互联网安全攻防分析ppt课件

1、1;.2了解互联网安全现状，增强防范意识；了解互联网安全现状，增强防范意识；了解目前互联网常见的安全攻击技术手段，了解目前互联网常见的安全攻击技术手段，提高安全事件判别能力；提高安全事件判别能力；了解互联网安全管理与维护的定义和内容；了解互联网安全管理与维护的定义和内容；掌握安全管理与维护的基本能力，能提升掌握安全管理与维护的基本能力，能提升日常性的管理和维护工作水平。日常性的管理和维护工作水平。学习目标学习目标3议程议程u 安全攻防案例分析安全攻防案例分析u 当前黑客与网络安全事件的特点u 网络安全事件攻防案例分析u 常见网络安全技术常见网络安全技术u 全网防御技术u 黑客侦查与追踪技术u

2、DDoS防御技术u SQL 注入/XSS 跨站脚本u 日常安全维护日常安全维护u 应急处理方法应急处理方法4当前黑客与网络安全事件的特点当前黑客与网络安全事件的特点u 黑客可以轻易地施行跨网、跨国攻击黑客可以轻易地施行跨网、跨国攻击u 复合趋势复合趋势u 攻击往往通过一级或者多级跳板进行攻击往往通过一级或者多级跳板进行u 大规模事件出现日益频繁大规模事件出现日益频繁u 传播速度越来越快传播速度越来越快u 对终端的攻击比率越来越高对终端的攻击比率越来越高u 攻击事件的破坏程度在增加攻击事件的破坏程度在增加5当前黑客与网络安全事件的特点当前黑客与网络安全事件的特点u 黑客可以轻易地施行跨网、跨国攻

3、击黑客可以轻易地施行跨网、跨国攻击u 攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便u 具有安全知识和”专业”的人员的数量在增加u 复合趋势复合趋势u 黑客、病毒和垃圾邮件技术整合在一个蠕虫当中u 黑客组合攻击开始出现u 攻击往往通过一级或者多级跳板进行攻击往往通过一级或者多级跳板进行u 黑客技术水平在增强u 有组织、有计划犯罪事件再增加，防止追查6当前黑客与网络安全事件的特点当前黑客与网络安全事件的特点u 大规模事件出现日益频繁大规模事件出现日益频繁u 大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码F变种等）u 大量垃圾邮件的出现u 传播速度越来越快传播

4、速度越来越快u 利用系统漏洞，进行自动扫描u 由于浏览网页或查看E-Mail而受到感染或攻击u DDoS攻击7当前黑客与网络安全事件的特点当前黑客与网络安全事件的特点u 对终端的攻击比率越来越高对终端的攻击比率越来越高u 网上游戏、网上银行和电子商务的增加u 针对终端设计的黑客工具和木马u 补丁与升级不够及时u 缺乏安全防范意识u 攻击事件的破坏程度在增加攻击事件的破坏程度在增加8典型网络安全案件分析典型网络安全案件分析木马与“网银大盗”匿名电子邮件转发溢出攻击与DCOM RPC漏洞NetBios与IPCARP欺骗DDoS攻击SQL注入9木马与木马与“网银大盗网银大盗”u 冰河冰河 国产木马，

5、有G_Client.exe,G_server.exe二个文件。客户端界面10木马与木马与“网银大盗网银大盗” 网上银行构架11木马与木马与“网银大盗网银大盗”u 网银大盗网银大盗II(Troj_Dingxa.A )u 现象生成文件：%System%下，svch0stexe 修改注册表：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRun下创建：svch0st.exe = %System%svch0st.exe taskmgr.exe = %System%svch0st.exe12木马与木马与“网银大盗网银大盗”u 网银大盗网银大

6、盗II(Troj_Dingxa.A )u 原理 木马程序 ，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑 u 解决办法1、终止病毒进程svch0st.exe 2、注册表修复3、删除病毒释放的文件svch0st.exe 4、配置防火墙和边界路由器 13木马与木马与“网银大盗网银大盗”14多媒体木马多媒体木马Internet种了木马的电脑传送信息黑客摄像头语音设备Google Search “inurl:ViewerFrame?Mode=” .15匿名电子邮件转发匿名电子邮件转发u 漏洞名称：漏洞名称：Exchange Server匿名转发漏

7、洞匿名转发漏洞u 原理16匿名电子邮件转发匿名电子邮件转发u 案例案例深圳市二十多个邮件服务器Internet某数据中心台湾日本17匿名电子邮件转发匿名电子邮件转发u 造成危害u 网络堵塞u 给利用于反动宣传u 解决方法u 打补丁u 关闭该服务或端口25 , 11018溢出攻击与溢出攻击与DCOM RPC漏洞漏洞u 溢出攻击原理19溢出攻击与溢出攻击与DCOM RPC漏洞漏洞u DCOM RPC DCOM RPC 漏洞原理漏洞原理20溢出攻击与溢出攻击与DCOM RPC漏洞漏洞u 造成的危害造成的危害-冲击波冲击波21MY DOOM案例分析案例分析u 邮件蠕虫邮件蠕虫:MY DOOMu 现象

