《网络安全基础知识》由会员分享,可在线阅读,更多相关《网络安全基础知识(192页珍藏版)》请在金锄头文库上搜索。
1、网网络络安全基安全基础础知知识识主主讲讲:戴:戴维维英英电话电话:0993-23903500993-2390350黑客常用攻黑客常用攻击击手段及防御措施手段及防御措施个人用个人用户户忠告及建忠告及建议议内容提要内容提要网网络络安全概述安全概述单单位网位网络络安全措施推荐安全措施推荐FF关注网关注网络络安全的必要性安全的必要性一一. 网网络络安全概述安全概述网网络络安全安全现现状概述状概述导导致网致网络络安全安全问题问题的原因的原因Internet网络呈爆炸式增长Internet用户数 (百万)互联网用户数每半年翻一番亿美元Internet商业应用快速增长E-mailWeb浏览Intranet站
2、点E-Commerce电子交易复复杂杂程度程度时间Internet Internet 变变得越来越重要得越来越重要Internet Internet 变变得越来越重要得越来越重要InternetInternet已成已成为为全球最重要的信息全球最重要的信息传传播工具!播工具!2001年不完全统计: Internet 现在遍及186个国家 容纳近60万个网络 提供了包括600个大型联网图书馆 400个联网的学术文献库 2000种网上杂志 900种网上新闻报纸 50多万个Web网站在内的多种服务 总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。 互联网数据量每100天翻一番I
3、nternet Internet 变变得越来越重要得越来越重要InternetInternet目前的目前的发发展展规规模模连连接接计计算机算机 2 2亿亿多台多台InternetInternet用用户户已超已超过过 5 5亿亿人人InternetInternet的的发发展速度展速度是是历历史上史上发发展最快的一种信息网展最快的一种信息网络络技技术术以商以商业业化后达到化后达到 5000 5000 万用万用户为户为例例 电视电视用了用了1313年,收音机用了年,收音机用了3838年,年,电话电话100100年年Internet Internet 从商从商业业化达到化达到 5000 5000 万用
4、万用户户用了用了4 4 年年时间时间Internet Internet 正在以超正在以超过过摩摩尔尔定理定理(Moore)(Moore)的速度的速度发发展展MetcalfeMetcalfe定律(第四定律)定律(第四定律):网:网络络性能的增性能的增长长速度等于速度等于连连在在网上的网上的PCPC数目的平方数目的平方( (C Cn n2 2) ),即网,即网络络的的频宽频宽每年提高了每年提高了3 3倍。倍。正如尼正如尼尔尔巴雷特在信息国的状巴雷特在信息国的状态态一一书书中所言:中所言:“要想要想预预言言InternetInternet的的发发展,展,简简直就像企直就像企图图用弓箭追赶用弓箭追赶飞
5、飞行中的子行中的子弹弹。在你。在你每次用手指按每次用手指按动键盘动键盘的同的同时时,InternetInternet就已就已经经在不断在不断变变化了。化了。”网网络带宽络带宽vs.CPUvs.CPU性能性能第三定律:第三定律:“吉吉尔尔德定律德定律”(Gilders Law)”(Gilders Law): 在未来在未来2525年,主干网的年,主干网的带宽带宽每每6 6个月增个月增长长一倍,其增一倍,其增长长速度是速度是摩摩尔尔定律定律预测预测的的 CPU CPU 增增长长速度的速度的3 3倍。倍。InternetInternet的的飞飞速速发发展展加加速速了了社社会会的的信信息息化化过过程程,
6、由由于于信信息息价价值值的的提提高高,信信息息的的最最主主要要的的载载体体网网络络、计计算算机成机成为为不法分子攻不法分子攻击击的目的目标标。Internet Internet 变变得越来越重要得越来越重要已确定的信息系统安全的脆弱性(即允许非授权访问或破坏网络的软件与硬件问题)的数量在近年迅速增加20012001年:年:1090109020032003年:年:412941291995200319952003全球信息系全球信息系统统脆弱性脆弱性问题问题 资资料来源:料来源: http:/www.cert.org 2003http:/www.cert.org 2003年年2 2月月8 8日日19
7、88-20021988-2002接到正式接到正式报报告的攻告的攻击击事件事件资资料来源:料来源:http:/www.cert.org http:/www.cert.org 实际实际上上发发生的攻生的攻击击事件事件远远远远超超过这过这个数字个数字6 61321322522524064067737731334133423402340241224122573257327342734373437349859985921756217565265852658820948209401000020000300004000050000600007000080000198819891990199119921993
8、199419951996199719981999200020012002混合型威胁(RedCode,Nimda)拒绝服务攻击(Yahoo!,eBay)发送大量邮件的病毒(LoveLetter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量网网络络安全安全问题问题日益突出日益突出关注网关注网络络安全的必要性安全的必要性一一. 网网络络安全概述安全概述网网络络安全安全现现状概述状概述导导致网致网络络安全安全问题问题的原因的原因网网络络信息安全信息安全问题问题涉及国家安全涉及国家安全
9、 政治安全政治安全q第一次(1997):印尼金融危机、排华反华q第二次(1999.05):北约轰炸我驻南使馆q第三次(1999.07):李提“两国论”q第四次(2000.02):日本右翼事件/教科书q第五次(2001.2):日航歧视华人事件q第六次(2001.05):中美撞机事件中外黑客大战6次高潮网网络络信息信息安全安全问题问题涉及国家安全涉及国家安全政治安全政治安全2001年2月8日,中央企业工作委员会直属的高新技术企业集团武汉邮电科学研究院被黑,首页页头被加上“这里是信息产业部邮科院的网站,但已经被黑”的字样。由于武汉邮电科学研究院在我国光纤研究领域和在武汉市的地位,其网站被黑引起了社会
10、的广泛关注,据称也引起了国家信息部的注意。这是2001年国内第一次有影响的黑客事件。2001年12月,九运会期间信息系统运作获得圆满成功,抵御数十万次黑客攻击,创下全运会史上的五个第一。仅在开幕式当天,就出现了总数达35万次的三次袭击高峰,此后平均每天有35万次的攻击。网管发现,几乎世界各地都有黑客参与攻击,其中不乏一些“颇负盛名”的俄罗斯、美国黑客。由于采用了防火墙设备,并派人24小时监控,九运会网络安然无恙,黑客们只得无功而返。网网络络信息安全信息安全问题问题涉及国家安全涉及国家安全政治安全政治安全l2000年2月,日本右翼分子举行集会,企图否认南京大屠杀暴行,引起中国黑客愤慨,中国黑客连
11、番袭击日本网站。2月8日9日,中国最大网站新浪网招致黑客长达18小时的袭击,其电子邮箱完全陷入瘫痪。l2001年11月1日,国内网站新浪被一家美国黄色网站攻破,以致沾染黄污。网页维护单位已迅速将黄色网站屏蔽。新浪网站搜索引擎提供的100多条“留学生回流”相关新闻标题中,标题“中国留学生回流热”的链接被指向一家全英文的美国成人黄色网站,图片极为污秽,不堪入目。l2001年11月3日,中国青年报两次被黑,北京青年报网站遭到不明黑客袭击。网站被修改为黑色底色,并挂有巴西国旗。11月4日,北京青年报网站再次被黑客攻击。据称,黑客的两次攻击都是善意的,不知道这是北京青年报的自嘲还是黑客们真是善意的,总之
12、,我们再一次发现我们网络的脆弱,不然不知道怎样解释两天的两次善意被黑。1996年8月17日,美国司法部的网络服务器遭到“黑客”入侵,并将“美国司法部”的主页改为“美国不公正部”,将司法部部长的照片换成了阿道夫希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。1996年9月18日,黑客光顾美国中央情报局的网络服务器,将其主页由“中央情报局”改为“中央愚蠢局”。1996年12月29日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其中空军介绍、新闻发布等内容被替换成一段简短的黄色录象,且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网
13、址。2000年3月6日晚6时50分,美国白宫网站主页被黑:在白宫上空飘扬的美国国旗竟变成了骷髅头的海盗旗;在克林顿与戈尔的合影中,戈尔成了独眼龙。更可笑的是,几分钟后白宫上悬挂的旗帜又摇身一变成了一美女剪影,而戈尔则变成了一个汉堡包。此后不久,主页又被黑客修改,在美国国旗位置出现了三排歪歪扭扭的红色字体:Hackerswashere(黑客到此一游)。网网络络信息安全信息安全问题问题涉及国家安全涉及国家安全政治安全政治安全美国美国发发生的案例:生的案例:CIAHOMEPAGEDOJHOMEPAGEUSAFHOMEPAGE美国被黑的美国被黑的WEB页页面面美国美国美国美国历历历历年被攻年被攻年被攻
14、年被攻击击击击的情况的情况的情况的情况引自 ComputerEmergenceResponseTeam,CERTComputerEmergenceResponseTeam,CERT网网络络信息安全信息安全问题问题涉及国家安全涉及国家安全经济经济安全安全l1997年12月19日至1999年8月18日:有人先后19次入侵某证券公司上海分公司电脑数据库,非法操作股票价格,累计挪用金额1290万元。l1998年2月25日:黑客入侵中国公众多媒体通信网广州蓝天bbs系统并得到系统的最高权限,系统失控长达15小时。为国内报道首例网上黑客案件。l1998年9月22日,黑客入侵扬州工商银行电脑系统,将72万元
