《第十讲 攻击与应急响应PPT课件》由会员分享,可在线阅读,更多相关《第十讲 攻击与应急响应PPT课件(37页珍藏版)》请在金锄头文库上搜索。
1、第十讲攻击与应急响应 攻击概述缓冲区溢出攻击扫描器病毒恶意代码 网络侦听拒绝服务欺骗技术网络应急响应 10 1攻击概述 10 1 1攻击的一些基本概念1 攻击的位置远程攻击 指外部攻击者通过各种手段 从该子网以外的地方向该子网或者该子网内的系统发动攻击 本地攻击 指针对本局域网内的其他系统发送的攻击 或在本机上进行非法越权访问 伪远程攻击 指内部人员为了掩盖攻击者的身份 从本地获取目标的一些必要信息后 攻击过程从外部远程发起 造成外部入侵的现象 从而使追查者误以为攻击者来自外单位 2 攻击的目的主要包括 进程的执行 获取文件和传输中的数据 获得超级用户权限 对系统的非法访问 进行不许可的操作
2、拒绝服务 涂改信息 暴露信息 政治意图 经济利益等等 3 攻击的层次一般来说 攻击可分为以下几个层次 简单拒绝服务 本地用户获得非授权读访问 本地用户获得他们本不应该拥有的文件写权限 远程用户获得了非授权的帐号 远程用户获得了特许文件的读权限 远程用户获得了特许文件的写权限 远程用户拥有了根权限 4 攻击的工具用户命令脚本或程序自治主体工具箱分布式工具电磁泄漏 5 攻击的人员黑客与破坏者间谍恐怖主义者公司雇员计算机犯罪内部人员 1 软件的Bug软件的Bug主要分为以下几类 缓冲区溢出意料外的联合使用问题不对输入内容进行预期检查文件操作的顺序以及锁定等问题 2 系统配置系统配置不当主要有以下几种
3、 默认配置的不足管理员的疏忽临时端口信任关系 Windows系统中最危险的漏洞Internet信息服务 IIS 远程数据访问 MDAC MicrosoftSQL服务无保护的Windows网络共享 NETBIOS匿名登录 空会话LAN管理认证一般的Windows认证 无口令或弱口令帐号InternetExplorerRemoteRegistryAccessWindowsScriptingHost UNIX系统中最危险的漏洞远程过程调用 RPC ApacheWebServer安全Shell SSH 简单网络管理协议SNMP文件传输协议FTPR Services 可信关系LinePrinterDae
4、mon LPD SendmailBind DNS一般的Unix认证 无口令或弱口令帐号 10 1 3远程攻击的步骤寻找目标主机收集目标信息 锁定目标 使用不同应用程序测试分析 获取帐号信息 获得管理员信息 各种相关工具的准备 收集各种实际使用的工具 攻击策略的制定 攻击策略主要依赖于入侵者所想要达到的目的 数据分析 通过扫描 获取相关数据并进行分析 实施攻击 或许系统的信任等级 获取特许访问权限 安放探测软件或后门软件等 并在攻击得逞后试图毁掉攻击入侵的痕迹 10 2缓冲区溢出 10 2 1缓冲区溢出的概念及原理缓冲区溢出指的是一种系统攻击的手段 通过向程序的缓冲区写超出其长度的内容 造成缓冲
5、区溢出 从而破坏程序的堆栈 缓冲区溢出可能会带来两种后果 过长的字符串覆盖了相邻的存储单元引起程序运行失败 严重的可导致系统崩溃 利用这种漏洞可以执行任意指令甚至可以取得系统特权由此引发许多种攻击方法 缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能 从而让攻击者取得系统的控制权 为做到这一点 必须达到如下目标 在程序的地址空间安排适当的代码 攻击方法 植入法 利用已经存在的代码通过适当地初始化寄存器和存储器 让程序跳转到安排好的地址空间执行 攻击方法 激活记录 函数指针 长跳转缓冲区 includeMain charname 8 printf Pleasetypeyourname g
