常見(jiàn)黑客攻擊及安全防御手段

常見(jiàn)黑客攻擊及安全防御手段綠盟科技于慧龍?zhí)峋V常見(jiàn)的黑客攻擊方法常用的安全技術(shù)防范措施常見(jiàn)的黑客攻擊方法19801985199019952000密碼猜測(cè)可自動(dòng)復(fù)制的代碼密碼破解利用已知的漏洞破壞審計(jì)系統(tǒng)后門(mén)會(huì)話劫持擦除痕跡嗅探包欺騙GUI遠(yuǎn)程控制自動(dòng)探測(cè)掃描拒絕服務(wù)www攻擊工具攻擊者入侵者水平攻擊手法半開(kāi)放隱蔽掃描控制臺(tái)入侵檢測(cè)網(wǎng)絡(luò)管理DDOS攻擊2002高入侵技術(shù)的發(fā)展采用漏洞掃描工具選擇會(huì)用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門(mén)獲取敏感信息或者其他攻擊目的入侵系統(tǒng)的常用步驟端口判斷判斷系統(tǒng)選擇最簡(jiǎn)方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個(gè)系統(tǒng)后門(mén)清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途較高明的入侵步驟常見(jiàn)的安全攻擊方法直接獲取口令進(jìn)入系統(tǒng)：網(wǎng)絡(luò)監(jiān)聽(tīng)，暴力破解利用系統(tǒng)自身安全漏洞特洛伊木馬程序：偽裝成工具程序或者游戲等誘使用戶(hù)打開(kāi)或下載，然后使用戶(hù)在無(wú)意中激活，導(dǎo)致系統(tǒng)后門(mén)被安裝WWW欺騙：誘使用戶(hù)訪問(wèn)纂改過(guò)的網(wǎng)頁(yè)電子郵件攻擊：郵件炸彈、郵件欺騙網(wǎng)絡(luò)監(jiān)聽(tīng)：獲取明文傳輸?shù)拿舾行畔⑼ㄟ^(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)：攻擊者控制一臺(tái)主機(jī)后，經(jīng)常通過(guò)IP欺騙或者主機(jī)信任關(guān)系來(lái)攻擊其他節(jié)點(diǎn)以隱蔽其入侵路徑和擦除攻擊證據(jù)拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊(D.o.S

和D.D.o.S)2001年中美黑客大戰(zhàn)事件背景和經(jīng)過(guò)4.1撞機(jī)事件為導(dǎo)火線4月初，以PoizonB0x、pr0phet為代表的美國(guó)黑客組織對(duì)國(guó)內(nèi)站點(diǎn)進(jìn)行攻擊，約300個(gè)左右的站點(diǎn)頁(yè)面被修改4月下旬，國(guó)內(nèi)紅（黑）客組織或個(gè)人，開(kāi)始對(duì)美國(guó)網(wǎng)站進(jìn)行小規(guī)模的攻擊行動(dòng)，4月26日有人發(fā)表了“五一衛(wèi)國(guó)網(wǎng)戰(zhàn)”戰(zhàn)前聲明，宣布將在5月1日至8日，對(duì)美國(guó)網(wǎng)站進(jìn)行大規(guī)模的攻擊行動(dòng)。各方都得到第三方支援各大媒體紛紛報(bào)道，評(píng)論，中旬結(jié)束大戰(zhàn)PoizonB0x、pr0phet更改的網(wǎng)頁(yè)中經(jīng)網(wǎng)數(shù)據(jù)有限公司中國(guó)科學(xué)院心理研究所國(guó)內(nèi)某政府網(wǎng)站國(guó)內(nèi)某大型商業(yè)網(wǎng)站國(guó)內(nèi)黑客組織更改的網(wǎng)站頁(yè)面美國(guó)勞工部網(wǎng)站美國(guó)某節(jié)點(diǎn)網(wǎng)站美國(guó)某大型商業(yè)網(wǎng)站美國(guó)某政府網(wǎng)站這次事件中采用的常用攻擊手法紅客聯(lián)盟負(fù)責(zé)人在5月9日網(wǎng)上記者新聞發(fā)布會(huì)上對(duì)此次攻擊事件的技術(shù)背景說(shuō)明如下：“我們更多的是一種不滿情緒的發(fā)泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系統(tǒng)，這個(gè)行動(dòng)在技術(shù)上是沒(méi)有任何炫耀和炒作的價(jià)值的?！敝饕捎卯?dāng)時(shí)流行的系統(tǒng)漏洞進(jìn)行攻擊這次事件中被利用的典型漏洞用戶(hù)名泄漏，缺省安裝的系統(tǒng)用戶(hù)名和密碼

Unicode編碼可穿越firewall,執(zhí)行黑客指令

ASP源代碼泄露可遠(yuǎn)程連接的數(shù)據(jù)庫(kù)用戶(hù)名和密碼

SQLserver缺省安裝微軟Windows2000登錄驗(yàn)證機(jī)制可被繞過(guò)

Bind遠(yuǎn)程溢出，Lion蠕蟲(chóng)

