常見攻擊與防御培訓(xùn)材料

1、常見攻擊與防御常見攻擊與防御入侵方式入侵方式v 入侵目標(biāo) 系統(tǒng)入侵 互聯(lián)網(wǎng)設(shè)備入侵 應(yīng)用入侵 物理入侵 人腦入侵 獲取口令SniffARP Spoof中間人攻擊口令猜測破解口令漏洞利用緩沖區(qū)溢出SQL 注入代碼注入社會(huì)工程學(xué)掃描的技術(shù)分類掃描的技術(shù)分類存活性掃描端口掃描漏洞掃描OS識(shí)別掃描流程主機(jī)掃描技術(shù)主機(jī)掃描技術(shù)v 主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息收集的初級(jí)階段，其效果直接影響到后續(xù)的掃描。v 常用的傳統(tǒng)掃描手段有： ICMP Echo掃描 ICMP Sweep掃描 Broadcast ICMP掃描 Non-Echo ICMP掃描v 防火墻和網(wǎng)絡(luò)過濾設(shè)備常常導(dǎo)致傳統(tǒng)

2、的探測手段變得無效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯(cuò)誤信息的手段，往往可以更有效的達(dá)到目的：v 非常規(guī)的掃描手段有： 錯(cuò)誤的數(shù)據(jù)分片：發(fā)送錯(cuò)誤的分片（如某些分片丟失） 通過超長包探測內(nèi)部路由器：超過目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標(biāo)志端口掃描端口掃描v 一個(gè)端口就是一個(gè)潛在的通信通道，即入侵通道v 當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。v 很多基于端口的掃描器都以端口掃描后的返回?cái)?shù)據(jù)作為判斷服務(wù)狀態(tài)的依據(jù)v 端口掃描技術(shù)應(yīng)用以下協(xié)議： TCP UDP ICMP攻擊攻擊“譜線

3、譜線”一般的入侵流程 信息搜集 漏洞利用進(jìn)入系統(tǒng) 實(shí)現(xiàn)目的 竊 取 、 篡 改 、 破壞 進(jìn)一步滲透其他主機(jī) 安裝后門什么是什么是DDOSDDOS攻擊攻擊DDOSDDOS攻擊原理攻擊原理mbehringmbehringISPISPCPECPEInternetInternetZombieZombie( (僵尸僵尸) )發(fā)現(xiàn)漏洞取得用戶權(quán)取得控制權(quán)植入木馬清除痕跡留后門做好攻擊準(zhǔn)備HackerHacker( (黑客黑客) )v攻擊來自于眾多來源，發(fā)出不計(jì)其數(shù)的IP數(shù)據(jù)包v攻擊的眾多來源來自不同的地理位置v會(huì)過渡地利用網(wǎng)絡(luò)資源v拒絕合法用戶訪問在線資源v洪水般的攻擊包堵塞住企業(yè)與互聯(lián)網(wǎng)的全部連接v終

4、端客戶的內(nèi)部設(shè)備都不能有效抵御這種攻擊 DDOS攻擊是黑客利用攻擊軟件通過許多臺(tái)“肉雞”同時(shí)展開拒絕服務(wù)攻擊，規(guī)模更大，危害更大MasterServerDDOS攻擊特性我是硬殺傷，是劫匪、是強(qiáng)盜、是截拳道，用最直接的方式把你擊倒！我和其他兄弟有本質(zhì)的區(qū)別，他們講究的是技巧、我強(qiáng)調(diào)的是力道！洪水是我的外表，霸道才是本質(zhì)。從來不搞懷柔，結(jié)果只有兩個(gè)，不是你倒就是我倒我只喜歡群毆，從不單挑！我只喜歡群毆，從不單挑！流量型攻擊SYN FloodSYN （我可以連接嗎？）（我可以連接嗎？）攻擊者攻擊者受害者受害者偽造地址發(fā)送大量偽造地址發(fā)送大量SYN 請(qǐng)求請(qǐng)求就是讓就是讓你白等你白等SYN Flood

