互联网安全攻防分析.ppt

互联网安全攻防案例分析与网络安全技术 主讲 郭亮安全服务部中国电信集团系统集成公司 学习目标 议程 安全攻防案例分析当前黑客与网络安全事件的特点网络安全事件攻防案例分析常见网络安全技术全网防御技术黑客侦查与追踪技术DDoS防御技术SQL注入 XSS跨站脚本日常安全维护应急处理方法 当前黑客与网络安全事件的特点 黑客可以轻易地施行跨网 跨国攻击复合趋势攻击往往通过一级或者多级跳板进行大规模事件出现日益频繁传播速度越来越快对终端的攻击比率越来越高攻击事件的破坏程度在增加 当前黑客与网络安全事件的特点 黑客可以轻易地施行跨网 跨国攻击攻击 入侵工具和工具包数量大量增加 可轻易从互联网上获取 使用操作更加简单方便具有安全知识和 专业 的人员的数量在增加复合趋势黑客 病毒和垃圾邮件技术整合在一个蠕虫当中黑客组合攻击开始出现攻击往往通过一级或者多级跳板进行黑客技术水平在增强有组织 有计划犯罪事件再增加 防止追查 当前黑客与网络安全事件的特点 大规模事件出现日益频繁大规模网络蠕虫事件 冲击波 震荡波 红色代码F变种等 大量垃圾邮件的出现传播速度越来越快利用系统漏洞 进行自动扫描由于浏览网页或查看E Mail而受到感染或攻击DDoS攻击 当前黑客与网络安全事件的特点 对终端的攻击比率越来越高网上游戏 网上银行和电子商务的增加针对终端设计的黑客工具和木马补丁与升级不够及时缺乏安全防范意识攻击事件的破坏程度在增加 典型网络安全案件分析 木马与 网银大盗 匿名电子邮件转发溢出攻击与DCOMRPC漏洞NetBios与IPCARP欺骗DDoS攻击SQL注入 木马与 网银大盗 冰河国产木马 有G Client exe G server exe二个文件 客户端界面 木马与 网银大盗 网银大盗 网上银行构架 木马与 网银大盗 网银大盗 网银大盗II Troj Dingxa A 现象盗取网上银行的帐号 密码 验证码等 生成文件 System 下 svch0stexe修改注册表 HKEY CURRENT USER SOFTWARE Microsoft Windows CurrentVersion Run下创建 svch0st exe System svch0st exe taskmgr exe System svch0st exe 木马与 网银大盗 网银大盗II Troj Dingxa A 原理木马程序 非主动传播 主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时 间接感染用户电脑解决办法1 终止病毒进程 svch0st exe 2 注册表修复3 删除病毒释放的文件 svch0st exe 4 配置防火墙和边界路由器 木马与 网银大盗 网银大盗 案例 多媒体木马 Internet 种了木马的电脑 传送信息 黑客 摄像头语音设备 GoogleSearch inurl ViewerFrame Mode http 210 134 20 21 ViewerFrame Mode Motion Language 1 匿名电子邮件转发 漏洞名称 ExchangeServer匿名转发漏洞原理 匿名电子邮件转发 案例深圳市二十多个邮件服务器 Internet 某数据中心 台湾 日本 匿名电子邮件转发 造成危害网络堵塞给利用于反动宣传正常邮件服务器被RBL组织封闭解决方法打补丁关闭该服务或端口25 110 溢出攻击与DCOMRPC漏洞 溢出攻击原理 溢出攻击与DCOMRPC漏洞 DCOMRPC漏洞原理 溢出攻击与DCOMRPC漏洞 造成的危害 冲击波 MYDOOM案例分析 邮件蠕虫 MYDOOM现象通过电子邮件附件传播 设定向和发起DDoS攻击原理 ARP欺骗 ARP地址解析协议ARP协议定义了两类基本的消息 1 请求信息 包含自己的IP地址 硬件地址和请求解析的IP地址 2 应答信息 包含发来的IP地址和对应的硬件地址 ARP欺骗 2 原理 ARP欺骗 防范ARP欺骗的方法交换机控制路由器隔离防火墙与代理服务器 DDoS攻击 原理 DDoS攻击方法 死亡之ping pingofdeath 泪滴 teardrop UDP洪水 UDPflood SYN洪水 SYNflood Land攻击Smurf攻击Fraggle攻击 常用DDoS攻击工具 ThankgodSYNFlooder独裁者TrinooTFN2KStacheldraht SQL注入 Web攻击模拟演示 IDS 交换机 防火墙 