第三章 网络入侵初步分析.docx

第三章 网络入侵初步分析.docx

《第三章 网络入侵初步分析.docx》由会员分享，可在线阅读，更多相关《第三章 网络入侵初步分析.docx（47页珍藏版）》请在冰豆网上搜索。

第三章网络入侵初步分析

第3章网络入侵初步分析

项目一网络入侵

☆预备知识

1.了解日常生活中的网络入侵现象；

2.基本计算机入侵知识；

☆技能目标

1.掌握网络入侵的概念；

2.了解网络入侵主要有哪些方式以及原理；

3.初步掌握网络入侵基本防范。

☆项目案例

小孟在平时上网时会遇到很多问题，例如一些关键数据被更改，或是丢失一些重要的文件；有时小孟在上网时经常会遇到病毒或木马，甚至机器被对方控制；小孟平时喜欢给同学和家人发送E-mail，但是会发现很多垃圾邮件；小孟想了解一些入侵方面的知识，该从那里入手呢？

所以他去请教网络中心的张主任。

张主任说这些网络问题时我们经常遇到的，于是就从黑客的发展史、黑客入侵的原理、入侵的具体方法和防范措施等等给小孟进行了详细的讲解。

3.1网络入侵者

在很多人眼里，“黑客”被等同于电脑捣乱分子，“黑客”的行为似乎就是“计算机犯罪”。

可是也有人认为“黑客”是网络时代的牛仔，甚至是反传统的斗士。

3.1.1网络人侵者（黑客）的范围

史蒂夫·利维在其著名的《黑客电脑史》中指出的“黑客道德准则”（theHackerEthic）包括：

通往计算机的路不止一条，听有的信息都应当是免费的，打破计算机集权，在计算机上创造艺术和美，计算机将使生活更美好。

广义的、公众认为的“黑客”就是闯人计算机系统的人。

这种观念有些片面。

《Maxi-mumSecurity》一书中对黑客定义如下：

“黑客”指对于任何计算机操作系统的奥秘都有强烈兴趣的人。

“黑客”大都是程序员，他们具有操作系统和编程语言方面的高级知识，知道系统中的漏洞及其原因所在；他们不断追求更深的知识，并公开他们的发现，与其他人分享；并且从来没有破坏数据的企图。

“入侵者”是指怀着不良的企图，闯入甚至破坏远程机器系统完整性的人。

这里所指黑客的概念源于20世纪五六十年代麻省理工学院的实验室里的计算机迷们。

他们精力充沛，热衷于解决难题、独立思考并且奉公守法。

技术本身是没有错的，错误产生于人。

网络安全性的分析可以被真正的黑客用于加强安全性、加强网络的自由度，也可以被入侵者用于窥探他人隐私、任意篡改数据、进行网上诈骗活动.

3.1.2黑客简史

1．早期的计算机窃贼与病毒

（1）20世纪六七十年代的电话窃用

目前非法侵袭网络的现象可追溯到20世纪六七十年代的电话窃用，当时美国电话公司（AT&T）和电话窃用者之间存在很大的矛盾：

窃用者异想天开地利用AT&T电话系统上的薄弱点，无限制地打免费长途电话。

例如，1970年，苹果公司第一批工作人员，JiohnDraper发现一包玉米粒发出的响声音频就能建立起长途电话呼叫。

Draper将此命名为CaptainCrumch，为整个亚文化群的发展奠定了基础，这一亚文化群的口号是“通信自由是民众自由的基础”，系统地发展了不用付费可使用电话系统的方法。

1971年，AbbieHoffmann和AlBell出版了首期地下杂志“Youth1nternatinalPartyLine”（YLPL）其中，着重叙述了如何设置电子线四季回避AT&T的收费记账器。

例如，采用所谓的“黑匣子”，通过愚弄电话交换器，使它误以为已经接通信号的电话还在不断地拨打，这样就能在任意一部电话上打免费电话，利用“红匣子”模拟硬币投入的音调，以告诉系统投人的硬币数和钱数，就能免费使用公共电话：

