《网络安全问题及其防范措施(基础篇)——国家计算机网络应急中心.ppt》由会员分享,可在线阅读,更多相关《网络安全问题及其防范措施(基础篇)——国家计算机网络应急中心.ppt(119页珍藏版)》请在三一文库上搜索。
1、1,网络安全问题及其防范措施,国家计算机网络应急技术处理协调中心,2,序:责任和目标,共同的责任:维护网络与信息系统的正常运行;使网络和信息技术真正为我们带来用处 本期培训的目标: 对上级领导:能够使其认识到安全的威胁,从而能够得到安全保障系统必要的和正确的投入与支持; 对用户:能够规范用户的使用,增强用户的安全意识,降低风险;普及安全知识,保护用户利益; 对自己:相对全面地了解安全涉及的问题,掌握相关的知识基础,为将来进一步提高实践能力做好准备;具备实现上述两个目标的基本能力;建立联系,了解信息获取和技术交流的渠道,3,主要内容,概念和基础 对安全问题的理解 安全问题的分类及其对应的技术手段
2、 当前安全威胁的特点和趋势 关于应急响应 应急响应的概念 应急响应服务及其发展状况 应急响应组织和体系 事例介绍 行业网络安全保障问题 关于入侵监测系统的若干问题 一些基本原则和安全措施,4,问题1:“安全”的本质是什么?,木桥和铁桥哪个更安全? 结论:安全的一个必要条件是和用户利益相关联 推论1:安全保护不能“一视同仁” 投资的限制 人员的限制 精力的限制 推论2:信息资产的评估应该是设计安全方案的第一步工作,一个遗留问题: 如何进行信息资产评估,5,问题2:怎样算是“安全的”?,保护金库的方案 安全保障的一般环节:PPDRR 结论:响应时间和抗攻击时间的关系 Rt Pt 推论: 安全保障的
3、各个环节不应该是相互孤立的; 安全是相对的,具体要求各不相同 投资多、设备好不一定安全级别就高,6,问题3:安全中应该考虑的第一要素是什么,人的因素 来自用户的威胁 试图获得更高的权限 不经意的泄漏口令 为了方便而采取违反安全管理规定的行为 将帐号交给他人使用 将口令存放在不可信赖的地方 离开工作现场而不加保护 被当作跳板进入其他信任区域 带领非授权人员进入工作现场 等,7,人的因素(续),来自管理员的威胁 不恰当的权限管理 不合理的口令 未清理的过期帐户 工作现场的问题 滥用的好奇心 社会工程学泄漏 更多的案例来自内部,很多损失源自内部员工的报复性攻击,8,现状:网络中密布陷阱和危险,网络的
4、隐蔽使很多人的内心阴暗面得到激发 垃圾邮件中的病毒、木马、色情内容、政治谣言、商业广告等 页面中嵌入的恶意程序 无时不在的漏洞和随处可见的工具 互动娱乐中充满陷阱、欺骗和堕落 “网络痴迷症”带来的负面影响 随时面临触犯法律甚至犯罪的危险,9,中华人民共和国刑法,第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。 第二百八十六条违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存
5、储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。 第二百八十七条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。,10,安全涉及到各个层面的问题,通讯线路/设备,主机设备,基础协议实现,应用系统,数据/信息,个人用户,群体用户,传 统 网 络 概 念,物理设备,系统实现,数据集合,用户集合,11,因特网的安全涉及哪些因素?,系统安全,信息安全,文化安全,物理安全,又称实体安全,又称运行安全,又称数据安全
6、,又称内容安全,12,关于物理安全,作用点:对计算机网络与计算机系统的物理装备的威胁,主要表现在自然灾害、电磁辐射与恶劣工作环境方面。 外显行为:通信干扰,危害信息注入,信号辐射,信号替换,恶劣操作环境。 防范措施:抗干扰系统,防辐射系统,隐身系统,加固系统,数据备份。,13,对物理安全产生威胁的几个手段,芯片嵌入(Chipping) 芯片级的特洛伊木马。 微机械与微生物 可损害计算机系统的硬件部分。 电子干扰(Electronic jamming) 用假信息来淹没信道。 HERF枪,EMP炸弹 干扰电子电路,破坏通信与计算机系统。 视像窃换(Video Morphing) 篡改事实上的表现形
