网络银行安全现状.ppt

构建现代安全网络银行,一、网络银行概念,网上银行,是指利用互联网/WWW技术,通过建立互联网站点和WEB主页,为客户提供有关银行业务与信息服务（如提供存贷、电子商务、帐户管理）等服务的各种金融服务的银行机构。,网上银行的定义：,网络银行中，用户通过个人电脑、掌上电脑、手机或者其它数字终端设备，采用拨号连接、专线连接、无限连接等方式，登录互联网，享受网上银行的服务。,网上银行,网上银行提供的金融业务大致分为三大类:信息、查询和交易,目前，网上银行已经遍布180多个国家，容纳了360万个网络，接入了1亿多台电脑，有100多万信息源，5亿多用户。,网银操作流程,网上银行发展概况,1999年6月，IBM公司的一项统计数字标明，斯堪的那维亚地区网上银行业务的发展在欧洲处于领先地位。德国1997年开始提供网上银行业务是目前最大的网上零售国，随后，日本、韩国、新加坡也迅速发展起来。,自1995年世界上第一家网上银行美国安全第一网络银行诞生，短短十几年间，网上银行便在世界范围内得到了迅速的发展。,我国网上银行的发展始于1997年,招商银行率先推出网上银行,接着中国工商银行、中国建设银行、交通银行、中国银行、中国农业银行等也纷纷开通网上支付业务。,网银国内外发展状况,起初在美国,其他国家发展状况,我国发展状况,网上银行发展概况,二、网银安全现状,国外网络银行受到攻击的典型案例,花旗银行网站遭遇黑客，20万信用卡用户信息被盗；,韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失；,94年末，俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。,国外网络银行受到攻击的典型案例,2000年2月6日前后，美国YAHOO等8家大型网站接连遭受黑客的攻击，直接经济损失约为12亿美元；,国际知名黑客-凯文米特尼克,凯文米特尼克是美国20世纪最著名的黑客之一，他是“社会工程学”的创始人。1979年他和他的伙伴侵入了北美空防指挥部1983年的电影战争游戏演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战。,著名病毒-莫里斯蠕虫（Morris Worm）,时间-1988年肇事者-Robert T.Morris,美国康奈尔 大学学生，其父是美国国家安全局安全专家。机理-利用sendmail,finger 等服务的漏洞，消耗CPU资源，拒绝服务。影响Internet上大约6000台计算机感染，占当时Internet 联网主机总数的10%，造成9600万美元的损失。CERT/CC的诞生DARPA成立CERT（Computer Emergency Response Team），以应付类似“蠕虫（Morris Worm）”事件,国内网络银行受到攻击的典型案例,2004年至2005年两年间,电脑高手刘某利用木马软件7次作案，破解网上银行，盗窃3万元.,2006年04月5月,北京地区使用工商银行网上银行的客户,陆续有人发现自己账户中的存款被人转移到陌生账号上,被盗金额从几百到一万不等.黑客使用伪造的工商银行的假网站,用户登录假网站后,网站的病毒程序会将盗窃来的账号密码发到指定的邮箱.,国内网络银行受到攻击的典型案例,江苏21岁的大专生汪某，利用把淘宝网会员号借给网友购物之机，暗中记下网友的网络银行卡号，套走存款3177元；,甘肃王某趁公司演示网上银行业务，快速地记公司账号及网上银行客户卡密码。并找机会将12万元资金划拨到了其事先开立的“楚鑫”账户上；,哈尔滨市某高校名大学生利用网上银行转账，盗取哈尔滨工商银行多个储蓄所万余元巨款；,国内网络银行受到攻击的典型案例,2004年10月，三名犯罪分子从网上搜寻某银行储蓄卡卡号，然后登陆该银行网上银行网站，尝试破解弱口令，并屡屡得手；,2005年7月，某市一17岁在校生刘某，利用互联网传播“网银大盗”木马程序，盗取了134个网民的银行账号和密码，并将他人银行账户上的钱款转到自己的账户中，先后共盗取他人存款5万余元；,国内网络银行受到攻击的典型案例,贵州11岁儿童在网上购买了专门用于套取工行银行网上银行个人账户和密码的假冒网址，并冒充工行网上客户服务人员，以帮助李某某解决网上银行不能登录问题为由，骗取信任后让李某某在自己购买的中国工商银行假冒网站上填写银行账户相关信息进行网上银行卡的升级，从而盗取了李某某的工行个人网上银行账号及密码。