经典的网络安全技术基础.ppt

网络安全技术基础 目录 基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题 日益成熟的黑色产业链 系统漏洞是怎么产生的 voidmain inta b c printf inputa b c n scanf d d d scanf 函数没有进行输入长度校验 从而产生溢出漏洞 大多数漏洞都产生于参数传递 JPG格式中的漏洞 GDIPlus DLL漏洞MS04 028NickDeBaggis漏洞产生原因 JPEG格式中的注释段 COM 由0 xFFFE开始 标记 2字节注释段字节数 参数 注释 数据 构成 因为字节数这个参数值包含了本身所占的2字节 所以GDIPLUS dll在解析jpg格式文件中的注释段时会把这个值减去2 如果这个值设置成0 1就会产生整数溢出 结论 发现漏洞的最有效方法在于构造错误的参数传递 推论 鉴定测试中心的兄弟最有成为黑客的潜力 一次攻击实例 1 目标服务器没有漏洞 很安全 2 目标服务器开了3389远程管理 非加密可以利用 3 内网几台计算机有漏洞 直接拿下 顺便开个监听 看能不能抓到管理员登录服务器的信息 4 管理员总不登录 DoS一下 强迫管理员登录 5 管理员发现服务器不正常 登录去看看 被直接抓到口令 攻击机 网管机 内网 目标服务器 广义的漏洞定义 漏洞就是通过加工后能够产生危害的系统功能 基础知识 TCP的3次握手 Syn报文 Syn ack报文 Ack报文 地瓜地瓜 我是土豆 听到请回答 over 土豆土豆 我是地瓜 你话音很清楚 能听清楚我说话吗 Over 地瓜地瓜 你话音也很清楚清楚 说正事吧 over 半开连接 未完成三次握手的TCP连接 网络安全的基本技术 基于状态转发技术 IPSec 抗DoS DDoS 链路加密 电磁防泄漏 特征匹配技术 基本技术 基于状态表转发 如收到的数据包为新建TCP连接的数据包 则根据预定义规则决定是否转发 如确定需要转发则在状态表中增加相关表项 并开始跟踪TCP握手信息 如收到的数据包为非新建连接 则检查状态表表项 如有相关表项则根据表项进行转发 否则丢弃该数据包 如该数据包为TCPFIN包 则转发后删除相关表项 状态表中的表项都有预定义的老化时间 如超过老化时间仍没有新的数据包通过 则删除该条记录 无老化时间的记录称为长连接 用于某些特殊应用 新建连接 非新建连接 状态表老化 基本技术 特征匹配技术 对比 网络安全设备部署模式 旁路部署 在线部署 交换机上设置镜像端口 安全设备旁路进行抓包和特征匹配 某些网关类安全设备 如VPN 的单臂部署模式在拓扑形式上与此类似 但是数据包需要进行转发的 网关类安全设备大多采用此种将设备串入链路中的在线部署方式 透明模式向网线一样工作 桥模式相当于交换机 路由模式相当于路由器 混合模式既有路由模式也有桥模式 目录 基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题 防火墙的分类 主要分为以下3种类型防火墙 包过滤防火墙 根据一组规则允许 阻塞一些数据包 应用代理型防火墙 作为应用层代理服务器 提供安全防护 状态检测型防火墙 比包过滤防火墙具有更高的智能和安全性 会话成功建立连接以后记录状态信息并时时更新 所有会话数据都要与状态表信息相匹配 否则会话被阻断 状态检测技术 现代防火墙基本为3种类型防火墙的综合体 即采用状态检测型包过滤技术 同时提供透明应用代理功能 包过滤防火墙 基本概念 数据包过滤是指在网络中的适当位置对数据包实施有选择的通过 选择的依据就是系统内设置的过滤规则或称访问控制表 包过滤操作过程 包过滤规则必须被存储在包过滤设备的端口 当数据包在端口到达时 包头被提取 同时包过滤设备检查IP TCP UDP等包头中的信息 包过滤规则以特定的次序被存储 每一规则按照被存储的次序作用于包 如果一条规则允许传输 包就被通过 如果一条规则阻止传输 包就被弃掉或进入下一条规则 检查项 IP包的源地址 IP包的目的地址 TCP UDP源端口 IP包 检测包头 检查路由 安全策略 过滤规则 路由表 包过滤防火墙 转发 符合 不符合 丢弃 包过滤防火墙 图示 包过滤防火墙 技术评价 优点 速度快 吞吐率高 过滤规则较少时 对应用程序透明 无帐号口令等 缺点 安全性低不能过滤传输层以上的信息不能监控链路状态信息 