网络安全技术基础1.ppt-道客多多

资源描述

1、网络安全技术基础,信息的保密性信息的完整性信息的可用性信息的不可否认性,网络安全的概念,计算机系统的脆弱性物理威胁网络威胁身份鉴别编程威胁系统漏洞,安全威胁,计算机系统的脆弱性物理威胁偷窃、废物搜寻、间谍活动网络威胁窃听、冒名顶替、特洛伊木马身份鉴别算法缺陷、口令破解、口令圈套编程威胁逻辑炸弹、特洛伊木马、病毒系统漏洞故意漏洞、服务漏洞,安全威胁,网络为什么不安全,网络建设非常迅猛，较少考虑安全问题缺乏安全知识和意识网络仍然在不断发生变化安全工具不能完全自动处理安全漏洞和威胁错误配置系统缺陷或开发商缺乏反应软件工程的薄弱缺乏安全管理人员缺乏软

2、件管理人员,攻击来自何处,外国政府竞争对手黑客内部雇员,安全事故的后果,直接经济损失名誉、信誉受损正常工作中断或受到干扰效率下降可靠性降低其他严重的后果,常见黑客攻击方式,拒绝服务攻击利用型攻击信息收集型攻击假消息攻击,拒绝服务 1.死亡之ping（ping of death） 2.泪滴（teardrop） 3. UDP洪水（UDP flood） 4.SYN洪水（SYN flood）,具体攻击方式列举,发起方,应答方,正常的三次握手建立通讯的过程,拒绝服务（SYN Flood）,攻击者,受害者,伪造地址进行SYN请求,不能建立正常的连接,拒绝服务（SYN Flood）,拒绝服

3、务 5. Land攻击 6. Smurf攻击 7. Fraggle攻击 8. 电子邮件攻击 9. 畸形消息攻击,具体攻击方式列举,利用型攻击 1. 口令猜测 2. 特洛伊木马 3. 缓冲区溢出,具体攻击方式列举,用户名泄漏，缺省安装的系统用户名和密码,入侵者,利用黑客工具扫描系统用户,获得用户名和简单密码,漏洞(按攻击手法分）1. 本地越权访问Solaris 7 lp -d 参数缓冲区溢出漏洞 AIX 多个setuid/setgid本地溢出漏洞WIN2000登陆漏洞最终解决方法http:/ 2000登录验证机制可被绕过,终端服务器开放3389端口,利用终端服务器客户端远程连接,漏洞(按攻击

4、手法分） 2. 远程越权访问solaris rpc.ttdbserver rpc.stat rpc.cmsd 远程溢出Qpop3 2.X 3.X 4.X 远程溢出IIS .printer .ida 远程溢出,漏洞(按攻击手法分） 3. Cgi 漏洞 Unicode解码目录遍历漏 http:/ IIS CGI文件名错误解码漏洞 http:/ web目录列表泄露漏http:/target/?wp-cs-dump,Unicode 编码可穿越firewall攻击,执行黑客指令,入侵者,http:/ 4. 系统/应用配置漏洞SQl/Mysql server 缺省配置帐号泄露Snmp 缺省配置网络信息

5、泄露SGI缺省安装帐号泄露,ASP源代码泄露连接数据库的用户名和密码，SQL server缺省安装http:/target/global.asa%80 http:/target/global.asa%81 http:/target/global.asa+.htr http:/target/null.htw?CiWebHitsFile=/global.asa%20DataBase=money“,SQL server缺省安装,sa密码为空，对外开放1433端口,利用存储过程，以管理员身份执行任意命令,Xp_cmdshell “ipconfig/all”,漏洞(按攻击手法分） 5. 嵌入恶意代码O

6、utlook和Outlook Express处理VCard时存在缓冲区溢出微软IE/Outlook中com.ms.activeX.ActiveXComponent执行任意程序Windows媒体播放器通过.WMV执行任意Java Applet,电子监听与欺骗 1.sniffer技术 2.ARP欺骗技术 3.DNS欺骗 4.IP欺骗 5.其他欺骗技术,社会工程学 1. 垃圾桶理论 2. 报纸，杂志，电话，主页等 3. 其他,黑客攻击手法综述,信息收集端口扫描服务器操作系统信息自动安全扫描尝试获得主机入口密码猜测远程溢出 Sniffer 程序漏洞,尝试获得最高权限本地溢出木马窃取、

