課本第五章TCP/IP網絡協議攻擊總結##
1.網絡安全屬性###
網絡安全是指網絡系統的硬件、軟件及其系統受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常運行,網絡服務不被中斷。網絡安全的三個基本屬性:機密性、完整性和可用性。國際電信聯盟在X.800安全體系標准中還定義了網絡安全的其他兩個屬性:真實性和不可抵賴性。
2.網絡攻擊基本模式###
在網絡通信中,攻擊者可采取如下四種基本攻擊模式:截獲(被動,具體攻擊技術為嗅探與監聽)、中斷、篡改與偽造(主動)。
3.TCP/IP網絡協議棧安全缺陷與攻擊技術###
TCP/IP網絡協議棧在設計時采用了分層模型,分為了網絡接口層、互聯層、傳輸層與應用層。網絡接口層協議最常用的是以太網協議。在以太網接口檢測數據幀,當檢測到的數據幀目標MAC地址不屬於自己時,就直接把它忽略,不發往上層協議,但當網絡接口處於混雜模式下時,則可以直接嗅探並截獲數據包。常用的網絡接口層協議還有PPP協議,PPP協議為在點對點連接上傳輸多協議數據包提供了一個標准方法。互聯層的基礎協議是互聯網協議IPv4,其他還包括ICMP、ARP、BGP等動態路由協議。ICMP協議運行在IP協議之上,BGP協議運行在TCP協議之上,TCP/IP協議棧與OSI七層模型之間並非具有清晰的層次對應關系。IP協議的首要安全問題在進行分組交換時只根據目的地址進行轉發,而不檢查源IP地址是否真實有效。IP分片攻擊利用了一些操作系統協議棧、防火牆、入侵檢測系統處理特殊IP分片包時的錯誤和缺陷,來達到拒絕服務或躲避檢測的攻擊目標。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以確保網絡通信的順利進行。ICMP協議存在的主要安全缺陷在於攻擊者可以利用ICMP重定向報文控制數據包由路徑,從而實施ICMP路由重定向攻擊。傳輸層協議主要包括TCP和UDP。攻擊者可以進行TCP RST攻擊直接中斷會話過程,或結合其他攻擊技術進行中間人會話劫持攻擊,此外,TCP協議的三次握手過程存在設計缺陷,攻擊者可以進行SYN洪泛攻擊。目前一些流行的應用層協議如HTTP、FTP、POP3/SMTP、DNS、SMB大多采用明文傳輸,存在被嗅探監聽、欺騙與中間人攻擊的風險,如DNS欺騙攻擊、SMB中間人攻擊、URL欺騙或釣魚攻擊、網頁掛馬攻擊等。
4.原始報文偽造技術及工具###
一系列針對TCP/IP網絡協議棧的攻擊技術中,最流行的是欺騙技術。實現欺騙技術需要攻擊者偽造出特制的網絡數據報文,發送給目標主機,使其在處理這些偽造報文時遭受攻擊。除了自己編程實現之外,也存在可以實施各種網絡欺騙攻擊的工具軟件,Netwox是其中一個非常強大的開源工具包,可以創建任意的TCP/UDP/IP數據報文。Netwag則提供了友好的GUI界面。Netwox支持命令行方式構造及發送偽造包,可以通過腳本編程實現自動化處理,工具包中包含了超過200個不同功能的網絡報文生成工具,每個工具都有一個特定的編號,可以按“#netwox number [parameters...]”的格式來運行Netwox中特定功能的工具,參數格式則取決於你所使用的具體工具,並可以通過執行“netwox number -help”來查詢參數配置格式。
5.IP源地址欺騙###
是指攻擊者偽造具有虛假源地址的IP數據包進行發送,以達到隱藏發送者身份、假冒其他計算機等目的。IP地址源欺騙原理:IP協議在設計時只使用數據包中的目標地址進行路由轉發,而不對源地址進行真實性的驗證。IP地址源欺騙最普遍應用於拒絕服務攻擊中,也經常在進行網絡掃描時應用,nmap的“-D”選項就是用來配置假冒源IP地址的。Netwox中的第41號工具是構造ICMP的數據包,其參數很多,需要設定的是IP協議的上層協議類型為0x01,ICMP協議的類型為0x08,然后是IP的源地址和目的地址,比如要查看172.31.4.200上的8080端口是否開放,且使用IP源地址為172.31.4.180進行欺騙,則相應的nmap命令為:nmap –sS –p 8080 172.31.4.200 –D 172.31.4.180。
6.ARP欺騙###
