1、黑客攻击与防范技术目录目录一、背景介绍二、黑客攻击基本流程介绍三、黑客常见攻击方法和防范措施四、网络攻击演示与实践五、网络安全整体解决方案六、结束语网络中存在的安全威胁背景介绍什么是黑客黑客守则黑客守则黑客入侵和破坏的危险针对我国的几次主要黑客攻击事件2001年中美黑客大战这次事件中被利用的典型漏洞n用户名泄露,缺省安装的系统用户名和密码nUnicode编码可穿越Firewall,执行黑客指令nASP源代码泄露可远程连接的数据库用户名和密码nSQL Server缺省安装nWindows2000登录验证机制可被绕过n基于Bind漏洞的Lion蠕虫n拒绝服务(SYN-Flood,ping)这次事件
2、中被利用的典型漏洞这次事件中被利用的典型漏洞PoizonB0 x、pr0phet更改的网页中国网数据有限公司中国科学院心理研究所国内某大型商业网站国内某政府网站国内黑客组织更改的网站页面Internet 上有超过30,000 个黑客站点黑客攻击基本流程消除所有入侵脚印,以免被管理员发现消除所有入侵脚印,以免被管理员发现典型的攻击步骤图解 黑客常见攻击方法和防范措施1、预攻击探测2、漏洞扫描和攻击3、木马与后门攻击4、拒绝服务攻击5、欺骗攻击6、病毒蠕虫攻击7、其他攻击8、总结黑客常见攻击方法和防范措施1、预攻击探测主机扫描网络结构发现端口和服务扫描操作系统识别资源和用户信息扫描防范措施主机扫描
3、n操作系统本身的ping工具,在windows安装光盘中有一个我们不太注意工具集(super tools)Windows平台Pinger、Ping Sweep、WS_Ping ProPackping工具:Pingerping工具:Ping SweepPing Sweep是基于ICMP协议的IP扫描,是网络扫描的较早期的工具,扫描速度比较慢。黑客常见攻击方法和防范措施1、预攻击探测主机扫描网络结构发现端口和服务扫描操作系统识别资源和用户信息扫描防范措施网络结构发现n尽可能多的获取对方网络拓扑信息n分析对方网络结构n为进一步入侵做准备Tracert命令n用于路由跟踪,判断从你的主机到目标主机经过哪
4、些路由器、跳计数、响应时间等等n可以推测出网络物理布局n判断出响应较慢的节点和数据包在路由过程中的跳数Tracert路由跟踪原理Tracert路由跟踪原理Tracert路由跟踪原理Tracert路由跟踪原理Tracert使用立体图形化路由跟踪工具VisualRoute黑客常见攻击方法和防范措施1、预攻击探测主机扫描网络结构发现端口和服务扫描操作系统识别资源和用户信息扫描防范措施端口扫描基础TCP是一个面向连接的可靠传输协议。面向连接表示两个应用端在利用TCP传送数据前必须先建立TCP连接。TCP的可靠性通过校验和、定时器、数据序号和应答来提供。通过给每个发送的字节分配一个序号,接收端接收到数据
5、后发送应答,TCP协议保证了数据的可靠传输。数据序号用来保证数据的顺序,剔除重复的数据。在一个TCP会话中,有两个数据流(每个连接端从另外一端接收数据,同时向对方发送数据),因此在建立连接时,必须要为每一个数据流分配ISN(初始序号)。为了了解实现过程,我们假设客户端C希望跟服务器端S建立连接,然后分析连接建立的过程(这通常称作三阶段握手TCP/IP协议簇 TCP三次握手机制TCP/IP相关问题一个TCP头包含6个标志位。它们的意义如下所述:SYNSYN:标志为用来建立连接,让连接双方同步序列号。如果:标志为用来建立连接,让连接双方同步序列号。如果SYN=1SYN=1而而ACK=0ACK=0,
6、则表示该数据包为连接请求,如果则表示该数据包为连接请求,如果SYN=1SYN=1而而ACK=1ACK=1则表示接受连接;则表示接受连接;FINFIN:表示发送端已经没有数据要求传输了,希望释放连接;:表示发送端已经没有数据要求传输了,希望释放连接;RSTRST:用来复位一个连接。:用来复位一个连接。RSTRST标志位置的数据包称为复位包。一般情况标志位置的数据包称为复位包。一般情况下,如果下,如果TCPTCP收到的一个分段明显不是属于该主机上的任何一个连接,则收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包;向远端发送一个复位包;URGURG:为紧急数据标志。如果它为:
