欢迎来到天天文库
浏览记录
ID:43809910
大小:2.40 MB
页数:33页
时间:2019-10-14
《网络的攻击与防范-理论与实践 第1篇 网络攻击与防范概论 第3章 网络攻击与防范模型》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第一篇网络攻击与防范概论第3章网络攻击与防范模型第一篇网络攻击与防范概论对正常的网络行为建立模型,把所有通过安全设备的网络数据拿来和保存在模型内的正常模式相匹配,如果不是这个正常范围以内,那么就认为是攻击行为,对其做出处理。这样做的最大好处是可以阻挡未知攻击。第3章网络攻击与防范模型3.1网络攻击的整体模型3.2网络防范的原理及模型3.3网络攻防实训平台的建设总体方案3.1网络攻击的整体模型网络攻击模型将攻击过程划分为以下阶段:1.攻击身份和位置隐藏;2.目标系统信息收集;3.弱点信息挖掘分析;4.目标使用权限获取;5.攻击行为隐藏;6.攻击实
2、施;7.开辟后门;8.攻击痕迹清除。3.1网络攻击的整体模型攻击身份和位置隐藏:隐藏网络攻击者的身份及主机位置。可以通过利用被入侵的主机(肉鸡)作跳板;利用电话转接技术;盗用他人帐号上网;通过免费网关代理;伪造IP地址;假冒用户帐号等技术实现。目标系统信息收集:确定攻击目标并收集目标系统的有关信息,目标系统信息收集包括:系统的一般信息(软硬件平台、用户、服务、应用等);系统及服务的管理、配置情况;系统口令安全性;系统提供服务的安全性等信息。3.1网络攻击的整体模型弱点信息挖掘分析:从收集到的目标信息中提取可使用的漏洞信息。包括系统或应用服务软件漏
3、洞、主机信任关系漏洞、目标网络使用者漏洞、通信协议漏洞、网络业务系统漏洞等。目标使用权限获取:获取目标系统的普通或特权账户权限。获得系统管理员口令、利用系统管理上的漏洞获取控制权(如缓冲区溢出)、令系统运行特洛伊木马、窃听帐号口令输入等。3.1网络攻击的整体模型攻击行为隐藏:隐蔽在目标系统中的操作,防止攻击行为被发现。连接隐藏,冒充其他用户、修改logname环境变量、修改utmp日志文件、IPSPOOF;隐藏进程,使用重定向技术ps给出的信息、利用木马代替ps程序;文件隐藏,利用字符串相似麻痹管理员;利用操作系统可加载模块特性,隐藏攻击时产生的
4、信息等。3.1网络攻击的整体模型攻击实施:实施攻击或者以目标系统为跳板向其他系统发起新的攻击。攻击其他网络和受信任的系统;修改或删除信息;窃听敏感数据;停止网络服务;下载敏感数据;删除用户帐号;修改数据记录。开辟后门:在目标系统中开辟后门,方便以后入侵。放宽文件许可权;重新开放不安全服务,如TFTP等;修改系统配置;替换系统共享库文件;修改系统源代码、安装木马;安装嗅探器;建立隐蔽通信信道等。3.1网络攻击的整体模型攻击痕迹清除:清除攻击痕迹,逃避攻击取证。篡改日志文件和审计信息;改变系统时间,造成日志混乱;删除或停止审计服务;干扰入侵检测系统的
5、运行;修改完整性检测标签等。3.1网络攻击的整体模型典型的网络攻击的一般流程:攻击主机确定目标信息收集漏洞挖掘攻击网络留下后门清除日志结束攻击图3-1典型的网络攻击的一般流程3.1网络攻击的整体模型攻击过程中的关键阶段是:弱点挖掘和权获取限;攻击成功的关键条件之一是:目标系统存在安全漏洞或弱点;网络攻击难点是:目标使用权的获得。能否成功攻击一个系统取决于多方面的因素。3.2网络防范的原理及模型面对当前的如此猖獗的黑客攻击,必须做好网络的防范工作。网络防范分为积极防范和消极防范,下面介绍这两种防范的原理:积极安全防范的原理积极安全防范的原理是:对正
6、常的网络行为建立模型,把所有通过安全设备的网络数据拿来和保存在模型内的正常模式相匹配,如果不是这个正常范围以内,那么就认为是攻击行为,对其做出处理。这样做的最大好处是可以阻挡未知攻击,如攻击者才发现的不为人所知的攻击方式。对这种方式来说,建立一个安全的、有效的模型就可以对各种攻击做出反应了。积极安全防范的原理例如,包过滤路由器对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。管理员可以配置基于网络地址、端口和协议的允许访问的规则,只要不是这些允许的访问,都禁止访问。积极安全防范的原理但对正常的网络行为
7、建立模型有时是非常困难的,例如在入侵检测技术中,异常入侵检测技术就是根据异常行为和使用计算机资源的异常情况对入侵进行检测,其优点是可以检测到未知的入侵,但是入侵性活动并不总是与异常活动相符合,因而就会出现漏检和虚报。消极安全防范的原理消极安全防范的原理是:以已经发现的攻击方式,经过专家分析后给出其特征进而来构建攻击特征集,然后在网络数据中寻找与之匹配的行为,从而起到发现或阻挡的作用。它的缺点是使用被动安全防范体系,不能对未被发现的攻击方式做出反应。消极安全防范的原理消极安全防范的一个主要特征就是针对已知的攻击,建立攻击特征库,作为判断网络数据是否
8、包含攻击特征的依据。使用消极安全防范模型的产品,不能对付未知攻击行为,并且需要不断更新的特征库。消极安全防范的原理例如在入侵检测技术中,
此文档下载收益归作者所有