系统架构设计师教程 第4章 4.7-8 信息安全的抗攻击技术及保障体系与评估方法

4.7信息安全的抗攻击技术 ★★★☆☆

4.7.1密钥的选择

密钥在概念上被分成两大类：数据加密密钥 (DK) 和密钥加密密钥 (KK)。

DK直接对数 据进行操作，

KK用于保护密钥，使之通过加密而安全传递。

密钥生成需要考虑3个方面的因素

1.增大密钥空间

增加密钥位数

2.选择强钥

数字、字母、字符的组合

3.密钥的随机性

会话密钥的产生，用随机数作为会话密钥

4.7.2拒绝服务攻击与防御

拒绝服务攻击 DoS(Denial of Service) 是由人为或非人为发起的行动，使主机硬件、软件或者两者同时失去工作能力，使系统不可访问并因此拒绝合法的用户服务要求。

目前常见的拒绝服务攻击为分布式拒绝服务攻击DDoS(Distributed Denial of Service)。

对服务器实施拒绝服务攻击，有两种思路：

(1)服务器的缓冲区满，不接收新的请求。

(2)使用 IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

1.传统拒绝服务攻击的分类

主要模式：

(1)消耗资源

● 针对网络连接的拒绝服务攻击；

● 消耗磁盘空间；

● 消耗CPU资源和内存资源。

(2)破坏或更改配置信息

(3)物理破坏或改变网络部件

(4)利用服务程序中的处理错误使服务失效

2.分布式拒绝服务攻击DDoS

分布式拒绝服务攻击的隐蔽性更强。通过间接操纵网络上的计算机实施攻击， 突破了传统攻击方式从本地攻击的局限性。

DDoS工具一般采用三级结构，其中

Client (客户端)运行在攻击者的主机上，用来发起和控制DDoS攻击；

Handler (主控端)运行在已被攻击者侵入并获得控制的主机上，用来控制代理端；

Agent(代理端)运行在已被攻击者侵入并获得控制的主机上，从主控端接收命令，负责对目标实施实际的攻击。

3.拒绝服务攻击的防御方法

(1)加强对数据包的特征识别

(2)设置防火墙监视本地主机端口的使用情况

(3)对通信数据量进行统计也可获得有关攻击系统的位置和数量信息

(4)尽可能的修正已经发现的问题和系统漏洞

4.7.3欺骗攻击与防御

1 .ARP欺骗

1)ARP欺骗原理

局域网中的机器B 首先攻击C, 使C 瘫痪，然后向A 发送一个自己伪造的ARP应答，而如果这个应答是B冒充C 伪造来的，即IP地址为C的IP, 而MAC地址是B的，则当A接收到 B 伪造的ARP应答后，就会更新本地的ARP缓存

2 ) A R P欺骗的防范措施

(1)在Win XP下输入命令：arp -s gate-way-ip gate-way-mac 固化A R P表，阻止A R P欺骗。

(2)使用 A R P服务器。通过该服务器查找自己的A R P转换表来响应其他机器的A R P广 播。

(3)采用双向绑定的方法解决并且防止A R P欺骗。

(4)ARP 防护软件——ARP Guard。

2.DNS欺骗

1 ) D N S欺骗的原理

DNS 欺骗首先是冒充域名服务器，然后把查询的IP 地址设为攻击者的IP地址，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页。

3)DNS 欺骗的检测

根据检测手段的不同，将其分为被动监听检测、虚假报文探测和交叉检查查询3种。

(1)被动监听检测。该检测手段是通过旁路监听的方式，捕获所有D NS请求和应答数据包，并为其建立一个请求应答映射表。

(2)虚假报文探测。该检测手段采用主动发送探测包的手段来检测网络内是否存在D N S 欺 骗攻击者。

(3)交叉检查查询。所谓交叉检查即在客户端收到 DNS 应答包之后，向D N S 服务器反向 查询应答包中返回的 IP 地址所对应的 D N S 名字，如果二者一致说明没有受到攻击，否则说明 被欺骗。

3.IP欺骗

TCP协议是一种相对可靠的协议，不会让黑客轻易得逞

想要进行IP欺骗，需要假冒通信主机，然后进攻目标主机。

防范：

设置配置文件，使RPC机制无法应用

设置防火墙过滤来自外部而信源地址却是内部 IP 的 报文

4.7.4端口扫描

一般来说，扫描端口有如下目的。

(1)判断目标主机上开放了哪些服务。

(2)判断目标主机的操作系统。

1.端口扫描原理

端口是由计算机的通信协议 TCP/IP 协议定义的，用 IP地址和端口作为 套接字，它代表TCP连接的一个连接端，一般称为 Socket。具体来说，就是用 [IP: 端口]来定 位一台主机中的进程。

端口扫描就是尝试与目标主机的某些端口建立连接，如果目标主机该端口有回复(见三次 握手中的第二次),则说明该端口开放，即为“活动端口”。

2.扫描原理分类

(1) 全TCP 连接。使用三次握手，与目标计算机建立标准的TCP连接。很容易被目标主机记录。

(2)半打开式扫描 (SYN扫描)。扫描主机自动向目标计算机的指定端口发送 SYN数据段，表示发送建立连接请求。

● 如果目标计算机的回应TCP报文中SYN=1,ACK=1, 则说明该端口是活动的，接着扫描主机传送一个RST给目标主机拒绝建立TCP连接，从而导致三次握手的过程失败。

