互聯(lián)網(wǎng)安全攻防分析

互聯(lián)網(wǎng)平安攻防案例分析與

網(wǎng)絡(luò)平安技術(shù)主講：郭亮平安效勞部中國(guó)電信集團(tuán)系統(tǒng)集成公司.了解互聯(lián)網(wǎng)安全現(xiàn)狀，增強(qiáng)防范意識(shí)；了解目前互聯(lián)網(wǎng)常見(jiàn)的安全攻擊技術(shù)手段，提高安全事件判別能力；了解互聯(lián)網(wǎng)安全管理與維護(hù)的定義和內(nèi)容；掌握安全管理與維護(hù)的基本能力，能提升日常性的管理和維護(hù)工作水平。學(xué)習(xí)目標(biāo).議程平安攻防案例分析當(dāng)前黑客與網(wǎng)絡(luò)平安事件的特點(diǎn)網(wǎng)絡(luò)平安事件攻防案例分析常見(jiàn)網(wǎng)絡(luò)平安技術(shù)全網(wǎng)防御技術(shù)黑客偵查與追蹤技術(shù)DDoS防御技術(shù)SQL注入/XSS跨站腳本日常平安維護(hù)應(yīng)急處理方法.當(dāng)前黑客與網(wǎng)絡(luò)平安事件的特點(diǎn)黑客可以輕易地施行跨網(wǎng)、跨國(guó)攻擊復(fù)合趨勢(shì)攻擊往往通過(guò)一級(jí)或者多級(jí)跳板進(jìn)行大規(guī)模事件出現(xiàn)日益頻繁傳播速度越來(lái)越快對(duì)終端的攻擊比率越來(lái)越高攻擊事件的破壞程度在增加.當(dāng)前黑客與網(wǎng)絡(luò)平安事件的特點(diǎn)黑客可以輕易地施行跨網(wǎng)、跨國(guó)攻擊攻擊、入侵工具和工具包數(shù)量大量增加，可輕易從互聯(lián)網(wǎng)上獲取，使用操作更加簡(jiǎn)單方便具有平安知識(shí)和〞專業(yè)〞的人員的數(shù)量在增加復(fù)合趨勢(shì)黑客、病毒和垃圾郵件技術(shù)整合在一個(gè)蠕蟲當(dāng)中黑客組合攻擊開(kāi)始出現(xiàn)攻擊往往通過(guò)一級(jí)或者多級(jí)跳板進(jìn)行黑客技術(shù)水平在增強(qiáng)有組織、有方案犯罪事件再增加，防止追查.當(dāng)前黑客與網(wǎng)絡(luò)平安事件的特點(diǎn)大規(guī)模事件出現(xiàn)日益頻繁大規(guī)模網(wǎng)絡(luò)蠕蟲事件〔“沖擊波〞、“震蕩波〞、紅色代碼F變種等〕大量垃圾郵件的出現(xiàn)傳播速度越來(lái)越快利用系統(tǒng)漏洞，進(jìn)行自動(dòng)掃描由于瀏覽網(wǎng)頁(yè)或查看E-Mail而受到感染或攻擊DDoS攻擊.當(dāng)前黑客與網(wǎng)絡(luò)平安事件的特點(diǎn)對(duì)終端的攻擊比率越來(lái)越高網(wǎng)上游戲、網(wǎng)上銀行和電子商務(wù)的增加針對(duì)終端設(shè)計(jì)的黑客工具和木馬補(bǔ)丁與升級(jí)不夠及時(shí)缺乏平安防范意識(shí)攻擊事件的破壞程度在增加.典型網(wǎng)絡(luò)平安案件分析木馬與“網(wǎng)銀大盜〞匿名電子郵件轉(zhuǎn)發(fā)溢出攻擊與DCOMRPC漏洞NetBios與IPCARP欺騙DDoS攻擊SQL注入.木馬與“網(wǎng)銀大盜〞冰河國(guó)產(chǎn)木馬，有G_Client.exe,G_server.exe二個(gè)文件?？蛻舳私缑?木馬與“網(wǎng)銀大盜〞“網(wǎng)銀大盜〞網(wǎng)上銀行構(gòu)架.木馬與“網(wǎng)銀大盜〞“網(wǎng)銀大盜〞網(wǎng)銀大盜II(Troj_Dingxa.A)現(xiàn)象盜取網(wǎng)上銀行的帳號(hào)、密碼、驗(yàn)證碼等。生成文件：%System%下，svch0stexe修改注冊(cè)表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下創(chuàng)立：