“YIPL”在1973年更名为TAP（技术互助编程），仍然成为20世纪80年代电话冒名活动的主要信息来源：

1983年，“TomEdison”，他是TAP出版物AlBell的继承人，由于计算机被偷，房子被烧，宣告了TAP杂志的停刊。

1990年，该杂志又重新出版，尽管用同样的书名，竭力想恢复过去的辉煌，但再也没能重振雄风。

首批计算机窃贼直到20世纪70年代末，计算机地下组织才开始形成，并出现早期的计算机窃贼。

当时PC机仅在个人电脑所及的范围内计算，计算机犯罪也或多或少地限制了公司内部计算机系统的正常工作：

如纽约一位雇主，他利用公司的计算机进行诈骗，使雇主损失了l00万美元（1973年）〔现在，也发现人们正在从外部侵袭系统，如单独行动者KevinMilniCk,年仅18岁，也许是当时最著名的侵袭者。

在1982年，他竟然从外部侵袭到美国空军的最高计算机控制网络：

这是首次发现的从外部侵袭的网络事件。

两年后，即1984年，两家目前最著名的侵袭者协会成,LexLuthor的“legionofdoom”（Lol）和德国汉堡的“Chaos计算机俱乐部”（CGC）。

像15年前电话冒名一样，CGC的主要目的也是为了所谓的人权，如同计算机地下组织所确定的，将能自主地进行世界范围忍气吞声信息交换看作是人权。

自1984年以来，CGC的出版物“DieDaten-schleuder”就不定期地出版发行，使成员不断地了解到CGC正在干的事情，并以此扩散它们的信息和观点。

由于CGC的成员和支持者都自视为属于抵抗运动组织，抗议信息社会中的形式主义、垄断主义、独裁主义等。

他们认为，侵人商业计算机系统中引人注目的行为，决不只是为了破坏而是有伟人意义的。

1984年11月，CGC在全世界引起了轰动。

当时一个名叫SteffenWerney的成员，竟然通过德国Telekom的BXT服务器，将10万美元从汉堡储蓄银行（HASPA）转移到CGC俱乐部的账号上。

由于BTX系统的程序有误（德国Telekom的在线服务器，几个月前才开始正常使用。

Werney轻而易举地获得成功。

当调用BTX页面时，有时会出现文本溢出，即系统数据的内容在当前屏幕上重现，通过对转储部分数据的分析，就能找到HASPA的口令，据此Werney侵人系统，建立起收费的BTX页面（这时CGC己成为BTX服务器的供应者）。

当有人调用时，就需给服务器交费（每次6美元）_借助于一个小程序，用HASPA的口令记录之后，就反复调用，每调用一次，CGC的资金就增加6美元。

从星期六下午6点到星期天下午1点，以这种方式积累资金已超过9万美元。

1984年11月19，在汉华数据保护局，CGC向报刊和电视报道了这一妙计，虽然资金又转回到HASPA,但对Telekom的形象和开发IBM系统的工作人员来说都产生了极大的伤害

三年后即1987年CGC又获得了一个重大成功，即CGC成员侵人NASA遍及全的SPAN网络。

（2）地下邮箱（BBS）

20世纪70年代后期，侵袭者组织的许多通信都从硬拷贝转向公告牌了系统（BBS）首先，BBS系统使向世界各地方便地散发信息和数据成为可能。

侵袭组织不仅指导如同闯入如何使用计算机系统和电话结路，而且还展现了电话公司的内部手册，比如展现了BellSouth的《911种强化服务器的实用标准》一书。

于是Bell提出法律诉讼，1989一1990年之间，"LoD"组织的许多支持者都被送进了监狱。

另一方面，美国计算机反诈骗和滥用局也开始严密的调查，其中包括搜查许多并没有干扰线路工作的激进分子的家，没收了计算机（尽管他从来没有被指控）。

1990年，促成了电子边界基金会（EFF）的创立，该基金会的宗旨是根据美国宪法所制定的人权，扩大在计算机领域的使用自由权，并捍卫这些权力。

1991年，美国地下组织最著名的侵袭者KevinLeePoulson，继Mitnick之后，在一次最惊人的袭击事件后被捕。

加利福尼亚无线电台K11-FM曾宣布，使用三个特殊号码连续进行呼叫的第102个呼叫者可得到Porsche944S2.Poulesn装配了电话系统并取得成功，但在他向无线电台泄密之后被逮捕。

