《网络安全技术基础ppt课件.pptx》由会员分享,可在线阅读,更多相关《网络安全技术基础ppt课件.pptx(86页珍藏版)》请在三一办公上搜索。
1、,网络安全技术基础(非加密),目录,基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题,日益成熟的黑色产业链,系统漏洞是怎么产生的,void main() int a,b,c; printf(input a,b,cn); scanf(%d%d%d, ,“scanf”函数没有进行输入长度校验,从而产生溢出漏洞。,大多数漏洞都产生于参数传递,JPG格式中的漏洞:GDIPlus.DLL漏洞MS04-028 Nick DeBaggis漏洞产生原因:JPEG格式中的注释段(COM)由0 xFFFE开始(标记)+2字节注释段字节数
2、(参数) +注释(数据)构成。因为字节数这个参数值包含了本身所占的2字节,所以GDIPLUS.dll在解析jpg格式文件中的注释段时会把这个值减去2,如果这个值设置成0,1就会产生整数溢出。,结论:发现漏洞的最有效方法在于构造错误的参数传递!,一次攻击实例,1.目标服务器没有漏洞,很安全。,2.目标服务器开了3389远程管理,非加密可以利用,3.内网几台计算机有漏洞,直接拿下。顺便开个监听,看能不能抓到管理员登录服务器的信息。,4.管理员总不登录?DoS一下,强迫管理员登录。,5.管理员发现服务器不正常,登录去看看,被直接抓到口令。,攻击机,网管机,内网,目标服务器,广义的漏洞定义,漏洞就是通
3、过加工后能够产生危害的系统功能,基础知识TCP的3次握手,Syn报文,Syn_ack报文,Ack报文,地瓜地瓜,我是土豆,听到请回答!over!,土豆土豆,我是地瓜,你话音很清楚,能听清楚我说话吗?Over!,地瓜地瓜,你话音也很清楚清楚,说正事吧。over!,半开连接:未完成三次握手的TCP连接,网络安全的基本技术,基于状态转发技术,IPSec,抗DoS/ DDoS,链路加密,电磁防泄漏,特征匹配技术,基本技术基于状态表转发,如收到的数据包为新建TCP连接的数据包,则根据预定义规则决定是否转发。如确定需要转发则在状态表中增加相关表项,并开始跟踪TCP握手信息。,如收到的数据包为非新建连接,则
4、检查状态表表项。如有相关表项则根据表项进行转发,否则丢弃该数据包。如该数据包为TCP FIN包,则转发后删除相关表项。,状态表中的表项都有预定义的老化时间。如超过老化时间仍没有新的数据包通过,则删除该条记录。无老化时间的记录称为长连接,用于某些特殊应用,新建连接,非新建连接,状态表老化,?,基本技术特征匹配技术,对比,网络安全设备部署模式,旁路部署,在线部署,交换机上设置镜像端口,安全设备旁路进行抓包和特征匹配。,某些网关类安全设备(如VPN)的单臂部署模式在拓扑形式上与此类似,但是数据包需要进行转发的。,网关类安全设备大多采用此种将设备串入链路中的在线部署方式。,透明模式向网线一样工作,桥模
5、式相当于交换机,路由模式相当于路由器,混合模式既有路由模式也有桥模式,目录,基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题,防火墙的分类,主要分为以下3种类型防火墙:包 过 滤 防 火 墙 :根据一组规则允许/阻塞一些数据包。应用代理型防火墙:作为应用层代理服务器,提供安全防护。状态检测型防火墙:比包过滤防火墙具有更高的智能和安全性,会话成功建立连接以后记录状态信息并时时更新,所有会话数据都要与状态表信息相匹配;否则会话被阻断。,状态检测技术,现代防火墙基本为3种类型防火墙的综合体,即采用状态检测型包过滤技术,同时
6、提供透明应用代理功能。,包过滤防火墙,基本概念:数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。包过滤操作过程 :包过滤规则必须被存储在包过滤设备的端口;当数据包在端口到达时,包头被提取,同时包过滤设备检查IP、TCP、UDP等包头中的信息;包过滤规则以特定的次序被存储,每一规则按照被存储的次序作用于包;如果一条规则允许传输,包就被通过;如果一条规则阻止传输,包就被弃掉或进入下一条规则。,检查项,IP 包的源地址,IP 包的目的地址,TCP/UDP 源端口,IP 包,检测包头,检查路由,安全策略:过滤规则,路由表,包过滤防火墙,转发,
