《第十讲攻击与应急响应》由会员分享,可在线阅读,更多相关《第十讲攻击与应急响应(37页珍藏版)》请在金锄头文库上搜索。
1、第十讲第十讲 攻击与应急响应攻击与应急响应MM 攻击概述攻击概述攻击概述攻击概述MM 缓冲区溢出攻击缓冲区溢出攻击缓冲区溢出攻击缓冲区溢出攻击MM 扫描器扫描器扫描器扫描器MM 病毒病毒病毒病毒MM 恶意代码恶意代码恶意代码恶意代码M 网络侦听网络侦听M 拒绝服务拒绝服务M 欺骗技术欺骗技术M 网络应急响应网络应急响应2021/8/22021/8/21 110.1 攻击概述攻击概述10.1.1 攻击的一些基本概念攻击的一些基本概念1. 攻击的位置攻击的位置k远程攻击:指外部攻击者通过各种手段,从该子网以外的地方向该子远程攻击:指外部攻击者通过各种手段,从该子网以外的地方向该子网或者该子网内的系
2、统发动攻击。网或者该子网内的系统发动攻击。k本地攻击:指针对本局域网内的其他系统发送的攻击,或在本机上进本地攻击:指针对本局域网内的其他系统发送的攻击,或在本机上进行非法越权访问。行非法越权访问。k伪远程攻击:指内部人员为了掩盖攻击者的身份,从本地获取目标的伪远程攻击:指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象,从一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象,从而使追查者误以为攻击者来自外单位。而使追查者误以为攻击者来自外单位。2. 攻击的目的攻击的目的 主要包括:进程的执行、获取文件和传输中的数据、获得超级用户主要
3、包括:进程的执行、获取文件和传输中的数据、获得超级用户权限、对系统的非法访问、进行不许可的操作、拒绝服务、涂改信息、权限、对系统的非法访问、进行不许可的操作、拒绝服务、涂改信息、暴露信息、政治意图、经济利益等等。暴露信息、政治意图、经济利益等等。2021/8/22021/8/22 23. 攻击的层次攻击的层次 一般来说,攻击可分为以下几个层次:一般来说,攻击可分为以下几个层次:4 简单拒绝服务;简单拒绝服务;4 本地用户获得非授权读访问;本地用户获得非授权读访问;4 本地用户获得他们本不应该拥有的文件写权限;本地用户获得他们本不应该拥有的文件写权限;4 远程用户获得了非授权的帐号;远程用户获得
4、了非授权的帐号;4 远程用户获得了特许文件的读权限;远程用户获得了特许文件的读权限;4 远程用户获得了特许文件的写权限;远程用户获得了特许文件的写权限;4 远程用户拥有了根权限。远程用户拥有了根权限。4. 攻击的工具攻击的工具4 用户命令用户命令4 脚本或程序脚本或程序4 自治主体自治主体4 工具箱工具箱4 分布式工具分布式工具4 电磁泄漏电磁泄漏5. 攻击的人员攻击的人员4 黑客与破坏者黑客与破坏者4 间谍间谍4 恐怖主义者恐怖主义者4 公司雇员公司雇员4 计算机犯罪计算机犯罪4 内部人员内部人员2021/8/22021/8/23 310.1.2 系统的漏洞系统的漏洞 漏洞是指硬件软件或策略
5、上的缺陷。漏洞是指硬件软件或策略上的缺陷。 漏洞类型多种多样,如软件错漏洞类型多种多样,如软件错误和缺陷、系统配置误和缺陷、系统配置 不当、口令失窃、明文通信信息被监听以及不当、口令失窃、明文通信信息被监听以及TCP/IP初始设计存在缺陷等各方面。初始设计存在缺陷等各方面。z 漏洞问题是与时间紧密相关的。一般要经历如下过程:漏洞问题是与时间紧密相关的。一般要经历如下过程: 系统发布系统发布 漏洞暴露漏洞暴露 发布不定发布不定 新漏洞出现新漏洞出现z 安全漏洞与系统攻击之间的关系是:安全漏洞与系统攻击之间的关系是: 漏洞暴露漏洞暴露 (可能的攻击)(可能的攻击) 发布补丁发布补丁1. 软件的软件
6、的Bug 软件的软件的Bug主要分为以下几类:主要分为以下几类:2 缓冲区溢出缓冲区溢出2 意料外的联合使用问题意料外的联合使用问题2 不对输入内容进行预期检查不对输入内容进行预期检查2 文件操作的顺序以及锁定等问题文件操作的顺序以及锁定等问题2. 系统配置系统配置系统配置不当主要有以下几种:系统配置不当主要有以下几种:2 默认配置的不足默认配置的不足2 管理员的疏忽管理员的疏忽2 临时端口临时端口2 信任关系信任关系2021/8/22021/8/24 4Windows系统中最危险的漏洞系统中最危险的漏洞I Internet信息服务(信息服务(IIS)I 远程数据访问(远程数据访问(MDAC)
7、I Microsoft SQL服务服务I 无保护的无保护的Windows网络共享网络共享NETBIOSI 匿名登录空会话匿名登录空会话I LAN管理认证管理认证I 一般的一般的Windows认证认证 无口令或弱口令帐号无口令或弱口令帐号I Internet ExplorerI Remote Registry AccessI Windows Scripting HostUNIX系统中最危险的漏洞系统中最危险的漏洞I 远程过程调用(远程过程调用(RPC)I Apache Web ServerI 安全安全Shell(SSH)I 简单网络管理协议简单网络管理协议SNMPI 文件传输协议文件传输协议FT
8、PI R-Services可信关系可信关系I Line Printer Daemon(LPD)I SendmailI Bind/DNSI 一般的一般的Unix认证认证 无口令或弱口令帐号无口令或弱口令帐号10.1.3 远程攻击的步骤远程攻击的步骤 寻找目标主机收集目标信息:锁定目标;使用不同应用程序测试分析;获取帐号信息;寻找目标主机收集目标信息:锁定目标;使用不同应用程序测试分析;获取帐号信息;获得管理员信息。获得管理员信息。 各种相关工具的准备:收集各种实际使用的工具。各种相关工具的准备:收集各种实际使用的工具。 攻击策略的制定:攻击策略主要依赖于入侵者所想要达到的目的。攻击策略的制定:攻
