1、第第2讲:网络攻击阶段技术讲:网络攻击阶段技术及防范策略及防范策略*2*2内容安排内容安排o 2.1 黑客黑客o 2.2 网络攻击过程网络攻击过程o 2.3 常用的防护措施常用的防护措施o 2.4 网络安全策略及制订原网络安全策略及制订原则则o 2.5 网络安全体系设计网络安全体系设计o 2.6 小结小结*32.1 黑客黑客o 黑客(黑客(hacker),源于英语动词),源于英语动词hack,意为,意为“劈,劈,砍砍”,引申为,引申为“干了一件非常漂亮的工作干了一件非常漂亮的工作”。在早期。在早期麻省理工学院的校园俚语中,麻省理工学院的校园俚语中,“黑客黑客”则有则有“恶作剧恶作剧”之意,尤指
2、手法巧妙、技术高明的恶作剧。之意,尤指手法巧妙、技术高明的恶作剧。o 他们通常具有硬件和软件的高级知识,并有能力通他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。过创新的方法剖析系统。o 网络黑客的主要攻击手法有:获取口令、放置木马、网络黑客的主要攻击手法有:获取口令、放置木马、web欺骗技术、电子邮件攻击、通过一个节点攻欺骗技术、电子邮件攻击、通过一个节点攻击另一节点、网络监听、寻找系统漏洞、利用缓冲击另一节点、网络监听、寻找系统漏洞、利用缓冲区溢出窃取特权等。区溢出窃取特权等。*4黑客起源黑客起源o起源地:起源地:n美国美国o精神支柱:精神支柱:n对技术的渴求对技术的渴求
3、n对自由的渴求对自由的渴求o历史背景:历史背景:n越战与反战活动越战与反战活动n马丁马丁路德金与自由路德金与自由n嬉皮士与非主流文化嬉皮士与非主流文化n电话飞客与计算机革命电话飞客与计算机革命o 中国黑客发展历史中国黑客发展历史n1998年印尼事件年印尼事件n1999年南联盟事件年南联盟事件n绿色兵团南北分拆事件绿色兵团南北分拆事件n中美五一黑客大战事件中美五一黑客大战事件“头号电脑黑客”-凯文米特尼克 o19641964年出生的年出生的Kevin David Kevin David MitnickMitnick,被称之为世界上,被称之为世界上“头号电脑黑客头号电脑黑客”。他在。他在1515岁
4、时就成功破解北美空中防岁时就成功破解北美空中防务指挥系统,翻遍了美国指向前苏联及其盟国的所有核务指挥系统,翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。弹头的数据资料。不久之后,他又进入了美国著名的不久之后,他又进入了美国著名的“太平洋电话公司太平洋电话公司”的通信网络系统。更改了这家公司的的通信网络系统。更改了这家公司的电脑用户,包括一些知名人士的号码和通讯地址电脑用户,包括一些知名人士的号码和通讯地址。导致导致太平洋公司不得不作出赔偿。而太平洋电脑公司经过相太平洋公司不得不作出赔偿。而太平洋电脑公司经过相当长时间才明白自己的系统被入侵了。随后他当长时间才明白自己的系统被入侵了。随后他
5、开始攻击开始攻击联邦调查局的网络系统联邦调查局的网络系统,并成功的进入其中。并成功的进入其中。发现联邦发现联邦调查局正在调查一名调查局正在调查一名”黑客黑客”,而,而这个这个“黑客黑客“正正是他是他自己自己,但他并未重视。在其后的活动中多次被计算机信但他并未重视。在其后的活动中多次被计算机信息跟踪机跟踪,并在息跟踪机跟踪,并在1616岁时被第一次逮捕,成为全球第岁时被第一次逮捕,成为全球第一名网络少年犯。一名网络少年犯。MitnickMitnick随后并未收手,先后成功入随后并未收手,先后成功入侵了诺基亚、摩托罗拉、升阳以及富士通等公司的计算侵了诺基亚、摩托罗拉、升阳以及富士通等公司的计算机,
6、盗取企业重要资料,给这些公司造成高达机,盗取企业重要资料,给这些公司造成高达4 4亿美元亿美元的损失。的损失。19941994年,年,MitnickMitnick向圣地亚哥超级计算机中心向圣地亚哥超级计算机中心进行入侵攻击,并戏弄了联邦调查局聘请而来专为缉拿进行入侵攻击,并戏弄了联邦调查局聘请而来专为缉拿他的被称为他的被称为“美国最出色的电脑安全专家美国最出色的电脑安全专家”的日裔美籍的日裔美籍计算机专家下村勉,并于计算机专家下村勉,并于19951995年再次被捕。年再次被捕。20012001年释放年释放,20022002年彻底自由,开始作为为美国互联网杂志专栏作年彻底自由,开始作为为美国互联