5、攻擊原理攻擊表現(xiàn)v SYN_RECV狀態(tài)v 半開連接隊(duì)列 遍歷，消耗CPU和內(nèi)存 SYN|ACK 重試 SYN Timeout：30秒2分鐘v 無暇理睬正常的連接請(qǐng)求拒絕服務(wù)SYN （我可以連接嗎？）（我可以連接嗎？）SYN （我可以連接嗎？）（我可以連接嗎？）SYN （我可以連接嗎？）（我可以連接嗎？）SYN （我可以連接嗎？）（我可以連接嗎？）正常連接請(qǐng)求得不到響應(yīng)正常連接請(qǐng)求得不到響應(yīng)正常正常SYN（我可以連接嗎？）（我可以連接嗎？）連接型攻擊CC Proxy攻擊者攻擊者受害者受害者(Web Server)大量非正常大量非正常HTTP Get請(qǐng)求請(qǐng)求不能建立正常的連接不能建立正常的連接非

6、正常非正常HTTP Get Flood正常用戶正常用戶正常正常HTTP Get Flood攻擊表現(xiàn)非正常非正常HTTP Get Flood非正常非正常HTTP Get Flood非正常非正常HTTP Get Flood非正常非正常HTTP Get Flood非正常非正常HTTP Get FloodDB連接池連接池用完啦！用完啦！受害者受害者(DB Server)DB連接池連接池占占用用占占用用占占用用HTTP Get Flood 攻擊原理v利用代理服務(wù)器向受害者發(fā)起大量HTTP Get請(qǐng)求v主要請(qǐng)求動(dòng)態(tài)頁面，涉及到數(shù)據(jù)庫訪問操作v數(shù)據(jù)庫負(fù)載以及數(shù)據(jù)庫連接池負(fù)載極高，無法響應(yīng)正常請(qǐng)求 漏洞型攻擊

7、Teardrop攻擊 UDP Fragments 受害者受害者發(fā)送大量發(fā)送大量UDP病態(tài)分片數(shù)據(jù)包病態(tài)分片數(shù)據(jù)包Teardrop 攻擊原理攻擊表現(xiàn)v 發(fā)送大量的UDP病態(tài)分片數(shù)據(jù)包v 操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象 v 無暇理睬正常的連接請(qǐng)求拒絕服務(wù) UDP FragmentsUDP FragmentsUDP FragmentsUDP Fragments服務(wù)器宕機(jī)，停止響應(yīng)服務(wù)器宕機(jī)，停止響應(yīng)正常正常SYN（我可以連接嗎？）（我可以連接嗎？）攻擊者攻擊者服務(wù)器服務(wù)器系統(tǒng)崩潰系統(tǒng)崩潰DDOSDDOS攻擊影響攻擊影響DDOS攻擊起源DDOS起源： DDOS

8、最早可追述到1996年最初,在中國2002年開始頻繁出現(xiàn),2003年已經(jīng)初具規(guī)模!在網(wǎng)絡(luò)上掀起了血雨腥風(fēng)！DDOS攻擊”豐功偉績“篇NO.1：系列：系列DDOS攻擊大型網(wǎng)站案攻擊大型網(wǎng)站案2000年2月，包括雅虎、CNN、亞馬遜、eBay、B、ZDNet，以及E*Trade和Datek等網(wǎng)站均遭到了DDoS攻擊，并致使部分網(wǎng)站癱瘓。此次事件是加拿大的一位網(wǎng)名叫Mafiaboy的年輕人干的,其真名叫Michael Calce，后來被指控犯了55項(xiàng)傷害罪，法院判罰拘禁8個(gè)月。Calce后來將其經(jīng)歷寫成了書，書名叫做Mafiaboy：我怎么攻擊互聯(lián)網(wǎng)以及它為何會(huì)崩潰。美博客評(píng)出過去十年互聯(lián)網(wǎng)七大災(zāi)難

9、美博客評(píng)出過去十年互聯(lián)網(wǎng)七大災(zāi)難DDOS攻擊”豐功偉績“篇2007年5月，愛沙尼亞最近三周來已遭遇三輪“網(wǎng)絡(luò)攻擊”，總統(tǒng)府、議會(huì)、幾乎全部政府部門、主要政黨、主要媒體和2家大銀行和通訊公司的網(wǎng)站均陷入癱瘓，為此北約頂級(jí)反網(wǎng)絡(luò)恐怖主義專家已前往該國救援。愛沙尼亞方面認(rèn)為此事與俄羅斯當(dāng)局有關(guān)。如果這一指責(zé)被證實(shí)，這將是第一起國家對(duì)國家的“網(wǎng)絡(luò)戰(zhàn)”。愛沙尼亞總理在辦公室辦公DDOS攻擊”豐功偉績“篇2009年7月DDOS攻擊”豐功偉績“篇DDOS攻擊”豐功偉績“篇DDOS攻擊”豐功偉績“篇DDOS攻擊形式嚴(yán)峻2010年2009年2008年2007年2006年2005年2004年2003年2002年6