7、为紧急数据标志。如果它为1 1,表示本数据包中包含紧急数据。此,表示本数据包中包含紧急数据。此时紧急数据指针有效;时紧急数据指针有效;ACKACK:为确认标志位。如果为:为确认标志位。如果为1 1,表示包中的确认号是有效的。否则,包,表示包中的确认号是有效的。否则,包中的确认号无效;中的确认号无效;PSHPSH:如果置位,接受端应尽快把数据传送给应用层:如果置位,接受端应尽快把数据传送给应用层大部分TCP/IP遵循的原则(1)大部分TCP/IP遵循的原则(2)大部分TCP/IP遵循的原则(3)端口扫描原理端口扫描基础全TCP连接TCPSYN扫描TCPFIN扫描端口扫描工具(Windows 平台
8、)nNetScanTools nWinScan nSuperScan nNmapNT端口扫描工具:NetScanTools端口扫描工具:WinScan端口扫描工具:SuperScan端口扫描工具:NmapNT黑客常见攻击方法和防范措施1、预攻击探测主机扫描网络结构发现端口和服务扫描操作系统识别资源和用户信息扫描防范措施扫描基础利用IP协议项来探测主机使用哪些协议利用IP协议项来探测主机使用哪些协议利用组装超时ICMP错误消息探测协议高级扫描技术慢速扫描高级扫描技术乱序扫描n普通的扫描器在扫描远程系统的端口时,对端口扫描的顺序是有序的,这种按照一定的顺序扫描端口的方式很容易被入侵检测系统发觉。n
9、乱序扫描的端口号的顺序是随机生产的,这种方式能有效的欺骗某些入侵检测系统而不会被入侵检测系统发觉黑客常见攻击方法和防范措施1、预攻击探测主机扫描网络结构发现端口和服务扫描操作系统识别资源和用户信息扫描防范措施黑客常见攻击方法和防范措施1、预攻击探测主机扫描网络结构发现端口和服务扫描操作系统识别资源和用户信息扫描防范措施资源和用户信息扫描n除前面介绍的ping扫射、端口扫描和操作类型扫描外,还有一类扫描和探测也非常重要,这就是资源扫描和用户扫描。这些扫描都是攻击目标系统的很有价值的信息,而Windows系统,特别是Windows NT/2000在这些方面存在着严重的漏洞,很容易让非法入侵者获取到
10、关于该目标系统的很多有用信息,如共享资源、Netbios名和用户组等。资源扫描:用户扫描网络资源和共享资源,如目标网络计算机名、域名和共享文件等等;用户扫描:用户扫描目标系统上合法用户的用户名和用户组名。NetBIOS协议CIFS/SMB协议空会话资源扫描和查找nNet View windowswindows自带工具自带工具nNbtstatwindowswindows自带工具自带工具n NbtscannWindows NT/2000资源工具箱Net view用户和用户组查找利用前面介绍的方法,可以很容易获取远程Windows NT/2000主机的共享资源、NetBIOS名和所处的域信息等。但黑
11、客和非法入侵者更感兴趣的是通过NetBIOS扫描,获取目标主机的用户名列表。如果知道了系统中的用户名(即账号)后,就可以对该账号对应的口令进行猜测攻击(有些口令往往很简单),从而对远程目标主机进行更深入的控制。在Windows NT/2000的资源工具箱NTRK中提供了众多的工具用于显示远程主机用户名和组信息,如前面介绍的nbtstat和nbtscan,另外还有其他工具(后续介绍)黑客常见攻击方法和防范措施1、预攻击探测主机扫描网络结构发现端口和服务扫描操作系统识别资源和用户信息扫描防范措施针对预攻击探测的防范措施Ping sweep安装防火墙或相关工具软件,禁止某些ICMP ping,使用N
12、AT隐藏内部网络结构Port scan安装防火墙或相关工具软件,禁止访问不该访问的服务端口OS fingerprint安装防火墙或相关工具软件,只允许访问少量服务端口,由于攻击者缺乏必要的信息,无法判断OS类型资源和用户扫描防范NetBIOS扫描的最直接方法就是不允许对TCP/UDP 135到139端口的访问,如通过防火墙或路由器的配置等。另 外,对单独的主机,可使用NetBIOS over TCP/IP项失效或 注册表配置来实现。黑客常见攻击方法和防范措施1、预攻击探测2、漏洞扫描和攻击3、木马与后门攻击4、拒绝服务攻击5、欺骗攻击6、病毒蠕虫攻击7、其他攻击8、总结漏洞扫描和攻击概述漏洞扫