,17,荆州人赵蓉的网上银行帐户上的资金被划走：2004年7月，黑龙江人付某使用了一种木马程序，挂在自己的网站上；荆州人赵蓉下载付某的软件，木马就“进入”电脑；屏幕上敲入的信息通过邮件发出：账户、密码；付某成功划出1万元；抓获付某时，他已获取7000多个全国各地储户的网上银行密码。,利用木马进行攻击,安全事件：,付某：,三、网银典型网络犯罪工具,网络银行受到攻击的典型案例,网银大盗,灰鸽子,钓鱼网站,网银安全现状,不法分子在向木马作者缴纳一定注册费后（费用标准与所选择的功能挂钩），再填入收取所盗网银帐号密码的FTP服务器地址，便可以生成专为自己进行网银盗号的木马。它所生成的木马无论通过何种形式传播，盗取的网银帐号和密码都会自动发送到不法分子指定的服务器中,网银大盗,网银安全现状,网银大盗生成器,灰鸽子,灰鸽子-远程控制木马的控制界面，不法分子可以对中招机器进行的操作包括：文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理，捕获屏幕，视频监控，音频监控可以说，用户在本地能看到的信息，使用灰鸽子远程监控也能看到。如果用户在电脑上进行网上银行交易，则远程屏幕监控容易暴露用户的帐号，再加上键盘监控，用户的密码也岌岌可危。,网银安全现状,灰鸽子,网银安全现状,在观察一个伪造工行网银支付界面的钓鱼网页时，通过地址栏可以看到，它的URL（网页地址）与正当工行支付网页的URL（网页地址）完全不同，这也是当前常见的网银盗窃手段，即不法分子利用各类诱惑信息欺骗网银用户首先进行一个小额支付（通常为1元），发来的链接却是钓鱼网页，以此偷取受害用户的网银信息,钓鱼网站,网银安全现状,网银安全现状,另类钓鱼网站-中奖（,另类钓鱼网站-中奖,另类钓鱼网站-中奖,三、网银安全措施现状,网上银行登录主要认证方式介绍,一、数字证书（私钥）认证方式1、存放在电脑中2、存放在USB KEY中二、动态口令（一次性口令）认证方式1、口令卡2、认证令牌3、手机动态密码三、双渠道交易确认方式,网上银行认证方式,一、数字证书（私钥）认证方式（第三方：CFCA）目前正在使用CFCA提供的证书的银行有：中国工商银行中国农业银行中国建设银行交通银行中信银行中国光大银行华夏银行中国民生银行广东发展银行深圳发展银行上海浦东发展银行兴业银行其他银行（50家以上）二、手机动态密码认证方式,网上银行多重安全防范措施,1、CFCA数字证书认证/USB KEY 固态证书载体2、动态密码保护3、双重密码保护4、及时语短信提醒5、交易限额设置,客户申请成为我行个人网银的数字证书用户后，我行即颁发唯一标志此用户的数字证书，供客户装载到计算机里，或者装在形似小优盘的USBKey中随身携带。当客户进行网上银行操作时，证书会帮助我行认证客户的身份，防止他人伪冒客户身份。对交易信息进行加密，使他人无法破解客户和我行互相传递的信息。对交易信息进行数字签名，使他人无法篡改交易信息。,网上银行多重安全防范措施,1、CFCA数字证书认证/USB KEY 固态证书载体2、动态密码保护3、双重密码保护4、及时语短信提醒5、交易限额设置,客户登录网银或进行汇款、支付等关键交易时，我行会向其预留的手机上发送短信，告知客户一个随机生成、一次有效的动态密码，这样一来，即使他人窃取了客户的卡号、密码等信息，甚至截取了以前的动态密码，也无法冒名使用网银，盗用资金。动态密码中包含用户所进行的交易中的收款账号、交易金额等敏感信息，供用户核对，防止黑客的“中间人攻击”。动态密码的短信发送号码为95528。动态密码如没有收到，相关页面上均有“重发动态密码”按钮，客户点击便可重获动态密码，可重获两次动态密码。,网上银行多重安全防范措施,1、CFCA数字证书认证/USB KEY 固态证书载体2、动态密码保护3、双重密码保护4、及时语短信提醒5、交易限额设置,用户使用查询密码登录网银，若使用初始密码登录，系统将强制用户修改查询密码，此后方可登录，查询密码与客户号相关联。