常見黑客攻擊及安全防御手段課件

常見黑客攻擊及安全防御手段綠盟科技于慧龍1精選課件提綱常見的黑客攻擊方法常用的安全技術(shù)防范措施2精選課件常見的黑客攻擊方法3精選課件19801985199019952000密碼猜測可自動復(fù)制的代碼密碼破解利用已知的漏洞破壞審計系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙GUI遠程控制自動探測掃描拒絕服務(wù)www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網(wǎng)絡(luò)管理DDOS攻擊2002高入侵技術(shù)的發(fā)展4精選課件采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的入侵系統(tǒng)的常用步驟5精選課件端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途較高明的入侵步驟6精選課件常見的安全攻擊方法直接獲取口令進入系統(tǒng)：網(wǎng)絡(luò)監(jiān)聽，暴力破解利用系統(tǒng)自身安全漏洞特洛伊木馬程序：偽裝成工具程序或者游戲等誘使用戶打開或下載，然后使用戶在無意中激活，導(dǎo)致系統(tǒng)后門被安裝WWW欺騙：誘使用戶訪問纂改過的網(wǎng)頁電子郵件攻擊：郵件炸彈、郵件欺騙網(wǎng)絡(luò)監(jiān)聽：獲取明文傳輸?shù)拿舾行畔⑼ㄟ^一個節(jié)點來攻擊其他節(jié)點：攻擊者控制一臺主機后，經(jīng)常通過IP欺騙或者主機信任關(guān)系來攻擊其他節(jié)點以隱蔽其入侵路徑和擦除攻擊證據(jù)拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊(D.o.S和D.D.o.S)7精選課件2001年中美黑客大戰(zhàn)事件背景和經(jīng)過4.1撞機事件為導(dǎo)火線4月初，以PoizonB0x、pr0phet為代表的美國黑客組織對國內(nèi)站點進行攻擊，約300個左右的站點頁面被修改4月下旬，國內(nèi)紅（黑）客組織或個人，開始對美國網(wǎng)站進行小規(guī)模的攻擊行動，4月26日有人發(fā)表了“五一衛(wèi)國網(wǎng)戰(zhàn)”戰(zhàn)前聲明，宣布將在5月1日至8日，對美國網(wǎng)站進行大規(guī)模的攻擊行動。各方都得到第三方支援各大媒體紛紛報道，評論，中旬結(jié)束大戰(zhàn)8精選課件PoizonB0x、pr0phet更改的網(wǎng)頁中經(jīng)網(wǎng)數(shù)據(jù)有限公司中國科學(xué)院心理研究所國內(nèi)某政府網(wǎng)站國內(nèi)某大型商業(yè)網(wǎng)站9精選課件國內(nèi)黑客組織更改的網(wǎng)站頁面美國勞工部網(wǎng)站美國某節(jié)點網(wǎng)站美國某大型商業(yè)網(wǎng)站美國某政府網(wǎng)站10精選課件這次事件中采用的常用攻擊手法紅客聯(lián)盟負責(zé)人在5月9日網(wǎng)上記者新聞發(fā)布會上對此次攻擊事件的技術(shù)背景說明如下：“我們更多的是一種不滿情緒的發(fā)泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系統(tǒng)，這個行動在技術(shù)上是沒有任何炫耀和炒作的價值的?！敝饕捎卯?dāng)時流行的系統(tǒng)漏洞進行攻擊11精選課件這次事件中被利用的典型漏洞用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼Unicode編碼可穿越firewall,執(zhí)行黑客指令A(yù)SP源代碼泄露可遠程連接的數(shù)據(jù)庫用戶名和密碼SQLserver缺省安裝微軟Windows2000登錄驗證機制可被繞過Bind遠程溢出，Lion蠕蟲SUNrpc.sadmind遠程溢出，sadmin/IIS蠕蟲Wu-Ftpd格式字符串錯誤遠程安全漏洞拒絕服務(wù)(syn-flood,ping)12精選課件這次事件中被利用的典型漏洞用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼入侵者利用黑客工具掃描系統(tǒng)用戶獲得用戶名和簡單密碼13精選課件這次事件中被利用的典型漏洞Windows2000登錄驗證機制可被繞過14精選課件TCP/IP的每個層次都存在攻擊TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)SATNETARPNET應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞電磁監(jiān)聽15精選課件混合型、自動的攻擊