13、描是一种最常见的攻击模式,用于探测系统和网络漏洞,如获取系统和应用口令,嗅探敏感信息,利用缓存区溢出直接攻击等。我们可以从以下网站进行查询目前已经公布的漏洞信息:针对某一类型的漏洞,都有专门的攻击工具。另外,也有一些功能强大综合扫描工具,针对系统进行全面探测和漏洞扫描,如流光等。黑客常见攻击方法和防范措施漏洞扫描和攻击n口令破解nIPC$漏洞n缓冲区溢出nIIS漏洞n综合漏洞扫描黑客常见攻击方法和防范措施口令破解n弱口令扫描n暴力穷举n完全取决于机器的运算速度n字典破解n大大减少运算的次数,提高成功率n密码监听n通过嗅探器监听网络中的数据包n社交工程学n木马和键盘记录程序黑客常见攻击方法和防范
14、措施口令攻击演示:“*”密码查看黑客常见攻击方法和防范措施口令攻击演示:ZIP密码破解黑客常见攻击方法和防范措施口令攻击演示:XP/2000密码口令破解n弱口令扫描流光CNIPC NTCNIPC NTn暴力穷举/字典破解LC4 Fluxay5流光针对口令破解攻击的防范措施n安装入侵检测系统,检测口令破解行为n安装安全评估系统,先于入侵者进行模拟口令破解,以便及早发现弱口令并解决n提高安全意识,避免弱口令n使用检测工具 Anti-SnifferAnti-Sniffer网络嗅探破解口令n如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如Ethereal,SnifferPro,Net
15、Xray,tcpdump,Dsniff等就可以轻而易举地截取包括口令、帐号等敏感信息网络嗅探破解口令n共享信道广播型以太网n协议不加密口令明文传输n混杂模式处于这种模式的网卡接受网络中所有数据包针对网络嗅探攻击的防范措施n安装VPN网关,防止对网间网信道进行嗅探n对内部网络通信采取加密处理n采用交换设备进行网络分段n采取技术手段发现处于混杂模式的主机,发掘“鼹鼠”漏洞扫描和攻击nIPC$漏洞IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资
16、源时使用。利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的),而利用这个空的连接,连接者还可以得到目标主机上的用户列表。漏洞扫描和攻击缓冲区溢出十年来最大的安全问题这是一种系统攻击手段,通过向程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。这种攻击可以使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。缓冲区溢出基本原理受攻击程序vulnerable.cvoid main(int argc,char*argv)char buff1
17、024;if(argc 1)strcpy(buff,argv1);缓冲区溢出基本原理攻击程序exploit.c#include#includevoid main()char string2000;for(i=0;i(0 xss-0 xc0)*0 x40+0 xhh 例如:%c1%1c按照上面的解码公式可解成:%c1%1c=(0 xc1-0 xc0)*0 x40+0 x1c=0 x5c=“/”%c0%2f=(0 xc0-0 xc0)*0 x40+0 x2f=0 x2f=“”下面的将产生什么样的结果?综合扫描n安全扫描审计分类网络安全扫描系统安全扫描优点较全面检测流行漏洞降低安全审计人员的劳动强度
18、防止最严重的安全问题缺点无法跟上安全技术的发展速度只能提供报告,无法实际解决可能出现漏报和误报综合扫描器的使用综合扫描和攻击工具演示n流光nX-Scan 从哪些方面对系统进行安全评估为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估:从企业外部进行评估:考察企业计算机基础设施中的防火墙;从企业内部进行评估:考察内部网络系统中的计算机;从应用系统进行评估:考察每台硬件设备上运行的操作系统。漏洞利用周期图表漏洞攻击的防范措施n安装防火墙,禁止访问不该访问的服务端口,使用NAT隐藏内部网络结构n安装入侵检测系统,检测漏洞攻击行为n安装安全评估系统,先于入侵者进行模拟漏洞攻击,
19、以便及早发现漏洞并解决n提高安全意识,经常给操作系统和应用软件打补丁黑客常见攻击方法和防范措施1、预攻击探测2、漏洞扫描和攻击3、木马与后门攻击4、拒绝服务攻击5、欺骗攻击6、病毒蠕虫攻击7、其他攻击8、总结木马与后门攻击特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机,危害极大。Windows下:Netbus、subseven、BO、冰河、网络神偷等UNIX下:Rho
