網絡安全防護技術
一、網絡基礎知識
1.TCP/IP協議
傳輸控制協議/因特網互聯協議(Transmission Control Protocol Internet Protocol,TCP/IP)是目前因特網中使用最廣泛的協議。
目前因特網使用的是IPv4。IPv6是由互聯網工程任務組(Internet Engineering Task Force,IETF)設計的下一代IP協議。
2.超文本標記語言HTML
超文本標記語言(Hyper Text Mark-up Language,HTML)是一種制作萬維網頁面的標准語言,為不同的計算機交換信息資源提供了統一的格式。
3.超文本傳輸協議HTTP
超文本傳輸協議(Hyper Text Transfer Protocol,HTIP)是因特網上應用最廣泛的一種網絡協議,是用於從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議。
4.端口
互聯網上每個主機都有一個IP地址,如果把P地址比作一棟樓的一間房間,端口就是出入這個房間的門。計算機通過端口 (Port)實現與外部通信的連接,黑客攻擊是將系統和網絡設備中的各種端口作為入侵通道。
5.域名系統DNS
域名系統(Domain Name System,DNS)用於域名和P地址間的轉換
6.統一資源定位符URL
統一資源定位符(Uniform Resource Locator,URL)用來標識萬維網中每個信息資源的地址。
URL由三部分組成,表示形式為: http://主機域名或P地址[:端口號]/文件路徑/文件名
其中,http表示使用HTTP傳輸協議,將遠程服務器上的文件或者網頁傳輸給用戶的瀏覽器;主機域名指的是提供此服務的計算機的域名;端口號通常為默認端口,如網頁服務器使用的端口號是80,一般不需要特意指定端口號;“/文件路徑/文件名”指的是網頁在服務器硬盤中的位置和文件名。
7.萬維網WWW
萬維網( World Wide Web,WWW)是因特網上最廣泛使用的一種信息服務,是因特網的主要組成部分。用戶可以通過客戶端程序(瀏覽器)訪問服務器端程序提供的頁面。
二、網絡安全威脅
1.社會工程學攻擊
社會工程學(Social Engineering,SE)不是一門科學,而是一門綜合運用信息收集、語言技巧、心理陷阱等多種手段,完成欺騙目的的方法。
◆社會工程學攻擊主要是利用人們信息安全意識淡薄以及人性的弱點,從而讓用戶上當受騙。
◆攻擊者通過各種手段和方法收集用戶信息,進而使用這些用戶信息完成各種非法的活動,比如身份盜用,獲取有價值的情報和機密等。
2.網絡嗅探
引言
在當前的網絡中,攻擊和威脅無處不在,每個用戶都不得不隨時提高警惕,防止資料外泄,從而給自己造成不必要的損失。在各種威脅中,嗅探攻擊算得上是一種比較常見的攻擊手段。
網絡嗅探的定義
嗅探,英文是sniff,也被叫做監聽。
網絡嗅探,就是通過截獲、分析網絡中傳輸的所有數據幀而獲取有用信息的行為。
嗅探的安全威脅
對黑客來說,通過嗅探技術能以非常隱蔽的方式攫取網絡中大量敏感信息,例如:你正在訪問什么網站,你的郵箱密碼是多少,你的QQ聊天記錄是什么等等......
