《网络安全技术基础》由会员分享,可在线阅读,更多相关《网络安全技术基础(56页珍藏版)》请在金锄头文库上搜索。
1、网络安全技术基础 信息的保密性 信息的完整性 信息的可用性 信息的不可否认性网络安全的概念 计算机系统的脆弱性物理威胁网络威胁身份鉴别编程威胁系统漏洞安全威胁 计算机系统的脆弱性物理威胁 偷窃、废物搜寻、间谍活动网络威胁 窃听、冒名顶替、特洛伊木马身份鉴别 算法缺陷、口令破解、口令圈套编程威胁 逻辑炸弹、特洛伊木马、病毒系统漏洞 故意漏洞、服务漏洞安全威胁网络为什么不安全 网络建设非常迅猛,较少考虑安全问题 缺乏安全知识和意识 网络仍然在不断发生变化 安全工具不能完全自动处理安全漏洞和威胁 错误配置 系统缺陷或开发商缺乏反应 软件工程的薄弱 缺乏安全管理人员 缺乏软件管理人员攻击来自何处來源:
2、 CSI / FBI Computer Crime Survey, March 1998.9%21%32%38%外国政府竞争对手黑客内部雇员安全事故的后果 直接经济损失 名誉、信誉受损 正常工作中断或受到干扰 效率下降 可靠性降低 其他严重的后果常见黑客攻击方式 拒绝服务攻击 利用型攻击 信息收集型攻击 假消息攻击拒绝服务 1.死亡之ping(ping of death) 2.泪滴(teardrop)3. UDP洪水(UDP flood)4.SYN洪水(SYN flood)具体攻击方式列举SYN (我可以连接吗?)ACK (可以)/SYN(请确认! )ACK (确认连接) 发起方应答方正常的三
3、次握手建立通讯的过程拒绝服务(SYN Flood)SYN (我可以连接吗?)ACK (可以)/SYN(请确认! )攻击者受害者伪造地址进行SYN请求为何还 没回应就是让 你白等不能建立正常的连接拒绝服务(SYN Flood)拒绝服务5. Land攻击6. Smurf攻击7. Fraggle攻击8. 电子邮件攻击9. 畸形消息攻击具体攻击方式列举利用型攻击1. 口令猜测2. 特洛伊木马3. 缓冲区溢出具体攻击方式列举用户名泄漏,缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码漏洞(按攻击手法分)1. 本地越权访问Solaris 7 lp -d 参数缓冲区溢出漏洞 AI
4、X 多个setuid/setgid本地溢出漏洞WIN2000登陆漏洞最终解决方法http:/ 具体攻击方式列举Windows 2000登录验证机制可被绕过终端服务器开放3389端口利用终端服务器客户端 远程连接漏洞(按攻击手法分)2. 远程越权访问solaris rpc.ttdbserver rpc.stat rpc.cmsd 远程溢出Qpop3 2.X 3.X 4.X 远程溢出IIS .printer .ida 远程溢出漏洞(按攻击手法分)3. Cgi 漏洞Unicode解码目录遍历漏http:/ CGI文件名错误解码漏洞http:/ web目录列表泄露漏http:/target/?wp-c
5、s-dump Unicode 编码可穿越firewall攻击,执行黑客指令入侵者http:/www.victim.co m/scripts/%c1%1c /winnt/system32/cmd. exe?/c+dir+c:IIS解码为/,调 用cmd.exe执行命令显示结果漏洞(按攻击手法分)4. 系统/应用配置漏洞SQl/Mysql server 缺省配置 帐号泄露Snmp 缺省配置 网络信息泄露SGI缺省安装 帐号泄露 ASP源代码泄露连接数据库的用户名和密码,SQL server缺省安装http:/target/global.asa%80 http:/target/global.asa%
6、81 http:/target/global.asa+.htr http:/target/null.htw?CiWebHitsFile=/global.asa%20 Server=127.0.0.1;UID=moneyuser;PWD=mo ney;DataBase=money“SQL server缺省安装sa密码为空,对外开放1433端口利用存储过程,以管理 员身份执行任意命令Xp_cmdshell “ipconfig/all”漏洞(按攻击手法分)5. 嵌入恶意代码Outlook和Outlook Express处理VCard时存在 缓冲区溢出微软IE/Outlook中 com.ms.acti
7、veX.ActiveXComponent执行任 意程序Windows媒体播放器通过.WMV执行任意 Java Applet电子监听与欺骗1.sniffer技术2.ARP欺骗技术3.DNS欺骗4.IP欺骗5.其他欺骗技术社会工程学1. 垃圾桶理论2. 报纸,杂志,电话,主页等3. 其他黑客攻击手法综述 信息收集 端口扫描 服务器操作系统信息 自动安全扫描 尝试获得主机入口 密码猜测 远程溢出 Sniffer 程序漏洞 尝试获得最高权限 本地溢出 木马 窃取、欺骗 程序漏洞 扩大攻击范围 清除系统日志 留下系统后门 跳跃攻击其他主机黑客攻击手法综述信 息 收 集系统 安全 弱点 扫描从薄 弱点 突
