网络安全及防护措施.ppt
《网络安全及防护措施.ppt》由会员分享,可在线阅读,更多相关《网络安全及防护措施.ppt(129页珍藏版)》请在课桌文档上搜索。
1、精品文档,网络安全及防护措施,2,精品文档,概 要,一、安全隐患及安全认识分析二、网络安全体系结构三、网络安全整体防护思路,精品文档,一、安全隐患及安全认识分析,4,精品文档,网络安全事件,1998/9扬州郝氏兄弟工行窃款案例北京机场票务系统瘫痪深交所证券交易系统瘫痪 二滩电厂网络安全事故大量的网站被黑、被攻击网上信用卡密码被盗,钱被划走,5,精品文档,网 络,病毒,后门,信息外泄,信息丢失、篡改,资源占用,拒绝服务,黑客攻击,木马,逻辑炸弹,安全威胁种类分析图,6,精品文档,常见的攻击方式介绍,7,精品文档,了解攻击的作用,网络管理员对攻击行为的了解和认识,有助于提高危险性认识在遭遇到攻击行
2、为时能够及时的发现和应对了解攻击的手段才能更好的防范,8,精品文档,攻击带来的后果,系统被侵占,并被当作跳板进行下一步攻击文件,重要资料遭到破坏系统濒临崩溃,无法正常运行网络涌堵,正常通信无法进行重要信息资料被窃取,机密资料泄漏,造成重大经济损失,9,精品文档,常规攻击行为的步骤,预攻击信息探测,使用扫描器获取目标信息,这些信息可以为:主机或设备上打开的服务,端口,服务程序的版本,系统的版本,弱密码帐号等实施攻击,手法有很多,要视收集的信息来决定利用的手法如:缓冲区溢出,密码强打,字符串解码,DoS攻击等留下后门或者木马,以便再次利用清除攻击留下的痕迹包括痕迹记录,审计日志等,10,精品文档,
3、逻辑炸弹是一段潜伏的程序,它以某种逻辑状态为触发条件,可以用来释放病毒和蠕虫或完成其他攻击性功能,如破坏数据和烧毁芯片。它平时不起作用,只有当系统状态满足触发条件时才被激活。,逻辑炸弹,11,精品文档,邮件炸弹,概念:发送大容量的垃圾邮件如:KaBoomTo、From、Server拒收垃圾邮件、设置寄信地址黑名单(MailGuard),12,精品文档,OICQ攻击,OICQ本地密码使用简单的加密方式OICQ使用明文传输黑客可监听信息内容,13,精品文档,拒绝服务攻击,Denial of Service-Dos向目标主机发送大量数据包,导致主机不能响应正常请求,导致瘫痪在目标主机上放了木马,重启
4、主机,引导木马为完成IP欺诈,让被冒充的主机瘫痪在正式进攻之前,要使目标主机的日志记录系统无法正常工作,14,精品文档,拒绝服务攻击的种类,LandPing of DeathSYN floodDos/DDdos,15,精品文档,Land Attack,在Land攻击中,黑客利用一个特别打造的SYN包-它的原地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,在Land攻击下,许多UNIX将崩溃,NT变得极其缓慢(大约持续五分钟)。,16,精品文档,Ping o
5、f death,ICMP(Internet Control Message Protocol,Internet控制信息协议)在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系,通过发送一个“回音请求”(echorequest)信息包看看主机是否“活着”。最普通的ping程序就是这个功能。而在TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定,许多操作系统的TCP/IP协议栈都规定ICMP包大小为64KB,且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。,17,精品文档,Ping of death,Ping of death就是故意产生
6、畸形的测试Ping包,声称自己的尺寸超过ICMP上限,也就是加载的尺寸超过64KB上限,使未采取保护措施的网络系统出现内存分配错误,导致TCP/IP协议栈崩溃,最终接收方宕机。,18,精品文档,SYN Flooding攻击,SYN Flooding三段握手内核处理,19,精品文档,攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机,对攻击目标发动威力巨大的拒绝服务攻击。,Denial of Service(DoS)拒绝服务攻击,Distributed Denial of Service(DDoS)分布式拒绝服务攻击,攻击者利用大量的数据包“淹没”目标主机,耗尽可用资源乃至系统崩
7、溃,而无法对合法用户作出响应。,什么是DoS/DdoS攻击,20,精品文档,DdoS攻击过程,主控主机,合法用户,扫描程序,黑客,Internet,非安全主机,被控主机,应用服务器,21,精品文档,IP欺骗攻击,让被信任主机瘫痪联接目标主机猜测ISN基值和增加规律将源地址伪装成被信任主机,发送SYN数据段请求连接黑客等待目标机发送ACK包给已经瘫痪的主机黑客伪装成被信任主机,发送SYN数据段给目标主机建立连接,22,精品文档,IP碎片攻击,23,精品文档,IP碎片攻击,只有第一个分段包含了上层协议信息包过滤将丢弃第一个分段其他分段允许通过将在目的地被重组目的主机需等待重传不完全的包,最后返回一
