第十章 安全脆弱性分析

21
2013-7-9
（1） 口令攻击 （2） 拒绝服务攻击（Denial of Services （3） 利用型攻击 （4） 信息收集型攻击 （5） 假消息攻击 DoS）
22
2013-7-9
（3）利用型攻击
利用型攻击是一种试图直接对主机进行控制的攻击。他有特 洛伊木马和缓冲区溢出两种表现形式 a.特洛伊木马（具有隐蔽性和非授权性） 特征：表面上看有用软件工具，而实际上却在启动后暗中 安装破坏性的软件。
恶意的木马程序：NetBus, Backorifice,B02k等
隐蔽性：采用多种手段隐藏木马，即使服务器端发现感染 了木马，也不容易确定其具体位置。
非授权性：木马驻留在目标计算机里，在目标计算机启动
时，自动启动，一旦控制端与服务端连接后，控制端将享 有服务端大部分操作权限， 包括窃取口令，拷贝或删除文 件，修改注册表，重启计算机等。
2013-7-9
23
特洛伊木马


24
特洛伊木马只是一种远程管理工具，它本质上把 带伤害性，也没有传染性，所以不能称之病毒。 但是如果被人不正当的使用，破坏力可比病毒更 强。 特洛伊木马起源：特洛伊木马源于一场古希腊战 争。希腊人制作了一个巨大无比的木马，特洛伊 人认为这是神的恩赐，于是决定把木马拖入城内 庆祝，但城门过小，特洛伊人只好推倒 了抵抗了 希腊军队十年的坚固的城墙，就在特洛伊人欢庆 并为此喝得大醉的时候，藏在木马里的希腊人轻 而易举地攻下了特洛伊城。特洛伊木马因此而得 名。人们之所以用特洛伊木马命名这种远程控制 软件，是因为它攻击的欺骗性和希腊人的手法相 同。 2013-7-9
第十 章 安全脆弱性分析
10.1 安全威胁分析 10.2 安全扫描技术
1
2013-7-9
第十章
安全脆弱性分析
信息系统不安全的主要原因是系统自身存在的安全 弱点，因此，信息系统安全脆弱性分析是评估系统 安全强度和设计安全体系的基础。
10.1
10.1.1 入侵行为分析
安全威胁分析
1. 入侵和攻击的定义： 狭义：攻击仅仅 发生在入侵行为完成且入侵者 已在 其目标网络中。 广义：使网络受到入侵和破坏的所有行为都应该被 称为“攻击”，即当入侵者试图在目标机上“工作” 的那个时刻起，攻击就已经发生了。 2013-7-9
•
代理端：代理端同样也是攻击者侵入并控制的一批主机，
它们上面运行攻击器程序，接受和运行主控端发来的命令。 代理端主机是攻击的执行者，真正向受害者主机发送攻击。
16
2013-7-9
DDoS攻击过程
(1) 攻击者寻找在Internet上有漏洞的主机， 进入系统后在其上面安装后门程序，攻击 者入侵的主机越多，他的攻击队伍就越壮 大。 (2) 攻击者在入侵主机上安装攻击程序，其中 一部分主机充当攻击的主控端，一部分主 机充当攻击的代理端。 (3) 最后各部分主机各司其职，在攻击者的调 遣下对攻击对象发起攻击。由于攻击者在 幕后操纵，所以在攻击时不会受到监控系 统的跟踪，身份不容易被发现。
一些恶意的操作。
25
2013-7-9
木马必须伪装，才能欺骗别人运行木马。主要有以下方式：
冒充为图像文件
• 木马程序的扩展名基本是exe,例如把“sam.exe”木马文件 更改为“sam.jpg.exe”文件。如果计算机设定为隐藏扩展名的 话，那看到的是“图像文件”sam.jpg了 • 改文件图标：木马本身是没有图标的，而在电脑中显示 了一个windows预设的图标，可以把文件图标改成jpg图标 合并程序欺骗：将一个正常文件和一个木马文件程序捆绑在 一起成为一个文件，以后只要执行这个合并文件，木马文件就 执行
（3）秘密用户：拥有账户管理权限，利用这种控制 来逃避审计和访问数据，或者禁止收集审计数据。 可能是外部人员，也可能是内部人员 4.入侵和攻击过程： 窥探设施
4
攻击系统
掩盖踪迹
2013-7-9
（1）窥探设施：获取目标系统的信息。包括操作系统的类型 和版本，主要提供的服务和服务进程的类型和版本，网 络拓扑结构。
伪装成应用程序扩展组件：最难识别的木马。
木马防范： 查找文件：如冰河木马的一个特征文件是kernl32.exe, 另 一个是sysexlpr.exe, 只要删除这两个文件，木马就不起作用了。
2013-7-9
26
b.缓冲区溢出攻击（buffer overflow） 特征：通过往程序的缓冲区写超出其长度的内容，造成缓冲 区的溢出，从而破坏程序的堆栈，使程序转而执行一
2013-7-9
20
d.路由和DNS攻击
（1）基于路由的DoS涉及攻击者操纵路由表项拒 绝对合法系统或网络提供服务。 适合于早期，在较早的路由协议中没有或很少
有认证机制，这给攻击者修改合法路由创造了条
件，攻击者往往通过假冒IP地址就能达到目的 （2）基于域名系统的攻击往往将受害者域名服务 器高速缓存中的信息改成虚假的地址信息。
14
2013-7-9
一般性的分布式攻击(如DDoS)模型
15
2013-7-9
三层模型
• 攻击者：攻击者所用的计算机是攻击主控台，可以是网络 上的任何一台主机，甚至可以是一个活动的便携机。攻击者
操纵整个攻击过程，它向主控端发送攻击命令。
• 主控端：主控端是攻击者非法侵入并控制的一些主机，这些 主机还分别控制大量的客户主机。主控端主机的上面安装了 特定的程序，因此它们可以接受攻击者发来的特殊指令，并 且可以把这些命令发送到代理主机上。
定义：通过某些手段使得目标系统或者网络不 能提供正常的服务 – DoS攻击主要是利用了TCP/IP 协议中存在的设 计缺陷和操作系统及网络设备的网络协议栈存在 的缺陷。 难以防范，有些DoS可以通过管理的手段预防。

