互聯(lián)網(wǎng)安全攻防分析

1、互聯(lián)網(wǎng)安全攻防分析第1頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日了解互聯(lián)網(wǎng)安全現(xiàn)狀，增強(qiáng)防范意識(shí)；了解目前互聯(lián)網(wǎng)常見(jiàn)的安全攻擊技術(shù)手段，提高安全事件判別能力；了解互聯(lián)網(wǎng)安全管理與維護(hù)的定義和內(nèi)容；掌握安全管理與維護(hù)的基本能力，能提升日常性的管理和維護(hù)工作水平。學(xué)習(xí)目標(biāo)第2頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日議程安全攻防案例分析當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點(diǎn)網(wǎng)絡(luò)安全事件攻防案例分析常見(jiàn)網(wǎng)絡(luò)安全技術(shù)全網(wǎng)防御技術(shù)黑客偵查與追蹤技術(shù)DDoS防御技術(shù)SQL 注入/XSS 跨站腳本日常安全維護(hù)應(yīng)急處理方法第3頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日當(dāng)前黑客與

2、網(wǎng)絡(luò)安全事件的特點(diǎn)黑客可以輕易地施行跨網(wǎng)、跨國(guó)攻擊復(fù)合趨勢(shì)攻擊往往通過(guò)一級(jí)或者多級(jí)跳板進(jìn)行大規(guī)模事件出現(xiàn)日益頻繁傳播速度越來(lái)越快對(duì)終端的攻擊比率越來(lái)越高攻擊事件的破壞程度在增加第4頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點(diǎn)黑客可以輕易地施行跨網(wǎng)、跨國(guó)攻擊攻擊、入侵工具和工具包數(shù)量大量增加，可輕易從互聯(lián)網(wǎng)上獲取，使用操作更加簡(jiǎn)單方便具有安全知識(shí)和”專業(yè)”的人員的數(shù)量在增加復(fù)合趨勢(shì)黑客、病毒和垃圾郵件技術(shù)整合在一個(gè)蠕蟲(chóng)當(dāng)中黑客組合攻擊開(kāi)始出現(xiàn)攻擊往往通過(guò)一級(jí)或者多級(jí)跳板進(jìn)行黑客技術(shù)水平在增強(qiáng)有組織、有計(jì)劃犯罪事件再增加，防止追查第5頁(yè)，共77頁(yè)，2022年

3、，5月20日，8點(diǎn)37分，星期日當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點(diǎn)大規(guī)模事件出現(xiàn)日益頻繁大規(guī)模網(wǎng)絡(luò)蠕蟲(chóng)事件（“沖擊波”、“震蕩波”、紅色代碼F變種等）大量垃圾郵件的出現(xiàn)傳播速度越來(lái)越快利用系統(tǒng)漏洞，進(jìn)行自動(dòng)掃描由于瀏覽網(wǎng)頁(yè)或查看E-Mail而受到感染或攻擊DDoS攻擊第6頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點(diǎn)對(duì)終端的攻擊比率越來(lái)越高網(wǎng)上游戲、網(wǎng)上銀行和電子商務(wù)的增加針對(duì)終端設(shè)計(jì)的黑客工具和木馬補(bǔ)丁與升級(jí)不夠及時(shí)缺乏安全防范意識(shí)攻擊事件的破壞程度在增加第7頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日典型網(wǎng)絡(luò)安全案件分析木馬與“網(wǎng)銀大盜”匿名電子

4、郵件轉(zhuǎn)發(fā)溢出攻擊與DCOM RPC漏洞NetBios與IPCARP欺騙DDoS攻擊SQL注入第8頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日木馬與“網(wǎng)銀大盜”冰河 國(guó)產(chǎn)木馬，有G_Client.exe,G_server.exe二個(gè)文件?？蛻舳私缑娴?頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日木馬與“網(wǎng)銀大盜”“網(wǎng)銀大盜” 網(wǎng)上銀行構(gòu)架第10頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日木馬與“網(wǎng)銀大盜”“網(wǎng)銀大盜”網(wǎng)銀大盜II(Troj_Dingxa.A )現(xiàn)象盜取網(wǎng)上銀行的帳號(hào)、密碼、驗(yàn)證碼等。生成文件：%System%下，svch0stexe 修改注冊(cè)表

