安全基础知识培训ppt课件

安全基础知识培训,亿阳安全黄建东2020年6月,1,一些常见概念和名词,木桶原理三分技术，七分管理Sniffer、Fport、远程控制等CISSPCobitITILBS7799ISO17799：2005ISO27001：2005GB/T19716:2005PDCA,2,主要内容,入侵检测WINDOWS系统入侵检测UNIX系统入侵检测Web及数据库常见攻击与检测常见的网络安全事件攻击原理与检测病毒、蠕虫原理分析与防范木马、流氓软件分析与防范,3,1.1入侵方式分析,字典攻击和防范劫持攻击和防范Man-in-the-middle攻击和防范病毒攻击和防范非法服务和防范溢出攻击和防范网络欺骗和防范拒绝服务攻击和防范,4,字典攻击：黑客利用一些自动执行的程序猜测用户命和密码。Man-in-the-middle攻击：黑客从合法的传输过程中嗅探到密码和信息。劫持攻击：在双方进行会话时被第三方（黑客）入侵，黑客黑掉其中一方，并冒充-他继续与另一方进行会话。病毒攻击：病毒是能够自我复制和传播的小程序，消耗系统资源。非法服务：非法服务是任何未经同意便运行在你的操作系统上的进程或服务.溢出攻击：对漏洞程序进行缓冲区溢出,从而获取主机操作权限。网络钓鱼：网络钓鱼攻击利用伪装的电子邮件和欺骗的网址欺骗用户。拒绝服务攻击：利用各种程序（包括病毒和包发生器）使系统崩溃或消耗带宽。,1.1典型入侵方法,5,路由器/交换机数据库Web和FTP服务器与协议相关的服务，如DNS、WINS和SMB系统漏洞,最常遭受攻击的目标,6,UNIXFirewall,E-MailServer,WebServer,Router,NT,Clientsdeletefromuserswhereuser0;猜测表名：ID=49And(SelectCount(*)fromAdmin)=0猜测字段：ID=49And(SelectCount(username)fromAdmin)=0猜测字段长度：id=49and(selecttop1len(username)fromAdmin)n猜测用户名值：id=49and(selecttop1asc(mid(username,1,1)fromAdmin)0（析半查找法）存储过程漏洞：http:/Site/url.asp?id=1;execmaster.xp_cmdshell“netusernamepassword/add”http:/Site/url.asp?id=1;backupdatabase数据库名todisk=c:inetpubwwwroot1.db;-,22,注入防范,FW软件技术用户权限表名和数据库文件数据库密码,23,5常见的网络安全事件攻击原理防范,缓冲区溢出字典攻击劫持攻击Man-in-the-middle攻击非法服务溢出攻击网络欺骗拒绝服务网络窃听网络异常流量僵尸网络,24,缓冲区溢出攻击原理,正常命令调用：COMMANDr1refr2ref,参数堆栈区,ref2ref1,调用返回点,imapd空间,用户命令,25,缓冲区溢出攻击原理,异常命令调用：COMMAND参数超长,参数堆栈区,调用返回点,imapd空间,用户命令,覆盖的返回点,26,缓冲区溢出攻击原理,攻击成功的两个条件imapd本身有缺陷，存在边界检查等方面的漏洞。使得攻击者可以测算出溢出的状态。imapd是用超级用户权限启动的守护进程。,27,hacker$,./imap_,IMAPExploitforLinux.Author:Akylonius(akygaleb.etf.bg.ac.yu)Modifications:p1(),Completedsuccessfully.,hacker$,Trying8.,C.,RedHatLinuxrelease4.2(Biltmore)Kernel2.0.35onani686,root,bigwidget:#,whoami,root,bigwidget:#,cat./hosts,localhostlocalhost.localdomain0thevaultaccounting1fasttalksales2geekspeakengineering3peoplehumanresources4thelinksmarketing5thesourceinformationsystems,bigwidget:#,cd/etc,bigwidget:#,rloginthevault,login:,搜索其他主机信息并尝试登录,28,AllanB.Smith6543-2223-1209-400212/99DonnaD.Smith6543-4133-0632-457206/98JimSmith6543-2344-1523-552201/01JosephL.Smith6543-2356-1882-753204/02KayL.Smith6543-2398-1972-453206/03MaryAnnSmith6543-8933-1332-422205/01RobertF.Smith6543-0133-5232-333205/99,thevault:#,catvisa.txt,cd/data/creditcards,thevault:#,thevault:#,crack/etc/passwd,Cracking/etc/passwd.,username:bobpassword:ding,username:marypassword:mary,username:rootpassword:ncc1701,thevault:#,ftpthesource,Connectedtothesource220thesourceMicrosoftFTPService(Version4.0).,Name:,administrator,331Passwordrequiredforadministrator.,Password:,*,230Useradministratorloggedin.,RemotesystemtypeisWindows_NT.,浏览文件，搜索用户信息,利用字典攻击，获得root口令,用相同的口令尝试其他主机,成功完成R系列远程登