资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络,攻击与防御,*,2024/9/12,网络攻击与防御,1,2024/9/12,网络攻击与防御,1,内容安排,1.1,网络安全基础知识,1.2,网络安全的重要性,1.3,网络安全的主要威胁因素,1.4,网络攻击过程,1.5,网络安全策略及制订原则,1.6,网络安全体系设计,1.7,常用的防护措施,1.8,小结,2024/9/12,网络攻击与防御,2,2024/9/12,网络攻击与防御,2,1.1,网络安全基础知识,“,安全,”,的含义(,Security or Safety?),平安,无危险;保护,保全;,远离危险的状态或特性;,计算机安全,保护计算机系统,使其没有危险,不受威胁,不出事故。,2024/9/12,网络攻击与防御,3,网络安全定义,网络安全,的一个通用定义指网络信息系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的破坏、更改、泄露,系统能连续、可靠、正常地运行,服务不中断。,网络安全,简单的说是在网络环境下能够识别和消除不安全因素的能力 。,2024/9/12,网络攻击与防御,4,网络安全定义,网络安全在不同的环境和应用中有不同的解释。,运行系统安全。包括计算机系统机房环境的保护,法律政策的保护,计算机结构设计安全性考虑,硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等。本质上是保护系统的合法操作和正常运行。,网络上系统信息的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治和数据加密等。,网络上信息传播的安全。包括信息过滤等。它侧重于保护信息的保密性、真实性和完整性。避免攻击者进行有损于合法用户的行为。本质上是保护用户的利益和隐私。,2024/9/12,网络攻击与防御,5,2024/9/12,网络攻击与防御,5,网络安全的基本需求,可靠性,可用性,保密性,完整性,不可抵赖性,可控性,可审查性,真实性,机密性,完整性,抗抵赖性,可用性,2024/9/12,网络攻击与防御,6,2024/9/12,网络攻击与防御,6,2024/9/12,网络攻击与防御,7,网络安全内容,这里的网络安全主要指通过各种计算机、网络、密码技术和信息安全技术,保护在公有通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力,不涉及网络可靠性、信息可控性、可用性和互操作性等领域。,网络安全的主体,是保护网络上的数据和通信的安全。,数据安全性,是一组程序和功能,用来阻止对数据进行非授权的泄漏、转移、修改和破坏。,通信安全性,是一些保护措施,要求在电信中采用保密安全性、传输安全性、辐射安全性的措施,并依要求对具备通信安全性的信息采取物理安全性措施。,2024/9/12,网络攻击与防御,8,2024/9/12,网络攻击与防御,8,1.2,网络安全的重要性,随着网络的快速普及,网络以其开放、共享的特性对社会的影响也越来越大。,网络上各种新业务的兴起,比如电子商务、电子政务、电子货币、网络银行,以及各种专业用网的建设,使得各种机密信息的安全问题越来越重要 。,计算机犯罪事件逐年攀升,已成为普遍的国际性问题。随着我国信息化进程脚步的加快,利用计算机及网络发起的信息安全事件频繁出现,,我们,必须采取有力的措施来保护计算机网络的安全。,2024/9/12,网络攻击与防御,9,2024/9/12,网络攻击与防御,9,信息化与国家安全,信息战,“,谁掌握了信息,控制了网络,谁将拥有整个世界。,”,美国著名未来学家阿尔温,.,托尔勒,“,今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家。,”,美国总统克林顿,“,信息时代的出现,将从根本上改变战争的进行方式。,”,美国前陆军参谋长沙利文上将,2024/9/12,网络攻击与防御,10,我国互联网网络安全环境,(CNNIC-10.6),截至,2010,年,6,月底,中国网民数量达到,4.2,亿,半年有,59.2%,的网民遇到过病毒或木马攻击,半年有,30.9%,的网民账号或密码被盗过,网络安全问题仍然制约着中国网民深层次的网络应用发展,2024/9/12,网络攻击与防御,11,2024/9/12,网络攻击与防御,11,网络安全现状(续),恶意代码肆虐,病毒数量爆炸式增长,据卡巴斯基实验室数据显示,在过去的,15,年(,1992 - 2007,)间,发现了约,200,万个新恶意软件,而仅在,2008,和,2009,年两年,就发现了超过,3000,万个新恶意软件。