网管寒训网路安全与病毒防护.ppt

《网管寒训网路安全与病毒防护.ppt》由会员分享，可在线阅读，更多相关《网管寒训网路安全与病毒防护.ppt（75页珍藏版）》请在三一办公上搜索。

1、2008 網管寒訓網路安全與病毒防護,報告人：朱哥 NCU MENG2008/1/15,喇賽時間,為什麼要談資訊安全?近來發生的問題今日作業,網路安全,網路安全基本介紹,網路安全的基本需求 網路面臨的問題 網路的安全威脅,網路安全的基本需求,傳輸的保密性(confidentiality)資料的完整性(integrity)身分的鑑別與認證(authentication)雙方的不可否認性(nonrepudiation),網路面臨的問題,病毒蠕蟲攻擊網路癱瘓垃圾郵件機密外洩非法入侵即時通訊(MSN.)back,網路的安全威脅,系統、漏洞不斷被發現，攻擊手法不斷翻新更新的速度永遠比不過感染的速度病毒變

2、種快速攻擊程式及後門程式氾濫廣告郵件、垃圾訊息及色情網站充斥整個網路非法下載即時通訊,隨堂練習,請從網路找出一個近年來的網路攻擊事件 的新聞，並簡單判別它是以上提到的哪種問題?,提高網路連線的安全性,資料加密(Data Encryption)明文(plain text)密文(cipher text)認證(Authorization)通常是要求使用者輸入帳號密碼權限設定(Authentication)稽核(Auditing)提供過去事件的相關紀錄利於事後追蹤,典型密碼系統,發送方,接收方,加密演算法,解密演算法,加密金鑰,解密金鑰,明文,密文,明文,網路安全設備,入侵防禦系統(IPS&IDS)防

3、火牆（Firewall)防毒系統(Anti-Virus),Firewall,安裝在兩個網路間的裝置藉著過濾掉某些不可靠的資料封包來增加系統的安全性提供稽核與控制存取等服務,Firewall 的基本功能,認證(UA,User Authentication)預警功能(Alert)記錄與記錄分析工具(Log&Log Analyzer)通訊埠的權限設定,Firewall 的缺點,易形成網路上的交通瓶頸無法防止內部網路的使用者用其合法的身分做破壞系統的行為不一定能阻止開後門無法有效阻止有心人士利用原作業系統的漏洞進行入侵破壞行為不提供資料完整性驗證,三大 Firewall 類型,1.封包過濾式2.應用層

4、閘道式3.電路層閘道式,封包過濾式防火牆,應用於網路層針對每個封包的標頭提供的資訊加以查核優點：1.完全通透性 2.速度快缺點：1.無法有效防止IP欺騙 2.有些應用協議不適用(EX.HTTP),隨堂練習,1.請去網路上找出另外兩種防火牆的簡介，並列出兩種防火牆的優缺點2.請完成以下表格,防火牆,Comodo 個人防火牆McAfee Personal Firewall,入侵偵測系統 IDS,架設在網路節點與主機間的針孔攝影機若防火牆是第一道防線 IDS就是第二道防線可以監控用戶和系統的所有活動將封包拆開分析再重新組合,隨堂練習,使用IDS是否真的萬無一失?請查閱網路資料並列出IDS的缺點,防毒

5、軟體,以特徵碼和行為模式辨別病毒、木馬並不能 100%阻擋病毒的入侵(因為病毒變種過於快速)不怕一萬，只怕萬一定期更新病毒碼、主程式,網路的基本運作原理,Internet 世界,TCP/IP 協定,Windows,Port 80,Port 110,Port 25,Port?,Port 的角色與功能,電腦進出 Internet 的大門一般來說，每個網路軟體都可以打開任一 個 Port，但為了傳輸順暢，某些軟體就會 固定使用某幾個 Port所以沒用到、不常用的幾個 Port 就容易成為駭客入侵最常使用的 Port,隨堂練習,請找出以下幾個程式或協定所使用的 Port 1.FTP 6.HTTP 2.

