《网络安全基础知识.ppt》由会员分享,可在线阅读,更多相关《网络安全基础知识.ppt(192页珍藏版)》请在三一办公上搜索。
1、网络安全基础知识,主讲:戴维英电话:0993-2390350,黑客常用攻击手段及防御措施,个人用户忠告及建议,内容提要,网络安全概述,单位网络安全措施推荐,F,关注网络安全的必要性,一.网络安全概述,网络安全现状概述,导致网络安全问题的原因,Internet网络呈爆炸式增长,Internet用户数,(百万),互联网用户数每半年翻一番,亿美元,Internet 商业应用快速增长,复杂程度,时间,Internet 变得越来越重要,Internet 变得越来越重要,Internet已成为全球最重要的信息传播工具!2001年不完全统计:Internet 现在遍及186个国家 容纳近60万个网络 提供了
2、包括600个大型联网图书馆 400个联网的学术文献库 2000种网上杂志 900种网上新闻报纸 50多万个Web网站在内的多种服务 总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。,互联网数据量每100天翻一番,Internet 变得越来越重要,Internet目前的发展规模连接计算机 2亿多台Internet用户已超过 5亿人Internet的发展速度是历史上发展最快的一种信息网络技术以商业化后达到 5000 万用户为例 电视用了13年,收音机用了38年,电话100年Internet 从商业化达到 5000 万用户用了4 年时间Internet 正在以超过摩尔定理(M
3、oore)的速度发展Metcalfe定律(第四定律):网络性能的增长速度等于连在网上的PC数目的平方(Cn2),即网络的频宽每年提高了3倍。,正如尼尔巴雷特在信息国的状态一书中所言:“要想预言Internet的发展,简直就像企图用弓箭追赶飞行中的子弹。在你每次用手指按动键盘的同时,Internet就已经在不断变化了。”,网络带宽vs.CPU性能,第三定律:“吉尔德定律”(Gilders Law):在未来25年,主干网的带宽每6个月增长一倍,其增长速度是摩尔定律预测的 CPU 增长速度的3倍。,Internet的飞速发展加速了社会的信息化过程,由于信息价值的提高,信息的最主要的载体网络、计算机成
4、为不法分子攻击的目标。,Internet 变得越来越重要,已确定的信息系统安全的脆弱性(即允许非授权访问或破坏网络的软件与硬件问题)的数量在近年迅速增加2001年:10902003年:4129,19952003全球信息系统脆弱性问题,资料来源:http:/www.cert.org 2003年2月8日,1988-2002接到正式报告的攻击事件,资料来源:http:/www.cert.org 实际上发生的攻击事件远远超过这个数字,网络安全问题日益突出,关注网络安全的必要性,一.网络安全概述,网络安全现状概述,导致网络安全问题的原因,网络信息安全问题涉及国家安全 政治安全,第一次(1997):印尼金
5、融危机、排华反华第二次(1999.05):北约轰炸我驻南使馆第三次(1999.07):李提“两国论”第四次(2000.02):日本右翼事件/教科书第五次(2001.2):日航歧视华人事件第六次(2001.05):中美撞机事件,中外黑客大战 6 次高潮,网络信息安全问题涉及国家安全 政治安全,2001年2月8日,中央企业工作委员会直属的高新技术企业集团武汉邮电科学研究院被黑,首页页头被加上“这里是信息产业部邮科院的网站,但已经被黑”的字样。由于武汉邮电科学研究院在我国光纤研究领域和在武汉市的地位,其网站被黑引起了社会的广泛关注,据称也引起了国家信息部的注意。这是2001年国内第一次有影响的黑客事
6、件。2001年12月,九运会期间信息系统运作获得圆满成功,抵御数十万次黑客攻击,创下全运会史上的五个第一。仅在开幕式当天,就出现了总数达35万次的三次袭击高峰,此后平均每天有35万次的攻击。网管发现,几乎世界各地都有黑客参与攻击,其中不乏一些“颇负盛名”的俄罗斯、美国黑客。由于采用了防火墙设备,并派人24小时监控,九运会网络安然无恙,黑客们只得无功而返。,网络信息安全问题涉及国家安全 政治安全,2000年2月,日本右翼分子举行集会,企图否认南京大屠杀暴行,引起中国黑客愤慨,中国黑客连番袭击日本网站。2月8日9日,中国最大网站新浪网招致黑客长达18小时的袭击,其电子邮箱完全陷入瘫痪。2001年1
7、1月1日,国内网站新浪被一家美国黄色网站攻破,以致沾染黄污。网页维护单位已迅速将黄色网站屏蔽。新浪网站搜索引擎提供的100多条“留学生回流”相关新闻标题中,标题“中国留学生回流热”的链接被指向一家全英文的美国成人黄色网站,图片极为污秽,不堪入目。2001年11月3日,中国青年报两次被黑,北京青年报网站遭到不明黑客袭击。网站被修改为黑色底色,并挂有巴西国旗。11月4日,北京青年报网站再次被黑客攻击。据称,黑客的两次攻击都是善意的,不知道这是北京青年报的自嘲还是黑客们真是善意的,总之,我们再一次发现我们网络的脆弱,不然不知道怎样解释两天的两次善意被黑。,1996年8月17日,美国司法部的网络服务器
