1、,第10章 網(wǎng)絡(luò)攻防技術(shù),指導(dǎo)教師：李云亮,本章要求,了解網(wǎng)絡(luò)攻擊帶來(lái)的問(wèn)題 理解常見(jiàn)的網(wǎng)絡(luò)入侵手段和網(wǎng)絡(luò)攻擊手段 掌握安全防范的基本原則和安全監(jiān)測(cè)技術(shù) 掌握安全審計(jì)和安全掃描技術(shù)。,本章主要內(nèi)容,10.1 網(wǎng)絡(luò)攻擊 10.2 網(wǎng)絡(luò)入侵技術(shù) 10.3 網(wǎng)絡(luò)攻擊技術(shù) 10.4 安全防范和安全監(jiān)測(cè),10.1 網(wǎng)絡(luò)攻擊,10.1.1網(wǎng)絡(luò)攻擊概念 10.1.2網(wǎng)絡(luò)攻擊分類 10.1.3網(wǎng)絡(luò)攻擊的一般過(guò)程,10.1.1網(wǎng)絡(luò)攻擊概念,網(wǎng)絡(luò)的入侵是指對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)的非法進(jìn)人，即攻擊者未經(jīng)合法的手段和程序而取得了使用該系統(tǒng)資源的權(quán)力。 網(wǎng)絡(luò)入侵的目的有多種，或者是取得使用系統(tǒng)的存儲(chǔ)能力、處理能力以及訪

2、問(wèn)其存儲(chǔ)的內(nèi)容的權(quán)力，或者是作為進(jìn)人其他系統(tǒng)的跳板，或者是想破壞這個(gè)系統(tǒng)(使其毀壞或喪失服務(wù)能力)。 網(wǎng)絡(luò)攻擊是指對(duì)網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性、抗抵賴性產(chǎn)生危害的行為。這些行為可抽象地分為四個(gè)基本情形：信息泄漏攻擊、完整性破壞攻擊、拒絕服務(wù)攻擊和非法使用攻擊。 網(wǎng)絡(luò)攻擊的全過(guò)程是：攻擊者發(fā)起并應(yīng)用一定的攻擊工具（包括攻擊策略與方法），對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊操作，達(dá)到一定的攻擊效果，實(shí)現(xiàn)攻擊者預(yù)定義的攻擊效果。,10.1.2網(wǎng)絡(luò)攻擊分類,在最高層次，網(wǎng)絡(luò)攻擊可分為主動(dòng)攻擊和被動(dòng)攻擊兩類。 被動(dòng)攻擊主要是收集信息而不是進(jìn)行訪問(wèn)，通過(guò)網(wǎng)絡(luò)竊聽(tīng)截取數(shù)據(jù)包并進(jìn)行分析，從中竊取重要的敏感信息

3、。數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一點(diǎn)也不會(huì)覺(jué)察。被動(dòng)攻擊包括嗅探以及信息收集等攻擊方法。,主動(dòng)攻擊包含竊取、篡改、假冒和破壞等，是攻擊者訪問(wèn)他所需信息的故意行為。 從攻擊的目的來(lái)看，可以有拒絕服務(wù)攻擊、獲取系統(tǒng)權(quán)限的攻擊、獲取敏感信息的攻擊； 從攻擊的切入點(diǎn)來(lái)看，有緩沖區(qū)溢出攻擊、系統(tǒng)設(shè)置漏洞的攻擊； 從攻擊的縱向?qū)嵤┻^(guò)程來(lái)看，有獲取初級(jí)權(quán)限攻擊、提升最高權(quán)限的攻擊、后門攻擊、跳板攻擊； 從攻擊的類型來(lái)看，有對(duì)各種操作系的攻擊、對(duì)網(wǎng)絡(luò)設(shè)備的攻擊、對(duì)特定應(yīng)用系統(tǒng)的攻擊。,10.1.3網(wǎng)絡(luò)攻擊的一般過(guò)程,進(jìn)行網(wǎng)絡(luò)攻擊主要工作流程：收集信息，遠(yuǎn)程攻擊，遠(yuǎn)程登錄，取得普通用戶名及權(quán)限，取得超級(jí)用戶名及權(quán)限，

