常見黑客攻擊及安全防御手段

1、常見黑客攻擊及安全防御手段綠盟科技于慧龍?zhí)峋V常見的黑客攻擊方法常用的安全技術(shù)防范措能Miracle Everyday常見的黑客攻擊方法nnMiracle Everyday入侵技術(shù)的發(fā)展入侵者水平攻擊手法半開放隱蔽掃描工具 ° 利用已知的漏洞 密碼破解可自動(dòng)復(fù)制的代碼攻擊者密碼猜測19801985199019952000 2002Miracle Everyday入侵系統(tǒng)的常用步驟提升為最高權(quán)裝統(tǒng)門安系后獲取敏感信息或者其他攻擊目的Miracle Everyday較高明的入侵步驟判斷 系統(tǒng)端口判斷擇簡式侵 選最方入提升為最高權(quán)攻他除侵印清入腳獲取敏感信息作為其他用途Miracle Eve

2、ryday常見的安全攻擊方法Miracle EverydayMiracle Everyday直接獲取口令進(jìn)入系統(tǒng)：網(wǎng)絡(luò)監(jiān)聽，暴力破解 利用系統(tǒng)自身安全漏洞戶打開或下載，然后使用戶在無意中激活，導(dǎo)致系統(tǒng)特洛伊木馬程序：偽裝成工具程序或者游戲等誘使用后門被安裝 WWW欺騙：誘使用戶訪問纂改過的網(wǎng)頁 電子郵件攻擊：郵件炸彈、郵件欺騙 網(wǎng)絡(luò)監(jiān)聽：獲取明文傳輸?shù)拿舾行畔⑼ㄟ^一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)：攻擊者控制一臺(tái)主機(jī) 后，經(jīng)常通過IP欺騙或者主機(jī)信任關(guān)系來攻擊其他節(jié) 點(diǎn)以隱蔽其入侵路徑和擦除攻擊證據(jù)拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊(D.o.S和D.D.o.S)Miracle Everyday2001年中美

3、黑客大戰(zhàn)事件背景和經(jīng)過 4月初，以PoizonBOx. prOphet為代表的美國黑客 4.1撞機(jī)事件為導(dǎo)火線 4月下旬，國內(nèi)紅（）客組織或個(gè)人，開始對(duì)美組織對(duì)國內(nèi)站點(diǎn)進(jìn)行攻擊，約300個(gè)左右的站點(diǎn)頁 面被修改小、國網(wǎng)站進(jìn)行小規(guī)模的攻擊行動(dòng)，4月26日有人發(fā)表了 “五一衛(wèi)國網(wǎng)戰(zhàn)”戰(zhàn)前聲明，宣布將在5月1日至 8日，對(duì)美國網(wǎng)站進(jìn)行大規(guī)模的攻擊行動(dòng)。各方都得到第三方支援 各大媒體紛紛報(bào)道，評(píng)論，中旬結(jié)束大戰(zhàn)Miracle EverydayPoizonBOx> prOphet更改的網(wǎng)頁國內(nèi)某大型商業(yè)網(wǎng)站國內(nèi)某政府網(wǎng)站cp«. arjottd fiile laKke<2 :-&g

4、t;t>iir the ritlD is：nnr. pigych. jic. artHi-Tech Hate Crewwas here ：-)A cybcrwtLi between American hackers and Chinese hackers isstartcd where orc you? Ancrican hackers rulcz!84dBoy aea cates thes one to Simora: c<ease remerrbe-1 will LOVS you forevbnnDrol Rah'S el*diC5tA- this to "

5、G love LmdA中國科學(xué)院心理研究所中經(jīng)網(wǎng)數(shù)據(jù)有限公司tiar k Wf isrrI M»< el400* 1<WH FE M CVK<B toMiracle EveStatistics of th» day.IIACKWEISER: 63466 CHINA: -2 !How's that for odds?!Yep it/s me again from hackwciscr and i" mhere to spread a little bit of that good ol*Asian Domintation around to

