第10章安全扫描技术2015.ppt

10.1 安全威胁分析 10.1.1 入侵行为分析 怎样才算是受到了黑客的入侵和攻击呢？ 狭义的定义认为：攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络中。 广义的定义认为：使网络受到入侵和破坏的所有行为都应被称为“攻击”。本书采用广义的定义，即认为当入侵者试图在目标机上“工作”的那个时刻起，攻击就已经发生了。 下面我们从以下几个方面对入侵行为进行分析： （1）入侵目的 执行过程 获取文件和数据 获取超级用户权限 进行非授权操作 使用系统拒绝服务 篡改信息 披露信息 （2）实施入侵的人员 伪装者：未经授权使用计算机者或者绕开系统访问机制获得合法用户账户权限者。 违法者：未经授权访问数据库、程序或资源的合法用户，或者是具有访问权限错误使用其权利的用户。 秘密用户：拥有账户管理权限者，利用这种机制来逃避审计和访问数据库，或者禁止收集审计数据的用户。 （3）入侵过程中的各个阶段和各个阶段的不同特点 窥探设施 顾名思义也就是对环境的了解，目的是要了解目标采用的是什么操作系统，哪些信息是公开的，有何价值等问题，这些问题的答案对入侵者以后将要发动的攻击起着至关重要的作用。 攻击系统 在窥探设施的工作完成后，入侵者将根据得到的信息对系统发动攻击。攻击系统分为对操作系统的攻击、针对应用软件的攻击和针对网络的攻击三个层次。 掩盖踪迹 入侵者会千方百计的避免自己被检测出来。 10.1.2 安全威胁分析 计算机面临的安全威胁有来自计算机系统外部的，也有来自计算机系统内部的。 来自计算机系统外部的威胁主要有： 自然灾害、意外事故； 计算机病毒 人为行为，比如使用不当、安全意识差等； “黑客”行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务、非法连接等； 内部泄密 外部泄密 信息丢失 电子谍报，比如信息流量分析、信息窃取等； 信息战； 计算机系统内部存在的安全威胁主要有： 操作系统本身所存在的一些缺陷； 数据库管理系统安全的脆弱性； 管理员缺少安全方面的知识，缺少安全管理的技术规范，缺少定期的安全测试与检查； 网络协议中的缺陷，例如TCP/IP协议的安全问题； 应用系统缺陷，等等； 在此，我们关注的重点是来自计算机系统外部的黑客的攻击和入侵。 攻击的分类方法是多种多样的。这里根据入侵者使用的方式和手段，将攻击进行分类。 口令攻击 抵抗入侵者的第一道防线是口令系统。几乎所有的多用户系统都要求用户不但提供一个名字或标识符（ID），而且要提供一个口令。口令用来鉴别一个注册系统的个人ID。在实际系统中，入侵者总是试图通过猜测或获取口令文件等方式来获得系统认证的口令，从而进入系统。入侵者登陆后，便可以查找系统的其他安全漏洞，来得到进一步的特权。为了避免入侵者轻易的猜测出口令，用户应避免使用不安全的口令。 有时候即使好的口令也是不够的，尤其当口令需要穿过不安全的网络时将面临极大的危险。很多的网络协议中是以明文的形式传输数据，如果攻击者监听网络中传送的数据包，就可以得到口令。在这种情况下，一次性口令是有效的解决方法。 拒绝服务攻击 拒绝服务站DOS (Denial of Services)使得目标系统无法提供正常的服务，从而可能给目标系统带来重大的损失。值得关注的是，现实情况中破坏一个网络或系统的运行往往比取得访问权容易得多。像TCP/IP之类的网络互联协议是按照在彼此开放和信任的群体中使用来设计的，在现实环境中表现出这种理念的内在缺陷。此外，许多操作系统和网络设备的网络协议栈也存在缺陷，从而削弱了抵抗DOS攻击的能力。 下面介绍4种常见的DOS攻击类型及原理。 （1）带宽耗用（bandwidth-consumption）：其本质是攻击者消耗掉通达某个网络的所有可用带宽。 （2）资源耗竭（resource-starvation）：一般地说，它涉及诸如CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗。 （3）编程缺陷（programming flaw）：是应用程序、操作系统或嵌入式CPU在处理异常文件上的失败。 （4）路由和DNS攻击：基于路由的DOS攻击涉及攻击者操纵路由表项以拒绝对合法系统或网络提供服务。 利用型攻击 利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要的表现形式：特洛伊木马和缓冲区溢出。 （1）特洛伊木马：表面看是有用的软件工具，而实际上却在启动后暗中安装破坏性的软件。 （2）缓冲区溢出攻击（Buffer Overflow）：通过往程序的缓冲区写超出其长度的内容，