大型机房网络安全系统Word下载.docx
- 文档编号:19533194
- 上传时间:2023-01-07
- 格式:DOCX
- 页数:14
- 大小:157.33KB
大型机房网络安全系统Word下载.docx
《大型机房网络安全系统Word下载.docx》由会员分享,可在线阅读,更多相关《大型机房网络安全系统Word下载.docx(14页珍藏版)》请在冰豆网上搜索。
2.4.3盲IP欺骗
2.5内部攻击
2.5.1.“后门”守护程序
2.5.2.日志修改
2.5.3.隐蔽
2.5.4非盲欺骗
2.6cGI攻击
2.6.1.低级CGI攻击
2.6.2.高级cGI攻击
3大型机房网络安全系统创建步骤
3.1硬件平台
3.2系统平台
3.3应用模块
3.4网络安全检测仪的防御系统
3.4.1网络数据记录
3.4.2入侵检测
3.4.3远程数据备份
3.4.4网络状态流量远程监控
3.5网络安全检测仪的专用平台
3.5.1网络安全仪远程控制台
1.1研究背景
随着网络时代的飞速发展和Intranet日益普及,网络安全问题也日益突出,如何在开放网络环境中保证数据和系统的安全性已经成为众多业内人士关心的问题,并越来越显得迫切和重要。
虽然对安全技术的研究也越来越深入,但目前的技术研究重点都放在了某一个单独的安全技术上,却很少考虑如何对各种安全技术加以整合,构建一个完整的网络安全防御系统。
本文以作者的实际工作为基础,重点论述了构建一个网络安全防御系统的方案设计和实现过程。
在方案设计部分,本文重点论述了设计过程中的两个关键阶段,即风险分析和网络安全防御系统的实现。
在风险分析部分则以实例说明了如何分析一个系统所面临的风险并将其量化的过程和算法,而安全策略部分中详细描述了作者在设计一个完整的网络防御系统中所考虑的方方面面。
在实现部分,本文重点描述了作者所设计的网络安全防御系统中的网络安全检测仪的网络拓扑结构及其采用的各种安全技术和安全产品的具体细节。
本文在网络安全防御系统的设计和实现上做了一些有益的探索和尝试,还存
在着许多的不足和需要在进一步的研究中完善之处。
对于所设计的网络安全监测仪,也存在着许多需要改进和完善的地方,如入侵检测的准确性和完整性,报警方式的多样性和方便性,日志审计的反向追踪功能的研究,网络远程控制台自身的CGI程序的安全性等等都是尚待解决的问题。
大型机房网络安全设施体系结构
第二章网络攻击行为技术特点分析及应对
安全与攻击之间存在着不可分割的因果关系,如果在信息世界中不存在攻击行为,似乎没有太多的必要在这里讨论安全。
所以在本文中,把攻击放在前面。
在讨论网络安全防御系统方案之前,先分析一下目前因特网上各种黑客攻击方法的技术特点,本章将对每种攻击方法的技术原理作以简单的分析,并提出相应的应对措施。
2.1拒绝服务DoS
是指黑客向目标主机发送大量的垃圾数据或者无效的请求,阻碍服务器的为合法用户提供正常服务。
Smurfing拒绝服务攻击的主要原理黑客使用IP广播和IP欺骗使Flooding攻击的效果倍增,使用伪造的IC肝EcHOREQUEST包发往目标网络的IP广播地址.Smurfing攻击的原理如图2.1所示。
图2.1Smurfing攻击的图示
.黑客攻击实际发起的网络应采取的措施
对于从本网络向外部网络发送的数据包,本网络应该将目的地址为其他网络的这部分数据包过滤掉。
虽然当前的IP协议技术不可能消除IP伪造数据包,但使用过滤技术可以减少这种伪造发生的可能。
这种攻击方法利用了TCP/IP协议的弱点,第一种形式的分片攻击是,有一些TCP/IP协议实现中,对IP分段出现重叠时并不能正确地处理。