20、st+、Login后门、rootkit等木马组成n对木马程序而言,它一般包括两个部分:客户端和服务器端。n服务器端安装在被控制的计算机中,它一般通过电子邮件或其他手段让用户在其计算机中运行,以达到控制该用户计算机的目的。n客户端程序是控制者所使用的,用于对受控的计算机进行控制。服务器端程序和客户端程序建立起连接就可以实现对远程计算机的控制了。n木马运行时,首先服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现对本地计算机的控制了。n木马本身不具备繁殖性和
21、自动感染的功能。木马分类n远程访问型木马是现在最广泛的特洛伊木马,它可以访问受害人的硬盘,并对其进行控制。这种木马用起来非常简单,只要某用户运行一下服务端程序,并获取该用户的IP地址,就可以访问该用户的计算机。这种木马可以使远程控制者在本地机器上做任意的事情,比如键盘记录、上传和下载功能、截取屏幕等等。这种类型的木马有著名的BO(Back Office)和国产的冰河等。n密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的Windows重启时重启,而且它们大多数使用25端口发送E-mail。n键盘记录型木马非常简单的,它们只做
22、一种事情,就是记录受害者的键盘敲击,并且在LOG文件里做完整的记录。这种特洛伊木马随着Windows的启动而启动,知道受害者在线并且记录每一件事。n毁坏型木马的唯一功能是毁坏并且删除文件。这使它们非常简单,并且很容易被使用。它们可以自动地删除用户计算机上的所有的.DLL、INI或EXE文件。nFTP 型木马打开用户计算机的21端口(FTP所使用的默认端口),使每一个人都可以用一个FTP 客户端程序来不用密码连接到该计算机,并且可以进行最高权限的上传下载。木马分类n第二代木马冰河、广外女生n第三代木马灰鸽子反弹端口技术n第四代木马广外幽灵、广外男生线程插入n第五代木马进程、端口、文件、注册表隐藏
23、冰河试验木马常用欺骗法n 捆绑欺骗:如把木马服务端和某个游戏捆绑成一个文件在邮件中发 给别人 n危险下载点:攻破一些下载站点后,下载几个下载量大的软件,捆 绑上木马,再悄悄放回去让别人下载;或直接将木马改名上载到 FTP 网站上,等待别人下载;n文件夹惯性点击:把木马文件伪装成文件夹图标后,放在一个文件 夹中,然后在外面再套三四个空文件夹;nzip 伪装:将一个木马和一个损坏的 zip 包捆绑在一起,然后指定捆绑 后的文件为 zip 图标;n木马隐藏方式:文件隐藏;在专用文件夹中隐藏 在任务管理器中隐形 悄没声息地启动:如启动组、win.ini system.ini 注册表等;伪装成驱动程序及
24、动态链接库:如 Kernl32.dll sysexlpr.exe 等。木马的激活方式n在win.ini中启动n修改关联文件n文件捆绑n在System.ini中启动n利用注册表加载运行n在autoexec.bat和Config.sys中加载运行n在Windows.bat中启动木马防杀技术n加壳与脱壳后门程序(一种类型的木马)nBO netbus、nService/Daemon n其他 是登录屏还是特洛伊木马?吃惊吗!针对木马攻击的防范措施n安装防火墙,禁止访问不该访问的服务端口,使用NAT隐藏内部网络结构n安装防病毒软件n提高安全意识,尽量避免使用来历不明的软件黑客常见攻击方法和防范措施1、预攻
25、击探测2、漏洞扫描和攻击3、木马与后门攻击4、拒绝服务攻击5、欺骗攻击6、病毒蠕虫攻击7、其他攻击8、总结拒绝服务攻击(DoS,DDos)nDenial of Service(DoS)此类攻击指一个用户占据了大量的共享资源,使得系统没有剩余的资源给其他用户可用的一种攻击方式。这是一类危害极大的攻击方式,严重的时候可以使一个网络瘫痪。Flooding攻击-发送垃圾数据或者响应主机的请求来阻塞服务SYN(Synchronize)Flooding攻击利用TCP 实现中的漏洞(有限的缓存)来阻塞外来的连接请求smurf攻击-利用IP的广播系统的反射功能来增强Flooding 攻击SYN-Floodin
