网络安全防御体系的构建研究(毕业设计论文).docx

《网络安全防御体系的构建研究(毕业设计论文).docx》由会员分享，可在线阅读，更多相关《网络安全防御体系的构建研究(毕业设计论文).docx（69页珍藏版）》请在咨信网上搜索。

毕业设计（论文） 题 目 网络安全防御体系的构建研究 毕业设计（论文）原创性声明和使用授权说明 原创性声明 本人郑重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得 及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。 作 者 签 名：　　 　 　　日　 期：　　 　 　　  指导教师签名：　　 　 　　 日　　期：　　 　 　　 使用授权说明 本人完全了解 大学关于收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。 作者签名：　　 　 　　 日　 期：　　 　 　　  学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 作者签名： 日期： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权　　 　 　大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 涉密论文按学校规定处理。 作者签名： 日期： 年 月 日 导师签名： 日期： 年 月 日 注 意 事 项 1.设计（论文）的内容包括： 1）封面（按教务处制定的标准封面格式制作） 2）原创性声明 3）中文摘要（300字左右）、关键词 4）外文摘要、关键词 5）目次页（附件不统一编入） 6）论文主体部分：引言（或绪论）、正文、结论 7）参考文献 8）致谢 9）附录（对论文支持必要时） 2.论文字数要求：理工类设计（论文）正文字数不少于1万字（不包括图纸、程序清单等），文科类论文正文字数不少于1.2万字。 3.附件包括：任务书、开题报告、外文译文、译文原文（复印件）。 4.文字、图表要求： 1）文字通顺，语言流畅，书写字迹工整，打印字体及大小符合要求，无错别字，不准请他人代写 2）工程设计类题目的图纸，要求部分用尺规绘制，部分用计算机绘制，所有图纸应符合国家技术标准规范。图表整洁，布局合理，文字注释必须使用工程字书写，不准用徒手画 3）毕业论文须用A4单面打印，论文50页以上的双面打印 4）图表应绘制于无格子的页面上 5）软件工程类课题应有程序清单，并提供电子文档 5.装订顺序 1）设计（论文） 2）附件：按照任务书、开题报告、外文译文、译文原文（复印件）次序装订 网络安全防御体系的构建研究 摘 要 ： 随着网络时代的飞速发展，Internet日益普及，网络安全问题也日益突出，如何在开放网络环境中保证数据和系统的安全性已经成为众多业内人士关心的问题，并越来越迫切和重要。虽然目前对安全技术的研究也越来越深入，但目前的技术研究重点都放在了某一个单独的安全技术上，却很少考虑如何对各种安全技术加以整合，构建一个完整的网络安全防御系统。 本论文重点论述了构建一个网络安全防御系统的方案设计和实现过程。 在方案设计部分，本文重点论述了设计过程中的两个关键阶段，即安全策略与风险分析，在安全策略部分中描述了一个完整的网络防御系统中所考虑的方方面面，而风险分析部分则以生动的实例说明了如何分析一个系统所面临的风险并将其量化的过程和算法。 在实现部分，本文重点论述了网络安全防御系统采用的网络拓扑结构及其中采用的各种安全技术和安全产品的具体细节。最后则详细描述了该网络安全防御系统中的一个重要组件—网络安全监测仪的功能及技术细节，以及为其可用性而开发的远程控制台，并在此基础上提出了安全监控中心的概念及实现计划。 