例如,当黑客远程向目标主机发送IP的片段,然后在目标主机上重新构造成一个无效的UDP包,这个无效的UDP包使得目标主机处于不稳定状态。
一旦处于不稳定状态,被攻击的目标主机要么处于蓝屏幕的停机状态,要么死机或重新启动。
类似这样的黑客攻击工具有:
TeardropNewTearBonk和Boink等。
第二种形式的分片攻击是,一些TcP/IP的实现对出现一些特定的数据包会呈现出脆弱性。
例如,当黑客远程向目标主机发出的SYN包,其源地址和端口与目标主机的地址和端口一致时,目标主机就可能死机或挂起。
典型这样的黑客工具是:
LANDo
传统DoS攻击的缺点是:
.受网络资源的限制。
黑客所能够发出的无效请求数据包的数量要受到其主机出口带宽的限制;
.隐蔽性差。
如果从黑客本人的主机上发出拒绝服务攻击,即使他采用伪造IP地址等手段加以隐蔽,从网络流量异常这一点就可以大致判断其位置,与ISP合作还是较容易定位和缉拿到黑客的。
而DDoS却克服了以上两个致命弱点。
.隐蔽性更强。
通过间接操纵因特网上。
无辜”的计算机实施攻击,突破了传统攻击方式从本地攻击的局限性和不安全性。
.攻击的规模可以根据情况做得很大,使目标系统完全失去提供服务的功能。
所以,分布式网络攻击体现了对黑客本人能力的急剧放大和对因特网上广阔资源的充分利用。
由于攻击点众多,被攻击方要进行防范就更加不易。
对Yahoo等世界上最著名站点的成功攻击证明了这一点。
分布式网络攻击DNA(DistributedNetworkAttacks)成为黑客的主要攻击手段,这也是未来连接在因特网上机构所面临的严重威胁之一。
DNA攻击形式是随着因特网快速发展的必然结果。
现在是DDoS攻击,那么下一次攻击也许就是分布式欺骗CDistributedSpoofing)、分布式监听CDistibutedSniffing)、或者是分布式分段攻击(DistibutedFragmentationAttack)从根本上还是要维护好上网主机的安全性。
ISP与ISP之间、ISP与网络管理员管理员之问相互协调合作,共同对付DoS。
它是一种程序,在特定的条件下(通常是由于漏洞)会对目标系统产生破坏作用。
2.2.2后门它是一种程序,允许黑客远程执行任意命令。
一般情况下,黑客攻破某个系统后,即使系统管理员发现了黑客行为并堵住了系统的漏洞,为了能够再次访问该系统,黑客往往在系统中安放这样的程序。
它是一种独立的程序,能够繁殖并从一个系统到另一个系统传播其自身的拷贝,通常在整个网络上。
像病毒一样,蠕虫可以直接破坏数据,或者因消耗系统资源而减低系统性能,甚至使整个网络瘫痪。
最著名的就是1988年Morris因特网蠕虫事件。
它是一种程序或代码(但并不是独立的程序),能够在当前的应用中自我复制,并且可以附着在其他程序上的病毒也能够通过过度占用系统资源而降低系统性能,使得其他合法的授权用户也不能够正常使用系统资源。
一种独立的、能够执行任意命令的程序。
特洛伊木马往往能够执行某种有用的功能,而这种看似有用的功能却能够隐藏在其中的非法程序。
当合法用户使用这样合法的功能时,特洛伊木马也同时执行了非授权的功能,而且通常篡夺了用户权限。
恶意软件通常能够造成严重的安全威胁,秘密的信息可以被截获和发送到敌手处,关键的信息可以被修改,计算机的软件配置可以被改动以允许黑客进行连续的入侵。
排除恶意软件的威胁代价是高昂的。
采取预防措施和教育用户所花费的代价,要比被攻击后恢复的代价要低的多。
第一,制定一个保护计算机防止被病毒等恶意软件威胁的计划。
第二,安装有效的反病毒等工具。
第三,教育用户预防和识别病毒等恶意软件的技术
第四,及时更新清除恶意软件的工具
黑客利用系统文件的读/写等访问控制权限配置不当造成的弱点,获取系统的访问权。
.
