1、 目录1. IPS IDS IRS22攻击33 80端口34 40445 Application Firewall46 SHELL58 ISP/ICP89 IIS910SQL注入911XSS攻击1012DDOS攻击11.1.IPS IDS IRS入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施,是对防病毒软体(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传
2、输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 在ISO/OSI网路层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后
3、应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。 入侵预防系统类型 投入使用的入侵预防系统按其用途进一步可以划分为(HIPS: Hostbased Intrusion Prevension System) 单机入侵预防系统和(NIPS: Network Intrusion Prevension System)网路入侵预防系统网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然
4、后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。 根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入
5、侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。 2 攻击目前已经出现了各种类型的网络攻击,它们通常被分为三类:探测式攻击,访问攻击和拒绝服务(DoS)攻击。1、探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网络。通常,软件工具(例如探测器和扫描器)被用于了解网络资源情况,寻找目标网络、主机和应用中的潜在漏洞。例如,有一种专门用于破解密码的软件。这种软件是为网络管理员而设计
6、的,管理员可以利用它们来帮助那些忘记密码的员工,或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但是,这种软件如果被错误的人使用,就将成为一种非常危险的武器。2、访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件帐号、数据库和其他保密信息。3、DoS攻击可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是:向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据,从而让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击(DDoS),在这种攻击中攻击者将会危及到多个设备或者主机的安全。3 80端口有时你要打开某个
7、网页时,可能会看到在处理这个网页的Web服务器的名字上有“80”字样,但这并不是必须的。Web服务器(如Web浏览器)需要等待来自客户端的请求。有些客户端的统一资源定位请求的信息中包含“80端口”,当这些客户端发起请求时,大多数的Web服务器就会建立起来响应这些请求。当你看到服务器地址中的“80”出现在屏幕底端时,就意味着服务器使用的是通常默认的端口号。4 404404是一个很常见的状态码,它用于告知用户“找不到该网页”。404以及其他状态码是常见的一组标准化可配置HTTP协议错误,许多状态码出自于早期文件传输协议FTP。如果遇到404错误该如何解决如果网站已经不存在了,则这个问题将无法解决。
8、如果你在输入文件名时打错了一个字符就能导致404错误。你可以检查一下是否应该把“.htm”写成“.html”。如果你正在从一个网站进行链接,你可以查看源代码来确保编码正确。不管是对是错,你都可以向网络管理员发送信息,这样就可以使此链接对于下一个用户来说是固定的。如果自己开发网站该怎么处理404错误使用诸如Web Trands或Weblog这样的网站分析工具识别导致404错误的链接,然后固定这些链接。如果你要改变网站某一页的统一资源定位器(URL),你应该保留原来的URL作为一个间接文件,用REFRESH将其在几秒钟的时间内转换到新的URL。你可以为404状态码页面创建新的页面内容来代替通常模式
9、。这样可以使你的网站个性化,而且还可以以此鼓励用户向网站管理员发送信息以使错误链接固定。5 Application Firewallapplication firewall,应用防火墙,是一个被增强了的防火墙,这个应用防火墙限制一台计算机的操作系统的应用程序的访问权限。常规的防火墙仅仅控制CPU的输入/输出数据流,它测试每个包而且决定是否将这些数据传递到一个特定的目的地。而这个应用防火墙提供额外的保护程序,这种保护程序是由控制文件的执行或者是特殊应用程序的数据处理构成的。对于最好性能方面,传统的防火墙必须由用户来设置, 用户必须知道哪个端口的不必要数据的有可能进入或者离开了。而应用防火墙会阻止