很多攻擊方式(如著名的會話劫持)都是建立在嗅探的基礎上的。
3.網絡釣魚攻擊
引言
在傳統的利用系統漏洞和軟件漏洞進行入侵攻擊的可能性越來越小的前提下,網絡釣魚攻擊已經逐漸成為黑客們趨之若鶩的攻擊手段。隨着“網購”的日益普及,網絡釣魚迅速泛濫,其對網民的威脅已經逐漸超過掛馬網站。同時,無論網絡相關的客戶端軟件還是大型的 Web網站,都開始發覺網絡釣魚攻擊已經成為了一個嚴峻的問題。
網絡釣魚攻擊定義
網絡釣魚(Phishing)是指攻擊者利用偽造的Web站點和欺騙性的電子郵件來進行的網絡詐騙活動,受騙者往往會泄露自己的私人資料,如網上銀行賬號及密碼、信用卡號、各種支付系統的賬號及密碼、身份證號等內容。詐騙者通常會將自己偽裝成網絡銀行、網上賣家和信用卡公司等令人信任的品牌,騙取用戶的機密信息,盜取用戶資金。
網絡釣魚攻擊的危害性
有統計數字顯示,2008年封殺的僅冒充“淘寶網”的“釣魚”網站只有10個,而2009年6月,被封殺的假淘寶網站多達2000個。網絡釣魚攻擊已成為影響用戶上網安全的第一大威脅。據報道,國家反釣魚聯盟累計收到19817個釣魚網站舉報,處理了19688個釣魚網站,其中,電子商務網站為釣魚網站重災區。據國家計算機網絡應急中心估算,目前國內“網絡釣魚”讓網民的損失已達76 億元。也就是說,全國4.2億網民平均每人損失超過18元﹔若按其中 1 億活躍網購用戶來計算,相當於平均每人損失76 元。
常見的釣魚攻擊技術
釣魚攻擊使用多種技術,使一封電子郵件信息或網頁的顯示同其運行表現出欺騙性差異。下面列出了一些較為常見攻擊技術。
復制圖片和網頁設計、相似的域名
用戶鑒別網站的一種方法是檢查地址欄中顯示的URL。為了達到欺騙目的,攻擊者會注冊一個域名,它看起來同要假冒的網站域名相似,有時攻擊者還會改變大小寫或使用特殊字符。由於大多數瀏覽器是以無襯線字體顯示URL的,因此,“paypa1.com”可用來假冒“paypal.com”,“barc1ays.com”可用來假冒“barclays.com”。更常見的是,假域名只簡單地將真域名的一部分插入其中,例如,用“ebay-members-security.com”假冒“ebay. com”,用“users-paypal . com”假冒“paypal.com”。而大多數用戶缺少判斷—個假城名是否為被仿冒公司所擁有的工具和知識。
URL隱藏
假冒URL的另一種方法利用了URL語法中一種較少用到的特性。用戶名和密碼可包含在域名前,語法為:http: //username : password@domain/。攻擊者將一個看起來合理的域名放在用戶名位置,並將真實的域名隱藏起來或放在地址欄的最后,例如“http: //earthlink. net%6C%6C.. .%6C@211.112.228.2”。網頁瀏覽器的最近更新已關閉了這個漏洞,其方法是在地址欄顯示前將URL中的用戶名和密碼去掉,或者只是簡單的完全禁用含用戶名/密碼的URL語法,InternetExplorer就使用了后一種辦法。
IP地址
隱藏一台服務器身份的最簡單辦法就是使它以IP地址的形式顯示,如http: //210.93.131.250。這種技術的有效性令人難以置信,由於許多合法URL也包含一些不透明且不易理解的數字,因此,只有懂得解析URL且足夠警覺的用戶才有可能產生懷疑。
欺騙性的超鏈接
一個超鏈接的標題完全獨立於它實際指向的URL。攻擊者利用這種顯示和運行間的內在差異,在鏈接標題中顯示一個URL,而在背后使用了一個完全不同的URL。即便是一個有着豐富知識的用戶,他在看到消息中顯而易見的URL后也可能不會想到去檢查其真實的URL。檢查超鏈接目的地址的標准方法是將鼠標放在超鏈接上,其URL就會在狀態欄中顯示出來,但這也可能被攻擊者利用JavaScript或URL隱藏技術所更改。
隱藏提示
還有一種更復雜的攻擊,它不是在URL上做文章,而是通過完全替換地址欄或狀態欄達到使其提供欺騙性提示信息的目的。最近發生的一次攻擊就使用了用JavaScript在lnternet Explorer的地址欄上創建的一個簡單的小窗口,它顯示的是一個完全無關的URL。
彈出窗口
最近對Citibank客戶的一次攻擊使網頁復制技術前進了一步,它在瀏覽器中顯示的是真實的Citibank網頁,但在頁面上彈出了一個簡單的窗口,要求用戶輸入個人信息。
4.拒絕服務攻擊
簡介
此類攻擊指一個用戶占據了大量的共享資源,使得系統沒有剩余的資源給其他用戶可用的一種攻擊方式。這是一類危害極大的攻擊方式,嚴重的時候可以使一個網絡癱瘓。-
Flooding攻擊
發送垃圾數據或者響應主機的請求來阻塞服務
Smurf攻擊
利用IP的廣播系統的反射功能來增強Flooding攻擊.