7、符合,不符合,丢弃,包过滤防火墙图示,包过滤防火墙技术评价,优点:速度快,吞吐率高 (过滤规则较少时)对应用程序透明(无帐号口令等)缺点:安全性低不能过滤传输层以上的信息不能监控链路状态信息,Client,Server,代理服务器,代理客户机,请求,应答,被转发的请求,被转发的应答,应用代理防火墙,双向通信必须经过应用代理,禁止IP直接转发;,只允许本地安全策略允许的通信信息通过;,代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可,代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。,安全策略访问控制,应用代理防火墙图
8、示,优点:可以将被保护网络内部的结构屏蔽起来可以实施较强的数据流监控、记录。可提供应用层的安全(身份验证等)缺点:灵活性通用性较差,只支持有限的应用。不透明(用户每次连接可能要受到“盘问”)代理服务的工作量较大,需要专门的硬件(工作站)来承担,应用代理防火墙技术评价,基于状态的包过滤防火墙,IP 包,检测包头,下一步处理,安全策略:过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,丢弃,符合,检查项,IP 包的源、目的地址、端口,TCP 会话的连接状态,上下文信息,控制网络通信的三种方法,不完整路由控制不完整NAT控制包过滤控制,防火墙技术地址翻译技术1,192.168.0.2
9、20:1100-172.16.10.1:80,172.16.10.110:11051-172.16.10.1:80,防火墙技术地址翻译技术2,NAT的应用,共享上网。隐藏内部网络结构。中断路由,保护内网。双向地址翻译解决地址冲突问题。工行中间业务系统广泛使用此技术与其他单位进行对接。,iptables与NetFilter架构,Linux 的防火墙最开始的 ipfwadm 是 Alan Cox 在 Linux kernel 发展的初期,从 FreeBSD 的内核代码中移植过来的。后来经历了 ipchains,再经由 Paul Russell 在 Linux kernel 2.3 系列的开发过程中
10、发展了 netfilter 这个架构。而用户空间的防火墙管理工具,也相应的发展为 iptables。,一个星期开发出防火墙,买一台专门的防火墙硬件,很多服务器厂或者工控机厂都提供,不带CPU和内存大约不到3000块一台。剪裁一个Linux版本出来。如果不懂相关技术可不剪裁,但是要记得把驱动装全。在Linux上把iptables启动起来。开发一个web界面,用来写iptables和Linux路由等的配置脚本。(最有技术含量的就是这部分了,事实上有专门的图形化的配置器,但是容易被人家看出来不是?)如果想正式卖,去公安部、保密局、解放军、信息安全评测中心等地方去拿证书。(这是最花钱的地方,如果只是偷
11、着卖,可跳过此步。)写一套主打胶片和白皮书。记得里面要有:“具有自主知识产权”、“创造性的提出了安全架构”、“安全的操作系统”等字样。,ASPF V3版本状态检测的实现,检测每一个应用层的会话,并创建一个状态表和一个临时访问控制表。一个会话可以认为是一个TCP连接。状态表项维护了一次会话中某一时刻会话所处的状态,用于匹配后续的发送报文,并检测会话状态的转换是否正确。状态表在监测到第一个外发报文时创建(对于TCP,检测到SYN报文)。临时访问控制表在创建状态表项的同时创建,会话结束后删除,相当于一个扩展ACL的permit项。它用于匹配一个会话中的所有应答报文。对于处于半开连接状态的会话(TCP
12、 SYN),还创建半开连接表项。对于UDP应用,检测到第一个报文认为发起连接,检测到第一个返回报文认为连接建立,session/TACL的删除取决于空闲超时 。,V5 ASPF/包过滤介绍,原有的传输层与应用层协议状态机维护功能被拆分至会话管理与ALG模块中,ASPF不再单独维护。原有ASPF通过正向会话表项+ 临时访问控制列表(TACL)实现报文动态检测的处理机制被替换,由会话管理模块维护的Session + 双向HASH表的方式实现,ASPF不再单独维护会话表以及由会话派生出的TACL链表,SYN/FIN链表以及分片报文链表等。ASPF基于协议的会话定时老化机制交由会话管理处理。会话表项的
