网络安全漏洞总结报告
来到这个公司实习了近两周,今天是实习的最后一天,下面我就把我这两周的收获进行一个系统的总结。
首先第一周我主要学习了一些主要安全漏洞的成因,危害以及防范手段。虽然安全漏洞有很多,但是我学习了其中几个最为常见的,下面我进行下总结。
第一周学习的安全漏洞有如下几个:
SQL注入,跨站点脚本,登陆管理,文件上传,敏感信息泄露,连接注入与URL重定向,目录列表,明文传输,文件遗留,http响应分割和不安全的http方法的启用。从SQL注入到敏感信息泄露属于常见重要漏洞;连接注入到目录列表属于中级常见漏洞;最后几个则属于低级常见漏洞。划分等级的标准是他们的危害程度。下面我分别对他们进行总结:
先来说说登陆管理,登陆管理我的理解是有两个成因,一是由于不安全的应用编码或者是不安全的配置造成的,它主要的表现形式是不限制错误登录的尝试次数,这会使应用程序暴露于蛮力攻击。另一个就是弱口令,即一些简单有规律,易被人猜出来的密码。因此,攻击者的主要攻击手段就是蛮力攻击和猜口令。防范登陆管理,从用户的角度出发,应当设置复杂的密码,不应该让密码过于规律化。从服务器管理的角度出发,应该限制尝试登陆次数或者发放验证码,这都是对蛮力攻击的有效遏制手段,当然,对于错误信息提示,也应该尽量模糊化,比如攻击者猜对了用户名,但猜错了密码,那么系统提示不应该是密码错误,而应当是用户名或者密码错误。
再来说说文件上传,它的主要是web应用在提供上传服务时对 上传者的身份或上传的文件类型控制不正确造成的。攻击者可以通过这种存在疏漏的上传,将自己编写的实现某些特定功能的jsp文件放到网站服务器的web目录中,相当于一个后门,为自己的入侵打开便利之门。对此,网站管理方应该从三方面预防,首先是要验证上传者的信息,不允许匿名上传;其次是要限制上传的格式,不能允许用户上传任意格式的文件;最后是要指定上传的位置,不能随意上传到任何目录下,比如web目录就应该拒绝访问。
接下来谈谈SQL注入,敏感信息泄露以及目录列表这一类,为什么我把他们归为一类呢?因为首先,他们都是对web应用造成了威胁,SQL注入正是一个故意犯错和猜的过程,通过错误的输入得到存在漏洞的网站反馈的错误信息报告,寻找有用的信息,再通过猜解,一步步得到表名字段名,进而通过SQL语句的使用达到控制后台数据库的目的;而敏感信息泄露也是因为没有对错误的输入进行有效的处理,导致一些重要信息暴露给攻击者;目录列表存在的现象比较少,但是危害也很大,相当于敏感信息泄露,为其他漏洞的攻击提供了便利。我现在分开总结下这三个安全性漏洞。
SQL注入是客户端提交特殊的代码,从而收集程序及服务器的信息,获取想得到的资料的过程。首先攻击者要判断注入环境,即这个网站是否有可能存在SQL注入漏洞;接着是寻找注入点,通常方法是单引号法或者1=1,1=2法;然后是猜表名和字段名;再通过工具,寻找web管理后台入口;最后进行破坏。至于攻击手段有三种,其一是由于服务器未能进行有效的过滤和转义用户输入的字符,导致攻击者篡改SQL语句,进行入侵;其二是由于对用户提供的字段没有实施类型强制,比如id=,后面应该填写整型数据,而攻击者可以在后面添加,和一系列SQL语句,违背了设计者的初衷,到达了入侵目的;最后就是盲目攻击,通过不断尝试,根据网页显示的不同内容,判断自己输入语句的正确性。对此,要防范SQL注入,我们不但要使用参数化的过滤语句,防止入侵者钻空子,还要避免反馈一些详细的错误信息。因为SQL注入就是一个故意出错和猜的过程,通过出错得到的反馈,为猜这个过程提供便利,如果我们反馈的错误信息越少,那么SQL注入就会越艰难。
敏感信息泄露就是由于对异常信息控制不当造成的。比如直接将后台服务器的SQL语句堆栈了出来,这样为其它入侵提供了相当大的便利。之所以存在这个隐患,是因为没有设置errorPage或者程序员为调试方便刻意在errorPage打印堆栈信息。对此,我们应该正确配置errorPage,并严格控制errorPage中显示的信息,避免敏感信息泄露。
目录列表是由于部署web应用的应用服务器没有正确配置造成的。存在该漏洞的网站,如果URL指定的web目录下不存在index.html,(也可能不叫index)则该目录下所有文件被自动列出。他也是为其它漏洞的攻击提供便利,对此,我们应该当修改web目录的配置。
然后来说说跨站点脚本以及链接注入与URL重定向,之所以把他们放在一起,是因为这几个安全漏洞虽然不会对网站本身造成什么危害,但是会给用户带来打击。