7、式,破坏真实信息。,14,关于系统安全,作用点:对计算机网络与计算机系统可用性与系统访问控制方面进行攻击。 外显行为:网络被阻塞,黑客行为,计算机病毒、非法使用资源等,使得依赖于信息系统的管理或控制体系陷于瘫痪。 防范措施:防止入侵,检测入侵,抵抗入侵,系统恢复。,15,网络安全威胁国家基础设施,因特网,网络对国民经济的影响在加强,安全漏洞危害在增大,信息对抗的威胁在增加,研究安全漏洞以防之,因特网,电力,交通,通讯,控制,广播,工业,金融,医疗,研究攻防技术以阻之,苍蝇不叮无缝的,蛋,16,拒绝服务类 协议漏洞致使系统停机 一对一式攻击致使系统不能提供服务 兑变式攻击致使网络系统瘫痪,计算机
8、恶意程序对系统的威胁,控制系统类 特洛伊木马代码隐藏 入侵口令猜测、欺骗系统,你能做我也能做攻击访问控制能力,我不能做你也别想做攻击系统可用性,传染类 源码类病毒宏病毒 操作系统类病毒引导类病毒 文件类病毒繁殖类病毒,你有机会我也要有机会伺机传染与发作,17,保障系统安全的技术手段,防火墙第一道防线,阻止入侵,入侵监测第二道防线,发现入侵,攻击反应第三道防线,迅即自我保护,自动恢复第四道防线,起死回生,18,策略和管理:保障系统的核心,方案是死的,攻击是活的 产品是死的,漏洞是活的 防守是被动的,攻击是主动的 策略和管理是安全保障系统发挥作用的重要条件 关于安全管理的基本要求: 安全管理人员
9、安全管理的技术规范 定期的安全测试与检查 安全监控,19,作用点:对所处理的信息机密性与完整性的威胁,主要表现在加密方面。 外显行为:窃取信息,篡改信息,冒充信息,信息抵赖。 防范措施:加密,完整性技术,认证,数字签名,关于信息安全,20,信息窃取,信息传递,信息冒充,信息篡改,信息抵赖,关于信息安全,机密性加密技术,完整性 完整性技术,合法性 认证技术,可信性 数字签名,21,作用点:有害信息的传播对我国的政治制度及传统文化的威胁,主要表现在舆论宣传方面。 外显行为:淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击,互联网被利用作为串联工具,传播迅速,影响范围
10、广。 防范措施:技术、法律、教育等多方面,关于文化安全,22,更加隐蔽和长远的伤害,一些西方国家公开试图利用因特网实现对其他国家的文化同化,对其他国家进行“西化、分化、弱化” 一些敌对势力利用因特网散布谣言,制造混乱 色情、暴力信息泛滥,对青少年的身心健康带来严重影响 典型事例不胜枚举,23,解决网络安全问题涉及的方面,?,法制建设问题:约束黑客行为等,系统评估问题:安全隐患与信息价值,科研支撑:专项基金、经费投入的整体规划,平台建设问题:CERT、反入侵、反病毒等中心,技术装备:加强先进装备的投入,推动市场,标准资质认证:产品、服务标准,人力资源建设:专家队伍、培训、持证上岗,组织建设问题:
11、快速响应体系,24,我国应急处理体系结构示意图,25,我国的网络安全形势十分严峻,2000山西日报网站被攻击案,2000 101远程教学网思茅主页被黑案,2000北京医科大学网站被黑案,2000蓉城网上超市被入侵案,2000当当书店遭黑客攻击案,2000 “黑客BOY”大闹鞍山案,2000广州利用电脑贪污公款案,99信息卡账号口令非法截获案,99郑州保险公司数据库被篡改案,99上海股票虚假信息操纵案,26,99上海股票虚假信息操纵案,九九年四月十六日,上海某证券市场的计算机因未对通用用户设置密码而被某证券公司电脑清算员赵某入侵,“莲花味精”、“兴业房产”出现涨停。价值6000万元的500万股股
12、票成交。,27,99信用卡账号口令非法截获案,九九年四月,某时装店将信用卡刷卡机短接,用于捕获信用卡的账号、口令、及身份证号码信息,然后制作假信用卡并从ATM中取钱。,28,99郑州保险公司数据库被篡改案,中国人寿保险公司郑州分公司职员王波从1999年4月至6月先后五次非法登录公司的电脑系统,更改和删除了多条重要数据。修改后的保险费是正确值的1.87倍,保单现金价值为正确值的2.42倍。,29,2000广州利用电脑贪污公款案,二零零零年五月二十八日,广东韶关市某银行职员沈伟彪和电脑维修员李建文通过电脑程序在两人控制的帐户上加大存款数额,贪污公款200多万元。,30,2000当当书店遭黑客攻击案