13、管理不再基于接口而是系统全局管理,并被多个业务模块(NAT、ALG)共同使用。高端防火墙产品采用域策略管理方式,而路由器沿用接口安全策略配置的方式。在高端防火墙产品中,ASPF与包过滤策略作为域间安全策略,配置在域间策略中。在路由器产品中,ASPF与包过滤策略基于接口应用下发策略。综上所述,ASPF是依托于会话管理模块提供的服务,独立于其它业务模块,实现根据会话管理维护的会话状态切换决定报文的后续处理,目录,基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题,常见信息安全威胁,拒绝服务攻击,特洛伊木马,Web应用攻击,
14、流氓软件,网络钓鱼,垃圾邮件,社会工程,Web攻击综述,正常网站,攻击者获得网站权限,或者在网站上注入恶意代码,攻击者利用网站的漏洞,网站漏洞,基础软件漏洞,应用系统漏洞,操作系统漏洞Web服务器漏洞ASP/PHP/CGI漏洞数据库漏洞,注入攻击跨站脚本攻击,网站被控制网页被篡改网页被挂马帐号失窃成为傀儡机拒绝服务,SQL注入攻击利用Web应用程序(网页程序)对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞,攻击者将恶意的SQL命令注入到后台数据库的攻击方式。 SQL注入对Web网站的攻击后果非法获得网站权限、网页篡改、网页挂马、窃取网站数据等。举例在网站管理登录页面要求帐号密码认证时,
15、如果攻击者在“UserID”输入框内输入“admin”,在密码框里输入“anything or 1=1”,提交页面后,查询的SQL语句就变成了:Select from user where username=admin and password=anything or 1=1不难看出,由于“1=1”是一个始终成立的条件,判断返回为“真”,密码的限制形同虚设,不管用户的密码是不是Anything,他都可以以admin的身份远程登录,获得后台管理权,在网站上发布任何信息。,典型注入:SQL注入攻击,跨站脚本攻击:指攻击者利用网站程序对用户的输入没有进行充分的有效性检验和敏感词过滤的漏洞,输入精心构
16、造的HTML或Java script脚本,当其他合法的用户浏览到该页面时,将执行恶意攻击者留下的代码,遭受攻击者的进一步攻击;不同于SQL注入以Web服务器为目标的攻击方式,跨站脚本攻击更多则是将目标指向了Web业务系统所提供服务的客户端。跨站脚本攻击对Web网站的攻击后果:网页挂马、拒绝服务举个例子说明原理:如攻击者可在目标服务器的留言本中加入如下代码:function()则存在跨站脚本漏洞的网站就会执行攻击者的function()。,攻击者在网页上输入精心构造的HTML或JavaScipt代码,网站数据库,网站Web程序,网站Web程序,其他受害客户,跨站脚本攻击,利用Web网站的操作系统
17、漏洞、Web服务器漏洞、数据库漏洞等基础软件的漏洞,获得Web网站权限。 举例:通过Unicode漏洞读取服务器C盘的目录http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:,利用基础软件漏洞的攻击,应用层安全:IPS才是王道,路由器,交换机,IPS,内部网络,路由器,交换机,IDS,镜像,IPS可做到: 在线部署,实时阻 断攻击。在线部署,除阻断外还可实现隔离、重定向等主动防御动作。在线部署,可通过快路径避开IDS事件风暴 。 不依赖网络设备的镜像。,内部网络,攻击库,协议库,病毒库,综合防御,IPS:三库
18、合一实现综合防御,现在的很多安全威胁都是综合网络蠕虫、木马、病毒等技术的复合威胁,只有将攻击特征和病毒特征结合在一起进行检测,才能全面防御这类安全威胁。攻击者在利用漏洞的攻击之后,往往马上伴随着木马、病毒等恶意代码样本的下载,只有将攻击特征和病毒特征结合在一起,才能做到层层防御,确保安全。因为攻击是有特定的协议上下文的,将应用层协议特征分析与攻击特征、病毒特征分析结合起来,可确保检测精度。,业界唯一的创新技术:,高端IPS最大特点:三库合一,数据流,会话状态跟踪,分片重组,流量分析,流恢复,丢弃报文,报文正规化,协议识别分析并行处理支持近千种协议,特征分析 并行处理包括攻击特征、病毒特征,丢弃