15、注入其户头,提出26万元。为国内首例利用计算机盗窃银行巨款案件。l1999年4月16日:黑客入侵中亚信托投资公司上海某证券营业部,造成340万元损失。l1999年11月14日至17日:新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件,用户的信用卡被盗1.799万元。l2000年3月6日至8日:黑客攻击实华开EC123网站达16次,同一时期,号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。国内几起典型案例:国内几起典型案例:安全事件造成安全事件造成经济损经济损失失(1)l1988年康奈尔大学的研究生罗伯特.莫里斯(22岁)针对UNIX的缺陷设计了一个“蠕虫”程序,感染了6000台计算
16、机,使Internet不能正常运行,造成的经济损失达1亿美元。他因此被判三年缓刑、罚款1万美元、做400小时的社区服务。l1994年末,俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元。l1995年,“世界头号电脑黑客”凯文米特尼克被捕。他被指控闯入许多电脑网络,包括入侵北美空中防务体系、美国国防部,偷窃了2万个信用号卡和复制软件。l1999年4月26日,台湾人编制的CIH病毒的大爆发,有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在
17、这次事件中,经济损失高达近12亿元。l2005年,英国有500万人仅被网络诈骗就造成经济损失达5亿美元。“头头号号电脑电脑黑客黑客”凯凯文文 米特尼克米特尼克Kevin MitnickKevin Mitnick19951995年年2 2月被送上法庭,月被送上法庭,“到底到底还还是是输输了了”。20002000年年1 1月出月出狱狱,3 3年内被禁止使用年内被禁止使用电脑电脑、手机及、手机及互互联联网。(材料引自网。(材料引自骇骇世黑客世黑客余开亮余开亮 张张兵兵编编)安全事件造成安全事件造成经济损经济损失失(2)l2000年2月份黑客攻击的浪潮,是互连网问世以来最为严重的黑客事件。l三天内黑客
18、使美国数家顶级互联网站雅虎、亚马逊、EBAY、CNN陷入瘫痪,造成直接经济损失12亿美元,造成Internet的速度降低20%,并引起股市动荡:l引起美国道穷斯股票指数下降了200多点。l成长中的高科技股纳斯达克股票也一度下跌了80个点。安全事件造成的安全事件造成的经济损经济损失失(3)l2000年5月4日,“爱虫”病毒大爆发,据美国加利福尼亚州的名为“电脑经济”的研究机构发布的初步统计数据:“爱虫”大爆发两天之后,全球约有4500万台电脑被感染,造成的损失已经达到26亿美元。此后几天里,“爱虫”病毒所造成的损失还将以每天10亿美元到15亿美元的速度增加。 爱虫病毒造成的损失超过100亿美元!
19、 安全事件造成的安全事件造成的经济损经济损失失(4)l在2001年7月开始发作的“红色代码”病毒造成大面积网络瘫痪,直接经济损失超过26亿美元。l臭名昭著的“求职信”病毒在2001年12月爆发,产生大量病毒邮件堵塞服务器,造成损失达数百亿美元l2001年5月、2001年10月至11月和2002年2至4月,我国出现了病毒感染的3次高峰。在这三个时间段中恰好是“欢乐时光”病毒、“尼姆达”病毒、“求职信”病毒和GOP等病毒的高发期。安全事件造成的安全事件造成的经济损经济损失失(5)l2003年1月“蠕虫王”病毒使得网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元。l令全世界闻风丧胆
20、、令所有企业深恶痛绝的“冲击波”病毒2003年7月发作,使得大量网络瘫痪,造成了数十亿美金的损失。l2004年1月,“MyDoom”病毒发作,产生大量垃圾邮件,攻击SCO和微软网站,给全球经济造成了300多亿美元的损失2003年8月29日,18岁美国青年杰弗里李帕森被FBI逮捕其编写的“冲击波”蠕虫病毒自8月11日下午在因特网上传播以来,已在全球范围内感染了大约50万台电脑,造成大批电脑瘫痪和网络连接速度减慢。新华社/路透编写病毒的黑客编写病毒的黑客病毒造成的病毒造成的损损失程度失程度l2001年计算机病毒攻击给全球造成损失130亿美元l2002年电脑病毒攻击造成大约200-300亿美元损失l
21、2003年的损失则达到550亿美元l2004年仅MyDoom病毒的损失就高达300亿美元恶意代码攻击的年度损失网网络络安全安全问题问题涉及国家安全涉及国家安全社会社会稳稳定定互连网上散布的虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个造谣要大的多。1999年4月,河南商都热线一个BBS,一张说交通银行郑州支行行长携巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,挤提了十个亿。网上治安问题,民事问题,人身侮辱事件来自上海,四川的举报网上赌博,网上色情信息战敌对双方为争夺对于信息的获取权、控制权和使用权而展开的斗争。它是以计算机网络为战场,计算机技术为核心、为武器,是一场智力
22、的较量,以攻击敌方的信息系统为主要手段,破坏敌方核心的信息系统,是现代战争的“第一个打击目标”。 其手段有:计算机病毒、逻辑炸弹、后门(Back Door)、黑客、电磁炸弹、纳米机器人和芯片细菌等。 美国联邦调查局计算机犯罪组负责人吉姆 塞特尔曾经说:给他10个世界顶级黑客,组成一个特别小组,90天内他就可以“关掉”美国-就像关掉一台计算机一样。 网网络络信息安全信息安全问题问题涉及国家安全涉及国家安全信息信息战战有组织、大规模的网络攻击预谋行为:国家级、集团级无硝烟的战争: 跨国界、隐蔽性、低花费、跨领域、高技术性、情报不确定性美国的“信息战执行委员会”:网络防护中心(1999年)信息作战中
23、心(2000年)网络攻击演练(2002年)MC02MC02MC02MC02演演演演习习习习要害目标:金融支付中心、证券交易中心空中交管中心、铁路调度中心电信网管中心、军事指挥中心网网络络信息安全信息安全问题问题涉及国家安全涉及国家安全信息信息战战因特网因特网安全漏洞危害在增大信息信息战战的威的威胁胁在增加在增加电电力力交通交通通通讯讯控制控制广播广播工工业业金融金融医医疗疗网网络络信息安全信息安全问题问题涉及国家安全涉及国家安全信息信息战战信息信息战战重要重要实实例例1990年海湾战争,被称为“世界上首次全面信息战”,充分显示了现代高技术条件下“制信息权”的关键作用。美军通过向带病毒芯片的打印
24、机设备发送指令,致使伊拉克军队系统瘫痪,轻易地摧毁了伊军的防空系统。多国部队运用精湛的信息技术,仅以伤亡百余人的代价取得了歼敌十多万的成果。在科索沃战争中,美国的电子专家成功侵入了南联盟防空体系的计算机系统。当南联盟军官在计算机屏幕上看到敌机目标的时候,天空上其实什么也没有。通过这种方法,美军成功迷惑了南联盟,使南联盟浪费了大量的人力物力资源。同样的方法还应用到南联盟首领米洛舍维奇的头上,美军雇佣黑客闯入瑞士银行系统,调查米氏的存款情况并加以删除,从心理上给予米氏以沉重的打击。美军19962004年对信息战的投资预计达170.23亿美元,1995年对计算机病毒武器研制的拨款为15亿美元,199
25、6年对开发信息安全保密技术款额为10亿美元。在白宫Internet安全会议上,克林顿一次宣布拨款$900万,用于资助训练Internet安全专家和建立联邦Internet安全所,拔款$20亿用于建设网络基础设施以打击网络恐怖活动。我国打赢信息对抗的高层规划?网网络络信息安全信息安全问题问题涉及国家安全涉及国家安全信息信息战战信息信息时时代的国代的国际际形形势势在信息时代,世界的格局是:一个信息霸权国家,十几个信息主权国家,多数信息殖民地国家。在这样的一个格局中,我们只有一个定位:反反对对信息霸信息霸权权,保,保卫卫信息主信息主权权!关注网关注网络络安全的必要性安全的必要性一一. 网网络络安全概
26、述安全概述网网络络安全安全现现状概述状概述导导致网致网络络安全安全问题问题的原因的原因导导致网致网络络信息安全信息安全问题问题的原因的原因内因:内因:人人们们的的认识认识能力和能力和实实践能力的局限性践能力的局限性(1)设计上的问题: Internet 从一开始就缺乏安全的总体构想和设计,TCP/IP 协议是在可信环境下,为网络互联而专门设计的,缺乏安全措施的考虑。(历史造成) SYN Flood伪造源地址的半开扫描,DoS(2)实现上的问题: Windows 3.1 300万行代码, Windows 2000 5000万行代码 Ping of Death(死亡之ping) Ping -t -
27、l 65550 对方IP 人为的后门和设计中的 Bug(3)配置上的问题: 默认的服务(4)管理上的问题:弱的口令操作系操作系统统的安全的安全问题问题1997200019972000操作系操作系统统漏洞漏洞统计统计 操作系操作系统统的安全的安全问题问题20012001年年操作系操作系统统漏洞漏洞统计统计 lWewilldemonstratethat62%ofallsystemscanbepenetratedinlessthan30minutes.lMorethanhalfofallattackswillcomefrominsideyourownorganization.fromTNN.com请
28、请看抓看抓“肉肉鸡鸡”过过程程导导致网致网络络信息安全信息安全问题问题的原因的原因外外因因外外因因黑客在网上的攻黑客在网上的攻击击活活动动每年以十倍速增每年以十倍速增长长美国每年因黑客而造成的美国每年因黑客而造成的经济损经济损失近百失近百亿亿美元美元世界著名的黑客世界著名的黑客组织组织及其及其标标志志29A29A西班牙的黑客西班牙的黑客组织组织,其成,其成员员如下:如下:名字名字 国家国家BennyBenny捷克捷克GriYoGriYo西班牙西班牙LordJulusLordJulus罗马罗马尼尼亚亚MandragoreMandragore法国法国SuperSuper西班牙西班牙TcpTcp 西