10
2013-7-9
DoS的案例
• 政府网站
– 美国白宫的网站曾经遭受拒绝服务攻击
Death – 修改(篡改)系统策略，使得它不能提供正常的服务
13
2013-7-9
a.带宽耗用 （bandwidth—consumtion） 即攻击者消耗到通达某个网络的所有可用带宽。 （1） 攻击者有比受害者网络的带宽更大的可用带宽， 从而可以造成受害者的网络拥塞 说明：高带宽是大公司和国家科研机关拥有的；以个 人为主的 黑客很难享用 （2）攻击者通过征用多个站点放大DoS攻击的效果， 即分布式攻击DDoS(Distributed Dential of Servies) 什么是分布式拒绝服务DDOS • 传统的拒绝服务是一台机器向受害者发起攻击， DDOS不是仅仅一台机器而是多台主机合作，同时向一 个目标发起攻击。
• 分布式拒绝服务
– 在2000年2月7—8发生的一次对某些高利润站点
Yahoo、eBay、Buy.com等的拒绝服务攻击，持续
了近两天，使这些公司遭受了很大的损失。事后这
些攻击确定为分布式的拒绝服务攻击。
11
2013-7-9
DoS的类型

粗略来看，分为三种形式 – 使一个系统或网络瘫痪，发送一些非法数 据包使系统死机或重起 – 向系统发送大量信息，使系统或网络不能 响应 – 物理部件的移除，或破坏
木马例子
一个用户可能从网上下载了某个程序，该程序声称
是Microsoft Internet Explorer的一个升级版本，当该
用户运行这个程序时，一条消息显示出来说明程序 已经被升级了，但实际上运行该程序时就安装了一 个工具软件，它是运行在后台的，可以删除文件， 收集口令，并将该口令发送到黑客的账户，或执行
19
的合同。
2013-7-9
b.资源衰竭（resource starvation）
特征：攻击者往往拥有一定数量系统资源的合法访问 权限。
方式： 滥用这种访问权限将消耗额外的资源，合法用 户被剥夺了原来的资源份额。（资源：cpu利用率、内 存等）
c.编程缺陷（programming flaw）
特征：应用程序、操作系统或嵌入式cpu在处理异常条 件上 的失败。 方式：攻击者往往向目标 系统发送非法的、与 RFC(Request For Comment) 不相容的数据包来确认其 网络协议栈是否会处理这种异常或则是否会导致系统 崩溃。
7
2013-7-9
DoS）
（1）口令攻击
口令是抵抗攻击的第一道防线。几乎所有的多用户 系统都要求提供帐号ID的同时，而且还提供一个口令。
不安全的口令：
• 用户名或其变形 • 电话号码、执照号码 • 一些常见的单词 • 生日 • 长度小于5的口令 • 空口令或弱口令
8
• 上述词后加上数字
2013-7-9
（1） 口令攻击 （2） 拒绝服务攻击（Denial of Services （3） 利用型攻击 （4） 信息收集型攻击 （5） 假消息攻击 DoS）
9
2013-7-9
（2）拒绝服务(Denial of Service)攻击


