《经典的网络安全技术基础精编版》由会员分享,可在线阅读,更多相关《经典的网络安全技术基础精编版(77页珍藏版)》请在金锄头文库上搜索。
1、,网络安全技术基础,目录,基础知识和基本技术 防火墙技术和应用 应用层攻击和防范 拒绝服务攻击和防范 病毒与反病毒技术 反垃圾邮件专题 安全审计技术专题 网闸技术专题,日益成熟的黑色产业链,系统漏洞是怎么产生的,void main() int a,b,c; printf(input a,b,cn); scanf(%d%d%d, ,“scanf”函数没有进行输入长度校验,从而产生溢出漏洞。,大多数漏洞都产生于参数传递,JPG格式中的漏洞: GDIPlus.DLL漏洞MS04-028 Nick DeBaggis 漏洞产生原因:JPEG格式中的注释段(COM)由0 xFFFE开始(标记)+2字节注释
2、段字节数(参数) +注释(数据)构成。因为字节数这个参数值包含了本身所占的2字节,所以GDIPLUS.dll在解析jpg格式文件中的注释段时会把这个值减去2,如果这个值设置成0,1就会产生整数溢出。,结论:发现漏洞的最有效方法在于构造错误的参数传递! 推论:鉴定测试中心的兄弟最有成为黑客的潜力!,一次攻击实例,1.目标服务器没有漏洞,很安全。,2.目标服务器开了3389远程管理,非加密可以利用,3.内网几台计算机有漏洞,直接拿下。顺便开个监听,看能不能抓到管理员登录服务器的信息。,4.管理员总不登录?DoS一下,强迫管理员登录。,5.管理员发现服务器不正常,登录去看看,被直接抓到口令。,攻击机
3、,网管机,内网,目标服务器,广义的漏洞定义,漏洞就是通过加工后能够产生危害的系统功能,基础知识TCP的3次握手,Syn报文,Syn_ack报文,Ack报文,地瓜地瓜,我是土豆,听到请回答!over!,土豆土豆,我是地瓜,你话音很清楚,能听清楚我说话吗?Over!,地瓜地瓜,你话音也很清楚清楚,说正事吧。over!,半开连接:未完成三次握手的TCP连接,网络安全的基本技术,基于状态转发技术,IPSec,抗DoS/ DDoS,链路加密,电磁防泄漏,特征匹配技术,基本技术基于状态表转发,如收到的数据包为新建TCP连接的数据包,则根据预定义规则决定是否转发。 如确定需要转发则在状态表中增加相关表项,并
4、开始跟踪TCP握手信息。,如收到的数据包为非新建连接,则检查状态表表项。 如有相关表项则根据表项进行转发,否则丢弃该数据包。 如该数据包为TCP FIN包,则转发后删除相关表项。,状态表中的表项都有预定义的老化时间。 如超过老化时间仍没有新的数据包通过,则删除该条记录。 无老化时间的记录称为长连接,用于某些特殊应用,新建连接,非新建连接,状态表老化,?,基本技术特征匹配技术,对比,网络安全设备部署模式,旁路部署,在线部署,交换机上设置镜像端口,安全设备旁路进行抓包和特征匹配。,某些网关类安全设备(如VPN)的单臂部署模式在拓扑形式上与此类似,但是数据包需要进行转发的。,网关类安全设备大多采用此
5、种将设备串入链路中的在线部署方式。,透明模式 向网线一样工作,桥模式 相当于交换机,路由模式 相当于路由器,混合模式 既有路由模式也有桥模式,目录,基础知识和基本技术 防火墙技术和应用 应用层攻击和防范 拒绝服务攻击和防范 病毒与反病毒技术 反垃圾邮件专题 安全审计技术专题 网闸技术专题,防火墙的分类,主要分为以下3种类型防火墙: 包 过 滤 防 火 墙 :根据一组规则允许/阻塞一些数据包。 应用代理型防火墙:作为应用层代理服务器,提供安全防护。 状态检测型防火墙:比包过滤防火墙具有更高的智能和安全性,会话成功建立连接以后记录状态信息并时时更新,所有会话数据都要与状态表信息相匹配;否则会话被阻