Web服务器 DB服务器 正常访问流程 SQL注入 Web攻击模拟演示 SQL注入攻击流程 IDS 交换机 防火墙 Web服务器 DB服务器 常见网络安全技术 全网防御技术黑客侦查与追踪技术DDoS防御技术应用层攻击防御 SQL注入 XSS脚本 黑客侦查与追踪技术 黑客侦查与追踪系统 黑客侦查与追踪系统 系统组成1 现场勘查分析2 服务器监控3 远程追踪 黑客侦查与追踪系统 原理 黑客侦查与追踪系统 远程追踪 DDoS攻击防御技术 当前DDoS防御技术SYN代理SYN网关DDoS防御网关 DDoS攻击防御方法 SYN中继 代理 工作原理 SYN中继 代理 1 H FW 2 H SYN ACK FW 3 H ACK FW FW S 4 FW S FW S SYN SYN ACK ACK 5 6 SYN SYN中继 代理 存在问题FW必须建立一个很大的链表来储存所有SYN请求 当有大量的SYN攻击包到来 FW一样会崩溃 保护了服务器 堵死了防火墙 DDoS攻击防御方法 SYN网关工作原理 SYN网关 SYN网关 快速将连接试呼从S待办队列移开 避免服务器待办队列堵塞定时器超时后 向S发送连接RST 复位 取消 存在问题A 占用服务器缓冲B 防火墙同样要储存SYN请求链接 攻击强烈时 同样会堵死防火墙 DDoS防御技术 防火墙 DDoS防御网关对抗DDOS攻击的三层防御措施 一 连接指纹鉴别 二 自适应 催命 算法 三 恶性服务请求攻击的防御 连接指纹鉴别工作原理 0积累识别技术 属国际专利 连接指纹鉴别工作原理 连接指纹鉴别工作原理 A SN序列号形成算法SN f 源 目标IP 源 目标端口 其它信息 秘密字 B 只有当主机H回答包所携带的SN号经验证合法后 才须建立连接代理 2 优点由于在未确认SYN请求的合法性前 无须建立连接队列 所以这种方法具备以下优点 A 防火墙无须耗费内存资源B 没有缓冲溢出的危险C 在NAT模式下不占用防火墙的连接数 自适应 催命 算法 针对性针对通过高层编程 固定 进行的攻击 如socket编程中的 connect 函数 这种攻击也能通过防火墙的指纹合法性认证而建立起连接 但该攻击的效率较低 同时占用黑客大量主机资源 工作原理防火墙中建立每条连接都有一个连接超时值Age 又叫生命期 一般每半秒钟减一 防火墙会监控系统建立的连接数量 按一定算法算出 加快了 的递减步长STEP 降低某些可疑连接的生命期 加快这些连接超时 恶性服务请求攻击的防御 针对性一般SQL数据库访问会占用服务器较多资源 黑客会分析web页面上耗费资源的分支请求 编写程序不停调用该分支请求 造成SQL服务器响应不过来 工作原理给管理员一个配置接口 管理员自己可以配置一些针对性统计策略 当在一定时间内某IP使用某SQL语句数量超过某一阀值时 防火墙会拒绝该IP的访问 其它措施 对于一些固定IP的恶性攻击防火墙会对该IP进行自动锁定 超过一定时间 一般为180秒后再进行开锁 黑客 FW server DDOS网关 应用层攻击防御 WEB应用安全概述针对WEB攻击风险的产生跨站脚本攻击SQL注入攻击 针对WEB的攻击 WebServer 身份认证 数据字典 权限 角色 敏感信息 系统文件获取 缓冲区溢出 DOS攻击 DBServer 防火墙 Web风险的产生 风险的产生 80 基于WEB的应用或多或少都存在安全问题 其中很大一部分是相当严重的问题防火墙 IDS或者使用SSL协议对此毫无用处不仅仅是开放在Internet的Web存在风险更多的ERP CRM MSS系统也都使用了Web应用程序 跨站脚本攻击简介 1 由于WEB应用程序没有对用户的输入进行严格的过滤和转换 就导致在返回页面中可能嵌入恶意代码 远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意HTML和脚本代码 跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现 因此这种攻击能在一定程度上隐藏身份 跨站脚本攻击简介 2 什么是跨站脚本攻击XSS又叫CSS CrossSiteScript 跨站脚本攻击 它指的是恶意攻击者往Web页面里插入恶意html代码 当用户浏览该页之时 嵌入其中Web里面的html代码会被执行 从而达到恶意用户的特殊目的 XSS属于被动式的攻击 因为其被动且不好利用 所以许多人常呼略其危害性 跨站脚本攻击简介 3 