8、通过电子邮件附件传播，设定向和 发起DDoS攻击u 原理22ARP 欺骗欺骗vARP 地址解析协议ARP协议定义了两类基本的消息： 1） 请求信息：包含自己的IP地址、硬件地址和请求解析的IP地址； 2） 应答信息：包含发来的IP地址和对应的硬件地址。23ARP 欺骗欺骗2 2、原理、原理24ARP 欺骗欺骗v防范ARP欺骗的方法u交换机控制u路由器隔离u防火墙与代理服务器25DDoS攻击攻击u 原理原理26DDoS攻击方法攻击方法u 死亡之死亡之ping （ping of death）u 泪滴（泪滴（teardrop）u UDP洪水（洪水（UDP flood）u SYN洪水（洪水（SYN f

9、lood）u Land攻击攻击u Smurf攻击攻击u Fraggle攻击攻击27常用常用DDoS攻击工具攻击工具u Thankgodu SYN Flooderu 独裁者独裁者u Trinoou TFN2Ku Stacheldraht28SQL注入注入vWeb攻击模拟演示5IDS 交换机防火墙Web服务器DB服务器3Select * from product where id =9714AKAK4747M188M188DBS00DBS003 3tytypepeDevicenDevicenameameDevicDeviceNoeNo正常访问流程正常访问流程29SQL注入注入vWeb攻击模拟演示S

10、QLSQL注入攻击流程注入攻击流程580端口HTTP请求2;drop%20table%20dbappsecurity_new-IDS交换机防火墙Web服务器DB服务器3Select * from product where id =97Drop table dbappsecurity_new1AKAK4747M188M188DBS00DBS003 3tytypepeDevicenDevicenameameDevicDeviceNoeNo4命令已执行成功30常见网络安全技术常见网络安全技术31 黑客侦查与追踪技术黑客侦查与追踪技术32黑客侦查与追踪系统黑客侦查与追踪系统u 系统组成 1、现场勘查

11、分析、现场勘查分析 2、服务器监控、服务器监控 3、远程追踪、远程追踪分析控制软件分析控制软件服务监控软件服务监控软件远程追踪探头远程追踪探头33黑客侦查与追踪系统黑客侦查与追踪系统u 原理原理34黑客侦查与追踪系统黑客侦查与追踪系统u 远程追踪35DDoS攻击防御技术攻击防御技术u 当前当前DDoS防御技术防御技术u SYN代理u SYN网关u DDoS防御网关防御网关36DDoS攻击防御方法攻击防御方法u SYN中继（代理）u 工作原理工作原理Host37SYN中继（代理）38SYN中继（代理）u 存在问题存在问题39DDoS攻击防御方法攻击防御方法u SYN网关网关u 工作原理Host4

12、0SYN网关41SYN网关u 存在问题42DDoS防御技术防御技术“催命催命”算法算法（三）（三）43Host444546自适应“催命”算法u 针对性针对性u 工作原理工作原理47恶性服务请求攻击的防御48其它措施其它措施某集团内网黑客黑客DDOS网关49应用层攻击防御应用层攻击防御50针对针对WEB的攻击的攻击Web ServerWeb Server身份认证数据字典权限/角色敏感信息系统文件获取缓冲区溢出DOS攻击DB ServerDB Server防火墙防火墙51Web风险的产生风险的产生攻击结果攻击结果泄漏客户敏感数据，例如网银账号，手机通话记录等。篡改数据，发布虚假信息或者进行交易欺诈

13、。使WEB网站成为钓鱼攻击的平台，将攻击扩大到所有访问WEB应用的用户。例如：网银成为了钓鱼的场所，那么其危害和影响是不言而喻的。拒绝服务，利用应用的弱点，造成拒绝服务，影响业务的正常运作风险的产生风险的产生 80%基于WEB的应用或多或少都存在安全问题，其中很大一部分是相当严重的问题 防火墙、IDS或者使用SSL协议对此毫无用处 不仅仅是开放在Internet的Web存在风险 更多的 ERP/CRM/MSS 系统也都使用了Web应用程序 52跨站脚本攻击简介跨站脚本攻击简介(1)53跨站脚本攻击简介跨站脚本攻击简介(2) 54跨站脚本攻击简介跨站脚本攻击简介(3) 直接影响：利用该漏洞可以欺

