网络攻击及防御技术.ppt

网络攻击及防御技术,主讲 薛质,内容,网络攻击案例网络攻击及防御技术,1、严峻的信息安全问题,2000年2月6日前后，美国YAHOO等8家大型网站接连遭受黑客的攻击，直接经济损失约为12亿美元（网上拍卖“电子港湾”网站、亚马逊网站、AOL）此次安全事故具有以下的特点：攻击直接针对商业应用攻击造成的损失巨大信息网络安全关系到全社会,2、急需解决的若干安全问题,信息安全与高技术犯罪1999年，上海XX证券部电脑主机被入侵2000年2月14日，中国选择网（上海）受到黑客攻击，造成客户端机器崩溃，并采用类似攻击YAHOO的手法，通过攻击服务器端口，造成内存耗尽和服务器崩溃我国约有64%的公司信息系统受到攻击，其中金融业占总数的57%不受欢迎的垃圾邮件的现象愈演愈烈1999年4月26日，CIH病毒“世纪风暴”媒体内容的安全性,凯文米特尼克,凯文米特尼克是美国20世纪最著名的黑客之一，他是“社会工程学”的创始人1979年他和他的伙伴侵入了北美空防指挥部1983年的电影战争游戏演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战,莫里斯蠕虫（Morris Worm）,时间1988年肇事者-Robert T.Morris,美国康奈尔大学学生，其父是美国国家安全局安全专家机理-利用sendmail,finger 等服务的漏洞，消耗CPU资源，拒绝服务影响-Internet上大约6000台计算机感染，占当时Internet 联网主机总数的10%，造成9600万美元的损失CERT/CC的诞生-DARPA成立CERT（Computer Emergency Response Team），以应付类似“蠕虫（Morris Worm）”事件,94年末，俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元96年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“美国司法部”的主页改为“美国不公正部”，将司法部部长的照片换成了阿道夫希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字 96年9月18日，黑客光顾美国中央情报局的网络服务器，将其主页由“中央情报局”改为“中央愚蠢局”96年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址,98年2月25日，美国国防部四个海军系统和七个空军系统的电脑网页遭侵入98年5月底，印度原子研究中心的主页(www.barc.ernet.in)遭侵入98年8月31日，澳大利亚主要政党和政府官员的网站遭黑客袭击，网址被篡改98年9月13日，纽约时报站点（）遭黑客袭击2000年2月，著名的Yahoo、eBay等高利润站点遭到持续两天的拒绝服务攻击，商业损失巨大2002年3月底，美国华盛顿著名艺术家Gloria Geary在eBay拍卖网站的帐户，被黑客利用来拍卖 Intel Pentium芯片2002年6月，日本2002年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭,中美五一黑客大战,2001年5月1日是国际劳动节，5月4日是中国的青年节，而5月7日则是中国在南斯拉夫的大使馆被炸两周年的纪念日。中国黑客在这几个重大的纪念日期间对美国网站发起了大规模的攻击美国部分被黑网站美国加利福尼亚能源部日美社会文化交流会白宫历史协会UPI新闻服务网华盛顿海军通信站,国内网站遭攻击的分布,红色代码,2001年7月19日，全球的入侵检测系统(IDS)几乎同时报告遭到不名蠕虫攻击在红色代码首次爆发的短短9小时内，以迅雷不及掩耳之势迅速感染了250,000台服务器最初发现的红色代码蠕虫只是篡改英文站点主页，显示“Welcome to http:/!Hacked by Chinese!”随后的红色代码蠕虫便如同洪水般在互联网上泛滥，发动拒绝服务(DoS)攻击以及格式化目标系统硬盘，并会在每月20日28日对白宫的WWW站点的IP地址发动DoS攻击，使白宫的WWW站点不得不全部更改自己的IP地址。