,2024/9/12,网络攻击与防御,12,卡巴斯基实验室收集到的恶意程序总量,2024/9/12,网络攻击与防御,13,近十年主要漏洞发布与蠕虫爆发时间间隔表,蠕虫名称,漏洞发布时间,爆发时间,时间间隔,Ramen,06/23/2000,01/18/2001,185,天,Sadmind/IIS,12/14/1999,05/08/2001,210,天,CodeRed,红色代码,04/06/2001,07/19/2001,104,天,Nimda,尼姆达,05/15/2001,09/18/2001,125,天,Slapper,07/30/2002,09/04/2002,45,天,Blaster,冲击波,07/16/2003,08/11/2003,25,天,Sasser,震荡波,04/13/2004,04/30/2004,17,天,Zotob,08/09/2005,08/16/2005,7,天,Mocbot,魔波,08/08/2006,08/14/2006,6,天,MyInfect,麦英,04/03/2007,04/01/2007,-1,天,Conficker,10/23/2008,11/07/2008,15,2024/9/12,网络攻击与防御,14,近十年主要漏洞发布与蠕虫爆发时间间隔表,2024/9/12,网络攻击与防御,15,2024/9/12,网络安全漏洞库的研究,15,安全漏洞的威胁,漏洞导致安全威胁,近年来,计算机病毒、木马、蠕虫和黑客攻击等日益流行,对国家政治、经济和社会造成危害,并对,Internet,及国家关键信息系统构成严重威胁。绝大多数的,安全威胁,是利用系统或软件中存在的,安全漏洞,来达到破坏系统、窃取机密信息等目的,由此引发的安全事件也层出不穷。如,2009,年,暴风影音漏洞,导致了大规模的断网事件,,2010,年,微软极光漏洞,导致,Google,被攻击事件,。,2024/9/12,网络攻击与防御,16,0 day,漏洞,0 day,漏洞,又称零日漏洞,指在安全补丁发布前被了解和掌握的漏洞信息。利用,0 day,漏洞的攻击称为,0 day,攻击。,2006,年,9,月,27,日,微软提前发布,MS06-055,漏洞补丁,修补了一个严重等级的,IE,图像处理漏洞。事实上,这个漏洞在当时属于零日漏洞,因为在微软公布补丁之前一个星期就已经出现了利用这个漏洞的网马。,谁在使用,0 day,漏洞:,安全部门、渗透测试人员、黑客、甚至是蠕虫,2024/9/12,网络攻击与防御,17,网络安全现状(续),攻击者需要的技术水平逐渐降低,手段更加灵活,联合攻击急剧增多,攻击工具易于从网络下载,网络蠕虫具有隐蔽性、传染性、破坏性、自主攻击能力,新一代网络蠕虫和黑客攻击、计算机病毒之间的界限越来越模糊,2024/9/12,网络攻击与防御,18,网络安全现状(续),网络攻击趋利性增强、顽固性增加,木马类病毒的利益威胁最为严重;,病毒传播的趋利性日益突出;,病毒的反杀能力不断增强;,网络攻击的组织性、趋利性、专业性和定向性继续加强,地下产业链逐步形成。,2024/9/12,网络攻击与防御,19,熊猫烧香案主犯李俊获刑四年,2007,年,9,月,24,日,湖北省仙桃市人民法院公开开庭审理了倍受社会各界广泛关注的被告人李俊、王磊、张顺、雷磊破坏计算机信息系统罪一案。被告人李俊、王磊、张顺、雷磊因犯破坏计算机信息系统罪,分别被判处有期徒刑四年、二年六个月、二年、一年。,2024/9/12,网络攻击与防御,20,2024/9/12,网络攻击与防御,21,公开制作销售木马下载器网站,软件价格表,老版本,TrojanDefender,系列生成器价格,:1000,不卖小马,生成器一次买断,不管更新,我们可以给您定做生成器。只卖一家,售出后此系列软件我们将永远不做更新和出售。,新版本,HDDInjector,系列软件价格,:,V1.0,版本下载者型小马,:RMB.300,V1.0,版本下载者生成器,:RMB.2500,V1.1,版本不配置小马,只卖生成器 价格,:RMB.5000,购买方式,1.,下载站内测试程序测试效果,2.,如果您对程序感兴趣请联系购买客服购买,2024/9/12,网络攻击与防御,22,案例,“,顶狐”病毒网上银行盗窃案,2007,年,12,月,16,日,“,3.5”,特大网上银行盗窃案的,8,名主要犯罪嫌疑人全部落入法网。,8,名疑犯在网上以虚拟身份联系,纠集成伙,虽不明彼此身份,却配合密切,分工明确,有人制作木马病毒,有人负责收集信息,有人提现,有人收赃,在不到一年时间里窃得人民币,300,余万元。徐伟冲提供信息,金星通过网上购买游戏点卡,转手倒卖给湖南长沙的“宝宝”,即陈娜。因信息太多,忙不过来,金星又在网上将信息倒卖给“小胖”,“小胖”再转卖他人提现。陆瑛娜则不停地在网上购游戏点卡,她到外地制作了两张假身份证,在数家银行开了账户,忙着到苏州、昆山、常州等周边地区银行去取赃款。,2008,年,4,月,11,日,无锡市滨湖区法院对一起公安部挂牌督办的重大网络犯罪案件作出了一审判决,被告人金星 、徐伟冲 、陆瑛娜、方少宏因构成信用卡诈骗罪和盗窃罪,分别被判处十四年至三年不等的有期徒刑。,2024/9/12,网络攻击与防御,23,2024/9/12,网络攻击与防御,23,1.3,网络安全的主要威胁因素,信息系统自身安全的脆弱性,操作系统与应用程序漏洞,安全管理问题,黑客攻击,网络犯罪,2024/9/12,网络攻击与防御,24,信息系统自身的安全脆弱性,信息系统脆弱性,,指信息系统的硬件资源、通信资源、软件及信息资源等,因可预见或不可预见甚至恶意的原因而可能导致系统受到破坏、更改、泄露和功能失效,从而使系统处于异常状态,甚至崩溃瘫痪等的根源和起因。