Client Server 代理服务器 代理客户机 请求 应答 被转发的请求 被转发的应答 应用代理防火墙 双向通信必须经过应用代理 禁止IP直接转发 只允许本地安全策略允许的通信信息通过 代理服务器评价来自代理客户的请求并决定请求是否被认可 如果请求被认可 代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应 安全策略访问控制 应用代理防火墙 图示 应用代理防火墙 技术评价 优点 可以将被保护网络内部的结构屏蔽起来可以实施较强的数据流监控 记录 可提供应用层的安全 身份验证等 缺点 灵活性通用性较差 只支持有限的应用 不透明 用户每次连接可能要受到 盘问 代理服务的工作量较大 需要专门的硬件 工作站 来承担 基于状态的包过滤防火墙 IP包 检测包头 下一步处理 安全策略 过滤规则 会话连接状态缓存表 状态检测包过滤防火墙 符合 不符合 丢弃 符合 检查项 IP包的源 目的地址 端口 TCP会话的连接状态 上下文信息 控制网络通信的三种方法 不完整路由控制不完整NAT控制包过滤控制 防火墙技术 地址翻译技术1 192 168 0 220 1100 172 16 10 1 80 172 16 10 110 11051 172 16 10 1 80 防火墙技术 地址翻译技术2 NAT的应用 共享上网 隐藏内部网络结构 中断路由 保护内网 双向地址翻译解决地址冲突问题 工行中间业务系统广泛使用此技术与其他单位进行对接 目录 基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题 常见信息安全威胁 拒绝服务攻击 特洛伊木马 Web应用攻击 流氓软件 网络钓鱼 垃圾邮件 社会工程 Web攻击综述 正常网站 攻击者获得网站权限 或者在网站上注入恶意代码 攻击者利用网站的漏洞 网站漏洞 基础软件漏洞 应用系统漏洞 操作系统漏洞Web服务器漏洞ASP PHP CGI漏洞数据库漏洞 注入攻击跨站脚本攻击 网站被控制网页被篡改网页被挂马帐号失窃成为傀儡机拒绝服务 SQL注入攻击利用Web应用程序 网页程序 对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞 攻击者将恶意的SQL命令注入到后台数据库的攻击方式 SQL注入对Web网站的攻击后果非法获得网站权限 网页篡改 网页挂马 窃取网站数据等 举例在网站管理登录页面要求帐号密码认证时 如果攻击者在 UserID 输入框内输入 admin 在密码框里输入 anything or1 1 提交页面后 查询的SQL语句就变成了 Selectfromuserwhereusername admin andpassword anything or1 1 不难看出 由于 1 1 是一个始终成立的条件 判断返回为 真 密码的限制形同虚设 不管用户的密码是不是Anything 他都可以以admin的身份远程登录 获得后台管理权 在网站上发布任何信息 典型注入 SQL注入攻击 跨站脚本攻击 指攻击者利用网站程序对用户的输入没有进行充分的有效性检验和敏感词过滤的漏洞 输入精心构造的HTML或Javascript脚本 当其他合法的用户浏览到该页面时 将执行恶意攻击者留下的代码 遭受攻击者的进一步攻击 不同于SQL注入以Web服务器为目标的攻击方式 跨站脚本攻击更多则是将目标指向了Web业务系统所提供服务的客户端 跨站脚本攻击对Web网站的攻击后果 网页挂马 拒绝服务举个例子说明原理 如攻击者可在目标服务器的留言本中加入如下代码 function 则存在跨站脚本漏洞的网站就会执行攻击者的function 攻击者在网页上输入精心构造的HTML或JavaScipt代码 网站数据库 网站Web程序 网站Web程序 其他受害客户 跨站脚本攻击 利用Web网站的操作系统漏洞 Web服务器漏洞 数据库漏洞等基础软件的漏洞 获得Web网站权限 举例 通过Unicode漏洞读取服务器C盘的目录http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c dir c 利用基础软件漏洞的攻击 应用层安全 IPS才是王道 路由器 交换机 IPS 内部网络 路由器 交换机 IDS 镜像 IPS可做到 在线部署 实时阻断攻击 在线部署 