完全你的安全

完全你的安全2023/4/201第1頁，共65頁，2023年，2月20日，星期六黑客攻防技術(shù)網(wǎng)絡(luò)安全概述黑客主要攻擊技術(shù)典型攻防工具介紹實(shí)際操作2023/4/202第2頁，共65頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全概述※黑客

閃客（Flasher)、快客（Creaker)

2023/4/203第3頁，共65頁，2023年，2月20日，星期六安全新動(dòng)態(tài)網(wǎng)絡(luò)規(guī)模愈來愈大網(wǎng)絡(luò)應(yīng)用越來越豐富以蠕蟲（Worm）為主要代表的病毒傳播成為熱點(diǎn)以拒絕服務(wù)（DDOS）為主要目的網(wǎng)絡(luò)攻擊時(shí)時(shí)考驗(yàn)客戶的網(wǎng)絡(luò)以垃圾信息為代表的非法內(nèi)容浪費(fèi)著網(wǎng)絡(luò)的資源2023/4/204第4頁，共65頁，2023年，2月20日，星期六安全問題在安全建設(shè)中往往需要引入眾多的安全技術(shù)和產(chǎn)品，因此面臨著：1.它們之間卻缺少信息層互通能力;2.缺乏全網(wǎng)的集中監(jiān)控能力。從而降低了安全系統(tǒng)整體的運(yùn)作效率，增加了安全事件的發(fā)現(xiàn)時(shí)間和響應(yīng)時(shí)間，甚至最終導(dǎo)致安全事故的發(fā)生！FirewallIDS/IPS安全審計(jì)數(shù)據(jù)加密反病毒身份認(rèn)證漏洞掃描OPSECIDMEFSYSLOGSNMPDatabaseWMINTLOG點(diǎn)安全應(yīng)用安全2023/4/205第5頁，共65頁，2023年，2月20日，星期六在過去的安全事故里，蠕蟲病毒是我們面對最為頭疼的問題之一；它造成了我們網(wǎng)絡(luò)帶寬的消耗、服務(wù)器資源的崩潰，使得我們的領(lǐng)導(dǎo)不滿，甚至對業(yè)務(wù)生產(chǎn)造成中斷，因此我們一直都想消除或者控制它，但實(shí)際安全運(yùn)維中卻發(fā)現(xiàn)很多技術(shù)問題：接下來我們將以如何處理蠕蟲為例來進(jìn)行分析：IT部門的煩惱---技術(shù)角度心預(yù)警防護(hù)檢測響應(yīng)恢復(fù)反制.

如何事先了解安全問題和安全趨勢；.

如何調(diào)整安全防護(hù)策略應(yīng)對蠕蟲病毒？.

病毒感染源？病毒主機(jī)？影響信息系統(tǒng)？.

要清除和防止蠕蟲病毒我們應(yīng)該怎么做？.

如何恢復(fù)被蠕蟲攻擊的信息系統(tǒng)？.

如何取證、定位來規(guī)范相關(guān)人員和流程？安全蠕蟲攻擊我們需要安全閉環(huán)！2023/4/206第6頁，共65頁，2023年，2月20日，星期六安全進(jìn)入體系時(shí)代要求建造安全的整體網(wǎng)絡(luò)從點(diǎn)轉(zhuǎn)變到面的方式考慮安全問題各種整體的解決方案和技術(shù)體系被提出天融信：可信網(wǎng)絡(luò)架構(gòu)（TNA）CISCO：自防御網(wǎng)絡(luò)（SDN）華為：安全滲透網(wǎng)絡(luò)（SPN）銳捷：全局安全網(wǎng)絡(luò)（GSN）2023/4/207第7頁，共65頁，2023年，2月20日，星期六黑客攻擊技術(shù)2023/4/208第8頁，共65頁，2023年，2月20日，星期六黑客入侵的一般流程2023/4/209第9頁，共65頁，2023年，2月20日，星期六掃描技術(shù)什么是掃描？

