| 关键词: 网络 入侵者 技术 地址 定向 主机 路由 系统 海信 一个 |
第一部分:网络欺骗之防卫技术 摘要: 本文将通过浅显语言向你展示一个网络安全技术中的新兴技术——网络欺骗。 网络欺骗的定义: 最近一个时期,英、美、法、德等国正在积极研究网络欺骗技术,也正在积极的将这种技术应用在军事上!那么什么是网络欺骗技术,为什么让西方强国如痴如醉的抓紧研究那? 网络欺骗其实就利用入侵者对信息系统的利欲,根据信息网络系统固有的弱点,采取适当的技术,将信息网络系统伪装成有价值、可以被入侵者认为是具有可攻击、可窃取的资源(其实这些资源是不重要的或者是伪造的),从而能够误导入侵者进入这些错误的资源。这种技术能够显著的增加入侵者的工作力度(工作量、入侵复杂度以及不确定性),从而使入侵者不知道自己的入侵是否成功。更重要的是它还可以是防护者能够及时采取如其检测技术来追踪入侵者的来源,和及时发现系统中可能存在的严重的系统漏洞并及时修补! 网络欺骗的作用: 无论我们从哪一方面讲,系统的弱点是不可避免的,都是可以被入侵者利用的。这就给我们实施网络欺骗技术提供了事实的可能性。网络欺骗的坐用主要有以下几种: 扰乱入侵者的入侵意图,使之按照你的意思进行入侵选择。 能够迅速检测到入侵者并可以及时的发现入侵者的技术手段和入侵意图。 能够大量的消耗入侵者的系统能够资源,使之感到入侵的困难。 我们认为一个良好的网络欺骗方案能使入侵者感到他不是很容易的入侵到他想得到的资源而是经过的一番努力奋斗的过程,并能确信自己的攻击过程是成功的有效地。 网络欺骗的具体技术: 1 、诱饵技术( Honey Pot 和分布式 Honey Pot ) 该技术是将少量的有吸引力的“目标”即我们通常所说的的诱饵放在入侵者容易发现的地方,目的是通过这种方法将入侵者的的注意力和技术吸引到我们所放置的诱饵上,从而保护我们真正的有价值的资源。随着网络技术的发展人们又发现并使用了分布式诱饵技术,即把诱饵分布到等多的闲置 IP 和网络接口卡上,用来增大网络欺骗的中的成功率。 网络欺骗一般通过隐藏和安插错误信息等技术手段实现,前者包括隐藏服务、多路径和维护安全状态信息机密性,后者包括重定向路由、伪造假信息和设置圈套等等。综合这些技术方法,最早采用的网络欺骗是 Honey Pot 技术,它将少量的有吸引力的目标(我们称之为 Honey Pot )放置在入侵者很容易发现的地方,以诱使入侵者上当。 这种技术的目标是寻找一种有效的方法来影响入侵者,使得入侵者将技术、精力集中到 Honey Pot 而不是其它真正有价值的正常系统和资源中。 Honey Pot 技术还可以做到一旦入侵企图被检测到时,迅速地将其切换。 但是,对稍高级的网络入侵, Honey Pot 技术就作用甚微了。因此,分布式 Honey Pot 技术便应运而生,它将欺骗( Honey Pot )散布在网络的正常系统和资源中,利用闲置的服务端口来充当欺骗,从而增大了入侵者遭遇欺骗的可能性。它具有两个直接的效果,一是将欺骗分布到更广范围的 IP 地址和端口空间中,二是增大了欺骗在整个网络中的百分比,使得欺骗比安全弱点被入侵者扫描器发现的可能性增大。 尽管如此,分布式 Honey Pot 技术仍有局限性,这体现在三个方面:一是它对穷尽整个空间搜索的网络扫描无效;二是只提供了相对较低的欺骗质量;三是只相对使整个搜索空间的安全弱点减少。而且,这种技术的一个更为严重的缺陷是它只对远程扫描有效。如果入侵已经部分进入到网络系统中,处于观察(如嗅探)而非主动扫描阶段时,真正的网络服务对入侵者已经透明,那么这种欺骗将失去作用。 