壹.《電腦網路犯罪與安全介紹》
一.惡意軟體
1.病毒(Virus):一種通常在你不知道的情況下會自我複製、散佈或隱藏在其他程式內的小型程式
2.特洛伊木馬程式(Trojan):看似是友善的軟體,但卻會開啟後門、秘密下載病毒或是某些其他型態的惡意軟體到你的電腦上
3.間諜軟體(Spyware):一個會監視你在電腦做了什麼事的軟體
二.破壞系統安全性
1.社會工程(Social engineering):利用詐欺的方式來讓使用者提供可以用來存取系統的必要資訊
2.撥號攻擊(war-dialing):駭客設置一台電腦並依序撥電話號碼,直到有其他電腦回應後,則嘗試進入該系統
3.駕駛攻擊(war-driving):為撥號攻擊的衍生,利用相同概念來找尋有弱點的無線網路
4.阻斷服務攻擊(DoS):攻擊者並沒有要存取系統,而只是簡單地阻擋合法使用者存取系統。常見方法是利用大量的錯誤連線要求來癱瘓目標系統,使得此系統無法回應合法的要求
三.人物
1.駭客(hacker):大部分的人用它來描述和侵入電腦系統的人。真正指的是特定系統的專家,或是想要學習更多關於系統知識的人
2.白帽駭客(white hat hackers):在系統中找到弱點後回報給系統製造商
3.黑帽駭客(black hat hackers):為媒體所描述的駭客,也稱為怪客(cracker)。一旦他們取得系統的存取權,其目的就是造成某些型態的損害
4.灰帽駭客(gray hat hackers):通常是守法的公民,但是在某些狀況下可能會冒險進行依些非法的行為。灰帽駭客會因為他們認為是有道德的理由來進行非法的活動。
5.腳本小子(Script Kiddies):自稱是駭客,但其實缺乏經驗和技術,這類人通常只是下載並使用駭客入侵的工具,而沒有真正去了解目標系統
6.思匿客(Sneeker):被聘請來評估系統的弱點
四.安全性裝置
1.防火牆(Firewall):網路與外界的屏障
2.代理伺服器(Proxy Server):用來攔截所有對真正伺服器所提出的要求,並檢查自己是否能滿足這些要求。如果不行,代理伺服器才會把這個要求傳送給真正的伺服器
3.入侵偵測系統(Intrusion Detection System,IDS):監視網路訊務,看看是否有可疑的活動,並指出可能的入侵意圖
五.活動
1.飛客入侵(Phreaking):一種包含了入侵電話系統的專業駭客入侵方式,這類駭客通常對電信具有相當的專業知識
2.認證:用來確認一個使用者或其他系統的登入身分,是不是被授權可以存取網路資源
3.稽核(Auditing):檢視日誌、記錄、與程序,以確認它們是否符合標準的過程
貳.《電腦網路與網際網路》
一.OSI模型
1.實體層:定義傳輸媒介的規格
2.資料鏈結層:定義存取實體層的方法。通訊協定:SLIP、PPP
3.網路層:提供決定網路上資訊的路由。通訊協定:IP、ICMP
4.傳輸層:提供點對點的傳輸控制。通訊協定:TCP
5.會議層:負責網路連線前的工作。通訊協定:NetBIOS
6.表現層:負責將傳輸的資料以有意義的形式表現給使用者
7.應用層:提供應用程式的服務。通訊協定:POP、SMTP、DNS、FTP、Telnet、ARP
二.電腦網路基礎
1.IP(網際網路通訊協定):定義封包的格式及定址方式
2.媒體存取控制位址(MAC addresses):為網卡唯一的地址
3.ARP(位址解析通訊協定):將IP位址轉為MAC位址
4.DNS(網域名稱伺服器):將網址轉為IP位址
5.TCP(傳輸控制通訊協定):電腦間建立連線並互傳資料
6.UDP(使用者資料包通訊協定):主機可以在沒有建立連線的情況下傳送封包給接收者
7.ICMP(網際網路控制訊息通訊協定):為IP的延伸,用來傳送與接收包含錯誤、資訊、控制訊息的封包
8.HTTP(超文件傳輸通訊協定):顯示網頁
9.FTP(檔案傳輸通訊協定):在電腦間傳送檔案
