網(wǎng)絡安全與黑客入侵技術概述課件_第1頁
網(wǎng)絡安全與黑客入侵技術概述課件_第2頁
網(wǎng)絡安全與黑客入侵技術概述課件_第3頁
網(wǎng)絡安全與黑客入侵技術概述課件_第4頁
網(wǎng)絡安全與黑客入侵技術概述課件_第5頁
已閱讀5頁,還剩129頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

網(wǎng)絡安全與黑客入侵技術概述舒永杰網(wǎng)絡安全與黑客入侵技術概述安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報告內(nèi)容提要:安全問題綜述報告內(nèi)容提要:系統(tǒng)安全信息安全文化安全文化安全:系統(tǒng)安全信息安全文化安全文化安全:作用點:有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅,主要表現(xiàn)在輿論宣傳方面。外顯行為:黃色、反動信息泛濫,敵對的意識形態(tài)信息涌入,互聯(lián)網(wǎng)被利用作為串聯(lián)工具,傳播迅速,影響范圍廣。防范措施:設置因特網(wǎng)關,監(jiān)測、控管。文化安全:作用點:有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅,主要作用點:對所處理的信息機密性與完整性的威脅,主要表現(xiàn)在加密方面。外顯行為:竊取信息,篡改信息,冒充信息,信息抵賴。防范措施:加密,認證,數(shù)字簽名,完整性技術(VPN)信息安全:作用點:對所處理的信息機密性與完整性的威脅,主要表現(xiàn)在加密方信息安全:信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術完整性技術認證技術數(shù)字簽名信息安全:信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術完作用點:對計算機網(wǎng)絡與計算機系統(tǒng)可用性的威脅,主要表現(xiàn)在訪問控制方面。外顯行為:網(wǎng)絡被阻塞,黑客行為,計算機病毒等,使得依賴于信息系統(tǒng)的管理或控制體系陷于癱瘓。防范措施:防止入侵,檢測入侵,抵抗入侵,系統(tǒng)恢復。系統(tǒng)安全:作用點:對計算機網(wǎng)絡與計算機系統(tǒng)可用性的威脅,主要表現(xiàn)在訪問因特網(wǎng)網(wǎng)絡對國民經(jīng)濟的影響在加強安全漏洞危害在增大信息對抗的威脅在增加研究安全漏洞以防之因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術以阻之系統(tǒng)安全:因特網(wǎng)網(wǎng)絡對國民經(jīng)濟的影響在加強安全漏洞危害在增大信息對抗的防火墻——第一道防線,阻止入侵入侵監(jiān)測——第二道防線,發(fā)現(xiàn)入侵加固系統(tǒng)——第三道防線,抵抗入侵自動恢復——第四道防線,起死回生系統(tǒng)安全:防火墻——第一道防線,阻止入侵入侵監(jiān)測——第二道防線,發(fā)現(xiàn)入安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報告內(nèi)容提要:安全問題綜述報告內(nèi)容提要:網(wǎng)絡上存在的問題:

網(wǎng)絡內(nèi)部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲網(wǎng)絡上存在的問題:網(wǎng)絡內(nèi)部、外部泄密拒絕服務攻擊邏輯炸彈特※“黑客”在網(wǎng)上的攻擊活動每年以十倍速增長?!薷木W(wǎng)頁進行惡作劇、竊取網(wǎng)上信息興風作浪?!欠ㄟM入主機破壞程序、阻塞用戶、竊取密碼?!脬y行網(wǎng)絡轉(zhuǎn)移金錢、進行電子郵件騷擾。美國每年因黑客而造成的經(jīng)濟損失近百億美元他們利用網(wǎng)絡安全的脆弱性,無孔不入。黑客的破壞:※“黑客”在網(wǎng)上的攻擊活動每年以十倍速增長。美國每年因黑客※網(wǎng)絡硬件設備的后門※網(wǎng)絡軟件產(chǎn)品的后門※網(wǎng)絡安全產(chǎn)品的問題:嵌入式固件病毒安全產(chǎn)品的隱蔽性通道可恢復性密鑰的密碼※系統(tǒng)運行平臺的安全性問題外來安全設備的隱患:※網(wǎng)絡硬件設備的后門外來安全設備的隱患:黑客?黑客?發(fā)布網(wǎng)絡漏洞的網(wǎng)站:SANSCERTCOAST/coast/hotlistOthersubscriptionlistsNTBUGTRAQBUGTRAQDC-STUFF發(fā)布網(wǎng)絡漏洞的網(wǎng)站:SANS中國的相關網(wǎng)站:綠色兵團/中國網(wǎng)絡安全響應中心cns911/中科網(wǎng)威netpower大量的病毒安全廠商的網(wǎng)站中國的相關網(wǎng)站:綠色兵團黑客入侵方式:攻擊的三個階段※