6、ets name printf Hello s name return0 10 2 2缓冲区溢出的保护方法编写正确的代码 是解决缓冲区溢出漏洞的根本方法 非执行的缓冲区 通过使被攻击程序的数据段地址空间不可执行 从而使得攻击者不可能执行被植入被攻击程序输入缓冲区的代码 程序指针完整性检查 在程序指针被应用之前检测它是否被改变 安装安全补丁 12345678 XXXX YYYY Z ESP ExtendStackPointerEBP ExtendBasePointerEIP ExtendInstructionPointer 10 3扫描器 10 3 1扫描器的概念扫描器是一种自动检测远程或本地系
7、统安全性弱点 漏洞 的程序 扫描器不是一个直接攻击网络漏洞的程序 它仅仅能帮助我们测试和评价目标的安全性 并及时发现内在的安全漏洞 安全扫描工具通常分为基于服务器和基于网络的扫描器 基于服务器的扫描器主要扫描服务器相关的安全漏洞 基于网络的扫描器主要扫描设定网络内的服务器 路由器 网桥 交换机 防火墙等设备的安全漏洞 最重要的扫描器是端口扫描器 端口扫描器通常通过与目标主机TCP IP端口建立连接和 并请求某些服务 记录目标主机的应答 搜集目标主机相关信息 从而发现目标主机某些内在的安全弱点 通常 端口扫描有如下功能 发现一个主机或网络的能力 识别目标系统上正在运行的TCP和UDP服务 识别目
8、标系统的操作系统类型 识别某个应用程序或某个特定服务的版本号 发现系统的漏洞 10 3 2端口及端口扫描端口就是潜在的通信通道 端口可分为 知名端口 1 255 常见的网络服务都运行于这个端口范围 受保护端口 256 1023 常见的系统服务都运行于这个端口范围 用户定义端口 动态端口 1024 65535 为使系统正常运行 应尽量关闭无用的端口 操作如下 在本地运行netstat命令 判断哪些端口是打开的 对系统进行外部的端口扫描 列出所有实际在侦听的端口号 如两者得到的结果不同 应分析原因 同时检查各端口运行的服务 记录最终端口列表 以确定没有额外的端口出现 常用的端口扫描技术 1 TCP
9、connect 操作系统提供的connect 系统调用 用来与目标计算机的端口进行连接 如端口处于侦听状态 则connect 就能成功 否则返回 1 2 TCPSYN扫描扫描程序发送一个SYN数据包 如果一个RST返回 表示端口没有处于侦听状态 如果收到一个SYN ACK 表示端口处于侦听状态 3 TCPFIN扫描其思想是关闭的端口会用适当的RST来回复FIN数据包 而打开的端口则会忽略对FIN数据包的回复 4 IP段扫描它并不直接发送TCP探测数据包 而是将数据包分成两个较小的IP段 这样就将一个TCP头分成好几个数据包 从而过滤器就很难探测到 TCP反向认证扫描 FTP代理扫描 UDPIC
10、MP端口不能到达扫描 ICMPecho扫描 10 3 3主机扫描主机扫描的目的是确定在目标网络上的主机是否可达 属信息收集的初级阶段 传统的扫描手段ICMPEcho扫描 通过是否有应答判断目标是否激活状态 ICMPSweep扫描 并行发送 同时扫描多个目标主机 BroadcastICMP扫描 向整个局域网发送ICMPEcho请求 Non EchoICMP扫描 用于对主机或网络设备的扫描 非常规的扫描手段利用ICMP协议提供网络间传送错误信息的手段 往往可以更有效地到达目的地 从而突破防火墙和网络过滤设备的封锁 异常IP包头 伪造IP包头获取目标主机或过滤设备的信息 如ACL等 在IP头中设置无
11、效的字段值 获取目标主机或过滤设备的信息 错误的数据分片 根据反馈信息获取如上信息 通过超长包扫描内部路由器 获取目标系统的网络拓扑结构 反向映射扫描 用于扫描被过滤设备或防火墙保护的网络和主机 获取网络内部的结构 10 3 4漏洞扫描漏洞扫描是指检测远程或本地系统存在的安全缺陷 该技术可分为两类 主机漏洞扫描和网络漏洞扫描 前者主要针对系统的配置缺陷以及其他安全规则相抵触的对象 而后者则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应 从而发现其中的漏洞 网络漏洞扫描技术不仅可以检测平台的漏洞 也可以对网络设备 整个网段进行检测 完整的网络漏洞扫描过程分为3个阶段 发现目标主机
