◆传输控制协议困特网互联协议( Transmission Control Protocol/Internet Protocol,TCPP)是目前因特网中使用最广泛的协议。
◆目前因特网使用的是IPv4。IPv6是由互联网工程任务组( Internet Engineering Task Force,IETF)设计的下一代IP协议。
◆超文本标记语言( Hyper Text Mark- up Language,HTML)是一种制作万维网页面的标准语言,为不同的计算机交换信息源提供了统一的格式
◆超文本传输协议( Hyper Text Transfer Protocol,HIP)是因特网上应用最广泛的一种网络协议,是用于WWW服务器传输超文本到本地浏览器的传输协议。
◆互联网上每个主机都有一个IP地址,如果把IP地址比作一栋楼的一间房间,端口就是出入这个房间的门。
◆计算机通过端口(Port)实现与外部通信的连接,黑客攻击是将系统和网络设各中的各种端口作为入侵通道
◆域名系统(Domain Name System,DNS)用于域名和IP地址间的转换。
◆统一资源定位符( Uniform Resource Locator,URL)用来标识万维网中每个信息资源的地址。
◆URL由三部分组成,表示形式为:http:/主机域名或IP址[:端口号]文件路径/文件名
◆其中,http表示使用HTTP传输协议,将远程服务器上的文件或者网页传输给用户的浏览器:主机域名指的是提供此服务的计算机的域名:端口号通常为默认端口,如网页服务器使用的端口号是80,一般不需要特意指定端口号:“文件路径/文件名”指的是网页在服务器硬盘中的位置和文件名。
◆万维网( World Wide Web,WWW)是因特网上最广泛使用的一种信息服务,是因特网的主要组成部分。用户可以通过客户端程序(测览器)访问服务器端程序提供的页面
◆社会工程学( Social Engineering,SE)不是一门科学而是一门综合运用信息收集、语言技巧、心理陷阱等多种手段,完成欺骗目的的方法。
◆社会工程学攻击主要是利用人们信息安全意识淡薄以及人性的弱点,从而让用户上当受骗。
◆攻击者通过各种手段和方法收集用户信息,进而使用这些用户信息完成各种非法的活动,比如身份盗用,获取有价值的情报和机密等
◆引言
在当前的网络中,攻击和威胁无处不在,每个用户都不得不随时提高警惕,防止资料外泄,从而给自己造成不必要的损失。在各种威胁中,嗅探攻击算得上是一种比较常见的攻击手段。
◆网络嗅探的定义
嗅探,英文是 sniff,也被叫做监听。
网络嗅探,就是通过截获、分析网络中传输的所有数据帧而获取有用信息的行为。
◆嗅探的安全威胁
◆对黑客来说,通过嗅探技术能以非常隐蔽的方式攫取网络中大量敏感信息,例如:你正在访问什么网站,你的邮箱密码是多少,你的0Q聊天记录是什么等等。
◆很多攻击方式(如著名的会话劫持)都是建立在嗅探的基础上的。
◆钓鱼攻击一引言
在传统的利用系统漏洞和软件漏洞进行入侵攻击的可能性越来越小的前提下,网络钓鱼攻击已经逐渐成为黑客们趋之若鹜的攻击手段。随着“网购”的日益普及,网络钓鱼迅速泛滥,其对网民的威胁已经逐超过挂马网站。同时,无论网络相关的客户端软件还是大型的Web网站,都开始发觉网络钓鱼攻击已经成为了一个严峻的问题。
◆网络钓鱼攻击定义
网络钓鱼( Phishing)是指攻击者利用伪造的Web站点和欺骗性的电子邮件来进行的网络诈骗活动,受骗者往往会泄露自己的私人资料,如网上银行账号及密码、信用卡号、各种支付系统的账号及密码、身份证号等内容。诈骗者通常会将自己伪装成网络银行、网上卖家和信用卡公司等令人信任的品牌,骗取用户的机密信息,盗取用户资金。
◆网络钓鱼攻击的危害性
有统计数字显示,2008年封杀的仅冒充“淘宝网”的“钓鱼”网站只有10个,而2009年6月,被封杀的假淘宝网站多达2000个。网络钓鱼攻击已成为影响用户上网安全的第一大威胁。据报道,国家反钓鱼联盟累计收到19817个钓鱼网站举报,处理了19688个钓鱼网站,其中,电子商务网站为钓鱼网站重灾区。据国家计算机网络应急中心估算,目前国内“网络钓鱼”让网民的损失已达76亿元。也就是说,全国4.2亿网民平均每人损失超过18元:若按其中1亿活跃网购用户来计算,相当于平均每人损失76元。
◆常见的钩鱼攻击技术
钓鱼攻击使用多种技术,使一封电子邮件信息或网页的显示同其运行表现出欺骗性差异。下面列出了一些较为常见攻击技术。
◆复制图片和网页设计、相似的域名