10.SMTP(簡易郵件傳輸通訊協定):傳送電子郵件
11.POP(郵局傳輸通訊協定):接收電子郵件
12.Telnet:用來遠端登入一個系統
13.NetBIOS:區網上系統的通訊協定
14.IRC(網際網路即時聊天室):用於網路聊天室
15.NNTP(網路新聞傳送通訊協定):用於網路新聞
三.網際網路運作方式
1.子網路(Subnet):一個網路中具有相同子網路位址的主機集合
2.子網路遮罩(Subnet Mask):用來描述IP的主機位址中哪個部分是指向子網路,而哪一部份是指向主機
參.《評估系統安全性》
1.www.netcraft.com 可取得觀魚目標網頁伺服器的資訊
2.www.visualware.com -> Live Demo 可取得追蹤你與目標系統之間的連線
3.Nmap 可利用IP找出開啟的通訊埠與服務
4.通訊埠掃描(port scanning)會送出封包到目標系統上的每個通訊埠,並檢查是否為開啟狀態
5.每個通訊埠都有一個對應的服務,而這些服務可能具有弱點
6.Nessus 可掃描系統上的弱點
7.NetStat Live 可監視TCP/IP通訊協定
8.Active Ports 可監視TCP 與 UDP通訊埠
肆.《阻斷服務攻擊》
一.概述
1.分散式阻斷服務攻擊(DDoS):由許多不同機器一起發的DoS
2.DoS弱點:只要停止發送封包,目標系統就會還原。因此常搭配TCP劫持一起使用
二.DoS攻擊
1.TCP SYN洪泛攻擊(SYN flood):快速地傳送出大量的連線需求,並且不回應伺服器回傳的回覆訊息,或者也可以提供假來源IP位址的訊息。如此會使連線在伺服器上保留半開的狀況,而原先保留在伺服器上的緩衝區記憶體也無法被其它應用程式使用
﹡基本防禦技巧包含:1.SYN Cookies2.RST Cookies3.Stack Tweaking
2.Smurf IP攻擊:送出一個ICMP封包到網路上的廣播位置。收到這些封包的主機會將回應封包回送到假造的來源地址
﹡基本防禦技巧包含:1.預防特洛伊木馬2.使用代理伺服器隱匿IP3.禁止取向廣播(directed broadcast)
3.UDP洪泛攻擊:攻擊者會對目標系統的任意通訊埠發送UDP封包。當目標系統收到UDP封包時,會自動判定哪一個程式正在此通訊埠等待。然而在此情況下,因為該通訊埠沒有程式在等待,所以目標系統會產生一個"無法到達目的"的ICMP封包回送給假的位址
4.ICMP洪泛攻擊:分為洪泛型態及核武型態(nuke)。洪泛型態是藉由廣播大量的ping或UDP封包來完成;核武型態則是利用特定作業已知的軟體錯誤(bug)下,發送大量帶有目標作業系統無法處理的封包
﹡可在防火牆上增加特殊的規則來過濾這些封包
5.Ping of Death(PoD)攻擊:因TCP封包是有大小限制的,此攻擊會利用傳送個過大的封包使系統超載
6.Teardrop攻擊:攻擊者會送出一個被切割過的訊息,其中有兩個訊息片段有部份重疊而使得不可能在破壞封包標頭的情況下進行重組。因此當目標想要重新建立訊息時,訊息就會被毀掉
7.Land攻擊:攻擊者會送出一個具有相同來源與目標位址的偽造封包
8.Echo/Chargen攻擊:利用字元產生器(chargen)服務來耗用目標系統的資源。攻擊者會建立一個指向系統echo假的網路會談,並偽裝成來自本地端的echo服務,然後指向字元產生器以形成一個"迴路"。
9.中間人攻擊(Man-in-the-Middle Attack):攻擊者會在客戶端或伺服器端使用網路竊聽器(sniffer),並偽裝成該端。有時攻擊者會先癱瘓伺服器端再偽裝
三.如何防禦DoS攻擊
1.把防火牆設定為完全不允許任何向內的傳輸,可阻擋任何通訊協定
2.阻擋ICMP封包
3.利用NetStat偵測某些DoS工具所帶來的威脅。此類型偵測工具可設定乘尋找SYN_RECEIVED狀態,就可指出可能的SYN洪泛攻擊
