常见攻击与防御培训材料

1、常见攻击与防御常见攻击与防御入侵方式入侵方式v 入侵目标 系统入侵 互联网设备入侵 应用入侵 物理入侵 人脑入侵 获取口令SniffARP Spoof中间人攻击口令猜测破解口令漏洞利用缓冲区溢出SQL 注入代码注入社会工程学扫描的技术分类扫描的技术分类存活性扫描端口扫描漏洞扫描OS识别扫描流程主机扫描技术主机扫描技术v 主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。v 常用的传统扫描手段有： ICMP Echo扫描 ICMP Sweep扫描 Broadcast ICMP扫描 Non-Echo ICMP扫描v 防火墙和网络过滤设备常常导致传统

2、的探测手段变得无效。为了突破这种限制，必须采用一些非常规的手段，利用ICMP协议提供网络间传送错误信息的手段，往往可以更有效的达到目的：v 非常规的扫描手段有： 错误的数据分片：发送错误的分片（如某些分片丢失） 通过超长包探测内部路由器：超过目标系统所在路由器的PMTU且设置禁止分片标志端口扫描端口扫描v 一个端口就是一个潜在的通信通道，即入侵通道v 当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。v 很多基于端口的扫描器都以端口扫描后的返回数据作为判断服务状态的依据v 端口扫描技术应用以下协议： TCP UDP ICMP攻击攻击“谱线

3、谱线”一般的入侵流程 信息搜集 漏洞利用进入系统 实现目的 窃 取 、 篡 改 、 破坏 进一步渗透其他主机 安装后门什么是什么是DDOSDDOS攻击攻击DDOSDDOS攻击原理攻击原理mbehringmbehringISPISPCPECPEInternetInternetZombieZombie( (僵尸僵尸) )发现漏洞取得用户权取得控制权植入木马清除痕迹留后门做好攻击准备HackerHacker( (黑客黑客) )v攻击来自于众多来源，发出不计其数的IP数据包v攻击的众多来源来自不同的地理位置v会过渡地利用网络资源v拒绝合法用户访问在线资源v洪水般的攻击包堵塞住企业与互联网的全部连接v终

4、端客户的内部设备都不能有效抵御这种攻击 DDOS攻击是黑客利用攻击软件通过许多台“肉鸡”同时展开拒绝服务攻击，规模更大，危害更大MasterServerDDOS攻击特性我是硬杀伤，是劫匪、是强盗、是截拳道，用最直接的方式把你击倒！我和其他兄弟有本质的区别，他们讲究的是技巧、我强调的是力道！洪水是我的外表，霸道才是本质。从来不搞怀柔，结果只有两个，不是你倒就是我倒我只喜欢群殴，从不单挑！我只喜欢群殴，从不单挑！流量型攻击SYN FloodSYN （我可以连接吗？）（我可以连接吗？）攻击者攻击者受害者受害者伪造地址发送大量伪造地址发送大量SYN 请求请求就是让就是让你白等你白等SYN Flood

5、攻击原理攻击表现v SYN_RECV状态v 半开连接队列 遍历，消耗CPU和内存 SYN|ACK 重试 SYN Timeout：30秒2分钟v 无暇理睬正常的连接请求拒绝服务SYN （我可以连接吗？）（我可以连接吗？）SYN （我可以连接吗？）（我可以连接吗？）SYN （我可以连接吗？）（我可以连接吗？）SYN （我可以连接吗？）（我可以连接吗？）正常连接请求得不到响应正常连接请求得不到响应正常正常SYN（我可以连接吗？）（我可以连接吗？）连接型攻击CC Proxy攻击者攻击者受害者受害者(Web Server)大量非正常大量非正常HTTP Get请求请求不能建立正常的连接不能建立正常的连接非

6、正常非正常HTTP Get Flood正常用户正常用户正常正常HTTP Get Flood攻击表现非正常非正常HTTP Get Flood非正常非正常HTTP Get Flood非正常非正常HTTP Get Flood非正常非正常HTTP Get Flood非正常非正常HTTP Get FloodDB连接池连接池用完啦！用完啦！受害者受害者(DB Server)DB连接池连接池占占用用占占用用占占用用HTTP Get Flood 攻击原理v利用代理服务器向受害者发起大量HTTP Get请求v主要请求动态页面，涉及到数据库访问操作v数据库负载以及数据库连接池负载极高，无法响应正常请求 漏洞型攻击

7、Teardrop攻击 UDP Fragments 受害者受害者发送大量发送大量UDP病态分片数据包病态分片数据包Teardrop 攻击原理攻击表现v 发送大量的UDP病态分片数据包v 操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象 v 无暇理睬正常的连接请求拒绝服务 UDP FragmentsUDP FragmentsUDP FragmentsUDP Fragments服务器宕机，停止响应服务器宕机，停止响应正常正常SYN（我可以连接吗？）（我可以连接吗？）攻击者攻击者服务器服务器系统崩溃系统崩溃DDOSDDOS攻击影响攻击影响DDOS攻击起源DDOS起源： DDOS

