完全你的安全.ppt

21 26 1 完全你的安全SeamlessSecurityNetwork 北京天融信公司BeijingTopsecCo Ltd 21 26 2 黑客攻防技术 网络安全概述黑客主要攻击技术典型攻防工具介绍实际操作 21 26 3 网络安全概述 黑客 闪客 Flasher 快客 Creaker 21 26 4 安全新动态 网络规模愈来愈大网络应用越来越丰富以蠕虫 Worm 为主要代表的病毒传播成为热点以拒绝服务 DDOS 为主要目的网络攻击时时考验客户的网络以垃圾信息为代表的非法内容浪费着网络的资源 21 26 5 安全问题 在安全建设中往往需要引入众多的安全技术和产品 因此面临着 1 它们之间却缺少信息层互通能力 2 缺乏全网的集中监控能力 从而降低了安全系统整体的运作效率 增加了安全事件的发现时间和响应时间 甚至最终导致安全事故的发生 Firewall IDS IPS 安全审计 数据加密 反病毒 身份认证 漏洞扫描 OPSEC IDMEF SYSLOG SNMP Database WMI NTLOG 点安全 应用安全 21 26 6 在过去的安全事故里 蠕虫病毒是我们面对最为头疼的问题之一 它造成了我们网络带宽的消耗 服务器资源的崩溃 使得我们的领导不满 甚至对业务生产造成中断 因此我们一直都想消除或者控制它 但实际安全运维中却发现很多技术问题 接下来我们将以如何处理蠕虫为例来进行分析 IT部门的烦恼 技术角度 心 预警 防护 检测 响应 恢复 反制 如何事先了解安全问题和安全趋势 如何调整安全防护策略应对蠕虫病毒 病毒感染源 病毒主机 影响信息系统 要清除和防止蠕虫病毒我们应该怎么做 如何恢复被蠕虫攻击的信息系统 如何取证 定位来规范相关人员和流程 安全 蠕虫攻击 21 26 7 安全进入体系时代 要求建造安全的整体网络从点转变到面的方式考虑安全问题各种整体的解决方案和技术体系被提出天融信 可信网络架构 TNA CISCO 自防御网络 SDN 华为 安全渗透网络 SPN 锐捷 全局安全网络 GSN 21 26 8 黑客攻击技术 21 26 9 黑客入侵的一般流程 21 26 10 扫描技术 什么是扫描 实际上是自动检测远程或本地主机 目标 安全性弱点的程序 常用的扫描技术TCP方式 采用三次握手的方式 SYN方式 利用半连接的方式 21 26 11 扫描技术 常用的扫描工具流光5 0 Xscan3 0 Superscan4 0 NSS 21 26 12 扫描技术 21 26 13 扫描技术 21 26 14 扫描技术 防止方法安装个人或者网络防火墙 屏蔽相应的应用及端口 21 26 15 渗透技术 什么是渗透 利用已知目标的相关漏洞信息 对目标进行试探性入侵 拿到一点权限并为下一步作准备常用渗透手段技术手段 代码注入 系统溢出 权限提升 跳板等 非技术手段 社会工程学 21 26 16 渗透技术 尝试利用IIS中知名的Unicode漏洞微软IIS4 0和5 0都存在利用扩展UNICODE字符取代 和 而能利用 目录遍历的漏洞 未经授权的用户可能利用IUSR machinename账号的上下文空间访问任何已知的文件 该账号在默认情况下属于Everyone和Users组的成员 因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除 修改或执行 就如同一个用户成功登陆所能完成的一样 http x x x x scripts c1 1c winnt system32 cmd exe c dirDirectoryofc 2001 06 1103 47p289default asp2001 06 1103 47p289default htm2001 03 0904 35pDIR DocumentsandSettings2001 06 1103 47p289index asp2001 06 1103 47p289index htm2001 05 0805 19aDIR Inetpub2001 05 1910 37pDIR MSSQL72001 03 0904 22pDIR ProgramFiles2001 05 2306 21pDIR WINNT4File s 1 156bytes5Dir s 2 461 421 561bytesfree这是已经看到目标主机的C盘根目录和文件了 http 219 237 xx xx yddown view asp id 3http 219 237 xx xx yddown 5cview asp