第一章 网络安全分析

目录

1.1 网络安全问题1.2 网络安全技术1.3 网络安全测试1.4 网络安全环境1.5 网络分析实验

1.1 网络安全问题

网络

内部、外部泄密

拒绝服务攻击

逻辑炸弹

特洛伊木马 黑客攻击 计算机病毒

信息丢失、篡改、销毁

后门、隐蔽通道

蠕虫

1.1.1 网络欺骗 DNS 欺骗与防范：DNS 欺骗是指攻击者入侵 DNS 服务器并修改域名 -IP 地址表。可查询其它 DNS 服务器予以验证。 Web 欺骗：Web 欺骗是指正在访问的网页已经被黑客篡改过，网页上的信息是虚假的。例如黑客把用户要浏览的网页的 URL 改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。 欺骗手段：采用 URL 地址重写和相关信息掩盖技术。利用 URL 地址，使这些地址都指向攻击者的 Web 服务器，即攻击者可以将自己的 Web 地址加在所有 URL 地址的前面。这样，当用户与站点进行链接时，就会毫不防备地进入攻击者的服务器 , 于是所有信息便处于攻击者的监视之中。

ARP 欺骗入侵主机假冒目的主机 IP ，在被欺骗目的主机中加入 IP－ MAC 对应项，这样，入侵主机的 MAC 地址变成了合法 MAC地址，入侵者即可对被欺骗者构成威胁。 电子邮件欺骗电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或 CGI 程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。电子邮件欺骗也是黑客常用的手段，他们常会佯称系统管理员要求用户修改口令，或在附件中加载病毒或某些特洛伊木马程序。

1.1.2 网络系统缺陷

1. 操作系统的缺陷 2. 网络设备的缺陷 3. 应用软件的缺陷 4. 网络服务的缺陷 5. 管理上的缺陷 6. 其他安全缺陷

操作系统的缺陷 Windows操作系统的缺陷 BSD 操作系统的缺陷 Linux Sco UNIX Solaris HP-UX IBM AIX DEC UNIX

网络设备的缺陷

路由器的缺陷 防火墙的缺陷 其他网络设备的缺陷

应用软件的缺陷 输入确认错误 范围确认错误 特殊条件错误 设计错误 配置错误 竞争条件错误 其他

网络协议层实现的缺陷

IP包碎片攻击 IGMP 攻击 Ping of Death攻击 Winnuke 攻击

1．什么是拒绝服务 拒绝服务攻击（ Denial of Service）是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性， 2．拒绝服务攻击的方式 信息数据包流量式 SYN-Flooding攻击 过载攻击：服务过载 、进程过载攻击、系统过载攻击、磁盘过载攻击。

1.1.3 拒绝服务攻击

3．分布式拒绝服务（ DDoS）DDoS 就是利用通过组织和操纵更多的机器来发起进攻，来实

现拒绝服务攻击。分布式拒绝服务攻击程序由两部分组成：在主控主机上的客户端和在代理主机上的守护进程。主控端向其代理端发送要攻击的目标主机的列表。代理端据此列表对目标进行拒绝服务攻击。由一个主控端控制的多个代理端能够在攻击过程中相互协同，保证攻击的连续性。

1.1.3 拒绝服务攻击

1.1.4 病毒攻击

1. 蠕虫病毒：以计算机为载体，以网络为攻击对象，利用网络的通信功能将

自身不断地从一个结点发送到另一个结点，并且能够自动启动的程序 ，这样不仅消耗了大量的本机资源，而且大量占用了网络的带宽，导致网络堵塞而使网络服务拒绝，最终造成整个网络系统的瘫痪。

2.“ 冲击波”病毒利用 Windows远程过程调用协议（ Remote ProcessCall， RPC）中存在的

系统漏洞，向远端系统上的 RPC 系统服务所监听的端口发送攻击代码，从而达到传播的目的。感染该病毒的机器会莫名其妙地死机或重新启动计算机， IE浏览器不能正常地打开链接，不能进行复制粘贴操作，有时还会出现应用程序异常如 Word无法正常使用，上网速度变慢，在任务管理器中可以找到一个“msblast.exe”的进程在运行。一旦出现以上现象，请先用杀毒软件将该病毒清除，后到http://www.microsoft.com/china/security/Bulletins/msblaster.asp”下载并安装补丁程序，再升级自己的病毒库。