4、留下后門，清除日志。主要內(nèi)容包括目標(biāo)分析，文檔獲取，破解密碼，日志清除等技術(shù)。 一次成功的攻擊，一般都經(jīng)過(guò)下面步驟：,1.隱藏IP：通常有兩種方法實(shí)現(xiàn)自己IP的隱藏：第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺(tái)電腦（俗稱“肉雞”），利用這臺(tái)電腦進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計(jì)算機(jī)的IP地址。 2.踩點(diǎn)掃描：踩點(diǎn)就是通過(guò)各種途徑對(duì)所要攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確），確定攻擊的時(shí)間和地點(diǎn)。掃描的目的是利用各種工具對(duì)攻擊目標(biāo)的IP地址或地址段的主機(jī)上尋找漏洞。,3.獲得系統(tǒng)或

5、管理員權(quán)限：得到管理員權(quán)限的目的是連接到遠(yuǎn)程計(jì)算機(jī)，對(duì)其進(jìn)行控制，達(dá)到自己攻擊目的。獲得系統(tǒng)及管理員權(quán)限的方法有：通過(guò)系統(tǒng)漏洞獲得系統(tǒng)權(quán)限；通過(guò)管理漏洞獲得管理員權(quán)限；通過(guò)軟件漏洞得到系統(tǒng)權(quán)限；通過(guò)監(jiān)聽(tīng)獲得敏感信息進(jìn)一步獲得相應(yīng)權(quán)限；通過(guò)弱口令獲得遠(yuǎn)程管理員的用戶密碼；通過(guò)窮舉法獲得遠(yuǎn)程管理員的用戶密碼；通過(guò)攻破與目標(biāo)機(jī)有信任關(guān)系的另一臺(tái)機(jī)器進(jìn)而得到目標(biāo)機(jī)的控制權(quán)；通過(guò)欺騙獲得權(quán)限以及其他有效的方法。,4.種植后門：為了保持長(zhǎng)期對(duì)自己勝利果實(shí)的訪問(wèn)權(quán),在已經(jīng)攻破的計(jì)算機(jī)上種植一些供自己訪問(wèn)的后門。 5.在網(wǎng)絡(luò)中隱身：一次成功入侵之后，一般在對(duì)方的計(jì)算機(jī)上已經(jīng)存儲(chǔ)了相關(guān)的登錄日志，這樣就容易被管

6、理員發(fā)現(xiàn)。在入侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日志。,10.2 網(wǎng)絡(luò)入侵技術(shù),10.2.1端口掃描 10.2.2漏洞掃描 10.2.3網(wǎng)絡(luò)監(jiān)聽(tīng) 10.2.4口令破譯,10.2.1端口掃描,一個(gè)端口就是一個(gè)潛在的通信通道，也就是一個(gè)入侵通道。 端口掃描技術(shù)通過(guò)對(duì)目標(biāo)系統(tǒng)的所有端口進(jìn)行掃描，查看哪些端口處于打開(kāi)狀態(tài)，正在提供什么服務(wù)，再憑經(jīng)驗(yàn)得知這種服務(wù)可能存在什么缺陷，為黑客的入侵收集可利用的信息。 進(jìn)行掃描的方法很多，可以是手工進(jìn)行掃描，也可以用端口掃描軟件進(jìn)行。,掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)系統(tǒng)安全性缺陷或漏洞的專用程序。掃描器不是直接攻擊網(wǎng)絡(luò)漏洞的程序，而是用來(lái)幫助用戶（包括合