"svch0st.exe"="%System%\svch0st.exe"

"taskmgr.exe"="%System%\svch0st.exe".木馬與“網(wǎng)銀大盜〞網(wǎng)銀大盜II(Troj_Dingxa.A)原理木馬程序，非主動(dòng)傳播，主要通過(guò)用戶在瀏覽某些網(wǎng)頁(yè)或點(diǎn)擊一些不明連接及翻開(kāi)不明郵件附件等操作時(shí)，間接感染用戶電腦解決方法1、終止病毒進(jìn)程"svch0st.exe"2、注冊(cè)表修復(fù)3、刪除病毒釋放的文件"svch0st.exe"4、配置防火墻和邊界路由器.木馬與“網(wǎng)銀大盜〞“網(wǎng)銀大盜〞案例.多媒體木馬Internet種了木馬的電腦傳送信息黑客攝像頭語(yǔ)音設(shè)備GoogleSearch“inurl:"ViewerFrame?Mode="〞…….://1/ViewerFrame?Mode=Motion&Language=1.匿名電子郵件轉(zhuǎn)發(fā)漏洞名稱：ExchangeServer匿名轉(zhuǎn)發(fā)漏洞原理.匿名電子郵件轉(zhuǎn)發(fā)案例深圳市二十多個(gè)郵件效勞器Internet某數(shù)據(jù)中心臺(tái)灣日本.匿名電子郵件轉(zhuǎn)發(fā)造成危害網(wǎng)絡(luò)堵塞給利用于反動(dòng)宣傳正常郵件效勞器被RBL組織封閉解決方法打補(bǔ)丁關(guān)閉該效勞或端口25,110.溢出攻擊與DCOMRPC漏洞溢出攻擊原理.溢出攻擊與DCOMRPC漏洞DCOMRPC漏洞原理.溢出攻擊與DCOMRPC漏洞造成的危害---沖擊波.MYDOOM案例分析郵件蠕蟲:MYDOOM現(xiàn)象通過(guò)電子郵件附件傳播，設(shè)定向sco和microsoft發(fā)起DDoS攻擊原理.ARP欺騙ARP地址解析協(xié)議ARP協(xié)議定義了兩類根本的消息：

