網(wǎng)絡(luò)安全培訓(xùn)課件

安全培訓(xùn)2013年3月26日安全培訓(xùn)2013年3月26日2當(dāng)前的安全威脅常用威脅及應(yīng)對漏洞攻擊演示總體解決思路培訓(xùn)內(nèi)容當(dāng)前的安全威脅培訓(xùn)內(nèi)容3根據(jù)發(fā)布的公告，截止到2013年3月10日我國境內(nèi)感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量約為138.4萬個，其中包括境內(nèi)被木馬或被僵尸程序控制的主機(jī)約43.4萬以及境內(nèi)感染飛客（）蠕蟲的主機(jī)約95萬木馬或僵尸程序受控主機(jī)在我國大陸的分布，排名前三位的分別是廣東省、江蘇省和浙江省。捕獲了大量新增網(wǎng)絡(luò)病毒文件，按網(wǎng)絡(luò)病毒名稱統(tǒng)計(jì)新增33個，按網(wǎng)絡(luò)病毒家族統(tǒng)計(jì)新增1個。放馬站點(diǎn)是網(wǎng)絡(luò)病毒傳播的源頭。本周，監(jiān)測發(fā)現(xiàn)的放馬站點(diǎn)共涉及域名140個，涉及地址262個。在140個域名中，有約60.7%為境外注冊，且頂級域?yàn)榈募s占66.4%；在262個中，有約54.2%位于境內(nèi)，約45.8%位于境外。根據(jù)對放馬的分析發(fā)現(xiàn)，大部分放馬站點(diǎn)是通過域名訪問，而通過直接訪問的涉及98個。嚴(yán)峻的安全形勢嚴(yán)峻的安全形勢4嚴(yán)峻的安全形勢嚴(yán)峻的安全形勢5面臨的安全威脅網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲信息丟失、篡改、銷毀面臨的安全威脅網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木6DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼額外的不安全因素外部個體外部/組織內(nèi)部個體內(nèi)部/組織6DMZIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由7網(wǎng)絡(luò)的普及使學(xué)習(xí)網(wǎng)絡(luò)進(jìn)攻變得容易全球超過26萬個黑客站點(diǎn)提供系統(tǒng)漏洞和攻擊知識越來越多的容易使用的攻擊軟件的出現(xiàn)國內(nèi)法律制裁打擊力度不夠7網(wǎng)絡(luò)的普及使學(xué)習(xí)網(wǎng)絡(luò)進(jìn)攻變得容易全球超過26萬個黑客站點(diǎn)提8混合型、自動的攻擊WorkstationViaEmailFileServerWorkstationMailServer混合型攻擊:蠕蟲WebServerViaWebPageWebServerMailGateway防病毒防火墻入侵檢測風(fēng)險管理攻擊的發(fā)展趨勢8混合型、自動的攻擊WorkstationFileSer9攻擊的發(fā)展趨勢(1).漏洞趨勢嚴(yán)重程度中等或較高的漏洞急劇增加,新漏洞被利用越來越容易(大約60%不需或很少需用代碼)(2).混合型威脅趨勢將病毒、蠕蟲、特洛伊木馬和惡意代碼的特性與服務(wù)器和漏洞結(jié)合起來而發(fā)起、傳播和擴(kuò)散的攻擊,例：紅色代碼和尼姆達(dá)等。9攻擊的發(fā)展趨勢(1).漏洞趨勢10攻擊的發(fā)展趨勢(1).主動惡意代碼趨勢制造方法：簡單并工具化技術(shù)特征：智能性、攻擊性和多態(tài)性,采用加密、變換、插入等技術(shù)手段巧妙地偽裝自身，躲避甚至攻擊防御檢測軟件.表現(xiàn)形式：多種多樣,沒有了固定的端口，沒有了更多的連接,甚至發(fā)展到可以在網(wǎng)絡(luò)的任何一層生根發(fā)芽，復(fù)制傳播，難以檢測。(2).受攻擊未來領(lǐng)域即時消息：等對等程序(P2P)移動設(shè)備(手機(jī)安全)10攻擊的發(fā)展趨勢(1).