交易密码用于资金交易、预约交易、重要信息修改等，交易密码与具体某张凭证相关联查询密码连续输错3次，系统自动将该客户锁定一段时间交易密码连续输错3次，需到柜面解锁,网上银行多重安全防范措施,1、CFCA数字证书认证/USB KEY 固态证书载体2、动态密码保护3、双重密码保护4、及时语短信提醒5、交易限额设置,资金变动 即时发送 投资信息 理财助理 接收设置 个性选择 开通方便 收费低廉 通知方式 多样选择,网上银行多重安全防范措施,1、CFCA数字证书认证/USB KEY 固态证书载体2、动态密码保护3、双重密码保护4、及时语短信提醒5、交易限额设置,客户可个性化设置单笔、单日累计的对外转账、支付限额单日对外转账支付限额小于等于单日累计对外转账支付限额单笔、单日累计的对外转账支付限额不包含银证转账、基金买卖、外汇买卖、活转活、活转定等客户本人名下资产划转动态密码用户的单日累计对外转账支付限额不超过20万元数字证书用户的单日累计对外转账支付限额无上限,数字证书版,浏览器证书,USBKEY固态证书,数字证书：浦发网上银行专业版采用由国内独立权威机构颁发的、符合国际标准（X.509）的数字证书。而且，我们的客户可以根据自己上网的条件，自由选择浏览器证书或移动证书。,动态密码：每次交易时，浦发银行向您绑定的手机号码上发送一个6位字符的随机密码，用于当前交易使用,数字证书、动态密码怎么选？,什么是动态密码?每次交易时，浦发银行向您绑定的手机号码上发送一个6位字符的随机密码，用于当前交易使用。什么是取款密码?凡是需要变更银行账户资金的交易所需要使用的密码。如ATM取款密码，刷卡消费用的密码，一卡一密。什么是查询密码?只进行账户余额查询的密码，如登录网上银行的密码，登录电话银行的密码。本人名下所有的银行卡、存折都用同一个查询密码，初始密码6个8,1、打开网页，点击左上角“首次登陆”：,2、阅读责任条款，并点击“接受”：,3、选择“证件类型”，输入“证件号码”，点击“确定”：,4、点击“确定”：,5、输入“动态密码”（步骤四结束后，手机收到短信中显示），点击“确定”：,6、输入“交易密码”（交易密码：即取款密码），点击“确定”：,7、首次登陆完毕，显示一下画面，点击“动态密码用户登陆”：,请记录客户号,动态密码版网上银行登录演示,浦发银行网址：http:/浦发银行网上银行网址：http:/,五、网银安全漏洞分析,TCP/IP体系结构,TCP/IP体系结构,网络层的安全漏洞主要原因,IP协议设计中的错误和疏忽使得网络先天不足，为黑客攻击提供了条件。例如，IEEE802.11b 中出现的WEP漏洞。,TCP/IP协议缺乏相应的安全机制，且IP网最初设计基本没有考虑安全问题等等都使得网络存在先天不足。,随着网络系统规模的增大，各种系统软件、应用软件变得越来越复杂，网络设备厂商、集成商和运营商的网络系统软件在开发和实现过程中不可避免的会出现各种缺陷和漏洞。,网络层的主要攻击,A攻击的位置（1）远程攻击（2）本地攻击（3）伪远程攻击,B攻击的深度（1）表层攻击（2）读访问（3）非根式的写与执行访问（4）根式的写和执行访问,C攻击的层次（1）简单拒绝服务；（2）本地用户获得非授权读权限；（3）本地用户获得非授权写权限；（4）远程用户获得非授权帐号信息；（5）远程用户获得特权文件的读权限；（6）远程用户获得特权文件的写权限；（7）远程用户拥有了系统管理员权限。,网络层的主要攻击,网络层的主要攻击,D攻击分类 在最高层次，攻击被分为两类：（1）主动攻击：包含攻击者访问他所需要信息的故意行为。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。（2）被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。,网络层的主要攻击,图 攻击分类,键击记录：是植入操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动程序，能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。如PCAgent等。网络监听：是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法，通过设置网卡的混杂模式获得网络上所有的数据包，并从中抽取安全关键信息，如明文方式传输的口令。如Win32平台下的sniffer等免费工具，Unix平台下的libpcap网络监听工具库。非法访问数据：是攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。获取密码文件：攻击者进行口令破解获取特权用户或其他用户口令的必要前提。