除阻断外还可实现隔离 重定向等主动防御动作 在线部署 可通过快路径避开IDS事件风暴 不依赖网络设备的镜像 内部网络 攻击库 协议库 病毒库 综合防御 H3CIPS 三库合一实现综合防御 现在的很多安全威胁都是综合网络蠕虫 木马 病毒等技术的复合威胁 只有将攻击特征和病毒特征结合在一起进行检测 才能全面防御这类安全威胁 攻击者在利用漏洞的攻击之后 往往马上伴随着木马 病毒等恶意代码样本的下载 只有将攻击特征和病毒特征结合在一起 才能做到层层防御 确保安全 因为攻击是有特定的协议上下文的 将应用层协议特征分析与攻击特征 病毒特征分析结合起来 可确保检测精度 业界唯一的创新技术 IPS最大特点 三库合一 数据流 会话状态跟踪 分片重组 流量分析 流恢复 丢弃报文 报文正规化 协议识别分析并行处理支持近千种协议 特征分析并行处理包括攻击特征 病毒特征 丢弃报文 隔离 转发 限流 整形 阻断 重定向 隔离等 FIRST FullInspectionwithRigorousStateTest 基于精确状态的全面检测 IPS检测引擎 FIRST 基于攻击工具 或漏洞利用的特征进行检测 基于协议交互的异常进行检测 基于流量统计的异常进行检测 基于病毒样本特征进行检测 攻击事件智能关联分析 网络行为自学习 流量基线自学习 反向认证 报文正规化 IP重组 TCP流恢复 TCP会话状态跟踪 协议解码 基于应用层协议的状态跟踪 可信报文处理 集成多种检测方法 最难搞定的威胁 Zeroday攻击 Zeroday 零日 零时差 攻击对尚未公开的漏洞进行攻击 有专门的交易渠道 谁都搞不定 只能严防死守 漏洞已公布 但是尚未发布补丁 这是我们搞得定的 社会工程 社会工程就是黑客们利用人与人之间的交往 取得被害人的信任 然后就是想干嘛干嘛了 社会工程是一种非技术手段的黑客行为 利用了网络安全体系中最没有办法控制 没有办法打补丁的一个因素 人 这方面的详细信息 建议大家看美国著名黑客KevinMitnick的著作 TheArtofDeception 网上有下载 文笔很好 可以当小说看 还可以顺便练习一下E文 摘自非著名ID ZeroFlag 唯一一篇被广为转载文章 一次差点成功的暴力社会工程 网络钓鱼行为举例 目录 基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题 拒绝服务综述 DoS DenialofService 拒绝服务 造成DoS的攻击行为被称为DoS攻击 其目的是使计算机或网络无法提供正常的服务 DDoS DistributedDenialofService 分布式拒绝服务 攻击指借助于客户 服务器技术 将多个计算机联合起来作为攻击平台 对一个或者多个目标发动DoS攻击 从而成倍地提高拒绝服务攻击的威力 按消耗的资源目标分 带宽耗尽型DDoS 以多欺少的泛洪 Flood 攻击 将目标机的出口带宽资源耗尽 造成拒绝服务 攻击流量里的单个报文没有任何特征可言 流量大 通常有庞大的僵尸网络做支撑 如UDPFlood ICMPFlood等 资源耗尽型DDoS 通过向目标机提交一定数量的需要目标机大量消耗资源的请求实现 请求流量并不需要非常大 即可消耗目标机的计算资源 造成拒绝服务 如SYNFlood CC攻击等 按网络层次分 网络层DDoS 通过发送网络层的泛洪报文实现 如UDPFlood ICMPFlood SYNFlood RSTFlood ConnectionFlood等 应用层DDoS 通过发送应用层的泛洪报文实现 如HTTPGetFlood DNSQueryFlood CC攻击等 拒绝服务攻击分类 SynFlood攻击与防范 Syn Syn ACK ACK 正常TCP三次握手完成连接 通过半连接耗尽正常服务资源 Syn Syn Syn Syn ACK Syn ACK Syn ACK 发送带有伪造源IP地址的SYN包 造成大量半连接耗尽服务器资源 特点 生命周期长 无法通过打补丁 升级软件等方式解决防范 通过TCPProxy TCPCookie ConnectionFlood攻击 攻击者 受害者 大量的tcpconnect 不能建立正常的连接 正常用户 利用真实IP地址 代理服务器 广告页面 在服务器上建立大量连接 服务器上残余连接 WAIT状态 过多 效率降低 甚至资源耗尽 无法响应 蠕虫传播过程中会出现大量源IP地址相同的包 