29、班牙西班牙TheMentalDrillerTheMentalDriller西班牙西班牙VirusBusterVirusBuster 西班牙西班牙TOPDEVICEASMMOEBIUSZULUSnakebasket來源來源: CSI / FBI Computer Crime Survey, March1998.21%48%72%89%外国政府竞争对手黑客不满的雇员导导致网致网络络信息安全信息安全问题问题的原因的原因国内的另一个统计:操作系操作系统统漏洞漏洞操作系操作系统统失效失效计计算机病毒破坏算机病毒破坏来自内部人来自内部人员员破坏破坏自然灾害自然灾害来自外部的破坏来自外部的破坏原因不明原因不
30、明电电源系源系统统失效失效管理人管理人员员失失误误造成的造成的损损害害黑客常用攻黑客常用攻击击手段及防御措施手段及防御措施个人用个人用户户忠告及建忠告及建议议内容提要内容提要网网络络安全概述安全概述单单位网位网络络安全措施推荐安全措施推荐FF常常见见攻攻击击手段及防御措施手段及防御措施二二. 黑客常用攻黑客常用攻击击手段及防御措施手段及防御措施网网络络攻防技攻防技术术基基础础系系统统安全性配置指南安全性配置指南局域网局域网数据库服务器交换机磁盘阵列路由器网络服务器WWW 服务器基带ModemINTERNETModem池电话网ISDN、ADSL接入设备无线网Modem无线接入设备无线接入Mode
31、mCable ModemCable接入设备PCMCIA无线接入PCMCIA加入加入InternetInternet方式方式10101101010100110101100010111011010010010101010传输传输媒介媒介网卡网卡网网络络信息信息传输过传输过程示例程示例两个两个计计算机交算机交换换文件文件文件传送模块计算机 1计算机 2文件传送模块只看这两个文件传送模块好像文件及文件传送命令是按照水平方向的虚线传送的把文件交给下层模块进行发送把收到的文件交给上层模块再再设计设计一个通信服一个通信服务务模模块块文件传送模块计算机 1计算机 2文件传送模块只看这两个通信服务模块好像可直接
32、把文件可靠地传送到对方把文件交给下层模块进行发送把收到的文件交给上层模块通信服务模块通信服务模块再再设计设计一个网一个网络络接入模接入模块块文件传送模块计算机 1计算机 2文件传送模块通信服务模块通信服务模块网络接入模块网络接入模块通信网络网络接口网络接口网络接入模块负责做与网络接口细节有关的工作例如,规定传输的帧格式,帧的最大长度等。TCP/IP协议协议体系体系结结构构TCP协议协议的三次的三次“握手握手”TCP协议协议的四次的四次“挥挥手手”分布式分布式进进程通信的程通信的c/s模式模式客客户户端端Client服服务务器端器端Server常常见见攻攻击击手段及防御措施手段及防御措施二二.
33、黑客常用攻黑客常用攻击击手段及防御措施手段及防御措施网网络络攻防技攻防技术术基基础础系系统统安全性配置指南安全性配置指南成功的攻成功的攻击击=目的目的+手段手段+系系统统漏洞漏洞Attacker攻攻击击的目的的目的获获获获取控制取控制取控制取控制权权权权好奇、好奇、好奇、好奇、恶恶恶恶作作作作剧剧剧剧、证证证证明明明明实实实实力力力力执执执执行行行行进进进进程程程程获获获获取文件和取文件和取文件和取文件和传输传输传输传输中的数据中的数据中的数据中的数据获获获获取超取超取超取超级级级级用用用用户权户权户权户权限、越限、越限、越限、越权权权权使用使用使用使用资资资资源源源源对对对对系系系系统进统进
34、统进统进行非法行非法行非法行非法访问访问访问访问进进进进行不行不行不行不许许许许可操作、越可操作、越可操作、越可操作、越权权权权使用使用使用使用拒拒拒拒绝绝绝绝服服服服务务务务涂改信息、暴露信息涂改信息、暴露信息涂改信息、暴露信息涂改信息、暴露信息G. Mark Hardy常用攻常用攻击击手段手段漏洞漏洞扫扫描描特洛伊木特洛伊木马马网网络络嗅探(嗅探(Sniffer)技)技术术拒拒绝绝服服务务和分布式拒和分布式拒绝绝服服务务口令猜口令猜测测欺欺骗骗技技术术缓缓冲区溢出冲区溢出常用攻常用攻击击工具工具标标标标准的准的准的准的TCP/IPTCP/IPTCP/IPTCP/IP工具工具工具工具 (pi
35、ng, telnet)(ping, telnet)(ping, telnet)(ping, telnet)端口端口端口端口扫扫扫扫描和漏洞描和漏洞描和漏洞描和漏洞扫扫扫扫描描描描 (ISS-(ISS-(ISS-(ISS-SafesuitSafesuitSafesuitSafesuit, , , , NmapNmapNmapNmap, , , , portscanerportscanerportscanerportscaner)网网网网络络络络包分析包分析包分析包分析仪仪仪仪 ( ( ( (snifferProsnifferProsnifferProsnifferPro, network mon
36、itor), network monitor), network monitor), network monitor)口令破解工具口令破解工具口令破解工具口令破解工具 (lc4, (lc4, (lc4, (lc4, fakeginafakeginafakeginafakegina) ) ) )木木木木马马马马 (BO2k, (BO2k, (BO2k, (BO2k, 冰河冰河冰河冰河, ), ), ), )攻攻击击的三个的三个阶阶段段准准备阶备阶段:段:寻寻找目找目标标,收集信息,收集信息实实施施阶阶段:段:获获得初始的得初始的访问访问控制控制权权与特与特权权善后工作:清除踪迹,留下后善后工作:
37、清除踪迹,留下后门门G. Mark Hardy攻攻击击的五个步的五个步骤骤一次成功的攻一次成功的攻一次成功的攻一次成功的攻击击击击,都可以,都可以,都可以,都可以归纳归纳归纳归纳成基本的五步成基本的五步成基本的五步成基本的五步骤骤骤骤,但,但,但,但是根据是根据是根据是根据实际实际实际实际情况可以随情况可以随情况可以随情况可以随时调时调时调时调整。整。整。整。归纳归纳归纳归纳起来就是起来就是起来就是起来就是“黑客攻黑客攻黑客攻黑客攻击击击击五部曲五部曲五部曲五部曲” ” ” ” :1 1 1 1、隐隐隐隐藏藏藏藏IPIPIPIP2 2 2 2、踩踩踩踩点点点点扫扫扫扫描描描描3 3 3 3、获
38、获获获得系得系得系得系统统统统或管理或管理或管理或管理员权员权员权员权限限限限 ( ( ( (入侵攻入侵攻入侵攻入侵攻击过击过击过击过程程程程) ) ) )4 4 4 4、种植后、种植后、种植后、种植后门门门门5 5 5 5、在网、在网、在网、在网络络络络中中中中隐隐隐隐身身身身!典型的网典型的网络络攻攻击过击过程示意程示意图图选选中中攻攻击击目目标标获获取普通取普通用用户权户权限限擦除入擦除入侵痕迹侵痕迹安装后安装后门门新建新建帐帐号号获获取超取超级级用用户权户权限限攻攻击击其它其它主机主机获获取或取或修改信息修改信息从事其它从事其它非法活非法活动动扫扫描描网网络络利用系利用系统统已知的漏洞
39、、已知的漏洞、通通过输过输入区向入区向CGI发发送送特殊的命令、特殊的命令、发发送特送特别别大的数据造成大的数据造成缓缓冲区溢冲区溢出、猜出、猜测测已知用已知用户户的口的口令,从而令,从而发现发现突破口。突破口。截获篡改伪造中断被动攻击主动攻击目的站源站源站源站源站目的站目的站目的站被动攻击:(破坏保密性)消息内容分析通信量分析主动攻击中断(破坏可用性)篡改(破坏完整性)伪造(破坏真实性)典型的网络攻击方式和分类!利用WindowsNT/2000空会话原理利用WindowsNT/2000对NetBIOS的缺省信赖通过TCP端口端口139返回主机的大量信息实例如果通过端口扫描获知TCP端口139
40、已经打开netuse211.87.194.121IPC$“口令口令”/USER:“用用户户名名在攻击者和目标主机间建立连接lnetusez:211.87.194.121c$lcopyabc.exe211.87.194.121admin$system32lnettime211.87.194.121lat211.87.194.12121:05abc.exeWindows2000还有另一个SMB端口端口445针对Win系统的网络攻击术常识!常用攻常用攻击击手段手段分分别别介介绍绍漏洞漏洞扫扫描描特洛伊木特洛伊木马马网网络络嗅探(嗅探(Sniffer)技)技术术拒拒绝绝服服务务(DOS)和分布式拒)和
41、分布式拒绝绝服服务务口令猜口令猜测测欺欺骗骗技技术术缓缓冲区溢出冲区溢出系系统统信息收集信息收集扫扫描目的描目的远远程程操操作作系系统统识识别别网网络络结结构构分分析析其其他他敏敏感感信信息息收收集集漏洞漏洞检测检测错错误误的的配配置置系系统统安安全全漏漏洞洞弱弱口口令令检检测测常用攻常用攻击击手段漏洞手段漏洞扫扫描描扫扫描描类类型地址型地址扫扫描描PingPingReply Reply XXX.XXX.XXX.XXXXXX.XXX.XXX.XXX扫扫描描类类型端口型端口扫扫描描主机可使用的端口号主机可使用的端口号为为065535,前,前1024个端口是保个端口是保留端口,留端口,这这些端口被
42、提供些端口被提供给给特定的服特定的服务务使用。使用。常用的服常用的服务务都是使用都是使用标标准的端口,只要准的端口,只要扫扫描到相描到相应应的的端口开着,就能知道目端口开着,就能知道目标标主机上运行着什么服主机上运行着什么服务务。然。然后入侵者才能后入侵者才能针对这针对这些服些服务进务进行相行相应应的攻的攻击击。扫扫描描类类型漏洞型漏洞扫扫描描漏洞漏洞扫扫描是使用漏洞描是使用漏洞扫扫描程序描程序对对目目标标系系统进统进行信息行信息查询查询,通,通过过漏洞漏洞扫扫描,可以描,可以发现发现系系统统中存在的不安中存在的不安全的地方。全的地方。例如:例如:操作系操作系统统漏洞漏洞弱口令用弱口令用户户应