9、击策略主要依赖于入侵者所想要达到的目的。 数据分析:通过扫描,获取相关数据并进行分析;数据分析:通过扫描,获取相关数据并进行分析; 实施攻击:或许系统的信任等级;获取特许访问权限;安放探测软件或后门软件等,并实施攻击:或许系统的信任等级;获取特许访问权限;安放探测软件或后门软件等,并在攻击得逞后试图毁掉攻击入侵的痕迹。在攻击得逞后试图毁掉攻击入侵的痕迹。2021/8/22021/8/25 510.2 缓冲区溢出缓冲区溢出10.2.1 缓冲区溢出的概念及原理缓冲区溢出的概念及原理 缓冲区溢出缓冲区溢出指的是一种系统攻击的手段,通过向程序的缓冲区写超指的是一种系统攻击的手段,通过向程序的缓冲区写超
10、出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈。出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈。 缓冲区溢出可能会带来两种后果:缓冲区溢出可能会带来两种后果: 过长的字符串覆盖了相邻的存过长的字符串覆盖了相邻的存储单元引起程序运行失败,严重的可导致系统崩溃;储单元引起程序运行失败,严重的可导致系统崩溃; 利用这种漏洞可利用这种漏洞可以执行任意指令甚至可以取得系统特权由此引发许多种攻击方法。以执行任意指令甚至可以取得系统特权由此引发许多种攻击方法。 缓冲区溢出攻击的目的缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能,在于扰乱具有某些特权运行的程序的功能,从而让攻击者取得系统的控
11、制权。为做到这一点,必须达到如下目标:从而让攻击者取得系统的控制权。为做到这一点,必须达到如下目标:P在程序的地址空间安排适当的代码:在程序的地址空间安排适当的代码: 攻击方法:攻击方法: 植入法;植入法; 利用已经存在的代码利用已经存在的代码P通过适当地初始化寄存器和存储器,让程序跳转到安排好的地址空间通过适当地初始化寄存器和存储器,让程序跳转到安排好的地址空间执行。执行。 攻击方法:攻击方法:激活记录;激活记录;函数指针;函数指针;长跳转缓冲区;长跳转缓冲区;2021/8/22021/8/26 6#includeMain( ) char name8; printf(“Please type
12、 your name:”); gets(name); printf(“Hello,%s!”,name); return 0;LocalEBPReturnabcESPEBP堆栈栈顶堆栈栈顶10.2.2 缓冲区溢出的保护方法缓冲区溢出的保护方法 编写正确的代码:编写正确的代码:是解决缓冲区溢出漏洞的根本方法;是解决缓冲区溢出漏洞的根本方法; 非执行的缓冲区:非执行的缓冲区:通过使被攻击程序的数据段地址空间不可执行,从通过使被攻击程序的数据段地址空间不可执行,从 而使得攻击者不可能执行被植入被攻击程序输入缓冲区的代码;而使得攻击者不可能执行被植入被攻击程序输入缓冲区的代码; 程序指针完整性检查:程序
13、指针完整性检查:在程序指针被应用之前检测它是否被改变;在程序指针被应用之前检测它是否被改变; 安装安全补丁:安装安全补丁:2021/8/22021/8/27 712345678 XXXX YYYY ZNameEBPRetStackEBPESPEIPHeapESP:Extend Stack PointerEBP: Extend Base PointerEIP: Extend Instruction Pointer2021/8/22021/8/28 810.3 扫描器扫描器10.3.1 扫描器的概念扫描器的概念 扫描器是一种自动检测远程或本地系统安全性弱点(漏洞)的程序。扫描器是一种自动检测远程或
14、本地系统安全性弱点(漏洞)的程序。扫描器不是一个直接攻击网络漏洞的程序,它仅仅能帮助我们测试和评扫描器不是一个直接攻击网络漏洞的程序,它仅仅能帮助我们测试和评价目标的安全性,并及时发现内在的安全漏洞。价目标的安全性,并及时发现内在的安全漏洞。 安全扫描工具通常分为安全扫描工具通常分为基于服务器基于服务器和和基于网络基于网络的扫描器。的扫描器。u 基于服务器的扫描器主要扫描服务器相关的安全漏洞;基于服务器的扫描器主要扫描服务器相关的安全漏洞;u 基于网络的扫描器主要扫描设定网络内的服务器、路由器、网基于网络的扫描器主要扫描设定网络内的服务器、路由器、网 桥、桥、交换机、防火墙等设备的安全漏洞。交
15、换机、防火墙等设备的安全漏洞。 最重要的扫描器是端口扫描器。端口扫描器通常通过与目标主机最重要的扫描器是端口扫描器。端口扫描器通常通过与目标主机TCP/IP端口建立连接和端口建立连接和/并请求某些服务,记录目标主机的应答,搜集并请求某些服务,记录目标主机的应答,搜集目标主机相关信息,从而发现目标主机某些内在的安全弱点。目标主机相关信息,从而发现目标主机某些内在的安全弱点。2021/8/22021/8/29 9 通常,端口扫描有如下功能:通常,端口扫描有如下功能: 发现一个主机或网络的能力;发现一个主机或网络的能力; 识别目标系统上正在运行的识别目标系统上正在运行的TCP和和UDP服务;服务;
16、识别目标系统的操作系统类型;识别目标系统的操作系统类型; 识别某个应用程序或某个特定服务的版本号;识别某个应用程序或某个特定服务的版本号; 发现系统的漏洞。发现系统的漏洞。10.3.2 端口及端口扫描端口及端口扫描 端口就是潜在的通信通道。端口可分为:端口就是潜在的通信通道。端口可分为: 知名端口:知名端口:1255;常见的网络服务都运行于这个端口范围;常见的网络服务都运行于这个端口范围; 受保护端口:受保护端口:2561023;常见的系统服务都运行于这个端口范围;常见的系统服务都运行于这个端口范围; 用户定义端口用户定义端口(动态端口动态端口):102465535 为使系统正常运行,应尽量关
