国开《网络实用技术基础》第五章 5.4 网络攻防
5.4 网络攻防
网络攻防主要是指与网络相关的攻击技术和防护手段。常见的网络攻击技术包含信息收集、弱点扫描、协议和应用流程分析、漏洞挖掘、漏洞利用、权限提升、控制与信息隐藏和社会工程等多种技术,而网络防护技术则是针对攻击特点采取的相应应对措施。
一、网络攻击技术
网络攻击分为被动攻击和主动攻击两类,被动攻击试图获得或利用系统的信息,但不会对系统的资源造成破坏;主动攻击试图破坏系统的资源,影响系统的正常工作。
1.被动攻击
被动攻击的特点是对传输的信息进行窃听和监测,攻击者的目标是获得线路上所传输的信息。如图5-26所示,攻击者通过窃听攻击,可以截获电话、电子邮件和传输文件等敏感或秘密信息。
如图5-27所示,如果用户通过加密技术来隐藏消息内容或其他信息的流量,攻击者即使捕获了消息,也不能从中发现有价值的信息。然而,攻击者仍然可以通过流量分析获得这些消息的模式,如攻击者可确定主机的身份及位置,观察到传输消息的频度和长度,并能根据所获得信息推断本次通信的性质。
图5-26窃听攻击
图5-27流量分析
2.主动攻击
主动攻击是指恶意篡改数据量或伪造数据流等攻击行为,通常可分为伪装攻击、重放攻击、消息篡改和拒绝服务攻击等。如图5-28所示,伪装攻击是指某个实体伪装成其他实体,对目标发起攻击。
如图5-29所示,重放攻击指攻击者指为达到某种目的,将获得的信息再次发送,以实现在非授权的情况下的消息传输。
图5-28伪装攻击
图5-29重放攻击
如图5-30所示,消息篡改指攻击者为达到非授权的目的,对所获得的合法消息中的一部分进行修改或延迟消息的传输。
如图5-31所示,拒绝服务攻击指攻击者通过耗尽服务器资源等手段,阻止或禁止用户正常使用网络服务或管理通信设备。
图5-30消息篡改
图5-31拒绝服务攻击
二、网络防御技术
1.防火墙技术
Internet中,防火墙把网络划分为[外部网络]和[受保护网络]两部分。
1)防火墙的功能
防火墙的功能表现在以下4个方面:
●过滤进出网络的数据
●监控审计和报警
●防止内部信息外泄
●强化网络安全策略
2)防火墙的种类
按使用技术不同,可将防火墙分为3类:
表5-10 各类防火墙的对比
| 类别 | 优点 | 缺点 |
|---|---|---|
| 包过滤 防火墙 | ●对用户透明; ●处理速度快且易于维护; ●使用方便且价格便宜; | ●不支持在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用; |
| 应用网关 防火墙 | ●支持应用层协议; ●支持一些复杂的访问控制; ●支持精细的日志和审计记录; | ●需安装代理软件,提供的服务有限; ●客户机软件必须与代理一起工作; ●速度一般较慢,不适用于高速网络; |
| 状态检测 防火墙 | ●支持多种协议和应用程序; ●支持检测无连接状态的远程过程调用和用户数据报等端口信息; ●支持多种用户认证方式; | ●记录、测试和分析工作可能会造成网络连接的某种迟滞; |
3)防火墙的体系结构
目前主要有如下4种常见的防火墙体系结构:
(1)屏蔽路由器:如图5-32所示,屏蔽路由器是一个具有数据包过滤功能的路由器,它既可以是一个专用硬件设备,也可以是一台主机。
图5-32屏蔽路由器
(2)堡垒主机/双宿主机网关:如图5-33所示,若一台主机有两块网卡,一块连接受保护网络,一块连接外部网络,则该主机就是堡垒主机/双宿主机网关。
图5-33双宿主机网关
(3)屏蔽主机网关:如图5-34所示,屏蔽主机网关由一台屏蔽路由器和一台堡垒主机组成。
图5-34屏蔽主机网关
(4)屏蔽子网:如图5-35所示,用两台屏蔽路由器将受保护网络和外部网络隔离开,中间形成一个隔离区(DMZ,Demilitarized Zone),就构成了屏蔽子网结构。
图5-35屏蔽子网结构
2.入侵检测技术
入侵检测系统(IDS,Intrusion Detection System)。入侵是指试图破坏资源完整性、机密性和可用性的行为。入侵检测是对入侵行为的发觉,对企图入侵、正在进行或已经发生的入侵进行识别的过程。入侵检测系统IDS是用于入侵检测的软件与硬件的组合,能够检测未授权对象针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。
入侵检测技术作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时检测,在网络系统受到危害之前拦截和响应入侵。入侵检测技术系统能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。如图5-36所示,通用的入侵检测系统模型由4个部分组成。
图5-36通用入侵检测系统模型
1)数据收集器,又称探测器,负责收集信息,然后发送到检测器进行处理。
2)检测器,又称为分析器或检测引擎,负责从感应器接收信息,并根据知识库对这些信息进行分析,以判定是否有入侵行为发生,若检测到入侵,则发出警报信号。
3)知识库,提供必要的数据信息支持,如用户历史活动档案和检测规则集合等。
4)控制器,对分析结果做出反应的功能单元。功能包括报警和事件报告、终止进程、强制用户退出、切断网络连接、修改防火墙配置、灾难评估和自动回复等。
一套完整的IDS还应包括管理器,以可视化的方式向用户提供收集到的各种数据及相应的分析结果。用户可以通过管理器对入侵检测系统进行配置,从而对入侵行为进行检测以及对相应措施进行管理。
无论对于什么类型的入侵检测系统,其工作过程都需要经过以下4个步骤:
1)信息收集;
