长治钢铁集团网络安全设计方案.doc

摘 要 我们生活在一个信息化正在普及的时代,网络对于我们的影响不管从生活还是工作等方面,它都是无处不在的.而正是在我们这个啧啧称赞的信息化浪潮席卷全球的互联网时代，面对每年呈直线上升的各类病毒在网络恣意横行，无数网民和企业无不谈“毒”色变。然而仍有相当一部分的企业却认为下载几个盗版软件，或者购置几个基本的防毒设备便可万事大吉，正是因为企业这样为单纯节省经营成本，而未对网络安全防护工作引起足够的重视，当面对变异速度惊人的多种病毒的侵袭时，缺乏专业的防毒服务指导，致使其网络安全时刻处于危境之中，当病毒侵袭时，便造成其大量的经济损失，令目前部分企业的网络安全工作如履薄冰。 本论文针对长钢集团的这些安全问题制定出了专业的解决方案及防范措施。本设计共分4个章节。第1章介绍了长钢集团企业网络安全概述及整体方案设计；第2章对长钢集团公司企业网网络安全详细解决方案进行了；第3章进行了对长钢集团企业网络安全测试说明。还补充性地提出了一些其他的安全措施和策略，力求做到“万无一失”。但现实中并没有“万无一失”的系统，所以在对网络系统和硬件提出安全措施的同时，本论文也一再强调管理人员及用户的自我安全防范意识和知识，因为说到底，“人”才是这些诸多行为的实施者。 关键词：网络安全； 漏洞； 防范； 安全意识 目 录 引 言 1 第1章 长钢集团企业网络安全概述及整体方案设计 2 1.1 长钢集团网络需求分析 2 1.2 本方案所针对的长钢集团企业的网络情况 3 1.3 长钢集团企业网络安全需求 4 1.3.1 整体安全需求 4 1.3.2 长钢企业网络面临的主要问题 4 1.4 整体网络安全方案分析 5 第2 章 网络安全详细解决方案设计 7 2.1 拒绝服务攻击 7 2.2 分布式拒绝服务攻击 11 2.3 电子邮件的攻击 13 2.3.1 电子邮件攻击的概念 13 2.3.2 电子邮件攻击的原理 13 2.3.3 电子邮件攻击的防范 13 2.4 缓冲区溢出攻击 14 2.4.1 概念 14 2.4.2 防范措施 15 2.5 网络监听攻击 15 2.5.1 网络监听攻击概念 15 2.5.2 网络监听攻击途径 16 2.5.3 网络监听的防范 16 2.6 IP欺骗攻击 18 2.6.1 IP欺骗攻击的概念 18 2.6.2 IP欺骗攻击的防范 18 2.7 长钢集团企业系统监控安全策略 21 2.7.1 启用系统审核机制 21 2.7.2 日志监视 22 2.7.3 监视开放的端口和连接 22 2.7.4 监视共享 22 2.7.5 监视进程和系统信息 23 2.8 其他网络安全措施 23 2.8.1 采用漏洞扫描技术 23 2.8.2 启用入侵检测系统 23 第3章 网络安全测试 28 3.1 模拟黑客攻击之拒绝服务攻击（Denial of Service）测试 28 3.2 模拟黑客攻击之分布式拒绝服务攻击测试 28 3.3 模拟黑客攻击之电子邮件攻击测试 29 3.4 模拟黑客攻击之缓冲区溢出攻击测试 30 3.5 模拟黑客攻击之网络监听攻击测试 30 3.6 模拟黑客攻击之IP欺骗攻击测试 30 3.7 单机病毒测试 31 3.8 安全服务测试 31 3.9 在长钢集团公司网络遭受不可恢复后的应急能力测试 31 3.10 网络硬件方面的服务保障测试 31 结 论 33 参考文献 34 致 谢 35 引 言 信息科技的发展使得计算机的应用范围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极大地提升了企业的核心竞争力，使企业能在信息资讯时代脱颖而出。 企业利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性，使得企业的信息安全问题日益严重。如果不很好地解决这个问题，必将阻碍信息化发展的进程。 在这样的形式下，企业网络的安全就成为一个日渐严重的问题。 长钢集团公司作为一个国有大型钢铁企业，其信息网络化的发展也是与时具进的，因此企业网络安全也就必然成为其长足发展的一个关键问题，如果这个问题得不到解决，信息安全便没有保障。 在实际的调查过程中发现，即使像长钢集团公司这样大型的、具有多年发展历史的国有企业，其网络安全状况仍是令人堪忧的。虽然有关部门及人员在这方面已经做了不少工作，并且投入了相当的资金，但由于缺乏专业人员的指导和监督维护，导致安全漏洞触目惊心，病毒传播肆虐导致各终端服务器和用户机故障频发，企业职工及网络用户网络安全意识不足等。 本方案针对长钢企业网络所存在的数个较为突出安全问题，制定出专业的应对措施，并引申出全方位的安全防卫策略，努力为该企业网络打造一套较为完善的安全壁垒。 1 第1章 长钢集团企业网络安全概述及整体方案设计 1.1 长钢集团网络需求分析 1.