7、网杂志专栏作家,以安全专家的身份出现。家,以安全专家的身份出现。*6*6黑客分类黑客分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机计算机 为人民服务为人民服务漏洞发现-Flashsky软件破解-0 Day工具提供-Glacier白帽子创新者设计新系统打破常规精研技术勇于创新没有最好,没有最好,只有更好只有更好MS -Bill GatesGNU -R.StallmanLinux -Linus善善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己,人不为己,天诛地灭天诛地灭入侵者 -K.米特尼克CIH -陈盈豪攻击Yahoo -匿名恶恶渴求自由*7常见的黑客攻击及
8、入侵技术的发展常见的黑客攻击及入侵技术的发展o 19801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门会话劫持会话劫持擦除痕迹擦除痕迹嗅探嗅探包欺骗包欺骗GUI远程控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务www 攻击攻击工具工具攻击者攻击者入侵者水平入侵者水平攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS 攻击攻击2005高高*8*8攻击案例:对日网络攻击攻击案例:对日网络攻击o 从从2003年年7月月31日晚间开始,国内一
9、批黑客组织日晚间开始,国内一批黑客组织按约定对日本政府机关、公司和民间机构网站展开按约定对日本政府机关、公司和民间机构网站展开攻击攻击o 本次攻击历时五天,以宣扬本次攻击历时五天,以宣扬“爱国爱国”精神和发泄对日精神和发泄对日不满情绪为主要目的,通过篡改主页等技术手段,不满情绪为主要目的,通过篡改主页等技术手段,在一定程度上达到了预期目的,对日本网站造成了在一定程度上达到了预期目的,对日本网站造成了某些破坏某些破坏 o 期间有十几家日本网站(包括可能是被误攻击的韩期间有十几家日本网站(包括可能是被误攻击的韩国、台湾网站)被攻击成功,页面被修改国、台湾网站)被攻击成功,页面被修改*9对日网络攻击
10、的调查对日网络攻击的调查*10对日网络攻击的调查(续)对日网络攻击的调查(续)*11对日网络攻击的调查(续)对日网络攻击的调查(续)*12攻击案例(攻击案例(2):):利用利用DNS劫持攻击大型网站事件劫持攻击大型网站事件o2007年年11月月3日,部分用户在访问腾讯迷你首页网站日,部分用户在访问腾讯迷你首页网站(http:/ 网络攻击过程网络攻击过程o 网络攻击过程一般可以分为网络攻击过程一般可以分为本地入侵本地入侵和和远程远程入侵入侵o 在这里主要介绍远程攻击的一般过程:在这里主要介绍远程攻击的一般过程:n 远程攻击的准备阶段远程攻击的准备阶段n 远程攻击的实施阶段远程攻击的实施阶段n 远
11、程攻击的善后阶段远程攻击的善后阶段*15远程攻击的准备阶段远程攻击的准备阶段o 确定攻击目标确定攻击目标o 信息收集信息收集o 服务分析服务分析o 系统分析系统分析o 漏洞分析漏洞分析*16攻击准备攻击准备1确定攻击目标确定攻击目标o 攻击者在进行一次完整的攻击之前,首先要确定攻攻击者在进行一次完整的攻击之前,首先要确定攻击要达到什么样的目的,即给受侵者造成什么样的击要达到什么样的目的,即给受侵者造成什么样的后果。后果。o 常见的攻击目的有破坏型和入侵型两种。常见的攻击目的有破坏型和入侵型两种。n破坏型攻击破坏型攻击是指只破坏攻击目标,使之不能正常工是指只破坏攻击目标,使之不能正常工作,而不能
12、随意控制目标上的系统运行。作,而不能随意控制目标上的系统运行。n入侵型攻击入侵型攻击这种攻击要获得一定的权限才能达到控这种攻击要获得一定的权限才能达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍,威胁性也更大。因为攻击者一旦掌握了一定的权普遍,威胁性也更大。因为攻击者一旦掌握了一定的权限、甚至是管理员权限就可以对目标做任何动作,包括限、甚至是管理员权限就可以对目标做任何动作,包括破坏性质的攻击。破坏性质的攻击。*17攻击准备攻击准备2信息收集信息收集(踩点)(踩点)o 利用一切公开的、可利用的信息来调查攻击利用一切公开的、可利用的信息来
