《培训-网络攻击与防范技术》由会员分享,可在线阅读,更多相关《培训-网络攻击与防范技术(105页珍藏版)》请在金锄头文库上搜索。
1、网络攻击与防范技术主讲人:唐继勇 Tel:13983394219 QQ:402316186 E-mail:网络攻击与防范技术网络安全简介目前互联网使用情况据中国互联网络信息中心(CNNIC)2011年1月发布的第27次中国互联网络发展状况统计报告显示,截止到2010年12月底 :u我国网民规模达4.57亿人,宽带网民规模为4.5亿,我国手机网民规模达3.03亿。u42.1%的中小企业曾经利用互联网进行过营销和推广工作;中小企业利用电子邮件进行营销的比例达到了21.3%,利用电子商务平台推广的比例达到了19.3%,利用搜索关键字广告进行营销的比例达到了15.4%。u截至2010年12月,有94.
2、8%的中小企业配备了电脑,无电脑的中小企业仅占5.2%。92.7%的中国中小企业接入互联网。中小企业曾有建站行为的比例达到了43%。网络攻击与防范技术网络安全简介网络安全现状病毒、木马肆虐u2010年新增病毒木马总量较2009年下降了13%,约为1798万个,这也是近10年来病毒木马总量首次出现下滑迹象。与此同时,木马病毒横行互联网,80%的病毒传播渠道被病毒集团所操控,而作为互联网最直接的经济交易平台,招聘企业也成为了木马病毒攻击的目标之一。网络攻击与防范技术网络安全简介网络安全现状网页挂马、钓鱼网站猛增u2010年国内新增游戏盗号、网银盗号和支付劫持类木马2.18亿个,新增欺诈网站62.9
3、5万家。这些木马和欺诈网站去年给中国网民造成了51.9亿元的直接经济损失,间接经济损失更是难以估量,主要受害者为缺乏安全意识和有效安全防护措施的网游、网购以及中老年人群。网络钓鱼(Phishing)一词,是“Fishing”和 “Phone”的综合体,由于黑客始祖起初是以 电话作案网络攻击与防范技术网络安全简介网络安全现状黑客与时俱进u黑客 “与时俱进”,学会“关心”时政,利用当前社会重大事件,流行事件的关键词进行指向性,针对性挂马。u与病毒、垃圾软件的侵袭相比,网络黑客的入侵行为目前则更以政治为目的,且呈愈演愈烈的趋势。u继黑客攻击百度域名、黑客攻击谷歌邮箱等大公司事件后,黑客再次以入侵私人
4、电脑事件粉墨登场 黑客职业化 成为收入来源:就成了正事了。 名炫耀技术:修改主页,获取论坛、社区管理权 利谋取利益:获得网络世界的利益。QQ案件。直接或者间接地谋取 现实世界的金钱网络攻击与防范技术网络安全简介黑客事件2010年月11日上午8点多,中国移动的网站首页显示的不是“移动信息 专家”,而是一行涂鸦:“恳请移动的话费能便宜点不”原来是中国 移动网站遭到黑客突袭。 网络攻击与防范技术网络安全简介黑客事件2网络攻击与防范技术网络安全简介黑客事件3u 9月12日17点30分,有北京、重庆等地的网友反映百度无法正常使用,出现“请求超时” 的信息。u9月12日晚上11时37分,百度空间发表了针对
5、不明攻击事件的声明。u百度首席技术官刘建国对记者说,“黑客使用的攻击手段是同步泛滥。网络攻击与防范技术课题内容本课通过剖析常见的网络协议、操作系统与应用程序漏洞,分析黑客入侵的思路和方法,让各位学员更深刻地理解应对黑客攻击采用的防范策略,以确保我们使用的网络和系统最大限度的安全。主要讨论以下内容:网络与系统攻击概述网络信息探测系统信息探测拒绝服务攻击缓冲区溢出漏洞攻击Web与数据库攻击网络与系统攻击概述网络攻击概述网络攻击目标网络攻击分类攻击技术分类层次结构黑客攻击策略及步骤网络攻击与防范技术网络与系统攻击概述网络攻击概述在计算机网络日已成为生活中不可或缺的工具时,许多关系到国计民生的重要应用
6、,也越来越依赖计算机网络。然而,对网络的依赖性越大,所产生的风险也越大。受社会因素的影响,网络信息会受到破坏、窃取、篡改等威胁。网络信息化改变了传统意义上有形空间的概念,无形的“数字信息空间”的安全问题越来越突出,但是由于它“看不见、摸不着”的独特特性,大多数人未曾意识到它的安全问题。网络与系统攻击概述网络攻击概述近年来,随着网络攻击技术和工具的迅速发展,依靠网络提供办公服务和业务服务的机构面临越来越大的风险。只有加深对网络攻击技术发展趋势的了解,才能尽早采取相应的防护措施。目前网络攻击技术和攻击工具正在向以下几个方面快速发展:网络与系统攻击概述网络攻击概述网络攻击的自动化程度和攻击速度不断提
