互聯(lián)網(wǎng)安全攻防分析共78頁

1、12了解互聯(lián)網(wǎng)安全現(xiàn)狀，增強防范意識；了解互聯(lián)網(wǎng)安全現(xiàn)狀，增強防范意識；了解目前互聯(lián)網(wǎng)常見的安全攻擊技術(shù)手段，了解目前互聯(lián)網(wǎng)常見的安全攻擊技術(shù)手段，提高安全事件判別能力；提高安全事件判別能力；了解互聯(lián)網(wǎng)安全管理與維護的定義和內(nèi)容；了解互聯(lián)網(wǎng)安全管理與維護的定義和內(nèi)容；掌握安全管理與維護的基本能力，能提升掌握安全管理與維護的基本能力，能提升日常性的管理和維護工作水平。日常性的管理和維護工作水平。學(xué)習(xí)目標學(xué)習(xí)目標3議程議程u安全攻防案例分析安全攻防案例分析u當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點u網(wǎng)絡(luò)安全事件攻防案例分析u常見網(wǎng)絡(luò)安全技術(shù)常見網(wǎng)絡(luò)安全技術(shù)u全網(wǎng)防御技術(shù)u黑客偵查與追蹤技術(shù)uDDoS防御技術(shù)u

2、SQL 注入/XSS 跨站腳本u日常安全維護日常安全維護u應(yīng)急處理方法應(yīng)急處理方法4當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點u黑客可以輕易地施行跨網(wǎng)、跨國攻擊黑客可以輕易地施行跨網(wǎng)、跨國攻擊u復(fù)合趨勢復(fù)合趨勢u攻擊往往通過一級或者多級跳板進行攻擊往往通過一級或者多級跳板進行u大規(guī)模事件出現(xiàn)日益頻繁大規(guī)模事件出現(xiàn)日益頻繁u傳播速度越來越快傳播速度越來越快u對終端的攻擊比率越來越高對終端的攻擊比率越來越高u攻擊事件的破壞程度在增加攻擊事件的破壞程度在增加5當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點u黑客可以輕易地施行跨網(wǎng)、跨國攻擊黑客可以輕易地施行跨網(wǎng)、跨國攻擊u攻擊

3、、入侵工具和工具包數(shù)量大量增加，可輕易從互聯(lián)網(wǎng)上獲取，使用操作更加簡單方便u具有安全知識和”專業(yè)”的人員的數(shù)量在增加u復(fù)合趨勢復(fù)合趨勢u黑客、病毒和垃圾郵件技術(shù)整合在一個蠕蟲當(dāng)中u黑客組合攻擊開始出現(xiàn)u攻擊往往通過一級或者多級跳板進行攻擊往往通過一級或者多級跳板進行u黑客技術(shù)水平在增強u有組織、有計劃犯罪事件再增加，防止追查6當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點u大規(guī)模事件出現(xiàn)日益頻繁大規(guī)模事件出現(xiàn)日益頻繁u大規(guī)模網(wǎng)絡(luò)蠕蟲事件（“沖擊波”、“震蕩波”、紅色代碼F變種等）u大量垃圾郵件的出現(xiàn)u傳播速度越來越快傳播速度越來越快u利用系統(tǒng)漏洞，進行自動掃描u由于瀏覽網(wǎng)頁或查看E-

4、Mail而受到感染或攻擊uDDoS攻擊7當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點u對終端的攻擊比率越來越高對終端的攻擊比率越來越高u網(wǎng)上游戲、網(wǎng)上銀行和電子商務(wù)的增加u針對終端設(shè)計的黑客工具和木馬u補丁與升級不夠及時u缺乏安全防范意識u攻擊事件的破壞程度在增加攻擊事件的破壞程度在增加8典型網(wǎng)絡(luò)安全案件分析典型網(wǎng)絡(luò)安全案件分析木馬與“網(wǎng)銀大盜”匿名電子郵件轉(zhuǎn)發(fā)溢出攻擊與DCOM RPC漏洞NetBios與IPCARP欺騙DDoS攻擊SQL注入9木馬與木馬與“網(wǎng)銀大盜網(wǎng)銀大盜”u冰河冰河 國產(chǎn)木馬，有G_Client.exe,G_server.exe二個文件?？蛻舳私缑?0木馬與木