主動惡意代碼趨勢11為什么會有這么多的攻擊漏洞簡單介紹各種漏洞及原因設(shè)計(jì)上的缺陷利益上的考慮軟件變得日益復(fù)雜11為什么會有這么多的攻擊漏洞簡單介紹各種漏洞及原因12針對漏洞掃描的防范措施安裝防火墻，禁止訪問不該訪問的服務(wù)端口，使用隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)安裝入侵檢測系統(tǒng)，檢測漏洞掃描行為安裝評估系統(tǒng)，先于入侵者進(jìn)行漏洞掃描，以便及早發(fā)現(xiàn)問題并解決提高安全意識，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁12針對漏洞掃描的防范措施安裝防火墻，禁止訪問不該訪問的服務(wù)13常見的黑客攻擊方法口令攻擊網(wǎng)絡(luò)監(jiān)聽緩沖區(qū)溢出路由攻擊邏輯炸彈蠕蟲后門、隱蔽通道計(jì)算機(jī)病毒拒絕服務(wù)攻擊（）特洛伊木馬其它網(wǎng)絡(luò)攻擊常見的網(wǎng)絡(luò)攻擊(10種)13常見的黑客攻擊方法口令攻擊蠕蟲其它網(wǎng)絡(luò)攻擊常見的網(wǎng)絡(luò)攻擊14口令攻擊口令攻擊軟件－1.4這個軟件由著名的黑客組織出的,它支持,,,速度超快,可以說是目前同類中最杰出的作品。對于老式的檔(就是沒的那種,任何人能看的都可以把密文存下來)可以直接讀取并用字典窮舉擊破。對于現(xiàn)代的+的方式,提供了程序直接把兩者合成出老式文件。14口令攻擊口令攻擊軟件－1.415入侵者是如何得到密碼的大量的應(yīng)用程序都是傳送明文密碼竊聽加密密碼并解密竊取密碼文件，利用工具破解社會詐騙15入侵者是如何得到密碼的大量的應(yīng)用程序都是傳送明文密16口令攻擊：“*”密碼查看16口令攻擊：“*”密碼查看17口令攻擊演示：密碼破解17口令攻擊演示：密碼破解18口令攻擊18口令攻擊19針對口令破解攻擊的防范措施不用中文拼音、英文單詞不用生日、紀(jì)念日、有意義的字符串使用大小寫字母、符號、數(shù)字的組合19針對口令破解攻擊的防范措施20針對口令破解攻擊的防范措施不要將口令寫下來。不要將口令存于電腦文件中。不要讓別人知道。不要在不同系統(tǒng)上使用同一口令。為防止眼明手快的人竊取口令,在輸入口令時應(yīng)確認(rèn)無人在身邊。定期改變口令,至少2個月要改變一次。20針對口令破解攻擊的防范措施不要將口令寫下來。21針對口令破解攻擊的防范措施安裝入侵檢測系統(tǒng)，檢測口令破解行為安裝安全評估系統(tǒng)，先于入侵者進(jìn)行模擬口令破解，以便及早發(fā)現(xiàn)弱口令并解決提高安全意識，避免弱口令21針對口令破解攻擊的防范措施安裝入侵檢測系統(tǒng)，檢測口令破解22網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的作用：可以截獲用戶口令；可以截獲秘密的或?qū)Ｓ玫男畔?；可以用來攻擊相鄰的網(wǎng)絡(luò)；可以對數(shù)據(jù)包進(jìn)行詳細(xì)的分析；可以分析出目標(biāo)主機(jī)采用了哪些協(xié)議。22網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的作用：23常用網(wǎng)絡(luò)監(jiān)聽工具工具名稱操作系統(tǒng)功能簡介,針對協(xié)議的不安全性進(jìn)行監(jiān)聽,可以從以太網(wǎng)上監(jiān)聽并截獲數(shù)據(jù)包,監(jiān)控在以太網(wǎng)上傳輸?shù)臄?shù)據(jù)包

監(jiān)聽以太網(wǎng)上的通信,用來偵聽本網(wǎng)段數(shù)據(jù)包，常用作錯誤診斷、顯示當(dāng)前的連接和協(xié)議統(tǒng)計(jì)監(jiān)聽局域網(wǎng)上的通信的主機(jī)監(jiān)聽外部主機(jī)對本機(jī)的訪問23常用網(wǎng)絡(luò)監(jiān)聽工具工具名稱操作系統(tǒng)功能簡介,針對協(xié)議的24網(wǎng)絡(luò)嗅探是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到共享式網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接受方是誰。此時，如果兩臺主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具，例如,，，等就可以輕而易舉地截取包括口令、帳號等敏感信息。