系统安全与攻击对策Word格式文档下载.docx
- 文档编号:19719664
- 上传时间:2023-01-09
- 格式:DOCX
- 页数:15
- 大小:126.01KB
系统安全与攻击对策Word格式文档下载.docx
《系统安全与攻击对策Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《系统安全与攻击对策Word格式文档下载.docx(15页珍藏版)》请在冰豆网上搜索。
目录
第一章操作系统安全性分析4
1.1WindowsXP安全特性分析4
1.2WindowsXP脆弱性分析5
1.3Windowsvista操作系统安全性分析7
1.4Windows7操作系统安全性分析9
第二章协议欺骗攻击12
2.1IP欺骗攻击12
2.2ARP欺骗攻击12
2.3DNS欺骗攻击13
2.4源路由欺骗攻击14
2.5防范协议欺骗的措施14
第三章口令攻击16
3.1攻击原理16
3.2三种方法16
3.3口令攻击类型17
3.4口令攻击的防护手段18
第四章拒绝服务攻击(DenialofService,DoS)20
4.1拒绝服务器攻击的原理20
4.2防止拒绝服务的攻击21
小结22
参考文献23
第一章操作系统安全性分析
微软曾经夸耀说:
“用WindowsXP的用户将不再需要为网络访问安全担心”,可见WindowsXP为NT内核型的操作系统,其功能比任何一个Windows系统都强,但也出现不少令人担忧的问题。
下面,我们来看看WindowsXP的安全性究竟如何,先看它的优越之处:
1.1WindowsXP安全特性分析
1.完善的用户管理功能
WindowsXP采用Windows2000/NT的内核,在用户管理上非常安全。
凡是增加的用户都可以在登录的时候看到,不像Windows2000那样,被黑客增加了一个管理员组的用户都发现不了。
使用NTFS文件系统可以通过设置文件夹的安全选项来限制用户对文件夹的访问,如某普通用户访问另一个用户的文档时会提出警告。
你还可以对某个文件(或者文件夹)启用审核功能,将用户对该文件(或者文件夹)的访问情况记录到安全日志文件里去,进一步加强对文件操作的监督。
2.透明的软件限制策略
在WindowsXP中,软件限制策略以“透明”的方式来隔离和使用不可靠的、潜在的对用户数据有危害的代码,这可以保护你的计算机免受各种电子邮件或网页传播的病毒、木马程序和蠕虫等,保证了数据的安全。
3.支持NTFS文件系统以及加密文件系统
WindowsXP里的加密文件系统(EFS)基于公众密钥,并利用CryptoAPI结构默认的EFS设置,EFS还可以使用扩展的DataEncryptionStandard(DESX)和Triple-DES(3DES)作为加密算法。
用户可以轻松地加密文件。
加密时,EFS自动生成一个加密密钥。
当你加密一个文件夹时,文件夹内的所有文件和子文件夹都被自动加密了,你的数据就会更加安全。
4.安全的网络访问特性
新的特性主要表现在以下几个方面:
(1)补丁自动更新,为用户“减负”
(2)系统自带Internet连接防火墙
自带了Internet防火墙,支持LAN、VPN、拨号连接等。
支持“自定义设置”以及“日志察看”,为系统的安全筑起了一道“黑客防线”。
(3)关闭“后门”
在以前的版本中,Windows系统留着几个“后门”,如137、138、139等端口都是“敞开大门”的,现在,在WindowsXP中这些端口是关闭的。
1.2WindowsXP脆弱性分析
WindowsXP随着使用时间的增加,逐渐暴露了一些漏洞,下面,来谈谈WindowsXP安全性的几个弊端。
1.UPnP服务导致的几个漏洞
UPnP是“UniversalPlugandPlay”的缩写,是一种允许主机定位和使用局域网上设备的服务,存在着以下三个漏洞:
2.NOTIFY缓冲区溢出
UPnP存在缓冲区溢出问题,当处理NOTIFY命令中的Location字段时,如果IP地址、端口和文件名部分超长,就会发生缓冲区溢出。
导致服务器程序进程内存空间的内容被覆盖。
需要注意的是服务器程序监听广播和多播接口,这样攻击者可以同时攻击多个机器而不需要知道单个主机的IP地址。
UPnP服务运行在System的上下文,攻击者如果利用漏洞成功,可以完全控制主机。
3.产生DoS、DDoS攻击
向运行了UPnP服务的系统的1900端口发送一个UDP包,其中“LOCATION”域的地址指向另一个系统的Chargen端口,可能使系统进入一个无限的连接循环。
导致系统CPU占用100%,无法提供正常服务。
另外,攻击者也可以利用这个漏洞来发起DDoS攻击,只要向某个存在大量XP主机的网络中发送一个伪造的UDP报文,就可能强迫这些XP主机对指定主机进行攻击。
解决方法:
●到微软的网站下载补丁。
●设置防火墙,禁止网络外部数据包对1900端口的连接。
●关闭UPnP服务。
如图1-1
图1-1
4.远程桌面明文账户名传送漏洞
当连接建立的时候,WindowsXP远程桌面把账户名以明文发送给连接它的客户端。
发送的账户名不一定是远端主机的用户账号,也可以是最常被客户端使用的账户名,网络上的嗅探程序可能会捕获到这些账户信息。
解决办法:
停止远程桌面使用。
如图1-2
图1-2
5.快速账号切换功能造成账号锁定漏洞
