網(wǎng)絡(luò)攻擊階段技術(shù)及防范策略課件

1、第2講：網(wǎng)絡(luò)攻擊階段技術(shù)及防范策略*2*2內(nèi)容安排2.1 黑客2.2 網(wǎng)絡(luò)攻擊過程2.3 常用的防護(hù)措施2.4 網(wǎng)絡(luò)安全策略及制訂原則2.5 網(wǎng)絡(luò)安全體系設(shè)計(jì)2.6 小結(jié)*32.1 黑客黑客（hacker），源于英語動(dòng)詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學(xué)院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術(shù)高明的惡作劇。他們通常具有硬件和軟件的高級(jí)知識(shí)，并有能力通過創(chuàng)新的方法剖析系統(tǒng)。網(wǎng)絡(luò)黑客的主要攻擊手法有：獲取口令、放置木馬、web欺騙技術(shù)、電子郵件攻擊、通過一個(gè)節(jié)點(diǎn)攻擊另一節(jié)點(diǎn)、網(wǎng)絡(luò)監(jiān)聽、尋找系統(tǒng)漏洞、利用緩沖區(qū)溢出竊取特權(quán)等。*4黑客起

2、源起源地：美國(guó)精神支柱：對(duì)技術(shù)的渴求對(duì)自由的渴求歷史背景：越戰(zhàn)與反戰(zhàn)活動(dòng)馬丁路德金與自由嬉皮士與非主流文化電話飛客與計(jì)算機(jī)革命中國(guó)黑客發(fā)展歷史1998年印尼事件1999年南聯(lián)盟事件綠色兵團(tuán)南北分拆事件中美五一黑客大戰(zhàn)事件“頭號(hào)電腦黑客”-凱文米特尼克 1964年出生的Kevin David Mitnick，被稱之為世界上“頭號(hào)電腦黑客”。他在15歲時(shí)就成功破解北美空中防務(wù)指揮系統(tǒng)，翻遍了美國(guó)指向前蘇聯(lián)及其盟國(guó)的所有核彈頭的數(shù)據(jù)資料。不久之后，他又進(jìn)入了美國(guó)著名的“太平洋電話公司”的通信網(wǎng)絡(luò)系統(tǒng)。更改了這家公司的電腦用戶，包括一些知名人士的號(hào)碼和通訊地址。導(dǎo)致太平洋公司不得不作出賠償。而太平洋電

3、腦公司經(jīng)過相當(dāng)長(zhǎng)時(shí)間才明白自己的系統(tǒng)被入侵了。隨后他開始攻擊聯(lián)邦調(diào)查局的網(wǎng)絡(luò)系統(tǒng)，并成功的進(jìn)入其中。發(fā)現(xiàn)聯(lián)邦調(diào)查局正在調(diào)查一名”黑客”，而這個(gè)“黑客“正是他自己，但他并未重視。在其后的活動(dòng)中多次被計(jì)算機(jī)信息跟蹤機(jī)跟蹤，并在16歲時(shí)被第一次逮捕，成為全球第一名網(wǎng)絡(luò)少年犯。 Mitnick隨后并未收手，先后成功入侵了諾基亞、摩托羅拉、升陽以及富士通等公司的計(jì)算機(jī)，盜取企業(yè)重要資料，給這些公司造成高達(dá)4億美元的損失。1994年， Mitnick向圣地亞哥超級(jí)計(jì)算機(jī)中心進(jìn)行入侵攻擊，并戲弄了聯(lián)邦調(diào)查局聘請(qǐng)而來專為緝拿他的被稱為“美國(guó)最出色的電腦安全專家”的日裔美籍計(jì)算機(jī)專家下村勉，并于1995年再次被

4、捕。2001年釋放，2002年徹底自由，開始作為為美國(guó)互聯(lián)網(wǎng)雜志專欄作家，以安全專家的身份出現(xiàn)。 *6*6黑客分類灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計(jì)算機(jī) 為人民服務(wù)漏洞發(fā)現(xiàn) - Flashsky軟件破解 - 0 Day工具提供 - Glacier白帽子創(chuàng)新者設(shè)計(jì)新系統(tǒng)打破常規(guī)精研技術(shù)勇于創(chuàng)新沒有最好， 只有更好MS -Bill GatesGNU -R.StallmanLinux -Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己， 天誅地滅入侵者 -K.米特尼克CIH -陳盈豪攻擊Yahoo -匿名惡渴求自由*7常見的黑客攻擊及入侵技術(shù)的發(fā)展