43、应用程序漏洞用程序漏洞配置配置错误错误等等高高级扫级扫描描术术慢速慢速扫扫描描如果如果扫扫描是描是对对非非连续连续性性端口、端口、源地址不一致、源地址不一致、时时间间间间隔很隔很长长且且没有没有规规律律的的扫扫描的描的话话,这这些些扫扫描的描的记录记录就会淹没在其他众多就会淹没在其他众多杂杂乱的日志内容中乱的日志内容中使用慢速使用慢速扫扫描的目的就是描的目的就是骗过骗过防火防火墙墙和入侵和入侵检测检测系系统统而收集信息。而收集信息。虽虽然然扫扫描所用的描所用的时间较长时间较长,但,但是是这这是一种是一种较难发现较难发现的的扫扫描描高高级扫级扫描描术术乱序乱序扫扫描描普通的普通的扫扫描器在描器在
44、扫扫描描远远程系程系统统的端口的端口时时,对对端口端口扫扫描的描的顺顺序是有序的,序是有序的,这这种按照一定的种按照一定的顺顺序序扫扫描描端口的方式很容易被入侵端口的方式很容易被入侵检测检测系系统发觉统发觉。乱序乱序扫扫描的描的端口号的端口号的顺顺序是随机序是随机生生产产的,的,这这种方种方式能有效的欺式能有效的欺骗骗某些入侵某些入侵检测检测系系统统而不会被入侵而不会被入侵检测检测系系统发觉统发觉 扫扫描器描器SATANSAINTSSSStrobeX-ScanISS(安氏安氏)PingerPortscanSuperscan流光流光扫描工具:X-Scan-v3.2扫描内容包括:远程操作系统类型及
45、版本标准端口状态及端口Banner信息SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户,NT服务器NETBIOS信息注册表信息等。扫扫描器描器实实例:例:X-Scan反反扫扫描描对对策策禁止禁止/ /关关闭闭不必要的服不必要的服务务/ /端口端口屏蔽敏感信息屏蔽敏感信息合理配置防火合理配置防火墙墙和和IDSIDS陷阱技陷阱技术术HoneypotHoneypot僚机策略僚机策略缓缓冲区溢出漏洞冲区溢出漏洞(OOB)什么是什么是缓缓冲区溢出?冲区溢出? 简单简单地地说说
46、,缓缓冲区溢出就是向堆冲区溢出就是向堆栈栈中分配的局部数据中分配的局部数据块块中写入了超出其中写入了超出其实际实际分配大小的数据,分配大小的数据,导导致数据越界,致数据越界,结结果覆盖了原先的堆果覆盖了原先的堆栈栈数据。数据。缓缓冲区溢出可以冲区溢出可以: :使主机系使主机系统瘫痪统瘫痪;获获取系取系统统的登的登录账录账号;号;获获得系得系统统的超的超级级用用户权户权限。限。暴力破解系暴力破解系统统用用户户密密码码使用简单字典文件,利用工具软件GetNTUser可将管理员密码破解出来。暴力破解暴力破解邮邮箱密箱密码码邮箱的密码一般需要设置到八位以上,否则七位以下的密码容易被破解。尤其七位全部是
47、数字,更容易被破解。案例 电子邮箱暴力破解: 工具软件:黑雨POP3邮箱密码暴力破解器 ver2.3.1木木马马木马是一种可以可以驻驻留在留在对对方系方系统统中中的一种程序。木马一般由两部分组成:服务器端和客户端。驻留在对方服务器的称之为木马的服务器端,远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。木马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。木木马马特洛伊木特洛伊木马马木马来自于“特洛伊木马”,英文名称为TrojanHorse。传说希腊人围攻特洛伊城,久久不能攻克,后来军师想
48、出了一个特洛伊木马计,让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下,让敌人将其作为战利品拖入城中,到了夜里,特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来,与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和此类似,故而得名。是登是登录录屏屏还还是特洛伊木是特洛伊木马马?G. Mark Hardy吃惊吃惊吗吗!G. Mark HardyGINA木木马马!木木马马的分的分类类1)远程访问型特洛伊木马2)键盘记录型特洛伊木马3)密码发送型特洛伊木马4)破坏型特洛伊木马5)代理木马6)FTP型特洛伊木马7)网页型木马8)常常见见
49、的的Trojans木木马马的植入方式的植入方式利用系利用系统统漏洞安装漏洞安装电电子子邮邮件附件、件附件、浏览浏览网网页页、FTP文件下文件下载载、QQ等方式等方式传传播播手工放置手工放置木木马马的的查杀查杀安装杀毒软件和防火墙检查INI文件查看win.ini中的“run=”、“load=”查看system.ini中的“shell= explorer.exe 程序名”后面所加载的程序。木木马马的的查杀查杀检查检查注册表:注册表:在注册表中,最有可能在注册表中,最有可能隐隐藏木藏木马马的地方是的地方是HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurren
50、tVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce检查检查注册表注册表其他可能其他可能隐隐藏木藏
51、木马马的注册表的注册表项还项还有:有:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceExHKEY_CURRENT_USERSoftwareMicr
52、osoftWindowsCurrentVersionRunServicesHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionwindowsLoadHKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionwindowsRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersi
53、onWindows AppInit_DLLs木木马马的的查杀查杀检查服务开始程序管理工具服务检查系统进程系统信息软件环境正在运行任务(win98)、Pstools(winnt/2k)检查开放端口Netstatan(win98)、Fport(winnt/2k)监视网络通讯防火墙、网络监视器(win2k)、Sniffer对可疑文件的分析W32Dasm、IDA、Soft-ice木木马马的的查杀查杀木木马马的的查杀查杀木马端口列表:http:/ ( (Sniffer) )是能是能够够从网从网络设备络设备上捕上捕获获网网络报络报文的一种工具文的一种工具Sniffer名称的来由名称的来由通用网通用网络络公
54、司开公司开发发的一个程序的一个程序 NAI监监听工具听工具pswmonitor该工具软件功能比较强大,可以监听的一个网段所有的用户名和密码,而且还可以指定发送的邮箱,设置的界面如图所示。请请演示:演示:pswmonitorpswmonitor监监听工具听工具GW(Server)1 C打开IP转发功能2 C发送假冒的arp包给B,声称自己是GW的IP地址3 B给外部发送数据,首先发给C4 C再转发给GW普通用户B嗅探者CARPARP欺欺骗骗 + Sniffer + Sniffer ( (一种中一种中间间人攻人攻击击) )交交换环换环境中的嗅探器境中的嗅探器Sniffer危害危害嗅探器能嗅探器能够
55、够捕捕获获口令口令 能能够够捕捕获专获专用的或者机密的信息用的或者机密的信息危害网危害网络邻络邻居的安全居的安全 获获取更高取更高级别级别的的访问权访问权限限 获获得得进进一步一步进进行攻行攻击击需要的信息需要的信息 网网络监络监听安全听安全对对策策规规划网划网络络 合理分段,采用交合理分段,采用交换换机、路由器、网机、路由器、网桥桥等等设备设备,相互信任的主机,相互信任的主机处处于同一网段于同一网段采用加密会采用加密会话话 对对安全性要求高的数据通安全性要求高的数据通讯进讯进行加密行加密传输传输 例如采用目前比例如采用目前比较较流行的流行的SSLSSL协议协议以及使用以及使用SSHSSH这样
56、这样的安全的安全产产品品传传送敏感送敏感使用一次性口令技使用一次性口令技术术(OTP)(OTP)为为了防止了防止ARPARP欺欺骗骗,使用永久的,使用永久的ARPARP缓缓存条目存条目使用使用检测检测工具工具 TripWarTripWar Anti- Anti-SnifferSniffer(L0pht,not free) 拒拒绝绝服服务务攻攻击击(DOS)拒绝服务攻击的简称是:DoS(DenialofService)攻击,凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击,其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是:计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通
57、信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。TCP SYN AttackPing of Deathq消耗系统资源(带宽、内存、队列、CPU)q系统宕机q阻止授权用户正常访问网络(慢、不能连接、没有响应)CPU拒拒绝绝服服务务攻攻击击DOS!拒拒绝绝服服务务攻攻击击为什么要进行Dos攻击放置木马需要重启使用IP欺骗,使冒用主机瘫痪使得被攻击的目标主机的日志系统失效常见DoS攻击种类死亡之Ping,land,teardrop,SYNfloodICMP:smurf拒拒绝绝服服务务:LAN
58、D攻攻击击攻攻攻攻击击击击者者者者172.18.1.1172.18.1.1InternetInternetCode目目目目标标标标204.241.161.12204.241.161.12欺欺欺欺骗骗骗骗性的性的性的性的 IP IP 包包包包源地址源地址源地址源地址 204.241.161.12 Port 139204.241.161.12 Port 139目的地址目的地址目的地址目的地址 204.241.161.12 Port 139204.241.161.12 Port 139TCP OpenTCP OpenG. Mark Hardy攻攻攻攻击击击击者者者者172.18.1.1172.18.