链接注入与URL重定向俗称网络钓鱼,但他们也有着不同的地方。URL重定向是因为http 参数保留 URL 值,这容易导致 Web 应用程序将请求重定向到指定的 URL。攻击者可以将 URL 值改成指向恶意站点,然后通过给大量用户发邮件等方式,诱导用户登录恶意站点,并窃取用户凭证或账号密码,对此,我们应该严格限制重定向的网站,将它限制在允许访问的范围内。而链接注入与URL重定向有着异曲同工之处,只是它不是在网址处做文章,而是在动态网页的输入出做文章,通常是指Web应用的重定向机制控制不合理,从而可能被攻击者利用诱导用户访问恶意网站,欺骗用户敏感信息或在用户计算机上部署木马等。举个列子,攻击者依然会制作一个诈骗网站,并将这个网站以重定向的方式记录下来输入到动态页面的输入框并且执行,这样,这个网址会在后台服务器留下记录,那么后面如果有不幸的用户看到这个网址并对此感到好奇点击了这个网址,那么他的账号就可能被窃取,他的电脑可能被安装木马病毒。对此我们要从三方面下手,一是对用户输入进行清理;二是不允许输入Javascript脚本,非法SQL语句,各种操作系统命令等;最后对用户提交的参数值中包含的<>等进行过滤或者转码。
接下来说说跨站点脚本,我觉得他和链接注入有着相似的地方,存在这个问题的网站,就是因为将外部输入不加任何处理就直接输出到了客户端而导致脚本的执行,攻击者在正常的网址后面添加自己编写的实现某种功能的脚本,将这个带有脚本的网址发给大量用户,如果用户点击了这个网址,那么虽然看到的网页和原来网页没什么不同,但脚本已经运行,将用户的重要数据发给了攻击者。因此防范该漏洞的主要方法就是对用户输入进行过滤和验证并在输出时进行转义处理。
总之,以上漏洞都是在动态网页中存在的,对于静态网页均不存在以上漏洞。而且我认为,计算机与网络后台服务器之间是一个简单而又危险的交互过程,程序员必须要为用户输入的数据进行转义和过滤,对服务器返回的数据应该进行包装(比如errorpage)将最少最有效的信息反馈给用户,中间一旦有哪个环节疏漏,很容易被攻击者利用,造成损失。
最后说说明文传输,文件遗留,http响应分割和不安全的http方法的启用这四个安全性漏洞。相比于前几个漏洞,这几个可以说是低级别漏洞,但是我们不能因为它们不如前几个漏洞重要就忽视它们,我们依然要对它们保持警惕。
先来说说明文传输和文件遗留,这两个漏洞因为提供了参考资料,所以我没有花太大功夫,通过资料,我把我的理解赘述一下。首先明文传输是由于对传输的用户口令数据进行保护不足,可能被攻击者非法窃听,因而非法获取系统的访问权限。攻击者可利用此缺陷,从网络传输的数据中窃取该系统的用户名、口令信息,使攻击者可以获取访问系统的权限,执行任意非法操作。通过‘窃听’这个词,我认为明文传输就是指用户与服务器在交互时由于保密措施不当,导致一些重要数据没有加密直接表现了出来,被攻击者窃取,造成危害,对此,采用加密方式传输是最好的防范手段。
接下来说说文件遗留,这个漏洞是由于开发者在生产环境中留下临时文件导致。公共用户可以通过简单的冲浪(即按照 Web 链接)来访问站点上的特定页面。不过,也有页面和脚本可能无法通过简单的冲浪来访问(即未链接的页面和脚本)。攻击者也许能够通过猜测名称(例如 test.php、test.asp、test.cgi、test.html 等)来访问这些页面。换句话说,文件遗留也是敏感信息泄露的一种,没有清理干净的文件如果被攻击者发现,获取里面有价值的信息,会给攻击者的下一步进攻提供便利。对此,我们不可将测试/暂时脚本遗留在服务器上,确保服务器上没有非正常操作所必备的其他脚本。最后说说后两种漏洞,因为这两个漏洞没有提供资料,我上网查询虽然最后找到了一些相关资料,但也颇费周折,下面我总结下我对后两种漏洞的见解,如果有不恰当的地方,还望指正。
http响应分割,这是一种试图通过恶意内容“毒害”代理服务器缓存,从而攻破通过代理服务器访问应用程序的其他用户的攻击技巧。例如,如果一个企业网络中的所有用户通过缓存代理服务器访问某个应用程序,那么,在代理服务器的缓存中注入恶意内容(显示给任何请求受影响页面的用户),攻击者就可以向它们实施攻击。我觉得它的危害就在于,通过代理服务器注入木马,威胁用户的网络安全。对于它的防治我觉得有如下几种方法:
不将用户控制的输入插入到应用程序返回的HTTP消息头中。如果不可避免地要在HTTP消息头中插入用户控制的数据,那么应用程序应采取以下这种双重深层防御方法防止漏洞产生。
输入确认。应用程序应根据情形,对插入的数据进行尽可能严格的确认。
输出确认。应对插入消息头的每一个数据进行过滤,检测可能的恶意字符。
通过对所有应用程序内容使用 HTTPS,应用程序即可防止攻击者利用任何残留的消息头注入漏洞“毒害”代理服务器缓存。
http方法有许多种,除标准的GET与POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。这就是不安全的http方法的启用,它主要对web服务器与web安全造成危害。资料上没有说如何防范,但我个人认为,对于这一类漏洞,我们应该对一些重要而特殊的http方法进行限制,不允许低级别用户使用这类方法,并且对使用这些方法的用户进行身份验证。