19、报文、隔离,转发,限流、整形,阻断、重定向、隔离等,FIRST:Full Inspection with Rigorous State Test,基于精确状态的全面检测,IPS检测引擎:FIRST,基于攻击工具、或漏洞利用的特征进行检测。基于协议交互的异常进行检测。基于流量统计的异常进行检测。基于病毒样本特征进行检测。攻击事件智能关联分析。网络行为自学习、流量基线自学习。反向认证。,报文正规化。IP重组。TCP流恢复。TCP会话状态跟踪。协议解码。基于应用层协议的状态跟踪。可信报文处理。,集成多种检测方法,报文正规化,ARP报文 源MAC是否为全FARP报文长度(非28)IP报文IP报文头长度
20、小于20字节 IP报文长度合法性检查(携带的长度与实际不符)TCP检查 报文头长度的检查(不带选项非20)TCP报文头完整性检查(20)Flag的合法性检查(SYN=1&FIN=1) |(SYN=1&RST=1)|(SYN=0&ACK=0&RST=0)|(FIN=1&ACK=0)|(PUSH=1&ACK=0) |(URG=1&ACK=0 ) 时FLAG非法。 TCP reserve字段的检查(必须都为0)UDP检查 报文头完整性检查(8) ICMP检查 报文头完整性检查(8),type字段不同是,长度有变化。,IP分片报文处理(1),分片报文重组 超时时间30秒系统最大缓存分片数:5000 I
21、P 分片异常IP分片报文的分片的偏移 +已经重组完成的IP分片报文的长度大于65535 Offset异常 DF位,但是offset字段不为0 IP Fragment Length Error 非最后一个分片包的分片数据部分长度不是8的整数倍 IP duplicate Fragment 如果IP分片与前面的分片相重叠,则丢弃这一组分片报文 。,IP分片报文处理(2),IP Fragment Overlap 分片报文的偏移同前面的报文部分相重叠 IP Fragment Bad MF Bits IP报文设置了MF为1,并且DF也为1 IP Fragment Total length mismatch
22、 IP分片报文Total length字段大于实际的链路层传输的长度 Ping of death检测重组后ICMP的报文长度是否大于65535,最难搞定的威胁:Zeroday攻击,Zeroday(零日?零时差?)攻击对尚未公开的漏洞进行攻击。有专门的交易渠道,谁都搞不定,只能严防死守。漏洞已公布,但是尚未发布补丁。这是我们搞得定的!,社会工程,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素人。这方面的详细信息,建议大家看美国著名黑客Kevin Mitnick的著作T
23、he Art of Deception,网上有下载,文笔很好,可以当小说看,还可以顺便练习一下E文。摘自非著名ID“ZeroFlag”唯一一篇被广为转载文章一次差点成功的暴力社会工程,网络钓鱼行为举例,目录,基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题,拒绝服务综述,DoS(Denial of Service,拒绝服务),造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。DDoS (Distributed Denial of Service,分布式拒绝服务)攻击指借助于客户/服务器技
24、术,将多个计算机联合起来作为攻击平台,对一个或者多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。,按消耗的资源目标分:带宽耗尽型DDoS:以多欺少的泛洪(Flood)攻击,将目标机的出口带宽资源耗尽,造成拒绝服务;攻击流量里的单个报文没有任何特征可言,流量大,通常有庞大的僵尸网络做支撑,如UDP Flood、ICMP Flood等。资源耗尽型DDoS:通过向目标机提交一定数量的需要目标机大量消耗资源的请求实现,请求流量并不需要非常大,即可消耗目标机的计算资源,造成拒绝服务,如SYN Flood、CC攻击等。按网络层次分:网络层DDoS:通过发送网络层的泛洪报文实现,如UDP Floo