13、调查攻击目标目标o 包括目标的操作系统类型及版本、相关软件包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息的类型、版本及相关的社会信息o 包括以下技术包括以下技术n 低级技术侦察低级技术侦察n Web搜索搜索n Whois数据库数据库n 域名系统(域名系统(DNS)侦察)侦察低级技术侦察低级技术侦察o 社交工程 在黑客理论中,指利用人性弱点、利用人际交往上的漏洞来非法获取资料的行为。o 物理闯入o 垃圾搜寻n 你能找出垃圾搜寻的例子吗?你能找出垃圾搜寻的例子吗?Web搜索搜索o 搜索一个组织自己的web站点n 有电话号码的职员联系信息有电话号码的职员联系信息n 关于公司文化和
14、语言的信息关于公司文化和语言的信息n 商务伙伴商务伙伴n 最近的合并和兼并公司最近的合并和兼并公司n 正使用的技术正使用的技术o 使用搜索引擎o 搜索论坛n BBS(电子公告栏)(电子公告栏)n Usenet(新闻组)(新闻组)Whois数据库搜索数据库搜索o whois数据库:包括各种关于数据库:包括各种关于Internet地址地址分配、域名和个人联系方式的数据库。分配、域名和个人联系方式的数据库。o 研究研究.com,.net,.org域名域名n o 研究非研究非.com,.net和和.org域名域名n 国家代码国家代码:n 教育(教育(.edu):n 军事代码(军事代码(.mit):wh
15、ois.nic.mitn 政府政府(.gov):whois.nic.govWhois数据库搜索数据库搜索(续续)o 搜索目标域名Whois数据库搜索数据库搜索(续续)o 搜索目标IPn 美国美国Internet注册局:注册局: 欧洲网络协调中心:欧洲网络协调中心:n 亚太网络协调中心:亚太网络协调中心:n 中国互联网络信息中心:中国互联网络信息中心:亚太网络信息中心亚太网络信息中心DNS搜索搜索oNslookup 使用使用DNS的排错工具的排错工具nslookup,你可以利用从,你可以利用从whois查询查询到的信息侦查更多的网络情况。例如,使用到的信息侦查更多的网络情况。例如,使用nsloo
16、kup命令把命令把你的主机伪装成你的主机伪装成secondary DNS服务器,如果成功便可以服务器,如果成功便可以要求从主要求从主DNS服务器进行区域传送。要是传送成功的话,你将服务器进行区域传送。要是传送成功的话,你将获得大量有用信息,包括:获得大量有用信息,包括:a)使用此使用此DNS服务器做域名解析到所有主机名和服务器做域名解析到所有主机名和IP地址的映射情地址的映射情况况 b)公司使用的网络和子网情况公司使用的网络和子网情况 c)主机在网络中的用途。许多公司使用带有描述性的主机名,像主机在网络中的用途。许多公司使用带有描述性的主机名,像,和和。DNS搜索搜索使用使用nslookup实
17、现区域传送的过程实现区域传送的过程(1)使用)使用whois命令查询目标网络,例如在提示符下输入命令查询目标网络,例如在提示符下输入 whois (2)你会得到目标网络的)你会得到目标网络的primary和和slave DNS服务器的信息服务器的信息。例如,假设主。例如,假设主DNS服务器的名字是服务器的名字是(3)使用交互查询方式,缺省情况下)使用交互查询方式,缺省情况下nslookup会使用缺省的会使用缺省的DNS服务器作域名解析。键入命令服务器作域名解析。键入命令server 定位目标网络的定位目标网络的DNS服务器;服务器;(4)列出目标网络)列出目标网络DNS服务器的内容,如服务器的
18、内容,如ls 。此时。此时DNS服务器会把数据传送给你服务器会把数据传送给你,当然,管理员可以禁止,当然,管理员可以禁止DNS服务器进行区域传送,目前很多服务器进行区域传送,目前很多公司将公司将DNS服务器至于防火墙的保护之下并严格设定了只能向服务器至于防火墙的保护之下并严格设定了只能向某些主机进行区域传送。某些主机进行区域传送。一旦你从区域传送中获得了有用信息,你便可以对每台主机实施端口扫描以确一旦你从区域传送中获得了有用信息,你便可以对每台主机实施端口扫描以确定它们提供了那些服务。如果你不能实现区域传送,你还可以借助定它们提供了那些服务。如果你不能实现区域传送,你还可以借助ping和端和端
