安全攻防简介-培训

安全攻防简介,培训,目录,常见的黑客攻击手段介绍,2,常见的防御手段介绍,3,安全事件响应处理介绍,黑客究竟是什么？,黑客起源的背景,起源地：美国精神支柱：对技术的渴求对自由的渴求历史背景：越战与反战活动马丁路德金与自由嬉皮士与非主流文化电话飞客与计算机革命,凯文米特尼克是美国20世纪最著名的黑客之一，他是社会工程学的创始人1979年他和他的伙伴侵入了北美空防指挥部。1983年的电影战争游戏演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战。,黑客(hacker),最开始，黑客(hacker)这个词只是指那些可以随心所欲编写计算机程序实现自己意图的计算机高手，没有任何贬义。骇客白客灰客红客,中国的“黑客文化”,中国缺乏欧美抚育黑客文化的土壤缺少庞大的中产阶层缺少丰富的技术积累中国的黑客文化更多带有“侠”的色彩侠之大者，为国为民侠之小者，除暴安良,黑客特殊的语言,例如：3v3ry0n3kn0wzwh3ny0uh4ckaw3bp4g3y0uh4v3t0us3h4ck3rt4lkEveryoneknowswhenyouhackawebpageyouhaveTousehackertalk,中国“黑客”重要历史事件,1998年印尼事件1999年南联盟事件中美五一黑客大战事件,黑客攻击一般过程,黑客工具：数量越来越多，而且越来越易用，并且其造成的影响也越来越大。黑客的知识技能：正因为以上工具的易用性，对于黑客入侵所需要的知识技能也越来越低。漏洞被利用的时间越来越短，目前，宣布发现软件安全漏洞和利用这个安全漏洞的时间从三年前的185天缩短到了1天。Trend公司,黑客工具越来越多,攻击者技能要求越来越低,安全攻击特点和趋势(1),从展示、炫耀技巧到以追求经济利益为目的如利用虚假网站进行的网络钓鱼，盗取上网用户银行帐号，进而窃取资金；在普通用户的上网终端中植入控制软件，用于“监听”用户行为，并用来作为攻击重要目标的跳板，成为网络犯罪事件的牺牲品、替罪羊；,安全攻击特点和趋势(2),内部工作人员、第三方技术支持人员利用对内部信息的了解、拥有的权限以及业务流程漏洞，实施信息安全犯罪。,安全攻击特点和趋势(3),攻击方法及技术趋势(4),高,低,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,回话劫持,擦除痕迹,臭探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www攻击,攻击者,入侵者技术,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS攻击,SQL注入,Googlehacking,2005,常见的攻击手法,物理攻击利用网络系统漏洞暴力破解和网络嗅探特洛伊木马蠕虫病毒拒绝服务攻击社会工程学更多新的攻击技术,物理攻击,线路窃听电磁泄漏硬件损坏绕过门禁打开机箱，放电清除CMOS水、火、雷、地震,利用网络系统漏洞,系统漏洞有可能是操作系统本身所有的，如windows2000、UNIX等都有数量不等的漏洞，也有可能是由于管理的疏忽而造成的。这些漏洞包括著名的UniCODE漏洞、WebDAV溢出漏洞以及最新的Server服务溢出漏洞等等。系统本身的漏洞，可以安装软件补丁；另外网管也需要仔细工作，尽量避免因疏忽而使他人有机可乘。,中美黑客大战介绍,事件背景和经过4.1撞机事件为导火线四月初，美国黑客组织对国内站进行攻击，约300左右的站点页面被修改4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道，评论，中旬结束大战,美国黑客更改的网页,国内黑客组织更改的页面,这次事件中被利用的典型漏洞,暴力破解和网络嗅探,在互联网上，使用密码是最常见并且最重要的安全保护方法，用户时时刻刻都需要输入密码进行身份校验。现在的密码保护手段大都认密码不认人，因此，取得密码也是黑客进行攻击的重要手段。取得密码也还有好几种方法，一种是对网络上的数据进行监听。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。还有，利用工具进行解密密码。用户在进行密码设置时一定要将其设置得复杂，另外应该经常更换密码，这样使其被破解的可能性又下降了不少。,1999年1月，EFF用DESCrack（内含1856块芯片）和网络分布计算，在DESCracker的攻击下，仅在22小时内就成功的破译出安全密码。DESCracker是一台计算机用来建立测验DES加密数据联接密码的。这台机器单独能每秒扫描九百亿个密码。过去20年里，这个算法已被广泛应该到加密数据，银行系统、经济领域、商业领域，所以DES算法的安全非常重要。DESCracker造价25万美元。,DESCrack,网络嗅探,木马病毒“艾妮”（TROJ_ANICMOO.AX）正在传播,木马是客户端攻击中经常使用的攻击方式目的：盗取信息、远程控制的后门、拒绝服务的僵尸代理木马的攻击发起方式伪装格式下载绑定网站挂马社会工程蠕虫与漏洞,特洛伊木马,孔子曰：“食色，性也”，-看见美女你点不点？