长钢集团公司背景及其企业网络安全状况概述： 长治钢铁（集团）有限公司（以下简称长钢）创建于1947年， 是中国共产党在太行革命根据地建设的第一个炼铁厂，经过55年的发展，现已形成集采矿、炼焦、炼铁、炼钢、轧材、水泥制造、工程建设、房地产开发为一体，拥有30亿元固定资产，钢铁生产能力达260万吨，生产棒材、线材、热轧带肋钢筋、无缝钢管、矿渣水泥、环保墙体制品、螺钉和pp-r管等八大系列产品的大型国有企业。　　 随着企业的发展，网络逐渐渗透入企业文化及战略发展当中，网络的加盟，使得企业如虎添翼，得到了迅猛健康的发展。然而，剑有双刃，在带来巨大利益的同时，网络的安全问题也不得不引起人们的关注。综合而言，在企业网络化发展中，由此引致的弊端是： （1）外部安全：随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。而长钢集团不可避免的也遭受着来自企业外部的互联网外部攻击，如常见但破坏性极强的拒绝服务攻击（Denial of Service） 分布式拒绝服务（DDos）攻击、电子邮件的攻击、缓冲区溢出攻击、网络监听攻击、IP欺骗攻击等等，时刻威胁着企业的网络信息安全。 （2）内部安全：最新调查显示，在长钢集团企业网络中系统监控安全策略存在严重的漏洞，而在安全认证方面，更是缺乏严格的监管机制，同时在产品保障、设备运行安全、防电磁辐射、保安等等方面都严重缺乏，从而导致企业每年巨大的损失。 2. 网络安全技术作用 采用的网络安全技术主要作用有以下几点： (1) 采用多层防卫手段，将受到侵扰和破坏的概率降到最低； (2) 提供迅速检测非法使用和非法初始进入点的手段，核查跟踪侵入者的活动； (3) 提供恢复被破坏的数据和系统的手段，尽量降低损失； (4) 从企业内部加强安全监管机制，增强人员的安全意识。 1.2 本方案所针对的长钢集团企业的网络情况 1.长钢集团企业网络拓扑结构 (1) 集中型: 长钢集团采用集中型网络拓扑结构，在其企业核心设立完善的网络布局。电气公司（原计算机中心）和信息服务中心是长钢集团网络的两大核心。 在电气公司之下有数十个不同的部门，包括生产指挥调度、质量指标技术分析部门、理化验、采购部门、决策部门、财务部门、销售经营部、计划统计局、物流公司以及医院、食堂和学校等职工生活的机构；而信息服务中心主要负责长钢集团的宣传和新闻传播等，其下面有长钢电视台、长钢报社和印刷厂等。 长钢企业网采取专线接入、ADSL接入或多条线路接入等网络接入方式，网络中的终端总数在几百台到上千台不等。网络中有的划分了子网，并部署了与核心业务相关的服务 器，如数据库、邮件服务器、文档资料库、ERP服务器、WEB服务器、代理服务器和FTP服务器等。 经过考察，我们发现在企业网络安全设备极其缺乏，所以采购及更新了以下网络设备： l 连接设备：采用Cisco路由器和交换机进行网络间的连接； l 防火墙：在防火墙方面我们选用“瑞星企业级全功能NP防火墙（代号：RFW-100）”。 l 绿盟“极光”漏洞扫描系统 l 操作系统：统一使用Windows2000/2003操作系统 在后面的安全措施部分，我们将根据和围绕以上的网络结构和设备状况进行设计。 图1-1长钢企业网络拓扑结构 1.3 长钢集团企业网络安全需求 1.3.1 整体安全需求 在长期的使用过程中，由于长钢企业对网络的管理不善，使得网络中隐患重重。通过对网络系统的风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、安全性、可控性与可恢复性。即， （1）可用性： 企业网络在受到来自网络的恶意攻击时，仍能够有效运行； （2）机密性： 企业信息不暴露给未授权实体或进程； （3）完整性： 保证数据不被未授权修改； （4）可控性： 控制授权范围内的信息流向及操作方式； （5）可恢复性：在企业网络遭受破坏后，能够及时恢复，使其正常运行； 1.3.2 长钢企业网络面临的主要问题 在长钢企业网络实际安全问题中，我们发现主要存在以下的安全问题，并且在这些安全问题方面所实施的安全措施都是不足，甚至是空白的。在本方案中，其核心策略便是针对这些安全问题所制定的： （1）来自互联网的拒绝服务攻击； （2）以及更先进的分布式拒绝服务攻击； （3）电子邮件的攻击； （4）缓冲区溢出攻击； （5）网络监听攻击； （6）IP欺骗攻击； （7）网络主机中所存在的Windows下的安全策略缺陷； 1.4 整体网络安全方案分析 1.设计原则：针对长钢集团的网络系统实际情况，，考虑技术难度及经费等因素，设计时应遵循如下思想： (1)大幅度地提高系统的安全性和保密性； (2)保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； (3)易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； (4)尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展； (5)安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； (6)分步实施原则：分级管理 分步实施。 