6、 your communisticgovernment!We have heard reports that you guys are國內(nèi)黑客組織更改的網(wǎng)站頁面美國某大型商業(yè)網(wǎng)站美國某政府網(wǎng)站我是中國人！紅盟廣東組Beat down lmp«riahsm of American!Rrwsd byvf C IrinaMlirTI-tCHi-nk*：:«l4int44rwt*col ib; ration««GiiArtiihfiMgrehryvtxmp cuncttt««< ivtiitiMv3462?美國勞工部網(wǎng)站美國某節(jié)點(diǎn)網(wǎng)站7

7、m*八，ilrv*»HUkX»yH*AQ 卜I1te) «W<D “SZJUI： «»XK>-二寶仝aw»出aa召宙T XUSANAZIBUSHMurdererBeat down Imperialism of American!H*rKf UniOR 伏 CMno HUd By RedfreedorWf .H.U.C VM io cf Ktxi2：Matnmm the raurdlevtor of th* tnarwrtaCuor4s E nitcmlto/frtflnyOut* de coniHteitreshtaixe

8、 sriame!AKtoh ti-CNr«*« TO""",d9246D XtmmMiracle Everyday這次事件中被利用的典型漏洞紅客聯(lián)盟負(fù)責(zé)人在5月9日網(wǎng)上記者新聞發(fā)布會(huì) 上對(duì)此次玫擊事件協(xié)菽術(shù)背景說明如下：“我 們更多的是一種不滿情緒的發(fā)泄，大家也可以 看到被攻破的瘵是一些小站，大部分瘵是 NT/Win2000系統(tǒng),這個(gè)行動(dòng)在技術(shù)上是沒有 任何炫耀和炒祜的價(jià)值的。”主要采用當(dāng)時(shí)流行的系統(tǒng)漏洞進(jìn)行攻擊用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼Unicode編碼可穿越firewall,執(zhí)行黑客指令 ASP源代碼泄露可遠(yuǎn)程連接的數(shù)據(jù)庫用戶名

9、 和密碼SQL server缺省安裝微軟Windows 2000登錄驗(yàn)證機(jī)制可被繞過 Bind遠(yuǎn)程溢出)Lion蠕蟲SUN rpc.sadmind 遠(yuǎn)程溢出，sadmin/IIS蠕蟲 Wu-Ftpd格式字符串錯(cuò)誤遠(yuǎn)程安全漏洞 拒絕服務(wù)(syn-flood , ping )Miracle Everyday這次事件中被利用的典型漏洞用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼劈-“ All user accounts:Users with unsecure password:"< <rf Ucint;tZMLllCCmt入侵者利用黑客工具 掃描系統(tǒng)用戶獲得用戶名和簡單密碼o Win

10、dows 2000登錄驗(yàn)證機(jī)制可被繞過Miracle Everyday這次事件中被利用的典型漏洞Miracle Everyday這次事件中被利用的典型漏洞溝蓋爲(wèi)&LJU目去變i牙引:如|龍全驅(qū)I2d詠：I&mp4LJnysdFTcg-anrtes口W1MJT科主拚21 兒醫(yī)SHMg曰網(wǎng)元蘋 滬刪JX|7««己準(zhǔn)I輸支洋冬幻：SWindows：&莖于IT扶杓耶£)»«：*«rntprmii 慮農(nóng)囚卻alICL. Gill" nroWMlVBL File 他懐IBL:LI*F 物觀 IBL Hm»

11、;s fr«oc«lJrptocttlMiracle Everyday攻擊的發(fā)展趨勢(shì)Web ServerFile Server混合型攻擊:蠕蟲防病毒W(wǎng)orkstationWorkstationInternetWorkstation Via EmailWeb Server Via Web Page入侵檢澱iMail ServerMail Gateway混合型.自動(dòng)的攻擊Miracle Everyday攻擊的發(fā)展趨勢(shì)Miracle EverydayMiracle Everyday漏洞趨勢(shì)-嚴(yán)重程度中等或較高的漏洞急劇增加，新漏洞被利用越來越容易(大約 60%不需或很少需用代碼)