,“红色代码”的蔓延速度,尼姆达（Nimda）,尼姆达是在 911 恐怖袭击整整一个星期后出现的，当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒尼姆达是在早上9:08发现的，明显比红色代码更快、更具有摧毁功能，半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑，总共造成将近10亿美元的经济损失传播方式包括：电子邮件、网络临近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、CodeRedII和Sadmind/IIS蠕虫留下的后门等,SQL Slammer蠕虫,Slammer的传播数度比“红色代码”快两个数量级在头一分钟之内，感染主机数量每8.5秒增长一倍；3分钟后该病毒的传播速度达到峰值（每秒钟进行5500万次扫描）；接下来，其传播速度由于自身挤占了绝大部分网络带宽而开始下降；10分钟后，易受攻击的主机基本上已经被感染殆尽,30分钟后在全球的感染面积,2003年8月11日首先被发现，然后迅速扩散，这时候距离被利用漏洞的发布日期还不到1个月该蠕虫病毒针对的系统类型范围相当广泛（包括Windows NT/2000/XP）截至8月24日，国内被感染主机的数目为25100万台全球直接经济损失几十亿美金,RPC DCOM蠕虫,3、网络威胁,恶意代码及黑客攻击手段的三大特点：传播速度惊人受害面惊人穿透深度惊人,传播速度“大型推土机”技术(Mass rooter)，是新一代规模性恶意代码具备的显著功能。这些恶意代码不仅能实现自我复制，还能自动攻击内外网上的其它主机，并以受害者为攻击源继续攻击其它网络和主机。以这些代码设计的多线程和繁殖速度，一个新蠕虫在一夜之间就可以传播到互联网的各个角落。,受害面许多国家的能源、交通、金融、化工、军事、科技和政府部门等关键领域的信息化程度逐年提高，这些领域的用户单位的计算机网络，直接或间接地与Internet有所联系。各种病毒、蠕虫等恶意代码，和各种黑客攻击，通过Internet为主线，对全球各行业的计算机网络用户都造成了严重的影响。,穿透深度蠕虫和黑客越来越不满足于攻击在线的网站，各种致力于突破各种边界防线的攻击方式层出不穷。一个新的攻击手段，第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机；第二批受害对象是与Internet联网的，经常收发邮件的个人用户；第三批受害对象是OA网或其它二线内网的工作站；终极的受害对象可能会波及到生产网络和关键资产主机。,信息战,在海湾战争和最近的伊拉克战争中，美国大量采用了信息战的手段在未来的局部战争中，信息战或信息威慑将成为非常重要的非常规战手段信息战的范围不仅仅局限于军事领域，关系国家国计民生的行业（如政府、金融等）也会成为信息战的攻击目标,信息时代威胁图,网络攻击的动机,偷取国家机密商业竞争行为内部员工对单位的不满对企业核心机密的企望网络接入帐号、信用卡号等金钱利益的诱惑利用攻击网络站点而出名对网络安全技术的挑战对网络的好奇心,攻击的一般过程,攻击的种类,预攻击阶段端口扫描漏洞扫描操作系统类型鉴别网络拓扑分析攻击阶段缓冲区溢出攻击操作系统漏洞应用服务缺陷脚本程序漏洞攻击口令攻击错误及弱配置攻击网络欺骗与劫持攻击,后攻击阶段后门木马痕迹擦除其它攻击种类拒绝服务攻击嗅探攻击恶意网页攻击社会工程攻击,信息收集非技术手段,合法途径从目标机构的网站获取新闻报道，出版物新闻组或论坛社会工程手段假冒他人，获取第三方的信任搜索引擎,信息收集技术手段,PingTracert/TracerouteRusers/FingerHost/nslookup,端口扫描,目的判断目标主机开启了哪些端口及其对应的服务常规扫描技术调用connect函数直接连接被扫描端口无须任何特殊权限速度较慢，易被记录高级扫描技术利用探测数据包的返回信息（例如RST）来进行间接扫描较为隐蔽，不易被日志记录或防火墙发现,TCP SYN扫描,也叫半开式扫描利用TCP连接三次握手的第一次进行扫描,被扫描主机,开放的端口,不提供服务的端口,防火墙过滤的端口,扫描器,SYN,SYN,SYN,SYN+ACK握手,RST 重置,没有回应或者其他,端口扫描工具,Nmap简介被称为“扫描器之王”有for Unix和for Win的两种版本需要Libpcap库和Winpcap库的支持能够进行普通扫描、各种高级扫描和操作系统类型鉴别等使用-sS：半开式扫描-sT:普通connect()扫描-sU：udp端口扫描-O：操作系统鉴别-P0：强行扫描（无论是否能够ping通目标）-p：指定端口范围-v：详细模式,NmapWin