关键词 ： 网络安全； 安全策略； 风险分析； 入侵检测； 日志审计； 漏洞； 加密； CGI The construction of network security defense system research Abstract ： With the raIPd development of the Internet age, the popularization of Internet and Intranet, network security issues are also increasingly prominent, how to ensure that data in the open network environment and the safety of the system has become the concern of the many insider, and more and more urgent and important. Although at present the research of security technology is becoming more and more thorough, but the current technology research has focused on a single security technology, seldom consider how the various security technology integration, build a complete network security defense system. This paper mainly discusses the building a network security defense system design and implementation process. In design part, this paper mainly discusses the two key stage of the design process, namely the security policy and risk analysis, in security strategy section describes a complete network by considering all aspects of the defense system, and the risk analysis part with vivid example illustrates how to analyze a system facing the risk and its quantitative process and algorithm. In implementation, this paper mainly discusses the network security defense system USES the network topology structure and using of the details of the various security technology and security products. Finally, describes in detail the network security defense system an important component of - the function of the network security monitor and technical details, as well as for its usability and the development of remote console, and on this basis puts forward the concept of safety monitoring center and implementation plan. key words ： Network security；The security policy；Risk analysis；Intrusion detection；Log audit；vulnerability；encryption； CGI； 目 录 第1章 绪 论 3 1.1. 