5、馬與“網(wǎng)銀大盜網(wǎng)銀大盜” 網(wǎng)上銀行構(gòu)架11木馬與木馬與“網(wǎng)銀大盜網(wǎng)銀大盜”u網(wǎng)網(wǎng)銀銀大大盜盜II(Troj_Dingxa.A )u現(xiàn)象生成文件：%System%下，svch0stexe 修改注冊表：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRun下創(chuàng)建：svch0st.exe = %System%svch0st.exe taskmgr.exe = %System%svch0st.exe盜盜取取網(wǎng)網(wǎng)上上銀銀行行的的帳帳號、號、密密碼、碼、驗驗證證碼碼等。等。12木馬與木馬與“網(wǎng)銀大盜網(wǎng)銀大盜”u網(wǎng)銀大盜網(wǎng)銀大盜II(Troj_

6、Dingxa.A )u原理 木馬程序 ，非主動傳播，主要通過用戶在瀏覽某些網(wǎng)頁或點擊一些不明連接及打開不明郵件附件等操作時，間接感染用戶電腦 u解決辦法1、終止病毒進程svch0st.exe 2、注冊表修復(fù)3、刪除病毒釋放的文件svch0st.exe 4、配置防火墻和邊界路由器 13木馬與木馬與“網(wǎng)銀大盜網(wǎng)銀大盜”14多媒體木馬多媒體木馬Internet種了木馬的電腦傳送信息黑客攝像頭語音設(shè)備Google Search “inurl:ViewerFrame?Mode=” .1/ViewerFrame?Mode=Motion&Language=115匿名電子郵件轉(zhuǎn)發(fā)匿名電

7、子郵件轉(zhuǎn)發(fā)u漏洞名稱：漏洞名稱：Exchange Server匿名轉(zhuǎn)發(fā)漏洞匿名轉(zhuǎn)發(fā)漏洞u原理16匿名電子郵件轉(zhuǎn)發(fā)匿名電子郵件轉(zhuǎn)發(fā)u案例案例 深圳市二十多個郵件服務(wù)器Internet某數(shù)據(jù)中心臺灣日本17匿名電子郵件轉(zhuǎn)發(fā)匿名電子郵件轉(zhuǎn)發(fā)u造成危害u網(wǎng)絡(luò)堵塞u給利用于反動宣傳u解決方法u打補丁u關(guān)閉該服務(wù)或端口25 , 110郵郵件件服服務(wù)務(wù)器器被被RBL組組織織封封閉閉18溢出攻擊與溢出攻擊與DCOM RPC漏洞漏洞u溢出攻擊原理19溢出攻擊與溢出攻擊與DCOM RPC漏洞漏洞uDCOM RPC DCOM RPC 漏洞原理漏洞原理20溢出攻擊與溢出攻擊與DCOM RPC漏洞漏洞u造成的危害造成的

8、危害-沖擊波沖擊波21MY DOOM案例分析案例分析u郵件蠕蟲郵件蠕蟲:MY DOOMu現(xiàn)象現(xiàn)象 通過電子郵件附件傳播，設(shè)定向通過電子郵件附件傳播，設(shè)定向sco和和microsoft 發(fā)發(fā)起起DDoS攻擊攻擊u原理原理22ARP 欺騙欺騙ARP 地址解析協(xié)議ARP協(xié)議定義了兩類基本的消息： 1） 請求信息：包含自己的IP地址、硬件地址和請求解析的IP地址； 2） 應(yīng)答信息：包含發(fā)來的IP地址和對應(yīng)的硬件地址。23ARP 欺騙欺騙2 2、原理、原理24ARP 欺騙欺騙防范ARP欺騙的方法u 交換機控制u 路由器隔離u 防火墻與代理服務(wù)器25DDoS攻擊攻擊u原理原理26DDoS攻擊方法攻擊方法u

9、死亡之死亡之ping （ping of death）u淚滴（淚滴（teardrop）uUDP洪水（洪水（UDP flood）uSYN洪水（洪水（SYN flood）uLand攻擊攻擊uSmurf攻擊攻擊uFraggle攻擊攻擊27常用常用DDoS攻擊工具攻擊工具uThankgoduSYN Flooderu獨裁者獨裁者uTrinoouTFN2KuStacheldraht28SQL注入注入vWeb攻擊模擬演示5IDS 交換機防火墻Web服務(wù)器DB服務(wù)器3Select * from product where id =9714AK4AK47 7M188M188DBS003DBS003typtype

10、eDevicenamDevicename eDeviceNDeviceNo o正常訪問流程正常訪問流程29SQL注入注入vWeb攻擊模擬演示SQLSQL注入攻擊流程注入攻擊流程580端口HTTP請求25/web/n2/productview.asp?id=97;drop%20table%20dbappsecurity_new-IDS交換機防火墻Web服務(wù)器DB服務(wù)器3Select * from product where id =97Drop table dbappsecurity_new1AK4AK47 7M188M188DBS003DBS003typtype eDev