8、破提 升 为 最 高 权 限消除 入侵 痕迹扩大入 侵范围常见的入侵步骤步骤端口 判断判断 系统选择 最简 方式 入侵分析 可能 有漏 洞的 服务获取 系统 一定 权限提 升 为 最 高 权 限安装 多个 系统 后门清除 入侵 脚印攻击其 他系统获取替 换信息作为其 他用途高明的攻击者入侵步骤 步骤 sadmin/IIS蠕虫 透过Solaris系统以及IIS伺服器的两个 著名漏洞来攻击系统以及置换网页的攻击 程式。采用技术:一、蠕虫技术 二、早期Solaris RPC.sadmind缓冲区溢出 三、上述的Unicode漏洞 sadmin/IIS蠕虫 透过Solaris系统以及IIS伺服器的两个
9、 著名漏洞来攻击系统以及置换网页的攻击 程式。采用技术:一、蠕虫技术 二、早期Solaris RPC.sadmind缓冲区溢出 三、上述的Unicode漏洞过程:蠕虫SolarisSolarisNT+IIS自动替换页面 CodeRed II蠕虫 利用微软Index Server(.ida/idq)ISAPI扩展 远程溢出漏洞 http:/ 二、繁殖 三、安装木马 CodeRed II蠕虫 传播过程感染 /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
10、XXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090% u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u0 0=a HTTP/1.0 如果攻击不成
11、功WEB LOG将会有上述的信息 CodeRed II蠕虫 传播过程获取 当前 IP检查 系统 语言检查 是否 被 感染永久 休眠NOyes中文系统开600个线程 英文系统开300个线程 攻击其他IP调用木马非中文系统休眠1天 中文系统休眠2天重起机器, 留下木马和后门 CodeRed II蠕虫后门和木马获取%SYSTEM%系统目录。例如 C:WINNTSYSTEM32 * 将cmd.exe加到系统目录 字符串的末尾,例如 C:WINNTSYSTEM32cmd.exe * 将驱动器盘符设置为C: * 将cmd.exe拷贝到 驱动 器盘符:inetpubscriptsroot.exe * 将cm
12、d.exe拷贝到 驱动器盘符 :progra1common1systemMSADCroot.exe * 创建“驱动器盘符:explorer.exe“ * 往“驱动器盘符:explorer.exe“中写入二进制代码。 * 关闭“驱动器盘符:explorer.exe“ * 将驱动器盘符改为D,重复从第四步开始的操作 CodeRed II蠕虫后门和木马蠕虫创建的“explorer.exe”是一个木马,它的主要工作方式如下: 获取本地windows目录 * 执行真正的“explorer.exe“ * 进入下面的死循环: while(1) 设置“SOFTWAREMicrosoftWindows NTCu
13、rrentVersionWinlogonSFCDisable“ 到0FFFFFF9Dh, 禁止系统文 件保护 设置 “SYSTEMCurrentControlSetServicesW3SVCParametersVirtual RootsScripts“ 到 ,217 设置 “SYSTEMCurrentControlSetServicesW3SVCParametersVirtual Rootsmsadc” 到 ,217 设置 “SYSTEMCurrentControlSetServicesW3SVCParametersVirtual Rootsc” 到c:,217 设置 “SYSTEMCurre
14、ntControlSetServicesW3SVCParametersVirtual Rootsd” 到d:,217 休眠10分钟 蠕虫通过修改上面的注册表增加了两个虚拟web目录(/c和/d),并将其分 别映射到C: 和D:。这使得即使用户删除了root.exe,只要“explorer.exe” 木马仍在运行,攻击者 仍然可以利用这两个虚拟目录来远程访问您的系 统。 例如: http:/TARGET/c/inetpub/scripts/root.exe?/c+dir (如果root.exe还 存在) http:/TARGET/c/winnt/system32/cmd.exe?/c+dir (
15、如果root.exe 已经被删除) CodeRed II蠕虫手工清除 停止IIS并且选择禁止重启动机器 删除木马 删除后门 打补丁或删除.ida/idq的映射同时提供了针对NT和2000系统的补丁: . Windows NT 4.0: http:/ 833 Windows 2000 Professional, Server and Advanced Server: http:/ 800 注意: Windows NT 4.0补丁需要安装在Windows NT 4.0 Service Pack 6a系统中。 Windows 2000补丁需要安装在Windows 2000 Service Pack1或Service Pack2
