本章要点 15 对计算机系统或网络的入侵已成为计算机安全最严 重的威胁之一。 ·入侵检测系统可以提供早期的预警,从而避免或减 轻入侵所造成的损失。 ·入侵检测涉及对正常行为的模式检测和对与入侵相 关的异常行为的模式检测。 ● 防备入侵一个重要的组成部分就是口令管理,其目 标是阻止非授权用户获得其他用户的口令。 2022/10/9 现代密码学理论与实践-18入侵者 2/48
2022/10/9 现代密码学理论与实践-18 入侵者 2/48 本章要点 ⚫ 对计算机系统或网络的入侵已成为计算机安全最严 重的威胁之一。 ⚫ 入侵检测系统可以提供早期的预警,从而避免或减 轻入侵所造成的损失。 ⚫ 入侵检测涉及对正常行为的模式检测和对与入侵相 关的异常行为的模式检测。 ⚫ 防备入侵一个重要的组成部分就是口令管理,其目 标是阻止非授权用户获得其他用户的口令
线车不 18.1入侵者 15 。用户非法入侵(黑客)与软件非法入侵(病毒) ● 三类入侵者(hackers or crackers): 。 伪装者Masquerader 违法行为者Misfeasor 秘密用户Clandestine user 系统入侵已经明显地发展成为一个社会问题 ●1 许多入侵看起来是无害的,但仍消耗大量资源 ·可以通过被控制的系统向其他机器发起攻击 2022/10/9 现代密码学理论与实践-18入侵者 3/48
2022/10/9 现代密码学理论与实践-18 入侵者 3/48 18.1 入侵者 ⚫ 用户非法入侵(黑客)与软件非法入侵(病毒) ⚫ 三类入侵者 (hackers or crackers): ⚫ 伪装者Masquerader ⚫ 违法行为者Misfeasor ⚫ 秘密用户Clandestine user ⚫ 系统入侵已经明显地发展成为一个社会问题 ⚫ 许多入侵看起来是无害的,但仍消耗大量资源 ⚫ 可以通过被控制的系统向其他机器发起攻击
作柔大 18.1.1入侵技术 105 。口令文件及其保护 ● One-way encryption(单向加密),用口令产生一个密钥用于加密 。Access Control(访问控制),限制对口令文件的访问 ●猜测口令的技术 尝试默认口令 穷尽所有短口令(1到3个字符) 尝试在线词典中的单词或看似口令的单词表(60,000) 收集用户信息,如爱好、生日、配偶或孩子名 尝试用户电话、社会安全号,住址 使用特洛伊木马 窃听远程用户和主机之间的线路 2022/10/9 现代密码学理论与实践-18入侵者 4/48
2022/10/9 现代密码学理论与实践-18 入侵者 4/48 18.1.1 入侵技术 ⚫ 口令文件及其保护 ⚫ One-way encryption(单向加密), 用口令产生一个密钥用于加密 ⚫ Access Control(访问控制),限制对口令文件的访问 ⚫ 猜测口令的技术 ⚫ 尝试默认口令 ⚫ 穷尽所有短口令(1到3个字符) ⚫ 尝试在线词典中的单词或看似口令的单词表(60,000) ⚫ 收集用户信息,如爱好、生日、配偶或孩子名 ⚫ 尝试用户电话、社会安全号,住址 ⚫ 使用特洛伊木马 ⚫ 窃听远程用户和主机之间的线路
入侵者和黑客 入侵者(攻击者)指怀着不良的企图,闯入远程计算机 系统甚至破坏远程计算机系统完整性的人。入侵者 利用获得的非法访问权,破坏重要数据,拒绝合法 用户的服务请求,或为了自己的目的故意制造麻烦。 入侵者的行为是恶意的,入侵者可能技术水平很高, 也可能是个初学者。 黑客指利用通信软件通过网络非法进入他人系统, 截获或篡改计算机数据,危害信息安全的电脑入侵 者。黑客们通过猜测程序对截获的用户账号和口令 进行破译,以便进入系统后做更进一步的操作。 2022/10/9 现代密码学理论与实践-18入侵者 5/48
2022/10/9 现代密码学理论与实践-18 入侵者 5/48 入侵者和黑客 ⚫ 入侵者(攻击者)指怀着不良的企图,闯入远程计算机 系统甚至破坏远程计算机系统完整性的人。入侵者 利用获得的非法访问权,破坏重要数据,拒绝合法 用户的服务请求,或为了自己的目的故意制造麻烦。 入侵者的行为是恶意的,入侵者可能技术水平很高, 也可能是个初学者。 ⚫ 黑客指利用通信软件通过网络非法进入他人系统, 截获或篡改计算机数据,危害信息安全的电脑入侵 者。黑客们通过猜测程序对截获的用户账号和口令 进行破译,以便进入系统后做更进一步的操作