12、混合型威脅趨勢(shì)將病毒、蠕蟲、特洛伊木馬和惡意代碼的特性與服務(wù)器和Internet漏 洞結(jié)合起來而發(fā)起、傳播和擴(kuò)散的攻擊，例：紅色代碼和尼姆達(dá)等。主動(dòng)惡意代碼趨勢(shì)制造方法：簡單并工具化技術(shù)特征：智能性、攻擊性和多態(tài)性，采用加密、變換、插入等技術(shù) 手段巧妙地偽裝自身，躲避甚至攻擊防御檢測軟件.-表現(xiàn)形式：多種多樣,沒有了固定的端口，沒有了更多的連接,甚至發(fā) 展到可以在網(wǎng)絡(luò)的任何一層生根發(fā)芽，復(fù)制傳播，難以檢測。受攻擊未來領(lǐng)域即時(shí)消息：MSN,Yahoo,ICQQICQ等對(duì)等程序(P2P)移動(dòng)設(shè)備Miracle Everyday“紅色代碼”病毒的工作原理1. 病毒利用IIS的.ida漏洞進(jìn)入系統(tǒng)并獲

13、得 SYSTEM權(quán)限（微軟在2001年6月份已發(fā)布修復(fù) 程序 MS01-033）2. 病毒產(chǎn)生100個(gè)新的線程99個(gè)線程用于感染其它的服務(wù)器第100個(gè)線程用于檢查本機(jī)，并修改當(dāng)前 首頁3. 在7/20/01時(shí)所有被感染的機(jī)器回參與對(duì)白宮網(wǎng)站www. whitehouse. £ov的自動(dòng)攻擊.尼母達(dá)Nimada的工作原理 4種不同的傳播方式IE瀏覽器：利用IE的一個(gè)安全漏洞（微軟在2001年3月份已發(fā)布修復(fù)程序MS01-020） IIS服務(wù)器：和紅色代碼病毒相同，或直接利用 它留下的木馬程序.（微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所 有的修復(fù)程序和解決方案）電子郵件附件：（已被使用過

14、無數(shù)次的攻擊方式）文件共享：針對(duì)所有未做安全限制的共享Miracle EverydayMYDOOM的工作原理W32.Novarg.Amm Symantec,受影響系統(tǒng):Win9x/NT/2K/XP/20031、創(chuàng)建如下文件： %System%shimgapi.dll %temp%Message,這個(gè)文件由隨機(jī)字母通組成。 %System%taskmon.exe,如果此文件存在，則用病毒文件覆蓋。2、Shimgapi.dll的功能是在被感染的系統(tǒng)內(nèi)創(chuàng)建代理服務(wù)器，并開啟 3127到3198范圍內(nèi)的TCP端口進(jìn)行監(jiān)聽；3、添加如下注冊(cè)表項(xiàng)，使病毒可隨機(jī)啟動(dòng)，并存儲(chǔ)病毒的活動(dòng)信息。4、對(duì)實(shí)施拒絕服務(wù)

15、（DoS）攻擊，創(chuàng)建64個(gè)線程發(fā)送GET請(qǐng) 求，這個(gè)DoS攻擊將從2004年2月1延續(xù)到2004年2月12H ;5、在如下后綴的問中搜索電子郵件地址，但忽略以edu結(jié)尾的郵件地 址：htm .sht .php .asp .dbx tbb .adb .pl wab txt等；6、使用病毒自身的SMTP引擎發(fā)送郵件，他選擇狀態(tài)良好的服務(wù)器發(fā) 送郵件，如果失敗，則使用本地的郵件服務(wù)器發(fā)送；7、郵件內(nèi)容如下：From:可能是一個(gè)欺騙性的地址；主題:hi/hello等。Miracle Everyday常見的安全技術(shù)防范措施Miracle Everyday常用的安全防護(hù)措施Miracle Everyday

