《安全生产_网络安全发展与未来讲义》由会员分享,可在线阅读,更多相关《安全生产_网络安全发展与未来讲义(109页珍藏版)》请在金锄头文库上搜索。
1、第12章 网络安全发展与未来,张玉清,国家计算机网络入侵防范中心,12,2019/6/27,网络攻击与防范技术,2,本章内容安排,12.1 网络安全现状与挑战 12.2 网络安全的发展趋势 12.3 网络安全与法律法规 12.4 小结,2019/6/27,网络攻击与防范技术,3,12.1 网络安全现状与挑战,12.1.1 网络安全现状 12.1.2 网络安全面临的新挑战,2019/6/27,网络攻击与防范技术,4,12.1.1 网络安全现状,过去的数年中,互联网遭受了一波又一波的攻击传播速度超快、影响范围广泛、造成损失巨大的恶意攻击不断出现。,2019/6/27,网络攻击与防范技术,5,网络安
2、全现状(2),典型攻击: Melissa(1999) 和 LoveLetter(2000) 红色代码(2001) 尼姆达(2001) 熊猫烧香(2006-2007) 分布式拒绝服务攻击(2000-2007) 远程控制特洛伊木马后门(1998-2007),2019/6/27,网络攻击与防范技术,6,Melissa和LoveLetter,1999年3月爆发的Melissa 病毒和2000年5月爆发的LoveLetter 病毒非常相似,都是利用Outlook电子邮件附件迅速传播。 Melissa是MicrosoftWord宏病毒,LoveLetter则是VBScript病毒,其恶意代码都是利用Mic
3、rosoft公司开发的Script语言缺陷进行攻击,因此二者非常相似。,2019/6/27,网络攻击与防范技术,7,Melissa和LoveLetter(2),用户一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制恶意代码并向地址簿中的所有邮件地址发送带有病毒的邮件。 很快,由于Outlook用户数目众多,其病毒又可以很容易地被复制,很快许多公司的邮件服务器就被洪水般的垃圾邮件塞满而中断了服务。,2019/6/27,网络攻击与防范技术,8,Melissa和LoveLetter(3),Melissa 和 LoveLetter 的爆发可以说是信息安全的唤醒电话,它引起了当时人
4、们对信息安全现状的深思,并无形中对信息安全的设施和人才队伍的发展起了很大的刺激作用: Melissa 和 LoveLetter 刺激了企业和公司对网络安全的投资,尤其是对防病毒方面的投入; 许多公司对网络蠕虫病毒的应急响应表现出的无能促使了专业网络安全应急响应小组的发展与壮大。,2019/6/27,网络攻击与防范技术,9,红色代码,2001年7月的某天,全球的IDS几乎同时报告遭到未知蠕虫攻击。 信息安全组织和专业人士纷纷迅速行动起来,使用蜜罐(honeypots)技术从因特网上捕获数据包进行分析,最终发现这是一利用微软IIS缓冲溢出漏洞进行感染的变种蠕虫。,2019/6/27,网络攻击与防范
5、技术,10,红色代码(2),其实这一安全漏洞早在一个月以前就已经被eEye Digital Security发现,微软也发布了相应的补丁程序,但是却很少有组织和企业的网络引起了足够的重视,下载并安装了该补丁。,2019/6/27,网络攻击与防范技术,11,红色代码(3),在红色代码首次爆发的短短9个小时内,这一蠕虫迅速感染了250,000台服务器,其速度和深入范围之广也迅速引起了全球媒体的注意。 最初发现的红色代码蠕虫还只是篡改英文站点的主页,显示“Welcome to http:/! Hacked by Chinese!”等信息。,2019/6/27,网络攻击与防范技术,12,红色代码(4)