,这里我们从以下三个层面分别进行分析:,硬件组件,软件组件,网络和通信协议,2024/9/12,网络攻击与防御,25,硬件组件的安全隐患,信息系统硬件组件安全隐患多源于设计,主要表现为物理安全方面的问题。,硬件组件的安全隐患除在管理上强化人工弥补措施外,采用软件程序的方法见效不大。,在设计、选购硬件时,应尽可能减少或消除硬件组件的安全隐患,2024/9/12,网络攻击与防御,26,软件组件的安全隐患,软件组件的安全隐患来源于设计和软件工程实施中遗留问题:,软件设计中的疏忽,软件设计中不必要的功能冗余、软件过长过大,软件设计不按信息系统安全等级要求进行模块化设计,软件工程实现中造成的软件系统内部逻辑混乱,2024/9/12,网络攻击与防御,27,网络和通信协议的安全隐患,协议:指计算机通信的共同语言,是通信双方约定好的彼此遵循的一定规则。,TCP/IP,协议簇是目前使用最广泛的协议,但其已经暴露出许多安全问题。,TCP,序列列猜测,路由协议缺陷,数据传输加密问题,其它应用层协议问题,2024/9/12,网络攻击与防御,28,TCP/IP,协议簇脆弱性原因,支持,Internet,运行的,TCP/IP,协议栈最初设计的应用环境是相互信任的,其设计原则是简单、可扩展、尽力而为,只考虑互联互通和资源共享问题,并未考虑也无法兼顾解决网络中的安全问题,基于,TCP/IP,的,Internet,是在可信任网络环境中开发出来的成果,体现在,TCP/IP,协议上的总体构想和设计本身,基本未考虑安全问题,并不提供人们所需的安全性和保密性,2024/9/12,网络攻击与防御,29,操作系统与应用程序漏洞,操作系统是用户和硬件设备的中间层,操作系统一般都自带一些应用程序或者安装一些其它厂商的软件工具。,应用软件在程序实现时的错误,往往就会给系统带来漏洞。漏洞也叫脆弱性(,Vulnerability,),是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。,漏洞一旦被发现,就可以被攻击者用来在未授权的情况下访问或破坏系统,从而导致危害计算机系统安全的行为。,2024/9/12,网络攻击与防御,30,2024/9/12,网络安全漏洞库的研究,30,安全漏洞急剧增长,漏洞数量急剧增长,自,2000,年以来,每年发现的漏洞数量都在千数量级,并且不断增长,仅,2009,年一年就报告了,6601,个新漏洞。,IBM X-Force 2009 Trend and Risk Report,2024/9/12,网络攻击与防御,31,安全漏洞(以微软为例),系统安全漏洞,微软每周都有数个修正档需要更新,2008,年微软公布了,78,个漏洞补丁,微软,MS08-067,漏洞引发“扫荡波”,困境,无法知道哪些机器没有安装漏洞补丁,知道哪些机器但是找不到机器在哪里,机器太多不知如何做起,2024/9/12,网络攻击与防御,32,2024/9/12,网络攻击与防御,32,网络安全现状(续),安全漏洞数量增长较快,,0 day,攻击频繁,常用系统的安全漏洞保持递增趋势;,路由器、交换机等网络硬件设备的严重级别漏洞增多;,针对漏洞的攻击程序呈现出目的性强、时效性高的趋势,,0 day,攻击现象严重。,各类应用软件的安全漏洞尚未引起足够重视。,2024/9/12,网络攻击与防御,33,2024/9/12,33,防范中心公布漏洞情况,国家安全漏洞库,国家安全漏洞库漏洞列表(,),国家安全漏洞库一条漏洞具体信息,2024/9/12,网络攻击与防御,34,信息系统面临的安全威胁,基本威胁,威胁信息系统的主要方法,威胁和攻击的来源,2024/9/12,网络攻击与防御,35,基本威胁,安全的基本目标是实现信息的机密性、完整性、可用性。对信息系统这,3,个基本目标的威胁即是基本威胁。,信息泄漏,完整性破坏,拒绝服务,未授权访问,2024/9/12,网络攻击与防御,36,基本威胁,1,信息泄漏,信息泄漏指敏感数据在有意或无意中被泄漏、丢失或透露给某个未授权的实体。,信息泄漏包括:信息在传输中被丢失或泄漏;通过信息流向、流量、通信频度和长度等参数等分析,推测出有用信息。,2024/9/12,网络攻击与防御,37,基本威胁,2,完整性破坏,以非法手段取得对信息的管理权,通过未授权的创建、修改、删除和重放等操作而使数据的完整性受到破坏,2024/9/12,网络攻击与防御,38,基本威胁,3,拒绝服务,信息或信息系统资源等被利用价值或服务能力下降或丧失。,产生服务拒绝的原因:,受到攻击所致。攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的系统负载,从而导致系统的资源对合法用户的服务能力下降或丧失。,信息系统或组件在物理上或逻辑上受到破坏而中断服务。