8、遭到“黑客”入侵,并将“美国司法部”的主页改为“美国不公正部”,将司法部部长的照片换成了阿道夫希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。1996年9月18日,黑客光顾美国中央情报局的网络服务器,将其主页由“中央情报局”改为“中央愚蠢局”。1996年12月29日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其中空军介绍、新闻发布等内容被替换成一段简短的黄色录象,且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址。2000年3月6日晚6时50分,美国白宫网站主页被黑:在白宫上空飘扬的美国国旗竟变成了骷髅头的海盗旗;在克林顿
9、与戈尔的合影中,戈尔成了独眼龙。更可笑的是,几分钟后白宫上悬挂的旗帜又摇身一变成了一美女剪影,而戈尔则变成了一个汉堡包。此后不久,主页又被黑客修改,在美国国旗位置出现了三排歪歪扭扭的红色字体:Hackers was here(黑客到此一游)。,网络信息安全问题涉及国家安全 政治安全,美国发生的案例:,CIA HOMEPAGE,DOJ HOMEPAGE,USAF,HOMEPAGE,美国被黑的WEB页面,美国历年被攻击的情况引自 ComputerEmergenceResponseTeam,CERT,网络信息安全问题涉及国家安全 经济安全,1997年12月19日至1999年8月18日:有人先后19次
10、入侵某证券公司上海分公司电脑数据库,非法操作股票价格,累计挪用金额1290万元。1998年2月25日:黑客入侵中国公众多媒体通信网广州蓝天bbs系统并得到系统的最高权限,系统失控长达15小时。为国内报道首例网上黑客案件。1998年9月22日,黑客入侵扬州工商银行电脑系统,将72万元注入其户头,提出26万元。为国内首例利用计算机盗窃银行巨款案件。1999年4月16日:黑客入侵中亚信托投资公司上海某证券营业部,造成340万元损失。1999年11月14日至17日:新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件,用户的信用卡被盗1.799万元。2000年3月6日至8日:黑客攻击实华开EC123网站
11、达16次,同一时期,号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。,国内几起典型案例:,安全事件造成经济损失(1),1988年康奈尔大学的研究生罗伯特.莫里斯(22岁)针对UNIX的缺陷设计了一个“蠕虫”程序,感染了6000台计算机,使Internet不能正常运行,造成的经济损失达1亿美元。他因此被判三年缓刑、罚款1万美元、做400小时的社区服务。1994年末,俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元。1995年,“世界头号电脑
12、黑客”凯文米特尼克被捕。他被指控闯入许多电脑网络,包括入侵北美空中防务体系、美国国防部,偷窃了2万个信用号卡和复制软件。1999年4月26日,台湾人编制的CIH病毒的大爆发,有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中,经济损失高达近12亿元。2005年,英国有500万人仅被网络诈骗就造成经济损失达5亿美元。,“头号电脑黑客”凯文 米特尼克Kevin Mitnick,1995年2月被送上法庭,“到底还是输了”。2000年1月出狱,3年内被禁止使用电脑、手机及互联网。(材料引自骇世黑客余开亮 张兵编),安全事件造成经济损失(2),2000年2月份黑客攻击的浪潮,是互连
13、网问世以来最为严重的黑客事件。三天内黑客使美国数家顶级互联网站雅虎、亚马逊、EBAY、CNN陷入瘫痪,造成直接经济损失12亿美元,造成Internet的速度降低20%,并引起股市动荡:引起美国道穷斯股票指数下降了200多点。成长中的高科技股纳斯达克股票也一度下跌了80个点。,安全事件造成的经济损失(3),2000年5月4日,“爱虫”病毒大爆发,据美国加利福尼亚州的名为“电脑经济”的研究机构发布的初步统计数据:“爱虫”大爆发两天之后,全球约有4500万台电脑被感染,造成的损失已经达到26亿美元。此后几天里,“爱虫”病毒所造成的损失还将以每天10亿美元到15亿美元的速度增加。爱虫病毒造成的损失超过