第一周的学习成果基本如上,在写这些漏洞的同时我也把他们再次巩固了一遍,加深了印象。第二周我主要是对安全性漏洞的操作工具进行了学习,主要学习了操作方法以及它的不足与完善,还有如何认定检测结果,首先,工具大致的操作方法如下:
首先是新建工程,选择Regular Scan即可。
这个直接点击下一步。
接下来只要输入你想检测的地址即可。如果想扫描其它站点,可以在其他服务器和域中进行输入。之后选择下一步。
这里点击记录,出现要检测的地址后点击下一步。
这里其实可以直接点击下一步,不过有两个地方可以进行设置,一个是将该模式作为会话中状态的证明,这是用来让服务器区分登陆与未登录的,不过建议不使用,因为如果对网页进行增删改操作的类型不一样,那么这个工具会识别为自动退出再重新登录,这样无法完成操作;另一个就是左下角的完全扫描设置,这里可以进行更高级的设置,不过我们这里直接跳过也无妨。
这一步直接点击下一步。
点击完成即可。
不过这个工具虽然方便使用单也存在着不足,不足的地方有两个,一个是网络爬虫有着友好性,换句话说有些生成链接他是检测不到的,这样就导致了链接覆盖性的不全面;另一个就是有些问题这个工具是检测不出来的,比如说A给B发送一个带有恶意脚本的链接,这个东西是写进数据库了的,在A看来没什么区别,可是对于B,恶意脚本就开始进行了,检测时候,AppScan使用攻击的方式检测,那么他收到的回复必然是呈现给自己,也就是A的,对于B的呈现结果这个工具并不能检测出来,还有就是如果错误页面设置成空白页,也同样无法检测问题。这就需要我们用手工的方式来检测。
下面就来说说手工检测,这也是我今天最后学习的内容,手工检测主要分为三个内容,分别是弱口令,用户口令的明文传输以及文件上传。前两个是需要开发者提供URL或者用户名与口令,有我们来进行评估,第三个则是需要我们登陆相应的文件上传页面,来看看文件上传是否需要验证上传者的信息,是否限制上传的格式是否指定了上传的位置。做到以上三点就不存在该风险。除此之外,有些不需要检测的地址我们应该记录下来,在扫描配置中的排除选项里进行排除,左边目录栏里如果有红色叉子的网页我们也应该记录下来,对其进行手工检测(各个漏洞都要进行手工检测)。
最后的分析结果,我们应该通过模拟请求与响应,找到出现问题的语句所在,与开发者进行讨论。
最后说下如何做好安全测试,我觉得这和前期准备是分不开的,首先开发者要告诉我们要检测的范围,即是前台或者后台,还是说两者都要检测,如果是都要检测,我们应该先检测前台再检测后台,这样可以避免造成干扰。其次开发者要取消验证码和登陆错误次数限制;最后开发者要确定检测的环境是实际环境还是专用环境,如果是实际环境那开发者要做好备份,避免造成不必要的损失,如果是专用环境那开发者要确定这个环境与原环境具有一致性,避免造成检测上的偏差。
最后附上我自己在学习是查找的一些资料:
http://wenku.baidu.com/view/9fc10d6c1eb91a37f1115c86.html http协议详解
http://hi.baidu.com/popotang/blog/item/1fff0a55cda6cacab645aef8.html
tomcat下禁止不安全的http方法
http://book.51cto.com/art/200907/138980.htm http响应分割 http:// 网络安全小结 http://book.51cto.com/art/200907/139049.htm 危险的http方法 http://lalalabs.blog.163.com/blog/static/***11234135/ 跨站点请求伪造
总结:
serv-u serv-u 15.x
描述:
--------------------------------------------------------------------------------
Serv-U是一种使用广泛的FTP服务器程序,
Serv-U 15.1.0.458之前版本没有验证用户名称时会返回不同的响应,这可导致枚举有效的用户名称,某些用户输入没有正确过滤即返回给用户,这可导致在用户浏览器会话中执行任意HTML和脚本代码,
<*来源:vendor
链接:secunia.com/advisories/58991/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
serv-u
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
www.serv-u.com/releasenotes/
Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断.