5、 19801985199019952000密碼猜測(cè)可自動(dòng)復(fù)制的代碼密碼破解利用已知的漏洞破壞審計(jì)系統(tǒng)后門會(huì)話劫持擦除痕跡嗅探包欺騙GUI遠(yuǎn)程控制自動(dòng)探測(cè)掃描拒絕服務(wù)www 攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺(tái)入侵檢測(cè)網(wǎng)絡(luò)管理DDOS 攻擊2005高*8*8攻擊案例：對(duì)日網(wǎng)絡(luò)攻擊從2003年7月31日晚間開始，國(guó)內(nèi)一批黑客組織按約定對(duì)日本政府機(jī)關(guān)、公司和民間機(jī)構(gòu)網(wǎng)站展開攻擊本次攻擊歷時(shí)五天，以宣揚(yáng)“愛國(guó)”精神和發(fā)泄對(duì)日不滿情緒為主要目的，通過篡改主頁等技術(shù)手段，在一定程度上達(dá)到了預(yù)期目的，對(duì)日本網(wǎng)站造成了某些破壞 期間有十幾家日本網(wǎng)站（包括可能是被誤攻擊的韓國(guó)、臺(tái)灣網(wǎng)站）被攻擊成

6、功，頁面被修改 *9對(duì)日網(wǎng)絡(luò)攻擊的調(diào)查序號(hào)攻擊者受害者地址受害者單位備注1云中子www.npa.go.jp日本警察廳官方網(wǎng)站，已于7月31日23點(diǎn)恢復(fù)2中國(guó)黑鷹聯(lián)盟6SKYNET Corporation日本民間公司3Squall5臺(tái)灣中華電信數(shù)據(jù)通信分公司不是日本目標(biāo)4Skywalker4大王（DAIO）制紙株式會(huì)社日本民間公司5中國(guó)黑鷹聯(lián)盟49韓國(guó)大宇(DAEWOO)INFORMATION SYSTEM BRENIC不是日本目標(biāo)6中國(guó)菜鳥聯(lián)盟6同2SKYNET Corporation日本民間公司*10對(duì)日網(wǎng)絡(luò)攻擊的調(diào)查（續(xù)）7雙子情劍49USTK0002-082 broadgate日本目標(biāo)8

7、雪落無聲 and HvTB4Knowledge Net Works Co.,Inc.日本目標(biāo)9雪落無聲78Dream Train Internet Inc.日本目標(biāo)10網(wǎng)絡(luò)失足男孩85NEC Corporation日本民間公司11雪落無聲0AIKYU Co., Ltd日本民間公司12Skywalker4大王（DAIO）制紙株式會(huì)社日本民間公司13星火網(wǎng)絡(luò)96Matsumura Bussan Corporation日本民間公司*11對(duì)日網(wǎng)絡(luò)攻擊的調(diào)查（續(xù)）*12攻擊案例（2）：利用DNS劫持攻擊大型網(wǎng)站事件2007年11月3日，部分用戶在訪問騰訊迷你首頁網(wǎng)站( /)時(shí)，會(huì)被惡意代碼感染，系統(tǒng)會(huì)自

8、動(dòng)從惡意網(wǎng)站上下載并運(yùn)行惡意程序。由于該站點(diǎn)為QQ軟件啟動(dòng)時(shí)默認(rèn)自動(dòng)彈出，具有極高的訪問量。攻擊者采用的攻擊方法是劫持DNS解析過程，篡改騰訊迷你首頁的DNS記錄。非法劫持騰訊“迷你網(wǎng)”主頁域名傳播17種32個(gè)計(jì)算機(jī)木馬病毒，使全國(guó)數(shù)百萬網(wǎng)民在訪問“迷你網(wǎng)”主頁，玩?zhèn)髌?、魔獸等網(wǎng)絡(luò)游戲時(shí)，游戲帳號(hào)和密碼被秘密發(fā)送到木馬程序設(shè)置的遠(yuǎn)程接收服務(wù)器上，該團(tuán)伙迅速盜取帳號(hào)和密碼，在網(wǎng)上銷贓套現(xiàn)，銷贓所得按“貢獻(xiàn)”大小分成。不到兩個(gè)月時(shí)間，馬志松等人就盜竊數(shù)十萬網(wǎng)上用戶的游戲帳號(hào)和密碼，非法獲利40余萬元，馬志松分得15萬元。騰訊“迷你網(wǎng)”因停止服務(wù)，造成直接損失20余萬元。*13攻擊案例（2） ：利用