尋找目標,收集信息(nessus)※

獲得初始的訪問控制權與特權

攻擊其他系統(tǒng)黑客入侵方式:攻擊的三個階段典型步驟:※掃描內(nèi)部信息:獲知提供何種服務,那種服務可用以及相關的配置信息.開放的端口※利用系統(tǒng)已知的漏洞:通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測已知用戶的口令,從而發(fā)現(xiàn)突破口。如果得到了普通用戶的權限就會進一步發(fā)掘※消除痕跡留下后門:黑客已經(jīng)獲得了系統(tǒng)的控制,會盡量清除痕跡,放置木馬、新建賬號等,系統(tǒng)完整性檢查可以發(fā)現(xiàn)這種情況。典型步驟:※掃描內(nèi)部信息:獲知提供何種服務,那種服務需要注意的問題:※網(wǎng)絡的開放性使得攻擊來自各個地方※內(nèi)外部的攻擊同時存在※黑客工具的開放性使得問題變的嚴重※攻擊沒有針對性,但是涉及面很廣需要注意的問題:※網(wǎng)絡的開放性使得攻擊來自各個地方端口掃描httpftptelnetsmtp攻擊過程示例:端口掃描http攻擊過程示例:口令暴力攻擊用戶名:john口令:john1234攻擊過程示例:口令暴力攻擊用戶名:john攻擊過程示例:攻擊過程示例:用john登錄服務器利用漏洞獲得超級用戶權限留后門隱藏用戶更改主頁信息攻擊過程示例:用john登錄利用漏洞獲得留后門更改主頁信息選中攻擊目標獲取普通用戶權限擦除入侵痕跡安裝后門獲取超級用戶權限攻擊其它主機獲取或修改信息從事其它非法活動典型攻擊示意圖:選中攻獲取普通擦除入安裝獲取超級攻擊其它獲取或從事其它典型攻※

ping,fping判斷主機死活※

tcp/udpscan結(jié)合常規(guī)服務約定,根據(jù)端口判斷提供服務※

osindentify發(fā)送奇怪的tcp包,不同的操作系統(tǒng)反應不同,queso,nmap※

Accountscans利用Email,finger等工具獲得系統(tǒng)賬號消息(用戶名、最后一次登陸時間)常用工具:※ping,fping判斷主機死活常用工具:缺陷掃描Rootcompromise:pop3d停止syslogd,修改/etc/inetd.conf,激活telnet,ftp,替換以下程序/bin/login、/bin/ps、/usr/bin/du、/bin/ls、/bin/netstat安裝竊聽程序sniffer:/usr/.sniffit重新啟動syslogd,關閉pop3d刪除日志記錄wtmp、wtp、message、syslog典型攻擊:缺陷掃描典型攻擊:安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報告內(nèi)容提要:安全問題綜述報告內(nèi)容提要:※黑客攻擊※路由攻擊※口令攻擊※邏輯炸彈※特洛伊木馬常見攻擊分析:※陷門、隱蔽通道※信息丟失、篡改、銷毀※內(nèi)部、外部泄密※計算機病毒※拒絕服務攻擊(DOS)※電子欺騙(Spoofing)※黑客攻擊常見攻擊分析:※陷門、隱蔽通道口令攻擊分析:※Unixpassword文件※FTPTelnet的暴力破解口令※一般將生日作為密碼※簡單的單詞※使用同一個密碼作為所有的密碼※被有意留心的人竊取口令攻擊分析:※Unixpassword文件口令攻擊軟件John:這個軟件由著名的黑客組織--UCF出的,它支持Unix,Dos,Windows,速度超快,可以說是目前同類中最杰出的作品。對于老式的passwd檔(就是沒shadow的那種,任何人能看的都可以把passwd密文存下來),John可以直接讀取并用字典窮舉擊破。對于現(xiàn)代的passwd+shadow的方式,John提供了UNSHADOW程序直接把兩者合成出老式passwd文件??诹罟糗浖﨡ohn:這個軟件由著名的黑客組織-其它軟件:※破解WINDOWS開機密碼※破解郵件密碼※