3.“ 红色代码”病毒病毒利用 IIS 的 .ida 漏洞进入系统并获得 SYSTEM 权限

(微软在 2001年6月份已发布修复程序 MS01-033)病毒产生 100 个新的线程， 99 个线程用于感染其它的服务器，第 100个线程用于检查本机 , 并修改当前首页，确定时间所有被感染的机器参与对网站（如：白宫网站 www.whitehouse.gov的自动攻击。

1.1.5 木马攻击

木马病毒：是指在正常访问的程序、邮件附件或网页中包含了可以控制用户计算机的程序，这些隐藏的程序非法入侵并监控用户的计算机，窃取用户的账号和密码等机密信息。 例如“QQ木马”病毒：该病毒隐藏在用户的系统，发作时寻找QQ窗口，给在线上的 QQ好友发送诸如“快去看看，里面有……好东西”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒感染，然后成为毒源，继续传播。

1.2 网络安全技术

1.2.1物理安全1.2.2 访问控制1.2.3 防火墙控制1.2.4 入侵检测与防范1.2.5 信息加密1.2.6 网络隔离

4 U

7 U7 U

7 U7 U

7 U7 U

客户端 客户端 客户端 客户端

计算机计算机

域控制器

7 U

计算机 计算机

上级网络

网间密码机网间密码机

防火墙防火墙

防火墙防火墙

Web / mail公开服务器

入侵检测系统入侵检测系统

涉密服务器涉密服务器园区网服务器 www / ftp / vod 用户安装防病毒软件用户安装防病毒软件

漏洞扫描漏洞扫描

初识网络安全组件初识网络安全组件

某网络信息中心和园区网安全系统示意图某网络信息中心和园区网安全系统示意图

网络安全解决方案概述网络安全解决方案概述1 在接入路由器内侧加装防火墙形成第一道安全屏障 ;

2 在防火墙内侧关键点部署入侵检测系统，防护内、外网络攻击，构成第二道安全闸门；

3 设置防病毒服务器，全网各主机安装防病毒系统；

4 配置漏洞扫描系统，对全网内主机不定期进行漏洞扫描，堵塞入侵漏洞；

5 用第二防火墙、涉密服务器隔离和控制对保密系统子网的访问；

6 如有必要，可在接入路由器内 / 外侧加装密码机；

7 安全管理：两级机构＋规章制度。

cisco3560

cisco2800

cisco2960

DMZ

MBSA

保密系统

1.2.1 物理安全

1. 安装位置安全 2.供电安全 3.雷击防护 4. 防潮 5.异地备份

1.2.2 访问控制

防火墙技术 防火墙体系 防火墙实现 物理隔离

1.2.3 防火墙控制 防火墙是指设置在不同网络（如可信任的企业内部网和不

可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控了不同网络安全域之间的任何活动，保证了内部网络的安全。

防火墙功能 状态检测包过滤与透明应用代理混合一体化 支持路由接入、透明接入和混合模式接入三

种接入方式 IP 地址转换（正向 NAT 、反向 NAT ） 支持 DHCP 和 ADSL 拨号（ PPPoE ） 支持安全服务器网络 DMZ VPN 及 VPDN 流量管理功能 时间控制

防火墙的局限性

防火墙不能防范不经过防火墙的攻击 防火墙很难防范网络内部的攻击 病毒的威胁 数据驱动式的攻击

1.2.4 入侵检测与防范通过从计算机网络的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象，并根据预定义的策略做出响应的一种安全技术。入侵检测技术是动态安全技术的最核心技术之一。

入侵检测系统的作用

检测透过防火墙的入侵 －利用应用系统漏洞实施的入侵 －利用防火墙配置失误实施的入侵 检测来自内部网的攻击行为 －内部网的攻击占总的攻击事件的 70％以上 －没有监测的内部网是内部人员的“自由王国”

对网络攻击行为的审计

网络入侵检测系统的功能

1. 有丰富的攻击特征库；2.捕获网络病毒的来源；3. 实现页面重组，再现用户的网络通讯行为；4. 实现 IP-MAC 地址绑定功能；5. 实现网页内容过滤功能，进行 URL 限制和字 匹配扫描；6. 可以与其他安全产品如防火墙联动；7.图形化的网络流量监控和统计功能。