2)信息分析;
3)警告与响应;
4)记录并报告。
入侵检测技术主要分为两类:
1)误用检测技术
误用检测,又称为特征分析或基于知识的检测。如图5-37所示,在误用检测模型中,系统假定所有入侵行为和手段都能够表达为一种模式或特征,并对已知的入侵行为和手段进行分析,构建攻击模型或攻击签名。在进行误用检测时,通过匹配系统当前状态与攻击模式或攻击签名来判断是否发生了入侵。
2)异常入侵检测技术
异常检测,又称为基于行为的检测,通过对系统异常行为的检测来发现入侵。如图5-38所示,在异常检测模型中,系统收集一段时间内网络操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述。在进行异常检测时,系统收集时间数据,并使用多种方法来决定所检测到的时间活动是否偏离了正常行为模式,从而判断是否发生了入侵。
图5-37误用检测模型的结构
图5-38异常检测模型的结构
3.入侵防护系统(IPS,Intrusion Prevention System)
1)IPS的原理
入侵防护系统则倾向于提供主动防护,即预先对入侵活动和攻击性网络流量进行拦截。也就是说,IPS是一种主动的、积极的入侵防范系统,部署在网络的进出口处。当检测到攻击企图后,IPS会自动地将攻击包丢掉或采取措施将攻击源阻断。
IPS,也称为入侵检测和防御系统(IDP,Intrusion Detection & Prevention),是指不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,保护网络及信息系统不受实质性攻击的一种智能化的安全产品。
如图5-39所示,入侵防护系统通过一个网络接口接收来自外部系统的流量,经过检查确认流量中不含有异常活动或可疑内容后,再通过另外一个网络接口将其传输到内部系统中。有问题的数据包,以及所有同一来源的后续数据包,都会被IPS彻底清除掉。
图5-39 IPS工作原理
2)IPS的分类
依据操作系统平台,入侵防护系统可分为基于主机的入侵防护系统(HIPS,Host-based Intrusion Prevention System)和基于网络的入侵防护系统(NIPS,Network Intrusion Prevention System)。
4.访问控制技术(IPS,Intrusion Prevention System)
访问控制(AC,Access Control)用于实现既定的安全策略,其目标是防止对计算设备、通信链路和信息等资源的非授权访问。非授权访问是指未经授权的使用、泄露、修改、销毁和颁发指令等活动。
访问控制体系包括[主体]、[客体]和[策略]3个部分:
计算机信息系统访问控制技术产生于上世纪60年代。目前,主流的访问技术包括强制访问控制(MAC,Mandatory Access Control)、自主访问控制(DAC,Discretionary Access Control)、基于角色的新型访问控制技术和基于任务的访问控制技术等。MAC和DAC已在多用户系统中得到了广泛应用。
1)强制访问控制
强制访问控制是指系统强制主体在访问客体时服从特定的控制政策。强制访问控制的基本思想是每一个主体和客体都有既定的安全属性,主体对客体的访问权限取决于两者安全属性之间的关系。
强制访问控制的缺点包括灵活性较差、对授权的可管理性考虑不足,以及适用范围狭窄等。
2)自主访问控制
自主访问控制最早出现在分时系统中,是多用户环境下最常用的一种访问控制技术,也是目前计算机系统中应用最广泛的访问控制机制。在自主访问控制机制下,客体的访问授权由其拥有者全权管理。其他主体对客体的访问权限和可执行的访问类型取决于该客体的主体。因此,自主访问控制又称为基于拥有者的访问控制。
自主访问控制的缺点包括资源管理分散、系统不能体现用户之间的关系、信息易泄露等。此外,在自主访问控制模式下,系统易受到特洛伊木马的危害。
3)基于角色的访问控制
4)基于任务的访问控制
5)计算机病毒
计算机病毒是编制或在计算机程序中插入的,能破坏计算机功能、毁坏数据或影响计算机使用,具有自我复制功能的一组计算机指令或者程序代码。19世纪60年代,美国麻省理工学院的一些青年研究人员,在做完工作后,利用业余时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序,然后输入到计算机中运行,并销毁对方的游戏程序,这可能就是计算机病毒的雏形。随着时间变化,计算机病毒的威力不断增强。
计算机病毒具有6大特点:
1)繁殖性:计算机病毒可以进行繁殖,当正常程序运行时,病毒也进行自身复制。是否具有繁殖、感染的特征是判断计算机病毒的首要条件。
2)隐蔽性:计算机病毒具有很强的隐蔽性,在发作之前难以寻找其踪迹。病毒一旦运行后,就会修改自己的文档名并隐藏在系统文件夹中,难以通过手工方式查找。
3)传播性:计算机病毒可以通过各种媒介从已感染的计算机扩散到未被感染的计算机。是否具有传染性是判别计算机病毒的重要条件。
4)潜伏性:为达到大幅传播的目的,部分病毒有一定的“潜伏期”,在特定的日子,如某个节日或者星期几按时爆发。
5)破坏性:计算机病毒发作后,可能占用系统资源,干扰正常程序运行,甚至会破坏计算机的BIOS、文件系统和硬件设备等部件。
6)触发性:计算机病毒具有触发检查机制,预定条件满足时,便会启动感染或破坏动作进行攻击。
为了有效遏制计算机病毒,计算机工程师们提出了包括监测病毒和清除病毒在内的反病毒技术。病毒的清除以病毒的有效检测为基础,目前广泛使用的病毒检测方法有校验和法、特征代码发、感染实验法和行为监测法等。
