#3-05计算机网络安全基础-常见黑客攻击及安课件.ppt

1、19801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门会话劫持会话劫持擦除痕迹擦除痕迹嗅探嗅探包欺骗包欺骗GUI远程控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务www 攻击攻击工具工具攻击者攻击者入侵者水平入侵者水平攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS 攻击攻击2002高高采用采用漏洞漏洞扫描扫描工具工具选择选择会用会用的的方式方式入侵入侵获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装系统系统后门

2、后门获取敏感信息获取敏感信息或者或者其他攻击目的其他攻击目的端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途l直接获取口令进入系统：网络监听，暴力破解l利用系统自身安全漏洞l特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装lWWW欺骗：诱使用户访问纂改过的网页l电子邮件攻击：邮件炸弹、邮件欺骗l网络监

3、听：获取明文传输的敏感信息l通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据l拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)l社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。l举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种

4、简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。l目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Emaill1、打电话请求密码 尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。l2、伪造Email 使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能

5、较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。l物理安全是保护一些比较重要的设备不被接触。l物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。 l暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。l一个黑客需要破解段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。l事件背景和经过 4.1撞机事件为导火线 4月初，以PoizonB0 x、pr0phet

6、为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改 4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了 “五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战中经网数据有限公司中经网数据有限公司中国科学院心理研究所中国科学院心理研究所国内某政府网站国内某政府网站国内某大型商业网站国内某大型商业网站美国劳工部网站美国劳工部网站美国某节点网站美国某节点网站美国某大型商业网站美国某大型商业网站美国某政府网站美国某政府网站l红客联盟负责人在5月9日网上记

7、者新闻发布会上对此次攻击事件的技术背景说明如下： “我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统， 这个行动在技术上是没有任何炫耀和炒作的价值的。” l主要采用当时流行的系统漏洞进行攻击l用户名泄漏，缺省安装的系统用户名和密码l Unicode 编码可穿越firewall,执行黑客指令l ASP源代码泄露可远程连接的数据库用户名和密码l SQL server缺省安装l微软Windows 2000登录验证机制可被绕过l Bind 远程溢出，Lion蠕虫l SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 lWu-Ftpd

8、 格式字符串错误远程安全漏洞l拒绝服务 (syn-flood , ping )l用户名泄漏，缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码lWindows 2000登录验证机制可被绕过TelnetSMTPDNSFTPUDPTCPIP以太网以太网无线网络无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听WorkstationVia EmailFile ServerWorkstationMail ServerInternet混合型攻击:蠕虫Web ServerVia Web PageWorkstationWeb ServerMa

9、il Gateway防病毒防病毒防火墙防火墙入侵检测入侵检测风险管理风险管理l漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) l混合型威胁趋势 将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。 l主动恶意代码趋势 制造方法：简单并工具化 技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件. 表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。l

10、受攻击未来领域 即时消息：MSN,Yahoo,ICQ,OICQ等 对等程序(P2P) 移动设备病毒利用IIS的 .ida 漏洞进入系统并获得 SYSTEM 权限(微软在2001年6月份已发布修复程序 MS01-033)病毒产生100个新的线程99 个线程用于感染其它的服务器第100个线程用于检查本机, 并修改当前首页在7/20/01 时所有被感染的机器回参与对白宫网站 www.whitehouse.gov的自动攻击.l4 种不同的传播方式IE浏览器: 利用IE的一个安全漏洞 (微软在2001年3月份已发布修复程序 MS01-020)IIS服务器: 和红色代码病毒相同, 或直接利用它留下的木马程

11、序. (微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)电子邮件附件: (已被使用过无数次的攻击方式)文件共享: 针对所有未做安全限制的共享lW32.Novarg.Amm Symantec ，受影响系统: Win9x/NT/2K/XP/2003 l1、创建如下文件：%System%shimgapi.dll%temp%Message， 这个文件由随机字母通组成。%System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的TCP端口进行监听；3、添加如下注册表项，使病

12、毒可随机启动，并存储病毒的活动信息。4、对实施拒绝服务（DoS)攻击,创建64个线程发送GET请求，这个DoS攻击将从2004年2月1延续到2004年2月12日；5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：.htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt等；6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送； 7、邮件内容如下：From: 可能是一个欺骗性的地址；主题:hi/hello等。常见的安全技术防范措施常见的安全技术防范措施l防火墙l入侵检测l漏洞扫描l抗