25、d、ICMP Flood、SYN Flood、RST Flood、Connection Flood等。应用层DDoS:通过发送应用层的泛洪报文实现,如HTTP Get Flood、DNS Query Flood、CC攻击等。,拒绝服务攻击分类,Syn Flood攻击与防范,Syn,SynACK,ACK,正常TCP三次握手完成连接,通过半连接耗尽正常服务资源,Syn?,Syn?,Syn?,SynACK,SynACK,SynACK,发送带有伪造源IP地址的SYN包,造成大量半连接耗尽服务器资源。特点:生命周期长,无法通过打补丁,升级软件等方式解决防范:通过TCP Proxy、TCP Cookie,
26、Connection Flood 攻击,攻击者,受害者,大量的 tcp connect,不能建立正常的连接,正常用户,利用真实 IP 地址(代理服务器、广告页面)在服务器上建立大量连接。服务器上残余连接(WAIT 状态)过多,效率降低,甚至资源耗尽,无法响应。蠕虫传播过程中会出现大量源 IP 地址相同的包,对于 TCP 蠕虫则表现为大范围扫描行为。消耗骨干设备的资源,如防火墙的连接数。,发送大量的 ACK 包冲击设备。服务器回应 ACK/RST 包,消耗资源。某些应用如 JSP Server 对 ACK Flood 比较敏感。一般来讲 ACK Flood 流量要较大才会对服务器造成影响。,AC
27、K Flood 攻击,UDP 协议无状态,应用五花八门。利用小报文冲击应用服务器:Radius 服务器、DNS 服务器、流媒体服务器。针对不同应用协议攻击需要制定不同的应对策略。尚未有类似的产品能够防护 UDP/UDP DNS Query Flood。,UDP Flood 攻击,危害性和 DNS 服务器的脆弱性字符串匹配查找是 DNS 服务器的主要负载。微软的统计数据,一台 DNS 服务器所能承受的递归动态域名查询的上限是每秒钟9000个请求。一台P3的主机可以很轻易地发出每秒上万个请求。 攻击的手段只针对53端口发 NULL 数据包,危害性不大。请求解析固定的域名,由于有 cache 存在,
28、需要较大数量。随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求,引起连锁反应。蠕虫扩散带来的大量域名解析请求。,UDP DNS Query Flood 攻击,其他常见拒绝服务攻击,TFN(Tribe Flood Network)德国著名黑客Mixter编写的分布式拒绝服务攻击工具 TFN由主控端程序和代理端组成攻击者到主控端TCP绑定主控端到代理端ICMP_ECHOREPLY代理端对目标机SYN Flood、ICMP Flood、UDP Flood、Smurf 攻击免费的DDoS攻击工具,还包括Trinoo、TFN2k、Stacheldraht等,使得DDoS攻击技术门槛降低更加
29、普及,对网络造成严重威胁,Mixter,ID字段包含命令,DDoS典型攻击工具,允许有效请求通过,服务器,攻击者,代理,主控端,主控端,代理,代理,代理,代理,代理,通过Syn Cookie机制防范Syn Flood攻击。通过限制单个源地址的每秒连接数来防范CPS Flood、Connection Flood攻击。通过流量阈值模型、反向认证等方式来防范UDP Flood、ICMP Flood、HTTP Get Flood、DNS Flood等DDoS攻击。内置的攻击特征规则可检测常见DDoS攻击工具TFN、TFN2k、 Stacheldraht 、Trinoo的控制报文,可切断DDoS攻击工具
30、的控制通道。,一般DDoS攻击防范技术,CC攻击与防御,攻击方法:利用代理服务器发起大量的 HTTP Get 请求。主要是请求动态页面,造成数据库服务器负载极高,无法正常响应。防御方法:进行域名重定向。通过代理发送的HTTP_X_FORWARDED_FOR变量来判断使用代理攻击机器的真实IP,但不是所有的代理服务器都发送。在服务器上,从Cookie与IP的绑定和用户Session。,流量清洗组成及工作模型,异常流量检测平台,异常流量清洗平台,客户2,业务管理平台,流量镜像,正常流量不受影响,发现攻击通知业务管理平台,通知清洗平台,开启攻击防御,流量牵引,流量回注,牵引流量,对异常流量进行清洗,