黑客通过多次尝试主机上默认或安全性极弱的登录/口令,试登录到某个帐号。
还有一种形式是采用口令破解程序,对用户加密后的口令文件进行破解,如使用Cracker,LOphtCracker,NTCrack等破解软件。
一种形式的缓冲区溢出攻击是黑客本人编写并存放在缓冲区后任意的代码,然后执行这些代码。
这对黑客的技术水平要求很高,一般的黑客少有此举。
另一种形式的缓冲区溢出攻击是程序代码编写时欠考虑。
典型的一种形式是对用户输入的边界检查问题。
例如,C语言中,函数地eto不对用户输入的数量进行检查,如果程序员不考虑这个情况就会出问题。
统计表明,在操作系统和应用软件中,因为编写的原因,其中约有3096的代码存在着缓冲区溢出的漏洞。
这就是为什么现在针对缓冲区溢出的攻击事件不断地发生的主要原因。
有理由相信,随着某些操作系统和应用软件源代码的公布,还会有更多的类似攻击事件的发生。
计算机和计算机网络构成了一个复杂的大系统,这个大系统内部又有各种型号和计算机、各种版本的服务和各种类型的协议构成,不可能保证计算机系统的硬件、软件(操作系统和应用软件)、网络协议、系统配置等各方面都完美无缺,黑客就能够发现并利用这些缺陷来进行攻击。
解决这方面的问题,一是教育,教育用户树立安全意识,如注意口令的设置、正确配置设备和服务等:
二是不断地升级系统软件和应用软件的版本,及时安装“补丁”软件。
2.4.1.端口欺骗’
利用常用服务的端口,如20/53/80/1024等,避开包过滤防火培的过滤规则。
黑客将正常长度‘的数据包分解为若干小字节的数据包,从而避开防火墙过滤规则,如对flag/port/size等的检测规则等。
2.4.3盲1P欺骗
改变源IP地址进行欺骗。
这种IP欺骗称为“盲”IP欺骗,是因为黑客修改其发送数据包的源地址后,不能与目标主机进行连接并收到来自目标主机的响应。
但是,这种“盲”IP欺骗往往是黑客能够事先预计到目标主机可能会做出的响应,从而构成其他攻击的组成部分。
对IP欺骗攻击的防范中,路由器的正确设置最为关键和重要。
如果路由器没有正确设置,对声称源地址是本网络的进网数据包不进行过滤,则容易使IP欺骗攻击得逞。
盲IP欺骗可能造成严重的后果,基于IP源地址欺骗的攻击可穿过过滤路由器(防火墙),并可能获得受到保护的主机的root权限。
针对这种攻击行为可以采取以下措施:
检测:
令使用网络监视软件,例如netlog软件,监视外来的数据包。
如果发现外部接口上通过的数据包,其源地址和目的地址与内部网络的一致,则可以断定受到IP欺骗攻击:
令另一个办法是比较内部网络中不同系统的进程统计日志。
防治“盲”IP欺骗攻击的最佳办法是:
安装配置过滤路由器,限制从外部来的进网流量,特别是要过滤掉那些源地址声称是内部网络的进网数据包。
不仅如此,过滤路由器还要过滤掉那些声称源地址不是本网络的出网数据包,以防止IP欺骗从本网络发生。
2.4.4.序列号预测
某些主机产生的随机序列号不够随机,这也就意味着不安全。
黑客通过分析和发现随机序列的产生规律,计算出该主机与服务器连接时的TCPSEQ/ACK序列号,即可欺骗服务器并与之建立“合法”的连接,如微软的windows系列中即有这样的问题,其TCP序列号是根据本机系统时间产生的。
