资源预览内容
第1页 / 共42页
第2页 / 共42页
第3页 / 共42页
第4页 / 共42页
第5页 / 共42页
第6页 / 共42页
第7页 / 共42页
第8页 / 共42页
第9页 / 共42页
第10页 / 共42页
亲,该文档总共42页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
常见黑客攻击及安全防御手段常见黑客攻击及安全防御手段绿盟科技 于慧龙1提纲提纲l常见的黑客攻击方法l常用的安全技术防范措施2常见的黑客攻击方法常见的黑客攻击方法319801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门会话劫持会话劫持擦除痕迹擦除痕迹嗅探嗅探包欺骗包欺骗GUI远程控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务www 攻击攻击工具工具攻击者攻击者入侵者水平入侵者水平攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS 攻击攻击2002高高入侵技术的发展入侵技术的发展4采用采用漏洞漏洞扫描扫描工具工具选择选择会用会用的的方式方式入侵入侵获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装系统系统后门后门获取敏感信息获取敏感信息或者或者其他攻击目的其他攻击目的入侵系统的常用步骤入侵系统的常用步骤5端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途较高明的入侵步骤较高明的入侵步骤6常见的安全攻击方法常见的安全攻击方法l直接获取口令进入系统:网络监听,暴力破解l利用系统自身安全漏洞l特洛伊木马程序:伪装成工具程序或者游戏等诱使用户打开或下载,然后使用户在无意中激活,导致系统后门被安装lWWW欺骗:诱使用户访问纂改过的网页l电子邮件攻击:邮件炸弹、邮件欺骗l网络监听:获取明文传输的敏感信息l通过一个节点来攻击其他节点:攻击者控制一台主机后,经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据l拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)72001年中美黑客大战年中美黑客大战l事件背景和经过4.1撞机事件为导火线4月初,以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击,约300个左右的站点页面被修改4月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,4月26日有人发表了 “五一卫国网战”战前声明,宣布将在5月1日至8日,对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道,评论,中旬结束大战8PoizonB0x、pr0phet更改的网页更改的网页中经网数据有限公司中经网数据有限公司中国科学院心理研究所中国科学院心理研究所国内某政府网站国内某政府网站国内某大型商业网站国内某大型商业网站9国内黑客组织更改的网站页面国内黑客组织更改的网站页面美国劳工部网站美国劳工部网站美国某节点网站美国某节点网站美国某大型商业网站美国某大型商业网站美国某政府网站美国某政府网站10这次事件中采用的常用攻击手法这次事件中采用的常用攻击手法l红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下: “我们更多的是一种不满情绪的发泄,大家也可以看到被攻破的都是一些小站,大部分都是NT/Win2000系统, 这个行动在技术上是没有任何炫耀和炒作的价值的。” l主要采用当时流行的系统漏洞进行攻击11这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞l用户名泄漏,缺省安装的系统用户名和密码l Unicode 编码可穿越firewall,执行黑客指令l ASP源代码泄露可远程连接的数据库用户名和密码l SQL server缺省安装l微软Windows 2000登录验证机制可被绕过l Bind 远程溢出,Lion蠕虫l SUN rpc.sadmind 远程溢出,sadmin/IIS蠕虫 lWu-Ftpd 格式字符串错误远程安全漏洞l拒绝服务 (syn-flood , ping )12这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞l用户名泄漏,缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码13这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞lWindows 2000登录验证机制可被绕过14混合型、自动的攻击混合型、自动的攻击混合型、自动的攻击混合型、自动的攻击 WorkstationVia EmailFile ServerWorkstationMail ServerInternet混合型攻击:蠕虫Web ServerVia Web PageWorkstationWeb ServerMail Gateway攻击的发展趋势攻击的发展趋势防病毒防病毒防火墙防火墙入侵检测入侵检测风险管理风险管理16攻击的发展趋势攻击的发展趋势l漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) l混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。 l主动恶意代码趋势制造方法:简单并工具化 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身,躲避甚至攻击防御检测软件.表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽,复制传播,难以检测。l受攻击未来领域即时消息:MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备17“红色代码红色代码”病毒的工作原理病毒的工作原理 1.病毒利用IIS的 .ida 漏洞进入系统并获得 SYSTEM 权限(微软在2001年6月份已发布修复程序 MS01-033)2.病毒产生100个新的线程99 个线程用于感染其它的服务器第100个线程用于检查本机, 并修改当前首页3.