7、高 攻击工具越来越复杂 黑客利用安全漏洞的速度越来越快 防火墙被攻击者渗透的情况越来越多 安全威胁的不对称性在增加 攻击网络基础设施产生的破效果越来越大网络与系统攻击概述网络攻击目标网络攻击是指网络中的用户未经授权的访问尝试或者未经授权的使用尝试,网络与系统攻击的主要目标是破坏信息的保密性、完整性、服务的可用性和运行的可控性。信息保密性:系统中的重要配置文件、用户个人邮件账号、商业数据等信息都是需要保密的信息。 攻击者通常采用的攻击手法:u网络信息拦截uTempest技术u社交工程u网络信息重定向u数据推理u邮件病毒 网络与系统攻击概述网络攻击目标 信息完整性:在一些特定环境下,信息的完整性可
8、能比保密性更重要。 攻击者通常采用的攻击手法:u身份认证攻击:攻击者伪装成具有特权的用户,攻击方法有:密码猜测、口令窃取、网络连接口令窃取、密钥泄露等。u程序异常输入:利用程序设计者的疏忽,通过输入异常数据给某个接收程序,导致该程序出现异常。常用攻击方法是缓冲区溢出攻击。网络与系统攻击概述网络攻击目标 服务可用性:这类攻击导致网络无法使用,如拒绝服务攻击。 拒绝服务的攻击比较滞后,其原因在于拒绝服务本身的特性:u难确认性u隐蔽性u资源的有限性u软件的复杂性常见的拒绝服务攻击有三种:u消耗网络带宽u消耗磁盘空间u消耗CPU资源和内存资源网络与系统攻击概述网络攻击目标 运行可控性:对网络运行做到完
9、全可靠,包含以下几层含义:u连入网络的节点监控u非法对外访问的监控u网络数据实时监控和审计u实时病毒监控网络与系统攻击概述网络攻击分类 目前网络与系统攻击方面还没有一个非常完善的分类非法。一般认为,网络攻击的全过程是有攻击者发起,攻击者应用一定的攻击工具,包括攻击方法与策略,对目标网络和系统进行合法与非法的访问,达到一定的攻击效果,实现攻击者预定的攻击目标。下面给出一种基于多维角度的攻击分类方法。攻击者与其目标u黑客:为了挑战和获取访问权限u间谍:为了政治情报信息u恐怖主义者:为了政治目的而制造恐怖u公司雇佣者:为了竞争经济利益u职业犯罪:为了个人的经济利益u破坏者:为了实现破坏网络设备安全应
10、用与配置网络攻击分类 攻击的位置u远程攻击:从该子网以外的地方向该子网或者该子网内的系统发动攻 击。u本地攻击:通过所在的局域网,向本单位的其他系统发动攻击,在本 机上进行非法越权访问也是本地攻击。 u伪远程攻击:指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象。网络与系统攻击概述网络攻击分类 攻击的层次u简单拒绝服务(如邮件炸弹攻击).u本地用户获得非授权读或者写权限u远程用户获得了非授权的帐号u远程用户获得了特权文件的读写权限u远程用户拥有了根(root)权限网络与系统攻击概述网络攻击分类 攻击技术分类层次结构网络与系统攻击概述攻击
11、技术分类层次结构探测(probe):是黑客在攻击开始之前必须的情报收集工作,攻击者通过 这个过程需要尽可能多的了解攻击目标安全相关的方方面面信息,以便能够集中火力进行攻击。u踩点:攻击者结合各种工具和技巧,以正常合法的途径对攻击目标进行勘探,常用方法:搜索引擎进行搜索、域名查询、DNS查询、网络勘察等。u扫描:攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术,常用工具ping、traceroute、namp、开源nessus和商业scanner等。u查点:攻击者从目标系统中提取有效账号或导出资源名的技术,如提取网络资源和共享资源、用户和用户组、服务器程序及banner等。网