19、口扫描工具,当然还有口扫描工具,当然还有traceroute。*26攻击准备攻击准备2信息收集信息收集(踩点)(踩点)o 收集目标系统相关信息的协议和工具收集目标系统相关信息的协议和工具n Ping实用程序实用程序n TraceRoute、Tracert、X-firewalk程序程序n Whois协议协议n Finger协议协议n SNMP协议协议*27攻击准备攻击准备2信息收集信息收集(踩点)(踩点)o 在网络中主机一般以在网络中主机一般以IP地址进行标识。地址进行标识。o 例如选定例如选定192.168.1.250这台主机为攻击这台主机为攻击目标,使用目标,使用ping命令可以探测目标主机
20、是命令可以探测目标主机是否连接在否连接在Internet中。中。o 在在Windows下使用下使用ping命令测试:命令测试:n ping 192.168.1.250n 测试结果如下页图所示。测试结果如下页图所示。o 说明此主机处于活动状态。说明此主机处于活动状态。*网络入侵与防范讲义28*网络入侵与防范讲义28*29攻击准备攻击准备3服务分析服务分析(扫描查点分析)(扫描查点分析)o 探测目标主机所提供的服务、相应端口是否开放、探测目标主机所提供的服务、相应端口是否开放、各服务所使用的软件版本类型:如利用各服务所使用的软件版本类型:如利用Telnet、haktek等工具,或借助等工具,或借助
21、SuperScan、Nmap等等这类工具的端口扫描或服务扫描功能。这类工具的端口扫描或服务扫描功能。o 举例:举例:nWindows下,开始下,开始运行运行cmdn输入:输入:telnet 192.168.1.250 80,然后回车,然后回车n结果如下页图所示,说明结果如下页图所示,说明192.168.1.250这台主机上这台主机上运行了运行了http服务,服务,Web服务器版本是服务器版本是IIS 5.1*网络入侵与防范讲义30*网络入侵与防范讲义30端口扫描端口扫描o 端口扫描类型n TCP连接扫描:三次握手连接扫描:三次握手n TCP SYNn TCP FINn Xma:发送:发送TCP
22、 URG、PSH等等n TCP 空扫描空扫描n TCP ACKn FTP跳跃跳跃n UDPn ICMPo 工具:nmap*32攻击准备攻击准备4系统分析系统分析(扫描查点分析)(扫描查点分析)o 确定目标主机采用何种操作系统确定目标主机采用何种操作系统o 原理:原理:协议栈指纹(协议栈指纹(Fingerprint)o 例如例如n 在在Windows下安装下安装Nmap v4.20扫描工具,扫描工具,此工具含此工具含OS Detection的功能(使用的功能(使用-O选选项)。项)。n 打开打开cmd.exe,输入命令:,输入命令:nmap O 192.168.1.250,然后,然后确定确定n
23、探测结果如下页图所示,说明操作系统是探测结果如下页图所示,说明操作系统是Windows 2000 SP1、SP2或者或者SP3*网络入侵与防范讲义33*网络入侵与防范讲义33*34攻击准备攻击准备5漏洞分析漏洞分析(扫描查点分析)(扫描查点分析)o 分析确认目标主机中可以被利用的漏洞分析确认目标主机中可以被利用的漏洞o 手动分析:过程复杂、技术含量高、效率较低手动分析:过程复杂、技术含量高、效率较低o 借助软件自动分析:需要的人为干预过程少,效率借助软件自动分析:需要的人为干预过程少,效率高。如高。如Nessus、X-Scan等综合型漏洞检测工具、等综合型漏洞检测工具、eEye等专用型漏洞检测
24、工具等。等专用型漏洞检测工具等。o 例如例如n在在Windows下使用下使用eEye Sasser Scanner对目标对目标主机主机192.168.1.18进行系统漏洞分析。探测结果如下进行系统漏洞分析。探测结果如下页图所示,说明目标主机存在震荡波漏洞。页图所示,说明目标主机存在震荡波漏洞。*35*36远程攻击的实施阶段远程攻击的实施阶段o 作为破坏性攻击,可以利用工具发动攻击即可。作为破坏性攻击,可以利用工具发动攻击即可。o 作为入侵性攻击,往往需要利用收集到的信息,找作为入侵性攻击,往往需要利用收集到的信息,找到其系统漏洞,然后利用漏洞获取尽可能高的权限。到其系统漏洞,然后利用漏洞获取尽
25、可能高的权限。o 攻击的主要阶段包括:攻击的主要阶段包括:n预攻击探测:为进一步入侵提供有用信息预攻击探测:为进一步入侵提供有用信息n口令破解与攻击提升权限口令破解与攻击提升权限n实施攻击:缓冲区溢出、拒绝服务、后门、木马、病毒实施攻击:缓冲区溢出、拒绝服务、后门、木马、病毒远程攻击常用的攻击方法远程攻击常用的攻击方法第一类:使用应用程序和操作系统的攻击获得访问权第一类:使用应用程序和操作系统的攻击获得访问权n 基于堆栈的缓冲区溢出基于堆栈的缓冲区溢出堆栈堆栈 缓冲区缓冲区n 密码猜测密码猜测猜测缺省密码猜测缺省密码通过登录脚本猜测密码通过登录脚本猜测密码密码破解密码破解 Windows:L0