7、法和非法的用戶）發(fā)現(xiàn)目標(biāo)的某些內(nèi)在的弱點(diǎn)。 常用的端口掃描工具有SuperScan，XScan，F(xiàn)luxay（流光）等。 根據(jù)端口掃描利用的技術(shù)，可將掃描分成以下類型：,1、TCP connect() 掃描 2、TCP SYN掃描 3、TCP FIN 掃描 4、IP段掃描 5、UDP ICMP端口不能到達(dá)掃描 6、ICMP echo掃描,10.2.2漏洞掃描,漏洞是指硬件、軟件或策略上的缺陷，從而可使攻擊者能夠在未經(jīng)授權(quán)的情況下訪問(wèn)系統(tǒng)。 漏洞涉及的范圍很廣，涉及到網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)、各個(gè)方面，包括：路由器、防火墻、操作系統(tǒng)、客戶和服務(wù)器軟件。 漏洞掃描是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地安全漏洞的軟件，通過(guò)

8、漏洞掃描器，可以自動(dòng)發(fā)現(xiàn)系統(tǒng)的安全漏洞。 常見(jiàn)漏洞掃描技術(shù)有CGI漏洞掃描，弱口令掃描，操作系統(tǒng)漏洞掃描、數(shù)據(jù)庫(kù)漏洞掃描等。,下面以Xscan為例，來(lái)介紹漏洞掃描 X-Scan是一個(gè)完全免費(fèi)漏洞掃描軟件，由“安全焦點(diǎn)”開(kāi)發(fā)。對(duì)于黑客們來(lái)講，X-Scan是一款非常優(yōu)秀的掃描器了。,10.2.3網(wǎng)絡(luò)監(jiān)聽(tīng),網(wǎng)絡(luò)監(jiān)聽(tīng)的目的是截獲通信的內(nèi)容，監(jiān)聽(tīng)的手段是對(duì)協(xié)議進(jìn)行分析。網(wǎng)絡(luò)監(jiān)聽(tīng)，通常也稱為網(wǎng)絡(luò)嗅探，即監(jiān)視探聽(tīng)。 嗅探器的英文名稱是Sniff，可以理解為一個(gè)安裝在計(jì)算機(jī)上的竊聽(tīng)設(shè)備，它可以用來(lái)竊聽(tīng)計(jì)算機(jī)在網(wǎng)絡(luò)上所傳送的信息。 計(jì)算機(jī)網(wǎng)絡(luò)嗅探器則可以竊聽(tīng)計(jì)算機(jī)程序在網(wǎng)絡(luò)上發(fā)送和接收到的數(shù)據(jù)，不過(guò)這些數(shù)據(jù)是大

9、量無(wú)意義的二進(jìn)制數(shù)據(jù)。必須使用特定的網(wǎng)絡(luò)協(xié)議來(lái)分析嗅探到的數(shù)據(jù)，只有這樣才能夠進(jìn)行正確的解碼。 Sniffer pro就是一個(gè)完善的網(wǎng)絡(luò)監(jiān)聽(tīng)工具。,監(jiān)聽(tīng)器Sniffer的原理：在局域網(wǎng)中與其他計(jì)算機(jī)進(jìn)行數(shù)據(jù)交換的時(shí)候，發(fā)送的數(shù)據(jù)包發(fā)往所有的連在一起的主機(jī)，也就是廣播，在報(bào)頭中包含目標(biāo)機(jī)的正確地址。因此只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才會(huì)接收數(shù)據(jù)包，其他的機(jī)器都會(huì)將包丟棄。但是，當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下時(shí)，無(wú)論接收到的數(shù)據(jù)包中目標(biāo)地址是什么，主機(jī)都將其接收下來(lái)。然后對(duì)數(shù)據(jù)包進(jìn)行分析，就得到了局域網(wǎng)中通信的數(shù)據(jù)。,防止監(jiān)聽(tīng)的手段是：建設(shè)交換網(wǎng)絡(luò)、使用加密技術(shù)和使用一次性口令技術(shù)。 除了非常著名的