9、DNS劫持攻擊大型網(wǎng)站事件（續(xù)）2007年11月19日，無錫市公安局網(wǎng)警支隊(duì)接報(bào)：當(dāng)月5日至19日期間，全國(guó)部分地區(qū)的互聯(lián)網(wǎng)用戶在訪問深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司迷你網(wǎng)主頁時(shí)，被錯(cuò)誤指向到位于無錫市的病毒服務(wù)器，造成上百萬網(wǎng)民的電腦受病毒感染，騰訊公司被迫停止網(wǎng)站服務(wù)，造成重大經(jīng)濟(jì)損失。警方立即開展偵查，于同年12月，分別在四川成都、江蘇張家港、黑龍江東寧等地抓獲6名犯罪嫌疑人。江蘇省公安廳信息網(wǎng)絡(luò)安全監(jiān)察部門在馬志松等人使用的電腦硬盤中發(fā)現(xiàn)了用于攻擊網(wǎng)站的破壞性程序。經(jīng)審查，2007年9月底至11月中旬，這一團(tuán)伙在成都市使用編譯好的劫持程序?qū)ι虾?、重慶、揚(yáng)州等10余個(gè)城市共計(jì)27臺(tái)域名服務(wù)器

10、實(shí)施攻擊劫持，借機(jī)盜取網(wǎng)絡(luò)游戲賬號(hào)。法院審理認(rèn)為，6名被告違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重，均已構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪。馬志松等6名被告被江蘇無錫濱湖區(qū)法院一審分別判處四年至一年不等有期徒刑。*142.2 網(wǎng)絡(luò)攻擊過程網(wǎng)絡(luò)攻擊過程一般可以分為本地入侵和遠(yuǎn)程入侵在這里主要介紹遠(yuǎn)程攻擊的一般過程： 遠(yuǎn)程攻擊的準(zhǔn)備階段遠(yuǎn)程攻擊的實(shí)施階段遠(yuǎn)程攻擊的善后階段*15遠(yuǎn)程攻擊的準(zhǔn)備階段確定攻擊目標(biāo)信息收集服務(wù)分析系統(tǒng)分析漏洞分析*16攻擊準(zhǔn)備1確定攻擊目標(biāo)攻擊者在進(jìn)行一次完整的攻擊之前，首先要確定攻擊要達(dá)到什么樣的目的，即給受侵者造成什么樣的后果。常見的

11、攻擊目的有破壞型和入侵型兩種。破壞型攻擊是指只破壞攻擊目標(biāo)，使之不能正常工作，而不能隨意控制目標(biāo)上的系統(tǒng)運(yùn)行。入侵型攻擊這種攻擊要獲得一定的權(quán)限才能達(dá)到控制攻擊目標(biāo)的目的。應(yīng)該說這種攻擊比破壞型攻擊更為普遍，威脅性也更大。因?yàn)楣粽咭坏┱莆樟艘欢ǖ臋?quán)限、甚至是管理員權(quán)限就可以對(duì)目標(biāo)做任何動(dòng)作，包括破壞性質(zhì)的攻擊。 *17攻擊準(zhǔn)備2信息收集（踩點(diǎn)）利用一切公開的、可利用的信息來調(diào)查攻擊目標(biāo)包括目標(biāo)的操作系統(tǒng)類型及版本、相關(guān)軟件的類型、版本及相關(guān)的社會(huì)信息包括以下技術(shù)低級(jí)技術(shù)偵察Web搜索Whois數(shù)據(jù)庫域名系統(tǒng)（DNS）偵察低級(jí)技術(shù)偵察社交工程 在黑客理論中，指利用人性弱點(diǎn)、利用人際交往上的漏洞

12、來非法獲取資料的行為。物理闖入垃圾搜尋你能找出垃圾搜尋的例子嗎？Web搜索搜索一個(gè)組織自己的web站點(diǎn)有電話號(hào)碼的職員聯(lián)系信息關(guān)于公司文化和語言的信息商務(wù)伙伴最近的合并和兼并公司正使用的技術(shù)使用搜索引擎搜索論壇BBS（電子公告欄）Usenet（新聞組）Whois數(shù)據(jù)庫搜索whois數(shù)據(jù)庫：包括各種關(guān)于Internet地址分配、域名和個(gè)人聯(lián)系方式的數(shù)據(jù)庫。研究.com, .net, .org域名研究非.com, .net和.org域名國(guó)家代碼:教育（.edu): 軍事代碼（.mit): whois.nic.mit政府(.gov): Whois數(shù)據(jù)庫搜索(續(xù))搜索目標(biāo)域名Whois數(shù)據(jù)庫搜索(續(xù))