id 3防止方法 打好相应的补丁程序 并升级到最新版本 利用IDS 入侵检测 技术 进行监控记录 21 26 17 溢出攻击 什么是溢出 利用目标操作系统或者应用软件自身的安全漏洞进行特别代码请求 使其被迫挂起或者退出 从而得到一定的操作权限的行为 溢出分类操作系统溢出 应用程序溢出本地溢出 远程溢出 21 26 18 溢出攻击 主要溢出举例 尝试利用 printer远程缓冲区溢出漏洞进行攻击由于IIS5的打印扩展接口建立了 printer扩展名到msw3prt dll的映射关系 缺省情况下该映射存在 当远程用户提交对 printer的URL请求时 IIS5调用msw3prt dll解释该请求 由于msw3prt dll缺乏足够的缓冲区边界检查 远程用户可以提交一个精心构造的针对 printer的URL请求 其 Host 域包含大约420字节的数据 此时在msw3prt dll中发生典型的缓冲区溢出 潜在允许执行任意代码 缓冲区溢出 向一个有限空间的缓冲区中拷贝了过长的字符串 带来了两种后果 一是过长的字符串覆盖了相临的存储单元而造成程序瘫痪 甚至造成当机 系统或进程重启等 二是利用漏洞可以让攻击者运行恶意代码 执行任意指令 甚至获得超级权限等 RPC溢出 webdav Ser U6 0以上版本 RealServer8 0 ida溢出等 21 26 19 溢出攻击 防止方法升级到最新版本 并打好相关的补丁程序 运用IDS 入侵检测 技术或者日志审计 进行监控记录 21 26 20 代码攻击 什么是代码攻击 利用网站或者应用系统后台程序代码漏洞或者数据库调用程序不规范进行入侵的行为代码攻击类型ASP注入PHP注入Java ASP net 21 26 21 代码攻击 代码攻击主要工具NBSI2 0 ASP HDSI3 0 ASP PHP 啊D Tools应对方法严谨后台编程手法 规范数据库调用方法利用IDS 入侵检测 技术 进行监控和记录 21 26 22 嗅探 什么是嗅探 在以太网或其他共享传输介质的网络上 用来截获网络上传输的信息嗅探方式 协议还原和密码截取 内网嗅探 利用内部网HUB环境或者交换机镜像口 外网接线嗅探 利用中转路由或者交换设备镜像 21 26 23 嗅探 嗅探典型工具Sniffer 协议和管理 Iris 协议 Cain2 5 密码 防止方法内网采用交换机接入设为管理策略对于外网可采用应用层加密协议或者第三方加密设备 21 26 24 口令破解 口令破解是指破解口令或屏蔽口令保护口令破解方式字典暴破 字典组合 防真对比 利用用户日常常用字符 屏蔽技术 利用程序或者流程漏洞 21 26 25 口令破解 常用破解工具MD5 CreakerCain5 0防止方法设置高强度密码规范操作流程和个人操作习惯 定期改变口令 打相应的漏洞补丁 21 26 26 口令破解 破解成功 对方administrator的密码为1234 21 26 27 木马技术 什么是木马是指任何提供了隐藏的 用户不希望的功能程序木马类型1 按连接方式主动 被动2 管理方式B S C S 21 26 28 木马技术 常用木马工具冰河灰鸽子2005ServenDoor防止方法安装防火墙和防病毒软件 时常监视相关进程 21 26 29 病毒 什么是病毒 计算机病毒是指能够通过某种途径潜伏在计算机的存储介质或程序中 当满足某种条件后即被激活 且对计算机资源具有破坏作用的一种程序或指令的集合 21 26 30 病毒的演化趋势 攻击和威胁转移到服务器和网关 对防毒体系提出新的挑战 IDC 2004 邮件 互联网 CodeRedNimda funloveKlez 2001 2002 邮件 Melissa 1999 2000 LoveLetter 1969 物理介质 Brain 1986 1998 CIH SQLSlammer 2003 2004 冲击波震荡波 21 26 31 Internet成为主要传播途径 据ICSA病毒流行性调查结果 电子邮件和Internet互联网已成为病毒传播的绝对主要途径 99 的病毒都是通过SMTP HTTP和FTP协议进入用户的计算机 用户防病毒的意识薄弱缺乏安全技术培训防病毒实施强制力不够网络中漏洞普遍存在 企业所面监的问题 21 26 32 WORM SASSER A 染毒电脑 未修补漏洞的系统 已修补漏洞的系统 被感染 不被感染 被感染 被感染 不被感染 不被感染 病毒典型案例 21 26 33 病毒 防止方法安装杀病毒软件并升级病毒库安装个人防火墙打好相应的补丁新的防护技术网关型防病毒产品 