31、攻击停止,通知业务管理平台,客户3,流量镜像,客户1,流量清洗中心,BGP Peer,20.20.20.1,20.20.20.0/24NextHop 4.4.4.2,20.20.20.1/32NextHop 3.3.3.2,城域网,发布路由,20.20.20.1/32NextHop 3.3.3.2No-Advertise,3.3.3.2,BGP路由引流策略路由回注VLAN偷传回注MPLS VPN回注,引流与回注,目录,基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题,病毒的定义1994年2月18日,我国正式颁布实施了
32、中华人民共和国计算机信息系统安全保护条例。在该条例的第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。” 病毒的分类系统病毒、蠕虫病毒、木马病毒、黑客病毒、脚本病毒、宏病毒、后门病毒、病毒种植程序病毒、破坏性程序病毒、玩笑病毒、捆绑机病毒、其他病毒病毒的传播方式网络蠕虫通过网络传播通过移动存储介质传播通过网络上载、下载、拷贝文件进行传播,病毒综述,网络蠕虫定义蠕虫病毒一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的
33、只存在于内存中),对网络造成拒绝服务,以及和木马技术相结合等。网络蠕虫的两种主要传播方式利用远程系统漏洞进行网络传播,如阻击波、震荡波、SQL蠕虫;利用电子邮件、IM、局域网共享等进行网络传播,如爱虫、求职信蠕虫;有的蠕虫会综合以上两种方式进行网络传播,如Nimda、熊猫烧香等。,蠕虫造成的危害蠕虫在主机上消耗主机资源,甚至破坏主机系统,造成主机拒绝服务;蠕虫传播造成的流量导致网络拥塞,甚至导致整个互联网瘫痪、失控;蠕虫与木马技术等相结合,窃取受害者敏感信息或者控制受害者主机。,蠕虫病毒,弹头,传播引擎,目标选择算法,扫描引擎,有效负荷,目标选择算法EMAIL地址、主机列表、DNS等等扫描引擎
34、对选定的目标进行漏洞试探弹头缓冲区溢出、共享文件、电子邮件传播引擎FTP、TFTP、HTTP有效负荷后门、拒绝服务攻击、其他操作,网络蠕虫:蠕虫的组成,病毒的多态技术,也就是由于这种多态(变形)病毒的出现,使利用简单特征码进行病毒检测的技术走到了尽头。,下面是一段最简单的多态病毒代码,这段代码的作用是将预先加密的病毒代码解密,然后跳转到执行感染和破坏功能的病毒代码中。,浏览就可以传染可怕的脚本病毒,脚本病毒包括下面的几种基本类型:基于JAVAScript的脚本病毒基于VBScript的脚本病毒基于PHP的脚本病毒脚本语言和木马程序结合的病毒,随着因特网的广泛使用,电脑病毒也出现了新的发展趋势,
35、脚本病毒在1999年以后已经成为最主要的病毒类型之一。,典型反病毒技术,特征码技术。改进基于流的特征码技术;虚拟机技术。针对多态病毒技术,缺点为效率;启发式扫描技术,对一段程序的多个方面进行加权计算 ;其他:覆盖法技术、驻留式软件技术、自身加密的开放式反病毒数据库技术、智能和广谱技术,蠕虫的传播过程:,探测,渗透,扎根,传播,破坏,防御蠕虫过程为所有的系统及时打上漏洞补丁(中心补丁服务器)用IPS/IPS来检查蠕虫的活动用访问控制来限制蠕虫传播用PVLAN来保护关键服务器用网管工具来追踪被感染的主机通过CAR来限制蠕虫流量全网部署病毒扫描措施,蠕虫的传播和防御,木马的定义木马指通过一段特定的程
36、序(木马程序)来控制另一台计算机,木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。木马造成的危害:敏感信息泄露,如帐号、密码等记录键盘操作过程等,并发送给攻击者受害者成为傀儡机,木马综述,传统的计算机病毒在网络时代已经不是主流威胁互联网进入木马病毒经济时代木马病毒反扑,明目张胆对抗安全软件,商业化运作迹象明显,木马:木马威胁日益严峻,木马的传播方式:试图通过一