網(wǎng)絡密碼……其它軟件:※破解WINDOWS開機密碼邏輯炸彈是一段潛伏的程序,它以某種邏輯狀態(tài)為觸發(fā)條件,可以用來釋放病毒和蠕蟲或完成其他攻擊性功能,如破壞數(shù)據(jù)和燒毀芯片。它平時不起作用,只有當系統(tǒng)狀態(tài)滿足觸發(fā)條件時才被激活。邏輯炸彈:邏輯炸彈是一段潛伏的程序,它以某種邏輯狀態(tài)為觸特洛伊木馬是其內(nèi)部隱藏了某種隱蔽功能的程序,并不傳染,但設計者可利用其隱藏的功能達到目的,如尋找網(wǎng)絡上的漏洞或竊取某些信息。特洛伊木馬:特洛伊木馬是其內(nèi)部隱藏了某種隱蔽功能的程序,蠕蟲是一段獨立的可執(zhí)行程序,它可以通過計算機網(wǎng)絡把自身的拷貝(復制品)傳給其他的計算機。蠕蟲可以修改、刪除別的程序,但它也可以通過瘋狂的自我復制來占盡網(wǎng)絡資源,從而使網(wǎng)絡癱瘓。蠕蟲:蠕蟲是一段獨立的可執(zhí)行程序,它可以通過計算機※信息在傳輸過程中丟失;※信息在存儲過程中丟失;※改變信息流的次序、時序、流向;※未授權篡改、銷毀信息內(nèi)容。信息丟失、篡改、銷毀:※信息在傳輸過程中丟失;信息丟失、篡改、銷毀:※內(nèi)部涉密人員有意無意泄密;※內(nèi)部非授權人員有意偷竊機密信息;※外部人員使用高性能協(xié)議分析器、信道監(jiān)測設備對傳輸信息進行分析;※外部人員竊取計算機系統(tǒng)的操作密碼;※外部人員破解系統(tǒng)的核心密碼;※外部人員竊取用戶的授權密碼。內(nèi)、外部泄密:※內(nèi)部涉密人員有意無意泄密;內(nèi)、外部泄密:※計算機病毒※拒絕服務攻擊(DOS)※電子欺騙其它攻擊:※計算機病毒其它攻擊:WinNuke攻擊原理

當WindowsNT和Windows95系統(tǒng)的某些端口,如139號NetBIOS端口,接收到Out-of-Band數(shù)據(jù)時,系統(tǒng)不能正確地處理這些數(shù)據(jù),造成系統(tǒng)的死機。網(wǎng)絡攻擊舉例:WinNuke攻擊原理網(wǎng)絡攻擊舉例:網(wǎng)絡攻擊舉例:LAND攻擊原理

當對113或139號端口發(fā)送一個偽造的SYN報文時,如果報文中的源端主機的IP地址和端口與目的主機的IP地址和端口相同,例如從:139發(fā)送到:139,這時目標主機將會死機。網(wǎng)絡攻擊舉例:LAND攻擊原理攻擊者InternetCode目標2欺騙性的IP包源地址

2Port139目的地址

2Port139TCPOpenG.MarkHardyLand攻擊:攻擊者InternetCode目標欺騙性的IP包G.M攻擊者InternetCode目標2IP包欺騙源地址

2Port139目的地址

2Port139包被送回它自己崩潰G.MarkHardyLand攻擊:攻擊者InternetCode目標IP包欺騙崩潰G.Ma攻擊者InternetCode目標2IP包欺騙源地址2Port139目標地址2Port139TCPOpen數(shù)據(jù)包被丟棄!防火墻防火墻把有危險的包阻隔在網(wǎng)絡外G.MarkHardy防護Land攻擊:攻擊者InternetCode目標IP包欺騙防火墻防火墻把有網(wǎng)絡攻擊舉例:UDP攻擊

UDP攻擊的原理是使兩個或兩個以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。這樣會形成很大的數(shù)據(jù)流量。當多個系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時,最終將導致整個網(wǎng)絡癱瘓。如果涉及的主機數(shù)目少,那么只有這幾臺主機會癱瘓。網(wǎng)絡攻擊舉例:UDP攻擊網(wǎng)絡攻擊舉例:TCP/SYN攻擊TCP的連接階段,發(fā)SYN包,要求連接偽造地址消耗主機資源網(wǎng)絡攻擊舉例:TCP/SYN攻擊TCP的連接階段,發(fā)SYN攻擊者InternetCode目標欺騙性的IP包源地址不存在目標地址是TCPOpenG.MarkHardySYNFlood:攻擊者InternetCode目標欺騙性的IP包G.MSYNFlood:攻擊者InternetCode目標同步應答響應源地址目標地址不存在TCPACK崩潰G.MarkHardySYNFlood:攻擊者InternetCode目標同步應第一步:攻擊者向被利用網(wǎng)絡A的廣播地址發(fā)送一個ICMP協(xié)議的’echo’請求數(shù)據(jù)報,該數(shù)據(jù)報源地址被偽造成第二步:網(wǎng)絡A上的所有主機都向該偽造的源地址返回一個‘echo’響應,造成該主機服務中斷。Smuff攻擊:第一步:攻擊者向被利用網(wǎng)絡A的廣播地址發(fā)送一個ICMP協(xié)議網(wǎng)絡攻擊舉例:ICMP/PING攻擊原理