13、拒绝服务l防病毒l系统安全加固lSUS补丁安全管理 访问访问控制控制 认证认证 NAT 加密加密 防病毒、内容防病毒、内容过滤过滤 流量管理流量管理l防火墙不能防止通向站点的后门。l防火墙一般不提供对内部的保护。l防火墙无法防范数据驱动型的攻击。l防火墙本身的防攻击能力不够，容易成为被攻击的首要目标。l防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。时间l一个黑客在到达攻击目标之前需要攻破一个黑客在到达攻击目标之前需要攻破很多的设备很多的设备(路由器，交换机路由器，交换机)、系统、系统（NT，UNIX）和放火墙的障碍，在黑）和放火墙的障碍，在黑客达到目标之前的时间，我们称之为防客达

14、到目标之前的时间，我们称之为防护时间护时间Pt；l 在黑客攻击过程中，我们检测到他的活在黑客攻击过程中，我们检测到他的活动的所用时间称之为动的所用时间称之为Dt,检测到黑客的行检测到黑客的行为后，我们需要作出响应，这段时间称为后，我们需要作出响应，这段时间称之为之为Rt.假如能做到假如能做到Dt+RtPt,那么我们可那么我们可以说我们的目标系统是安全的。以说我们的目标系统是安全的。 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警

15、IDS Agentl实时检测 实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文l安全审计 对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据l主动响应 主动切断连接或与防火墙联动，调用其他程序处理地方网管地方网管scanner监控中心监控中心地方网管地方网管地方网管地方网管地方网管地方网管地方网管地方网管市场部市场部工程部工程部routerouter r开发部开发部ServersServersFirewallFirewalll网络层 SYN Flood ICMP Flood UDP Flood Ping of Deathl应用层 垃圾邮件

16、CGI资源耗尽l正常的三次握手建立通讯的过程正常的三次握手建立通讯的过程SYN （我可以连接吗？）（我可以连接吗？）ACK （可以）（可以）/SYN（请确（请确认！）认！）ACK （确认连接）（确认连接）发起方发起方应答方应答方SYN （我可以连接吗？）（我可以连接吗？）ACK （可以）（可以）/SYN（请确认！）（请确认！）攻击者攻击者受害者受害者伪造地址进行伪造地址进行SYN请求请求为何为何还没还没回应回应就是就是让你让你白等白等不能建立正常的连接不能建立正常的连接正常正常tcp connect攻击者攻击者受害者受害者大量的大量的tcp connect这么多这么多需要处需要处理？理？不能建

17、立正常的连接不能建立正常的连接正常正常tcp connect正常正常tcp connect正常正常tcp connect正常正常tcp connect正常用户正常正常tcp connectl网络层 升级系统防止ping of death 等攻击 通过带宽限制来防止flood攻击l应用层拒绝服务的抵抗 通常需要在应用层进行特定的设计lSYN Flood与连接耗尽是难点l程序型病毒 l引导型病毒 l宏病毒 l特洛伊木马型的程序l有危害的移动编码 l单机版静态杀毒l实时化反病毒 防病毒卡 动态升级 主动内核技术l自动检测技术：特征代码检测 单特征检查法 基于特征标记 免疫外壳l第一代反病毒技术 采取

18、单纯的病毒特征诊断，对加密、变形的新一代病毒无能为力；l 第二代反病毒技术 采用静态广谱特征扫描技术，可以检测变形病毒 误报率高，杀毒风险大；l 第三代反病毒技术 静态扫描技术和动态仿真跟踪技术相结合；l 第四代反病毒技术 基于病毒家族体系的命名规则 基于多位CRC校验和扫描机理 启发式智能代码分析模块、 动 态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块l集中管理l多次防病毒体系l基本安全配置检测和优化l密码系统安全检测和增强l系统后门检测l提供访问控制策略和工具l增强远程维护的安全性l文件系统完整性审计l增强的系统日志分析l系统升级与补丁安装l使用Wi

19、ndows update安装最新补丁；l更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；l卸载不需要的服务；l将暂时不需要开放的服务停止；l限制特定执行文件的权限；l设置主机审核策略；l调整事件日志的大小、覆盖策略；l禁止匿名用户连接；l删除主机管理共享；l限制Guest用户权限；l安装防病毒软件、及时更新病毒代码库；l安装个人防火墙。l英文全名叫“SOFTWARE UPDATE SERVICES ”lSUS可以用于Windows2000、XP以及.Net等系统的关键性更新任务。l参见SUS系统架构服务。l1、简述常见黑客攻击。l2、常见系统安全加固措施有哪些？