漏洞掃描和攻擊之網(wǎng)絡(luò)嗅探24漏洞掃描和攻擊之網(wǎng)絡(luò)嗅探25共享信道 廣播型以太網(wǎng)協(xié)議不加密 口令明文傳輸混雜模式 處于這種模式的網(wǎng)卡接受網(wǎng)絡(luò)中所有數(shù)據(jù)包25共享信道26網(wǎng)上截獲的帳號和口令26網(wǎng)上截獲的27針對網(wǎng)絡(luò)嗅探攻擊的防范措施安裝網(wǎng)關(guān)，防止對網(wǎng)間網(wǎng)信道進(jìn)行嗅探對內(nèi)部網(wǎng)絡(luò)通信采取加密處理采用交換設(shè)備進(jìn)行網(wǎng)絡(luò)分段采取技術(shù)手段發(fā)現(xiàn)處于混雜模式的主機(jī)，發(fā)掘“鼴鼠”27針對網(wǎng)絡(luò)嗅探攻擊的防范措施安裝網(wǎng)關(guān)，防止對網(wǎng)間網(wǎng)信道進(jìn)行28緩沖區(qū)溢出什么是緩沖區(qū)溢出簡單地說，緩沖區(qū)溢出就是向堆棧中分配的局部數(shù)據(jù)塊中寫入了超出其實(shí)際分配大小的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)越界，結(jié)果覆蓋了原先的堆棧數(shù)據(jù)。例如:(*){

[16];

();}28緩沖區(qū)溢出什么是緩沖區(qū)溢出29堆棧溢出攻擊十年來最大的安全問題這是一種系統(tǒng)攻擊手段，通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。這種攻擊可以使得一個匿名的用戶有機(jī)會獲得一臺主機(jī)的部分或全部的控制權(quán)。29堆棧溢出攻擊十年來最大的安全問題這是一種系統(tǒng)攻擊手段30路由攻擊注入假的路由到路由選擇系統(tǒng)重定向業(yè)務(wù)流到黑洞重定向業(yè)務(wù)流到慢的鏈接重定向業(yè)務(wù)流到可以分析與修改的地點(diǎn)30路由攻擊31邏輯炸彈邏輯炸彈是一段潛伏的程序，它以某種邏輯狀態(tài)為觸發(fā)條件，可以用來釋放病毒和蠕蟲或完成其他攻擊性功能，如破壞數(shù)據(jù)和燒毀芯片。它平時不起作用，只有當(dāng)系統(tǒng)狀態(tài)滿足觸發(fā)條件時才被激活。31邏輯炸彈邏輯炸彈是一段潛伏的程序32蠕蟲蠕蟲是一段獨(dú)立的可執(zhí)行程序，它可以通過計(jì)算機(jī)網(wǎng)絡(luò)把自身的拷貝（復(fù)制品）傳給其他的計(jì)算機(jī)。蠕蟲可以修改、刪除別的程序，但它也可以通過瘋狂的自我復(fù)制來占盡網(wǎng)絡(luò)資源，從而使網(wǎng)絡(luò)癱瘓。32蠕蟲33后門與隱蔽通道調(diào)試后門：為方便調(diào)試而設(shè)置的機(jī)關(guān)，系統(tǒng)調(diào)試完成后未能及時消除。維護(hù)后門：為方便遠(yuǎn)程維護(hù)所設(shè)置的后門，被黑客惡意利用。惡意后門：由設(shè)計(jì)者故意設(shè)置的機(jī)關(guān)，用以監(jiān)視用戶的秘密乃至破壞用戶的系統(tǒng)隱蔽通道：是一種允許違背合法的安全策略的方式進(jìn)行操作系統(tǒng)進(jìn)程間通信（）的通道。隱蔽通道又分為隱蔽存儲通道與隱蔽時間通道。隱蔽通道的重要參數(shù)是帶寬。33后門與隱蔽通道調(diào)試后門：為方便調(diào)試而設(shè)置的機(jī)關(guān)，系統(tǒng)調(diào)試34操作系統(tǒng)后門至今我國使用的處理器和操作系統(tǒng)等重要軟硬件依然靠國外進(jìn)口，有的發(fā)達(dá)國家出于種種目的，在軟硬件上留下缺口或者“后門”，給我國信息安全留下了巨大的隱患。據(jù)報(bào)道，曾上市的奔騰三處理器中設(shè)置了用以識別用戶身份的序列碼，每一臺機(jī)器只有唯一的序列碼且永久不變，電腦用戶在網(wǎng)絡(luò)或互聯(lián)網(wǎng)上所做的每一件事都會留下痕跡，或處于別人的監(jiān)視之下。而此前上市的操作系統(tǒng)98則會根據(jù)用戶的計(jì)算機(jī)硬件配置情況生成一串用戶名字、相關(guān)地址代碼等全球唯一的識別碼，然后通過電子注冊程序在用戶不知道的情況下傳送到微軟的網(wǎng)站上。奔騰三處理器和微軟公司的98一方面帶來更高性能和更快速度，但另一方面有可能成為隨時會泄密的“定時炸彈”。34操作系統(tǒng)后門至今我國使用的處理器和操35病毒是人編寫的一段程序!太多了!35病毒36計(jì)算機(jī)病毒的分類引導(dǎo)型病毒()可執(zhí)行文件病毒（病毒）宏病毒（七月殺手）特洛伊木馬型病毒()病毒(愛蟲)腳本病毒()混合型病毒()36計(jì)算機(jī)病毒的分類37針對病毒攻擊的防范措施安裝防火墻，禁止訪問不該訪問的服務(wù)端口安裝入侵檢測系統(tǒng)，檢測病毒蠕蟲攻擊安裝防病毒軟件，阻擋病毒蠕蟲的侵襲提高安全意識，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁37針對病毒攻擊的防范措施安裝防火墻，禁止訪問不該訪問的服務(wù)另一種威脅拒絕服務(wù)攻擊——應(yīng)用漏洞攻擊及防范另一種威脅應(yīng)用漏洞攻擊及防范39不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程。