攻防实验技术(共7篇)
攻防实验技术 篇1
摘要:文章主要是对信息安全攻防实验室建设的相关内容进行阐述, 包括建设的目标和必要性以及研究领域等。实验室的建设构想主要是从两个方面进行着重阐述的, 即实验室的组建和功能两方面, 最终立足于与功能实现来对建设信息安全实验的意义进行讨论。
关键词:信息安全,攻防技术,数据库应用,实验室组建
1 信息安全攻防实验室概述
1.1 目标
信息安全实验室的建立主要是针对网络攻防技术的应用, 主要是为了促使安全攻防实验在互联网的应用能够顺利实现, 以便搞好互联网应用安全管理工作, 展现出其中的威胁和漏洞, 管理好安全风险的威胁、漏洞, 做好培训和攻防实验, 更好的针对信息系统做出安全测评, 更好的针对生产系统做出渗透测试。
1.2 建立的必要性
为了更深刻的认识信息安全威胁及其漏洞, 就务必要针对信息安全促使其防范技能的不断提高。因而很有必要将一个科学的信息安全实验室建立起来, 作用主要有:针对某些特定领域集中管理信息安全威胁, 以及对信息安全脆弱性的管理;可视化地对某些特定领域的信息安全威胁和脆弱性进行再现或展示;根据需要将特殊的攻防演练环境搭建起来, 支持信息安全攻防演练, 尤其是某些有特定要求的;针对信息安全攻防技术, 提供某些具有特定需求的培训、实验;进行信息安全攻击实验的展示, 进一步认识信息安全;提供特殊的研究和学习实验平台。
1.3 研究领域
信息安全包含着十分广泛的领域, 此次建设构想主要涉及了四个方面:包括了网络、主机、应用以及数据库等的安全领域[1]。
2 信息安全攻防实验室组件
2.1 总体架构
信息安全攻防实验室的组成主要包括了六个子系统, 分别是网络以及操作平台, 攻击、检测与防御、目标等系统, 还包括培训和展示平台。其中的网络平台主要是对不同的实验网络进行仿真, 同时对平台进行互联。其中的操作平台主要是用于攻守双方的网络操作, 为系统操作提供一个终端, 或是用于攻守双方接入各自的自带设备。攻击系统主要是为攻击方供给常用攻击工具。检测和防御系统主要是为防守方提供一个工具用来检测和防御攻击行为。目标系统提供的是一个应用系统用来提供仿真和数据库系统等。培训与展示平台主要是方便教官讲课和进行实验演示等。
2.2 网络平台
网络平台的组成部分主要包括:路由器、三层交换机、防火墙、二级交换机等[2]。
2.3 操作平台
操作平台是为学员和攻防实验人员提供的终端系统主要用于学习和进行实验。操作平台可按照实验需要来划分成两个子系统, 即防御与攻击两大操作平台。其中防御操作平台是为防守方提供一定的操作环境, 攻击操作平台则是为攻击方提供一定的操作环境。
2.4 攻击系统
本实验室建设方案攻击系统的组成包括两部分, 分别为漏洞扫描工具和攻击工具系统, 其中前者运用的是Web应用以及数据库的弱点扫描器, 此外还包括主机扫描器产品和第三方网络;后者将多数常见攻击工具都包括在内, 实验人员可借助软件库中的软件来安装自己所需的攻击工具, 从而作为自己的设备, 或者是将这一系统中工作环境虚拟机开启, 对其中的攻击工具进行直接的使用。一些常见的攻击工具主要有BT5、CAIN和Netcat等等。
2.5 检测与防御系统
2.5.1 防火墙
防火墙就是一种保护屏障, 主要是用于内外部分的网络以及专用和公共网络之间, 组合部分包括了软、硬件设备。这是一种比较形象的称呼, 能够取得一定的安全性。其体现了计算机硬软件的良好结合, 建立了一个存在于互联网之间的安全网关, 进而内部网受到保护, 不再被非法用户的随意入侵。防火墙的构成主要包括四个部分:分别是访问规则、包过滤、验证工具、应用网关[3]。
2.5.2 Web应用防火墙
Web应用防火墙主要是针对http/https, 并据此执行了一系列安全策略, 从而为Web应用进行专门的保护。总体而言, Web应用防火墙的功能主要包括四大方面:一是审计设备:主要是对全部http数据的截取或只是提供一些规则的服务会话;二是访问控制设备:主要是为了对Web应用的访问进行控制, 这将主动安全模式和被动安全模式都包括在内。三是架构/网络设计工具:在反向代理模式运行状态下, 可进行职能的分配、对基础机构的虚拟以及集中控制等等。四是Web应用加固工具:促使Web应用的安全性得到增强, 不但能将Web应用的固有弱点屏蔽掉, 还可以对因编程错误造成的安全隐患进行保护。
2.5.3 网站安全监测平台
网站安全监测平台体现了软硬件的一体化, 借助远程监测技术实时的监测Web应用, 服务时间达7×24小时。经过不间断的检测网站, 进而促使网站具有更强的安全防护能力和更好的服务质量, 借助平台的事件跟踪功能还可以将长效安全保障机制建立起来。
2.6 目标系统
目标系统作为一种信息系统设施, 拥有不同的漏洞。主要包括主机、应用系统和数据库系统之类。系统都是运用了虚拟化技术, 借助设计来合理的排布一些常见漏洞, 使其进入虚拟机系统中, 同时固化这些虚拟机系统, 使其成为一个映像, 借助重启可至原始状态。
3 信息安全攻防实验室功能
3.1 信息安全攻防对抗演习
信息安全攻防实验室建设构想可以进行信息安全攻防对抗演习, 由攻防双方进行的攻防演习主要是在仿真平台上加以应用[4]。攻方可以借助所有可用的手段或工具来进攻目标系统。而防御方则可借助检测和防御系统来抵御, 同时防御攻击的手段还包括安全加固信息系统。信息安全攻防对抗演习作为一项很有实效的方法, 主要是用于对安全防御和攻击的能力进行评估, 还可以很好的验证信息系统是否安全。
3.2 安全验证
安全验证针对的信息系统, 主要是对其进行全生命周期的安全测评[5]。其涵盖的工作内容主要是相关的测评工作, 涉及信息系统的验收测试、上线前和生产环境中的测评。就信息系统上线前的测评工作来说, 主要是为了在投运系统前、升级改造后, 可以全面的进行运行环境的安全测评, 同时对其安全加固进行协助, 从而确保系统上线运行的时候能够使有关安全要求得到满足。
3.3 渗透测试
要想针对生产系统采取风险评估, 就有必要对其开展渗透测试。而信息安全攻防实验室创设了这样一个接口, 测试人员可借助实验室的攻击系统来采取渗透测试, 还可借助攻击系统来监控和评估这一测试。文中提出的信息安全攻防实验室构想这方面比较完善, 有的接口可以直接连接Internet网络, 渗透测试工程师可借助实验室提供一些工具来进行渗透测试, 诸如应用系统弱点以及数据库弱点的扫描器等攻击工具。借助实验室来针对生产系统开展渗透测试, 其具有两点益处:第一, 实验室具有较为齐全的扫描和测试工具;第二, 实验室拥有不同的信息安全的漏洞以及威胁, 还包括了验证实验环境。这些条件对实施渗透测试工作是非常有帮助的。
3.4 信息安全及网络技术培训
信息安全攻防实验室可创造良好的教学培训平台, 这是在虚拟化技术基础上建立的平台, 可以进行专业的攻防演练, 还拥有专门的考试系统。借助这一系统, 可以对攻防过程加深理解, 从而促使技术人员更好的提高自身的安全技能。这一系统能够借助大屏幕来为观摩的人员展示攻防的过程, 从而为其参观和考察提供方便, 还能录制攻防过程的实况以及进行实况回放。该平台对有关信息安全技术的培训和考试很有帮助, 要与相关培训活动相结合, 诸如仿真系统安全防护演练等。对于信息安全人才的培养来说是很有帮助的, 可进行信息安全意识教育和竞赛等活动。此次构想的教学培训平台还会创设一个考试与验证的功能给学员提供便利, 教官也能够借助系统这一平台来评价学员的实验。
3.5 信息安全威胁与漏洞概念验证
通常我们易理解信息和信息技术存在安全风险。然而普遍人员往往对于威胁和信息技术的脆弱性无法直观的体会和了解。攻防演练平台可以很好的验证信息安全威胁和漏洞的概念。对于攻击路径和具体操作方法也能通过比较直观的方式呈现出来。借助攻防平台形象直观的演示, 能够促使参观人员对于一些抽象的内容更直观的了解, 诸如威胁、脆弱性、作用原理等等。
4 结语
总之, 文章提出建设信息安全实验室主要是借助了网络攻防技术;主要是致力于研究Web应用以及数据库的安全, 从而将必要的科研环境创造出来, 为相关安全研究提供方便, 诸如Web应用、数据库和主机等的安全研究。希望最终能够有相关工作的开展提供一定的借鉴。
参考文献
[1]王文君.Web应用安全威胁与防治——基于OWASPTop10与ESAPI[M].北京:机械工业出版社, 2013.