12、络与系统攻击概述攻击技术分类层次结构窃听:指攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的常用攻击方法有。u键击记录:是植入操作系统内核的隐蔽软件,通常实现为一个键盘设备驱动程序,能够把每次键击都记录下来,存放到攻击者指定的隐藏的本地文件中。如Win32平台下适用的IKS等。u网络监听:是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法。如Win32平台下的sniffer等免费工具,Unix平台下的libpcap网络监听工具库。u非法访问数据:是攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。u获取密码文件:攻击者进行口令破解获取
13、特权用户或其他用户口令的必要前提。网络与系统攻击概述攻击技术分类层次结构欺骗:指攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法,属于此类攻击的方法有。u获取口令:通过缺省口令、口令猜测和口令破解三种途径。可以使用专门的口令猜测工具进行口令破解,如遍历字典或高频密码列表从而找到正确的口令。如Win32平台的LOphtcrack等。u恶意代码:包括特洛伊木马应用程序、邮件病毒、网页病毒等,通常冒充成有用的软件工具、重要的信息等,诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制,在启动后悄悄安装恶意程序,通常为攻击者给出能够完全控制该主机的远程连接。u网络欺骗:攻击者通过
14、向攻击目标发送冒充其信任主机的网络数据包,达到获取访问权或执行命令的攻击方法。具体的有IP欺骗、会话劫持、ARP重定向和RIP路由欺骗等。网络与系统攻击概述攻击技术分类层次结构拒绝服务:指中断或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法,其意图就是彻底破坏,这也是比较容易实现的攻击方法。拒绝服务攻击的类型按其攻击形式分为。u导致异常型:利用软硬件实现上的编程缺陷,导致其出现异常,从而使其拒绝服务,如Ping of Death攻击等。u资源耗尽型:通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。视资源类型的不同可分为带宽耗尽和系统资源耗尽两类。带宽耗尽攻击的本质是攻击
15、着通过放大等技巧消耗掉目标网络的所有带宽,如Smurf攻击等。系统资源耗尽型攻击指对系统内存、CPU或程序中的其他资源进行消耗,使其无法满足正常提供服务的需求。如Syn Flood攻击等。u欺骗型 网络与系统攻击概述攻击技术分类层次结构数据驱动攻击:通过向某个程序发送数据,以产生非预期结果的攻击,通常为攻击者给出访问目标系统的权限,大致可分为:u缓冲区溢出:通过往程序的缓冲区写入超出其边界的内容,造成缓冲区的溢出,使 得程序转而执行其他攻击者指定的代码,通常是为攻击者打开远程连接的ShellCode ,以达到攻击目标。如Windows平台下的Code-Red、Blaster、Sasser等都是
16、通过缓冲区溢出攻击获得系统管理员权限后进行传播。u格式化字符串攻击:主要是利用由于格式化函数的微妙程序设计错误造成的安全漏 洞,通过传递精心编制的含有格式化指令的文本字符串,以使目标程序执行任意命 令。u输入验证攻击:针对程序未能对输入进行有效的验证的安全漏洞,使得攻击者能够 让程序执行指令的命令。u同步漏洞攻击:利用程序在处理同步操作时的缺陷,如竞争状态、信号处理等问题 ,以获得更高权限的访问。u信任漏洞攻击:利用程序滥设的信任关系获取访问权的一种方法,如Win32平台下 互为映象的本地和域Administrator凭证、LSA密码等。 网络与系统攻击概述攻击技术分类层次结构隐藏技术:攻击者完成攻击目标后,如获得root权限,通常会采用隐藏技术来消除攻击留下的蛛丝马迹,避免被系统管理员发现,同时还会尽量保留隐蔽的通道,使其以后还能轻易地重新进入目标系统。u日志清理:主要对系统日志中攻击者留下的访问记录进行清除,从而有效地抹除自己的行动踪迹。u安装后门:攻击者通常在获得用户访问权限后会安装一些后门工具,以便轻易地重新进入或远程控