课题研究的背景及目的 3 1.2. 研究现状 3 第2章 典型攻击行为技术特点分析及应对措施 3 2.1. DoS(Denial Of Service) 3 2.1.1. 淹没(Flooding) 3 2.1.2. Smurfing拒绝服务攻击 3 2.1.3. 分片攻击(Fragment Attacks) 3 2.1.4. 带外数据包攻击/Nuking(Out of Band) 3 2.1.5. 分布式拒绝服务攻击DDOS 3 2.1.6. 拒绝服务攻击小结 3 2.2. 恶意软件(Malicious Software) 3 2.2.1. 逻辑炸弹(Logical Bomb) 3 2.2.2. 后门(Backdoor) 3 2.2.3. 蠕虫(Worm) 3 2.2.4. 病毒（Virus) 3 2.2.5. 特洛伊木马(Trojan) 3 2.2.6. 恶意软件攻击方法小结 3 2.3. 利用脆弱性(Exploiting Vulnerabilites) 3 2.3.1. 访问权限(Aceess Permissions) 3 2.3.2. 蛮力攻击(Brute Force) 3 2.3.3. 缓冲区溢出(Buffer Overflow) 3 2.3.4. 信息流泄露(Race Condition) 3 2.3.5. 利用脆弱性小结 3 2.4. 操纵IP包(IP Packet manipulation) 3 2.4.1. 端口欺骗(Port sPoofing) 3 2.4.2. 划整为零(Tiny fargments) 3 2.4.3. “盲”IP欺骗(Blind IP spoofing) 3 2.4.4. 序列号预（Sequence number guessing) 3 2.5. 内部攻击(Attacks“from the inside”) 3 2.5.1. “后门”守护程序(“Backdoor”daemons) 3 2.5.2. 日志修改(Log manipulation) 3 2.5.3. 隐蔽(Cloaking) 3 2.5.4. 窃听(Sniffing) 3 2.5.5. “非盲”欺骗(Non一blind spoofing) 3 2.6. CGI攻击 3 2.6.1. 低级CGI攻击 3 2.6.2. 高级CGI攻击 3 第3章 网络安全防御系统方案的设计过程及安全策略 3 3.1. 确定方案的目标与用户职责 3 3.2. 风险分析 3 3.2.1. 确定系统资产情况 3 3.2.2. 确定风险大小 3 3.2.3. 风险分析算法举例 3 3.3. 制定安全策略 3 3.3.1. 整体安全策略 3 3.3.2. 信息安全策略 3 3.3.3. 个人安全策略 3 3.3.4. 计算机及网络安全策略 3 第4章 网络安全防御系统实现 3 4.1. 网络安全 3 4.1.1. 安全网络拓扑 3 4.1.2. 防火墙 3 4.1.3. 实时入侵检测 3 4.1.4. 审计与监控 3 4.2. 数据安全 3 4.2.1. 完整性 3 4.2.2. 保密性 3 4.2.3. 可用性及可靠性 3 4.3. 系统安全 3 4.3.1. 鉴别认证机制 3 4.3.2. 安全操作系统 3 4.3.3. 周期性的安全扫描 3 第5章 某高校网络安全工程实践 3 5.1. 校园网网络拓扑 3 5.2. 校园网络安全实现 3 5.3. 主要设备选型及设备性能 3 参考文献 3 致谢 3 结论 3 常州大学本科毕业设计（论文） 第1章 绪 论 1.1. 课题研究的背景及目的 在当今的信息社会中，信息系统的安全对于整个社会都具有极其重要的意义，大到国家，小到个人，以及公司，企业，其信息系统的安全性都需要得到充分的保护。 竞争者可以发动一场不可见却又很有效的信息攻击，影响你的顾客或财务信息，影响你的市场信誉，从而扩大自己的市场份额。而在当今的网络时代里，网络安全已经成为信息系统安全中一个重要的组成部分，在很多时候，网络系统安全己经成为信息系统安全的代名词。 本课题及即研究如何在一个开放的网络环境中保证信息的安全，保证整个信息系统的正常运行。 