[2]吴翰清.白帽子讲Web安全[M].北京:电子工业出版社, 2012.
[3]陈越.数据库安全[M].北京:国防工业出版社, 2011.
[4]诸葛建伟.网络攻防技术与实践[M].北京:电子工业出版社, 2012.
[5]彭超.黑客攻防技术与案例剖析[M].北京:中国铁道出版社, 2012.
攻防实验技术 篇2
一、网络攻防技术分析
(一) 网络平台分析
网络攻防技术是由很多部分组成的, 网络平台就是其中非常重要的一项组成部分, 主要包括:路由器、3层交换机、防护墙、二级交换机等各个部分。其实网络平台主要为实验人员提供了良好的网络服务端口, 并且在操作的过程中, 大致可以分为两大部分: (1) 防御系统; (2) 攻击系统。其中防御系统主要是为网络平台提供了良好的操作环境, 避免一些病毒入侵, 产生不必要的损失。另外, 攻击系统主要是对其病毒进行有效地攻击和解决, 为实验工作人员提供了良好的操作环境。
(二) 攻防技术
1.防火墙。防火墙在网络攻防技术运用的过程中, 起到了重要的保护作用, 主要是在外部的网络以及专用和公共网络之间有软件系统和硬件系统两大部分, 这在很大程度上提升了网络攻防技术运用的安全、稳定等性能。并且, 防火墙主要存在互联网的安全网关, 进而在内部的网络起到了良好的保护作用, 避免违法分子的随意入侵。
2.安全检测。在网络攻防技术运行的过程中, 安全检测主要将软件和硬件系统, 有效地相结合。并且通过利用远程系统, 对网络攻防技术的运用形式, 进行全面地监测。但是, 在监测的过程中, 应当对其时间进行设定, 一般情况下, 网络安全监测的时间可以达到7×24小时。同时, 在安全监测的过程中, 可以有效提升安全防护等性能, 更为信息安全实验室提供重要的安全保证。
二、信息安全实验室建设构想分析
(一) 信息安全实验室的总体架构
在信息安全实验室建设的过程中, 总体架构的成形是信息安全实验室建设构想的第一步, 也是非常重要的一步, 其中主要包括网络平台、攻击系统、网络安全检测、防火墙防御系统等各个方面, 如图1所示。其中, 在信息安全实验室建设的过程中, 网络平台主要是将其相关的信息与互联网有效地结合, 并且形成一个良好的网络实验子系统。同时, 在信息安全实验室建设的过程中, 实验室工作人员通过网络平台终端将其子系统进行有效的连接, 并且再通过利用相应的安全检测系统, 对信息安全实验室建设的整个过程中, 进行全面地监测, 这样在一定程度上提升了信息安全实验室的安全、稳定等性能。
图1是信息安全实验室建设的总体架构。
(二) 攻击系统
攻击系统是信息安全实验室建设过程中非常重要的组成部分, 主要是利用漏洞扫描和信息安全实验室的攻击工具等系统组成的。其中, 漏洞扫描系统通过利用Web应用弱点扫描数据库的形式, 对其网络平台和主机进行全面的扫描工作。另外一部分主要是利用网络攻防技术, 对外界网络中的一些的病毒, 进行有效地防御, 从而为信息安全实验室的建设, 提供良好的网络环境, 这也是信息安全实验室建设中最为常见的应用系统。
(三) Web防火墙系统
1.对网络中的一些危险数据进行有效的拦截, 从而满足了信息安全实验室中规则会话的原则。
2.对网络中一些访问活动进行有效控制, 从而有效地实现了网络中的安全模式。
3.对一些编程错误的系统, 启动了屏蔽的功能, 将其安全隐患尽可能的排除。
(四) 信息、数据安全验证功能
1.在信息安全实验室建设的过程中, 要在满足我国一些法律中的规定, 达到相应的安全标准。
2.信息安全实验室对病毒入侵、业务中断、信息数据破坏等方面, 进行了有效的防御, 避免一些信息和数据破坏等现象, 提升了信息安全实验室的安全、稳定、可靠等性能。
3.对于一些网络中的安全漏洞, 应当进行及时地监测和修补, 这样可以在原有的基础上提升网络运行的安全性, 为信息安全实验室的运行提供良好的网络环境。
(五) 漏洞库管理功能
漏洞库管理功能, 主要是对信息安全实验室运行过程中, 所产生的漏洞, 进行全面的整理, 并且建立一个相应的漏洞库。在管理的过程中, 由于其种类的不同, 对其漏洞产生的过程以及危害等各个方面, 进行详细地描述。同时, 在信息安全实验室建设构想的过程中, 通过漏洞库管理的形式, 对虚拟技术和仿真技术, 进行有效的模拟, 这样可以有效地提升了信息安全实验室的安全、稳定性能。
结语
综上所述, 本文对网络攻防技术进行了简要的分析和阐述, 并且从总体结构、Web应用防护墙、信息和数据安全验证功能、漏洞数据库管理、攻击系统等方面, 对信息安全实验室建设构建进行了简要的概述, 有效地提升了信息安全实验室建设的安全、稳定、可靠等性能, 同时也充分地体现了网络攻防技术和信息安全实验室实现的意义和作用。
摘要:本文对网络攻防技术与信息安全实验室建设, 进行了简要的分析和阐述, 其中主要包括有建设的目标、攻防技术等各个方面。同时, 在信息安全实验室建设构想可以从两个方面进行阐述, 第一是信息安全实验室的组建、第二是信息安全实验室的功能, 从而在最大程度上体现了网络攻防技术和信息安全实验室实现的作用和意义。
关键词:网络攻防技术,信息安全实验室,建设构想
参考文献
[1]陈威, 王刚, 陈乐然, 等.网络攻防技术与信息安全实验室建设构想[J].华北电力技术, 2014 (12) :55-59.