執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。拒絕服務(wù)攻擊39拒絕服務(wù)攻擊*定義及分類的定義分布式拒絕服務(wù)(DistributedDenialofService)，即對特定的目標(biāo)，利用大量分布式的合理服務(wù)請求來占用過多的服務(wù)資源，從而導(dǎo)致系統(tǒng)崩潰，無法提供正常的Internet服務(wù)。流量型攻擊通過發(fā)出海量數(shù)據(jù)包，造成設(shè)備負(fù)載過高，最終導(dǎo)致網(wǎng)絡(luò)帶寬或是設(shè)備資源耗盡，服務(wù)拒絕。通常以Flooding形式，如SYNFlood、ACKFlood、ICMPFlood、UDPFlood、UDPDNSQueryFlood、ConnectionFlood、HTTPGetFlood等。應(yīng)用型攻擊利用諸如HTTP等應(yīng)用協(xié)議的某些特征，通過持續(xù)占用有限的資源，從而使目標(biāo)設(shè)備無法處理正常訪問請求如HTTPHalfOpen攻擊、HTTPError攻擊等*定義及分類的定義分布式拒絕服務(wù)(DistributedD攻擊影響攻擊浪費(fèi)網(wǎng)絡(luò)帶寬資源增加核心設(shè)備的工作負(fù)荷關(guān)鍵業(yè)務(wù)中斷網(wǎng)絡(luò)服務(wù)質(zhì)量下降SLA破壞導(dǎo)致高額服務(wù)賠償信譽(yù)蒙受損失經(jīng)濟(jì)蒙受損失攻擊影響攻擊浪費(fèi)網(wǎng)絡(luò)帶寬資源增加核心設(shè)備的工作負(fù)荷關(guān)鍵業(yè)務(wù)中攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，培訓(xùn)、租售學(xué)習(xí)、賺錢僵尸網(wǎng)絡(luò)工具、病毒制作傳播銷售攻擊工具漏洞研究、目標(biāo)破解漏洞研究攻擊實(shí)施者廣告經(jīng)紀(jì)人需求方、服務(wù)獲取者、資金注入者培訓(xùn)地下黑客攻擊網(wǎng)絡(luò)攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，學(xué)習(xí)、僵尸網(wǎng)絡(luò)工具

&&攻擊攻擊攻擊攻擊攻擊攻擊攻擊目前主要的攻擊方式攻擊目前主要的攻擊方式46攻擊原理正常的三次握手建立通訊的過程SYN（我可以連接嗎？）ACK（可以）/SYN（請確認(rèn)?。〢CK（確認(rèn)連接）發(fā)起方應(yīng)答方46攻擊原理正常的三次握手建立通訊的過程SYN（我可以連47攻擊原理SYN（我可以連接嗎？）ACK（可以）/SYN（請確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接47攻擊原理SYN（我可以連接嗎？）ACK（可以）/S48連接耗盡正常tcpconnect攻擊者受害者大量的tcpconnect這么多需要處理？不能建立正常的連接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用戶正常tcpconnect48連接耗盡正常tcpconnect攻擊者受害者大量的tc49針對攻擊的防范措施（一）攻擊者目標(biāo)攻擊者偽造源地址進(jìn)行請求好像不管用了其它正常用戶能夠得到響應(yīng)SYNACK|SYN？？？SYNACKACK|SYN49針對攻擊的防范措施（一）攻擊者目標(biāo)攻擊者偽造源地址進(jìn)行50針對攻擊的防范措施（二）攻擊者目標(biāo)攻擊者偽造源地址進(jìn)行請求好像不管用了其它正常用戶能夠得到響應(yīng)SYN？？？ACK|SYN50針對攻擊的防范措施（二）攻擊者目標(biāo)攻擊者偽造源地址進(jìn)行攻擊者受害者()正常請求不能建立正常的連接正常HTTPGetFlood正常用戶正常攻擊表象利用代理服務(wù)器向受害者發(fā)起大量請求主要請求動態(tài)頁面，涉及到數(shù)據(jù)庫訪問操作數(shù)據(jù)庫負(fù)載以及數(shù)據(jù)庫連接池負(fù)載極高，無法響應(yīng)正常請求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者()連接池用完啦?。∵B接池占用占用占用攻擊原理攻擊攻擊者受害者()正常請求不能建立正常的連接正常HTTP52攻擊受害者這么多需要處理？不能建立正常的連接正常用戶正常tcpconnect源地址和目標(biāo)地址相同!即目標(biāo)與自己在聯(lián)接。52攻擊受害者這么多需要處理？不能建立正常的連接正常用戶正53“拒絕服務(wù)”的例子:攻擊攻擊者InternetCode目標(biāo)2欺騙性的包源地址2139目的地址2139