ARP欺騙也被稱為ARP下毒,是指攻擊者在有線以太網或無線網絡上發送偽造ARP消息,對特定IP所對應的MAC地址進行假冒欺騙,從而達到惡意目的的攻擊技術。ARP協議工作原理:ARP協議用於將網絡主機的IP地址解析成其MAC地址,然后在局域網內通過MAC地址進行通信。ARP協議的基本功能就是對目標IP地址查詢它的MAC地址,以便把數據包發送到目標主機。ARP欺騙攻擊技術原理:ARP欺騙攻擊的根源在於ARP協議在設計時認為局域網內部的所有用戶都是可信的,是遵循協議設計規范的。ARP協議在進行IP地址到MAC地址映射查詢時存在安全缺陷,一方面采用了廣播請求包方式在局域網段中詢問映射關系,但沒有對響應結果進行真實性驗證的技術流程與方法,而另一方面ARP協議為提高效率,設計了ARP緩存機制,以及會將主動的ARP應答視為有效信息進行接受,這使得ARP緩存非常容易被注入偽造的IP地址到MAC地址的映射關系,從而進行欺騙。如果被ARP欺騙攻擊的是網關節點,那么將導致整個局域網所有節點經過網關出入的數據包都會首先通過攻擊節點,從而可能被嗅探、監聽和惡意修改。可以實施ARP欺騙攻擊的工具軟件也很多,著名的包括DSniff套裝中的Arpspoof工具、arpoison、Ettercap、Netwox工具集等。Netwox中的33號工具可以構造任意的以太網ARP數據報,80號工具可以周期性地發送ARP應答報,因此可以利用這兩個工具來實施ARP欺騙攻擊。
7.ARP欺騙的防范措施###
主要方法有靜態綁定關鍵主機的IP地址與MAC地址映射關系、使用相應的ARP欺騙防范工具(ARP欺騙防火牆)、使用VLAN虛擬子網細分網絡拓撲,並加密傳輸數據以降低ARP欺騙攻擊的危害后果等。還可以使用一些工具軟件查找ARP欺騙攻擊源,如nbtscan和Anti ARP Sniffer。
8.ICMP路由重定向攻擊###
是指攻擊者偽裝成路由器發送虛假的ICMP路由路徑控制報文,使得受害主機選擇攻擊者指定的路由路徑,從而進行嗅探或假冒攻擊的一種技術。
9.ICMP路由重定向機制原理###
IP協議缺點:缺少差錯控制和查詢機制,為解決這些問題,設計了ICMP協議。ICMP報文類型分為兩類:差錯報告類和控制類。差錯報告報文分為3類:目的站不可達、數據報超時、數據報參數錯誤。控制報文分為兩類:請求/應答類和通知類。其中請求/應答類總是成對出現的:回送請求/應答、地址掩碼請求/應答、路由器懇求/通告、時間戳請求/應答,一共8種;通知類有兩種:源站抑制和重路由定向。ICMP路由重定向主要用於應對網絡故障時的數據包處置。ICMP重定向攻擊就是利用ICMP路由重定向報文來改變主機的路由表,向目標機器發送重定向消息,自己則可以偽裝成為路由器,使目標機器的數據報發送至攻擊機從而加強監聽。利用Netwox的第86號工具,可以進行ICMP重定向攻擊實驗,其工作原理是嗅探網絡中的數據包,每嗅探到一個符合要求的數據包,就向該IP地址發送一個ICMP重定向報文,讓該IP的主機重定向至預先設定的IP地址。ICMP路由路由重定向攻擊防范:ICMP路由路由重定向攻擊的主要防范措施是根據類型過濾一些ICMP數據包,設置防火牆過濾,對於ICMP重定向報文判斷是不是來自本地路由器等。
10.傳輸層協議攻擊###
傳輸層的主要協議TCP和UDP也存在很多種不同攻擊方式,最流行的TCP RST攻擊、TCP會話劫持攻擊、TCP SYN洪泛拒絕服務攻擊和UDP洪泛拒絕服務攻擊等。
11.TCP RST攻擊###
也被稱為偽造TCP重置報文攻擊,是一種假冒干擾TCP通信連接的技術方法。TCP重置報文將直接關閉掉一個TCP會話連接。TCP重置報文的設計是為了避免在發生一些特殊情況時TCP會話仍繼續傳輸無效數據。在開源網絡入侵檢測系統Snort中使用了TCP重置報文來阻斷可疑的入侵攻擊連接,而中國防火長城也利用了該項技術對包含封禁內容的會話連接進行阻斷。在Netwox中,我們可以選擇編號為78的“Reset every TCP packet”工具來實現TCP RST攻擊。
12.TCP會話劫持攻擊###
TCP會話劫持則是一項更為復雜的TCP協議攻擊技術方法,其目標是劫持通信雙方已建立的TCP會話連接,假冒其中一方的身份,與另一方進行進一步通信。TCP會話劫持攻擊最核心的是通過TCP對會話通信方的驗證。重定向網絡通信可以利用濫用IP協議源路由選項、ICMP路由重定向攻擊和ARP欺騙攻擊完成,IP源路由選項和ICMP路由重定向攻擊都能使得攻擊者可以指定IP數據包的路由路徑,通過攻擊者所控制的路由器,然后實施劫持。目前比較普遍的方法是結合ARP欺騙來進行TCP會話劫持。攻擊者發送數據包中的序列號(記為CLT_SEQ)必須滿足條件:SVR_ACK<=CLT_SEQ<=SVR_ACK+SVR_WND。目前對TCP會話劫持攻擊可防范的措施包括:禁用主機上的源路由,采用靜態綁定IP-MAC映射表以避免ARP欺騙,引用和過濾ICMP重定向報文,此外采用網絡層加密機制,即IPsec協議,是對抗TCP會話劫持攻擊最通用的辦法。