17、闭无用的端口,操作如下:为使系统正常运行,应尽量关闭无用的端口,操作如下: 在本地在本地运行运行netstat命令,判断哪些端口是打开的;命令,判断哪些端口是打开的; 对系统进行外部的端口对系统进行外部的端口扫描,列出所有实际在侦听的端口号;扫描,列出所有实际在侦听的端口号; 如两者得到的结果不同,应分如两者得到的结果不同,应分析原因,同时检查各端口运行的服务;析原因,同时检查各端口运行的服务; 记录最终端口列表,以确定没记录最终端口列表,以确定没有额外的端口出现。有额外的端口出现。2021/8/22021/8/21010 常用的端口扫描技术常用的端口扫描技术(1) TCP connect(
18、) 操作系统提供的操作系统提供的connect( )系统调用,用来与目标计算机的端口进行系统调用,用来与目标计算机的端口进行连接,如端口处于侦听状态,则连接,如端口处于侦听状态,则connect( )就能成功,否则返回就能成功,否则返回-1。(2) TCP SYN 扫描扫描 扫描程序发送一个扫描程序发送一个SYN数据包,如果一个数据包,如果一个RST返回,表示端口没有返回,表示端口没有处于侦听状态。如果收到一个处于侦听状态。如果收到一个SYN|ACK,表示端口处于侦听状态。,表示端口处于侦听状态。(3) TCP FIN 扫描扫描 其思想是关闭的端口会用适当的其思想是关闭的端口会用适当的RST来
19、回复来回复FIN数据包,而打开的端数据包,而打开的端口则会忽略对口则会忽略对FIN数据包的回复。数据包的回复。(4) IP 段扫描段扫描 它并不直接发送它并不直接发送TCP探测数据包,而是将数据包分成两个较小的探测数据包,而是将数据包分成两个较小的IP段。这样就将一个段。这样就将一个TCP头分成好几个数据包,从而过滤器就很难探测到。头分成好几个数据包,从而过滤器就很难探测到。 TCP反向认证扫描;反向认证扫描; FTP 代理扫描;代理扫描; UDP ICMP端口不能到端口不能到达扫描;达扫描; ICMP echo扫描。扫描。2021/8/22021/8/2111110.3.3 主机扫描主机扫描
20、 主机扫描的目的是确定在目标网络上的主机是否可达。属信息收集主机扫描的目的是确定在目标网络上的主机是否可达。属信息收集的初级阶段。的初级阶段。 传统的扫描手段传统的扫描手段 ICMP Echo扫描:通过是否有应答判断目标是否激活状态。扫描:通过是否有应答判断目标是否激活状态。 ICMP Sweep扫描:并行发送,同时扫描多个目标主机。扫描:并行发送,同时扫描多个目标主机。 Broadcast ICMP扫描:向整个局域网发送扫描:向整个局域网发送ICMP Echo请求。请求。 Non-Echo ICMP扫描:用于对主机或网络设备的扫描。扫描:用于对主机或网络设备的扫描。 非常规的扫描手段非常规的
21、扫描手段 利用利用ICMP协议提供网络间传送错误信息的手段,往往可以更有效地到达目的协议提供网络间传送错误信息的手段,往往可以更有效地到达目的地,从而突破防火墙和网络过滤设备的封锁。地,从而突破防火墙和网络过滤设备的封锁。 异常异常IP包头:伪造包头:伪造IP包头获取目标主机或过滤设备的信息(如包头获取目标主机或过滤设备的信息(如ACL等)。等)。 在在IP头中设置无效的字段值:获取目标主机或过滤设备的信息。头中设置无效的字段值:获取目标主机或过滤设备的信息。 错误的数据分片:根据反馈信息获取如上信息。错误的数据分片:根据反馈信息获取如上信息。 通过超长包扫描内部路由器:获取目标系统的网络拓扑
22、结构。通过超长包扫描内部路由器:获取目标系统的网络拓扑结构。 反向映射扫描:用于扫描被过滤设备或防火墙保护的网络和主机,获取网络反向映射扫描:用于扫描被过滤设备或防火墙保护的网络和主机,获取网络内部的结构。内部的结构。2021/8/22021/8/2121210.3.4 漏洞扫描漏洞扫描 漏洞扫描是指检测远程或本地系统存在的安全缺陷。该技术可分为两类:漏洞扫描是指检测远程或本地系统存在的安全缺陷。该技术可分为两类:主主机漏洞扫描机漏洞扫描和和网络漏洞扫描网络漏洞扫描,前者主要针对系统的配置缺陷以及其他安全规则相,前者主要针对系统的配置缺陷以及其他安全规则相抵触的对象;而后者则是通过执行一些脚本
23、文件模拟对系统进行攻击的行为并记抵触的对象;而后者则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。录系统的反应,从而发现其中的漏洞。 网络漏洞扫描技术不仅可以检测平台的漏洞,也可以对网络设备、整个网段网络漏洞扫描技术不仅可以检测平台的漏洞,也可以对网络设备、整个网段进行检测。进行检测。 完整的网络漏洞扫描过程分为完整的网络漏洞扫描过程分为3个阶段:个阶段: 发现目标主机或网络。发现目标主机或网络。 进一步收集目标信息。进一步收集目标信息。 根据信息判断或者进一步测试系统是否存在安全漏洞。根据信息判断或者进一步测试系统是否存在安全漏洞。 漏洞检测技术是建立在
24、端口扫描技术的基础之上。其主要通过以下漏洞检测技术是建立在端口扫描技术的基础之上。其主要通过以下两种方法来实现。两种方法来实现。 基于漏洞库的匹配检测方法基于漏洞库的匹配检测方法 插件技术:通过调用由脚本语言编写的插件子程序来执行扫描。其好处是使插件技术:通过调用由脚本语言编写的插件子程序来执行扫描。其好处是使扫描软件的升级和扩展变得简单。扫描软件的升级和扩展变得简单。2021/8/22021/8/2131310.4 病毒病毒10.4.1 计算机病毒的定义与特征计算机病毒的定义与特征 定义:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组
25、计算机指令或者程序代码。 计算机病毒的主要特征:破坏性;传染性;自我复制能力; 隐蔽性;潜伏性及可触发性10.4.2 计算机病毒的分类与传播计算机病毒的分类与传播 计算机病毒一般包含三个部分:计算机病毒一般包含三个部分:引导部分、传染部分、表现部分引导部分、传染部分、表现部分!引导型病毒:引导型病毒:攻击系统引导扇区攻击系统引导扇区!文件型病毒:文件型病毒:依附型、覆盖型依附型、覆盖型!混合型病毒:混合型病毒:既可嵌入到磁盘引导区中又可嵌入到可执行程序中既可嵌入到磁盘引导区中又可嵌入到可执行程序中!宏病毒:宏病毒:主要攻击支持宏的软件,主要特点:制作方便、传播快、跨主要攻击支持宏的软件,主要特