12、或网络 进一步收集目标信息 根据信息判断或者进一步测试系统是否存在安全漏洞 漏洞检测技术是建立在端口扫描技术的基础之上 其主要通过以下两种方法来实现 基于漏洞库的匹配检测方法插件技术 通过调用由脚本语言编写的插件子程序来执行扫描 其好处是使扫描软件的升级和扩展变得简单 10 4病毒 10 4 1计算机病毒的定义与特征定义 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 计算机病毒的主要特征 破坏性 传染性 自我复制能力 隐蔽性 潜伏性及可触发性 10 4 2计算机病毒的分类与传播计算机病毒一般包含三个部分 引导部分
13、 传染部分 表现部分引导型病毒 攻击系统引导扇区文件型病毒 依附型 覆盖型混合型病毒 既可嵌入到磁盘引导区中又可嵌入到可执行程序中宏病毒 主要攻击支持宏的软件 主要特点 制作方便 传播快 跨平台 兼容性差 10 4 3计算机病毒的防止与检测防止 计算机病毒的防治要从防毒 查毒 解毒三方面来进行 系统对于计算机病毒的实际防治能力和效果也要从这三个方面来评判 防毒是指预防病毒入侵的能力查毒是指发现和追踪病毒的能力解毒是指从感染对象中清除病毒 恢复被感染前的原始信息的能力 检测 计算机病毒的的检测方法很多 典型的方法包括以下几种 直接检查法 通过直接观察来判断系统是否感染病毒 特征代码法 准确快速
14、误报率低 不能检测未知病毒校验和法 能发现未知病毒 不能识别病毒名 对隐蔽性病毒无效行为监测法 具备发现未知病毒的能力 可能误报 实现较困难软件模拟法 用软件方法模拟和分析程序的运行 能检测多态性病毒 10 4 4计算机病毒预防选用正版的系统及软件并及时更新升级安装杀毒软件并定期扫描实施合理的安全配置养成良好的操作习惯定期检查您的系统随时保持警惕 常用杀毒软件KV3000瑞星金山诺顿卡巴斯基Symantec 10 5恶意代码 恶意代码又称恶意软件 是一种具有在信息系统上执行非授权进程能力的代码 恶意代码本身是程序 并且通过执行来发生作用 早期的恶意代码主要是指病毒 但目前其它形式的恶意代码如蠕
15、虫 恶意网页 木马 逻辑炸弹 后门等正日益泛滥 并且有逐渐融合的趋势 不必要代码是指内有作用却会带来危险的代码 一个最安全的定义是把所有不必要的代码均看作是恶意代码 恶意代码的传播途径主要包括如下 感染本地文件 局域网共享目录中的文件或者复制副本到对方目录 寻找E mail地址 大量发送垃圾邮件 通过共享网络软件进行传播 建立后门程序 通过后门进行传播 通过即时通信软件传播 通过U盘等存储介质进行传播 利用系统软件的漏洞进行传播 通过短信传播 10 5 1蠕虫蠕虫和病毒类似 也可进行自我复制 它能够利用网络漏洞来扩酸并且创建新的副本 蠕虫并不总是有害的 它可作为以太网网络设备的一种诊断工具 用
16、以快速有效地检测网络 蠕虫的基本程序结构包括 传播模块 隐藏模块 目的功能模块 其中传播模块又可分为3个基本模块 扫描模块 攻击模块和复制模块 1 蠕虫的分类根据工作原理分为 主机蠕虫和网络蠕虫主机蠕虫完全包含在他们运行的计算机中 并且使用网络的连接仅将其自身复制到其他的计算机中 复制完成后就会终止自身 因此任意时刻只有一个蠕虫的副本运行 网络蠕虫由许多部分组成 且每个部分运行在不同的激起上并且使用网络来达到一些通信的目的 根据攻击对象可分为 针对网络和针对个人针对企业和局域网的蠕虫通过利用系统的漏洞 主动攻击 往往造成整个局域网瘫痪 如红色代码 尼姆达等 针对个人的蠕虫往往借助于网络或网络工具进行传播 如求职信病毒等 10 5 2恶意网页恶意网页通过插在网页中的恶意代码来修改浏览者的注册表 从而起到破坏作用 如禁止使用计算机 格式化硬盘 自动下载运行木马 禁止某些功能或菜单项 修改IE 以及不断弹出对话框等等恶意现象 遭遇到上述现象后应立即采取一些强制措施 如通过电脑的任务管理器强制关闭正在运行的恶意网页 并及时修复注册表和升级杀毒软件 浏览器等 以免造成不必要的损失和麻烦 2 蠕虫