Switch

IDS Sensor

Monitored Servers

Console

通过端口镜像实现

（ SPAN / Port Monitor）

典型应用

1.2.5 信息加密 加密模型 密码学的基本原则：必须假设破译者知道加密与解密的方法；算

法是稳定和公开的，密钥是保密和经常改变的。 密码分析的三种主要变形：

只有密文问题：只有密文而无相匹配的明文； 已知明文问题：拥有一批相匹配的明文和密文对； 选择明文问题：破译者能够加密自己选择的任何明文。

一个加密算法被称为是计算安全的，如果由该算法产生的密文满足以下两个条件之一：

破译密文的代价超过信息本身的价值； 破译密文所需的时间超过信息的有效生命期；

现代密码学中，密码的安全性是通过算法的复杂性和密钥的长度来保证的。

加密模型

传统加密方法 替换密码

用密文字母替换明文字母，但字母位置不变； 例子：循环移动字母表、单字母表替换、多字母表替换等。

换位密码 保留明文字母不变，但改变字母的位置； 例子：列换位密码。

破译方法 猜测密钥长度，猜测可能的单词，英语词频统计等。

列换位密码的例子

对称（秘密）密钥算法

对称密钥算法：加密密钥和解密密钥相同的密码算法。 分组密码： n比特的明文块作为输入，输出 n比特的密文块。 密码算法的硬件实现： P盒、 S盒和乘积密码。 数据加密标准 DES (Data Encryption Standard)

DES 是一种分组密码，每次处理 64比特的明文块，输出 64比特的密文块；

算法使用一个 56比特的主密钥，包括 16次迭代过程，每次迭代使用一个不同的 48 比特子密钥，子密钥从主密钥中生成；

DES 是一种对称密钥算法，其加密和解密可使用相同的算法，两者的不同只是子密钥的次序刚好相反。

公开（不对称）密钥算法

算法思想：加密密钥与解密密钥不同，且从加密密钥推导不出解密密钥，因此加密密钥可以公开。

公开密钥算法必须满足的条件： 从计算上说，生成一对加密密钥和解密密钥是容易的； 从计算上说，已知加密密钥，从明文计算出密文是容易的； 从计算上说，已知解密密钥，从密文计算出明文是容易的； 从计算上说，从加密密钥推出解密密钥是不可能的； 从计算上说，从加密密钥和密文计算出原始明文是不可能的。

1.2.6 网络隔离

网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。

第一代隔离技术——完全的隔离

此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。

第二代隔离技术——硬件卡隔离

在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。

第三代隔离技术—数据转播隔离 利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。

第四代隔离技术—空气开关隔离。

它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。

第五代隔离技术—安全通道隔离

此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。

安全隔离产品——隔离网闸 北京数码星辰的 DShield/宇宙盾上网防泄密专用物理隔离

网闸是专门为政府、企业上网安全设计的专用的网络隔离安全产品，具有极强的防泄密功能，可以最大限度地保证客户的政府和企业网络信息安全，有效地阻止政府敏感信息以及企业技术机密和市场机密的泄漏和被盗。宇宙盾上网防泄密物理隔离网闸在允许用户进行正常的上网操作的同时，不仅可以防止内部人员通过文件，或邮件等各种方式发送机密信息，而且可以有效地防止留驻在用户系统中间谍软件向外部发送客户信息。宇宙盾上网防泄密专用物理隔离网闸不仅可以防止间谍软件盗窃用户信息而且可以发现和定位发送被盗信息的间谍软件所在的计算机，以便彻底消除隐患，同时恢复被侵蚀的网络带宽，改善网络的效率。

典型应用

1.3 网络安全测试

1.3.1 网络嗅探1.3.2 端口与漏洞扫描

1.3.1 网络嗅探

网络监听能协助网络管理员检测网络传输数据、排除网络故障，而网络入侵者利用网络监听窃取口令、截获敏感数据。

Sniffer是一个著名的监听工具，可以是硬件也可以是软件，可以在任何平台之中，使用时极不易被发现，攻击者用它可截获口令、保密信息，如信用卡号、经济数据、 E-mail 等，还有人编写了它的 Plugin 杀手，可以切断TCP连接，是一个非常危险的软件。

网络嗅探的危害： 嗅探器能够捕获专用的或者机密的信息。比如金融账号，许多用户很放心在网上使用自己的信用卡或现金账号，嗅探器可以很轻松截获在网上传送的用户姓名、密码、信用卡号码、截止日期、账号和 PIN 。比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的 E-mail会话过程。