,攻击人性的弱点,被绑定木马，播放即执行恶意代码利用浏览器的WEB功能嵌入恶意代码,被骇客利用的电影和娱乐事件2005年8月張靚穎在更衣室裏的手機照片，http:/*”2006年2月一個饅頭引發的血案2006年12月滿城盡帶黃金甲,影音文件,常用的木马实现技术反弹端口线程注入加密隧道传输分布式与上线通知Exe捆绑隐藏的自启动和文件关联,如何防范木马？安全意识及时的系统补丁定期的检查（工具和手工）对系统异常操作警惕,特洛伊木马,蠕虫病毒攻击,蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络、电子邮件、WEB服务器、网络共享等。并对网络或联网计算机造成破坏。蠕虫的基本程序结构为：传播模块：负责蠕虫的传播，隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。目的功能模块：实现对计算机的控制、监视或破坏等功能。传播模块由可以分为三个基本模块：扫描模块、攻击模块和复制模块。,CodeRED冲击波威金蠕虫变种RCMSN性感相册蠕虫病毒恶性蠕虫“IO下载者”熊猫烧香、金猪报喜小浩蠕虫,层出不穷的蠕虫病毒,定义：DoS(DenialofService，拒绝服务)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。DDoS(DistributedDenialofService，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。,什么是DoS/DDoS攻击？,攻击类型划分I堆栈突破型（利用主机/设备漏洞）远程溢出拒绝服务攻击网络流量型（利用网络通讯协议）SYNFloodACKFloodICMPFloodUDPFlood、UDPDNSQueryFloodConnectionFloodHTTPGetFlood,攻击类型划分II应用层垃圾邮件、病毒邮件DNSFlood网络层SYNFlood、ICMPFlood链路层ARP伪造报文物理层直接线路破坏电磁干扰,拒绝服务(DoS)的分类,TFN(TribeFloodNetwork)德国著名黑客Mixter编写的分布式拒绝服务攻击工具TFN由主控端程序和代理端组成攻击者到主控端TCP绑定主控端到代理端ICMP_ECHOREPLY代理端对目标机SYNFlood、ICMPFlood、UDPFlood、Smurf攻击免费的DDoS攻击工具，还包括Trinoo、TFN2k、Stacheldraht等，使得DDoS攻击技术门槛降低更加普及，对网络造成严重威胁,Mixter,ID字段包含命令,著名的DDoS攻击工具TFN,受害者,攻击者,主控端,主控端,代理端,主控端,代理端,代理端,代理端,代理端,代理端,僵尸军团,DDoS攻击模型,当前DDoS攻击的形势,社会工程假借客户，骗取资料冒充技术员打电话，询问个人邮件密码搜集员工个人信息，破解用户口令收买公司员工，窃取内部机密,社会工程,命令行Wis、WedGUI工具：NBSI、SQLTools,SQL注入自动化工具,SQLInjectionBasicExample,什么是网络钓鱼（Phishing）？,“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。在美国和英国已经开始出现专门反网络钓鱼的组织，越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列，比如微软、戴尔都宣布设立专案分析师或推出用户教育计划，微软还捐出4.6万美元的软件，协助防治“网络钓鱼”。,钓鱼者,VictimWebServer,受害用户,发送钓鱼邮件,受害者点击钓鱼URL,钓鱼网站被浏览,受害者发送机密信息,入侵主机，安装钓鱼网站和垃圾邮件箱,MailDropService,信息被发送到另外一个邮箱,钓鱼者索取信息,典型的钓鱼过程,伪造发件人地址：发件人可以是account可以是account，但是实际上不是伪造虚假连接：图像连接,网络钓鱼进行进行欺骗的技术手段,其他欺骗技术,跨站脚本漏洞（CrossSiteScript）允许在一个合法的站点上插入非法的脚本恶意的脚本在客户机上被执行，而这个客户机信任该站点客户机上的信息被恶意脚本获得，包括用户login的名字，cookie等等特别具有欺骗性，用户看到的界面是“合法的站点”，包括URL、数字证书等等，但是由于服务器的漏洞，导致客户机上机密信息被盗取,高级钓鱼话题利用XSS漏洞,如何防钓鱼？,客户机：不要随便点击EMAIL、ICQ和聊天室里的链接不要连接到不信任的网络和使用不信任的计算机启用个人防火墙不断的更新客户机软件（防病毒、WEB浏览器、EMAIL客户端）用数字证书企业：使用IPS教育用户，并让他们的软件保持更新部署防垃圾邮件和防病毒措施,网络攻击软件繁多,大量的攻击工具随手拾来,讨论,在工作中如果存在这些威胁将如何防御？