互联网安全攻防分析.ppt

互联网安全攻防案例分析与互联网安全攻防案例分析与 网络安全技术网络安全技术 主讲：郭亮主讲：郭亮 安全服务部安全服务部 中国电信集团系统集成公司中国电信集团系统集成公司 了解互联网安全现状，增强防范意识； 了解目前互联网常见的安全攻击技术手段， 提高安全事件判别能力； 了解互联网安全管理与维护的定义和内容； 掌握安全管理与维护的基本能力，能提升 日常性的管理和维护工作水平。 学习目标 议程 u安全攻防案例分析 u当前黑客与网络安全事件的特点 u网络安全事件攻防案例分析 u常见网络安全技术 u全网防御技术 u黑客侦查与追踪技术 uDDoS防御技术 uSQL 注入/XSS 跨站脚本 u日常安全维护 u应急处理方法 当前黑客与网络安全事件 的特点 u黑客可以轻易地施行跨网、跨国攻击 u复合趋势 u攻击往往通过一级或者多级跳板进行 u大规模事件出现日益频繁 u传播速度越来越快 u对终端的攻击比率越来越高 u攻击事件的破坏程度在增加 当前黑客与网络安全事件 的特点 u黑客可以轻易地施行跨网、跨国攻击 u攻击、入侵工具和工具包数量大量增加，可轻 易从互联网上获取，使用操作更加简单方便 u具有安全知识和”专业”的人员的数量在增加 u复合趋势 u黑客、病毒和垃圾邮件技术整合在一个蠕虫当 中 u黑客组合攻击开始出现 u攻击往往通过一级或者多级跳板进行 u黑客技术水平在增强 u有组织、有计划犯罪事件再增加，防止追查 当前黑客与网络安全事件 的特点 u大规模事件出现日益频繁 u大规模网络蠕虫事件（“冲击波”、“震荡波”、 红色代码F变种等） u大量垃圾邮件的出现 u传播速度越来越快 u利用系统漏洞，进行自动扫描 u由于浏览网页或查看E-Mail而受到感染或攻击 uDDoS攻击 当前黑客与网络安全事件 的特点 u对终端的攻击比率越来越高 u网上游戏、网上银行和电子商务的增加 u针对终端设计的黑客工具和木马 u补丁与升级不够及时 u缺乏安全防范意识 u攻击事件的破坏程度在增加 典型网络安全案件分析 木马与“网银大盗” 匿名电子邮件转发 溢出攻击与DCOM RPC漏洞 NetBios与IPC ARP欺骗 DDoS攻击 SQL注入 木马与“网银大盗” u冰河 国产木马，有G_Client.exe,G_server.exe二个文件。 客户端界面 木马与“网银大盗” uu“ “网银大盗网银大盗” ” 网上银行构架 木马与“网银大盗” uu“ “网银大盗网银大盗” ” u网银大盗II(Troj_Dingxa.A ) u现象 盗取网上银行的帐号、密码、验证码等。盗取网上银行的帐号、密码、验证码等。 生成文件：%System%下，svch0stexe 修改注册表： HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsCurrent VersionRun下创建： “svch0st.exe“ = “%System%svch0st.exe“ “taskmgr.exe“ = “%System%svch0st.exe“ 木马与“网银大盗” u网银大盗II(Troj_Dingxa.A ) u原理 木马程序 ，非主动传播，主要通过用户在浏 览某些网页或点击一些不明连接及打开不明邮件附 件等操作时，间接感染用户电脑 u解决办法 1、终止病毒进程“svch0st.exe“ 2、注册表修复 3、删除病毒释放的文件“svch0st.exe“ 4、配置防火墙和边界路由器 木马与“网银大盗” uu“ “网银大盗网银大盗” ”案例案例 多媒体木马 Internet 种了木马的电脑 传送信息 黑客 摄像头 语音设备 Google Search “inurl:“ViewerFrame?Mode=“” . 1/ViewerFrame?Mode=Motion drop%20table%20dbappsecurity_new- IDS 交换机 防火墙 Web服务器 DB服务器 3 Select * from product where id =97 Drop table dbappsecurity_new 1 AK47M188DBS003 typeDevicenameDeviceNo 4 命令已执行成功 常见网络安全技术 uu全网防御技术全网防御技术 uu黑客侦查与追踪技术黑客侦查与追踪技术 uuDDoSDDoS防御技术防御技术 uu应用层攻击防御（应用层攻击防御（SQL SQL 注入、注入、XSSXSS脚本）脚本） 黑客侦查与追踪技术 uu黑客侦查与追踪系统黑客侦查与追踪系统 黑客侦查与追踪系统 u系统组成 1、现场勘查分析 