1〕請(qǐng)求信息：包含自己的IP地址、硬件地址和請(qǐng)求解析的IP地址；

2〕應(yīng)答信息：包含發(fā)來(lái)的IP地址和對(duì)應(yīng)的硬件地址。.ARP欺騙2、原理.ARP欺騙防范ARP欺騙的方法交換機(jī)控制路由器隔離防火墻與代理效勞器.DDoS攻擊原理.DDoS攻擊方法死亡之ping〔pingofdeath〕淚滴〔teardrop〕UDP洪水〔UDPflood〕SYN洪水〔SYNflood〕Land攻擊Smurf攻擊Fraggle攻擊.常用DDoS攻擊工具ThankgodSYNFlooder專制者TrinooTFN2KStacheldraht.SQL注入Web攻擊模擬演示5IDS交換機(jī)防火墻Web效勞器DB效勞器3Select*fromproductwhereid=9714……AK47M188DBS003……typeDevicenameDeviceNo正常訪問(wèn)流程.SQL注入Web攻擊模擬演示SQL注入攻擊流程580端口HTTP請(qǐng)求25/web/n2/productview.asp?id=97;drop%20table%20dbappsecurity_new--IDS交換機(jī)防火墻Web效勞器DB效勞器3Select*fromproductwhereid=97Droptabledbappsecurity_new1……AK47M188DBS003……typeDevicenameDeviceNo4命令已執(zhí)行成功.常見(jiàn)網(wǎng)絡(luò)平安技術(shù)全網(wǎng)防御技術(shù)黑客偵查與追蹤技術(shù)DDoS防御技術(shù)應(yīng)用層攻擊防御〔SQL注入、XSS腳本〕.黑客偵查與追蹤技術(shù)黑客偵查與追蹤系統(tǒng).黑客偵查與追蹤系統(tǒng)系統(tǒng)組成1、現(xiàn)場(chǎng)勘查分析2、效勞器監(jiān)控3、遠(yuǎn)程追蹤分析控制軟件服務(wù)監(jiān)控軟件遠(yuǎn)程追蹤探頭.黑客偵查與追蹤系統(tǒng)原理.黑客偵查與追蹤系統(tǒng)遠(yuǎn)程追蹤.DDoS攻擊防御技術(shù)當(dāng)前DDoS防御技術(shù)SYN代理SYN網(wǎng)關(guān)DDoS防御網(wǎng)關(guān).DDoS攻擊防御方法SYN中繼〔代理〕工作原理HostFWserver.SYN中繼〔代理〕1)HFW2)HSYN/ACKFW3)HACKFWFWS4)FWSFWSSYNSYN/ACKACK5)6)SYN.SYN中繼〔代理〕存在問(wèn)題FW必須建立一個(gè)很大的鏈表來(lái)儲(chǔ)存所有SYN請(qǐng)求，當(dāng)有大量的SYN攻擊包到來(lái)，F(xiàn)W一樣會(huì)崩潰。保護(hù)了效勞器，堵死了防火墻.DDoS攻擊防御方法SYN網(wǎng)關(guān)工作原理HostFWserver.SYN網(wǎng)關(guān)HFWSFWS1）2）SYNSYNSYN/ACKHFWS3）HFWS4）FWS5）SYN/ACKACKACKACKRST.SYN網(wǎng)關(guān)快速將連接試呼從S待辦隊(duì)列移開(kāi)，防止效勞器待辦隊(duì)