G.53“拒絕服務(wù)”的例子:攻擊攻擊者InternetCo54“拒絕服務(wù)”的例子:攻擊攻擊者InternetCode目標(biāo)2包欺騙源地址2139目的地址2139包被送回它自己崩潰G.54“拒絕服務(wù)”的例子:攻擊攻擊者InternetCo55“拒絕服務(wù)”的保護(hù):代理類的防火墻攻擊者InternetCode目標(biāo)2包欺騙源地址2139目標(biāo)地址2139

防火墻防火墻把有危險的包阻隔在網(wǎng)絡(luò)外G.55“拒絕服務(wù)”的保護(hù):代理類的防火墻攻擊者Intern56同步泛濫攻擊者InternetCode目標(biāo)欺騙性的包源地址不存在目標(biāo)地址是

G.56同步泛濫攻擊者InternetCode目標(biāo)欺騙性的57TCPSYN泛濫攻擊者InternetCode目標(biāo)同步應(yīng)答響應(yīng)源地址目標(biāo)地址不存在TCPACK崩潰G.MarkHardy57TCPSYN泛濫攻擊者InternetCode目標(biāo)同演講完畢，謝謝觀看！演講完畢，謝謝觀看！安全培訓(xùn)2013年3月26日安全培訓(xùn)2013年3月26日2當(dāng)前的安全威脅常用威脅及應(yīng)對漏洞攻擊演示總體解決思路培訓(xùn)內(nèi)容當(dāng)前的安全威脅培訓(xùn)內(nèi)容3根據(jù)發(fā)布的公告，截止到2013年3月10日我國境內(nèi)感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量約為138.4萬個，其中包括境內(nèi)被木馬或被僵尸程序控制的主機(jī)約43.4萬以及境內(nèi)感染飛客（）蠕蟲的主機(jī)約95萬木馬或僵尸程序受控主機(jī)在我國大陸的分布，排名前三位的分別是廣東省、江蘇省和浙江省。捕獲了大量新增網(wǎng)絡(luò)病毒文件，按網(wǎng)絡(luò)病毒名稱統(tǒng)計(jì)新增33個，按網(wǎng)絡(luò)病毒家族統(tǒng)計(jì)新增1個。放馬站點(diǎn)是網(wǎng)絡(luò)病毒傳播的源頭。本周，監(jiān)測發(fā)現(xiàn)的放馬站點(diǎn)共涉及域名140個，涉及地址262個。在140個域名中，有約60.7%為境外注冊，且頂級域?yàn)榈募s占66.4%；在262個中，有約54.2%位于境內(nèi)，約45.8%位于境外。根據(jù)對放馬的分析發(fā)現(xiàn)，大部分放馬站點(diǎn)是通過域名訪問，而通過直接訪問的涉及98個。嚴(yán)峻的安全形勢嚴(yán)峻的安全形勢4嚴(yán)峻的安全形勢嚴(yán)峻的安全形勢5面臨的安全威脅網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲信息丟失、篡改、銷毀面臨的安全威脅網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木64DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼額外的不安全因素外部個體外部/組織內(nèi)部個體內(nèi)部/組織6DMZIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由65網(wǎng)絡(luò)的普及使學(xué)習(xí)網(wǎng)絡(luò)進(jìn)攻變得容易全球超過26萬個黑客站點(diǎn)提供系統(tǒng)漏洞和攻擊知識越來越多的容易使用的攻擊軟件的出現(xiàn)國內(nèi)法律制裁打擊力度不夠7網(wǎng)絡(luò)的普及使學(xué)習(xí)網(wǎng)絡(luò)進(jìn)攻變得容易全球超過26萬個黑客站點(diǎn)提66混合型、自動的攻擊WorkstationViaEmailFileServerWorkstationMailServer混合型攻擊:蠕蟲WebServerViaWebPageWebServerMailGateway防病毒防火墻入侵檢測風(fēng)險管理攻擊的發(fā)展趨勢8混合型、自動的攻擊WorkstationFileSer67攻擊的發(fā)展趨勢(1).