10、这个程序的执行或动态链接库(DDL,dynamic link library)文件的执行,这些文件通常情况下是已经被破坏了的。因此,即使一个入侵者也许会有通过传统防火墙的权限,而且可以进入计算机,服务器,或者是一个网络。应用防火墙不允许而且阻止恶意代码执行,所以家可以预防破坏性的行为6 SHELL shell是一种操作系统用户交互界面的Unix工具,它是理解和执行用户输入的命令的程序层。在一些系统中,shell称为命令解析器。shell通常指命令语法界面(想象DOS操作系统及其“C:”提示符以及“dir”、“edit”等用户命令)。 作为操作系统的外层,shell可与操作系统最里层或者服务核心
11、即内核相对比7 ISO/OSI开放系统互联(OSI)模型是由国际标准化组织(ISO)于1984年提出的一种标准参考模型,是一种关于由不同供应商提供的不同设备和应用软件之间的网络通信的概念性框架结构。现在它被公认为是计算机通信和 internet 网络通信的一种基本结构模型OSI 七层参考模型中的ISO协议(ISO Protocols) 当今使用的大多数网络通信协议都是基于 OSI 模型结构。OSI 模型将通信处理过程定义为七层,并将网络计算机间的移动信息任务划分为七个更小的、更易管理的任务组。各个任务或任务组被分配到 ISO 参考模型各层。各层相对独立(self-contained),从而使得
12、分配到各层的任务能够独立实现。这样当其中一层提供的某解决方案更新时,它不会影响其它层。每一层使用下层提供的服务,并向上层提供服务。 主要协议 应用层(Application) - 应用层(applocation layer)包括大量人们普遍需要的协议。虽然,对于需要通信的不同应用来说,应用层的协议都是必须的。例如:http、ftp、TCP/IP。 由于每个应用有不同的要求,应用层的协议集在OSI模型中并没有定义。但是,有些确定的应用层协议,包括虚拟终端、文件传输、电子邮件等都可以作为标准化的候选 ACSE:关联控制服务元素 (ACSE:Association Control Service E
13、lement) CMIP:通用管理信息协议 (CMIP:Common Management Information Protocol) CMIS:通用管理信息服务 (CMIS:Common Management Information Service) CMOT:TCP/IP 上的 CMIP (CMOT:CMIP over TCP/IP) FTAM:文件传输访问和管理 (FTAM:File Transfer Access and Management) ROSE:远程操作服务元素 (ROSE:Remote Operation Service Element) RTSE:可靠传输服务元素协议 (
14、RTSE:Reliable Transfer Service Element Protocol) VTP:ISO虚拟终端协议 (VTP:ISO Virtual Terminal Protocol ISO) X.400:信息处理服务协议 (X.400:Message Handling Service Protocols) X.500:目录访问服务协议 (X.500:Directory Access Service Protocol DAP) 表示层(Presentation Layer) - 表示层(presentation layer)用于完成某些特定功能,对这些功能人们常常希望找到普遍的解决
15、办法,而不必由每个用户自己来实现。表示层以下各层只关心从源端机到目标机到目标机可靠的传送比特流,而表示层关心的是所传送的信息的语法和语义。表示层服务的一个典型例子就是大家一致选定的标准方法对数据进行编码。大多数用户程序之间并非交换随机比特,而是交换诸如人名、日期、货币数量和发票之类的信息。这些对象使用字符串、整型数、浮点数的形式,以及由几种简单类型组成的数据结构来表示的。 在网络上计算机可能采用不同的数据表示,所以需要在数据传输时进行数据格式转换。为了让采用不同数据表示法的计算机之间能够相互通信而且交换数据,就要在通信过程中使用抽象的数据结构来表示所传送的数据。而在机器内部仍然采用各自的标准编
16、码。管理这些抽象数据结构,并在发送方将机器的内部编码转换为适合网上传输的传送语法以及在接收方做相反的转换等工作都是由表示层来完成的。 另外,表示层还涉及数据压缩和解压、数据加密和解密等工作(winrar的那一套)。 ASN.1: 抽象语法标记 (ASN.1:Abstract Syntax Notation One) ISO-PP:ISO表示层协议 (ISO-PP:OSI Presentation Layer Protocol) 会话层(Session Layer) - 会话层(SESSION LAYER)允许不同机器上的用户之间建立会话关系。会话层循序进行类似的传输层的普通数据的传送,在某某些
17、场合还提供了一些有用的增强型服务。允许用户利用一次会话在远端的分时系统上登陆,或者在两台机器间传递文件。 会话层提供的服务之一是管理对话控制。会话层允许信息同时双向传输,或任一时刻只能单向传输。如果属于后者,类似于物理信道上的半双工模式,会话层将记录此时该轮到哪一方。一种与对话控制有关的服务是令牌管理(token management)。有些协议会保证双方不能同时进行同样的操作,这一点很重要。为了管理这些活动,会话层提供了令牌,令牌可以在会话双方之间移动,只有持有令牌的一方可以执行某种关键性操作。另一种会话层服务是同步。如果在平均每小时出现一次大故障的网络上,两台机器简要进行一次两小时的文件传