1.2. 研究现状 1) 从来没有象现在这样有如此多的电脑通过网络相连,网络的巨大范围使得安全管理员很难,甚至不可能觉察到攻击行为,以及判断其来源。 2) 大量的廉价却很好用的攻击工具充斥于网络中,自动化攻击工具大量泛滥,几年前仅仅适用于高智能范围的工具己经能够从商业途径购买并使用。而使用这些工具并不需要很高的技术水平,这使得一个普通的攻击者也可以对系统造成巨大的危害。 3) 攻击技术的普及使得高水平的攻击者越来越多,反而言之,安全管理员面临着巨大的挑战,我们的系统面临的安全威胁也越来越大。 4) 病毒在最近的一两年以惊人的速度发展,一个新病毒在一夜之间就可以通过网络传到整个信息世界,很少有公司或企业没有受到病毒的感染和影响。 综上我们可以看出在当今的网络时代,信息安全问题已经突出的表现在了 网络安全方面,即如何在一个开放的网络环境中保证信息的安全,保证整个信 息系统的正常运行。这也正是本文论述的重点。 第2章 典型攻击行为技术特点分析及应对措施 2.1. DoS(Denial Of Service) 2.1.1. 淹没(Flooding) 是指黑客向目标主机发送大量的垃圾数据或者无效的请求,阻碍服务器的 为合法用户提供正常服务。 典型的情况是“半开的SYN”连接请求拒绝服务攻击(称为sYNFlooding)。 对于每个TCP连接请求,TCP协议实现时要为该连接请求保留一定的存储空间。 由于存储空间有限,而且黑客可以采用IP地址欺骗的办法,伪造SYN请求的 源地址并大量地发出这样的请求,使得服务器认为连接请求是来自不同的用户。 因为服务器需要等待某个连接请求的确认,并认为请求过期是需要一定的时间 的,在得到客户端确认之前服务器将一直保留对应的存储空间,但是黑客却大 量发出无效的连接请求SYN,当服务器接收到超过其存储能力的TCP连接请求 数量后,便不能再接收任何请求,包括合法用户的正常请求。 2.1.2. Smurfing拒绝服务攻击 msurfing拒绝服务攻击的主要原理 黑客使用IP广播和IP欺骗使Flooding攻击的效果倍增,使用伪造的ICMP ECHO REQUEST包发往目标网络的IP广播地址。smurfing攻击的原理如下图所示。 CIMP是用来处理错误和交换控制信息的,并且可以用来确定网络上的某台主机是否响应。在一个网络上,可以向某个单一主机也可以向局域网的广播地址发送IP包。当黑客向某个网络的广播地址发送CIMPECHOREQUEST包时,如果网络的路由器对发往网络广播地址的CIMP包不进行过滤,则网络内部的所有主机都可以接收到该CIMP请求包,并且都要向CIMP包所指示的源地址回应以ICMPECHO既PYL包。如果黑客将发送的ICMP请求包的源地址伪造为被攻击者的地址,则该网络上所有主机的CIMPECHOREPYL包都要发往被攻击的主机,不仅造成被攻击者的主机出现流量过载,减慢甚至停止正常的服务,而且发出CIMP回应包的中间受害网络也会出现流量拥塞甚至网络瘫痪。可以说,S~fing攻击的受害者是黑客的攻击目标,和无辜的充当黑客攻击工具的第三方网络。 图2-1 注释:图2-1中实线部分表示黑客发出的CIMP包,虚线部分表示对目标攻击的CIMP包 Smurf攻击的小结 l Smurf攻击的影响面 Smurf攻击使得被黑客利用的“无辜”中间网络和被攻击的目标,无论是 它们的内部网络还是与因特网的连接,网络性能都受到影响,严重时整个网络 都无法使用。而且,为这些网络提供服务的中小SIP,也会因此减低其网络效率和服务性能。对大型的ISP而言,其骨干网可能会出现流量饱和的现象而部 分影响其服务质量。 l 被黑客利用进行攻击的“无辜”中间网络应采取的措施 v 配置路由器禁止IP广播包进网。在几乎所有的情况下,这种功能是 不必要的。应该要在网络的所有路由器上都要禁止这种功能,而不仅仅在与外部网络连接的路由器上禁止。例如,网络上有五个路由器连接着十个LAN,应在这五个路由器上都禁止IP广播包的通过。 v 配置网络上所有计算机的操作系统,禁止对目的地址为广播地址的 CIMP包响应。