SYN ( Synchronize) Flooding攻擊
利用TCP實現中旳漏洞(有限的緩存)米阻塞外來的連接請求
SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。
TCP與UDP不同,它是基於連接的,也就是說,為了在服務端和客戶端之間傳送TCP數據,必須先建立也就是TCP連接。
SYN-Flooding攻擊概述(1)
建立TCP連接的標准過程如下:
◆首先,請求端(客戶端)發送一個包含SYN標志的TCP報文,SYN即同步( Synchronize),同步報文會指明客戶端使用的端口以及TCP連接的初始序號。
◆服務器在收到客戶端的SYN報文后,將返回一個SYN+ACK的報文,表示客戶端的請求被接受,同時TCP序號被加一,ACK即確認(Acknowledgement ) 。
◆最后,客戶端也返回一個確認報文ACK給服務器端,同樣TCP序列號被加1,到此一個TCP連接完成。
◆以上的連接過程在TCP協議中被稱為三次握手( Three-way Handshake)
SYN-Flooding攻擊概述(2)
假設一個用戶向服務器發送了SYN報文后突然死機或掉線,那么服務器在發出SYN+ACK應答報文后是無法收到客戶端的ACK報文的(第三次握手無法完成),這種情況下服務器端一般會重試((再次發送SYN+ACK給客戶端)並等待一段時間后丟棄這個未完成的連接,這段時間的長度稱為SYN超時( Timeout) ,一般來說這個時間是分鍾的數量級(大約為30秒到2分鍾);一個用戶出現異常導致服務器的一個線程等待1分鍾並不是什么很大的問題,但如果有一個惡意的攻擊者大量模擬這種情況。
SYN-Flooding攻擊概述(3)
服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源:數以萬計的半連接,即使是簡單的保存並遍歷也會消耗非常多的CPU時間和內存,何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務器的TCP/IP棧不夠強大,最后的結果往往是堆棧溢出崩潰---即使服務器端的系統足夠強大,服務器端也將忙於處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小),此時從正常客戶的角度看來,服務器失去響應,這種情況我們稱作:服務器端受到了SYN Flood攻擊(SYN洪水攻擊)。
針對拒絕服務攻擊的防范措施
◆安裝防火牆,禁止訪問不該訪問的服務端口,過濾不正常的畸形數據包,使用NAT隱藏內部網絡結構
◆安裝入侵檢測系統,檢測拒絕服務攻擊行為
◆安裝安全評估系統,先於入侵者進行模擬攻擊,以便及早發現問題並解決
◆提高安全意識,經常給操作系統和應用軟件打補丁
5.遠程控制攻擊
遠程控制攻擊的安全威脅
網絡攻擊成功可以實現對目標主機的入侵,攻擊者下一步希望對目標主機進行遠程控制,以便可輕松獲取目標主機中有價值的數據和信息。對目標主機的遠程控制主要利用木馬來實現,此外,對於web服務器還可以通過Web Shell進行遠程控制。
木馬
木馬的技術演變
第1代木馬:20世紀80年代,主要是在UWIX環境中通過命令行界面實現遠程控制。
第2代木馬:20世紀90年代末,在Windows環境中大量應用。例如:BO2000,冰河木馬。
第3代木馬:通過端口反彈技術,實現從內網到外網的連接,可以穿通硬件防火牆,比較典型的是灰鴿子木馬。
第4代木馬:通過線程插入技術在系統進程和應用進程中,實現木馬運行時沒有進程,網絡連接也隱藏在系統進程或者應用進程中,例如廣外男生木馬。