6、,随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发动DoS(拒绝服务)攻击以及格式化目标系统硬盘,并会在每月20日28日对白宫的WWW站点的IP地址发动DoS攻击,使白宫的WWW站点不得不全部更改自己的IP地址。 之后,红色代码又不断的变种,其破坏力也更强,在红色代码II肆虐时,有近2万服务器/500万网站被感染。红色代码就是凭着这样过硬的“本领”,在我们的1997至2002年网络攻击之最的民意调查中红色代码与Nimda以占选票 44%的绝对优势位居榜首。,2019/6/27,网络攻击与防范技术,13,红色代码的启示,只要注意及时更新补丁和修复程序,对于一般的蠕虫传播是完全可以避免的。 在网络
7、遭到攻击时,为进行进一步的分析,使用蜜罐是一种非常行之有效的方法。 红色代码猛攻白宫之所以被成功扼制,是因为ISP们及时将路由表中所有白宫的IP地址都清空了,在这一蠕虫代码企图阻塞网络之前,在因特网边界就已被丢弃。另外,白宫网站也立即更改了所有服务器的IP地址。,2019/6/27,网络攻击与防范技术,14,尼姆达,尼姆达(Nidma)是在 9.11 恐怖袭击后整整一个星期后出现的。地区之间的冲突和摩擦常会导致双方黑客互相实施攻击。 当时传言尼姆达病毒的散布为了试探美国对网络恐怖袭击的快速反应能力,一些安全专家甚至喊出了“我们现在急需制定另一个曼哈顿计划,以随时应对网络恐怖主义”的口号,由此可
8、见尼姆达在当时给人们造成的恐慌。,2019/6/27,网络攻击与防范技术,15,尼姆达(2),尼姆达病毒是在早上9:08发现的,它明显地比红码病毒更快、更具有摧毁功能,半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑,总共造成将近10亿美元的经济损失。,2019/6/27,网络攻击与防范技术,16,尼姆达(3),同“红色代码”一样,“尼姆达”也是通过网络对Windows操作系统进行感染的一种蠕虫型病毒。但是它与以前所有的网络蠕虫的最大不同之处在于,“尼姆达”通过多种不同的途径进行传播,而且感染多种Windows操作系统。 “红色代码“只能够利用IIS的漏洞来感染系统,而“尼姆达“
9、则利用了至少四种微软产品的漏洞来进行传播: 在 IIS 中的缺陷 浏览器的JavaScript缺陷 利用 Outlook 电子邮件客户端的一个安全缺陷乱发邮件 利用硬盘共享的一个缺陷,将guest用户击活并非法提升为管理员。 在一个系统遭到感染后,Nimda又会立即寻找突破口,迅速感染周边的系统,并占用大部分的网络带宽。,2019/6/27,网络攻击与防范技术,17,尼姆达的启示,对网络攻击事件的紧急响应能力以及和安全专家们建立良好的关系是非常重要的。 为阻断恶意蠕虫的传播,往往需要在和广域网的接口之间设置过滤器,或者干脆暂时断开和广域网的连接。 在电子邮件客户端和网络浏览器中禁止任意脚本的执
10、行对网络安全性来说是很关键的。,2019/6/27,网络攻击与防范技术,18,熊猫烧香,“熊猫烧香”是一个由Delphi工具编写的蠕虫,终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。,2019/6/27,网络攻击与防范技术,19,熊猫烧香(2),“熊猫烧香”病毒利用的传播方式囊括了漏洞攻击、感染文件、移动存储介质、局域网传播、网页浏览、社会工程学欺骗等。 它能感染系统的.exe、.com、.pif、.src、.html、.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。 在硬盘各
11、个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。 它还能终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为.gho的文件,使用户的系统备份文件丢失。 具有极强的变种能力,仅两个多月的时间,变种就多达70余种。,2019/6/27,网络攻击与防范技术,20,分布式拒绝服务攻击,在新千年的到来之季,信息安全领域的人们都以为由于存在千年虫的问题,在信息网络安全领域中应该暂时还不会出现什么涟波。 然而, 一月之后却来了一场谁