26、phtCrack unix::John the Ripper 关键:如何获得密码文件?关键:如何获得密码文件?远程攻击常用的攻击方法远程攻击常用的攻击方法第一类:使用应用程序和操作系统的攻击获得访问权第一类:使用应用程序和操作系统的攻击获得访问权n 网络应用程序攻击网络应用程序攻击收集帐号收集帐号破坏破坏web应用程序的会话跟踪应用程序的会话跟踪 猜测会话猜测会话ID,通过获取,通过获取HTML页面修改后重放页面修改后重放 修改修改cookies 如果会话如果会话ID不能手工修改:不能手工修改:Web代理工具代理工具Achilles SQL Piggybacking 远程攻击常用的攻击方法远程
27、攻击常用的攻击方法第二类:使用网络攻击获得访问权第二类:使用网络攻击获得访问权n 嗅探嗅探n IP地址欺骗地址欺骗n 会话劫持会话劫持n 多功能网络工具攻击:多功能网络工具攻击:NetCat远程攻击常用的攻击方法远程攻击常用的攻击方法第三类:拒绝服务攻击第三类:拒绝服务攻击杀死进程重新配置系统使进程崩溃填充进程表填充整个文件系统恶意数据包攻击(如Land攻击,Teardrop攻击)数据包泛洪(SYN泛洪,Smurf,DDoS)本地本地网络网络停止服务停止服务消耗资源消耗资源*41远程攻击的善后阶段远程攻击的善后阶段o 入侵成功后,攻击者为了能长时间地保留和巩固他入侵成功后,攻击者为了能长时间地
28、保留和巩固他对系统的控制权,一般会留下后门。对系统的控制权,一般会留下后门。o 此外,攻击者为了自身的隐蔽性,须进行相应的善此外,攻击者为了自身的隐蔽性,须进行相应的善后工作后工作隐藏踪迹隐藏踪迹:n攻击者在获得系统最高管理员权限之后就可以任意修改攻击者在获得系统最高管理员权限之后就可以任意修改系统上的文件了,所以一般黑客如果想隐匿自己的踪迹,系统上的文件了,所以一般黑客如果想隐匿自己的踪迹,最简单的方法就是删除日志文件最简单的方法就是删除日志文件n但这也明确无误地告诉了管理员系统已经被入侵了。更但这也明确无误地告诉了管理员系统已经被入侵了。更常用的办法是只对日志文件中有关自己的那部分作修改,
29、常用的办法是只对日志文件中有关自己的那部分作修改,关于修改方法的细节根据不同的操作系统有所区别,网关于修改方法的细节根据不同的操作系统有所区别,网络上有许多此类功能的程序。络上有许多此类功能的程序。维护访问权维护访问权o 木马(Trojan Horse)n Back Orifice 2000(BO2K):n.o 后门(Backdoor)o RootKits:修改系统命令甚至内核n dun findn lsn Ifconfign netstatn ps掩盖踪迹和隐藏掩盖踪迹和隐藏o 安装RootKits或者backdooro 修改事件日志n Windows:o*.evto 工具:工具:winza
30、pper,ntsecurity.nu/toolbox/winzapper/n UNIX:o utmpo wtmpo lastlog掩盖踪迹和隐藏(续)掩盖踪迹和隐藏(续)o 利用秘密通道技术来隐藏证据n 隧道技术隧道技术o loki:ICMP隧道隧道o Van Hauser:HTTP 隧道隧道n 隐蔽通道(隐蔽通道(Covert Channel)o 利用利用IP或者利用或者利用tcp头头n IP identifiern TCP Sequence numbern TCP ack numbero 工具:工具:n Covert_TCP*45入侵系统的常用步骤o 采用采用漏洞漏洞扫描扫描工具工具选择选
31、择会用会用的的方式方式入侵入侵获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装系统系统后门后门获取敏感信息获取敏感信息或者或者其他攻击目的其他攻击目的*46较高明的入侵步骤o 端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途2.2 网络攻击过程网络攻击过程o 黑客入侵的一般完整模式为:隐藏自己隐藏自己踩点踩点 扫描扫描查点查点 分析分