8、个“packet reassembly time expired”信息可能被攻击者利用作为DoS攻击手段直接丢弃,24,精品文档,DNS欺骗攻击,冒充DNS Server向域名解析请求发送错误的解析结果,25,精品文档,利用Web进行攻击,CGI、ASPWeb的非交互性,CGI、ASP的交互性,26,精品文档,Web欺骗攻击,创造某个网站的复制影像用户输入户名、口令用户下载信息,病毒、木马也下载,27,精品文档,扫描器的功能简介,扫描器是 网络攻击中最常用的工具,并不直接攻击目标,而是为攻击提供信息扫描器至少应有三种功能:发现一个主机或网络的能力;一旦发现,探测其存在的服务及对应的端口;通过测
9、试这些服务,发现漏洞编写扫描器需要很多tcp/ip编程和c,perl和shell和socket编程的知识攻击利用的扫描技术必须有很快的速度和很好的隐身能力,否则会被发现,28,精品文档,针对互连设备的攻击,网络上的大部分设备如路由器和交换机大多支持Snmp 网管协议,支持snmp的设备都维护着自己接口等运行状态的信息库称为MIBS库。现行版本中网管端和设备间的通信只需经过一个叫做community 值的简单验证,管理端提供read only 的community 值时可以读取该设备的常规运行信息,如提供read write值时,这可以完全管理该设备。攻击网络互连设备的一条捷径,而且不太被注意,
10、29,精品文档,Snmp的安全验证机制,GET请求,RO community,MIBS,常规配置信息,SET请求,RW community,修改或下载所有状态信息,30,精品文档,设备攻击的形式,INTERNET,攻击者,控制,对内部攻击,切断,跳板攻击,31,精品文档,蠕虫是一段独立的可执行程序,它可以通过计算机网络把自身的拷贝(复制品)传给其他的计算机。蠕虫可以修改、删除别的程序,但它也可以通过疯狂的自我复制来占尽网络资源,从而使网络瘫痪。,蠕虫,32,精品文档,蠕虫攻击技术,蠕虫技术是病毒和黑客攻击手法的结合,包含两者的技术,这种攻击造成的后果比单一的黑客攻击和病毒传染要大的多攻击的第一
11、步是扫描,找出符合攻击漏洞的主机,这其中包括端口扫描和脆弱性扫描,33,精品文档,蠕虫攻击技术,实施攻击,现在的手法大多是缓冲区溢出和系统自身的解码漏洞如Code red的.ida/idq 溢出和Lion的wu-ftpd缓冲区溢出成功后在目标主机上自我复制攻击程序,感染文件,疯狂调用进程。与发起者脱离关系直接成为下一次攻击发起者,换个网段继续扫描,攻击,以此类推,这种扩散是最大的,34,精品文档,Code red蠕虫攻击原理,攻击发起者,.ida漏洞服务器,扫描和攻击,.ida漏洞服务器,.ida漏洞服务器,.ida漏洞服务器,.ida漏洞服务器,.ida漏洞服务器,地址段A,地址段B,地址段
12、C,地址段D,35,精品文档,特洛伊木马,概念:古希腊人同特洛伊人的战争非法驻留在目标计算机里的执行事先约定操作的程序危害:复制、更改、删除文件,查获密码、口令,并发送到指定的信箱,监视被控计算机。BO、国产木马冰河查看注册表:有无陌生项,36,精品文档,木马技术,攻击者在成功侵占系统后往往会留下能够以特殊端口监听用户请求并且能够绕过系统身份验证的进程。改进程在系统中运行具有隐秘性质,管理员用常规的系统监视工具不容易发现攻击者利用该进程可以方便的再次进入系统而不用身份验证;攻击者可以利用这个后门向新的目标发起攻击通常控制端和木马植入端的通信是加密处理的,很难发现,37,精品文档,常见的木马工具
13、,NetbusBo2kSubsevenDoly冰河,38,精品文档,Unix 后门技术,管理员通过改变所有密码类似的方法来提高安全性,仍然能再次侵入大多数后门能躲过日志,大多数情况下,即使入侵者正在使用系统也无法显示他在线的情况和记录后门往往被反复利用来攻击该主机,发现主机的变化,除掉新装上的监控系统后门攻击对unix有很大的危害性,39,精品文档,密码破解后门,入侵者通过一个弱密码和默认密码帐号进行弱点攻击取得了系统的控制权取得shadow文件和 passwd文件,其中passwd文件的加密机制较弱,但对shadow 文件的破解技术也在发展攻击者取得文件后crack密码文件,扩大战果,造成主
14、机系统的众多用户口令丢失优点是管理员很难 确定到底那个帐号被窃取了,40,精品文档,Rhosts+后门,联网的unix主机,像rsh和rlogin这样的服务是基于rhosts文件里的主机名的简单验证攻击者只需向可访问的某用户的主目录的rhosts文件中输入“+”表示所有的主机均可以利用该帐号就可以无需口令进入该帐号Home目录通过NFS向外共享时,如权限设置有误,更容易成为攻击的对象 攻击者更喜欢使用rsh这样的工具,因为这种连接缺少日志记录能力,不易被发现,41,精品文档,Suid和sgid进程后门,Uid是unix中的用户标志,标志用户的身份和权限,suid进程则表示该进程归该用户所有,具