13、搜索目標(biāo)IP美國(guó)Internet注冊(cè)局：/whois/arin-whois.html歐洲網(wǎng)絡(luò)協(xié)調(diào)中心：亞太網(wǎng)絡(luò)協(xié)調(diào)中心：中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心：亞太網(wǎng)絡(luò)信息中心DNS搜索Nslookup 使用DNS的排錯(cuò)工具nslookup，你可以利用從whois查詢到的信息偵查更多的網(wǎng)絡(luò)情況。例如，使用nslookup命令把你的主機(jī)偽裝成secondary DNS服務(wù)器，如果成功便可以要求從主DNS服務(wù)器進(jìn)行區(qū)域傳送。要是傳送成功的話，你將獲得大量有用信息，包括： a)使用此DNS服務(wù)器做域名解析到所有主機(jī)名和IP地址的映射情況 b)公司使用的網(wǎng)絡(luò)和子網(wǎng)情況 c)主機(jī)在網(wǎng)絡(luò)中的用途。許多公司使用帶有描述性的主

14、機(jī)名，像，和。 DNS搜索使用nslookup實(shí)現(xiàn)區(qū)域傳送的過程 （1）使用whois命令查詢目標(biāo)網(wǎng)絡(luò)，例如在提示符下輸入 whois （2）你會(huì)得到目標(biāo)網(wǎng)絡(luò)的primary和slave DNS服務(wù)器的信息。例如，假設(shè)主DNS服務(wù)器的名字是 （3）使用交互查詢方式，缺省情況下nslookup會(huì)使用缺省的DNS服務(wù)器作域名解析。鍵入命令server 定位目標(biāo)網(wǎng)絡(luò)的DNS服務(wù)器； （4）列出目標(biāo)網(wǎng)絡(luò)DNS服務(wù)器的內(nèi)容，如ls 。此時(shí)DNS服務(wù)器會(huì)把數(shù)據(jù)傳送給你，當(dāng)然，管理員可以禁止DNS服務(wù)器進(jìn)行區(qū)域傳送，目前很多公司將DNS服務(wù)器至于防火墻的保護(hù)之下并嚴(yán)格設(shè)定了只能向某些主機(jī)進(jìn)行區(qū)域傳送。 一旦

15、你從區(qū)域傳送中獲得了有用信息，你便可以對(duì)每臺(tái)主機(jī)實(shí)施端口掃描以確定它們提供了那些服務(wù)。如果你不能實(shí)現(xiàn)區(qū)域傳送，你還可以借助ping和端口掃描工具，當(dāng)然還有traceroute。*26攻擊準(zhǔn)備2信息收集（踩點(diǎn)）收集目標(biāo)系統(tǒng)相關(guān)信息的協(xié)議和工具Ping實(shí)用程序TraceRoute、Tracert、X-firewalk程序Whois協(xié)議Finger協(xié)議SNMP協(xié)議*27攻擊準(zhǔn)備2信息收集（踩點(diǎn)）在網(wǎng)絡(luò)中主機(jī)一般以IP地址進(jìn)行標(biāo)識(shí)。例如選定50這臺(tái)主機(jī)為攻擊目標(biāo)，使用ping命令可以探測(cè)目標(biāo)主機(jī)是否連接在Internet中。在Windows下使用ping命令測(cè)試：ping 50測(cè)試結(jié)果如下頁圖所示。說

16、明此主機(jī)處于活動(dòng)狀態(tài)。*網(wǎng)絡(luò)入侵與防范講義28*網(wǎng)絡(luò)入侵與防范講義28*29攻擊準(zhǔn)備3服務(wù)分析（掃描查點(diǎn)分析）探測(cè)目標(biāo)主機(jī)所提供的服務(wù)、相應(yīng)端口是否開放、各服務(wù)所使用的軟件版本類型：如利用Telnet、haktek等工具，或借助SuperScan、Nmap等這類工具的端口掃描或服務(wù)掃描功能。舉例：Windows下，開始運(yùn)行cmd輸入：telnet 50 80，然后回車結(jié)果如下頁圖所示，說明50這臺(tái)主機(jī)上運(yùn)行了http服務(wù)，Web服務(wù)器版本是IIS 5.1*網(wǎng)絡(luò)入侵與防范講義30*網(wǎng)絡(luò)入侵與防范講義30端口掃描端口掃描類型TCP連接掃描：三次握手TCP SYNTCP FINXma：發(fā)送TCP U