10、監(jiān)聽(tīng)軟件Sniffer Pro以外，還有一些常用的監(jiān)聽(tīng)軟件：嗅探經(jīng)典Iris；密碼監(jiān)聽(tīng)工具Win Sniffer；密碼監(jiān)聽(tīng)工具pswmonitor和非交換環(huán)境局域網(wǎng)的fssniffer等等。Sniffer Pro是一款非常著名監(jiān)聽(tīng)的工具，但是Sniffer Pro不能有效的提取有效的信息。,10.2.4口令破譯,常見(jiàn)的口令破譯形式： 1、猜解簡(jiǎn)單口令：很多人使用自己或家人的生日、電話號(hào)碼、房間號(hào)碼、簡(jiǎn)單數(shù)字或者身份證號(hào)碼中的幾位；也有的人使用自己、孩子、配偶或?qū)櫸锏拿?；還有的系統(tǒng)管理員使用“password”，甚至不設(shè)密碼，這樣黑客可以很容易通過(guò)猜想得到密碼。 2、字典攻擊：如果猜解簡(jiǎn)單口令

11、攻擊失敗后，黑客開(kāi)始試圖字典攻擊，即利用程序嘗試字典中的單詞的每種可能。字典攻擊可以利用重復(fù)的登錄或者收集加密的口令，并且試圖同加密后的字典中的單詞匹配。黑客通常利用一個(gè)英語(yǔ)詞典或其他語(yǔ)言的詞典。,3、暴力猜解：同字典攻擊類似，黑客嘗試所有可能的字符組合方式。一個(gè)由4個(gè)小寫字母組成的口令可以在幾分鐘內(nèi)被破解，而一個(gè)較長(zhǎng)的由大小寫字母組成的口令，包括數(shù)字和標(biāo)點(diǎn)，其可能的組合達(dá)10萬(wàn)億種。如果每秒鐘可以試100萬(wàn)種組合，可以在一個(gè)月內(nèi)破解。 常用的口令破譯工具有： 1、L0phtCrack：它是目前破譯Windows NT系列操作系統(tǒng)用戶口令最好的黑客軟件。 2、Net Cat：對(duì)系統(tǒng)管理人員及網(wǎng)

12、絡(luò)調(diào)試人員而言，它是一個(gè)非常有用的工具。因?yàn)楣δ軓?qiáng)大，黑客們稱之為“黑客的瑞士軍刀”。 3、Fluxay（流光）：是一個(gè)功能強(qiáng)大的滲透測(cè)試工具，具有應(yīng)用上的綜合性和靈活性。同時(shí)，它還是一款免費(fèi)軟件。,10.3 網(wǎng)絡(luò)攻擊技術(shù),10.3.1拒絕服務(wù)攻擊 10.3.2后門和特洛伊木馬攻擊 10.3.3緩沖區(qū)溢出攻擊,10.3.1拒絕服務(wù)攻擊,拒絕服務(wù)攻擊（Denial of Service即DoS ）即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問(wèn)。這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問(wèn)。它是一種簡(jiǎn)單的破壞性攻擊，它的技術(shù)含量低，攻擊效果明顯。 常見(jiàn)的拒絕服務(wù)攻擊方式有以

13、下幾種：,1、SYN Foold SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(Distributed Denial of Service，分布式拒絕服務(wù)攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。 2、IP欺騙DOS攻擊 這種攻擊利用RST位來(lái)實(shí)現(xiàn)。,3、UDP洪水攻擊 攻擊者利用簡(jiǎn)單的TCP/IP服務(wù)、如Chargen和Echo來(lái)傳送毫無(wú)用處的占滿帶寬的數(shù)據(jù)。通過(guò)偽造與某一主機(jī)的chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開(kāi)著Echo服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間

14、存在很多的無(wú)用數(shù)據(jù)流。這些無(wú)用數(shù)據(jù)流就會(huì)導(dǎo)致帶寬的服務(wù)攻擊。 4Ping洪流攻擊 由于在早期的階段，路由器對(duì)包的最大尺寸都是有限制的。許多操作系統(tǒng)對(duì)TCPIP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭的信息來(lái)為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形時(shí)，聲稱自己的尺寸超過(guò)ICMP上限的包也就是加載的尺寸超過(guò)64KB上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方死機(jī)。,5淚滴(teardrop)攻擊 淚滴攻擊是利用在TCP/IP堆棧中實(shí)現(xiàn)信任IP碎片中的包的標(biāo)題頭所包含的信息來(lái)實(shí)現(xiàn)的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息。某

