黑客攻击及安全防御手段课件

网络安全防护万洋2007.1.4课程的目的掌握网络安全的基本概念和内容。了解Internet安全面临着哪些威胁和个人上网用户面临着哪些网络陷阱。理解计算机网络提供的安全服务和安全机制、安全服务和安全机制之间的关系，安全服务与层的关系以及安全服务机制的配置。掌握网络的安全管理与安全控制机制、网络安全的常规防护和控制措施，以及网络安全实施过程中需要注意的一些问题。课程安排信息安全概述信息防护知识威胁信息安全人群黑客攻击及安全防御手段信息安全概述目前面临的信息安全问题

计算机和计算机网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。

网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络政治颠覆活动频繁。信息安全概述当今中国网络信息安全形式随着中国电子商务与电子政务的突飞猛劲的发展信息安全市场成长迅速,对信息安全服务及人员需求增大。目前我国没有建立成型的安全人员培训体系与相关职位，造成信息安全发展那的待后。客户对信息安全的需求趋向全方位的安全服务体系，不能简单的购置放火墙、杀毒工具所能满足中国政府、军队、企业、网民2002年起注重网络信息安全的自我保护意识逐渐增长，对信息安全人员与信息安全服务体系需求增大。信息安全概述2005年美国FBI对网络信息安全调查

[美国]

结论：在全部的安全事件中，信息外泄事件造成的损失高达97%

连续5年排在第一位信息来源:2004CSI/FBIComputerCrime&SecuritySurvey计算机安全损失97%020%40%60%80%90%100%阴谋破坏

信息外泄55%

未授权服务32%

拒绝服务31%25%

外部系统攻击13%

信息盗窃

2004年计算机安全事件信息安全基础知识美国的“可信计算机系统评估准则根据以下这四个准则为计算机的安全级别进行了分类，分为D、C、B、A级，由低到高。D级暂时不分子级。C级分为C1和C2两个子级，C2比C1提供更多的保护。B级分为B1、B2和B3三个子级，由低到高。A级暂时不分子级。每级包括它下级的所有特性。信息安全基础知识D级

D级是最低的安全级别，整个计算机系统是不可信任的。硬件和操作系统很容易被侵袭。任何人都可以自由地使用该计算机系统，不对用户进行验证。系统不要求用户进行登记（要求用户提供用户名）或使用密码（要求用户提供唯一的字符串来进行访问）。任何人都可以坐在计算机的旁边并使用它。DOS、Windows3.x及Windows95(不在工作组方式中)都属于D级的计算机操作系统。信息安全基础知识C级分为C1和C2两个子级

C1级是选择性安全防护系统，要求硬件有一定的安全保护（如硬件有带锁装置，需要钥匙才能使用计算机）。用户在使用计算机系统前必须先登录。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限。UNIX系统、Linux系统、WindowsNT都属于C1级兼容计算机操作系统。信息安全基础知识B级分为B1、B2和B3三个子级

B1级：指符号安全防护，支持多级安全。“符号”是指网上的一个对象，该对象在安全防护计划中是可识别且受保护的。“多级”是指这一安全防护安装在不同级别，对敏感信息提供更高级的保护，让每个对象都有一个敏感标签，而每个用户都有一个许可级别。B1级安全措施的计算机系统随着计算机系统而定，政府机构和防御承包商们是B1级计算机系统的主要拥有者。信息安全基础知识B2级

B2级又称为结构防护，要求计算机系统中所有对象加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。如允许用户访问一台工作站，但不允许访问含有职员工资资料的磁盘子系统。信息安全基础知识B3级

B3级又称为安全域，要求用户工作站或终端通过可信任途径连接网络系统，而且这一级采用硬件来保护安全系统的存储区。中国国家标准《计算机信息安全保护等级划分准则》该准则将计算机信息系统安全保护等级划分为五个级别用户自主保护级本级的安全保护机制使用户具备自主安全保护能力，保护用户和用户组信息，避免其他用户对数据的非法读写和破坏。2.系统审计保护级本级的安全保护机制具备第一级的所有安全保护功能，并创建、维护访问审计跟踪记录，以记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，使所有用户对自己行为的合法性负责。中国国家标准《计算机信息安全保护等级划分准则》3.安全标记保护级本级的安全保护机制有系统审计保护级的所有功能，并为访问者和访问对象指定安全标记，以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。4.结构化保护级本级具备第3级的所有安全功能。并将安全保护机制划分成关键部分和非关键部分相结合的结构，其中关键部分直接控制访问者对访问对象的存取。本级具有相当强的抗渗透能力。