2、服务器监控 3、远程追踪 分析控制软件 服务监控软件远程追踪探头 黑客侦查与追踪系统 u原理 黑客侦查与追踪系统 u远程追踪 DDoS攻击防御技术 u当前DDoS防御技术 uSYN代理 uSYN网关 uDDoS防御网关 DDoS攻击防御方法 uSYN中继（代理） u工作原理 Host FWFW serverserver SYN中继（代理） 1) H1) HFW FW 2) H2) H SYN/ACKSYN/ACK FWFW 3) H3) H ACKACK FWFW FWFW S S 4)4) FWFW S S FWFW S S SYNSYN SYN/ACKSYN/ACK ACKACK 5)5) 6)6) SYNSYN SYN中继（代理） u存在问题 FWFW必须建立一个很大的链表来储存所有必须建立一个很大的链表来储存所有SYNSYN 请求，当有大量的请求，当有大量的SYNSYN攻击包到来，攻击包到来，FWFW一样会崩一样会崩 溃。溃。 保护了服务器，堵死了防火墙保护了服务器，堵死了防火墙 DDoS攻击防御方法 uSYN网关 u工作原理 Host FWFW serverserver SYN网关 H H FWFW S S FWFW S S 1 1） 2 2） SYNSYNSYNSYN SYN/ACKSYN/ACK H H FWFW S S 3 3） H H FWFW S S 4 4） FWFW S S 5 5） SYN/ACKSYN/ACK ACKACK ACKACKACKACK RSTRST SYN网关 快速将连接试呼从快速将连接试呼从S S待办队列移开，避免服务器待办队列移开，避免服务器 待办队待办队 列堵塞列堵塞 定时器超时后，向定时器超时后，向S S发送连接发送连接RSTRST（复位）取消（复位）取消 。 u存在问题 A A、占用服务器缓冲、占用服务器缓冲 B B、防火墙同样要储存、防火墙同样要储存SYNSYN请求链接，攻击强烈请求链接，攻击强烈 时，同样会堵死防火墙时，同样会堵死防火墙 DDoS防御技术 uu防火墙、防火墙、DDoSDDoS防御网关对抗防御网关对抗DDOSDDOS攻击的三层攻击的三层 防御措施防御措施 （一）（一）连接指纹鉴别连接指纹鉴别 （二）自适应（二）自适应“催命”算法 （三）恶性服务请求攻击的防御恶性服务请求攻击的防御 连接指纹鉴别工作原理连接指纹鉴别工作原理 Host FWFW serverserver 0 0积累识别技术积累识别技术, ,属国际专利属国际专利 连接指纹鉴别工作原理连接指纹鉴别工作原理 H H FWFW 1 1、工作原理、工作原理 H H FWFW H H FWFW FWFW H H FWFW H H SYN/ACKSYN/ACK FWFW H H SYNSYN SYN/SYN/ACK(snACK(sn) ) ACK(SN+1)ACK(SN+1) SYNSYN ACKACK (SN(SN指纹验证指纹验证) ) 连接指纹鉴别工作原理连接指纹鉴别工作原理 A A、SNSN序列号形成算法序列号形成算法 SN=f SN=f （源、目标（源、目标IPIP，源、目标端口，其它信息，秘密，源、目标端口，其它信息，秘密 字）字） B B、只有当主机、只有当主机H H回答包所携带的回答包所携带的SNSN号经验号经验 证合法后，才须建立连接代理。证合法后，才须建立连接代理。 2 2、优点、优点 由于在未确认由于在未确认SYNSYN请求的合法性前，无须建立请求的合法性前，无须建立 连接队列，所以这种方法具备以下优点：连接队列，所以这种方法具备以下优点： A A、防火墙无须耗费内存资源、防火墙无须耗费内存资源 B B、没有缓冲溢出的危险、没有缓冲溢出的危险 C C、在、在NATNAT模式下不占用防火墙的连接数模式下不占用防火墙的连接数 自适应“催命”算法 u针对性 针对通过高层编程（固定）进行的攻击针对通过高层编程（固定）进行的攻击 ，如，如socketsocket编程中的编程中的“ “connect”connect”函数。这种攻击也函数。这种攻击也 能通过防火墙的指纹合法性认证而建立起连接。但能通过防火墙的指纹合法性认证而建立起连接。但 该攻击的效率较低，同时占用黑客大量主机资源。该攻击的效率较低，同时占用黑客大量主机资源。 u工作原理 防火墙中建立每条连接都有一个连接超时值防火墙中建立每条连接都有一个连接超时值 AgeAge（又叫生命期），一般每半秒钟减一，防火墙（又叫生命期），一般每半秒钟减一，防火墙 会监控系统建立的连接数量，按一定算法算出（加会监控系统建立的连接数量，按一定算法算出（加 快了）的递减步长快了）的递减步长STEPSTEP，降低某些可疑连接的生，降低某些可疑连接的生 命期，加快这些连接超时。