11、icenamDevicename eDeviceNDeviceNo o4命令已執(zhí)行成功30常見網(wǎng)絡(luò)安全技術(shù)常見網(wǎng)絡(luò)安全技術(shù)術(shù)uDDoS防御技術(shù)u應(yīng)用層攻擊防御（SQL 注入、XSS腳本）31 黑客偵查與追蹤技術(shù)黑客偵查與追蹤技術(shù)32黑客偵查與追蹤系統(tǒng)黑客偵查與追蹤系統(tǒng)u系統(tǒng)組成 1、現(xiàn)場勘查分析、現(xiàn)場勘查分析 2、服務(wù)器監(jiān)控、服務(wù)器監(jiān)控 3、遠程追蹤、遠程追蹤分析控制軟件分析控制軟件服務(wù)監(jiān)控軟件服務(wù)監(jiān)控軟件遠程追蹤探頭遠程追蹤探頭33黑客偵查與追蹤系統(tǒng)黑客偵查與追蹤系統(tǒng)u原理原理34黑客偵查與追蹤系統(tǒng)黑客偵查與追蹤系統(tǒng)u遠程追蹤35DDoS攻擊防御技術(shù)攻擊防御技術(shù)u當(dāng)前當(dāng)前DDoS防御技術(shù)防御

12、技術(shù)uSYN代理uSYN網(wǎng)關(guān)uDDoS防御網(wǎng)關(guān)防御網(wǎng)關(guān)36DDoS攻擊防御方法攻擊防御方法uSYN中繼（代理）u工作原理工作原理Host37SYN中繼（代理）38SYN中繼（代理）u存存在在問問題題儲儲存存所所有有SYN請請求，求，當(dāng)當(dāng)有有大大量量的的SYN攻攻擊擊包包到到來，來，F(xiàn)W一一樣樣會會崩崩潰。潰。保保護護了了服服務(wù)務(wù)器，器，堵堵死死了了防防火火墻墻39DDoS攻擊防御方法攻擊防御方法uSYN網(wǎng)關(guān)網(wǎng)關(guān)u工作原理Host40SYN網(wǎng)關(guān)41SYN網(wǎng)關(guān)u存在問題免服務(wù)器待辦隊列堵塞定時器超時后，向S發(fā)送連接RST（復(fù)位）取消。A、占用服務(wù)器緩沖B、防火墻同樣要儲存SYN請求鏈接，攻擊強烈時

13、，同樣會堵死防火墻42DDoS防御技術(shù)防御技術(shù)“催催命命”算算法法（三）三）S攻擊的三層防御措施（一）一）連連接接指指紋紋鑒鑒別別（二）二）自自適適應(yīng)應(yīng)惡惡性性服服務(wù)務(wù)請請求求攻攻擊擊的的防防御御43Host4445P，源、源、目目標標端端口，口，其其它它信信息，息，秘秘密密字）字）B、只有當(dāng)主機H回答包所攜帶的SN號經(jīng)驗證合法后，才須建立連接代理。2、優(yōu)點由由于于在在未未確確認認SYN請請求求的的合合法法性性前，前，無無須須建建立立連連接接隊隊列，列，所所以以這這種種方方法法具具備備以以下下優(yōu)優(yōu)點：點：A、防火墻無須耗費內(nèi)存資源B、沒有緩沖溢出的危險C、在NAT模式下不占用防火墻的連接數(shù)46

14、自適應(yīng)“催命”算法u針針對對性性u工工作作原原理理行的攻擊，如socket編程中的“connect”函數(shù)。這種攻擊也能通過防火墻的指紋合法性認證而建立起連接。但該攻擊的效率較低，同時占用黑客大量主機資源。防火墻中建立每條連接都有一個連接超時值A(chǔ)ge（又叫生命期），一般每半秒鐘減一，防火墻會監(jiān)控系統(tǒng)建立的連接數(shù)量，按一定算法算出（加快了）的遞減步長STEP，降低某些可疑連接的生命期，加快這些連接超時。47惡性服務(wù)請求攻擊的防御器較多資源，黑客會分析web頁面上耗費資源的分支請求，編寫程序不停調(diào)用該分支請求，造成SQL服務(wù)器響應(yīng)不過來。u工工作作原原理理給管理員一個配置接口，管理員自己可以配置一些