[2]刘东生.网络攻防技术与信息安全实验室建设构想[J].无线互联科技, 2015 (9) :57-58.
[3]高永明, 卢昱, 王宇.网络对抗与信息安全实验室建设构想[J].中国现代教育装备, 2016 (11) :11-13.
[4]蔡灿民, 邹瑞源.网络攻防实验室建设探究[J].科技广场, 2011 (5) :55-57.
[5]么利中, 文伟平.电力信息安全实验室攻防演练平台的设计与应用[J].信息网络安全, 2014 (6) :78-83.
攻防实验技术 篇3
关键词:云平台,网络攻防,实验室搭建
云计算的概念一经提出,就受到人们的广泛关注。由于云计算是多种技术混合演进的结果,近几年在世界各大公司推动下,发展极为迅速。2005年,Amazon宣布Amazon Web Services云计算平台。2007年11月,IBM推出了“改变游戏规则”的“蓝云”计算平台,为客户带来即买即用的云计算平台。Microsoft紧跟云计算步伐,于2008年10月推出了Windows Azure操作系统。Google是最大的云计算技术的使用者。Google搜索引擎就建立在分布在30多个站点、超过200万台的服务器的支撑之上。
1 云计算的概念
云计算是一种商业计算模型。它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。简而言之,云计算是通过网络按需提供可动态伸缩的廉价计算服务。[1,2,3,4]云计算(Cloud Computing)是分布式计算(Distributed Computing)、并行计算(Parallel Computing)、效用计算(Utility C o m p u t i n g)、网络存储(N e t w o r k S t o r a g e Technologies)、虚拟化(V i r t u a l i z a t i o n)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。云计算包括以下3个层次的服务。
(1)IaaS(Infrastructure-as-a-Service):基础设施即服务。消费者通过Internet可以从完善的计算机基础设施获得服务。
(2)PaaS(Platform-as-a-Service):平台即服务。PaaS实际上是指将软件研发的平台作为一种服务,以SaaS的模式提交给用户。因此,PaaS也是SaaS模式的一种应用。但是,PaaS的出现可以加快SaaS的发展,尤其是加快SaaS应用的开发速度。
(3)SaaS(Software-as-a-Service):软件即服务。它是一种通过Internet提供软件的模式,用户无须购买软件,而是向提供商租用基于Web的软件,来管理企业经营活动。
服务商提供给用户一个账号密码,用户登进去以后就进入了服务商的云平台,只需要使用平台上提供的软件,不用关心后台的硬件,网络架构,也不用关心用户数据存放的具体位置,这就是云计算提供的服务。[5,6,7,8]例如google邮箱,用户通过登录使用邮件服务,用户的邮件具体保存在哪台服务器上呢?实际上google后台有几百万台服务器在同时运行,但是用户并不用关心。
2 基于云平台的网络攻防实验室的搭建
网络攻防实验室的搭建主要使用了两套基于云平台的实验教学系统,两套系统分工不同,便于实验教师的管理和学生使用。基于云平台的信息安全实验系统HonyaCloud-SecLab主要应用于实验课时相对较短,实验内容与课堂知识点一一对应的专业课程实验;基于云平台的网络攻防竞技与对抗平台Honya-NATC主要用于实验课时相对较长,实验内容偏向于综合类、设计类的课程设计、生产实践等课程实验。
2.1 基于云平台的信息安全实验系统
实验系统逻辑上划分为云计算虚拟化平台和教育培训管理平台两部分。云计算虚拟化平台通过云计算虚拟化调度和管理为计算机教学虚拟各种实验操作环境,学生可用其进行各种计算机、网络设备和安全设备等操作,真实体验计算机系统、网络和安全信息知识和实际操作演练过程。
实验平台的硬件是由1台管理控制设备,1台云调度设备和多台云资源设备组成(如图1所示),管理控制设备统一总管整套系统的其他设备,云调度设备可根据需求调用云资源中的虚拟环境,同时达到负载均衡,多台云资源设备则可出不同的网络设备和操作系统服务器。
2.2 基于云平台的网络攻防竞技与对抗平台
基于云平台的网络攻防竞技与对抗平台更适用于学生进行课程实践、认识实习、暑期小学期、兴趣小组活动以及学生竞赛等。通过竞技与对抗更大程度地发挥高校学生的积极性和创造力,学生知识更新也能够紧跟信息安全前沿技术和动态,达到学以致用、学有所用的目的;通过网络攻防竞技与对抗还可以实践信息安全技术,及时发现和培养信息安全领域突出人才。这也是对于信息安全专业学生在课堂随堂知识和随堂实验的一个延伸和巩固,是教学改革中从理论到实践、从实践到实战的阶梯化发展的体现。
系统为学生提供线上个人挑战赛和线下分组对抗赛两个环节。
2.2.1 个人挑战赛
个人挑战赛以计算机信息网络为竞赛内容和考察重点,分为基础、脚本、破解、溢出、内核、综合6种题型,关卡考察内容涉及WEB知识、ASP/PHP脚本、缓冲区溢出、软件脱壳破解、系统漏洞利用、社会工程学等信息安全知识。
2.2.2 分组对抗赛
线下比赛分为多个小组进行对抗,在封闭的真实对抗环境(包括DMZ区、数据区、开发测试区、内网服务区、终端区)中展开攻防角逐(如图2所示),能够展示各位选手的个人水平和小组的协同合作能力。
3 网络攻防实验室的教学整体优化
拥有一个体系完整的网络攻防实验室,不仅具有系统的实践教学理念、丰富的实践教学内容,更要有创新的实践教学方法与严格的管理制度,以及充足的师资力量,才能够满足目前我院信息安全本科在校生200多人的实验教学,培养出具有较高综合素质和创新能力的专业学生。[9,10,11,12]
3.1 实验多元化教学成效显著
实验室的学生机采用双网卡模式,其中连接实验教学平台的网卡直接连入校园网,这样学生无论使用实验室计算机或自己在学校内的任何位置,通过浏览器可直接访问实验教学平台,输入用户名密码,进入系统开始实验操作。系统的云端进行计算资源,实验资源的合理分配调度,学生使用时无须再安装客户端,方便实验,对于时间、空间的要求更加灵活。
实验教学系统提供了实验原理、实验目的、拓扑分配和实验报告等资源,学生在上课之前可以通过登录系统预习实验,也可以根据兴趣或教师布置任务自行进行实验操作。
网络攻防实验室的教学系统中共包括了信息安全、网络安全、网络攻防、安全评估等300多个实验项目,满足我校信息安全专业的本科生进行网络安全与管理、数字签名与身份认证、信息内容隐藏、电子商务安全等多门专业课程以及密码学应用与实践、数字签名课程设计等实践类课程的实验需求。部分实验项目内容见表1。
3.2 管理一体化教师省时易行
基于云平台的实验教学系统为实验教师提供了多种管理功能,方便整个实验室的管理和维护。教师进行不同门类课程之间的准备工作较之前更加简捷。
管理员可以对系统进行实验初始化,学生管理、实验课程管理、云管理、远程桌面、远程协助、考核等管理工作。管理员可根据课程和自身的需求进行实验云平台调度,并支持虚拟化管理、拓扑设计、虚拟模板管理等功能,另外,还可以扩展设计新的实验项目。
实验教学系统中的云主机支持实验录像、实验截图、实验暂停等功能,实验教师可在备课过程中进行相关操作编写课件,也可在实验课程进行中对学生机的实验进展进行观摩指导。
3.3 评估层次化学生获益匪浅
(1)课后作业:教师在课后布置相关作业,当学生可以通过系统提交,教师既能查看选修此门课程中每位同学的作业提交情况,包括学生提交的次数、份数,以及时间和附件大小。