在7/20/01 时所有被感染的机器回参与对白宫网站 www.whitehouse.gov的自动攻击.18尼母达尼母达 Nimada的工作原理的工作原理l4 种不同的传播方式IE浏览器: 利用IE的一个安全漏洞 (微软在2001年3月份已发布修复程序 MS01-020)IIS服务器: 和红色代码病毒相同, 或直接利用它留下的木马程序. (微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)电子邮件附件: (已被使用过无数次的攻击方式)文件共享: 针对所有未做安全限制的共享19MYDOOM的工作原理的工作原理lW32.Novarg.Amm Symantec ,受影响系统: Win9x/NT/2K/XP/2003 l1、创建如下文件:%System%shimgapi.dll%temp%Message, 这个文件由随机字母通组成。%System%taskmon.exe, 如果此文件存在,则用病毒文件覆盖。2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器,并开启3127到3198范围内的TCP端口进行监听;3、添加如下注册表项,使病毒可随机启动,并存储病毒的活动信息。4、对www.sco.com实施拒绝服务(DoS)攻击,创建64个线程发送GET请求,这个DoS攻击将从2004年2月1延续到2004年2月12日;5、在如下后缀的问中搜索电子邮件地址,但忽略以.edu结尾的邮件地址:.htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt等;6、使用病毒自身的SMTP引擎发送邮件,他选择状态良好的服务器发送邮件,如果失败,则使用本地的邮件服务器发送; 7、邮件内容如下:From: 可能是一个欺骗性的地址;主题:hi/hello等。20常见的安全技术防范措施常见的安全技术防范措施21常用的安全防护措施常用的安全防护措施l防火墙l入侵检测l漏洞扫描l抗拒绝服务l防病毒l系统安全加固lSUS补丁安全管理22 访问控制访问控制 认证认证 NAT 加密加密 防病毒、内容过滤防病毒、内容过滤 流量管理流量管理常用的安全防护措施防火墙常用的安全防护措施防火墙23防火墙的局限性防火墙的局限性l防火墙不能防止通向站点的后门。l防火墙一般不提供对内部的保护。l防火墙无法防范数据驱动型的攻击。l防火墙本身的防攻击能力不够,容易成为被攻击的首要目标。l防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。24防火墙与防火墙与IDS联动联动时间Dt-Dt-Dt-Dt-检测时间检测时间检测时间检测时间Pt-Pt-Pt-Pt-防护时间防护时间防护时间防护时间Rt-Rt-Rt-Rt-响应时间响应时间响应时间响应时间Pt-Pt-Pt-Pt-防护时间防护时间防护时间防护时间 + + + +25入侵检测系统入侵检测系统 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警IDS Agent26入侵检测系统的作用入侵检测系统的作用l实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文l安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态,找出所需要的证据l主动响应主动切断连接或与防火墙联动,调用其他程序处理27漏洞扫描系统漏洞扫描系统地方网管地方网管scanner监控中心监控中心地方网管地方网管地方网管地方网管地方网管地方网管地方网管地方网管28市场部市场部工程部工程部routerouter r开发部开发部ServersServersFirewallFirewall漏洞扫描产品应用漏洞扫描产品应用29拒绝服务攻击拒绝服务攻击(DoS/DDoS)l网络层SYN FloodICMP FloodUDP FloodPing of Deathl应用层垃圾邮件CGI资源耗尽30SYN Flood原理原理l正常的三次握手建立通讯的过程正常的三次握手建立通讯的过程SYN (我可以连接吗?)(我可以连接吗?)ACK (可以)(可以)/SYN(请确认!)(请确认!)ACK (确认连接)(确认连接)发起方发起方应答方应答方31SYN Flood原理原理SYN (我可以连接吗?)(我可以连接吗?)ACK (可以)(可以)/SYN(请确认!)(请确认!)攻击者攻击者受害者受害者伪造地址进行伪造地址进行SYN请求请求为何还为何还没回应没回应就是让就是让你白等你白等不能建立正常的连接不能建立正常的连接32连接耗尽连接耗尽正常正常tcp connect攻击者攻击者受害者受害者大量的大量的tcp connect这么多这么多需要处需要处理?理?不能建立正常的连接不能建立正常的连接正常正常tcp connect正常正常tcp connect正常正常tcp connect正常正常tcp connect正常用户正常正常tcp connect33拒绝服务攻击的对抗拒绝服务攻击的对抗l网络层升级系统防止ping of death 等攻击通过带宽限制来防止flood攻击l应用层拒绝服务的抵抗通常需要在应用层进行特定的设计lSYN Flood与连接耗尽是难点34计算机病毒计算机病毒l程序型病毒 l引导型病毒 l宏病毒 l特洛伊木马型的程序l有危害的移动编码 35防病毒软件历史防病毒软件历史l单机版静态杀毒l实时化反病毒防病毒卡动态升级主动内核技术l自动检测技术:特征代码检测单特征检查法基于特征标记免疫外壳36防病毒技术发展防病毒技术发展l第一代反病毒技术采取单纯的病毒特征诊断,对加密、变形的新一代病毒无能为力;l 第二代反病毒技术采用静态广谱特征扫描技术,可以检测变形病毒误报率高,杀毒风险大;l 第三代反病毒技术静态扫描技术和动态仿真跟踪技术相结合;l 第四代反病毒技术基于病毒家族体系的命名规则基于多位CRC校验和扫描机理启发式智能代码分析模块、 动 态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块37企业级防病毒体系企业级防病毒体系l集中管理l多次防病毒体系38系统安全加固系统安全加固l基本安全配置检测和优化l密码系统安全检测和增强l系统后门检测l提供访问控制策略和工具l增强远程维护的安全性l文件系统完整性审计l增强的系统日志分析l系统升级与补丁安装39Windows系统安全加固系统安全加固l使用Windows update安装最新补丁;l更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全;l卸载不需要的服务;l将暂时不需要开放的服务停止;l限制特定执行文件的权限;l设置主机审核策略;l调整事件日志的大小、覆盖策略;l禁止匿名用户连接;l删除主机管理共享;l限制Guest用户权限;l安装防病毒软件、及时更新病毒代码库;l安装个人防火墙。40补丁安全管理(补丁安全管理(SUS)l英文全名叫“SOFTWARE UPDATE SERVICES ”lSUS可以用于Windows2000、XP以及.Net等系统的关键性更新任务。l参见SUS系统架构服务。41Q&A42
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号