2.方案细则：通过对瑞星企业级全功能NP防火墙（代号：RFW-100）、Cisco路由器和趋势科技InterScan网关的设置和应用，以及其他安全策略的实施，解决长钢企业的网络所面临的主要安全问题 在以下的详细设计过程中将针对这些问题一一提出解决方案。 图1-2 整体安全设计架构 第2 章 网络安全详细解决方案设计 2.1 拒绝服务攻击 1.拒绝服务攻击概念、现象及防范措施 (1)拒绝服务攻击（Denial of Service）概念 DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。由于长钢企业网络环境复杂，从而经常遭受DOS攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。 (2)拒绝服务攻击（Denial of Service）现象 拒绝服务攻击（Denial of Service）行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。 图2-1 DOS攻击运行原理图 (3) 拒绝服务攻击（Denial of Service）的防范 发现攻击 在服务器上可以通过CPU使用率和内存利用率简单有效的查看服务器当前负载情况，发现服务器突然超负载运作，性能突然降低，这就有可能是受攻击的征兆。不过也可能是正常访问网站人数增加的原因。如何区分这两种情况：通过瑞星企业级全功能NP防火墙（代号：RFW-100）的数据流量监测功能和IP、端口监控功能，按照下面两个原则即可确定受到了攻击。 Ø 网站的数据流量突然超出平常的十几倍甚至上百倍，而且同时到达网站的数据包分别来自大量不同的IP。 Ø 大量到达的数据包(包括TCP包和UDP包)并不是网站服务连接的一部分，往往指向服务器机器任意的端口。如Web服务器，而数据包却发向FTP端口或其它任意的端口。 对于DOS攻击的防范和化解 Ø BAN IP地址法 确定网络受到攻击后通过使用瑞星RFW-100防火墙或者通过Cisco路由器设置使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效，因为DOS往往来自少量IP地址，而且这些IP地址都是虚构的伪装的。在防火墙或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦，需要对IP地址分析，将真正攻击的IP地址屏蔽。 根据瑞星RFW-100防火墙的日志分析来访者的IP，发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了。 瑞星RFW-100防火墙是独立于服务器的硬件防火墙，利用防火墙屏蔽不会消耗服务器系统资源。另一种比较有效的方法是通过防火墙日志定位非法IP段，然后将过滤条目添加到Cisco路由器上。Cisco路由器添加如下语句的访问控制列表进行过滤： cess-list 108 deny tcp 即可实现非法IP过滤的目的。 (提示：在访问控制列表中表示子网掩码需要使用反向掩码)。 Ø 增加SYN缓存法 上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能，自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议使用上面介绍的BAN IP法。而是可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。 修改SY缓存大小是通过注册表的相关键值完成的。修改方法如下: （a）WIN2003下拒绝访问攻击的防范： 第一步：“开始->运行->输入regedit”进入注册表编辑器。 第二步：找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。 提示：该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。 第三步：将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect键值，将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。 第四步：将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery键值，将其修改为0。这样可以限定攻击者的MTU大小，降低服务器总体负荷。 第五步：将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand 设置为1。 （b）WIN2000下拒绝访问攻击的防范： 在WIN2000下拒绝访问攻击的防范方法和2003基本相似，只是在设置数值上有些区别。下面做一下简单介绍。 第一步：将SynAttackProtect设置为2； 第二步：将EnableDeadGWDetect设置为0； 第三步：将EnablePMTUDiscovery设置为0； 第四步：将KeepAliveTime设置为300000； 第五步：将NoNameReleaseOnDemand设置为1； 总结：经过上面介绍的察觉攻击法，BAN IP法和最后的修改注册表法可以有效的防范DOS与DDOS的攻击。不过由于DDOS攻击的特点，实际上没有一台服务器能够彻底防范它，即使安装了专业的防范DDOS的硬件防火墙也不能百分之百的避免损失。 局域网层面问题 在局域网层面上，系统管理员可以采取大量的预防措施，防止DoS攻击带来的服务不能效应。具体预防措施如下： 保持坚实的整体管理和安全程序，针对各类DoS攻击，设计和实施特定的防卫措施等等，如关闭和监控1433、3899、4899、21端口这类较常被黑客利用和入侵的端口。 Ø 与特定DoS攻击类型有关的其它方法如下：关闭或限制可能被损坏或暗中破坏的特定服务。如关闭以下服务： Ø 察看本地共享资源； Ø 运行-cmd-输入net share； Ø 删除共享（重起后默认共享仍然存在）； Ø 停止server服务； Ø 禁止自动打开默认共享（此操作并不能关闭ipc$共享）运行-regedit： server版:找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。 pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。 这两个键值在默认情况下在主机上是不存在的，需要手动添加，修改后重起机器使设置生效。 Ø 关闭ipc$和默认共享依赖的服务:server服务 控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-选已禁用，这时可能会有提示说：XXX服务也会关闭是否继续，因为还有些次要的服务要依赖于server服务，忽略。 (4)网络传输层问题 首先，为无线传输层安全协议增加握手定时器、数据定时器，通过握手定时器抵御退出握手攻击，再采用访问控制机制，通过数据定时器和访问控制机制的结合抵御退出安全连接攻击，最后，使用服务器随机数响应机制和客户端谜语机制抵御指数运算攻击。 (5)保护网络基础设施 保护基础设施的关键是： Ø 维护独立的访问列表； Ø 紧密管理转发控制和负载均衡功能； Ø 进行严格的设计测试，以确保系统容错能力。 2.2 分布式拒绝服务攻击 1.分布式拒绝服务攻击概念、现象及防范措施 (1)概念 DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。而DDoS利用更多的傀儡机来发起进攻，以比DOS更大的规模来进攻受害者。 (2)被DDoS攻击时的现象： 被攻击主机上有大量等待的TCP连接； 网络中充斥着大量的无用的数据包，源地址为假； 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯； 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求； 严重时会造成系统死机； 图2-2 DDOS攻击运行原理图 (3)目前为止，进行DDoS攻击的防御还是比较困难的。长钢企业网络防范DDOS攻击要从以下几个方面来做： 企业网管理员：网管员做为一个企业内部网的管理者，应从主机与网络设备两个角度去考虑。 主机上的设置 总结一下抵御DoS的设置，基本的有几种： Ø 关闭不必要的服务； Ø 限制同时打开的Syn半连接数目； Ø 缩短Syn半连接的time out 时间； Ø 及时更新系统补丁； 网络设备上的设置 　　企业网中的防火墙与路由器这两个设备是连接到外界的接口设备，防DDoS设置如下： Ø 瑞星RFW-100防火墙，防DDOS设置如下： l 禁止对主机的非开放服务的访问； l 限制同时打开的SYN最大连接数； l 限制特定IP地址的访问； l 启用防火墙的防DDoS的属性； l 严格限制对外开放的服务器的向外访问； l 第五项主要是防止自己的服务器被当做傀儡机器去害人。 Ø Cisco路由器 ，防DDOS设置如下： l Cisco EXPress Forwarding（CEF）； l 使用 unicast reverse-path； l 访问控制列表（ACL）过滤 ； l 设置SYN数据包流量速率； l 升级版本过低的ISO； l 为路由器建立log server。 使用CEF和Unicast设置时要特别注意，使用不当会造成路由器工作效率严重下降，升级IOS也应谨慎。