實(shí)際上是自動(dòng)檢測遠(yuǎn)程或本地主機(jī)（目標(biāo)）安全性弱點(diǎn)的程序。常用的掃描技術(shù)

TCP方式（采用三次握手的方式）

SYN方式（利用半連接的方式）2023/4/2010第10頁，共65頁，2023年，2月20日，星期六掃描技術(shù)常用的掃描工具流光5.0、Xscan3.0、Superscan4.0、NSS2023/4/2011第11頁，共65頁，2023年，2月20日，星期六掃描技術(shù)2023/4/2012第12頁，共65頁，2023年，2月20日，星期六掃描技術(shù)2023/4/2013第13頁，共65頁，2023年，2月20日，星期六掃描技術(shù)防止方法

安裝個(gè)人或者網(wǎng)絡(luò)防火墻、屏蔽相應(yīng)的應(yīng)用及端口2023/4/2014第14頁，共65頁，2023年，2月20日，星期六滲透技術(shù)什么是滲透？

利用已知目標(biāo)的相關(guān)漏洞信息，對目標(biāo)進(jìn)行試探性入侵，拿到一點(diǎn)權(quán)限并為下一步作準(zhǔn)備常用滲透手段

技術(shù)手段（代碼注入、系統(tǒng)溢出、權(quán)限提升、跳板等）

非技術(shù)手段（社會(huì)工程學(xué)）2023/4/2015第15頁，共65頁，2023年，2月20日，星期六滲透技術(shù)嘗試?yán)肐IS中知名的Unicode漏洞微軟IIS4.0和5.0都存在利用擴(kuò)展UNICODE字符取代“/”和“＼”而能利用“../”目錄遍歷的漏洞。

未經(jīng)授權(quán)的用戶可能利用IUSR_machinename賬號(hào)的上下文空間訪問任何已知的文件。該賬號(hào)在默認(rèn)情況下屬于Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯驅(qū)動(dòng)器上的能被這些用戶組訪問的文件都能被刪除，修改或執(zhí)行，就如同一個(gè)用戶成功登陸所能完成的一樣。

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

Directoryofc:\

2001-06-1103:47p289default.asp

2001-06-1103:47p289default.htm

2001-03-0904:35pDIR>DocumentsandSettings

2001-06-1103:47p289index.asp

2001-06-1103:47p289index.htm

2001-05-0805:19aDIR>Inetpub

2001-05-1910:37pDIR>MSSQL7

2001-03-0904:22pDIR>ProgramFiles

2001-05-2306:21pDIR>WINNT

4File(s)1,156bytes

5Dir(s)2,461,421,561bytesfree這是已經(jīng)看到目標(biāo)主機(jī)的C盤根目錄和文件了。http://219.237.xx.xx/yddown/view.asp?id=3

http://219.237.xx.xx/yddown%5cview.asp?id=3防止方法：打好相應(yīng)的補(bǔ)丁程序，并升級(jí)到最新版本。利用IDS（入侵檢測）技術(shù)，進(jìn)行監(jiān)控記錄2023/4/2016第16頁，共65頁，2023年，2月20日，星期六溢出攻擊什么是溢出？

利用目標(biāo)操作系統(tǒng)或者應(yīng)用軟件自身的安全漏洞進(jìn)行特別代碼請求，使其被迫掛起或者退出，從而得到一定的操作權(quán)限的行為。溢出分類