(2)题库练习:题库信息可在教学系统中进行添加、删除,和设置题库相关内容,学生通过课堂动手练习以后,在学习过程中跟进题目的练习,有助于知识的吸收和巩固。
(3)课程考试:考试可以从题库中抽取考题来进行组卷,也可以自行编辑考试题,并能进行考试成绩的查询(如图3所示)。
4 结束语
攻防实验技术 篇4
近年来, 随着多起安全相关事件在互联网上曝光, 网络安全成为当前技术研究热点, 网络安全课程和网络安全竞赛也得到了更多的重视。
我们在网络安全课程的学习和网络安全竞赛的训练过程中, 做了大量网络攻防方面的实验, 比较深切地感受到现有的网络攻防实验手段的不足。
考虑到网络攻防相关实验往往都带有一定的破坏性, 在真实网络环境里进行攻防实验还会遇到法律授权方面的麻烦, 一般都是通过安装VMware、Virtualbox等模拟软件构建虚拟网络环境去进行攻防实验。
在自己计算机上架设虚拟机构建网络攻防环境方式的优点是简单、廉价和灵活。但我们在练习过程中也发现, 随着学习内容和人数的增多, 会出现比较严重的管理问题, 例如出现越来越多的虚拟机镜像和快照文件、越来越多的文档资料等, 时间一长就容易遗忘, 要搜索、准备很长时间才能进行实验操作;另外, 人数多了, 还牵涉到文档、软件、攻防系统镜像的分发和同步的问题。很多网络攻防实验的关键步骤其实并不多, 却往往要耗费大量的时间和精力做准备和排错工作, 大大降低了效率, 更不容易进行共享和更新工作。
经考虑, 我们准备借助云计算技术来构建网络攻防实验平台。云计算技术可以灵活地按需提供虚拟化、并行计算、网络存储和负载均衡等服务, 因此如果能把网络攻防所需的各种工具软件、攻击机和靶机镜像、操作指南等文档资料统一安放到云平台中, 则可以极大地改进管理工作。例如, 可以省去本地安装配置工作, 只要有网络随时能用注册账号登录到云平台上做有操作权限的网络攻防实验;所有的技术文档、操作指南等统一存储在云平台, 非常容易检索;在攻防实验平台的存储空间、CPU性能出现瓶颈时, 也非常容易进行扩充升级。
2 基于Openstack云平台的设计和实现
Openstack是一个美国国家航空航天局和Rack space合作研发的, 旨在为公共及私有云的建设与管理提供软件的开源项目。Openstack正处于高速发展和推广应用过程中, 目前已经是各种公有云和私有云建设的主流方案。
基于Openstack的云平台部署非常灵活, 既可以只装在单节点服务器上, 也可以部署到大规模集群服务器组, 经综合考量, 我们使用两台服务器去实现网络攻防实验用云平台, 其中一台服务器部署为控制节点, 另一台部署为计算节点, 这也是目前广泛使用的方案, 足以应付通常的实验, 以后如果有需求, 可以再添加计算节点以提高性能。服务器可以只放在私有局域网中, 也可以接入校园网提高公开服务, 因此每台服务器都装上双网卡, 一块连接到外网, 另一块连接内网。 (如图1所示)
设计的云平台服务器使用操作系统Cent OS Linux 6.4版, 下载Open Stack的Icehouse版本进行安装配置, 根据Openstack的官方安装指导, 在控制节点先后安装并配置Mysql、Rabbit MQ、keystone、Nova、Neutron、Cinder、Glance、Horizon和Apache等服务项目, 而在计算节点上只需安装配置Nova和Neutron。
Openstack安装完成后, 借助Dashboard服务可以通过Web界面登录后进行管理。 (如图2所示)
登录进入云平台管理页面后, 即可非常便捷地进行各种虚拟机镜像的创建、上传、配置、运行、删除等配置工作。这些虚拟机镜像运行后, 借助VNC等远程控制工具, 可以让多人同时通过网络访问, 从而充分发挥云平台的作用。 (如图3所示)
3 攻击机和靶机的配置
在基于Openstack的云平台搭建好了以后, 为实现网络攻防实验功能, 主要任务就是创建足够有用的攻击机和靶机的虚拟机镜像。
攻击机的镜像相对比较容易解决, 我们首先制作了基于Windows操作系统的攻击机镜像, 在系统中事先封装了大量网络安全渗透测试用工具, 包括各种扫描工具、嗅探工具、加解密工具、远程渗透攻击测试工具、动态调试工具、静态反编译工具等等。其中最常见最有用的一些工具包括Metasploit开源安全漏洞测试工具、Nmap扫描器、Wireshark嗅探器、burpsuite集成Web渗透测试工具集、sqlmap注入工具、Ollydbg动态调试器、IDA反编译工具等。
另外, 我们也制作了基于Kali和Back Track 5的攻击机系统镜像, 它们都是开源的Linux系统, 已经在系统中事先集成了大量有用的网络安全测试工具, 可以免去大量工具收集的繁琐工作。
靶机的制作则相对比较麻烦, 因为这不是简单安装好操作系统和软件就行了, 还经常需要自己在靶机上挖掘出或人为生成需要的某种安全漏洞以供攻击机做网络攻击实验。我们首先自己制作了一些基于Windows 2000、Windows XP、Windows 2003、Windows 2003、Windows 7等操作系统的镜像, 都是没有打足补丁留下系统漏洞用于系统攻击测试, 然后我们还在一些Windows镜像中创建了各种基于ASP、ASP.NET、PHP和JSP技术的有已知漏洞的Web网站用于Web渗透测试。另外, 我们下载了一些开源免费靶机资源, 例如OWASP组织发布的一些靶机镜像资源。
4 网络攻防平台应用和测试
为了更方便地使用和管理实验平台, 我们另外编写并部署了一个管理网站, 主要就是将云平台中的各种虚拟机资源及各种网络攻防实验所需的学习资料进行了分类组织显示。
事先获取权限的网络攻防练习者登录到这个网站后, 可以非常便利地查看学习资料, 更重要的是可以启动云平台上各种虚拟机镜像, 从而实际连接到运行中的攻击机和靶机进行各种攻防操作。
例如, 在做通过弱密码安全漏洞远程控制实验时, 练习者可以登录到管理网站上, 通过阅读详细学习资料理解了这个课题的相关背景知识后, 按照操作指南, 先连接到攻击机上, 打开运行Nmap扫描器, 扫描靶机开放的端口服务, 并利用扫描脚本和自定义的字典文件扫描是否存在弱口令。 (如图4所示)
扫描结果是, 发现靶机已经开放了3389远程桌面服务, 而且通过字典扫描出了管理员administrator的弱密码5i9x。
然后在攻击机上用远程登录客户端去连接靶机的远程桌面服务, 输入扫描出的账号和密码, 即可以管理员权限轻松进入靶机系统, 完成了本次渗透测试实验任务。 (如图5所示)
其他网络攻防实验任务都可以用上述类似的方法进行理论学习和实际操作练习。
通过在攻防平台上的检测发现, 在同时练习人数不多的情况下, 攻击机和靶机的连接速度和运行速度基本能够满足要求。
5 结论
用基于Openstack技术构建的云平台可以显著提高网络安全, 尤其是网络攻防操作的学习效率, 可以作为课程学习及竞赛培训的有益助手。当然, 目前云平台上的网络攻防系统远不够成熟, 存在标准不统一、界面不够友好、制作繁琐、很难支持大规模应用等缺点, 有待技术的进一步发展和更多的开发工作。
摘要:网络攻防环境难以构建和管理是一个普遍性的难题, 本文介绍了一个使用开源的Openstack技术构建网络攻防实验平台的设计方案。在校园网中的运行测试结果显示, 这种基于云计算的网络攻防平台可以显著降低管理和实验成本, 提高学习效率。
关键词:网络攻防,云计算,Openstack
参考文献
[1]Install Guides[OL].http://docs.openstack.org.