列堵塞定時(shí)器超時(shí)后，向S發(fā)送連接RST〔復(fù)位〕取消。存在問(wèn)題A、占用效勞器緩沖B、防火墻同樣要儲(chǔ)存SYN請(qǐng)求鏈接，攻擊強(qiáng)烈時(shí)，同樣會(huì)堵死防火墻.DDoS防御技術(shù)防火墻、DDoS防御網(wǎng)關(guān)對(duì)抗DDOS攻擊的三層防御措施〔一〕連接指紋鑒別〔二〕自適應(yīng)“催命〞算法〔三〕惡性效勞請(qǐng)求攻擊的防御.連接指紋鑒別工作原理HostFWserver0積累識(shí)別技術(shù),屬國(guó)際專利.連接指紋鑒別工作原理HFW1、工作原理HFWHFWFWHFWHSYN/ACKFWHSYNSYN/ACK(sn)ACK(SN+1)SYNACK(SN指紋驗(yàn)證).連接指紋鑒別工作原理A、SN序列號(hào)形成算法SN=f〔源、目標(biāo)IP，源、目標(biāo)端口，其它信息，秘密字〕B、只有當(dāng)主機(jī)H答復(fù)包所攜帶的SN號(hào)經(jīng)驗(yàn)證合法后，才須建立連接代理。2、優(yōu)點(diǎn)由于在未確認(rèn)SYN請(qǐng)求的合法性前，無(wú)須建立連接隊(duì)列，所以這種方法具備以下優(yōu)點(diǎn)：A、防火墻無(wú)須消耗內(nèi)存資源B、沒(méi)有緩沖溢出的危險(xiǎn)C、在NAT模式下不占用防火墻的連接數(shù).自適應(yīng)“催命〞算法針對(duì)性針對(duì)通過(guò)高層編程〔固定ＩＰ〕進(jìn)行的攻擊，如socket編程中的“connect〞函數(shù)。這種攻擊也能通過(guò)防火墻的指紋合法性認(rèn)證而建立起連接。但該攻擊的效率較低，同時(shí)占用黑客大量主機(jī)資源。工作原理防火墻中建立每條連接都有一個(gè)連接超時(shí)值A(chǔ)ge〔又叫生命期〕，一般每半秒鐘減一，防火墻會(huì)監(jiān)控系統(tǒng)建立的連接數(shù)量，按一定算法算出〔加快了〕的遞減步長(zhǎng)STEP，降低某些可疑連接的生命期，加快這些連接超時(shí)。.惡性效勞請(qǐng)求攻擊的防御針對(duì)性一般SQL數(shù)據(jù)庫(kù)訪問(wèn)會(huì)占用效勞器較多資源，黑客會(huì)分析web頁(yè)面上消耗資源的分支請(qǐng)求，編寫程序不停調(diào)用該分支請(qǐng)求，造成SQL效勞器響應(yīng)不過(guò)來(lái)。工作原理給管理員一個(gè)配置接口，管理員自己可以配置一些針對(duì)性統(tǒng)計(jì)策略，當(dāng)在一定時(shí)間內(nèi)某IP使用某SQL語(yǔ)句數(shù)量超過(guò)某一閥值時(shí)，防火墻會(huì)拒絕該IP的訪問(wèn)。.其它措施對(duì)于一些固定IP的惡性攻擊防火墻會(huì)對(duì)該IP進(jìn)行自動(dòng)鎖定，超過(guò)一定時(shí)間，一般為180秒后再進(jìn)行開(kāi)鎖。某集團(tuán)內(nèi)網(wǎng)黑客FWserverDDOS網(wǎng)關(guān).應(yīng)用層攻擊防御WEB應(yīng)用平安概述針對(duì)WEB攻擊風(fēng)險(xiǎn)的產(chǎn)生跨站腳本攻擊SQL注入攻擊.針對(duì)WEB的攻擊WebServer身份認(rèn)證數(shù)據(jù)字典權(quán)限/角色敏感信息系統(tǒng)文件獲取緩沖區(qū)溢出DOS攻擊DBServer應(yīng)用層攻擊普通防火墻+IDS束手無(wú)策防火墻.Web風(fēng)險(xiǎn)的產(chǎn)生攻擊結(jié)果泄漏客戶敏感數(shù)據(jù)，例如網(wǎng)銀賬號(hào)，手機(jī)通話記錄等。篡改數(shù)據(jù)，發(fā)布虛假信息或者進(jìn)行交易欺詐。使WEB網(wǎng)站成為釣魚攻擊的平臺(tái)，將攻擊擴(kuò)大到所有訪問(wèn)WEB應(yīng)用的用戶。例如：網(wǎng)銀成為了釣魚的場(chǎng)所，那么其危害和影響是不言而喻的。拒絕服務(wù)，利用應(yīng)用的弱點(diǎn)，造成拒絕服務(wù)，影響業(yè)務(wù)的正常運(yùn)作風(fēng)險(xiǎn)的產(chǎn)生80%基于WEB的應(yīng)用或多或少都存在平安問(wèn)題，其中很大一局部是相當(dāng)嚴(yán)重的問(wèn)題防火墻、IDS或者使用SSL協(xié)議對(duì)此毫無(wú)用處不僅僅是開(kāi)放在Internet的Web存在風(fēng)險(xiǎn)更多的ERP/CRM/MSS系統(tǒng)也都使用了Web應(yīng)用程序…….跨站腳本攻擊簡(jiǎn)介(1)由于WEB應(yīng)用程序沒(méi)有對(duì)用戶的輸入進(jìn)行嚴(yán)格的過(guò)濾和轉(zhuǎn)換，就導(dǎo)致在返回頁(yè)面中可能嵌入惡意代碼。遠(yuǎn)程攻擊者可以利用這些漏洞在用戶瀏覽器會(huì)話中執(zhí)行任意HTML和腳本代碼?？缯灸_本執(zhí)行漏洞的攻擊效果需要借助第三方網(wǎng)站來(lái)顯現(xiàn)，因此這種攻擊能在一定程度上隱藏身份.跨站腳本攻擊簡(jiǎn)介(2)什么是跨站腳本攻擊XSS又叫CSS