用户鉴别网站的一种方法是检查地址栏中显示URL。为了达到欺骗目的,攻击者会注册一个域名,它看起来同要假冒的网站域名相似,有时攻击者还会改变大小写或使用特殊字符。由于大多数浏览器是以无衬线字体显示URL的,因此,“paypal.com”可用假冒“paypal.com”,“barciays.com’”可用来假冒“barclays.com”。更常见的是,假域名只简单地将真域名的一部分插入其中,例如,用“ebay- members securIty.com”假冒“ebay.com”,用“users paypal.com假冒“paypal.com”。而大多数用户缺少判断一个假域名是否真正为仿冒公司所有的工具和知识
◆URL隐藏
假冒URL的另一种方法利用了URL语法中一种较少用到的特性。用户名和密码可包含在域名前,语法为http://username:passwordadomain/攻击者将一个看起来合理的域名放在用户名位置,并将真实的域名隐藏起来或放在地址栏的最后,例如http://earthlinknet%6c%6c…6c9211.112.228.2”。网页浏览器的最近更新已关闭了这个漏洞,其方法是在地址栏显示前将URL中的用户名和密码去掉,或者只是简单的完全禁用含用户名/密码的URL语法,Internet Explorer就使用了后一种办法。
◆IP地址
隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示,如http://210.93.131.250.这种技术的有效性令人难以置信,由于许多合法URL也包含一些不透明且不易理解的数字,因此,只有懂得解析URL且足够警觉的用户才有可能产生怀疑。
◆欺骗性的超链接
一个超链接的标题完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异,在链接标题中显示一个URL,而在背后使用了一个完全不同的URL.即便是一个有着丰富知识的用户,他在看到消息中显而易见的URL后也可能不会想到去检查其真实的URL.检查超链接目的地址的标准方法是将鼠标放在超链接上,其URL就会在状态栏中显示出来,但这也可能被攻击者利用 JavaScript或URL隐藏技术所更改。
◆隐藏提示
还有一种更复杂的攻击,它不是在URL上做文章,而是通过完全替换地址栏或状态栏达到使其提供欺骗性提示信息的目的。最近发生的一次攻击就使用了用 JavaScript在 Internet Explorer的地址栏上创建的一个简单的小窗口,它显示的是一个完全无关的URL。
◆弹出窗口
最近对 Citibank客户的一次攻击使网页复制技术前进了一步,它在浏览器中显示的是真实的 Citibank网页,但在页面上弹出了一个简单的窗口,要求用户输入个人信息。
◆简介
此类攻击指一个用户占据了大量的共享资源,使得系统没有剩、余的资源给其他用户可用的一种攻击方式。这是一类危害极大的攻击方式,严重的时候可以使一个网络瘫痪。
◆Flooding攻击
发送垃圾数据或者响应主机的请求来阻塞服务
◆Smurf攻击
利用IP的广播系统的反射功能来增强 Flooding攻击
◆SYN( Synchronize) Flooding攻击
利用TGP实现中的漏洞(有限的缓存)来阻塞外来的连接请求
◆SYN- Flooding攻击
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之ー,这是一种利用TGP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(GPU满负荷或内存不足)的攻击方式。TGP与UDP不同,它是基于连接的,也就是说,为了在服务端和客户端之间传送TCP数据,必须先建立也就是TCP连接。
◆SYN- Flooding攻击概述(1)
建立TCP连接的标准过程如下:
◆首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步( Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号。
◆服务器在收到客户端的SYN报文后,将返回一个SYN+AGK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认( Acknow ledgement)
◆最后,客户端也返回一个确认报文AK给服务器端,同样TCP序列号被加1,到此一个TCP连接完成。
◆以上的连接过程在TCP协议中被称为三次握手( Three-way Handshake)
◆SYN- Flooding攻击概述(2)
假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的AK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度称为SYN超时( Timeout),一般来说这个时间是分钟的数量级(大约为30秒到2分钟):一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况。