59、1.1InternetInternetCode目目目目标标标标204.241.161.12204.241.161.12 IP IP包欺包欺包欺包欺骗骗骗骗源地址源地址源地址源地址 204.241.161.12 Port 139204.241.161.12 Port 139目的地址目的地址目的地址目的地址 204.241.161.12 Port 139204.241.161.12 Port 139包被送回它自己包被送回它自己包被送回它自己包被送回它自己崩溃G. Mark Hardy拒拒绝绝服服务务:LAND攻攻击击LAND攻攻击击防范:代理防范:代理类类的防火的防火墙墙攻攻攻攻击击击击者者者者1
60、72.18.1.1172.18.1.1InternetInternetCode目目目目标标标标204.241.161.12204.241.161.12IPIP包欺包欺包欺包欺骗骗骗骗源地址源地址源地址源地址 204.241.161.12 Port 139204.241.161.12 Port 139目目目目标标标标地址地址地址地址 204.241.161.12 Port 139204.241.161.12 Port 139TCP OpenTCP Open防火防火防火防火墙墙墙墙防火防火防火防火墙墙墙墙把有危把有危把有危把有危险险险险的包的包的包的包阻隔在网阻隔在网阻隔在网阻隔在网络络络络外外外
61、外G. Mark HardyTCP同步泛同步泛滥滥攻攻攻攻击击击击者者者者172.18.1.1172.18.1.1InternetInternetCode目目目目标标标标192.0.2.1192.0.2.1欺欺欺欺骗骗骗骗性的性的性的性的 IP IP 包包包包源地址不存在源地址不存在源地址不存在源地址不存在目目目目标标标标地址是地址是地址是地址是 192.0.2.1 192.0.2.1TCP OpenTCP OpenG. Mark HardyTCPSYN泛泛滥滥攻攻攻攻击击击击者者者者172.18.1.1172.18.1.1InternetInternetCode目目目目标标标标192.0.2
62、.1192.0.2.1同步同步同步同步应应应应答响答响答响答响应应应应源地址源地址源地址源地址 192.0.2.1 192.0.2.1目目目目标标标标地址不存在地址不存在地址不存在地址不存在TCP ACKTCP ACK崩溃G. Mark HardyTCPSYN泛泛滥滥攻攻击击的安全的安全对对策策G. Mark Hardy法一:缩短SYN Timeout时间 由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN Timeout
63、设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。法二:设置SYN Cookie 就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。Smuff攻攻击击第一步:攻第一步:攻击击者向被利用网者向被利用网络络A的广播地址的广播地址发发送一个送一个ICMP协议协议的的echo请请求数据求数据报报,该该数据数据报报源地址被源地址被伪伪造成造成10.254.8.9第二步:网第二步:网络络A上的所有上的所有主机都向主机都向该伪该伪造的源地址造的源地址返回一个返回一个echo响响应应,造,造成成该该
64、主机服主机服务务中断。中断。常常见见的拒的拒绝绝服服务务分布式拒分布式拒绝绝服服务务(DDOS)以破坏系以破坏系统统或网或网络络的可用性的可用性为为目目标标常用的工具:常用的工具:Trin00TFN/TFN2KStacheldraht很很难难防范防范伪伪造源地址,流量加密造源地址,流量加密很很难难跟踪跟踪clienttargethandler.agent.DoSICMPFlood/SYNFlood/UDPFloodDDoS分布式拒分布式拒绝绝服服务务攻攻击击步步骤骤1ScanningProgram不安全的不安全的计计算机算机Hacker攻攻击击者使用者使用扫扫描工具描工具探探测扫测扫描大量主机
65、以描大量主机以寻寻找潜在入侵目找潜在入侵目标标。1InternetHacker被控制的被控制的计计算机算机(代理端代理端)黑客黑客设设法入侵有安全漏洞法入侵有安全漏洞的主机并的主机并获获取控制取控制权权。这这些主机将被用于放置后些主机将被用于放置后门门、sniffer或守或守护护程序甚至是程序甚至是客客户户程序。程序。2Internet分布式拒分布式拒绝绝服服务务攻攻击击步步骤骤2Hacker 黑客黑客在得到入侵在得到入侵计计算机算机清清单单后,从中后,从中选选出出满满足建足建立网立网络络所需要的主机,放所需要的主机,放置已置已编译编译好的守好的守护护程序,程序,并并对对被被控制的控制的计计算
66、机算机发发送送命令。命令。 3被控制被控制计计算机(代理端)算机(代理端)MasterServerInternet分布式拒分布式拒绝绝服服务务攻攻击击步步骤骤3Hacker Using Client program, 黑客黑客发发送控制命令送控制命令给给主机,主机,准准备备启启动对动对目目标标系系统统的攻的攻击击4被控制被控制计计算机(代理端)算机(代理端)TargetedSystemMasterServerInternet分布式拒分布式拒绝绝服服务务攻攻击击步步骤骤4InternetHacker 主机主机发发送攻送攻击击信号信号给给被控被控制制计计算机开始算机开始对对目目标标系系统统发发起攻
67、起攻击击。5MasterServerTargeted System被控制被控制计计算机(代理端)算机(代理端)分布式拒分布式拒绝绝服服务务攻攻击击步步骤骤5TargetedSystemHacker 目目标标系系统统被无数的被无数的伪伪造的造的请请求所淹没,从而无求所淹没,从而无法法对对合法用合法用户进户进行响行响应应,DDOS攻攻击击成功。成功。6MasterServerUserRequest DeniedInternet被控制被控制计计算机(代理端)算机(代理端)分布式拒分布式拒绝绝服服务务攻攻击击步步骤骤6分布式拒分布式拒绝绝服服务务攻攻击击DDOS攻击的效果:由于整个过程是自动化的,攻击
68、者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击,这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。分布式拒分布式拒绝绝服服务务攻攻击击预防DDOS攻击的措施确保主机不被入侵且是安全的;周期性审核系统;检查文件完整性;优化路由和网络结构;优化对外开放访问的主机;在网络上建立一个过滤器(filter)或侦测器(sniffer),在攻击信息到达之前阻挡攻击信息。对对付付DDoS攻攻击击的方法的方法1定期扫描现有的网络主节点,清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因
69、为具有较高的带宽,是黑客利用最佳位置,因此对这些主机本身加强主机安全是非常重要的。2在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样保护真正的主机不被瘫痪。对对付付DDoS攻攻击击的方法的方法3用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿。 4充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时
70、最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。对对付付DDoS攻攻击击的方法的方法5使用Inexpress、Express Forwarding过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包 Source IP 和 Routing Table 做比较,并加以过滤。 6使用Unicast Reverse Path Forwarding检查访问者的来源。它通过反向路由表查询的方法检
71、查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处,因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。对对付付DDoS攻攻击击的方法的方法7过滤所有RFC1918 IP地址。RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。 8限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制 SY
72、N/ICMP 封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。 对对付正在付正在进进行的行的DDOS方法方法如果用户正在遭受攻击,他所能做的抵御工作非常有限。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能用户在还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。首先,检查攻击来源,通常黑客会通过很多假的IP地址发起攻击,此时,用户若能够分辨出哪些是真IP地址,哪些是假IP地址,然后了解这些IP来自哪些网段,再找网段管理员把机器关掉,即可消除攻击。 其次,找出攻击者所经过的路由,把攻击屏蔽
73、掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以狙击入侵。 最后一种比较折衷的方法是在路由器上滤掉ICMP包。 欺欺骗骗攻攻击击纯技术性利用了TCP/IP协议的缺陷不涉及系统漏洞较为罕见1994.12.25,凯文.米特尼克利用IP欺骗技术攻破了SanDiego计算中心1999年,RSASecurity公司网站遭受DNS欺骗攻击1998年,台湾某电子商务网站遭受Web欺骗攻击,造成大量客户的信用卡密码泄漏欺骗攻击的主要类型:IP欺骗攻击Web欺骗攻击DNS欺骗攻击后后门门程序程序BO、netbusService/Daemon帐户帐户其他其他新一代恶意代码(蠕虫、木马)2002网网络络攻攻