2 、是空间欺骗技术。 该技术是利用计算机系统具有多个 IP 地址和网络接口属性,通过增加入侵者搜索 IP 地址空间来增加其工作量,从而达到网络安全防护的目的。现在已有研究机构能做到通过 16 台计算机组成的网络系统,实现具有上万个地址空间范围的欺骗。从空间欺骗技术运用效果看,将虚假的、不重要的信息资源放置在这些 IP 地址上,将极大地增加入侵者的工作量,增加入侵时间,消耗入侵者的资源,使真实的网络服务被探测到的概率大大降低。 欺骗空间技术就是通过增加搜索空间来显著地增加入侵者的工作量,从而达到安全防护的目的。利用计算机系统的多宿主能力( multi - homed capability ),在只有一块以太网卡的计算机上就能实现具有众多 IP 地址的主机,而且每个 IP 地址还具有它们自己的 MAC 地址。这项技术可用于建立填充一大段地址空间的欺骗,且花费极低。实际上,现在已有研究机构能将超过 4000 个 IP 地址绑定在一台运行 Linux 的 PC 上。这意味着利用 16 台计算机组成的网络系统,就可做到覆盖整个 B 类地址空间的欺骗。尽管看起来存在许许多多不同的欺骗,但实际上在一台计算机上就可实现。 从效果上看,将网络服务放置在所有这些 IP 地址上将毫无疑问地增加了入侵者的工作量,因为他们需要决定哪些服务是真正的,哪些服务是伪造的,特别是这样的 4 万个以上 IP 地址都放置了伪造网络服务的系统。而且,在这种情况下,欺骗服务相对更容易被扫描器发现,通过诱使入侵者上当,增加了入侵时间,从而大量消耗入侵者的资源,使真正的网络服务被探测到的可能性大大减小。 当入侵者的扫描器访问到网络系统的外部路由器并探测到一欺骗服务时,还可将扫描器所有的网络流量重定向到欺骗上,使得接下来的远程访问变成这个欺骗的继续。 当然,采用这种欺骗时网络流量和服务的切换(重定向)必须严格保密,因为一旦暴露就将招致攻击,从而导致入侵者很容易将任意已知有效的服务和这种用于测试入侵者的扫描探测及其响应的欺骗区分开来。 实施网络欺骗的需要注意的事项 面对日益提高的网络攻击技术,任何一种网络欺骗技术都是需要作相应提高才能和攻击技术相对抗的。 • 网络流量仿真 产生仿真流量的目的是使流量分析不能检测到欺骗。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量,这使得欺骗系统与真实系统十分相似,因为所有的访问连接都被复制了。第二种方法是从远程产生伪造流量,使入侵者可以发现和利用。 • 网络的动态配置 真实网络是随时间而改变的,如果欺骗是静态的,那么在入侵者长期监视的情况下就会导致欺骗无效。因此,需要动态配置欺骗网络以模拟正常的网络行为,使欺骗网络也象真实网络那样随时间而改变。为使之有效,欺骗特性也应该能尽可能地反映出真实系统的特性。例如,如果办公室的计算机在下班之后关机,那么欺骗计算机也应该在同一时刻关机。其它的如假期、周末和特殊时刻也必须考虑,否则入侵者将很可能发现欺骗。 • 多重地址转换( multiple address translation ) 地址的多次转换能将欺骗网络和真实网络分离开来,这样就可利用真实的计算机替换低可信度的欺骗,增加了间接性和隐蔽性。其基本的概念就是重定向代理服务(通过改写代理服务器程序实现),由代理服务进行地址转换,使相同的源和目的地址象真实系统那样被维护在欺骗系统中。从 m.n.o.p 进入到 a.b.c.g 接口的访问,将经过一系列的地址转换——由 a.f.c.g 发送到 10.n.o.p 再到 10.g.c.f ,最后将数据包欺骗形式从 m.n.o.p 转换到真实机器上的 a.b.c.g 。