网络安全与黑客入侵技术概述课件.ppt

1、网络安全与黑客入侵技术概述 舒永杰安全问题综述黑客攻击研究常见的攻击类型分析常见问题结束语报告内容提要：文文化化安安全全文化安全：作用点：有害信息的传播对我国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。外显行为：黄色、反动信息泛滥，敌对的意识形态信息涌入，互联网被利用作为串联工具，传播迅速，影响范围广。防范措施：设置因特网关，监测、控管。文化安全：作用点：对所处理的信息机密性与完整性的威胁，主要表现在加密方面。外显行为：窃取信息，篡改信息，冒充信息，信息抵赖。防范措施：加密，认证，数字签名，完整性技术（VPN)信息安全：信息安全：信息窃取信息窃取信息传递信息传递信息冒充信息冒充信息篡改

2、信息篡改信息抵赖信息抵赖加密技术加密技术完整性技术完整性技术认证技术认证技术数字签名数字签名作用点：对计算机网络与计算机系统可用性的威胁，主要表现在访问控制方面。外显行为：网络被阻塞，黑客行为，计算机病毒等，使得依赖于信息系统的管理或控制体系陷于瘫痪。防范措施：防止入侵，检测入侵，抵抗入侵，系统恢复。系统安全：因特网因特网网络对国民经济的影响在加强网络对国民经济的影响在加强安全漏洞危害在增大信息对抗的威胁在增加信息对抗的威胁在增加研究安全漏洞以防之研究安全漏洞以防之因特网因特网电力电力交通交通通讯通讯控制控制广播广播工业工业金融金融医疗医疗研究攻防技术以阻之研究攻防技术以阻之系统安全：系统安全

3、：安全问题综述黑客攻击研究常见的攻击类型分析常见问题结束语报告内容提要：网络上存在的问题：网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫“黑客”在网上的攻击活动每年以十倍速增长。修改网页进行恶作剧、窃取网上信息兴风作浪。非法进入主机破坏程序、阻塞用户、窃取密码。串入银行网络转移金钱、进行电子邮件骚扰。他们利用网络安全的脆弱性，无孔不入。黑客的破坏：网络硬件设备的后门 网络软件产品的后门 网络安全产品的问题：嵌入式固件病毒安全产品的隐蔽

4、性通道可恢复性密钥的密码 系统运行平台的安全性问题外来安全设备的隐患：黑客？发布网络漏洞的网站：SANSsans.orgCERTcert.orgCOASTcs.purdue.edu/coast/hotlistOther subscription listsNTBUGTRAQBUGTRAQDC-STUFF中国的相关网站：绿色兵团绿色兵团vertarmy.org/中国网络安全响应中心中国网络安全响应中心cns911/中科网威中科网威netpower大量的病毒大量的病毒安全厂商的网站安全厂商的网站黑客入侵方式：攻击的三个阶段 寻找目标，收集信息寻找目标，收集信息(nessus)(nessus)获得初

5、始的访问控制权与特权获得初始的访问控制权与特权 攻击其他系统攻击其他系统典型步骤：扫描内部信息：获知提供何种服务,那种服务可用以及相关的配置信息.开放的端口 利用系统已知的漏洞：通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。如果得到了普通用户的权限就会进一步发掘 消除痕迹留下后门：黑客已经获得了系统的控制，会尽量清除痕迹，放置木马、新建账号等，系统完整性检查可以发现这种情况。需要注意的问题：网络的开放性使得攻击来自各个地方 内外部的攻击同时存在 黑客工具的开放性使得问题变的严重 攻击没有针对性，但是涉及面很广端口扫描httpftpteln

6、etsmtp攻击过程示例：口令暴力攻击口令暴力攻击用户名用户名:john口令口令:john1234攻击过程示例：攻击过程示例：用用john登录登录服务器服务器利用漏洞获得利用漏洞获得超级用户权限超级用户权限留后门留后门隐藏用户隐藏用户更改主页信息更改主页信息选中攻选中攻击目标击目标获取普通获取普通用户权限用户权限擦除入擦除入侵痕迹侵痕迹安装安装后门后门获取超级获取超级用户权限用户权限攻击其它攻击其它主机主机获取或获取或修改信息修改信息从事其它从事其它非法活动非法活动典型攻击示意图：ping，fping 判断主机死活 tcp/udp scan 结合常规服务约定，根据端口判断提供服务 os ind