26、点:制作方便、传播快、跨平台、兼容性差平台、兼容性差2021/8/22021/8/2141410.4.3 计算机病毒的防止与检测计算机病毒的防止与检测 防止:防止:计算机病毒的防治要从计算机病毒的防治要从防毒、查毒、解毒防毒、查毒、解毒三方面来进行。系三方面来进行。系统对于计算机病毒的实际防治能力和效果也要从这三个方面来评判。统对于计算机病毒的实际防治能力和效果也要从这三个方面来评判。 防毒是指预防病毒入侵的能力防毒是指预防病毒入侵的能力 查毒是指发现和追踪病毒的能力查毒是指发现和追踪病毒的能力 解毒是指从感染对象中清除病毒、恢复被感染前的原始信息的能力解毒是指从感染对象中清除病毒、恢复被感染
27、前的原始信息的能力 检测:检测:计算机病毒的的检测方法很多,典型的方法包括以下几种:计算机病毒的的检测方法很多,典型的方法包括以下几种:% 直接检查法直接检查法:通过直接观察来判断系统是否感染病毒。:通过直接观察来判断系统是否感染病毒。% 特征代码法特征代码法:准确快速、误报率低;准确快速、误报率低;不能检测未知病毒不能检测未知病毒% 校验和法校验和法:能发现未知病毒;能发现未知病毒;不能识别病毒名,对隐蔽性病毒无效不能识别病毒名,对隐蔽性病毒无效% 行为监测法行为监测法:具备发现未知病毒的能力;具备发现未知病毒的能力;可能误报,实现较困难可能误报,实现较困难% 软件模拟法软件模拟法:用软件方
28、法模拟和分析程序的运行,能检测多态性病毒。用软件方法模拟和分析程序的运行,能检测多态性病毒。2021/8/22021/8/2151510.4.4 计算机病毒预防计算机病毒预防h 选用正版的系统及软件并及时更新升级选用正版的系统及软件并及时更新升级h 安装杀毒软件并定期扫描安装杀毒软件并定期扫描h 实施合理的安全配置实施合理的安全配置h 养成良好的操作习惯养成良好的操作习惯h 定期检查您的系统定期检查您的系统h 随时保持警惕随时保持警惕常用杀毒软件常用杀毒软件常用杀毒软件常用杀毒软件 KV3000 瑞星瑞星 金山金山 诺顿诺顿 卡巴斯基卡巴斯基 Symantec2021/8/22021/8/21
29、61610.5 恶意代码恶意代码 恶意代码恶意代码又称恶意软件,是一种具有在信息系统上执行非授权进程能力的代又称恶意软件,是一种具有在信息系统上执行非授权进程能力的代码。恶意代码本身是程序,并且通过执行来发生作用。码。恶意代码本身是程序,并且通过执行来发生作用。早期的恶意代码主要是指早期的恶意代码主要是指病毒病毒,但目前其它形式的恶意代码如蠕虫、恶意网页、木马、逻辑炸弹、后门等,但目前其它形式的恶意代码如蠕虫、恶意网页、木马、逻辑炸弹、后门等正日益泛滥,并且有逐渐融合的趋势。正日益泛滥,并且有逐渐融合的趋势。 不必要代码不必要代码是指内有作用却会带来危险的代码,一个最安全的定义是把所有是指内有
30、作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码均看作是恶意代码。不必要的代码均看作是恶意代码。 恶意代码的传播途径主要包括如下:恶意代码的传播途径主要包括如下:l 感染本地文件、局域网共享目录中的文件或者复制副本到对方目录;感染本地文件、局域网共享目录中的文件或者复制副本到对方目录;l 寻找寻找E-mailE-mail地址,大量发送垃圾邮件;地址,大量发送垃圾邮件;l 通过共享网络软件进行传播;通过共享网络软件进行传播;l 建立后门程序,通过后门进行传播;建立后门程序,通过后门进行传播;l 通过即时通信软件传播;通过即时通信软件传播;l 通过通过U U盘等存储介质进行传播;盘等存
31、储介质进行传播;l 利用系统软件的漏洞进行传播;利用系统软件的漏洞进行传播;l 通过短信传播通过短信传播2021/8/22021/8/2171710.5.1 蠕虫蠕虫 蠕虫和病毒类似,也可进行自我复制。它能够利用网络漏洞来扩酸并且创蠕虫和病毒类似,也可进行自我复制。它能够利用网络漏洞来扩酸并且创建新的副本。建新的副本。蠕虫并不总是有害的,它可作为以太网网络设备的一种诊断工具,蠕虫并不总是有害的,它可作为以太网网络设备的一种诊断工具,用以快速有效地检测网络用以快速有效地检测网络。 蠕虫的基本程序结构包括:传播模块、隐藏模块、目的功能模块。其中传蠕虫的基本程序结构包括:传播模块、隐藏模块、目的功能
32、模块。其中传播模块又可分为播模块又可分为3个基本模块:个基本模块:扫描模块、攻击模块和复制模块扫描模块、攻击模块和复制模块。 1. 蠕虫的分类蠕虫的分类l 根据工作原理分为:主机蠕虫和网络蠕虫根据工作原理分为:主机蠕虫和网络蠕虫 主机蠕虫主机蠕虫完全包含在他们运行的计算机中,并且使用网络的连接仅将其自身复完全包含在他们运行的计算机中,并且使用网络的连接仅将其自身复制到其他的计算机中。复制完成后就会终止自身。因此任意时刻只有一个蠕虫的制到其他的计算机中。复制完成后就会终止自身。因此任意时刻只有一个蠕虫的副本运行。副本运行。 网络蠕虫网络蠕虫由许多部分组成。且每个部分运行在不同的激起上并且使用网络
33、来达由许多部分组成。且每个部分运行在不同的激起上并且使用网络来达到一些通信的目的。到一些通信的目的。l 根据攻击对象可分为:针对网络和针对个人根据攻击对象可分为:针对网络和针对个人 针对企业和局域网针对企业和局域网的蠕虫通过利用系统的漏洞,主动攻击,往往造成整个局域的蠕虫通过利用系统的漏洞,主动攻击,往往造成整个局域网瘫痪(如红色代码、尼姆达等)。网瘫痪(如红色代码、尼姆达等)。 针对个人针对个人的蠕虫往往借助于网络或网络工具进行传播(如求职信病毒等)的蠕虫往往借助于网络或网络工具进行传播(如求职信病毒等)2021/8/22021/8/2181810.5.2 恶意网页恶意网页 恶意网页通过插在
