黑客攻防技术
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View 黑客攻防技术 as PDF for free.
More details
- Words: 1,725
- Pages: 65
完全你的安全 Seamless Security Network
北京天融信公司 Beijing Topsec Co., Ltd.
22:55 22:55
http://www.topsec.com.cn
1
黑客攻 防技 术 • • • •
网络安全概述 黑客主要攻击技 术 典型攻防工具介 绍 实际操作
22:55 22:55
http://www.topsec.com.cn
2
网络安 全概述 ※ 黑客
闪客( Flasher) 、快客 ( Creaker)
22:55 22:55
http://www.topsec.com.cn
3
安全新动态 • 网络规模愈来愈大 • 网络应用越来越丰富 • 以蠕虫( Worm )为主要代表的病毒传播成为热 点 • 以拒 服务( DDOS )为主要目的网络攻击时时 考验客户的网络 • 以垃圾信息为代表的非法内容浪费着网络的资源
22:55 22:55
http://www.topsec.com.cn
4
安全问题 在安 全建 设中 往往需 要引 入众多 的安全 技术 和产品 ,因 此面临 着: 1. 它们之间 却缺 少信 息层互 通能 力 ; 2. 缺乏全网 的集 中监 控能力 。 从而 降低 了安 全系统 整体 的运作 效率, 增加 了安全 事件 的发现 时间 和响应 时间 ,甚至 最终 导致安 全事 故的发 生! Firewall
身份认证
Database
应用安全
SNMP 安全审计
22:55 22:55
http://www.topsec.com.cn
NTLOG IDMEF
SYSLOG 反病毒
漏洞扫描 IDS/IPS OPSEC WMI
点安全
数据加密 5
IT 部门 的烦恼
---
技术角 度
在过 去的 安全 事故里 ,蠕 虫病毒 是我们 面对 最为头 疼的 问题 之一; 它造 成了我 们网 络带宽 的消 耗、服 务器资 源的 崩溃, 使得 我们的 领导 不满, 甚至 对业务 生产 造成中 断,因 此我 们一直 都想 消除或 者控 制它, 但实 际安全 中却发 现很多 技术 问题: 我们需 要安 运维 全闭环
我们需 要安 全闭环 接下 来我 们将 以如何! 处理 蠕虫为 例来进 行分 析:
. 如何调整安全防护 策略应对蠕虫病毒?
. 如何事先了解安全 问题和安全趋势;
22:55 22:55
蠕虫攻 击
防护
http://www.topsec.com.cn
心
安全
预警
. 如何取证、定位来 规范相关人员和流程 ?
检测
反制
. 病毒感染源?病毒主 机?影响信息系统?
响应
恢复
. 要清除和防止蠕虫 病毒我们应该怎么做 ?
. 如何恢复被蠕虫攻 击的信息系统? 6
安全进入体系时代 • 要求建造安全的整体网络 • 从点转变到面的方式考虑安全问题 • 各种整体的解决方案和技术体系被提出 • • • •
天融信:可信网络架构( TNA ) CISCO :自防御网络( SDN ) 华为:安全渗透网络 ( SPN ) 锐捷:全局安全网络( GSN )
22:55 22:55
http://www.topsec.com.cn
7
黑客攻击技 术 病毒
扫描
木马
嗅探
欺骗攻击 溢出攻击 Internet/Intranet
垃圾邮件 代码攻击
密码破解 22:55 22:55
http://www.topsec.com.cn
DOS/DDOS 攻击
渗透 8
黑客入侵 的一般流 程 探测目标的具体信息, 找到可利用的漏洞和弱点
得到相应的权限,进行目标并控制目标 溢出攻击 便于再次登录目标并完成更多操作
扫描
渗透
代码攻击
木马
密码破解
Dos/Ddos 攻击
嗅探
欺骗
垃圾邮件
病毒
22:55 22:55
http://www.topsec.com.cn
9
扫描技 术 • 什么是扫描? 实际上是自动检测远程或本地主机(目标)安 全性弱点的程序。
• 常用的扫描技术 TCP 方式 (采用三次握手的方式) SYN 方式 (利用半连接的方式)
22:55 22:55
http://www.topsec.com.cn
10
扫描技 术 • 常用的扫描工具 流光 5.0 、 Xscan3.0 、 Superscan4.0 、 NSS
22:55 22:55
http://www.topsec.com.cn
11
扫描技 术
22:55 22:55
http://www.topsec.com.cn
12
扫描技 术
22:55 22:55
http://www.topsec.com.cn
13
扫描技 术 • 防止方法 安装个人或者网络防火墙、屏蔽相应的应用及端 口
22:55 22:55
http://www.topsec.com.cn
14
渗透技 术 • 什么是渗透? 利用已知目标的相关漏洞信息,对目标进行试 探性入侵,拿到一点权限并为下一步作准备
• 常用渗透手段 技术手段 (代码注入、系统溢出、权限 提升、跳板等) 非技术手段 (社会工程学) 22:55 22:55
http://www.topsec.com.cn
15
尝试利 用 IIS 中知名 的 Unicode 漏洞
渗透技 术
– 微软 IIS 4.0 和 5.0 都存在利用 扩展 UNICODE 字符取代 “ /” 和“\” 而能利 用“ ../” 目录 遍历的漏洞 。 未经 授权的用户 可能利用 IUSR_machinename 账号 的上下文空 间访问任何 已知 的文件 。该账号在 默认情况下 属于 Everyone 和 Users 组的 成员,因 此任 何与 Web 根目 录在同一逻 辑驱动器上 的能被这些 用户组访问 的文件都 能被 删除, 修改或执行 ,就如同一 个用户成功 登陆所能完 成的一样。 – http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir –
–
Directory of c:\ 2001-06-11 03:47p 289 default.asp 2001-06-11 03:47p 289 default.htm 2001-03-09 04:35p DIR> Documents and Settings 2001-06-11 03:47p 289 index.asp 2001-06-11 03:47p 289 index.htm 2001-05-08 05:19a DIR> Inetpub 2001-05-19 10:37p DIR> MSSQL7 2001-03-09 04:22p DIR> Program Files 2001-05-23 06:21p DIR> WINNT 4 File(s) 1,156 bytes 5 Dir(s) 2,461,421,561 bytes free 这是已经看到目标主机的 C 盘根目录和文件了。
– http://219.237.xx.xx/yddown/view.asp?id=3 http://219.237.xx.xx/yddown%5cview.asp?id=3
防止方 法: 打好相 应的补丁程 序,并升级到 最新版本。 利用 IDS (入侵检测 )技术,进 行监控记录 22:55 22:55 http://www.topsec.com.cn
16
溢出攻 击 • 什么是溢出? 利用目标操作系统或者应用软件自身的安全漏 洞进行特别代码请求,使其被迫挂起或者退出, 从而得到一定的操作权限的行为。
• 溢出分类 操作系统溢出 / 应用程序溢出 本地溢出 / 远程溢出
22:55 22:55
http://www.topsec.com.cn
17
溢出攻 击 • 主要溢出举例 尝试利 用 .printer 远程缓 冲区 溢出漏 洞进 行攻击 • 由于 IIS 5 的打印 扩展 接口建 立了 .printer 扩展 名到 msw3prt.dll 的 映射关 系, 缺省 情况下 该映 射存在 。当远 程用 户提交 对 .printer 的 URL 请求 时, IIS 5 调用 msw3prt.dll 解释该 请求 。由于 msw3prt.dll 缺乏 足够的 缓冲 区边 界检查 ,远 程用户 可以提 交一 个 精心构 造的 针对 .printer 的 URL 请求, 其 "Host:" 域包含 大约 420 字节的 数据 ,此 时在 msw3prt.dll 中发生 典型的 缓冲 区溢 出,潜 在 允许执 行任 意代 码。 •
缓冲区 溢出 :向 一个有 限空 间的缓 冲区中 拷贝 了过长 的字 符串, 带 来了两 种后 果, 一是过 长的 字符串 覆盖了 相临 的存储 单元 而造成 程 序瘫痪 ,甚 至造 成当机 、系 统或进 程重启 等; 二是利 用漏 洞可以 让 攻击者 运行 恶意 代码, 执行 任意指 令,甚 至获 得超级 权限 等。
22:55 22:55
• RPC 溢出、 webdav 、 Ser_U 6.0 以上 版本 、 RealServer8.0 、 ida http://www.topsec.com.cn
18
溢出攻 击 • 防止方法 升级到最新版本,并打好相关的补丁程序。运 用 IDS (入侵检测)技术或者日志审计,进行监 控记录
22:55 22:55
http://www.topsec.com.cn
19
代码攻 击 • 什么是代码攻击 ? 利用网 站或者 应用 系统后 台程 序代码 漏洞 或者数 据库调 用程 序不规 范进 行入侵 的行 为
• 代码攻击类型 ASP 注入 PHP 注入 Java/ASP.net
22:55 22:55
http://www.topsec.com.cn
20
代码攻 击 • 代码攻击主要工 具 NBSI2.0 ( ASP ) HDSI3.0 ( ASP 、 PHP ) 啊 D_Tools • 应对方法 严谨后 台编程 手法 ,规范 数据 库调用 方法 利用 IDS (入侵 检测) 技术 ,进行 监控 和记 录 22:55 22:55
http://www.topsec.com.cn
21
嗅探 • 什么是嗅探? 在以太网或其他共享传输介质的网络上,用来 截获网络上传输的信息
• 嗅探方式 (协议 还原和密码截 取) 内网嗅 探(利 用内 部网 HUB 环境 或者交 换 机镜像 口) 外网接 线嗅探 ( 利用 中转 路由或 者交 换设 备镜像 ) 22:55 22:55
http://www.topsec.com.cn
22
嗅探 • 嗅探典型工具 Sniffer (协议和管理) Iris (协议) Cain 2.5 (密码) • 防止方法 内网采用交换机接入设为管理策略 对于外网可采用应用层加密协议或者第三方加 密设备 22:55 22:55
http://www.topsec.com.cn
23
口令破 解 • 口令破解 是指破解口令或屏蔽口令保护
• 口令破解方式 字典暴破 (字典组合) 防真对比 (利用用户日常常用字符) 屏蔽技术 (利用程序或者流程漏洞)
22:55 22:55
http://www.topsec.com.cn
24
口令破 解 • 常用破解工具 MD5_Creaker Cain5.0 • 防止方法 设置高 强度密 码 规范操 作流程 和个 人操作 习惯 (定期 改变 口令) 打相应 的漏洞 补丁 22:55 22:55
http://www.topsec.com.cn
25
口令破 解
•
破解成 功!对方 administrator 的密码 为 1234
22:55 22:55
http://www.topsec.com.cn
26
木马技 术 • 什么是木马 是指任何提供了隐藏的、用户不希望的功能程 序
• 木马类型 1 、按连 接方 式 主动 / 被动 2 、管理 方式 B/S 、 C/S
22:56 22:56
http://www.topsec.com.cn