v1.3.0,端口扫描工具,SuperScan简介基于Windows平台速度快，图形化界面最新版本为4.0使用傻瓜化,漏洞扫描,根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能存在某些漏洞积极意义进行网络安全评估为网络系统的加固提供先期准备消极意义被网络攻击者加以利用来攻陷目标系统或获取重要的数据信息,漏洞扫描的种类,系统漏洞扫描特定服务的漏洞扫描WEB服务数据库服务FTP服务Mail服务信息泄漏漏洞扫描用户信息共享信息人为管理漏洞扫描弱口令错误配置,网络及管理设备漏洞扫描路由器、交换机SNMP设备,漏洞扫描工具,Nessus构架服务器端：基于Unix系统客户端：有GTK、Java和Win系统支持运作客户端连接服务器端，并下载插件和扫描策略真正的扫描由服务器端发起两者之间的通信通过加密认证优势：具有强大的插件功能完全免费，升级快速非常适合作为网络安全评估工具链接：www.nessus.org,Client,Server,Targets,Nessus工作流程,漏洞扫描工具,X-Scan国人自主开发完全免费,X-Scan使用扫描开始,安全漏洞扫描器,安全漏洞扫描器的种类网络型安全漏洞扫描器主机型安全漏洞扫描器数据库安全漏洞扫描器安全漏洞扫描器的选用ISS（Internet Security Scanner）：安氏SSS（Shadow Security Scanner）：俄罗斯黑客Retina Network Security Scanner：eEyeLANguard Network Security ScannerCyberCop Scanner：NAI,SSS（Shadow Security Scanner）,Retina Network Security Scanner,LANguard Network Security Scanner,操作系统类型鉴别,主要依据利用不同操作系统对各种连接请求的不同反应和特征来判断远程主机操作系统的类型当使用足够多的不同特征来进行判断，操作系统的探测精度就能有很大保证,间接鉴别操作系统,说明不直接进行扫描利用网络应用服务使用过程中的信息来推断和分析操作系统类型，并得到其他有用信息如Telnet 80端口查看WEB服务器类型从而初步判断操作系统类型这种方法难以被发现防御对策修改服务器上应用服务的banner信息，达到迷惑攻击者的目的,直接鉴别操作系统类型,TCP/IP栈指纹探测技术各个操作系统在实现TCP/IP栈的时候有细微的不同，可以通过下面一些方法来进行判定TTL值Windows窗口值ToS类型DF标志位初始序列号（ISN）采样MSS（最大分段大小）其他,TTL=4,TTL=5,TTL=6,TTL=7,TTL=8,TTL=9,TTL=3,TTL=2,destination,source,TTL=10,TTL（Time To Live）,缓冲区溢出攻击,危害性据统计，缓冲区溢出攻击占所有网络攻击总数的80%以上 溢出成功后大都能直接拿到目标系统的最高权限身边的例子RPC DCOM溢出IIS.ida/idq溢出IIS.printer溢出IIS WebDav溢出Wu-ftpd溢出,缓冲区溢出原理,通过往程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的缓冲区溢出攻击的对象在于那些具有某些特权(如root或本地管理器)运行的程序，这样可以使得攻击者取得该程序的控制权，如果该程序具有足够的权限，那么整个主机就被控制了,缓冲区溢出示意图,程序溢出时的表现,Segmentation Fault(coredumped),以特权身份运行的程序,网络服务程序HTTP ServerFTP ServerMail ServerRPC Daemonsuid/sgid程序,Root溢出,Remote root exploit通过网络，无需认证即可获得远程主机的root权限Local root exploit本地普通用户，利用系统程序的漏洞获得root权限,远程控制技术,概念危害性发展历程技术类型,特洛伊木马的来历,希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马,来源于希腊神话中的特洛伊战争,远程控制技术,远程控制实际上是包含有服务器端和客户端的一套程序服务器端程序驻留在目标计算机里，随着系统启动而自行启动。