,2024/9/12,网络攻击与防御,39,基本威胁,4,未授权访问,未授权实体非法访问信息系统资源,或授权实体超越权限访问信息系统资源。,非法访问主要有:假冒和盗用合法用户身份攻击、非法进入网络系统进行违法操作,合法用户以未授权的方式进行操作等形式。,2024/9/12,网络攻击与防御,40,威胁信息系统的主要方法,冒充,旁路控制,破坏信息的完整性,破坏系统的可用性,重放,截收和辐射侦测,陷门,特洛伊木马,抵赖,2024/9/12,网络攻击与防御,41,威胁方法,1,冒充,某个未授权的实体假装成另一个不同的实体,进而非法获取系统的访问权利或得到额外特权,攻击者可以进行下列假冒:,假冒管理者发布命令和调阅密件;,假冒主机欺骗合法主机及合法用户,假冒网络控制程序套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源,接管合法用户欺骗系统,占用合法用户资源,2024/9/12,网络攻击与防御,42,威胁方法,2,旁路控制,攻击者为信息系统等鉴别或者访问控制机制设置旁路。,为了获取未授权的权利,攻击者会发掘系统的缺陷或安全上的某些脆弱点,并加以利用,以绕过系统访问控制而渗入到系统内部,2024/9/12,网络攻击与防御,43,威胁方法,3,破坏信息完整性,攻击者可从三个方面破坏信息到完整性:,篡改:改变信息流的次序、时序、流向、内容和形式;,删除:删除消息全部和一部分;,插入:在消息中插入一些无意义或有害信息。,2024/9/12,网络攻击与防御,44,威胁方法,4-,破坏系统可用性,攻击者可以从以下三个方面破坏系统可用性:,使合法用户不能正常访问网络资源;,使有严格时间要求的服务不能即时得到响应;,摧毁系统。如,物理破坏网络系统和设备组件使网络不可用,或破坏网络结构。,2024/9/12,网络攻击与防御,45,威胁方法,5,重放,攻击者截收有效信息甚至是密文,在后续攻击时重放所截收的消息。,2024/9/12,网络攻击与防御,46,威胁方法,6,截收与辐射侦测,攻击者通过搭线窃听和对电磁辐射探测等方法截获机密信息,或者从流量、流向、通信总量和长度等参数分析出有用信息。,2024/9/12,网络攻击与防御,47,威胁方法,7,陷门,在某个(硬件、软件)系统和某个文件中设计的,“,机关,”,,使得当提供特定的输入条件时,允许违反安全策略而产生非授权的影响,陷门通常是设计时插入的一小段程序,用来测试模块或者为程序员提供一些便利。开发后期会去掉这些陷门,可能会基于某种目的得到保留,陷门被利用,会带来严重后果,2024/9/12,网络攻击与防御,48,威胁方法,8,特洛伊木马,指一类恶意的妨害安全的计算机程序或者攻击手段。,形象的来说,是指:一个应用程序表面上在执行一个任务,实际上却在执行另一个任务。以达到泄漏机密信息甚至破坏系统的目的。,2024/9/12,网络攻击与防御,49,威胁方法,9,抵赖,通信的某一方出于某种目的而出现下列抵赖行为:,发信者事后否认曾经发送过某些消息,发信者事后否认曾经发送过的某些消息的内容,收信者事后否认曾经接受过某些消息,收信者事后否认曾经接受过某些消息的内容,2024/9/12,网络攻击与防御,50,威胁和攻击来源,内部操作不当,信息系统内部工作人员越权操作、违规操作或其他不当操作,可能造成重大安全事故。,内部管理不严造成信息系统安全管理失控,信息体系内部缺乏健全管理制度或制度执行不力,给内部工作人员违规和犯罪留下缝隙。,来自外部的威胁与犯罪,从外部对信息系统进行威胁和攻击的实体主要有黑客、信息间谍、计算机犯罪人员三种。,2024/9/12,网络攻击与防御,51,2024/9/12,网络攻击与防御,51,网络安全主要威胁来源,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,2024/9/12,网络攻击与防御,52,2024/9/12,网络攻击与防御,52,熊猫烧香,冲击波病毒,振荡波病毒,CIH,病毒,2024/9/12,网络攻击与防御,53,2024/9/12,网络攻击与防御,53,木马攻击,网站主页被黑,信用卡被盗刷,信息被篡改,2024/9/12,网络攻击与防御,54,安全管理问题,管理策略不够完善,管理人员素质低下,用户安全意识淡薄,有关的法律规定不够健全。,管理上权责不分,缺乏培训意识,管理不够严格。,缺乏保密意识,系统密码随意传播,出现问题时相互推卸责任。,2024/9/12,网络攻击与防御,55,黑客攻击,黑客(,hacker,),源于英语动词,hack,,意为,“,劈,砍,”,,引申为,“,干了一件非常漂亮的工作,”,。在早期麻省理工学院的校园俚语中,,“,黑客,”,则有,“,恶作剧,”,之意,尤指手法巧妙、技术高明的恶作剧。,他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。,网络黑客的主要攻击手法有:获取口令、放置木马、,web,欺骗技术、电子邮件攻击、通过一个节点攻击另一节点、网络监听、寻找系统漏洞、利用缓冲区溢出窃取特权等。