14、100亿美元!,安全事件造成的经济损失(4),在2001年7月开始发作的“红色代码”病毒造成大面积网络瘫痪,直接经济损失超过26亿美元。臭名昭著的“求职信”病毒在2001年12月爆发,产生大量病毒邮件堵塞服务器,造成损失达数百亿美元2001年5月、2001年10月至11月和2002年2至4月,我国出现了病毒感染的3次高峰。在这三个时间段中恰好是“欢乐时光”病毒、“尼姆达”病毒、“求职信”病毒和GOP等病毒的高发期。,安全事件造成的经济损失(5),2003年1月“蠕虫王”病毒使得网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元。令全世界闻风丧胆、令所有企业深恶痛绝的“冲击波”病
15、毒2003年7月发作,使得大量网络瘫痪,造成了数十亿美金的损失。2004年1月,“MyDoom”病毒发作,产生大量垃圾邮件,攻击SCO和微软网站,给全球经济造成了300多亿美元的损失,2003年8月29日,18岁美国青年杰弗里李帕森被FBI逮捕,其编写的“冲击波”蠕虫病毒自8月11日下午在因特网上传播以来,已在全球范围内感染了大约50万台电脑,造成大批电脑瘫痪和网络连接速度减慢。新华社/路透,编写病毒的黑客,编写病毒的黑客,病毒造成的损失程度,2001年计算机病毒攻击给全球造成损失130亿美元2002年电脑病毒攻击造成大约200-300亿美元损失2003年的损失则达到550亿美元2004年仅M
16、yDoom病毒的损失就高达300亿美元,恶意代码攻击的年度损失,网络安全问题涉及国家安全社会稳定,互连网上散布的虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个造谣要大的多。1999年4月,河南商都热线一个BBS,一张说交通银行郑州支行行长携巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,挤提了十个亿。网上治安问题,民事问题,人身侮辱事件来自上海,四川的举报网上赌博,网上色情,信息战敌对双方为争夺对于信息的获取权、控制权和使用权而展开的斗争。它是以计算机网络为战场,计算机技术为核心、为武器,是一场智力的较量,以攻击敌方的信息系统为主要手段,破坏敌方核心的信息系统,是现代战争
17、的“第一个打击目标”。其手段有:计算机病毒、逻辑炸弹、后门(Back Door)、黑客、电磁炸弹、纳米机器人和芯片细菌等。美国联邦调查局计算机犯罪组负责人吉姆 塞特尔曾经说:给他10个世界顶级黑客,组成一个特别小组,90天内他就可以“关掉”美国-就像关掉一台计算机一样。,网络信息安全问题涉及国家安全信息战,有组织、大规模的网络攻击预谋行为:国家级、集团级无硝烟的战争:跨国界、隐蔽性、低花费、跨领域、高技术性、情报不确定性美国的“信息战执行委员会”:网络防护中心(1999年)信息作战中心(2000年)网络攻击演练(2002年)MC02演习要害目标:金融支付中心、证券交易中心空中交管中心、铁路调度
18、中心电信网管中心、军事指挥中心,网络信息安全问题涉及国家安全信息战,因特网,安全漏洞危害在增大,信息战的威胁在增加,电力,交通,通讯,控制,广播,工业,金融,医疗,网络信息安全问题涉及国家安全信息战,信息战重要实例,1990年海湾战争,被称为“世界上首次全面信息战”,充分显示了现代高技术条件下“制信息权”的关键作用。美军通过向带病毒芯片的打印机设备发送指令,致使伊拉克军队系统瘫痪,轻易地摧毁了伊军的防空系统。多国部队运用精湛的信息技术,仅以伤亡百余人的代价取得了歼敌十多万的成果。在科索沃战争中,美国的电子专家成功侵入了南联盟防空体系的计算机系统。当南联盟军官在计算机屏幕上看到敌机目标的时候,天
19、空上其实什么也没有。通过这种方法,美军成功迷惑了南联盟,使南联盟浪费了大量的人力物力资源。同样的方法还应用到南联盟首领米洛舍维奇的头上,美军雇佣黑客闯入瑞士银行系统,调查米氏的存款情况并加以删除,从心理上给予米氏以沉重的打击。,美军19962004年对信息战的投资预计达170.23亿美元,1995年对计算机病毒武器研制的拨款为15亿美元,1996年对开发信息安全保密技术款额为10亿美元。在白宫Internet安全会议上,克林顿一次宣布拨款$900万,用于资助训练Internet安全专家和建立联邦Internet安全所,拔款$20亿用于建设网络基础设施以打击网络恐怖活动。我国打赢信息对抗的高层规
20、划?,网络信息安全问题涉及国家安全信息战,信息时代的国际形势,在信息时代,世界的格局是:一个信息霸权国家,十几个信息主权国家,多数信息殖民地国家。在这样的一个格局中,我们只有一个定位:反对信息霸权,保卫信息主权!,关注网络安全的必要性,一.网络安全概述,网络安全现状概述,导致网络安全问题的原因,导致网络信息安全问题的原因,内因:人们的认识能力和实践能力的局限性(1)设计上的问题:Internet 从一开始就缺乏安全的总体构想和设计,TCP/IP 协议是在可信环境下,为网络互联而专门设计的,缺乏安全措施的考虑。(历史造成)SYN Flood伪造源地址的半开扫描,DoS(2)实现上的问题:Wind
