《网络安全管理培训课件》由会员分享,可在线阅读,更多相关《网络安全管理培训课件(36页珍藏版)》请在金锄头文库上搜索。
1、网络安全,刘敏贤 副教授,西南科技大学计算机科学与技术学院,第一章回顾,什么是安全 信息安全的级别 安全的几个要素 安全威胁的来源 安全的目标 信息安全体系 P2DR模型 PDRR,第2章 网络攻击行径分析,本章对攻击事件、攻击的目的、攻击的步骤及攻击的诀窍作一些简要的介绍,为随后深入学习攻击技术打下基础。,第2章 网络攻击行径分析,2.1攻击事件 2.2攻击的目的 2.3攻击的步骤 2.4攻击诀窍,攻击事件,安全威胁 外部攻击、 内部攻击 行为滥用,第2章 第1节,潜在的攻击者 竞争对手 黑客政治家 有组织的罪犯 恐怖主义者 政府 雇佣杀手 虚伪朋友,不满的员工 客户 供应商 厂商 商务伙伴
2、 契约者、临时雇员和顾问,攻击者的水平,脚本小孩(Script Kiddies),普通技能攻击者,高级技能攻击者,安全专家,杰出攻击者,Who is 黑客,黑客(Hacker)一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。 黑客是一群喜欢用智力通过创造性方法来挑战脑力极限的人,特别是他们所感兴趣的领域 。,历史上最著名的 五大黑客,Kevin David Mitnick,Kevin David Mitnick ( 凯文米特尼克)- 世界上公认的头号黑客。曾成功入侵北美防空指挥系统,他是第一个被美国联邦调查局通缉的黑客。 巡游五角大楼,登录克里姆林宫,进出全球所有计算机系统
3、,摧垮全球金融秩序和重建新的世界格局,谁也阻挡不了我们的进攻,我们才是世界的主宰。 Kevin Mitnick,Robert Tappan Morris,Morris 是前国家安全局科学家Rort Morris的儿子。Robert 曾编写过著名的Morris 蠕虫病毒。 Morris 最后被判了400小时的社区服务和一万美元的罚款。 Morris 现在是 MIT 计算机科学和人工智能实验室 的一名专家。他专注于计算机网络体系。,Jonathan James (乔纳森詹姆斯),16岁的时候James就已经恶名远播,成为了第一个因为黑客行径被捕入狱的未成年人。 James攻击过的高度机密组织包括:
4、国防威胁降低局,这是国防部的一个机构。 他还进入侵过NASA的电脑,并且窃取了价值超过170万美元的软件。 发现这次入侵之后,NASA不得不立刻关闭了整个电脑系统,造成的损失达到41000美元。 2008年5月18日乔纳森死于癌症,25岁。,Adrian Lamo (阿德里安拉莫),Lamo专门找大的组织下手,例如破解进入微软和纽约时报。Lamo喜欢使用咖啡店、Kinko店或者图书馆的网络来进行他的黑客行为,因此得了一个诨号:不回家的黑客。Lamo经常发现安全漏洞,并加以利用。通常他会告知企业相关的漏洞。 在Lamo攻击过的名单上包括,雅虎、花旗银行,美洲银行和Cingular等。 由于侵入纽
5、约时报内部网络,Lamo成为顶尖的数码罪犯之一。也正是由于这一罪行,Lamo被处以65000美元的罚款,并被处以六个月的家庭禁闭和两年的缓刑。,Kevin Poulsen (凯文普尔森),他的另一个经常被提及的名字是Dark Dante,Poulsen受到广泛关注是因为他采用黑客手段进入洛杉矶电台的KIIS-FM电话线,这一举动为他赢得了一辆保时捷。 此后FBI开始追查Poulson,因为他闯入了FBI的数据库和用于敏感窃听的联邦电脑系统。Poulsen的专长就是闯入电话线,他经常占据一个基站的全部电话线路。Poulsen还会重新激活黄页上的电话,并提供给自己的伙伴进行出售。,Poulson留
6、下了很多未解之谜,最后在一家超市被捕,判处以五年监禁。 在狱中,Poulson干起了记者的行当,并且被推举为Wired News的高级编辑。在他最出名的文章里面,详细的通过比对Myspace的档案,识别出了744名性罪犯。,攻击事件,攻击事件分类 破坏型攻击 利用型攻击 信息收集型攻击 网络欺骗攻击 垃圾信息攻击,第2章 第1节,破坏型攻击 以破坏对方系统为目标 破坏的方式:使对方系统拒绝提供服务(DoS攻击)、删除数据、破坏硬件系统等。 拒绝服务攻击的分类:带宽耗尽型、目标主机资源耗尽型、网络程序漏洞利用型、本地漏洞利用型 拒绝服务攻击的技术:P.9,第2章 第1节,DOS 攻击的手段,Pi
