网络基础 通识 6

《网络空间安全导论》第4章网络空间防范陈铁明教授浙江工业大学浙江省网络空间安全创新研究中心目录

Contents渗透技术概览黑客与白客网络攻防基础恶意代码检测防火墙延时符入侵监测技术社会工程学1渗透技术概述渗透渗透测试渗透流程四项工作概述网络渗透，是通过长时间、有计划地逐步进入其网络并最终控制整个网络的攻击过程。对自己的或是经过授权的系统进行渗透攻击，在攻击的过程中寻找漏洞、修复漏洞，最终填补漏洞的方式，称为渗透测试。延时符渗透测试流程信息收集目标的网络拓扑、系统配置与安全防御措施等信息信息查询、被动监听、扫描探测、社会工程学、网络踩点、GoogleHacking等等漏洞扫描利用漏洞扫描器自动寻找和发现目标计算机、信息系统、网络及应用软件所存在的安全弱点。权限提升权限提升，就是将某个用户原有的最低权限提升至最高，例如将普通用户提升为Root权限。清除痕迹在入侵后，攻击者还会尽量抹去痕迹，诸如Windows中关闭审计功能、清理事件日志、清理注册表等方法。方案制定通过已知信息详细分析、选择入侵方式与攻击规划，从大量的情报信息中理清思路，挑选最可行的方案漏洞利用作为获取系统控制权限的重要途径，在寻找到漏洞后，如何利用才是至关重要的，根据所发现漏洞的不同，利用方式也各有千秋。植入后门获取管理员权限后，一般会采用一些远程控制服务对系统进行控制，这类服务通常被称为后门，后门也会通过一些技术进行隐藏。总结反思测试攻击完成后，及时进行漏洞总结与修补反思也尤为重要。将测试报告清晰及时的发送给被测者，以尽快提高用户的安全等级。2黑客与白帽子黑客白帽子历史黑客事件最初的黑客只是一群想着系统优化、定制和修补的技术狂热者。直到近几十年，随着病毒和网络犯罪的出现，不了解黑客的大众们将传统黑客也归入了恶意黑客范畴，让他们一起承担了恶意黑客行为所产生的影响。延时符黑客发展历史60年代萌芽期:起源于麻省理工学院，写出比之前好得多的代码，如著名的UNIX操作系统。80年代黄金期：个人电脑逐渐普及，黑客的增长速度暴增。2000年至今复杂期：恶意黑客攻击频频出现，也有坚守道义的黑客，或者混迹在两者之间的黑客。新时期对这些人又有了新的定义。成长期：玩弄电话系统的黑客，利用口哨产生高频音，可免费拨打长途。90年代玷污期：黑客这一词汇在这一时期被屡屡犯下网络罪行的人所玷污。他们盗取大公司信息、欺诈、传播病毒等。70年代01研究病毒木马、操作系统、寻找漏洞，或者收集利用他人攻击工具，以个人意志为出发点攻击网络或者计算机的人黑帽黑客02研究或从事网络、计算机技术防御的人，在获得授权情况下进行安全测试，通常受雇于公司，是从事正当行业的黑客白帽黑客03热爱钻研黑客技术，其行为介于黑帽和白帽之间，偶尔也会做出越轨行为，但总体不是以黑产为生的人灰帽黑客以热爱祖国，利用自己掌握的技能去维护国内网络的安全，并对外来攻击进行还击。极力维护国家安全与尊严的人红帽黑客04黑客分类1983凯文·米特尼克使用大学电脑黑入五角大楼；破译太平洋电话公司的“改户密码”19992006熊猫烧香熊猫烧香的多次变种的蠕虫病毒爆发，在短时间内致使中国数百万用户受到感染美丽杀手第一个具有全球破坏力的病毒，借助邮件传播，打开就自我复制，并爆炸式扩散。2017想哭病毒WannaCry勒索病毒借助CVE漏洞进行传播，使得未打补丁的电脑毫无抵抗能力，全球大量产业因此停产。著名黑客事件中国红客联盟1999年五八事件时，美国轰炸中国驻南斯拉夫大使馆，全世界华人在网络中首次团结一致，纷纷发起反击战，涌向美国各大网站，大规模的垃圾邮件令众多邮件服务器瘫痪失灵1999年7月，台湾地区前领导人李登辉在接受“德国之声”专访时提出了所谓的“两国论”。红客们选择抵达台湾省网站，向所有被蒙蔽的群众传达一个中国的理念2001年4月，中国南海上空，美国海军EP-3侦察机侵犯我国领空，致我国飞行员牺牲，红客联盟再次发起反击，由lion带领的8万红客联盟一举攻陷白宫网络3网络攻防基础扫描与弱口令嗅探攻击拒绝服务攻击缓冲区域出学习防御要先从认识攻击开始。攻击前扫描，对目标口令的破解，嗅探目标应用信息，发起拒绝服务攻击，缓冲区溢出攻击是常见的攻击手段。延时符通过一些协议如TCP握手包的方式对可能的端口发起请求，观察目标的回应以判断端口的状态。端口扫描系统扫描漏洞扫描搜集更多目标系统信息，通过尝试对不同系统的多个默认应用发起相应请求，可以泄露更多目标的信息。通过使用漏洞数据库中的漏洞验证脚本对目标进行漏洞测试，为下一步渗透提供思路。