命期，加快这些连接超时。 恶性服务请求攻击的防御 uu针对性针对性 一般一般SQLSQL数据库访问会占用服务器较多资源，黑客会分析数据库访问会占用服务器较多资源，黑客会分析 webweb页面上耗费资源的分支请求，编写程序不停调用该分支页面上耗费资源的分支请求，编写程序不停调用该分支 请求，造成请求，造成SQLSQL服务器响应不过来。服务器响应不过来。 uu工作原理工作原理 给管理员一个配置接口，管理员自己可以配置一些针对性给管理员一个配置接口，管理员自己可以配置一些针对性 统计策略，当在一定时间内某统计策略，当在一定时间内某IPIP使用某使用某SQLSQL语句数量超过某语句数量超过某 一阀值时，防火墙会拒绝该一阀值时，防火墙会拒绝该IPIP的访问。的访问。 其它措施 uu对于一些固定对于一些固定IPIP的恶性攻击防火墙会对该的恶性攻击防火墙会对该IPIP进行进行 自动锁定，超过一定时间，一般为自动锁定，超过一定时间，一般为180180秒后再进行秒后再进行 开锁。开锁。 某集团内网 黑客 FWFW serverserver DDOS网关 应用层攻击防御 vv WEBWEB应用安全概述应用安全概述 针对针对WEBWEB攻击攻击 风险的产生风险的产生 跨站脚本攻击跨站脚本攻击 SQLSQL注入攻击注入攻击 针对WEB的攻击 Web Server 身份认证 数据字典 权限/角色 敏感信息 系统文件获取 缓冲区溢出 DOS攻击 DB Server 应用层攻击应用层攻击普通防火墙 普通防火墙+ IDS + IDS 束手无策束手无策 防火墙 Web风险的产生 攻击结果 泄漏客户敏感数据，例如网银 账号，手机通话记录等。 篡改数据，发布虚假信息或者 进行交易欺诈。 使WEB网站成为钓鱼攻击的平 台，将攻击扩大到所有访问WEB 应用的用户。例如：网银成为了 钓鱼的场所，那么其危害和影响 是不言而喻的。 拒绝服务，利用应用的弱点， 造成拒绝服务，影响业务的正常 运作 风险的产生 80%基于WEB的应用或多或少 都存在安全问题，其中很大一部 分是相当严重的问题 防火墙、IDS或者使用SSL协议 对此毫无用处 不仅仅是开放在Internet的Web 存在风险 更多的 ERP/CRM/MSS 系统也 都使用了Web应用程序 跨站脚本攻击简介(1) vv 由于由于WEBWEB应用程序没有对用户的输入进行严格的过滤和应用程序没有对用户的输入进行严格的过滤和 转换，就导致在返回页面中可能嵌入恶意代码。远程攻击者转换，就导致在返回页面中可能嵌入恶意代码。远程攻击者 可以利用这些漏洞在用户浏览器会话中执行任意可以利用这些漏洞在用户浏览器会话中执行任意HTMLHTML和脚和脚 本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站 来显现，因此这种攻击能在一定程度上隐藏身份来显现，因此这种攻击能在一定程度上隐藏身份 跨站脚本攻击简介(2) vv 什么是跨站脚本攻击什么是跨站脚本攻击 vv XSSXSS又叫又叫CSS (Cross Site Script) CSS (Cross Site Script) ，跨站脚本攻击。它指，跨站脚本攻击。它指 的是恶意攻击者往的是恶意攻击者往WebWeb页面里插入恶意页面里插入恶意htmlhtml代码，当用户浏代码，当用户浏 览该页之时，嵌入其中览该页之时，嵌入其中WebWeb里面的里面的htmlhtml代码会被执行，从而代码会被执行，从而 达到恶意用户的特殊目的。达到恶意用户的特殊目的。 vv XSSXSS属于被动式的攻击，因为其被动且不好利用，所以许属于被动式的攻击，因为其被动且不好利用，所以许 多人常呼略其危害性。多人常呼略其危害性。 跨站脚本攻击简介(3) vv 跨站攻击的危害跨站攻击的危害 vv 为了搜集用户信息，攻击者通常会在有漏洞的程序中插为了搜集用户信息，攻击者通常会在有漏洞的程序中插 入入 JavaScriptJavaScript、VBScriptVBScript、 ActiveXActiveX或或FlashFlash以欺骗用户以欺骗用户 vv 窃取窃取 Cookie Cookie vv 劫持帐户劫持帐户 vv 执行执行 ActiveX ActiveX vv 执行执行 Flash Flash 内容内容 vv 强迫您下载软件强迫您下载软件 vv 对硬盘和数据采取操作对硬盘和数据采取操作 直接影响：利用该漏洞可以欺骗信任此网站的用户去执 行任意的恶意代码或者转向其他恶意URL。 