.防治措施
防卫序列号预测入侵最有效的方法是确保你的路由器,防火墙,及所有服务器中拥有全面的审计跟踪保护。
由于序列号预测入侵方式是攻击者不断的测试可能的顺序号,所以访问被拒绝的行将在你的系统日志中不断出现,运用你的审计跟踪系统,将可以在这种访问被拒绝行出现到一定次数时,为你报警,并及时切断入侵者的连接。
所谓的“fromtheinside”有两方面的含义:
一方面可以指是内部人员:
另一面是指网络黑客控制了远程网络上某台主机后的所做所为。
黑客成功入侵了远程网络上某台计算机后(一般指的是拥有管理员权限,或root权限),为了达到其进一步访问或进行其他攻击的目的,往往在该主机上安装某些特定的软件,例如守护程序daemon。
同C/S服务模式一样,守护程序开放该主机上的某个端口,并随时监听发送到该端口的来自黑客的命令,允许黑客更进一步的远程访问或进行其他的攻击。
在被攻击的计算机日志等事件记录装置上修改黑客非法入侵访问和攻击的踪迹,修改日志文件是黑客学习的第一件事情,其道理是显然的。
因为,计算机系统的事件一记录装置,如日志文件等,就如同一记录了黑客的“指纹”。
黑客攻击发生后,日志中的信息就成为缉拿黑客的最主要的线索之一,并且也是将黑客定罪的重要证据。
因此,黑客甚至在攻击发生之前就应该预计到如何更改日志文件。
现在,有许多修改日志的黑客工具,如UTClean是可以消除黑客留在wtmp,wtmpx,utmp,utmpx和lastlog中黑客“痕迹”的工具。
类似的还有remove。
marry等工具。
如果黑客在被其入侵的计算机上安装了诸如后门守护程序等为其服务的特殊软件,往往是该主机一开机后就运行着一个或多个进程。
主机的系统管理员使用通用的工具,例如PS,就可以显示出当前主机上运行着的所有进程,从而暴露了主机遭到黑客入侵这一事实。
这是黑客不愿意看到的。
因此,黑客要使用特洛伊化的文件替代系统文件,不显示在正常情况下应该显示的信息,监听网络数据,过滤和记录敏感信息,如口令和帐号等。
黑客必须能够在某个网络上成功地控制一台主机,并在该主机上安装嗅探器(sniffer),然后在合适的时间取回嗅探器的记录信息。
这同盲目欺骗有根本的区别。
因为“盲”欺骗不能够获得从被欺骗的目标发送回来的响应,即黑客不可能与被欺骗目标主机建立真正的连接。
而在“非盲欺骗”中黑客使用数据监听等技术获得一些重要的信息,比如当前客户与服务器之间TCP包的序列号,而后或通过拒绝服务攻击切断合法客户端与服务器的连接,或在合法客户端关机时,利用IP地址伪装,序列号预测等方法巧妙的构造数据包接管当前活跃的连接或者建立伪造的连接,以获取服务器中的敏感信息,或以合法用户权限远程执行命令。
从CERT等安全组织的安全报告分析,近期对CGI的黑客攻击发生的较为频繁。
针对CGI的攻击,从攻击所利用的脆弱性、攻击的目标和所造成的破坏等各方面都有所不同。
具体来说大致有,以下两种类型的CGI攻击。
黑客可以获得系统信息或者口令文件、非法获得www服务、获得服务器资源,有时甚至获得root权限。
①更新软件:
②定期进行安全检查.