27
木马技 术 • 常用木 马工具 冰河 灰鸽子 2005 Serven Door • 防止方 法 安装防 火墙和 防病 毒软件 ,时 常监视 相关 进 程
22:56 22:56
http://www.topsec.com.cn
28
病毒
• 什么是病毒? 计算机 病毒是指能 够通过某种途 径潜 伏在计算机的存 储介质或程 序中,当满 足某种条件后即 被激活,且 对计算机资 源具有破坏作用 的一种程序 或指令的集 合。
22:56 22:56
http://www.topsec.com.cn
29
病毒的演化趋势
1969
邮件 / 互联网
邮件
物理 介质 Brain
CIH
1986
1998
Melissa
1999
Love Code Redfunlove Letter Nimda Klez 2000
2001
2002
SQL 冲击 波 Slammer 震荡 波
2003
2004
攻击和 威胁转移 到服务器和 网关,对防毒 体系提出新 的挑战 22:56 22:56
http://www.topsec.com.cn
IDC, 2004
30
Int erne t 成为主 要传 播途径 据 ICSA 病毒流行性调查结果,电子邮件和 Internet 互联网已成为 病毒传播的绝对主要途径。 99% 的病毒都是通过 SMTP 、 HTTP 和 FTP 协议进入用户的计 算机。
企业所面监的问题 用户防病毒的意识薄弱 缺乏安全技术培训 防病毒实施强制力不够 网络中漏洞普遍存在
22:56 22:56
http://www.topsec.com.cn
31
病毒典型案例
被感 染
未修补漏 洞的系统
被感 染 不被感染
被感 染
已修补漏 洞的系统 随机攻击
随机攻击
不被 感染 不被 感染
WORM_SASSER.A 染毒电脑
22:56 22:56
http://www.topsec.com.cn
随机攻击
32
病毒 • 防止方法 安装杀病毒软件并升级病毒库 安装个人防火墙 打好相应的补丁 新的 防护技 术 网关型 防病毒 产品 (病毒 过滤 网关)
22:56 22:56
http://www.topsec.com.cn
33
防病 毒网关 介绍
22:56 22:56
http://www.topsec.com.cn
34
防病毒网关介绍 全面的 协议 保护 • 支持 SMTP 、 POP3 、 IMAP4 、 HTTP 和 FTP 协 议 • 实际应用中, HTTP 协议开启后系统工作正常 • 支持 HTTPS 协议,主要用在电子商务方面
22:56 22:56
http://www.topsec.com.cn
35
防病毒网关介绍 即插即 用的 透明 接入方 式 采用 流扫描 技 术
Internet
病毒从 Internet 入侵 Http 过滤
Firewall
Ftp 过滤 STOP!
邮件过滤
内部局域 网
22:56 22:56
http://www.topsec.com.cn
36
随机存取的扫描算法(传统的解决方案)
22:56 22:56
http://www.topsec.com.cn
37
流扫描技术
22:56 22:56
http://www.topsec.com.cn
38
DOS/DDOS 攻击 • 什么是 DOS/DDOS 攻击?
Denial of Service (DoS) 拒绝服务攻 击, – 攻击者利用大量的数据包“淹没”目标主机,耗 尽可用资源乃至系统崩溃,而无法对合法用户 作出响应。
Distributed Denial of Service (DDoS) 分布式拒绝服务攻击 ,
– 攻击者利用因特网上成百上千 的“ Zombie”( 僵尸 )- 即被利用主机,对攻击 目标发动威力巨大的拒绝服务攻击。 22:56 22:56 39 – 攻击者的身份很难确认。 http://www.topsec.com.cn
正常访问
通过普通的网络连线,使用者传送信息 要求服务器予以确定。服务器于是回复 用户。用户被确定后,就可登入服务器 。 22:56 22:56
TCP 三次握手方式
http://www.topsec.com.cn
40
“ 拒绝服务” ( DoS )的攻击 方式
“ 拒绝服务 ”的攻击方式为:用户传送众多要求确认的信息到服务器 ,使服务器里充斥着这种无用的信息。 所有的信息都有需回复的虚 假地址,以至于当服务器试图回传时,却无法找到用户。服务器于 是暂时等候,有时超过一分钟,然后再切断连接。服务器切断连接 时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最 终导致服务器处于瘫痪状态 22:56 22:56 http://www.topsec.com.cn
41
DDoS 攻击过程 黑客
1
黑客利用工 具扫描 Internet ,发现存 在漏洞 的主机
非安全 主机
Internet 扫描程 序
22:56 22:56
http://www.topsec.com.cn
42
DDoS 攻击过程 黑客 Zombies
2 黑客在 非安全主 机上安装 类似“ 后门”的 代理程序
22:56 22:56
http://www.topsec.com.cn
Internet
43
DDoS 攻击过程 黑客 主控主 机
3
Zombies
Internet
黑客选 择主控主机 ,用 来向“ 僵尸”发送 命令
22:56 22:56
http://www.topsec.com.cn
44
DDoS 攻击过程 Hacker Master Server
4 通过客 户端程序, 黑客发送命 令给主 控端,并通 过主控主机 启动 “ 僵尸”程序 对目标系 统发动 攻击 22:56 22:56
http://www.topsec.com.cn
Zombies
Internet Targeted 目标 System 45
DDoS 攻击过程 Hacker Master Server