◆SYN- Flooding攻击概述(3)
服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源:数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的GPU时间和内存,何况还要不断对这个列表中的IP进行SYN+AGK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了 SYN Flood攻击(SYN洪水攻击)。
◆针对拒绝服务攻击的防范措施
◆安装防火墙,禁止访问不该访问的服务端口,过滤不正常的畸形数据包,使用NAT(网络地址转换)隐藏内部网络结构
◆安装入侵检测系统,检测拒绝服务攻击行为
◆安装安全评估系统,先于入侵者进行模拟攻击,以便及早发现问题并解决
◆提高安全意识,经常给操作系统和应用软件打补丁
◆远程控制攻击的安全威胁
网络攻击成功可以实现对目标主机的入侵,攻击者下
步希望对目标主机进行远程控制,以便可轻松获取目标主机中有价值的数据和信息。对目标主机的远程控制主要利用木马来实现,此外,对于web服务器还可以通过Web Shell进行远程控制。
◆木马
◆木马的技术演变
第1代木马:20世纪80年代,主要是在UNIX环境中通过命令行界面实现远程控制。
第2代木马:20世纪90年代末,在 Windows环境中大量应用。例如,B02000,冰河木马。
第3代木马:通过端口反弹技术,实现从内网到外网的连接,可以穿通硬件防火墙,比较典型的是灰鸽子木马。
第4代木马:通过线程插入技术在系统进程和应用进程中,实现木马运行时没有进程,网络连接也隐藏在系统进程或者应用进程中,例如广外男生木马。
第5代木马:普遍采用 rootkit技术,在隐藏方面比第4代有进一步提升。
◆木马的检测
木马的检测和查杀除了依靠杀毒软件和安全防护软件等常用手段外,还可以通过全面检测系统的注册表、文件、网络连接、运行的进程等实现人工的分析。木马的远程控制功能要实现,必须通过执行一段代码来实现。因此,即使木马使用的技术再新,也会在操作系统中留下痕迹。通过运用多种监控手段和工具,可以协助发现植入的木马程序。
◆Web Shell
和操作系统中的木马程序功能类似, Webshell可以理解为是一种Web脚本写的木马后门,它用于远程控制网站服务器。 Webshell以ASP、PHP、XJSP等网页文件的形式存在,攻击者首先利用Web网站的漏洞将这些网页文件非法上传到网站服务器的Web目录中,然后通过浏览器访问这些网页文件,利用网页文件的命令行执行环境,获得对网站服务器的远程操作权限,以达到控制网站服务器的目的。Webshell除了被攻击者利用之外,也常被网站管理员用 Webshell进行网站管理、服务器管理等。 Webshell能提供对网站服务器的较为强大的管理功能,它在为网站管理员提供方使的同时,也为攻击者远程控制网站提供了方使的手段。
◆Webshell的远程控制功能
在线编辑网页脚本的功能
上传和下载文件的功能
查看和管理数据库的功能
利用网站服务器的某些漏洞进行提权后也能获得服务器上的系统管理权限
◆虚拟专用网络( Virtual Private Network,VPN)是在公用网络上建立专用网络的技术
◆“虚拟的”,即用户实际上并不存在一个独立专用的网络,既不需要建设或租用专线,也不需要配置专用的设备,而是将其建立在分布广泛的公共网络上,就能组成一个属于自己的专用网络。
◆其次是“专用的”,相对于“公用的”"来说,它强调私有性和安全可靠性
◆虚拟专用网络( Virtual Private Network,VPN)
◆整个VPN络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台
◆VPN是利用 Internet等公共网络基础设施,通过隧道技术,为用户提供的与专用网络具有相同通信功能的安全数据通道,可以实现不同网络之间以及用户与网络之间的相互连接。
◆虚拟专用网络( Virtual Private Network,VPN)主要特征
◆(1)成本低
◆(2)安全性高
◆(3)服务质量保证
◆(4)可管理性
◆(5)可扩展性
◆VPN的实现技术
◆隧道技术是VPN的核心技术,是一种隐式传输数据的方法。
◆隧道技术通过对数据进行封装,在公共网络上建立一条数据通道(隧道),让数据包通过这条隧道传输;
◆从协议层次看,主要有三种:第二层隧道协议、第三层隧道协议和第四层隧道协议。
◆ IPSec协议
◆ 安全套接层协议(Secure Socket Layer,SSL)
◆VPN的实际应用
◆实际应用中VPN技术针对不同的用户有不同的解决方案。
◆(1)远程访问虚拟网( Access VPN)
◆(2)企业内部虚拟网( Intranet VPN)
