常见黑客攻击及安全防御手段

1、常见黑客攻击及安全防御手段绿盟科技于慧龙提纲常见的黑客攻击方法常用的安全技术防范措能Miracle Everyday常见的黑客攻击方法nnMiracle Everyday入侵技术的发展入侵者水平攻击手法半开放隐蔽扫描工具 ° 利用已知的漏洞 密码破解可自动复制的代码攻击者密码猜测19801985199019952000 2002Miracle Everyday入侵系统的常用步骤提升为最高权装统门安系后获取敏感信息或者其他攻击目的Miracle Everyday较高明的入侵步骤判断 系统端口判断择简式侵 选最方入提升为最高权攻他除侵印清入脚获取敏感信息作为其他用途Miracle Eve

2、ryday常见的安全攻击方法Miracle EverydayMiracle Everyday直接获取口令进入系统：网络监听，暴力破解 利用系统自身安全漏洞户打开或下载，然后使用户在无意中激活，导致系统特洛伊木马程序：伪装成工具程序或者游戏等诱使用后门被安装 WWW欺骗：诱使用户访问纂改过的网页 电子邮件攻击：邮件炸弹、邮件欺骗 网络监听：获取明文传输的敏感信息通过一个节点来攻击其他节点：攻击者控制一台主机 后，经常通过IP欺骗或者主机信任关系来攻击其他节 点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(D.o.S和D.D.o.S)Miracle Everyday2001年中美

3、黑客大战事件背景和经过 4月初，以PoizonBOx. prOphet为代表的美国黑客 4.1撞机事件为导火线 4月下旬，国内红（）客组织或个人，开始对美组织对国内站点进行攻击，约300个左右的站点页 面被修改小、国网站进行小规模的攻击行动，4月26日有人发表了 “五一卫国网战”战前声明，宣布将在5月1日至 8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战Miracle EverydayPoizonBOx> prOphet更改的网页国内某大型商业网站国内某政府网站cp«. arjottd fiile laKke<2 :-&g

4、t;t>iir the ritlD is：nnr. pigych. jic. artHi-Tech Hate Crewwas here ：-)A cybcrwtLi between American hackers and Chinese hackers isstartcd where orc you? Ancrican hackers rulcz!84dBoy aea cates thes one to Simora: c<ease remerrbe-1 will LOVS you forevbnnDrol Rah'S el*diC5tA- this to "

5、G love LmdA中国科学院心理研究所中经网数据有限公司tiar k Wf isrrI M»< el400* 1<WH FE M CVK<B toMiracle EveStatistics of th» day.IIACKWEISER: 63466 CHINA: -2 !How's that for odds?!Yep it/s me again from hackwciscr and i" mhere to spread a little bit of that good ol*Asian Domintation around to

6、 your communisticgovernment!We have heard reports that you guys are国内黑客组织更改的网站页面美国某大型商业网站美国某政府网站我是中国人！红盟广东组Beat down lmp«riahsm of American!Rrwsd byvf C IrinaMlirTI-tCHi-nk*：:«l4int44rwt*col ib; ration««GiiArtiihfiMgrehryvtxmp cuncttt««< ivtiitiMv3462?美国劳工部网站美国某节点网站7

7、m*八，ilrv*»HUkX»yH*AQ 卜I1te) «W<D “SZJUI： «»XK>-二宝仝aw»出aa召宙T XUSANAZIBUSHMurdererBeat down Imperialism of American!H*rKf UniOR 伏 CMno HUd By RedfreedorWf .H.U.C VM io cf Ktxi2：Matnmm the raurdlevtor of th* tnarwrtaCuor4s E nitcmlto/frtflnyOut* de coniHteitreshtaixe

8、 sriame!AKtoh ti-CNr«*« TO""",d9246D XtmmMiracle Everyday这次事件中被利用的典型漏洞红客联盟负责人在5月9日网上记者新闻发布会 上对此次玫击事件協菽术背景说明如下：“我 们更多的是一种不满情绪的发泄，大家也可以 看到被攻破的瘵是一些小站，大部分瘵是 NT/Win2000系统,这个行动在技术上是没有 任何炫耀和炒祜的价值的。”主要采用当时流行的系统漏洞进行攻击用户名泄漏，缺省安装的系统用户名和密码Unicode编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名

9、 和密码SQL server缺省安装微软Windows 2000登录验证机制可被绕过 Bind远程溢出)Lion蠕虫SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 Wu-Ftpd格式字符串错误远程安全漏洞 拒绝服务(syn-flood , ping )Miracle Everyday这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码劈-“ All user accounts:Users with unsecure password:"< <rf Ucint;tZMLllCCmt入侵者利用黑客工具 扫描系统用户获得用户名和简单密码o Win

10、dows 2000登录验证机制可被绕过Miracle Everyday这次事件中被利用的典型漏洞Miracle Everyday这次事件中被利用的典型漏洞溝盖爲&LJU目去變i牙引:如|龙全驱I2d咏：I&mp4LJnysdFTcg-anrtes口W1MJT科主拚21 儿醫SHMg曰网元蘋 沪删JX|7««己准I输支洋冬幻：SWindows：&茎于IT扶杓耶£)»«：*«rntprmii 虑农囚却alICL. Gill" nroWMlVBL File 他懐IBL:LI*F 物观 IBL Hm»

11、;s fr«oc«lJrptocttlMiracle Everyday攻击的发展趋势Web ServerFile Server混合型攻击:蠕虫防病毒WorkstationWorkstationInternetWorkstation Via EmailWeb Server Via Web Page入侵检澱iMail ServerMail Gateway混合型.自动的攻击Miracle Everyday攻击的发展趋势Miracle EverydayMiracle Everyday漏洞趋势-严重程度中等或较高的漏洞急剧增加，新漏洞被利用越来越容易(大约 60%不需或很少需用代码)