6、断。,状态检测技术,现代防火墙基本为3种类型防火墙的综合体,即采用状态检测型包过滤技术,同时提供透明应用代理功能。,包过滤防火墙,基本概念:数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。 包过滤操作过程 : 包过滤规则必须被存储在包过滤设备的端口; 当数据包在端口到达时,包头被提取,同时包过滤设备检查IP、TCP、UDP等包头中的信息; 包过滤规则以特定的次序被存储,每一规则按照被存储的次序作用于包; 如果一条规则允许传输,包就被通过;如果一条规则阻止传输,包就被弃掉或进入下一条规则。,检 查 项,IP 包的源地址,IP 包的目的地
7、址,TCP/UDP 源端口,IP 包,检测包头,检查路由,安全策略:过滤规则,路由表,包过滤防火墙,转发,符合,不符合,丢弃,包过滤防火墙图示,包过滤防火墙技术评价,优点: 速度快,吞吐率高 (过滤规则较少时) 对应用程序透明(无帐号口令等) 缺点: 安全性低 不能过滤传输层以上的信息 不能监控链路状态信息,Client,Server,代理服务器,代理客户机,请求,应答,被转发的 请求,被转发的 应答,应用代理防火墙,双向通信必须经过应用代理,禁止IP直接转发;,只允许本地安全策略允许的通信信息通过;,代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可,代理服务器便代表客户接
8、触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。,安全策略 访问控制,应用代理防火墙图示,应用代理防火墙技术评价,优点: 可以将被保护网络内部的结构屏蔽起来 可以实施较强的数据流监控、记录。 可提供应用层的安全(身份验证等) 缺点: 灵活性通用性较差,只支持有限的应用。 不透明(用户每次连接可能要受到“盘问”) 代理服务的工作量较大,需要专门的硬件(工作站)来承担,基于状态的包过滤防火墙,IP 包,检测包头,下一步 处理,安全策略:过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,丢弃,符合,检 查 项,IP 包的源、目的地址、端口,TCP
9、 会话的连接状态,上下文信息,控制网络通信的三种方法,不完整路由控制 不完整NAT控制 包过滤控制,防火墙技术地址翻译技术1,192.168.0.220:1100-172.16.10.1:80,172.16.10.110:11051-172.16.10.1:80,防火墙技术地址翻译技术2,NAT的应用,共享上网。 隐藏内部网络结构。 中断路由,保护内网。 双向地址翻译解决地址冲突问题。 工行中间业务系统广泛使用此技术与其他单位进行对接。,目录,基础知识和基本技术 防火墙技术和应用 应用层攻击和防范 拒绝服务攻击和防范 病毒与反病毒技术 反垃圾邮件专题 安全审计技术专题 网闸技术专题,常见信息安
10、全威胁,拒绝服务攻击,特洛伊木马,Web应用攻击,流氓软件,网络钓鱼,垃圾邮件,社会工程,Web攻击综述,正常网站,攻击者获得网站权限,或者在网站上注入恶意代码,攻击者利用网站的漏洞,网站漏洞,基础软件漏洞,应用系统漏洞,操作系统漏洞 Web服务器漏洞 ASP/PHP/CGI漏洞 数据库漏洞,注入攻击 跨站脚本攻击,网站被控制 网页被篡改 网页被挂马 帐号失窃 成为傀儡机 拒绝服务,SQL注入攻击利用Web应用程序(网页程序)对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞,攻击者将恶意的SQL命令注入到后台数据库的攻击方式。 SQL注入对Web网站的攻击后果非法获得网站权限、网页篡改、
11、网页挂马、窃取网站数据等。 举例 在网站管理登录页面要求帐号密码认证时,如果攻击者在“UserID”输入框内输入“admin”,在密码框里输入“anything or 1=1”, 提交页面后,查询的SQL语句就变成了:Select from user where username=admin and password=anything or 1=1 不难看出,由于“1=1”是一个始终成立的条件,判断返回为“真”,密码的限制形同虚设,不管用户的密码是不是Anything,他都可以以admin的身份远程登录,获得后台管理权,在网站上发布任何信息。,典型注入:SQL注入攻击,跨站脚本攻击:指攻击者利