端口扫描系统扫描漏洞扫描扫描口令攻击获得了用户口令，攻击者就可以获得机器或网络的使用权，如果这个用户有域管理员或root用户权限，这将是非常危险的情况。网络监听、密码爆破嗅探攻击嗅探攻击，是通过网络嗅探器实时掌控网络情况，寻找网络漏洞、检测网络性能。主动嗅探、被动嗅探。网络带宽打击与连通性打击分布式拒绝服务攻击（DDoS）指借助客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发起攻击拒绝服务攻击，使本应该为用户提供服务的目标，拒绝为用户服务，是攻击者常用的攻击手段之一。DDOSDOS原理拒绝服务攻击缓冲区溢出攻击当计算机向缓冲区内填充的数据位数超过缓冲区本身容量时，合法数据就会被溢出的数据所覆盖可以被用于执行非授权指令，甚至可以取得系统特权，进行各种非法操作APT攻击高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式初始感染，渗透内部；感染扩散，加大影响；反向连接，深入渗透；盗取数据，清理痕迹。4恶意代码检测恶意代码恶意软件分析方法不被察觉的方式将自身嵌入到目标主机或宿主个体，运行具有破坏性与入侵性的程序，破坏主机安全性。一切在未明确提示用户或未经用户许可的情况下在用户计算机或其它终端上安装运行，都为恶意软件延时符静态分析法动态分析法AB静态反汇编分析。根据汇编指令码与提示信息进行分析静态源码分析。解读二进制源码来理解程序功能。反编译分析。对高级语言源码进行分析。系统调用行为分析。建立安全行为库，对比差异行为分析启发式扫描技术。对特征码扫描技术的补充。恶意代码分析方法5防火墙概念防火墙技术隔离区时刻检查出入防火墙的所有数据包并决定是否放行防火墙可以是一种硬件，也可以是一种软件，又或是一种固件延时符防火墙分类IP封包过滤器，运作在底层的TCP/IP协议堆栈上指定规则的封包通过，其余的一概禁止穿越其规则一般由管理员进行定义与修改（一）网络层防火墙作用于TCP/IP堆栈的应用层可以完全阻绝外部数据流进入受保护的机器操作繁杂，处理工作量大，大多防火墙不采用（二）应用层防火墙基于数据库协议分析与控制技术的数据库安全防护系统基于主动防御机制，实现数据库的危险操作阻断、访问控制、可疑行为审计等SQL协议分析，预设许可策略（三）数据库防火墙基于对包的IP地址校验，按照预设过滤规则对信息包进行过滤应用层攻击无抵抗力。包过滤技术将系统内外隔离开来，使得来自外部的目光无法窥探内部信息。信息隐蔽、认证与登陆的有效保证、简化了过滤规则代理技术采用数据抽样对网络通信的各个层次进行实时监控，充当安全决策的依据状态监视技术防火墙技术DMZ位于两个防火墙之间的区域，用于放置一些必须公开的服务器设施安全性比内部网络低，比外部网络高6入侵防御系统IDSIPS蜜罐入侵防御分为主动防御和被动防御。检测内部的漏洞和危险操作，及时组织进一步渗透。自动发现网络上的自动攻击软件，不断升级漏洞库。延时符IDS模式：异常检测和误用检测漏检率和误报率（一）安全策略事件发生器、事件分析器响应单元、事件数据库（二）系统组成检测效率难题难以抵御对自身的攻击误报率高（三）系统缺陷IDS是对网络传输进行即使监视，发现可疑传输时发出警报的网络安全设备IPS特点010203满足高性能需求，能够提供强大的分析处理能力；提供针对各类攻击的实时监测与防御功能和访问控制能力。准确识别各种网络流量，降低漏报、误报率；全面、精细的流量控制功能；具备丰富的高可用性，提供BYPASS软硬件和HA等可靠性保障措施；可扩展的多链路IPS防护能力，避免不必要的重复安全投资；提供灵活的部署方案，支持在线模式与旁路模式的部署，能第一时间将攻击阻断在企业网络之外；支持分级部署、集中管理、满足不同规模网络的使用和管理需求。于IDS所衍生出的更高级的，具有主动出击能力的防御系统。及时中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。蜜罐蜜罐技术的实质是对攻击者进行欺骗，通过布置诱饵主机、服务或信息，当攻击者将诱饵当作目标进行攻击时，即可对攻击行为进行捕获与分析。全面的了解攻击者意图与动机，使得防御方对自身实际系统的安全防护能力不断提升。实系统蜜罐伪系统蜜罐AB真实的系统和真实的漏洞信息真实，最容易吸引攻击者较危险，存在被攻击者获取权限的可能伪造的平台和漏洞。可能被识破，但较为安全。蜜罐分类7社会工程学起源常见攻击利用人类心理弱点取得自身利益的手法凯文·米特尼克在《欺骗的艺术》中提出这一概念系统与程序可以修复和加固，利用人性脆弱的攻击却防不胜防延时符01