《{企业通用培训}网络安全培训》由会员分享,可在线阅读,更多相关《{企业通用培训}网络安全培训(56页珍藏版)》请在金锄头文库上搜索。
1、安全培训,2013年3月26日,2,当前的安全威胁 常用威胁及应对 漏洞攻击演示 总体解决思路,培训内容,3,根据发布的公告,截止到2013年3月10日我国境内感染网络病毒的主机数量约为138.4万个,其中包括境内被木马或被僵尸程序控制的主机约43.4万以及境内感染飞客()蠕虫的主机约95万木马或僵尸程序受控主机在我国大陆的分布,排名前三位的分别是广东省、江苏省和浙江省。 捕获了大量新增网络病毒文件,按网络病毒名称统计新增33个,按网络病毒家族统计新增1个。 放马站点是网络病毒传播的源头。本周,监测发现的放马站点共涉及域名140个,涉及地址262个。在140个域名中,有约60.7%为境外注册,
2、且顶级域为的约占66.4%;在262个中,有约54.2%位于境内,约45.8%位于境外。根据对放马的分析发现,大部分放马站点是通过域名访问,而通过直接访问的涉及98个。,严峻的安全形势,4,严峻的安全形势,5,面临的安全威胁,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,后门、隐蔽通道,蠕虫,信息丢失、篡改、销毁,6,额外的不安全因素,内部个体,内部/组织,7,网络的普及使学习网络进攻变得容易,全球超过26万个黑客站点提供系统漏洞和攻击知识 越来越多的容易使用的攻击软件的出现 国内法律制裁打击力度不够,8,混合型、自动的攻击,Workstation Via E
3、mail,Workstation,混合型攻击:蠕虫,攻击的发展趋势,9,攻击的发展趋势,(1). 漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) (2). 混合型威胁趋势 将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 漏洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。,10,攻击的发展趋势,(1). 主动恶意代码趋势 制造方法:简单并工具化 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身,躲避甚至攻击防御检测软件. 表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发展到可以在网络的
4、任何一层生根发芽,复制传播,难以检测。 (2). 受攻击未来领域 即时消息:等 对等程序(P2P) 移动设备(手机安全),11,为什么会有这么多的攻击漏洞,简单介绍各种漏洞及原因 设计上的缺陷 利益上的考虑 软件变得日益复杂,12,针对漏洞扫描的防范措施,安装防火墙,禁止访问不该访问的服务端口,使用隐藏内部网络结构 安装入侵检测系统,检测漏洞扫描行为 安装评估系统,先于入侵者进行漏洞扫描,以便及早发现问题并解决 提高安全意识,经常给操作系统和应用软件打补丁,13,常见的黑客攻击方法,口令攻击 网络监听 缓冲区溢出 路由攻击 逻辑炸弹,蠕虫 后门、隐蔽通道 计算机病毒 拒绝服务攻击( ) 特洛伊
5、木马,其它网络攻击,常见的网络攻击(10种),14,口令攻击,口令攻击软件 1.4 这个软件由著名的黑客组织出的,它支持, , , 速度超快,可以说是目前同类中最杰出的作品。 对于老式的档(就是没的那种,任何人能看的都可以把 密文存下来)可以直接读取并用 字典穷举击破。 对于现代的 + 的方式, 提供了程序直接把两者合成出老式文 件。,15,入侵者是如何得到密码的,大量的应用程序都是传送明文密码 窃听加密密码并解密 窃取密码文件,利用工具破解 社会诈骗,16,口令攻击:“*”密码查看,17,口令攻击演示:密码破解,18,口令攻击,19,针对口令破解攻击的防范措施,不用中文拼音、英文单词 不用生
6、日、纪念日、有意义的字符串 使用大小写字母、符号、数字的组合,20,针对口令破解攻击的防范措施,不要将口令写下来。 不要将口令存于电脑文件中。 不要让别人知道。 不要在不同系统上使用同一口令。 为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。 定期改变口令,至少2个月要改变一次。,21,针对口令破解攻击的防范措施,安装入侵检测系统,检测口令破解行为 安装安全评估系统,先于入侵者进行模拟口令破解,以便及早发现弱口令并解决 提高安全意识,避免弱口令,22,网络监听,网络监听的作用: 可以截获用户口令; 可以截获秘密的或专用的信息; 可以用来攻击相邻的网络; 可以对数据包进行详细的分析;
7、可以分析出目标主机采用了哪些协议。,23,常用网络监听工具,24,网络嗅探是主机的一种工作模式,在这种模式下,主机可以接收到共享式网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如 , , ,等就可以轻而易举地截取包括口令、帐号等敏感信息。,漏洞扫描和攻击之网络嗅探,25,共享信道 广播型以太网 协议不加密 口令明文传输 混杂模式 处于这种模式的网卡接受网络中所有数据包,26,网上截获的 帐号和口令,27,针对网络嗅探攻击的防范措施,安装网关,防止对网间网信道进行嗅探 对内部网络通信采取加密处理 采