,常见的网络攻击,1）窃听：指攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的常用攻击方法有：,常见的网络攻击,2）欺骗：指攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类攻击的方法有：,获取口令：通过缺省口令、口令猜测和口令破解三种途径。针对一些弱口令进行猜测。也可以使用专门的口令猜测工具进行口令破解，如遍历字典或高频密码列表从而找到正确的口令。如Win32平台的LOphtcrack等。恶意代码：包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软件工具、重要的信息等，诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制，在启动后悄悄安装恶意程序，通常为攻击者给出能够完全控制该主机的远程连接。网络欺骗：攻击者通过向攻击目标发送冒充其信任主机的网络数据包，达到获取访问权或执行命令的攻击方法。具体的有IP欺骗、会话劫持、ARP重定向和RIP路由欺骗等。,常见的网络攻击,3）拒绝服务：指终端或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法，其意图就是彻底破坏，这也是比较容易实现的攻击方法。特别是分布式拒绝服务攻击对目前的互联网构成了严重的威胁，造成的经济损失也极为庞大。拒绝服务攻击的类型按其攻击形式分为：,导致异常型：利用软硬件实现上的编程缺陷，导致其出现异常，从而使其拒绝服务。如Ping of Death攻击等。资源耗尽型：通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。视资源类型的不同可分为带宽耗尽和系统资源耗尽两类。带宽耗尽攻击的本质是攻击者通过放大等技巧消耗掉目标网络的所有带宽，如Smurf攻击等。系统资源耗尽型攻击指对系统内存、CPU或程序中的其他资源进行消耗，使其无法满足正常提供服务的需求。如Syn Flood攻击等。欺骗型：ARP拒绝服务攻击,D 62,DoS攻击、DDOS攻击,ACK 拒绝服务攻击；SYN 攻击；Land 攻击；Tear Drop 攻击；会话劫持攻击；Jolt 攻击；Bloop 攻击；Cpd 攻击；Targa 攻击；Twinge 攻击；小型 PMTU 攻击；,常见的网络攻击,4）数据驱动攻击：通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，大致可分为：,缓冲区溢出：通过往程序的缓冲区写入超出其边界的内容，造成缓冲区的溢出，使得程序转而执行其他攻击者指定的代码，通常是为攻击者打开远程连接的ShellCode，以达到攻击目标。如Windows平台下的Code-Red、Blaster、Sasser等都是通过缓冲区溢出攻击获得系统管理员权限后进行传播。格式化字符串攻击：主要是利用由于格式化函数的微妙程序设计错误造成的安全漏洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行任意命令。输入验证攻击：针对程序未能对输入进行有效的验证的安全漏洞，使得攻击者能够让程序执行指令的命令。最著名的是1996年的PHF攻击。同步漏洞攻击：利用程序在处理同步操作时的缺陷，如竞争状态、信号处理等问题，以获得更高权限的访问。信任漏洞攻击：利用程序滥设的信任关系获取访问权的一种方法，如Win32平台下互为映象的本地和域Administrator凭证、LSA密码等。,1）想要在别人面前炫耀自己的技术，如进入别人的电脑去修改一个文件或目录名。2）恶作剧、练功，这是许多人或学生入侵或破坏的最主要原因，除了有练功的效果外还有些许网络探险的感觉。3）窃取数据，可能是偷取硬盘中的文件或各种上网密码，然后从事各种商业应用。4）想复仇的事后报复者，如对老板或公司制度不满，事先把报复程序或病毒程序写入所编程序，并规定在将来某时，或某条件下激活发作，摧毁原公司网络系统。5）修改或者删除重要数据，达到商业利益或个人利益。,黑客为什么要攻击？