互联网安全攻防分析和网络安全技术-中国电信系统集成

互联网安全攻防案例分析与 网络安全技术 中国电信集团系统集成公司 了解互联网安全现状，增强防范意识； 了解目前互联网常见的安全攻击技术手段， 提高安全事件判别能力； 了解互联网安全管理与维护的定义和内容； 掌握安全管理与维护的基本能力，能提升 日常性的管理和维护工作水平。 学习目标 议程 安全攻防案例分析 当前黑客与网络安全事件的特点 网络安全事件攻防案例分析 常见网络安全技术 全网防御技术 黑客侦查与追踪技术 入 /站脚本 日常安全维护 应急处理方法 当前黑客与网络安全事件的特点 黑客可以轻易地施行跨网、跨国攻击 复合趋势 攻击往往通过一级或者多级跳板进行 大规模事件出现日益频繁 传播速度越来越快 对终端的攻击比率越来越高 攻击事件的破坏程度在增加 当前黑客与网络安全事件的特点 黑客可以轻易地施行跨网、跨国攻击 攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便 具有安全知识和 ”专业” 的人员的数量在增加 复合趋势 黑客、病毒和垃圾邮件技术整合在一个蠕虫当中 黑客组合攻击开始出现 攻击往往通过一级或者多级跳板进行 黑客技术水平在增强 有组织、有计划犯罪事件再增加，防止追查 当前黑客与网络安全事件的特点 大规模事件出现日益频繁 大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码 大量垃圾邮件的出现 传播速度越来越快 利用系统漏洞，进行自动扫描 由于浏览网页或查看 当前黑客与网络安全事件的特点 对终端的攻击比率越来越高 网上游戏、网上银行和电子商务的增加 针对终端设计的黑客工具和木马 补丁与升级不够及时 缺乏安全防范意识 攻击事件的破坏程度在增加 典型网络安全案件分析 木马与“网银大盗” 匿名电子邮件转发 溢出攻击与 木马与 “ 网银大盗 ” 冰河 国产木马，有 户端界面 木马与 “ 网银大盗 ” “ 网银大盗 ” 网上银行构架 木马与 “ 网银大盗 ” “ 网银大盗 ” 网银大盗 现象 盗取网上银行的帐号、密码、验证码等。 生成文件： %， 修改注册表： = % = %木马与 “ 网银大盗 ” 网银大盗 原理 木马 程序 ，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑 解决办法 1、终止病毒进程 2、注册表修复 3、删除病毒释放的文件 4、配置防火墙和边界路由器 木马与 “ 网银大盗 ” “ 网银大盗 ” 案例 多媒体木马 了木马的电脑 传送信息 黑客 摄像头 语音设备 “ ” . 漏洞名称： 原理 匿名电子邮件转发 案例 深圳市二十多个邮件服务器 数据中心 台湾 日本 匿名电子邮件转发 造成危害 网络堵塞 给利用于反动宣传 正常邮件服务器被 解决方法 打补丁 关闭该服务或端口 25 , 110 溢出攻击与 溢出攻击原理 溢出攻击与 洞原理 溢出攻击与 造成的危害 邮件蠕虫 :现象 通过电子邮件附件传播，设定向 起 原理 骗 1. 址解析协议 1） 请求信息：包含自己的 件地址和请求解析的 2） 应答信息：包含发来的 骗 2、原理 骗 3. 