74、击击手段的融合手段的融合常常见见攻攻击击手段及防御措施手段及防御措施二二. 黑客常用攻黑客常用攻击击手段及防御措施手段及防御措施网网络络攻防技攻防技术术基基础础系系统统安全性配置指南安全性配置指南1、不要、不要选择选择从网从网络络上安装上安装 虽然微软支持在线安装,但这绝对不安全。在系统未全部安装完之前不要连入网络,特别是Internet!甚至不要把一切硬件都连接好来安装。因为Windows2000安装时,在输入用户管理员账号“Administrator”的密码后,系统会建立一个“ADMIN”的共享账号,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可
75、以通过“ADMIN”进入系统;同时,安装完成,各种服务会马上自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。拔拔线线安装安装2、要、要选择选择NTFS格式来分区格式来分区最好所有的分区都是NTFS格式,因为NTFS格式的分区在安全性方面更加有保障。就算其他分区采用别的格式(如FAT32),但至少系统所在的分区中应是NTFS格式。 另外,应用程序不要和系统放在同一个分区中,以免攻击者利用应用程序的漏洞(如微软的IIS的漏洞)导致系统文件的泄漏,甚至让入侵者远程获取管理员权限。分区格式分区格式3、系、系统统版本的版本的选择选择WIN2000有各种语言的版本,对于我们来说,可以选择英文版或
76、简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug&Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)及时补丁4、组组件的定制件的定制Win2000在默认情况下会安装一些常用的组件,但是正是这个默认安装是很危险的,你应该确切的知道你需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是:只安装IIS的ComFiles,IISSnap-In,WWWServer组件。如果你确实需要安装
77、其他组件,请慎重,特别是:IndexingService,FrontPage2000ServerExtensions,InternetServiceManager(HTML)这几个危险服务。最少服务5、分区和、分区和逻辑盘逻辑盘的分配的分配 建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目
78、录和系统文件。分区分放分区分放 IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。(这个可能会导致程序开发人员和站点编辑的苦恼) 5、分区和、分区和逻辑盘逻辑盘的分配的分配6、安装、安装杀杀毒毒软软件件 杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,因此一定要运行杀毒程序并把它设为开机自动运行,并注意经常升级病毒库。杀毒升级及时7、安装防火、安装防火墙墙 有关防火墙请参见介绍: 设阻断点p基本概念 2个条件:策略执行、自身免疫 2个默认安全策略 3个术语p 防火墙的分类 分组(包)过滤、应用代理、状态检测p 四种防火
79、墙体系结构模型 包过滤、屏蔽主机、双/多宿主、屏蔽子网p 防火墙系统的实现 策略、步骤、实现、工具8、安装系、安装系统补统补丁丁到微软网站下载最新的补丁程序:经常访问微软和一些安全站点,下载最新的ServicePack和漏洞补丁,是保障服务器长久安全的唯一方法。系统补漏9、安装、安装顺顺序的序的选择选择首先,何时接入网络:Win2000在安装时的ADMIN$的共享的漏洞;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000SERVER之前,一定不要把主机接入网络。顺序合理其次,补丁的安装:补丁的安装应该在所有应用程序安装完
80、之后。因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装。注册表的构造系统对注册表预定了六个主管键字: HKEY_CLASSES_ROOT:文件扩展名与应用的关联及OLE信息 HKEY_USERS:用户根据个人爱好设置的信息。 HKEY_CURRENT_USER:当前登录用户控制面板选项和桌面等的设置,以及映射的网络驱动器 HKEY_LOCAL_MACHINE:计算机硬件与应用程序信息 HKEY_DYN_DATA:即插即用和系统性能的动态信息 HKEY_CURRENT_CONFI
81、G:计算机硬件配置信息注册表的双重入口注册表的双重入口问题问题在注册表中经常出现双重入口(分支),例如,有一些在HKEY_CLASSES_ROOT中的键同样会在HKEY_LOCAL_MACHINE中出现。如果这些相同的分支出现在两个不同的根键中,那么,哪个根键有效呢?注册表的子键都有严格的组织。某些相同的信息会出现在超过一个的子键中,如果您只修改了一个子键,那么该修改是否作用于系统依赖于该子键的等级。一般来说,系统信息优先于用户等级。例如,一个设置项同时出现在HKEY_LOCAL_MACHINE和HKEY_USER子键中,通常由HKEY_LOCAL_MACHINE中的数据起作用。要注意的是,这
82、种情况只发生在您直接编辑注册表时。如果您从“控制面板”中更改系统配置,则所有出现该设置项的地方均会发生相应的改变。注册表的修改备备份注册表份注册表 不少安装程序(或你自己直接处理)都可能搞乱你系统的注册表,从而引发不测,所以我们应该定期地备份user.dat 和 system.dat 文件。 但目前的资源管理器(或者是DOS)都不能直接复制这两个文件.注册表安全实例1、让让用用户户只使用指定的程序只使用指定的程序为防止用户非法运行或者修改程序,导致整个计算机系统处于混乱状态,我们可以通过修改注册表来达到让用户只能使用指定的程序的目的,从而保证系统的安全。设置时,可以在注册表编辑器窗口中依次打开
83、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer键值,然后在右边的窗口中新建一个DWORD串值,名字取为“RestrictRun”,把它的值设为“1”。然后在RestrictRun的主键下分别添加名为“1”、“2”、“3”等字符串值,然后将“1”,“2”、“3”等字符串的值设置为我们允许用户使用的程序名。例如将“1”、“2”、“3”分别设置为word.EXE、notepad.EXE、write.EXE,则用户只能使用word、记事本、写字板了,这样我们的系统将会做到最大的保障,也可以限制用户运行不必要
84、的软件了。注册表安全实例2、预预防防WinNuke的破坏的破坏现在有一个叫WinNuke的程序,能对计算机中的Windows系统有破坏作用,为防止该程序破坏Windows操作系统,导致整个计算机系统瘫痪,所以我们有必要预防WinNuke的破坏性。我们可以在注册表中对其进行设置,以保证系统的安全。设置时,在编辑器操作窗口中用鼠标依次单击键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP,然后在右边的窗口中新建或修改字符串“BSDUrgent”,并把其值设置为0,这样就可以预防WinNuke对系统的破坏了。注册表安全实例3、隐隐藏
85、一个服藏一个服务务器器1、打开注册表编辑器,并在编辑器对话框中用鼠标依次单击如下分支:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters键值。2、用鼠标单击该键值下面的Hidden数值名称,如果未发现此名称,那么添加一个,其数据类型为REG_DWORD。3、接着用鼠标双击此项,在弹出的“DWORD编辑器”对话框中输入1即可。4、最后单击“确定”按钮,并退出注册表编辑窗口,重新启动计算机就可以在局域网中隐藏一个服务器了。注册表安全实例4、不允、不允许许用用户拨户拨号号访问访问如果用户的计算机上面有重要的信
86、息,有可能不允许其他人随便访问。那么如何禁止其他人拨入访问你的计算机,减少安全隐患呢,具体步骤为:1、打开注册表编辑器,并在编辑器中依次展开以下键值:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork;2、在编辑器右边的列表中用鼠标选择“NoDialIn”键值,如果没有该键值,必须新建一个DWORD值,名称设置为“NoDialIn”;3、接着用鼠标双击“NoDialIn”键值,编辑器就会弹出一个名为“字符串编辑器”的对话框,在该对话框的文本栏中输入数值“1”,其中0代表禁止拨入访问功能,1代表允许拨入访
87、问功能;4、退出后重新登录网络,上述设置就会起作用。注册表安全实例5、限制使用系、限制使用系统统的某些特性的某些特性1、运行注册表编辑器,进入HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem键值;2、如果不存在该键值,就新建一个;3、然后将该键值下方的DisableTaskManager的值设为1,表示将阻止用户运行任务管理器。4、接着将NoDispAppearancePage设为1,表示将不允许用户在控制面板中改变显示模式;5、下面再将NoDispBackgroundPage设为1,表示将不允许用户改变
88、桌面背景和墙纸。FFWindows系列操作系统的安全性系统的安装系统常见安全漏洞及其解决方案系统注册表安全配置实例Windows2000系统安全配置操作系统基本安全配置检查项(12项)操作系统安全配置小结Windows2000系统安全配置工具DDOS的防御IIS安全配置1、物理安全服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。2、停止Guest帐号在计算机管理的用户里面把Guest帐号停用,任何时候都不允许Guest帐号登陆系统。为了保险起见,最好给Guest加一个