17、RG、PSH等TCP 空掃描TCP ACKFTP跳躍UDPICMP工具：nmap*32攻擊準(zhǔn)備4系統(tǒng)分析（掃描查點(diǎn)分析）確定目標(biāo)主機(jī)采用何種操作系統(tǒng)原理：協(xié)議棧指紋（Fingerprint）例如在Windows下安裝Nmap v4.20掃描工具，此工具含OS Detection的功能（使用-O選項(xiàng)）。打開cmd.exe，輸入命令：nmap O 50，然后確定探測(cè)結(jié)果如下頁圖所示，說明操作系統(tǒng)是Windows 2000 SP1、SP2或者SP3*網(wǎng)絡(luò)入侵與防范講義33*網(wǎng)絡(luò)入侵與防范講義33*34攻擊準(zhǔn)備5漏洞分析（掃描查點(diǎn)分析）分析確認(rèn)目標(biāo)主機(jī)中可以被利用的漏洞手動(dòng)分析：過程復(fù)雜、技術(shù)含量高、

18、效率較低借助軟件自動(dòng)分析：需要的人為干預(yù)過程少，效率高。如Nessus、X-Scan等綜合型漏洞檢測(cè)工具、eEye等專用型漏洞檢測(cè)工具等。例如在Windows下使用eEye Sasser Scanner對(duì)目標(biāo)主機(jī)8進(jìn)行系統(tǒng)漏洞分析。探測(cè)結(jié)果如下頁圖所示，說明目標(biāo)主機(jī)存在震蕩波漏洞。*35*36遠(yuǎn)程攻擊的實(shí)施階段作為破壞性攻擊，可以利用工具發(fā)動(dòng)攻擊即可。作為入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取盡可能高的權(quán)限。 攻擊的主要階段包括：預(yù)攻擊探測(cè)：為進(jìn)一步入侵提供有用信息口令破解與攻擊提升權(quán)限實(shí)施攻擊：緩沖區(qū)溢出、拒絕服務(wù)、后門、木馬、病毒遠(yuǎn)程攻擊常用的攻擊方法第一類

19、：使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪問權(quán)基于堆棧的緩沖區(qū)溢出堆棧 緩沖區(qū)密碼猜測(cè)猜測(cè)缺省密碼通過登錄腳本猜測(cè)密碼密碼破解 Windows：L0phtCrack unix:：John the Ripper 關(guān)鍵：如何獲得密碼文件？遠(yuǎn)程攻擊常用的攻擊方法第一類：使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪問權(quán)網(wǎng)絡(luò)應(yīng)用程序攻擊收集帳號(hào)破壞web應(yīng)用程序的會(huì)話跟蹤 猜測(cè)會(huì)話ID，通過獲取HTML頁面修改后重放 修改cookies 如果會(huì)話ID不能手工修改： Web代理工具Achilles SQL Piggybacking 遠(yuǎn)程攻擊常用的攻擊方法第二類：使用網(wǎng)絡(luò)攻擊獲得訪問權(quán)嗅探IP地址欺騙會(huì)話劫持多功能網(wǎng)絡(luò)工具

20、攻擊：NetCat遠(yuǎn)程攻擊常用的攻擊方法第三類：拒絕服務(wù)攻擊殺死進(jìn)程重新配置系統(tǒng)使進(jìn)程崩潰填充進(jìn)程表填充整個(gè)文件系統(tǒng)惡意數(shù)據(jù)包攻擊（如Land攻擊，Teardrop攻擊）數(shù)據(jù)包泛洪（SYN泛洪，Smurf， DDoS）本地網(wǎng)絡(luò)停止服務(wù)消耗資源*41遠(yuǎn)程攻擊的善后階段入侵成功后，攻擊者為了能長(zhǎng)時(shí)間地保留和鞏固他對(duì)系統(tǒng)的控制權(quán)，一般會(huì)留下后門。此外，攻擊者為了自身的隱蔽性，須進(jìn)行相應(yīng)的善后工作隱藏蹤跡：攻擊者在獲得系統(tǒng)最高管理員權(quán)限之后就可以任意修改系統(tǒng)上的文件了，所以一般黑客如果想隱匿自己的蹤跡，最簡(jiǎn)單的方法就是刪除日志文件但這也明確無誤地告訴了管理員系統(tǒng)已經(jīng)被入侵了。更常用的辦法是只對(duì)日志文件