路由器是网络的核心设备，进行设置修改时先不保存。Cisco路由器有两份配置startup config和running config，修改的时候改变的是running config，可以让这个配置先工作一段时间（三五天的就可），确认可行后再保存配置到startup config；如果不满意想恢复原来的配置，用copy start run。 ISP / ICP管理员 在防DDoS时，除了与企业网管理员一样的手段外，还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。管理员和用户搞好关系,做到人员安全素质的提高,才能使得ISP的主机更安全一些，被黑客攻击的可能性也小一些,损失才能降至最小。 骨干网络运营商 提供了互联网存在的物理基础。与骨干网络运营商很好地合作，DDoS攻击可以很好地被预防。方法：运营商在自己的出口路由器上进行源IP地址的验证，如果在自己的路由表中没有到这个数据包源IP的路由，就丢掉这个包。这种方法可以阻止黑客利用伪造的源IP来进行DDoS攻击。 总结：DDOS防范困难，但首先应将网络与主机维护好，首先让企业内部的主机不成为别人利用的对象去攻击别人；其次，在受到攻击的时候，要尽量地保存证据，以便事后追查，一个良好的网络和日志系统是必要的。 2.3 电子邮件的攻击 2.3.1 电子邮件攻击的概念 电子邮件攻击，是目前长钢企业遭受最多的一种商业攻击，也可称为邮件炸弹攻击。目前有许多邮件炸弹软件，虽然操作有所不同，成功率也不稳定，但是有一点就是他们可以隐藏攻击者不被发现。 2.3.2 电子邮件攻击的原理 对某个或多个邮箱发送大量的垃圾邮件，使网络流量加大占用处理器时间，消耗系统资源，从而使系统瘫痪；或者在邮件中夹带邮件炸弹“炸爆”邮箱；再者就是在邮件中附带带有病毒的网站地址，等待邮箱使用者上钩。 2.3.3 电子邮件攻击的防范 在以往的长钢企业邮件服务器上，经常会遭受来自电子邮件的攻击，具体情况如下： （1）针对电子邮件攻击的简单防范技巧： Ø 回复转发的死循环 l 进攻方式 通过邮箱的转发和自动回信功能，从只带有自动回信功能的邮箱中，向带有转发和自动回信功能的邮箱中发送邮件。 由于攻击信箱都带有自动回信，所以就进行循环发信，这样目标邮箱很快就被填满了。 l 防范技巧 网管人员登录到自己的Web邮箱中，进入垃圾邮件设置页面，然后将邮箱设置为垃圾邮箱即可。 Ø “胀”破邮箱容量 l 攻击方式：申请一个邮箱，开启匿名功能。使用如Outlook这些邮件工具，发送一个大容量的附件，在启动Outlook中的切分功能后，进行发送。 l 防范技巧：登录到Web邮箱，进入邮箱的系统设置中。设置可以接收最大邮件的大小。这样就可以将大于此容量的邮件拒绝在邮箱以外。 Ø 基于软件的攻击 l 攻击方式：启动专门的邮箱炸弹软件——邮箱终结者，在“轰炸地址”里输入要攻击的邮箱地址。设置邮件的发送服务器，在邮箱下方设置发送量和发送邮件的线程数目，点击“开始”按钮，进行攻击。 l 防范技巧：登录到Web邮箱，进入设置页面，在可信任人页面中，输入可以接收哪些邮箱地址。这样就只有被列入了此项中的邮箱发送的邮件可以被接收，而其他的邮件将全部被拒绝。 (2)通过瑞星RFW-100防火墙的邮件防火墙功能进行防范； 开启瑞星RFW-100防火墙的邮件防火墙功能，使用默认的安全等级及安全策略即可。 2.4 缓冲区溢出攻击 2.4.1 概念 缓冲区溢出是较为复杂的黑客攻击手段，虽然其在长钢企业网络中不常见，但一旦遇到，损害将是难以估量的。所以对其应给予足够重视。缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上。操作系统所使用的缓冲区又被称为堆栈，在各个操作进程之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。 一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。 2.4.2 防范措施 缓冲区溢出攻击的防范是和整个系统的安全性分不开的。如果整个网络系统的安全设计很差，则遭受缓冲区溢出攻击的机会也大大增加。针对缓冲区溢出，可以采取多种防范策略。 （1）关闭不需要的特权程序 由于缓冲区溢出只有在获得更高的特权时才有意义，所以带有特权的Windows下由系统管理员启动的服务进程都经常是缓冲区溢出攻击的目标。关闭一些不必要的特权程序就可以降低被攻击的风险。如Solaris下的fdformat是个有缓冲区溢出漏洞的suid程序，去掉这个程序或者去掉suid位。当有缓冲区溢出漏洞的程序还没有补丁时，就可以用这种方法。 （2）及时给程序漏洞打补丁 这是漏洞出现后最迅速有效的补救措施。大部分的入侵是利用一些已被公布的漏洞达成的，如能及时补上这些漏洞，无疑极大的增强了系统抵抗攻击的能力。 