(CrossSiteScript)，跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而到達(dá)惡意用戶的特殊目的。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常呼略其危害性。.跨站腳本攻擊簡(jiǎn)介(3)跨站攻擊的危害為了搜集用戶信息，攻擊者通常會(huì)在有漏洞的程序中插入JavaScript、VBScript、ActiveX或Flash以欺騙用戶竊取Cookie劫持帳戶執(zhí)行ActiveX執(zhí)行Flash內(nèi)容強(qiáng)迫您下載軟件對(duì)硬盤和數(shù)據(jù)采取操作

直接影響：利用該漏洞可以欺騙信任此網(wǎng)站的用戶去執(zhí)行任意的惡意代碼或者轉(zhuǎn)向其他惡意URL。潛在影響：導(dǎo)致網(wǎng)站用戶對(duì)網(wǎng)站的信任度降低。安全風(fēng)險(xiǎn).跨站腳本攻擊簡(jiǎn)介(4)由于XSS漏洞很容易在大型網(wǎng)站中發(fā)現(xiàn)，在黑客圈內(nèi)它非常流行。FBI.gov、CNN、Time、Ebay、Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes都有這樣那樣的XSS漏洞。在商業(yè)產(chǎn)品中，平均每個(gè)月能夠發(fā)現(xiàn)10-25個(gè)XSS漏洞常見(jiàn)存在漏洞的頁(yè)面搜索引擎返回結(jié)果頁(yè)面根據(jù)用戶輸入。登錄頁(yè)，存儲(chǔ)用戶帳戶在數(shù)據(jù)庫(kù)、Cookie等和以后寫入用戶名出客戶端。Web表單處理信用卡信息。.SQL注入攻擊簡(jiǎn)介技術(shù)概述就攻擊技術(shù)本質(zhì)而言，它利用的工具是SQL的語(yǔ)法，針對(duì)的是應(yīng)用程序開(kāi)發(fā)者編程中的漏洞，當(dāng)攻擊者能操作數(shù)據(jù)，向應(yīng)用程序中插入一些SQL語(yǔ)句時(shí)，SQLInjection攻擊就發(fā)生了。實(shí)際上，SQLInjection攻擊是存在于常見(jiàn)的多連接的應(yīng)用程序中的一種漏洞，攻擊者通過(guò)在應(yīng)用程序預(yù)先定義好的SQL語(yǔ)句結(jié)尾加上額外的SQL語(yǔ)句元素，欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢,篡改和命令執(zhí)行。