21、中有關(guān)自己的那部分作修改，關(guān)于修改方法的細(xì)節(jié)根據(jù)不同的操作系統(tǒng)有所區(qū)別，網(wǎng)絡(luò)上有許多此類功能的程序。維護(hù)訪問權(quán)木馬（Trojan Horse）Back Orifice 2000(BO2K): .后門（Backdoor）RootKits:修改系統(tǒng)命令甚至內(nèi)核dufindlsIfconfignetstatps掩蓋蹤跡和隱藏安裝RootKits或者backdoor修改事件日志W(wǎng)indows：*.evt工具：winzapper, ntsecurity.nu/toolbox/winzapper/UNIX:utmpwtmplastlog掩蓋蹤跡和隱藏（續(xù)）利用秘密通道技術(shù)來隱藏證據(jù)隧道技術(shù)loki：ICM

22、P隧道Van Hauser：HTTP 隧道隱蔽通道（Covert Channel）利用IP或者利用tcp頭IP identifierTCP Sequence numberTCP ack number工具：Covert_TCP*45入侵系統(tǒng)的常用步驟 采用漏洞掃描工具選擇會(huì)用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的*46較高明的入侵步驟 端口判斷判斷系統(tǒng)選擇最簡(jiǎn)方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個(gè)系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途2.2 網(wǎng)絡(luò)攻擊過程黑客入侵的一般完整模式為： 隱藏自己踩點(diǎn) 掃描查點(diǎn) 分析

23、并入侵 獲取權(quán)限 擴(kuò)大范圍 安裝后門清除日志并隱身 黑客入侵行為可以用模型圖表示如下：黑客入侵的一般流程Case StudySource Code DBMonstrous Software電子辦公Monstrous SoftwareCase StudyStep 1：尋找跳離點(diǎn)跳離點(diǎn)（前蘇聯(lián)）跳離點(diǎn)（日本）Source Code DBMonstrous Software電子辦公Monstrous SoftwareCase Study跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Source Code DBMonstrous Software電子辦公Monstrous SoftwareCase StudyStep

24、 2：搜索Monstrous Software跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Source Code DBMonstrous Software電子辦公Monstrous SoftwareCase StudyStep 3：發(fā)送帶病毒的、有吸引人的垃圾郵件Source Code DB跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Monstrous Software電子辦公Monstrous SoftwareSPAMCase StudyStep 3：發(fā)送帶病毒的、有吸引人的垃圾郵件跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Source Code DBMonstrous Software電子辦公Monstrous Software

25、下載電子郵件VPNCase StudyStep 4：下載病毒代碼跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Source Code DBMonstrous Software電子辦公Monstrous Software下載木馬后門Case StudyStep 5：木馬后門利用VPN搜索windows共享跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Source Code DBMonstrous Software電子辦公Monstrous Software木馬后門VPNCase StudyStep 6：上傳病毒代碼，并替換為notepad等程序跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Source Code DBMonstrous Sof

26、tware電子辦公Monstrous Software木馬后門VPN木馬后門木馬后門Case StudyStep 7：回傳口令信息跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Source Code DBMonstrous Software電子辦公Monstrous Software木馬后門NetcatL0phCrackNetcat木馬后門木馬后門Case StudyStep 8：利用隱蔽信道傳送命令和解密口令Source Code DB跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Monstrous Software電子辦公Monstrous Software木馬后門NetcatL0phCrackCovert_TCP通信量

27、大的電子商務(wù)網(wǎng)站Netcat木馬后門木馬后門Case StudyStep 9：利用破解后的口令建立VPN連接，并掃描網(wǎng)絡(luò)Source Code DBMonstrous Software跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Monstrous Software電子辦公木馬后門NetcatL0phCrackCovert_TCP通信量大的電子商務(wù)網(wǎng)站NetcatVPN木馬后門木馬后門Case StudyStep 10：回傳源代碼Source Code DBMonstrous Software跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）Monstrous Software電子辦公木馬后門NetcatL0phCrackCov

28、ert_TCP通信量大的電子商務(wù)網(wǎng)站NetcatVPN木馬后門木馬后門源代碼Main ().*62*622.3 常用的防護(hù)措施我們?cè)趺崔k？*63*63個(gè)人用戶防護(hù)措施 加密重要文件防火墻定期升級(jí)補(bǔ)丁殺毒軟件定期升級(jí)和殺毒定期備份系統(tǒng)或重要文件防護(hù)措施*64*64防止黑客入侵關(guān)閉不常用端口關(guān)閉不常用程序和服務(wù)及時(shí)升級(jí)系統(tǒng)和軟件補(bǔ)丁發(fā)現(xiàn)系統(tǒng)異常立刻檢查*65常用的防護(hù)措施完善安全管理制度采用訪問控制措施運(yùn)行數(shù)據(jù)加密措施數(shù)據(jù)備份與恢復(fù) 世界第一黑客提出的個(gè)人計(jì)算機(jī)安全十大建議 備份資料。記住你的系統(tǒng)永遠(yuǎn)不會(huì)是無懈可擊的，災(zāi)難性的數(shù)據(jù)損失會(huì)發(fā)生在你身上只需一條蠕蟲或一只木馬就已足夠。 選擇很難猜的密碼