SUNrpc.sadmind

遠(yuǎn)程溢出，sadmin/IIS蠕蟲(chóng)Wu-Ftpd

格式字符串錯(cuò)誤遠(yuǎn)程安全漏洞拒絕服務(wù)(syn-flood,ping)這次事件中被利用的典型漏洞用戶(hù)名泄漏，缺省安裝的系統(tǒng)用戶(hù)名和密碼入侵者利用黑客工具掃描系統(tǒng)用戶(hù)獲得用戶(hù)名和簡(jiǎn)單密碼這次事件中被利用的典型漏洞Windows2000登錄驗(yàn)證機(jī)制可被繞過(guò)TCP/IP的每個(gè)層次都存在攻擊TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無(wú)線網(wǎng)絡(luò)SATNETARPNET應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽(tīng)和竊取硬件設(shè)備破壞電磁監(jiān)聽(tīng)混合型、自動(dòng)的攻擊

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻擊:蠕蟲(chóng)WebServerViaWebPageWorkstationWebServerMailGateway攻擊的發(fā)展趨勢(shì)防病毒防火墻入侵檢測(cè)風(fēng)險(xiǎn)管理攻擊的發(fā)展趨勢(shì)漏洞趨勢(shì)嚴(yán)重程度中等或較高的漏洞急劇增加,新漏洞被利用越來(lái)越容易(大約60%不需或很少需用代碼)混合型威脅趨勢(shì)將病毒、蠕蟲(chóng)、特洛伊木馬和惡意代碼的特性與服務(wù)器和Internet漏洞結(jié)合起來(lái)而發(fā)起、傳播和擴(kuò)散的攻擊,例：紅色代碼和尼姆達(dá)等。主動(dòng)惡意代碼趨勢(shì)制造方法：簡(jiǎn)單并工具化技術(shù)特征：智能性、攻擊性和多態(tài)性,采用加密、變換、插入等技術(shù)手段巧妙地偽裝自身，躲避甚至攻擊防御檢測(cè)軟件.表現(xiàn)形式：多種多樣,沒(méi)有了固定的端口，沒(méi)有了更多的連接,甚至發(fā)展到可以在網(wǎng)絡(luò)的任何一層生根發(fā)芽，復(fù)制傳播，難以檢測(cè)。受攻擊未來(lái)領(lǐng)域即時(shí)消息：MSN,Yahoo,ICQ,OICQ等對(duì)等程序(P2P)移動(dòng)設(shè)備“紅色代碼”病毒的工作原理

病毒利用IIS的.ida

漏洞進(jìn)入系統(tǒng)并獲得

SYSTEM權(quán)限(微軟在2001年6月份已發(fā)布修復(fù)程序MS01-033)病毒產(chǎn)生100個(gè)新的線程99個(gè)線程用于感染其它的服務(wù)器第100個(gè)線程用于檢查本機(jī),并修改當(dāng)前首頁(yè)在7/20/01時(shí)所有被感染的機(jī)器回參與對(duì)白宮網(wǎng)站的自動(dòng)攻擊.尼母達(dá)Nimada的工作原理4種不同的傳播方式IE瀏覽器:利用IE的一個(gè)安全漏洞

(微軟在2001年3月份已發(fā)布修復(fù)程序MS01-020)IIS服務(wù)器:和紅色代碼病毒相同,或直接利用它留下的木馬程序.(微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所有的修復(fù)程序和解決方案)電子郵件附件:

(已被使用過(guò)無(wú)數(shù)次的攻擊方式)文件共享:針對(duì)所有未做安全限制的共享MYDOOM的工作原理W32.Novarg.A@mm[Symantec]，受影響系統(tǒng):Win9x/NT/2K/XP/20031、創(chuàng)建如下文件：%System%shimgapi.dll%temp%Message，這個(gè)文件由隨機(jī)字母通組成。%System%taskmon.exe,如果此文件存在，則用病毒文件覆蓋。2、Shimgapi.dll的功能是在被感染的系統(tǒng)內(nèi)創(chuàng)建代理服務(wù)器，并開(kāi)啟3127到3198范圍內(nèi)的TCP端口進(jìn)行監(jiān)聽(tīng)；3、添加如下注冊(cè)表項(xiàng)，使病毒可隨機(jī)啟動(dòng)，并存儲(chǔ)病毒的活動(dòng)信息。4、對(duì)實(shí)施拒絕服務(wù)（DoS)攻擊,創(chuàng)建64個(gè)線程發(fā)送GET請(qǐng)求，這個(gè)DoS攻擊將從2004年2月1延續(xù)到2004年2月12日；5、在如下后綴的問(wèn)中搜索電子郵件地址，但忽略以.edu結(jié)尾的郵件地址：.htm.sht.php.asp.dbx.tbb.adb.pl.wab.txt等；6、使用病毒自身的SMTP引擎發(fā)送郵件，他選擇狀態(tài)良好的服務(wù)器發(fā)送郵件，如果失敗，則使用本地的郵件服務(wù)器發(fā)送；7、郵件內(nèi)容如下：From:可能是一個(gè)欺騙性的地址；主題:hi/hello等。常見(jiàn)的安全技術(shù)防范措施常用的安全防護(hù)措施防火墻入侵檢測(cè)漏洞掃描抗拒絕服務(wù)防病毒系統(tǒng)安全加固SUS補(bǔ)丁安全管理