5、：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRun下創(chuàng)建：svch0st.exe = %System%svch0st.exe taskmgr.exe = %System%svch0st.exe第11頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日木馬與“網(wǎng)銀大盜”網(wǎng)銀大盜II(Troj_Dingxa.A )原理 木馬程序 ，非主動(dòng)傳播，主要通過(guò)用戶在瀏覽某些網(wǎng)頁(yè)或點(diǎn)擊一些不明連接及打開(kāi)不明郵件附件等操作時(shí)，間接感染用戶電腦 解決辦法1、終止病毒進(jìn)程svch0st.exe 2、注冊(cè)表修復(fù)3、刪除病毒釋放的文件svch0

6、st.exe 4、配置防火墻和邊界路由器 第12頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日木馬與“網(wǎng)銀大盜”“網(wǎng)銀大盜”案例第13頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日多媒體木馬Internet種了木馬的電腦傳送信息黑客攝像頭語(yǔ)音設(shè)備Google Search “inurl:ViewerFrame?Mode=” .第14頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日匿名電子郵件轉(zhuǎn)發(fā)漏洞名稱：Exchange Server匿名轉(zhuǎn)發(fā)漏洞原理第15頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日匿名電子郵件轉(zhuǎn)發(fā)案例深圳市二十多個(gè)郵件服務(wù)器Intern

7、et某數(shù)據(jù)中心臺(tái)灣日本第16頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日匿名電子郵件轉(zhuǎn)發(fā)造成危害網(wǎng)絡(luò)堵塞給利用于反動(dòng)宣傳正常郵件服務(wù)器被RBL組織封閉解決方法打補(bǔ)丁關(guān)閉該服務(wù)或端口25 , 110第17頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日溢出攻擊與DCOM RPC漏洞溢出攻擊原理第18頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日溢出攻擊與DCOM RPC漏洞DCOM RPC 漏洞原理第19頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日溢出攻擊與DCOM RPC漏洞造成的危害-沖擊波第20頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期

8、日MY DOOM案例分析郵件蠕蟲(chóng):MY DOOM現(xiàn)象 通過(guò)電子郵件附件傳播，設(shè)定向和 發(fā)起DDoS攻擊原理第21頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日ARP 欺騙ARP 地址解析協(xié)議ARP協(xié)議定義了兩類基本的消息：1） 請(qǐng)求信息：包含自己的IP地址、硬件地址和請(qǐng)求解析的IP地址；2） 應(yīng)答信息：包含發(fā)來(lái)的IP地址和對(duì)應(yīng)的硬件地址。第22頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日ARP 欺騙2、原理第23頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日ARP 欺騙防范ARP欺騙的方法交換機(jī)控制路由器隔離防火墻與代理服務(wù)器第24頁(yè)，共77頁(yè)，2022年，5月

9、20日，8點(diǎn)37分，星期日DDoS攻擊原理第25頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日DDoS攻擊方法死亡之ping （ping of death）淚滴（teardrop）UDP洪水（UDP flood）SYN洪水（SYN flood）Land攻擊Smurf攻擊Fraggle攻擊第26頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日常用DDoS攻擊工具ThankgodSYN Flooder獨(dú)裁者TrinooTFN2KStacheldraht第27頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日SQL注入Web攻擊模擬演示5IDS 交換機(jī)防火墻Web服務(wù)器DB服

10、務(wù)器3Select * from product where id =9714AK47M188DBS003typeDevicenameDeviceNo正常訪問(wèn)流程第28頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日SQL注入Web攻擊模擬演示SQL注入攻擊流程580端口HTTP請(qǐng)求25/web/n2/productview.asp?id=97;drop%20table%20dbappsecurity_new-IDS交換機(jī)防火墻Web服務(wù)器DB服務(wù)器3Select * from product where id =97Drop table dbappsecurity_new1AK47M