89、复杂的密码,可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性,设置拒绝远程访问,如图所示。3限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。对于国内的WindowsNT/2000主机,如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10个。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。4多个管理员帐号虽
90、然这点看上去和上面有些矛盾,但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候使用。因为只要登录系统以后,密码就存储再WinLogon进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减少Administrator登录的次数和时间。可以让管理员使用“RunAS”命令来执行一些需要特权才能作的一些工作,以方便管理。5管理员帐号改名Windows2000中的Administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名
91、可以有效的防止这一点。不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone。具体操作的时候只要选中帐户名改名就可以了,如图所示。6陷阱帐号所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些Scripts忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的loginscripts上面做点手脚。可以将该用户隶属的组修改成Guests组,如图所示。7更改默认权限共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在
92、Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。设置某文件夹共享默认设置如图所示。8安全密码好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密
93、码。这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来,密码策略是42天必须改密码。9设置屏幕保护密码设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。将屏幕保护的选项“密码保护”选中就可以了,并将等待时间设置为最短时间“1分钟”,如图所示。10使用NTFS分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。11运行防毒软件Wind
94、ows2000/NT服务器一般都没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。设置了放毒软件,“黑客”们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。12保障备份盘的安全一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。不能把资料备份在同一台服务器上,这样的话还不如不要备份。FFWindows系列操作系统的安全性系统的安装系统常见安全漏洞及其解决方案系统注册表安全配置实例Windows2000系统安全配置操作系统基本安全配置检查项(12项)操作系统安全配置小结Windows2000系统安全配置工
95、具DDOS的防御IIS安全配置操作系统安全策略利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”,主界面如图所示。可以配置四类安全策略:帐户帐户策略、本地策略、公策略、本地策略、公钥钥策略和策略和IP安全策略安全策略。在默认的情况下,这些策略都是没有开启的。1)禁止建立空)禁止建立空连连接(接(IPC)默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。我们可以通过修改注册表来禁止建立空连接:即把“Local_MachineSystemCurrentCon
96、trolSetControlLSA-RestrictAnonymous”的值改成“1”即可。如果使用“2”可能会造成你的一些服务无法启动,如SQLServer 。2)禁止管理共享)禁止管理共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters项对于服务器,添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“0”。对于客户机,添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“0”。(关闭server服务) 3)、停止不必要的服、停止不必要的服务务服务开的
97、太多也不是个好事,将没有必要的服务通通关掉吧!特别是连管理员都不知道是干什么的服务,还开着干什么!关掉!免得给系统带来灾难。另外,管理员如果不外出,不需要远程管理你的计算机的话,最好将一切的远程网络登录功能都关掉。注意,除非特别需要,否则禁用“TaskScheduler”、“RunAsService”服务! 关闭一项服务的方法很简单,运行cmd.exe之后,直接netstopservername即可。Windows2000可禁用的服务服服务务名名说说明明ComputerBrowser维护维护网网络络上上计计算机的最新列表以及提供算机的最新列表以及提供这这个列表个列表Taskscheduler允
98、允许许程序在指定程序在指定时间时间运行运行RoutingandRemoteAccess在局域网以及广域网在局域网以及广域网环环境中境中为为企企业业提供路由服提供路由服务务Removablestorage管理可移管理可移动动媒体、媒体、驱动驱动程序和程序和库库RemoteRegistryService允允许远许远程注册表操作程注册表操作PrintSpooler将文件加将文件加载载到内存中以便以后打印。要用打印机的用到内存中以便以后打印。要用打印机的用户户不能禁用不能禁用这项这项服服务务IPSECPolicyAgent管理管理IP安全策略以及启安全策略以及启动动ISAKMP/Oakley(IKE)
99、和和IP安全安全驱动驱动程序程序DistributedLinkTrackingClient当文件在网当文件在网络络域的域的NTFS卷中移卷中移动时发动时发送通知送通知Com+EventSystem提供事件的自提供事件的自动发动发布到布到订阅订阅COM组组件件6)、设置生存时间以禁止黑客判断主机类型HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTLREG_DWORD0-0xff(0-255十进制,默认值128)指定传出IP数据包中设置的默认生存时间(TTL)值。TTL决定了IP数据包在到达目标前在网
100、络中生存的最大时间。它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用此数值来探测远程主机操作系统。 4)、使用组策略,IP策略gpedit.mscmmc.exe5)、防范SYN攻击(见后面的专题)安全和安全和应应用在很多用在很多时时候是矛盾的。候是矛盾的。因此,你需要在其中找到平衡点!因此,你需要在其中找到平衡点!黑客常用攻黑客常用攻击击手段及防御措施手段及防御措施个人用个人用户户忠告及建忠告及建议议内容提要内容提要网网络络安全概述安全概述单单位网位网络络安全措施推荐安全措施推荐FF保保护护网网络络安全的常用手段安全的常用手段 1)制定)制定详细详细的安全策略。的安全策略。2)安
101、装防火)安装防火墙墙。3)加)加强强主机安全。主机安全。4)采用加密和)采用加密和认证认证技技术术。5)加)加强强入侵入侵检测检测。6)安装)安装备备份恢复与份恢复与审计报审计报警系警系统统。怎怎样样才能才能发现发现入侵者入侵者 1.在入侵者正在行在入侵者正在行动时动时,捉住入侵者。例如,当管理,捉住入侵者。例如,当管理员员正在工作正在工作时时,发现发现有人使用超有人使用超级级用用户户的的户头户头通通过拨过拨号号终终端登端登录录。而超。而超级级用用户户口令只有管理口令只有管理员员本人知道。本人知道。2.根据系根据系统发统发生的一些改生的一些改变变推断系推断系统统已被入侵。例如,管理已被入侵。例
102、如,管理员员可能可能发现发现在在/etc/passwd文文件中突然多出了一个件中突然多出了一个户头户头,或者收到从入侵者那里,或者收到从入侵者那里发发来的一封嘲弄的来的一封嘲弄的电电子子邮邮件。一些件。一些系系统统中,操作一些文件失中,操作一些文件失败时败时,会有一封,会有一封邮邮件通知件通知该该用用户户。如果入侵者取得了超。如果入侵者取得了超级级用用户权户权限,又操作文件失限,又操作文件失败败,那么,系,那么,系统统会自会自动动将操作失将操作失败败的的补补救救办办法用法用邮邮件通知件通知该该用用户户,在,在这这种情况下就种情况下就发给发给了系了系统统管理管理员员用用户户。因而管理。因而管理员
103、员便会知道系便会知道系统统已被入侵。已被入侵。3.从其他站点的管理从其他站点的管理员员那里收到那里收到邮邮件,称从本站点有人件,称从本站点有人对对“他他”的站点大肆活的站点大肆活动动。4.系系统统中一些奇怪的中一些奇怪的现现象,例如,系象,例如,系统统崩崩溃溃,突然的磁,突然的磁盘盘存取活存取活动动,或者系,或者系统统突然便得突然便得非常非常缓缓慢。慢。5.在系在系统统中,有中,有许许多命令可以多命令可以让让人人们发现们发现系系统统是否被入侵。一些是否被入侵。一些优优秀的秀的软软件,例如件,例如Tiger,Tripwire可以帮助可以帮助发现发现入侵。入侵。发现发现入侵后入侵后应应遵循的原遵循