34、网页中的恶意代码来修改浏览者的注册表,从而起到破坏恶意网页通过插在网页中的恶意代码来修改浏览者的注册表,从而起到破坏作用。如禁止使用计算机、格式化硬盘、自动下载运行木马、禁止某些功能或菜作用。如禁止使用计算机、格式化硬盘、自动下载运行木马、禁止某些功能或菜单项、修改单项、修改IE、以及不断弹出对话框等等恶意现象。、以及不断弹出对话框等等恶意现象。 遭遇到上述现象后应立即采取一些强制措施,如通过电脑的任务管理器强制遭遇到上述现象后应立即采取一些强制措施,如通过电脑的任务管理器强制关闭正在运行的恶意网页,并及时修复注册表和升级杀毒软件、浏览器等。以免关闭正在运行的恶意网页,并及时修复注册表和升级杀
35、毒软件、浏览器等。以免造成不必要的损失和麻烦。造成不必要的损失和麻烦。2. 蠕虫与病毒的比较蠕虫与病毒的比较 一般认为,蠕虫是一种通过网络传播的病毒,它具有病毒的一些共性(如传一般认为,蠕虫是一种通过网络传播的病毒,它具有病毒的一些共性(如传播性、隐蔽性、破坏性等)。但它和普通病毒的工作方式存在不同,主要表现在播性、隐蔽性、破坏性等)。但它和普通病毒的工作方式存在不同,主要表现在以下方面:以下方面:普通病毒普通病毒蠕虫蠕虫存在形式存在形式寄存文件寄存文件独立程序独立程序传染机制传染机制宿主程序运行宿主程序运行主动攻击主动攻击传染目标传染目标本地文件本地文件网络上的计算机网络上的计算机2021/
36、8/22021/8/2191910.5.3 特洛伊木马特洛伊木马 特洛伊木马本质上只是一种远程管理工具,它本身不带伤害性,也没有传特洛伊木马本质上只是一种远程管理工具,它本身不带伤害性,也没有传染性。特洛伊木马具有染性。特洛伊木马具有隐蔽性隐蔽性和和非授权性非授权性的特点。的特点。 隐蔽性隐蔽性是指木马的设计者为是指木马的设计者为了防止木马被发现,会采用多种手段隐蔽木马;了防止木马被发现,会采用多种手段隐蔽木马; 非授权性非授权性是指这个未经授权的是指这个未经授权的程序提供了一些用户不知道的功能。程序提供了一些用户不知道的功能。 木马的隐蔽性通常通过伪装的方式来实现,木马的隐蔽性通常通过伪装的
37、方式来实现,主要包括以下方式主要包括以下方式: 冒充为冒充为图像文件;图像文件; 合并(捆绑)程序欺骗;合并(捆绑)程序欺骗; 伪装成应用程序扩展组件伪装成应用程序扩展组件1. 木马的工作原理木马的工作原理 特洛伊木马属于客户特洛伊木马属于客户/服务工作模式服务工作模式。它分为两部分:。它分为两部分:客户端客户端和和服务器服务器。其。其原理是一台主机提供服务(服务器、被控制端),另一台主机接受服务(客户机、原理是一台主机提供服务(服务器、被控制端),另一台主机接受服务(客户机、控制端)。控制端)。作为服务器的主机一般会打开一个默认的端口进行侦听作为服务器的主机一般会打开一个默认的端口进行侦听。
38、1.1 木马自动加载运行技术木马自动加载运行技术 常见的木马加载技术如下:常见的木马加载技术如下: 在在Win.ini中启动;中启动; 在在System.ini中启动;中启动; 利用注册表加载运行;利用注册表加载运行; 在在Autoexec.bat和和Config.sys中加载运行;中加载运行; 在在Winstart.bat中启动;中启动; 在启动组启动;在启动组启动; 在在*.ini中启动;中启动; 修改文件关联;修改文件关联; 捆绑文件;捆绑文件; 反弹端口型木马的主动连接等反弹端口型木马的主动连接等2021/8/22021/8/220201.2 木马程序建立连接技术木马程序建立连接技术
39、木马程序的数据传递通常采用木马程序的数据传递通常采用TCP/UDP协议,利用协议,利用Winsock与目标机的指与目标机的指定端口建立起连接,使用定端口建立起连接,使用send和和recv等等API进行数据的传递。进行数据的传递。 合并端口木马:在一个端口同时绑定两个合并端口木马:在一个端口同时绑定两个TCP或者或者UDP连接,通过把木马端连接,通过把木马端口绑定于特定的服务端口之上,从而达到隐蔽端口的目的。口绑定于特定的服务端口之上,从而达到隐蔽端口的目的。 利用利用ICMP协议进行数据的发送:通过修改协议进行数据的发送:通过修改ICMP头的构造,加入木马的控制头的构造,加入木马的控制字段,
40、将自己伪装成一个字段,将自己伪装成一个Ping的进程,系统就会将的进程,系统就会将ICMP_ECHOREPLY的监听、的监听、处理权交给木马进程。处理权交给木马进程。 反弹端口型木马:服务器端(被控制端)使用主动端口,客户端(控制端)反弹端口型木马:服务器端(被控制端)使用主动端口,客户端(控制端)使用被动端口,木马定时监测控制端的存在,发现控制端上线立即主动连接。使用被动端口,木马定时监测控制端的存在,发现控制端上线立即主动连接。 使用基于嗅探原理的原始使用基于嗅探原理的原始Sock木马:服务器端是一个发包器和嗅探器,它将木马:服务器端是一个发包器和嗅探器,它将捕获制定特征的数据包。捕获制定
41、特征的数据包。2. 木马的防范木马的防范 使用防火墙和反黑客软件;使用防火墙和反黑客软件; 端口扫描;端口扫描; 查看连接;查看连接; 检查注册表;检查注册表; 查查找文件。找文件。2021/8/22021/8/2212110.5.4 逻辑炸弹逻辑炸弹 逻辑炸弹是一种只有当满足特定逻辑条件时才进行破坏的程序。逻辑炸弹是一种只有当满足特定逻辑条件时才进行破坏的程序。 与病毒相比:与病毒相比:逻辑炸弹强调破坏作用本身,而事实破坏的程序不会传播。逻辑炸弹强调破坏作用本身,而事实破坏的程序不会传播。 与典型木马相比:与典型木马相比:逻辑炸弹一般是隐含在具有正常功能的软件中。逻辑炸弹一般是隐含在具有正常