26、g攻击概述(1)nSYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。TCP与UDP不同,它是基于连接的,也就是说,为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程如下:n首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号。n服务器在收到客户端的SYN报文后,将返回一个SY
27、N+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。n最后,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加1,到此一个TCP连接完成。n以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)SYN-Flooding攻击概述(2)n假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度称
28、为SYN 超时(Timeout),一般来说这个时间是分钟的数量级(大约为30秒到2分钟).n如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源:数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存.。n服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小)。最后的结果往往是堆栈溢出崩溃.SYN-Flooding攻击SYN-Flooding攻击攻击者攻击者受害者受害者不能建立正常的连接不能建立正常的连接其它正常用户得不到响应其它正常用户得不到响应SYN-Flooding攻击SY
29、N洪水攻击/DDoS攻击针对SYN-Flooding攻击的防范措施(一)SYN Defender针对SYN-Flooding攻击的防范措施(二)SYN proxyUDP-Flood攻击UDP-Flood攻击预防杜绝UDPFlood攻击的最好办法是关掉不必要的TCP/IP服务,或者配置防火墙以阻断来自Internet的UDP服务请求,不过这可能会阻断一些正常的UDP服务请求。Teardrop攻击Teardrop攻击预防防御泪滴攻击的最好办法是升级服务包软件,如下载操作系统补丁或升级操作系统等。另外,在设置防火墙时对分组进行重组,而不进行转发,这样也可以防止这种攻击。Land攻击一个特别打造的SY
30、N包中的源地址和目标地址都被设置成同一个服务器地址,这时将导致目标服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。对Land攻击反应不同,许多种类的UNIX将崩溃,而Windows NT会变得极其缓慢(大约持续五分钟)。目前流行的操作系统都已解决了此问题。Land攻击Land攻击Land攻击预防预防LAND攻击最好的办法是配置防火墙,对哪些在外部接口入站的含有内部源地址的数据包过滤。防范:代理类的防火墙防火墙把有危险的包阻隔在网络外PING、SMURF攻击nICMP/PING 攻击原理ICMP/PING攻击是利用一些
31、系统不能接受超大的IP包或需要资源处理这一特性。如在Linux下输入Ping-t 66510 IP(未打补丁的Win95/98的机器),机器就会瘫痪。nICMP/SMURF 攻击原理Smurf是一种具有放大效果的DoS攻击,具有很大的危害性。这种攻击形式利用了TCP/IP中的定向广播特性,共有三个参与角色:受害者、帮凶(放大网络,即具有广播特性的网络)和攻击者。攻击者向放大网络中的广播地址发送源地址(假冒)为受害者系统的ICMP回射请求,由于广播的原因,放大网络上的所有系统都会向受害者系统做出回应,从而导致受害者不堪重负而崩溃。Smuff攻击示意图Smurf攻击Smurf攻击预防n为了防止成为
