常见黑客攻击及安全防御手段课件

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,常见黑客攻击及安全防御手段,绿盟科技 于慧龙,提纲,常见的黑客攻击方法,常用的安全技术防范措施,常见的黑客攻击方法,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,2002,高,入侵技术的发展,采用,漏洞,扫描,工具,选择,会用,的,方式,入侵,获取,系统,一定,权限,提,升,为,最,高,权,限,安装,系统,后门,获取敏感信息,或者,其他攻击目的,入侵系统的常用步骤,端口,判断,判断,系统,选择,最简,方式,入侵,分析,可能,有漏,洞的,服务,获取,系统,一定,权限,提,升,为,最,高,权,限,安装,多个,系统,后门,清除,入侵,脚印,攻击其,他系统,获取敏,感信息,作为其,他用途,较高明的入侵步骤,常见的安全攻击方法,直接获取口令进入系统：网络监听，暴力破解,利用系统自身安全漏洞,特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装,WWW欺骗：诱使用户访问纂改过的网页,电子邮件攻击：邮件炸弹、邮件欺骗,网络监听：获取明文传输的敏感信息,通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据,拒绝服务攻击和分布式拒绝服务攻击(和),2001年中美黑客大战,事件背景和经过,4.1撞机事件为导火线,4月初，以PoizonB0 x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改,4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。,各方都得到第三方支援,各大媒体纷纷报道，评论，中旬结束大战,PoizonB0 x、pr0phet更改的网页,中经网数据有限公司,中国科学院心理研究所,国内某政府网站,国内某大型商业网站,国内黑客组织更改的网站页面,美国劳工部网站,美国某节点网站,美国某大型商业网站,美国某政府网站,这次事件中采用的常用攻击手法,红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统，这个行动在技术上是没有任何炫耀和炒作的价值的。”,主要采用当时流行的系统漏洞进行攻击,这次事件中被利用的典型漏洞,用户名泄漏，缺省安装的系统用户名和密码,Unicode 编码可穿越firewall,执行黑客指令,ASP源代码泄露可远程连接的数据库用户名和密码,SQL server缺省安装,微软Windows 2000登录验证机制可被绕过,Bind 远程溢出，Lion蠕虫,SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫,Wu-Ftpd 格式字符串错误远程安全漏洞,拒绝服务(syn-flood,ping),这次事件中被利用的典型漏洞,用户名泄漏，缺省安装的系统用户名和密码,入侵者,利用黑客工具,扫描系统用户,获得用户名,和简单密码,这次事件中被利用的典型漏洞,Windows 2000登录验证机制可被绕过,TCP/IP的每个层次都存在攻击,Telnet,SMTP,DNS,FTP,UDP,TCP,IP,以太网,无线网络,SATNET,ARPNET,应用程序攻击,拒绝服务攻击,数据监听和窃取,硬件设备破坏,电磁监听,混合型、自动的攻击,Workstation,Via Email,File Server,Workstation,Mail Server,Internet,混合型攻击:蠕虫,Web Server,Via Web Page,Workstation,Web Server,Mail Gateway,攻击的发展趋势,防病毒,防火墙,入侵检测,风险管理,攻击的发展趋势,漏洞趋势,严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码),混合型威胁趋势,将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。,主动恶意代码趋势,制造方法：简单并工具化,技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.,表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。,受攻击未来领域,即时消息：MSN,Yahoo,ICQ,OICQ等,对等程序(P2P),移动设备,“红色代码”病毒的工作原理,病毒利用,IIS,的,.,ida,漏洞进入系统并获得,SYSTEM,权限,(,微软在,2001,年,6,月份已发布修复程序,MS01-033,),病毒产生,100,个新的线程,99,个线程用于感染其它的服务器,第,100,个线程用于检查本机,并修改当前首页,在,7/20/01,时所有被感染的机器回参与对白宫网站,的自动攻击,.,尼母达 Nimada的工作原理,4 种不同的传播方式,IE浏览器:利用IE的一个安全漏洞,(,微软在2001年3月份已发布修复程序 MS01-020),IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.,(,微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案),电子邮件附件:,(已被使用过无数次的攻击方式),文件共享:针对所有未做安全限制的共享,MYDOOM的工作原理,W32.Novarg.Amm Symantec，受影响系统:Win9x/NT/2K/XP/2003,1、创建如下文件：,%System%shimgapi.dll,%temp%Message，这个文件由随机字母通组成。