6、Telnet 7.DHCP 3.SMTP 4.POP3 5.網路芳鄰,駭客入侵,駭客入侵的對象,Server 個人!,常見的攻擊手法(Server),猜密碼 利用系統的程式漏洞主動攻擊利用程式功能的被動攻擊 rootkit蠕蟲或木馬 社交工程DoS(Denial of Service)XSS(Cross-Site Scripting),猜密碼,取得帳號資訊後猜密碼 常見帳號 admin,administrator,webmaster Brute force(暴力法)利用字典檔進行無數次試驗,猜密碼,初級 cracker 會使用的方式之一WINRAR password recovery費時防護：

7、1.建立較嚴格的密碼設定規則 2.密碼輸入次數限制 back,利用系統的程式漏洞主動攻擊,軟體撰寫方式的問題 bug(可能會造成系統的不穩定或當機)Security(程式碼撰寫方式會導致系統的使用權限被惡意者所掌握)cracker 會嘗試撰寫一些針對這個漏洞的攻擊程式 攻擊者只要拿到攻擊程式就可以進行攻擊 SQL injection,SQL injection(資料隱碼),利用使用者輸入的東西來控制你的 SQL Example:select*from member where UID=&request(ID)&And Passwd=&request(Pwd)&正常：select*from me

8、mber where UID=A123456789 And Passwd=1234,SQL injection,使用者帳號 or 1=1-，密碼隨便打 結果：select*from member where UID=or 1=1-And Passwd=asdf1234 邏輯成立 跳過驗證密碼過程(p.s.-符號後的任何敘述都會被當作註解),隨堂練習,請運用剛剛所提到的內容 寫出一段資料隱碼攻擊的程式碼,利用系統的程式漏洞主動攻擊,最常見 不需要猜密碼由攻擊開始到取得你系統的 root 權限不需要兩分鐘，就能夠立刻入侵成功 防護：1.關閉不需要的網路服務&Port 2.隨時保持更新 back,利

9、用程式功能的被動攻擊,惡意網站提供軟體下載與安裝 瀏覽器主動的答應對方 WWW 主機所提供的各項程式功能，或者是自動安裝來自對方主機的軟體瀏覽器漏洞讓對方得以傳送惡意程式碼給你的主機來執行 ActiveX 主動式內容(IE core)：EX.讀寫檔案、病毒掃瞄等 但是有讓對方網站控制本機的危險,利用程式功能的被動攻擊,防護：1.隨時更新 2.讓瀏覽器在安裝軟體時，要通過你 的確認後才安裝 3.不要連上惡意網站(難!)back,rootkit蠕蟲或木馬,蠕蟲(Worm)惡性程式碼感染整個網路 木馬間諜程式(Trojan)附著在可執行檔案裡開後門爽(側錄、跳板、破壞.)Rootkit 即為取得ro

10、ot權限的工具包途徑：漏洞與社交工程.等,社交工程(Social Engineering),簡介過人與人的互動來達到入侵 的目的 偽裝、謊言時間可能長以年計釣魚法推薦書目：藍色駭客(出版社：皇冠文化)MSN photo 系列病毒,社交工程(Social Engineering),防護：1.帳號密碼記在腦子裡不要說 2.不要隨便相信他人(?)3.追蹤對談者back,隨堂練習,情境題：如果你是一個駭客，你會怎樣利用社交工程來騙取現在坐在你旁邊同學的郵局帳號密碼?(請用50100字簡單敘述流程),DoS(Denial of Service),阻斷式攻擊SYN：當主機接收了一個帶有 SYN 的 TCP

11、 封包之後，就會啟用對方要求的 port 來等待連線SYN flood：透過軟體功能，在短短的時間內持續發送出SYN 封包，Server 就會持續不斷的發送確認封包，並且開啟大量的 port 在空等 CPU使用率飆高、頻寬被吃光 掰機關槍打坦克,補充:三方交握(Three-Way Handshaking),Client端發出連線要求時，必須要提供下列資訊：Client自己的IP 位址 所使用的Port號 最大容許的 TCP Segment大小 其他訊息三方交握：1.Clioent想要與Server連線，因此Host1將SYN旗標設定為1，同時將目前的Segment序號(x)傳送給Host2。2

12、.Server接收到此要求後，會對此連線要求加以回應，因此將SYN設定為1，此外附上目前序號(y)，及確認序號(x+1)給Client。（在此，確認號碼為發送端序號加一）。3.Client收到此訊號後，會將序號設定為(x+1)，然後確認序號設定為(y+1)。（確認序號仍為對方的序號加一）。,DDoS(Distributed Denial of Service),進化版 集合眾人之力先散播惡意軟體(透過後門等方式)同步所有攻擊程式，於同時間朝同目標 攻擊 效率為 DoS 的數倍單純惡意行為(不是為了取得root)目前無較好方法防堵,back,Cross-Site Scripting(XSS),跨