操作系統(tǒng)溢出/應(yīng)用程序溢出

本地溢出/遠(yuǎn)程溢出2023/4/2017第17頁，共65頁，2023年，2月20日，星期六溢出攻擊主要溢出舉例

嘗試?yán)?printer遠(yuǎn)程緩沖區(qū)溢出漏洞進(jìn)行攻擊由于IIS5的打印擴(kuò)展接口建立了.printer擴(kuò)展名到msw3prt.dll的映射關(guān)系，缺省情況下該映射存在。當(dāng)遠(yuǎn)程用戶提交對.printer的URL請求時(shí)，IIS5調(diào)用msw3prt.dll解釋該請求。由于msw3prt.dll缺乏足夠的緩沖區(qū)邊界檢查，遠(yuǎn)程用戶可以提交一個(gè)精心構(gòu)造的針對.printer的URL請求，其"Host:"域包含大約420字節(jié)的數(shù)據(jù)，此時(shí)在msw3prt.dll中發(fā)生典型的緩沖區(qū)溢出，潛在允許執(zhí)行任意代碼。緩沖區(qū)溢出：向一個(gè)有限空間的緩沖區(qū)中拷貝了過長的字符串，帶來了兩種后果，一是過長的字符串覆蓋了相臨的存儲(chǔ)單元而造成程序癱瘓，甚至造成當(dāng)機(jī)、系統(tǒng)或進(jìn)程重啟等；二是利用漏洞可以讓攻擊者運(yùn)行惡意代碼，執(zhí)行任意指令，甚至獲得超級(jí)權(quán)限等。

RPC溢出、webdav、Ser_U6.0以上版本、RealServer8.0、ida溢出等2023/4/2018第18頁，共65頁，2023年，2月20日，星期六溢出攻擊防止方法

升級(jí)到最新版本，并打好相關(guān)的補(bǔ)丁程序。運(yùn)用IDS（入侵檢測）技術(shù)或者日志審計(jì)，進(jìn)行監(jiān)控記錄2023/4/2019第19頁，共65頁，2023年，2月20日，星期六代碼攻擊什么是代碼攻擊？

利用網(wǎng)站或者應(yīng)用系統(tǒng)后臺(tái)程序代碼漏洞或者數(shù)據(jù)庫調(diào)用程序不規(guī)范進(jìn)行入侵的行為代碼攻擊類型

ASP注入

PHP注入

Java/ASP.net2023/4/2020第20頁，共65頁，2023年，2月20日，星期六代碼攻擊代碼攻擊主要工具

NBSI2.0（ASP）

HDSI3.0（ASP、PHP）啊D_Tools應(yīng)對方法

嚴(yán)謹(jǐn)后臺(tái)編程手法，規(guī)范數(shù)據(jù)庫調(diào)用方法利用IDS（入侵檢測）技術(shù)，進(jìn)行監(jiān)控和記錄2023/4/2021第21頁，共65頁，2023年，2月20日，星期六嗅探什么是嗅探？

在以太網(wǎng)或其他共享傳輸介質(zhì)的網(wǎng)絡(luò)上，用來截獲網(wǎng)絡(luò)上傳輸?shù)男畔⑿崽椒绞剑▍f(xié)議還原和密碼截取）

內(nèi)網(wǎng)嗅探（利用內(nèi)部網(wǎng)HUB環(huán)境或者交換機(jī)鏡像口）外網(wǎng)接線嗅探（利用中轉(zhuǎn)路由或者交換設(shè)備鏡像）2023/4/2022第22頁，共65頁，2023年，2月20日，星期六嗅探嗅探典型工具

Sniffer（協(xié)議和管理）

Iris（協(xié)議）

Cain2.5（密碼）防止方法

內(nèi)網(wǎng)采用交換機(jī)接入設(shè)為管理策略對于外網(wǎng)可采用應(yīng)用層加密協(xié)議或者第三方加密設(shè)備2023/4/2023第23頁，共65頁，2023年，2月20日，星期六口令破解口令破解

是指破解口令或屏蔽口令保護(hù)口令破解方式

字典暴破（字典組合）防真對比（利用用戶日常常用字符）屏蔽技術(shù)（利用程序或者流程漏洞）2023/4/2024第24頁，共65頁，2023年，2月20日，星期六口令破解常用破解工具