15、針對性統(tǒng)計策略，當(dāng)在一定時間內(nèi)某IP使用某SQL語句數(shù)量超過某一閥值時，防火墻會拒絕該IP的訪問。48其它措施其它措施對該IP進行自動鎖定，超過一定時間，一般為180秒后再進行開鎖。某集團內(nèi)網(wǎng)黑客黑客DDOS網(wǎng)關(guān)49應(yīng)用層攻擊防御應(yīng)用層攻擊防御50針對針對WEB的攻擊的攻擊Web ServerWeb Server身份認證數(shù)據(jù)字典權(quán)限/角色敏感信息系統(tǒng)文件獲取緩沖區(qū)溢出DOS攻擊DB ServerDB Server防火墻防火墻51Web風(fēng)險的產(chǎn)生風(fēng)險的產(chǎn)生攻擊結(jié)果攻擊結(jié)果泄漏客戶敏感數(shù)據(jù)，例如網(wǎng)銀賬號，手機通話記錄等。篡改數(shù)據(jù)，發(fā)布虛假信息或者進行交易欺詐。使WEB網(wǎng)站成為釣魚攻擊的平臺，將攻擊

16、擴大到所有訪問WEB應(yīng)用的用戶。例如：網(wǎng)銀成為了釣魚的場所，那么其危害和影響是不言而喻的。拒絕服務(wù)，利用應(yīng)用的弱點，造成拒絕服務(wù)，影響業(yè)務(wù)的正常運作風(fēng)險的產(chǎn)生風(fēng)險的產(chǎn)生 80%基于WEB的應(yīng)用或多或少都存在安全問題，其中很大一部分是相當(dāng)嚴重的問題 防火墻、IDS或者使用SSL協(xié)議對此毫無用處 不僅僅是開放在Internet的Web存在風(fēng)險 更多的 ERP/CRM/MSS 系統(tǒng)也都使用了Web應(yīng)用程序 52跨站腳本攻擊簡介跨站腳本攻擊簡介(1)嚴格的過濾和轉(zhuǎn)換，就導(dǎo)致在返回頁面中可能嵌入惡意代碼。遠程攻擊者可以利用這些漏洞在用戶瀏覽器會話中執(zhí)行任意HTML和腳本代碼。跨站腳本執(zhí)行漏洞的攻擊效果需

17、要借助第三方網(wǎng)站來顯現(xiàn)，因此這種攻擊能在一定程度上隱藏身份53跨站腳本攻擊簡介跨站腳本攻擊簡介(2) 54跨站腳本攻擊簡介跨站腳本攻擊簡介(3) 直接影響：利用該漏洞可以欺騙信任此網(wǎng)站的用戶去執(zhí)行任意的惡意代碼或者轉(zhuǎn)向其他惡意URL。 潛在影響：導(dǎo)致網(wǎng)站用戶對網(wǎng)站的信任度降低。安全安全風(fēng)險風(fēng)險55跨站腳本攻擊簡介跨站腳本攻擊簡介(4) 56SQL注入攻擊簡介注入攻擊簡介技術(shù)技術(shù)概述概述 就攻擊技術(shù)本質(zhì)而言，它利用的工具是SQL的語法，針對的是應(yīng)用程序開發(fā)者編程中的漏洞，當(dāng)攻擊者能操作數(shù)據(jù)，向應(yīng)用程序中插入一些SQL語句時，SQL Injection攻擊就發(fā)生了。 實際上，SQL Injecti

18、on攻擊是存在于常見的多連接的應(yīng)用程序中的一種漏洞，攻擊者通過在應(yīng)用程序預(yù)先定義好的SQL語句結(jié)尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢,篡改和命令執(zhí)行。 就風(fēng)險而言，SQL Injection攻擊也是位居前列，和緩沖區(qū)溢出漏洞相比，其優(yōu)勢在于能夠輕易的繞過防火墻直接訪問數(shù)據(jù)庫，甚至能夠獲得數(shù)據(jù)庫所在的服務(wù)器的系統(tǒng)權(quán)限。 在Web應(yīng)用漏洞中，SQL Injection 漏洞的風(fēng)險要高過其他所有的漏洞。安全安全風(fēng)險風(fēng)險57SQL注入攻擊簡介注入攻擊簡介攻擊特點攻擊特點 攻擊的廣泛性：由于其利用的是SQL語法,使得攻擊普遍存在； 攻擊代碼的多樣性：由于各種數(shù)據(jù)庫軟件及應(yīng)用程