8、最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模!在网络上掀起了血雨腥风！DDOS攻击”丰功伟绩“篇NO.1：系列：系列DDOS攻击大型网站案攻击大型网站案2000年2月，包括雅虎、CNN、亚马逊、eBay、B、ZDNet，以及E*Trade和Datek等网站均遭到了DDoS攻击，并致使部分网站瘫痪。此次事件是加拿大的一位网名叫Mafiaboy的年轻人干的,其真名叫Michael Calce，后来被指控犯了55项伤害罪，法院判罚拘禁8个月。Calce后来将其经历写成了书，书名叫做Mafiaboy：我怎么攻击互联网以及它为何会崩溃。美博客评出过去十年互联网七大灾难

9、美博客评出过去十年互联网七大灾难DDOS攻击”丰功伟绩“篇2007年5月，爱沙尼亚最近三周来已遭遇三轮“网络攻击”，总统府、议会、几乎全部政府部门、主要政党、主要媒体和2家大银行和通讯公司的网站均陷入瘫痪，为此北约顶级反网络恐怖主义专家已前往该国救援。爱沙尼亚方面认为此事与俄罗斯当局有关。如果这一指责被证实，这将是第一起国家对国家的“网络战”。爱沙尼亚总理在办公室办公DDOS攻击”丰功伟绩“篇2009年7月DDOS攻击”丰功伟绩“篇DDOS攻击”丰功伟绩“篇DDOS攻击”丰功伟绩“篇DDOS攻击形式严峻2010年2009年2008年2007年2006年2005年2004年2003年2002年6

10、5%54%40%33%29%20%16%10%6%年占网络报警的百分比%DDOSDDOS攻击的危害攻击的危害攻击流量越来越大百百G攻击流量攻击流量10G攻击流量攻击流量1G攻击流量攻击流量100M攻击流量攻击流量攻击规模不断增大针对应用的攻击越来越多CC攻击2009年7月8日，一名韩国警察厅官员在位于首尔的警察厅总部介绍黑客攻击政府网站的情况这次是CC攻击所有的安全设备都倒了攻击目的越来越商业化事件1：2008年，两家物流公司因为存在商业竞争，一公司为抢夺客户资源雇用黑客利用DDOS手段发动攻击，致使潍坊40万网通用户7月份不能正常上网。8月30日，随着3名犯罪嫌疑人被正式批捕，潍坊市公安局网

11、警支队成功侦破潍坊网通公司城域网遭受黑客攻击的特大案件。此案是山东省首例DDOS黑客攻击案。事件2：2009年， 两名男子纠集一批“肉机”，对苏州市一家网游公司发动攻击，导致该公司网络瘫痪天，并敲诈游戏币后换得赃款元。近日，苏州虎丘区法院以破坏计算机信息系统罪分别判处两人有期徒刑年个月和年个月。只抢有钱人个人发泄情绪化攻击代价越来越小传统防护手段的不足传统防护手段的不足网络安全威胁网络安全威胁内部网络信息资产内部网络信息资产内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、篡改、信息丢失、篡改、销毁销毁后门、隐

12、蔽通道后门、隐蔽通道蠕虫蠕虫网络安全体系的网络安全体系的“漏洞漏洞”网 络 安 全防防火火墙墙虚虚拟拟专专网网入入侵侵检检测测漏漏洞洞扫扫描描病病毒毒防防护护安安全全审审计计应应用用安安全全抗抗拒拒绝绝服服务务系系统统传统安全技术不足新的威胁需要新的技术来应对防火墙和防火墙和IPSIPS技术已经不能技术已经不能完全保护他们完全保护他们的客户了的客户了新的威胁需要新的威胁需要新的新的手段手段来应对来应对抗拒绝服务系统抗拒绝服务系统IPSIDS来自于传统厂商的防护技术来自于传统厂商的防护技术: : 扩大带宽扩大带宽 提高服务器性能提高服务器性能 阀值阀值每秒处理每秒处理10001000数据包，其数

13、据包，其 它丢弃它丢弃 随机丢包随机丢包每接受每接受3 3个包就丢弃一个包就丢弃一个个防火墙防火墙UTM整体安全方案中重要的一环整体安全方案中重要的一环Desktop应用层应用层Remote Laptop 网络层网络层网关层网关层现在有大概产品现在有大概产品: Security Firewall Gateway AV Content Filtering欠缺欠缺: 最强的抗洪水攻击设备 保护内部网络设备 最多的DDOS分类信息 最方便的管理现在有大概产品现在有大概产品: Proxy IDS/IPS欠缺欠缺: 对异常攻击流量的监控 对协议，端口的防护控制 对攻击数据的准确分析 避免猜测/误判现在有