WindowsXP快速账号切换功能设计存在问题,用户可以利用账号快速切换功能,快速地重试登录一个用户名,系统认为有暴力猜解攻击,造成全部非管理员账号的锁定。
如图1-3
禁用账号快速切换功能。
图1-3
1.3Windowsvista操作系统安全性分析
微软最新发行的WindowsVista操作系统,特别强调了对安全特性的支持。
可以毫不夸张地说,安全特性的提高是WindowsVista操作系统同以往发布的Windows操作系统相比,改进最大的地方之一,也是促使用户升级到WindowsVista操作系统的重要考虑因素。
1.基础平台
WindowsVista是第一个从头至尾采用SDL进行开发的操作系统。
通过SDL严格的开发规程,微软期望,WindowsVista安全水准较先前Windows操作系统有显著提高。
但是,任何开发人员都是无法完全预知未来攻击的所有模式。
换句话说,就是开发者是不可能预测到攻击者是怎么想,会怎么用操作系统的。
所以说,SDL并不能保证操作系统杜绝所有的安全漏洞。
WindowsVista操作系统会有自身的安全漏洞。
而我们希望的是,SDL可以减少这些安全漏洞的数目和严重程度。
2.系统服务保护(ServiceHardening)
在WindowsVista操作系统提供了系统服务保护功能。
包括:
许多系统服务程序运行在较低权限的用户帐号下,如LocalServiceorNetworkService。
系统服务程序有相应的配置文件,用以指定该服务可以执行的文件,注册表和网络行为。
例如,远程调用(RPC)系统服务被限制为不能更改系统文件和注册表。
通过和防火墙配置的结合,可以限制系统服务的异常网络行为。
这样,即使一个系统程序被攻击,由于不能修改重要的系统文件和注册信息,或者连接网络,它所造成的危害也会得到限制。
局限性。
ServiceHardening是不可能限制所有的系统服务的。
关键的系统服务还是需要在系统核心权限下运行。
一旦这些服务出现安全漏洞,还是会导致严重的安全问题。
3.防止缓存溢出
WindowsVista相对WindowsXPSP2,提供了更多NX保护支持。
在32位平台上,WindowsVista的缺省设置是系统代码设置满足NX标准(NX-compliant)。
同时,还可以指定某个特定的应用程序是否满足NX标准。
这样,在确保向前兼容性的前提下,可以最大可能的提高系统中被NX保护的比例。
在64位平台上,NX保护缺省设置为应用于所有代码。
4.64位平台安全改进
在64位平台WindowsVista,特别增加了下面两个重要的安全特性。
●设备驱动程序数字认证。
在64位平台WindowsVista中,所有工作在核心模式下的设备驱动程序都必须提供数字认证,才能被系统加载。
由于需要修改操作系统行为,Rootkit往往是一个工作在核心模式下的设备驱动程序。
那么,数字认证首先可以指明一个驱动程序是由哪个厂商发布的。
其次,数字认证可以验证这个驱动程序的代码完整性,也就是否被篡改过。
这样,就可以防止系统加载Rootkit驱动程序。
●核心模式保护(KernelPatchProtection)。
这个技术也被称为PatchGuard。
它用来防止未经认证的代码自由修改操作系统的核心状态(KernelState)。
最为危险的Rootkit往往直接修改核心模式的重要数据,例如系统的进程控制表,中断控制表等等。
通过对核心状态的保护,可以有效阻止这类攻击。
由于向前兼容的原因,设备驱动程序的数字认证,和核心模式保护只在64位平台上有效。
也就是说,32位平台WindowsVista上的Rootkit威胁并没有得到有效控制。
1.4Windows7操作系统安全性分析
有关Windows的安全性争议一直持续不断,时常有人针对微软和他的Windows系统提出质疑和抱怨。
然而Windows作为使用最为广泛的操作系统,当然也就会成为众多恶意行为的攻击目标。
虽然微软已经采取了不少的措施,但是在过去的Windows操作系统版本中,它还是仍然因为种种安全问题而饱受诟病,好在大多数问题微软都通过补丁升级的方式及时进行了处理。
在主流Win7系统中,微软显然对于安全问题更加重视,使得Win7系统的安全功能焕然一新,不仅仅融入了更多的安全特性,而且原有的安全功能也带到改进和加强。
以下五大安全特性,就使得Windows7让人倍感放心。
1.保护内核
内核是操作系统的核心,这也使得它成为恶意软件和其他攻击的主要目标。
基本上,如果攻击者能够访问或操控操作系统的内核,那么他们可以在其他应用程序甚至操作系统本身都无法检测到的层次上执行恶意代码。
微软开发了“内核模式保护”来保护核心,并确保不会出现未获授权的访问。
除了保护内核,微软在Windowsxp推出之后还做了其他一些基础性的改善用以保护操作系统。
许多攻击都基于攻击者能够获知驻留在内存中的特定功能或命令的位置,或者能够执行对那些可能只包含数据的文件的攻击。
地址空间层随机化(ASLR)通过将关键的操作系统功能在内存中进行随机分布,可以将攻击者阻止在他们踌躇于从何处进行攻击时。
微软还开发了数据执行保护(DEP),以防止那些可能包含数据的文件或存储在保留给数据区域的文件去执行任何类型的代码。
2.更安全的网页浏览
Windows7附带了当前最新且功能最强大的网页浏览器版本IE8。
您也可以在其他的Windows操作系统版本上下载并运行IE8,所以它不是专用于Windows7的,但它确实带来了一些安全性能上的提升。