潜在影响：导致网站用户对网站的信任度降低。 安全 风险 跨站脚本攻击简介(4) vv 由于由于XSSXSS漏洞很容易在大型网站中发现，在黑客圈内它漏洞很容易在大型网站中发现，在黑客圈内它 非常流行。非常流行。FBI.govFBI.gov、CNN.comCNN.com、TT、EbayEbay、 YahooYahoo、AppleApple、MicrosoftMicrosoft、ZdnetZdnet、WiredWired、NewsbytesNewsbytes都都 有这样那样的有这样那样的XSSXSS漏洞。漏洞。 vv 在商业产品中，平均每个月能够发现在商业产品中，平均每个月能够发现10-2510-25个个XSSXSS漏洞漏洞 vv 常见存在漏洞的页面常见存在漏洞的页面 vv 搜索引擎返回结果页面根据用户输入。搜索引擎返回结果页面根据用户输入。 vv 登录页，登录页， 存储用户帐户在数据库、存储用户帐户在数据库、 CookieCookie等和以后写等和以后写 入用户名出客户端。入用户名出客户端。 vv Web Web 表单处理信用卡信息。表单处理信用卡信息。 SQL注入攻击简介 技术 概述 就攻击技术本质而言，它利用的工具是SQL的语法，针对的是 应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用 程序中插入一些SQL语句时，SQL Injection攻击就发生了。 实际上，SQL Injection攻击是存在于常见的多连接的应用程 序中的一种漏洞，攻击者通过在应用程序预先定义好的SQL语 句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授 权的任意查询,篡改和命令执行。 就风险而言，SQL Injection攻击也是位居前列，和缓 冲区溢出漏洞相比，其优势在于能够轻易的绕过防火墙 直接访问数据库，甚至能够获得数据库所在的服务器的 系统权限。 在Web应用漏洞中，SQL Injection 漏洞的风险要高过 其他所有的漏洞。 安全 风险 SQL注入攻击简介 攻击特点 攻击的广泛性：由于其利用的 是SQL语法,使得攻击普遍存在 ； 攻击代码的多样性：由于各种 数据库软件及应用程序有其自 身的特点，实际的攻击代码可 能不尽相同； 影响范围 数据库：MS-Sql Server、 Oracle、Mysql、DB2、 Informix等所有基于SQL语言 标准的数据库软件； 应用程序：ASP、PHP，JSP、 CGI、CFM等所有应用程序； SQL注入攻击(3) Web服务器 身份认证信息 权限/角色 敏感应用数据 系统级文件存取 缓冲区溢出 DOS攻击 数据字典 DB服务器 SQL注入攻击示意 WEB应用深度防御 v 实时告警 1、建立整体监控管理系统 2、关注你负责的系统 把所管理的网站系统（或者监控系统）设为浏览 器的首页，每天至少看三次你所管理的系统，残酷地 说，管理员没有节假日，因为节假日恰恰是攻击的高 发时段。 日常安全维护 3、定期备备份数据库库和供下载载的文档 定期备份数据库和上传的文件，如果不是很经 常更新，访问量不大，大概每周备份一次，反之每 天一次，不要怕麻烦，这个制度很有必要。 日常安全维护 4、经常用FTP登陆，查看上传目录下的文件格式 上传目录下不应该有asp,cer,cdx,com,exe,bat之类的文 件. 一般情况下，允许上传的文件格式有： 图片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCX OFFICE文档：DOC,XLS,PPT,MDB 文本文件：TXT,RTF 压缩文件：RAR,ZIP,ISO 日常安全维护 5、掌握最新的补丁以及漏洞信息 经常关注官方网站的补丁发布，及时修改。 这里推荐一个带漏洞搜索引擎的漏洞公布网址： / 日常安全维护 6、设设置足够够强壮的密码码 管理的帐号密码应与管理员个人常用的不同， 以防他人从别处得到网站的密码。如果有多个管理 员，要保证所有人的密码都是“健壮的”，即不能像 “123456”这样容易猜测，必须是数字、字母和符号 的组合。这点很重要，不然所有的安全措施都是徒 劳！ 日常安全维护 日常安全维护 一、部署专用网络安全设备: 防火墙 漏洞扫描 入侵检 测系统 Anti DDoS 、 流量监控 二、网站系统的专用保护方法 v 本地和远程：本地监控、远程建立统计监控平台； v 定时和触发：根据等级设定触发时间； v 比较方法 ：文件大小、数字签名； v 恢复方式：本地恢复、远程恢复； v