32、DoS的帮凶,最好关闭外部路由器或防火墙的广播地址特性;为了防止被攻击,在防火墙的设置规则中可丢弃ICMP包。nSmurf还有一个变种为Fraggle攻击,它利用UDP来代替ICMP包。针对拒绝服务攻击的防范措施n安装防火墙,禁止访问不该访问的服务端口,过滤不正常的畸形数据包,使用NAT隐藏内部网络结构n安装入侵检测系统,检测拒绝服务攻击行为n安装安全评估系统,先于入侵者进行模拟攻击,以便及早发现问题并解决n提高安全意识,经常给操作系统和应用软件打补丁分布式拒绝服务(DDOS)分布式拒绝服务攻击(DDoS)nDDoS攻击由三部分组成客户端程序(黑客主机)控制端(Master)代理端(Zombi
33、e),或者称为攻击点(daemon)分布式拒绝服务攻击(DDoS)DDoS攻击的第一步黑客黑客DDoS攻击的第二步DDoS攻击的第三步DDoS攻击的第四步DDoS攻击的第五步DDoS攻击的第六步2000年Yahoo受攻击过程SYN洪水攻击/DDoS攻击针对DDoS攻击的防范措施n防火墙设置n路由器设置n增强操作系统的TCP/IP栈n安装入侵检测系统,检测DDoS攻击通信针对DDoS攻击的防范措施n企业网管理员主机上的设置几乎所有的主机平台都有抵御DoS的设置关闭不必要的服务限制同时打开的Syn半连接数目新建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSer
34、vicesTcpipHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect DWORDParametersSynAttackProtect DWORD值=2=2缩短Syn半连接的time out 时间及时更新系统补丁针对DDoS攻击的防范措施n防火墙禁止对主机的非开放服务的访问限制同时打开的SYN最大连接数限制特定IP地址的访问启用防火墙的防DDoS的属性n路由器访问控制列表(ACL)过滤设置SYN数据包流量速率升级版本过低的IOS 针对DDoS攻击的防范措施nISP/ICP管理员ISP/
35、ICP为很多中小型企业提供了各种规模的主机托管业务在防DDoS时,与企业网管理员一样的手段还要特别注意自己管理范围内的客户托管主机不要成为傀儡机n骨干网络运营商每家运营商在自己的出口路由器上进行源IP地址的验证,如果在自己的路由表中没有到这个数据包源IP的路由,就丢掉这个包可以阻止黑客利用伪造的源IP来进行DDoS攻击这样做会降低路由器的效率对付DDoS攻击的方法1定期扫描现有的网络主节点,清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用最佳位置,因此对这些主机本身加强主机安全是非常重要的。2在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御
36、DDOS攻击和其它一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样保护真正的主机不被瘫痪。3用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿。4充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。
37、对付DDoS攻击的方法5使用Inexpress、Express Forwarding过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP 和Routing Table 做比较,并加以过滤。6使用UnicastReverse Path Forwarding检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处,因此,利用UnicastReverse Path Forwarding可减少假I
38、P地址的出现,有助于提高网络安全性。7过滤所有RFC1918 IP地址。RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。8限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP 封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。怎样对付正在进行的DDOS?n如果用户正在遭受攻击,他所能做的抵御工作非常有限。因为在原本没有准备好的情况