首先,InPrivate浏览方式提供了私密上网的能力,就像inprivate(私下地)这个名字它所揭示的一样。
当你启动一个InPrivate浏览窗口时,IE浏览器不会保存个人网上冲浪的任何相关信息。
这意味着,您所输入的信息不会保存在cache中,也没有历史信息记录您访问过的网站。
当你在一台共享或者公共的电脑上使用IE8时(比如在图书馆),这项功能就显得特别有用。
IE8另一个安全上的改进是保护模式。
保护模式的实现是基于Windows7的安全组件,这些组件能够确保恶意或XX的代码不会被允许在浏览器上运行。
保护模式会阻止drive-by下载攻击,这些攻击使得用户在访问某个被攻破的网站时就能安装恶意软件到你的系统中
3.保护机制
用户帐户控制(UAC)是WindowsVista上一个让我们所有人爱恨交织的典范。
使用Windows7时,UAC任然存在,但微软增加了一个控制滑杆(slider),使您能够控制UAC提供的保护的水平——这样就使弹出式窗口的数量受允许访问和执行文件数量的限制。
弹出窗口只是UAC所能做的能被看到的很小的一个方面。
在WindowsVista下,许多用户只是简单地禁用全部UAC,但那样也关闭了保护模式IE和一些其它的操作系统的保护。
在Windows7下的滑杆被默认设置为和WindowsVista相同的保护方式,但您可以在控制面板下对它进行自定义设
4.安全工具和应用软件
由于有了内核式保护以及微软所做的其他改变,再怎样或是否允许应用程序和操作系统的核心功能进行交互方面。
Windows防火墙和WindowsDefender反间谍软件工具包含在Windows7的基本安装包中。
你也可以下载并安装MicrosoftSecurityEssentials。
5.监控ActionCenter
XP用户所熟悉的安全中心以被WindowsActionCenter所取代。
ActionCenter是一个包括了安全中心的、更全面的监控Windows7系统的控制台。
该ActionCenter的安全部分提供了用户Windows7系统的涉及安全的粗略信息。
包括有关防火墙、间谍软件和病毒软件、Windows的更新状态、Internet安全设置和UAC的信息。
有很多很好的理由升级到Windows7。
如果你仍然在运行WindowsXP,安全因素可以说是拥抱新操作系统的最好理由。
Windows7可能是、也可能不是有史以来最伟大的操作系统,但它绝对是有史以来最安全的操作系统。
第二章协议欺骗攻击
2.1IP欺骗攻击
IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。
许多应用程序认为如果数据包能够使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的前提。
假设同一网段内有两台主机A、B,另一网段内有主机X。
B授予A某些特权。
X为获得与A相同的特权,所做欺骗攻击如下:
首先,X冒充A,向主机B发送一个带有随机序列号的SYN包。
主机B响应,回送一个应答包给A,该应答号等于原序列号加1。
然而,此时主机A已被主机X利用拒绝服务攻击“淹没”了,导致主机A服务失效。
结果,主机A将B发来的包丢弃。
为了完成三次握手,X还需要向B回送一个应答包,其应答号等于B向A发送数据包的序列号加1。
此时主机X并不能检测到主机B的数据包(因为不在同一网段),只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。
如果猜测正确,B则认为收到的ACK是来自内部主机A。
此时,X即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻击。
2.2ARP欺骗攻击
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。
ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,给ARP留下很多的隐患,ARP欺骗就是其中一个例子。
而ARP欺骗攻击就是利用该协议漏洞,通过伪造IP地址和MAC地址实现ARP欺骗的攻击技术。
我们假设有三台主机A,B,C位于同一个交换式局域网中,监听者处于主机A,而主机B,C正在通信。
现在A希望能嗅探到B->
C的数据,于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包,应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。
这个应答包会刷新B的ARP缓存,让B认为A就是C,说详细点,就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。
这样,B想要发送给C的数据实际上却发送给了A,就达到了嗅探的目的。
我们在嗅探到数据后,还必须将此数据转发给C,这样就可以保证B,C的通信不被中断。
以上就是基于ARP欺骗的嗅探基本原理,在这种嗅探方法中,嗅探者A实际上是插入到了B->
C中,B的数据先发送给了A,然后再由A转发给C,其数据传输关系如下所示:
B----->
A----->
C
B<
----A<
------C
于是A就成功于截获到了它B发给C的数据。