ICMP/PING攻擊是利用一些系統(tǒng)不能接受超大的IP包或需要資源處理這一特性。如在Linux下輸入Ping-t66510IP(未打補丁的Win95/98的機器),機器就會癱瘓。網(wǎng)絡攻擊舉例:ICMP/PING攻擊原理網(wǎng)絡攻擊舉例:ICMP/SMURF攻擊原理

ICMP/SMURF攻擊利用的是網(wǎng)絡廣播的原理來發(fā)送大量的地址,而包的源地址就是要攻擊的機器本身的地址。因而所有接收到此包的主機都將給發(fā)包的地址發(fā)送一個ICMP回復包。網(wǎng)絡攻擊舉例:ICMP/SMURF攻擊原理網(wǎng)絡攻擊舉例:TARGA3攻擊(IP堆棧突破)

TARGA3攻擊的基本原理是發(fā)送TCP/UDP/ICMP的碎片包,其大小、標記、包數(shù)據(jù)等都是隨機的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不規(guī)范數(shù)據(jù)包,便會使其TCP/IP堆棧出現(xiàn)崩潰,從而導致無法繼續(xù)響應網(wǎng)絡請求(即拒絕服務)。網(wǎng)絡攻擊舉例:TARGA3攻擊(IP堆棧突破)DoS攻擊land,teardrop,SYNfloodICMP:smurfRouter:remotereset,UDPport7,Windows:Port135,137,139(OOB),terminalserverSolaris:Linux:其他...

網(wǎng)絡攻擊舉例:DoS攻擊網(wǎng)絡攻擊舉例:以破壞系統(tǒng)或網(wǎng)絡的可用性為目標常用的工具:Trin00,TFN/TFN2K,Stacheldraht很難防范偽造源地址,流量加密,因此很難跟蹤clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFloodDDOS攻擊:以破壞系統(tǒng)或網(wǎng)絡的可用性為目標clienttargethanDDOS攻擊的效果

由于整個過程是自動化的,攻擊者能夠在十幾秒鐘內(nèi)入侵一臺主機并安裝攻擊工具。也就是說,在短短的一小時內(nèi)可以入侵數(shù)千臺主機。并使某一臺主機可能要遭受1000MB/S數(shù)據(jù)量的猛烈攻擊,這一數(shù)據(jù)量相當于1.04億人同時撥打某公司的一部電話號碼。DDOS攻擊:DDOS攻擊的效果DDOS攻擊:※確保主機不被入侵且是安全的;※周期性審核系統(tǒng);※檢查文件完整性;※優(yōu)化路由和網(wǎng)絡結(jié)構;

※優(yōu)化對外開放訪問的主機;※在網(wǎng)絡上建立一個過濾器在攻擊信息到達網(wǎng)站服務器之前阻擋攻擊信息。DDOS攻擊的預防:※確保主機不被入侵且是安全的;DDOS攻擊的預防※如何增強自身的隱蔽性和攻擊能力;※采用加密通訊通道、ICMP協(xié)議等方法避開防火墻的檢測;※采用對自身進行數(shù)字簽名等方法研究自毀機制,在被非攻擊者自己使用時自行消毀拒絕服務攻擊數(shù)據(jù)包,以消除證據(jù)。DDOS攻擊的發(fā)展趨勢:※如何增強自身的隱蔽性和攻擊能力;DDOS攻擊的發(fā)※攻擊UNIX獲取完全的存取能力※緩沖區(qū)溢出利用軟件錯誤來覆蓋內(nèi)存段※導致程序崩潰而給攻擊者留下超級用戶(root)的權限※問題:不知道攻擊者可能發(fā)現(xiàn)什么新的可利用途徑。※解決方案:入侵探測軟件能實時辨認權限變更并采取行動。緩沖區(qū)溢出:※攻擊UNIX獲取完全的存取能力緩沖區(qū)溢出:后門程序:※

BO、netbus※

Service/Daemon※冰河其他后門程序:※BO、netbus※改變登錄程序到一個后門程序※后門象正常的登錄程序一樣的工作,但它捕獲用戶口令※能使用與其它系統(tǒng)相類似的技術※問題:由于后門象正常的登錄程序一樣的工作,因此用戶不能辨別出來?!鉀Q方案:使用工具來主動監(jiān)視關鍵文件以獲取被纂改的跡象后門程序:※改變登錄程序到一個后門程序后門程序:后門例子:后門例子:后門例子:后門例子:L0phtcrack實證攻擊程序允許入侵者從整個系統(tǒng)中偷取口令!SpecifyacomputerTheintruderusesl0PHTCrack

todumpallpasswordsfromtheNTRegistryl0PHTCrackdumpsthepasswordfiles......Theintruderopensaworddictionary