13.TCP SYN Flood拒絕服務攻擊###
拒絕服務攻擊是目前比較有效而又非常難於防御的一種網絡攻擊方式,它的目的就是使服務器不能夠為正常訪問的用戶提供服務。TCP SYN Flood,又稱SYN洪泛攻擊,是目前最為有效和流行的一種拒絕服務攻擊形式。它利用TCP三次握手協議的缺陷,向目標主機發送大量的偽造源地址的SYN連接請求,消耗目標主機的連接隊列資源,從而不能夠為正常用戶提供服務。對於SYN Flood攻擊的主要防范措施包括:SYN-Cookie技術和防火牆地址狀態監控技術。
14.TCP三次握手過程###
①客戶端通過傳送SYN同步信息到服務器,要求建立連接;②服務器響應客戶端SYN-ACK,以響應請求;③客戶端應答ACK,TCP會話連接隨之建立。TCP三次握手過程是每個使用TCP傳輸協議建立會話連接的基礎。
15.UDP Flood拒絕服務攻擊###
由於UDP協議的無狀態不可靠的天然特性,UDP Flood拒絕服務攻擊的原理非常簡單,即通過向目標主機和網絡發送大量的UDP數據包,造成目標主機顯著的負載提升,或者目標網絡的網絡擁塞,從而使得目標主機和網絡陷入不可用的狀態,造成拒絕服務攻擊。UDP Flood一般會被用於分布式拒絕服務攻擊。對於UDP Flood攻擊的防范措施包括:禁用或過濾監控和響應服務;禁用或過濾其他的UDP服務。
16.TCP/IP網絡協議棧攻擊防范措施###
通過部署一些監測、預防與安全加固的防范措施,是增強網絡對已知攻擊抵御能力不可或缺的環節。分別為網絡接口層、互聯層、傳輸層和應用層。網絡互聯層目前最重要的安全通信協議主要是IPsec協議簇。IPsec適用於目前的IP版本IPv4和下一代IPv6。IPsec協議簇的基本目的是把密碼學方法支持機密性和認證服務,使用戶能有選擇地使用,並得到所期望的安全服務。IPsec的安全協議主要包括AH協議和ESP協議兩大部分。IPsec協議支持隧道及傳輸兩種模式。傳輸層上的安全協議主要是TLS,前身是由Netscape網景公司所開發的SSL。TLS協議包括兩個協議組:TLS記錄協議和TLS握手協議。TLS記錄協議位於可靠的傳輸協議TCP之上,用於封裝各種高層協議,提供的安全性具有兩個基本特性:①加密②可靠。對於萬維網訪問進行安全防護的主要協議是安全超文本傳輸協議,基於傳輸層安全協議TLS實現,端口號為443.安全電子郵件協議是電子郵件的安全傳輸標准。用於替代telnet遠程控制的安全網絡協議是SSH。
17.與IPv4相比,IPv6具有以下幾個優勢###
①IPv4相比,IPv6具有更大的地址空間。②IPv6使用更小的路由表。③IPv6增加了增強的組播支持以及對流的支持。④IPv6加入了對自動配置的支持。⑤IPv6具有更高的安全性。
課本第六章網絡安全防范技術總結##
1.安全模型###
“信息安全金三角”的CIA安全屬性,即機密性、完整性和可用性。在理論模型方面,先后出現了針對機密性的BLP多級安全策略模型、針對完整性保護的Biba模型和Clark-Wilson模型等。為了評估信息系統是否能夠滿足特定的安全需求和屬性,1985年美國國防部國家計算機安全中心公布了可信任計算機系統評估准則,又稱為“桔皮書”。TCSEC將計算機系統的安全划分為ABCD這4個等級,共7個級別,並分別定義了各個安全等級所需要實現的安全機制及安全特性。美國則進一步聯合加拿大和歐洲在TCSEC和ITSEC的基礎上,制訂了一個國際統一的安全評估標准,即通用准則,通過了國際標准化組織ISO的認可,稱為ISO15408。傳統的安全評估和防范方法是通過對網絡進行風險分析,制定相應的安全策略,然后采取一種或多種安全技術作為防護措施的。動態可適應網絡安全模型基於閉環控制理論,典型模型是PDR模型以及在其基礎上提出的P2DR模型等。PDR安全模型是一個基於時間的動態安全模型,以經典的網絡安全不等式Pt>Dt+Rt為本質基礎,並提出安全性可量化和可計算的觀點。P2DR安全模型基本描述為:網絡安全=根據風險分析制定安全策略+執行安全防護策略+實時檢測+實時響應。在P2DR模型中,安全策略是模型的核心,所有的防護、檢測、響應都是根據安全策略實施的,安全策略為安全管理提供管理方向和支持手段。策略體系的建立包括安全策略的制定、評估、執行等。制定可行的安全策略取決於對網絡信息系統及其安全風險的了解程度。防護機制就是采用一切手段保護信息系統的機密性、完整性、可用性、真實性和不可抵賴性。通常采用傳統的靜態安全技術及方法來實現,主要有防火牆、加密、身份認證和控制訪問等方法。監測機制是動態響應和加強防護的依據,是強制落實安全策略的工具。檢測的對象主要針對系統自身的脆弱性及外部威脅,利用檢測工具了解和評估系統的安全狀態。主要的檢測技術包括入侵檢測和漏洞評估等。響應措施包括應急處理、備份恢復、災難恢復等。