14、骗信任此网站的用户去执行任意的恶意代码或者转向其他恶意URL。 潜在影响：导致网站用户对网站的信任度降低。安全安全风险风险55跨站脚本攻击简介跨站脚本攻击简介(4) 56SQL注入攻击简介注入攻击简介技术技术概述概述 就攻击技术本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQL Injection攻击就发生了。 实际上，SQL Injection攻击是存在于常见的多连接的应用程序中的一种漏洞，攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询,篡改和命令

15、执行。 就风险而言，SQL Injection攻击也是位居前列，和缓冲区溢出漏洞相比，其优势在于能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的系统权限。 在Web应用漏洞中，SQL Injection 漏洞的风险要高过其他所有的漏洞。安全安全风险风险57SQL注入攻击简介注入攻击简介攻击特点攻击特点 攻击的广泛性：由于其利用的是SQL语法,使得攻击普遍存在； 攻击代码的多样性：由于各种数据库软件及应用程序有其自身的特点，实际的攻击代码可能不尽相同；影响范围影响范围 数据库：MS-Sql Server、Oracle、Mysql、DB2、Informix等所有基于SQL语言标

16、准的数据库软件； 应用程序：ASP、PHP，JSP、CGI、CFM等所有应用程序；58SQL注入攻击注入攻击(3)Web服务器身份认证信息权限/角色敏感应用数据系统级文件存取缓冲区溢出DOS攻击数据字典DB服务器SQL注入攻击示意注入攻击示意59WEB应用深度防御应用深度防御v实时告警实时告警601、建立整体监控管理系统2、关注你负责的系统 把所管理的网站系统（或者监控系统）设为浏览器的首页，每天至少看三次你所管理的系统，残酷地说，管理员没有节假日，因为节假日恰恰是攻击的高发时段。日常安全维护日常安全维护613、定期备份数据库和供下载的文档、定期备份数据库和供下载的文档定期备份数据库和上传的文

17、件，如果不是很经常更新，访问量不大，大概每周备份一次，反之每天一次，不要怕麻烦，这个制度很有必要。日常安全维护日常安全维护624、经常用FTP登陆，查看上传目录下的文件格式上传目录下不应该有asp,cer,cdx,com,exe,bat之类的文件.一般情况下，允许上传的文件格式有：图片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCXOFFICE文档：DOC,XLS,PPT,MDB文本文件：TXT,RTF压缩文件：RAR,ZIP,ISO日常安全维护日常安全维护635、掌握最新的补丁以及漏洞信息经常关注官方网站的补丁发布，及时修改。这里推荐一个带漏洞搜索引擎的漏洞公布网址：日常安全维护

18、日常安全维护646、设置足够强壮的密码、设置足够强壮的密码管理的帐号密码应与管理员个人常用的不同，以防他人从别处得到网站的密码。如果有多个管理员，要保证所有人的密码都是“健壮的”，即不能像“123456”这样容易猜测，必须是数字、字母和符号的组合。这点很重要，不然所有的安全措施都是徒劳！日常安全维护日常安全维护65日常安全维护日常安全维护一、部署专用网络安全设备一、部署专用网络安全设备:防火墙防火墙 漏洞扫描漏洞扫描 入侵检测系统入侵检测系统 Anti DDoS 、 流量监流量监控控二、网站系统的专用保护方法二、网站系统的专用保护方法 v本地和远程：本地监控、远程建立统计监控平台；本地和远程：

19、本地监控、远程建立统计监控平台；v定时和触发：根据等级设定触发时间；定时和触发：根据等级设定触发时间； v比较方法比较方法 ：文件大小、数字签名；：文件大小、数字签名；v恢复方式：本地恢复、远程恢复；恢复方式：本地恢复、远程恢复；v备份库的安全备份库的安全 ：隐藏备份库；：隐藏备份库；三、网站保护的缺陷三、网站保护的缺陷 v保护软件通常都是针对静态页面而保护软件通常都是针对静态页面而设计设计，而现在动态页面占据的范围越来越大，尽管本地监，而现在动态页面占据的范围越来越大，尽管本地监测方式可以检测脚本文件，但对脚本文件使用的数据库却无能为力。测方式可以检测脚本文件，但对脚本文件使用的数据库却无能为力。 66应急处理方法应急处理方法应急事件处理应急事件处理 四四 步曲步曲1 1、先找专家、先找专家 2 2、立刻恢复、立刻恢复 3 3、分析源头、分析源头 4 4、修补漏洞、修补漏洞671、先找专家、先找专家 a、联系专业安全服务单位、联系专业安全服务单位 b、联系专业安全组织、联系专业安全组织 2、立刻恢复、立刻恢复 用备份文件替换被篡改的文件，