此外，使用传统技术的程序会在某端口进行监听，若接收到数据就对其进行识别，然后按照识别后的命令在目标计算机上执行一些操作（比如窃取口令，拷贝或删除文件，或重启计算机等）攻击者一般在入侵成功后，将服务端程序拷贝到目标计算机中，并设法使其运行，从而留下后门。日后，攻击者就能够通过运行客户端程序，来对目标计算机进行操作,远程控制技术的发展历程,第一代功能简单、技术单一，如简单的密码窃取和发送等第二代在技术上有了很大的进步，如国外的BO2000，国内的冰河等第三代为了躲避防火墙而在数据传递技术上做了不小的改进，比如利用ICMP协议以及采用反弹端口的连接模式第四代研究操作系统底层，在进程隐藏方面有了很大的突破,传统的远程控制步骤,如何远程植入程序,直接攻击,电子邮件,文件下载,浏览网页,+,合并文件,经过伪装的木马被植入目标机器,远程受控端程序的自启动,Windows启动目录注册表启动Run(RunOnce/RunOnceEx/RunServices）KnownDLLs修改文件关联方式系统配置文件启动Win.iniSystem.ini服务启动其他启动,远程受控端程序的隐藏,在任务栏（包括任务管理器）中隐藏自己初步隐藏注册为系统服务不适用于Win2k/NT启动时会先通过窗口名来确定是否已经在运行，如果是则不再启动防止过多的占用资源进程隐藏远程线程插入其他进程（不适用于Win9X）Hook技术,远程控制数据传输方式,ICMP协议传送反弹端口+HTTP隧道技术,反弹端口连接模式,1024,反弹式的远程控制程序,防火墙,IP数据包过滤,目标主机,骗取系统,IE进程,木马线程,正常线程,进入合法应用程序,正常线程,Internet Explorer浏览网页,端口,监听端口,传统远程控制程序,远程控制的防御,远程端口扫描本地进程端口察看Fport/VisionAntiyPortsAPorts 本地进程察看PslistListdlls,注册表监控Regmon文件监控Filemon使用专用的查杀工具加强使用者的安全意识,Vision,AntiyPorts,DoS与DDoS攻击,DoS(Denial of Service)攻击的中文含义是拒绝服务攻击DDoS(Distributed Denial of Service)攻击的中文含义是分布式拒绝服务攻击,拒绝服务攻击的种类,发送大量的无用请求，致使目标网络系统整体的网络性能大大降低，丧失与外界通信的能力。利用网络服务以及网络协议的某些特性，发送超出目标主机处理能力的服务请求，导致目标主机丧失对其他正常服务请求的相应能力。利用系统或应用软件上的漏洞或缺陷，发送经过特殊构造的数据包，导致目标的瘫痪（称之为nuke),拒绝服务攻击典型举例,SynFloodSmurfPingFloodUDP Flooder,拒绝服务攻击SynFlood,正常的TCP/IP三次握手,SynFlood攻击,SynFlood的防御对策,重新设置一些TCP/IP协议参数增加TCP监听套解字未完成连接队列的最大长度减少未完成连接队列的超时等待时间类似于SYN Cookies的特殊措施选择高性能的防火墙SYN Threshold类SYN Defender类SYN Proxy类,拒绝服务攻击Smurf攻击,Attacker,Target,目标机器会接收很多来自中介网络的请求,中介网络放大器,broadcastecho request 源地址被欺骗为被攻击主机地址,其它拒绝服务攻击,FragglePing of DeathUdpFloodTearDrop电子邮件炸弹,Nuke类拒绝服务攻击,Win NukeRPC NukeSMB Die,分布式拒绝服务攻击,DDoS是DoS攻击的延伸，威力巨大，具体攻击方式多种多样。分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标。攻击一般会采用IP地址欺骗技术，隐藏自己的IP地址，所以很难追查。