,目录,常见的黑客攻击手段介绍,1,常见的防御手段介绍,3,安全事件响应处理介绍,常见的防御手段,安全培训安全意识培训管理培训技术培训安全评估工具评估人工评估渗透测试访谈和现场观察安全加固通过更改配置加固通过加强管理修补通过增加手段修补通过系统改造修补,安全评估内容,风险评估,风险监控以及日常风险管理,风险控制,工具评估,主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。网络扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁,工具评估,工具评估特点操作最简单；内容最基础；历时最短；结果最直观；可自动生成报告；因其固有的模板，适用的范围，特定的运行环境，以及它的缺乏智能性等诸多因素，因而有着很大的局限性；对网络资源和被评估系统的资源占用在3%-5%之间，可以通过修改、配置一定的扫描策略来使这些资源消耗降低至最小,人工评估,工具扫描因为其固定的模板，适用的范围，特定的运行环境，以及它的缺乏智能性等诸多因素，因而有着很大的局限性；而人工评估与工具扫描相结合，可以完成许多工具所无法完成的事情，从而得出全面的、客观的评估结果。人工评估在各服务项目中都会用到，主要是依靠安氏公司具有丰富经验的安全专家在各服务项目中通过针对不同的评估对象采用顾问访谈，业务流程了解等方式，对评估对象进行全面的评估。,人工评估,人工评估特点无写操作；人工输出评估报告；人工评估与工具扫描相结合，可以完成许多工具所无法完成的事情，得出全面的、客观的评估结果对业务无影响,渗透测试,渗透测试主要依据已经发现的安全漏洞，模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。渗透测试主要针对系统主机进行，因此将占用主机系统及其所在的网络环境的部分资源。对于其他的资源没有特殊的要求。,渗透测试（续）,渗透测试（续）,优点直观体现网络的安全状况对提高安全意识的效果显著实施灵活，资源调动较少缺点对实施小组的技术、经验、素质、协作要求苛刻渗透成功可能只发现安全问题的冰山一角渗透失败可能会造成“网络是安全的”乐观印象,中国移动集团渗透测试及单系统评估项目,短信渗透测试结果由于到短信业务使用FTP协议并存在弱密码，渗透者轻易得到了用户名和密码并从BOOS登陆到短信接口机上，短信系统服务器使用SERV-UFTPServerV4.0存在远程溢出漏洞可以得到主机的最高权限从短信中心到综合网关可以得到综合网关服务器的最高权限从短信中心到欢迎短信可以得到欢迎短信关服务器的最高权限人工评估结果欢迎短信服务器被入侵企信通服务器被入侵弱口令关键补丁没有安装密码没有定期更改人员离职账号口令交接存在问题,某省WAP系统单业务安全评估项目,评估结果发现存在明显弱用户名和口令，通过该用户和弱口令成功的登陆到内部网络的堡垒机上，并因该账户的弱口令及多处存在基本接管了WAP上的路由器和防火墙。分析GRE路由器配置发现可以到达GGSN。对GGSN由于不在这次渗透测试范围并没有对GGSN做渗透测试。从WAP外部可以下载某厂商的表单应用软件客户端，因软件服务器端存在默认的用户名和口令，这样通过下载客户端软件的可以获得所有服务端的表单数据。,某省的彩铃、www门户和梦网渗透项目,彩铃后门页面目录信息暴露脚本源代码信息暴露,某省的彩铃、www门户和梦网渗透项目,www门户暴露ASP源文件暴露SQL插入记录语句,其他,某网上营业厅渗透发现不需要认证重置手机密码：由于网页中重置手机密码功能，未有图片认证验证。破坏者可以利用此漏洞，编写脚本发起对移动任何手机的大量重置短信。SQL注入：构造语句获取到了数据库版本、数据库名、称数据库用户及密码（密码的HASH，暂未破解）、数据库表格内容等文件泄露，大量的脚本文件暴露，通过暴露的脚本，可以查询到如下信息,其他,企业信息网（）使用xscan、Scanner、等扫描工具对外网提供的服务的IP地址进行扫描。尝试对web提供的服务程序溢出。尝试手工破解某用户名和密码。成功后获得登陆某省公司部分OA系统的权限。手工暴力破解某用户名和密码。成功后得到登陆到某省公司内网的权限可以任意登陆OA服务器,访谈和现场观察,访谈现场观察,安全评估内容,风险评估,风险监控以及日常风险管理,风险控制,网络安全评估（基础设施评估）,应用安全评估,需求阶段,系统开发和交付,系统部署实施,系统运行维护,系统废弃,系统敏感度评估,确定安全需求,将安全需求加入到系统设计中,获得系统（开发或购买）及安全功能,安装并使安全控制有效,安全测试,鉴定合格,安全操作和管理,运作保证（监控和审计）,变更管理,系统废弃审核,定期评估,安全管理评估,安全管理评估流程,讨论,结合当前的环境中，思考或讨论目前主要采用哪些手段进行安全防御?,目录,常见的黑客攻击手段介绍,1,常见的防御手段介绍,2,安全事件响应处理介绍,安全事件响应处理介绍,安全事件的分类分级安全事件处理流程,安全事件的分类分级,安全事件的定义由于自然或者人为的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件。（信息安全事件分类分级指南）安全事件是一个或一系列与网