黑客攻击的三个阶段 15 1.信息收集 黑客会利用下列的公开协议或工具,收集驻留在网络系统 中的各个主机系统的相关信息。 SNMP协议:查阅网络系统路由器的路由表,了解目标主 机所在网络的拓扑结构及其内部细节。 TraceRoute程序:获得到达目标主机所要经过的路径。 Vhois协议:提供所有有关的DNS域和相关的管理参数。 DNS服务器:提供了系统中可以访问的主机IP地址表和 它们所对应的主机名。 Fingert协议:获取指定主机上的所有用户的详细信息,如 用户注册名、电话号码、最后注册时间以及是否读邮件等。 Ping程序:用来确定一个指定主机的位置。 Vardialing软件:向目标站点一次连续拨出大批电话号码, 直到遇到某一正确的号码使其MODEM响应。 2022/10/9 现代密码学理论与实践-18入侵者 6/48
2022/10/9 现代密码学理论与实践-18 入侵者 6/48 黑客攻击的三个阶段 1.信息收集 黑客会利用下列的公开协议或工具,收集驻留在网络系统 中的各个主机系统的相关信息。 SNMP协议:查阅网络系统路由器的路由表,了解目标主 机所在网络的拓扑结构及其内部细节。 TraceRoute程序:获得到达目标主机所要经过的路径。 Whois协议:提供所有有关的DNS域和相关的管理参数。 DNS服务器:提供了系统中可以访问的主机IP地址表和 它们所对应的主机名。 Finger协议:获取指定主机上的所有用户的详细信息,如 用户注册名、电话号码、最后注册时间以及是否读邮件等。 Ping程序:用来确定一个指定主机的位置。 Wardialing软件:向目标站点一次连续拨出大批电话号码, 直到遇到某一正确的号码使其MODEM响应
黑客攻击的三个阶段(2) 15 2.系统安全弱点的探测 黑客可能使用下列方式自动扫描驻留在网络上的每台主机, 以寻求该系统的安全漏洞或安全弱点。 (1)自编程序。黑客发现“补丁”程序的接口后会自己编写 程序,通过该接口进入目标系统。 (2)利用公开工具,对整个网络或子网进行扫描,寻找安全 漏洞。 3.网络攻击 ()毁掉攻击入侵的痕迹, 并在受害系统上建立新的安全漏 洞或后门,以便在先前的攻击点被发现之后,继续访问该系统。 (2)在目标系统中安装探测器软件,包括特洛伊木马程序, 用来窥探所在系统的活动,收集黑客感兴趣的一切信息。 (3)进一步发现受损系统在网络中的信任等级,通过该系统 信任级展开对整个系统的攻击。 2022/10/9 现代密码学理论与实践-18入侵者 7148
2022/10/9 现代密码学理论与实践-18 入侵者 7/48 黑客攻击的三个阶段(2) 2.系统安全弱点的探测 黑客可能使用下列方式自动扫描驻留在网络上的每台主机, 以寻求该系统的安全漏洞或安全弱点。 (1)自编程序。黑客发现“补丁”程序的接口后会自己编写 程序,通过该接口进入目标系统。 (2)利用公开工具,对整个网络或子网进行扫描,寻找安全 漏洞。 3.网络攻击 (1)毁掉攻击入侵的痕迹,并在受害系统上建立新的安全漏 洞或后门, 以便在先前的攻击点被发现之后, 继续访问该系统。 (2)在目标系统中安装探测器软件,包括特洛伊木马程序, 用来窥探所在系统的活动,收集黑客感兴趣的一切信息。 (3)进一步发现受损系统在网络中的信任等级,通过该系统 信任级展开对整个系统的攻击
对付黑客入侵 15 “被入侵”指的是网络遭受到非法闯入的情况,分为 不同的程度: (1)入侵者只获得访问权(一个登录名和口令); (2)入侵者获得访问权,并毁坏、侵蚀或改变数据; (3)入侵者获得访问权,并获得系统一部分或整个系统 控制权,拒绝拥有特权用户的访问; (4)入侵者没有获得访问权,而是用不良程序,引起网 络持久性或暂时性的运行失败、重新启动、挂起或其它 无法操作的状态。 1.发现黑客 可以在Unix平台检查系统命令,如rm,login,bin/sh 及perl等的使用情况。在Windows上,可以定期检查 Event Log中的Security Log,以寻找可疑行为。 2022/10/9 现代密码学理论与实践-18入侵者 8/48