病毒过滤网关 21 26 34 防病毒网关介绍 21 26 35 防病毒网关介绍 全面的协议保护 支持SMTP POP3 IMAP4 HTTP和FTP协议实际应用中 HTTP协议开启后系统工作正常支持HTTPS协议 主要用在电子商务方面 21 26 36 防病毒网关介绍 即插即用的透明接入方式采用流扫描技术 内部局域网 邮件过滤 Http过滤 Ftp过滤 Firewall 病毒从Internet入侵 STOP 21 26 37 随机存取的扫描算法 传统的解决方案 21 26 38 流扫描技术 21 26 39 DOS DDOS攻击 什么是DOS DDOS攻击 DenialofService DoS 拒绝服务攻击 攻击者利用大量的数据包 淹没 目标主机 耗尽可用资源乃至系统崩溃 而无法对合法用户作出响应 DistributedDenialofService DDoS 分布式拒绝服务攻击 攻击者利用因特网上成百上千的 Zombie 僵尸 即被利用主机 对攻击目标发动威力巨大的拒绝服务攻击 攻击者的身份很难确认 21 26 40 正常访问 通过普通的网络连线 使用者传送信息要求服务器予以确定 服务器于是回复用户 用户被确定后 就可登入服务器 TCP三次握手方式 21 26 41 拒绝服务 DoS 的攻击方式 拒绝服务 的攻击方式为 用户传送众多要求确认的信息到服务器 使服务器里充斥着这种无用的信息 所有的信息都有需回复的虚假地址 以至于当服务器试图回传时 却无法找到用户 服务器于是暂时等候 有时超过一分钟 然后再切断连接 服务器切断连接时 黑客再度传送新一批需要确认的信息 这个过程周而复始 最终导致服务器处于瘫痪状态 21 26 42 DDoS攻击过程 扫描程序 非安全主机 黑客 Internet 21 26 43 黑客 Zombies 黑客在非安全主机上安装类似 后门 的代理程序 2 Internet DDoS攻击过程 21 26 44 黑客 黑客选择主控主机 用来向 僵尸 发送命令 3 Zombies 主控主机 Internet DDoS攻击过程 21 26 45 Hacker 通过客户端程序 黑客发送命令给主控端 并通过主控主机启动 僵尸 程序对目标系统发动攻击 4 Zombies Targeted目标System MasterServer Internet DDoS攻击过程 21 26 46 目标系统System Hacker 主控端向 僵尸 发送攻击信号 对目标发动攻击 5 MasterServer Internet Zombies DDoS攻击过程 21 26 47 目标 黑客 目标主机被 淹没 无法提供正常服务 甚至系统崩溃 6 主控主机 合法用户 Internet 僵尸 DDoS攻击过程 21 26 48 DOS DDOS攻击 传统防止方法设置路由器ACL牺牲正常流量 防护种类有限传统思想 防火墙性能低下 一般 10M优秀的 30M提高服务器自身能力硬件和软件可调空间有限负载均衡高层攻击防御能力有限 面向用户能力弱 21 26 49 DOS DDOS攻击 采用第三方专用设备多层防护体系特征库匹配统计学归纳技术动态识别生物学分析区分逆向验证技术Syn Proxy技术 21 26 50 双向反馈环 多层防护体系 21 26 51 部署实现 网桥模式串连接入系统一分钟完成部署 21 26 52 垃圾邮件 21 26 53 邮件欺骗导致银行信息等的泄露 公安部 教育部 信息产业部及国务院新闻办联合发出通知 于2004年上半年开展互联网垃圾电子邮件专项治理工作 网络带宽浪费 邮件系统瘫痪 用户时间花费 蠕虫病毒通过邮件传播 反动 色情 暴力等邮件影响用户身心健康 垃圾邮件的影响 21 26 54 垃圾邮件的发展速度和趋势 数据来源 Radicati 2004 6 全球垃圾邮件的现状 21 26 55 据Commtouch调查 目前71 的垃圾邮件的URL是指向中国的服务器 美国以22 排名第二 全球垃圾邮件分布情况 21 26 56 中国垃圾邮件的现状 21 26 57 中国垃圾邮件的现状 据中国互联网中心统计 现在 我国用户平均每周受到的垃圾邮件数超过邮件总数的60 部分企业每年为此投入上百万元的设备和人力 垃圾邮件泛滥造成严重后果它不但阻塞网络 降低系统效率和生产力 同时有些邮件还包括色情和反动的内容 21 26 58 反垃圾邮件技术的技术演进 IP过滤 关键字过滤邮件 附件 大小控制 SMTP连接时间频率控制 智能内容过滤 Bayes RBL 第一代 第二代 行为识别技术 第三代 21 26 59