第5代木馬:普遍采用rootkit技術,在隱藏方面比第4代有進一步提升。
木馬的檢測
木馬的檢測和查殺除了依靠殺毒軟件和安全防護軟件等常用手段外,還可以通過全面檢測系統的注冊表、文件、網絡連接、運行的進程等實現人工的分析。木馬的遠程控制功能要實現,必須通過執行一段代碼來實現。因此,即使木馬使用的技術再新,也會在操作系統中留下痕跡。通過運用多種監控手段和工具,可以協助發現植入的木馬程序。
webshell
和操作系統中的木馬程序功能類似,Webshell可以理解為是一種Web腳本寫的木馬后門,它用於遠程控制網站服務器。Webshell以ASP、PHP、XJSP等網頁文件的形式存在,攻擊者首先利用Web網站的漏洞將這些網頁文件非法上傳到網站服務器的Web目錄中,然后通過瀏覽器訪問這些網頁文件,利用網頁文件的命令行執行環境,獲得對網站服務器的遠程操作權限,以達到控制網站服務器的目的。
Webshell除了被攻擊者利用之外,也常被網站管理員用Webshell進行網站管理、服務器管理等。Webshell能提供對網站服務器的較為強大的管理功能,它在為網站管理員提供方便的同時,也為攻擊者遠程控制網站提供了方便的手段。
Webshell的遠程控制功能
◆在線編輯網頁腳本的功能
◆上傳和下載文件的功能
◆查看和管理數據庫的功能
◆利用網站服務器的某些漏洞進行提權后也能獲得服務器上的系統管理權限
三、網絡安全防護與實踐
1.虛擬專用網絡
虛擬專用網絡(Virtual Private Network,VPN)
虛擬專用網絡是在公用網絡上建立專用網絡的技術。
“虛擬的”,即用戶實際上並不存在一個獨立專用的網絡,既不需要建設或租用專線,也不需要配置專用的設備,而是將其建立在分布廣泛的公共網絡上,就能組成一個屬於自己的專用網絡。
其次是“專用的",相對於“公用的"來說,它強調私有性和安全可靠性。
整個VPN網絡的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平台。
VPN是利用Internet等公共網絡基礎設施,通過隧道技術,為用戶提供的與專用網絡具有相同通信功能的安全數據通道,可以實現不同網絡之間以及用戶與網絡之間的相互連接。
虛擬專用網絡(Virtual Private Network,VPN)主要特征
◆成本低
◆安全性高
◆服務質量保證
◆可管理性
◆可擴展性
VPN的實現技術
隧道技術是VPN的核心技術,是一種隱式傳輸數據的方法;
隧道技術通過對數據進行封裝,在公共網絡上建立一條數據通道(隧道),讓數據包通過這條隧道傳輸;
從協議層次看,主要有三種:第二層隧道協議、第三層隧道協議和第四層隧道協議。
◆lPSec協議
◆安全套接層協議(Secure Socket Layer,SSL)
VPN的實際應用
實際應用中VPN技術針對不同的用戶有不同的解決方案。
(1)遠程訪問虛擬網(Access VPN)
(2)企業內部虛擬網( Intranet VPN)
(3)企業擴展虛擬網(Extranet VPN)
2.防火牆
防火牆的本義原是指古代人們房屋之間修建的牆,這道牆可以防止火災發生的時候蔓延到別的房屋,如圖所示
這里所說的防火牆,是指在一個受保護的企業內部網絡與互聯網間,用來強制執行企業安全策略的一個或一組系統。
根據不同的需要,防火牆的功能有比較大差異,但是一般都包含以下三種基本功能
◆內部和外部之間的所有網絡數據流必須經過防火牆。否則就失去了防火牆的主要意義了。
◆只有符合安全策略的數據流才能通過防火牆。這也是防火牆的主要功能―—―審計和過濾數據。
◆防火牆自身應對滲透(penetration)免疫。如果防火牆自身都不安全,就更不可能保護內部網絡的安全了。