39、下有大流量的灾难性攻击冲向用户,很可能用户在还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。n首先,检查攻击来源,通常黑客会通过很多假的IP地址发起攻击,此时,用户若能够分辨出哪些是真IP地址,哪些是假IP地址,然后了解这些IP来自哪些网段,再找网段管理员把机器关掉,即可消除攻击。n其次,找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以狙击入侵。n最后一种比较折衷的方法是在路由器上滤掉ICMP。DDoS攻击的深层防范n过滤:静态和动态的DDoS过滤器。静态过滤器用来阻断非必要的数据包,用户可对其进行配置,预先设定缺省值。动态过滤
40、器由其它模块根据观测到的行为和对业务流的详细分析动态嵌入,它能提供实时的升级来提高对可疑流的验证级别以及阻断被确定为恶意的源头和数据流。n反欺骗:用于核实进入系统的数据包没有欺骗信息。使用源鉴定机制来阻止欺骗的数据包到达受害者。n异常识别:监测所有通过了过滤器和反欺骗的业务,并将其与随时间纪录的基准行为相比,搜寻那些有偏差的业务,识别恶意包的来源。n协议分析:处理反常事件识别,发现可疑数据流,目的是为了识别特定的应用攻击,例如http-error攻击。然后,检测出任何不正确的协议处理,包括不完全处理或错误处理。n速率限制:通过更详细的监测来防止不正当数据流攻击目标,实施每个数据流业务的修整,处
41、罚长时间消耗大量资源的源头。黑客常见攻击方法和防范措施1、预攻击探测2、漏洞扫描和攻击3、木马与后门攻击4、拒绝服务攻击5、欺骗攻击6、病毒蠕虫攻击7、其他攻击8、总结欺骗攻击(IP,ARP,DNS)n纯技术性n利用了TCP/IP协议的缺陷n不涉及系统漏洞n较为罕见1994.12.25,凯文.米特尼克利用IP欺骗技术攻破了San Diego计算中心1999年,RSA Security公司网站遭受DNS欺骗攻击1998年,台湾某电子商务网站遭受Web欺骗攻击,造成大量客户的信用卡密码泄漏n欺骗攻击的主要类型:ARP欺骗IP欺骗攻击Web欺骗攻击DNS欺骗攻击ARP欺骗攻击ARP欺骗攻击nMeet
42、-in-Middle:Hacker发送伪装的ARP Reply告诉A,计算机B的MAC地址是Hacker计算机的MAC地址。Hacker发送伪装的ARP Reply告诉B,计算机A的MAC地址是Hacker计算机的MAC地址。这样A与B之间的通讯都将先经过Hacker,然后由Hacker进行转发。于是Hacker可以捕获到所有A与B之间的数据传输(如用户名和密码)。这是一种典型的中间人攻击方法。ARP欺骗攻击ARP欺骗木马n局域网某台主机运行ARP欺骗的木马程序会欺骗局域网所有主机和路由器,让所有上网的流量必须经过病毒主机,原来由路由器上网的计算机现在转由病毒主机上网发作时,用户会断一次线 A
43、RP欺骗的木马程序发作的时候会发出大量的数据包,导致局域网通讯拥塞,用户会感觉到上网的速度越来越慢当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线ARP欺骗出现的症状n网络时断时通;n网络中断,重启网关设备,网络短暂连通;n内网通讯正常、网关不通;n频繁提示IP地址冲突;n硬件设备正常,局域网不通;n特定IP网络不通,更换IP地址,网络正常;n禁用-启用网卡,网络短暂连通;n网页被重定向。针对ARP欺骗攻击的防范措施n1 安装入侵检测系统,检测ARP欺骗攻击n2 MAC地址与IP地址双向绑定所有机器上把网关的IP和MAC绑定一次编个批处理arp-darp-s
44、 192.168.1.1 00-0A-EB-DB-03-D2路由器上再把用户的IP地址和MAC绑定一次修改注册表项,如:reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun/v StaticArp/d“arp s 192.168.1.1 00-0a-eb-db-03-d2”3 查找ARP欺骗木马Antiarpnbtscann4 划分VLANIP Spoofing(IP欺骗):基础TCP协议把通过连接而传输的数据看成是字节流,用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生。攻击者如果向目标主机发送一个连接请求,即可获