◆(3)企业扩展虚拟网( Extranet VPN)
防火墙的本义
原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生的时候蔓延到别的房屋
这里所说的防火墙,是指在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统
一种高级访问控制设备,置于不同网络安全域
之间的一系列部件的组合,它是不同网络安全域间通信流的唯一诵道
,能根据企业有关的安全政策控制
(允许、拒绝监视、记录)进出网络的访问行为。
◆根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能
◆内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了防火墙的主要意义了。
◆只有符合安全策略的数据流才能通过防火墙。这也是防火墙的主要功能审计和过滤数据。
◆防火墙自身应对渗透( penetration)免疫。如果防火墙自身都不安全,就更不可能保护内部网络的安全了。
◆由于防火墙假设了网络边界和服务,因此适合于相对独立的网络
◆例如 Intranet等种类相对集中的网络。 Internet上的Web网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后
◆一般来说,防火墙由四大要素组成:
安全策略:一个防火墙能否充分发挥其作用的关键。哪些数据不能通过防火墙、哪些数据可以通过防火墙:防火墙应该如何具备部署;应该采取哪些方式来处理紧急的安全事件:以及如何进行审计和取证的工作。等等这些都属于安全策略的范畴。防火墙绝不仅仅是软件和硬件,而且包括安全策略,以及执行这些策略的管理员。
内部网:需要受保护的网。
外部网:需要防范的外部网络。
技术手段:具体的实施技术。
◆虽然防火墙可以提高内部网的安全性,但是,防火墙也有它存在的一些缺陷和不足。有些缺陷是目前根本无法解决的。
◆为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,但这些服务也许正是用户所需要的服务,给用户带来使用的不便。这是防火墙在提高安全性的同时,所付出的代价。
◆目前防火墙对于来自网络内部的攻击还无能为力。防火墙只对内外网之间的通信进行审计和“过滤”,但对于内部人员的恶意攻击,防火墙无能为力。
◆防火墙不能防范不经过防火墙的攻击,如内部网用户通过SLIP或PPP直接进入 Internet。这种绕过防火墙的攻击,防火墙无法抵御。
◆防火墙对用户不完全透明,可能带来传输延迟、瓶颈及单点失效。
◆防火墙也不能完全防止受病毒感染的文件或软件的传输,由于病毒的种类繁多,如果要在防火墙完成对所有病毒代码的检査,防火墙的效率就会降到不能忍受的程度。
◆防火墙不能有效地防范数据驱动式攻击。防火墙不可能对所有主机上运行的文件进行监控,无法预计文件执行后所带来的结果
◆作为一种被动的防护手段,防火墙不能防范因特网上不断出现的新的威胁和攻击。
◆防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。
◆典型情况:安全网络为企业内部网络,不安全网络为因特网
◆但防火墙不只用于因特网,也可用于 Intranet各部门网络之间(内部防火墙)。例:财务部与市场部之间
◆应用代理( Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。
◆状态检测( Status Detection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。
防火墙实现层次
◆防火墙不可以防范什么?
◆防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。
◆防火墙不能防范绕过防火墙的攻击,例:内部提供拔号服务。
◆防火墙不能防范来自内部人员恶意的攻击。
◆防火墙不能阻止被病毒感染的程序或文件的传递。
◆防火墙不能防止数据驱动式攻击。例:特洛伊木马。
◆无线局域网技术可以非常便捷的以无线方式连接网络设备,相对于有线局域网它具有许多优点,如人们可以随时随地的访问网络资源。
◆无线网络的安全性主要体现在访问控制和数据加密两个方面
◆(1)访问控制保证感数据只能由授权用户进行访问
◆(2)数据加密则保证发送的数据只能被所期望的用户所接受和理解
◆无线局域网示意图
◆(1)修改 admin密码
◆(2)WEP加密传输
◆(3)禁用DHCP服务
◆(4)修改SNMP字符串
◆(5)修改SSID标识
◆(6)禁止SSID广播
◆(7)禁止远程管理
◆(8)MAC地址过滤
◆(9)合理放置无线AP
◆(10)WPA用户认证