21、ows 3.1 300万行代码,Windows 2000 5000万行代码 Ping of Death(死亡之ping)Ping-t-l 65550 对方IP 人为的后门和设计中的 Bug(3)配置上的问题:默认的服务(4)管理上的问题:弱的口令,操作系统的安全问题,19972000操作系统漏洞统计,操作系统的安全问题,2001年操作系统漏洞统计,We will demonstrate that 62%of all systems can be penetrated in less than 30 minutes.More than half of all attacks will come
22、from inside your own organization.from TNN.com,请看抓“肉鸡”过程,导致网络信息安全问题的原因,外 因,外 因,黑客在网上的攻击活动每年以十倍速增长,美国每年因黑客而造成的经济损失近百亿美元,世界著名的黑客组织及其标志29A西班牙的黑客组织,其成员如下:,名字 国家Benny捷克GriYo西班牙LordJulus罗马尼亚Mandragore法国Super西班牙Tcp 西班牙TheMentalDriller西班牙VirusBuster西班牙,TOPDEVICEASMMOEBIUS,ZULUSnakebasket,來源:CSI/FBI Computer
23、 Crime Survey,March 1998.,外国政府竞争对手黑客不满的雇员,导致网络信息安全问题的原因,国内的另一个统计:,操作系统漏洞,操作系统失效,计算机病毒破坏,来自内部人员破坏,自然灾害,来自外部的破坏,原因不明,电源系统失效,管理人员失误造成的损害,黑客常用攻击手段及防御措施,个人用户忠告及建议,内容提要,网络安全概述,单位网络安全措施推荐,F,常见攻击手段及防御措施,二.黑客常用攻击手段及防御措施,网络攻防技术基础,系统安全性配置指南,局域网,数据库服务器,交换机,磁盘阵列,路由器,网络服务器,WWW 服务器,基带Modem,INTERNET,Modem池,电话网,ISDN
24、、ADSL接入设备,无线网,Modem,无线接入设备,无线接入Modem,Cable Modem,Cable接入设备,PCMCIA,无线接入PCMCIA,加入Internet方式,10101,101010100110101100010111011010010010,101010,传输媒介,网卡,网络信息传输过程示例,两个计算机交换文件,文件传送模块,计算机 1,计算机 2,文件传送模块,只看这两个文件传送模块好像文件及文件传送命令是按照水平方向的虚线传送的,把文件交给下层模块进行发送,把收到的文件交给上层模块,再设计一个通信服务模块,文件传送模块,计算机 1,计算机 2,文件传送模块,只看这两
25、个通信服务模块好像可直接把文件可靠地传送到对方,把文件交给下层模块进行发送,把收到的文件交给上层模块,通信服务模块,通信服务模块,再设计一个网络接入模块,文件传送模块,计算机 1,计算机 2,文件传送模块,通信服务模块,通信服务模块,网络接入模块,网络接入模块,通信网络,网络接口,网络接口,网络接入模块负责做与网络接口细节有关的工作例如,规定传输的帧格式,帧的最大长度等。,TCP/IP协议体系结构,TCP协议的三次“握手”,TCP协议的四次“挥手”,分布式进程通信的c/s模式,客户端Client,服务器端Server,常见攻击手段及防御措施,二.黑客常用攻击手段及防御措施,网络攻防技术基础,系
26、统安全性配置指南,成功的攻击=目的+手段+系统漏洞,攻击的目的,获取控制权好奇、恶作剧、证明实力执行进程获取文件和传输中的数据获取超级用户权限、越权使用资源对系统进行非法访问进行不许可操作、越权使用拒绝服务涂改信息、暴露信息,G.Mark Hardy,常用攻击手段,漏洞扫描,特洛伊木马,网络嗅探(Sniffer)技术,拒绝服务和分布式拒绝服务,口令猜测,欺骗技术,缓冲区溢出,常用攻击工具,标准的TCP/IP工具(ping,telnet)端口扫描和漏洞扫描(ISS-Safesuit,Nmap,portscaner)网络包分析仪(snifferPro,network monitor)口令破解工具(
27、lc4,fakegina)木马(BO2k,冰河,),攻击的三个阶段,准备阶段:寻找目标,收集信息实施阶段:获得初始的访问控制权与特权善后工作:清除踪迹,留下后门,G.Mark Hardy,攻击的五个步骤,一次成功的攻击,都可以归纳成基本的五步骤,但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”:1、隐藏IP2、踩点扫描3、获得系统或管理员权限(入侵攻击过程)4、种植后门5、在网络中隐身,!,典型的网络攻击过程示意图,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,被动攻击:(破坏保密性)消息内容分析通信量分析,主动攻击中断(