并且还可将欺骗服务绑定在与提供真实服务主机相同类型和配置的主机上,从而显著地提高欺骗的真实性。还可以尝试动态多重地址转换。 • 创建组织信息欺骗 如果某个组织提供有关个人和系统信息的访问,那么欺骗也必须以某种方式反映出这些信息。例如,如果组织的 DNS 服务器包含了个人系统拥有者及其位置的详细信息,那么你就需要在欺骗的 DNS 列表中具有伪造的拥有者及其位置,否则欺骗很容易被发现。而且,伪造的人和位置也需要有伪造的信息如薪水、预算和个人记录等等。 总之,我们要做的就是让攻击者感觉到他所攻击的目标是一个真实的目标或者说他根本无法辨别那个目标是自己要真正进攻的,让他确信自己的努力是按照他的意愿进行的。 第二部分:网络欺骗之攻击技术 任何一种安全技术都会有和他相对的技术,网络欺骗技术也不例外,在防卫中有网络欺骗技术,而在攻击技术中也有网络欺骗技术。这种网络欺骗技术和前面所讲的网络欺骗技术是大相径庭的。 定义 :这里的网络欺骗是指攻击者利用改变本机的网络参数来达到欺骗网络验证设备的验证目的使自己能够获得 , 和网络中真正主机相同的权利 , 从而达到攻击整个网络的目的 . 网络欺骗所带来的危害 : • 使整个网络系统的验证功能形同虚设,攻击者可以绕开网络验证设备而进攻整个网络。 • 网络欺骗可以使网络安全管理人员放松对整个网络的管理。 网络欺的具体骗技术: • ARP 欺骗技术 这种技术对网络安全管理员们提出了更加实际的挑战,因为他真正的让我们感到一个黑客要进攻你的主机并不是你给主机打过足够的补丁就可以避免的。像这样的网络欺骗技术是要求一个安全管理员必须有相当的网络底知识和网络布线技术才有可能避免的。 我们知道,在 TCP 环境下,一个 IP 包要走到哪里,怎么走是由路由表来定义的,而当这个 IP 包到达网络后那台主机来响应这必须有 Mac 地址来确定的,因此可以这样说,只有当 IP 包中的 Mac 地址和网络中的主机的 Mac 地址相同时机器才会响应这个 IP 包。所以,在每台主机的内存中,都有一个 arp--> mac 的转换表。通常是动态的转换表(注意在路由中,该 arp 表可以被设置成静态)。也就是说,该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是* 48 位的 mac 地址而决定的。 我们可以用这样的办法来欺骗主机 , 假定我们已经把网络中的真实 IP 的的主机搞定 ( 让他死悄悄了 ), 那我们就可以借用他的 IP 让自己的机器来正常的访问网络了 , 有人也许会说这其实是 IP 欺骗 , 是冒用了 IP, 但决不是 IP 欺骗, IP 欺骗的原理比这要复杂的多,实现的机理也完全不一样。这样的欺骗是很危险的 , 如何来避免这样的欺骗那 ? 1 、不要把你的网络安全信任关系建立在 ip 基础上或 mac 基础上,( rarp 同样存在欺骗的问题),理想的关系应该建立在 ip+mac 基础上。 2 、设置静态的 mac-->ip 对应表,不要让主机刷新你设定好的转换表。 3 、除非很有必要,否则停止使用 ARP ,将 ARP 做为永久条目保存在对应表中。 4 、使用 ARP 服务器。通过该服务器查找自己的 ARP 转换表来响应其他机器的 ARP 广播。确保这台 ARP 服务器不被黑。 5 、使用 "proxy" 代理 ip 的传输。 6 、使用硬件屏蔽主机。设置好你的路由,确保 ip 地址能到达合法的路径。