5 主控端 向“僵尸” 发送 攻击信 号,对目标 发动 攻击
Zombies
Internet 目标系 统 System
22:56 22:56
http://www.topsec.com.cn
46
DDoS 攻击过程 黑客 主控主 机
僵尸
6
目标主 机被“淹 没 ”,无 法提供正常 服务 ,甚至 系统崩溃 合法用 户
Internet 目标
服务请 求被拒绝 22:56 22:56
http://www.topsec.com.cn
47
DOS/DDOS 攻击
传统防 止方法 设置路由器 ACL 牺牲正常流量、防护种类有限
传统思想:防火墙 性能低下:一般 <10M
优秀的 <30M
提高服务器自身能力 硬件和软件可调空间有限
负载均衡 高层攻击防御能力有限,面向用户能力弱 22:56 22:56
http://www.topsec.com.cn
48
DOS/DDOS 攻击 采用第三方专用设备 多层防 护体 系 特征库匹配 统计学归纳技术 动态识别 生物学分析区分 逆向验证技术 Syn-Proxy 技术 22:56 22:56
http://www.topsec.com.cn
49
多层防护体系 双向 反馈 环
统计学 分 析
动态判 定
22:56 22:56
http://www.topsec.com.cn
自学习特 征 库
多重验 证
生物学 计 算 二次整体 分 析
50
部署实现
网桥模式串连接入系统 一分钟 完成 部署
22:56 22:56
http://www.topsec.com.cn
51
垃圾邮件
22:56 22:56
http://www.topsec.com.cn
52
垃圾邮 件的影响 蠕虫病毒通过邮件传播 邮件欺骗导致银行 信息等的泄露
网络带宽浪费 邮件系统瘫痪 用户时间花费
反动、色情、暴力等邮 件影响用户身心健康
22:56 22:56
公安部、教育部、信息产业部及国务院新闻 办联合发出通知,于 2004 年上半年开展互 联网垃圾电子邮件专项治理工作
http://www.topsec.com.cn
53
全球垃 圾邮件的现 状 垃圾邮 件的发 展速 度和趋 势
数据来源: Radicati , 2004.6 22:56 22:56
http://www.topsec.com.cn
54
全球垃 圾邮件分布 情况
据 Commtouch 调查 , 目 前 71% 的 垃 圾 邮件的 URL 是 指 向 中国的服务器,美 国以 22% 排名第二 。
22:56 22:56
http://www.topsec.com.cn
55
中国垃圾邮 件的现状
22:56 22:56
http://www.topsec.com.cn
56
中国垃圾邮件的 现状 据中国 互联 网中 心统计 ,现 在,我 国用 户平 均每周 受到 的垃圾 邮件 数超 过邮件 总数 的 60% ,部 分企业 每年 为 此投入 上百 万元 的设备 和人 力,垃 圾邮 件泛 滥造成 严重 后果
它不但阻塞网络 , 降低系 统效率和生 产力 , 同时有 些邮件还包 括色情 和反动 的内容 22:56 22:56
http://www.topsec.com.cn
57
反垃圾邮件 技术的技术 演进 第三代
行为识别技术
智能内容过滤 (Bayes) 、 RBL
第二代
IP 过滤、关键字过滤邮件 ( 附件 ) 大小 第一代 控制、 SMTP 连接时间频率控制
22:56 22:56
http://www.topsec.com.cn
58
前两代技术 的缺陷 IP 封禁和 RBL 缺点:“杀伤性”太强,只能作为辅助手段 SMTP 连接时间和频率控制 缺点 : 无法防范 Ddos 方式的 Email 攻击 邮件 ( 附件 ) 大小控制 缺点:缺乏实用性 内容过滤 (Bayes) 缺点 : 需要匹配全部邮件内容,效率低,误判断率 高,与语言相关性太大,非常高的升级频率 22:56 22:56
http://www.topsec.com.cn
59
新一代反垃 圾邮件技术 采用 “行为识 别”反垃圾新技术 经过大量的统计分析计算,归纳出了垃圾邮件发送行为识 别模型。这一模型在理论计算上有着较高的垃圾邮件区分 度( >99% ) 垃圾邮件行为特征是垃圾邮件的固有特性 主要检查邮件头,无须接受全部邮件内容,判别速度快 语言无关性,对全世界垃圾邮件都有明显效果 一般无须升级,一个成熟的模型可以在一定时间抵御所有 的已知和未知垃圾邮件
22:56 22:56
http://www.topsec.com.cn
60
行为识别模型 动态 IP
外来邮件
频度
SMTP 会话
SMTP 路由
正常行为邮件 发信地址
行为模式 识别模型
服务器特征
邮件服务器 内容特征
时间特征
攻击特征
垃圾邮件 可疑邮件 构成一个 多指标 的发 信“行 为特 征”模 式识 别智能 22:56 22:56 模型 http://www.topsec.com.cn
61
邮件三层安 全防护模 型 恶意攻击 、垃圾 邮件 、病毒
“ 行为识别” 病毒过滤 防止 DDos 反垃圾邮件 集成 邮件攻击 引擎 CA 引擎 >99%
邮件 服务 器 22:56 22:56
http://www.topsec.com.cn
62
识别的典型行为 特征 伪造发信人和发信服务器 不断变化 IP 地址发信 不断变化的发信人地址 以目录攻击的方式群发 发信的频度异常 发信的时间规律 虚假的 SMTP 路由信息 等等 22:56 22:56
http://www.topsec.com.cn
63
反垃圾技术特点
行为识别技 术 全方位的邮 件过滤解决 方案 集成防病毒 引擎 详细的日志 报告 22:56 22:56
http://www.topsec.com.cn
64
谢 谢 ! 王超 22:56 22:56
电话: 13871320744
E_mail : [email protected]
http://www.topsec.com.cn
65
北京天融信公司 Beijing Topsec Co., Ltd.