比如 wooyun.php.owf.rar “.owf”和”.rar”这两种后缀是apache不可识别解析,apache就会把wooyun.php.owf.rar解析成php.
如何判断是不是合法的后缀就是这个漏洞的利用关键,测试时可以尝试上传一个wooyun.php.rara.jpg.png…(把你知道的常见后缀都写上…)去测试是否是合法后缀
首先,登录Whois,
查找网络漏洞的过程
。com网站查找你企业的域名,检索结果将会显示出你的网络系统所使用的DNS服务器。然后再使用一些软件工具,如:nslookup,来进一步挖掘DNS服务器的详细信息。
接下来,需要将目标转向于企业的公众Web站点和你能找到的匿名FTP服务器。注意,你现在需要关注的信息主要是:域名、这些域名的IP地址、入侵检测系统的所有信息、用户名、电话号码、电子邮件地址、物理位置、已发布的安全策略、业务合作伙伴的资料、以及新并购企业的信息。
此外,在你的上述搜索操作中,一定要特别注意这些网站上已显示的和没有显示的信息。最好,把这些网页存入你的电脑中,然后用记事本程序打开,查看网页的源代码。一般而言,查看网页的源代码可以大量的信息,这也就是某些站点有意对浏览者屏蔽源代码的原因。在源代码文件中,你也许能够了解到网站开发者建站的方式:他们所使用的软件类型及软件版本、网站以及网页的架构,有时候甚至能够发现一些网站管理员的个人资料。
业务合作伙伴的站点或一些新的并购企业的站点往往是 入侵的关键点。这些站点是间接入侵目标站点的最佳突破口,容易被网站管理员所忽视,给 攻击者制造了大量的机会,
如果你在这方面没有足够的警惕性,疏忽大意,很草率地新某个新的业务合作者的网站和你自己的站点联接起来,往往会造成很严重的后果,给你的站点带来极大的安全威胁。在这样的情况下,安全问题比经营问题更加重要,一定要确保安全操作。
从外部审视网络
有了上述信息收集,你可以开始审视你的网络了。你可以运用路径追踪命令来查看你的网络拓扑结构图和访问控制的相关设置。你会获得大量交换机的特征信息,用来旁路访问控制设备。
注意,命令的反馈结果会因为所使用操作系统的不同而有所差别。UNIX操作系统使用UDP,也可以选择使用ICMP;而Windows操作系统默认用ICMP来响应请求(Ping)。
你也可以用开源工具管理大量pingsweep、执行TCP/UDP协议扫描、操作系统探测。这样做的目的就是要了解,在那些外部访问者的眼中,你的网络系统的运行状况和一些基本的面貌、特征。因此,你需要检验你的网络系统,哪些端口和服务对外部访问者是开放的或可用的,外部访问者是否可以了解到你所使用的操作系统和一些程序,极其版本信息。简言之,就是要了解到你的网络系统究竟对那些外部访问者开放了哪些端口或服务,泄露了哪些站点的基本信息。
在你开始上述工作之前,你必须要先获得足够的授权,才能进入整个网络系统并对其进行考察、分析。千万不要将你了解到信息告知那些不怀好意的人。记住:安全防护是一个实施过程,而不仅仅是一种技术。
★ MSN也有网络硬盘
★ qq网络签名
★ QQ网络骗术系列十
★ 节省硬盘耗电
★ win8系统硬盘怎么分区
★ “报废”硬盘复活记
★ 硬盘工作模式如何查看
★ 反恐精英溢出漏洞
★ 漏洞整改报告
实训目的:
1、掌握设置安全审计的方法
2、理解扫描器的工作机制和作用;掌握利用扫描器进行主动探测、收集目标信息的方法;掌握使用漏洞扫描器检测远程或本地主机安全性弱点;掌握常用的网络命令
3、了解日志清除工具的使用;利用日志清除工具远程删除windows的日志文件
实验环境
1、windows 2003系统,局域网环境
2、扫描器小榕流光软件
3、日志清除工具 实训内容:
1、windows 审计日志:查看windows审计日志,配置审核策略,设置日志的大小和行为。
2、windows攻击实例-----net命令和小榕流光。
使用“小榕流光”对目标机器上的windows账户进行扫描,然后用net命令进行攻击
3、审计清除----clearel.exe的使用 操作步骤:
1、查看windows 审计日志
2、配置审核策略
3、设置日志的大小和行为
4、设置流光扫描参数
5、启动扫描查看结果
6、根据扫描结果对主机进行探测得到目标主机账户相关信息
7、根据已经探测出的用户名和口令用net命令进行攻击
8、查看日志信息