漏洞趨勢嚴(yán)重程度中等或較高的漏洞急劇增加,新漏洞被利用越來越容易(大約60%不需或很少需用代碼)(2).混合型威脅趨勢將病毒、蠕蟲、特洛伊木馬和惡意代碼的特性與服務(wù)器和漏洞結(jié)合起來而發(fā)起、傳播和擴(kuò)散的攻擊,例：紅色代碼和尼姆達(dá)等。9攻擊的發(fā)展趨勢(1).漏洞趨勢68攻擊的發(fā)展趨勢(1).主動惡意代碼趨勢制造方法：簡單并工具化技術(shù)特征：智能性、攻擊性和多態(tài)性,采用加密、變換、插入等技術(shù)手段巧妙地偽裝自身，躲避甚至攻擊防御檢測軟件.表現(xiàn)形式：多種多樣,沒有了固定的端口，沒有了更多的連接,甚至發(fā)展到可以在網(wǎng)絡(luò)的任何一層生根發(fā)芽，復(fù)制傳播，難以檢測。(2).受攻擊未來領(lǐng)域即時消息：等對等程序(P2P)移動設(shè)備(手機(jī)安全)10攻擊的發(fā)展趨勢(1).主動惡意代碼趨勢69為什么會有這么多的攻擊漏洞簡單介紹各種漏洞及原因設(shè)計(jì)上的缺陷利益上的考慮軟件變得日益復(fù)雜11為什么會有這么多的攻擊漏洞簡單介紹各種漏洞及原因70針對漏洞掃描的防范措施安裝防火墻，禁止訪問不該訪問的服務(wù)端口，使用隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)安裝入侵檢測系統(tǒng)，檢測漏洞掃描行為安裝評估系統(tǒng)，先于入侵者進(jìn)行漏洞掃描，以便及早發(fā)現(xiàn)問題并解決提高安全意識，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁12針對漏洞掃描的防范措施安裝防火墻，禁止訪問不該訪問的服務(wù)71常見的黑客攻擊方法口令攻擊網(wǎng)絡(luò)監(jiān)聽緩沖區(qū)溢出路由攻擊邏輯炸彈蠕蟲后門、隱蔽通道計(jì)算機(jī)病毒拒絕服務(wù)攻擊（）特洛伊木馬其它網(wǎng)絡(luò)攻擊常見的網(wǎng)絡(luò)攻擊(10種)13常見的黑客攻擊方法口令攻擊蠕蟲其它網(wǎng)絡(luò)攻擊常見的網(wǎng)絡(luò)攻擊72口令攻擊口令攻擊軟件－1.4這個軟件由著名的黑客組織出的,它支持,,,速度超快,可以說是目前同類中最杰出的作品。對于老式的檔(就是沒的那種,任何人能看的都可以把密文存下來)可以直接讀取并用字典窮舉擊破。對于現(xiàn)代的+的方式,提供了程序直接把兩者合成出老式文件。14口令攻擊口令攻擊軟件－1.473入侵者是如何得到密碼的大量的應(yīng)用程序都是傳送明文密碼竊聽加密密碼并解密竊取密碼文件，利用工具破解社會詐騙15入侵者是如何得到密碼的大量的應(yīng)用程序都是傳送明文密74口令攻擊：“*”密碼查看16口令攻擊：“*”密碼查看75口令攻擊演示：密碼破解17口令攻擊演示：密碼破解76口令攻擊18口令攻擊77針對口令破解攻擊的防范措施不用中文拼音、英文單詞不用生日、紀(jì)念日、有意義的字符串使用大小寫字母、符號、數(shù)字的組合19針對口令破解攻擊的防范措施78針對口令破解攻擊的防范措施不要將口令寫下來。不要將口令存于電腦文件中。不要讓別人知道。不要在不同系統(tǒng)上使用同一口令。為防止眼明手快的人竊取口令,在輸入口令時應(yīng)確認(rèn)無人在身邊。定期改變口令,至少2個月要改變一次。20針對口令破解攻擊的防范措施不要將口令寫下來。79針對口令破解攻擊的防范措施安裝入侵檢測系統(tǒng)，檢測口令破解行為安裝安全評估系統(tǒng)，先于入侵者進(jìn)行模擬口令破解，以便及早發(fā)現(xiàn)弱口令并解決提高安全意識，避免弱口令21針對口令破解攻擊的防范措施安裝入侵檢測系統(tǒng)，檢測口令破解80網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的作用：可以截獲用戶口令；可以截獲秘密的或?qū)Ｓ玫男畔ⅲ豢梢杂脕砉粝噜彽木W(wǎng)絡(luò)；可以對數(shù)據(jù)包進(jìn)行詳細(xì)的分析；可以分析出目標(biāo)主機(jī)采用了哪些協(xié)議。22網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的作用：81常用網(wǎng)絡(luò)監(jiān)聽工具工具名稱操作系統(tǒng)功能簡介,針對協(xié)議的不安全性進(jìn)行監(jiān)聽,可以從以太網(wǎng)上監(jiān)聽并截獲數(shù)據(jù)包,監(jiān)控在以太網(wǎng)上傳輸?shù)臄?shù)據(jù)包