由於防火牆假設了網絡邊界和服務,因此適合於相對獨立的網絡
例如Intranet等種類相對集中的網絡。Internet上的Web網站中,超過三分之一的站點都是有某種防火牆保護的,任何關鍵性的服務器,都應該放在防火牆之后。
一般來說,防火牆由四大要素組成:
安全策略:一個防火牆能否充分發揮其作用的關鍵。哪些數據不能通過防火牆、哪些數據可以通過防火牆;防火牆應該如何具備部署;應該采取哪些方式來處理緊急的安全事件;以及如何進行審計和取證的工作。等等這些都屬於安全策略的范疇。防火牆絕不僅僅是軟件和硬件,而且包括安全策略,以及執行這些策略的管理員。
內部網:需要受保護的網。
外部網:需要防范的外部網絡。
技術手段:具體的實施技術。
雖然防火牆可以提高內部網的安全性,但是,防火牆也有它存在的一些缺陷和不足。有些缺陷是目前根本無法解決的。
為了提高安全性,限制或關閉了一些有用但存在安全缺陷的網絡服務,但這些服務也許正是用戶所需要的服務,給用戶帶來使用的不便。這是防火牆在提高安全性的同時,所付出的代價。
目前防火牆對於來自網絡內部的攻擊還無能為力。防火牆只對內外網之間的通信進行審計和“過濾”,但對於內部人員的惡意攻擊,防火牆無能為力。
防火牆不能防范不經過防火牆的攻擊,如內部網用戶通過sL或PPP"直接進入lnternet。這種繞過防滅牆的攻擊,防火牆無法抵御。
防火牆對用戶不完全透明,可能帶來傳輸延遲、瓶頸及單點失效。
防火牆也不能完全防止受病毒感染的文件或軟件的傳輸,由於病毒的種類繁多,如果要在防火牆完成對所有病毒代碼的檢查,防火牆的效率就會降到不能忍受的程度。
防火牆不能有效地防范數據驅動式攻擊。防火牆不可能對所有主機上運行的文件進行藍控,無法預計文件執行后所帶來的結果。
作為一種被動的防護手段,防火牆不能防范因特網上不斷出現的新的威脅和攻擊。
防火牆主要用於保護內部安全網絡免受外部網不安全網絡的侵害。
典型情況:安全網絡為企業內部網絡,不安全網絡為因特網。
但防火牆不只用於因特網,也可用於Intranet各部門網絡之間(內部防火牆)。例:財務部與市場部之間。
應用代理(Application Proxy) :也叫應用網關(Application Gateway) ,它作用在應用層,其特點是完全“阻隔”網絡通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現。
狀態檢測( Status Detection) :直接對分組里的數據進行處理,並且結合前后分組的數據進行綜合判斷,然后決定是否允許該數據包通過。
防火牆不可以防范什么?
防火牆不是解決所有網絡安全問題的萬能葯方,只是網絡安全政策和策略中的一個組成部分。
◆防火牆不能防范繞過防火牆的攻擊,例:內部提供撥號服務。
◆防火牆不能防范來自內部人員惡意的攻擊。
◆防火牆不能阻止被病毒感染的程序或文件的傳遞。
◆防火牆不能防止數據驅動式攻擊。例:特洛伊木馬。
四、無線局域網安全防護
1.無線局域網概述
無線局域網技術可以非常便捷的以無線方式連接網絡設備,相對於有線局域網它具有許多優點,如人們可以隨時隨地的訪問網絡資源。
無線網絡的安全性主要體現在訪問控制和數據加密兩個方面
(1)訪問控制保證敏感數據只能由授權用戶進行訪問,
(2)數據加密則保證發送的數據只能被所期望的用戶所接受和理解。
2.無線接入點安全管理
(1)修改admin密碼
(2)WEP加密傳輸
(3)禁用DHCP服務
(4)修改SNMP字符串
(5)修改SSID標識
(6)禁止SSID廣播
(7)禁止遠程管理
(8)MAC地址過濾
(9)合理放置無線AP
(10)WPA用戶認證