黑客可以获得数据库访问权(获得用户的资料)、获得root权限,还可以修改页面。
应该采取的措施包括:
①使用防火墙:
②定期进行www/cGl安全检查。
2.7小结
本章对目前典型的网络攻击行为技术特点进行了分析,主要包括、拒绝服务、DoS、恶意软件、利用脆弱、操纵IP包、点提出了相关的应对方法。
从技术上讲,问题,主要表现在以下几个方面:
内部攻击和CGI攻击,并针对它们的特攻击行为检测系统存在一些亟待解决的
1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。
2.网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。
3.网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。
3网络安全系统创建步骤
首先从硬件角度考虑,为了保证网络数据收集的完整性和准确性,在硬件上采用了工控机的硬件平台,其硬件的可靠性,良好的防尘,防震,散热的性能将确保监测仪的7*24小时正常运转,同时经过对各种网卡的测试,选择了丢包率最低的3c59x的网卡。
从而保证网络数据收集的完整性和准确性。
其次作为一个安全产品,其首先应该考虑的是保证自身的安全性,包括硬件和软件的安全,所以采用了安全操作系统,即公司自主开发的linux作为运行平台。
该操作系统具有良好的安全特性。
网络安全监测仪的功能分为五大模块,包括如下:
·
网络数据收集、记录:
入侵行为的实时检测、日恚记录:
日志分析和审计;
网络流量、数据流向、状态的实时监测
日志及关键性文件的自动远程备份及恢复:
目前最为流行的网络连接方式是局域网方式。
而局域网协议的基本工作原理是向网络内所有的在线计算机发送数据包,数据包的头部包含目标计算机的网络地址。
只有与数据包中的目标地址一致的计算机才能接收该数据包,而正常情况下局域网内其他在线计算机不接收。
一般情况下,数据包的发送和接收通过网卡完成,网络上所有的计算机都可以“听”到通过的流量,但是对不属于自己的数据包不响应。
可是网卡也可以设置成为混杂模式,这时这台计算机就可以捕获到网络上所有的数据包,那么这台计算机以及其所安装的相应软件就是一个嗅探器。
虽然嗅探器可以截获网络上所有的信息,但实际上一个网络上的通信量是巨大的。
如果嗅探器截获所有的信息并存储在计算机的硬盘上,那么用不了多少时间它所截获和存储的信息就会占满整个硬盘空间,所以通常情况下只记录每一个数据包的包头部分的内容,并通过对所有数据包包头信息的统计,获得各种详细的统计数据,包括如下字段:
TCP数据包的源、目的IP地址及其端口号。
TCP数据包总字节数。
TCP数据包标志位信息。
UDP数据包的源、目的IP地址及其端口号。
ICMP数据包类型信息。
oSPF源和目的信息。
本机网络接口或全网总体流量实时统计。
本机网络接口或全网各种TCP和UDP服务的流量实时统计。
本机网络接口或全网不同大小数据包数量实时统计。
本机网络接口或全网IP,TCP,UDP,ICMP和non-IP的字节总流量实时统计。
局域网中所有主机网络接口流量实时统计。
网络安全检测仪通过两种方式使用该网络嗅探功能,其一是通过它的图形化界面实时查看各种数据及统计信息,其二是该功能作为一个后台进程运行,用户可以通过日志查看各种数据及统计信息。
5.4.2入侵检测
网络安全检测仪入侵检测系统(NIDS),其工作原理为在基于共享模式的网络上获取原始的网络传输数据,并对其进行特征解析,将所得结果与己知攻击行为的特征再进行匹配分析,判断入侵行为的发生,进而采取预警或记录的处理措施。
从检测模式而言,这种检测模式是属于误用检测。
从本质上上来说,该功能的实现是针对每一种入侵行为,提炼出它的特征值并按照规范写成检验规则,从而形成一个规则数据库。
其次将捕获得到的数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。
该功能的实现分三个部分,其结构如图5.3所示。
(1)数据包捕获和解析子系统(CapturePacketMechanismfromlinklayerandthepacketdecoder):
