文档介绍:第5章
系统攻击及入侵检测
本章学习目标
本章主要讲解系统入侵的基本原理、主要方法以及如何实现入侵检测,进行主动防御。通过本章学习,读者应该掌握以下内容:
l         系统入侵的概念
l         几种系统攻击方法的原理
l         入侵检测的原理
l      入侵检测系统的组成及结构
系统攻击概述
系统攻击或入侵是指利用系统安全漏洞,非授权进入他人系统(主机或网络)的行为。了解自己系统的漏洞及入侵者的攻击手段,才能更好的保护自己的系统。
黑客与入侵者
(1)收集信息
(2)探测系统安全弱点
(3)实施攻击
1. 固有的安全漏洞
2. 系统维护措施不完善的系统
系统攻击方法
口令攻击
(1)是通过网络监听非法得到用户口令
(2)口令的穷举攻击
(3)利用系统管理员的失误
(1)口令的选择:字母数字及标点的组合,如:Ha,******@y!和w/(X,y)*;使用一句话的开头字母做口令,如:由A fox jumps over a lazy dog!产生口令:AfJoAld!。
(2)口令的保存:记住、放到安全的地方,加密最好。
(3)口令的使用:输入口令不要让别人看到;不要在不同的系统上使用同一口令;定期改变口令。
(OTP,One-Time Password)。
所谓的一次性口令就是一个口令仅使用一次,能有效地抵制重放攻击,这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中的生成的口令不相同。
使用一次性口令的系统中,用户可以得到一个口令列表,每次登录使用完一个口令后就将它从列表明中删除;用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息,这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。
IP欺骗
(1)使被信任主机丧失工作能力
TCP SYN-Flood :
t1: Z (X) ---SYN ---> B
Z (X) ---SYN ---> B
Z (X) ---SYN ---> B
……………………………
t2: X <---SYN/ACK--------B
X <---SYN/ACK--------B
……………………………
t3: X <--- RST --- B
(2)序列号猜测
序列号的猜测方法如下:攻击者先与被攻击主机的一个端口(SMTP是一个很好的选择)建立起正常的连接。通常,这个过程被重复若干次,并将目标主机最后所发送的ISN(初始序列号)存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT时间(往返时间),这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000,每次连接增加64000。现在就不难估计出ISN的大小了,它是128000乘以RTT的一半,如果此时目标主机刚刚建立过一个连接,那么再加上一个64000。
(3)实施欺骗
Z伪装成A信任的主机B攻击目标A的过程如下:
t1: Z(B)--SYN ---> A
t2: B <---SYN/ACK--- A
t3: Z(B)---ACK---> A
t4: Z(B)---—PSH---> A
2. IP欺骗的防止
(1)抛弃基于地址的信任策略
(2)进行包过滤
(3)使用加密方法
(4)使用随机化的初始序列号