42、功能的软件中。 案例:江民杀毒软件案例:江民杀毒软件KV300.10.5.5 后门后门 入侵者可以通过端口、串入侵者可以通过端口、串/并口、无线设备连接等后门方式入侵计算机。如果并口、无线设备连接等后门方式入侵计算机。如果一个程序仅仅提供远程访问,那么它只是一个后门。如果攻击者将这些后门伪装一个程序仅仅提供远程访问,那么它只是一个后门。如果攻击者将这些后门伪装成某些其他良性程序,那么就变成了木马。成某些其他良性程序,那么就变成了木马。 后门产生的必要条件:后门产生的必要条件:n 必须以某种方式与其他终端结点相连必须以某种方式与其他终端结点相连n 目标机默认开放的可供外界访问的端口必须在一个以上
43、目标机默认开放的可供外界访问的端口必须在一个以上n 目标计算机存在程序设计或认为疏忽。目标计算机存在程序设计或认为疏忽。 后门工作机制:后门工作机制:后门程序也是通过操作系统漏洞、程序漏洞、协议漏洞等方式后门程序也是通过操作系统漏洞、程序漏洞、协议漏洞等方式传播,不同的是后门程序多了一个入侵者入侵后预留通道(如添加超级用户帐号传播,不同的是后门程序多了一个入侵者入侵后预留通道(如添加超级用户帐号等)。后门程序可以看作木马程序的一种,但它更专注于远程控制等)。后门程序可以看作木马程序的一种,但它更专注于远程控制/访问。访问。2021/8/22021/8/2222210.5.6 流氓软件流氓软件
44、流氓软件是介于病毒和正规软件之间的软件。流氓软件没有准确的流氓软件是介于病毒和正规软件之间的软件。流氓软件没有准确的定义,但通常既有如下一些特征:定义,但通常既有如下一些特征:强制安装、难以卸载或恶意卸载、恶强制安装、难以卸载或恶意卸载、恶意捆绑、浏览器劫持、广告弹出、恶意收集用户信息意捆绑、浏览器劫持、广告弹出、恶意收集用户信息等。等。流氓软件的类型:流氓软件的类型:q 广告软件:未经用户允许下载并安装到用户计算机上、或与其它软广告软件:未经用户允许下载并安装到用户计算机上、或与其它软件捆绑。件捆绑。q 间谍软件:是一种后门软件,用以收集用户的信息。间谍软件:是一种后门软件,用以收集用户的信
45、息。q 浏览器劫持软件:通过各种手段对浏览器篡改,使浏览器配置不正浏览器劫持软件:通过各种手段对浏览器篡改,使浏览器配置不正常或不能正常工作。常或不能正常工作。q 远行为记录软件:用以记录用户的计算机使用习惯、网络浏览习惯远行为记录软件:用以记录用户的计算机使用习惯、网络浏览习惯等。以此收集信息进行相应的广告推广和商业活动。等。以此收集信息进行相应的广告推广和商业活动。q 恶意共享软件:是指某些共享软件为了获取利益,采用诱骗手段、恶意共享软件:是指某些共享软件为了获取利益,采用诱骗手段、陷阱等方式强迫用户注册,或在合法软件体内捆绑各类恶意插件。陷阱等方式强迫用户注册,或在合法软件体内捆绑各类恶
46、意插件。2021/8/22021/8/2232310.6 网络侦听网络侦听10.6.1 Sniffer工作原理工作原理 嗅探(嗅探(Sniffer)是在网络中通过侦听的方式对通信数据包进行监听、)是在网络中通过侦听的方式对通信数据包进行监听、采集与分析的技术手段。嗅探器则是用于实现网络嗅探的程序或工具。采集与分析的技术手段。嗅探器则是用于实现网络嗅探的程序或工具。嗅探器成功的关键在于以太网的通信机制和网卡的工作模式。嗅探器成功的关键在于以太网的通信机制和网卡的工作模式。 网络嗅探须考虑网络拓扑环境。当前主要有两种:共享式网络和交换网络嗅探须考虑网络拓扑环境。当前主要有两种:共享式网络和交换式网
47、络。式网络。前者的互联设备是集线器,后者则是交换机前者的互联设备是集线器,后者则是交换机。前者采用广播方前者采用广播方式,后者则通过交换机在其内部的不同端口间存储转发类完成数据传送。式,后者则通过交换机在其内部的不同端口间存储转发类完成数据传送。 网络侦听的主要用途是观测分析实时经由的数据包,从而快速地进行网络侦听的主要用途是观测分析实时经由的数据包,从而快速地进行网络故障定位。被侦听的网络通常包括以下几种:以太网、交换网、网络故障定位。被侦听的网络通常包括以下几种:以太网、交换网、FDDI和令牌环网、其他网络(如有线电视、无线等)。和令牌环网、其他网络(如有线电视、无线等)。 Sniffer
48、通常运行在路由器或具有路由功能的主机上,可能截获在同通常运行在路由器或具有路由功能的主机上,可能截获在同一条一条物理信道物理信道上传输的所有的信息,包括用户上传输的所有的信息,包括用户ID和口令等。和口令等。即逻辑上的即逻辑上的子网划分并不能阻止嗅探器攻击子网划分并不能阻止嗅探器攻击。2021/8/22021/8/2242410.6.3 Sniffer预防和检测预防和检测1. 预防预防T 确保以太网的整体安全确保以太网的整体安全T 使用加密传输敏感数据使用加密传输敏感数据T 使用安全拓扑结构使用安全拓扑结构2. 检测检测T 反应时间反应时间T 利用利用Ping模式进行检测模式进行检测T 使用使
49、用ARP数据包进行检测数据包进行检测10.6.2 交换网嗅探交换网嗅探 交换网络结构能在一定程度上抵御嗅探攻击。但无法阻止。对交换网数据包交换网络结构能在一定程度上抵御嗅探攻击。但无法阻止。对交换网数据包进行嗅探的方法包括:进行嗅探的方法包括:p MAC洪水包:通过发送大量虚假洪水包:通过发送大量虚假MAC地址和地址和IP地址的地址的IP包使交换机进入所包使交换机进入所谓的谓的“打开失效打开失效”模式,此时交换机的工作方式与集线器类似。从而实现攻击目的。模式,此时交换机的工作方式与集线器类似。从而实现攻击目的。p 利用交换机的镜像功能:端口镜像就是把交换机一个或多个端口(利用交换机的镜像功能:
50、端口镜像就是把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。通过在镜像端口上使用嗅探器即可嗅探到的数据镜像到一个或多个端口的方法。通过在镜像端口上使用嗅探器即可嗅探到被镜像端口的数据通信。被镜像端口的数据通信。p 利用利用ARP欺骗实现嗅探:网络设备为减少广播量,通常会通过欺骗实现嗅探:网络设备为减少广播量,通常会通过ARP表在缓存表在缓存中保存中保存IP与与MAC地址的映射关系,且地址的映射关系,且ARP表使用老化机制,这给了嗅探器假冒表使用老化机制,这给了嗅探器假冒攻击的机会。攻击的机会。2021/8/22021/8/2252510.7 拒绝服务拒绝服务 拒绝服务(Do