7、entify 发送奇怪的tcp包,不同的操作系统反应不同，queso,nmap Account scans 利用Email，finger等工具获得系统账号消息（用户名、最后一次登陆时间）常用工具：缺陷扫描Root compromise:pop3d停止 syslogd,修改/etc/inetd.conf,激活 telnet,ftp,替换以下程序/bin/login、/bin/ps、/usr/bin/du、/bin/ls、/bin/netstat安装窃听程序 sniffer :/usr/.sniffit重新启动 syslogd,关闭pop3d删除日志记录 wtmp、wtp、message、sysl

8、og典型攻击：安全问题综述黑客攻击研究常见的攻击类型分析常见问题结束语报告内容提要：黑客攻击 路由攻击 口令攻击 逻辑炸弹 特洛伊木马常见攻击分析：陷门、隐蔽通道 信息丢失、篡改、销毁 内部、外部泄密 计算机病毒 拒绝服务攻击（DOS）电子欺骗（Spoofing）口令攻击分析：Unix password 文件 FTP Telnet 的暴力破解口令 一般将生日作为密码 简单的单词 使用同一个密码作为所有的密码 被有意留心的人窃取口令攻击软件 John：这个软件由著名的黑客组织这个软件由著名的黑客组织-UCF-UCF出的出的,它支持它支持Unix,Dos,Windows,Unix,Dos,Wind

9、ows,速度超快速度超快,可以说是目前同类可以说是目前同类中最杰出的作品。中最杰出的作品。对于老式的对于老式的passwdpasswd档档(就是没就是没shadowshadow的那种的那种,任何人能看的都可以把任何人能看的都可以把passwd passwd 密文存密文存下来下来),John),John可以直接读取并用可以直接读取并用 字典穷举击破。字典穷举击破。对于对于现代的现代的 passwd+shadowpasswd+shadow的方式的方式,John,John提供了提供了UNSHADOWUNSHADOW程序直接把两者合成出老式程序直接把两者合成出老式passwdpasswd文文 件。件。

10、其它软件：破解WINDOWS 开机密码 破解邮件密码 网络密码 逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。逻辑炸弹：特洛伊木马是其内部隐藏了某种特洛伊木马是其内部隐藏了某种隐蔽功能的程序，并不传染，但设计隐蔽功能的程序，并不传染，但设计者可利用其隐藏的功能达到目的，如者可利用其隐藏的功能达到目的，如寻找网络上的漏洞或窃取某些信息。寻找网络上的漏洞或窃取某些信息。特洛伊木马：蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫

11、可以修改、删除别的程序，但它也可以通过疯狂的自我复制来占尽网络资源，从而使网络瘫痪。蠕虫：信息在传输过程中丢失；信息在存储过程中丢失；改变信息流的次序、时序、流向；未授权篡改、销毁信息内容。信息丢失、篡改、销毁：内部涉密人员有意无意泄密；内部非授权人员有意偷窃机密信息；外部人员使用高性能协议分析器、信道监测设备对传输信息进行分析；外部人员窃取计算机系统的操作密码；外部人员破解系统的核心密码；外部人员窃取用户的授权密码。内、外部泄密：计算机病毒 拒绝服务攻击（DOS）电子欺骗其它攻击：WinNukeWinNuke攻击原理攻击原理 当当Windows NTWindows NT和和Windows95

12、Windows95系统的某系统的某些端口，如些端口，如NetBIOSNetBIOS端口，接收到端口，接收到Out-of-BandOut-of-Band数据时，系统不能正确地处理数据时，系统不能正确地处理这些数据，造成系统的死机。这些数据，造成系统的死机。网络攻击举例：网络攻击举例：LANDLAND攻击原理攻击原理 当对当对号端口发送一个伪造的号端口发送一个伪造的SYNSYN报文时，如果报文中的源端主机的报文时，如果报文中的源端主机的IPIP地址和端口与目的主机的地址和端口与目的主机的IPIP地址和端口相地址和端口相同，例如从同，例如从10.0.0.1:13910.0.0.1:139发送到发送到

13、10.0.0.1:13910.0.0.1:139，这时目标主机将会死机。，这时目标主机将会死机。CodeG.Mark HardyLand攻击：Code崩溃G.Mark HardyLand攻击：CodeG.Mark Hardy防护Land攻击：网络攻击举例：UDP攻击 UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪。网络攻击举例：TCP/SYN 攻击TCP的连接阶段，发SYN包，要求连接伪造地址消耗主机资源CodeG.Mark HardySY