45、得上次连接的ISN,再通过多次测量来回传输路径,得到进攻主机到目标主机之间数据包传送的来回时间RTT。利用ISN和RTT,就可以预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接,并预测到目标主机的TCP序列号,攻击者就能使用有害数据包,从而蒙骗目标主机IP Spoofing(IP欺骗)IP欺骗攻击过程IP欺骗攻击过程n1、屏蔽主机B。方法:Dos攻击,如Land攻击、SYN洪水n2、序列号采样和猜测。猜测ISN的基值和增加规律n3、将源地址伪装成被信任主机,发送SYN请求建立连接n4、等待目标主机发送SYN+ACK,黑客看不到该数据包n5、再次伪装成被信任主机发送ACK,并
46、带有预测的目标机的ISN+1n6、建立连接,通过其它已知漏洞获得Root权限,安装后门并清除LogIP欺骗攻击n攻击的难点:ISN的预测nTCP使用32位计数器n每一个连接选择一个ISNn不同的系统的ISN有不同的变化规律nISN每秒增加128000,出现连接增加64000n无连接情况下每9.32小时复位一次针对IP欺骗攻击的防范措施n安装VPN网关,实现加密和身份认证n实施PKI CA,实现身份认证n通信加密DNS欺骗n攻击复杂,使用简单 nRSA Security 网站曾被成功攻击 nDNS 欺骗原理 IP 与域名的关系 DNS 的域名解析 Rand Port to DNS s 53 DN
47、S DNS欺骗原理黑客常见攻击方法和防范措施1、预攻击探测2、漏洞扫描和攻击3、木马与后门攻击4、拒绝服务攻击5、欺骗攻击6、病毒蠕虫攻击7、其他攻击8、总结病毒蠕虫攻击病毒与黑客手段的结合红色代码、尼姆达病毒等传播速度极快,影响网络的带宽不仅入侵了受害主机,甚至引起网络中断近几年危害严重的几种蠕虫病毒nCODE RED红色代码缓冲区溢出漏洞、索引服务nCODE RED II红色代码二缓冲区溢出漏洞、索引服务nCODE BLUE兰色代码Unicode漏洞nNIMDA尼姆达蠕虫IE异常处理MIME头漏洞、Unicode漏洞、CGI文件名错误解码漏洞“红色代码”病毒的工作原理n1.病毒利用IIS的
48、.ida漏洞进入系统并获得SYSTEM 权限(微软在2001年6月份已发布修复程序MS01-033)n2.病毒产生100个新的线程99 个线程用于感染其它的服务器第100个线程用于检查本机,并修改当前首页n3.在7/20/01 时所有被感染的机器回参与对白宫网站的自动攻击.尼母达Nimada的工作原理n4 种不同的传播方式IE浏览器:利用IE的一个安全漏洞(微软在2001年3月份已发布修复程序MS01-020)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.(微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)电子邮件附件:(已被使用过无数次的攻击方式)文件共享:针对
49、所有未做安全限制的共享针对病毒蠕虫攻击的防范措施n安装防火墙,禁止访问不该访问的服务端口n安装入侵检测系统,检测病毒蠕虫攻击n安装防病毒软件,阻挡病毒蠕虫的侵袭n提高安全意识,经常给操作系统和应用软件打补丁病毒防范建议n对于从因特网上下载的可执行文件和WORDEXECEL文件一定要非常小心,在打开这些东西之前一定要进行非常仔细的检查。n不要相信任何人发来的邮件,即使是来自你的朋友,即使邮件的主题是“我爱你”,因为你的朋友很可能已经被病毒感染,打开邮件的附件之前一定要三思而后行。n局域网的管理员应该特别注意的是,将所有共享目录的可执行文件设置成只读文件,限制普通权限的用户对这些目录的文件拥有写权
50、限。在运行新的软件之前一定要使用反病毒软件进行仔细的检测,最好在一台和局域网隔离的电脑上首先安装和运行新的软件以防止出现病毒或其他对局域网的破坏。n最好是购买正版的软件,不要购买盗版软件,特别是那种将多个正版软件放在一张光盘上的所谓合集软件。在网上下载软件使用时一定要小心,到有大量用户的知名站点下载,这样下载的软件中包括病毒的可能性相对要小一些。n在任何时候都不要禁止你的病毒防火墙,如果病毒防火墙和你要使用的软件有冲突,那么使用另外一种病毒防火墙代替它。病毒防范建议n定期备份你的数据,这是最重要的防患于未然的方法,在发生病毒感染时,备份你的数据可以最大限度的减小你的损失n将你的电脑的引导顺序设
