《【思颐浩工教育集团教程】互联网篇之网络进攻及防御技术》由会员分享,可在线阅读,更多相关《【思颐浩工教育集团教程】互联网篇之网络进攻及防御技术(35页珍藏版)》请在金锄头文库上搜索。
1、思颐浩工制社重庆分社技术支持与行动组总 30 页 第 1 页 思颐浩工重庆社技术支持与行动组百度一下(输入“网络技术篇网络攻击与防御技术”)网络攻击网络攻击及及防御技术防御技术编辑:欧阳 制作:浩工重庆社 载于:C内容内容网络攻击网络攻击案例网络攻击网络攻击及防御技术防御技术1,严峻的信息安全问题2000 年 2 月 6 日前后,美国 YAHOO 等 8 家大型网站接连遭受黑客的攻击,直接经济损失约为 12 亿美元(网上拍卖“电子港湾“网站,亚马逊网站,AOL)此次安全事故具有以下的特点:攻击直接针对商业应用攻击造成的损失巨大信息网络安全关系到全社会2,急需解决的若干安全问题思颐浩工制社重庆分
2、社技术支持与行动组总 30 页 第 2 页 思颐浩工重庆社技术支持与行动组信息安全与与高技术犯罪1999 年,上海 XX 证券部电脑主机被入侵2000 年 2 月 14 日,中国选择网(上海)受到黑客攻击,造成客户端机器崩溃,并采用类似攻击 YAHOO 的手法,通过攻击服务器端口,造成内存耗尽和服务器崩溃我国约有 64%的公司信息系统受到攻击,其中金融业占总数的 57%不受欢迎的垃圾邮件的现象愈演愈烈1999 年 4 月 26 日,CIH 病毒“世纪风暴“媒体内容的安全性凯文米特尼克凯文 米特尼克是美国 20 世纪最著名的黑客之一,他是“社会工程学“的创始人1979 年他和他的伙伴侵入了北美空
3、防指挥部1983 年的电影战争游戏演绎了同样的故事,在片中,以凯文为原型的少年黑客几乎引发了第三次世界大战莫里斯蠕虫(Morris Worm) 时间1988 年肇事者-Robert T. Morris , 美国康奈尔大学学生,其父是美国国家安全局安全专家思颐浩工制社重庆分社技术支持与行动组总 30 页 第 3 页 思颐浩工重庆社技术支持与行动组机理-利用 sendmail, finger 等服务的漏洞,消耗 CPU 资源,拒绝服务影响-Internet 上大约 6000 台计算机感染,占当时 Internet 联网主机总数的 10%,造成 9600 万美元的损失CERT/CC 的诞生-DARP
4、A 成立 CERT(Computer Emergency Response Team),以应付类似“蠕虫(Morris Worm)“事件94 年末,俄罗斯黑客弗拉基米尔利文与与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国 CITYBANK 银行发动了一连串攻击,通过电子转帐方式,从 CITYBANK 银行在纽约的计算机主机里窃取1100 万美元96 年 8 月 17 日,美国司法部的网络服务器遭到黑客入侵,并将“ 美国司法部“ 的主页改为“ 美国不公正部“ ,将司法部部长的照片换成了阿道夫希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手.此外还留下
5、了很多攻击美国司法政策的文字 96 年 9 月 18 日,黑客光顾美国中央情报局的网络服务器,将其主页由“ 中央情报局“ 改为“ 中央愚蠢局“ 96 年 12 月 29 日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其中有关空军介绍,新闻发布等内容被替换成一段简短的黄色思颐浩工制社重庆分社技术支持与行动组总 30 页 第 4 页 思颐浩工重庆社技术支持与行动组录象,且声称美国政府所说的一切都是谎言.迫使美国国防部一度关闭了其他 80 多个军方网址98 年 2 月 25 日,美国国防部四个海军系统和七个空军系统的电脑网页遭侵入98 年 5 月底,印度原子研究中心的主页(www.barc.e
