《互联网安全攻防分析.ppt》由会员分享,可在线阅读,更多相关《互联网安全攻防分析.ppt(77页珍藏版)》请在三一办公上搜索。
1、互联网安全攻防案例分析与网络安全技术,主讲:郭亮安全服务部中国电信集团系统集成公司,学习目标,议程,安全攻防案例分析当前黑客与网络安全事件的特点网络安全事件攻防案例分析常见网络安全技术全网防御技术黑客侦查与追踪技术DDoS防御技术SQL 注入/XSS 跨站脚本日常安全维护应急处理方法,当前黑客与网络安全事件的特点,黑客可以轻易地施行跨网、跨国攻击复合趋势攻击往往通过一级或者多级跳板进行大规模事件出现日益频繁传播速度越来越快对终端的攻击比率越来越高攻击事件的破坏程度在增加,当前黑客与网络安全事件的特点,黑客可以轻易地施行跨网、跨国攻击攻击、入侵工具和工具包数量大量增加,可轻易从互联网上获取,使用
2、操作更加简单方便具有安全知识和”专业”的人员的数量在增加复合趋势黑客、病毒和垃圾邮件技术整合在一个蠕虫当中黑客组合攻击开始出现攻击往往通过一级或者多级跳板进行黑客技术水平在增强有组织、有计划犯罪事件再增加,防止追查,当前黑客与网络安全事件的特点,大规模事件出现日益频繁大规模网络蠕虫事件(“冲击波”、“震荡波”、红色代码F变种等)大量垃圾邮件的出现传播速度越来越快利用系统漏洞,进行自动扫描由于浏览网页或查看E-Mail而受到感染或攻击DDoS攻击,当前黑客与网络安全事件的特点,对终端的攻击比率越来越高网上游戏、网上银行和电子商务的增加针对终端设计的黑客工具和木马补丁与升级不够及时缺乏安全防范意识
3、攻击事件的破坏程度在增加,典型网络安全案件分析,木马与“网银大盗”匿名电子邮件转发溢出攻击与DCOM RPC漏洞NetBios与IPCARP欺骗DDoS攻击SQL注入,木马与“网银大盗”,冰河 国产木马,有G_Client.exe,G_server.exe二个文件。客户端界面,木马与“网银大盗”,“网银大盗”网上银行构架,木马与“网银大盗”,“网银大盗”网银大盗II(Troj_Dingxa.A)现象盗取网上银行的帐号、密码、验证码等。生成文件:%System%下,svch0stexe 修改注册表:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent
4、VersionRun下创建:svch0st.exe=%System%svch0st.exe taskmgr.exe=%System%svch0st.exe,木马与“网银大盗”,网银大盗II(Troj_Dingxa.A)原理 木马程序,非主动传播,主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时,间接感染用户电脑 解决办法1、终止病毒进程svch0st.exe 2、注册表修复3、删除病毒释放的文件svch0st.exe 4、配置防火墙和边界路由器,木马与“网银大盗”,“网银大盗”案例,多媒体木马,Internet,种了木马的电脑,传送信息,黑客,摄像头语音设备,Google
5、 Search“inurl:ViewerFrame?Mode=”.Motion&Language=1,匿名电子邮件转发,漏洞名称:Exchange Server匿名转发漏洞原理,匿名电子邮件转发,案例深圳市二十多个邮件服务器,Internet,某数据中心,台湾,日本,匿名电子邮件转发,造成危害网络堵塞给利用于反动宣传正常邮件服务器被RBL组织封闭解决方法打补丁关闭该服务或端口25,110,溢出攻击与DCOM RPC漏洞,溢出攻击原理,溢出攻击与DCOM RPC漏洞,DCOM RPC 漏洞原理,溢出攻击与DCOM RPC漏洞,造成的危害-冲击波,MY DOOM案例分析,邮件蠕虫:MY DOOM现
6、象 通过电子邮件附件传播,设定向和 发起DDoS攻击原理,ARP 欺骗,ARP 地址解析协议ARP协议定义了两类基本的消息:1)请求信息:包含自己的IP地址、硬件地址和请求解析的IP地址;2)应答信息:包含发来的IP地址和对应的硬件地址。,ARP 欺骗,2、原理,ARP 欺骗,防范ARP欺骗的方法交换机控制路由器隔离防火墙与代理服务器,DDoS攻击,原理,DDoS攻击方法,死亡之ping(ping of death)泪滴(teardrop)UDP洪水(UDP flood)SYN洪水(SYN flood)Land攻击Smurf攻击Fraggle攻击,常用DDoS攻击工具,ThankgodSYN