2022/10/9 现代密码学理论与实践-18 入侵者 8/48 对付黑客入侵 ⚫ “被入侵”指的是网络遭受到非法闯入的情况, 分为 不同的程度: (1)入侵者只获得访问权(一个登录名和口令); (2)入侵者获得访问权,并毁坏、侵蚀或改变数据; (3)入侵者获得访问权,并获得系统一部分或整个系统 控制权,拒绝拥有特权用户的访问; (4)入侵者没有获得访问权,而是用不良程序,引起网 络持久性或暂时性的运行失败、重新启动、挂起或其它 无法操作的状态。 1.发现黑客 可以在Unix平台检查系统命令, 如rm, login, /bin/sh 及perl等的使用情况。在Windows上,可以定期检查 Event Log中的Security Log,以寻找可疑行为
★冷不 对付黑客入侵(2) 105 2.应急操作 ()估计形势 ①黑客是否已成功闯入站点? ②黑客是否还滞留在系统中? ③可以关闭系统或停止有影响的服务(FTP,Gopher, Telnet等),甚至可能需要关闭因特网连接。 ④入侵是否有来自内部威胁的可能? ⑤是否了解入侵者身份?可预先留出一些空间给入侵 者,从中了解一些入侵者的信息。 2022/10/9 现代密码学理论与实践-18入侵者 9/48
2022/10/9 现代密码学理论与实践-18 入侵者 9/48 对付黑客入侵(2) 2.应急操作 (l)估计形势 ①黑客是否已成功闯入站点? ②黑客是否还滞留在系统中? ③可以关闭系统或停止有影响的服务(FTP, Gopher, Telnet等),甚至可能需要关闭因特网连接。 ④入侵是否有来自内部威胁的可能? ⑤是否了解入侵者身份?可预先留出一些空间给入侵 者,从中了解一些入侵者的信息
对付黑客入侵(3) 15 (2)切断连接 首先应切断连接,具体操作要看环境。 ①能否关闭服务器?若有需要,可以关闭一些服务。 ②是否关心追踪黑客?若是,则不要关闭因特网连接,因 为这会失去入侵者的踪迹。 ③若关闭服务器,是否能承受得起失去一些必须的有用系 统信息的损失? (3)分析问题 当已识别安全漏洞并将进行修补时,要保证修补不会引 起其他安全漏洞问题。 (4)采取合适的行动 2022/10/9 现代密码学理论与实践-18入侵者 10/48
2022/10/9 现代密码学理论与实践-18 入侵者 10/48 对付黑客入侵(3) (2)切断连接 首先应切断连接,具体操作要看环境。 ①能否关闭服务器?若有需要, 可以关闭一些服务。 ②是否关心追踪黑客?若是,则不要关闭因特网连接,因 为这会失去入侵者的踪迹。 ③若关闭服务器,是否能承受得起失去一些必须的有用系 统信息的损失? (3)分析问题 当已识别安全漏洞并将进行修补时,要保证修补不会引 起其他安全漏洞问题。 (4)采取合适的行动
海冷线不 15 抓住入侵者 。遵循如下原则对抓住入侵者会大有帮助 ()注意经常定期检查登录文件,特别是那些由系统 登录服务和wtmp文件生成的内容。 (2)注意不寻常的主机连接及连接次数,通知用户。 (3)注意那些原不经常使用却突然变得活跃的账户, 应该禁止或干脆删去这些不用的账户。 (4)预计黑客经常光顾的时段里,每隔10分钟运行一 次shell script文件,记录所有的过程及网络联接。 2022/10/9 现代密码学理论与实践-18入侵者 11/48
2022/10/9 现代密码学理论与实践-18 入侵者 11/48 抓住入侵者 ⚫ 遵循如下原则对抓住入侵者会大有帮助 (1)注意经常定期检查登录文件,特别是那些由系统 登录服务和wtmp文件生成的内容。 (2)注意不寻常的主机连接及连接次数, 通知用户。 (3)注意那些原不经常使用却突然变得活跃的账户, 应该禁止或干脆删去这些不用的账户。 (4)预计黑客经常光顾的时段里,每隔10分钟运行一 次shell script文件,记录所有的过程及网络联接