22:55 22:55
http://www.topsec.com.cn
1
黑客攻 防技 术 • • • •
网络安全概述 黑客主要攻击技 术 典型攻防工具介 绍 实际操作
22:55 22:55
http://www.topsec.com.cn
2
网络安 全概述 ※ 黑客
闪客( Flasher) 、快客 ( Creaker)
22:55 22:55
http://www.topsec.com.cn
3
安全新动态 • 网络规模愈来愈大 • 网络应用越来越丰富 • 以蠕虫( Worm )为主要代表的病毒传播成为热 点 • 以拒 服务( DDOS )为主要目的网络攻击时时 考验客户的网络 • 以垃圾信息为代表的非法内容浪费着网络的资源
22:55 22:55
http://www.topsec.com.cn
4
安全问题 在安 全建 设中 往往需 要引 入众多 的安全 技术 和产品 ,因 此面临 着: 1. 它们之间 却缺 少信 息层互 通能 力 ; 2. 缺乏全网 的集 中监 控能力 。 从而 降低 了安 全系统 整体 的运作 效率, 增加 了安全 事件 的发现 时间 和响应 时间 ,甚至 最终 导致安 全事 故的发 生! Firewall
身份认证
Database
应用安全
SNMP 安全审计
22:55 22:55
http://www.topsec.com.cn
NTLOG IDMEF
SYSLOG 反病毒
漏洞扫描 IDS/IPS OPSEC WMI
点安全
数据加密 5
IT 部门 的烦恼
---
技术角 度
在过 去的 安全 事故里 ,蠕 虫病毒 是我们 面对 最为头 疼的 问题 之一; 它造 成了我 们网 络带宽 的消 耗、服 务器资 源的 崩溃, 使得 我们的 领导 不满, 甚至 对业务 生产 造成中 断,因 此我 们一直 都想 消除或 者控 制它, 但实 际安全 中却发 现很多 技术 问题: 我们需 要安 运维 全闭环
我们需 要安 全闭环 接下 来我 们将 以如何! 处理 蠕虫为 例来进 行分 析:
. 如何调整安全防护 策略应对蠕虫病毒?
. 如何事先了解安全 问题和安全趋势;
22:55 22:55
蠕虫攻 击
防护
http://www.topsec.com.cn
心
安全
预警
. 如何取证、定位来 规范相关人员和流程 ?
检测
反制
. 病毒感染源?病毒主 机?影响信息系统?
响应
恢复
. 要清除和防止蠕虫 病毒我们应该怎么做 ?
. 如何恢复被蠕虫攻 击的信息系统? 6
安全进入体系时代 • 要求建造安全的整体网络 • 从点转变到面的方式考虑安全问题 • 各种整体的解决方案和技术体系被提出 • • • •
天融信:可信网络架构( TNA ) CISCO :自防御网络( SDN ) 华为:安全渗透网络 ( SPN ) 锐捷:全局安全网络( GSN )
22:55 22:55
http://www.topsec.com.cn
7
黑客攻击技 术 病毒
扫描
木马
嗅探
欺骗攻击 溢出攻击 Internet/Intranet
垃圾邮件 代码攻击
密码破解 22:55 22:55
http://www.topsec.com.cn
DOS/DDOS 攻击
渗透 8
黑客入侵 的一般流 程 探测目标的具体信息, 找到可利用的漏洞和弱点
得到相应的权限,进行目标并控制目标 溢出攻击 便于再次登录目标并完成更多操作
扫描
渗透
代码攻击
木马
密码破解
Dos/Ddos 攻击
嗅探
欺骗
垃圾邮件
病毒
22:55 22:55
http://www.topsec.com.cn
9
扫描技 术 • 什么是扫描? 实际上是自动检测远程或本地主机(目标)安 全性弱点的程序。
• 常用的扫描技术 TCP 方式 (采用三次握手的方式) SYN 方式 (利用半连接的方式)
22:55 22:55
http://www.topsec.com.cn
10
扫描技 术 • 常用的扫描工具 流光 5.0 、 Xscan3.0 、 Superscan4.0 、 NSS
22:55 22:55
http://www.topsec.com.cn
11
扫描技 术
22:55 22:55
http://www.topsec.com.cn
12
扫描技 术
22:55 22:55
http://www.topsec.com.cn
13
扫描技 术 • 防止方法 安装个人或者网络防火墙、屏蔽相应的应用及端 口
22:55 22:55
http://www.topsec.com.cn
14
渗透技 术 • 什么是渗透? 利用已知目标的相关漏洞信息,对目标进行试 探性入侵,拿到一点权限并为下一步作准备
• 常用渗透手段 技术手段 (代码注入、系统溢出、权限 提升、跳板等) 非技术手段 (社会工程学) 22:55 22:55
http://www.topsec.com.cn
15
尝试利 用 IIS 中知名 的 Unicode 漏洞
渗透技 术
– 微软 IIS 4.0 和 5.0 都存在利用 扩展 UNICODE 字符取代 “ /” 和“\” 而能利 用“ ../” 目录 遍历的漏洞 。 未经 授权的用户 可能利用 IUSR_machinename 账号 的上下文空 间访问任何 已知 的文件 。该账号在 默认情况下 属于 Everyone 和 Users 组的 成员,因 此任 何与 Web 根目 录在同一逻 辑驱动器上 的能被这些 用户组访问 的文件都 能被 删除, 修改或执行 ,就如同一 个用户成功 登陆所能完 成的一样。 – http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir –
–