中国国家标准《计算机信息安全保护等级划分准则》5.安全域级保护级本级的安全保护机制具备第4级的所有功能，并特别增设访问验证功能，负责仲裁访问者对访问对象的所有访问活动。本级具有极强的抗渗透能力。信息安全防护知识漏洞的概念漏洞的概念

在计算机网络安全领域，“漏洞”是指硬件、软件或策略上的缺陷，这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限，非法用户就可以为所欲为，从而造成对网络安全的威胁。信息安全防护知识漏洞的类型允许拒绝服务的漏洞允许有限权限的本地用户未经授权提高其权限的漏洞。允许外来团体（在远程主机上）未经授权访问网络的漏洞。信息安全防护知识漏洞对网络安全的影响漏洞影响Internet的可靠性和可用性漏洞导致Internet上黑客入侵和计算机犯罪漏洞致使Internet遭受网络病毒和其它软件的攻击信息安全防护知识后门后门是程序中绕过例行检查的入口这种非正常入口在程序开发过程中普遍存在，一旦系统发布所有后门均应关闭后门一般有两种情况忘记关闭有意保留信息安全防护知识威胁类型阻断系统资产被毁损或变成不可用、不能用截取非授权方得到系统资产，如盗取保密数据篡改系统数据被非授权者改变伪造非授权者将假对象加入系统信息安全防护知识逻辑炸弹

逻辑炸弹是隐藏在合法程序中可以被某种条件触发而执行某种破坏性动作的程序软件开发者可以采用这种手段制约使用者，以达到某种目的。逻辑炸弹程序的设计是容易的，一般编程人员都能实现，但要伪装得好、不易被发现，则需要一定的设计技巧和编程经验。信息安全防护知识特洛伊木马

特洛伊木马是嵌入于某合法程序中的秘密例程，合法程序的执行将导致秘密例程的执行，是具有伪装的攻击程序。例如：甲欲得到乙的文件F,因无权限不能直接访问，便编写一个游戏程序G并邀请甲玩，甲运行G，这确实是一个游戏程序，但在后台G将F复制到乙用户的目录下，达到了文件窃取的目的。

实际演示捆扎与反捆扎程序

信息安全防护知识细菌

消耗系统资源进程复制文件复制细菌可以指数级别增长消耗CPU资源内存资源磁盘空间

信息安全防护知识病毒病毒不是一个独立的程序，而是寄生于某一合法程序(通常是一个可执行程序)上的一段代码，其危害包括两个方面：传播：使其它文件感染上该病毒；破坏：具体破坏动作多种多样，如删除系统文件等。信息安全防护知识蠕虫复制和传播，通过自身复制消耗系统资源，在网上从一个计算机传播到另一个计算机；除复制和传播外，可能伴随执行不期望的动作等。威胁信息安全人群黑客和入侵者黑客让人感到神秘的名词！这个名词是由英文“hacker”译过来。而“hacker”又源于英文动词“hack”（字典里注解为：劈砍，引申为“干了一件不错的事情”）黑客并不指入侵者。黑客起源50年代麻省理功学院。他们追求新技术、新思维，热忠解决问题。威胁信息安全人群黑客联盟发展历史

1998年组建中国黑客紧急会议中心。1999年6月中国黑客紧急会议中心转组为中国黑客联盟。从此中国黑客联盟走向历史舞台。2000年5月因美国轰炸中国驻南联盟大使馆事件，中国黑客联盟发起对美国网站的首轮攻击。收效显著，继而中国红客联盟及中国鹰派发动后续攻击。此事件即震惊世界的”中美黑客大战”.2001年中国黑客联盟逐步形成规范的联盟管理体制。进行分站编组，统一管理。联盟成员达到15万余人。威胁信息安全人群黑客和入侵者入侵者是指坏着不良企图，闯入甚至破坏远程机器系统完整性的人。“入侵者”利用获得的非法访问权，破坏重要数据，拒绝合法用户服务请求，或为了自己的目的制造麻烦。“入侵者”很容易识别，因为他们的目的是恶意的。黑客攻击及安全防御手段常见的黑客攻击方法及入侵技术的发展