MD5_CreakerCain5.0防止方法

設(shè)置高強(qiáng)度密碼規(guī)范操作流程和個(gè)人操作習(xí)慣（定期改變口令）打相應(yīng)的漏洞補(bǔ)丁2023/4/2025第25頁，共65頁，2023年，2月20日，星期六口令破解破解成功！對方administrator的密碼為12342023/4/2026第26頁，共65頁，2023年，2月20日，星期六木馬技術(shù)什么是木馬

是指任何提供了隱藏的、用戶不希望的功能程序木馬類型1、按連接方式主動(dòng)/被動(dòng)2、管理方式

B/S、C/S2023/4/2027第27頁，共65頁，2023年，2月20日，星期六木馬技術(shù)常用木馬工具

冰河灰鴿子2005ServenDoor防止方法

安裝防火墻和防病毒軟件，時(shí)常監(jiān)視相關(guān)進(jìn)程

2023/4/2028第28頁，共65頁，2023年，2月20日，星期六病毒什么是病毒？

計(jì)算機(jī)病毒是指能夠通過某種途徑潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)或程序中，當(dāng)滿足某種條件后即被激活，且對計(jì)算機(jī)資源具有破壞作用的一種程序或指令的集合。2023/4/2029第29頁，共65頁，2023年，2月20日，星期六病毒的演化趨勢

攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對防毒體系提出新的挑戰(zhàn)IDC,2004郵件/互聯(lián)網(wǎng)CodeRedNimdafunloveKlez20012002郵件Melissa19992000LoveLetter1969物理介質(zhì)Brain19861998CIHSQLSlammer20032004沖擊波震蕩波2023/4/2030第30頁，共65頁，2023年，2月20日，星期六Internet成為主要傳播途徑據(jù)ICSA病毒流行性調(diào)查結(jié)果，電子郵件和Internet互聯(lián)網(wǎng)已成為病毒傳播的絕對主要途徑。99%的病毒都是通過SMTP、HTTP和FTP協(xié)議進(jìn)入用戶的計(jì)算機(jī)。用戶防病毒的意識(shí)薄弱缺乏安全技術(shù)培訓(xùn)防病毒實(shí)施強(qiáng)制力不夠網(wǎng)絡(luò)中漏洞普遍存在企業(yè)所面監(jiān)的問題2023/4/2031第31頁，共65頁，2023年，2月20日，星期六WORM_SASSER.A染毒電腦未修補(bǔ)漏洞的系統(tǒng)已修補(bǔ)漏洞的系統(tǒng)隨機(jī)攻擊隨機(jī)攻擊隨機(jī)攻擊被感染不被感染被感染被感染不被感染不被感染病毒典型案例2023/4/2032第32頁，共65頁，2023年，2月20日，星期六病毒防止方法

安裝殺病毒軟件并升級(jí)病毒庫安裝個(gè)人防火墻打好相應(yīng)的補(bǔ)丁

新的防護(hù)技術(shù)

網(wǎng)關(guān)型防病毒產(chǎn)品（病毒過濾網(wǎng)關(guān)）2023/4/2033第33頁，共65頁，2023年，2月20日，星期六防病毒網(wǎng)關(guān)介紹2023/4/2034第34頁，共65頁，2023年，2月20日，星期六防病毒網(wǎng)關(guān)介紹全面的協(xié)議保護(hù)

支持SMTP、POP3、IMAP4、HTTP和FTP協(xié)議實(shí)際應(yīng)用中，HTTP協(xié)議開啟后系統(tǒng)工作正常支持HTTPS協(xié)議，主要用在電子商務(wù)方面2023/4/2035第35頁，共65頁，2023年，2月20日，星期六防病毒網(wǎng)關(guān)介紹即插即用的透明接入方式采用流掃描技術(shù)

內(nèi)部局域網(wǎng)郵件過濾Http過濾Ftp過濾FirewallInternet病毒從Internet入侵STOP!2023/4/2036第36頁，共65頁，2023年，2月20日，星期六隨機(jī)存取的掃描算法（傳統(tǒng)的解決方案）