Directory of c:\ 2001-06-11 03:47p 289 default.asp 2001-06-11 03:47p 289 default.htm 2001-03-09 04:35p DIR> Documents and Settings 2001-06-11 03:47p 289 index.asp 2001-06-11 03:47p 289 index.htm 2001-05-08 05:19a DIR> Inetpub 2001-05-19 10:37p DIR> MSSQL7 2001-03-09 04:22p DIR> Program Files 2001-05-23 06:21p DIR> WINNT 4 File(s) 1,156 bytes 5 Dir(s) 2,461,421,561 bytes free 这是已经看到目标主机的 C 盘根目录和文件了。
– http://219.237.xx.xx/yddown/view.asp?id=3 http://219.237.xx.xx/yddown%5cview.asp?id=3
防止方 法: 打好相 应的补丁程 序,并升级到 最新版本。 利用 IDS (入侵检测 )技术,进 行监控记录 22:55 22:55 http://www.topsec.com.cn
16
溢出攻 击 • 什么是溢出? 利用目标操作系统或者应用软件自身的安全漏 洞进行特别代码请求,使其被迫挂起或者退出, 从而得到一定的操作权限的行为。
• 溢出分类 操作系统溢出 / 应用程序溢出 本地溢出 / 远程溢出
22:55 22:55
http://www.topsec.com.cn
17
溢出攻 击 • 主要溢出举例 尝试利 用 .printer 远程缓 冲区 溢出漏 洞进 行攻击 • 由于 IIS 5 的打印 扩展 接口建 立了 .printer 扩展 名到 msw3prt.dll 的 映射关 系, 缺省 情况下 该映 射存在 。当远 程用 户提交 对 .printer 的 URL 请求 时, IIS 5 调用 msw3prt.dll 解释该 请求 。由于 msw3prt.dll 缺乏 足够的 缓冲 区边 界检查 ,远 程用户 可以提 交一 个 精心构 造的 针对 .printer 的 URL 请求, 其 "Host:" 域包含 大约 420 字节的 数据 ,此 时在 msw3prt.dll 中发生 典型的 缓冲 区溢 出,潜 在 允许执 行任 意代 码。 •
缓冲区 溢出 :向 一个有 限空 间的缓 冲区中 拷贝 了过长 的字 符串, 带 来了两 种后 果, 一是过 长的 字符串 覆盖了 相临 的存储 单元 而造成 程 序瘫痪 ,甚 至造 成当机 、系 统或进 程重启 等; 二是利 用漏 洞可以 让 攻击者 运行 恶意 代码, 执行 任意指 令,甚 至获 得超级 权限 等。
22:55 22:55
• RPC 溢出、 webdav 、 Ser_U 6.0 以上 版本 、 RealServer8.0 、 ida http://www.topsec.com.cn
18
溢出攻 击 • 防止方法 升级到最新版本,并打好相关的补丁程序。运 用 IDS (入侵检测)技术或者日志审计,进行监 控记录
22:55 22:55
http://www.topsec.com.cn
19
代码攻 击 • 什么是代码攻击 ? 利用网 站或者 应用 系统后 台程 序代码 漏洞 或者数 据库调 用程 序不规 范进 行入侵 的行 为
• 代码攻击类型 ASP 注入 PHP 注入 Java/ASP.net
22:55 22:55
http://www.topsec.com.cn
20
代码攻 击 • 代码攻击主要工 具 NBSI2.0 ( ASP ) HDSI3.0 ( ASP 、 PHP ) 啊 D_Tools • 应对方法 严谨后 台编程 手法 ,规范 数据 库调用 方法 利用 IDS (入侵 检测) 技术 ,进行 监控 和记 录 22:55 22:55
http://www.topsec.com.cn
21
嗅探 • 什么是嗅探? 在以太网或其他共享传输介质的网络上,用来 截获网络上传输的信息
• 嗅探方式 (协议 还原和密码截 取) 内网嗅 探(利 用内 部网 HUB 环境 或者交 换 机镜像 口) 外网接 线嗅探 ( 利用 中转 路由或 者交 换设 备镜像 ) 22:55 22:55
http://www.topsec.com.cn
22
嗅探 • 嗅探典型工具 Sniffer (协议和管理) Iris (协议) Cain 2.5 (密码) • 防止方法 内网采用交换机接入设为管理策略 对于外网可采用应用层加密协议或者第三方加 密设备 22:55 22:55
http://www.topsec.com.cn
23
口令破 解 • 口令破解 是指破解口令或屏蔽口令保护
• 口令破解方式 字典暴破 (字典组合) 防真对比 (利用用户日常常用字符) 屏蔽技术 (利用程序或者流程漏洞)
22:55 22:55
http://www.topsec.com.cn
24
口令破 解 • 常用破解工具 MD5_Creaker Cain5.0 • 防止方法 设置高 强度密 码 规范操 作流程 和个 人操作 习惯 (定期 改变 口令) 打相应 的漏洞 补丁 22:55 22:55
http://www.topsec.com.cn
25
口令破 解
•
破解成 功!对方 administrator 的密码 为 1234
22:55 22:55
http://www.topsec.com.cn
26
木马技 术 • 什么是木马 是指任何提供了隐藏的、用户不希望的功能程 序
• 木马类型 1 、按连 接方 式 主动 / 被动 2 、管理 方式 B/S 、 C/S
22:56 22:56
http://www.topsec.com.cn
27
木马技 术 • 常用木 马工具 冰河 灰鸽子 2005 Serven Door • 防止方 法 安装防 火墙和 防病 毒软件 ,时 常监视 相关 进 程
