常见攻击与防御培训材料（PPT45页)

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/9/27,*,单击此处编辑母版标题样式,常见攻击与防御,2021/9/27,1,入侵方式,入侵目标,系统入侵,互联网设备入侵,应用入侵,物理入侵,人脑入侵,获取口令,Sniff,ARP Spoof,中间人攻击,口令猜测,破解口令,漏洞利用,缓冲区溢出,SQL,注入,代码注入,社会工程学,2021/9/27,2,扫描的技术分类,2021/9/27,3,主机扫描技术,主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。,常用的传统扫描手段有：,ICMP Echo扫描,ICMP Sweep扫描,Broadcast ICMP扫描,Non-Echo ICMP扫描,防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，必须采用一些非常规的手段，利用,ICMP协议,提供网络间传送错误信息的手段，往往可以更有效的达到目的：,非常规的扫描手段有：,错误的数据分片：发送错误的分片（如某些分片丢失）,通过超长包探测内部路由器：超过目标系统所在路由器的PMTU且设置禁止分片标志,2021/9/27,4,端口扫描,一个端口就是一个潜在的通信通道，即入侵通道,当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。,很多基于端口的扫描器都以端口扫描后的返回数据作为判断服务状态的依据,端口扫描技术应用以下协议：,TCP,UDP,ICMP,2021/9/27,5,攻击“谱线”,一般的入侵流程,信息搜集,漏洞利用,进入系统,实现目的,窃取、篡改、破坏,进一步渗透其他主机,安装后门,2021/9/27,6,什么是DDOS攻击,2021/9/27,7,DDOS攻击原理,mbehring,ISP,CPE,Internet,Zombie,(僵尸),发现漏洞,取得用户权,取得,控制权,植入,木马,清除痕迹,留后门,做好攻击准备,Hacker,(黑客),攻击来自于众多来源，发出不计其数的,IP,数据包,攻击的众多来源来自不同的地理位置,会过渡地利用网络资源,拒绝合法用户访问在线资源,洪水般的攻击包堵塞住企业与互联网的全部连接,终端客户的内部设备都不能有效抵御这种攻击,DDOS,攻击是黑客利用攻击软件通过许多台“肉鸡”同时展开拒绝服务攻击，规模更大，危害更大,Master,Server,2021/9/27,8,DDOS攻击特性,我是硬杀伤，是劫匪、是强盗、是截拳道，用最直接的方式把你击倒！,我和其他兄弟有本质的区别，他们讲究的是技巧、我强调的是力道！,洪水是我的外表，霸道才是本质。从来不搞怀柔，结果只有两个，不是你倒就是我倒,我只喜欢群殴，从不单挑！,2021/9/27,9,流量型攻击SYN Flood,SYN（我可以连接吗？）,攻击者,受害者,伪造地址发送大量,SYN 请求,就是让你白等,SYN Flood 攻击原理,攻击表现,SYN_RECV,状态,半开连接队列,遍历，消耗,CPU和内存,SYN|ACK 重试,SYN Timeout：30秒2,分钟,无暇理睬正常的连接请求,拒绝服务,SYN（我可以连接吗？）,SYN（我可以连接吗？）,SYN（我可以连接吗？）,SYN（我可以连接吗？）,正常连接请求得不到响应,正常SYN（我可以连接吗？）,2021/9/27,10,连接型攻击CC Proxy,攻击者,受害者,(Web Server),大量非正常HTTP Get请求,不能建立正常的连接,非正常,HTTP Get Flood,正常用户,正常,HTTP Get Flood,攻击表现,非正常,HTTP Get Flood,非正常,HTTP Get Flood,非正常,HTTP Get Flood,非正常,HTTP Get Flood,非正常,HTTP Get Flood,DB连接池,用完啦！,受害者,(DB Server),DB连接池,占用,占用,占用,HTTP Get Flood 攻击原理,利用代理服务器向受害者发起大量HTTP Get请求,主要请求动态页面，涉及到数据库访问操作,数据库负载以及数据库连接池负载极高，无法响应正常请求,2021/9/27,11,漏洞型攻击Teardrop攻击,UDP Fragments,受害者,发送大量UDP病态分片数据包,Teardrop,攻击原理,攻击表现,发送大量的UDP病态分片数据包,操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象,无暇理睬正常的连接请求,拒绝服务,UDP Fragments,UDP Fragments,UDP Fragments,UDP Fragments,服务器宕机，停止响应,正常SYN（我可以连接吗？）,攻击者,服务器,系统崩溃,2021/9/27,12,DDOS攻击影响,2021/9/27,13,DDOS攻击起源,DDOS,起源：,DDOS,最早可追述到,1996,年最初,在中国,2002,年开始频繁出现,2003,年已经初具规模,!,在网络上掀起了血雨腥风！,2021/9/27,14,DDOS攻击”丰功伟绩“篇,NO.1,：系列,DDOS,攻击大型网站案,2000,年,2,月，包括雅虎、,CNN,、亚马逊、,eBay,、,B,、,ZDNet,，以及,E*Trade,和,Datek,等网站均遭到了,DDoS,攻击，并致使部分网站瘫痪。此次事件是加拿大的一位网名叫,Mafiaboy,的年轻人干的,其真名叫,Michael Calce,，后来被指控犯了,55,项伤害罪，法院判罚拘禁,8,个月。,Calce,后来将其经历写成了书，书名叫做,Mafiaboy,：我怎么攻击互联网以及它为何会崩溃,。