,2024/9/12,网络攻击与防御,56,黑客起源,起源地:,美国,精神支柱:,对技术的渴求,对自由的渴求,历史背景:,越战与反战活动,马丁,路德金与自由,嬉皮士与非主流文化,电话飞客与计算机革命,中国黑客发展历史,1998,年印尼事件,1999,年南联盟事件,绿色兵团南北分拆事件,中美五一黑客大战事件,2024/9/12,网络攻击与防御,57,2024/9/12,网络攻击与防御,57,黑客分类,灰帽子破解者,破解已有系统,发现问题,/,漏洞,突破极限,/,禁制,展现自我,计算机,为人民服务,漏洞发现,- Flashsky,软件破解,- 0 Day,工具提供,- Glacier,白帽子创新者,设计新系统,打破常规,精研技术,勇于创新,没有最好,,只有更好,MS -Bill Gates,GNU -R.Stallman,Linux -Linus,善,黑帽子破坏者,随意使用资源,恶意破坏,散播蠕虫病毒,商业间谍,人不为己,,天诛地灭,入侵者,-K.,米特尼克,CIH -,陈盈豪,攻击,Yahoo -,匿名,恶,渴求自由,2024/9/12,网络攻击与防御,58,2024/9/12,网络攻击与防御,58,脆弱性程度日益增加,信息网络系统的复杂性增加,脆弱性程度,网络系统日益复杂,,安全隐患急剧增加,,为黑客创造了客观,条件,2024/9/12,网络攻击与防御,59,常见的黑客攻击及入侵技术的发展,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI,远程控制,自动探测扫描,拒绝服务,www,攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS,攻击,2005,高,2024/9/12,网络攻击与防御,60,网络犯罪,网络数量大规模增长,网民素质参差不齐,而这一领域的各种法律规范未能及时跟进,网络成为一种新型的犯罪工具、犯罪场所和犯罪对象。,网络犯罪中最为突出的问题有:网络色情泛滥成灾,严重危害未成年人的身心健康;软件、影视唱片的著作权受到盗版行为的严重侵犯;电子商务备受诈欺困扰;信用卡被盗刷;购买的商品石沉大海,发出商品却收不回货款;更有甚者,侵入他人网站、系统后进行敲诈,制造、贩卖计算机病毒、木马或其它恶意软件,已经挑战计算机和网络几十年之久的黑客仍然是网络的潜在危险。,2024/9/12,网络攻击与防御,61,网络犯罪(续),网络犯罪的类型,网络文化污染,盗版交易,网络欺诈,妨害名誉,侵入他人主页、网站、邮箱,制造、传播计算机病毒,网络赌博,教唆、煽动各种犯罪,传授犯罪方法,2024/9/12,网络攻击与防御,62,网络犯罪(续),打击网络犯罪面临的问题,互联网本身缺陷,黑客软件泛滥,互联网的跨地域、跨国界性,网上商务存在的弊端,互联网性质的不确定性,司法标准不一,2024/9/12,网络攻击与防御,63,2024/9/12,网络攻击与防御,63,攻击案例:对日网络攻击,从,2003,年,7,月,31,日晚间开始,国内一批黑客组织按约定对日本政府机关、公司和民间机构网站展开攻击,本次攻击历时五天,以宣扬,“,爱国,”,精神和发泄对日不满情绪为主要目的,通过篡改主页等技术手段,在一定程度上达到了预期目的,对日本网站造成了某些破坏,期间有十几家日本网站(包括可能是被误攻击的韩国、台湾网站)被攻击成功,页面被修改,2024/9/12,网络攻击与防御,64,对日网络攻击的调查,序号,攻击者,受害者地址,受害者单位,备注,1,云中子,www.npa.go.jp,日本警察厅,官方网站,已于,7,月,31,日,23,点恢复,2,中国黑鹰联盟,210.141.98.66,SKYNET Corporation,日本民间公司,3,Squall,211.20.51.85,台湾中华电信,数据通信分公司,不是日本目标,4,Skywalker,219.163.90.94,大王(,DAIO,),制纸株式会社,日本民间公司,5,中国黑鹰联盟,211.217.16.249,韩国大宇,(DAEWOO),INFORMATION SYSTEM BRENIC,不是日本目标,6,中国菜鸟联盟,210.141.98.66,同,2,SKYNET Corporation,日本民间公司,2024/9/12,网络攻击与防御,65,对日网络攻击的调查(续),7,双子情剑,202.226.162.149,USTK0002-082 broadgate,日本目标,8,雪落無聲,and HvTB4,202.216.236.3,Knowledge Net Works Co.,Inc.,日本目标,9,雪落無聲,202.216.246.178,Dream Train Internet Inc.,日本目标,10,网络失足男孩,61.193.33.185,NEC Corporation,日本民间公司,11,雪落无声,202.232.87.40,AIKYU Co., Ltd,日本民间公司,12,Skywalker,219.163.90.94,大王(,DAIO,),制纸株式会社,日本民间公司,13,星火网络,218.224.235.196,Matsumura Bussan Corporation,日本民间公司,2024/9/12,网络攻击与防御,66,对日网络攻击的调查(续),2024/9/12,网络攻击与防御,67,攻击案例(,2,):利用,DNS,劫持攻击大型网站事件,2007,年,11,月,3,日,部分用户在访问腾讯迷你首页网站,( :利用,DNS,劫持攻击大型网站事件(续),2007,年,11,月,19,日,无锡市公安局网警支队接报:当月,5,日至,19,日期间,全国部分地区的互联网用户在访问深圳市腾讯计算机系统有限公司迷你网主页时,被错误指向到位于无锡市的病毒服务器,造成上百万网民的电脑受病毒感染,腾讯公司被迫停止网站服务,造成重大经济损失。