28、破坏可用性)篡改(破坏完整性)伪造(破坏真实性),典型的网络攻击方式和分类,!,利用 Windows NT/2000 空会话,原理利用 Windows NT/2000 对NetBIOS的缺省信赖通过 TCP端口139 返回主机的大量信息实例如果通过端口扫描获知TCP端口139已经打开net use 211.87.194.121IPC$“口令”/USER:“用户名 在攻击者和目标主机间建立连接net use z:211.87.194.121c$copy abc.exe 211.87.194.121admin$system32net time 211.87.194.121 at 211.87.19
29、4.121 21:05 abc.exe Windows 2000还有另一个SMB端口445,针对Win系统的网络攻击术常识,!,常用攻击手段分别介绍,漏洞扫描,特洛伊木马,网络嗅探(Sniffer)技术,拒绝服务(DOS)和分布式拒绝服务,口令猜测,欺骗技术,缓冲区溢出,常用攻击手段漏洞扫描,扫描类型地址扫描,XXX.XXX.XXX.XXX,扫描类型端口扫描,主机可使用的端口号为065535,前1024个端口是保留端口,这些端口被提供给特定的服务使用。常用的服务都是使用标准的端口,只要扫描到相应的端口开着,就能知道目标主机上运行着什么服务。然后入侵者才能针对这些服务进行相应的攻击。,扫描类型漏
30、洞扫描,漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询,通过漏洞扫描,可以发现系统中存在的不安全的地方。例如:操作系统漏洞弱口令用户应用程序漏洞配置错误等,高级扫描术慢速扫描,如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话,这些扫描的记录就会淹没在其他众多杂乱的日志内容中使用慢速扫描的目的就是骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长,但是这是一种较难发现的扫描,高级扫描术乱序扫描,普通的扫描器在扫描远程系统的端口时,对端口扫描的顺序是有序的,这种按照一定的顺序扫描端口的方式很容易被入侵检测系统发觉。乱序扫描的端口号的顺序是随机生产的,这种方式能有效
31、的欺骗某些入侵检测系统而不会被入侵检测系统发觉,扫描器,SATANSAINTSSSStrobeX-Scan,ISS(安氏)PingerPortscanSuperscan流光,扫描工具:X-Scan-v3.2扫描内容包括:远程操作系统类型及版本标准端口状态及端口Banner信息SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户,NT服务器NETBIOS信息注册表信息等。,扫描器实例:X-Scan,反扫描对策,禁止/关闭不必要的服务/端口屏蔽敏感信息合理配置防火墙和IDS
32、陷阱技术Honeypot 僚机策略,缓冲区溢出漏洞(OOB),什么是缓冲区溢出?简单地说,缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据,导致数据越界,结果覆盖了原先的堆栈数据。缓冲区溢出可以:使主机系统瘫痪;获取系统的登录账号;获得系统的超级用户权限。,暴力破解系统用户密码,使用简单字典文件,利用工具软件GetNTUser可将管理员密码破解出来。,暴力破解邮箱密码,邮箱的密码一般需要设置到八位以上,否则七位以下的密码容易被破解。尤其七位全部是数字,更容易被破解。案例 电子邮箱暴力破解:工具软件:黑雨POP3邮箱密码暴力破解器 ver2.3.1,木 马,木马是一种可以驻
33、留在对方系统中的一种程序。木马一般由两部分组成:服务器端和客户端。驻留在对方服务器的称之为木马的服务器端,远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。木马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。,木马特洛伊木马,木马来自于“特洛伊木马”,英文名称为Trojan Horse。传说希腊人围攻特洛伊城,久久不能攻克,后来军师想出了一个特洛伊木马计,让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下,让敌人将其作为战利品拖入城中,到了夜里,特洛伊木马内的士兵便趁
34、着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来,与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和此类似,故而得名。,是登录屏还是特洛伊木马?,G.Mark Hardy,吃惊吗!,G.Mark Hardy,GINA木马!,木马的分类,远程访问型特洛伊木马键盘记录型特洛伊木马密码发送型特洛伊木马破坏型特洛伊木马代理木马FTP型特洛伊木马网页型木马,常见的Trojans,木马的植入方式,利用系统漏洞安装,电子邮件附件、浏览网页、FTP文件下载、QQ等方式传播,手工放置,木马的查杀,安装杀毒软件和防火墙检查INI文件查看win.ini中的“run=”、“load=”查看sy