7、欺骗程序漏洞,扩大攻击范围清除系统日志留下系统后门跳跃攻击其他主机,黑客攻击手法综述,信息收集,系统安全弱点扫描,从薄弱点突破,提升为最高权限,消除入侵痕迹,扩大入侵范围,常见的入侵步骤步骤,端口判断,判断系统,选择最简方式入侵,分析可能有漏洞的服务,获取系统一定权限,提升为最高权限,安装多个系统后门,清除入侵脚印,攻击其他系统,获取替换信息,作为其他用途,高明的攻击者入侵步骤步骤,sadmin/IIS蠕虫透过Solaris系统以及IIS伺服器的两个著名漏洞来攻击系统以及置换网页的攻击程式。采用技术

8、：一、蠕虫技术二、早期Solaris RPC.sadmind缓冲区溢出三、上述的Unicode漏洞,sadmin/IIS蠕虫透过Solaris系统以及IIS伺服器的两个著名漏洞来攻击系统以及置换网页的攻击程式。采用技术：一、蠕虫技术二、早期Solaris RPC.sadmind缓冲区溢出三、上述的Unicode漏洞,过程：,蠕虫,Solaris,Solaris,NT+IIS,自动替换页面,CodeRed II蠕虫利用微软Index Server(.ida/idq)ISAPI扩展远程溢出漏洞 http:/ 二、繁殖三、安装木马,CodeRed II蠕虫传播过程感染 /defau

9、lt.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u78

10、01%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 如果攻击不成功WEB LOG将会有上述的信息,CodeRed II蠕虫传播过程,获取当前 IP,检查系统语言,检查是否被感染,永久休眠,中文系统开600个线程英文系统开300个线程攻击其他IP,调用木马,非中文系统休眠1天中文系统休眠2天,重起机器，留下木马和后门,CodeRed II蠕虫后门和木马获取%SYSTEM%系统目录。例如C:WINNTSYSTEM32 * 将cmd.exe加到系统目录字符串的末尾，例如C

11、:WINNTSYSTEM32cmd.exe * 将驱动器盘符设置为C: * 将cmd.exe拷贝到驱动器盘符:inetpubscriptsroot.exe * 将cmd.exe拷贝到驱动器盘符:progra1common1systemMSADCroot.exe * 创建“驱动器盘符:explorer.exe“ * 往“驱动器盘符:explorer.exe“中写入二进制代码。 * 关闭“驱动器盘符:explorer.exe“* 将驱动器盘符改为D,重复从第四步开始的操作,CodeRed II蠕虫后门和木马蠕虫创建的“explorer.exe”是一个木马，它的主要工作方式如下：获取本地wi

12、ndows目录 * 执行真正的“explorer.exe“* 进入下面的死循环： while(1) 设置“SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSFCDisable“ 到0FFFFFF9Dh, 禁止系统文件保护设置“SYSTEMCurrentControlSetServicesW3SVCParametersVirtual RootsScripts“ 到 ,217 设置“SYSTEMCurrentControlSetServicesW3SVCParametersVirtual Rootsmsadc” 到 ,217 设置“SYSTEMC

13、urrentControlSetServicesW3SVCParametersVirtual Rootsc” 到c:,217 设置“SYSTEMCurrentControlSetServicesW3SVCParametersVirtual Rootsd” 到d:,217 休眠10分钟蠕虫通过修改上面的注册表增加了两个虚拟web目录(/c和/d)，并将其分别映射到C: 和D:。这使得即使用户删除了root.exe,只要“explorer.exe”木马仍在运行，攻击者仍然可以利用这两个虚拟目录来远程访问您的系统。例如： http:/TARGET/c/inetpub/scripts/root.