2023/4/2037第37頁，共65頁，2023年，2月20日，星期六流掃描技術(shù)2023/4/2038第38頁，共65頁，2023年，2月20日，星期六DOS/DDOS攻擊什么是DOS/DDOS攻擊？DenialofService(DoS)

拒絕服務(wù)攻擊,攻擊者利用大量的數(shù)據(jù)包“淹沒”目標(biāo)主機(jī)，耗盡可用資源乃至系統(tǒng)崩潰，而無法對合法用戶作出響應(yīng)。DistributedDenialofService(DDoS)分布式拒絕服務(wù)攻擊,攻擊者利用因特網(wǎng)上成百上千的“Zombie”(僵尸)-即被利用主機(jī)，對攻擊目標(biāo)發(fā)動(dòng)威力巨大的拒絕服務(wù)攻擊。攻擊者的身份很難確認(rèn)。2023/4/2039第39頁，共65頁，2023年，2月20日，星期六正常訪問通過普通的網(wǎng)絡(luò)連線，使用者傳送信息要求服務(wù)器予以確定。服務(wù)器于是回復(fù)用戶。用戶被確定后，就可登入服務(wù)器。TCP三次握手方式

2023/4/2040第40頁，共65頁，2023年，2月20日，星期六“拒絕服務(wù)”（DoS）的攻擊方式“拒絕服務(wù)”的攻擊方式為：用戶傳送眾多要求確認(rèn)的信息到服務(wù)器，使服務(wù)器里充斥著這種無用的信息。所有的信息都有需回復(fù)的虛假地址，以至于當(dāng)服務(wù)器試圖回傳時(shí)，卻無法找到用戶。服務(wù)器于是暫時(shí)等候，有時(shí)超過一分鐘，然后再切斷連接。服務(wù)器切斷連接時(shí)，黑客再度傳送新一批需要確認(rèn)的信息，這個(gè)過程周而復(fù)始，最終導(dǎo)致服務(wù)器處于癱瘓狀態(tài)2023/4/2041第41頁，共65頁，2023年，2月20日，星期六DDoS攻擊過程掃描程序非安全主機(jī)黑客

黑客利用工具掃描Internet，發(fā)現(xiàn)存在漏洞的主機(jī)1Internet2023/4/2042第42頁，共65頁，2023年，2月20日，星期六黑客Zombies

黑客在非安全主機(jī)上安裝類似“后門”的代理程序2InternetDDoS攻擊過程2023/4/2043第43頁，共65頁，2023年，2月20日，星期六黑客

黑客選擇主控主機(jī)，用來向“僵尸”發(fā)送命令3Zombies主控主機(jī)InternetDDoS攻擊過程2023/4/2044第44頁，共65頁，2023年，2月20日，星期六Hacker

通過客戶端程序，黑客發(fā)送命令給主控端，并通過主控主機(jī)啟動(dòng)“僵尸”程序?qū)δ繕?biāo)系統(tǒng)發(fā)動(dòng)攻擊4ZombiesTargeted目標(biāo)SystemMasterServerInternetDDoS攻擊過程2023/4/2045第45頁，共65頁，2023年，2月20日，星期六目標(biāo)系統(tǒng)SystemHacker

主控端向“僵尸”發(fā)送攻擊信號(hào)，對目標(biāo)發(fā)動(dòng)攻擊5MasterServerInternetZombiesDDoS攻擊過程2023/4/2046第46頁，共65頁，2023年，2月20日，星期六目標(biāo)黑客

目標(biāo)主機(jī)被“淹沒”，無法提供正常服務(wù)，甚至系統(tǒng)崩潰6主控主機(jī)合法用戶服務(wù)請求被拒絕Internet僵尸DDoS攻擊過程2023/4/2047第47頁，共65頁，2023年，2月20日，星期六