6、rnet.in)遭侵入98 年 8 月 31 日,澳大利亚主要政党和政府官员的网站遭黑客袭击,网址被篡改98 年 9 月 13 日,纽约时报站点()遭黑客袭击2000 年 2 月,著名的 Yahoo,eBay 等高利润站点遭到持续两天的拒绝服务攻击,商业损失巨大2002 年 3 月底,美国华盛顿著名艺术家 Gloria Geary 在 eBay 拍卖网站的帐户,被黑客利用来拍卖 Intel Pentium 芯片2002 年 6 月,日本 2002 年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭中美五一黑客大战2001 年 5 月 1 日是国际劳动节,5 月 4 日
7、是中国的青年节,而 5 月 7日则是中国在南斯拉夫的大使馆被炸两周年的纪念日.中国黑客在这几个重大的纪念日期间对美国网站发起了大规模的攻击美国部分被黑网站美国加利福尼亚能源部日美社会文化交流会思颐浩工制社重庆分社技术支持与行动组总 30 页 第 5 页 思颐浩工重庆社技术支持与行动组白宫历史协会UPI 新闻服务网华盛顿海军通信站国内网站遭攻击的分布红色代码2001 年 7 月 19 日,全球的入侵检测系统(IDS)几乎同时报告遭到不名蠕虫攻击在红色代码首次爆发的短短 9 小时内,以迅雷不及掩耳之势迅速感染了 250,000 台服务器最初发现的红色代码蠕虫只是篡改英文站点主页,显示“Welcom
8、e to http:/! Hacked by Chinese!“随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发动拒绝服务(DoS)攻击以及格式化目标系统硬盘,并会在每月 20 日28 日对白宫的 WWW 站点的 IP 地址发动 DoS 攻击,使白宫的 WWW 站点不得不全部更改自己的 IP 地址.“红色代码“的蔓延速度尼姆达(Nimda)尼姆达是在 911 恐怖袭击整整一个星期后出现的,当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒尼姆达是在早上 9:08 发现的,明显比红色代码更快,更具有摧毁功能,半思颐浩工制社重庆分社技术支持与行动组总 30 页 第 6 页 思
9、颐浩工重庆社技术支持与行动组小时之内就传遍了整个世界.随后在全球各地侵袭了 830 万部电脑,总共造成将近 10 亿美元的经济损失传播方式包括:电子邮件,网络临近共享文件,IE 浏览器的内嵌 MIME类型自动执行漏洞,IIS 服务器文件目录遍历漏洞,CodeRedII 和Sadmind/IIS 蠕虫留下的后门等SQL Slammer 蠕虫Slammer 的传播数度比“红色代码“快两个数量级在头一分钟之内,感染主机数量每 8.5 秒增长一倍;3 分钟后该病毒的传播速度达到峰值(每秒钟进行 5500 万次扫描);接下来,其传播速度由于自身挤占了绝大部分网络带宽而开始下降;10 分钟后,易受攻击的主
10、机基本上已经被感染殆尽30 分钟后在全球的感染面积2003 年 8 月 11 日首先被发现,然后迅速扩散,这时候距离被利用漏洞的发布日期还不到 1 个月该蠕虫病毒针对的系统类型范围相当广泛(包括 Windows NT/2000/XP)截至 8 月 24 日,国内被感染主机的数目为 25100 万台全球直接经济损失几十亿美金RPC DCOM 蠕虫3,网络威胁思颐浩工制社重庆分社技术支持与行动组总 30 页 第 7 页 思颐浩工重庆社技术支持与行动组恶意代码及黑客攻击手段的三大特点 :传播速度惊人受害面惊人穿透深度惊人传播速度“大型推土机“技术(Mass rooter),是新一代规模性恶意代码具备
11、的显著功能.这些恶意代码不仅能实现自我复制,还能自动攻击内外网上的其它主机,并以受害者为攻击源继续攻击其它网络和主机.以这些代码设计的多线程和繁殖速度,一个新蠕虫在一夜之间就可以传播到互联网的各个角落.受害面许多国家的能源,交通,金融,化工,军事,科技和政府部门等关键领域的信息化程度逐年提高,这些领域的用户单位的计算机网络,直接或间接地与与 Internet 有所联系.各种病毒,蠕虫等恶意代码,和各种黑客攻击,通过 Internet 为主线,对全球各行业的计算机网络用户都造成了严重的影响.穿透深度蠕虫和黑客越来越不满足于攻击在线的网站,各种致力于突破各种边界防线的攻击方式层出不穷.一个新的攻击