,分布式拒绝服务攻击示意图,分布式拒绝服务攻击步骤,探测扫描大量主机以寻找可入侵的目标；入侵有安全漏洞的主机并获取控制权，在每台入侵主机中安装攻击程序；构造庞大的、分布式攻击网络；在同一时刻，由分布的成千上万台主机向同一目标地址发出攻击，目标系统全线崩溃；,典型的分布式拒绝服务攻击工具,TrinooTFNStacheldrahtTFN2K,分布式拒绝服务攻击防御对策,对于分布式攻击，目前仍无非常有效的方法来防御基本的防御对策做好各种基本的拒绝服务攻击防御措施，打好补丁；联系ISP对主干路由器进行限流措施；利用各种安全防御系统进行辅助记录工作。使用软件来帮助管理员搜索ddos客户端find_ddosZombieZapperddosping,网络监听攻击,源,目的,sniffer,加密,解密,passwd,$%&)*=-,网络监听攻击的环境,基于共享（HUB）环境的监听比较普遍实现较为简单基于交换（Switch）环境的监听基础是ARP欺骗技术,基于共享环境的监听,共享以太网环境中，所有物理信号都会被传送到每一个主机节点上去如将系统的网络接口设定为混杂模式(Promiscuous)，则就能接受到一切监听到的数据帧，而不管其目的MAC地址是什么,共享环境监听的意义,积极意义：方便网络管理员进行管理和网络故障分析消极意义：常被用来窃听在网络上以明文方式传输的口令和账号密码POP3邮件口令Ftp登录口令Telnet登录口令,共享环境监听的检测,基于主机的检测简单的ifconfig命令，包括各种UNIX系统基于网络的检测针对系统硬件过滤和软件过滤的检测针对DNS反向域名解析的检测针对网络和主机响应时间的检测使用专业的检测工具AntiSniff（有for win和for unix的版本）Promiscan,AntiSniff（LOpht）,口令入侵,口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动获取口令的途径有：网络监听口令猜测，暴力破解利用系统管理员的失误,口令猜测攻击,口令猜测攻击原理现行很多加密算法都单向不可逆攻击者每次从攻击字典中取出一个条目作为口令，使用相同的加密算法进行加密，然后同密文进行比对，如不同则继续下一次尝试，否则则猜测成功。口令猜测可分为远程口令破解本地口令破解,远程口令破解,许多网络服务，都是通过账号/口令来认证需要访问该服务的用户POP3 Netbios Telnet FTP HTTP等可以远程进行穷举字典的方式来猜解口令破解效率很低，而且容易被记录,本地口令猜解,各种操作系统以自己各自的方式存放密码文件，而大多数的加密算法都比较脆弱，容易被猜解本地破解速度非常快，具体的速度取决于系统的配置在协同工作越来越发达的今天，本地口令破解可以说是“百发百中”,Windows口令破解技术简介,在WinNT/2K系统中，使用一套较老的加密算法LAN ManagerLM散列算法存在着致命缺陷用户密码缩短到14个字符，若不足则用0 x00填补前8个字节由用户密码的前7个字符推导而来后续8个字节由密码的8-14个字符得来,Windows口令破解技术简介,Windows系统以sam文件格式存放密码文件，有多种方式可以获得%SystemRoot%system32configsam%SystemRoot%repairsam._使用pwdump3远程从注册表中导出嗅探网络中SMB报文包含的口令散列值破解工具stake的L0phcrack,stake L0phcrack,Unix系统的口令破解,Unix系统的口令密文存放在/etc/passwd或/etc/shadow文件中加密算法传统加密沿用最多的是DES算法的口令加密机制为了增强DES的加密强度，引入了被称作Salt的附加手段猜测工具John The Ripper,候选口令产生器,字典,口令文件,口令加密,口令比较,输出匹配的口令,口令破解防御对策,制定正确的密码策略，并贯彻实施密码长度，强度足够定期更换密码禁用类似12345678、computer这样的简单密码 提高人的安全意识很重要,攻击发展趋势,个人信息安全的防范技巧,1、不轻易运行不明真相的程序2、屏蔽小甜饼（Cookie）信息3、不同的地方用不同的口令4、屏蔽ActiveX控件5、定期清除缓存、历史记录以及临时文件夹中的内容6、不随意透露任何个人信息7、突遇莫名其妙的故障时要及时检查系统信息,8、对机密信息实施加密保护9、拒绝某些可能有威胁的站点对自己的访问10、加密重要的邮件11、在自己的计算机中安装防火墙12、为客户/服务器通信双方提供身份认证，建立安全信道13、尽量少在聊天室里或使用OICQ聊天,Any Questions?Thank You!,