13、站腳本攻擊 十大攻擊之首利用網站上允許使用者輸入字元或字串的欄位插入HTML與Script語言 利用釣魚式攻擊 將使用者的cookie資料導入到駭客網站並儲存 無名小站(2006),Cross-Site Scripting(XSS),EX.location.replace(http:/防護 1.Black List 缺點：過濾不乾淨 2.White List 缺點：Client 變化性少,隨堂練習,請從網路上找出一種阻斷式攻擊的方法(講義上沒提到的),病毒與木馬防護,木馬?,木馬 病毒 傻傻分不清楚,病毒 進入電腦中進行軟硬體的損壞、無 法操作等破壞行為木馬 進入電腦中蒐集各種資訊，甚至完 全

14、控制寄主,木馬的功用,遠端遙控轉向入侵(or 跳板)截取封包獲得帳號密碼DDoS,木馬怎麼防?,最佳方式 不要讓它植入你的電腦不幸中了怎麼辦?1.想辦法清除 2.利用之前的備份重灌,簡易中毒自救法,1.先拔網路線2.使用防毒軟體檢察3.檢查開機自動執行與系統服務4.檢查已執行的程式5.查看Port連線情況6.上網求救-進階：監控封包,使用防毒軟體檢察,平時就要定期更新病毒碼防毒軟體只是疫苗，不一定是解藥 p.s.Spybot Search&Destroy,檢查開機自動執行,1.啟動資料夾,檢查開機自動執行,2.Win.ini 或是 System.ini在Windows的資料夾裡Win.ini

15、通常不會有任何的 run 和 load 參數System.ini 裡的shell參數的 Explorer.exe不會有 別的程式名稱,檢查開機自動執行,3.檢察機碼(Registry)執行regedit HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERS

16、OFTWAREMicrosoftWindowsCurrentVersionRunOnce通常只有系統運行所需之程式或是自己灌的應用程式Startuphttp:/,HKEY_USERSS-1-5-21-.SoftwareMicrosoftWindow NTCurrentVersionWindows裡面通常沒有run的機碼HKEY_LOCAL_MachineSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon裡面的Shell機碼值應該只有 explorer.exe,檢察系統服務,控制台系統服務停用可疑或自己不認識的服務,檢查已執行的程式,工作管理員Ta

17、skInfo(共享軟體)可以上網查不知道是什麼的程式http:/http:/directory/一些WinXP的系統程式：smss.exe lsass.exe csrss.exe winlogon.exe Explore.exe regsvc.exe svchost.exe(會有很多個)進入安全模式將可疑執行檔刪除,查看Port狀況,CurrPort將可疑程式的位置鎖定後刪除,隨堂作業,請去網路上找出以下幾個程式的發行公司 及用途alg.exe mplayerc.exe WinMgmt.exe wmiprvse.exeInternat.exedaemon.exe pdesk.exe,上網求救,

18、各大防毒公司網頁ptt AntiVirus 板,隨身碟病毒,利用隨身碟插入時，電腦自動執行的功能執行木馬安裝程式變種異常迅速防護：關閉自動執行 改用檔案總管開啟隨身碟WowUSBProtector http:/antbsd.twbbs.org/ant/wordpress/?p=1008,隨堂練習,請查出關閉自動執行的機碼,結論,網路很可怕做好防護措施 快樂上網,作好系統帳號安全管理,系統的第一道防線 密碼就像牙刷-天天要用，而且要常常換 拒用 weak password,系統安全漏洞防護,留意來自網路上及軟體廠商的系統安全漏洞報告 定期 Windows update(自動執行)應用程式版本更新,安裝安全防護程式,防毒防火牆定期更新病毒碼及掃描port掃描,培養好的使用習慣,1.不要執行不明程式(.exe.scr.rmvb 注意)2.大陸、外國破解網站與成人網站不要輕易 嘗試3.管理者設定帳號密碼4.公用電腦很毒!不要輕易在上面留下帳號 密碼,災難恢復計畫,天有不測風雲完善的備份 異地備援有備無患,入侵恢復工作,立即拔除網路線 分析弱點與感染途徑備份資料(平時)重新安裝 資料回復防毒防火牆先上上網更新,下課了!,