8、用交换设备进行网络分段 采取技术手段发现处于混杂模式的主机,发掘“鼹鼠”,28,缓冲区溢出,什么是缓冲区溢出 简单地说,缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据,导致数据越界,结果覆盖了原先的堆栈数据。 例如: ( *) 16; (); ,29,堆栈溢出攻击,十年来最大的安全问题,这是一种系统攻击手段,通过向程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。这种攻击可以使得一个匿名的用户有机会获得一台主机的部分或全部的控制权。,30,路由攻击,注入假的路由到路由选择系统 重定向业务流到黑洞 重定向业务流
9、到慢的链接 重定向业务流到可以分析与修改的地点,31,逻辑炸弹,逻辑炸弹是一段潜伏的程序,它以某种逻辑状态为触发条件,可以用来释放病毒和蠕虫或完成其他攻击性功能,如破坏数据和烧毁芯片。它平时不起作用,只有当系统状态满足触发条件时才被激活。,32,蠕 虫,蠕虫是一段独立的可执行程序,它可以通过计算机网络把自身的拷贝(复制品)传给其他的计算机。蠕虫可以修改、删除别的程序,但它也可以通过疯狂的自我复制来占尽网络资源,从而使网络瘫痪。,33,后门与隐蔽通道,调试后门:为方便调试而设置的机关,系统调试完成后未能及时消除。 维护后门:为方便远程维护所设置的后门,被黑客恶意利用。 恶意后门:由设计者故意设置
10、的机关,用以监视用户的秘密乃至破坏用户的系统 隐蔽通道:是一种允许违背合法的安全策略的方式进行操作系统进程间通信()的通道。隐蔽通道又分为隐蔽存储通道与隐蔽时间通道。隐蔽通道的重要参数是带宽。,34,操作系统后门,至今我国使用的处理器和操作系统等重要软硬件依然靠国外进口,有的发达国家出于种种目的,在软硬件上留下缺口或者“后门”,给我国信息安全留下了巨大的隐患。 据报道,曾上市的奔腾三处理器中设置了用以识别用户身份的序列码,每一台机器只有唯一的序列码且永久不变,电脑用户在网络或互联网上所做的每一件事都会留下痕迹,或处于别人的监视之下。 而此前上市的操作系统98则会根据用户的计算机硬件配置情况生成
11、一串用户名字、相关地址代码等全球唯一的识别码,然后通过电子注册程序在用户不知道的情况下传送到微软的网站上。 奔腾三处理器和微软公司的98一方面带来更高性能和更快速度,但另一方面有可能成为随时会泄密的“定时炸弹”。,35,病 毒,是人编写的一段程序! 太多了!,36,计算机病毒的分类,引导型病毒() 可执行文件病毒(病毒) 宏病毒(七月杀手) 特洛伊木马型病毒() 病毒(爱虫) 脚本病毒( ) 混合型病毒(),37,针对病毒攻击的防范措施,安装防火墙,禁止访问不该访问的服务端口 安装入侵检测系统,检测病毒蠕虫攻击 安装防病毒软件,阻挡病毒蠕虫的侵袭 提高安全意识,经常给操作系统和应用软件打补丁,
12、另一种威胁 拒绝服务攻击,应用漏洞攻击及防范,39,不断对网络服务系统进行干扰,改变其正常的作业流程。 执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。,拒绝服务攻击,*定义及分类,攻击影响,攻击地下产业化,直接发展,收购肉鸡,制造、控制, 培训、租售,学习、 赚钱,僵尸网络,工具、病毒制作,传播销售,攻击工具,漏洞研究、目标破解,漏洞研究,攻击实施者,广告,经纪人,需求方、 服务获取者、 资金注入者,培训,地下黑客攻击网络,&,攻击 攻击 攻击 攻击 攻击 攻击 攻击,目前主要的攻击方式,46,攻击原理,正常的三次握手
13、建立通讯的过程,47,攻击原理,48,连接耗尽,49,针对攻击的防范措施(一),攻击者,目标,攻击者伪造源地址进行请求,其它正常用户能够得到响应,?,50,针对攻击的防范措施(二),攻击者,目标,攻击者伪造源地址进行请求,其它正常用户能够得到响应,?,攻击者,受害者( ),正常 请求,不能建立正常的连接,正常用户,正常,攻击表象,利用代理服务器向受害者发起大量 请求 主要请求动态页面,涉及到数据库访问操作 数据库负载以及数据库连接池负载极高,无法响应正常请求,受害者( ),连接池 用完啦!,连接池,占用,占用,占用,攻击原理,攻击,52,攻击,受害者,不能建立正常的连接,正常用户,源地址和目标
14、地址相同! 即目标与自己在联接。,53,“拒绝服务”的例子: 攻击,攻击者 172.18.1.1,目标 204.241.161.12,欺骗性的 包 源地址 204.241.161.12 139 目的地址 204.241.161.12 139,G.,54,“拒绝服务”的例子: 攻击,攻击者 172.18.1.1,目标 204.241.161.12,包欺骗 源地址 204.241.161.12 139 目的地址 204.241.161.12 139 包被送回它自己,G.,55,“拒绝服务”的保护: 代理类的防火墙,攻击者 172.18.1.1,目标 204.241.161.12,包欺骗 源地址 204.241.161.12 139 目标地址 204.241.161.12 139,防火墙,防火墙把有危险的包 阻隔在网络外,G.,56,同步 泛滥,攻击者 172.18.1.1,目标 192.0.2.1,欺骗性的 包 源地址不存在 目标地址是 192.0.2.1,G.,57,TCP SYN 泛滥,攻击者 172.18.1.1,目标 192.0.2.1,同步应答响应 源地址 192.0.2.1 目标地址不存在 TCP ACK,G. Mark Hardy,