2.網絡安全防范技術與系統###
網絡安全防范技術對應P2DR中的“防護”環節,設立在被保護主機與外部網絡中間。防火牆技術概述:防火牆指的是置於不同的網絡安全域之間,對網絡流量或訪問行為實施訪問控制的安全組件或設備。合理地部署和配置防火牆,首先必須將防火牆部署在不同網絡安全域之間的唯一通道上;其次只有網絡安全管理員根據安全需求合理地設計安全策略規則,才能充分發揮防火牆的功能,保護網絡安全;最后防火牆並非是一勞永逸的安全最終解決方案。
3.防火牆的功能###
防火牆可以在網絡協議棧的各個層次上實施網絡訪問控制機制,對網絡流量和訪問進行檢查和控制。根據其工作的網絡協議棧層次,防火牆技術可以分為包過濾(網絡層)、電路級網關(傳輸層)和應用層代理技術(應用層)。防火牆最基本的功能就是控制在計算機網絡中不同信任程度網絡域之間傳輸的數據流,根據最少特權原則保證網絡安全性的功能機制。防火牆技術通常能夠為網絡管理員具體提供如下安全功能:(1)檢查控制進出網絡的網絡流量(2)防止脆弱或不安全的協議和服務(3)防止內部網絡信息的外泄(4)對網絡存取和訪問進行監控和審計(5)防火牆可以強化網絡安全策略並集成其他安全防御機制。
4.作為網絡邊界防護機制而先天無法防范的安全威脅包括如下###
(1)來自網絡內部的安全威脅(2)通過非法外聯的網絡攻擊(3)計算機病毒傳播。由於技術瓶頸問題目前還無法有效防范的安全威脅包括如下。(1)針對開放服務安全漏洞的滲透攻擊(2)針對網絡客戶端程序的滲透攻擊(3)基於隱蔽通道進行通信的特洛伊木馬或僵屍網絡。
5.防火牆技術###
廣泛采用的技術主要有包過濾技術、基於狀態監測的包過濾技術、代理技術等。包過濾技術通常檢查的信息包括數據包的源地址和目的地址、網絡協議號、網絡端口號、ICMP報文類型和號碼等。UDL不包括任何連接或序列信息,只包含源地址、目的地址、校驗和攜帶數據。代理技術是一種重要的計算機安全防護功能,允許客戶端通過它與另外一個網絡服務進行非直接的連接,也成“網絡代理”。提供代理服務的計算機或其他類型的網絡節點稱為代理服務器,根據工作的網絡協議棧層次的不同,代理技術包括應用層代理(常見的有HTTP代理,郵件代理)、電路級代理(傳輸層)和NAT代理(方便和安全兩個重要優勢)等。
6.防火牆產品###
從產品形態角度划分,防火牆大致分為如下幾種類型:(1)集成包過濾功能的路由器(2)基於通用操作系統防火牆軟件產品(3)基於安全操作系統的防火牆(4)硬件防火牆設備。
7.防火牆部署方法###
(1)包過濾路由器(2)雙宿主堡壘主機(3)屏蔽主機(4)屏蔽子網。
8.Linux開源防火牆###
netfilter/iptables。netfilter/iptables組合是目前Linux開源操作系統中普遍使用的防火牆技術解決方案,其中netfilter是Linux內核中實現的防火牆功能模塊,iptables則是應用態的防火牆管理工具。
9.netfilter/iptables開源防火牆工作原理###
在netfilter/iptables防火牆系統中,netfilter組建愛你位於Linux的內核空間中,實現了靜態包過濾和狀態報文檢查基本防火牆功能,此外也支持NAT網絡地址轉換等其他額外功能,並提供了多層API接口以支持第三方擴展,netfilter具備構建防火牆、NAT共享上網、利用NAT構建透明代理,以及構建OoS或策略路由器等安全功能。Iptables則是工作在Linux用戶空間中的防火牆配置工具,通過命令行方式允許用戶為netfilter配置各種防火牆過濾和管理規則。netfilter/iptables中包含三個最基本的規則表,分別為用於包過濾處理的filter表(包含INPUT、OUTPUT、FORWARD規則鏈)、用於網絡地址轉換處理的nat表(包含PREROUTING、POSTROUTING和OUTPUT規則鏈),以及用於特殊目的數據包修改的mangle表。
10.Iptables為用戶提供了配置netfilter規則的命令行接口,其命令語法為###
$iptables [-t table] command [match] [target]