防范 交换机控制 路由器隔离 防火墙与代理服务器 原理 死亡之 of 泪滴（ 常用 独裁者 5 换机 防火墙 3 97 1 4 188 常访问流程 5 80端口 2 ; 00换机 防火墙 3 97 188 命令已执行成功 常见网络安全技术 全网防御技术 黑客侦查与追踪技术 应用层攻击防御（ 入、 黑客侦查与追踪技术 黑客侦查与追踪系统 黑客侦查与追踪系统 系统组成 1、现场勘查分析 2、服务器监控 3、远程追踪 分析控制软件 服务监控软件 远程追踪探头 黑客侦查与追踪系统 原理 黑客侦查与追踪系统 远程追踪 当前 理） 工作原理 W 理） 1) H ) H W 3) H W 4) ) 6) 理） 存在问题 有大量的 保护了服务器，堵死了防火墙 工作原理 W H 1） 2） 3） H 4） 5） 快速将连接试呼从 免服务器待办队 列堵塞 定时器超时后，向 位）取消。 存在问题 A、占用服务器缓冲 B、防火墙同样要储存 击强烈时，同样会堵死防火墙 防火墙、 （一） 连接指纹鉴别 （二）自适应 “催命”算法 （三） 恶性服务请求攻击的防御 连接指纹鉴别工作原理 W 积累识别技术 ,属国际专利 连接指纹鉴别工作原理 H 、工作原理 H W H W H CK(N+1) 连接指纹鉴别工作原理 A、 SN=f （源、目标 、目标端口，其它信息，秘密字） B、只有当主机 须建立连接代理。 2、优点 由于在未确认 须建立连接队列，所以这种方法具备以下优点： A、防火墙无须耗费内存资源 B、没有缓冲溢出的危险 C、在 自适应 “ 催命 ” 算法 针对性 针对通过高层编程（固定）进行的攻击，如 函数。这种攻击也能通过防火墙的指纹合法性认证而建立起连接。但该攻击的效率较低，同时占用黑客大量主机资源。 工作原理 防火墙中建立每条连接都有一个连接超时值 叫生命期），一般每半秒钟减一，防火墙会监控系统建立的连接数量，按一定算法算出（加快了）的递减步长 低某些可疑连接的生命期，加快这些连接超时。 恶性服务请求攻击的防御 针对性 一般 客会分析写程序不停调用该分支请求，造成 工作原理 给管理员一个配置接口，管理员自己可以配置一些针对性统计策略，当在一定时间内某 火墙会拒绝该 其它措施 对于一些固定 过一定时间，一般为 180秒后再进行开锁。 某集团内网 黑客 FW 应用层攻击防御 针对 风险的产生 跨站脚本攻击 针对 份认证 数据字典 权限/角色 敏感信息 系统文件获取 缓冲区溢出 B 用层攻击 普通防火墙 + 束手无策 防火墙 攻击结果 泄漏客户敏感数据，例如网银账号，手机通话记录等。 篡改数据，发布虚假信息或者进行交易欺诈。 使 攻击扩大到所有访问 如：网银成为了钓鱼的场所，那么其危害和影响是不言而喻的。 拒绝服务，利用应用的弱点，造成拒绝服务，影响业务的正常运作 风险的产生 80%基于 中很大一部分是相当严重的问题 防火墙、 不仅仅是开放在 更多的 统也都使用了 跨站脚本攻击简介 (1) 由于 导致在返回页面中可能嵌入恶意代码。远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意 站脚本执行漏洞的攻击效果需要借助第三方网站来显现，因此这种攻击能在一定程度上隐藏身份 跨站脚本攻击简介 (2) 什么是跨站脚本攻击 (，跨站脚本攻击。它指的是恶意攻击者往 用户浏览该页之时，嵌入其中 而达到恶意用户的特殊目的。 为其被动且不好利用，所以许多人常呼略其危害性。 跨站脚本攻击简介 (3) 跨站攻击的危害 为了搜集用户信息，攻击者通常会在有漏洞的程序中插入 窃取 劫持帐户 执行 执行 容 强迫您下载软件 对硬盘和数据采取操作 直接影响：利用该漏洞可以欺骗信任此网站的用户去执行任意的恶意代码或者转向其他恶意 潜在影响：导致网站用户对网站的信任度降低。 安全 风险 跨站脚本攻击简介 (4) 由于 黑客圈内它非常流行。 在商业产品中，平均每个月能够发现 10常见存在漏洞的页面 搜索引擎返回结果页面根据用户输入。 