4.若你的網路大到足以擁有內部的路由器,就可將路由器設定為不允許任何不是來自於你的網路的訊務
5.關閉所有路由器上取用IP的廣播
6.在路由器上安裝過濾器,用來檢查外部封包是否真的具有外部IP位址及內部封包是否真的具有內部IP位址
伍.《惡意軟體》
一.病毒
1.病毒擴散的方法:1.掃描電腦中所有的網路連線,然後將自己複製到電腦可以存取的其它電腦上2.讀取電子郵件中的通訊錄,並將自己寄給通訊錄上的所有人
二.緩衝區溢位攻擊(buffer overflow或buffer overrun)
1.攻擊者會放入大於緩衝區能負荷大小的資料
三.間諜軟體
1.www.cexx.org 列出許多知名的間諜軟體,並提供移除的方法
2.www.spywareguide.com 提供惡意軟體
四.其它形式的惡意軟體
1.Rootkit:用來掩護攻擊者的非法入侵,並取得管理者權限以存取電腦或網路的工具。此工具同時包含:1.監視訊務與鍵盤側錄2.建立後門3.修改日誌檔4.攻擊網路上其它的機器5.修改現有的系統工具以避免被偵測出來
陸.《加密》
一.密碼系統的基本原理
1.密碼系統兩種基本型態:1.換位(transposition):簡單地利用回文的方式將訊息中的字母重新排列2.替換(substitution):將字母表中的每一個字母用另個不同的字母或數字來取代
二.古代加密法
1.凱撒加密法(Caesar cipher):又稱單字母替換法。所有字母都在字母表上向後(或向前)按照一個固定數目進行偏移後被替換
2.多字母替換法(multi-alphabet substitution):選擇多個位移的字母來替換
三.近代加密法
1.單一金鑰(對稱式)加密法:相同的金鑰被用來加密與解密一個訊息
2.公開金鑰(非對稱式)加密法:有一把金鑰用來加密一個訊息(稱為公開金鑰),而有另一把金鑰用來解密訊息(稱為私密金鑰)
四.虛擬私人網路(VPN)
利用網路建立遠端使用者或地點與一個重要位置之間虛擬連線的方法。在這個連線上的封包都是被加密的
1.點對點通道通訊協定(PPTP):提供兩種方法對使用者認證1.可延伸的驗證通訊協定(EAP)2.通關檢驗通訊協定(CHAP)
2.第2層通道通訊協定(L2TP):為改善PPTP所設計,除PPTP與EAP外新增1.密碼驗證通訊協定(PAP)2.Shiva密碼驗證通訊協定(SPAP)3.MS-CHAP
3.網際網路安全通訊協定(IPSec):不只對封包加密,也會對標頭資訊加密。也可以避免未經授權的封包傳送
柒.《網際網路詐騙與電腦網路犯罪》
一.網際網路詐騙
1.網路釣魚(Phishing):利用宣稱由合法來源寄出的電子郵件並意圖讓收件者洩漏機密的資料
捌.《電腦網路上的產業間諜活動》
一.避免產業間諜
1.總是使用所有合理的網路安全:防火牆、入侵偵測軟體、反間諜軟體、修補並更新作業系統與適當的使用政策
2.只讓公司員工存取他們在工作上絕對需要的資料。採用一個"必須知道"的方法。不要抑制討論或想法的交換,但是對於機密資料必須非常小心
3.替可以存取機密資料的員工架設一個支援輪替與職責分離的系統。在這個方法中,沒有一個員工可以同時存取並控制所有重要的資料
4.限制組織可攜式儲存媒體的數量,並且管理對於這些媒體的存取。記錄對於這些媒體的使用以及儲存的內容。有些組織甚至禁止使用行動電話,以避免手機上的拍照功能
5.不允許員工攜帶文件或儲存媒體回家。帶資料回家可能代表員工利用自己的時間工作,但也可能代表產業間諜在複製重要文件與資訊
6.利用碎紙機將文件切碎並且銷毀舊的磁碟機、備份磁帶與CD
7.對員工進行背景調查。特別調查工作性質是必須存取大量資料的IT人員
8.當任何員工離開公司的時候,仔細地掃描他們的個人電腦。看看是否有不恰當的資料被保存在機器上。如果有懷疑任何不當使用的理由,就要保留電腦上的證據以供法律訴訟使用