10、5%54%40%33%29%20%16%10%6%年占網(wǎng)絡(luò)報(bào)警的百分比%DDOSDDOS攻擊的危害攻擊的危害攻擊流量越來越大百百G攻擊流量攻擊流量10G攻擊流量攻擊流量1G攻擊流量攻擊流量100M攻擊流量攻擊流量攻擊規(guī)模不斷增大針對(duì)應(yīng)用的攻擊越來越多CC攻擊2009年7月8日，一名韓國警察廳官員在位于首爾的警察廳總部介紹黑客攻擊政府網(wǎng)站的情況這次是CC攻擊所有的安全設(shè)備都倒了攻擊目的越來越商業(yè)化事件1：2008年，兩家物流公司因?yàn)榇嬖谏虡I(yè)競爭，一公司為搶奪客戶資源雇用黑客利用DDOS手段發(fā)動(dòng)攻擊，致使濰坊40萬網(wǎng)通用戶7月份不能正常上網(wǎng)。8月30日，隨著3名犯罪嫌疑人被正式批捕，濰坊市公安局網(wǎng)

11、警支隊(duì)成功偵破濰坊網(wǎng)通公司城域網(wǎng)遭受黑客攻擊的特大案件。此案是山東省首例DDOS黑客攻擊案。事件2：2009年， 兩名男子糾集一批“肉機(jī)”，對(duì)蘇州市一家網(wǎng)游公司發(fā)動(dòng)攻擊，導(dǎo)致該公司網(wǎng)絡(luò)癱瘓?zhí)?，并敲詐游戲幣后換得贓款元。近日，蘇州虎丘區(qū)法院以破壞計(jì)算機(jī)信息系統(tǒng)罪分別判處兩人有期徒刑年個(gè)月和年個(gè)月。只搶有錢人個(gè)人發(fā)泄情緒化攻擊代價(jià)越來越小傳統(tǒng)防護(hù)手段的不足傳統(tǒng)防護(hù)手段的不足網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅內(nèi)部網(wǎng)絡(luò)信息資產(chǎn)內(nèi)部網(wǎng)絡(luò)信息資產(chǎn)內(nèi)部、外部泄密內(nèi)部、外部泄密拒絕服務(wù)攻擊拒絕服務(wù)攻擊邏輯炸彈邏輯炸彈特洛伊木馬特洛伊木馬黑客攻擊黑客攻擊計(jì)算機(jī)病毒計(jì)算機(jī)病毒信息丟失、篡改、信息丟失、篡改、銷毀銷毀后門、隱

12、蔽通道后門、隱蔽通道蠕蟲蠕蟲網(wǎng)絡(luò)安全體系的網(wǎng)絡(luò)安全體系的“漏洞漏洞”網(wǎng) 絡(luò) 安 全防防火火墻墻虛虛擬擬專專網(wǎng)網(wǎng)入入侵侵檢檢測測漏漏洞洞掃掃描描病病毒毒防防護(hù)護(hù)安安全全審審計(jì)計(jì)應(yīng)應(yīng)用用安安全全抗抗拒拒絕絕服服務(wù)務(wù)系系統(tǒng)統(tǒng)傳統(tǒng)安全技術(shù)不足新的威脅需要新的技術(shù)來應(yīng)對(duì)防火墻和防火墻和IPSIPS技術(shù)已經(jīng)不能技術(shù)已經(jīng)不能完全保護(hù)他們完全保護(hù)他們的客戶了的客戶了新的威脅需要新的威脅需要新的新的手段手段來應(yīng)對(duì)來應(yīng)對(duì)抗拒絕服務(wù)系統(tǒng)抗拒絕服務(wù)系統(tǒng)IPSIDS來自于傳統(tǒng)廠商的防護(hù)技術(shù)來自于傳統(tǒng)廠商的防護(hù)技術(shù): : 擴(kuò)大帶寬擴(kuò)大帶寬 提高服務(wù)器性能提高服務(wù)器性能 閥值閥值每秒處理每秒處理10001000數(shù)據(jù)包，其數(shù)