就風(fēng)險(xiǎn)而言，SQLInjection攻擊也是位居前列，和緩沖區(qū)溢出漏洞相比，其優(yōu)勢(shì)在于能夠輕易的繞過(guò)防火墻直接訪問(wèn)數(shù)據(jù)庫(kù)，甚至能夠獲得數(shù)據(jù)庫(kù)所在的服務(wù)器的系統(tǒng)權(quán)限。在Web應(yīng)用漏洞中，SQLInjection漏洞的風(fēng)險(xiǎn)要高過(guò)其他所有的漏洞。安全風(fēng)險(xiǎn).SQL注入攻擊簡(jiǎn)介攻擊特點(diǎn)攻擊的廣泛性：由于其利用的是SQL語(yǔ)法,使得攻擊普遍存在；攻擊代碼的多樣性：由于各種數(shù)據(jù)庫(kù)軟件及應(yīng)用程序有其自身的特點(diǎn)，實(shí)際的攻擊代碼可能不盡相同；影響范圍數(shù)據(jù)庫(kù)：MS-SqlServer、Oracle、Mysql、DB2、Informix等所有基于SQL語(yǔ)言標(biāo)準(zhǔn)的數(shù)據(jù)庫(kù)軟件；應(yīng)用程序：ASP、PHP，JSP、CGI、CFM等所有應(yīng)用程序；.SQL注入攻擊(3)Web效勞器身份認(rèn)證信息權(quán)限/角色敏感應(yīng)用數(shù)據(jù)系統(tǒng)級(jí)文件存取緩沖區(qū)溢出DOS攻擊數(shù)據(jù)字典DB效勞器SQL注入攻擊示意.WEB應(yīng)用深度防御實(shí)時(shí)告警.1、建立整體監(jiān)控管理系統(tǒng)2、關(guān)注你負(fù)責(zé)的系統(tǒng)把所管理的網(wǎng)站系統(tǒng)〔或者監(jiān)控系統(tǒng)〕設(shè)為瀏覽器的首頁(yè)，每天至少看三次你所管理的系統(tǒng)，殘酷地說(shuō)，管理員沒(méi)有節(jié)假日，因?yàn)楣?jié)假日恰恰是攻擊的高發(fā)時(shí)段。日常平安維護(hù).3、定期備份數(shù)據(jù)庫(kù)和供下載的文檔 定期備份數(shù)據(jù)庫(kù)和上傳的文件，如果不是很經(jīng)常更新，訪問(wèn)量不大，大概每周備份一次，反之每天一次，不要怕麻煩，這個(gè)制度很有必要。日常平安維護(hù).4、經(jīng)常用FTP登陸，查看上傳目錄下的文件格式上傳目錄下不應(yīng)該有asp,cer,cdx,com,exe,bat之類的文件.一般情況下，允許上傳的文件格式有：圖片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCXOFFICE文檔：DOC,XLS,PPT,MDB文本文件：TXT,RTF壓縮文件：RAR,ZIP,ISO日常平安維護(hù).5、掌握最新的補(bǔ)丁以及漏洞信息經(jīng)常關(guān)注官方網(wǎng)站的補(bǔ)丁發(fā)布，及時(shí)修改。這里推薦一個(gè)帶漏洞搜索引擎的漏洞公布://www/日常平安維護(hù).6、設(shè)置足夠強(qiáng)壯的密碼 管理的帳號(hào)密碼應(yīng)與管理員個(gè)人常用的不同，以防他人從別處得到網(wǎng)站的密碼。如果有多個(gè)管理員，要保證所有人的密碼都是“健壯的〞，即不能像“123456〞這樣容易猜測(cè)，必須是數(shù)字、字母和符號(hào)的組合。這點(diǎn)很重要，不然所有的平安措施都是徒勞！日常平安維護(hù).日常平安維護(hù)一、部署專用網(wǎng)絡(luò)平安設(shè)備:防火墻漏洞掃描入侵檢測(cè)系統(tǒng)AntiDDoS、流量監(jiān)控……二、網(wǎng)站系統(tǒng)的專用保護(hù)方法

本地和遠(yuǎn)程：本地監(jiān)控、遠(yuǎn)程建立統(tǒng)計(jì)監(jiān)控平臺(tái)；定時(shí)和觸發(fā)：根據(jù)等級(jí)設(shè)定觸發(fā)時(shí)間；比較方法：文件大小、數(shù)字簽名；恢復(fù)方式：本地恢復(fù)、遠(yuǎn)程恢復(fù)；備份庫(kù)的平安：隱藏備份庫(kù)；三、網(wǎng)站保護(hù)的缺陷保護(hù)軟件通常都是針對(duì)靜態(tài)頁(yè)面而設(shè)計(jì)，而現(xiàn)在動(dòng)態(tài)頁(yè)面占據(jù)的范圍越來(lái)越大，盡管本地監(jiān)測(cè)方式可以檢測(cè)腳本文件，但對(duì)腳本文件使用的數(shù)據(jù)庫(kù)卻無(wú)能為力。.應(yīng)急處理方法應(yīng)急事件處理四步曲1、