DOS/DDOS攻擊傳統(tǒng)防止方法設(shè)置路由器ACL

犧牲正常流量、防護(hù)種類有限傳統(tǒng)思想：防火墻

性能低下：一般<10M 優(yōu)秀的<30M提高服務(wù)器自身能力

硬件和軟件可調(diào)空間有限負(fù)載均衡

高層攻擊防御能力有限，面向用戶能力弱2023/4/2048第48頁，共65頁，2023年，2月20日，星期六DOS/DDOS攻擊采用第三方專用設(shè)備多層防護(hù)體系特征庫匹配統(tǒng)計(jì)學(xué)歸納技術(shù)動(dòng)態(tài)識(shí)別生物學(xué)分析區(qū)分逆向驗(yàn)證技術(shù)Syn-Proxy技術(shù)2023/4/2049第49頁，共65頁，2023年，2月20日，星期六動(dòng)態(tài)判定多重驗(yàn)證統(tǒng)計(jì)學(xué)分析生物學(xué)計(jì)算自學(xué)習(xí)特征庫二次整體分析雙向反饋環(huán)多層防護(hù)體系2023/4/2050第50頁，共65頁，2023年，2月20日，星期六部署實(shí)現(xiàn)網(wǎng)橋模式串連接入系統(tǒng)一分鐘完成部署2023/4/2051第51頁，共65頁，2023年，2月20日，星期六垃圾郵件2023/4/2052第52頁，共65頁，2023年，2月20日，星期六郵件欺騙導(dǎo)致銀行信息等的泄露公安部、教育部、信息產(chǎn)業(yè)部及國務(wù)院新聞辦聯(lián)合發(fā)出通知，于2004年上半年開展互聯(lián)網(wǎng)垃圾電子郵件專項(xiàng)治理工作網(wǎng)絡(luò)帶寬浪費(fèi)郵件系統(tǒng)癱瘓用戶時(shí)間花費(fèi)蠕蟲病毒通過郵件傳播反動(dòng)、色情、暴力等郵件影響用戶身心健康垃圾郵件的影響2023/4/2053第53頁，共65頁，2023年，2月20日，星期六垃圾郵件的發(fā)展速度和趨勢數(shù)據(jù)來源：Radicati，2004.6全球垃圾郵件的現(xiàn)狀2023/4/2054第54頁，共65頁，2023年，2月20日，星期六據(jù)Commtouch調(diào)查，目前71%的垃圾郵件的URL是指向中國的服務(wù)器，美國以22%排名第二。全球垃圾郵件分布情況2023/4/2055第55頁，共65頁，2023年，2月20日，星期六中國垃圾郵件的現(xiàn)狀2023/4/2056第56頁，共65頁，2023年，2月20日，星期六中國垃圾郵件的現(xiàn)狀據(jù)中國互聯(lián)網(wǎng)中心統(tǒng)計(jì)，現(xiàn)在，我國用戶平均每周受到的垃圾郵件數(shù)超過郵件總數(shù)的60%，部分企業(yè)每年為此投入上百萬元的設(shè)備和人力，垃圾郵件泛濫造成嚴(yán)重后果它不但阻塞網(wǎng)絡(luò),降低系統(tǒng)效率和生產(chǎn)力,同時(shí)有些郵件還包括色情和反動(dòng)的內(nèi)容2023/4/2057第57頁，共65頁，2023年，2月20日，星期六反垃圾郵件技術(shù)的技術(shù)演進(jìn)IP過濾、關(guān)鍵字過濾郵件(附件)大小控制、SMTP連接時(shí)間頻率控制智能內(nèi)容過濾(Bayes)、RBL第一代第二代行為識(shí)別技術(shù)第三代2023/4/2058第58頁，共65頁，2023年，2月20日，星期六IP封禁和RBL缺點(diǎn)：“殺傷性”太強(qiáng)，只能作為輔助手段SMTP連接時(shí)間和頻率控制缺點(diǎn):無法防范Ddos方式的Emai