● 如果目标计算机的回应是RST, 则表示该端口为“死端口”,这种情况下，扫描主机不 用做任何回应。

扫描过程中，全连接尚未建立，大大降低被目标计算机记录的可能性，并且加快了扫描的速度。

(3)FIN扫描。FIN扫描则依靠发送 FIN 来判断目标计算机的指定端口是否是活动的。

发送一个FIN=1 的TCP报文到一个端口，

• 关闭的端口时，该报文会被丢掉，并返回一个RST报文。
• 活动的端口时，该报文只是被简单的丢掉，不会返回任何回应。

FIN 扫描没有涉及任何TCP连接部分。因此，这种扫描比前两种都 安全，可以称之为秘密扫描。

(4)第三方扫描。又称“代理扫描”，利用第三方主机来代替入侵者进行扫描。第三方主机一般是入侵者通过入侵其他计算机而得到的，通常被称为“肉鸡”。这些“肉鸡”一般为安全防御系数极低的个人计算机。

4.7.5强化TCP/P堆栈以抵御拒绝服务攻击

1.同步包风暴 (SYN Flooding)

攻击者只要发送较少的、来源地址经过伪装，而且无法通过路由达到的SYN连接请求至目标主机提供TCP服务的端口，将目的主机的TCP缓存队列填满

修改注册表防御

2.ICMP攻击

ICMP 协议是TCP/IP 协议集中的一个子协议，主要用于在主机与路由器之间传递控制信 息，包括报告错误、交换受限控制和状态信息等。

利用操作系统规定的 ICMP数据包的最大尺寸不超过64KB，达到使TCP/IP堆栈崩溃、主机死机的效果。

修改注册表防御

3 . SNMP攻击

简单网络管理协议SNMP（Simple Network Management Protocol）用于网络设备的管理

入侵者能完全接管网络

修改注册表防御

4.7.6系统漏洞扫描

从底层技术来划分，可以将系统漏洞扫描分为基于网络的扫描和基于主机的扫描。

1.基于网络的漏洞扫描

一般由以下几个方面组成

(1)漏洞数据库模块

(2)用户配置控制台模块

(3)扫描引擎模块

(4)当前活动的扫描知识库模块

(5)结果存储器和报告生成工具

优点：

(1)价格比较便宜。

(2)在操作过程中，不需要涉及目标系统的管理员。

(3)在检测过程中，不需要在目标系统上安装任何东西。

(4)维护简便。

2.基于主机的漏洞扫描

基于主机的漏洞扫描器通常在目标系统上安装了一个代理 (Agent) 或者是服务 (Services), 以便能够访问所有的文件与进程，能够扫描更多的漏洞。

优点：

(1)扫描的漏洞数量多。

(2)集中化管理。

(3)网络流量负载小。

4.8信息安全的保障体系与评估方法 ★★★★☆

4.8.1计算机信息系统安全保护等级 ★★★★☆

《计算机信息系统安全保护等级划分准则》 (GB 17859—1999) 规定了计算机系统安全保护能力的5个等级。

(1)第1级：用户自主保护级

(2)第2级：系统审计保护级

(3)第3级：安全标记保护级

(4)第4级：结构化保护级

(5)第5级：访问验证保护级

4.8.2安全风险管理 ★★★☆☆

信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生 所造成的影响。

信息安全风险评估是信息安全保障体系建立过程中重要的评价方法和决策机制。

在风险评估实施前，应该考虑如下内容。

(1)确定风险评估的范围

(2)确定风险评估的目标

(3)建立适当的组织结构

(4)建立系统性的风险评估方法

(5)获得最高管理者对风险评估策划的批准

根据评估实施者的不同，将风险评估形式分为自评估和他评估两大类。

风险评估的基本要素为脆弱性、资产、威胁、风险和安全措施，与这些要素相关的属性分别为业务战略、资产价值、安全需求、安全事件和残余风险

安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者事件。

产生安全威 胁的主要因素可以分为人为因素和环境因素。

人为因素又可区分为有意和无意两种。

环境因素 包括自然界的不可抗的因素和其他物理因素。

脆弱性评估是安全风险评估中的重要内容。弱点包括物理环境、组织、过程、人员、管理、 配置、硬件、软件和信息等各种资产的脆弱性。

脆弱性评估所采用的方法主要有问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。

脆弱性主要从技术和管理两个方面进行评估，涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。

风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性， 信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性。风险计算的过程如下。

(1)对信息资产进行识别，并对资产赋值。

(2)对威胁进行分析，并对威胁发生的可能性赋值。

(3)识别信息资产的脆弱性，并对弱点的严重程度赋值。

(4)根据威胁和脆弱性计算安全事件发生的可能性。

(5)结合信息资产的重要性和发生安全事件的可能性，计算信息资产的风险值。