13、據(jù)包，其 它丟棄它丟棄 隨機(jī)丟包隨機(jī)丟包每接受每接受3 3個(gè)包就丟棄一個(gè)包就丟棄一個(gè)個(gè)防火墻防火墻UTM整體安全方案中重要的一環(huán)整體安全方案中重要的一環(huán)Desktop應(yīng)用層應(yīng)用層Remote Laptop 網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)關(guān)層網(wǎng)關(guān)層現(xiàn)在有大概產(chǎn)品現(xiàn)在有大概產(chǎn)品: Security Firewall Gateway AV Content Filtering欠缺欠缺: 最強(qiáng)的抗洪水攻擊設(shè)備 保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備 最多的DDOS分類信息 最方便的管理現(xiàn)在有大概產(chǎn)品現(xiàn)在有大概產(chǎn)品: Proxy IDS/IPS欠缺欠缺: 對(duì)異常攻擊流量的監(jiān)控 對(duì)協(xié)議，端口的防護(hù)控制 對(duì)攻擊數(shù)據(jù)的準(zhǔn)確分析 避免猜測/誤判現(xiàn)在有

14、大概產(chǎn)品現(xiàn)在有大概產(chǎn)品: Anti-virus Anti-spyware Personal firewall欠缺欠缺: 對(duì)CC攻擊的有效防護(hù) 對(duì)應(yīng)用層FTP、POP3、SMTP等應(yīng)用層攻擊的防護(hù) 從整體上提高應(yīng)用服務(wù)的可靠性抗拒絕服務(wù)系統(tǒng)抗拒絕服務(wù)系統(tǒng)攻擊者主控機(jī)僵尸網(wǎng)絡(luò)目標(biāo)服務(wù)器正常用戶服務(wù)器繁忙ing，資源被耗盡專業(yè)的抗專業(yè)的抗DDOSDDOS攻擊設(shè)備攻擊設(shè)備超強(qiáng)的抗攻擊性能超強(qiáng)的抗攻擊性能功能：功能：訪問控制訪問控制防防DoS/DDoS攻擊攻擊會(huì)話會(huì)話控制控制QoS帶寬管理帶寬管理合法流量合法流量正常流量正常流量非法流量非法流量攻擊流量攻擊流量30億次的UDP攻擊2億多次的TCP攻擊保障

15、網(wǎng)絡(luò)資源的高利用率保障網(wǎng)絡(luò)資源的高利用率突發(fā)、不可預(yù)見、不受控制的流量重要業(yè)務(wù)流量的執(zhí)行受到?jīng)_擊DDOS攻擊與業(yè)務(wù)無關(guān)流量：游戲， MP3，視聽，網(wǎng)購重要業(yè)務(wù)流量：Oracle, SAP, etc.SYN FloodUDP Flood保證關(guān)鍵業(yè)務(wù)的可靠性保證關(guān)鍵業(yè)務(wù)的可靠性重要性辦公OA業(yè)務(wù)辦理VoIPOracle/SAP視頻會(huì)議FTPEmail關(guān)鍵業(yè)務(wù)應(yīng)用推動(dòng)生產(chǎn)和業(yè)務(wù)發(fā)展每種應(yīng)用對(duì)網(wǎng)絡(luò)穩(wěn)定的要求都很高專業(yè)的專業(yè)的DDOSDDOS攻擊防護(hù)模式攻擊防護(hù)模式智能識(shí)別并阻斷SYN Flood攻擊通過流量管理預(yù)防未知攻擊智能識(shí)別并阻斷ICMP Flood攻擊基于每個(gè)數(shù)據(jù)包進(jìn)行細(xì)致的過濾智能識(shí)別并阻斷

16、UDP Flood攻擊 更多其他方法，Arp Spoofing、IP Spoofing、IP Scan、Smurf/Fraggle、TCP ProxyTCP Proxy技術(shù)技術(shù)用戶 抗拒絕服務(wù)系統(tǒng)FTP server0Client send TCP Syn 沒有TCP代理的時(shí)候TCP三次握手的過程Server response Syn AckFirewall send TCP Syn for ClientFake Client Without AckReal Client send Ack Firewall response Syn AckServer