对于TCP蠕虫则表现为大范围扫描行为 消耗骨干设备的资源 如防火墙的连接数 发送大量的ACK包冲击设备 服务器回应ACK RST包 消耗资源 某些应用如JSPServer对ACKFlood比较敏感 一般来讲ACKFlood流量要较大才会对服务器造成影响 ACKFlood攻击 UDP协议无状态 应用五花八门 利用小报文冲击应用服务器 Radius服务器 DNS服务器 流媒体服务器 针对不同应用协议攻击需要制定不同的应对策略 尚未有类似的产品能够防护UDP UDPDNSQueryFlood UDPFlood攻击 危害性和DNS服务器的脆弱性字符串匹配查找是DNS服务器的主要负载 微软的统计数据 一台DNS服务器所能承受的递归动态域名查询的上限是每秒钟9000个请求 一台P3的主机可以很轻易地发出每秒上万个请求 攻击的手段只针对53端口发NULL数据包 危害性不大 请求解析固定的域名 由于有cache存在 需要较大数量 随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求 引起连锁反应 蠕虫扩散带来的大量域名解析请求 UDPDNSQueryFlood攻击 其他常见拒绝服务攻击 TFN TribeFloodNetwork 德国著名黑客Mixter编写的分布式拒绝服务攻击工具TFN由主控端程序和代理端组成攻击者到主控端 TCP绑定主控端到代理端 ICMP ECHOREPLY代理端对目标机 SYNFlood ICMPFlood UDPFlood Smurf攻击免费的DDoS攻击工具 还包括Trinoo TFN2k Stacheldraht等 使得DDoS攻击技术门槛降低更加普及 对网络造成严重威胁 Mixter ID字段包含命令 DDoS典型攻击工具 允许有效请求通过 服务器 攻击者 代理 主控端 主控端 代理 代理 代理 代理 代理 通过SynCookie机制防范SynFlood攻击 通过限制单个源地址的每秒连接数来防范CPSFlood ConnectionFlood攻击 通过流量阈值模型 反向认证等方式来防范UDPFlood ICMPFlood HTTPGetFlood DNSFlood等DDoS攻击 内置的攻击特征规则可检测常见DDoS攻击工具TFN TFN2k Stacheldraht Trinoo的控制报文 可切断DDoS攻击工具的控制通道 一般DDoS攻击防范技术 CC攻击与防御 攻击方法 利用代理服务器发起大量的HTTPGet请求 主要是请求动态页面 造成数据库服务器负载极高 无法正常响应 防御方法 进行域名重定向 通过代理发送的HTTP X FORWARDED FOR变量来判断使用代理攻击机器的真实IP 但不是所有的代理服务器都发送 在服务器上 从Cookie与IP的绑定和用户Session 流量清洗组成及工作模型 异常流量检测平台 异常流量清洗平台 客户2 业务管理平台 流量镜像 正常流量不受影响 发现攻击通知业务管理平台 通知清洗平台 开启攻击防御 流量牵引 流量回注 牵引流量 对异常流量进行清洗 攻击停止 通知业务管理平台 客户3 流量镜像 客户1 流量清洗中心 BGPPeer 20 20 20 1 20 20 20 0 24NextHop4 4 4 2 20 20 20 1 32NextHop3 3 3 2 城域网 发布路由 20 20 20 1 32NextHop3 3 3 2No Advertise 3 3 3 2 BGP路由引流策略路由回注VLAN偷传回注MPLSVPN回注 引流与回注 目录 基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题 病毒的定义1994年2月18日 我国正式颁布实施了 中华人民共和国计算机信息系统安全保护条例 在该条例的第二十八条中明确指出 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 病毒的分类系统病毒 蠕虫病毒 木马病毒 黑客病毒 脚本病毒 宏病毒 后门病毒 病毒种植程序病毒 破坏性程序病毒 玩笑病毒 捆绑机病毒 其他病毒病毒的传播方式网络蠕虫通过网络传播通过移动存储介质传播通过网络上载 下载 拷贝文件进行传播 病毒综述 网络蠕虫定义蠕虫病毒一种通过网络传播的恶性病毒 它具有病毒的一些共性 如传播性 隐蔽性 破坏性等等 