11、188DBS003typeDevicenameDeviceNo4命令已執(zhí)行成功第29頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日常見(jiàn)網(wǎng)絡(luò)安全技術(shù)全網(wǎng)防御技術(shù)黑客偵查與追蹤技術(shù)DDoS防御技術(shù)應(yīng)用層攻擊防御（SQL 注入、XSS腳本）第30頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日 黑客偵查與追蹤技術(shù)黑客偵查與追蹤系統(tǒng)第31頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日黑客偵查與追蹤系統(tǒng)系統(tǒng)組成 1、現(xiàn)場(chǎng)勘查分析 2、服務(wù)器監(jiān)控 3、遠(yuǎn)程追蹤分析控制軟件服務(wù)監(jiān)控軟件遠(yuǎn)程追蹤探頭第32頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日黑客偵查與追蹤系統(tǒng)原理

12、第33頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日黑客偵查與追蹤系統(tǒng)遠(yuǎn)程追蹤第34頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日DDoS攻擊防御技術(shù)當(dāng)前DDoS防御技術(shù)SYN代理SYN網(wǎng)關(guān)DDoS防御網(wǎng)關(guān)第35頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日DDoS攻擊防御方法SYN中繼（代理）工作原理HostFWserver第36頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日SYN中繼（代理）1) HFW2) HSYN/ACKFW3) HACKFWFWS4)FWSFWSSYNSYN/ACKACK5)6)SYN第37頁(yè)，共77頁(yè)，2022年，5月20日，

13、8點(diǎn)37分，星期日SYN中繼（代理）存在問(wèn)題FW必須建立一個(gè)很大的鏈表來(lái)儲(chǔ)存所有SYN請(qǐng)求，當(dāng)有大量的SYN攻擊包到來(lái)，F(xiàn)W一樣會(huì)崩潰。 保護(hù)了服務(wù)器，堵死了防火墻第38頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日DDoS攻擊防御方法SYN網(wǎng)關(guān)工作原理HostFWserver第39頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日SYN網(wǎng)關(guān)HFWSFWS1）2）SYNSYNSYN/ACKHFWS3）HFWS4）FWS5）SYN/ACKACKACKACKRST第40頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日SYN網(wǎng)關(guān) 快速將連接試呼從S待辦隊(duì)列移開(kāi)，避免服務(wù)器待辦

14、隊(duì)列堵塞 定時(shí)器超時(shí)后，向S發(fā)送連接RST（復(fù)位）取消。存在問(wèn)題 A、占用服務(wù)器緩沖 B、防火墻同樣要儲(chǔ)存SYN請(qǐng)求鏈接，攻擊強(qiáng)烈時(shí)，同樣會(huì)堵死防火墻第41頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日DDoS防御技術(shù)防火墻、DDoS防御網(wǎng)關(guān)對(duì)抗DDOS攻擊的三層防御措施（一）連接指紋鑒別（二）自適應(yīng)“催命”算法（三）惡性服務(wù)請(qǐng)求攻擊的防御第42頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日連接指紋鑒別工作原理HostFWserver0積累識(shí)別技術(shù),屬國(guó)際專利第43頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日連接指紋鑒別工作原理HFW1、工作原理HFWHFWFW

15、HFWHSYN/ACKFWHSYNSYN/ACK(sn)ACK(SN+1)SYNACK(SN指紋驗(yàn)證)第44頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日連接指紋鑒別工作原理A、SN序列號(hào)形成算法 SN=f （源、目標(biāo)IP，源、目標(biāo)端口，其它信息，秘密字）B、只有當(dāng)主機(jī)H回答包所攜帶的SN號(hào)經(jīng)驗(yàn)證合法后，才須建立連接代理。2、優(yōu)點(diǎn) 由于在未確認(rèn)SYN請(qǐng)求的合法性前，無(wú)須建立連接隊(duì)列，所以這種方法具備以下優(yōu)點(diǎn)： A、防火墻無(wú)須耗費(fèi)內(nèi)存資源 B、沒(méi)有緩沖溢出的危險(xiǎn) C、在NAT模式下不占用防火墻的連接數(shù)第45頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日自適應(yīng)“催命”算法針對(duì)性