警方立即开展侦查,于同年,12,月,分别在四川成都、江苏张家港、黑龙江东宁等地抓获,6,名犯罪嫌疑人。江苏省公安厅信息网络安全监察部门在马志松等人使用的电脑硬盘中发现了用于攻击网站的破坏性程序。经审查,,2007,年,9,月底至,11,月中旬,这一团伙在成都市使用编译好的劫持程序对上海、重庆、扬州等,10,余个城市共计,27,台域名服务器实施攻击劫持,借机盗取网络游戏账号。,法院审理认为,,6,名被告违反国家规定,对计算机信息系统功能进行干扰,造成计算机信息系统不能正常运行,后果严重,均已构成破坏计算机信息系统罪。马志松等,6,名被告被江苏无锡滨湖区法院一审分别判处四年至一年不等有期徒刑。,2024/9/12,网络攻击与防御,69,1.4,网络攻击过程,网络攻击过程一般可以分为,本地入侵,和,远程入侵,在这里主要介绍远程攻击的一般过程:,远程攻击的准备阶段,远程攻击的实施阶段,远程攻击的善后阶段,2024/9/12,网络攻击与防御,70,远程攻击的准备阶段,确定攻击目标,信息收集,服务分析,系统分析,漏洞分析,2024/9/12,网络攻击与防御,71,攻击准备,1,确定攻击目标,攻击者在进行一次完整的攻击之前,首先要确定攻击要达到什么样的目的,即给受侵者造成什么样的后果。,常见的攻击目的有破坏型和入侵型两种。,破坏型攻击,是指只破坏攻击目标,使之不能正常工作,而不能随意控制目标上的系统运行。,入侵型攻击,这种攻击要获得一定的权限才能达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍,威胁性也更大。因为攻击者一旦掌握了一定的权限、甚至是管理员权限就可以对目标做任何动作,包括破坏性质的攻击。,2024/9/12,网络攻击与防御,72,攻击准备,2,信息收集,包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息,收集目标系统相关信息的协议和工具,Ping,实用程序,TraceRoute,、,Tracert,、,X-firewalk,程序,Whois,协议,Finger,协议,SNMP,协议,2024/9/12,网络攻击与防御,73,攻击准备,2,信息收集,在网络中主机一般以,IP,地址进行标识。,例如选定,192.168.1.250,这台主机为攻击目标,使用,ping,命令可以探测目标主机是否连接在,Internet,中。,在,Windows,下使用,ping,命令测试:,ping 192.168.1.250,测试结果如下页图所示。,说明此主机处于活动状态。,2024/9/12,网络攻击与防御,74,2024/9/12,网络攻击与防御,74,2024/9/12,网络攻击与防御,75,攻击准备,3,服务分析,探测目标主机所提供的服务、相应端口是否开放、各服务所使用的软件版本类型:如利用,Telnet,、,haktek,等工具,或借助,SuperScan,、,Nmap,等这类工具的端口扫描或服务扫描功能。,举例:,Windows,下,开始,运行,cmd,输入:,telnet 192.168.1.250 80,,然后回车,结果如下页图所示,说明,192.168.1.250,这台主机上运行了,http,服务,,Web,服务器版本是,IIS 5.1,2024/9/12,网络攻击与防御,76,2024/9/12,网络攻击与防御,76,2024/9/12,网络攻击与防御,77,攻击准备,4,系统分析,确定目标主机采用何种操作系统,例如,在,Windows,下安装,Nmap v4.20,扫描工具,此工具含,OS Detection,的功能(使用,-O,选项)。,打开,cmd.exe,,输入命令:,nmap,O 192.168.1.250,,然后,确定,探测结果如下页图所示,说明操作系统是,Windows 2000 SP1,、,SP2,或者,SP3,2024/9/12,网络攻击与防御,78,2024/9/12,网络攻击与防御,78,2024/9/12,网络攻击与防御,79,攻击准备,5,漏洞分析,分析确认目标主机中可以被利用的漏洞,手动分析:过程复杂、技术含量高、效率较低,借助软件自动分析:需要的人为干预过程少,效率高。如,Nessus,、,X-Scan,等综合型漏洞检测工具、,eEye,等专用型漏洞检测工具等。,例如,在,Windows,下使用,eEye Sasser Scanner,对目标主机,192.168.1.18,进行系统漏洞分析。