虽然对路由器进行了禁止网外的CIMP广播包的进入, 但是黑客很可能已经攻破了网络内部的某台主机,黑客仍然可以使用网络上这台被他控制的这台主机发起Smurf攻击。 l 黑客攻击的目标应采取的措施 对被攻击的目标而言,要防止接受到大量的CIMPECHOREPYL包的攻击 没有一个简单的解决办法,甚至要防止受到其他类型的DoS攻击都没有太好的 办法,Yahoo!等站点被DoS攻击这一事实就说明了这一点。虽然可以对被攻 击网络的路由器进行配置,禁止CIMPECHOREPLAY包的进入,但这并不能 阻止网络路由器到其IsP之间的网络拥塞。这样,较为妥当的解决办法是与其SIP 协商,由IsP暂时阻止这样的垃圾流量。另外,被攻击目标应及时与被黑客利 用而发起攻击的中间网络管理员联系。 l 黑客攻击实际发起的网络应采取的措施 于从本网络向外部网络发送的数据包,本网络应该将目的地址为其他网 络的这部分数据包过滤掉。虽然当前的IP协议技术不可能消除IP伪造数据包, 但使用过滤技术可以减少这种伪造发生的可能。 2.1.3. 分片攻击(Fragment Attacks) 种攻击方法利用了TCP/P协议的弱点,第一种形式的分片攻击是,有一些TCP/IP协议实现中,对IP分段出现重叠时并不能正确地处理。例如,当黑客远程向目标主机发送IP的片段,然后在目标主机上重新构造成一个无效的UDP包,这个无效的UDP包使得目标主机处于不稳定状态。一旦处于不稳定状态,被攻击的目标主机要么处于蓝屏幕的停机状态,要么死机或重新启动。类似这样的黑客攻击工具有:Teardorp,NewTear,Bokn和Boikn等。 第二种形式的分片攻击是,一些TCP/P的实现对出现一些特定的数据包会呈现出脆弱性。例如,当黑客远程向目标主机发出的SYN包,其源地址和端口与目标主机的地址和端口一致时,目标主机就可能死机或挂起。典型这样的黑客工具是:LAND。 2.1.4. 带外数据包攻击/Nuking(Out of Band) 向一个用户Windows系统的139口(NetBIOS的端口),发送带外数据包OOB(垃圾数据),Windows不知如何处理这些OOB,可以远程造成该用户系统运行异常。对方用户只有重新启动才能正常工作。 2.1.5. 分布式拒绝服务攻击DDOS 传统DoS攻击的缺点是: l 受网络资源的限制。黑客所能够发出的无效请求数据包的数量要受到其主机出口带宽的限制; l 隐蔽性差。如果从黑客本人的主机上发出拒绝服务攻击,即使他采用伪造IP地址等手段加以隐蔽,从网络流量异常这一点就可以大致判断其位置,与IsP合作还是较容易定位和缉拿到黑客的。而DDoS却克服了以上两个致命弱点。 l 隐蔽性更强。通过间接操纵因特网上“无辜”的计算机实施攻击,突破了传统攻击方式从本地攻击的局限性和不安全性。 l 攻击的规模可以根据情况做得很大,使目标系统完全失去提供服务的功能。所以,分布式网络攻击体现了对黑客本人能力的急剧放大和对因特网上广阔资源的充分利用。由于攻击点众多,被攻击方要进行防范就更加不易。对Yahoo!等世界上最著名站点的成功攻击证明了这一点。 2.1.6. 拒绝服务攻击小结 l 分布式网络攻击NAistribetNdeowrAcs)成为黑客的主要攻击手段,这也是未来连接在因特网上机构所面临的严重威胁之一。DNA攻击形式是随着因特网快速发展的必然结果。现在是DDoS攻击,那么下一次攻击也许就是分布式欺骗(Dsitributedspoofing)、分布式监听(Distibutedsniffing)、或者是分布式分段攻击(DistibutedFragmentationAttack)。 l 从根本上还是要维护好上网主机的安全性。 l SIP与SIP之间、IsP与网络管理员管理员之间相互协调合作,共同对付DoS。 2.2. 恶意软件(Malicious Software) 2.2.1. 逻辑炸弹(Logical Bomb) 它是一种程序,在特定的条件下(通常是由于漏洞)会对目标系统产生破坏作用。 2.2.2. 后门(Backdoor) 它是一种程序,允许黑客远程执行任意命令。一般情况下,黑客攻破某个系统后,即使系统管理员发现了黑客行为并堵住了系统的漏洞,为了能够再次访问该系统,黑客往往在系统中安放这样的程序。 