16、 針對(duì)通過(guò)高層編程（固定）進(jìn)行的攻擊，如socket編程中的“connect”函數(shù)。這種攻擊也能通過(guò)防火墻的指紋合法性認(rèn)證而建立起連接。但該攻擊的效率較低，同時(shí)占用黑客大量主機(jī)資源。工作原理 防火墻中建立每條連接都有一個(gè)連接超時(shí)值A(chǔ)ge（又叫生命期），一般每半秒鐘減一，防火墻會(huì)監(jiān)控系統(tǒng)建立的連接數(shù)量，按一定算法算出（加快了）的遞減步長(zhǎng)STEP，降低某些可疑連接的生命期，加快這些連接超時(shí)。第46頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日惡性服務(wù)請(qǐng)求攻擊的防御針對(duì)性 一般SQL數(shù)據(jù)庫(kù)訪問(wèn)會(huì)占用服務(wù)器較多資源，黑客會(huì)分析web頁(yè)面上耗費(fèi)資源的分支請(qǐng)求，編寫程序不停調(diào)用該分支請(qǐng)求，造成S

17、QL服務(wù)器響應(yīng)不過(guò)來(lái)。工作原理 給管理員一個(gè)配置接口，管理員自己可以配置一些針對(duì)性統(tǒng)計(jì)策略，當(dāng)在一定時(shí)間內(nèi)某IP使用某SQL語(yǔ)句數(shù)量超過(guò)某一閥值時(shí)，防火墻會(huì)拒絕該IP的訪問(wèn)。第47頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日其它措施對(duì)于一些固定IP的惡性攻擊防火墻會(huì)對(duì)該IP進(jìn)行自動(dòng)鎖定，超過(guò)一定時(shí)間，一般為180秒后再進(jìn)行開(kāi)鎖。某集團(tuán)內(nèi)網(wǎng)黑客FWserverDDOS網(wǎng)關(guān)第48頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日應(yīng)用層攻擊防御WEB應(yīng)用安全概述針對(duì)WEB攻擊風(fēng)險(xiǎn)的產(chǎn)生跨站腳本攻擊SQL注入攻擊第49頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日針對(duì)WEB

18、的攻擊Web Server身份認(rèn)證數(shù)據(jù)字典權(quán)限/角色敏感信息系統(tǒng)文件獲取緩沖區(qū)溢出DOS攻擊DB Server應(yīng)用層攻擊普通防火墻+ IDS 束手無(wú)策防火墻第50頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日Web風(fēng)險(xiǎn)的產(chǎn)生攻擊結(jié)果泄漏客戶敏感數(shù)據(jù)，例如網(wǎng)銀賬號(hào)，手機(jī)通話記錄等。篡改數(shù)據(jù)，發(fā)布虛假信息或者進(jìn)行交易欺詐。使WEB網(wǎng)站成為釣魚(yú)攻擊的平臺(tái)，將攻擊擴(kuò)大到所有訪問(wèn)WEB應(yīng)用的用戶。例如：網(wǎng)銀成為了釣魚(yú)的場(chǎng)所，那么其危害和影響是不言而喻的。拒絕服務(wù)，利用應(yīng)用的弱點(diǎn)，造成拒絕服務(wù)，影響業(yè)務(wù)的正常運(yùn)作風(fēng)險(xiǎn)的產(chǎn)生80%基于WEB的應(yīng)用或多或少都存在安全問(wèn)題，其中很大一部分是相當(dāng)嚴(yán)重的問(wèn)

19、題 防火墻、IDS或者使用SSL協(xié)議對(duì)此毫無(wú)用處不僅僅是開(kāi)放在Internet的Web存在風(fēng)險(xiǎn)更多的 ERP/CRM/MSS 系統(tǒng)也都使用了Web應(yīng)用程序第51頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日跨站腳本攻擊簡(jiǎn)介(1)由于WEB應(yīng)用程序沒(méi)有對(duì)用戶的輸入進(jìn)行嚴(yán)格的過(guò)濾和轉(zhuǎn)換，就導(dǎo)致在返回頁(yè)面中可能嵌入惡意代碼。遠(yuǎn)程攻擊者可以利用這些漏洞在用戶瀏覽器會(huì)話中執(zhí)行任意HTML和腳本代碼?？缯灸_本執(zhí)行漏洞的攻擊效果需要借助第三方網(wǎng)站來(lái)顯現(xiàn)，因此這種攻擊能在一定程度上隱藏身份第52頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日跨站腳本攻擊簡(jiǎn)介(2)什么是跨站腳本攻擊XSS又叫