12、手段,第一批受害对象是那些 24 小时在线的网站主机思颐浩工制社重庆分社技术支持与行动组总 30 页 第 8 页 思颐浩工重庆社技术支持与行动组和各种网络的边界主机;第二批受害对象是与与 Internet 联网的,经常收发邮件的个人用户;第三批受害对象是 OA 网或其它二线内网的工作站;终极的受害对象可能会波及到生产网络和关键资产主机.信息战在海湾战争和最近的伊拉克战争中,美国大量采用了信息战的手段在未来的局部战争中,信息战或信息威慑将成为非常重要的非常规战手段信息战的范围不仅仅局限于军事领域,关系国家国计民生的行业(如政府,金融等)也会成为信息战的攻击目标信息时代威胁图用户误操作I恶意用户,
13、内部人员,普通黑客II罪犯III商业间谍IV敌国政府,间谍V思颐浩工制社重庆分社技术支持与行动组总 30 页 第 9 页 思颐浩工重庆社技术支持与行动组攻击举例类别网络攻击网络攻击的动机偷取国家机密商业竞争行为内部员工对单位的不满对企业核心机密的企望网络接入帐号,信用卡号等金钱利益的诱惑利用攻击网络站点而出名对网络安全技术的挑战对网络的好奇心 攻击的一般过程预攻击内容:获得域名及 IP 分布获得拓扑及 OS 等获得端口和服务获得应用系统情况跟踪新漏洞发布目的:收集信息,进行进一步攻击决策思颐浩工制社重庆分社技术支持与行动组总 30 页 第 10 页 思颐浩工重庆社技术支持与行动组攻击内容:获得
14、远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的:进行攻击,获得系统的一定权限后攻击内容:植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的:消除痕迹,长期维持一定的权限攻击的种类预攻击阶段端口扫描漏洞扫描思颐浩工制社重庆分社技术支持与行动组总 30 页 第 11 页 思颐浩工重庆社技术支持与行动组操作系统类型鉴别网络拓扑分析攻击阶段缓冲区溢出攻击操作系统漏洞应用服务缺陷脚本程序漏洞攻击口令攻击错误及弱配置攻击网络欺骗与与劫持攻击 后攻击阶段后门木马痕迹擦除其它攻击种类拒绝服务攻击嗅探攻击恶意网页攻击社会工程攻击信息收集非技术手段合法途径从目标机构的网站获取思颐浩工制社重庆分
15、社技术支持与行动组总 30 页 第 12 页 思颐浩工重庆社技术支持与行动组新闻报道,出版物新闻组或论坛社会工程手段假冒他人,获取第三方的信任搜索引擎信息收集技术手段PingTracert / TracerouteRusers / FingerHost / nslookup端口扫描目的判断目标主机开启了哪些端口及其对应的服务常规扫描技术调用 connect 函数直接连接被扫描端口无须任何特殊权限速度较慢,易被记录高级扫描技术利用探测数据包的返回信息(例如 RST)来进行间接扫描较为隐蔽,不易被日志记录或防火墙发现TCP SYN 扫描思颐浩工制社重庆分社技术支持与行动组总 30 页 第 13 页
16、 思颐浩工重庆社技术支持与行动组也叫半开式扫描利用 TCP 连接三次握手的第一次进行扫描被扫描主机开放的端口不提供服务的端口防火墙过滤的端口扫描器SYNSYNSYNSYN+ACK 握手RST 重置没有回应或者其他端口扫描工具Nmap简介被称为“扫描器之王“有 for Unix 和 for Win 的两种版本需要 Libpcap 库和 Winpcap 库的支持能够进行普通扫描,各种高级扫描和操作系统类型鉴别等使用思颐浩工制社重庆分社技术支持与行动组总 30 页 第 14 页 思颐浩工重庆社技术支持与行动组-sS:半开式扫描 -sT:普通 connect()扫描 -sU:udp 端口扫描-O:操作系统鉴别-P0:强行扫描(无论是否能够 ping 通目标)-p:指定端口范围-v:详细模式NmapWin v1.3.0端口扫描工具SuperScan简介基于 Windows 平台速度快,图形化界面最新版本为 4.0使用傻瓜化漏洞扫描根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能