(usuallyaprettycomprehensivelist)......Andrunsthecrack!Ouch!Somuchfornetworksecurity!G.MarkHardyL0phtcrack實證攻擊程序允許入侵者從整個系統(tǒng)中偷取口安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報告內(nèi)容提要:安全問題綜述報告內(nèi)容提要:※

安全策略:沒有明確的安全管理策略※

管理問題:管理規(guī)章制度、策略、負責人、落實操作系統(tǒng)安裝后使用缺省配置,不打補丁,運行※許多不必要的服務;99%以上的入侵是可以通過系統(tǒng)配置來防范的;※

用戶安全意識※

網(wǎng)絡拓撲結(jié)構※

安全工具的使用安全建議:※安全策略:沒有明確的安全管理策略安全建議:※多種服務安裝在同一服務器上,DNS/Mail/Web/FTP※公用服務器用戶口令過于簡單,uid:stud??/Pwd:123456※審計功能沒有激活,或管理員根本不檢查審計日志※沒有備份,系統(tǒng)在被入侵后很難恢復安全措施:※多種服務安裝在同一服務器上,DNS/Mail/We安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報告內(nèi)容提要:安全問題綜述報告內(nèi)容提要:除了信息的保密性、完整性,保證系統(tǒng)和網(wǎng)絡的可用性、防止網(wǎng)絡資源/流量盜用,是網(wǎng)絡安全服務的重要目標之一;安全是每個人的責任,整體的安全性依賴于所有用戶安全意識的增強、安全技術的普及;保護用戶不受攻擊規(guī)范用戶行為,不發(fā)起攻擊行為不做攻擊的中繼增強協(xié)作精神,不做攻擊的中轉(zhuǎn)站僅僅依靠安全技術和工具并不能實現(xiàn)真正意義上的網(wǎng)絡安全,要實現(xiàn)真正意義上的網(wǎng)絡安全,相關法律法規(guī)的保障是非常必要的。結(jié)束語:除了信息的保密性、完整性,保證系統(tǒng)和網(wǎng)絡的可用性、防止網(wǎng)絡資謝謝大家!!謝謝大家??!謝謝!謝謝!67網(wǎng)絡安全與黑客入侵技術概述舒永杰網(wǎng)絡安全與黑客入侵技術概述安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報告內(nèi)容提要:安全問題綜述報告內(nèi)容提要:系統(tǒng)安全信息安全文化安全文化安全:系統(tǒng)安全信息安全文化安全文化安全:作用點:有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅,主要表現(xiàn)在輿論宣傳方面。外顯行為:黃色、反動信息泛濫,敵對的意識形態(tài)信息涌入,互聯(lián)網(wǎng)被利用作為串聯(lián)工具,傳播迅速,影響范圍廣。防范措施:設置因特網(wǎng)關,監(jiān)測、控管。文化安全:作用點:有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅,主要作用點:對所處理的信息機密性與完整性的威脅,主要表現(xiàn)在加密方面。外顯行為:竊取信息,篡改信息,冒充信息,信息抵賴。防范措施:加密,認證,數(shù)字簽名,完整性技術(VPN)信息安全:作用點:對所處理的信息機密性與完整性的威脅,主要表現(xiàn)在加密方信息安全:信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術完整性技術認證技術數(shù)字簽名信息安全:信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術完作用點:對計算機網(wǎng)絡與計算機系統(tǒng)可用性的威脅,主要表現(xiàn)在訪問控制方面。外顯行為:網(wǎng)絡被阻塞,黑客行為,計算機病毒等,使得依賴于信息系統(tǒng)的管理或控制體系陷于癱瘓。防范措施:防止入侵,檢測入侵,抵抗入侵,系統(tǒng)恢復。系統(tǒng)安全:作用點:對計算機網(wǎng)絡與計算機系統(tǒng)可用性的威脅,主要表現(xiàn)在訪問因特網(wǎng)網(wǎng)絡對國民經(jīng)濟的影響在加強安全漏洞危害在增大信息對抗的威脅在增加研究安全漏洞以防之因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術以阻之系統(tǒng)安全:因特網(wǎng)網(wǎng)絡對國民經(jīng)濟的影響在加強安全漏洞危害在增大信息對抗的防火墻——第一道防線,阻止入侵入侵監(jiān)測——第二道防線,發(fā)現(xiàn)入侵加固系統(tǒng)——第三道防線,抵抗入侵自動恢復——第四道防線,起死回生系統(tǒng)安全:防火墻——第一道防線,阻止入侵入侵監(jiān)測——第二道防線,發(fā)現(xiàn)入安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報告內(nèi)容提要:安全問題綜述報告內(nèi)容提要:網(wǎng)絡上存在的問題:

網(wǎng)絡內(nèi)部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲網(wǎng)絡上存在的問題:網(wǎng)絡內(nèi)部、外部泄密拒絕服務攻擊邏輯炸彈特※“黑客”在網(wǎng)上的攻擊活動每年以十倍速增長?!薷木W(wǎng)頁進行惡作劇、竊取網(wǎng)上信息興風作浪?!欠ㄟM入主機破壞程序、阻塞用戶、竊取密碼?!脬y行網(wǎng)絡轉(zhuǎn)移金錢、進行電子郵件騷擾。美國每年因黑客而造成的經(jīng)濟損失近百億美元他們利用網(wǎng)絡安全的脆弱性,無孔不入。黑客的破壞:※“黑客”在網(wǎng)上的攻擊活動每年以十倍速增長。美國每年因黑客※網(wǎng)絡硬件設備的后門※網(wǎng)絡軟件產(chǎn)品的后門※網(wǎng)絡安全產(chǎn)品的問題:嵌入式固件病毒安全產(chǎn)品的隱蔽性通道可恢復性密鑰的密碼※系統(tǒng)運行平臺的安全性問題外來安全設備的隱患:※網(wǎng)絡硬件設備的后門外來安全設備的隱患:黑客?黑客?發(fā)布網(wǎng)絡漏洞的網(wǎng)站:SANSCERTCOAST/coast/hotlistOthersubscriptionlistsNTBUGTRAQBUGTRAQDC-STUFF發(fā)布網(wǎng)絡漏洞的網(wǎng)站:SANS中國的相關網(wǎng)站:綠色兵團/中國網(wǎng)絡安全響應中心cns911/中科網(wǎng)威netpower大量的病毒安全廠商的網(wǎng)站中國的相關網(wǎng)站:綠色兵團黑客入侵方式:攻擊的三個階段※

尋找目標,收集信息(nessus)※

獲得初始的訪問控制權與特權

攻擊其他系統(tǒng)黑客入侵方式:攻擊的三個階段典型步驟:※掃描內(nèi)部信息:獲知提供何種服務,那種服務可用以及相關的配置信息.開放的端口※利用系統(tǒng)已知的漏洞:通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測已知用戶的口令,從而發(fā)現(xiàn)突破口。如果得到了普通用戶的權限就會進一步發(fā)掘※消除痕跡留下后門:黑客已經(jīng)獲得了系統(tǒng)的控制,會盡量清除痕跡,放置木馬、新建賬號等,系統(tǒng)完整性檢查可以發(fā)現(xiàn)這種情況。典型步驟:※掃描內(nèi)部信息:獲知提供何種服務,那種服務需要注意的問題:※網(wǎng)絡的開放性使得攻擊來自各個地方※內(nèi)外部的攻擊同時存在※黑客工具的開放性使得問題變的嚴重※攻擊沒有針對性,但是涉及面很廣需要注意的問題:※網(wǎng)絡的開放性使得攻擊來自各個地方端口掃描httpftptelnetsmtp攻擊過程示例:端口掃描http攻擊過程示例:口令暴力攻擊用戶名:john口令:john1234攻擊過程示例:口令暴力攻擊用戶名:john攻擊過程示例:攻擊過程示例:用john登錄服務器利用漏洞獲得超級用戶權限留后門隱藏用戶更改主頁信息攻擊過程示例:用john登錄利用漏洞獲得留后門更改主頁信息選中攻擊目標獲取普通用戶權限擦除入侵痕跡安裝后門獲取超級用戶權限攻擊其它主機獲取或修改信息從事其它非法活動典型攻擊示意圖:選中攻獲取普通擦除入安裝獲取超級攻擊其它獲取或從事其它典型攻※