其中-t指定配置規則所在的表,缺省表包括filter、nat、mangle、raw等。command部分是iptables命令的最重要部分。-A或—append:該命令將一條規則附加到鏈的末尾。-D或—delete:通過用-D指定要匹配的規則或者指定規則在鏈中的位置編號,該命令從鏈中刪除該規則。-P或—policy:該命令設置鏈中的缺省目標操作,即策略。-N或—new-chain:用命令中所指定的名稱創建一個新鏈。-F或—flush:如果指定鏈名,該命令刪除鏈中所有的規則,如果未指定鏈名,該命令刪除所有鏈中規則,此參數用於快速清除。-L或—list:列出指定鏈中所有的規則。Match部分為規則匹配條件,匹配條件分為兩大類:通用匹配和特定協議匹配。Target部分指定滿足匹配條件之后的目標操作,即對那些規則匹配的數據包執行的處理操作。在設置和執行網絡訪問控制時,防火牆通常會有如下兩種不同的策略:(1)設置缺省的通行策略為允許,然后定義禁止的網絡流量和行為;(2)設置缺省的通行策略為禁止,然后定義允許的網絡流量和行為。
11.netfilter/iptables###
對NAT網絡地址轉換技術的支持非常全面,包括IP偽裝、透明代理、端口轉發和其他形式的網絡地址轉換技術等。NAT主要包括兩種類型,即Source NAT和Destination NAT。SNAT是指改變網絡連接數據包的源地址,SNAT需要在路由轉發之后做,IP偽裝也是一種SNAT機制;DNAT是指改變網絡連接數據包的目的地址,DNAT需要在路由轉發之前做,端口轉發、負載均衡、透明代理都屬於DNAT。netfilter/iptables進行NAT配置主要是通過nat表中的3個缺省鏈,即PREROUTING、POSTROUTING、OUTOUT。netfilter的NAT機制最通常使用的需求是IP偽裝。具體配置規則為:#iptable –t nat –A POSTROUTING –I eth1 –o eth0 –j MASQUERADE。
12.其他網絡防御技術###
主要包括VPN、內網安全管理、內容安全管理、統一威脅管理等。VPN,是利用大規模網絡上的公共網絡鏈路代替企業內部專線構建的安全專用網絡,是大型跨地域企業構建內部網的常用方案。VPN主要采用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。IPsec VPN、SSL VPN、MPLS VPN是目前VPN最為主要的三種技術和產品形態。內網安全管理技術是以防火牆為代表的網絡邊界防護技術的有效補充。內網安全管理一般分為中斷安全管理、終端運維管理、終端補丁分發管理和系統日志管理四部分。內容安全管理主要關注網絡中傳輸內容的安全,屬於內容安全管理技術范疇的網絡安全產品包括網絡行為監控審計類設備、綠色上網軟件、防病毒網關、防蠕蟲網關、垃圾郵件過濾網關。統一威脅管理UTM是指由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,將多種安全特性集成在一個硬件設備里,構成一個標准的統一管理平台。UTM通常集成了網絡訪問控制、入侵防御、防病毒、內容過濾、反垃圾郵件、上網行為管理、VPN、身份認證和准入控制等多種安全功能。
13.網絡檢測技術###
在PDR模型中,檢測技術主要包括流動評估、入侵檢測等。在網絡攻防技術領域,一次入侵可被定義為任何嘗試破壞信息資源的保密性、完整性或可用性的行為。入侵檢測即為通過對計算機網絡或計算機系統中若干關鍵點信息的收集和分析,從中發現入侵行為的一種安全技術。入侵檢測系統則是實現入侵檢測技術,專門用於入侵行為發現和處理的軟件系統或硬件設備。入侵檢測是防火牆之后的第二道安全屏障。NSM第一次直接將網絡流作為審計數據來源,正式形成了基於主機的入侵檢測系統和基於網絡的入侵檢測系統兩大陣營。誤用檢測主要關注對復雜攻擊特征的描述和檢測,具有代表性的成果包括UCSB的狀態轉移分析模型及STAT系列入侵檢測系統、SRI開發的基於產生式專家系統語言P-BEST和ENERALD分布式入侵檢測系統等。異常檢測方法代表性研究有采用統計分析方法的IDES統計異常檢測器、NIDES、Haystack等,基於神經網絡方法的由NNID、Forrest等人提出的基於免疫學方法,以及lee等人提出的數據挖掘方法等。
14.入侵檢測技術評估值指標###
評估入侵檢測技術和系統的兩個重要參數是檢測率和誤報率。理想的入侵檢測系統應該同時具有較高的正確檢出率和較低的誤報率。然而由於存在基調悖論現象,故提高檢測率和降低誤報率是互為矛盾的。以評價入侵檢測算法的一種常用工具是ROC曲線。ROC曲線是平面直角坐標曲線,其縱軸表示IDS的檢測率,其橫軸表示IDS的誤報率。ROC曲線越靠近坐標平面左上方的檢測方法,其准確率越高、誤報率越低、性能越好。