14、大概产品现在有大概产品: Anti-virus Anti-spyware Personal firewall欠缺欠缺: 对CC攻击的有效防护 对应用层FTP、POP3、SMTP等应用层攻击的防护 从整体上提高应用服务的可靠性抗拒绝服务系统抗拒绝服务系统攻击者主控机僵尸网络目标服务器正常用户服务器繁忙ing，资源被耗尽专业的抗专业的抗DDOSDDOS攻击设备攻击设备超强的抗攻击性能超强的抗攻击性能功能：功能：访问控制访问控制防防DoS/DDoS攻击攻击会话会话控制控制QoS带宽管理带宽管理合法流量合法流量正常流量正常流量非法流量非法流量攻击流量攻击流量30亿次的UDP攻击2亿多次的TCP攻击保障

15、网络资源的高利用率保障网络资源的高利用率突发、不可预见、不受控制的流量重要业务流量的执行受到冲击DDOS攻击与业务无关流量：游戏， MP3，视听，网购重要业务流量：Oracle, SAP, etc.SYN FloodUDP Flood保证关键业务的可靠性保证关键业务的可靠性重要性办公OA业务办理VoIPOracle/SAP视频会议FTPEmail关键业务应用推动生产和业务发展每种应用对网络稳定的要求都很高专业的专业的DDOSDDOS攻击防护模式攻击防护模式智能识别并阻断SYN Flood攻击通过流量管理预防未知攻击智能识别并阻断ICMP Flood攻击基于每个数据包进行细致的过滤智能识别并阻断

16、UDP Flood攻击 更多其他方法，Arp Spoofing、IP Spoofing、IP Scan、Smurf/Fraggle、TCP ProxyTCP Proxy技术技术用户 抗拒绝服务系统FTP server0Client send TCP Syn 没有TCP代理的时候TCP三次握手的过程Server response Syn AckFirewall send TCP Syn for ClientFake Client Without AckReal Client send Ack Firewall response Syn AckServer

17、 response Syn Ack如果是Tcp攻击的话源地址为假冒，则不会存在这个回应报文，因此攻击报文会被清洗设备丢弃v TCPProxyTCPProxy技术就是清洗设备代替服务器完成技术就是清洗设备代替服务器完成3 3次握手连接。次握手连接。v 用于来回路径一致的情况下虚假源的用于来回路径一致的情况下虚假源的SYN-FloodSYN-Flood攻击防范及其它攻击防范及其它TCP TCP FloodFlood攻击。攻击。Client send Ack 启动TCP代理的时候TCP三次握手的过程Client send TCP Syn Firewall send Ack for Client要求：

18、 抗设备串接在链路中，客户端和服务器交互的报文必须同时经过清洗设备。（1）在接口板进行处理，尽量减少处理流程；（2）通过Cookie技术，收到合法应答后才创建会话， 避免自身资源耗尽TCP/UDPTCP/UDP反向源探测技术反向源探测技术 用于用于TCP/UDP攻击防范。攻击防范。v 第一步：第一步： 通过响应报文的校验源是否合法，以防止虚假源攻击；通过响应报文的校验源是否合法，以防止虚假源攻击；v 第二步：第二步： 源若合法，通过源若合法，通过TTL跳数确认是否是假冒其他合法地址发起的跳数确认是否是假冒其他合法地址发起的攻击。攻击。v 第三步：验证同步连接第三步：验证同步连接使用虚假源地址进

19、行攻击正常用户攻击者Eudemon要访问google，发送SYN报文看看你是不是真想访问google, 发送SYNACK， ack_sequence序号错误Internet我真的想访问哈，发送RST报文指纹识别技术指纹识别技术v 基于一次攻击使用相同的僵尸，通过识别报文特征来区分正常流（不匹配的基于一次攻击使用相同的僵尸，通过识别报文特征来区分正常流（不匹配的报文）和攻击报文（匹配特征的报文）；报文）和攻击报文（匹配特征的报文）；v 可以实现基于目的可以实现基于目的IP的指纹，防范各种源地址不断变化的攻击；的指纹，防范各种源地址不断变化的攻击；v 可以实现基于源可以实现基于源IP的指纹，防范固

20、定源发起的大流量攻击，适合防御僵尸网络的指纹，防范固定源发起的大流量攻击，适合防御僵尸网络发起的攻击；发起的攻击；v 主要防范：主要防范： HTTP Get Flood/CC攻击攻击 (源指纹源指纹) ， UDP Flood(目的指纹和源目的指纹和源指纹指纹)；攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸军团僵尸军团受害者哈，你们发的报文特征都一样，不让你们过了。基于会话防御基于会话防御Connection FloodConnection Floodv 攻击原理 Connection Flood是典型的并且非常的有效的利用小流量冲击是典型的并且非常的有效的利用小流量冲击大带宽网络服务的攻击方式，这种攻击方式目前已经越来越猖獗。大带宽网络服务的攻击方式，这种攻击方式目前已经越来越猖獗。 攻击原理利用真实的攻击原理利用真实的IP地址向服务器发起大量的连接，并且建立地址向服务器发起大量的连接，并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器上的连接之后很长时间不释放，占用服务器的资源，造成服务器上的服务应用无法响应其他客户所发起的连接。服务应用无法响应其他客户所发起的连接。v 防范方式 （1）清洗设备端基于一段时间内，统计