22:56 22:56
http://www.topsec.com.cn
28
病毒
• 什么是病毒? 计算机 病毒是指能 够通过某种途 径潜 伏在计算机的存 储介质或程 序中,当满 足某种条件后即 被激活,且 对计算机资 源具有破坏作用 的一种程序 或指令的集 合。
22:56 22:56
http://www.topsec.com.cn
29
病毒的演化趋势
1969
邮件 / 互联网
邮件
物理 介质 Brain
CIH
1986
1998
Melissa
1999
Love Code Redfunlove Letter Nimda Klez 2000
2001
2002
SQL 冲击 波 Slammer 震荡 波
2003
2004
攻击和 威胁转移 到服务器和 网关,对防毒 体系提出新 的挑战 22:56 22:56
http://www.topsec.com.cn
IDC, 2004
30
Int erne t 成为主 要传 播途径 据 ICSA 病毒流行性调查结果,电子邮件和 Internet 互联网已成为 病毒传播的绝对主要途径。 99% 的病毒都是通过 SMTP 、 HTTP 和 FTP 协议进入用户的计 算机。
企业所面监的问题 用户防病毒的意识薄弱 缺乏安全技术培训 防病毒实施强制力不够 网络中漏洞普遍存在
22:56 22:56
http://www.topsec.com.cn
31
病毒典型案例
被感 染
未修补漏 洞的系统
被感 染 不被感染
被感 染
已修补漏 洞的系统 随机攻击
随机攻击
不被 感染 不被 感染
WORM_SASSER.A 染毒电脑
22:56 22:56
http://www.topsec.com.cn
随机攻击
32
病毒 • 防止方法 安装杀病毒软件并升级病毒库 安装个人防火墙 打好相应的补丁 新的 防护技 术 网关型 防病毒 产品 (病毒 过滤 网关)
22:56 22:56
http://www.topsec.com.cn
33
防病 毒网关 介绍
22:56 22:56
http://www.topsec.com.cn
34
防病毒网关介绍 全面的 协议 保护 • 支持 SMTP 、 POP3 、 IMAP4 、 HTTP 和 FTP 协 议 • 实际应用中, HTTP 协议开启后系统工作正常 • 支持 HTTPS 协议,主要用在电子商务方面
22:56 22:56
http://www.topsec.com.cn
35
防病毒网关介绍 即插即 用的 透明 接入方 式 采用 流扫描 技 术
Internet
病毒从 Internet 入侵 Http 过滤
Firewall
Ftp 过滤 STOP!
邮件过滤
内部局域 网
22:56 22:56
http://www.topsec.com.cn
36
随机存取的扫描算法(传统的解决方案)
22:56 22:56
http://www.topsec.com.cn
37
流扫描技术
22:56 22:56
http://www.topsec.com.cn
38
DOS/DDOS 攻击 • 什么是 DOS/DDOS 攻击?
Denial of Service (DoS) 拒绝服务攻 击, – 攻击者利用大量的数据包“淹没”目标主机,耗 尽可用资源乃至系统崩溃,而无法对合法用户 作出响应。
Distributed Denial of Service (DDoS) 分布式拒绝服务攻击 ,
– 攻击者利用因特网上成百上千 的“ Zombie”( 僵尸 )- 即被利用主机,对攻击 目标发动威力巨大的拒绝服务攻击。 22:56 22:56 39 – 攻击者的身份很难确认。 http://www.topsec.com.cn
正常访问
通过普通的网络连线,使用者传送信息 要求服务器予以确定。服务器于是回复 用户。用户被确定后,就可登入服务器 。 22:56 22:56
TCP 三次握手方式
http://www.topsec.com.cn
40
“ 拒绝服务” ( DoS )的攻击 方式
“ 拒绝服务 ”的攻击方式为:用户传送众多要求确认的信息到服务器 ,使服务器里充斥着这种无用的信息。 所有的信息都有需回复的虚 假地址,以至于当服务器试图回传时,却无法找到用户。服务器于 是暂时等候,有时超过一分钟,然后再切断连接。服务器切断连接 时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最 终导致服务器处于瘫痪状态 22:56 22:56 http://www.topsec.com.cn
41
DDoS 攻击过程 黑客
1
黑客利用工 具扫描 Internet ,发现存 在漏洞 的主机
非安全 主机
Internet 扫描程 序
22:56 22:56
http://www.topsec.com.cn
42
DDoS 攻击过程 黑客 Zombies
2 黑客在 非安全主 机上安装 类似“ 后门”的 代理程序
22:56 22:56
http://www.topsec.com.cn
Internet
43
DDoS 攻击过程 黑客 主控主 机
3
Zombies
Internet
黑客选 择主控主机 ,用 来向“ 僵尸”发送 命令
22:56 22:56
http://www.topsec.com.cn
44
DDoS 攻击过程 Hacker Master Server
4 通过客 户端程序, 黑客发送命 令给主 控端,并通 过主控主机 启动 “ 僵尸”程序 对目标系 统发动 攻击 22:56 22:56
http://www.topsec.com.cn
Zombies
Internet Targeted 目标 System 45
DDoS 攻击过程 Hacker Master Server
5 主控端 向“僵尸” 发送 攻击信 号,对目标 发动 攻击
Zombies