19、序有其自身的特點，實際的攻擊代碼可能不盡相同；影響范圍影響范圍 數(shù)據(jù)庫：MS-Sql Server、Oracle、Mysql、DB2、Informix等所有基于SQL語言標準的數(shù)據(jù)庫軟件； 應(yīng)用程序：ASP、PHP，JSP、CGI、CFM等所有應(yīng)用程序；58SQL注入攻擊注入攻擊(3)Web服務(wù)器身份認證信息權(quán)限/角色敏感應(yīng)用數(shù)據(jù)系統(tǒng)級文件存取緩沖區(qū)溢出DOS攻擊數(shù)據(jù)字典DB服務(wù)器SQL注入攻擊示意注入攻擊示意59WEB應(yīng)用深度防御應(yīng)用深度防御v 實時告警實時告警601、建立整體監(jiān)控管理系統(tǒng)2、關(guān)注你負責(zé)的系統(tǒng) 把所管理的網(wǎng)站系統(tǒng)（或者監(jiān)控系統(tǒng)）設(shè)為瀏覽器的首頁，每天至少看三次你所管理的系統(tǒng)，

20、殘酷地說，管理員沒有節(jié)假日，因為節(jié)假日恰恰是攻擊的高發(fā)時段。日常安全維護日常安全維護613、定期備份數(shù)據(jù)庫和供下載的文檔、定期備份數(shù)據(jù)庫和供下載的文檔定期備份數(shù)據(jù)庫和上傳的文件，如果不是很經(jīng)常更新，訪問量不大，大概每周備份一次，反之每天一次，不要怕麻煩，這個制度很有必要。日常安全維護日常安全維護624、經(jīng)常用FTP登陸，查看上傳目錄下的文件格式上傳目錄下不應(yīng)該有asp,cer,cdx,com,exe,bat之類的文件.一般情況下，允許上傳的文件格式有：圖片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCXOFFICE文檔：DOC,XLS,PPT,MDB文本文件：TXT,RTF壓縮文件

21、：RAR,ZIP,ISO日常安全維護日常安全維護635、掌握最新的補丁以及漏洞信息經(jīng)常關(guān)注官方網(wǎng)站的補丁發(fā)布，及時修改。這里推薦一個帶漏洞搜索引擎的漏洞公布網(wǎng)址：日常安全維護日常安全維護646、設(shè)置足夠強壯的密碼、設(shè)置足夠強壯的密碼管理的帳號密碼應(yīng)與管理員個人常用的不同，以防他人從別處得到網(wǎng)站的密碼。如果有多個管理員，要保證所有人的密碼都是“健壯的”，即不能像“123456”這樣容易猜測，必須是數(shù)字、字母和符號的組合。這點很重要，不然所有的安全措施都是徒勞！日常安全維護日常安全維護65日常安全維護日常安全維護一、部署專用網(wǎng)絡(luò)安全設(shè)備一、部署專用網(wǎng)絡(luò)安全設(shè)備:防火墻防火墻 漏洞掃描漏洞掃描 入侵

22、檢入侵檢測系統(tǒng)測系統(tǒng) Anti DDoS 、 流量監(jiān)控流量監(jiān)控二、網(wǎng)站系統(tǒng)的專用保護方法二、網(wǎng)站系統(tǒng)的專用保護方法 v 本地和遠程：本地監(jiān)控、遠程建立統(tǒng)計監(jiān)控平臺；本地和遠程：本地監(jiān)控、遠程建立統(tǒng)計監(jiān)控平臺；v 定時和觸發(fā)：根據(jù)等級設(shè)定觸發(fā)時間；定時和觸發(fā)：根據(jù)等級設(shè)定觸發(fā)時間； v 比較方法比較方法 ：文件大小、數(shù)字簽名；：文件大小、數(shù)字簽名；v 恢復(fù)方式：本地恢復(fù)、遠程恢復(fù)；恢復(fù)方式：本地恢復(fù)、遠程恢復(fù)；v 備份庫的安全備份庫的安全 ：隱藏備份庫；：隱藏備份庫；三、網(wǎng)站保護的缺陷三、網(wǎng)站保護的缺陷 v 保護軟件通常都是針對靜態(tài)頁面而保護軟件通常都是針對靜態(tài)頁面而設(shè)計設(shè)計，而現(xiàn)在動態(tài)頁面占據(jù)的范圍越，而現(xiàn)在動態(tài)頁面占據(jù)的范圍越來越大，盡管本地監(jiān)測方式可以檢測腳本文件，但對腳本文件使用的數(shù)據(jù)庫來越大，盡管本地監(jiān)測方式可以檢測腳本文件，但對腳本文件使用的數(shù)據(jù)庫卻無能為力。卻無能為力。 66應(yīng)急處理方法應(yīng)急處理方法應(yīng)急事件處理應(yīng)急事件處理 四四 步曲步曲1 1、先找專家、先找專家 2 2、立刻恢復(fù)、立刻恢復(fù) 3 3、分析源頭、分析源頭 4 4、修補漏洞、修補漏洞671、先找專家、先找專家 a、聯(lián)系專業(yè)安全服務(wù)單位、