常见黑客攻击及安全防御手段课件_第1页
常见黑客攻击及安全防御手段课件_第2页
常见黑客攻击及安全防御手段课件_第3页
常见黑客攻击及安全防御手段课件_第4页
常见黑客攻击及安全防御手段课件_第5页
已阅读5页,还剩36页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

常见黑客攻击及安全防御手段绿盟科技于慧龙提纲常见的黑客攻击方法常用的安全技术防范措施常见的黑客攻击方法采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的入侵系统的常用步骤端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途较高明的入侵步骤常见的安全攻击方法直接获取口令进入系统:网络监听,暴力破解利用系统自身安全漏洞特洛伊木马程序:伪装成工具程序或者游戏等诱使用户打开或下载,然后使用户在无意中激活,导致系统后门被安装WWW欺骗:诱使用户访问纂改过的网页电子邮件攻击:邮件炸弹、邮件欺骗网络监听:获取明文传输的敏感信息通过一个节点来攻击其他节点:攻击者控制一台主机后,经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(D.o.S和D.D.o.S)2001年中美黑客大战事件背景和经过4.1撞机事件为导火线4月初,以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击,约300个左右的站点页面被修改4月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,4月26日有人发表了“五一卫国网战”战前声明,宣布将在5月1日至8日,对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道,评论,中旬结束大战国内黑客组织更改的网站页面美国劳工部网站美国某节点网站美国某大型商业网站美国某政府网站这次事件中被利用的典型漏洞用户名泄漏,缺省安装的系统用户名和密码Unicode编码可穿越firewall,执行黑客指令ASP源代码泄露可远程连接的数据库用户名和密码SQLserver缺省安装微软Windows2000登录验证机制可被绕过Bind远程溢出,Lion蠕虫SUNrpc.sadmind远程溢出,sadmin/IIS蠕虫Wu-Ftpd格式字符串错误远程安全漏洞拒绝服务(syn-flood,ping)这次事件中被利用的典型漏洞Windows2000登录验证机制可被绕过TCP/IP的每个层次都存在攻击TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听混合型、自动的攻击

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻击:蠕虫WebServerViaWebPageWorkstationWebServerMailGateway攻击的发展趋势防病毒防火墙入侵检测风险管理攻击的发展趋势漏洞趋势严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和Internet漏洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。主动恶意代码趋势制造方法:简单并工具化技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身,躲避甚至攻击防御检测软件.表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽,复制传播,难以检测。受攻击未来领域即时消息:MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备“红色代码”病毒的工作原理

病毒利用IIS的.ida

漏洞进入系统并获得

SYSTEM权限(微软在2001年6月份已发布修复程序MS01-033)病毒产生100个新的线程99个线程用于感染其它的服务器第100个线程用于检查本机,并修改当前首页在7/20/01时所有被感染的机器回参与对白宫网站的自动攻击.MYDOOM的工作原理W32.Novarg.A@mm[Symantec],受影响系统:Win9x/NT/2K/XP/20031、创建如下文件:%System%shimgapi.dll%temp%Message,这个文件由随机字母通组成。%System%taskmon.exe,如果此文件存在,则用病毒文件覆盖。2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器,并开启3127到3198范围内的TCP端口进行监听;3、添加如下注册表项,使病毒可随机启动,并存储病毒的活动信息。4、对实施拒绝服务(DoS)攻击,创建64个线程发送GET请求,这个DoS攻击将从2004年2月1延续到2004年2月12日;5、在如下后缀的问中搜索电子邮件地址,但忽略以.edu结尾的邮件地址:.htm.sht.php.asp.dbx.tbb.adb.pl.wab.txt等;6、使用病毒自身的SMTP引擎发送邮件,他选择状态良好的服务器发送邮件,如果失败,则使用本地的邮件服务器发送;7、邮件内容如下:From:可能是一个欺骗性的地址;主题:hi/hello等。常见的安全技术防范措施

访问控制

认证

NAT

加密

防病毒、内容过滤流量管理常用的安全防护措施-防火墙防火墙的局限性防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙本身的防攻击能力不够,容易成为被攻击的首要目标。防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。入侵检测系统FirewallInternetServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgent入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态,找出所需要的证据主动响应主动切断连接或与防火墙联动,调用其他程序处理漏洞扫描系统Internet地方网管scanner监控中心地方网管地方网管地方网管地方网管拒绝服务攻击(DoS/DDoS)网络层SYNFloodICMPFloodUDPFloodPingofDeath应用层垃圾邮件CGI资源耗尽SYNFlood原理正常的三次握手建立通讯的过程SYN(我可以连接吗?)ACK(可以)/SYN(请确认!)ACK(确认连接)发起方应答方SYNFlood原理SYN(我可以连接吗?)ACK(可以)/SYN(请确认!)攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接连接耗尽正常tcpconnect攻击者受害者大量的tcpconnect这么多需要处理?不能建立正常的连接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用户正常tcpconnect拒绝服务攻击的对抗网络层升级系统防止pingofdeath等攻击通过带宽限制来防止flood攻击应用层拒绝服务的抵抗通常需要在应用层进行特定的设计SYNFlood与连接耗尽是难点计算机病毒程序型病毒引导型病毒宏病毒特洛伊木马型的程序有危害的移动编码防病毒软件历史单机版静态杀毒实时化反病毒防病毒卡动态升级主动内核技术自动检测技术:特征代码检测单特征检查法基于特征标记免疫外壳防病毒技术发展第一代反病毒技术采取单纯的病毒特征诊断,对加密、变形的新一代病毒无能为力;第二代反病毒技术采用静态广谱特征扫描技术,可以检测变形病毒误报率高,杀毒风险大;第三代反病毒技术静态扫描技术和动态仿真跟踪技术相结合;第四代反病毒技术基于病毒家族体系的命名规则基于多位CRC校验和扫描机理启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块企业级防病毒体系集中管理多次防病毒体系系统安全加固基本安全配置检测和优化密码系统安全检测和增强系统后门检测提供访问控制策略和工具增强远程维护的安全性文件系统完整性审计增强的系统日志分析系统升级与补丁安装Windows系统安全加固使用Windowsupdate安装最新补丁;更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全;卸载不需要的服务;将暂时不需要开放的服务停止;限制特

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论