12、也意想不到的洪潮:在全球知名网站雅虎第一个宣告因为遭受分布式拒绝服务攻击而彻底崩溃后, 紧接着A, CNN, ZDNet, B, Excite 和 eBay 等其它七大知名网站也几乎在同一时间彻底崩溃。这无疑又一次敲响了互联网的警钟。,2019/6/27,网络攻击与防范技术,21,分布式拒绝服务攻击(2),DDoS 的闪击攻击使人们认识到互联网远比他们想象得更加脆弱,分布式拒绝服务攻击产生的影响也远比他们原来想象中的要大得多。利用互联网上大量的机器进行DDoS ,分布式扫描和分布式口令破解等,一个攻击者能够达到意想不到的强大效果。 DDoS攻击从2000年开始,就一直是互联网安全的致命危害,就
13、在2006年,即使是有着上千台服务器的百度在遭受DDoS攻击时也难逃一劫,致命服务停止半个小时。,2019/6/27,网络攻击与防范技术,22,分布式拒绝服务攻击的启示,从雅虎遭到强大的DDoS攻击中得到的启示: 要阻止这种攻击关键是网络出口反欺骗过滤器的功能是否强大。也就是说如果你的Web服务器收到的数据包的源IP地址是伪造的话,你的边界路由器或防火墙必须能够识别出来并将其丢弃。 网络安全事件响应小组们认识到他们必须和他们的ISP共同去阻止数据包的flood攻击。如果失去ISP的支持,即使防火墙功能再强大,网络出口的带宽仍旧可能被全部占用。 不幸地,DDoS攻击即使在目前也仍旧是互联网面临的
14、主要威胁,当然这主要是因为ISP在配合阻断DDoS攻击上速度太慢引起的,无疑使事件应急响应的效果大打折扣。,2019/6/27,网络攻击与防范技术,23,远程控制特洛伊木马后门,在1998年7月,黑客 Cult of the Dead Cow(cDc)推出的强大后门制造工具 Back Orifice(或称BO)使庞大的网络系统轻而易举地陷入了瘫痪之中。安装BO主要目的是:黑客通过网络远程入侵并控制受攻击的Win95系统,从而使受侵机器“言听计从”。 如果仅仅从功能上讲,Back Orifice完全可以和市场上最流行的商业远程控制软件相媲美。因此,许多人干脆拿它来当作远程控制软件来进行合法的网络
15、管理。,2019/6/27,网络攻击与防范技术,24,远程控制特洛伊木马后门(2),BO的成功后来也迅速地带动和产生了许多类似的远程控制工具,像 SubSeven, NetBus, Hack-a-Tack 和 Back Orifice 2000 (BO2K)等。 木马技术不发展,发生了众多功能强大的软件,灰鸽子就是其典型代表。 这些攻击工具和方法甚至一直保留到现在,作为黑客继续开发新的和更加强大的特洛伊木马后门,以避开检测,绕过个人防火墙和伪装自己的设计思想基础。,2019/6/27,网络攻击与防范技术,25,“敲诈”型木马,木马从最初的仅仅获取信息,转变为专门以营利为目的。如盗取银行账号信息
16、掠夺金钱、盗取网游账号倒卖等。 此外,还出现了一种新型功能的木马“敲诈”型木马,它的主要特点是试图隐藏用户文档,让用户误以为文件丢失,木马乘机以帮助用户恢复数据的名义,要求用户向指定的银行账户内汇入定额款项。国内已出现不少这类专门对用户进行“敲诈勒索”的木马。,2019/6/27,网络攻击与防范技术,26,12.1.2 网络安全面临的新挑战,针对网络安全的挑战更是层出不穷,下面列出了目前网络安全面临的几大问题: 更多网络犯罪直接以经济利益为目的 拒绝服务攻击泛滥 垃圾邮件与反垃圾邮件之间的斗争愈演愈烈 恶意软件横行,web攻击频发 对非PC设备(例如手机)的威胁增加,2019/6/27,网络攻击与防范技术,27,更多网络犯罪直接以经济利益为目的,最吸引国人眼球的应该是腾讯,2004年两次QQ大规模无法使用,尤其是此后影影绰绰的勒索传言,有人惊呼:中国网络恐怖主义诞生了。 传言毕竟只是传言,相比之下,一群巴西网络银行骇客的落网或许更能让你真切感受到网络犯罪离你多近,仅仅一年多的时间,他们从银行中窃取了大约2758万美元