19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务www攻击工具攻击者入侵者水平攻击手法半开放隐蔽扫描控制台入侵检测网络管理DDOS攻击2002高黑客攻击及安全防御手段入侵系统的常用步骤

采用漏洞扫描工具获取系统一定权限安装系统后门获取敏感信息或者其他攻击目的提升为最高权限选择会用的方式入侵黑客攻击及安全防御手段较高明的入侵步骤

端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途黑客攻击及安全防御手段常见的安全攻击方法直接获取口令进入系统：网络监听，暴力破解利用系统自身安全漏洞特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装WW欺骗：诱使用户访问纂改过的网页电子邮件攻击：邮件炸弹、邮件欺骗网络监听：获取明文传输的敏感信息通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(D.o.S和D.D.o.S)黑客攻击及安全防御手段社会工程学攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。社会工程学攻击目前社会工程学攻击主要包括两种方式1、打电话请求密码尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。2、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。物理攻击与防范物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。暴力攻击暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解—段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。2001年中美黑客大战事件背景和经过

4.1撞机事件为导火线4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改4月下旬，中国黑客联盟，开始对美国网站进行攻击行动，4月26日发表了“五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道，评论，中旬结束大战国内被更改的部分网页中经网数据有限公司中国科学院心理研究所国内某政府网站国内某大型商业网站美国被更改的部分网页美国劳工部网站美国某节点网站美国某大型商业网站美国某政府网站这次事件中采用的常用攻击手法大部分都是NT/Win2000系统。主要采用系统漏洞与程序注入进行攻击这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码ASP源代码泄露可远程连接的数据库用户名和密码SQLserver缺省安装微软Windows2000登录验证机制可被绕过IIS远程溢出。拒绝服务洪水攻击这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码这次事件中被利用的典型漏洞Windows2000登录验证机制可被绕过TCP/IP的每个层次都存在攻击TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听混合型、自动的攻击

WorkstationViaEmailWorkstationMailServerInternet混合型攻击:蠕虫WebServerViaWebPageWorkstationWebServerMailGateway防病毒防火墙入侵检测风险管理攻击的发展趋势攻击的发展趋势漏洞趋势

严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)

混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和Internet漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。

攻击的发展趋势主动恶意代码趋势制造方法：简单并工具化技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。受攻击未来领域

即时消息：MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备“红色代码”病毒的工作原理

病毒利用IIS的.ida

漏洞进入系统并获得

SYSTEM权限(微软在2001年6月份已发布修复程序MS01-033)病毒产生100个新的线程99个线程用于感染其它的服务器第100个线程用于检查本机,并修改当前首页在7/20/01时所有被感染的机器回参与对白宫网站的自动攻击.尼母达Nimada的工作原理4种不同的传播方式IE浏览器:利用IE的一个安全漏洞(微软在2001年3月份已发布修复程序MS01-020)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.(微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)电子邮件附件:(已被使用过无数次的攻击方式)文件共享:针对所有未做安全限制的共享常用的安全防护措施防火墙入侵检测漏洞扫描抗拒绝服务防病毒系统安全加固补丁集中管理

访问控制

认证

NAT

加密

防病毒、内容过滤流量管理常用的安全防护措施－防火墙防火墙的局限性防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙本身的防攻击能力不够，容易成为被攻击的首要目标。防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。防火墙与IDS联动时间Dt-检测时间Pt-防护时间Rt-响应时间Pt-防护时间>+防火墙与IDS联动一个黑客在到达攻击目标之前需要攻破很多的设备(路由器，交换机)、系统（NT，UNIX）和放火墙的障碍，在黑客达到目标之前的时间，我们称之为防护时间Pt；在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt,检测到黑客的行为后，我们需要作出响应，这段时间称之为Rt.假如能做到Dt+Rt<Pt,那么我们可以说我们的目标系统是安全的。入侵检测系统FirewallInternetServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgent入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理漏洞扫描系统Internet地方网管scanner监控中心地方网管地方网管地方网管地方网管市场部工程部router开发部InternetServersFirewall漏洞扫描产品应用拒绝服务攻击(DoS/DDoS)网络层SYNFloodICMPFloodUDPFloodPingofDeath应用层垃圾邮件CGI资源耗尽SYNFlood原理正常的三次握手建立通讯的过程SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方SYNFlood原理SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接连接耗尽正常tcpconn