《信息系統攻防技術》

內容簡介

《信息系統攻防技術》

《信息系統攻防技術》全面介紹信息系統各種攻防手段的基本原理和套用技術，對信息安全的相關概念與技術進行了深入探討，詳盡地分析了信息系統的各種攻擊技術和相應防禦措施。對於具體攻擊技術，《信息系統攻防技術》首先剖析原理，講述流程，然後結合案例，強調實際套用中所需的信息安全知識，同時給出了相應的用戶對策。《信息系統攻防技術》全書結合實例，講解透徹，通俗易懂，也可供工程技術人員作為參考用書。

目錄

第1章　緒論
1.1　信息安全概述
1.1.1　什麼是信息安全
1.1.2　信息安全體系
1.1.3　信息安全服務與機制
1.1.4　信息安全發展趨勢
1.2　信息系統面臨的威脅
1.2.1　應用程式攻擊
1.2.2　系統程式漏洞
1.2.3　系統建設缺陷、後門、自然老化等
1.2.4　錯誤和冗餘
1.2.5　物理攻擊
1.2.6　社會工程學攻擊
1.3　信息系統防禦技術
1.3.1　信息加密
1.3.2　信息認證
1.3.3　防禦計算機病毒
1.3.4　被動的網路防禦
1.3.5　主動的網路防禦
1.3.6　數字產品著作權保護
習題
第2章　系統攻擊典型案例
2.1　網路基礎和常用網路命令
2.1.1　網路基礎
2.1.2　常用網路命令
2.2　系統攻擊一般流程
2.2.1　信息蒐集
2.2.2　實施入侵
2.2.3　安裝後門
2.2.4　隱藏蹤跡
2.3　典型案例
2.3.1　案例一
2.3.2　案例二
習題
第3章　緩衝區溢出攻擊與防範
3.1　緩衝區溢出的原理
3.1.1　什麼是緩衝區溢出
3.1.2　緩衝區溢出實例
3.2　溢出漏洞的攻防措施
3.2.1　利用溢出漏洞的攻擊方法
3.2.2　溢出漏洞攻擊的防範
3.3　溢出漏洞攻擊實例
3.3.1　FoxMail溢出漏洞
3.3.2　編寫控制台視窗的ShellCode
3.3.3　JPEG溢出漏洞
3.3.4　緩衝區堆溢出
習題
第4章　身份認證攻擊與防範
4.1　Telnet攻擊與防範
4.1.1　什麼是Telnet
4.1.2　NTLM驗證與Telnet登錄
4.1.3　Telnet入侵實例
4.1.4　防範Telnet入侵
4.2　SQL注入攻擊與防範
4.2.1　什麼是SQL注入攻擊
4.2.2　SQL注入漏洞的判斷
4.2.3　判斷後台資料庫類型
4.2.4　發現Web虛擬目錄
4.2.5　確定XP—CMDSHELL可執行情況
4.2.6　上傳木馬
4.2.7　獲取系統管理員許可權
……
第5章　木馬攻擊與防範
第6章　隱藏與清理
第7章　防火牆技術
第8章　現代密碼學攻擊與防範
參考文獻

知識 不安全的加密存儲設備

問題

雖然加密本身也是大部分網路套用軟體中的一個重要組成部分，但是許多網路開發員沒有對存儲中的敏感數據進行加密。即便是現有的加密技術，其設計也是粗製濫造的。“這些漏洞可能會導致用戶敏感數據外泄以及破壞系統的一致性。”

真實案例

TJX數據失竊案中，被竊取的信用卡和提款卡賬號達到了4570萬個。加拿大政府調查後認為，TJX未能升級其數據加密系統。

如何保護用戶

不要開發你自己的加密算法。最好只使用已經經過審批的公開算法，比如AES、RSA公鑰加密以及SHA-256或者更好的SHA-256。另外，千萬不要在不安全渠道上傳送私人資料。現在將信用卡賬號保存起來是比較常見的做法，但是明年就是《信用卡行業數據安全標準》發布的最後期限，以後將不再將信用卡賬號保存起來。