探测结果如下页图所示,说明目标主机存在震荡波漏洞。,2024/9/12,网络攻击与防御,80,2024/9/12,网络攻击与防御,81,远程攻击的实施阶段,作为破坏性攻击,可以利用工具发动攻击即可。,作为入侵性攻击,往往需要利用收集到的信息,找到其系统漏洞,然后利用漏洞获取尽可能高的权限。,攻击的主要阶段包括:,预攻击探测:为进一步入侵提供有用信息,口令破解与攻击提升权限,实施攻击:缓冲区溢出、拒绝服务、后门、木马、病毒,2024/9/12,网络攻击与防御,82,远程攻击的善后阶段,入侵成功后,攻击者为了能长时间地保留和巩固他对系统的控制权,一般会留下后门。,此外,攻击者为了自身的隐蔽性,须进行相应的善后工作,隐藏踪迹,:,攻击者在获得系统最高管理员权限之后就可以任意修改系统上的文件了,所以一般黑客如果想隐匿自己的踪迹,最简单的方法就是删除日志文件,但这也明确无误地告诉了管理员系统已经被入侵了。更常用的办法是只对日志文件中有关自己的那部分作修改,关于修改方法的细节根据不同的操作系统有所区别,网络上有许多此类功能的程序。,2024/9/12,网络攻击与防御,83,入侵系统的常用步骤,采用,漏洞,扫描,工具,选择,会用,的,方式,入侵,获取,系统,一定,权限,提,升,为,最,高,权,限,安装,系统,后门,获取敏感信息,或者,其他攻击目的,2024/9/12,网络攻击与防御,84,较高明的入侵步骤,端口,判断,判断,系统,选择,最简,方式,入侵,分析,可能,有漏,洞的,服务,获取,系统,一定,权限,提,升,为,最,高,权,限,安装,多个,系统,后门,清除,入侵,脚印,攻击其,他系统,获取敏,感信息,作为其,他用途,2024/9/12,网络攻击与防御,85,2024/9/12,网络攻击与防御,85,1.5,网络安全策略及制订原则,安全策略,,是针对那些被允许进入某一组织、可以访问网络技术资源和信息资源的人所规定的、必须遵守的规则。,即:网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安全性需求、易用性、技术实现所付出的代价和风险、社会因素等许多方面因素,所制定的关于网络安全总体目标、网络安全操作、网络安全工具、人事管理等方面的规定。,2024/9/12,网络攻击与防御,86,2024/9/12,网络攻击与防御,86,制定安全策略的目的,决定一个组织机构怎样保护自己,阐明机构安全政策的总体思想,让所有用户、操作人员和管理员清楚,为了保护技术和信息资源所必须遵守的原则。,提供一个可以获得、能够配置和检查的用于确定是否与计算机和网络系统的策略一致的基准,2024/9/12,网络攻击与防御,87,2024/9/12,网络攻击与防御,87,安全策略的必要性,网络管理员在作安全策略时的依据在很大程度上取决于网络运行过程中的安全状况,网络所提供的功能以及网络的易用程度。,安全策略应以要实现目标为基础,而不能简单地规定要检验什么和施加什么限制。,在确定的安全目标下,应该制定如何有效地利用所有安全工具的策略。,2024/9/12,网络攻击与防御,88,2024/9/12,网络攻击与防御,88,安全策略的必要性,(2),检测,响应,防护,PPDR,模型,检测,响应,防护,策略,强调了策略的核心作用,强调了检测、响应、防护的动态性,检测、响应、防护必须遵循安全策略进行,2024/9/12,网络攻击与防御,89,制订安全策略的基本原则,适用性原则,可行性原则,动态性原则,简单性原则,系统性原则,2024/9/12,网络攻击与防御,90,2024/9/12,网络攻击与防御,90,适用性原则,安全策略是在一定条件下采取的安全措施,必须与网络的实际应用环境相结合。,网络的安全管理是一个系统化的工作,因此在制定安全策略时,应全面考虑网络上各类用户、设备等情况,有计划有准备地采取相应的策略,任何一点疏忽都会造成整个网络安全性的降低。,2024/9/12,网络攻击与防御,91,2024/9/12,网络攻击与防御,91,可行性原则,安全管理策略的制定还要考虑资金的投入量,因为安全产品的性能一般是与其价格成正比的,所以要适合划分系统中信息的安全级别,并作为选择安全产品的重要依据,使制定的安全管理策略达到成本和效益的平衡。,2024/9/12,网络攻击与防御,92,2024/9/12,网络攻击与防御,92,动态性原则,安全管理策略有一定的时限性,不能是一成不变的。,由于网络用户在不断地变化,网络规模在不断扩大,网络技术本身的发展变化也很快,而安全措施是防范性的,所以安全措施也必须随着网络发展和环境的变化而变化。,2024/9/12,网络攻击与防御,93,2024/9/12,网络攻击与防御,93,简单性原则,网络用户越多,网络管理人员越多,网络拓扑越复杂,采用网络设备种类和软件种类越多,网络提供的服务和捆绑越多,出现安全漏洞的可能性就越大。,因此制定的安全管理策略越简单越好,如简化授权用户的注册过程等。