信息安全导论课程-ch18-入侵漏洞和防范.ppt

入侵和缺陷 入侵是由于存在安全缺陷，是操作系统或应用软件的漏洞被利用造成的。用户的不当设置或使用也会产生漏洞，如弱口令等。 刑法节选 第二百八十五条　违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。 第二百八十六条　违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。 　　违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。 　　故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。 第二百八十七条　利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。 18.1 入侵 入侵 Intruder An entity that gains or attempts to gain access to a system or system resource without having authorization to do so. 未经允许的对资源的访问和使用 有危害的故意和行为事实 善意的入侵也是入侵 成功的入侵体现为 对非授权资源的访问和使用 资源指硬件、软件、系统、文件、带宽等等 获得口令只是集中体现 安全事件统计 摘自CERT /stats/cert_stats.html 入侵者 Intruder 区分 hacker、cracker、intruder 外部入侵者、内部攻击者 恶性、良性、好心(帮倒忙)的 假冒者、越权者、秘密用户 黑客组织 安全应对组织，如CERT / / 入侵的前奏：扫描 主机（IP）存在/开机 OS 端口 服务 漏洞 扫描工具 手工 ping netcraft nmap /tools/1.html Netcraft / Whats that site running? was running Microsoft-IIS on Windows Server 2003. was running Microsoft-IIS on Windows Server 2003. 练习: 发现网络拓扑结构 trace route server Nmap Free Stealth Port Scanner For Network Exploration Security Audits. /nmap/ 命令行 见 备注行 NMapWin /projects/nmapwin * 审慎练习 scan是违反法规的 入侵技术 获取口令 字典攻击＋穷举尝试 利用漏洞 利用漏洞获取口令，或者绕过口令的保护 技术漏洞、管理漏洞 木马和病毒－Malicious Code 被远程可控制 自动执行某些破坏活动 欺骗和社会工程 漏洞 Hole 操作系统 Windows、Linux/Unix 常用软件 服务软件，如sendmail、apache 客户端软件，如IE、Outlook 套组件，如office 设计和实现 配置和管理 用户因素 及时更新和补丁 举例：输入法漏洞 未补丁的Win2k 你并不知道其任何口令 在登录窗口按“CTL+SP”或“CTL+SHIFT”激活比如全拼输入法 进入输入法的帮助界面 在按钮栏上鼠标右键“跳至URL”， 输入比如“C:\”，即见文件及目录列表 有些操作不能用 * 补丁 patch update 输入法漏洞屏图 举例：Unicode hole Win2k IIS5 (unpatched) Patch 举例：ipc$入侵 win9x的vredir.vxd漏洞 win2k的c$/d$/admin$共享 138、139、445 137、138 C:\WINNT\system32\drivers\etc\services 协议漏洞攻击 FTP重定向攻击 open ftpserver user ftp pass xxx port xxx,xxx,xxx,xxx,xx,xx retr doc 某些FTP服务器 TCP/IP漏洞攻击 Teardrop Land 利用了某些实现的缺陷，而不是TCP/IP协议设计上的漏洞 18.2 入侵检测 技术手段 收集信息 网关、sniffer、OS log/审计 分析发现: 异常现象和行为 响应干预 及时制止/被动补丁 规则定义和行为描述 AAA 异常检测 主机 vs. 网络, Firewall, IDS 入侵者 comp. 授权用户 收集信息：审计日志 Windows 事件查看器 IIS Log 本地安全策略