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻擊:蠕蟲WebServerViaWebPageWorkstationWebServerMailGateway攻擊的發(fā)展趨勢防病毒防火墻入侵檢測風(fēng)險管理16精選課件攻擊的發(fā)展趨勢漏洞趨勢嚴(yán)重程度中等或較高的漏洞急劇增加,新漏洞被利用越來越容易(大約60%不需或很少需用代碼)混合型威脅趨勢將病毒、蠕蟲、特洛伊木馬和惡意代碼的特性與服務(wù)器和Internet漏洞結(jié)合起來而發(fā)起、傳播和擴散的攻擊,例：紅色代碼和尼姆達等。主動惡意代碼趨勢制造方法：簡單并工具化技術(shù)特征：智能性、攻擊性和多態(tài)性,采用加密、變換、插入等技術(shù)手段巧妙地偽裝自身，躲避甚至攻擊防御檢測軟件.表現(xiàn)形式：多種多樣,沒有了固定的端口，沒有了更多的連接,甚至發(fā)展到可以在網(wǎng)絡(luò)的任何一層生根發(fā)芽，復(fù)制傳播，難以檢測。受攻擊未來領(lǐng)域即時消息：MSN,Yahoo,ICQ,OICQ等對等程序(P2P)移動設(shè)備17精選課件“紅色代碼”病毒的工作原理

病毒利用IIS的.ida

漏洞進入系統(tǒng)并獲得

SYSTEM權(quán)限(微軟在2001年6月份已發(fā)布修復(fù)程序MS01-033)病毒產(chǎn)生100個新的線程99個線程用于感染其它的服務(wù)器第100個線程用于檢查本機,并修改當(dāng)前首頁在7/20/01時所有被感染的機器回參與對白宮網(wǎng)站的自動攻擊.18精選課件尼母達Nimada的工作原理4種不同的傳播方式IE瀏覽器:利用IE的一個安全漏洞(微軟在2001年3月份已發(fā)布修復(fù)程序MS01-020)IIS服務(wù)器:和紅色代碼病毒相同,或直接利用它留下的木馬程序.(微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所有的修復(fù)程序和解決方案)電子郵件附件:

(已被使用過無數(shù)次的攻擊方式)文件共享:針對所有未做安全限制的共享19精選課件MYDOOM的工作原理W32.Novarg.A@mm[Symantec]，受影響系統(tǒng):Win9x/NT/2K/XP/20031、創(chuàng)建如下文件：%System%shimgapi.dll%temp%Message，這個文件由隨機字母通組成。%System%taskmon.exe,如果此文件存在，則用病毒文件覆蓋。2、Shimgapi.dll的功能是在被感染的系統(tǒng)內(nèi)創(chuàng)建代理服務(wù)器，并開啟3127到3198范圍內(nèi)的TCP端口進行監(jiān)聽；3、添加如下注冊表項，使病毒可隨機啟動，并存儲病毒的活動信息。4、對實施拒絕服務(wù)（DoS)攻擊,創(chuàng)建64個線程發(fā)送GET請求，這個DoS攻擊將從2004年2月1延續(xù)到2004年2月12日；5、在如下后綴的問中搜索電子郵件地址，但忽略以.edu結(jié)尾的郵件地址：.htm.sht.php.asp.dbx.tbb.adb.pl.wab.txt等；6、使用病毒自身的SMTP引擎發(fā)送郵件，他選擇狀態(tài)良好的服務(wù)器發(fā)送郵件，如果失敗，則使用本地的郵件服務(wù)器發(fā)送；7、郵件內(nèi)容如下：From:可能是一個欺騙性的地址；主題:hi/hello等。20精選課件常見的安全技術(shù)防范措施21精選課件常用的安全防護措施防火墻入侵檢測漏洞掃描抗拒絕服務(wù)防病毒系統(tǒng)安全加固SUS補丁安全管理22精選課件