104、的原则则一:不要惊慌一:不要惊慌 思考以下思考以下问题问题:系系统统是否真的是否真的发发生了安全事件?在一些生了安全事件?在一些时时候看起来是一次入侵者的行候看起来是一次入侵者的行为为,其其实实是由于人的是由于人的错误错误,或者,或者软软件的件的错误导错误导致的。致的。系系统统是否真的遭到了破坏?在是否真的遭到了破坏?在许许多入侵事件中,入侵者多入侵事件中,入侵者虽虽然然进进行了没有行了没有被被许许可的可的访问访问。但是并没有。但是并没有访问访问敏感信息,或者修改文件的内容。敏感信息,或者修改文件的内容。是否有必要保留一些是否有必要保留一些证证据,以据,以备备以后以后进进行行调查调查。使系使系
105、统统尽快回到正常状尽快回到正常状态态是否很重要?是否很重要?是否准是否准备检查备检查文件已被改文件已被改变变或者移或者移动动?如果没有采取行?如果没有采取行动动,是否能,是否能够够入入侵者修改了文件?侵者修改了文件?如果如果这这次入侵被本次入侵被本组织组织内部的人听到,会有什么的麻内部的人听到,会有什么的麻烦烦?如果被本?如果被本单单位位以外的人听到又怎以外的人听到又怎样样?入侵是否会再次入侵是否会再次发发生?生?发现发现入侵后入侵后应应遵循的原遵循的原则则二:作好二:作好记录记录 开始开始进进行行记录记录。在本子上。在本子上记录记录下来所下来所发现发现的的一切,甚至包括日期和一切,甚至包括日
106、期和时间时间。如果是。如果是检查检查文文本文件,将本文件,将结结果打印下来,然后写上相关信果打印下来,然后写上相关信息和日期,如果系息和日期,如果系统统中有足中有足够够的空的空间间,对对重重要文件要文件进进行复制,行复制,这这一点一点对对以后的追踪和修以后的追踪和修复系复系统统非常重要。非常重要。发现发现入侵后入侵后应应遵循的原遵循的原则则三:三:进进行行计计划划 1.对问题进对问题进行分析和理解。行分析和理解。2.限制或者停止破坏限制或者停止破坏.3.诊诊断,并决定危害的程度断,并决定危害的程度4.恢复系恢复系统统5.处处理理问题问题入侵入侵对对策策发现发现入侵者之后,有入侵者之后,有这样这
107、样一些一些对对策:策:1.不理。不理。2.试图试图使用使用write或者或者talk这这些工具些工具询问询问他他们们究竟想要做什么。究竟想要做什么。3.试图试图跟踪跟踪这这个个连连接,找出入侵者的来路和身份。接,找出入侵者的来路和身份。4.杀杀死死这这个个进进程来切断入侵者与系程来切断入侵者与系统统的的连连接。拔下接。拔下调调制解制解调调器或器或网网线线或者关或者关闭计闭计算机。算机。5.管理管理员员可以使用一些工具来可以使用一些工具来监视监视入侵者,入侵者,发现发现他他们们正在做什么。正在做什么。这这些工具包括些工具包括snoop、ps、lastcomm和和ttywatch等。等。网网络络攻
108、攻击击的的检测检测1.检查单检查单IP包首部(包括包首部(包括tcp、udp首部)即可首部)即可发觉发觉的攻的攻击击:如:如winnuke、pingofdeath、land,部分,部分OSdetection,sourcerouting等。等。2.检查单检查单IP包,但同包,但同时时要要检查检查数据段信息才能数据段信息才能发觉发觉的攻的攻击击:如利用:如利用cgi漏洞,和漏洞,和大量的大量的bufferoverflow攻攻击击。易于察。易于察觉觉,但最好,但最好设为选设为选用,由用用,由用户户在性能、安在性能、安全两者之全两者之间进间进行折衷。行折衷。3.通通过检测发过检测发生生频频率才能率才能
109、发觉发觉的攻的攻击击:如:如扫扫描,描,synflood,smurf等。需要等。需要维维持一持一个个额额外的状外的状态态信息表,且因信息表,且因为结论为结论是通是通过统计过统计得来的,有得来的,有误误判漏判的可能。判漏判的可能。检检测难测难度不是很大,但也要考度不是很大,但也要考虑对虑对性能的影响。性能的影响。4.利用分片利用分片进进行的攻行的攻击击:如:如teadrop、nestea、jolt等。此等。此类类攻攻击击利用了分片利用了分片组组装装算法的种种漏洞。若要算法的种种漏洞。若要检查检查此此类类漏洞,必漏洞,必须须提前作提前作组组装装尝试尝试(在(在IP层层接受或接受或转转发时发时,而不
110、是在向上,而不是在向上层发层发送送时时)。分片不光可用来)。分片不光可用来进进行攻行攻击击,还还可用来逃避未可用来逃避未对对分片分片进进行行组组装装尝试尝试的的IDS的的检测检测。已已经经遭到入侵了,有哪些遭到入侵了,有哪些预预防和防和补补救措施?救措施? 使用安全工具使用安全工具:SATAN,ISSScanner,Strobe使用防火使用防火墙墙限制系限制系统访问统访问其它措施:其它措施:配置配置软软硬件硬件,限制,限制软软硬件硬件,服,服务务器和路由器的安全器和路由器的安全,关关闭闭无用无用户头户头,切断与网上,切断与网上连连接接。法律武器法律武器用用户户常常见见的的问题问题安全策略:没有
111、明确的安全管理策略;安全策略:没有明确的安全管理策略;管理管理问题问题:管理:管理规规章制度、策略、章制度、策略、负责负责人的落人的落实实;操作系操作系统统安装后使用缺省配置,不打安装后使用缺省配置,不打补补丁,运行丁,运行许许多不必要的服多不必要的服务务;99%99%以上的入侵是可以通以上的入侵是可以通过过系系统统配置来防范的配置来防范的;用用户户安全意安全意识识;网网络络拓扑拓扑结结构;构;安全工具的使用;安全工具的使用;多种服多种服务务安装在同一服安装在同一服务务器上,器上,DNS/Mail/Web/ FTPDNS/Mail/Web/ FTP;公用服公用服务务器用器用户户口令口令过过于于
112、简单简单,uiduid: : study Pwd:123456study Pwd:123456;审计审计功能没有激活,或管理功能没有激活,或管理员员根本不根本不检检查审计查审计日志;日志;没有没有备备份,系份,系统统在被入侵后很在被入侵后很难难恢复。恢复。用用户户常常见见的的问题问题对对于普通网于普通网络络用用户户的建的建议议和忠告和忠告系系统统安装最新的安装最新的补补丁丁对对系系统进统进行合理配置行合理配置不不轻轻易运行任何不明易运行任何不明软软件件安装安装杀杀毒毒软软件及防火件及防火墙墙建立常用建立常用诊诊断工具包断工具包黑客常用攻黑客常用攻击击手段及防御措施手段及防御措施个人用个人用户户
113、忠告及建忠告及建议议内容提要内容提要网网络络安全概述安全概述单单位网位网络络安全措施推荐安全措施推荐FF(1).(1).系系统统要要尽尽量量与与公公网网隔隔离离,要要有有相相应应的的安安全全连连接接措措施施. .(2).(2).不不同同的的工工作作范范围围的的网网络络既既要要采采用用防防火火墙墙、安安全全路路由由器器、保保密密网网关关等等相相互互隔隔离离,又又要要在在政政策策允允许许时时保保证证互互通。通。(3).(3).为为了了提提供供网网络络安安全全服服务务,各各相相应应的的环环节节应应根根据据需需要要配配置置可可单单独独评评价价的的加加密密、数数字字签签名名、访访问问控控制制、数数据据完
114、完整整性性、业业务务流流填填充充、路路由由控控制制、公公证证、鉴鉴别别审审计计等等安全机制,并有相安全机制,并有相应应的安全管理。的安全管理。(4).(4).远远程客程客户访问户访问重要的重要的应应用服用服务务要有要有鉴别鉴别服服务务器器严严格格执执行行鉴别过鉴别过程和程和访问访问控制。控制。 网网络络安全的防范建安全的防范建议议(5).(5).网网络络和网和网络络安全安全设备设备要要经经受住相受住相应应的安全的安全测试测试。(6).(6).在相在相应应的网的网络层络层次和次和级别级别上上设设立密立密钥钥管理中心、管理中心、访问访问控制中心、安全控制中心、安全鉴别鉴别服服务务器、授器、授权权服
115、服务务器等,器等,负责访问负责访问控制以及密控制以及密钥钥、证书证书等安全材料的等安全材料的产产生、生、更更换换、配置和、配置和销销毁毁等相等相应应的安全管理活的安全管理活动动。(7).(7).信息信息传递传递系系统统要具有抗要具有抗侦侦听、抗截听、抗截获获能力能能力能对对抗抗传输传输信息的纂改、信息的纂改、删删除、插入、重放、除、插入、重放、选选取明文密取明文密码码破破译译等主等主动动攻攻击击和被和被动动攻攻击击,保,保护护信息的机密性,信息的机密性,保保证证信息和系信息和系统统的完整性。的完整性。(8).(8).涉及保密的信息在涉及保密的信息在传输过传输过程中,在保密装置以外程中,在保密装
116、置以外不以明文形式出不以明文形式出现现。网网络络安全的防范建安全的防范建议议(续续)物理安全需求物理安全需求网网络络安全需求安全需求系系统统安全需求安全需求应应用安全需求用安全需求管理安全需求管理安全需求物理安全技物理安全技术术网网络络安全技安全技术术: 防火防火墙墙 网网络络密密码码机机 入侵入侵检测检测系系统统安全技安全技术术: 防病毒防病毒 安全加固安全加固应应用安全技用安全技术术: 防防窜窜改改 拨拨号号认证认证 审计审计 备备份份管理安全技管理安全技术术: 安全管理安全管理结结束束语语除了信息的保密性、完整性,保除了信息的保密性、完整性,保证证系系统统和网和网络络的可用性、防的可用性
117、、防止网止网络资络资源源/ /流量盗用,是网流量盗用,是网络络安全服安全服务务的重要目的重要目标标之一;之一;安全是每个人的安全是每个人的责责任,整体的安全性依任,整体的安全性依赖赖于所有用于所有用户户安全意安全意识识的增的增强强、安全技、安全技术术的普及;的普及;保保护护用用户户不受攻不受攻击击规规范用范用户户行行为为,不,不发发起攻起攻击击行行为为不做攻不做攻击击的中的中继继增增强强协协作精神,不做攻作精神,不做攻击击的中的中转转站站仅仅仅仅依靠安全技依靠安全技术术和工具并不能和工具并不能实现实现真正意真正意义义上的网上的网络络安全,安全,要要实现实现真正意真正意义义上的网上的网络络安全,相关法律法安全,相关法律法规规的保障是非常的保障是非常必要的。必要的。 入入门门推荐的推荐的读读物物有关攻防有关攻防