入侵检测知识介绍课件.ppt

1、内内 容容v黑客攻防案例分析黑客攻防案例分析v当前黑客与网络安全事件的特点当前黑客与网络安全事件的特点v大规模网络安全事件回顾大规模网络安全事件回顾v网络安全事件攻防案例分析网络安全事件攻防案例分析v现代网络安全技术现代网络安全技术v内网保密技术内网保密技术v全网防御技术全网防御技术v黑客侦查与追踪技术黑客侦查与追踪技术v蜜罐（攻击陷阱）技术蜜罐（攻击陷阱）技术vDDoSDDoS防御技术防御技术当前黑客与网络安全事件的特点u黑客可以轻易地施行跨网、跨国攻击u复合趋势u攻击往往通过一级或者多级跳板进行u大规模事件出现日益频繁u传播速度越来越快u对pc的攻击比率越来越高u攻击事件的破坏程度在增加当

2、前黑客与网络安全事件的特点u黑客可以轻易地施行跨网、跨国攻击u攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便u具有安全知识和专业的人员的数量在增加u复合趋势u黑客、病毒和垃圾邮件技术整合在一个蠕虫当中u黑客组合攻击开始出现u攻击往往通过一级或者多级跳板进行u黑客技术水平在增强u有组织、有计划犯罪事件再增加，防止追查当前黑客与网络安全事件的特点u大规模事件出现日益频繁u大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码F变种等）u大量垃圾邮件的出现u传播速度越来越快u利用系统漏洞，进行自动扫描u由于浏览网页或查看E-Mail而受到感染或攻击uDDoS攻击当前黑客

3、与网络安全事件的特点u对pc的攻击比率越来越高u网上游戏、网上银行和电子商务的增加u针对pc设计的黑客工具和木马u补丁与升级不够及时u缺乏安全防范意识u攻击事件的破坏程度在增加大规模网络安全事件回顾uSQL SLAMMER蠕虫蠕虫 2003年1月25日爆发，我国境内受感染两万多台u口令蠕虫事件口令蠕虫事件 2003年3月8日出现，部分大学网络瘫痪u红色代码红色代码F变种变种 2003年3月11日发作，在我国网络中扩撒超过12万次大规模网络安全事件回顾u冲击波蠕虫事件冲击波蠕虫事件 2003年8月11日发现，至12月31日，150万台以上中招uMYDOOM事件事件 1月27日出现，先后出现了多种

4、变种，SCO网站受堵，163等邮件服务器出现问题。国内10%的电脑受感染u“震荡波震荡波”事件事件 5月1日出现，至今仍有新变种出现，受“冲击波”的影 响，没有造成重大危害。大规模网络安全事件回顾uDDOS事件事件u广州某主机托管中心受国外黑客DDoS攻击事件u广州南沙某集团企业外网DDoS攻击事件u篡改网页事件u广西某市政府网站被篡改大规模网络安全事件回顾u电子邮件事件u番禺某小学“法轮功”反动电子邮件堵塞网络安全事件u深圳市匿名电子邮件转发事件u“网银大盗”事件u4月，“网银大盗”偷取某家银行的网上银行用户的帐号和密码u6月，“网银大盗”，涉及到十几家银行的多种网上交易业务u6月，“网银大

5、盗III”，偷取数家国际银行网上账号及密码典型网络安全案件分析u木马与木马与“网银大盗网银大盗”u匿名电子邮件转发匿名电子邮件转发u溢出攻击与溢出攻击与DCOM RPCDCOM RPC漏洞漏洞u网络恐怖主义网络恐怖主义uNetBiosNetBios与与IPCIPCuARPARP欺骗欺骗uDDoSDDoS攻击攻击木马与“网银大盗”u冰河冰河 国产木马，有G_Client.exe,G_server.exe二个文件。客户端界面木马与“网银大盗”uWOLLF木马与“网银大盗”网上银行构架网上银行构架木马与“网银大盗”u网银大盗II(Troj_Dingxa.A)u现象生成文件：%System%下，svc