2.2.3. 蠕虫(Worm) 它是一种独立的程序,能够繁殖并从一个系统到另一个系统传播其自身的拷贝,通常在整个网络上。像病毒一样,蠕虫可以直接破坏数据,或者因消耗系统资源而减低系统性能,甚至使整个网络瘫痪。最著名的就是1988年Morrsi因特网蠕虫事件。 2.2.4. 病毒（Virus) 它是一种程序或代码但并不是独立的程序),能够在当前的应用中自我复制,并且可以附着在其他程序上。病毒也能够通过过度占用系统资源而降低系统性能,使得其他合法的授权用户也不能够正常使用系统资源。 2.2.5. 特洛伊木马(Trojan) 一种独立的、能够执行任意命令的程序。特洛伊木马往往能够执行某种有 用的功能,而这种看似有用的功能却能够隐藏在其中的非法程序。当合法用户 使用这样合法的功能时,特洛伊木马也同时执行了非授权的功能,而且通常篡 夺了用户权限。 2.2.6. 恶意软件攻击方法小结 恶意软件通常能够造成严重的安全威胁,秘密的信息可以被截获和发送到敌手处,关键的信息可以被修改,计算机的软件配置可以被改动以允许黑客进行连续的入侵。 排除恶意软件的威胁代价是高昂的。采取预防措施和教育用户所花费的代价,要比被攻击后恢复的代价要低的多。 （一） 制定一个保护计算机防止被病毒等恶意软件威胁的计划。 这样的计划应该包括要保护计算机被病毒和其他恶意软件威胁,系统管理员和合法用户应该拥有的明确责任。例如,确定谁有权在计算机上下载和安装软件;谁负责检测和清除恶意软件,用户还是管理员;禁止用户运行从E一MAIL上接收到的可执行文件、禁止从公共站点上下载软件等。 （二） 安装有效的反病毒等工具。 要考虑反病毒等工具要进行脱线备份,以防止它们可能被病毒等恶意软件修改而失去检测功能。应积极地经常在线检测,同时也要不时进行脱线检测,以确保在线检测工具的正常功能。一般情况下,这种方法在初始安装和配置操作系统时最为可靠。 （三） 教育用户预防和识别病毒等恶意软件的技术 用户应该接受诸如病毒等恶意软件传播及防止它们进一步传播的教育。这包括教育用户在装载和使用公共软件之前,要使用安全扫描工具对其进行检测。另外,许多病毒等恶意软件有一定的特点,用户应该得到一定的识别知识,并且能够使用适当的软件清除。最好能够及时进行新类型的安全威胁以及入侵方面的教育。 （四） 及时更新清除恶意软件的工具 许多反恶意软件的工具,如反病毒软件,使用已知恶意软件特征的数据库,而新类型的恶意软件不断地出现,因此,检测软件应该不断地更新以确保有最新的检测版本。否则,结果是只能自认为安全的自欺欺人。 2.3. 利用脆弱性(Exploiting Vulnerabilites) 2.3.1. 访问权限(Aceess Permissions) 黑客利用系统文件的读/写等访问控制权限配置不当造成的弱点,获取系统的访问权。 2.3.2. 蛮力攻击(Brute Force) 黑客通过多次尝试主机上默认或安全性极弱的登录/口令,试登录到某个帐号。还有一种形式是采用口令破解程序,对用户加密后的口令文件进行破解,如使用Cracker、LophtCracker、NTCrack等破解软件。 2.3.3. 缓冲区溢出(Buffer Overflow) 一种形式的缓冲区溢出攻击是黑客本人编写并存放在缓冲区后任意的代码,然后执行这些代码。这对黑客的技术水平要求很高,一般的黑客少有此举。 另一种形式的缓冲区溢出攻击是程序代码编写时欠考虑。典型的一种形式是对用户输入的边界检查问题。例如,C语言中,函数地eto不对用户输入的数量进行检查,如果程序员不考虑这个情况就会出问题。统计表明,在操作系统和应用软件中,因为编写的原因,其中约有30%的代码存在着缓冲区溢出的漏洞。这就是为什么现在针对缓冲区溢出的攻击事件不断地发生的主要原因。有理由相信,随着某些操作系统和应用软件源代码的公布,还会有更多的类似攻击事件的发生。 2.3.4. 信息流泄露(Race Condition) 黑客利用在某个程序执行时所产生的某些暂时的不安全条件,例如在执行SUID时执行用户具有同被执行程序的属主同等权限,这样执行用户就可以获得对某些敏感数据的访问权。 