录,29,安放后门,30,31,ftp,cdtemp,250CDWcommandsuccessful.,ftp,sendnetbus.exe,local:netbus.exeremote:netbus.exe,200PORTcommandsuccessful.,150OpeningBINARYmodedataconnectionfornetbus.exe,226Transfercomplete.,ftp,ftp,quit,thevault:$,telnetthesource,Trying60.,.C.,Escapecharacteris.,Microsoft(R)WindowsNT(TM)Version4.00(Build1381),WelcometoMSTelnetServiceTelnetServerBuild5.00.98217.1login:,administrator,password:,*,*=WelcometoMicrosoftTelnetServer.*=C:,cdtemp,C:TEMP,netbus.exe,32,33,防范方法,建立更加复杂的密码机制使用入侵检测系统（IDS）来预警攻击通过做全面的日志记录来审计这类攻击,34,字典攻击与防范,穷举法暴力口令猜解的一种简化方法攻击过程：进入认证输入模式开启暴力猜解工具导入预先生成好的字典库反复进行匹配校验,35,劫持攻击和防范,攻击过程：利用工具（AladdinUDP）黑死一台机器冒用死机的IP地址对目标机发送ICMP,使其更新ARP缓存与目标机通讯,36,防范方法,防范会话劫持是一个比较大的工程。首先应该使用交换式网络替代共享式网络，虽然像Hunt这样的工具可以在交换环境中实现会话劫持，但还是应该使用交换式网络替代共享式网络，因为这样可以防范最基本的嗅探攻击。最根本的解决办法是采用加密通讯，使用SSH代替Telnet、使用SSL代替HTTP，或者干脆使用IPSec/VPN，这样会话劫持就无用武之地了。其次，监视网络流量，如发现网络中出现大量的ACK包，则有可能已被进行了会话劫持攻击。防止欺骗,37,Man-in-the-middle攻击和防范,攻击过程：攻击者利用工具(FRAGROUTE)将自身的ip转发功能打开分别使用PING命令获取攻击目标以及网关的MAC地址利用工具（arpredirect）重新路由Lan内部目标主机和其他主机的联系攻击者成为了攻击目标和网关间的路由器使用SNIFFER监听两台主机间的会话内容，从而窃取信息。,主机A,主机B,攻击者,内容,38,防范方法,不要把网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。设置静态的mac-ip对应表，不要让主机刷新你设定好的转换表。除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。使用硬件屏蔽主机。设置路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。管理员定期轮询，检查主机上的ARP缓存。,39,非法服务原理和防范,攻击过程：攻击者通过某种途径安装木马程序或后门程序到被攻击者系统远程通过控制程序与攻击者系统通讯获取信息资料或帐号密码攻击者系统沦陷为傀儡,40,防范方法,审计TrapDoor和RootKitRootkit是用木马替代合法程序。TrapDoor是系统上的bug，当执行合法程序时却产生了非预期的结果。如老版本的UNIXsendmail，在执行debug命令时允许用户以root权限执行脚本代码，一个收到严格权限控制的用户可以很轻易的添加用户账户。虽然rootkit通常出现在UNIX系统中，但攻击者也可以通过看起来合法的程序在WindowsNT中置入后门。象NetBus,BackOrifice和MastersofParadise等后门程序可以使攻击者渗透并控制系统。木马可以由这些程序产生。如果攻击者够狡猾，他可以使这些木马程序避开一些病毒检测程序。当然用最新升级的病毒检测程序还是可以发现它们的踪迹。在对系统进行审计时，可以通过校验分析和扫描开放端口的方式来检测是否存在rootkit等问题。,41,溢出攻击和防范,攻击过程：利用工具（NC）打开一个监听端口使用溢出工具对一个系统漏洞进行溢出攻击（例如MS05039）攻击目标被溢出后反向连接到攻击着开放的监听端口上攻击者通过NETUSER/ADD和NETLOCALGROUP/ADD命令添加用户和提升权限,溢出,利用NC开启端口LISTEN,反向连接,攻击目标,攻击者,42,防范方法,及时安装漏洞程序相应的补丁包对希望保护的主机实行“单独开放端口”访问控制策略使用应用层防火墙系统在应用层对数据进行处理使用IDS功能的防火墙系统达到监控应用层数据的效果,43,网络欺骗和防范,攻击过程：发送带有欺骗性质的EMAIL或WEB链接导致被攻击者进入非法或危险的界面感染病毒、木马或泄露用户重要信息被攻击者完全被攻击者掌控,44,防范方法,提高安全意识，不要随便浏览陌生邮件或陌生站点,45,拒绝服务攻击和防范,攻击过程：首先攻击者利用工具（Ftn2k,trinoo）向服务器发送众多的带有虚假地址的请求或畸形数据包服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽,46,防范方法,关闭不必要的服务；将数据包的连接数从缺省值128或512修改为2048或更大，以加长每次处理数据包队列的长度，以缓解和消化更多数据包的连接；将连接超时时间设置得较短，以保证正常数据包的连接，屏蔽非法攻击包；及时更新系统、安装补丁。防火墙设置：禁止对主机非开放服务的访问；限制同时打开的数据包最大连接数；限制特定IP地址的访问；启用防火墙的防DDoS的属性；严格限制对外开放的服务器的向外访问，以防止自己的服务器被当做工具攻击他人。路由器设置：访问控制列表（ACL）过滤；设置数据包流量速率；为路由器建立logserver。,47,6病毒、蠕虫原理分析与防范,病毒攻击,48,病毒攻击和防范,攻击过程：通过各种途径进入计算机系统（介质、系统漏洞）复制