ping,fping判斷主機死活※

tcp/udpscan結(jié)合常規(guī)服務約定,根據(jù)端口判斷提供服務※

osindentify發(fā)送奇怪的tcp包,不同的操作系統(tǒng)反應不同,queso,nmap※

Accountscans利用Email,finger等工具獲得系統(tǒng)賬號消息(用戶名、最后一次登陸時間)常用工具:※ping,fping判斷主機死活常用工具:缺陷掃描Rootcompromise:pop3d停止syslogd,修改/etc/inetd.conf,激活telnet,ftp,替換以下程序/bin/login、/bin/ps、/usr/bin/du、/bin/ls、/bin/netstat安裝竊聽程序sniffer:/usr/.sniffit重新啟動syslogd,關閉pop3d刪除日志記錄wtmp、wtp、message、syslog典型攻擊:缺陷掃描典型攻擊:安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報告內(nèi)容提要:安全問題綜述報告內(nèi)容提要:※黑客攻擊※路由攻擊※口令攻擊※邏輯炸彈※特洛伊木馬常見攻擊分析:※陷門、隱蔽通道※信息丟失、篡改、銷毀※內(nèi)部、外部泄密※計算機病毒※拒絕服務攻擊(DOS)※電子欺騙(Spoofing)※黑客攻擊常見攻擊分析:※陷門、隱蔽通道口令攻擊分析:※Unixpassword文件※FTPTelnet的暴力破解口令※一般將生日作為密碼※簡單的單詞※使用同一個密碼作為所有的密碼※被有意留心的人竊取口令攻擊分析:※Unixpassword文件口令攻擊軟件John:這個軟件由著名的黑客組織--UCF出的,它支持Unix,Dos,Windows,速度超快,可以說是目前同類中最杰出的作品。對于老式的passwd檔(就是沒shadow的那種,任何人能看的都可以把passwd密文存下來),John可以直接讀取并用字典窮舉擊破。對于現(xiàn)代的passwd+shadow的方式,John提供了UNSHADOW程序直接把兩者合成出老式passwd文件??诹罟糗浖﨡ohn:這個軟件由著名的黑客組織-其它軟件:※破解WINDOWS開機密碼※破解郵件密碼※

網(wǎng)絡密碼……其它軟件:※破解WINDOWS開機密碼邏輯炸彈是一段潛伏的程序,它以某種邏輯狀態(tài)為觸發(fā)條件,可以用來釋放病毒和蠕蟲或完成其他攻擊性功能,如破壞數(shù)據(jù)和燒毀芯片。它平時不起作用,只有當系統(tǒng)狀態(tài)滿足觸發(fā)條件時才被激活。邏輯炸彈:邏輯炸彈是一段潛伏的程序,它以某種邏輯狀態(tài)為觸特洛伊木馬是其內(nèi)部隱藏了某種隱蔽功能的程序,并不傳染,但設計者可利用其隱藏的功能達到目的,如尋找網(wǎng)絡上的漏洞或竊取某些信息。特洛伊木馬:特洛伊木馬是其內(nèi)部隱藏了某種隱蔽功能的程序,蠕蟲是一段獨立的可執(zhí)行程序,它可以通過計算機網(wǎng)絡把自身的拷貝(復制品)傳給其他的計算機。蠕蟲可以修改、刪除別的程序,但它也可以通過瘋狂的自我復制來占盡網(wǎng)絡資源,從而使網(wǎng)絡癱瘓。蠕蟲:蠕蟲是一段獨立的可執(zhí)行程序,它可以通過計算機※信息在傳輸過程中丟失;※信息在存儲過程中丟失;※改變信息流的次序、時序、流向;※未授權篡改、銷毀信息內(nèi)容。信息丟失、篡改、銷毀:※信息在傳輸過程中丟失;信息丟失、篡改、銷毀:※內(nèi)部涉密人員有意無意泄密;※內(nèi)部非授權人員有意偷竊機密信息;※外部人員使用高性能協(xié)議分析器、信道監(jiān)測設備對傳輸信息進行分析;※外部人員竊取計算機系統(tǒng)的操作密碼;※外部人員破解系統(tǒng)的核心密碼;※外部人員竊取用戶的授權密碼。內(nèi)、外部泄密:※內(nèi)部涉密人員有意無意泄密;內(nèi)、外部泄密:※計算機病毒※拒絕服務攻擊(DOS)※電子欺騙其它攻擊:※計算機病毒其它攻擊:WinNuke攻擊原理

當WindowsNT和Windows95系統(tǒng)的某些端口,如139號NetBIOS端口,接收到Out-of-Band數(shù)據(jù)時,系統(tǒng)不能正確地處理這些數(shù)據(jù),造成系統(tǒng)的死機。網(wǎng)絡攻擊舉例:WinNuke攻擊原理網(wǎng)絡攻擊舉例:網(wǎng)絡攻擊舉例:LAND攻擊原理

當對113或139號端口發(fā)送一個偽造的SYN報文時,如果報文中的源端主機的IP地址和端口與目的主機的IP地址和端口相同,例如從:139發(fā)送到:139,這時目標主機將會死機。網(wǎng)絡攻擊舉例:LAND攻擊原理攻擊者InternetCode目標2欺騙性的IP包源地址

2Port139目的地址

2Port139TCPOpenG.MarkHardyLand攻擊:攻擊者InternetCode目標欺騙性的IP包G.M攻擊者InternetCode目標2IP包欺騙源地址

2Port139目的地址

2Port139包被送回它自己崩潰G.MarkHardyLand攻擊:攻擊者InternetCode目標IP包欺騙崩潰G.Ma攻擊者InternetCode目標2IP包欺騙源地址2Port139目標地址2Port139TCPOpen數(shù)據(jù)包被丟棄!防火墻防火墻把有危險的包阻隔在網(wǎng)絡外G.MarkHardy防護Land攻擊:攻擊者InternetCode目標IP包欺騙防火墻防火墻把有網(wǎng)絡攻擊舉例:UDP攻擊