1995年4月，被判处入监狱15个月。

从最初的病毒到“TrojanIlorse”随着计算机系统逐步地网络化，病毒成为越来越尖锐的安全问题。

以“Piggyhack”方式侵袭计算机系统的简单、破坏性的小型程序已成为标准的应用软件。

它具有智能化，并可在计算机网络上不断变化和扩散。

早在1974年，早期的病毒处于试验研究阶段。

到20世纪80年代初，病毒已扩散到无所不在的地步。

有些病毒相对仁慈一些，比如芝麻甜饼怪物，它出现在屏幕上就像小甜饼（敲击字“Cookie”，可能性片刻的安静）。

但近几年来，病毒越来越具有掠夺性和破坏性。

计算机系统第一次受到病毒的严重感染是在1987年，当时IBM圣诞卡的蠕虫病毒感染了大部分IBM计算机。

一日病毒进人到未感染系统，立即就以每小时50万次的速度复制，使整个系统立即中止运行。

也许最有名的病毒是由一名学生罗伯特·莫里斯产生的（他是美国国防部计算机安全专家的儿子）。

1988年将病毒释放在Internet上，这一病毒能无期限地自身复制，仅几个小时，就使Internet上6000多台计算机陷人崩溃。

随后相应地ARPA成立了计算机紧急情况处理小组（CERT），其目的在于帮助Internet上用户排除安全故障尽管这样，现在世界范围内病毒的数量，从1991年以来增加数量超过了500%，现有病毒1万多种。

2．20世纪90年代职业计算机窃贼

从20世纪90年代初以来，越来越多的职业窃贼参与到非法的计算机地下组织中：

大多数电话公司都曾遭受其害。

现在，银行和商业部门正受到职业窃贼的袭击。

例如，1995年7月，一个俄国人VladimirLevin，竟然从纽约城市银行和其他银行支取了90亿美元。

还有许多职业窃贼的行为没有报道，因此只能猜测计算机犯罪的真实程度。

下面列出从1960年以来计算机犯罪的主要事件：

1961年：

SteveR1ussell在波士顿麻省理工学院的PDP-l机上编写了“空中大战”，这是第一个计算机游戏软件。

1970年：

JohnDraper利用一包玉米粒发出的轻微响声的音频建立起免费长途呼叫。

1971年：

AhbieHoffmann与A1Bell开始出版地下杂志YIPL,1973年更名为TAP。

1973年：

“纽约时代储蓄银行“的一位雇员借助计算机使雇主损失l00万美元。

1974年：

试验研究了第一个计算机病毒。

1982年：

KevinMitniek（仅18岁）闯入到美国空军最高控制的计算机网络中。

1984年：

EmmanuelGolrlstein，发行了侵袭者杂“2600：

heHackerquarterly”10年后，己有可观的发行量，到1995年，发行量达到2万册。

1984年：

成立汉堡Chaos计算机俱乐部（CGC）。

1984年：

L.exluthor成立了非法侵袭者俱乐部“LegionofDoom”（LoD）。

1984年：

CGC成员SteffenWerner竟然从HamburgerSparkasse（储蓄银行）将1万美元通过DeutscheTelekom的BTX服务器转移到CGC的账户上。

1987年：

CGC成员闯人NASA的SPAN网络

1987年：

IBM圣诞卡迅速使世界各地的IBM计算机都感染f.Worm病毒，造成计算机瘫痪。

1988年:

经过FBI,CIA,NSA（国家安全局）和德国当局几年的连续调查，以间谍罪在汉诺威逮捕了5个人。

该5人企图通过Internet窃取美国SDI编程文件和NASA的SpaceShuttle设计图，以卖红KCB。

1988年：

一名学生罗伯特·莫里斯把实验病毒释放在Internet，几小时内导致6000多台Internet系统崩溃。

1989年：

逮捕和指控了许多“LoD”成员。

1989年：

ARPA成立了计算机紧急情况处理小组，即CERT。

1990年：

MitchellKapor（软件基地Lotus的奠基人）成立了电子世界基金会，保护人们在计算机领域的合法权利。

1993年：

在Internet网关计算机系统中，工程师发现了嗅探程序，它能自动监视和捕捉登录和日令。

据最初估计，大约探测到10万多条口令。

1993年：

AT&T报道，电话诈骗造成的损失已超过每年20亿美元。

1994年：

一帮自称“ThePosse”的最新侵袭者，进人到许多美国著名公司的计算机系统，包括Sun微软公司,Boeing（波音）和Xerox（施乐）公司。

1994年：

在捷克共和国的计算机犯罪中，最主要的事件是，苏格兰Zech储蓄银行的职员MartinJnku，通过自编的程序转移到其账户下120万美元，被判处入狱八年。

1995年2月：

FBI逮捕了KevinMitnick（31岁），他被认为是头号侵袭者。

指控他偷窃了数以千计的文件以及非法使用2万多个信用卡。

1995年7月：

俄国人VladmirLevin,竟然从纽约城市银行支取了700多万美元。

1995年9月：

在英国逮捕了伪造电话卡团伙的头目。

这一团伙以汉堡为基地，对DeutscheTelekom卡式电话中的电话卡的小程序进行分析，研制出的电话卡在每次使用后仍为最初的25美元点没有减少，私下销售这种卡每张高达500美元。

3.2网络入侵的基本原理

“攻击“是指任何的非授权行为。

网络入侵的目的有：

（1）执行程序；

（2）获取文件和传输中的数据；

（3）获得超级用户的权限；

（4）对系统的非法访问；

（5）进行不许可的操作；

（6）拒绝服务；

（7）涂改信息；

（8）暴露信息。

网络攻击可分为三个阶段：

一是找目标，收集信息；二是获得初始的访问权和特权；三是攻击其他系统。

攻击的范围从简单的使某服务无效到完令破坏你的服务器。

在你网络上成功实施的攻击的级别依赖于你采用的安全措施。

3.2.1网络人侵的典型特征

1．攻击时间

大部分的攻击（或至少是商业攻击时间）一般是服务器所在地的深夜。

换句话说，如果你在洛杉矶而入侵者在伦敦，那么攻击可能会发生在洛杉矶的深夜到早晨之间的几个小时中你也许认为入侵者会在白天（目标所在地的时间）发起攻击，因为大量的数据传输能掩饰他们的行为有以下几个原因说明为什么入侵者避免大白天进行攻击：

（1）客观原因在白天，大多数入侵者要工作、上学或在其他环境中花费时间，以至没空进行攻击换句话就是这些人不能整天坐在计算机前面。

这和以前有所不同，以前的入侵者是一些坐中家中无所事事的人；

（2）速度原因。

网络正变得越来越拥挤，因此最佳的工作时间是在网络能提供高传输速度的时间，最佳的时间段会根据目标机所在地的不同而不同；

（3）保密原因。

假设在某时某入侵者发现了一个漏洞，就假定这个时间是早上11点，并且此时有三个系统管理员正登录在网上：

此时，此入侵者能有何举动?