攻防实验技术 篇5
《计算机网络安全技术》是一门应用性、实践性很强的专业课程, 其实验教学与实践环节不仅是理论教学的深化和补充, 对于培养学生综合运用所学知识, 解决实际问题的能力, 也起着非常重要的作用。但实验是本门课的难点也是重点, 如何有效的开展计算机网络安全技术实验教学课程, 提高实验教学质量, 是值得探讨和研究的问题。
在网络安全实验的教学方法上, 针对高职学生的特点, 我们采用"实验为主, 理论为辅"的教学方法, 以实验带动教学, 提高学生的学习兴趣和实际的动手能力。本人通过长期的计算机网络安全技术教学, 利用Sniffer软件来架构计算机网络安全实验, 借助Sniffer嗅探工具, 设计网络攻防实验, 让同学们得到实战体验, 取得很好的效果。
2、Sniffer软件原理及课实验平台设计
2.1 Sniffer
Sniffer, 又称"嗅探器", 是一种基于被动侦听原理的网络分析方式, 一种利用以太网的特性把网络适配卡置为杂乱 (promiscuous) 模式状态的工具, 一旦网卡设置为这种模式, 它就能接收传输在网络上的每一个信息包, 该网卡具备"广播地址", 它对所有遇到的每一个数据帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。使用这种技术方式, 可以监视网络的状态、数据流动情况以及网络上传输的信息。这样, 不管它的接受者或发送者, 是不是运行sniffer的主机, Sniffer将数据存入log文件, 当信息以明文的形式在网络上传输时, 便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式, 便可以将网上传输的源源不断的信息截获。sniffer工作在网络环境中的底层, 它会拦截所有的正在网络上传送的数据, 并且通过相应的软件处理, 可以实时分析这些数据的内容, 进而分析所处的网络状态和整体布局。值得注意的是:sniffer是极其安静的, 它是一种消极的安全攻击。
Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。
2.2课程实验平台与设计
2.2.1 本论文实验平台
实验平台要求:一个内部联网的计算机机房, PC机使用Windows XP操作系统, 安装SNIFFER Pro软件, 其拓扑构建如下:
2.2.2 实验分组设计
首先以一个机柜为一个小组, 搭建一个小型共享式的网络环境, 组员A, B, C分别担当普通用户、服务器管理员、Sniffer密码窃取攻击者, 通过Sniffer Pro在共享式网络上进行数据包的抓获, 进行数据包的协议分析, 从而获取其它用如户的FTP用户名和密码, 随后轮换角色, 让小组所有同学掌握网络安全应用技术。
3、sniffer网络攻防安全实验设计
3.1 使用Sniffer Pro监控ARP Spoofing欺骗攻防实验设计
3.1.1 ARP Attacking攻击原理
ARP Attacking是一个在局域网络内部实施的攻击手段, 这种攻击手段属于网络渗透攻击的范畴。
ARP Spoofing的根本原理是因为计算机中维护着一个ARP高速缓存, 并且它是随着计算机不断的发出ARP请求和收到ARP响应而不断的更新的, 以表示IP地址和MAC地址的对应关系, 当源主机需要将一个数据包要发送到目的主机时, 会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址, 如果有, 就直接将数据包发送到这个MAC地址;如果没有, 就向本地网段发起一个ARP请求的广播包, 查询此目的主机对应的MAC地址。
3.1.2 ARP Attacking攻击设计
ARP Attacking攻击的手法如中间人攻击 (Man-in-theMiddle attack) 与联机劫夺 (Session Hijacking) 就是采取ARP spoofing等攻击手法达到欺骗主机、反追踪;联机劫夺 (Session Hijacking) 利用ARP欺骗将使用者正常的联机抢过来;中间人攻击则利用ARP同时欺骗使用者 (Client) 与服务器 (Server) 两边使所有两边的交谈都要透过入侵人的转述, 达到欺骗、侧录、窜改数据的目的。
3.1.3 ARP Attacking攻击防范
如果某些用户遭到ARP攻击, 无法正常联网。即使知道这是攻击者利用网络的底层功能ARP欺骗来实现的, 也没有什么现成的工具和软件来阻止这种攻击。但可以通过Sniffer Pro的Capture功能发现并找出攻击者的IP地址和MAC地址, 然后通过Sniffer Pro的发送数据功能给它也发送带ARP欺骗的ARP响应数据, 让它断开和其他计算机的连接, 从而摆脱攻击者的控制。
3.1.4 ARP Attacking攻防策略
面对ARP攻击, 要不定期对系统进行安全检测, 打上安全补丁, 利用相关的网络监听软件进行扫描, 并配以相关策略, 如下:
(1) 从逻辑或物理上对网络分段:网络分段通过对其良好的设置可以防止非法监听, 实现恶意用户与敏感的网络资源相互隔离。也可以用VLAN (虚拟局域网) 技术, 将以太网通信变为点到点通信, 使单播包仅在两个节点之间传送, 从而降低非法监听发生率, 防止大部分基于网络监听的入侵。
(2) 使用加密技术, 为了抵御Sniffer的嗅探攻击不让信息外泄, 就必须要对数据进行加密, 虽然通过监听后仍然可以得到传送的信息, 但却显示为乱码。如利用SSH的安全协议来替代易被攻击的对象协议。
3.2 使用Sniffer PRO监控"广播风暴"攻防实验设计
3.2.1"广播风暴"形成原因
广播风暴是局域网络最常见的一个网络故障, 网络广播风暴的产生, 有很多原因, 主要是由于以下几种原因: (1) 网络不正确的设计和规划; (2) 网络设备或者设备的损坏;HUB做为广播设备本身容易导致;网卡或者交换设备的损坏也可能产生广播风暴; (3) 网络环路, 路由配置错误, 或者在没有启用STP的交换设备上出现"两端"同时接入错误; (4) 网络病毒本身具有感染后向网内大量扩散传播的特性, 也可导致广播风暴。
3.2.2"广播风暴"攻击设计
很多人提到"广播风暴", 都有些"谈虎色变"的感觉。实际上, 在今天以交换设备为中心的交换式网络中, 只要网络设计合理, 能遇见"广播风暴"的情况并不多见。我们在实验中, 通过"网络环路"来制造"广播风暴", 然后使用Sniffer PRO来做检测。交换机与核心交换机之间通过两根级联线进行连接, 因此, 当交换机上的用户向另一个用户发送信息时, 数据包就会通过核心交换机循环地发送数据包, 形成广播风暴。当信息量大的时候, 造成网络连接时通时断, 网速直线下降直到掉线;当然也可采用Sniffer内置的Sniffer Ping包来实现"广播风暴"攻击。
3.2.3"广播风暴"攻击防范
Sniffer PRO做为协议类分析软件, 还可以检测到广播数据, 并以更为人性化的图表形式展现出来。为了确定产生风暴的原因, 使用Sniffer的另外一个流量监控功能Host Table, 它可监控网络中每台计算机的流量状况, 包括每台计算机收到的数据包数、数据包字节数、每台计算机发出的数据包数、发出数据包的字节数、总的包数和总的字节数等流量信息。从而准确定位是哪台机器在实施"广播风暴"攻击, 抓网内攻击的"内鬼"。