32、析并入侵并入侵 获取权限获取权限 扩大范围扩大范围 安装后门安装后门清除日志并隐身清除日志并隐身 黑客入侵行为可以用模型图表示如下:黑客入侵行为可以用模型图表示如下:黑客入侵的一般流程黑客入侵的一般流程Case StudySource Code DBMonstrous Software电子办公电子办公Monstrous SoftwareCase Studyo Step 1:寻找跳离点跳离点(前苏联)跳离点(前苏联)跳离点(日本)跳离点(日本)Source Code DBMonstrous Software电子办公电子办公Monstrous SoftwareCase Study跳离点(俄罗斯)跳
33、离点(俄罗斯)跳离点(日本)跳离点(日本)Source Code DBMonstrous Software电子办公电子办公Monstrous SoftwareCase Studyo Step 2:搜索Monstrous Software跳离点(俄罗斯)跳离点(俄罗斯)跳离点(日本)跳离点(日本)Source Code DBMonstrous Software电子办公电子办公Monstrous SoftwareCase Studyo Step 3:发送带病毒的、有吸引人的垃圾邮件Source Code DB跳离点(俄罗斯)跳离点(俄罗斯)跳离点(日本)跳离点(日本)Monstrous Softw
34、are电子办公电子办公Monstrous SoftwareSPAMCase Studyo Step 3:发送带病毒的、有吸引人的垃圾邮件跳离点(跳离点(俄罗斯俄罗斯)跳离点(日本)跳离点(日本)Source Code DBMonstrous Software电子办公电子办公Monstrous Software下载电子下载电子邮件邮件VPNCase Studyo Step 4:下载病毒代码跳离点(跳离点(俄罗斯俄罗斯)跳离点(日本)跳离点(日本)Source Code DBMonstrous Software电子办公电子办公Monstrous Software下载木马下载木马后门后门Case S
35、tudyo Step 5:木马后门利用VPN搜索windows共享跳离点(跳离点(俄罗斯俄罗斯)跳离点(日本)跳离点(日本)Source Code DBMonstrous Software电子办公电子办公Monstrous Software木马后门木马后门VPNCase Studyo Step 6:上传病毒代码,并替换为notepad等程序跳离点(跳离点(俄罗斯俄罗斯)跳离点(日本)跳离点(日本)Source Code DBMonstrous Software电子办公电子办公Monstrous Software木马后门木马后门VPN木马后门木马后门木马后门木马后门Case Studyo Ste
36、p 7:回传口令信息跳离点(跳离点(俄罗斯俄罗斯)跳离点(日本)跳离点(日本)Source Code DBMonstrous Software电子办公电子办公Monstrous Software木马后门木马后门NetcatL0phCrackNetcat木马后门木马后门木马后门木马后门Case Studyo Step 8:利用隐蔽信道传送命令和解密口令Source Code DB跳离点(跳离点(俄罗斯俄罗斯)跳离点(日本)跳离点(日本)Monstrous Software电子办公电子办公Monstrous Software木马后门木马后门NetcatL0phCrackCovert_TCP通信量大
37、的电子通信量大的电子商务网站商务网站Netcat木马后门木马后门木马后门木马后门Case Studyo Step 9:利用破解后的口令建立VPN连接,并扫描网络Source Code DBMonstrous Software跳离点(跳离点(俄罗斯俄罗斯)跳离点(日本)跳离点(日本)Monstrous Software电子办公电子办公木马后门木马后门NetcatL0phCrackCovert_TCP通信量大的电子通信量大的电子商务网站商务网站NetcatVPN木马后门木马后门木马后门木马后门Case Studyo Step 10:回传源代码Source Code DBMonstrous Soft
38、ware跳离点(跳离点(俄罗斯俄罗斯)跳离点(日本)跳离点(日本)Monstrous Software电子办公电子办公木马后门木马后门NetcatL0phCrackCovert_TCP通信量大的电子通信量大的电子商务网站商务网站NetcatVPN木马后门木马后门木马后门木马后门源代码源代码Main().*62*622.3 常用的防护措施常用的防护措施我们怎么办?我们怎么办?*63*63个人用户防护措施个人用户防护措施 加密重要文件加密重要文件防火墙防火墙定期升级补丁定期升级补丁杀毒软件定期升级和杀毒杀毒软件定期升级和杀毒定期备份系统或重要文件定期备份系统或重要文件防护措施防护措施*64*64防