18、输,试想会出现什么样的情况呢?每一次传输中途失败后,都不得不重新传送这个文件。当网络再次出现大故障时,可能又会半途而废。为解决这个问题,会话层提供了一种方法,即在数据中插入同步点。每次网络出现故障后,仅仅重传最后一个同步点以后的数据(这个其实就是断点下载的原理)。 ISO-SP:ISO会话层协议 (ISO-SP:OSI Session Layer Protocol) 传输层 (Transport Layer) - 传输层(transport layer)的主要功能是实现网络中不同主机上的用户进程之间可靠的数据通信。 传输层要决定会话层用户(最终对网络用户)提供什么样的服务。最好的传输连接是一条
19、无差错的、按顺序传送数据的管道,即传输层连接时真正的点到点。 由于绝大多数的主机都支持多用户操作,因而机器上有多道程序就意味着将有多条连接进出于这些主机,因此需要以某种方式区别报文属于哪条连接。识别这些连接的信息可以放入传输层的报文头中除了将几个报文流多路复用到一条通道上,传输层还必须管理跨网连接的建立和取消。这就需要某种命名机制,使机器内的进程能够讲明它希望交谈的对象。另外,还需要有一种机制来调节信息流,使高速主机不会过快的向低速主机传送数据。尽管主机之间的流量控制与IMP之间的流量控制不尽相同。 ISO-TP:OSI传输层协议 TP0、TP1、TP2、TP3、TP4 (ISO-TP:OSI
20、 Transport Protocols TP0、TP1、TP2、TP3、TP4) 网络层 (Network Layer) - 网络层(network layer)的主要功能是完成网络中主机间的报文传输,其关键问题之一是使用数据链路层的服务将每个报文从源端传输到目的端。在广域网中,这包括产生从源端到目的端的路由,并要求这条路径经过尽可能少的IMP。如果在子网中同时出现过多的报文,子网就可能形成拥塞,因为必须加以避免这种情况的出现。 当报文不得不跨越两个或多个网络时,又会带来很多新问题。比 在单个局域网中,网络层是冗余的,因为报文是直接从一台计算机传送到另一台计算机的,因此网络层所要做的工作很少
21、。 CONP:面向连接网络协议 (CONP:Connection-Oriented Network Protocol) ES-IS:终端系统和中间系统路由交换协议 (ES-IS:End System to Intermediate System Routing Exchange protocol) IDRP:域间路由选择协议 (IDRP:Inter-Domain Routing Protocol) IS-IS:中间系统到中间系统协议 (IS-IS:Intermediate System to Intermediate System) ISO-IP CLNP:无连接网络协议 (ISO-IP CL
22、NP:Connectionless Network Protocol) 数据链路层 (Data Link) - 数据链路层(data link layer)的主要功能是如何在不可靠的物理线路上进行数据的可靠传输。数据链路层完成的是网络中相邻结点之间可靠的数据通信。为了保证数据的可靠传输,发送出的数据帧,并按顺序传送个帧。由于物理线路不可靠,因此发送方发出的数据帧有可能在线路上出错或丢失,从而导致接受方无法正确接收数据。为了保证能让接收方对接收到的数据进行正确的判断,发送方位每个数据块计算出CRC(循环冗余检验)并加入到针中,这样接收方就可以通过重新计算CRC来判断接收到的数据是否正确。一旦接收
23、方发现接收到的数据有错误,则发送方必须重新传送这一数据。然而,相同的数据多次传送也可能是接收方收到重复的数据。 数据链路层要解决的另一个问题是防止高速发送方的数据把低速接收方“淹没”。因此需要某种信息流量控制机制使发送方得知接收方当前还有多少缓存空间。为了控制的方便,流量控制常常和差错处理一同实现。 在广域网中,数据链路层负责主机IMP、IMP-IMP之间数据的可靠传送。在局域网中,数据链路层负责制及之间数据的可靠传输。 HDLC:高级数据链路控制协议 (HDLC:High Level Data Link Control protocol) LAPB:平衡链路访问过程 (LAPB:Link A
24、ccess Procedure Balanced for X.25平衡链路访问过程) 物理层(physical layer)的主要功能是完成相邻结点之间原始比特流传输。物理层协议关心的典型问题是使用什么样的物理信号来表示数据0和1。1位持续的时间多长。数据传输是否可同时在两个方向上进行。最初的链接如何建立以及完成通信后连接如何终止。物理接口(插头和插座)有多少针以及各针的作用。物理层的设计主要涉及物理层接口的机械、电气、功能和过电特性,以及物理层接口连接的传输介质等问题。物理层的实际还涉及到通信工程领域内的一些问题。 8 ISP/ICP互联网业务提供商(ISP:Internet Service