17、 response Syn Ack如果是Tcp攻擊的話源地址為假冒，則不會(huì)存在這個(gè)回應(yīng)報(bào)文，因此攻擊報(bào)文會(huì)被清洗設(shè)備丟棄v TCPProxyTCPProxy技術(shù)就是清洗設(shè)備代替服務(wù)器完成技術(shù)就是清洗設(shè)備代替服務(wù)器完成3 3次握手連接。次握手連接。v 用于來回路徑一致的情況下虛假源的用于來回路徑一致的情況下虛假源的SYN-FloodSYN-Flood攻擊防范及其它攻擊防范及其它TCP TCP FloodFlood攻擊。攻擊。Client send Ack 啟動(dòng)TCP代理的時(shí)候TCP三次握手的過程Client send TCP Syn Firewall send Ack for Client要求：

18、 抗設(shè)備串接在鏈路中，客戶端和服務(wù)器交互的報(bào)文必須同時(shí)經(jīng)過清洗設(shè)備。（1）在接口板進(jìn)行處理，盡量減少處理流程；（2）通過Cookie技術(shù)，收到合法應(yīng)答后才創(chuàng)建會(huì)話， 避免自身資源耗盡TCP/UDPTCP/UDP反向源探測技術(shù)反向源探測技術(shù) 用于用于TCP/UDP攻擊防范。攻擊防范。v 第一步：第一步： 通過響應(yīng)報(bào)文的校驗(yàn)源是否合法，以防止虛假源攻擊；通過響應(yīng)報(bào)文的校驗(yàn)源是否合法，以防止虛假源攻擊；v 第二步：第二步： 源若合法，通過源若合法，通過TTL跳數(shù)確認(rèn)是否是假冒其他合法地址發(fā)起的跳數(shù)確認(rèn)是否是假冒其他合法地址發(fā)起的攻擊。攻擊。v 第三步：驗(yàn)證同步連接第三步：驗(yàn)證同步連接使用虛假源地址進(jìn)

19、行攻擊正常用戶攻擊者Eudemon要訪問google，發(fā)送SYN報(bào)文看看你是不是真想訪問google, 發(fā)送SYNACK， ack_sequence序號(hào)錯(cuò)誤Internet我真的想訪問哈，發(fā)送RST報(bào)文指紋識(shí)別技術(shù)指紋識(shí)別技術(shù)v 基于一次攻擊使用相同的僵尸，通過識(shí)別報(bào)文特征來區(qū)分正常流（不匹配的基于一次攻擊使用相同的僵尸，通過識(shí)別報(bào)文特征來區(qū)分正常流（不匹配的報(bào)文）和攻擊報(bào)文（匹配特征的報(bào)文）；報(bào)文）和攻擊報(bào)文（匹配特征的報(bào)文）；v 可以實(shí)現(xiàn)基于目的可以實(shí)現(xiàn)基于目的IP的指紋，防范各種源地址不斷變化的攻擊；的指紋，防范各種源地址不斷變化的攻擊；v 可以實(shí)現(xiàn)基于源可以實(shí)現(xiàn)基于源IP的指紋，防范固

20、定源發(fā)起的大流量攻擊，適合防御僵尸網(wǎng)絡(luò)的指紋，防范固定源發(fā)起的大流量攻擊，適合防御僵尸網(wǎng)絡(luò)發(fā)起的攻擊；發(fā)起的攻擊；v 主要防范：主要防范： HTTP Get Flood/CC攻擊攻擊 (源指紋源指紋) ， UDP Flood(目的指紋和源目的指紋和源指紋指紋)；攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸軍團(tuán)僵尸軍團(tuán)受害者哈，你們發(fā)的報(bào)文特征都一樣，不讓你們過了?；跁?huì)話防御基于會(huì)話防御Connection FloodConnection Floodv 攻擊原理 Connection Flood是典型的并且非常的有效的利用小流量沖擊是典型的并且非常的有效的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式，這種攻擊方式目前已經(jīng)越來越猖獗。大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式，這種攻擊方式目前已經(jīng)越來越猖獗。 攻擊原理利用真實(shí)的攻擊原理利用真實(shí)的IP地址向服務(wù)器發(fā)起大量的連接，并且建立地址向服務(wù)器發(fā)起大量的連接，并且建立連接之后很長時(shí)間不釋放，占用服務(wù)器的資源，造成服務(wù)器上的連接之后很長時(shí)間不釋放，占用服務(wù)器的資源，造成服務(wù)器上的服務(wù)應(yīng)用無法響應(yīng)其他客戶所發(fā)起的連接。服務(wù)應(yīng)用無法響應(yīng)其他客戶所發(fā)起的連接。v 防范方式 （1）清洗設(shè)備端基于一段時(shí)間內(nèi)，統(tǒng)計(jì)