15、些TCP/IP（包括service pack 4以前的NT)在收到含有重疊偏移的偽造分段時(shí)將崩潰。 6、Land攻擊 Land攻擊原理是：用一個(gè)特別打造的SYN包，它的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息。結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接。被攻擊的服務(wù)器每接收一個(gè)這樣的連接都將保留，直到超時(shí)。,7、Smurf攻擊 一個(gè)簡(jiǎn)單的smurf攻擊原理就是通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(Ping)數(shù)據(jù)包來(lái)淹沒(méi)受害主機(jī)的方式進(jìn)行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。它

16、比Ping of death洪水的流量高出1或2個(gè)數(shù)量級(jí)。更加復(fù)雜的smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。 8Fraggle攻擊 原理：Fraggle攻擊實(shí)際上就是對(duì)smurf攻擊作了簡(jiǎn)單的修改，使用的是UDP應(yīng)答消息而非ICMP,9、垃圾郵件 攻擊者利用郵件系統(tǒng)制造垃圾信息，甚至通過(guò)專門的郵件炸彈（mail bomb）程序給受害用戶的信箱發(fā)送垃圾信息，耗盡用戶信箱的磁盤空間，使用戶無(wú)法應(yīng)用這個(gè)信箱。 10、分布式拒絕服務(wù)攻擊 (Distributed Denial of ServiceDDoS)。 分布式拒絕服務(wù)攻擊是指植入后門程序從遠(yuǎn)處遙控攻擊，攻擊者從多個(gè)已入侵的跳板

17、主機(jī)控制數(shù)個(gè)代理攻擊主機(jī)，是DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要針對(duì)比較大的站點(diǎn)，如商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。DoS攻擊只要一臺(tái)連接網(wǎng)絡(luò)的單機(jī)就可實(shí)現(xiàn)，而DDoS攻擊是利用一批受控制的機(jī)器向同一臺(tái)機(jī)器發(fā)起攻擊，因此這樣的攻擊難以防備，具有較大的破壞性。,10.3.2后門和特洛伊木馬攻擊,后門程序攻擊是指攻擊者躲過(guò)日志、使自己重返被入侵系統(tǒng)的技術(shù)。 后門程序的種類很多，常見(jiàn)的有：調(diào)試后門程序、管理后門程序、惡意后門程序、服務(wù)后門程序、文件系統(tǒng)后門程序、內(nèi)核后門程序等。 特洛伊木馬就是一種后門程序，通過(guò)偽造合法的程序，偷偷侵入用戶系統(tǒng)從而獲得系統(tǒng)的控制權(quán)

18、。它提供某些功能作為誘餌，當(dāng)目標(biāo)計(jì)算機(jī)啟動(dòng)時(shí)木馬程序隨之啟動(dòng)，然后在某一特定的端口監(jiān)聽(tīng)，通過(guò)監(jiān)聽(tīng)端口收到命令后，木馬程序會(huì)根據(jù)命令在目標(biāo)計(jì)算機(jī)上執(zhí)行一些操作，如傳送或刪除文件，竊取口令、重新啟動(dòng)計(jì)算機(jī)等。隨著互聯(lián)網(wǎng)的迅速發(fā)展，特洛伊木馬的攻擊、危害性越來(lái)越大。特洛伊木馬實(shí)質(zhì)上是一個(gè)程序，必須運(yùn)行后才能工作，所以會(huì)在進(jìn)程表、注冊(cè)表中留下一定的痕跡。,特洛伊木馬程序采用C/S模式工作，它包括服務(wù)端和客戶端兩個(gè)程序，缺掉其中任何一個(gè)都很難發(fā)生攻擊，因?yàn)槟抉R不具有傳染性，所以服務(wù)器端程序是以其他方式進(jìn)入被入侵的計(jì)算機(jī)，當(dāng)服務(wù)器端置入被攻擊機(jī)后，會(huì)在一定情況下開(kāi)始運(yùn)行（如用戶主動(dòng)運(yùn)行或重新啟動(dòng)電腦，因?yàn)?/p>