14、N Flood：SYN Flood：Code崩溃G.Mark Hardy第一步：攻击者向被利用网络第一步：攻击者向被利用网络A的广播地址发送一个的广播地址发送一个ICMP 协议的协议的echo请求数据报，该数据报源地址被请求数据报，该数据报源地址被伪造成伪造成10.254.8.9第二步：网络第二步：网络A上的所有上的所有主机都向该伪造的源地址主机都向该伪造的源地址返回一个返回一个echo响应，响应，造成该主机服务中断。造成该主机服务中断。Smuff 攻击：网络攻击举例：ICMP/PING 攻击原理 ICMP/PING攻击是利用一些系统不能接受超大的IP包或需要资源处理这一特性。如在Linux下

15、输入Ping-t 66510 IP（未打补丁的Win95/98的机器），机器就会瘫痪。网络攻击举例：ICMP/SMURF 攻击原理 ICMP/SMURF攻击利用的是网络广播的原理来发送大量的地址，而包的源地址就是要攻击的机器本身的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包。网络攻击举例：TARGA3 攻击(IP 堆栈突破)TARGA3 攻击的基本原理是发送TCP/UDP/ICMP的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不规范数据包，便会使其TCP/IP堆栈出现崩溃，从而导致无法继续响应网络请求（即拒绝服务）。DoS Do

16、S 攻击攻击land,teardrop,SYN floodICMP:smurfRouter:remote reset,UDP port 7,Windows:Port 135,137,139(OOB),terminal serverSolaris:Linux:其他.网络攻击举例：以破坏系统或网络的可用性为目标常用的工具：Trin00,TFN/TFN2K,Stacheldraht很难防范伪造源地址，流量加密，因此很难跟踪clienttargethandler.agent.DoSICMP Flood/SYN Flood/UDP FloodDDOS 攻击：DDOS攻击的效果 由于整个过程是自动化的，攻

17、击者能够在十几秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。DDOS 攻击：确保主机不被入侵且是安全的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器在攻击信息到达网站服务器之前阻挡攻击信息。DDOS 攻击的预防：如何增强自身的隐蔽性和攻击能力；采用加密通讯通道、ICMP协议等方法避开防火墙的检测；采用对自身进行数字签名等方法研究自毁机制，在被非攻击者自己使用时自行消毁拒绝服务攻击数据包，以消除

18、证据。DDOS 攻击的发展趋势：攻击UNIX获取完全的存取能力 缓冲区溢出利用软件错误来覆盖内存段 导致程序崩溃而给攻击者留下超级用户(root)的权限 问题：不知道攻击者可能发现什么新的可利用途径。解决方案:入侵探测软件能实时辨认权限变更并采取行动。缓冲区溢出：后门程序：BO、netbus Service/Daemon 冰河其他 改变登录程序到一个后门程序 后门象正常的登录程序一样的工作，但它捕获用户口令 能使用与其它系统相类似的技术 问题:由于后门象正常的登录程序一样的工作，因此用户不能辨别出来。解决方案:使用工具来主动监视关键文件以获取被纂改的迹象后门程序：后门例子：后门例子：L0pht

19、crack实证攻击程序允许入侵者从整个系统中偷取口令!Specify a computerG.Mark Hardy安全问题综述黑客攻击研究常见的攻击类型分析常见问题结束语报告内容提要：安全策略：没有明确的安全管理策略 管理问题：管理规章制度、策略、负责人、落实 操作系统安装后使用缺省配置，不打补丁，运行许多不必要的服务；99%以上的入侵是可以通过系统配置来防范的；用户安全意识 网络拓扑结构 安全工具的使用安全建议：多种服务安装在同一服务器上，DNS/Mail/Web/FTP 公用服务器用户口令过于简单，uid:stud?/Pwd:123456 审计功能没有激活，或管理员根本不检查审计日志没有备份，系统在被入侵后很难恢复安全措施：安全问题综述黑客攻击研究常见的攻击类型分析常见问题结束语报告内容提要：除了信息的保密性、完整性，保证系统和网络的可用性、防止网络资源/流量盗用，是网络安全服务的重要目标之一；安全是每个人的责任，整体的安全性依赖于所有用户安全意识的增强、安全技术的普及；保护用户不受攻击规范用户行为，不发起攻击行为不做攻击的中继增强协作精神，不做攻击的中转站仅仅依靠安全技术和工具并不能实现真正意义上的网络安全，要实现真正意义上的网络安全，相关法律法规的保障是非常必要的。结束语：谢谢大家！