网络安全复习题2012

消耗大量的带宽，却不消耗应用程序资源。DDoS 攻击并不是新鲜事物。在过去十年中，随着僵尸网络的兴起，它得到了迅速的壮大和普遍的应用。僵尸网络为 DDoS 攻击提供了所需的“火力”带宽和计算机 以及管理攻击所需的基础架构。

Botnet的生命周期分为传播过程、感染过程、加入网络、再传播过程、接受控制等阶段。

1 传播过程

Bot程序的转播过程主要有五种传播形式：

攻击漏洞：攻击者主动攻击系统漏洞获得访问权，并在Shellcode 执行僵尸程序注入代码。这些漏洞多数都是缓存区溢出漏洞。下面我们以Slapper为例，简单描述一下这种基于P2P协议的Bot的传播过程。① 感染Slapper的主机，用非法的GET请求包扫描相邻网段的主机，希望获得主机的指纹(操作系统版本、web 服务器版本)。②一旦发现有Apache SSL 缓存溢出漏洞的主机，就开始发动攻击。攻击者首先在建立SSL v2 连接时，故意放一个过大参数，代码没有对参数做边界检查，并拷贝该参数到一个堆定位的 SSL_SESSION 数据结构中的固定长度缓冲区，造成缓冲区溢出。手工制作的字段是缓存溢出的关键。漏洞探测者小心翼翼地覆盖这些数据域，不会严重的影响SSL握手。邮件携带：据有关统计资料显示，7%的垃圾邮件含蠕虫即时消息通讯：很多bot程序可以通过即时消息进行传播。2005年，性感鸡(Worm。MSNLoveme)爆发就是通过MSN消息传播的。恶意网站脚本：攻击者对有漏洞的服务器挂马或者是直接建立一个恶意服务器，访问了带有恶意代码网页后，主机则很容易感染上恶意代码。伪装软件：很多Bot程序被夹杂在P2P共享文件、局域网内共享文件、免费软件、共享软件中，一旦下载并且打开了这些文件，则会立即感染Bot程序。 3.2 感染过程

①攻击程序在攻陷主机后有两种做法，一个是随即将Bot程序植入被攻陷的主机，另一个是让被攻陷的主机自己去指定的地方下载。这种从指定地方下载的过程称为二次注入。二次注入是为了方便攻击者随时更新Bot程序，不断增加新功能。同时不断改变的代码特征也增加了跟踪的难度。

②Bot程序植入被攻陷的主机，会自动脱壳。 ③在被感染主机上执行IRC客户端程序

④Bot主机从指定的服务器上读取配置文件并导入恶意代码。 ⑤Bot程序隐藏IRC界面，修改Windows注册表的自启动部分

⑥Bot程序关闭某些特定程序(bootstrap process)，如防火墙，系统自动更新。 3 加入Botnet

不同的类型Bot主机，加入Botnet的方式也不同，下面以基于IRC协议的Bot为例，介绍僵尸主机加入Botnet的过程。

①如果Bot中有域名，先解析域名，通常采用动态域名。

②Bot主机与IRC服务器建立TCP连接。为增强安全性，有的IRC服务器设置了连接密码。连接密码在TCP三次握手后，通过PASS命令发送。

③Bot主机与IRC服务器发送NICK和USER命令，NICK通常有一个固定的前缀，如CHN!2345、[Nt]-15120、ph2-1234，前缀通常为国家简称、操作系统版本等

④加入预定义的频道。频道名一般硬编码在Bot体内，为增强安全性，有的控制者为频道设定了密码。 CNCERT/CC 的监测数据表明，规模较大(控制 1 万台以上计算机)的Botnet通常设置了频道密码，但设置服务器连接密码的Botnet还在少数。

3.4 控制方式

Botnet的主人必须保持对僵尸主机的控制，才能利用它们完成预订的任务目标。下面依然以IRC Bot 为例，简单描述一下控制主机是如何控制Bot主机的。其它类型的Bot受控方式，在后面分别介绍。

①攻击者或者是Botnet的主人建立控制主机。大多数控制主机建立在公共的IRC服务上，这样做是为了将控制频道做的隐蔽一些。也有少数控制主机是攻击者自己单独建立的。