回顾信息安全的三个主要需求： – 保密性、完整性、可用性(availability) – DoS是针对可用性发起的攻击

2013-7-9
18
网络911 F 据估计，欧洲的有关公司因泄密导致的商业损失可 能高达200亿美元。 F 欧洲议会听证会上的一份研究报告列举了这种经济 间谍活动给欧洲企业带来的灾难性影响。其中法国电子 业巨头汤姆森无线电报总公司正是因为这种间谍活动， 在1994年失去了一项关于亚马孙森林发展的70亿法郎 合同，此外还有美国依靠窃取的情报，破坏了法国本来 打算为沙特阿拉伯提供“空中客车”飞机的340亿法郎
12
2013-7-9
DoS的技术分类
• 从表现形式来看 – 带宽消耗
• 用足够的资源消耗掉有限的资源
• 利用网络上的其他资源(恶意利用Internet共享资源)， 达到消耗目标系统或网络的目的
– 系统资源衰竭，针对操作系统中有限的资源，如进程数、 磁盘、CPU、内存、文件句柄，等等
– 程序实现上的缺陷，异常行为处理不正确，比如Ping of
17
2013-7-9
网络911
2000年2月7日10时15分，汹涌而来的垃 圾邮件堵死了雅虎网站除电子邮件服务等 三个站点之外的所有服务器，雅虎大部分 网络服务陷入瘫痪。 第二天，世界最著名的网络拍卖行eBay、 美国有线新闻网CNN的网站、顶级购物网 站Amazon也因黑客 袭击而瘫痪。 在此之后又有一些著名网站被袭击： ZDnet，Etrade，Excite，Datek……到2 月17日为止，黑客攻击个案已增至17宗， 而且可能有更多网站受袭而未被察觉。 引起美国道琼斯和纳斯达克指数大幅下挫。
•内部泄漏
•信息丢失
•外部泄漏
•电子谍报
•信息战
系统内部威胁 • OS本身存在的缺陷 •管理员安全知识的欠缺 • DBMS安全脆弱性 • 网络协议缺陷（TCP/TP)
2013-7-9
6 •应用系统缺陷
2. 攻击分类
攻击分类的方法很多，如按照攻击的意图：主动攻击 和被动攻击 根据入侵者使用的手段和方式将攻击分类如下： （1） 口令攻击 （2） 拒绝服务攻击（Denial of Services （3） 利用型攻击 （4） 信息收集型攻击 （5） 假消息攻击
2
2. 入侵的目的：
（1）执行进程：运行程序，消耗系统资源，对目标主机无害 （2）获取文件和数据：如：采用网络舰艇程序获取用户口令
文件
（3） 获取超级用户权限：目的是进行任何操作 （4） 进行非授权操作：寻找管理员设置中的漏洞，或用工具 突 破系统防线 （5）使系统拒绝服务：目标系统中断或完全拒绝合法用户、网
络系统或其他资源的服务。攻击的意图是恶意的
（6）篡改信息：对重要文件的修改、更换和删除等 （7）披露信息：入侵者将获得信息和数据发往公开的站点，造
3
成信息的扩散。
2013-7-9
3.入侵者类型：
（1）伪装者：未经授权使用计算机或绕开系统访问 控制机制获得合法用户权限。可能是外部人员
（2）违法者：未经授权访问数据、程序或资源的合 法用户，或者具有访问授权错误使用其权利的人。 一般是内部人员
信息收集技术也是一把双刃剑
– 黑客在攻击之前需要收集信息，才能实施有效的攻击 – 管理员用信息收集技术来发现系统的弱点
（2）攻击系统：主要攻击OS、应用软件和网络 （3）掩盖踪迹：目的是防止被检测出来。 5
201wenku.baidu.com-7-9
10.1.2 安全威胁分析
1.威胁来源：系统内部威胁和系统外部威胁 来自外部威胁： •自然灾害，意外事故 •人为行为（使用不当） • 计算机病毒 •黑客行为（非法访问等）