13、,从二零零零年三月份开始,黑客对全国最大网上书店“当当”书店网站进行了长达数周的恶意攻击,删除了网站的购物筐,破坏页面,更改了价格,致使该网站处于瘫痪状态,有时甚至造成该网站数小时无法正常运行。,31,2000蓉城网上超市被入侵案,二零零零年五月十七日,“999mall网上超市”被黑客入侵。超市的导游小姐在线服务室出现了一位说粗话,乱刷屏的“导游小姐”,致使此超市一片混乱。,32,2000 “黑客BOY”大闹鞍山案,2000年 11月8日海城南台镇一家电脑培训中心负责人严某成功猜测登录海城科技电脑公司的公司BBS,并留下狂言:要“黑”遍鞍山,海城所有公司的主页。11月9日,严某又成功登录鞍山希
14、望电脑公司和新视窗网吧的主页。,33,2000山西日报网站被攻击案,二零零零年三月八日,山西日报国际互联网站遭到黑客数次攻击,被迫关机,这在国内省级党报中属首例被黑客攻击事件。,34,2000 101远程教学网思茅主页被黑案,二零零零年五月,吴某用从互联网上下载的一个可对计算机文件在线修改的“黑客”软件对101远程教学网站思茅分中心进行攻击,主页上很多内容被非法修改。,35,其它案例,2000年二月事件 2001年五月事件 2001年8月的红色代码事件 2001年9月尼姆达事件 2002年“银联”网上欺骗事件 2003年1月SQL杀手事件 2003年3月口令蠕虫和红色代码-F事件 2004年重
15、大网络安全事件 启发和进步,36,四月份对中国网站的攻击(443次),37,四月份对中国网站的攻击(443次),38,五月1-7日对中国网站的攻击(147次),39,五月1-7日对中国网站的攻击来源,40,中国147个被攻击的网站所使用的操作系统的分布情况,41,红色代码病毒事件,8月的红色代码病毒实际上是集网络蠕虫和黑客程序于一身的恶性网络攻击程序,其攻击模式是划时代的。,42,8月22日-27日的数据,发现感染数目超过18000个 大陆一侧确定位置的主机数目12605个,43,9月2日-9月9日的数据,发现感染服务器48,414个,其中仅2,000余个和8月22-27日的数据重复,发现攻击
16、1,024,013次,实际攻击次数估计为该数据的数百倍。,44,9月2日-9月9日的数据,45,9月2日-9月9日的数据,46,红色代码病毒对不同地区的影响程度,47,尼姆达攻击事件:空前恐怖,9月18日出现的Nimda病毒,借助红色代码病毒泛滥的机会,以更加恶劣的方式对互联网造成更大的冲击 以各种手段感染几乎微软的各种平台 服务器漏洞直接传播;电子邮件;局域网共享目录;可执行文件;网页; 感染Windows9x/me/xp/NT/2000 危害严重: 共享被感染计算机的硬盘 不断发送带毒邮件,48,9月14日-9月20日的数据,49,一些原则和基本的防范措施,50,对用户的要求,注意权限的分
17、配 严格口令管理 必要时限定使用位置和时间 异常情况的及时通报,51,对管理员的要求,关闭不必要的服务 定时检查各系统的状态 定时检查各种有关日志 保持各有关系统和数据的更新 关注新的安全通报信息 建立技术支持和服务的渠道 向上级说明升级或者购买的必要性,52,对方案的要求,在切实分析用户的特定需求的基础上形成方案 方案的各项指标设计合理,配有详细说明 方案具有一定的可扩充性和灵活性 使用符合规定的产品,53,对方案提供者的要求,向用户说明方案是如何针对用户的特殊情形设计的 向用户说明方案具备的能力 帮助用户制定响应策略和管理策略及规范 提供持续的技术支持 减轻管理员的压力 替用户严格保密,5
18、4,对服务供应商的要求,严格替用户保密 满足用户的响应要求 能够提供本地化服务 有严格标准的服务程序和技术规范,55,讨论:关于垃圾邮件,垃圾邮件的定义 垃圾邮件的危害 垃圾邮件的过滤 技术手段 非技术手段 存在的问题,56,讨论:关于网络防病毒,防病毒已经成为第一压力 怎样选择产品 服务同样重要 网络防病毒的优点,57,Q&A,怎么知道我的系统被攻击了 怎么划分子网,58,59,防火墙防止攻击的主要屏障,防火墙是作为Intranet的第 一道防线,是把内部网和公共网分隔的特殊网络互连设备,可以用于网络用户访问控制、认证服 务、数据过滤等。 在逻辑上,防火墙是过滤器、限制器和分析器。,60,防
19、火墙之报文过滤网关,一般是基于路由器来实现。路由器通常都在不同程度上支持诸如基于TCP/IP协议集的分组的源、目地址进出路由器的过滤,即让某些地址发出的分组穿越路由器到达目的地。,非特定IP地址,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.