,黑客攻击流程,攻击的典型过程,网络层的主要攻击-信息收集,信息收集非技术手段1）合法途径从目标机构的网站获取新闻报道，出版物新闻组或论坛2）社会工程手段假冒他人，获取第三方的信任3）搜索引擎,网络层的主要攻击-信息收集,1）在Google的搜索关键字“intitle:”WJ-NT104 Main Page”，即可找到很多网络摄像头。如：,2）域搜索是在指定的一个网域内进行信息搜索。举例1：首先打开，然后输入“allinurl:login”；我们选中其中的一个“http:/”打开；搜索此站“site:XXX.com”的二级域名网站；看一下有没有pdf电子文档，“site:XXX.com filetype:pdf”；输入“info:XXX.com”，查到该网站的基本信息。,一）使用搜索引擎,网络层的主要攻击-信息收集,3）info:查找指定站点的基本信息。4）inurl:查找在url中包含搜索词的网页，例如：黑客惯用的“inurl:admin”偶尔就能搜索出网站的登录页面，从而进行下一步的攻击。5）link:搜索与某网站做了链接的网页，例如：输入“”即可搜索出包含有链接到“”的网页（这个可以用来找出有多少网页在链接你的网站哦）。6）site:用于搜索某一域内的网页，例如：输入“site:”，即可实现在“”域内搜索的目的。,网络层的主要攻击-信息收集,二、路由跟踪,1）概念路由跟踪就是从本地开始到达某一目标地址所经过的路由设备，并显示出这些路由设备的IP、连接时间等信息。2）作用：如果某段网络不通或网速很慢，可以利用路由跟踪找出某故障地点，方便维护人员的维护工作。对于“黑客”来说，这是个很有用的功能，他可以大概分析出你所在网络的状况。这对于第一步的周边网络环境信息收集很有用。3）tracert：用IP生存时间TTL字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。,网络层的主要攻击-信息收集,二、路由跟踪 tracert,网络层的主要攻击-信息收集,三、信息收集的主要工具,Ping、fping、ping sweepARP探测FingerWhoisDNS/nslookup搜索引擎（google、百度）telnet,网络层的主要攻击-信息收集,四、Ping,用来判断目标是否活动；最常用；最简单的探测手段；Ping 程序一般是直接实现在系统内核中的，而不是一个用户进程。,网络层的主要攻击-信息收集,四、Ping,原理,Type=8,Type=0,类型为8，表示“回响请求”,类型为0，表示“回响应答”,主机在线情况,主机不应答情况,1）主机不在线2）防火墙阻断ICMP探测,Ping实验,表示机器不在线；或者防火墙阻断。,举例2：Pingwar 2.0群ping,ARP探测,能探测同一局域网内的主机，因为防火墙不能阻断ARP请求。,whois,作用和特点,网络服务服务端口：tcp 43服务端程序whoisd,客户端程序finger提供目标系统的地址信息参考网站1 参考网站2 http:/samspade.org/,常规信息收集,网络域名,网络Ip地址分配,使用单位,地址,网络层的主要攻击网络扫描,主机发现技术主要分三种：ping扫描ARP扫描端口扫描,1.Ping 扫描,确定哪些机器是up的2种方式ICMP类似于ping，发送icmp消息给目标，看是否有返回TCP ping给目标特定的tcp端口(如常用的80)发送ack消息，如果返回rst，说明机器up。常用的tracetcp。,2.ARP扫描,ARP（Address Resolution Protocol）即地址解析协议，它是用于局域网内的物理地址。ARP扫描是指通过向目标主机发送ARP请求（查询目标主机的物理地址），如果目标主机回应一个ARP响应报文，则说明它是存活的。下面是ARP扫描的示意图：,3.端口扫描,3.1 目的判断目标主机开启了哪些端口及其对应的服务确定目标系统正在运行的TCP/UDP服务在扫描时希望隐藏自己3.2 扫描基础TCP数据报首部标志域TCP连接的建立过程TCP连接的释放过程 TCP/IP实现遵循的原则,常用服务端口如：21 FTP；23 Telnet；25 SMTP；80 HTTP；8080 用于WWW代理服务，http:/:8080；,常用服务端口漏洞,1）8080端口 8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。2）端口：21 最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。