19、很多木馬程序會(huì)自動(dòng)加入到啟動(dòng)信息中），這時(shí)它就在被攻擊機(jī)上打開(kāi)一個(gè)1024以上端口（大多數(shù)的端口號(hào)都在5000以上），并一直監(jiān)聽(tīng)這個(gè)端口，等待客戶機(jī)端連結(jié)。木馬的客戶端一般運(yùn)行在攻擊機(jī)上，當(dāng)攻擊機(jī)上的客戶端向被攻擊機(jī)上的這一端口提出連接請(qǐng)求時(shí)，被攻擊機(jī)上的服務(wù)端就會(huì)自動(dòng)運(yùn)行，來(lái)應(yīng)答攻擊機(jī)的請(qǐng)求，如果服務(wù)端在該端口收到數(shù)據(jù)，就對(duì)這些數(shù)據(jù)進(jìn)行分析，然后按識(shí)別后的命令在被攻擊機(jī)上執(zhí)行相應(yīng)的操作，如竊取用戶名和口令、復(fù)制或刪除文件、重新啟動(dòng)或關(guān)閉計(jì)算機(jī)等。木馬隱藏著可以控制被攻擊的系統(tǒng)危害系統(tǒng)安全的功能，可能造成對(duì)方資料和信息的泄漏、破壞，甚至使整個(gè)系統(tǒng)崩潰。,10.3.3緩沖區(qū)溢出攻擊,溢出區(qū)是內(nèi)存

20、中存放數(shù)據(jù)的地方在程序試圖將數(shù)據(jù)放到計(jì)算機(jī)內(nèi)存中的某一個(gè)地方時(shí)，因?yàn)闆](méi)有足夠的空間就會(huì)發(fā)生緩沖區(qū)溢出，而人為溢出則是攻擊者編寫一個(gè)超出溢出區(qū)長(zhǎng)度的字符串，然后植入緩沖區(qū)，這樣就可能導(dǎo)致兩種結(jié)果。一是過(guò)長(zhǎng)的字符串覆蓋了相鄰的存儲(chǔ)單元引起程序遠(yuǎn)行錯(cuò)誤，有時(shí)可能導(dǎo)致系統(tǒng)崩潰；另一方面是，通過(guò)字符串植入緩沖區(qū)，從而獲得系統(tǒng)權(quán)限，可以執(zhí)行任意指令。,在程序試圖將數(shù)據(jù)放到機(jī)器內(nèi)存中的某一個(gè)位置的時(shí)候，沒(méi)有足夠的空間就會(huì)發(fā)生緩沖區(qū)溢出。而人為的溢出則是有一定企圖的，黑客寫一個(gè)超過(guò)緩沖區(qū)長(zhǎng)度的字符串，然后植入到緩沖區(qū)，而再向一個(gè)有限空間的緩沖區(qū)中植入超長(zhǎng)的字符串可能會(huì)出現(xiàn)兩個(gè)結(jié)果，一是過(guò)長(zhǎng)的字符串覆蓋了相鄰的

21、存儲(chǔ)單元，引起程序運(yùn)行失敗，嚴(yán)重的可導(dǎo)致系統(tǒng)崩潰；另有一個(gè)結(jié)果就是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)超級(jí)用戶權(quán)限。 緩沖區(qū)溢出成為遠(yuǎn)程攻擊的主要手段其原因在于緩沖區(qū)溢出漏洞給予了黑客他所想要的一切：植入并且執(zhí)行攻擊代碼。 被植入的攻擊代碼以一定的權(quán)限運(yùn)行有緩沖區(qū)溢出漏洞的程序，從而得到被攻擊主機(jī)的控制權(quán)。 大多造成緩沖區(qū)溢出的原因是程序中沒(méi)有仔細(xì)檢查用戶輸入?yún)?shù)而造成的。,10.4 安全防范和安全監(jiān)測(cè),10.4.1安全防范 10.4.2安全監(jiān)測(cè)技術(shù),10.4.1安全防范,安全管理 謹(jǐn)慎開(kāi)放缺乏安全保障的應(yīng)用和端口 確保數(shù)據(jù)的安全 利用防火墻設(shè)置安全邊界的防護(hù)能力 通過(guò)安全監(jiān)測(cè)系統(tǒng)進(jìn)