Internet 目标系 统 System
22:56 22:56
http://www.topsec.com.cn
46
DDoS 攻击过程 黑客 主控主 机
僵尸
6
目标主 机被“淹 没 ”,无 法提供正常 服务 ,甚至 系统崩溃 合法用 户
Internet 目标
服务请 求被拒绝 22:56 22:56
http://www.topsec.com.cn
47
DOS/DDOS 攻击
传统防 止方法 设置路由器 ACL 牺牲正常流量、防护种类有限
传统思想:防火墙 性能低下:一般 <10M
优秀的 <30M
提高服务器自身能力 硬件和软件可调空间有限
负载均衡 高层攻击防御能力有限,面向用户能力弱 22:56 22:56
http://www.topsec.com.cn
48
DOS/DDOS 攻击 采用第三方专用设备 多层防 护体 系 特征库匹配 统计学归纳技术 动态识别 生物学分析区分 逆向验证技术 Syn-Proxy 技术 22:56 22:56
http://www.topsec.com.cn
49
多层防护体系 双向 反馈 环
统计学 分 析
动态判 定
22:56 22:56
http://www.topsec.com.cn
自学习特 征 库
多重验 证
生物学 计 算 二次整体 分 析
50
部署实现
网桥模式串连接入系统 一分钟 完成 部署
22:56 22:56
http://www.topsec.com.cn
51
垃圾邮件
22:56 22:56
http://www.topsec.com.cn
52
垃圾邮 件的影响 蠕虫病毒通过邮件传播 邮件欺骗导致银行 信息等的泄露
网络带宽浪费 邮件系统瘫痪 用户时间花费
反动、色情、暴力等邮 件影响用户身心健康
22:56 22:56
公安部、教育部、信息产业部及国务院新闻 办联合发出通知,于 2004 年上半年开展互 联网垃圾电子邮件专项治理工作
http://www.topsec.com.cn
53
全球垃 圾邮件的现 状 垃圾邮 件的发 展速 度和趋 势
数据来源: Radicati , 2004.6 22:56 22:56
http://www.topsec.com.cn
54
全球垃 圾邮件分布 情况
据 Commtouch 调查 , 目 前 71% 的 垃 圾 邮件的 URL 是 指 向 中国的服务器,美 国以 22% 排名第二 。
22:56 22:56
http://www.topsec.com.cn
55
中国垃圾邮 件的现状
22:56 22:56
http://www.topsec.com.cn
56
中国垃圾邮件的 现状 据中国 互联 网中 心统计 ,现 在,我 国用 户平 均每周 受到 的垃圾 邮件 数超 过邮件 总数 的 60% ,部 分企业 每年 为 此投入 上百 万元 的设备 和人 力,垃 圾邮 件泛 滥造成 严重 后果
它不但阻塞网络 , 降低系 统效率和生 产力 , 同时有 些邮件还包 括色情 和反动 的内容 22:56 22:56
http://www.topsec.com.cn
57
反垃圾邮件 技术的技术 演进 第三代
行为识别技术
智能内容过滤 (Bayes) 、 RBL
第二代
IP 过滤、关键字过滤邮件 ( 附件 ) 大小 第一代 控制、 SMTP 连接时间频率控制
22:56 22:56
http://www.topsec.com.cn
58
前两代技术 的缺陷 IP 封禁和 RBL 缺点:“杀伤性”太强,只能作为辅助手段 SMTP 连接时间和频率控制 缺点 : 无法防范 Ddos 方式的 Email 攻击 邮件 ( 附件 ) 大小控制 缺点:缺乏实用性 内容过滤 (Bayes) 缺点 : 需要匹配全部邮件内容,效率低,误判断率 高,与语言相关性太大,非常高的升级频率 22:56 22:56
http://www.topsec.com.cn
59
新一代反垃 圾邮件技术 采用 “行为识 别”反垃圾新技术 经过大量的统计分析计算,归纳出了垃圾邮件发送行为识 别模型。这一模型在理论计算上有着较高的垃圾邮件区分 度( >99% ) 垃圾邮件行为特征是垃圾邮件的固有特性 主要检查邮件头,无须接受全部邮件内容,判别速度快 语言无关性,对全世界垃圾邮件都有明显效果 一般无须升级,一个成熟的模型可以在一定时间抵御所有 的已知和未知垃圾邮件
22:56 22:56
http://www.topsec.com.cn
60
行为识别模型 动态 IP
外来邮件
频度
SMTP 会话
SMTP 路由
正常行为邮件 发信地址
行为模式 识别模型
服务器特征
邮件服务器 内容特征
时间特征
攻击特征
垃圾邮件 可疑邮件 构成一个 多指标 的发 信“行 为特 征”模 式识 别智能 22:56 22:56 模型 http://www.topsec.com.cn
61
邮件三层安 全防护模 型 恶意攻击 、垃圾 邮件 、病毒
“ 行为识别” 病毒过滤 防止 DDos 反垃圾邮件 集成 邮件攻击 引擎 CA 引擎 >99%
邮件 服务 器 22:56 22:56
http://www.topsec.com.cn
62
识别的典型行为 特征 伪造发信人和发信服务器 不断变化 IP 地址发信 不断变化的发信人地址 以目录攻击的方式群发 发信的频度异常 发信的时间规律 虚假的 SMTP 路由信息 等等 22:56 22:56
http://www.topsec.com.cn
63
反垃圾技术特点
行为识别技 术 全方位的邮 件过滤解决 方案 集成防病毒 引擎 详细的日志 报告 22:56 22:56
http://www.topsec.com.cn
64
谢 谢 ! 王超 22:56 22:56
电话: 13871320744
E_mail : [email protected]
http://www.topsec.com.cn
65