9、清除准备
10、删除系统日志、安全日志、应用程序日志(用MyEventVieweren_v1.40)思考题与体会:
1、网络攻击一般经过哪些步骤
2、网络监听技术的原理是什么
3、拒绝服务攻击的原理是什么
据介绍,只要存在word文档格式漏洞的电脑都有可能受到该恶意doc文档的攻击,受攻击后的电脑,将会随机生成扩展名不固定的相关文件,用户只要将鼠标停留在该文件上,资源管理器立刻停止运行,并造成explorer.exe崩溃,
戴光剑表示,与以往的文档漏洞样本不同的是,目前这个doc漏洞攻击文件很可能只是一种广告性质,真正的病毒可能是私下交易并进行定点攻击,但一旦该漏洞被病毒恶意利用,及有可能引发大面积感染,大量用户将面临电脑被“挟持”的危险。
丹麦的Secunia公司本周三发出警报称,研究员TriHuynh在雅虎信使的“yauto.dll”文件中发现了一个缓冲区溢出漏洞,“yauto.dll”是雅虎信使5.6.0.1347版之前的一个ActiveX组件。
攻击者通过发送一串长数据流(以网页URL的形式存在)到雅虎信使的“yauto.dll”中,从而触发计算机缓冲区溢出。由此造成的后果可能是程序崩溃,攻击者也可以在受害系统上放置恶意代码。
Secunia指出,已有研究人员对雅虎信使中这一安全隐患进行了测试,结果成功地在系统中放置并运行了一个木马程序,
Secunia表示它早在一个月前就已通过电子邮件告知雅虎漏洞所在,但没有得到雅虎的回应。
雅虎也在当天发表了一份声明。在声明中雅虎指出它其实直到上述安全隐患在星期二晚间被发布在网上公告牌上时才知道该问题的存在。目前,雅虎正在验证报告的真实性并致力于开发补丁。
1.1计算机病毒所造成的威胁
现阶段对于计算机网络系统来说最重要的敌人就是网络病毒,计算机的程序人员通过程序语言在系统中加入相关的程序代码,这些代码可以破坏计算机的网络系统功能以及数据,并且可以影响到计算机内部的软硬件运行,同时其具有自我复制功能。这些病毒的隐蔽性较强,且具有寄生性、传染性、破坏性以及触发性等特点,严重威胁到网络的安全。网络病毒一旦进入到计算机的系统内,一般情况下就会造成系统的操作效率低下,严重的情况会造成计算机内的信息丢失、损坏或者计算机死机,甚至还会造成计算机主机部件损坏。
1.2外部威胁
虽然现阶段网络有了较大的发展,但总体来说计算机网络信息系统只不过是一个简单的智能型机器,很容易受到自然灾害以及所在环境的影响。例如在日常的工作中比较常见的威胁就是因为外部断电造成计算机部件被损坏,相关的内部数据丢失等情况。另外由于噪音或者电磁辐射方面的原因导致网络的信噪比降低,误码率增多,从而严重威胁到信息的安全性以及完整性。
1.3软件方面存在漏洞造成的威胁
由于计算机的操作系统或者软件开发不可能完美无缺,多少都会存在一些漏洞,这就造成了计算机会存在着一定的漏洞。当计算机接入到网络的时候可能会受到相关方面的攻击。
1.4网络结构方面的不安全带来的威胁
互联网整体是由多个局域网络连接而成的,当通过计算机在不同局域网之间进行信息交互时,两者之间传递的数据是通过不同的机器进行重复交叉转发的,若有恶意的网络攻击人员对其进行攻击,就可以通过其中一台与用户相连的、正在进行数据传输的计算机去获取任何一个使用者传送的数据包。
1.5骇客对于网络安全造成的威胁
对于计算机网络安全造成威胁的另一个主要来源就是骇客。现今的计算机网络信息系统中,网络安全越来越受到骇客的威胁,计算机网络在一定程度上成为了一个平台,在此平台上骇客可以利用自身所具有的技术特点以及经济条件来对相关的网络内容发起攻击。他们充分利用网络系统中存在的安全漏洞来侵入其他的计算机网络系统,从而获得相关的信息,获得一定的利益,结果就是造成了侵入的计算机内数据的丢失或损坏,使得网络系统瘫痪,对网络安全造成了重大的伤害,也严重影响了人们的正常生活。从一定程度来讲,骇客对于网络安全的危害要比病毒还严重。
2网络安全的应急响应技术
网络安全的应急响应技术的综合性较强,需要多种学科进行融合,对技术要求较高,主要用于对网络安全突发事件进行监控、反馈、处理、修复以及跟踪等,网络安全应急响应技术几乎涵盖了计算机科学的所有技术。
2.1操作系统的优化技术