51、S)是网络信息系统由于某种原因不能为授权用户提供正常的服务。它通常分为针对网络的和针对主机的DoS攻击。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,从而无法处理常规的任务。攻击者面临的主要问题是网络带宽。 产生拒绝服务的原因:产生拒绝服务的原因: 资源毁坏; 资源耗尽或过载; 配置错误;软件弱点。 常见的DoS攻击方式:1. TCP SYN Flooing 利用利用TCP协议的三次握手协议的三次握手原理实施攻击。原理实施攻击。预防措施:预防措施:在在防火墙上过滤来自同一主机的防火墙上过滤来自同一主机的后续连接。后续连接。客户客户客户客户服务器服务器服务器服务器(
52、1) TCP SYN(1) TCP SYN(2) SYN ACK(2) SYN ACK(3) TCP ACK分配资源分配资源等待回复等待回复等待等待等待等待超时超时分配资源分配资源等待回复等待回复连接连接2021/8/22021/8/226262. Smurf攻击攻击 利用利用ICMP技术进行攻击。技术进行攻击。预防措施:预防措施:为防止入侵者利用网络攻击他为防止入侵者利用网络攻击他人,应关闭外部路由器或防火墙的广播地址特性;为防止被攻击,应在人,应关闭外部路由器或防火墙的广播地址特性;为防止被攻击,应在防火墙上设置规则,丢弃掉防火墙上设置规则,丢弃掉ICMP包。包。3. Fraggle攻击攻
53、击 其基本概念及做法像其基本概念及做法像Smurf,但它是采用,但它是采用UDP echo讯息。讯息。预防措预防措施:施:可以通过在防火墙上过滤掉可以通过在防火墙上过滤掉UDP应答消息来防范。应答消息来防范。Internet攻击机器攻击机器被攻击机器被攻击机器路由器路由器2021/8/22021/8/227274. 分布式拒绝服务攻击分布式拒绝服务攻击DDoS DDoS是攻击者控制一些数量的是攻击者控制一些数量的PC机或路由器,用这些机或路由器,用这些PC机或路由机或路由器发动器发动DoS攻击。攻击者通常采取攻击。攻击者通常采取IP地址欺骗技术地址欺骗技术。预防措施:预防措施:采用采用IDS技
54、术。技术。DDoS攻击过程如下:攻击过程如下:N 探测扫描大量主机以寻找可入侵主机目标;探测扫描大量主机以寻找可入侵主机目标;N 通过一些典型而有效的远程溢出漏洞攻击程序,获取其系统控制权;通过一些典型而有效的远程溢出漏洞攻击程序,获取其系统控制权;N 在每台入侵主机中安装攻击程序;在每台入侵主机中安装攻击程序;N 利用已入侵主机继续进行扫描和入侵。利用已入侵主机继续进行扫描和入侵。被攻击机器被攻击机器主控端主控端分布端分布端客户端客户端2021/8/22021/8/2282810.8 欺骗技术欺骗技术10.8.1 IP欺骗欺骗 IP欺骗技术就是伪造某台主机欺骗技术就是伪造某台主机IP地址的技
55、术。地址的技术。IP地址欺骗的发生主要是因为地址欺骗的发生主要是因为通信双方通信双方基于地址验证的认证策略基于地址验证的认证策略造成的。如果通信双方实施造成的。如果通信双方实施应用层认证应用层认证则能有则能有效防止这类攻击。效防止这类攻击。 TCP提供可靠传输是因为它传送出的所有字节都分配有序列号。提供可靠传输是因为它传送出的所有字节都分配有序列号。TCP的序的序列号可以看作是列号可以看作是32位的计数器,其范围为位的计数器,其范围为0232-1。而数据包的而数据包的ACK对所收到的对所收到的数据进行确认,并指出下一个期待接收的数据序列号。数据进行确认,并指出下一个期待接收的数据序列号。 由于
56、由于TCP通过滑动窗口的概念进行流量控制,而窗口由通过滑动窗口的概念进行流量控制,而窗口由16位位bit所定义,谷所定义,谷接收端接收端TCP能最大提供能最大提供65535个字节的缓冲,故利用窗口大小和第一个数据的序个字节的缓冲,故利用窗口大小和第一个数据的序列号可计算出最大可接收的数据序列号。列号可计算出最大可接收的数据序列号。 初始学列号(初始学列号(ISN)由)由tcp_init( )函数确定。函数确定。ISN每秒增加每秒增加128000,如果有,如果有连接将把计数器的数值增加连接将把计数器的数值增加64000。从而使得用于。从而使得用于ISN的的32位计数器在没有连接位计数器在没有连接
57、的情况下每的情况下每9.32小时复位一次。小时复位一次。 在在Berkeley系统,最初的序列号变量由一个常数每秒加一产生,等到这个系统,最初的序列号变量由一个常数每秒加一产生,等到这个常数一半时就开始一次连接。故如果开始了一个合法的连接,并观察到一个常数一半时就开始一次连接。故如果开始了一个合法的连接,并观察到一个ISN S在用,便可以计算有很高可信度的在用,便可以计算有很高可信度的ISN S用在下一个连接企图。用在下一个连接企图。2021/8/22021/8/22929IP欺骗步骤和防止欺骗步骤和防止 假定:假定: 目标主机已选定;目标主机已选定; 信任模式已发现。则工作过程如下:信任模式
58、已发现。则工作过程如下: 使得被信任的主机丧失工作能力,同时采样目标主机发出的使得被信任的主机丧失工作能力,同时采样目标主机发出的TCP序列号,序列号, 猜测出它的数据序列号。猜测出它的数据序列号。 伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接;伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接; 如果成功,则放置后门,以进行非授权操作。如果成功,则放置后门,以进行非授权操作。 IP欺骗步骤欺骗步骤(A)及会话的劫持过程及会话的劫持过程(B)如下如下:1. 1. 远程登录,建立会话,远程登录,建立会话,完成认证过程完成认证过程1. 1. 监听流量监听流量3. 3.