12、用网站程序对用户的输入没有进行充分的有效性检验和敏感词过滤的漏洞,输入精心构造的HTML或Java script脚本,当其他合法的用户浏览到该页面时,将执行恶意攻击者留下的代码,遭受攻击者的进一步攻击;不同于SQL注入以Web服务器为目标的攻击方式,跨站脚本攻击更多则是将目标指向了Web业务系统所提供服务的客户端。 跨站脚本攻击对Web网站的攻击后果:网页挂马、拒绝服务 举个例子说明原理:如攻击者可在目标服务器的留言本中加入如下代码:function()则存在跨站脚本漏洞的网站就会执行攻击者的function()。,攻击者在网页 上输入精心构 造的HTML或 JavaScipt代码,网站数据库
13、,网站Web程序,网站Web程序,其他受害客户,跨站脚本攻击,利用Web网站的操作系统漏洞、Web服务器漏洞、数据库漏洞等基础软件的漏洞,获得Web网站权限。 举例:通过Unicode漏洞读取服务器C盘的目录:,利用基础软件漏洞的攻击,应用层安全:IPS才是王道,路由器,交换机,IPS,内部网络,路由器,交换机,IDS,镜像,IPS可做到: 在线部署,实时阻 断攻击。 在线部署,除阻断外还可实现隔离、重定向等主动防御动作。 在线部署,可通过快路径避开IDS事件风暴 。 不依赖网络设备的镜像。,内部网络,攻击库,协议库,病毒库,综合防御,H3C IPS:三库合一实现综合防御,现在的很多安全威胁都
14、是综合网络蠕虫、木马、病毒等技术的复合威胁,只有将攻击特征和病毒特征结合在一起进行检测,才能全面防御这类安全威胁。 攻击者在利用漏洞的攻击之后,往往马上伴随着木马、病毒等恶意代码样本的下载,只有将攻击特征和病毒特征结合在一起,才能做到层层防御,确保安全。 因为攻击是有特定的协议上下文的,将应用层协议特征分析与攻击特征、病毒特征分析结合起来,可确保检测精度。,业界唯一的创新技术:,IPS最大特点:三库合一,数据流,会话状态跟踪,分 片 重 组,流 量 分 析,流 恢 复,丢弃报文,报 文 正 规 化,协议识别分析 并行处理 支持近千种协议,特征分析 并行处理 包括攻击特征、病毒特征,丢弃报文、隔
15、离,转发,限流、整形,阻断、重定 向、隔离等,FIRST:Full Inspection with Rigorous State Test,基于精确状态的全面检测,IPS检测引擎:FIRST,基于攻击工具、或漏洞利用的特征进行检测。 基于协议交互的异常进行检测。 基于流量统计的异常进行检测。 基于病毒样本特征进行检测。 攻击事件智能关联分析。 网络行为自学习、流量基线自学习。 反向认证。,报文正规化。 IP重组。 TCP流恢复。 TCP会话状态跟踪。 协议解码。 基于应用层协议的状态跟踪。 可信报文处理。,集成多种检测方法,最难搞定的威胁:Zeroday攻击,Zeroday(零日?零时差?)攻
16、击 对尚未公开的漏洞进行攻击。有专门的交易渠道,谁都搞不定,只能严防死守。 漏洞已公布,但是尚未发布补丁。这是我们搞得定的!,社会工程,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素人。这方面的详细信息,建议大家看美国著名黑客Kevin Mitnick的著作The Art of Deception,网上有下载,文笔很好,可以当小说看,还可以顺便练习一下E文。 摘自非著名ID“ZeroFlag”唯一一篇被广为转载文章 一次差点成功的暴力社会工程,网络钓鱼行为举例,目录,基础知识和基本技术 防火墙技术和应用 应用层攻击和防范 拒绝服务攻击和防范 病毒与反病毒技术 反垃圾邮件专题 安全审计技术专题 网闸技术专题,拒绝服务综述,DoS(Denial of Service,拒绝服务),造成DoS的攻击行为被称为DoS攻击,