7、Flooder独裁者TrinooTFN2KStacheldraht,SQL注入,Web攻击模拟演示,IDS,交换机,防火墙,Web服务器,DB服务器,正常访问流程,SQL注入,Web攻击模拟演示,SQL注入攻击流程,IDS,交换机,防火墙,Web服务器,DB服务器,常见网络安全技术,全网防御技术黑客侦查与追踪技术DDoS防御技术应用层攻击防御(SQL 注入、XSS脚本),黑客侦查与追踪技术,黑客侦查与追踪系统,黑客侦查与追踪系统,系统组成 1、现场勘查分析 2、服务器监控 3、远程追踪,黑客侦查与追踪系统,原理,黑客侦查与追踪系统,远程追踪,DDoS攻击防御技术,当前DDoS防御技术SYN代理
8、SYN网关DDoS防御网关,DDoS攻击防御方法,SYN中继(代理)工作原理,SYN中继(代理),1)H,FW,2)H,SYN/ACK,FW,3)H,ACK,FW,FW,S,4),FW,S,FW,S,SYN,SYN/ACK,ACK,5),6),SYN,SYN中继(代理),存在问题FW必须建立一个很大的链表来储存所有SYN请求,当有大量的SYN攻击包到来,FW一样会崩溃。保护了服务器,堵死了防火墙,DDoS攻击防御方法,SYN网关工作原理,SYN网关,SYN网关,快速将连接试呼从S待办队列移开,避免服务器待办队列堵塞 定时器超时后,向S发送连接RST(复位)取消。存在问题 A、占用服务器缓冲 B
9、、防火墙同样要储存SYN请求链接,攻击强烈时,同样会堵死防火墙,DDoS防御技术,防火墙、DDoS防御网关对抗DDOS攻击的三层防御措施(一)连接指纹鉴别(二)自适应“催命”算法(三)恶性服务请求攻击的防御,连接指纹鉴别工作原理,0积累识别技术,属国际专利,连接指纹鉴别工作原理,连接指纹鉴别工作原理,A、SN序列号形成算法 SN=f(源、目标IP,源、目标端口,其它信息,秘密字)B、只有当主机H回答包所携带的SN号经验证合法后,才须建立连接代理。2、优点 由于在未确认SYN请求的合法性前,无须建立连接队列,所以这种方法具备以下优点:A、防火墙无须耗费内存资源 B、没有缓冲溢出的危险 C、在NA
10、T模式下不占用防火墙的连接数,自适应“催命”算法,针对性 针对通过高层编程(固定)进行的攻击,如socket编程中的“connect”函数。这种攻击也能通过防火墙的指纹合法性认证而建立起连接。但该攻击的效率较低,同时占用黑客大量主机资源。工作原理 防火墙中建立每条连接都有一个连接超时值Age(又叫生命期),一般每半秒钟减一,防火墙会监控系统建立的连接数量,按一定算法算出(加快了)的递减步长STEP,降低某些可疑连接的生命期,加快这些连接超时。,恶性服务请求攻击的防御,针对性 一般SQL数据库访问会占用服务器较多资源,黑客会分析web页面上耗费资源的分支请求,编写程序不停调用该分支请求,造成SQ
11、L服务器响应不过来。工作原理 给管理员一个配置接口,管理员自己可以配置一些针对性统计策略,当在一定时间内某IP使用某SQL语句数量超过某一阀值时,防火墙会拒绝该IP的访问。,其它措施,对于一些固定IP的恶性攻击防火墙会对该IP进行自动锁定,超过一定时间,一般为180秒后再进行开锁。,黑客,FW,server,DDOS网关,应用层攻击防御,WEB应用安全概述针对WEB攻击风险的产生跨站脚本攻击SQL注入攻击,针对WEB的攻击,Web Server,身份认证,数据字典,权限/角色,敏感信息,系统文件获取,缓冲区溢出,DOS攻击,DB Server,防火墙,Web风险的产生,风险的产生,80%基于W
12、EB的应用或多或少都存在安全问题,其中很大一部分是相当严重的问题 防火墙、IDS或者使用SSL协议对此毫无用处不仅仅是开放在Internet的Web存在风险更多的 ERP/CRM/MSS 系统也都使用了Web应用程序,跨站脚本攻击简介(1),由于WEB应用程序没有对用户的输入进行严格的过滤和转换,就导致在返回页面中可能嵌入恶意代码。远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意HTML和脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现,因此这种攻击能在一定程度上隐藏身份,跨站脚本攻击简介(2),什么是跨站脚本攻击XSS又叫CSS(Cross Site Script),跨站脚本