20、12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,特定源IP地址,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,禁止,202.118.228.68,2
21、02.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,特定目的IP地址,202.118.224.100,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.1
22、1.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,禁止,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,禁止,
23、禁止,202.118.228.68,202.118.228.68,禁止,禁止,190.11.12.33,190.11.12.33,IP欺骗是黑客常用的手法,61,防火墙之应用级网关,应用级网关是为专门的应用设计专用代码,用于对某些具体的应用进行防范。这种精心设计的专用代码将比通用代码更安全些。例如使用这类软件可以对进入防火墙的telnet进行个人身份认证。,Web服务器,访问http,合法访问telnet,非法访问telnet,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,
24、访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,认证合法,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合
25、法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,认证非法,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet
26、,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,62,状态监测防火墙,数据包在数据链路层和网络层操作系统核心中被检查 创建通信状态表保存每一连接状态内容 既可以检查一定程度上的应用层信息,也可以检查底层数据包,63,防火墙的功能,防火墙是阻塞点。强迫所有进出信息通过唯一的检查点,以便进行集中的安全策略实施 防火墙可以实行强制安全策略。允许某些服务通过,某些服务禁止通过,以便防止入侵者利用存在严重安全缺陷的服务 防火墙可以记录网上的活动情况,以便
27、管理人员通过阅读日志来跟踪和发现入侵者 防火墙可以用来进行内部隔离,防止一个网段的问题向另一个网段传播,64,防火墙选型和设置,选型 价格因素 带宽支持 连接数支持 速度和稳定性 安全策略 安放位置 有可能和外界通信的每一个通路 需要不同安全策略的网段,65,防火墙的安全策略(一),网络服务访问策略 允许从内部站点访问外界,不允许从外界访问内部 只允许从外部访问内部特定系统 策略的制定必须具有现实性和完整性 现实性:在降低风险和为用户提供合理资源之间取得平衡 完整性:防止其他途径;取得用户和管理层的理解和支持,66,防火墙的安全策略(二),防火墙设计策略 除非明确不允许,否则允许某种服务(宽松
28、型) 除非明确允许,否则禁止某种服务(限制型) 宽松型策略给入侵者更多绕过防火墙的机会 限制性策略虽然更安全,但是更难于执行,并且对用户的约束存在重复 安全性和灵活性需要综合考虑,67,防火墙的安全策略(三),通常需要考虑的问题: 需要什么服务 在哪里使用这些服务 是否应当支持拨号入网和加密等服务 提供这些服务的风险是什么 若提供这种保护,可能会导致网络使用上的不方便等负面影响,这些影响会有多大,是否值得付出这种代价 和可用性相比,公司把安全性放在什么位置,68,防火墙的物理实现方式,防火墙通常由主计算机、路由器等一组硬件设备构成,实现方式主要有: 软件实现形式 NT, Unix 硬件实现方式
29、 工业标准服务器实现方式* 采用可扩展式工业标准服务器 防火墙产品内置操作系统,69,防火墙的其他话题,防火墙的局限性 社会工程攻击 内部攻击 “协议嵌套”式攻击 个人防火墙 针对个人主机的加强防护 更加灵活、更符合用户个人的安全策略需求 对用户个人要求较高,70,入侵检测,工作方式: 基于主机的入侵检测 基于网络的入侵检测 实现方式: 误用检测:对已知的攻击行为模式进行判定 异常检测:对非正常的行为模式进行判定,71,分布式入侵检测,很多现实网络中必须的一种模式 需要重点考虑的问题 方案设计的合理性 位置、配置的选择 个数、层次的选择 产品选择的合理性 指标和目标的一致性 管理和使用策略的合