操作系统是计算机网络应用的基础性内容,只有计算机操作系统得到了足够安全保障的前提下,才能确保计算机网络系统的安全运行。对于操作系统进行优化完善主要从以下方面实现:①将所具有的应用以及服务建立在安全等级相对比较高的计算机网络操作系统之上;②不断优化现今的操作系统。通过系统的优化完善,将操作系统中存在的漏洞进行修正,同时要增强对于系统中比较重要文件的监控,可以通过备份的方式确保其不被破坏。
2.2计算机网络追踪技术
计算机网络追踪技术主要是指通过收集相关计算机的信息来分析出问题的根源,最终明确网络攻击者采用的计算机网络地址等内容,并且找出相应的解决办法。此技术最主要的内容就是怎样确认计算机网络中全部的主机都处于安全状态,在此前提下才可以对采集到的相关数据进行处理、分析,从而将网络攻击者在网络某些区域中的相关活动关联起来。计算机网络追踪技术总体上可以分为:主动的追踪技术、被动的追踪技术。主动的追踪技术一般情况下都是涉及到信息的隐形技术,例如通过在退回的HTTP文件中增加难于察觉的、有特殊标记的相关内容,就可以在计算机网络中利用特殊标记来追踪网络攻击的起源路径;被动的追踪技术主要通过相关的产品设备来对造成的事件进行追踪。例如现在有些产品主要是通过对网络纹印内容分析来进行追踪的。理论方面的基础主要就是随着计算机网络连接处于不同的状态,网络特征方面的数据也是在不断变化的。所以可以通过对网络被攻击时不同时段的网络标记的记录来分析整体网络在相同时间点上不同网络节点的纹印,从而获得网络攻击的未来轨迹。
2.3设计网络陷阱以及诱骗技术
网络陷阱以及诱骗技术是随着网络安全技术升级而开发出的较新的动态防护技术。主要方式就是通过精心设计建立起一个具有较明显安全劣势特殊网络系统来诱骗网络攻击者,将非法的攻击引导进入一个可以控制的区域,从而大量的消耗其资源,充分了解攻击者所采用的方式。同时对其计算机网络来源进行追踪,并对其犯罪证据进行记录。通过此种方法不但可以充分研究并且较好的对骇客攻击进行防御(增加了骇客攻击的复杂程度),同时也可以获得足够的时间来增强自身计算机系统的防御能力,并且还可以获得足够的犯罪证据。
2.4获得信息证据的技术
所谓的计算机取证技术就是指对计算机系统内部,或者是某些网络设备中储存的相关电子证据进行采集、维护、检验、分析,并在必要时在法庭上出示的过程。计算机取证技术主要包括两部分:获取物理证据的技术、发现信息的技术。所谓获取物理证据的技术主要是指在犯罪现场找寻与原始记录相关信息的技术,此内容是采集证据的基础性工作。在获取了物理证据后最主要的工作就是确保获取的相关数据不被破坏,重要的技术就是无损备份以及对删除文件的修复等。所谓发现信息技术指的就是对获得的原始证据进行分析,从中找到证明犯罪的有效证据。
2.4.1防止病毒影响技术
在对病毒进行防范的技术中较为常用的就是采用防病毒软件,大体上可以分成网络防病毒软件以及单机防病毒软件。网络防病毒软件重点在于对网络病毒的防控,当病毒进入到网络或者是通过网络进行传播时,网络防病毒软件就会检测并提示用户删除。单机防病毒软件主要是在单独电脑上安装,需要检测病毒时要连接到网络上进行扫描检测清除病毒。
2.4.2防火墙技术
其本质上就是通过计算机的硬件和软件之间的配合,在计算机的互联网以及局域网间建立起的网络安全管控阀门,从而避免内部局域网被非法入侵。防火墙就是指在互联网以及内部局域网之间建立起的分隔屏障。防火墙技术现在计算机网络中普遍采用,由于其具有简单实用、透明度高等特点,同时其可以在保持原有计算机网络应用基本系统的前提下来保证安全,所以防火墙技术是目前保证网络安全最基本、最经济也最有效的措施。防火墙可以被设置在独立运行的路由器中,用来过滤掉危险的或者是不想获得的相关信息数据;防火墙也可以被设置在计算机主机内,可以最大程度上保护计算机网络安全。
2.4.3对漏洞的扫描技术
所谓的漏洞就是指计算机硬件或者软件由于设计上的问题存在着一定的安全缺陷,网络的攻击者可以在没有经过授权的情况系就可以进行网络访问或者是控制计算机网络系统。漏洞不是自己凭空出现的,需要在使用过程中进行发现。其中扫描技术就是用于检测连接到互联网上的计算机是否处于正常的运行状态,可以提供什么程度的网络服务以及网络信息等。常用的扫描技术包括端口扫描技术和对操作系统的识别技术。
3结束语
近日网曝黑龙江省肇东市一校车司机将一名13岁女生强奸后,又叫来朋友将该学生轮奸。对此,肇东市今日向新华社记者通报:确有此案,目前该案件犯罪嫌疑人一人已被刑拘、一人在逃。