还可以使用SNIFFER中的主机列表功能, 查看网络中哪些机器的流量最大, 和矩阵就可以看出哪台机器数据流量异常。从而, 可以在最短的时间内, 判断网络的具体故障点。
3.2.4"广播风暴"攻防策略
3.2.4.1通过Sniffer PRO提供的Alarm告警系统, 查看"广播风暴"
为Sniffer PRO在"广播风暴"时的告警。我们可以通过Monitor下的Alarm log查看。软件默认Broadcasts每秒2000, 超过设定的阀值, 软件则会报警。Sniffer PRO将Alarm告警划分为不同级别:有严重、重要、次要、警告、通知。我们可以在Alarm选项卡里做出调整, 并及时通知管理员或用户。
3.2.4.2利用Host Table来实时监控网络流量。
调用了Sniffer的Dashboard功能对网络的整体流量状况进行了监控, 该监控功能旨在对网络的带宽利用率 (总体流量) 、网络每秒钟的数据包数, 以及网络中每秒钟的错误包数进行监控。发现网络中的数据包却非常多 (如中间的仪表盘所示) , 达到1000P/S左右, 因此, 初步断定, 内部网络中出现了网络风暴。
3.3使用Sniffer Pro监控"网络敏感数据"对抗攻防实验设计
3.3.1 使用Sniffer对网络敏感数据进行网络攻击
Sniffer能够"听"到在网上传输的所有的信息, 它可以放在网络段中的任何地方。它们可以截获机密的或专有的信息, 如它可以截获敏感的经济数据 (如信用卡号) 、秘密的信息 (E-mail) 和专有信息;它们可以被用来攻击相邻的网络或者用来获取更高级别的访问权限;让cookie的信息、HTTP页面信息、Email信息等等, 没有一点障碍得全被窃取。
通过对网上的数据抓包解码 (Decode-Sniffer的强大解码分析功能) 分析, 如下图:
3.3.2"网络敏感数据"攻击防范
在网络安全日益被注意的今天, 我们不但要正确使用嗅探器, 还要合理防范嗅探器的危害, 嗅探器能够造成很大的安全危害, 但是通过正确的防御策略, 可以保证"网络敏感数据"不被攻击。
(1) 首先检测嗅探器:检测嗅探器可以采用检测混杂模式网卡的工具。由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作, 能够检测混杂模式网卡的AntiSniff是一个工具。
(2) 检查每一台机器的每一个通信端口:在sniffer存在时, 被窃听机器的端口被改为许诺模式 (promiscuous mode) , 可以通过这一点检测自己是否被窃听。
(3) 对敏感数据加密:对敏感数据的加密是安全的必要条件, 其安全级别取决于加密算法的强度和密钥的强度。既然Sniffer要捕获我们的机密信息, 那我们干脆就让它捕获, 但事先要对这些信息进行加密, 即使捕捉到了我们的机密信息, 也无法解密, 这样, Sniffer就失去了作用。
(4) 使用安全的拓朴结构:Sniffer无法穿过交换机、路由器、网桥, 网络分段越细, 则安全程度越大;还有一个原则用于防止Snther的被动攻击一个网络段必须有足够的理由才能信任另一网络段, 网络段应该从考虑具体的数据之间的信任关系上来设计。
4、总结启示
自古攻防有道, 网络监听技术作为一种工具, 实际是一把双刃剑, 总是扮演着正反两方面的角色, Sniffer作为一种监听技术, 如果Sniffer被恶意用户利用, 攻击者会通过该技术可实现对网络上传输的数据包的捕获与分析, 从而获得一些安全关键信息, 从中盗取机密, 其造成的威害是巨大的, 但它也可以为网管更好的了解网络现状, 还可以为网警进行网络取证时也利用此技术来获取必要的信息, 进行网络取证。即所谓:攻也Sniffer, 防也Sniffer!通过基于Sniffer攻防实战, 让学生不但可以知道什么是网络安全事件, 如何去应对网络安全问题, 最重要的是如何进行有效的网络安全设计, 从而来避免网络安全风险的发生, 并如何去有效的解决安全问题。
摘要:本文针对目前高校计算机网络安全技术教学的缺陷, 通过基于Sniffer进行攻防实战来设计计算机网络安全技术实验教学, 并提出网络攻防安全策略。
关键词:Sniffer,网络攻防安全,实验设计
参考文献
[1].罗森林.《信息系统安全与对抗技术》北京理工大学出版社,
[2].吴金龙《网络安全》高等教育出版社
[3].李满《网络仿真实验系统的研究与实现》, 《农业网络信息》2007年第9期
端口攻防技术分析 篇6
在Internet上,各主机间通过TCP/TP协议发送和接收数据报,各个数据报根据其目的主机的i地址来进行互联网络中的路由选择。可见,把数据报顺利的传送到目的主机是没有问题的。问题出在哪里呢?我们知道大多数操作系统都支持多程序(进程)同时运行,那么目的主机应该把接收到的数据报传送给众多同时运行的进程中的哪一个呢?为了解决这个问题,我们引入了端口机制。"端口"是英文ort的译义,我们可以认为是计算机与外界进行信息交换的出口。在数据报传送过程中,本地操作系统首先会为需求的进程分配逻辑端口,每个逻辑端口由一个正整数标识,如:80,139,445,等等。当目的主机接收到数据报后,将根据报文首部的目的端口号,把数据发送到相应端口,而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。
1 端口的分类
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
1.1 按端口号分布划分
1.1.1 动态和/或私有端口(Dynamic and/or Private Ports):端口的范围从49152到65535,理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
1.1.2 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
1.1.3 公认端口(Well Known Ports):从0到1023,它们紧密绑定(binding)于一些服务,比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。通常这些端口的通讯明确表明了某种服务的协议。
1.2 按协议类型划分
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口:
1.2.1 TCP端口
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等。
1.2.2 UDP端口
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等。
2 端口攻击分类
如果把服务器比作房子,那么端口则是通向房子中各个房间的门,入侵者要占领这间房子,只需打开这道门。显然,端口在网络攻击过程中是攻防双方必争的一座重要堡垒。“端口侦听”与“端口扫描”是黑客攻击和防护经常要用到的两种端口技术。在黑客攻击时利用它们可以准确地寻找攻击的目标,获取有用信息。
2.1 端口侦听(Ports Listening)