25、 Provider)是互联网服务提供商,向广大用户综合提供互联网接入业务、信息业务和增值业务的电信运营商。ISP是经国家主管部门批准的正式运营企业,享受国家法律保护。互联网内容提供商(ICP:Internet Content Provider)是互联网内容提供商,即向广大用户综合提供互联网信息业务和增值业务的电信运营商。ICP同样是经国家主管部门批准的正式运营企业,享受国家法律保护。国内知名ICP有新浪、搜狐、163、21CN等等。 在互联网应用服务产业链“设备供应商基础网络运营商内容收集者和生产者业务提供者用户”中,ISP/ICP处于内容收集者、生产者以及业务提供者的位置。由于信息服务是中国
26、信息产业中最活跃的部分,ISP/ICP也是中国信息产业中最富创新精神、最活跃的部分。到2006年底中国注册增值业务提供商约有2.1万多家,其中大部分为基于互联网开展业务的ISP/ICP。随着以内容为王的互联网发展特征逐步明晰,大部分ICP也同时扮演着ISP的角色。9 IISnternet Information Services(IIS,互联网信息服务),是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是Windows NT版本的可选包,随后内置在Windows 2000、Windows XP Professional和Windows Server 2003一
27、起发行,但在普遍使用的Windows XP Home版本上并没有IIS。10 SQL注入SQL Injection,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。 SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉种类
28、1)没有正确过滤转义字符:在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式攻击,它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操纵。2)Incorrect type handling:如果一个用户提供的字段并非一个强类型,或者没有实施类型强制,就会发生这种形式的攻击。当在一个SQL语句中使用一个数字字段时,如果程序员没有检查用户输入的合法性(是否为数字型)就会发生这种攻击。3)数据库服务器中的漏洞:有时,数据库服务器软件中也存在着漏洞,如MYSQL服务器中mysql_real_escape_string()函数漏洞。这种漏洞允许一个攻击者根据错误的统一
29、字符编码执行一次成功的SQL注入式攻击4) 盲目SQL注入式攻击:当一个Web应用程序易于遭受攻击而其结果对攻击者却不见时,就会发生所谓的盲目SQL注入式攻击。有漏洞的网页可能并不会显示数据,而是根据注入到合法语句中的逻辑语句的结果显示不同的内容。这种攻击相当耗时,因为必须为每一个获得的字节而精心构造一个新的语句。但是一旦漏洞的位置和目标信息的位置被确立以后,一种称为Absinthe的工具就可以使这种攻击自动化。5)条件响应:注意,有一种SQL注入迫使数据库在一个普通的应用程序屏幕上计算一个逻辑语句的值.6)条件性差错:如果WHERE语句为真,这种类型的盲目SQL注入会迫使数据库评判一个引起错
30、误的语句,从而导致一个SQL错误。7)时间延误:时间延误是一种盲目的SQL注入,根据所注入的逻辑,它可以导致SQL引擎执行一个长队列或者是一个时间延误语句。攻击者可以衡量页面加载的时间,从而决定所注入的语句是否为真。11 XSS攻击跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制例如同
31、源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。种类类型A,本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。类型B,反射式漏洞,这种漏洞和类型A有些类似,不同的是Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。类型C,存储式漏洞,该类型是应用最为广泛而且有可能影响到Web服务器自身安全
32、的漏洞,骇客将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括了Web服务器的管理员。12 DDOS攻击Denial of Service意即分布式拒绝服务,DDos中文为分布式拒绝服务攻击,俗称洪水攻击。处于不同位置的多个攻击者同时向一个或者数个目标发起攻击,或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。DDos攻击将造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。 DOS/DDOS安全解决方案也称之为DoS/DDoS流量清洗解决方案,即在运营商的城域网或IDC内构建一个全面的DoS/DDoS流量清洗中心,可以对外面恶意流量进入客户系统之前进行有效的拦截。防止运营商的增值服务受到DDoS攻击的影响,最大限度的确保其可用性。c8724951b64c15baabe7176bbc6047b4.pdf