恐怕很少，因为系统管理员一旦发现有异常行为：

他们便会跟踪而来。

人侵者总是喜欢攻击那些没有使用的机器。

提示：

如果你正在进行着大量的日志工作，并且只有有限的时间和资源来对这些日志进行分析，建议你将主要精力集中在记录昨夜的连接请求的日志：

这部分日志毫无疑问会提供令人感兴趣的、异常的信息；

2．入侵者使用何种操作系统

人侵者使用的操作系统各不相同：

UNIX是使用最多的平台，其中包括FreeBSD和LINUX

（1）Sun

入侵者将SolarisX86或SCO作为使用平台的现象相当常见。

因为即使这些产品是需要许可证的，也易获得，一般而言，使用这些平台的入侵者都是学生，因为他们可利用软件产品卖给教育部门和学生时可打很大的折扣这一优势。

再者，由于这些操作系统运行在PC机上，所以这些操作系统是更经济的选择。

（2）UNIX

UNIX平台受欢迎的原因之一是它只耗费系统小部分资源。

（3）Mliorosoft

Mliorosoft平台支持许多合法的安全工具，而这些工具可被用于攻击远程主机。

因此，越来越多的如亲者正在使用WindowsNT：

WindowsNT的性能远远超过Windows95并有许多用于网络的先进工具；而WindowsNT正变得越来越流行，因为人侵者知道他们必须精通此平台。

由于WindowsNT成为更流行的Internet服务器的操作平台，入侵者有必要知道如何入侵这些机器：

而且安全人员将会开发工其来测试WindowsNT的内部安个性。

这样，利用WindowsNT作为人侵平台的人会急剧增加。

3．攻击的源头

数年前，许多攻击来源于大学，囚为从那里能对Internet进行访问：

大多数入侵者是年青人，没有其他的地方比在大学更容易上Internet了。

自然地，这不仅影响了攻击的起源地而且影响着攻击发生的时间。

同时，使用TCP/IP协议不像今天这样简单。

如今形势发生了巨大的变化，人侵者可在他们的家里、办公室或车中人侵网络。

然而，这里也有一些规律。

4．典型入侵者的特点

典型的人侵者至少具备下述几个特点：

（1）能用C,C++或Perl进行编码。

因为许多基本的安全工具是用这些语言的某一种编写的：

至少人侵者能正确地解释、编译和执行这些程序。

更厉害的人侵者能把不专门为某特定某平台开发的工其移植到他用的平台上：

同时他们还可能开发出可扩展的工具来，如SATAN和SAFESuite这些工具允许用户开发的工具附加它们上。

（2）对TCP/IP有透彻的了解，这是任何一个有能力的人侵者所必备的素质。

至少一个人侵者必须知道Internet如何运转的。

（3）}每月至少花50小时上Internet。

经验是不可替代的，人侵者必须要有丰富的经验：

一些入侵者是Internet的痴迷者，常忍受着失眠的痛苦。

（4）有一份和计算机相关的工作。

并不是每个人侵者都是把一天中的大部分时间投人到人侵行为中。

其中一些从事着系统管理或系统开发的工作。

（5）收集老的、过时的但经典的计算机硬件或软件。

5．典型目标的特征

很难说什么才是典型目标，因为不同入侵者会因不同的原因而攻击不同类型的网络然而一种常见的攻击是小型的私有网。

因为：

（1）网络的拥有者们对Internet的使用还处于入门阶段；

（2）其系统管理员更熟悉局域网，而不是TCP/IP；

（3）其设备和软件都很陈旧（可能是过时的）。

另一话题是熟悉性。

绝大多数人侵者从使用的角度而言能熟知两个或多个操作系统，但从人侵的角度来看，他们通常仅了解某一个操作系统。

很少的人侵者知道如何入侵多种平台。

大学是主要的攻击对象，部分原因是因为他们拥有极强的运算处理能力。

另个原因是网络用户过多，甚至在一个相对小的网段上就有几百个用户。

管理这种人型网络是一件困难的任务，极有可能从如此的账号中获得一个人侵账号：

其他常被攻击的对象是政府网站。

6．入侵者入侵的原因

（1）怨恨；

（2）挑战；

（3）愚蠢；

（4）好奇；

（5）政治目的。

所有的这些原因都是不道德的行为，此行为过头后便触犯了法律。

7．攻击

攻击的法律定义是指：

攻击仅仅发生在入侵行为完全完成且入侵者已在目标网络内。

即从一个人侵者开始在目标机上工作的那个时间起，攻击就开始。

可通过下面的文章了解入侵的事例：

ftp:

//research

http:

/Iww.takedown.com/evidence/anklebiters/mlf/index.html

http:

///www.alw.nih.gov/security/first/papers/general/holland.ps

http:

//www.alw.nih.gov/security/first/papers/general/fual.ps

http:

//www.alw.nih.gov/security/first/papers/general/hacker.txt

8．入侵层次索引

（1）邮件炸弹攻击；

（2）简单拒绝服务；

（3）本地用户获得非授权读访问；

（4）本地用户获得他们本不应拥有的文件的写权限；

（5）远程用户获得了非授权的账号；

（6）远程用户获得厂特权文件的读权限；

（7）远程用户获得了特权文件的写权限；

（8）远程用户拥有了根权限（他们已经攻克了你的系统）；

3.2.2桌面操作系统平台入侵

这是最基本的最原始的入侵。

在安全层次模型中、桌面操作系统的安全性属于系统级安全的范畴。

桌面操作系统向上为文件、目录、网络和群件系统等提供底层的安全保障平台。

桌面操作系统中的安全缺陷和安全漏洞，往往会造成严重的后果。

因此，安全机制是桌面操作系统的一个重要组成部分，平台的安全级别是对其性能进行评估的一个重要指标。

桌面操作系统中常见的安全问题：

对提供网络服务的系统平台来说，安全性问题主要体现在网络通信安全、网络非法入侵等方面。

但是，桌面操作系统所面对的安全问题和任务则不大一样。

关于桌面操作系统的安全，主要考虑的有如下几个方面：

（1）恶意程序的威胁：

包括病毒、逻辑炸弹、后门、特洛伊木马等。

（2）不合法使用：

包括合法用户在未授权使用某些数据、资源或程序的情况下越过系统的安全检查而越权访问；或者虽然属合法授权，但有意或无意地错误使用某些功能而导致重要信息失密。

（3）恶意入侵者：

他们的主要目的是窃取数据和非法修改系统。

其手段之一是窃取合法用户的口令，在合法身份的掩护下进行非法操作；其手段之二便是利用操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令。

（4）应用程序的安全性：

系统应监督应用程序使用数据或资源权限的合法性。

程序的执行还应该采用“最小特权”原则，即程序应按照它能做事的最小权限运行，否则就有可能被人利用。

（5）数据的安全性：

机密数据如果没有保存在安全的空间内，或者数据的加密处理不够规范和健壮，也可能带来安全问题。

其中，项目

（1）涉及到病毒预防和病毒防治的问题；项目（5）则与数据加密相关，本书不做讨论；项目

（2）和项目（4）与系统的访问控制机制有关；项则（3）对应于系统的用户管理和用户身份认证机制，是本书讨论的重点。

3.2.3口令认证入侵

1．口令攻击

首先应当明确在目前的普通机器上没有绝对安全的口令，因为目前UNIX工作站或服务器口令密码都是用8位（有的新系统是用13位）DES算法进行加密的，即有效密码只有前8位，超过8位的密码就没用了（这是DES算法决定的），所以一味靠密码的长度来加密是不可以的。

而且DES加密算法已经可以被人很快破译。

因为设置密码的是人而不是机器，所以就存在安全的口令和不安全的口令。

安全的口令可以让机器算5000年，不安全的口令只需要一次就能猜出。

安全的口令有以下特点：

（1）位数大于6位。

（2）大小写字母混合：

如果用一个大写字母，既不要放在开头，也不要放在结尾。

（3）如果你记得住的话，可以把数字无序的加在字母中。

（4）系统用户一定用8位口令，而且有一!

@#}01a"&<>?

:

”{}等符号。

不安全的口令则有如下几种情况：

（1）使用用户名（账号）作为口令。

尽管这种方法在便于记忆上有着相当的优势。

可是在安全上几乎是不堪一击。

几乎所有以破解口令为手段的黑客软件，都首先会将用户名作为口令的突破门，而破解这种口令几乎不需要时间。

在一个用户数超过一千的电脑网络中，一般可以找到l0个至20个这样的用户。

（2）使用用户名（账号）的变换形式作为口令。

将用户名颠倒或者加前后缀作为口令，既容易记忆又可以防止许多黑客软件。

对于这种方法的确是有相当一部分黑客软件无用武之地，不过那只是一些初级的软件。

比如说著名的黑客软件John,如果用户名是fool，那么它在尝试使用fool作为口令之后，还会试着使用诸如foo1123。

fooll,loof,loof123,lofo等作为口令，只要是你想得到的变换方法,John也会想得到。

它破解这种口令，几乎也不需要时间。

（3）使用自己或者亲友的生日作为口令。

这种口令有着很