29、。不要沒有腦子地填上幾個(gè)與你有關(guān)的數(shù)字，在任何情況下，都要及時(shí)修改默認(rèn)密碼。 安裝殺毒軟件，并讓它每天更新升級(jí)。 及時(shí)更新操作系統(tǒng)，時(shí)刻留意軟件制造商發(fā)布的各種補(bǔ)丁，并及時(shí)安裝應(yīng)用。 不用電腦時(shí)候千萬別忘了斷開網(wǎng)線和電源。 世界第一黑客提出的個(gè)人計(jì)算機(jī)安全十大建議 在IE或其它瀏覽器中會(huì)出現(xiàn)一些黑客釣魚，對(duì)此要保持清醒，拒絕點(diǎn)擊，同時(shí)將電子郵件客戶端的自動(dòng)腳本功能關(guān)閉。 在發(fā)送敏感郵件時(shí)使用加密軟件，也可用加密軟件保護(hù)你的硬盤上的數(shù)據(jù)。 安裝一個(gè)或幾個(gè)反間諜程序，并且要經(jīng)常運(yùn)行檢查。使用個(gè)人防火墻并正確設(shè)置它，阻止其它計(jì)算機(jī)、網(wǎng)絡(luò)和網(wǎng)址與你的計(jì)算機(jī)建立連接，指定哪些程序可以自動(dòng)連接到網(wǎng)絡(luò)。 關(guān)

30、閉所有你不使用的系統(tǒng)服務(wù)，特別是那些可以讓別人遠(yuǎn)程控制你的計(jì)算機(jī)的服務(wù)，如RemoteDesktop、RealVNC和NetBIOS等。 保證無線連接的安全。在家里，可以使用無線保護(hù)接入WPA和至少20個(gè)字符的密碼。正確設(shè)置你的筆記本電腦，不要加入任何網(wǎng)絡(luò)，除非它使用WPA。要想在一個(gè)充滿敵意的因特網(wǎng)世界里保護(hù)自己，的確是一件不容易的事。你要時(shí)刻想著，在地球另一端的某個(gè)角落里，一個(gè)或一些毫無道德的人正在刺探你的系統(tǒng)漏洞，并利用它們竊取你最敏感的秘密。希望你不會(huì)成為這些網(wǎng)絡(luò)入侵者的下一個(gè)犧牲品。*68*682.4 網(wǎng)絡(luò)安全策略及制訂原則安全策略，是針對(duì)那些被允許進(jìn)入某一組織、可以訪問網(wǎng)絡(luò)技術(shù)資源

31、和信息資源的人所規(guī)定的、必須遵守的規(guī)則。即：網(wǎng)絡(luò)管理部門根據(jù)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)所提供的服務(wù)內(nèi)容、網(wǎng)絡(luò)運(yùn)行狀況、網(wǎng)絡(luò)安全狀況、安全性需求、易用性、技術(shù)實(shí)現(xiàn)所付出的代價(jià)和風(fēng)險(xiǎn)、社會(huì)因素等許多方面因素，所制定的關(guān)于網(wǎng)絡(luò)安全總體目標(biāo)、網(wǎng)絡(luò)安全操作、網(wǎng)絡(luò)安全工具、人事管理等方面的規(guī)定。*69*69制定安全策略的目的決定一個(gè)組織機(jī)構(gòu)怎樣保護(hù)自己闡明機(jī)構(gòu)安全政策的總體思想讓所有用戶、操作人員和管理員清楚，為了保護(hù)技術(shù)和信息資源所必須遵守的原則。提供一個(gè)可以獲得、能夠配置和檢查的用于確定是否與計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的策略一致的基準(zhǔn)*70*70安全策略的必要性網(wǎng)絡(luò)管理員在作安全策略時(shí)的依據(jù)在很大程度上取決于網(wǎng)絡(luò)運(yùn)行過程中