20、CSS(Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常呼略其危害性。 第53頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日跨站腳本攻擊簡(jiǎn)介(3)跨站攻擊的危害為了搜集用戶信息，攻擊者通常會(huì)在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺騙用戶竊取 Cookie 劫持帳戶 執(zhí)行 ActiveX 執(zhí)行 Flash 內(nèi)容 強(qiáng)迫您下載軟件對(duì)

21、硬盤和數(shù)據(jù)采取操作 直接影響：利用該漏洞可以欺騙信任此網(wǎng)站的用戶去執(zhí)行任意的惡意代碼或者轉(zhuǎn)向其他惡意URL。潛在影響：導(dǎo)致網(wǎng)站用戶對(duì)網(wǎng)站的信任度降低。安全風(fēng)險(xiǎn)第54頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日跨站腳本攻擊簡(jiǎn)介(4)由于XSS漏洞很容易在大型網(wǎng)站中發(fā)現(xiàn)，在黑客圈內(nèi)它非常流行。FBI.gov、CNN.com、T、Ebay、 Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes都有這樣那樣的XSS漏洞。在商業(yè)產(chǎn)品中，平均每個(gè)月能夠發(fā)現(xiàn)10-25個(gè)XSS漏洞常見(jiàn)存在漏洞的頁(yè)面搜索引擎返回結(jié)果頁(yè)面根據(jù)用戶輸入。 登錄頁(yè)， 存儲(chǔ)用戶帳戶在數(shù)據(jù)庫(kù)

22、、 Cookie等和以后寫入用戶名出客戶端。 Web 表單處理信用卡信息。 第55頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日SQL注入攻擊簡(jiǎn)介技術(shù)概述就攻擊技術(shù)本質(zhì)而言，它利用的工具是SQL的語(yǔ)法，針對(duì)的是應(yīng)用程序開(kāi)發(fā)者編程中的漏洞，當(dāng)攻擊者能操作數(shù)據(jù)，向應(yīng)用程序中插入一些SQL語(yǔ)句時(shí)，SQL Injection攻擊就發(fā)生了。實(shí)際上，SQL Injection攻擊是存在于常見(jiàn)的多連接的應(yīng)用程序中的一種漏洞，攻擊者通過(guò)在應(yīng)用程序預(yù)先定義好的SQL語(yǔ)句結(jié)尾加上額外的SQL語(yǔ)句元素，欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢,篡改和命令執(zhí)行。 就風(fēng)險(xiǎn)而言，SQL Injection攻擊也是位

23、居前列，和緩沖區(qū)溢出漏洞相比，其優(yōu)勢(shì)在于能夠輕易的繞過(guò)防火墻直接訪問(wèn)數(shù)據(jù)庫(kù)，甚至能夠獲得數(shù)據(jù)庫(kù)所在的服務(wù)器的系統(tǒng)權(quán)限。在Web應(yīng)用漏洞中，SQL Injection 漏洞的風(fēng)險(xiǎn)要高過(guò)其他所有的漏洞。安全風(fēng)險(xiǎn)第56頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日SQL注入攻擊簡(jiǎn)介攻擊特點(diǎn)攻擊的廣泛性：由于其利用的是SQL語(yǔ)法,使得攻擊普遍存在；攻擊代碼的多樣性：由于各種數(shù)據(jù)庫(kù)軟件及應(yīng)用程序有其自身的特點(diǎn)，實(shí)際的攻擊代碼可能不盡相同；影響范圍數(shù)據(jù)庫(kù)：MS-Sql Server、Oracle、Mysql、DB2、Informix等所有基于SQL語(yǔ)言標(biāo)準(zhǔn)的數(shù)據(jù)庫(kù)軟件；應(yīng)用程序：ASP、PHP，