UDP攻擊的原理是使兩個或兩個以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。這樣會形成很大的數(shù)據(jù)流量。當多個系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時,最終將導致整個網(wǎng)絡癱瘓。如果涉及的主機數(shù)目少,那么只有這幾臺主機會癱瘓。網(wǎng)絡攻擊舉例:UDP攻擊網(wǎng)絡攻擊舉例:TCP/SYN攻擊TCP的連接階段,發(fā)SYN包,要求連接偽造地址消耗主機資源網(wǎng)絡攻擊舉例:TCP/SYN攻擊TCP的連接階段,發(fā)SYN攻擊者InternetCode目標欺騙性的IP包源地址不存在目標地址是TCPOpenG.MarkHardySYNFlood:攻擊者InternetCode目標欺騙性的IP包G.MSYNFlood:攻擊者InternetCode目標同步應答響應源地址目標地址不存在TCPACK崩潰G.MarkHardySYNFlood:攻擊者InternetCode目標同步應第一步:攻擊者向被利用網(wǎng)絡A的廣播地址發(fā)送一個ICMP協(xié)議的’echo’請求數(shù)據(jù)報,該數(shù)據(jù)報源地址被偽造成第二步:網(wǎng)絡A上的所有主機都向該偽造的源地址返回一個‘echo’響應,造成該主機服務中斷。Smuff攻擊:第一步:攻擊者向被利用網(wǎng)絡A的廣播地址發(fā)送一個ICMP協(xié)議網(wǎng)絡攻擊舉例:ICMP/PING攻擊原理

ICMP/PING攻擊是利用一些系統(tǒng)不能接受超大的IP包或需要資源處理這一特性。如在Linux下輸入Ping-t66510IP(未打補丁的Win95/98的機器),機器就會癱瘓。網(wǎng)絡攻擊舉例:ICMP/PING攻擊原理網(wǎng)絡攻擊舉例:ICMP/SMURF攻擊原理

ICMP/SMURF攻擊利用的是網(wǎng)絡廣播的原理來發(fā)送大量的地址,而包的源地址就是要攻擊的機器本身的地址。因而所有接收到此包的主機都將給發(fā)包的地址發(fā)送一個ICMP回復包。網(wǎng)絡攻擊舉例:ICMP/SMURF攻擊原理網(wǎng)絡攻擊舉例:TARGA3攻擊(IP堆棧突破)

TARGA3攻擊的基本原理是發(fā)送TCP/UDP/ICMP的碎片包,其大小、標記、包數(shù)據(jù)等都是隨機的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不規(guī)范數(shù)據(jù)包,便會使其TCP/IP堆棧出現(xiàn)崩潰,從而導致無法繼續(xù)響應網(wǎng)絡請求(即拒絕服務)。網(wǎng)絡攻擊舉例:TARGA3攻擊(IP堆棧突破)DoS攻擊land,teardrop,SYNfloodICMP:smurfRouter:remotereset,UDPport7,Windows:Port135,137,139(OOB),terminalserverSolaris:Linux:其他...

網(wǎng)絡攻擊舉例:DoS攻擊網(wǎng)絡攻擊舉例:以破壞系統(tǒng)或網(wǎng)絡的可用性為目標常用的工具:Trin00,TFN/TFN2K,Stacheldraht很難防范偽造源地址,流量加密,因此很難跟蹤clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFloodDDOS攻擊:以破壞系統(tǒng)或網(wǎng)絡的可用性為目標clienttargethanDDOS攻擊的效果

由于整個過程是自動化的,攻擊者能夠在十幾秒鐘內(nèi)入侵一臺主機并安裝攻擊工具。也就是說,在短短的一小時內(nèi)可以入侵數(shù)千臺主機。并使某一臺主機可能要遭受1000MB/S數(shù)據(jù)量的猛烈攻擊,這一數(shù)據(jù)量相當于1.04億人同時撥打某公司的一部電話號碼。DDOS攻擊:DDOS攻擊的效果DDOS攻擊:※確保主機不被入侵且是安全的;※周期性審核系統(tǒng);※檢查文件完整性;※優(yōu)化路由和網(wǎng)絡結(jié)構;

※優(yōu)化對外開放訪問的主機;※在網(wǎng)絡上建立一個過濾器在攻擊信息到達網(wǎng)站服務器之前阻擋攻擊信息。DDOS攻擊的預防:※確保主機不被入侵且是安全的;DDOS攻擊的預防※如何增強自身的隱蔽性和攻擊能力;※采用加密通訊通道、ICMP協(xié)議等方法避開防火墻的檢測;※采用對自身

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論