32、的安全狀況，網(wǎng)絡(luò)所提供的功能以及網(wǎng)絡(luò)的易用程度。安全策略應(yīng)以要實(shí)現(xiàn)目標(biāo)為基礎(chǔ)，而不能簡(jiǎn)單地規(guī)定要檢驗(yàn)什么和施加什么限制。在確定的安全目標(biāo)下，應(yīng)該制定如何有效地利用所有安全工具的策略。*71*71安全策略的必要性(2)檢測(cè)響應(yīng)防護(hù)PPDR模型檢測(cè)響應(yīng)防護(hù)策略強(qiáng)調(diào)了策略的核心作用強(qiáng)調(diào)了檢測(cè)、響應(yīng)、防護(hù)的動(dòng)態(tài)性檢測(cè)、響應(yīng)、防護(hù)必須遵循安全策略進(jìn)行*72制訂安全策略的基本原則適用性原則可行性原則動(dòng)態(tài)性原則簡(jiǎn)單性原則系統(tǒng)性原則*73*73適用性原則安全策略是在一定條件下采取的安全措施，必須與網(wǎng)絡(luò)的實(shí)際應(yīng)用環(huán)境相結(jié)合。網(wǎng)絡(luò)的安全管理是一個(gè)系統(tǒng)化的工作，因此在制定安全策略時(shí)，應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶、設(shè)備等

33、情況，有計(jì)劃有準(zhǔn)備地采取相應(yīng)的策略，任何一點(diǎn)疏忽都會(huì)造成整個(gè)網(wǎng)絡(luò)安全性的降低。*74*74可行性原則安全管理策略的制定還要考慮資金的投入量，因?yàn)榘踩a(chǎn)品的性能一般是與其價(jià)格成正比的，所以要適合劃分系統(tǒng)中信息的安全級(jí)別，并作為選擇安全產(chǎn)品的重要依據(jù)，使制定的安全管理策略達(dá)到成本和效益的平衡。*75*75動(dòng)態(tài)性原則安全管理策略有一定的時(shí)限性，不能是一成不變的。由于網(wǎng)絡(luò)用戶在不斷地變化，網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，網(wǎng)絡(luò)技術(shù)本身的發(fā)展變化也很快，而安全措施是防范性的，所以安全措施也必須隨著網(wǎng)絡(luò)發(fā)展和環(huán)境的變化而變化。 *76*76簡(jiǎn)單性原則網(wǎng)絡(luò)用戶越多，網(wǎng)絡(luò)管理人員越多，網(wǎng)絡(luò)拓?fù)湓綇?fù)雜，采用網(wǎng)絡(luò)設(shè)備種類和軟件

34、種類越多，網(wǎng)絡(luò)提供的服務(wù)和捆綁越多，出現(xiàn)安全漏洞的可能性就越大。因此制定的安全管理策略越簡(jiǎn)單越好，如簡(jiǎn)化授權(quán)用戶的注冊(cè)過程等。*77*77系統(tǒng)性原則網(wǎng)絡(luò)的安全管理是一個(gè)系統(tǒng)化的工作，因此在制定安全管理策略時(shí)，應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶，各種設(shè)備，各種情況，有計(jì)劃有準(zhǔn)備地采取相應(yīng)的策略，任何一點(diǎn)疏忽都會(huì)造成整個(gè)網(wǎng)絡(luò)安全性的降低。*78*78安全策略的特點(diǎn)所有有效的安全策略都至少具備以下特點(diǎn)：發(fā)布必須通過系統(tǒng)正常管理程序，采用合適的標(biāo)準(zhǔn)出版物或其他適當(dāng)?shù)姆绞絹戆l(fā)布。強(qiáng)制執(zhí)行在適當(dāng)?shù)那闆r下，必須能夠通過安全工具來實(shí)現(xiàn)其強(qiáng)制實(shí)施，并在技術(shù)確定不能滿足要求的情況下強(qiáng)迫執(zhí)行。人員責(zé)任規(guī)定必須明確規(guī)定用戶、系統(tǒng)管理員和公司管理人員等各類人員的職責(zé)范圍和權(quán)限。*792.5 網(wǎng)絡(luò)安全體系設(shè)計(jì)2.5.1 網(wǎng)絡(luò)安全體系層次2.5.2 網(wǎng)絡(luò)安全體系設(shè)計(jì)準(zhǔn)則*802.5.1 網(wǎng)絡(luò)安全體系層次作為全方位的、整體的網(wǎng)絡(luò)安全防范體系也是分層次的，不同層次反映了不同的安全問題。根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀情況和網(wǎng)絡(luò)的結(jié)構(gòu)，安全防范體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理。*81物理層安全物理環(huán)境的安全性。包括通信線路的安全，物理設(shè)備的安全，機(jī)房的安全等。物理層的安全主