訪問控制

認證

NAT

加密

防病毒、內(nèi)容過濾流量管理常用的安全防護措施－防火墻23精選課件防火墻的局限性防火墻不能防止通向站點的后門。防火墻一般不提供對內(nèi)部的保護。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻本身的防攻擊能力不夠，容易成為被攻擊的首要目標(biāo)。防火墻不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動態(tài)調(diào)整自己的策略。24精選課件防火墻與IDS聯(lián)動時間Dt-檢測時間Pt-防護時間Rt-響應(yīng)時間Pt-防護時間>+25精選課件入侵檢測系統(tǒng)FirewallInternetServersDMZIDSAgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警報警IDSAgent26精選課件入侵檢測系統(tǒng)的作用實時檢測實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文安全審計對系統(tǒng)記錄的網(wǎng)絡(luò)事件進行統(tǒng)計分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動響應(yīng)主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理27精選課件漏洞掃描系統(tǒng)Internet地方網(wǎng)管scanner監(jiān)控中心地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管28精選課件市場部工程部router開發(fā)部InternetServersFirewall漏洞掃描產(chǎn)品應(yīng)用29精選課件拒絕服務(wù)攻擊(DoS/DDoS)網(wǎng)絡(luò)層SYNFloodICMPFloodUDPFloodPingofDeath應(yīng)用層垃圾郵件CGI資源耗盡30精選課件SYNFlood原理正常的三次握手建立通訊的過程SYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。〢CK（確認連接）發(fā)起方應(yīng)答方31精選課件SYNFlood原理SYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。┕粽呤芎φ邆卧斓刂愤M行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接32精選課件連接耗盡正常tcpconnect攻擊者受害者大量的tcpconnect這么多需要處理？不能建立正常的連接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用戶正常tcpconnect33精選課件拒絕服務(wù)攻擊的對抗網(wǎng)絡(luò)層升級系統(tǒng)防止pingofdeath等攻擊通過帶寬限制來防止flood攻擊應(yīng)用層拒絕服務(wù)的抵抗通常需要在應(yīng)用層進行特定的設(shè)計SYNFlood與連接耗盡是難點34精選課件計算機病毒程序型病毒引導(dǎo)型病毒宏病毒特洛伊木馬型的程序有危害的移動編碼35精選課件防病毒軟件歷史單機版靜態(tài)殺毒實時化反病毒防病毒卡動態(tài)升級主動內(nèi)核技術(shù)自動檢測技術(shù)：特征代碼檢測單特征檢查法基于特征標(biāo)記免疫外殼36精選課件防病毒技術(shù)發(fā)展第一代反病毒技術(shù)采取單純的病毒特征診斷，對加密、變形的新一代病毒無能為力；第二代反病毒技術(shù)采用靜態(tài)廣譜特征掃描技術(shù)，可以檢測變形病毒誤報率高，殺毒風(fēng)險大；第三代反病毒技術(shù)靜態(tài)掃描技術(shù)和動態(tài)仿真跟蹤技術(shù)相結(jié)合；第四代反病毒技術(shù)基于病毒家族體系的命名規(guī)則基于多位CRC校驗和掃描機理啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強的壓縮加密文件中的病毒）、內(nèi)存解毒模塊、自身免疫模塊37精選課件企業(yè)級防病毒體系集中管理多次防病毒體系38精選課件系統(tǒng)安全加固基本安全配置檢測和優(yōu)化密碼系統(tǒng)安全檢測和增強系統(tǒng)后門檢測提供訪問控制策略和工具增強遠程維護的安全性文件系統(tǒng)完整性審計增強的系統(tǒng)日志分析系統(tǒng)升級與補丁安裝39精選課件Windows系統(tǒng)安全加固使用Windowsupdate安裝最新補??；更改密碼長度最小值、密碼最長存留期、密碼最短存留期、帳號鎖定計數(shù)器、帳戶鎖定時間、帳戶鎖定閥值，保障帳號以及口令