该子系统的功能为捕获网络的传输数据并按照TCP/IP协议的不同层次将数据包进行解析。
利用libpcap库函数进行采集数据,该库函数可以为应用程序提供直接从链路层捕获数据包的接口函数并可以设置数据包的过滤器以来捕获指定的数据。
网络数据采集和解析机制是整个NIDS实现的基础,其中最关键的是要保证高速和低的丢包率,这不仅仅取决于软件的效率还同硬件的处理能力相关。
对于解析机制来说,能够处理的数据包的类型的多样性也同样非常重要,目前,可以处理以太网,令牌环以及SLIP等多种链路类型的包。
(2)检测引擎(thedetectengine)
检测引擎是一个入侵检测系统的核心,而准确性和快速性重要指标,前者主要取决于对入侵行为特征的提炼的精确性和规则撰写的简洁实用性,由于网络入侵检测系统自身角色的被动性一只能被动的检测流经本网络的数据,而不能主动发送数据包去探测,所以只有将入侵行为的特征码归结为协议的不同字段的特征值,通过检测该特征值来决定入侵行为是否发生。
后者主要取决于引擎的组织结构,是否能够快速地进行规则匹配。
实现时采用了插件形式来组织规则库,即按照入侵行为的种类将规则划分为相应的插件,每一个插件中带有数十条不同的检测规则,分别描述同一类别的不同入侵行为的网络数据特征。
用户可以根据需要灵活的选取对应的规则插件进行匹配检测,也可以对一个插件中的任何一条规则选择是否进行匹配检测。
目前可以检测的插件包括如下:
◇Oos/DDos拒绝服务攻击
◇端口扫描及其使用的数据包
◇Backdoor后门攻击
◇Finger操作
◇Ftp有关攻击
◇Netbios攻击
◇缓冲区溢出攻击
◇Ping的有关攻击
◇RPc的有关攻击
◇Smtp的有关攻击
◇Telnet的危险行为
◇Web有关攻击(sniffer监听、Web-ColdFusion攻击、Web-CGI的攻击、Web—frontpage的攻击、Web—its对IIS的攻击)上述已经提及到检测的最终行为就是检测数据包中协议的不同字段,例如端口号就是重要的入侵线索。
5.4.3远程数据备份
远程数据备份功能是网络安全监测仪中的一个辅助功能,其目的是为了保证网络安全监测仪的自身数据安全。
尤其是日志部分的数据及重要的系统文件。
由于备份内容的单一及数据量较小,所以远程备份功能并不复杂,主要利用了linux系统中管道的技术,以及系统命令cpio的打包和恢复功能,以及ftp本身的数据远程传输功能。
管道是linux系统中数据流传输的一种方式,用于两个系统命令之间的数据流传输,其数据流动特点正如其名,数据总是从管道的左方流向右方,换句话说,管道的作用在于将其左边系统命令的输出结果传给右边的系统命令作为其输入数据。
任何的系统命令总有其输入和输出,而系统命令cpio用做打包时,其输入数据是一个带有绝对路径的文件名列表(可以由任意的系统命令产生,例如命令fmd/home/zou),其输出结果则是文件列表中所有文件数据以其特有的格式打成的一个压缩包。
而当该命令用做恢复时,其输入和输出刚好与打包时的情况相反,由于打包时包中所有文件均带有绝对路径,所以cpio能够保证将压缩包中的所有文件恢复到其原来的位置。
最后则是利用ftp的远程数据传输功能完成将压缩包存放于备份服务器的过程。
所以使用远程备份功能时需要管理员开放备份服务器的ftp服务,且为备份操作建立一个特殊的用户,为了备份服务器的安全起见,应该严格限制该用户的访问范围,并在备份结束后隔断备份服务器与其他主机的连接。
综合以上提到的三种技术,实现了网络安全监测仪的远程数据备份功能
5.4.4网络状态流量远程监控
网络安全检测仪的网络数据流量状态监视功能的实是基于网络嗅探技术,但其特色并不在于对数据信息的记录,而是在于对所获取的数据信息从不同的角度进行详细的统计,并将统计结果以各种图形化的方式呈现给用户,包括表,饼图,柱图等。
同时另一个重要的特色是该功能采用了目前流行的B/S工作模式,所有的输出结果均以网页的方式提供给用户,使该功能实现了与平台的无关性,并允许多用户同时访问。
用户只需要拥有一台安装
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大型 机房 网络安全 系统