15.入侵檢測技術###
信息收集是入侵檢測的基礎,入侵檢測系統的可靠性和准確性在很大程度上依賴於所收集信息的可靠性和完備性。充分利用系統日志文件信息是檢測入侵的關鍵數據源。入侵檢測技術最核心的任務是信息分析。入侵檢測圍繞着誤用檢測和異常檢測來進行的。誤用檢測:通過收集已知入侵行為的特征並進行描述,構成攻擊特征庫,然后對手機信息進行特征模式匹配,所有符合特征描述的行為均被視為入侵,具有較高漏報率的弱點。異常檢測:通常使用統計分析的方法來檢測入侵,具有誤報率較高的弱點。
16.入侵檢測的分類與部署###
從入侵檢測系統的監測數據來源,可以將入侵檢測系統分為基於主機的入侵檢測系統和基於網絡的入侵檢測系統兩大類。入侵檢測系統所采用的信息分析技術可分為誤用檢測方法和異常檢測方法兩類。根據入侵檢測系統所采用的體系結構分類,可以分為集中式、層級式和協作式。入侵檢測系統的部署往往需要考慮到監測數據來源uiande可靠性與全面性,以及所采取的入侵檢測系統體系結構。
17.入侵防御系統IPS###
入侵防御系統采用直接在網絡邊界位置內聯連接的方式,並在檢測到入侵行為后,直接對所有關聯的攻擊網絡連接進行阻斷處理,側重於極低的誤報率和高效的處理性能,並最小化對網絡傳輸帶來的延遲。
18.Snort###
Snort是一款非常著名的開源網絡入侵檢測系統軟件,以符合GPL版權開源發布,其特征規則庫格式被網絡安全業界廣為接受,並成為網絡安全專家編寫和發布針對最新攻擊行為檢測規則的通用格式,除了是一款網絡入侵檢測軟件之外,還具備數據包嗅探、數據包分析與記錄等多種功能,還支持內聯模式,可以作為網絡入侵防御系統使用。Snort用C語言編寫,並采用了標准的捕獲數據包函數庫libpcap,具有非常好的可移植性,具有數據包嗅探、數據包記錄和分析,以及各種入侵檢測功能,主要由四個基本部分組成:①數據包嗅探/解碼器②預處理器/插件③檢測引擎/插件④輸出模塊/插件。Snort的最基本功能就是數據包嗅探器,其使用混雜模式的網絡接口接入網絡並進行數據包監聽,采用標准的libpcap函數庫接口獲取數據包嗅探內容,並通過協議棧層次化的包解碼器對嗅探獲得的數據包進行協議分析。預處理器主要包括三種類型的插件,包括TCP/IP協議棧模擬、應用層協議解碼與規范化,以及異常檢測。檢測引擎主要采用的檢測技術是誤用檢測方法,但在預處理其中也包含了若干采用異常檢測方法的檢測插件,如通過統計方法檢測端口掃描的sfportscan插件,第三方SPADE插件,利用協議規范異常檢測的httpinspect插件等。
19.Snort的實現機理###
Snort數據包嗅探器通過將網卡設置為混雜模式,然后利用libpcap抓包函數庫進行數據包的監聽和捕獲,在調用pcap_loop()數據包處理主循環中,當pcap從網卡驅動接收到數據包時,便開始調用ProcessPacket()函數,鏈接至數據包解碼器入口decode.c。Snort的預處理器插件其源碼位於preprocessors目錄中,以spp_為開頭,主要包括TCP/IP協議棧模擬、應用層協議解碼與規范化以及異常檢測這三種類型。TCP/IP協議棧模擬類預處理插件包括frag3、stream5等。異常檢測類預處理插件針對無法用特征規則進行描述和檢測的攻擊,主要通過統計分析、協議規范異常等一些異常檢測技術來對特定攻擊實施檢測,目前Snort中包含的此類預處理器包括通過統計分析方法檢測端口掃描行為的sfportscan、檢測Back Orifice后門軟件的bo、通過用戶預定義映射表來檢測ARP欺騙攻擊的arpspoof等。檢測引擎與插件是Snort入侵檢測功能的主題模塊,主要包含規則庫解析、多模式匹配,以及規則插件檢查這三個部分。Snort的攻擊特征規則集是基於文本的,通常存在於Snort的etc/rules目錄下。Snort在Linux平台上,可以通過源碼包安裝和RPM包安裝兩種方式。
20.網絡安全時間響應技術###
網絡安全響應是P2DR模型中響應環節的關鍵技術手段。所謂網絡安全時間,指的是那些影響計算機系統和網絡安全的不當行為,這些行為包括傳統意義上對CIA基本屬性的破壞行為,以及偵查性攻擊、抵賴、騷擾性攻擊、敲詐、傳播色情或非法內容、通過電子方式組織的犯罪活動、在線欺詐和愚弄等其他類型事件。網絡安全事件響應過程中涉及的關鍵技術包括計算機取證、攻擊追溯與歸因、備份恢復與災難恢復等。計算機取證是指安全事件的調查過程中對計算機系統進行詳細檢查,並對計算機犯罪的電子證據進行保護、確認、提取和歸檔的過程,通常是針對存儲介質進行的,但有時也用來對網絡日志進行檢查和分析。攻擊追溯與歸因是找出真正實施網絡攻擊的來源,並確定出攻擊者真實身份。備份恢復是在遭受網絡安全事件之后快速恢復業務運轉的關鍵保障性技術。