筆記本電腦的物理安全防範

防禦措施

大多數用戶都知道他們必須要保護自己的數據。系統管理員套用防毒軟體和反間諜軟體就是為了防止系統受到惡意軟體的攻擊。IT部門安裝個人防火牆和入侵檢測與防禦軟體來保護計算機避免受到惡意的攻擊。檔案和資料夾用口令保護，甚至加密，防止有人未經許可訪問這些檔案和資料夾。對於某些計算機用戶來說，上述措施也許就足夠了。但是，如果有人把整個計算機都拿走該怎么辦呢?桌上型電腦用戶對這個問題還不太擔心，但是對於筆記本電腦用戶來說，這是非常危險的。用戶使用筆記本電腦可以享受到很多好處，同時也面臨著安全風險。目前，有各種各樣的產品能夠幫助你防止丟失筆記本電腦。根據你是否把筆記本電腦當作辦公桌上的主要設備，或者你喜歡在旅行時使用筆記本電腦，或者你喜歡在公共無線熱點使用筆記本電腦等用途，你的安全需求也許是不同的。你可以考慮如下防禦措施：

鋼纜鎖

保護筆記本電腦安全的最常用的方法是採用鋼纜鎖，如Kensington技術公司生產的MicroSaver鋼纜鎖。這個工具的主要由一個配置了鎖具的鋼纜組成。這種鎖能夠插入所有的筆記本電腦的微型安全插槽中。你可以把用鋼纜把筆記本電腦與不可移動的物品連在一起，然後把鎖的插頭插入筆記本電腦的微型安全插槽中。

攜帶型鋼纜鎖

攜帶型鋼纜鎖與標準的鋼纜鎖類似，但是，攜帶型鋼纜鎖有一種可以伸縮的鋼纜，而不是固定長度的鋼纜。你可以根據要把計算機鎖定的不同位置調整鋼纜的長短。要看一些這種鋼纜鎖是什麼樣子，請查看一下Kensington公司的MicroSaver攜帶型鋼纜鎖。

移動報警器

確保你的筆記本電腦不丟失的另一種不同的方法是連線一個移動報警器。像targusGroupInternational公司生產的DEFCONMDP(移動數據保護)那樣的移動報警器產品可以插入你的筆記本電腦的插槽中，當它發現筆記本電腦被移動時就會發出警報聲，而不管筆記本電腦當時是開機還是關機。TargusDEFCON1是一種類似於上面提到的鋼纜鎖系統。但是，它配置了一個報警器，當筆記本電腦被移動或者鋼纜被切斷時會發出報警的聲音。

六條措施防範殭屍網路

殭屍網路

殭屍網路（botnet）是指多台被惡意代碼感染、控制的與網際網路相連線的計算機。Botnet正成為一種日益嚴重的威脅，不過，只要我們用好對付它的六把利劍，殭屍網路就難以造成嚴重的禍患。

採用Web過濾服務

Web過濾服務是迎戰殭屍網路的最有力武器。這些服務掃描Web站點發出的不正常的行為，或者掃描已知的惡意活動，並且阻止這些站點與用戶接觸。websense、Cyveillance、FaceTime都是很好的例子。它們都可以實時地監視網際網路，並查找從事惡意的或可疑的活動的站點，如下載JavaScript或執行screenscrapes等正常Web瀏覽之外的其它騙局。Cyveillance和SupportIntelligence還提供另外一種服務：通知Web站點操作人員及ISP等惡意軟體已經被發現，因此黑客攻擊的伺服器能被修復，他們如是說。

轉換瀏覽器

防止殭屍網路感染的另一種策略是瀏覽器的標準化，而不是僅僅依靠微軟的InternetExplorer或Mozilla的Firefox。當然這兩者確實是最流行的，不過正因為如此，惡意軟體作者們通常也樂意為它們編寫代碼。同樣的策略也適用於作業系統。據統計，Macs很少受到殭屍網路的侵擾，正如桌面Linux作業系統，因為大多數殭屍的罪魁禍首都把目標指向了流行的Windows。

禁用腳本

另一個更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時候這會不利於工作效率，特別是如果雇員們在其工作中使用了定製的、基於Web的應用程式時，更是這樣。