37、些有用的功能来引起用户的兴趣,从而诱使用户运行木马程序木马被绑定在一些实用工具上利用目标机漏洞获得权限后,在目标上安装木马中了木马下载器的主机源源不断地从攻击者网站下载变种新木马,木马传播方式,某些免费软件带有间谍软件: 如Kazaa、iMesh、eMule、WeatherBug等等下面的 EULA(最终用户授权协议来自一个著名的间谍软件:,传播举例1,通过浏览器安装间谍软件滥用控件:如ActiveX利用浏览器程序漏洞:IE CHM文件处理漏洞,下面一个网站试图在您的计算机上安装恶意软件,传播举例2,保持安全意识,对可能出现的安全威胁保持警惕 如不随便安装下载的免费软件 正确设置IE安全域 保
38、持操作系统的升级打补丁 安装防间谍软件:Anti-Spyware、 基于网络的防御方式,恶意软件防范,目录,基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题,发件人、收件人的黑白名单源服务器的静态黑白名单邮件标题过滤源服务器反向DNS查询源服务器实时黑名单内容关键字过滤探针邮箱,常用反垃圾邮件技术,最有技术含量的:贝斯叶算法,收集两个数据库垃圾邮件数据库正常邮件数据库在每一个数据库中,学习并定义出一些关键词,计算这些关键词的概率。新邮件到来时,计算出新到来的邮件中包含的关键词的联合概率。通过联合概率判断新到来的邮件是
39、否是垃圾邮件。,最靠谱的: RBL技术,RBL:Real-Time Black List(实时黑名单)通过将确认后的垃圾邮件来源站点(无论是否是恶意与否)放入一个黑名单(Blackhole List),然后通过发布该名单来保护邮件服务器不受到黑名单中站点的侵扰确实是一个目前对抗日益严重的垃圾邮件的行之有效的方法。,目录,基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题,安全审计类型1:上网行为管理,把用户访问互联网的每个数据包都记录下来,并回放。事后追查的绝对利器,也是我司配套卖存储的好机会管理员可以看到,领导今天上
40、黄色网站了病毒也一并记录下来,管理员回放时可以进行URL过滤和关键字过滤。基于上下文的关键字过滤还是很需要点技术的,只可惜不成熟。H3C的ACG和UTM可以做URL过滤和关键字过滤(非基于上下文),安全审计类型2:数据库审计,把用户访问数据库的行为都记录下来,并回放。用户名,密码,IP等基本信息的审计所有的SQL语句,必要时可以通过这些进行数据回滚用Snort简单改造的方法:在Snort中编写规则,过滤所有的SQL关键字,发现类似数据包一律记录下来。H3C的ACG在Q3可以做这方面的功能,安全审计类型3:安全日志审计,现在流行再包装一下下以后,改名叫SOC。H3C的SecCenter最开始就是
41、干这个用的。技术难点:关联分析:一般时基于统计的关联,如基于事件源、目的IP,时间等等。,核心功能:事件收集与归并,事件过滤漏洞匹配锁定位置告警通知,支持H3C所有设备的管理支持对防火墙、IDS、IPS、UTM、Anti-Virus、Anti-Spam、路由器、交换机、Unix、Linux、Windows等各类IT资源的管理支持安全事件、网络事件、系统事件、应用事件,关联分析重要的是关联策略,近10分钟内按不同级别划分的安全事件统计图,安全事件统计与关联,攻击路径的定位,快速定位攻击源/路径,目录,基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专
42、题安全审计技术专题网闸技术专题,网闸技术原理没有通信,右图表示没有连接时内外网的应用状况,从连接特征可以看出这样的结构从物理上完全分离。,网闸技术原理外网发起通信1,当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。,网闸技术原理外网发起通信2,一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。,典型网闸应用,电力调度网与信息网之间采用定制的单向网闸进行隔离。信息网可以向调度网上传数据,调度网仅返回1字节UDP数据包,表示数据收到的确认。,调度网,信息网,1字节UDP数据报,信息网上报数据,网闸安全性讨论,注意:以下言论仅代表个人观点,与主流意见可能向左。,?,通用网闸,代理服务器,VPN,代理服务器,通用网闸的安全性是否高于“Proxy+VPN+Proxy”?要定制单项网闸,还是“中间件服务器FWIPS”?网闸究竟具有多大的实用价值?,