30、理性,72,计算机系统安全的级别,1983年8月,美国国防部计算机安全局出版了“可信任的计算机安全评估标准” 一书,被称为“橘黄皮书”。该书为计算机安全的不同级别定义了D、C、B、A四级标准。,C级:自主性保护 D级:未经安全评估,A级:确定性保护 B级:强制性保护,A级:确定性保护 B级:强制性保护,C级:自主性保护 D级:未经安全评估,73,A级:确定性保护,验证保护级。其每一 个安全个体都必须得到信任,包括每一个部件从生产开始就被跟踪;每一个合格的安全个体必须分析并通过一个附加的设计要求。,74,B级:强制性保护,B1:带标签的安全保护级,支持多级安全,按用户区分许可级别,经过配置的IB
31、M大型机用的MVS操作系统,B2:结构化防护级,所有对象(包括外设)均有标签。 B3:安全域级,通过可信途径联网。,75,C级:自主性保护,C1级:酌情安全保护,设置访问权限,但允许用户访问系统的ROOT,不能控制进入系统的用户的访问权限。,UNIX、XENIX、Novell、Windows NT,UNIX、XENIX、Novell、 Windows NT,VMS,C2级:访问控制保护,额外具有审计特性,用户权限级别限制。,76,D级:未经安全评估,整个计算机是不可信任的。硬件与操作系统都容易被侵袭。系统对用户没有验证。,MSDOS,Windows3x, Windows 95,77,通用操作系
32、统类病毒防护系统,引导 系统,病毒,防毒系统,病毒体,防毒系统,不同,防毒系统,相同,引导 正常执行,78,接收客户程序A 发来 的命令,机器被A控制,A,BO,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,机器被A监视,系统欺骗(后门),79,对一般用户正常响 应,保持原功能,识别是用户FANG, 将之赋予ROOT权限,WFTPD,FTPD,拥有ROOT权限,LOGOUT,LOGOUT
33、,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,FANG在退出前注销ROOT 权限,以免被系统人员查出,取消ROOT权限,信息窃取类攻击系统权限,Wuarchive FTP Daemon(WFTPD)是有名的FTP服务器。是世界上最常用的FTP服务器之一。但WFTPD2.1f及2.2版均被人在源码级改动了,所
34、加入的特洛伊木马的功能为使得任何本地或远程的用户成为登录Unix系统的Root。,由于系统软件通常是美国人开发的,美国政府有条件决定所有软件如不设有特洛伊木马则禁止出口,引爆条件可以是在计算机内出现了具有“与美国开战”字样的文件时,也可以考虑由外部触发,触发结果可以是格式化硬盘或向美国CIA发电子邮件Reto E. Haeni,80,逻辑炸弹,潜伏代码,满足条 件否?,满足而 爆炸,防护方法:软件黑盒测试,满足而 爆炸,伊拉克的打印机 香港的银行系统 上海的控制系统 KV300 BP机触发 .,系统仿真,81,指示输入 帐号及口令,伪造登 录现场,指示输入错 误,重输入,捕获口 令退出,真实登
35、 录现场,Pale Rider,密码被窃取,采用TSR技术也可达到同样的目的,输入正确 进入系统,信息窃取类,LOGIN特洛伊木马,伪造ATM是典型的欺骗类特洛伊木马案件。,82,捕获口令,借助字典采用“蛮力”的方法来分析指定用户的口令。,CRACK程序,加密系统,比较,成功,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZY
36、X,ZYX,ZYX,ZYX,不同,找到,40 78秒 48 5小时 56 59天 64 41年 72 10696年 80 2,738,199年,DESCHALL小组破译能力,83,98上海热线服务器被攻案,九八年六月十五日,上海热线发现被黑客攻击,攻击者复旦大学学生杨威通过猜口令等方法攻入一台机器后随即攻击了其他几台机器,控制了两台服务器。破译了 五百余个用户口令。,84,返回出口,缓冲区溢出的黑网站方法,程序区,数据区,Shell 程序,Shell 入口,mount,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,
37、Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 入口,缓冲区溢出,进入操作系统 获得系统权限,转SHELL入口指定地址,通过造成缓冲区溢出并用指定地址覆盖返回地址而进入指定程序的方式来获得系统权限。,黑客结果实例,85,攻击协议漏洞的网络炸弹,IP协议处理,死机,假长度攻击,newtear,boink,nestea,用Telnet向80口发也可摧毁Windows NT,向139端口发0字节也可摧毁Windows95/NT,86,对MAIL服务器的攻击,服务阻塞攻击,MAIL服务处理,停止服务,大量的Mail请求阻碍服务器,