,2024/9/12,网络攻击与防御,94,2024/9/12,网络攻击与防御,94,系统性原则,网络的安全管理是一个系统化的工作,因此在制定安全管理策略时,应全面考虑网络上各类用户,各种设备,各种情况,有计划有准备地采取相应的策略,任何一点疏忽都会造成整个网络安全性的降低。,2024/9/12,网络攻击与防御,95,2024/9/12,网络攻击与防御,95,安全策略的特点,所有有效的安全策略都至少具备以下特点:,发布,必须通过系统正常管理程序,采用合适的标准出版物或其他适当的方式来发布。,强制执行,在适当的情况下,必须能够通过安全工具来实现其强制实施,并在技术确定不能满足要求的情况下强迫执行。,人员责任规定,必须明确规定用户、系统管理员和公司管理人员等各类人员的职责范围和权限。,2024/9/12,网络攻击与防御,96,1.6,网络安全体系设计,1.6.1,网络安全体系层次,1.6.2,网络安全体系设计准则,2024/9/12,网络攻击与防御,97,1.6.1,网络安全体系层次,作为全方位的、整体的网络安全防范体系也是分层次的,不同层次反映了不同的安全问题。,根据网络的应用现状情况和网络的结构,安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。,2024/9/12,网络攻击与防御,98,物理层安全,物理环境的安全性。包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。,2024/9/12,网络攻击与防御,99,系统层安全,该层次的安全问题来自网络内使用的操作系统的安全,如,Windows NT,,,Windows 2000,等。主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。,2024/9/12,网络攻击与防御,100,网络层安全,该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。,2024/9/12,网络攻击与防御,101,应用层安全,该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括,Web,服务、电子邮件系统、,DNS,等。此外,还包括病毒对系统的威胁。,2024/9/12,网络攻击与防御,102,管理层安全,安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。,2024/9/12,网络攻击与防御,103,1.6.2,网络安全体系设计准则,木桶原则,整体性原则,安全性评价与平衡原则,标准化与一致性原则,技术与管理相结合原则,统筹规划分步实施原则,等级性原则,动态发展原则,易操作性原则,2024/9/12,网络攻击与防御,104,2024/9/12,网络攻击与防御,104,1.7,常用的防护措施,我们怎么办?,2024/9/12,网络攻击与防御,105,2024/9/12,网络攻击与防御,105,个人用户防护措施,加密重要文件,防火墙,定期升级补丁,杀毒软件定期升级和杀毒,定期备份系统或重要文件,防护措施,2024/9/12,网络攻击与防御,106,2024/9/12,网络攻击与防御,106,防止黑客入侵,关闭不常用端口,关闭不常用程序和服务,及时升级系统和软件补丁,发现系统异常立刻检查,2024/9/12,网络攻击与防御,107,常用的防护措施,完善安全管理制度,采用访问控制措施,运行数据加密措施,数据备份与恢复,2024/9/12,网络攻击与防御,108,2024/9/12,网络攻击与防御,108,风险管理,风险管理的概念,识别风险、评估风险、采取步骤降低风险到可接受范围。,风险管理的目的,防止或降低破坏行为发生的可能性,降低或限制系统破坏后的后续威胁,2024/9/12,网络攻击与防御,109,2024/9/12,网络攻击与防御,109,实例,2024/9/12,网络攻击与防御,110,2024/9/12,网络攻击与防御,110,案例,2024/9/12,网络攻击与防御,111,2024/9/12,网络攻击与防御,111,1.8,小结,当今,IT,行业中,网络安全是最急需解决的重要问题之一:各种计算机安全和网络犯罪事件直线上升,病毒增长呈很高幅度,但是很多机构仍没有认识到这些潜在的威胁。,信息,信息资产以及信息产品对于我们的日常生活及整个社会的正常运转是至关重要的,加强网络安全的必要性和重要性已不言而喻。,保护网络中敏感信息免受各种攻击,正是现在迫切需要解决的问题。,2024/9/12,网络攻击与防御,112,2024/9/12,网络攻击与防御,112,孙子兵法的启示,孙子曰,昔之善战者,先为不可胜,以待敌之可胜。不可胜在己,可胜在敌。故善战者,能为不可胜,不能使敌必可胜。故曰:胜可知,而不可为。,不可胜者,守也;可胜者,攻也。守则有余,攻则不足。善守者,藏于九地之下;善攻者,动于九天之上,故能自保而全胜也。,2024/9/12,网络攻击与防御,113,2024/9/12,网络攻击与防御,113,2024/9/12,网络攻击与防御,114,2024/9/12,网络攻击与防御,114,
展开阅读全文