,常用服务端口漏洞,3）端口：23 服务：Telnet 大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。4）端口：25 服务：SMTP 入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。5）端口：80 服务：HTTP 用于网页浏览。木马Executor开放此端口。,端口扫描分类技术,端口扫描分类扫描技术分析,扫描分类,TCP全连接,开放扫描,半开放扫描,TCP反向ident扫描,IP头信息dumb扫描,SYN扫描,FIN扫描,隐蔽扫描,TCP分段,ACK扫描,XMAS扫描,空扫描,扫射扫描,SYN/ACK扫描,ping扫射,其它扫描,UDP/ICMP不可达,FTP弹跳,UDP扫射,UDPrecvfrom/write扫描,ACK扫射,SYN扫射,ICMP扫射,端口扫描工具,NmapXscan SuperScan Shadow Security Scanner MS06040Scanner,Nmap探测工具王,功能NMAP是探测网络主机和开放服务的佼佼者。-Linux版本-Windows版本 秘密扫描、动态延迟和重发；欺骗扫描、端口过滤探测、分布扫描等。,xscan,选择无条件扫描，才可以突破防火墙屏蔽ping，进行端口扫描。,Superscan速度之王,MS06040Scanner专用的漏洞扫描器,用于检测目标系统是否存在MS06040漏洞。,基于windows操作系统的攻击,1.windows系统口令攻击,口令攻击主要采用以下几种方法：猜测攻击字典攻击穷举攻击混合攻击 直接破解系统口令文件 网络嗅探(sniffer)键盘记录 中间人攻击 社会工程学,1.1 Windows操作系统的口令破解技术,1.输入法漏洞windows2000 sp2之前的版本。目前的Vista操作系统，极点五笔输入法，也存在此类问题。2.暴力破解SAM文件，一般使用工具LC3.删除SAM文件,SAM文件是WIN2000里面保存密码信息的文件。,一般的编辑器是无法直接读取这些信息的。注册表中的 HKEY_LOCAL_MACHINESAMSAM HKEY_LOCAL_MACHINESECURITYSAM 保存的就是SAM文件的内容，在正常设置下仅对system是可读写的。,1.2 设置系统策略保护口令,连接策略问题：默认情况下系统没有设置登录的失败次数限制，导致可以被无限制地尝试连接系统管理的共享资源。解决方法：设置用户的访问策略，定义用户登录失败达到一定次数时锁定帐号，并限制管理员远程访问。如何实现？,在“管理工具”中，选择本地安全策略。在本地安全策略中选择“帐户安全策略”，其中的“密码策略”可以对密码的长度、密码的存留时间等方面进行设置。比如：在“密码必须符合复杂性要求”的选项中，系统默认是停用该功能，但推荐用户在使用时将该功能开启。点击“帐户锁定策略”，可以看到三个被选项，这里可以对帐户的时间和帐户无效访问的次数进行设置。此处，我们点击“用户锁定阈值”点右键，选择“安全性”，此处就可以对用户无效访问次数进行限制。由于Administrator帐号的特殊性，Administrator帐号无法设置帐号锁定，即使登录失败的次数达到设置时，该帐号也不可能被锁住。因此除了系统默认创建的Administrator帐号，还应该创建至少一个具有管理员特权的帐号，并且，把默认帐号Administrator改成另外一个名字。,2.IPC$入侵,2.1 什么是IPC IPC是英文Internet Process Connection的缩写，即：命名管道，它是windows提供的一个通信基础，用来在两台计算机进程之间建立通信连接。而IPC后面的$是windows系统所使用的隐藏符号，因此IPC$表示IPC共享，但是是隐藏的共享。默认IPC是共享的。通过IPC连接，入侵者就能够实现远程控制目标主机。,2.2 空会话（Null Session）攻击,概念：Null会话是同服务器建立的无信任支持的会话。一个会话包含用户的认证信息，而Null会话是没有用户的认证信息，也就好比是一个匿名的一样。作用：当在多域环境中，要在多域中建立信任关系，首先需要找到域中的pdc来通过安全通道的密码验证，使用空会话能够非常容易地找到pdc，还有就是关于一些系统服务的问题。