38、MailBomb,KaBoom!,87,2000新浪网电子邮件被阻塞案,二零零零年二月八日,新浪网北京网站被黑客袭击,电子邮件服务器瘫痪18小时。,88,同步风暴攻击,pong,synk4,这类攻击通常都设置假IP地址,在TCP包中通过将同步位设为1 的方式来请求连接,如果得到连接 确认后不予理会,而是继续发出申 请,将有可能耗尽服务器端的有限 的响应连接的资源,89,2000广州163接入服务器被攻案,二零零零年三月八日:黑客攻击拥有200万用户的广州163,系统无法正常登录。,90,蠕虫著名的莫利斯事件,让Sendmail接收并执行,查通信簿 向外发送,Sendmail,查通信簿 向外发送
39、,查通信簿 向外发送,FingerD,缓冲溢出 向外攻击,缓冲溢出 向外攻击,缓冲溢出 向外攻击,利用Finger的漏洞获得控制权,Sendmail Fingerd rsh/rexe,91,操作系统类病毒的机理,系统引导区,引导 正常执行,病毒,引导系统,病毒体,92,内存空间,计算机病毒的激活过程,空闲区,带病毒程序,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,空闲区,正常程序,正常程序,正常程序,int8,是,破坏!,int8,93,99信用卡账号口令非法截获案,九九年四月,某时装店将信用卡刷卡机短接,用于捕获信用
40、卡的账号、口令、及身份证号码信息,然后制作假信用卡并从ATM中取钱。,94,数据加密防信息窃取技术,数据加密理论上可以有零密钥、单密钥及双密钥三种。 加密的原因是假设传输过程中是不安全的。 安全的加密方法是指对手找不到更好的攻击方法,只能通过穷举密钥的手段进行解密,即解密的难度与密钥空间成正比。,95,零密钥加密技术,ABCDE,发送方加密,pzru,接收方加密,AMBBB,AMBBB,发送方解密,puztr,接收方解密,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,
41、pzru,pzru,发送方,接收方,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AM
42、BBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,pu
43、ztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,发送给接收方,交
44、还给接收方,再次发送给接收方,一个箱子两把锁,箱子运来 运去都带锁,相互各自锁上并打 开自己的锁,无需交换钥匙。,96,单密钥加密技术,密钥,原文 ABCD,原文 ABCD,密文 %#%¥,密钥,生成与分发密钥,互连网络,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,原文 ABCD,原文 ABCD,密文 %#
45、%¥,密文 %#%¥,原文 ABCD,密文 %#%¥,一个箱子一把锁,箱子运输锁上锁,关锁与开锁用 一把钥匙,交换钥匙是关键,如何让钥匙不被窃取?,97,双钥匙加密技术,公钥(m,n=pq),私钥(r,p,q),原文 ABCD,原文 ABCD,密文 %#%¥,公钥(m,n=pq),乱文 ;,互连网络,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#
46、%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,密文 %#%¥,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,密文 %#%¥,乱文 ;,原文 ABCD,原文 ABCD,密文 %#%¥,密文 %#%¥,原文 ABCD,密文 %#%¥,
47、一个箱子一把锁,两把钥匙对付锁,一把关锁一把 开锁,关锁的不能开锁,开锁的不能关锁,接收者提供 钥匙,把关锁钥匙交给对方,开锁钥匙留给自己。,98,信息欺骗,欺骗者,关机 不响应,用拒绝服务压制住真正响应 方,然后冒充接收方来欺骗连接 请求者,是黑客常用的手段。,99,98扬州工商银行冒存、领存款案,九八年九月二十二日,扬州工商行被郝景文、郝景龙兄弟俩以服务器欺骗的方式入侵计算机系统,假冒存款72万元,提出26万元。,100,信息欺骗的防范,欺骗者,防范方法: 认证技术,关机 不响应,认证 不通过,关机 不响应,101,完整性技术,任何一段信息都有其基本特征,抽出其特征就是这段信息的完整性标识。 上述一段话有11个词组、30个文字、2个符号、251个笔划、38个撇、