②Bot主机主动连接IRC服务器，加入到某个特定频道。此过程在前面“加入Botnet”一节中已经介绍。

③控制者(黑客)主机也连接到IRC服务器的这个个频道上。

④控制者(黑客)使用。login、!logon、!auth诸如此类的命令认证自己，服务器将该信息转发给频道内所有的Bot主机，Bot将该密码与硬编码在文件体内的密码比较，相同则将该用户的 nick 名称记录下来，以后可以执行该用户发送的命令。控制者具有channel op权限，只有他能发出的命令。基于IRC协议，主控者向受控僵尸程序发布命令的方法有3 种：设置频道主题(Topic)命令，当僵尸程序登录到频道后立即接收并执行这条频道主题命令;使用频道或单个僵尸程序发送PRIVMSG 消息，这种方法最为常用，即通过IRC 协议的群聊和私聊方式向频道内所有僵尸程序或指定僵尸程序发布命令;通过NOTICE 消息发送命令，这种方法在效果上等同于发送PRIVMSG 消息，但在实际情况

中并不常见。IRC 僵尸网络中发送的命令可以按照僵尸程序对应实现的功能模块分为僵尸网络控制命令、扩散传播命令、信息窃取命令、主机控制命令和下载与更新命令。其中，主机控制命令还可以细分为发动DDoS 攻击、架设服务、发送垃圾邮件、点击欺诈等。一条典型的扩散传播命令“.advscan asn1smb 200 5 0 -r -a -s”，其中，最先出现的点号称为命令前缀，advscan 则为命令字，扩散传播命令的参数一般包括远程攻击的漏洞名、使用的线程数量、攻击持续时间、是否报告结果等。

6． 简要说明访问控制安全架构的原理。

访问控制是为了限制访问主体（或称为发起者）对访问客体（需要保护的资源）的访问权限，从而使计算机系统在合法范围内使用。

访问控制机制决定用户及代表一定用户利益的程序能做什么，以及做到什么程度。 访问控制由两个重要过程组成：

身份认证：通过认证来检验主体的合法身份；

权限控制：通过授权（Authorization）来限制用户对资源的访问级别。 访问控制实现的策略： 一. 入网访问控制 二. 网络权限限制 三. 目录级安全控制 四. 属性安全控制

五. 网络服务器安全控制 六. 网络监测和锁定控制

七. 网络端口和节点的安全控制 八. 防火墙控制

访问控制的类型：访问控制可分为自主访问控制和强制访问控制两大类。 自主访问控制：

自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。灵活性高，被大量采用。

自主访问控制的实现机制：访问控制矩阵、访问控制列表、和访问控制能力列表。 强制访问控制：

每个用户及文件都被赋予一定的安全级别

用户不能改变自身或任何客体的安全级别，即不允许单个用户确定访问权限，只有系统管理员可以确定用户和组的访问权限。

系统通过比较用户和访问的文件的安全级别来决定用户是否可以访问该文件。

7． 说明局域网安全建设中常用的技术措施。

1、不同安全级别的设计安全方案设计原则

在安全方案设计中，基于安全的重要程度和要保护的对象，不同部门对数据业务的需求和安全级别的不同，按照所属的部门、职能、安全重要程度分为许多子网，包括：财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在交换机上直接划分不同的域网（VLAN）。财务子网、领导子网、营销子网、中心服务器子网等属于重要网段，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段，实现内部一个网段与另一个网段的物理隔离，这样能过有效防止影响一个网段的问题穿过整个网络。

2、防火墙技术

如果网络在没有防火墙的环境中，网络安全性完全依赖主系统的安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同的安全性水平上的可管理能力就越小，随着安全性的失策和失误越来越普遍，入侵就时有发生。防火墙有助于提高主系统总体安全性。 防火墙的基本思想——不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏障，它可以实施比较广泛的安全政策来控制信息流，防止不可预料的潜在的入侵破坏。防火墙系统可以是路由器，也可以是个人机、主系统或者是一批主系统，专门用于把网点或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。 防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息，以便实施系统的访问安全决策控制。

3、 网络安全检测

网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。

网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。能对网络访问做出有效响应，保护重要应用系统（如财务系统、营销系统）数据安全不受黑客攻击和内部人员误操作的侵害

4、 审计与监控

审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于去定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。

因此，除使用一般的网管软件和系统监控管理系统外，还应使用目前较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、