16、Miracle Everyday防火墻入侵檢測漏洞掃描抗拒絕服務(wù)防病毒系統(tǒng)安全加固 SUS補(bǔ)丁安全管理Miracle Everyday常用的安全防護(hù)措施一防火墻加密防病毒、內(nèi)容過濾r 訪問控制認(rèn)證NAT流量管理Miracle Everyday防火墻的局限性防火墻不能防止通向站點(diǎn)的后門。防火墻一般不提供對(duì)內(nèi)部的保護(hù)。防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。防火墻本身的防攻擊能力不夠，容易成 為被攻擊的首要目標(biāo)。防火墻不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊 的情況動(dòng)態(tài)調(diào)整自己的策略。Miracle Everyday防護(hù)時(shí)間時(shí)間0沖I防火墻與IDS聯(lián)動(dòng)、Dt-檢測時(shí)間+Rt-響應(yīng)時(shí)間Pt-防護(hù)時(shí)間 >入侵檢測系

17、統(tǒng)IntranetIDS Agentrouterwall報(bào)警監(jiān)控中心DMZ現(xiàn)攻"IDS AgentMiracle Every入侵檢測系統(tǒng)的作用實(shí)時(shí)檢測實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文安全審計(jì)對(duì)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析發(fā)現(xiàn)異常現(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動(dòng)響應(yīng)主動(dòng)切斷連接或與防火墻聯(lián)動(dòng)，調(diào)用其他程序處理漏洞掃描系統(tǒng)Illi! Illlllllllllllllllli地方網(wǎng)scanner地方網(wǎng)管監(jiān)地方網(wǎng)4JSJm inI III HII III HBI in »i | an inMiracle EverydayI :111漏

18、洞掃描產(chǎn)品應(yīng)用、聃煙空會(huì)嗆量時(shí)扳攻擊初以伽翔嚨力男細(xì)陀襯礎(chǔ)，OBSM6»«Watti81l&KsE <v<>滯FOCU漣隔取EtJgim曲:5蔚制知鄆刪；瞰火t瑋昨!郴廨的躺；価豳0啲仇SAS漏洞描述與解決方法拒絕服務(wù)攻擊(DoS/DDoS)Miracle EverydayMiracle Everyday網(wǎng)絡(luò)層 SYN Flood ICMP Flood UDP Flood Ping of Death應(yīng)用層垃圾郵件CGI資源耗盡Miracle EverydaySYN Flood 原理Miracle EverydayMiracle Everyday正常

19、的三次握手建立通訊的過程Miracle EverydaySYN Flood 原理是你等！就讓白 P不能建立正常的連接受害者M(jìn)iracle Everyday連接耗盡正常用戶不能建立正常的連接受害者M(jìn)iracle Everyday拒絕服務(wù)攻擊的對(duì)抗網(wǎng)絡(luò)層升級(jí)系統(tǒng)防止ping of death等攻擊 通過帶寬限制來防止flood攻擊 應(yīng)用層拒絕服務(wù)的抵抗通常需要在應(yīng)用層進(jìn)行特定的設(shè)計(jì) SYN Flood與連接耗盡是難點(diǎn)Miracle Everyday計(jì)算機(jī)病毒程序型病毒引導(dǎo)型病毒宏病毒特洛伊木馬型的程序有危害的移動(dòng)編碼Miracle Everyday防病毒軟件歷史單機(jī)版靜態(tài)殺毒實(shí)時(shí)化反病毒防病毒卡動(dòng)態(tài)升級(jí)主動(dòng)內(nèi)核技術(shù)自動(dòng)檢測技術(shù)：特征代碼檢測單特征檢查法基于特征標(biāo)記免疫外殼防病毒技術(shù)發(fā)展第一代反病毒技術(shù)番勞單純的病毒特征診斷，對(duì)加密、變形的新一代病毒無能第二住反病毒技術(shù)采用靜態(tài)廣譜特征掃描技術(shù)，可以檢測變形病毒誤報(bào)率高，殺毒風(fēng)險(xiǎn)大；第三代反病毒技術(shù)靜態(tài)掃描技術(shù)和動(dòng)態(tài)仿真跟蹤技術(shù)相結(jié)合；第四代反病毒技術(shù)基于病毒家族體系的命名規(guī)則基于多位CRC校驗(yàn)和掃描機(jī)理啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊（能查出隱蔽 性機(jī)強(qiáng)昴壓縮加密文彳牛申的病毒）、內(nèi)存解毒模挨、自身菟 疫損塊Miracle Everyday企業(yè)級(jí)防病毒體系Mi