22、行經(jīng)常性的系統(tǒng)檢查、記錄系統(tǒng)運(yùn)行狀況 用安全管理軟件測(cè)試自己的站點(diǎn) 請(qǐng)第三方評(píng)估機(jī)構(gòu)或?qū)＜襾?lái)完成網(wǎng)絡(luò)安全的評(píng)估 做好數(shù)據(jù)的備份工作,10.4.2安全監(jiān)測(cè)技術(shù),網(wǎng)絡(luò)安全監(jiān)測(cè)工具是防范網(wǎng)絡(luò)入侵的有力手段，它們幫助系統(tǒng)管理員發(fā)現(xiàn)系統(tǒng)的漏洞，監(jiān)視系統(tǒng)異常的行為，以及追查安全事件。網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的基本功能包括檢測(cè)出正在發(fā)生的攻擊活動(dòng)；發(fā)現(xiàn)攻擊活動(dòng)的范圍和后果；診斷并發(fā)現(xiàn)攻擊者的入侵方式和入侵地點(diǎn), 并給出解決建議，以及收集并記錄入侵的活動(dòng)證據(jù)。 入侵檢測(cè)系統(tǒng)（IDS）是一種網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)，當(dāng)有敵人或者惡意用戶試圖通過(guò)Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)，IDS能夠檢測(cè)出來(lái)，并進(jìn)行報(bào)警，通知網(wǎng)絡(luò)該采取

23、措施進(jìn)行響應(yīng)。,入侵檢測(cè)（Intrusion Detection），顧名思義，便是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（Intrusion Detection System,簡(jiǎn)稱IDS）。 與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。,入侵檢測(cè)系統(tǒng)的主要功能,監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)； 核查系統(tǒng)配置和漏洞； 評(píng)估

24、系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性； 識(shí)別已知的攻擊行為； 統(tǒng)計(jì)分析異常行為； 操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。,入侵檢測(cè)系統(tǒng)的類型,根據(jù)入侵檢測(cè)的信息來(lái)源不同，可以將入侵檢測(cè)系統(tǒng)分為兩類：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 基于主機(jī)的入侵檢測(cè)系統(tǒng)：主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。它通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來(lái)檢測(cè)入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息

25、，它監(jiān)聽(tīng)網(wǎng)絡(luò)上的所有分組來(lái)采集數(shù)據(jù)，分析可疑現(xiàn)象。,入侵檢測(cè)技術(shù),對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。從技術(shù)上，入侵檢測(cè)分為兩類：一種基于標(biāo)志（signature-based），另一種基于異常情況（anomaly-based）。 基于標(biāo)志的檢測(cè)也稱為特征檢測(cè)，對(duì)于基于標(biāo)志的檢測(cè)技術(shù)來(lái)說(shuō)，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測(cè)主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。 而基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等（這類數(shù)據(jù)可以人為定義，也可以通過(guò)觀察系統(tǒng)

26、、并用統(tǒng)計(jì)的辦法得出），然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在于如何定義所謂的“正?！鼻闆r。,入侵檢測(cè)的步驟,信息收集 數(shù)據(jù)分析 響應(yīng),信息收集,入侵檢測(cè)的第一步就是信息收集，收集的內(nèi)容包括整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。 系統(tǒng)和網(wǎng)絡(luò)日志文件 非正常的目錄和文件改變 非正常的程序執(zhí)行,數(shù)據(jù)分析,模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）。一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。 該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。 該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。,統(tǒng)計(jì)分析方法首先給信息對(duì)象（如用戶、連接、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常偏差之外時(shí)，就認(rèn)為有入侵發(fā)生。 其優(yōu)點(diǎn)是可檢測(cè)到