上面这就是一个简单的ARP欺骗的例子。
ARP欺骗攻击有两种可能,一种是对路由器ARP表的欺骗;
另一种是对内网电脑(计算机(电脑))ARP表的欺骗,当然也可能两种攻击同时进行。
但不管怎么样,欺骗发送后,电脑(计算机(电脑))和路由器之间发送的数据可能就被送到错误的MAC地址上。
2.3DNS欺骗攻击
DNS欺骗即域名信息欺骗是最常见的DNS安全问题。
当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了。
DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题,例如:
将用户引导到错误的互联网站点,或者发送一个电子邮件到一个XX的邮件服务器(server网络资源下载)。
网络攻击者通常通过以下几种方法进行DNS欺骗。
1.缓存感染
黑客会熟练的使用DNS请求,将数据放入一个没有设防的DNS服务器的缓存当中。
这些缓存信息会在客户进行DNS访问时返回给客户,从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器(server网络资源下载)上,然后黑客从这些服务器(server网络资源下载)上获取用户信息。
2.DNS信息劫持
入侵者通过监听客户端和DNS服务器的对话,通过猜测服务器(server网络资源下载)响应给客户端的DNS查询ID。
每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。
黑客在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。
3.DNS重定向
攻击者能够将DNS名称查询重定向到恶意DNS服务器。
这样攻击者可以获得DNS服务器的写权限。
2.4源路由欺骗攻击
通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作,这就是源路由攻击。
在通常情况下,信息包从起点到终点走过的路径是由位于此两点间的路由器决定的,数据包本身只知道去往何处,但不知道该如何去。
源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。
下面仍以上述源IP欺骗中的例子给出这种攻击的形式:
主机A享有主机B的某些特权,主机X想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务。
首先,攻击者修改距离X最近的路由器,使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;
然后,攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。
当B回送数据包时,就传送到被更改过的路由器。
这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。
2.5防范协议欺骗的措施
1.防止IP地址欺骗
防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:
抛弃基于地址的信任策略:
阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。
不允许r类远程调用命令的使用;
删除.rhosts文件;
清空/etc/hosts.equiv文件。
这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。
使用加密方法:
在包发送到网络上之前,我们可以对它进行加密。
虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。
进行包过滤:
可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。
而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。
有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包。
但它们也是通过分析测试源地址来实现操作的。
因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行IP欺骗。
2.防范ARP欺骗攻击可以采取如下措施:
●在客户端使用arp命令绑定网关的真实MAC地址命令
●在交换机上做端口与MAC地址的静态绑定。
●在路由器上做IP地址与MAC地址的静态绑定
●使用“ARPSERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。
3.防范DNS欺骗攻击可采取如下措施
●直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击。
但这需要你记住要访问的IP地址。
●加密所有对外的数据流,对服务器来说就是尽量使用SSH之类的有加密支持的协议,对一般用户应该用PGP之类的软件加密所有发到网络上的数据。
这也并不是怎么容易的事情。
4.防范源路由
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统安全 攻击 对策