24、JSP、CGI、CFM等所有應(yīng)用程序；第57頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日SQL注入攻擊(3)Web服務(wù)器身份認(rèn)證信息權(quán)限/角色敏感應(yīng)用數(shù)據(jù)系統(tǒng)級(jí)文件存取緩沖區(qū)溢出DOS攻擊數(shù)據(jù)字典DB服務(wù)器SQL注入攻擊示意第58頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日WEB應(yīng)用深度防御實(shí)時(shí)告警第59頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日1、建立整體監(jiān)控管理系統(tǒng)2、關(guān)注你負(fù)責(zé)的系統(tǒng) 把所管理的網(wǎng)站系統(tǒng)（或者監(jiān)控系統(tǒng)）設(shè)為瀏覽器的首頁(yè)，每天至少看三次你所管理的系統(tǒng)，殘酷地說(shuō)，管理員沒(méi)有節(jié)假日，因?yàn)楣?jié)假日恰恰是攻擊的高發(fā)時(shí)段。日常安全維護(hù)第60頁(yè)，共7

25、7頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日3、定期備份數(shù)據(jù)庫(kù)和供下載的文檔定期備份數(shù)據(jù)庫(kù)和上傳的文件，如果不是很經(jīng)常更新，訪問(wèn)量不大，大概每周備份一次，反之每天一次，不要怕麻煩，這個(gè)制度很有必要。日常安全維護(hù)第61頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日4、經(jīng)常用FTP登陸，查看上傳目錄下的文件格式上傳目錄下不應(yīng)該有asp,cer,cdx,com,exe,bat之類的文件.一般情況下，允許上傳的文件格式有：圖片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCXOFFICE文檔：DOC,XLS,PPT,MDB文本文件：TXT,RTF壓縮文件：RAR,ZIP,ISO

26、日常安全維護(hù)第62頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日5、掌握最新的補(bǔ)丁以及漏洞信息經(jīng)常關(guān)注官方網(wǎng)站的補(bǔ)丁發(fā)布，及時(shí)修改。這里推薦一個(gè)帶漏洞搜索引擎的漏洞公布網(wǎng)址：日常安全維護(hù)第63頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日6、設(shè)置足夠強(qiáng)壯的密碼管理的帳號(hào)密碼應(yīng)與管理員個(gè)人常用的不同，以防他人從別處得到網(wǎng)站的密碼。如果有多個(gè)管理員，要保證所有人的密碼都是“健壯的”，即不能像“123456”這樣容易猜測(cè)，必須是數(shù)字、字母和符號(hào)的組合。這點(diǎn)很重要，不然所有的安全措施都是徒勞！日常安全維護(hù)第64頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日日常安全維護(hù)一、

27、部署專用網(wǎng)絡(luò)安全設(shè)備:防火墻 漏洞掃描 入侵檢測(cè)系統(tǒng) Anti DDoS 、 流量監(jiān)控二、網(wǎng)站系統(tǒng)的專用保護(hù)方法 本地和遠(yuǎn)程：本地監(jiān)控、遠(yuǎn)程建立統(tǒng)計(jì)監(jiān)控平臺(tái)；定時(shí)和觸發(fā)：根據(jù)等級(jí)設(shè)定觸發(fā)時(shí)間； 比較方法 ：文件大小、數(shù)字簽名；恢復(fù)方式：本地恢復(fù)、遠(yuǎn)程恢復(fù)；備份庫(kù)的安全 ：隱藏備份庫(kù)；三、網(wǎng)站保護(hù)的缺陷 保護(hù)軟件通常都是針對(duì)靜態(tài)頁(yè)面而設(shè)計(jì)，而現(xiàn)在動(dòng)態(tài)頁(yè)面占據(jù)的范圍越來(lái)越大，盡管本地監(jiān)測(cè)方式可以檢測(cè)腳本文件，但對(duì)腳本文件使用的數(shù)據(jù)庫(kù)卻無(wú)能為力。 第65頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日應(yīng)急處理方法應(yīng)急事件處理 四 步曲1、先找專家 2、立刻恢復(fù) 3、分析源頭 4、修補(bǔ)漏洞第66頁(yè)，共77頁(yè)，2022年，5月20日，8點(diǎn)37分，星期日1、先找專家 a、聯(lián)系專業(yè)安全服