同时具有自己的一些特征 如不利用文件寄生 有的只存在于内存中 对网络造成拒绝服务 以及和木马技术相结合等 网络蠕虫的两种主要传播方式利用远程系统漏洞进行网络传播 如阻击波 震荡波 SQL蠕虫 利用电子邮件 IM 局域网共享等进行网络传播 如爱虫 求职信蠕虫 有的蠕虫会综合以上两种方式进行网络传播 如Nimda 熊猫烧香等 蠕虫造成的危害蠕虫在主机上消耗主机资源 甚至破坏主机系统 造成主机拒绝服务 蠕虫传播造成的流量导致网络拥塞 甚至导致整个互联网瘫痪 失控 蠕虫与木马技术等相结合 窃取受害者敏感信息或者控制受害者主机 蠕虫病毒 弹头 传播引擎 目标选择算法 扫描引擎 有效负荷 目标选择算法EMAIL地址 主机列表 DNS等等扫描引擎对选定的目标进行漏洞试探弹头缓冲区溢出 共享文件 电子邮件传播引擎FTP TFTP HTTP有效负荷后门 拒绝服务攻击 其他操作 网络蠕虫 蠕虫的组成 病毒的多态技术 也就是由于这种多态 变形 病毒的出现 使利用简单特征码进行病毒检测的技术走到了尽头 下面是一段最简单的多态病毒代码 这段代码的作用是将预先加密的病毒代码解密 然后跳转到执行感染和破坏功能的病毒代码中 浏览就可以传染 可怕的脚本病毒 脚本病毒包括下面的几种基本类型 基于JAVAScript的脚本病毒 基于VBScript的脚本病毒 基于PHP的脚本病毒 脚本语言和木马程序结合的病毒 随着因特网的广泛使用 电脑病毒也出现了新的发展趋势 脚本病毒在1999年以后已经成为最主要的病毒类型之一 典型反病毒技术 特征码技术 改进基于流的特征码技术 虚拟机技术 针对多态病毒技术 缺点为效率 启发式扫描技术 对一段程序的多个方面进行加权计算 其他 覆盖法技术 驻留式软件技术 自身加密的开放式反病毒数据库技术 智能和广谱技术 蠕虫的传播过程 蠕虫的传播和防御 探测 渗透 扎根 传播 破坏 防御蠕虫过程为所有的系统及时打上漏洞补丁 中心补丁服务器 用IPS IPS来检查蠕虫的活动用访问控制来限制蠕虫传播用PVLAN来保护关键服务器用网管工具来追踪被感染的主机通过CAR来限制蠕虫流量全网部署病毒扫描措施 木马的定义木马指通过一段特定的程序 木马程序 来控制另一台计算机 木马通常有两个可执行程序 一个是客户端 即控制端 另一个是服务端 即被控制端 木马的设计者为了防止木马被发现 而采用多种手段隐藏木马 木马的服务一旦运行并被控制端连接 其控制端将享有服务端的大部分操作权限 例如给计算机增加口令 浏览 移动 复制 删除文件 修改注册表 更改计算机配置等 木马造成的危害 敏感信息泄露 如帐号 密码等记录键盘操作过程等 并发送给攻击者受害者成为傀儡机 木马综述 传统的计算机病毒在网络时代已经不是主流威胁互联网进入木马病毒经济时代木马病毒反扑 明目张胆对抗安全软件 商业化运作迹象明显 木马 木马威胁日益严峻 木马的传播方式 试图通过一些有用的功能来引起用户的兴趣 从而诱使用户运行木马程序木马被绑定在一些实用工具上利用目标机漏洞获得权限后 在目标上安装木马中了木马下载器的主机源源不断地从攻击者网站下载变种新木马 木马传播方式 保持安全意识 对可能出现的安全威胁保持警惕如不随便安装下载的免费软件正确设置IE安全域保持操作系统的升级打补丁安装防间谍软件 Anti Spyware 基于网络的防御方式 恶意软件防范 目录 基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题 发件人 收件人的黑白名单源服务器的静态黑白名单邮件标题过滤源服务器反向DNS查询源服务器实时黑名单内容关键字过滤探针邮箱 常用反垃圾邮件技术 最有技术含量的 贝斯叶算法 收集两个数据库垃圾邮件数据库正常邮件数据库在每一个数据库中 学习并定义出一些关键词 计算这些关键词的概率 新邮件到来时 计算出新到来的邮件中包含的关键词的联合概率 通过联合概率判断新到来的邮件是否是垃圾邮件 最靠谱的 RBL技术 RBL Real TimeBlackList 实时黑名单 通过将确认后的垃圾邮件来源站点 无论是否是恶意与否 放入一个黑名单 BlackholeList 然后通过发布该名单来保护邮件服务器不受到黑名单中站点的侵扰确实是一个目前对抗日益严重的垃圾邮件的行之有效的方法 目录 基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范