登录页， 存储用户帐户在数据库、 单处理信用卡信息。 技术 概述 就攻击技术本质而言，它利用的工具是 对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些 实际上， 击者通过在应用程序预先定义好的 骗数据库服务器执行非授权的任意查询 ,篡改和命令执行。 就风险而言， 缓冲区溢出漏洞相比，其优势在于能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的系统权限。 在 洞的风险要高过其他所有的漏洞。 安全 风险 攻击特点 攻击的广泛性：由于其利用的是 使得攻击普遍存在； 攻击代码的多样性：由于各种数据库软件及应用程序有其自身的特点，实际的攻击代码可能不尽相同； 影响范围 数据库： 应用程序： 3) 身份认证信息 权限 /角色 敏感应用数据 系统级文件存取 缓冲区溢出 数据字典 实时告警 1、 建立整体监控管理系统 2、 关注你负责的系统 把所管理的网站系统 （ 或者监控系统 ） 设为浏览器的首页 ， 每天至少看三次你所管理的系统 ， 残酷地说 ， 管理员没有节假日 ， 因为节假日恰恰是攻击的高发时段 。 日常安全维护 3、 定期备份数据库和供下载的文档 定期备份数据库和上传的文件 ， 如果不是很经常更新 ， 访问量不大 ， 大概每周备份一次 ， 反之每天一次 ， 不要怕麻烦 ， 这个制度很有必要 。 日常安全维护 4、 经常用 查看上传目录下的文件格式 上传目录下不应该有 一般情况下 ， 允许上传的文件格式有： 图片文件： 文本文件： 压缩文件： 常安全维护 5、掌握最新的补丁以及漏洞信息 经常关注官方网站的补丁发布，及时修改。 这里推荐一个带漏洞搜索引擎的漏洞公布网址： 、 设置足够强壮的密码 管理的帐号密码应与管理员个人常用的不同 ，以防他人从别处得到网站的密码 。 如果有多个管理员 ，要保证所有人的密码都是 “ 健壮的 ” ， 即不能像“ 123456” 这样容易猜测 ， 必须是数字 、 字母和符号的组合 。 这点很重要 ， 不然所有的安全措施都是徒劳 ！ 日常安全维护 日常安全维护 一、部署专用网络安全设备 : 防火墙 漏洞扫描 入侵检测系统 流量监控 二、网站系统的专用保护方法 本地和远程：本地监控、远程建立统计监控平台； 定时和触发：根据等级设定触发时间； 比较方法 ：文件大小、数字签名； 恢复方式：本地恢复、远程恢复； 备份库的安全 ：隐藏备份库； 三、网站保护的缺陷 保护软件通常都是针对静态页面而 设计 ，而现在动态页面占据的范围越来越大，尽管本地监测方式可以检测脚本文件，但对脚本文件使用的数据库却无能为力。 应急处理方法 应急事件处理 四 步曲 1、先找专家 2、立刻恢复 3、分析源头 4、修补漏洞 1、先找专家 a、联系专业安全服务单位 b、联系专业安全组织 2、立刻恢复 用备份文件替换被篡改的文件，同时注意保存证据 下载被黑的网站以保存相关证据。然后用平时备份的资 料替代被篡改的数据，及时恢复系统功能，最大限度降低不良影响。 （主要指网站系统） 应急处理方法 3、分析源头 查看监控系统的分析报告，事件终端设备 日志。 4、修补漏洞 根据发现的问题， 修补漏洞， 一定要记得事后加强监控。 应急处理方法 、文件时间一致原则 简单的说就是保持大部分文件的上传时间一致（数据库之类频繁读写的文件除外）。具体做法是一次上传所有文件，这里建议就算修改了一个文件也重新上传一下所有网页，这样做主要是方便查找木马。 应急处理方法 、文件对比法 这里介绍