59、 劫持会话劫持会话4. 4. 迫使迫使A A下线下线A AB BZ Z(B B)(A A)Z ZA AB B时刻时刻1 1时刻时刻2 2时刻时刻4 4时刻时刻3 3 防止:防止: 抛弃基于地址的信任策略;抛弃基于地址的信任策略; 进行包过滤;进行包过滤; 使用加密使用加密方法传输;方法传输; 使用随机化的初始序列号使用随机化的初始序列号2021/8/22021/8/2303010.8.2 电子邮件欺骗电子邮件欺骗 1. 电子邮件攻击电子邮件攻击 电子邮件攻击主要表现为:电子邮件攻击主要表现为:电子邮件轰炸电子邮件轰炸和和电子邮件欺骗电子邮件欺骗。前者主要是通过向。前者主要是通过向同一信箱发送大
60、量的垃圾邮件来轰炸所在的邮件服务器;而后者则主要是一种冒同一信箱发送大量的垃圾邮件来轰炸所在的邮件服务器;而后者则主要是一种冒充行为(如冒充管理员)。充行为(如冒充管理员)。 2. 电子邮件欺骗方法电子邮件欺骗方法 执行电子邮件欺骗有三种基本方法:执行电子邮件欺骗有三种基本方法:q 相似的电子邮件地址相似的电子邮件地址q 冒充回复地址冒充回复地址q 利用电子邮件附件利用电子邮件附件q 远程联系,登录到端口远程联系,登录到端口25 欺骗者远程登录到欺骗者远程登录到SMTP服务器的端口服务器的端口25,邮件服务器使用它在互联网,邮件服务器使用它在互联网上发送邮件。攻击者通过所在的邮件服务器与目标服
61、务器联系,在上发送邮件。攻击者通过所在的邮件服务器与目标服务器联系,在25端口端口发送消息,从而实现消息转移,然后用户的邮件服务器把该消息发送给用发送消息,从而实现消息转移,然后用户的邮件服务器把该消息发送给用户。这种攻击行为欺骗性较强。户。这种攻击行为欺骗性较强。2021/8/22021/8/2313110.8.3 Web欺骗欺骗 Web欺骗是攻击者伪造某个欺骗是攻击者伪造某个WWW站点的镜像副本,使该镜像站点的入口进入站点的镜像副本,使该镜像站点的入口进入到攻击者的到攻击者的Web服务器,并经过攻击者计算机的过滤,从而达到攻击者监视目标服务器,并经过攻击者计算机的过滤,从而达到攻击者监视目
62、标的任何活动以获取有用信息的目的。的任何活动以获取有用信息的目的。 Web欺骗成功的关键是要在受攻击者和其他欺骗成功的关键是要在受攻击者和其他Web服务器之间建立攻击者的服务器之间建立攻击者的Web服务器。其欺骗产生的根源在于服务器。其欺骗产生的根源在于Internet的开放性,即任何人都可以建立自的开放性,即任何人都可以建立自己的己的Web站点,域名可以自由注册,而清楚站点,域名可以自由注册,而清楚Web的运行规则的人却是少数。的运行规则的人却是少数。Web欺骗的手段与方法如下:欺骗的手段与方法如下:q 基本的基本的Web欺骗:如注册非常有欺骗性的域名等;欺骗:如注册非常有欺骗性的域名等;q
63、 DNS域名重定向:通过改变域名重定向:通过改变DNS服务器的数据库,从而把网站域名重定服务器的数据库,从而把网站域名重定向到另一个网站上,从而实现劫持。向到另一个网站上,从而实现劫持。q URL重写:攻击者把自己的信息插入到通信流中。通常是通过把网络流重写:攻击者把自己的信息插入到通信流中。通常是通过把网络流量转移到攻击者控制的另一个站点上来实现。量转移到攻击者控制的另一个站点上来实现。q 站点欺骗技术:主要是指伪造合法站点的欺骗行为。站点欺骗技术:主要是指伪造合法站点的欺骗行为。q 诱饵技术:即网络钓鱼。它是将电子邮件欺骗与诱饵技术:即网络钓鱼。它是将电子邮件欺骗与Web欺骗相结合的技术。
64、欺骗相结合的技术。即攻击者先冒充某(例如银行)网站给用户发送电子邮件,诱使其访问,即攻击者先冒充某(例如银行)网站给用户发送电子邮件,诱使其访问,从而实现其欺骗的目的。从而实现其欺骗的目的。2021/8/22021/8/2323210.9 网络应急响应网络应急响应10.9.1 网络安全事件及处理网络安全事件及处理 网络安全事件是指违反明显的或隐含的安全政策的一次活动,也就是指对网络信息系统的正常运作有负面影响的相关活动。(来源:美国计算机紧急事件反应小组协调中心CERT/CC) 典型的网络安全事件包括以下类型:试图得到访问系统或其数据的授权;不期望的系统崩溃或拒绝服务;非授权处理或存储系统的数
65、据;对硬件、固件、软件属性作违反所有者意愿的更改。 网络安全事件产生的原因:多种多样。 网络安全事件按造成后果的严重程度可以划分为不同的安全等级。同时,网络安全事件按需要处理的紧急程度可以划分为不同的等级,如特级,紧急,一般等等。网络安全事件的处理流程如下:发现网络发现网络安全事件安全事件确定影响范围,确定影响范围,评估可能的损失评估可能的损失执行预定执行预定的应急措施的应急措施安全事件安全事件通报、求援通报、求援2021/8/22021/8/2333310.9.2 CERT/CC组织架构及运行机制组织架构及运行机制 CERT/CC是目前网络安全方面最权威的组织,提供最新的网络安全漏洞及解决方
66、案。现在许多组织都有了有了CERT/CC,目前各国的CERT/CC主要提供以下几种基本服务:q 安全事件的热线响应;安全事件的热线响应;q 检查入侵来源;检查入侵来源;q 恢复系统正常工作;恢复系统正常工作;q 事故分析;事故分析;q 发布安全警报、安全公告、安全建议;发布安全警报、安全公告、安全建议;q 咨询:解决用户安全方面的求助咨询:解决用户安全方面的求助q 风险评估;风险评估;q 安全教育培训;安全教育培训;q 协助其他组织成立自己的协助其他组织成立自己的CERT,建立网络应急响应与救援队伍,建立网络应急响应与救援队伍2021/8/22021/8/23434CERT/CC组织架构与运行
67、流程如下图所示:组织架构与运行流程如下图所示:事件处理组事件处理组安全组织安全组织技术研发组技术研发组教育培训组教育培训组宣传组宣传组媒体警方媒体警方用户网络用户网络咨询组咨询组数据库数据库咨 询咨 询技术支援问 题解决方案合 作合 作系统维护提供资料应急救援事件报告Web站台 更更 新新 咨咨 询询 培培 训训 信信 息息安安 全全 警警 报报2021/8/22021/8/2353510.9.3 建立统一的信息网络安全保障体系建立统一的信息网络安全保障体系 建立统一的信息网络安全保障体系需要把各类安全事件处理组织有机地协调起来,组建一个宏观的协调的安全保障网络。按分属的组织及其性质的不同,现
68、有安全事件应急响应可以划分为六种类型:协调中心专项中心行业服务中心厂商支持中心企业或政府组织的应急中心商业化、社会化的应急与响应中心国际或国内组织,主要负责协调,国际或国内组织,主要负责协调,同时也提供一定的服务同时也提供一定的服务充分调动国内专项(如病毒)充分调动国内专项(如病毒)防御力量,快速发现疫情,防御力量,快速发现疫情,快速反应,快速处理快速反应,快速处理组件自己的网络安全防范体组件自己的网络安全防范体系和网络安全防范队伍系和网络安全防范队伍主要为本公司产品的安全主要为本公司产品的安全问题提供响应和支持问题提供响应和支持主要为企业或政府组织主要为企业或政府组织内部出现的安全问题提内部出现的安全问题提供响应和救援供响应和救援面向全社会提供面向全社会提供商业化的安全救商业化的安全救援服务援服务2021/8/22021/8/23636部分资料从网络收集整理而来,供大家参考,感谢您的关注!