Kali視頻21-25集總結##
1.kali視頻第21集密碼攻擊之在線攻擊工具總結###
(1)Cewl####
Cewl是個很酷的工具,可以通過爬行網站獲取關鍵信息創建一個密碼字典。
(2)CAT(Cisco-Auditing-Tool)####
一個很小的安全審計工具,掃描Cisco路由器的一般性漏洞,例如默認密碼,SMMP community字串和一些老的IOS bug。
(3)Findmyhash####
在線哈希破解工具,借助在線破解哈希網站的借口制作的工具。
(4)老牌破解工具Hydra####
使用參數很簡單,如:
破解FTP服務:hydra –L user.text –P pass.text –F ftp://127.0.0.1:21
破解SSH服務:hydra –L user.text –P pass.text –F ssh://127.0.0.1:22
破解SMB服務:hydra –L user.text –P pass.text –F smb://127.0.0.1
破解MSSQL賬戶密碼:hydra –L user.text –P pass.text –F mssql://127.0.0.1:1433
(5)Medusa####
類似於Hydra的一款工具,使用方法例如:
Medusa –h 192.168.235.96 –u root –P //wordlists/rockyou.text –M ssh
如要選擇服務只需要改變-M后的參數即可。
(6)NCrack####
相似的功能基本類似,但突出了RDP(3389)爆破功能,如使用命令:ncrack –vv –U windows.user –P windows.pwd 192.168.1.101:3389,CL=1 –f
(7)Onesixtyone####
Onesixtyone是一個snmp掃描工具,用於找出設備上的SNMP Community字串,掃描速度非常快
(8)Patator####
Patator是一款Python編寫的多服務破解工具,如美劇一個服務用戶名密碼:patator ssh_login host=127.0.0.1 user=root password=FILE0 0=pass.text –x ignore:mesg=’Authentication failed’
(9)phrasen|drescher####
多線程支持插件式的密碼破解工具。
(10)THC-PPTP-Bruter####
顧名思義,THC-PPTP-Bruter是針對PPTP VPN端點的暴力破解程序。支持最新的MSChapV2驗證,對Windows和Cisco網關測試通過。用以探測微軟的Anti-Bruto Force Implementation中存在的一個漏洞,並通過此漏洞,嘗試以每秒300個密碼進行暴力破解。
2.kali視頻第22集密碼攻擊之離線攻擊工具(一)總結###
(1)Creddump套件
Kali Linux下離線攻擊工具中的Cache-dump、Isadump與pwdump均為creddump套件的一部分,基於Python的哈希抓取工具。
(2)Chntpw
用來修改WindowsSAM文件實現系統密碼修改,亦可在Kali作為啟動盤時做刪除密碼的用途。
(3)Crunch
實用的密碼字典生成工具,可以指定位置生成暴力枚舉字典
(4)Dictstat
Dictstat是一款字典分析工具,可以分析出一個現有字典分布狀況,也可按照一定的過濾器提取字典。
(5)Fcrackzip
Kali下的一款ZIP壓縮包密碼破解工具
(6)Hashcat
Hashcat系列軟件是比較強大的密碼破解軟件,系列軟件包括Hashcat;還有一個單獨新出的oclRausscrack。其區別為Hashcat只支持cpu破解;oclHashcat和oclGausscrack則支持gpu加速。oclHashcat則分為AMD版和NIVDA版。一些參數的介紹如下:
-m (--hash-type=NUM) #hash種類,下面有列表,后面跟對應數字
-a (--attack-mode=NUM) #破解模式,下面也有列表
Attack-mode:
0=Straight(字典破解)
1=Conbination(組合破解)
2=Toggle-Caso
3=Brute-force(掩碼暴力破解)