,美博客评出过去十年互联网七大灾难,2021/9/27,15,DDOS攻击”丰功伟绩“篇,2007,年,5,月，爱沙尼亚最近三周来已遭遇三轮“网络攻击”，总统府、议会、几乎全部政府部门、主要政党、主要媒体和,2,家大银行和通讯公司的网站均陷入瘫痪，为此北约顶级反网络恐怖主义专家已前往该国救援。爱沙尼亚方面认为此事与俄罗斯当局有关。如果这一指责被证实，,这将是第一起国家对国家的“网络战”,。,爱沙尼亚总理在办公室办公,2021/9/27,16,DDOS攻击”丰功伟绩“篇,2009,年,7,月,2021/9/27,17,DDOS攻击”丰功伟绩“篇,2021/9/27,18,DDOS攻击”丰功伟绩“篇,2021/9/27,19,DDOS攻击”丰功伟绩“篇,2021/9/27,20,DDOS攻击形式严峻,2010年,2009年,2008年,2007年,2006年,2005年,2004年,2003年,2002年,65%,54%,40%,33%,29%,20%,16%,10%,6%,年,占网络报警的百分比%,2021/9/27,21,DDOS攻击的危害,2021/9/27,22,攻击流量越来越大,百,G,攻击流量,10G,攻击流量,1G,攻击流量,100M,攻击流量,攻击规模不断增大,2021/9/27,23,针对应用的攻击越来越多CC攻击,2009年7月8日，一名韩国警察厅官员在位于首尔的警察厅总部介绍黑客攻击政府网站的情况,这次是,CC,攻击,所有的安全设备都倒了,2021/9/27,24,攻击目的越来越商业化,事件,1,：,2008,年，两家物流公司因为存在商业竞争，一公司为抢夺客户资源雇用黑客利用,DDOS,手段发动攻击，致使潍坊,40,万网通用户,7,月份不能正常上网。,8,月,30,日，随着,3,名犯罪嫌疑人被正式批捕，潍坊市公安局网警支队成功侦破潍坊网通公司城域网遭受黑客攻击的特大案件。此案是山东省首例,DDOS,黑客攻击案。,事件,2,：,2009,年，两名男子纠集一批“肉机”，对苏州市一家网游公司发动,攻击，导致该公司网络瘫痪天，并敲诈游戏币后换得赃款元。近日，苏州虎丘区法院以破坏计算机信息系统罪分别判处两人有期徒刑,年个月和年个月。,只抢有钱人,2021/9/27,25,个人发泄情绪化,2021/9/27,26,攻击代价越来越小,2021/9/27,27,传统防护手段的不足,2021/9/27,28,网络安全威胁,内部网络信息资产,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,2021/9/27,29,网络安全体系的“漏洞”,网 络 安 全,防,火,墙,虚拟专网,入侵检测,漏洞扫描,病毒防护,安全审计,应用安全,抗拒绝服务系统,2021/9/27,30,传统安全技术不足,2021/9/27,31,新的威胁需要新的技术来应对,防火墙和IPS技术已经不能完全保护他们的客户了,新的威胁需要,新的,手段来应对,抗拒绝服务系统,IPS,IDS,来自于传统厂商的防护技术:,扩大带宽,提高服务器性能,阀值每秒处理1000数据包，其 它丢弃,随机丢包每接受3个包就丢弃一个,防火墙,UTM,2021/9/27,32,整体安全方案中重要的一环,Desktop,应用层,Remote Laptop,网络层,网关层,现在有大概产品:,Security Firewall,Gateway AV,Content Filtering,欠缺:,最强的抗洪水攻击设备,保护内部网络设备,最多的,DDOS,分类信息,最方便的管理,现在有大概产品:,Proxy,IDS/IPS,欠缺:,对异常攻击流量的监控,对协议，端口的防护控制,对攻击数据的准确分析,避免猜测,/,误判,现在有大概产品:,Anti-virus,Anti-spyware,Personal firewall,欠缺:,对,CC,攻击的有效防护,对应用层,FTP,、,POP3,、,SMTP,等应用层攻击的防护,从整体上提高应用服务的可靠性,2021/9/27,33,抗拒绝服务系统,2021/9/27,34,攻击者,主控机,僵尸网络,目标服务器,正常用户,服务器繁忙ing，资源被耗尽,专业的抗DDOS攻击设备,2021/9/27,35,超强的抗攻击性能,功能：,访问控制,防,DoS/DDoS,攻击,会话控制,QoS带宽管理,合法流量,正常流量,非法流量,攻击流量,30亿次的UDP攻击,2亿多次的TCP攻击,2021/9/27,36,保障网络资源的高利用率,突发、不可预见、不受控制的流量,重要业务流量的执行受到冲击,DDOS攻击,与业务无关流量：,游戏，,MP3，视听，网购,重要业务流量,：,Oracle,SAP,etc.,SYN Flood,UDP Flood,2021/9/27,37,保证关键业务的可靠性,重要性,TCP/IP应用层,办公OA,业务办理,VoIP,Oracle/SAP,视频会议,FTP,Email,网络教学,在线视频,关键业务应用推动生产和业务发展,每种应用对网络稳定的要求都很高,2021/9/27,38,专业的DDOS攻击防护模式,流量管理,Syn代理,UDP过滤器,ICMP过滤器,其他,智能识别并阻断,SYN Flood,攻击,通过流量管理预防未知攻击,智能识别并阻断,ICMP Flood,攻击,基于每个数据包进行细致的过滤,智,能识别并阻断,UDP Flood,攻击,会话控制,更多其他方法，Arp Spoofing、IP Spoofing、IP Scan、Smurf/Fraggle、,2021/9/27,39,TCP Proxy技术,用户,192.168.0.1,抗拒绝服务系统,FTP server,19.49.10.10,Client send TCP Syn,没有TCP代理的时候TCP三次握手的过程,Server response Syn Ack,Firewall send TCP Syn for Client,Fake Client Without Ack,Real Client send Ack,Firewall response Syn Ack,Server response Syn