9.保留所有的磁帶備份、機密文件與其它用鎖鑰管理的媒體,並限制存取
10.如果使用可攜式電腦,就得對硬碟加密
11.讓所有會存取任何機密資訊的員工簽署保密協議。這份保密協議可以讓雇主在離職員工洩漏機密資訊時保留法律追訴權
玖.《電腦安全的硬體和軟體》
一.防火牆的種類與構成要素
1.屏障式防火牆(Screening firewall):又稱封包過濾式防火牆。它只是基於組態設定檔中的規則來檢查進入內部網路的封包,並不會檢查封包內容、與先前的封包做比較或是提供任何的使用者認證,因此容易受到ping或SYN洪泛攻擊。在大部分情況下,封包過濾式防火牆會用來作為堡壘主機(bastion host)。一個堡壘主機是網際網路與私人網路之間唯一的銜接點,通常只能執行有限的服務
2.應用程式閘道器(Application gateway):又稱應用程式(層)代理伺服器,是在防火牆上執行的程式。當一個客戶端程式欲與一個目的端服務建立連線時,它會先連線到應用程式閘道器或代理伺服器。然後客戶端程式會與代理伺服器進行協商,以取得目的端服務的存取權限
3.電路層閘道器(Circuit-level gateway):轉送TCP連線,但不會對通訊協定進行額外的處理或過濾。此系統會先檢查使用者名稱或是IP位址來進行個別的驗證,才能讓你取得與路由器建立連線的存取權限。此種方法不適合用於電子商務網站,因並不支援URL的過濾功能
二.防火牆如何檢查封包
1.狀態封包偵測(SPI):防火牆會檢查每一個封包,然後不但可以根據目前封包的檢查結果也可根據此連線先前的封包所獲得的資料來決定拒絕或允許封包進入
2.無狀態封包偵測:不會去檢查每個封包的內容,也不會檢查TCP連線中封包的前後關係
三.防火牆的組態設定
1.網路主機式(Network host-based):安裝在主機上的軟體解決方案
2.雙介面主機(Dual-homed host):在至少具有兩個網路介面的伺服器上執行的防火牆。
3.路由器式防火牆(Router-based firewall):在路由器上實作防火牆。這通常是第一層防護
4.屏障式主機(Screened host):通常結合堡壘主機一起使用。它是訊務的第一站,只有當屏障式路由器允許訊務通過時才能讓整個通訊繼續下去
四.入侵偵測軟體(IDS)分類
1.誤用偵測(Misuse Detection)vs異常偵測(Anomaly Detection)
誤用偵測型會分析所收集的資訊並與龐大的攻擊特徵資料庫進行比對
異常偵測型會搜尋任何異常行為,只要偵測到有與平常使用者存取模式不同的行為,就會被記錄下來
2.被動式系統(passive systems)vs回應式系統(reactive systems)
被動式系統中,IDS會偵測可能危害安全的行為,然後記錄並發出警告
回應式系統中,IDS會透過讓可疑使用者登出或是重新設定防火牆,來阻擋從惡意來源端而來的網路訊務,以回應發現的可疑行為
3.網路型系統(network-based systems)vs主機型系統(host-based systems)
在網路型系統(NIDS)中,每個通過網路的封包都會被分析
在主機型系統(HIDS)中,每部電腦或主機的行為都會被檢查
五.IDS的使用方法
1.事先阻斷(Preemptive Blocking):藉由注意即將發生的危險徵兆並阻斷這些徵兆來源的使用者或是IP
2.滲透(Infiltration):從各種非法來源獲取資訊
3.入侵誘捕(Intrusion Deflection):建立一個假的系統,可能是在子網路中的一台伺服器。透過讓該系統看起來擁有機密資料來吸引入侵者。目的是仔細監視任何人在此系統上的存取行為。因為不會有合法的使用者會存取這個系統,所以可以知道任何存取此系統的人就是入侵者
4.入侵嚇阻(Intrusion Deterrence):隱藏系統有價值的一面,或是提高入侵者可能被察覺的風險
沒有留言:
張貼留言