4=Permutation(組合破解)
5=Table-lookup
(7)Hashid
一款簡單易用的哈希分析工具,可以判斷哈希或哈希文件是何種哈希算法加密的。
(8)HashIdentifyer
無獨有偶,Hashdentifyer是一款與HashID類似的一款工具。
(9)John the ripper
老牌密碼破解工具,常用於Linux Shadow中賬戶的密碼破解,社區版也支持MD5-RAW等哈希的破解。
(10)Johnny
對應於命令行版的John,Johnny將其圖形化,更易使用與操作。
3.kali視頻第22集密碼攻擊之離線攻擊工具(二)總結###
(1)Ophcrack
彩虹表Windows密碼HASH破解工具,對應有命令行版的ophcrack-cli。可以從官網下載部分彩虹表。
(2)Pyrit
是一款無線網絡密碼破解工具,借助GPU加速,可讓WPA2密碼破解更效率。使用analyze檢查抓到的包:
Pyrit –r xxx.cap analyze
開始跑包:pyrit –r xxx.cap –I yyy.dic –b ssid attack_passthrough
也可以將PYRIT與CRUNCH結合使用:crunch 8 8 1234567890 | pyrit –I - -r /file/hack01-cap –b bssid attack_passthrough
(3)Rcrack
彩虹表密碼哈希工具,使用了第一代彩虹表,當然首先,我們需要有足夠容量的彩虹表,使用很簡單,按照參數破解即可。
(4)Rcracki_mt
又一款彩虹表哈希破解工具,不同的是此工具支持最新格式的彩虹表進行哈希破解。
(5)rsmangler
字典處理工具,可以生成幾個字串的所有可能組合形式,
在生成社工字典時也可用到。可以有選擇性的關閉某些選項。
(6)Samdump2與BKhive
Linux下破解Windows下哈希的工具
首先獲取win下的文件
SAM文件:C:\windows\system32\config\SAM
System文件:C:\windows\system32\config\system
(7)SIPCrack
SIPcrack是針對SIP protocol協議數據包的破解工具,支持PCAP數據包與字典破解。
(8)SUGrack
借助su命令進行本地root賬戶的密碼破解。
(9)Truecrack
一款針對TrueCrypt加密文件的密碼破解工具。
4.kali視頻第22集密碼攻擊之哈希傳遞攻擊總結###
(1)Passing the hash套件
要進行哈希傳遞攻擊,首先我們要有目標主機的哈希信息。
(2)Keimpx
一款Python編寫的哈希傳遞工具,可以通過已有的哈希信息GET一個后門SHELL。
(3)Metasploit
模塊exploit/windows/smb/psexec亦可萬戶次呢個HASH傳遞攻擊。
5.kali視頻第22集無線安全分析工具總結###
(1)Aircrack
Aircrack-ng是一個與802.11標准的無線網絡分析有關的安全軟件,主要功能有:網絡偵測,數據包嗅探,WEP和WPA/WPA2-PSK破解。Aiecrack-ng可以工作在任何支持監聽模式的無線網卡上並嗅探802.11a,802.11b,802.11g的數據。該程序可運行在Linux和Windows上。Linux版本已經被移植到Zaurus和Macmo系統平台,並概念驗證可移植到iPhone。
(2)Cowpatty
是一款知名的WPA-PSK握手包密碼破解工具。
(3)EAPMD5PASS
針對EPA-MD5的密碼破解工具
(4)圖形化的Fern Wifi Cracker
值得一提的是,無線網絡中,如果使用虛擬機的Kali Linux,則需要外置無線網卡。
(5)MDK3
MDK3是一款無限DOS攻擊測試工具,能夠發起Beacon Flood、Authentication DoS、Deauthentication/Disassociation Amok等模式的攻擊,另外它還具有針對隱藏ESSID的暴力探測模式、802.1X滲透測試、WIDS干擾等功能。
(6)Wifite
自動化的無線網審計工具,可以完成自動化破解。Python腳本編寫,結合Aircrack-ng套件與Reaver工具。
(7)Reaver
對開啟WPS的路由器PIN碼進行破解。
學習過程中遇到的問題及解決辦法##
課本實踐SQL注入實驗
課本實踐XSS攻擊實驗
第六周學習進度條##
完成了課本第五六章的學習,實驗了kali視頻第21到25集的操作。