15、有该用户的身份权限攻击者通常通过溢出和其他的手法取得root权限,然后使用root身份属主一个文件如chown root.root/bin/ls;suid这个文件如chmod 4755/bin/ls;然后将其移到一个不起眼的位置,这样任何一个普通用户登陆导系统后只要执行该/bin/ls就可提升到root身份优点:suid进程在系统中有很多,但并不都属于root身份,很多是正常进程,难以查找即便使用find/-perm 4700-print,42,精品文档,Login后门,Unix中,login程序通,常对telnet的用户进行验证,入侵者在取得最高权限后获取login.c的源代码修改,让它在比
16、较口令与存储口令时先检查后门口令,这样攻击者可以登录系统不需系统的验证由于后门口令是在用户真实登陆之前进行的,所以不会被记录到utmp和wtmp日志的,所以攻击者可以获得shell而不暴露为了防止管理员使用strings查找login文件的文本信息,新的手法会将后门口令部分加密缺点是如果管理员使用MD5校验的话,会被发现,43,精品文档,Telnetd后门,用户telnet 到系统,监听端口的inetd服务接受联接,随后传给in.telnetd,由他调用login进程,在in.telnetd中也有对用户的验证信息如登陆终端有Xterm,VT100等,但当终端设为“letmein”时就会产生一个
17、不需要身份验证的shell来攻击者知道管理员会检查login程序,故会修改in.telnetd程序,将终端设为“letmein”就可以轻易的做成后门,44,精品文档,文件系统后门,攻击者需要在已占领的主机上存储一些脚本工具,后门集,侦听日志和sniffer信息等,为了防止被发现,故修改 ls,du,fsck以隐藏这些文件手法是用专用的格式在硬盘上划出一块,向系统表示为 坏扇区,而攻击者会使用特定的工具访问这些文件对于系统维护工具已被修改的管理员来说,发现这些问题是很困难的,45,精品文档,隐匿进程后门,攻击者在获得最高权限后,将自己编写监听程序加载到系统中以一个很不起眼的高位端口监听攻击者修改
18、自己的argv()使他看起来像其他的进程名攻击者修改系统的 ps进程,使他不能显示所有的进程;攻击者将后门程序嵌入中断驱动程序使他不会在进程表中显现一个出名的例子:amod.tar.gz,46,精品文档,文件系统,进程后门,源ls,源ps,修改,修改,显示文件,显示进程,后门工具,后门进程,返回不存在,返回不存在,47,精品文档,内核后门,内核后门是最新的技术,和以往的后门都有所不同,他的修改和隐匿都体现在底层函数上面攻击者直接修改系统调用列表sys_call_table将正常进程的函数调用接口转向为攻击者插入的内核模块接口,而不改变该进程,这样用户执行的命令调用如ls,du,ps等的最终调用
19、结果是攻击者的自定义模块现在的很多LKM技术的后门就是利用这个原理,这种技术用通常的检测手法很难发现,检查sys_call_table的接口调用是目前唯一的办法著名的knark就是利用的这种技术,48,精品文档,痕迹清除技术,攻击系统过后,很多操作和行为都有可能被记录日志,因为这些往往都和系统的安全策略有关系系统的安全策略会定义那些服务和行为必须记录日志攻击完后必须清除自己的行为可能被那些日志记录找出这些日志文件,予以清除或修改,49,精品文档,Windows 的日志,Windows 的日志主要是两个方面,第一个是web等服务系统的访问日志,这其中包括ftp,mail等;第二个是系统的安全日志
20、,由系统的安全策略来指定服务系统的日志文件默认情况下的权限给予较低,一般用户都可以清除,这是一个很大的问题Windows 的服务日志如iis的日志是攻击的主要对象,在现今的攻击中体现的尤为充分,50,精品文档,Unix 日志处理,服务进程都有自己的日志记录如常用的web 服务器apache,ftp 服务器和sendmail服务等,这些服务器包都有自己的日志定制系统Syslogd守护进程定义的选项内容,很多进程如telnet 等都是在syslogd进程中定义的,攻击者查看syslog.conf就可发现有哪些进程在定义范围之内,51,精品文档,需要处理的日志举例,Sulog:系统中所有的su操作L
21、astlog:记录某用户最后一次的登陆时间和地址Utmp:记录以前登陆到系统中的所有用户Wtmp:记录用户登陆和退出的事件Access_log:apache服务器的访问访问日志.bash_history:shell记录的用户操作命令历史sh_history:sh shell记录的使用该shell的用户操作命令历史,52,精品文档,清除的方法,使用重定向符“”可以予以清除如cat/var/log/wtmp;cat/var/log/utmp;但清除日志太过于明显,很容易让管理员发现计算机被入侵了删除日志,将整个日志文件删除,属于恶意的报复行为rm rf/var/log/utmp使用特定的工具按照i
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 防护 措施
链接地址:https://www.desk33.com/p-233758.html