監(jiān)聽以太網(wǎng)上的通信,用來偵聽本網(wǎng)段數(shù)據(jù)包，常用作錯誤診斷、顯示當(dāng)前的連接和協(xié)議統(tǒng)計(jì)監(jiān)聽局域網(wǎng)上的通信的主機(jī)監(jiān)聽外部主機(jī)對本機(jī)的訪問23常用網(wǎng)絡(luò)監(jiān)聽工具工具名稱操作系統(tǒng)功能簡介,針對協(xié)議的82網(wǎng)絡(luò)嗅探是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到共享式網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接受方是誰。此時，如果兩臺主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具，例如,，，等就可以輕而易舉地截取包括口令、帳號等敏感信息。漏洞掃描和攻擊之網(wǎng)絡(luò)嗅探24漏洞掃描和攻擊之網(wǎng)絡(luò)嗅探83共享信道 廣播型以太網(wǎng)協(xié)議不加密 口令明文傳輸混雜模式 處于這種模式的網(wǎng)卡接受網(wǎng)絡(luò)中所有數(shù)據(jù)包25共享信道84網(wǎng)上截獲的帳號和口令26網(wǎng)上截獲的85針對網(wǎng)絡(luò)嗅探攻擊的防范措施安裝網(wǎng)關(guān)，防止對網(wǎng)間網(wǎng)信道進(jìn)行嗅探對內(nèi)部網(wǎng)絡(luò)通信采取加密處理采用交換設(shè)備進(jìn)行網(wǎng)絡(luò)分段采取技術(shù)手段發(fā)現(xiàn)處于混雜模式的主機(jī)，發(fā)掘“鼴鼠”27針對網(wǎng)絡(luò)嗅探攻擊的防范措施安裝網(wǎng)關(guān)，防止對網(wǎng)間網(wǎng)信道進(jìn)行86緩沖區(qū)溢出什么是緩沖區(qū)溢出簡單地說，緩沖區(qū)溢出就是向堆棧中分配的局部數(shù)據(jù)塊中寫入了超出其實(shí)際分配大小的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)越界，結(jié)果覆蓋了原先的堆棧數(shù)據(jù)。例如:(*){

[16];

();}28緩沖區(qū)溢出什么是緩沖區(qū)溢出87堆棧溢出攻擊十年來最大的安全問題這是一種系統(tǒng)攻擊手段，通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。這種攻擊可以使得一個匿名的用戶有機(jī)會獲得一臺主機(jī)的部分或全部的控制權(quán)。29堆棧溢出攻擊十年來最大的安全問題這是一種系統(tǒng)攻擊手段88路由攻擊注入假的路由到路由選擇系統(tǒng)重定向業(yè)務(wù)流到黑洞重定向業(yè)務(wù)流到慢的鏈接重定向業(yè)務(wù)流到可以分析與修改的地點(diǎn)30路由攻擊89邏輯炸彈邏輯炸彈是一段潛伏的程序，它以某種邏輯狀態(tài)為觸發(fā)條件，可以用來釋放病毒和蠕蟲或完成其他攻擊性功能，如破壞數(shù)據(jù)和燒毀芯片。它平時不起作用，只有當(dāng)系統(tǒng)狀態(tài)滿足觸發(fā)條件時才被激活。31邏輯炸彈邏輯炸彈是一段潛伏的程序90蠕蟲蠕蟲是一段獨(dú)立的可執(zhí)行程序，它可以通過計(jì)算機(jī)網(wǎng)絡(luò)把自身的拷貝（復(fù)制品）傳給其他的計(jì)算機(jī)。蠕蟲可以修改、刪除別的程序，但它也可以通過瘋狂的自我復(fù)制來占盡網(wǎng)絡(luò)資源，從而使網(wǎng)絡(luò)癱瘓。32蠕蟲91后門與隱蔽通道調(diào)試后門：為方便調(diào)試而設(shè)置的機(jī)關(guān)，系統(tǒng)調(diào)試完成后未能及時消除。維護(hù)后門：為方便遠(yuǎn)程維護(hù)所設(shè)置的后門，被黑客惡意利用。惡意后門：由設(shè)計(jì)者故意設(shè)置的機(jī)關(guān)，用以監(jiān)視用戶的秘密乃至破壞用戶的系統(tǒng)隱蔽通道：是一種允許違背合法的安全策略的方式進(jìn)行操作系統(tǒng)進(jìn)程間通信（）的通道。隱蔽通道又分為隱蔽存儲通道與隱蔽時間通道。隱蔽通道的重要參數(shù)是帶寬。33后門與隱蔽通道調(diào)試后門：為方便調(diào)試而設(shè)置的機(jī)關(guān)，系統(tǒng)調(diào)試92操作系統(tǒng)后門至今我國使用的處理器和操作系統(tǒng)等重要軟硬件依然靠國外進(jìn)口，有的發(fā)達(dá)國家出于種種目的，在軟硬件上留下缺口或者“后門”，給我國信息安全留下了巨大的隱患。