这两种措施对管理员来说，代价都不是很高，但能很有效地防止住大部分的攻击企图。 另外在防火墙安全方面，可以通过设置瑞星RFW-100防火墙的缓冲区溢出攻击功能和通过签名检测缓冲区溢出攻击，以加强缓冲区溢出攻击的防范。 2.5 网络监听攻击 2.5.1 网络监听攻击概念 长钢企业属于商业机构，所以其信息的安全性就显得尤为重要。为了保障信息不被泄露，对网络监听的防范就更加重要了。在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。 在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处。 2.5.2 网络监听攻击途径 （1）数据帧的截获； （2）对数据帧的分析归类； （3）dos攻击的检测和预防； （4）IP冒用的检测和攻击； （5）在网络检测上的应用； （6）对垃圾邮件的初步过滤。 2.5.3 网络监听的防范 1.发现 网络监听的检测非常困难，这意味着更大的安全危害。虽然成功检测到网络监听难度很大，但网络监听并非无懈可击，通过采取积极有效的措施，能够发现它的蛛丝马迹。 首先，监听非常消耗CPU资源。当系统运行网络监听软件时，系统因负荷过重，而对外界的响应很慢。因此，对于怀疑运行监听程序的主机，可用正确的IP地址和错误的物理地址去探测(如Ping)，运行监听程序的主机会有响应。这是因为正常的主机不接收错误的物理地址，而处于监听状态的主机能接收。另外，可向网上发送大量目的地址根本不存在的数据包，由于监听程序将处理这些数据包，会导致主机性能下降。通过比较该主机前后的性能，就可以作出判断。当前，有两个比较可行的办法：一是搜索网上所有主机运行的进程，并确定是否有一个进程被从管理员主机上启动；二是搜查监听程序。现在监听程序只有有限的几种，管理员可以检查目录，找出监听程序。 还有两个方法在发现监听方面比较有效，：一是检查被怀疑主机中是否有一个随时间不断增长的文件存在，因为网络监听输出的文件通常很大，且随时间不断增长。二是通过运行iPconfig命令，检查网卡是否被设置成了监听模式；或使用Ifstatus工具，定期检测网络接口是否处于监听状态。当网络接口处于监听状态时，很可能是入侵者侵入了系统，并正在运行一个监听程序 2.防范 网络监听的防范一般比较困难，通常可采取数据加密和网络分段两种方法： (1) 数据加密。数据加密，即使攻击者获得了数据，如果不能破译，这些数据对他也是没有用的。 DES加密算法：将数据分成长度为64位的数据块，其中8位用作奇偶校验，剩余的56位作为密码的长度。第一步将原文进行置换，得到64位的杂乱无章的数据组；第二步将其分成均等两段；第三步用加密函数进行变换，并在给定的密钥参数条件下，进行多次迭代而得到加密密文。 RSA非对称加密：通过对整个明文进行某种变换，得到一个值，作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文，则签名有效，证明对方的身份是真实的。当然，签名也可以采用多种方式，例如，将签名附在明文之后。数字签名普遍用于长钢企业的银行帐目往来和贸易交往等。 (2)网络分段。即采用网络分段技术，建立安全的网络拓扑结构，将长钢企业网整体网络分成若干个小的网络，并将其中一些部门、一些办公室等可以相互信任的主机放在一个物理网段上，网段之间再通过网桥、交换机或路由器相连，实现相互隔离。这样，即使某个网段被监听了，网络中其他网段还是安全的。因为数据包只能在该子网的网段内被截获，网络中剩余的部分(不在同一网段的部分)则被保护了。 （3）瑞星防火墙：通过瑞星RFW-100防火墙的网络活动监视功能显示系统TCP/UDP连接的信息,包括所有TCP/UDP监听；通过端口监视功能，监控所有活动的端口。 图2-3 网络监听实现模型 2.6 IP欺骗攻击 2.6.1 IP欺骗攻击的概念 IP欺骗技术就是伪造某台主机的IP地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机，这台主机往往具有某种特权或者被另外的主机所信任。服务器发送一个。服务器接收到带有RST位的TCP数据段后，认为发送的连接有错误，就会清空缓冲区中建立好的连接。攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。 2.6.2 IP欺骗攻击的防范 这种攻击的关键是相对粗糙的初始序列号变量在Berkeley系统中的改变速度。TCP协议需要这个变量每秒要增加25000次。Berkeley 使用的是相对比较慢的速度。但是，最重要的是，是改变间隔，而不是速度。 看一个计数器工作在250000Hz时是否有帮助，先忽略其他发生的连接，仅仅考虑这个计数器以固定的频率改变。 