而且Lmhosts的#include就需要空会话的支持。攻击过程：1).用扫描软件搜寻存在弱口令的主机比如流光，SSS，X-scan等，然后锁定目标，如果扫到了管理员权限的口令，假设现在得到了administrator的密码为空,2).然后，我们先建立起ipc$连接 net use 192.168.1.6ipc$/user:administrator,3).查看远程主机开了什么共享 net view,注释：声明用net view命令无法看到默认共享，因此通过上面返回的结果，并不能判断对方是否开启了默认共享。,4).查看远程主机的时间 net time,5).得到远程主机的 netbios 用户名列表nbtstat,Copy e:nc.exe 192.168.10.15c$上传文件nc.exe到目标地址的c盘,At 14:03 c:nc.exe指定在目标地址上在14:03执行程序nc.exe,2.3 空会话攻击的防御,有如下方法：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous。在Windows2000中将值改为“2”，表示限制所有的匿名访问，除非明确许可。禁止自动打开默认共享。对于Windows2000 Pro来说，修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters,把AUTOShareWks（DWORD）的键值该为00000000。如果主键不存在，就新建一个再修改键值。server版:找到如下主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters把AutoShareServer（DWORD）的键值改为:00000000。,关闭ipc$和默认共享依赖的服务:server服务 操作：控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-选已禁用 这时可能会有提示说：XXX服务也会关闭是否继续，因为还有些次要的服务要依赖于lanmanserver，不要管它。屏蔽139，445端口 由于没有以上两个端口的支持，是无法建立ipc$的，因此屏蔽139，445端口同样可以阻止ipc$入侵。注意：如果屏蔽掉了以上两个端口，你将无法用ipc$入侵别人。设置复杂密码，防止通过ipc$穷举出密码,应用层的主要攻击,基于windows操作系统的攻击防御,3.2 NTFS权限设置,4文件系统加密与保护,4.1文件系统加密,4.2 文件系统保护,Windows2000提供了两种方式对系统文件进行保护，一种是浏览保护，一种是文件保护。浏览保护文件保护“Windows文件保护”能阻止替换受保护的系统文件，这些受保护的文件包括.sys、.dll、.exe、.ttf等系统文件。,Windows2000的安全设置可以大致分为用户安全设置、密码安全设置、系统安全设置、服务安全设置四个方面。用户安全设置禁用Guest帐号。限制不必要的用户。创建两个管理员帐号。把系统Administrator账号改名。把共享文件的权限从Everyone组改成授权用户。开启用户策略。不让系统显示上次登录的用户名。,Windows2000的安全设置,密码安全设置 使用安全密码。设置屏幕保护密码。开启密码策略。系统安全设置 使用NTFS格式分区。运行防毒软件。关闭默认共享。锁住注册表。利用Windows 2000的安全配置工具来配置安全策略。,服务安全设置关闭不必要的端口。设置好安全记录的访问权限。禁止建立空连接。,脚本攻击与防御,1 SQL注入技术,什么是SQL注入技术？SQL注入即是指攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。,dim rsadmin1=request(admin)password1=request(password)set rs=server.CreateObject(ADODB.RecordSet)rs.open select*from admin where admin=response.writejavascript:history.go(-1)response.endelsesession(admin)=rs(admin)session(password)=rs(password)session(aleave)=rs(aleave)response.redirect admin.aspend ifrs.closeset rs=nothing,一个经典的SQL注入漏洞,分析,在用户名和密码那里都填入 OR=，SQL语句被构造成select*from admin where admin=OR=and password=OR=意思是当admin为空或者空等于空，password为空或者空等于空的时候整个查询语句就为真。