,%System%taskmon.exe,如果此文件存在，则用病毒文件覆盖。,2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的TCP端口进行监听；,3、添加如下注册表项，使病毒可随机启动，并存储病毒的活动信息。,4、对实施拒绝服务（DoS)攻击,创建64个线程发送GET请求，这个DoS攻击将从2004年2月1延续到2004年2月12日；,5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：.htm.sht.php.asp.dbx .tbb.adb.pl.wab.txt等；,6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送；,7、邮件内容如下：From:可能是一个欺骗性的地址；主题:hi/hello等。,常见的安全技术防范措施,常用的安全防护措施,防火墙,入侵检测,漏洞扫描,抗拒绝服务,防病毒,系统安全加固,SUS补丁安全管理,访问控制,认证,NAT,加密,防病毒、内容过滤,流量管理,常用的安全防护措施防火墙,防火墙的局限性,防火墙不能防止通向站点的后门。,防火墙一般不提供对内部的保护。,防火墙无法防范数据驱动型的攻击。,防火墙本身的防攻击能力不够，容易成为被攻击的首要目标。,防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。,防火墙与IDS联动,时间,Dt-检测时间,Pt-防护时间,Rt-响应时间,Pt-防护时间 ,+,入侵检测系统,Firewall,Internet,Servers,DMZ,IDS Agent,Intranet,监控中心,router,攻击者,发现攻击,发现攻击,发现攻击,报警,报警,IDS Agent,入侵检测系统的作用,实时检测,实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文,安全审计,对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态，找出所需要的证据,主动响应,主动切断连接或与防火墙联动，调用其他程序处理,漏洞扫描系统,Internet,地方网管,scanner,监控中心,地方网管,地方网管,地方网管,地方网管,市场部,工程部,router,开发部,Internet,Servers,Firewall,漏洞扫描产品应用,拒绝服务攻击(DoS/DDoS),网络层,SYN Flood,ICMP Flood,UDP Flood,Ping of Death,应用层,垃圾邮件,CGI资源耗尽,SYN Flood原理,正常的三次握手建立通讯的过程,SYN（我可以连接吗？）,ACK（可以）/SYN（请确认！）,ACK（确认连接）,发起方,应答方,SYN Flood原理,SYN（我可以连接吗？）,ACK（可以）/SYN（请确认！）,攻击者,受害者,伪造地址进行SYN请求,为何还没回应,就是让你白等,不能建立正常的连接,连接耗尽,正常tcp connect,攻击者,受害者,大量的tcp connect,这么多需要处理？,不能建立正常的连接,正常tcp connect,正常tcp connect,正常tcp connect,正常tcp connect,正常用户,正常tcp connect,拒绝服务攻击的对抗,网络层,升级系统防止ping of death 等攻击,通过带宽限制来防止flood攻击,应用层拒绝服务的抵抗,通常需要在应用层进行特定的设计,SYN Flood与连接耗尽是难点,计算机病毒,程序型病毒,引导型病毒,宏病毒,特洛伊木马型的程序,有危害的移动编码,防病毒软件历史,单机版静态杀毒,实时化反病毒,防病毒卡,动态升级,主动内核技术,自动检测技术：特征代码检测,单特征检查法,基于特征标记,免疫外壳,防病毒技术发展,第一代反病毒技术,采取单纯的病毒特征诊断，对加密、变形的新一代病毒无能为力；,第二代反病毒技术,采用静态广谱特征扫描技术，可以检测变形病毒,误报率高，杀毒风险大；,第三代反病毒技术,静态扫描技术和动态仿真跟踪技术相结合；,第四代反病毒技术,基于病毒家族体系的命名规则,基于多位CRC校验和扫描机理,启发式智能代码分析模块、动 态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块,企业级防病毒体系,集中管理,多次防病毒体系,系统安全加固,基本安全配置检测和优化,密码系统安全检测和增强,系统后门检测,提供访问控制策略和工具,增强远程维护的安全性,文件系统完整性审计,增强的系统日志分析,系统升级与补丁安装,Windows系统安全加固,使用Windows update安装最新补丁；,更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；,卸载不需要的服务；,将暂时不需要开放的服务停止；,限制特定执行文件的权限；,设置主机审核策略；,调整事件日志的大小、覆盖策略；,禁止匿名用户连接；,删除主机管理共享；,限制Guest用户权限；,安装防病毒软件、及时更新病毒代码库；,安装个人防火墙。,补丁安全管理（SUS）,英文全名叫“SOFTWARE UPDATE SERVICES”,SUS可以用于Windows2000、XP以及.Net等系统的关键性更新任务。,参见,SUS系统架构服务,。,Q&A,