杭电信息安全复习.ppt

图10-4 电路级防火墙 电路级网关不允许进行端点到端点的TCP连接，而是建立两个TCP连接。一个在网关和内部主机上的TCP用户程序之间，另一个在网关和外部主机的TCP用户程序之间。一旦建立两个连接，网关通常就只是把TCP数据包从一个连接转送到另一个连接中去而不检验其中的内容。其安全功能就是确定哪些连接是允许的。 它和包过滤型防火墙有一个共同特点，都是依靠特定的逻辑来判断是否允许数据包通过，但包过滤型防火墙允许内外计算机系统建立直接联系，而电路级网关无法IP直达。 状态包检测(Stateful-Inspection) 上面提到的包过滤技术简单的查看每一个单一的输入包信息，而状态包检测模式则增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能。状态包检测防火墙在网络层拦截输入包，并利用足够的企图连接的状态信息做出决策。 这些包在操作系统内核的私有检测模块中检测。安全决策所需的相关状态信息在检测模块中检测，然后保留在为评价后续连接企图的动态状态表(库)中。被检查通过的包发往防火墙内部，允许直接连接内部、外部主机系统。 状态包检测防火墙 防火墙体系结构 目前，防火墙的体系结构一般有以下三种： (1) 双重宿主主机体系结构； (2) 被屏蔽主机体系结构； (3) 被屏蔽子网体系结构。 入侵检测(Intrusion Detection)就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。 从上述的定义可以看出，入侵检测的一般过程是：信息收集、信息(数据)预处理、数据的检测分析、根据安全策略做出响应。 入侵检测基本原理 入侵检测的一般过程 木马 木马是一种可以驻留在对方系统中的一种程序。 木马一般由两部分组成：服务器端和客户端。 驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。 木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。 木马的发展 第一代木马功能简单，主要对付Unix系统，Windows系统木马不多，第二代木马功能大大加强，几乎有现在木马的所有操作，国内有代表性的是冰河木马。第三代木马继续完善连接技术，增加木马的穿透防火墙功能，出现了“反弹端口”技术，国内有代表性的是“灰鸽子”。第四代增加了进程隐藏技术，使系统更加难以发现木马的存在与入侵的连接。 木马实现技术 木马连接方式 1)传统连接方式 即C/S连接方式，在这种连接方式下，远程主机开放监听端口等待外部连接，成为服务端，当入侵者需要与远程主机建立连接的时侯，就主动发出连接请求，从而建立连接。 客户端 远程主机 发出建立连接请求 客户端 远程主机 建立连接 2)反弹端口技术 a)远程主机主动寻找客户端建立连接，客户端开放端口等待连接 客户端 远程主机 发出建立连接请求 客户端 远程主机 建立连接 b) 客户端 远程主机 更新ip,port 中间代理，保存客户端ip,port 客户端 远程主机 获取客户端ip,port 中间代理，保存客户端ip,port 客户端 远程主机 发出建立连接请求 客户端 远程主机 建立连接 第一步 第二步 第三步 第四步 木马实现技术 自动启动技术 一般的方法是通过修改系统的注册表的方法，在注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run键值中加上要启动的程序的路径。 木马实现技术 隐藏技术 木马程序必须要实现隐藏，否则当木马程序运行后很容易被对方发现并清除。木马程序必须要做到在任务栏中，在任务管理器中隐藏自己。 (1)任务栏隐藏可以采用调用一些API函数的方法达到目的，如VC＋＋可使用ShowWindow(SW_HIDE )的方法。 (2)木马为了更好的隐藏自己，又出现了所谓的无进程木马。 1)用带木马功能的扩展名为DLL的动态链接库替换正常的动态链接库; 2)制作DLL木马，利用rundll32.exe 或svchost.exe执行;例如：rundll32 DLLname Fucntionname (Fucntionname是DLLname中导出的一个函数) 3)远程线程技术，即一个进程在另一个进程的虚拟空间中创建远程线程的方法进入那个进程的内存地址空间。 木马实现技术 种植技术 1)利用系统漏洞 MIME木马是把一个EXE文件用MIME编码为一个EML文件，放在网页上利用IE的编码漏洞实现自动下载和执行。 2