35、stem.ini中的“shell=explorer.exe 程序名”后面所加载的程序。,木马的查杀,检查注册表:在注册表中,最有可能隐藏木马的地方是HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESOFTWAREMicrosoftWind
36、owsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce,检查注册表其他可能隐藏木马的注册表项还有:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersi
37、onRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceExHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionwindowsLoadHKEY_CURRENT_USERSOFTW
38、AREMicrosoftWindows NTCurrentVersionwindowsRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows AppInit_DLLs,木马的查杀,检查服务 开始程序管理工具服务检查系统进程 系统信息软件环境正在运行任务(win98)、Pstools(winnt/2k)检查开放端口 Netstat an(win98)、Fport(winnt/2k)监视网络通讯 防火墙、网络监视器(win2k)、Sniffer对可疑文件的分析 W32Dasm、IDA、Soft-ice,木马的查杀,木
39、马的查杀,木马端口列表:http:/,网络监听/嗅探(Sniffer),定义 嗅探器(Sniffer)是能够从网络设备上捕获网络报文的一种工具Sniffer名称的来由 通用网络公司开发的一个程序NAI,监听工具pswmonitor,该工具软件功能比较强大,可以监听的一个网段所有的用户名和密码,而且还可以指定发送的邮箱,设置的界面如图所示。,请演示:pswmonitor监听工具,GW(Server),1 C打开IP转发功能,2 C发送假冒的arp包给B,声称自己是GW的IP地址,3 B给外部发送数据,首先发给C,4 C再转发给GW,普通用户B,嗅探者C,ARP欺骗+Sniffer(一种中间人攻击
40、),交换环境中的嗅探器,Sniffer 危害,嗅探器能够捕获口令 能够捕获专用的或者机密的信息危害网络邻居的安全 获取更高级别的访问权限 获得进一步进行攻击需要的信息,网络监听安全对策,规划网络 合理分段,采用交换机、路由器、网桥等设备,相互信任的主机处于同一网段采用加密会话 对安全性要求高的数据通讯进行加密传输 例如采用目前比较流行的SSL协议以及使用SSH这样的安全产品传送敏感使用一次性口令技术(OTP)为了防止ARP欺骗,使用永久的ARP缓存条目使用检测工具 TripWar Anti-Sniffer(L0pht,not free),拒绝服务攻击(DOS),拒绝服务攻击的简称是:DoS(D
41、enial of Service)攻击,凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击,其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是:计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。,TCP SYN AttackPing of Death,消耗系统资源(带宽、内存、队列、CPU)系统宕机阻止授权用户正常访问网络(慢、不能连接、没有响应),CPU,拒绝服务攻击DOS,!,拒绝服务攻击,为什么要进行Dos攻击放
42、置木马需要重启使用IP欺骗,使冒用主机瘫痪使得被攻击的目标主机的日志系统失效常见DoS攻击种类死亡之Ping,land,teardrop,SYN floodICMP:smurf,拒绝服务:LAND 攻击,攻击者172.18.1.1,目标204.241.161.12,欺骗性的 IP 包源地址 204.241.161.12 Port 139目的地址 204.241.161.12 Port 139TCP Open,G.Mark Hardy,攻击者172.18.1.1,目标204.241.161.12,IP包欺骗源地址 204.241.161.12 Port 139目的地址 204.241.161.1