7、ng of Death IGMP Flood Teardrop UDP flood SYN flood Land 攻击 Smurf攻击 Fraggle攻击 畸形消息攻击 Ddos 目的地不可达到攻击 电子邮件炸弹 对安全工具的拒绝服务攻击,利用型攻击,利用型攻击 试图直接对目标计算机进行控制 后果:信息窃取、文件篡改、跳板(傀儡主机) 攻击手段:口令攻击(嗅探、破解)、木马攻击(后门)、缓冲区溢出攻击 手段 口令猜想 特洛依木马 缓冲区溢出,信息收集型攻击,信息收集型攻击 为进一步攻击提供有利信息 种类:扫描、体系结构探测(又叫系统扫描)、利用信息服务 扫描技术 体系结构探测 利用信息服务,网
8、络欺骗攻击,网络欺骗攻击 为进一步攻击做准备 种类:DNS欺骗、电子邮件欺骗、Web欺骗、IP欺骗 垃圾信息攻击,攻击目的,攻击的动机 恶作剧 恶意破坏 商业目的 政治军事,第2章 第2节,攻击目的,攻击性质 破坏 入侵 攻击目的 破坏目标工作 窃取目标信息 控制目标机器 利用假消息欺骗对方,第2章 第2节,攻击的步骤,一般的攻击都分为三个阶段: 攻击的准备阶段 攻击的实施阶段 攻击的善后阶段,第2章 第3节,攻击的一般过程,网络攻击一般过程,侦察,网络攻击步骤,典型攻击步骤,预攻击探测,收集信息,如OS类型,提供的服务端口,发现漏洞,采取攻击行为,获得攻击目标的控制权系统,继续渗透网络,直至
9、获取机密数据,消灭踪迹,破解口令文件,或利用缓存溢出漏洞,以此主机为跳板,寻找其它主机的漏洞,获得系统帐号权限,并提升为root权限,安装系统后门,方便以后使用,端口 判断,判断 系统,选择 最简 方式 入侵,分析 可能 有漏 洞的 服务,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 多个 系统 后门,清除 入侵 脚印,攻击其 他系统,获取敏 感信息,作为其 他用途,较高明的入侵步骤,攻击的步骤,攻击的准备阶段 确定攻击目的 准备攻击工具 收集目标信息,第2章 第3节,攻击的步骤,攻击实施阶段的一般步骤 隐藏自已的位置 利用收集到的信息获取账号和密码,登录主机 利用漏洞或者其它方法
10、获得控制权并窃取网络资源和特权,第2章 第3节,攻击的步骤,攻击的善后阶段 日志 Windows 禁止日志审计,清除事件日志,清除IIS服务日志 Unix messages、lastlog、loginlog、sulog、utmp、utmpx、wtmp、wtmpx、pacct 为了下次攻击的方便,攻击者都会留下一个后门,充当后门的工具种类非常多,最典型的是木马程序,第2章 第3节,攻击诀窍,基本方法 口令入侵 获取账号:Finger ,X.500 ,电子邮件地址 ,默认账号 获取密码:网络监听 ,Bruce,漏洞与失误 特洛伊木马程序 WWW欺骗 电子邮件攻击 电子邮件轰炸 ,电子邮件欺骗,第2
11、章 第4节,攻击诀窍,基本方法 黑客软件 Back Orifice2000、冰河 安全漏洞攻击 Outlook ,IIS,Serv-U 对防火墙的攻击 Firewalking、Hping 渗透 路由器攻击,第2章 第4节,攻击诀窍,常用攻击工具 网络侦查工具 superscan ,Nmap 拒绝服务攻击工具 DDoS攻击者 1.4 , sqldos , Trinoo 木马 BO2000 ,冰河 ,NetSpy ,,第2章 第4节,攻击的发展趋势,漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) 混合型威胁趋势 将病毒、蠕虫、特洛伊木马和恶意代码
12、的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。 主动恶意代码趋势 制造方法:简单并工具化 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身,躲避甚至攻击防御检测软件. 表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽,复制传播,难以检测。 受攻击未来领域 即时消息:MSN,Yahoo,ICQ,OICQ等 对等程序(P2P) 移动设备,网络攻击行径分析,攻击目的 攻击步骤 攻击的准备阶段 攻击的实施阶段 攻击的善后阶段,第2章 重点回顾,网络攻击行径分析,课后思考 利用向目标主机发送非正常消息的而导致目标主机崩溃的攻击方法有哪些? 简述破坏型攻击的原理及其常用手段。 叙述扫描的作用并阐述常用的扫描方法。 简要叙述攻击的一般过程及注意事项。,第2章 习题,