“端口侦听”是利用某种程序对目标计算机的端口进行监视,查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人有用的信息,这主要是用在黑客软件中,但对于个人来说也是非常有用的,可以用侦听程序来保护自己的计算机,在自己计算机的选定端口进行监视,这样可以发现并拦截一些黑客的攻击。也可以侦听别人计算机的指定端口,看是否空闲,以便入侵。
2.2 端口扫描(ort scanning)
“端口扫描”(ort scanning)是通过连接到目标系统的TCP协议或UDP协议端口,来确定什么服务正在运行。现在有许多人把“端口侦听”与“端口扫描”混为一谈,根本分不清什么样的情况下要用侦听技术,什么样的情况下要用扫描技术。现在的软件也似乎对这两种技术有点模糊了,有的干脆把两个功能都集成在一块。“端口扫描”与“网络扫描”是同一所指,只不过因为“网络扫描”最终还是通过对网络端口的扫描来达到目的,所以也就通俗地称之为“端口扫描”。
“端口扫描”通常指用同一信息对目标计算机的所有所需扫描的端口进行发送,然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。“端口扫描”行为的一个重要特征是:在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。
3 端口安全防御
计算机之间通信是通过端口进行的,例如你访问一个网站时,Windows就会在本机开一个端口(例如1234端口),然后去连接远方网站服务器的一个端口,别人访问你时也是如此情景。在默认状态下,Windows会在你的电脑上打开许多服务端口,嘏黑客恰恰利用了这些端口来实施其入侵行为的。因此,有效进行端口安全防御是保证网络安全的重要基础。常见端口防御工作如下:
3.1 关闭不需要的端口
对一般上网用户来说只要能访问Internet就行了,并不需要别人来访问你,也就是说没有必要开放服务端口,在WIN 98可以做到不开放任何服务端口上网,但在Win XP、Win 2000、Win 2003下一些服务端口是默认开放的,因此,我们可以关闭不必要的端口。
3.1.1 关闭137、138、139、445端口
这几个端口都是为实现网络资源共享而开的,是NetBios协议的具体应用,通常作为普通的网络用户是不需要别人来共享你的资源的,而且上述也是漏洞最多的端口。关闭这几个端口的方法就是关闭系统默认共享。
3.1.2 关闭123端口
有些蠕虫病毒可利用UDP 123端口,关闭的方法手动停止系统的windows time服务。
3.1.3 关闭1900端口
攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包,就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包,令'Location'域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。关闭1900端口的方法是停止SSDP Discovery Service服务。
3.2 安装并启用防火墙。
安装防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里,只要你在房子的四周建了一堵密不透风的墙,那对于墙里的房子就是安全的。对于一般用户来讲有下面三类防火墙
3.2.1 系统自带的防火墙
关于Win XP与Win 2003自带防火墙的设置请参阅系统帮助文件,此处不再赘述。
3.2.2 ADSL防火墙
通过ADSL上网的,如果有条件最好将ADSL猫设置为地址转换方式(NAT),也就是大家常说的路由模式,其实路由与NAT是不一样的,权且这么叫吧。用NAT方式最大的好处是设置完毕后,ADSL猫就是一个放火墙,它一般只开放80、21、161等为了方便用户对ADSL猫进行设置而开放的端口。如果不做端口映射,一般情况下很难从远程实现攻击的。
3.2.3 第三方防火墙
前面说过,反弹型木马而且会使用隐避性较强的文件名,像iexiore.exe、exlorer等与IE的程序IEXPLORE.EXE很想的名字或用一些rundll32之类的好像是系统文件的名字,但木马的本质就是要与远程的计算机通讯,只要通讯就会有连接。如下所示:正常连接是IEXPLORE.EXE发起的,而非正常连接是木马程序exlorer发起的。一般的防火墙都有应用程序访问网络的权限设置,在防火墙的这类选项中将不允许访问网络的应用程序选择X,即不允许访问网络。
3.2.4 用Tcview结束可疑连接
我们可以用Tcview观察当前连接情况,如果怀疑哪个连接有可能是不正常的连接,可在Tcview中结束该连接,斩断一切有可能的非法连接在一定程序上可以保证网络的安全性能。
3.3 扫描
作为扫描工具软件,常见的有端口扫描(Suerscan)、漏洞扫描(X-scan)等,利用这些扫描工具软件做完上述相应的安全检测措施后,我们还可以在网上找个在线测试安全的网站测试一下你目前系统的安全情况,如千禧在线、蓝盾在线检测、天网安全在线、诺顿在线安全检测等,都提供了相就的在线检测功能,通过相应的在线检测,有助于网络用户做安全防御设置工作。
4 端口入侵检测系统的几点反思
从技术的层面上说,端口入侵检测系统还有些未能解决的问题,主要为:
4.1 对入侵检测系统的评价目前还没有统一的客观标准,各种评价的标准不统一导致了端口入侵检测系统不能够互联。对于这种新的技术手段,伴随着科学技术的发展,还会面对更多的新型的攻击手段,因此我们必须保证端口入侵检测系统的不断更新,以适应新的网络环境。
4.2 网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。
4.3 目前的网络设备多种多样,网络的设置越来越复杂多变,这就对入侵检测系统提出了更高的要求,使它们能适应更多的网络环境。
4.4 如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等着名ICP的攻击事件中,我们明白了网络安全形势是以紧张,不法分子的攻击手段不断的更新,攻击工具也呈现了多样化的特点,攻击手法越来越多变,这就要求入侵检测系统提高安全指数,不断地完善并且改进。
4.5 对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。
4.6 采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。
4.7 随着网络的带宽的不断增加,如何开发基于高速网络的检测器(事件分析器)仍然存在很多技术上的困难。
5 结束语
随着计算机硬、软件的不断发展,Internet网络技术的日新月异、计算机网络已经成为社会生活中不可或缺的一部份。同时,黑客技术也在“与时俱进”,形形色色的病毒、木马在网络中漫延,严重影响了我们正常的工作、学习。端口的安全作为网络安全的重要组成部分显尤其重要,如何做好端口安全防御工作将成为网络安全研究人员一个永不过时的命题。
参考文献
[1](美)John Chorrillos著,李宏平译.黑客攻击防范篇[M].北京:机械工业出版社,2003年3月,(第2版).