2.3.5. 利用脆弱性小结 计算机和计算机网络构成了一个复杂的大系统,这个大系统内部又有各种型号和计算机、各种版本的服务和各种类型的协议构成,不可能保证计算机系统的硬件、软件(操作系统和应用软件)、网络协议、系统配置等各方面都完美无缺,黑客就能够发现并利用这些缺陷来进行攻击。 解决这方面的问题,一是教育,教育用户树立安全意识,如注意口令的设置、正确配置设备和服务等;二是不断地升级系统软件和应用软件的版本,及时安装“补丁”软件。 2.4. 操纵IP包(IP Packet manipulation) 2.4.1. 端口欺骗(Port spoofing) 利用常用服务的端口,如20/53/80/1024等,避开包过滤防火墙的过滤规则。 2.4.2. 划整为零(Tiny fargments) 黑客将正常长度的数据包分解为若干小字节的数据包,从而避开防火墙过滤规则,如对nga币。川siez等的检测规则等。 2.4.3. “盲”IP欺骗(Blind IP spoofing) 改变源IP地址进行欺骗。这种IP欺骗称为“盲”IP欺骗,是因为黑客修改其发送数据包的源地址后,不能与目标主机进行连接并收到来自目标主机的响应。但是,这种“盲”IP欺骗往往是黑客能够事先预计到目标主机可能会做出的响应而构成其他攻击的组成部分。例如,前面所将到的Smurf攻击,黑客事先预计到网络上的计算机会对CIMP广播包做出响应,从而达到攻击预定目标的目的。而黑客本人却无意接收网络上计算机的任何回应。 容易受到IP欺骗攻击脆弱的服务包括:SunRPC&NFS; BSD UNIX“r”命令;X windows其他任何使用IP地址认证的应用。 对IP欺骗攻击的防范中,路由器的正确设置最为关键和重要。如果路由器没有正确设置,对声称源地址是本网络的进网数据包不进行过滤,则容易使IP欺骗攻击得逞。 下面三种路由器配置情况下,都可能遭致“盲”IP欺骗攻击: l 在应用代理防火墙中,应用代理使用源IP地址进行认证; l 为了支持将内部网络再划分为子网,配备具有两个接口的路由器; l 与外部不可信网络相连的路由器支持多个内部接口 盲IP欺骗可能造成严重的后果,基于IP源地址欺骗的攻击可穿过过滤路由器(防火墙),并可能获得受到保护的主机的root权限。 针对这种攻击行为可以采取以下措施: l 检测 v 使用网络监视软件,例如netlog软件,监视外来的数据包。如果发现 外部接口上通过的数据包,其源地址和目的地址与内部网络的一致, 则可以断定受到IP欺骗攻击; v 另一个办法是比较内部网络中不同系统的进程统计日志。如果IP欺 骗对内部某个系统进行了成功地攻击,该受到攻击主机的日志会记录这样的访问,“攻击主机”的源地址是内部某个主机;而在“攻击主机”上查找日志时,却没有这样的记录。 l 防治措施 防治“盲”IP欺骗攻击的最佳办法是:安装配置过滤路由器,限制从外部来的进网流量,特别是要过滤掉那些源地址声称是内部网络的进网数据包。不仅如此,过滤路由器还要过滤掉那些声称源地址不是本网络的出网数据包,以防止IP欺骗从本网络发生。 2.4.4. 序列号预（Sequence number guessing) 某些主机产生的随机序列号不够随机,这也就意味着不安全。黑客通过分析和现随机序列的产生规律,计算出该主机与服务器连接时的TCPSEQA/CK序列号,即可欺骗服务器并与之建立“合法”的连接,如微软的windows系列中即有这样的问题,其TCP序列号是根据本机系统时间产生的。 l 防治措施 防卫序列号预测入侵最有效的方法是确保你的路由器,防火墙,及所有服务器中拥有全面的审计跟踪保护,由于序列号预测入侵方式是攻击者不断的测试可能的顺序号,所以访问被拒绝的行将在你的系统日志中不断出现,运用你的审计跟踪系统,将可以在这种访问被拒绝行出现到一定次数时,为你报警,并及时切断入侵者的连接。 2.5. 内部攻击(Attacks“from the inside”) 所谓的“from the inside”有两方面的含义:一方面可以指是内部人员;另一面是指网络黑客控制了远程网络上某台主机后的所做所为。 