43、2 Port 139包被送回它自己,G.Mark Hardy,拒绝服务:LAND 攻击,LAND攻击防范:代理类的防火墙,攻击者172.18.1.1,目标204.241.161.12,IP包欺骗源地址 204.241.161.12 Port 139目标地址 204.241.161.12 Port 139TCP Open,防火墙,防火墙把有危险的包阻隔在网络外,G.Mark Hardy,TCP 同步泛滥,攻击者172.18.1.1,目标192.0.2.1,欺骗性的 IP 包源地址不存在目标地址是 192.0.2.1TCP Open,G.Mark Hardy,TCP SYN 泛滥,攻击者172.1
44、8.1.1,目标192.0.2.1,同步应答响应源地址 192.0.2.1目标地址不存在TCP ACK,G.Mark Hardy,TCP SYN 泛滥攻击的安全对策,G.Mark Hardy,法一:缩短SYN Timeout时间 由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。法二:设置SYN Cookie 就是给每一个请求连接的IP地址分配一个
45、Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。,Smuff 攻击,第一步:攻击者向被利用网络A的广播地址发送一个ICMP 协议的echo请求数据报,该数据报源地址被伪造成10.254.8.9,第二步:网络A上的所有主机都向该伪造的源地址返回一个echo响应,造成该主机服务中断。,常见的拒绝服务,分布式拒绝服务(DDOS),以破坏系统或网络的可用性为目标常用的工具:Trin00TFN/TFN2K Stacheldraht很难防范伪造源地址,流量加密很难跟踪,client,target,DDoS,分布式拒绝服务攻击步骤1,Scan
46、ningProgram,不安全的计算机,Hacker,Internet,Hacker,被控制的计算机(代理端),黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。,2,Internet,分布式拒绝服务攻击步骤2,Hacker,黑客在得到入侵计算机清单后,从中选出满足建立网络所需要的主机,放置已编译好的守护程序,并对被控制的计算机发送命令。,3,被控制计算机(代理端),MasterServer,Internet,分布式拒绝服务攻击步骤3,Hacker,Using Client program,黑客发送控制命令给主机,准备启动对目标系统的攻
47、击,4,被控制计算机(代理端),TargetedSystem,MasterServer,Internet,分布式拒绝服务攻击步骤4,Internet,Hacker,主机发送攻击信号给被控制计算机开始对目标系统发起攻击。,5,MasterServer,Targeted System,被控制计算机(代理端),分布式拒绝服务攻击步骤5,TargetedSystem,Hacker,目标系统被无数的伪造的请求所淹没,从而无法对合法用户进行响应,DDOS攻击成功。,6,MasterServer,User,Internet,被控制计算机(代理端),分布式拒绝服务攻击步骤6,分布式拒绝服务攻击,DDOS攻击的
48、效果:由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击,这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。,分布式拒绝服务攻击,预防DDOS攻击的措施确保主机不被入侵且是安全的;周期性审核系统;检查文件完整性;优化路由和网络结构;优化对外开放访问的主机;在网络上建立一个过滤器(filter)或侦测器(sniffer),在攻击信息到达之前阻挡攻击信息。,对付 DDoS 攻击的方法,1定期扫描现有的网络主节点,清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干
49、节点的计算机因为具有较高的带宽,是黑客利用最佳位置,因此对这些主机本身加强主机安全是非常重要的。2在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样保护真正的主机不被瘫痪。,对付 DDoS 攻击的方法,3用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿。4充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被
50、攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。,对付 DDoS 攻击的方法,5使用Inexpress、Express Forwarding过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包 Source IP 和 Routing Table 做比较,并加以过滤。6使用Unicast Reverse Path Forwarding检查访问者的来源。它通过反向路由表查询的方法检查