浅谈网络安全攻防技术 篇7
网络安全问题伴随着网络的产生而产生,像病毒入侵、黑客攻击等安全事件,每时每刻都在发生,遍布世界各地。由于网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性的特点,使计算机网络存在较多的脆弱点。网络管理人员都知道:如果知道自己被攻击了就赢了一半,但问题的关键是:如何知道自己被攻击了,并采取适当的防护策略。因此下面介绍当前流行的网络攻击及其防御技术。
2、常见网络攻击及其原理
网络攻击手段也是随着计算机及网络技术的发展而不断发展的,这里根据网络攻击的方式及其造成的后果来分类进行介绍。
2.1 网络扫描
网络扫描是黑客攻击的重要步骤,可以分为被定式策略扫描和主动式扫描,被动式策略是基于主机之上,对于系统不合适的设置、脆弱的口令以及其他同安全规则抵触的对象进行检查,而主动式扫描对系统进行模拟攻击,可能会对系统造成破坏。例如,可以用软件GetNTUer进行系统用户扫描获得用户名和密码,用软件PortScan进行开放端口扫描,用软件Shed进行共享目录主机扫描,用软件X-Scanv2.3进行漏洞扫描,还可以利用TCP协议编程实现端口扫描,用Sniffer pro进行网络监听等等。
2.2 病毒攻击
病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒代码潜藏在其它程序、硬盘分区表或引导扇区中等待时机,一旦条件成熟便发作。病毒可以通过计算机网络传播感染网络中的可执行文件,感染计算机中的文件(如:COM,EXE,DOC等),感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),很多的病毒都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。常见的网络病毒有宏病毒、蠕虫病毒、木马病毒、网页病毒等。病毒的来源主要有两种:一是文件下载,二是电子邮件。
2.3 侦听获取信息
网络侦听,指在计算机网络接口处截获网上计算机之间通信的数据,它常常能轻易地获得其他方法很难获得的信息。如用户口令、金融账号、敏感数据、低级协议信息等,Snifferpro就是一个完善的监听工具,其原理是:根据局域网数据交换广播原理,监听主机对局域网中广播的数据包全部接收分析,获取通信数据。网络监听的检测比较困难。
2.4 网络入侵
网络入侵是常见的网络攻击方式,它是在网络扫描的基础上,利用系统漏洞和各种软件夺取系统的控制权,达到攻击的目的。譬如:(1)利用缓冲区溢出入侵。通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击目的,最常见的方法通过某个特殊程序的缓冲区溢出转而执行一个Shell,通过Shell的权限可以执行更高的命令。(2)口令攻击,运用各种软件工具和安全漏洞破解网络合法用户的口令或避开系统口令验证过程,然后冒充合法用户,潜入网络系统,夺取系统的控制权。(3)欺骗攻击。就是将一台计算机假冒为另一台被信任的计算机进行信息欺骗,主要有I P欺骗,DNS欺骗、Web欺骗、ARP欺骗、电子邮件欺骗、地址欺骗与口令欺骗等。(4)暴力攻击。就是一个黑客试图用计算机和信息去破解一个密码。字典攻击是最常见的一种暴力攻击,一个字典文件是一个标准的文本文件,其中每一行就代表一个可能的密码。如图1所示,利用字典文件结合上面说的攻击软件GetNTUer,可以很快将系统管理员密码破解出来。
2.5 拒绝式服务攻击
拒绝服务攻击,它是一种简单的破坏性攻击,通常利用TCP/IP协议的某个弱点,或者是系统存在的某些漏洞,通过一系列动作,使目标主机(服务器)不能提供正常的福气网络服务,即阻止系统合法用户及时得到应得的服务或系统资源。常见的拒绝服务攻击工段主要有服务端口攻击、电子邮件轰炸、分布式拒绝服务攻击等。这里重点介绍一下分布式拒绝服务(Distributed Denial of Service,DDOS)攻击,它一般基于客户-服务器模式,它的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器,然后在这些服务器上安装攻击进程,集数十台、百台甚至上千台机器的力量对单一攻击目标实施攻击。在悬殊的带宽力量对比下,被攻击的主机会很快因不胜重负而崩溃。分布式拒绝服务攻击发展十分迅速,其隐蔽性和分布性很难被识别和防御。
3、网络防御技术
3.1 扫描技术
扫描技术分为两大类,一是对主机的扫描,二是对网络的扫描。网络安全扫描技术以Internet为基础来检测网络或者本地主机上可能会导致系统受到攻击的各类系统缺陷。它采用专门编写的角标程序对系统进行模拟的攻击,并分析由此产生的结果,因此这种技术是一种积极主动的防御性安全策略,而且其本身不会破坏系统安全。
3.2 防火墙技术
对于来自外部的攻击,目前有效的解决办法是采用防火墙。防火墙是一种用来加强网络之间访问控制,防止外部网络用户以及非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。防火墙大致可以分为包过滤防火墙和应用代理防火墙。包过滤根据分组包头源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过;应用代理通过每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
3.3 密码技术
密码技术通过对信息的变换或编码,将机密的敏感的信息变换成对方难以读懂的乱码型信息,使对方无法从截获的乱码中得到任何有意义的信息,也使对方无法伪造任何乱码型信息,从而保护网内的数据、文件、口令和控制信息,保护网上传输的数据。密码技术是网络安全最有效的技术之一,一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法。
3.4 访问控制技术
访问控制保护系统资源不被非法访问的技术,它主要有三个功能:用户身份认证、访问权限控制和审计功能。它可以说是保证网络安全最重要的核心策略。目前主流的访问控制技术有:自主访问控制(D A C)、强制访问控制(M A C)和基于角色的访问控制(RBAC)。
3.5 入侵检测技术
入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征库进行比较,一旦发现有被攻击的迹象,立即根据用户所定义的动作做出反应,如切断网络,或者通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。入侵检测一般分为三个步骤:信息收集、数据分析和响应。它提供了对内部攻击、外部攻击和误操作的实时检测,有效弥补了传统安全防护技术的不足,通过构建动态的安全循环,可以最大限度地提高系统的安全性,减少安全威胁对系统带来的危害。
3.6 病毒防御技术
防御计算机病毒,首先要进行计算机病毒的种类、性能、干扰机理的研究,加强计算机病毒注入、激活、耦合技术的研究和计算机病毒的防御等技术。计算机用户要购买正版的杀毒软件,并实时更新,加强监控防病毒,常见的杀毒软件有金山、江民、瑞星、卡巴斯基、诺顿等。但是要从根本上解决问题,就必须使用我国自己的安全设备和技能加强信息与网络的安全性,又能从根本上摆脱引进国外的关键信息系统难以安全利用和有效监控的被动局面。
3.7 其他网络安全技术
除以上介绍的网络安全技术外,还有虚拟专用网技术、蜜罐技术、电磁防泄露技术、物理隔离技术等。
4、结束语
网络的复杂性随着其规模的扩大而不断增加,网络攻击的方式会不断的发展变化,安全问题是长期而复杂的问题,所以网络攻防需要一代又一代人不断研究发展,网络管理人员要时刻保持清醒的头脑、正确的认识,随时掌握最新情况,不断完善安全策略,才能将网络风险降到最低。
参考文献
[1]吴功宜.计算机网络高级教程.清华大学出版社.2007
[2]石志国等.计算机网络安全教程.清华大学出版社.2007
[3]周亚建等.网络安全加固技术.电子工业出版社.2007
[4]王达.网络管理员必读,电子工业出版社.2007
[5]杨黎霞.网络安全技术的研究.信息科技.2008.2