訪問(wèn)控制

認(rèn)證

NAT

加密

防病毒、內(nèi)容過(guò)濾流量管理常用的安全防護(hù)措施－防火墻防火墻的局限性防火墻不能防止通向站點(diǎn)的后門(mén)。防火墻一般不提供對(duì)內(nèi)部的保護(hù)。防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。防火墻本身的防攻擊能力不夠，容易成為被攻擊的首要目標(biāo)。防火墻不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動(dòng)態(tài)調(diào)整自己的策略。防火墻與IDS聯(lián)動(dòng)時(shí)間Dt-檢測(cè)時(shí)間Pt-防護(hù)時(shí)間Rt-響應(yīng)時(shí)間Pt-防護(hù)時(shí)間>+入侵檢測(cè)系統(tǒng)FirewallInternetServersDMZIDSAgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報(bào)警報(bào)警IDSAgent入侵檢測(cè)系統(tǒng)的作用實(shí)時(shí)檢測(cè)實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文安全審計(jì)對(duì)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動(dòng)響應(yīng)主動(dòng)切斷連接或與防火墻聯(lián)動(dòng)，調(diào)用其他程序處理漏洞掃描系統(tǒng)Internet地方網(wǎng)管scanner監(jiān)控中心地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管市場(chǎng)部工程部router開(kāi)發(fā)部InternetServersFirewall漏洞掃描產(chǎn)品應(yīng)用拒絕服務(wù)攻擊(DoS/DDoS)網(wǎng)絡(luò)層SYNFloodICMPFloodUDPFloodPingofDeath應(yīng)用層垃圾郵件CGI資源耗盡SYNFlood原理正常的三次握手建立通訊的過(guò)程SYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)！）ACK（確認(rèn)連接）發(fā)起方應(yīng)答方SYNFlood原理SYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請(qǐng)求為何還沒(méi)回應(yīng)就是讓你白等不能建立正常的連接連接耗盡正常tcpconnect攻擊者受害者大量的tcpconnect這么多需要處理？不能建立正常的連接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用戶(hù)正常tcpconnect拒絕服務(wù)攻擊的對(duì)抗網(wǎng)絡(luò)層升級(jí)系統(tǒng)防止pingofdeath等攻擊通過(guò)帶寬限制來(lái)防止flood攻擊應(yīng)用層拒絕服務(wù)的抵抗通常需要在應(yīng)用層進(jìn)行特定的設(shè)計(jì)SYNFlood與連接耗盡是難點(diǎn)計(jì)算機(jī)病毒程序型病毒引導(dǎo)型病毒宏病毒特洛伊木馬型的程序有危害的移動(dòng)編碼防病毒軟件歷史單機(jī)版靜態(tài)殺毒實(shí)時(shí)化反病毒防病毒卡動(dòng)態(tài)升級(jí)主動(dòng)內(nèi)核技術(shù)自動(dòng)檢測(cè)技術(shù)：特征代碼檢測(cè)單特征檢查法基于特征標(biāo)記免疫外殼防病毒技術(shù)發(fā)展第一代反病毒技術(shù)采取單純的病毒特征診斷，對(duì)加密、變形的新一代病毒無(wú)能為力；第二代反病毒技術(shù)采用靜態(tài)廣譜特征掃描技術(shù)，可以檢測(cè)變形病毒誤報(bào)率高，殺毒風(fēng)險(xiǎn)大；第三代反病毒技術(shù)靜態(tài)掃描技術(shù)和動(dòng)態(tài)仿真跟蹤技術(shù)相結(jié)合；第四代反病毒技術(shù)基于病毒家族體系的命名規(guī)則基于多位CRC校驗(yàn)和掃描機(jī)理啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強(qiáng)的壓縮加密文件中的病毒）、內(nèi)存解毒模塊、自身免疫模塊企業(yè)級(jí)防病毒體系集中管理多次防病毒體系系統(tǒng)安全加固基本安全配置檢測(cè)和優(yōu)化密碼系統(tǒng)安全檢測(cè)和增強(qiáng)系統(tǒng)后門(mén)檢測(cè)提供訪問(wèn)控制策略和工具增強(qiáng)遠(yuǎn)程維護(hù)的安全性文件系統(tǒng)完整性審計(jì)增強(qiáng)的系統(tǒng)日志分析系統(tǒng)升級(jí)與補(bǔ)丁安裝Windows系統(tǒng)安全加固使用Windowsupdate安裝最新補(bǔ)??；更改密碼長(zhǎng)度最小值、密碼最長(zhǎng)存留期、密碼最短存留期、帳號(hào)鎖定計(jì)數(shù)器、帳戶(hù)鎖定時(shí)間、帳戶(hù)鎖定閥值，保