值得玩味的是,该受害女生称,“她在上五年级的时候,放学后校车司机刘某就不让她回家,在校车上多次与其发生过性关系,事后就吓唬她,不让跟家里说,如果说了就杀她全家。该受害女生已记不清到底与刘某发生过多少次关系了,据她回忆,三周左右就发生过一次。”
如此恶劣的刑事案件,让观者痛心疾首的同时,也让人们更加反思该案发生的缘由。难道是我国现行的法律制度难以威慑制造“强奸幼女案”的罪犯嘛?还是我们的校方忽略了某个安全环节的考量呢?13岁女生在多次强奸后的“逆来顺受”是不是更加凸显监护人的缺失呢?在笔者看来,“冰冻三尺非一日之寒”,正是由于诸多安全环节的缺失才造成了如此恶劣案件的发生。而在诸多环节中,强奸幼女罪量刑过轻是造成该案的主要原因。按照我国目前法律规定,奸淫幼女,是指行为人与不满十四周岁的幼女发生性关系的行为。犯罪情节一般的,在三年以上十年以下有期徒刑的幅度内从重处罚。
如此低的量刑在笔者看来难以对犯罪分子产生震慑作用。更加值得注意的是,犯罪分子在侵害幼女的时候,受侵害的幼女正处于人生观、价值观形成的关键时期,一起侵害案件的发生,往往会影响受害者一生的“幸福”。所以,应给予犯罪分子更重的量刑以杜绝类似案件的发生。
其次,学校的监管责任不可缺。众所周知,孩子一旦进入学校,校方便具有的保护和监管的责任和义务。这不仅是给学生创造一个“良好”的学习环境,也是对学生家长负责任的表现。然而,在这次案件中,显然校方对校车司机的任用是“不当”的。
1.1非执行栈技术
基于栈进行软件攻击的事件最近几年经常发生,原因就是很多操作系统的栈是可以写与执行的,而且内部变量尤其是数组变量都保存在栈中,攻击者向栈中注入恶意代码,然后想方设法来执行这段代码。
栈攻击技术的文档也比较全面,这从某种程度上加速了基于栈的攻击。
一个最直接的防范栈攻击的方法就是使得栈不能执行代码。
这样即使攻击者在栈中写入了恶意代码,这个恶意代码也不会被执行,在一定程度上防住了一些攻击者。
只是这个方法需要在操作系统层进行修改,同时,不可执行栈的技术涉及到的一个大问题就是性能问题。
此外,在既有栈溢出漏洞又有堆溢出漏洞的程序中,易出问题。
可以利用栈溢出使程序跳转至攻击代码,该代码是被放置在堆上。
没有实际执行栈中的代码,而是执行了堆中的代码。
该技术所付出的代价就是对操作系统内核引入一个微小的改变:把栈页标记为不可执行。
1.2非执行堆与数据技术
由于堆是程序运行时动态分配内存的区域,而数据段则是程序编译时就初始化好了的。
很长时期以来,由于担心非执行的堆与数据段会破坏软件的正常运行,所以该方法进展缓慢,最近几年才有些进展和文章。
如果堆和数据段都不能执行代码,攻击者注入其中的恶意代码将不能被执行。
这项技术和前面的非执行栈技术结合能起到更全面的作用,使得恶意代码彻底失去执行机会。
使用该技术所付出的代价要比非执行栈技术大一些,因为它对内核的修改要多一些。
现在已经有了大量的实例可以使用,这个技术还是可以接受的。
从全面性上来看,该技术对于几乎所有的利用把恶意代码注入进程内存中的攻击都可以检测并阻止。
但是,对于恶意修改函数指针和函数参数的攻击没有办法检测和防范。
该技术改变了传统程序在堆或数据段中动态生成代码的方式,会造成很多应用程序的不兼容性。
1.3内存映射技术
内存映射技术可以检测并阻止基于内存中地址跳转的攻击。
但它对于注入新代码并执行新代码的攻击不能检测和预防。
除此之外,因为低端内存是有大小限制的,想把所有的代码页都映射到低端内存在有些应用中是不可行的。
内存映射技术仅仅对那些依靠固定地址或使用高端地址的应用程序有影响。
而这样的应用程序并不多。
内存映射技术对性能的消耗也可以忽略,它仅仅是在程序装载的过程中工作,运行起来之后对程序没有任何影响。
1.4安全共享库技术
从理论上讲,安全共享库技术可以检测并防止所有的基于标准库函数的攻击。
但是它不能保护本地变量的安全,而且它也不能防止数据段和代码段数据的溢出攻击。
安全共享库技术对于非标准的库函数无能为力。
安全共享库技术不会造成任何兼容性问题,在标准库下运行正常的程序在安全共享库技术下面也同样运行良好。
安全共享库技术对于那些和安全没有关系的标准库中函数不做任何处理。
性能瓶颈主要在这些有安全弱点的函数上。
1.5沙箱技术
沙箱技术检测的全面性主要看定义的策略的全面性。
一个严格定义的策略可以更好的保护程序不受攻击。