部署入侵檢測和入侵防禦系統

另一種方法是調整你的IDS（入侵檢測系統）和IPS（入侵防禦系統），使之查找有殭屍特徵的活動。例如，重複性的與外部的IP地址連線或非法的DNS地址連線都是相當可疑的。雖然難於發現，不過，另一個可以揭示殭屍的徵兆是在一個機器中SSL通信的突然上升，特別是在某些連線埠上更是這樣。這就可能表明一個僵屍控制的通道已經被激活了。您需要找到那些將電子郵件路由到其它伺服器而不是路由到您自己的電子郵件伺服器的機器，它們也是可疑的。殭屍網路的專家GadiEvron進一步建議，您應該學會監視在高層對Web進行訪問的傢伙。它們會激活位於一個Web頁面上的所有的連結，而一個高層次的訪問可能會指明一台機器正被一個惡意的Web站點所控制。一個IPS或IDS系統可以監視不正常的行為，這些行為指明了難於發現的、基於HTTP的攻擊和來自遠程過程的攻擊、Telnet和地址解析協定（即ARP）欺騙等等。然而，值得注意的是，許多IPS檢測器使用基於特徵的檢測技術，也就是說，這些攻擊被發現時的特徵被添加到一個資料庫中，如果資料庫中沒有有關的特徵就無法檢測出來。因此，IPS或IDS就必須經常性的更新其資料庫以識別有關的攻擊，對於犯罪活動的檢測需要持續不斷的努力。

保護用戶生成的內容

還應該保護你的WEB操作人員，使其避免成為“稀里糊塗”的惡意軟體犯罪的幫凶。如果你並沒有朝著WEB2.0社會網路邁進，你公司的公共部落格和論壇就應該限制為只能使用文本方式，這也是WebCrossing的副總裁MichaelKrieg的觀點，他是社會化網路軟體和主機服務的創造者。Krieg說，“我並不清楚我們成千上萬的用戶有哪一個在訊息文本中允許了JavaScript，我也不清楚誰在其中嵌入了代碼和其它的HTML標籤。我們不允許人們這樣做。我們的應用程式在默認情況下要將這些東西剝離出去。”DanHubbard是Websense安全研究的副總裁，他補充說，“那是用戶創建內容站點的一個嚴重問題，即Web2.0現象。你怎么才能在允許人們上傳內容的強大功能與不允許他們上傳不良的東西之間尋求平衡呢？”這個問題的答案是很明確的。如果你的站點需要讓會員或用戶交換檔案，就應該進行設定，使其只允許有限的和相對安全的檔案類型，如那些以.jpeg或mp3為擴展名的檔案。（不過，惡意軟體的作者們已經開始針對MP3等播放器類型，編寫了若干蠕蟲。而且隨著其技術水平的發現，有可能原來安全的檔案類型也會成為惡意軟體的幫凶。）

使用補救工具

如果你發現了一台被感染的計算機，那么一個臨時應急的重要措施就是如何進行補救。像Symantec等公司都宣稱，他們可以檢測並清除即使隱藏最深的rootkit感染。Symantec在這裡指明了Veritas和VxMS(VeritasMappingService)技術的使用，特別是VxMS讓反病毒掃描器繞過Windows的檔案系統的API。（API是被作業系統所控制的，因此易於受到rootkit的操縱）。其它的反病毒廠商也都試圖保護系統免受rootkit的危害，如McAfee和FSecure等。不過，Evron認為，事後進行的檢測所謂的惡意軟體真是一個錯誤！因為它會使IT專家確信他們已經清除了殭屍，而其實呢，真正的殭屍代碼還駐留在計算機上。他說，“反病毒並非是一個解決方案，因為它是一個自然的反應性的東西。反病毒能夠識別有關的問題，因而反病毒本身也會被操縱、利用。”這並不是說你不應該設法實施反病毒軟體中最好的對付rootkit的工具，不過你要注意這樣做就好似是在你丟失了貴重物品後再買個保險箱而已。用一句成語講，這就叫做“亡羊補牢”。Evron相信，保持一台計算機絕對安全乾淨、免受殭屍感染的方法是對原有的系統徹底清楚，並從頭開始安裝系統。不要讓你的用戶訪問已知的惡意站點，並監視網路中的可疑行為，保護你的公共站點免受攻擊，你的網路就基本上處於良好狀態。這是安全專家們一致的觀點。可以注意到，如果一個網路工作人員對於網路安全百思不得其解，並會油然而生這樣一種感覺,‘我應該怎么對付這些數以百萬的殭屍呢?’。”其實，答案非常簡單。正如，FaceTime的惡意軟體研究主管ChrisBoyd所言，“只需斷開你的網路，使其免受感染─病毒、木馬、間諜軟體或廣告軟體等……。將它當作一台PC上的一個流氓檔案來進行清除(不過，誰又能保證真正清除乾淨呢？)。這就是你需要做的全部事情。”

計算機與網際網路技術圖書