39、止黑客入侵防止黑客入侵关闭不常用端口关闭不常用端口关闭不常用程序和服务关闭不常用程序和服务及时升级系统和软件补丁及时升级系统和软件补丁发现系统异常立刻检查发现系统异常立刻检查*65常用的防护措施常用的防护措施o 完善安全管理制度完善安全管理制度o 采用访问控制措施采用访问控制措施o 运行数据加密措施运行数据加密措施o 数据备份与恢复数据备份与恢复 世界第一黑客提出的个人计算机安全十大建议世界第一黑客提出的个人计算机安全十大建议 备份资料。记住你的系统永远不会是无懈可击的,备份资料。记住你的系统永远不会是无懈可击的,灾难性的数据损失会发生在你身上灾难性的数据损失会发生在你身上只需一条只需一条蠕虫
40、或一只木马就已足够。蠕虫或一只木马就已足够。选择很难猜的密码。不要没有脑子地填上几个与你选择很难猜的密码。不要没有脑子地填上几个与你有关的数字,在任何情况下,都要及时修改默认密有关的数字,在任何情况下,都要及时修改默认密码。码。安装杀毒软件,并让它每天更新升级。安装杀毒软件,并让它每天更新升级。及时更新操作系统,时刻留意软件制造商发布的各及时更新操作系统,时刻留意软件制造商发布的各种补丁,并及时安装应用。种补丁,并及时安装应用。不用电脑时候千万别忘了断开网线和电源。不用电脑时候千万别忘了断开网线和电源。世界第一黑客提出的个人计算机安全十大建议世界第一黑客提出的个人计算机安全十大建议 在在IE或
41、其它浏览器中会出现一些黑客钓鱼,对此要保持清醒,或其它浏览器中会出现一些黑客钓鱼,对此要保持清醒,拒绝点击,同时将电子邮件客户端的自动脚本功能关闭。拒绝点击,同时将电子邮件客户端的自动脚本功能关闭。在发送敏感邮件时使用加密软件,也可用加密软件保护你的硬盘在发送敏感邮件时使用加密软件,也可用加密软件保护你的硬盘上的数据。上的数据。安装一个或几个反间谍程序,并且要经常运行检查。使用个人防安装一个或几个反间谍程序,并且要经常运行检查。使用个人防火墙并正确设置它,阻止其它计算机、网络和网址与你的计算火墙并正确设置它,阻止其它计算机、网络和网址与你的计算机建立连接,指定哪些程序可以自动连接到网络。机建立
42、连接,指定哪些程序可以自动连接到网络。关闭所有你不使用的系统服务,特别是那些可以让别人远程控制关闭所有你不使用的系统服务,特别是那些可以让别人远程控制你的计算机的服务,如你的计算机的服务,如RemoteDesktop、RealVNC和和NetBIOS等。等。保证无线连接的安全。在家里,可以使用无线保护接入保证无线连接的安全。在家里,可以使用无线保护接入WPA和和至少至少20个字符的密码。正确设置你的笔记本电脑,不要加入任个字符的密码。正确设置你的笔记本电脑,不要加入任何网络,除非它使用何网络,除非它使用WPA。要想在一个充满敌意的因特网世。要想在一个充满敌意的因特网世界里保护自己,的确是一件不
43、容易的事。你要时刻想着,在地界里保护自己,的确是一件不容易的事。你要时刻想着,在地球另一端的某个角落里,一个或一些毫无道德的人正在刺探你球另一端的某个角落里,一个或一些毫无道德的人正在刺探你的系统漏洞,并利用它们窃取你最敏感的秘密。希望你不会成的系统漏洞,并利用它们窃取你最敏感的秘密。希望你不会成为这些网络入侵者的下一个牺牲品。为这些网络入侵者的下一个牺牲品。*68*682.4 网络安全策略及制订原则网络安全策略及制订原则o 安全策略安全策略,是针对那些被允许进入某一组织、,是针对那些被允许进入某一组织、可以访问网络技术资源和信息资源的人所规可以访问网络技术资源和信息资源的人所规定的、必须遵守
44、的规则。定的、必须遵守的规则。o 即:网络管理部门根据整个计算机网络所提即:网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、网络安全状供的服务内容、网络运行状况、网络安全状况、安全性需求、易用性、技术实现所付出况、安全性需求、易用性、技术实现所付出的代价和风险、社会因素等许多方面因素,的代价和风险、社会因素等许多方面因素,所制定的关于网络安全总体目标、网络安全所制定的关于网络安全总体目标、网络安全操作、网络安全工具、人事管理等方面的规操作、网络安全工具、人事管理等方面的规定。定。*69*69制定安全策略的目的制定安全策略的目的o 决定一个组织机构怎样保护自己决定一个组织机构怎样保