,如何来修补漏洞？,过滤掉其中的特殊字符。这里我们就过滤掉其中的单引号“”，即是把程序的头两行改为：admin1=replace(trim(request(admin),)password1=replace(trim(request(password),),3 跨站脚本攻击技术,什么是跨站脚本攻击？跨站脚本攻击（XSS，又称作CSS）指的是恶意攻击者向Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web页面的html代码会被执行，从而达到恶意用户的特殊目的。属于被动攻击。数据流程：恶意用户的Html输入web程序进入数据库web程序用户浏览器,跨站Script攻击方式,动态输入大致有四种形式：URL参数表格元素Cookie数据请求（由于程序代码较多，省）,恶意代码,1 概述,什么是恶意代码？恶意代码是指独立的程序或者嵌入到其它程序中的代码，它在不被用户察觉的情况下启动，达到破坏电脑安全性和完整性的目的。恶意代码的分类 木马、rootkit、病毒、蠕虫和网页恶意代码,Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。,蠕虫与病毒的区别,蠕虫指的是能够在网络上完全地复制自身的独立可执行代码。蠕虫技术融合了自复制技术、扫描技术以及缓冲区溢出等攻击技术。著名的蠕虫有1988 年的Morris 蠕虫、2001 年的Code-Red 蠕虫、2003 年的SQL Slammer 蠕虫和Blaster 蠕虫、2004 年的Sasser 蠕虫等。病毒需要宿主程序通过某种方式将其激活。目前的病毒也逐渐融入将一些网络攻击的技术，如著名的Nimda 病毒通过电子邮件、共享目录以及主动攻击IIS 缓冲区溢出漏洞等形式达到广泛传播的效果。,特洛伊木马,特洛伊木马的来历,希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马,来源于希腊神话中的特洛伊战争,特洛伊木马,属于客户/服务模式。（远程控制）客户端：主控端，向服务器发送连接请求。服务端：被控端，提供服务，一般会打开一个默认端口进行监听，当侦听到客户端的连接请求，便自动运行相应程序。,远程控制技术,远程控制实际上是包含有服务器端和客户端的一套程序服务器端程序驻留在目标计算机里，随着系统启动而自行启动。此外，使用传统技术的程序会在某端口进行监听，若接收到数据就对其进行识别，然后按照识别后的命令在目标计算机上执行一些操作（比如窃取口令，拷贝或删除文件，或重启计算机等）攻击者一般在入侵成功后，将服务端程序拷贝到目标计算机中，并设法使其运行，从而留下后门。日后，攻击者就能够通过运行客户端程序，来对目标计算机进行操作,传统的远程控制步骤,如何远程植入程序,直接攻击,电子邮件,文件下载,浏览网页,+,合并文件,经过伪装的木马被植入目标机器,伪装方式：冒充图像文件首先改变文件名。如把.exe改变成.jpg.exe。其次更改文件图标。一般木马本身没有图标，系统会显示一个windows预设的图标。合并程序欺骗将木马与一个正常的文件捆绑为一个文件。例如WinRAR可实现。伪装成应用程序扩展组件此类属于最难识别的木马。如伪装成.dll（动链库），.ocx（控件）等，挂在一个知名的软件中。,木马启动方式,自启动,注册表启动,系统服务,系统配置文件启动,木马程序的隐藏,在任务栏（包括任务管理器）中隐藏自己初步隐藏注册为系统服务不适用于Win2k/NT启动时会先通过窗口名来确定是否已经在运行，如果是则不再启动防止过多的占用资源进程隐藏远程线程插入其他进程（不适用于Win9X）Hook技术,木马数据传输方式,ICMP协议传送（ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息）反弹端口+HTTP