6、h0stexe 修改注册表：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRun下创建：svch0st.exe=%System%svch0st.exe taskmgr.exe=%System%svch0st.exe木马与“网银大盗”u网银大盗II(Troj_Dingxa.A)u原理 木马程序，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑 u解决办法1、终止病毒进程svch0st.exe 2、注册表修复3、删除病毒释放的文件svch0st.exe 4、配置防火墙和边界路由器

7、木马与“网银大盗”多媒体木马Internet种了木马的电脑传送信息黑客摄像头语音设备匿名电子邮件转发u漏洞名称：Exchange Server5.5匿名转发漏洞u原理原理匿名电子邮件转发u案例n深圳市二十多个邮件服务器n番禺东城小学Internet东城小学台湾日本匿名电子邮件转发u造成危害造成危害u网络堵塞u给利用于反动宣传u解决方法解决方法u打补丁u关闭该服务或端口25,110溢出攻击与DCOM RPC漏洞u溢出攻击原理溢出攻击原理溢出攻击与DCOM RPC漏洞uDCOM RPC 漏洞原理溢出攻击与DCOM RPC漏洞u造成的危害-冲击波MY DOOM案例分析u邮件蠕虫:MY DOOMu现象

8、 通过电子邮件附件传播，设定向和 发起DDoS攻击u原理网络恐怖主义Net Bios 漏洞与IPC入侵 Net Bios 弱口令 例如:Administrator/12345Net Bios 漏洞与IPC入侵攻击原理Net use 192.168.0.138IPC$“12345”/u:“administrator”Copy wollf.exe 192.168.0.138Admin$解决方法u关闭139,445端口u加强帐号强度ARP 欺骗1.1.ARP ARP 地址解析协议地址解析协议ARP协议定义了两类基本的消息：1）请求信息：包含自己的IP地址、硬件地址和请求解析的IP地址；2）应答信息：

9、包含发来的IP地址和对应的硬件地址。ARP 欺骗2、原理ARP 欺骗3.3.防范防范ARPARP欺骗的方法欺骗的方法u交换机控制u路由器隔离u防火墙与代理服务器DDoS攻击u原理DDoS攻击方法u死亡之ping（ping of death）u泪滴（teardrop）uUDP洪水（UDP flood）uSYN洪水（SYN flood）uLand攻击uSmurf攻击uFraggle攻击常用DDoS攻击工具uThankgoduSYN Flooderu独裁者uTrinoouTFN2KuStacheldrahtDDoS攻击案例u某市信息中心网站受DDoS攻击事件u广州南沙某集团企业外网DDoS攻击事件现

10、代网络安全技术内网安全保密技术 内网安全保密技术蓝盾内网保密审计系统 蓝盾内网保密审计系统 系统由以下三部分组成：系统由以下三部分组成：1.网络安全监控器网络安全监控器 2.主机代理客户端主机代理客户端 3.控制中心控制中心蓝盾内网保密审计系统功能蓝盾内网保密审计系统全网防御技术Host AHost CHost B联防中心InternetNIDS 黑客侦查与追踪技术蓝盾黑客侦查与追踪系统u系统组成系统组成 1、现场勘查分析 2、服务器监控 3、远程追踪分析控制软件分析控制软件服务监控软件服务监控软件远程追踪探头远程追踪探头蓝盾黑客侦查与追踪系统u原理蓝盾黑客侦查与追踪系统u远程追踪远程追踪蜜罐

11、（陷阱）技术蜜罐（陷阱）技术蜜罐（陷阱）技术A、记录模块、记录模块B、报警模块、报警模块C、反向扫描拍照模快、反向扫描拍照模快DDoS攻击防御技术u当前DDoS防御技术uSYN代理uSYN网关u蓝盾DDoS防御网关DDoS攻击防御方法uSYN中继（代理）中继（代理）u工作原理工作原理HostSYN中继（代理）中继（代理）SYN中继（代理）中继（代理）u存在问题DDoS攻击防御方法uSYN网关u工作原理HostSYN网关网关SYN网关网关u存在问题存在问题蓝盾DDoS防御技术“催命催命”算法算法（三）（三）Host自适应自适应“催命催命”算法算法u针对性针对性其它措施某集团内网黑客黑客蓝盾DDOS网关谢谢！谢谢！