據(jù)報(bào)道，曾上市的奔騰三處理器中設(shè)置了用以識別用戶身份的序列碼，每一臺機(jī)器只有唯一的序列碼且永久不變，電腦用戶在網(wǎng)絡(luò)或互聯(lián)網(wǎng)上所做的每一件事都會留下痕跡，或處于別人的監(jiān)視之下。而此前上市的操作系統(tǒng)98則會根據(jù)用戶的計(jì)算機(jī)硬件配置情況生成一串用戶名字、相關(guān)地址代碼等全球唯一的識別碼，然后通過電子注冊程序在用戶不知道的情況下傳送到微軟的網(wǎng)站上。奔騰三處理器和微軟公司的98一方面帶來更高性能和更快速度，但另一方面有可能成為隨時會泄密的“定時炸彈”。34操作系統(tǒng)后門至今我國使用的處理器和操93病毒是人編寫的一段程序!太多了!35病毒94計(jì)算機(jī)病毒的分類引導(dǎo)型病毒()可執(zhí)行文件病毒（病毒）宏病毒（七月殺手）特洛伊木馬型病毒()病毒(愛蟲)腳本病毒()混合型病毒()36計(jì)算機(jī)病毒的分類95針對病毒攻擊的防范措施安裝防火墻，禁止訪問不該訪問的服務(wù)端口安裝入侵檢測系統(tǒng)，檢測病毒蠕蟲攻擊安裝防病毒軟件，阻擋病毒蠕蟲的侵襲提高安全意識，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁37針對病毒攻擊的防范措施安裝防火墻，禁止訪問不該訪問的服務(wù)另一種威脅拒絕服務(wù)攻擊——應(yīng)用漏洞攻擊及防范另一種威脅應(yīng)用漏洞攻擊及防范97不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程。執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。拒絕服務(wù)攻擊39拒絕服務(wù)攻擊*定義及分類的定義分布式拒絕服務(wù)(DistributedDenialofService)，即對特定的目標(biāo)，利用大量分布式的合理服務(wù)請求來占用過多的服務(wù)資源，從而導(dǎo)致系統(tǒng)崩潰，無法提供正常的Internet服務(wù)。流量型攻擊通過發(fā)出海量數(shù)據(jù)包，造成設(shè)備負(fù)載過高，最終導(dǎo)致網(wǎng)絡(luò)帶寬或是設(shè)備資源耗盡，服務(wù)拒絕。通常以Flooding形式，如SYNFlood、ACKFlood、ICMPFlood、UDPFlood、UDPDNSQueryFlood、ConnectionFlood、HTTPGetFlood等。應(yīng)用型攻擊利用諸如HTTP等應(yīng)用協(xié)議的某些特征，通過持續(xù)占用有限的資源，從而使目標(biāo)設(shè)備無法處理正常訪問請求如HTTPHalfOpen攻擊、HTTPError攻擊等*定義及分類的定義分布式拒絕服務(wù)(DistributedD攻擊影響攻擊浪費(fèi)網(wǎng)絡(luò)帶寬資源增加核心設(shè)備的工作負(fù)荷關(guān)鍵業(yè)務(wù)中斷網(wǎng)絡(luò)服務(wù)質(zhì)量下降SLA破壞導(dǎo)致高額服務(wù)賠償信譽(yù)蒙受損失經(jīng)濟(jì)蒙受損失攻擊影響攻擊浪費(fèi)網(wǎng)絡(luò)帶寬資源增加核心設(shè)備的工作負(fù)荷關(guān)鍵業(yè)務(wù)中攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，培訓(xùn)、租售學(xué)習(xí)、賺錢僵尸網(wǎng)絡(luò)工具、病毒制作傳播銷售攻擊工具漏洞研究、目標(biāo)破解漏洞研究攻擊實(shí)施者廣告經(jīng)紀(jì)人需求方、服務(wù)獲取者、資金注入者培訓(xùn)地下黑客攻擊網(wǎng)絡(luò)攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，學(xué)習(xí)、僵尸網(wǎng)絡(luò)工具

&&攻擊攻擊攻擊攻擊攻擊攻擊攻擊目前主要的攻擊方式攻擊目前主要的攻擊方式104攻擊原理正常的三次握手建立通訊的過程SYN（我可以連接嗎？）ACK（可以）/SYN（請確認(rèn)?。〢CK（確認(rèn)連接）發(fā)起方應(yīng)答方46攻擊原理正常的三次握手建立通訊的過程SYN（我可以連105攻擊原理SYN（我可以連接嗎？）ACK（可以）/SYN（請確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接47攻擊原理SYN（我可以連接嗎？）ACK（可以）/S106