2.5.1. “后门”守护程序(“Backdoor”daemons) 黑客成功入侵了远程网络上某台计算机后(一般指的是拥有管理员权限,或root权限),为了达到其进一步访问或进行其他攻击的目的,往往在该主机上 安装某些特定的软件,例如守护程序deamon。同C/S服务模式一样,守护程序开放该主机上的某个端口,并随时监听发送到该端口的来自黑客的命令,允许黑客更进一步的远程访问或进行其他的攻击。例如,二月份对Yahoo! 等站点发生的DDoS攻击,前提是黑客入侵并控制了许多因特网上的计算机,并在这些主机上安置了守护程序,听从黑客的统一指挥,并且在指定的时间发出对目标主机的统一攻击。 2.5.2. 日志修改(Log manipulation) 在被攻击的计算机日志等事件记录装置上修改黑客非法入侵访问和攻击的踪迹这是一名黑客必须具备的基本能力之一。事实上,修改日志文件是黑客学习的第一件事情,其道理是显然的。因为,计算机系统的事件一记录装置,如日志文件等,就如同一记录了黑客的“指纹”。黑客攻击发生后,日志中的信息就成为缉拿黑客的最主要的线索之一,并且也是将黑客定罪的重要证据。因此,黑客甚至在攻击发生之前就应该预计到如何更改日志文件。 现在,有许多修改日志的黑客工具,.如UTClena是可以消除黑客留在wtmp、wtmpx、mutp、utmpx和lastlog中黑客“痕迹”的工具。类似的还有ermove、marry等工具。 2.5.3. 隐蔽(Cloaking) 如果黑客在被其入侵的计算机上安装了诸如后门守护程序等为其服务的特殊软件,往往是该主机一开机后就运行着一个或多个进程。主机的系统管理员使用通用的工具,例如PS,就可以显示出当前主机上运行着的所有进程,从而暴露了主机遭到黑客入侵这一事实。这是黑客不愿意看到的。因此,黑客要使用特洛伊化的文件替代系统文件,不显示在正常情况下应该显示的信息,如当前运行的进程等,从而隐藏黑客的非法访问迹象。Rootkit就是这样的工具。 2.5.4. 窃听(Sniffing) 监听网络数据,过滤和记录敏感信息,如口令和帐号等。黑客必须能够在某个网络上成功地控制一台主机,并在该主机上安装嗅探器(sniffer),然后在合适的时间取回嗅探器的记录信息。 2.5.5. “非盲”欺骗(Non-blind spoofing) 这同“盲”欺骗有根本的区别。因为“盲”欺骗不能够获得从被欺骗的目标发送回来的响应,即黑客不可能与被欺骗目标主机建立真正的连接。而在“非盲欺骗”中黑客使用数据监听等技术获得一些重要的信息,比如当前客户与服务器之间TCP包的序列号,而后或通过拒绝服务攻击切断合法客户端与服务器的连接,或在合法客户端关机时,利用IP地址伪装,序列号预测等方法巧妙的构造数据包接管当前活跃的连接或者建立伪造的连接,以获取服务器中的敏感信息,或以合法用户权限远程执行命令。 2.6. CGI攻击 从CERT等安全组织的安全报告分析,近期对CGI的黑客攻击发生的较为频繁。针对CGI的攻击,从攻击所利用的脆弱性、攻击的目标和所造成的破坏等各方面都有所不同。具体来说大致有,以下两种类型的CGI攻击。 2.6.1. 低级CGI攻击 黑客可以获得系统信息或者口令文件、非法获得WWW服务、获得服务器的资源,有时甚至获得root权限。 这种情况的CGI攻击发生的一个重要原因是:服务器上运行着不安全的CGI脚本。如果是这样,则可能给黑客查询本服务器信息提供了方便,例如,可以根据黑客的提交,查询某个文件是否存在;可以给黑客发送本机的口令文件等; 第二个重要原因是:httpd以root方式运行。如果是这样,那么一旦httpd出现任何形式的漏洞都将是致命的。因为任何漏洞都可使黑客拥有orot的权限。 第三个重要原因是:使用了安全性脆弱的口令。 应该采取的措施包括:①更新软件;②定期进行WWW安全检查。 2.6.2. 高级CGI攻击 黑客可以获得数据库访问权(获得用户的资料)、获得roct权限,还可以修改页面。 这种情况的CGI攻击发生的原因:一是服务器的CGI脚本太过陈旧;二是CGI脚本编写不规范,或者是管理员自己编写的CGI脚本。这样的攻击所造成的损