14、exe?/c+dir (如果root.exe还存在） http:/TARGET/c/winnt/system32/cmd.exe?/c+dir (如果root.exe已经被删除),CodeRed II蠕虫手工清除停止IIS并且选择禁止重启动机器删除木马删除后门打补丁或删除.ida/idq的映射同时提供了针对NT和2000系统的补丁： . Windows NT 4.0: http:/ Windows 2000 Professional, Server and Advanced Server: http:/ 注意： Windows NT 4.0补丁需要安装在Windows NT 4.0

15、 Service Pack 6a系统中。 Windows 2000补丁需要安装在Windows 2000 Service Pack1或Service Pack2 系统中。,攻击手法和入侵者技术趋势,高,低,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,回话劫持,擦除痕迹,臭探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者技术,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,漏洞利用周期图表,资深黑客发现漏洞,简陋的漏洞攻击代码发布,入侵者采用公布的攻击

16、代码,自动扫描安全漏洞工具发布,自动扫描安全漏洞工具广泛流传,入侵者着眼新的漏洞,病毒是怎样工作的病毒的本质是一种基于硬件和操作系统的计算机程序，能感染的可执行代码计算机工作原理和方法步骤决定病毒工作机制引导型病毒（STONE、米氏）文件型病毒（DII、CIH）宏病毒（7月杀手）邮件病毒（爱虫）混合型病毒（New century）,病毒,病毒的最新分类和发展趋势新分类混合型病毒（宏病毒和文件型病毒结合等） HTML病毒（VB Script Java Active X 结合系统漏洞）癌症病毒（修改操作系统或应用程序本身）网络嗅探病毒（IP包侦听截取还原技术）

17、发展趋势广泛与黑客技术相结合跨平台、跨媒介、广泛利用互联网更强的欺骗性、更广的传播性、更大的破坏性不再只是恶作剧，而成为重要的信息武器和工具,病毒的广义延伸蠕虫（Worm) 特洛伊木马愚弄恶作剧程序,系统安全性规划和管理,风险分析和评估组织机构所面临的风险和它对外面的可见性部件失败、信息浏览、使用错误、入侵组织机构对潜在的安全事故的敏感程度事故的直接后果、政治上和组织机构上的敏感性能指导正规的风险等级分析的法律和规章问题制作风险评估表格,制订安全策略定义安全计划的目的和在该机构中涉及的范围把任务分配给具体的部门和人员以实现这种计划明确违反该策略的行为及其处理措施

18、注意问题安全策略过于罗嗦，而不是一个决定和方针安全策略并没有真正被执行，只是一纸空文策略的实施不仅仅是管理者的事，也是技术人员的事,系统安全性规划和管理,系统安全对业务发展提出巨大挑战系统的自身安全不再足够像防火墙般的逻辑障碍也解決不了所有的問題多重的平台把整合复杂化攻击信息可轻易地获得,系统安全性规划和管理,系統安全构架,集中用户管理,网络安全防范技术,防毒技术加密技术认证技术强访问控制技术自动恢复技术陷阱技术七层交换技术冗余技术备份技术,Internet,安全冗余/平衡负载/备份系统,防火墙冗余/平衡负载,七层交换设备冗余,路由器冗余,服务器冗余/平衡负载,磁

19、盘阵列/磁带机/光盘库,线路冗余/ 平衡负载,lnternet,IDS入侵检测监控中心防毒管理中心防火墙管理中心扫描器管理中心 ,IDS入侵检测,主机系统,防火墙,网关防毒,认证服务器,VPN,IDS入侵检测,客户端防毒,服务器防毒,网络陷阱,串口加密器/ 数据加密机,日志服务器,日志服务器,常见安全体系架构,防火墙,漏洞扫描器,案例分析,某大证券公司网上交易系统被入侵入侵结果：1.web服务器和交易服务器被入侵.资料被窃取2.企图尝试进入数据主机系统,黑客入侵分析,1.发现目标web机器端口80开放,2.发现有Unicode漏洞,3.上传扫描工具扫描内部网络,4.发现交易服务器端口3389开放,黑客入侵过程,5.上传端口传发程序把192.168.0.1 的21端口转发到192.168.0.2 的3389端口,端口21,端口3389,5.启动终端客户端软件，成功连接交易服务器,6.发现交易服务器有中文输入法漏洞,7.获取管理员权限，登陆服务器,终端服务客户端软件,黑客入侵过程,端口21,端口3389,BUG!,1.需求、风险、代价平衡分析的原则 2.综合性、整体性原则 3.一致性原则 4.易操作性原则 5.适应性、灵活性原则 6.多重保护原则,安全体系设计原则,谢谢！欢迎讨论！,Q & A,

展开阅读全文