...
植入技术:攻击植入、利用漏洞植入、伪装和诱骗、自动传播
木马检测技术:传统检测手段:提取特征码;行为分析检测:分析程序是否具有恶意行为 ex:Micropoint
防范:端口扫描、查看连接(上述两种方法对驱动程序/动态链接木马无效)、检查注册表、查找木马文件、文件完整性检查。
工具:TCP View、Regmon、InstallRite、WinPE。
五、注入攻击
注入攻击:因为Web应用程序的输入验证不完善漏洞,从而执行由攻击者所注入的恶意指令和代码,导致敏感信息泄露、权限提升或对系统的未授权访问 。
攻击类型:SQL注入攻击、PHP注入、Shell注入攻击
SQL注入漏洞机制:用户输入没有被正确地过滤;没有进行严格类型检查
步骤:发现SQL注入点;判断后台数据库类型;利用SQL注入进行后台口令拆解;上传ASP后门,得到默认账户权限;本地特权提升与利用数据库进行扩展存储。
工具:Wposion、HDSI、阿D注入工具
常用sql注入方法 看ppt
防范措施:使用类型安全的参数编码机制 ;对外部的用户输入进行完备检查 ;将动态SQL语句替换为预编译SQL或ADO命令对象;加强SQL数据库服务器的配置与连接。
六、跨站点攻击
跨站脚本是一种存在于Web应用程序中的安全漏洞,使得攻击者可以将恶意的代码注入到网页中,从而危害其他Web访问者。
与代码注入攻击的比较:
- 相似的漏洞根源:Web应用程序没有对非预期输入做检查和净化
- 不同的最终攻击目标:代码注入:Web站点 XSS:访问Web应用程序的其他用户
危害:查看用户终端会话Cookie、窃取Cookie、网页挂马。
攻击类型:持久性XSS、非持久性XSS、DOM-based: 本地XSS。
防范措施:服务器端防范措施:输入验证、输出净化、消除危险的输入点;客户端防范措施:提高浏览器访问非受信网站时的安全等级、关闭Cookie功能 (只读)、培养安全意识和浏览习惯。
七、口令攻击
防止口令猜测攻击
- 硬盘分区采用NTFS格式
- 正确设置和管理账户
- 禁止不需要的服务
- 关闭不用的端口
- 禁止建立空连接
八、假消息攻击
IP源地址欺骗的防范措施
- 使用随机化的初始序列号
- 使用网络层安全的传输协议
- 避免采用基于IP地址的信任策略
- 在路由器和网关上实施包的检查和过滤
- 真实源IP地址验证
ARP欺骗攻击防范措施
- 静态绑定关键主机的IP地址与MAC地址映射关系
- 使用VLAN虚拟子网细分网络拓扑
- 加密传输数据以降低ARP欺骗攻击的危害后果
- 使用相应的ARP防范工具:ARP防火墙
ICMP路由重定向攻击防范
- 根据类型过滤一些ICMP数据包
- 设置防火墙过滤
- 对于ICMP重定向报文判断是不是来自本地路由器