(静态配置路由 ARP 条目),注意,使用交换集线器和网桥无法阻止 ARP 欺骗。 7 、管理员定期用响应的 ip 包中获得一个 rarp 请求,然后检查 ARP 响应的真实性。 8 、管理员定期轮询,检查主机上的 ARP 缓存。 9 、使用防火墙连续监控网络。注意有使用 SNMP 的情况下, ARP 的欺骗有可能导致陷阱包丢失。 • 基于 ICMP 的路由欺骗技术 首先我们应该知道,微软的 Windows98 和 NT 系统都保持着一张已知的路由器列表,列表中位于第一项的路由器是默认路由器,如果默认路由器关闭,则位于列表第二项的路由器成为缺省路由器。 缺省路由向发送者报告另一条到特定主机的更短路由,就是 ICMP 重定向。攻击者可利用 ICMP 重定向报文破坏路由,并以此增强其窃听能力。除了路由器,主机必须服从 ICMP 重定向。如果一台机器想网络中的另一台机器发送了一个 ICMP 重定向消息,这就可能引起其他机器具有一张无效的路由表。如果一台机器伪装成路由器截获所有到某些目标网络或全部目标网络的 IP 数据包,这样就形成了窃听。 通过 ICMP 技术还可以抵达防火墙后的机器进行攻击和窃听。在一些网络协议中, IP 源路径选项允许 IP 数据报告自己选择一条通往目的主机的路径(这是一个非常不好,但是又无可奈何的技术手段,多路径正是网络连接的精髓部分!)。攻击者试图与防火墙后面的一个不可到达的主机 A 连接,只需在送出的 ICMP 报文中设置 IP 源路径选项,使报文有一个目的地址指向防火墙,而最终地址是主机 A 。当报文到达防火墙时被允许通过,因为它指向防火墙而不是主机 A 。防火墙的 IP 层处理该报文的源路径域并被发送到内部网上,报文就这样到达了不可到达的主机 A 。 我在查阅资料的时候,所有基于 ICMP 路由欺骗的技术都是停留在理论上的论述,没有找到相关的具体攻击实例和原程序。 避免 ICMP 重定向欺骗的最简单方法是将主机配置成不处理 ICMP 重定向消息,在 Linux 下可以利用 firewall 明确指定屏蔽 ICMP 重定向包。 另一种方法是验证 ICMP 的重定向消息。例如检查 ICMP 重定向消息是否来自当前正在使用的路由器。这要检查重定向消息发送者的 IP 地址并效验该 IP 地址与 ARP 高速缓存中保留的硬件地址是否匹配。 ICMP 重定向消息应包含转发 IP 数据报的头信息。报头虽然可用于检验其有效性,但也有可能被窥探仪加以伪造。无论如何,这种检查可增加你对重定向消息有效性的信心,并且由于无须查阅路由表及 ARP 高速缓存,所以做起来比其他检查容易一些。 实例 从上面的介绍中,我们已经从上面介绍中我们已经基本了解了网络欺骗的在攻防两方面的定义及其具体的实现方法,这些黑与防黑的事情在这个网络中哪个是经常发生的,下面我将举一个实例: 海信主页被黑事件 2000 年 8 月 24 日下午,海信公司主页被一署名为黑妹的黑客篡改,估计听闻者马上会联想到,此前海信宣布悬赏 50 万,以 8341 防火墙挑战全球黑客的新闻。 我不是要反思海信被黑事件对我国安全市场的影响,我要说的是这里面的一些技术问题。在中途海信海信因有人进行 DDOS 攻击,中途修改了防火墙配置,使该 IP 成为所谓的 ICMP 黑洞!且不说这是海信的违规行为,但就这件事件的技术来说这就是一件网络欺骗,因为我们一般认为一个网站如果 Ping 不通那么网络是不通的,也就说网站不存在。这就起到了网络欺骗的作用 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|