跨站攻击的危害为了搜集用户信息 攻击者通常会在有漏洞的程序中插入JavaScript VBScript ActiveX或Flash以欺骗用户窃取Cookie劫持帐户执行ActiveX执行Flash内容强迫您下载软件对硬盘和数据采取操作 跨站脚本攻击简介 4 由于XSS漏洞很容易在大型网站中发现 在黑客圈内它非常流行 FBI gov CNN com T Ebay Yahoo Apple Microsoft Zdnet Wired Newsbytes都有这样那样的XSS漏洞 在商业产品中 平均每个月能够发现10 25个XSS漏洞常见存在漏洞的页面搜索引擎返回结果页面根据用户输入 登录页 存储用户帐户在数据库 Cookie等和以后写入用户名出客户端 Web表单处理信用卡信息 SQL注入攻击简介 SQL注入攻击简介 SQL注入攻击 3 Web服务器 身份认证信息 权限 角色 敏感应用数据 系统级文件存取 缓冲区溢出 DOS攻击 数据字典 DB服务器 SQL注入攻击示意 WEB应用深度防御 实时告警 1 建立整体监控管理系统2 关注你负责的系统把所管理的网站系统 或者监控系统 设为浏览器的首页 每天至少看三次你所管理的系统 残酷地说 管理员没有节假日 因为节假日恰恰是攻击的高发时段 日常安全维护 3 定期备份数据库和供下载的文档定期备份数据库和上传的文件 如果不是很经常更新 访问量不大 大概每周备份一次 反之每天一次 不要怕麻烦 这个制度很有必要 日常安全维护 4 经常用FTP登陆 查看上传目录下的文件格式上传目录下不应该有asp cer cdx com exe bat之类的文件 一般情况下 允许上传的文件格式有 图片文件 JPG GIF BMP PNG PSD WMF PCXOFFICE文档 DOC XLS PPT MDB文本文件 TXT RTF压缩文件 RAR ZIP ISO 日常安全维护 5 掌握最新的补丁以及漏洞信息经常关注官方网站的补丁发布 及时修改 这里推荐一个带漏洞搜索引擎的漏洞公布网址 bct org 日常安全维护 6 设置足够强壮的密码管理的帐号密码应与管理员个人常用的不同 以防他人从别处得到网站的密码 如果有多个管理员 要保证所有人的密码都是 健壮的 即不能像 123456 这样容易猜测 必须是数字 字母和符号的组合 这点很重要 不然所有的安全措施都是徒劳 日常安全维护 日常安全维护 一 部署专用网络安全设备 防火墙漏洞扫描入侵检测系统AntiDDoS 流量监控 二 网站系统的专用保护方法本地和远程 本地监控 远程建立统计监控平台 定时和触发 根据等级设定触发时间 比较方法 文件大小 数字签名 恢复方式 本地恢复 远程恢复 备份库的安全 隐藏备份库 三 网站保护的缺陷保护软件通常都是针对静态页面而设计 而现在动态页面占据的范围越来越大 尽管本地监测方式可以检测脚本文件 但对脚本文件使用的数据库却无能为力 应急处理方法 应急事件处理四步曲1 先找专家2 立刻恢复3 分析源头4 修补漏洞 1 先找专家a 联系专业安全服务单位b 联系专业安全组织2 立刻恢复用备份文件替换被篡改的文件 同时注意保存证据下载被黑的网站以保存相关证据 然后用平时备份的资料替代被篡改的数据 及时恢复系统功能 最大限度降低不良影响 主要指网站系统 应急处理方法 3 分析源头查看监控系统的分析报告 事件终端设备日志 4 修补漏洞根据发现的问题 修补漏洞 一定要记得事后加强监控 应急处理方法 TIPs1 文件时间一致原则简单的说就是保持大部分文件的上传时间一致 数据库之类频繁读写的文件除外 具体做法是一次上传所有文件 这里建议就算修改了一个文件也重新上传一下所有网页 这样做主要是方便查找木马 应急处理方法 TIPs2 文件对比法这里介绍一个简单的文件对比工具BeyondCompare 应急处理方法 应急处理方法 应急处理方法 应急处理方法 TIPs3 软件测试法某些 傻瓜化的 黑客工具能提供一个初步的测试 比如Domain3 2软件的使用十分简单 比如上传漏洞 只要填入上传文件的地址就可以了 应急处理方法 SQL注入检测 软件检测结果仅供参考 并不能保证绝对没有问题 应急处理方法 TIPs4 系统漏洞修复后 如需保留旧版 要记得删除旧版的后台 现在搜索引擎的技术已十分成熟 别有用心的人很容易找到这些薄弱点进行破坏 应急处理方法 Q Aguoliang guoliang linuxchina orgCnnog org Nsp secMP 13910601939