45、护自己o 阐明机构安全政策的总体思想阐明机构安全政策的总体思想o 让所有用户、操作人员和管理员清楚,为了让所有用户、操作人员和管理员清楚,为了保护技术和信息资源所必须遵守的原则。保护技术和信息资源所必须遵守的原则。o 提供一个可以获得、能够配置和检查的用于提供一个可以获得、能够配置和检查的用于确定是否与计算机和网络系统的策略一致的确定是否与计算机和网络系统的策略一致的基准基准*70*70安全策略的必要性安全策略的必要性o 网络管理员在作安全策略时的依据在很大程网络管理员在作安全策略时的依据在很大程度上取决于网络运行过程中的安全状况,网度上取决于网络运行过程中的安全状况,网络所提供的功能以及网络
46、的易用程度。络所提供的功能以及网络的易用程度。o 安全策略应以要实现目标为基础,而不能简安全策略应以要实现目标为基础,而不能简单地规定要检验什么和施加什么限制。单地规定要检验什么和施加什么限制。o 在确定的安全目标下,应该制定如何有效地在确定的安全目标下,应该制定如何有效地利用所有安全工具的策略。利用所有安全工具的策略。*71*71安全策略的必要性安全策略的必要性(2)检测检测响应响应防护防护PPDR模型模型检测检测响应响应防护防护策略策略p强调了策略的核强调了策略的核心作用心作用p强调了检测、响强调了检测、响应、防护的动态性应、防护的动态性p检测、响应、防检测、响应、防护必须遵循安全策护必须
47、遵循安全策略进行略进行*72制订安全策略的基本原则制订安全策略的基本原则o 适用性原则适用性原则o 可行性原则可行性原则o 动态性原则动态性原则o 简单性原则简单性原则o 系统性原则系统性原则*73*73适用性原则适用性原则o 安全策略是在一定条件下采取的安全措施,安全策略是在一定条件下采取的安全措施,必须与网络的实际应用环境相结合。必须与网络的实际应用环境相结合。o 网络的安全管理是一个系统化的工作,因此网络的安全管理是一个系统化的工作,因此在制定安全策略时,应全面考虑网络上各类在制定安全策略时,应全面考虑网络上各类用户、设备等情况,有计划有准备地采取相用户、设备等情况,有计划有准备地采取相
48、应的策略,任何一点疏忽都会造成整个网络应的策略,任何一点疏忽都会造成整个网络安全性的降低。安全性的降低。*74*74可行性原则可行性原则o 安全管理策略的制定还要考虑资金的投入量,安全管理策略的制定还要考虑资金的投入量,因为安全产品的性能一般是与其价格成正比因为安全产品的性能一般是与其价格成正比的,所以要适合划分系统中信息的安全级别,的,所以要适合划分系统中信息的安全级别,并作为选择安全产品的重要依据,使制定的并作为选择安全产品的重要依据,使制定的安全管理策略达到成本和效益的平衡。安全管理策略达到成本和效益的平衡。*75*75动态性原则动态性原则o 安全管理策略有一定的时限性,不能是一成安全管
49、理策略有一定的时限性,不能是一成不变的。不变的。o 由于网络用户在不断地变化,网络规模在不由于网络用户在不断地变化,网络规模在不断扩大,网络技术本身的发展变化也很快,断扩大,网络技术本身的发展变化也很快,而安全措施是防范性的,所以安全措施也必而安全措施是防范性的,所以安全措施也必须随着网络发展和环境的变化而变化。须随着网络发展和环境的变化而变化。*76*76简单性原则简单性原则o 网络用户越多,网络管理人员越多,网络拓网络用户越多,网络管理人员越多,网络拓扑越复杂,采用网络设备种类和软件种类越扑越复杂,采用网络设备种类和软件种类越多,网络提供的服务和捆绑越多,出现安全多,网络提供的服务和捆绑越
50、多,出现安全漏洞的可能性就越大。漏洞的可能性就越大。o 因此制定的安全管理策略越简单越好,如简因此制定的安全管理策略越简单越好,如简化授权用户的注册过程等。化授权用户的注册过程等。*77*77系统性原则系统性原则o 网络的安全管理是一个系统化的工作,因此网络的安全管理是一个系统化的工作,因此在制定安全管理策略时,应全面考虑网络上在制定安全管理策略时,应全面考虑网络上各类用户,各种设备,各种情况,有计划有各类用户,各种设备,各种情况,有计划有准备地采取相应的策略,任何一点疏忽都会准备地采取相应的策略,任何一点疏忽都会造成整个网络安全性的降低。造成整个网络安全性的降低。*78*78安全策略的特点安