1.3.2 端口与漏洞扫描

目标探测是网络攻击的第一步，以了解被攻击目标的一些信息，包括目标主机已开启的端口、端口上的网络服务 及其版本，由此可以进一步发现和分析出系统的 安全漏洞，为实施攻击作好充分的信息储备。

常见的端口扫描技术有： TCP 全连接扫描：攻击者连续发送的全连接扫描会在日志文件中出现大

量的连接和错误记录，很容易被检测出来。 TCP SYS扫描：攻击者尝试连接后发送一个 RST包停止连接以减少日志记录，不易发现。

TCP FIN扫描：通过发送 FIN包探测端口的开闭，因为：关闭的端口会回复 RST包，打开的端口会忽略回复，而 Unix系统则都回复 RST包，进一步可区分系统类型。

常用工具： nmap、 SuperScan、 SATAN 、 NSS等。 防范对策：防范对策：手工设置关闭闲置和有潜在危险的端口； 有端口扫描的症状时，用防火墙屏蔽该端口。

1.4 网络安全性评估 操作系统安全性能评估 网络路由交换设备安全性能评估 网络安全设备的安全性能评估

1.5 网络分析实验

1.5.1 端口扫描1.5.2 漏洞扫描1.5.3 网络嗅探（ sniffer Pro ）1.5.4 网络安全检测1.5.5 网络安全测试环境（ vm 虚拟机的

安装）

1.6.1 端口扫描 如果出现了一些标准的、容易受攻击的网络服务端口，端口扫描器会尝试建立标准的 TCP/IP （网络）连接。当端口扫描器完成扫描后，那些端口是敞开着的，和从端口扫描器传送了什么连接请求都将一目了然。检测系统在几个知名的服务端口进行，每个端口的扫描结果会分为开放、关闭和隐藏三种状态。主要是为了提醒联网的用户，在互联网上会有各种各样的端口扫描器在扫描接入互联网的各种系统的网络端口，以寻找系统的安全漏洞。

端口扫描器

1. 端口扫描器 X-Scan 1.02. ScanPort 端口扫描工具 1.23. Socks Proxy Finder 2.0 最快的端口扫描工具

1.6.2 漏洞扫描

漏洞扫描就是对重要计算机（远程机或本地机）信息系统进行检测，发现其中可被黑客利用的漏洞。

多数攻击者所利用的 都是常见的信息系统漏洞，这些漏洞，均有实时的书面资料记载。

每一个系统都有漏洞，用户在使用过程中发现后必须及时安装系统补丁；然而系统配置的不断更改 , 黑客攻击技术的 不断提高，网络安全系数也会不断地变化，必须定期地进行漏洞检测。

漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。 通过使用漏洞扫描系统自动检测，系统管理员可以快速发现所维护的服务器的各种 TCP端口分配、提供的服务、服务软件版本以及操作系统、数据库、防火墙甚至整个局域网呈现在 Internet上的安全漏洞。

漏洞扫描系统分类和工作原理

客户端 客户端 客户端 客户端

漏洞库漏洞库

控制台控制台用户配置用户配置

扫描引擎扫描引擎 扫描扫描知识库知识库 扫描结果扫描结果 基于网络的漏洞扫描

通过网络发送特定的数据包给 1~n个远程计算机（服务器），判断某个特定的漏洞是否存在（见右图）。

扫描器体系结构 基于主机的漏洞扫描

在目标系统上安装一个代理（ Agent ）或者服务（ Services ），以便能够访问所有文件和进程，扫描多种漏洞。

扫描器包括控制台（安装在一台主机上）、管理器（安装在企业网络中）和漏洞扫描代理（在所有目标主机上并向管理器注册）。工作过程同上。

1.6.3 网络嗅探（ sniffer Pro ）环境要求：

1. 如果需要监控全网流量，安装有 Sniffer Portable 4.7.5(以下简称 Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。（监控所有流经此网卡的数据）2.Snffier pro 475仅支持 10M 、 100M 、 10/100M 网卡，对于千M 网卡，请安装 SP5补丁，或 4.8 及更高的版本

网络拓扑：

监控目的： 通过 Sniffer Pro实时监控，及时发现网络环境

中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。 Sniffer Pro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量 TOP排行、异常告警等。同时，我们将数据包捕获后，通过 Sniffer Pro的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。

1.6.4 网络安全检测 网络操作系统安全检测

1.6.5 网络安全测试环境

（ vm 虚拟机的安装）