12、混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和Internet漏 洞结合起来而发起、传播和扩散的攻击，例：红色代码和尼姆达等。主动恶意代码趋势制造方法：简单并工具化技术特征：智能性、攻击性和多态性，采用加密、变换、插入等技术 手段巧妙地伪装自身，躲避甚至攻击防御检测软件.-表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发 展到可以在网络的任何一层生根发芽，复制传播，难以检测。受攻击未来领域即时消息：MSN,Yahoo,ICQQICQ等对等程序(P2P)移动设备Miracle Everyday“红色代码”病毒的工作原理1. 病毒利用IIS的.ida漏洞进入系统并获

13、得 SYSTEM权限（微软在2001年6月份已发布修复 程序 MS01-033）2. 病毒产生100个新的线程99个线程用于感染其它的服务器第100个线程用于检查本机，并修改当前 首页3. 在7/20/01时所有被感染的机器回参与对白宫网站www. whitehouse. £ov的自动攻击.尼母达Nimada的工作原理 4种不同的传播方式IE浏览器：利用IE的一个安全漏洞（微软在2001年3月份已发布修复程序MS01-020） IIS服务器：和红色代码病毒相同，或直接利用 它留下的木马程序.（微软在红色代码爆发后已在其网站上公布了所 有的修复程序和解决方案）电子邮件附件：（已被使用过

14、无数次的攻击方式）文件共享：针对所有未做安全限制的共享Miracle EverydayMYDOOM的工作原理W32.Novarg.Amm Symantec,受影响系统:Win9x/NT/2K/XP/20031、创建如下文件： %System%shimgapi.dll %temp%Message,这个文件由随机字母通组成。 %System%taskmon.exe,如果此文件存在，则用病毒文件覆盖。2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启 3127到3198范围内的TCP端口进行监听；3、添加如下注册表项，使病毒可随机启动，并存储病毒的活动信息。4、对实施拒绝服务

15、（DoS）攻击，创建64个线程发送GET请 求，这个DoS攻击将从2004年2月1延续到2004年2月12H ;5、在如下后缀的问中搜索电子邮件地址，但忽略以edu结尾的邮件地 址：htm .sht .php .asp .dbx tbb .adb .pl wab txt等；6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发 送邮件，如果失败，则使用本地的邮件服务器发送；7、邮件内容如下：From:可能是一个欺骗性的地址；主题:hi/hello等。Miracle Everyday常见的安全技术防范措施Miracle Everyday常用的安全防护措施Miracle Everyday

16、Miracle Everyday防火墙入侵检测漏洞扫描抗拒绝服务防病毒系统安全加固 SUS补丁安全管理Miracle Everyday常用的安全防护措施一防火墙加密防病毒、内容过滤r 访问控制认证NAT流量管理Miracle Everyday防火墙的局限性防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙本身的防攻击能力不够，容易成 为被攻击的首要目标。防火墙不能根据网络被恶意使用和攻击 的情况动态调整自己的策略。Miracle Everyday防护时间时间0冲I防火墙与IDS联动、Dt-检测时间+Rt-响应时间Pt-防护时间 >入侵检测系

17、统IntranetIDS Agentrouterwall报警监控中心DMZ现攻"IDS AgentMiracle Every入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理漏洞扫描系统Illi! Illlllllllllllllllli地方网scanner地方网管监地方网4JSJm inI III HII III HBI in »i | an inMiracle EverydayI :111漏

18、洞扫描产品应用、聃烟空會呛量時扳攻击初以伽翔嚨力男細陀襯础，OBSM6»«Watti81l&KsE <v<>滞FOCU漣隔取EtJgim曲:5蔚制知鄆删；瞰火t瑋昨!郴廨的躺；価豳0啲仇SAS漏洞描述与解决方法拒绝服务攻击(DoS/DDoS)Miracle EverydayMiracle Everyday网络层 SYN Flood ICMP Flood UDP Flood Ping of Death应用层垃圾邮件CGI资源耗尽Miracle EverydaySYN Flood 原理Miracle EverydayMiracle Everyday正常

19、的三次握手建立通讯的过程Miracle EverydaySYN Flood 原理是你等！就让白 P不能建立正常的连接受害者Miracle Everyday连接耗尽正常用户不能建立正常的连接受害者Miracle Everyday拒绝服务攻击的对抗网络层升级系统防止ping of death等攻击 通过带宽限制来防止flood攻击 应用层拒绝服务的抵抗通常需要在应用层进行特定的设计 SYN Flood与连接耗尽是难点Miracle Everyday计算机病毒程序型病毒引导型病毒宏病毒特洛伊木马型的程序有危害的移动编码Miracle Everyday防病毒软件历史单机版静态杀毒实时化反病毒防病毒卡动态升级主动内核技术自动检测技术：特征代码检测单特征检查法基于特征标记免疫外壳防病毒技术发展第一代反病毒技术番劳单纯的病毒特征诊断，对加密、变形的新一代病毒无能第二住反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒误报率高，杀毒风险大；第三代反病毒技术静态扫描技术和动态仿真跟踪技术相结合；第四代反病毒技术基于病毒家族体系的命名规则基于多位CRC校验和扫描机理启发式智能代码分析模块、动态数据还原模块（能查出隐蔽 性机强昴压缩加密文彳牛申的病毒）、内存解毒模挨、自身菟 疫損块Miracle Everyday企业级防病毒体系Mi