但该技术对于通过改写关键的本地变量(例如用户的身份ID等)而修改程序逻辑流程的攻击束手无策。
沙箱技术依赖于安全策略。
它不会带来兼容性方面的问题。
但是一个过于严格的策略可能会限制应用程序的合法行为,最终导致程序不能使用。
而且对系统调用函数的审查可能会带来竞争条件问题的出现。
1.6程序解释技术
程序解释技术不需要对操作系统内核和应用程序代码作任何改变,应用程序只要重新链接产生一个新的起动代码就可以了,然后有这个起动代码来调用动态优化的程序解释框架。
有了严谨的安全策略,几乎所有已知的改变程序控制流程或修改危险函数的参数的攻击都可以被检测到并防范住。
2.计算机网络安全漏洞检测防护方案
2.1发送含特征码的检测数据包与接收数据包
首先需要在漏洞特征库中查找漏洞的特征码,构造数据包进行发送。
在发送检测数据包之前,先判断目标主机是否在线,然后检测操作系统版本等基本信息,并扫描它的端口开放以及所提供的服务情况,以此避免不必要的空扫描和决定检测数据包发往的目的端口。
在漏洞检测时,若目标主机不在线或所提供服务的相应端口没有开放,就无须进一步发送数据进行检测,可以提高检测效率。
在Windows系统中,NDIS(Network Driver Interface Specification)是操作系统网络功能驱动的关键部分,位于网络驱动协议和网卡之间,它既为上层的协议驱动提供服务,又屏蔽了各种网卡的差别。
它提供了一个完备的NDIS库,可以利用库函数直接对网卡进行各种读写操作。
但所提供的函数都是工作在核心模式下,用户不便直接操作。
本方案采用由澳大利亚的Canberra大学信息科学与工程系开发研制的网络开发包Packet32来设置网卡的工作模式,调用库中函数直接在网卡上读写数据,为用户提供了一个面向底层的网络编程接口。
2.2建立漏洞特征库与验证库
漏洞特征库是计算机网络漏洞安全检测防护方案中最为重要的部分,包含每个漏洞的特征码。
在实际检测中,最终操作是对网络数据包的操作,所以特征码应该能够保证检测数据包的有效性和接收回应数据包后的判断的准确性。
由于漏洞的种类千差万别,提取漏洞的特征码是关键工作,实现漏洞扫描是一个分析漏洞、建立知识库、维护知识库的过程。
2.3漏洞扫描控制与调度
漏洞扫描控制是系统管理控制台与扫描调度的接口,接受系统管理控制台的各种命令,可对要扫描的网络、主机和服务端口、敏感信息等等加以配置,按一定的扫描控制策略调用扫描调度;可以控制扫描调度模块的工作,使整个检测系统暂停、停止、继续、结束等。
漏洞扫描调度根据扫描控制模块发送的扫描控制要求,采用消息机制协调各工作模块。
采用多线程调度策略,对本地或远程主机进行扫描;调用漏洞特征库接口模块,在漏洞特征库表文件中查询漏洞对应的检测表文件名称,调用检测验证模块进行检测验证等。
3.漏洞防护建议
在系统作完安全漏洞检测、扫描之后,形成针对整个系统多种形式的安全报表,如系统内工作站或服务器在某一时间段内的安全状况、提供服务的变化情况以及软件版本更新的情况等,并在此基础上提交用户检测报告,主要包括漏洞风险分析及安全建议。
漏洞的风险分析包括漏洞的流行程度、利用漏洞攻击的容易程度、攻击造成系统的损害程度和采用此漏洞进行攻击被抓获的冒险程度。
损害度、容易度、流行度、冒险度都由数字1到9来表示不同的级别。
其中冒险程度越大,攻击者被抓住可能性就越大,风险级别就相应的减小。
因此,冒险度的具体数值与实际的冒险程度恰好相反。
安全建议是根据漏洞风险分析的结果提醒用户需要在哪些方面如何加强系统的安全性。
安全建议具体包括需要填补的所有系统漏洞,如何填补这些漏洞(修改系统配置、下载相应补丁、删除不必要的服务等),在填补所有漏洞不可实现的情况下,应当优先填补那些对系统安全威胁较大或填补工作较为容易的漏洞。
【参考文献】
[1]单谷云,黄成军,江秀臣.电缆排管机器人的图像监控传输系统设计[J].微计算机信息.,(29).
【网络安全漏洞总结报告】推荐阅读:
局网络安全报告05-25
校园网络安全改进报告05-30
网络安全状态检查报告06-06
网络安全实验报告综合06-13
小学网络安全自查报告10-12
网络安全管理结课报告12-01
网络安全感受总结12-07
网络安全配置基础总结05-25
2018年网络安全自查总结06-17
关键信息基础设施网络安全检查自查报告07-12