为了知道当前的序列号，发送一个SYN包，收到一个回复： X---S: SYN(ISN X ) S---X: SYN(ISN S ) ,ACK(ISN X ) (1)。 第一个欺骗包，它触发下一个序列号，能立即跟随服务器对这个包的反应： X---S: SYN(ISN X ) ,SRC = T (2)。 序列号ISN S用于回应了： S---T: SYN(ISN S ) ,ACK(ISN X )。 是由第一个消息和服务器接收的消息唯一决定。这个号码是X和S的往返精确的时间。这样，如果欺骗能精确地测量和产生这个时间，即使是一个4-U时钟都不能击退这次攻击。 抛弃基于地址的信任策略 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r＊类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。 进行包过滤 长钢企业的网络是通过路由器接入Internet 的，那么可以利用该企业的Cisco路由器来进行包过滤。确信只有企业内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。该企业的Cisco路由器可以帮助我们过滤掉所有来自于外部而希望与内部建立连接的请求。 使用加密方法 阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时，可能加密方法最为适用。 使用随机化的初始序列号 序列号不是随机选择的或者随机增加的。Bellovin 描述了一种弥补TCP不足的方法，就是分割序列号空间。每一个连接将有自己独立的序列号空间。序列号将仍然按照以前的方式增加，但是在这些序列号空间中没有明显的关系。 Cisco路由器中MAC地址与IP地址的绑定： Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。 1.方案1——基于端口的MAC地址绑定 登录进入交换机，输入管理口令进入配置模式，敲入命令： Switch#config terminal ＃进入配置模式 Switch(config)# Interface fastethernet 0/1 ＃进入具体端口配置模式 Switch(config-if)#Switchport port-secruity ＃配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) ＃配置该端口要绑定的主机的MAC地址 Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) ＃删除绑定主机的MAC地址 注意： 以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。 2.方案2——基于MAC地址的扩展访问列表 Switch(config)Mac access-list extended MAC10 ＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10 （转载注明出处n et130） Switch(config)permit host 0009.6bc4.d4bf any ＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf ＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config-if )interface Fa0/20 #进入配置具体端口的模式 Switch(config-if )mac access-group MAC10 in ＃在该端口上应用名为MAC10的访问列表 Switch(config)no mac access-list extended MAC10 ＃清除名为MAC10的访问列表 此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。 3.方案3——IP地址的MAC地址绑定 只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。 Switch(config)Mac access-list extended MAC10 ＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any ＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf ＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config)Ip access-list extended IP10 ＃定义一个IP地址访问控制列表并且命名该列表名为IP10 Switch(config)Permit 192.1