13、攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。,跨站脚本攻击简介(3),跨站攻击的危害为了搜集用户信息,攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、ActiveX或Flash以欺骗用户窃取 Cookie 劫持帐户 执行 ActiveX 执行 Flash 内容 强迫您下载软件对硬盘和数据采取操作,跨站脚本攻击简介(4),由于XSS漏洞很容易在大型网站中发现,在黑客圈内它非常流行。FBI.gov
14、、CNN.com、T、Ebay、Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes都有这样那样的XSS漏洞。在商业产品中,平均每个月能够发现10-25个XSS漏洞常见存在漏洞的页面搜索引擎返回结果页面根据用户输入。登录页,存储用户帐户在数据库、Cookie等和以后写入用户名出客户端。Web 表单处理信用卡信息。,SQL注入攻击简介,SQL注入攻击简介,SQL注入攻击(3),Web服务器,身份认证信息,权限/角色,敏感应用数据,系统级文件存取,缓冲区溢出,DOS攻击,数据字典,DB服务器,SQL注入攻击示意,WEB应用深度防御,实时告警,1、建立整体监控管理系
15、统2、关注你负责的系统 把所管理的网站系统(或者监控系统)设为浏览器的首页,每天至少看三次你所管理的系统,残酷地说,管理员没有节假日,因为节假日恰恰是攻击的高发时段。,日常安全维护,3、定期备份数据库和供下载的文档定期备份数据库和上传的文件,如果不是很经常更新,访问量不大,大概每周备份一次,反之每天一次,不要怕麻烦,这个制度很有必要。,日常安全维护,4、经常用FTP登陆,查看上传目录下的文件格式上传目录下不应该有asp,cer,cdx,com,exe,bat之类的文件.一般情况下,允许上传的文件格式有:图片文件:JPG,GIF,BMP,PNG,PSD,WMF,PCXOFFICE文档:DOC,X
16、LS,PPT,MDB文本文件:TXT,RTF压缩文件:RAR,ZIP,ISO,日常安全维护,5、掌握最新的补丁以及漏洞信息经常关注官方网站的补丁发布,及时修改。这里推荐一个带漏洞搜索引擎的漏洞公布网址:http:/,日常安全维护,6、设置足够强壮的密码管理的帐号密码应与管理员个人常用的不同,以防他人从别处得到网站的密码。如果有多个管理员,要保证所有人的密码都是“健壮的”,即不能像“123456”这样容易猜测,必须是数字、字母和符号的组合。这点很重要,不然所有的安全措施都是徒劳!,日常安全维护,日常安全维护,一、部署专用网络安全设备:防火墙 漏洞扫描 入侵检测系统 Anti DDoS、流量监控二
17、、网站系统的专用保护方法 本地和远程:本地监控、远程建立统计监控平台;定时和触发:根据等级设定触发时间;比较方法:文件大小、数字签名;恢复方式:本地恢复、远程恢复;备份库的安全:隐藏备份库;三、网站保护的缺陷 保护软件通常都是针对静态页面而设计,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。,应急处理方法,应急事件处理 四 步曲1、先找专家 2、立刻恢复 3、分析源头 4、修补漏洞,1、先找专家 a、联系专业安全服务单位 b、联系专业安全组织 2、立刻恢复 用备份文件替换被篡改的文件,同时注意保存证据 下载被黑的网站以保存相关证据。然后
18、用平时备份的资 料替代被篡改的数据,及时恢复系统功能,最大限度降低不良影响。(主要指网站系统),应急处理方法,3、分析源头 查看监控系统的分析报告,事件终端设备日志。4、修补漏洞 根据发现的问题,修补漏洞,一定要记得事后加强监控。,应急处理方法,TIPs1、文件时间一致原则 简单的说就是保持大部分文件的上传时间一致(数据库之类频繁读写的文件除外)。具体做法是一次上传所有文件,这里建议就算修改了一个文件也重新上传一下所有网页,这样做主要是方便查找木马。,应急处理方法,TIPs2、文件对比法 这里介绍一个简单的文件对比工具Beyond Compare,应急处理方法,应急处理方法,应急处理方法,应急处理方法,TIPs3、软件测试法某些“傻瓜化的”黑客工具能提供一个初步的测试,比如Domain3.2软件的使用十分简单,比如上传漏洞,只要填入上传文件的地址就可以了,应急处理方法,SQL注入检测,软件检测结果仅供参考,并不能保证绝对没有问题,应急处理方法,TIPs4、系统漏洞修复后,如需保留旧版,要记得删除旧版的后台。现在搜索引擎的技术已十分成熟,别有用心的人很容易找到这些薄弱点进行破坏。,应急处理方法,Q/ACnnog.org/Nsp-sec,
