网络安全培训

1、网络安全培训 3 根据发布的公告，截止到2021年3月10日我国境内感染网络病毒的主机数量约为138.4万个，其中包括境内被木马或被僵尸程序控制的主机约43.4万以及境内感染飞客蠕虫的主机约95万木马或僵尸程序受控主机在我国大陆的分布，排名前三位的分别是广东省、江苏省和浙江省。 捕获了大量新增网络病毒文件，按网络病毒名称统计新增33个，按网络病毒家族统计新增1个。 放马站点是网络病毒传播的源头。本周，监测发现的放马站点共涉及域名140个，涉及地址262个。在140个域名中，有约60.7%为境外注册，且顶级域为的约占66.4%；在262个中，有约54.2%位于境内，约45.8%位于境外。根据对放

2、马的分析发现，大局部放马站点是通过域名访问，而通过直接访问的涉及98个。 严峻的平安形势 4严峻的平安形势 5面临的平安威胁网络网络内部、外部泄密内部、外部泄密拒绝效劳攻击拒绝效劳攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫信息丧失、信息丧失、篡改、销毁篡改、销毁5额外的不平安因素外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织6网络的普及使学习网络进攻变得容易q全球超过全球超过26万个黑客站点提供系统漏洞和攻击知识万个黑客站点提供系统漏洞和攻击知识q越来越多的容易使用的攻击软件的出现越来越多的容易使用的攻

3、击软件的出现q国内法律制裁打击力度不够国内法律制裁打击力度不够7WorkstationVia EmailFile ServerWorkstationMail Server混合型攻击:蠕虫Web ServerVia Web PageWeb ServerMail Gateway防病毒防病毒防火墙防火墙入侵检测入侵检测风险管理风险管理攻击的开展趋势8攻击的开展趋势(1). 漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) (2). 混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与效劳器和 漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼

4、姆达等。 9攻击的开展趋势(1). 主动恶意代码趋势制造方法：简单并工具化 技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至开展到可以在网络的任何一层生根发芽，复制传播，难以检测。(2). 受攻击未来领域即时消息：等对等程序(P2P)移动设备( 平安)10为什么会有这么多的攻击漏洞q 简单介绍各种漏洞及原因q 设计上的缺陷q 利益上的考虑q 软件变得日益复杂11针对漏洞扫描的防范措施安装防火墙，禁止访问不该访问的效劳端口，使用隐藏内部网络结构安装入侵检测系统，检测漏洞扫描行为安

5、装评估系统，先于入侵者进行漏洞扫描，以便及早发现问题并解决提高平安意识，经常给操作系统和应用软件打补丁12常见的黑客攻击方法q 口令攻击q 网络监听q 缓冲区溢出q 路由攻击q 逻辑炸弹蠕虫后门、隐蔽通道计算机病毒拒绝效劳攻击 特洛伊木马其它网络攻击常见的网络攻击(10种)13口令攻击q 口令攻击软件 1.4q 这个软件由著名的黑客组织出的,它支持, , , 速度超快,可以说是目前同类中最杰出的作品。 对于老式的档(就是没的那种,任何人能看的都可以把 密文存下来)可以直接读取并用 字典穷举击破。 对于现代的 + 的方式, 提供了程序直接把两者合成出老式文 件。14 入侵者是如何得到密码的q 大

6、量的应用程序都是传送明文密码q 窃听加密密码并解密q 窃取密码文件，利用工具破解q 社会诈骗15口令攻击：“*密码查看16口令攻击演示：密码破解17口令攻击18针对口令破解攻击的防范措施不用中文拼音、英文单词不用生日、纪念日、有意义的字符串使用大小写字母、符号、数字的组合19针对口令破解攻击的防范措施q 不要将口令写下来。q 不要将口令存于电脑文件中。q 不要让别人知道。q 不要在不同系统上使用同一口令。q 为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。q 定期改变口令,至少2个月要改变一次。20针对口令破解攻击的防范措施p安装入侵检测系统，检测口令破解行为p安装平安评估系统，先于

7、入侵者进行模拟口令破解，以便及早发现弱口令并解决p提高平安意识，防止弱口令21 网络监听22 常用网络监听工具工具名称操作系统功能简介, 针对协议的不安全性进行监听, 可以从以太网上监听并截获数据包, 监控在以太网上传输的数据包 监听以太网上的通信, 用来侦听本网段数据包，常用作错误诊断、 显示当前的连接和协议统计监听局域网上的通信的主机监听外部主机对本机的访问23 网络嗅探是主机的一种工作模式，在这种模式下，主机可以接收到共享式网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如 , ， ，等就可以

8、轻而易举地截取包括口令、帐号等敏感信息。漏洞扫描和攻击之网络嗅探24共享信道共享信道播送型以太网播送型以太网协议不加密协议不加密口令明文传输口令明文传输混杂模式混杂模式处于这种模式的网卡接受网络中处于这种模式的网卡接受网络中所有数据包所有数据包25网上截获的网上截获的帐号和口令帐号和口令26针对网络嗅探攻击的防范措施安装网关，防止对网间网信道进行嗅探对内部网络通信采取加密处理采用交换设备进行网络分段采取技术手段发现处于混杂模式的主机，开掘“鼹鼠27 缓冲区溢出q什么是缓冲区溢出q简单地说，缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据，导致数据越界，结果覆盖了原先的堆栈

9、数据。q例如:q ( *) q 16; q (); q 28堆栈溢出攻击十年来最大的平安问题十年来最大的平安问题 这是一种系统攻击手段，通过这是一种系统攻击手段，通过向程序的缓冲区写超出其长度的向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执破坏程序的堆栈，使程序转而执行其它指令，以到达攻击的目的行其它指令，以到达攻击的目的。这种攻击可以使得一个匿名的。这种攻击可以使得一个匿名的用户有时机获得一台主机的局部用户有时机获得一台主机的局部或全部的控制权。或全部的控制权。29路由攻击注入假的路由到路由选择系统重定向业务流到黑洞重定向业务

10、流到慢的链接重定向业务流到可以分析与修改的地点30逻辑炸弹 逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。31蠕 虫 蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝复制品传给其他的计算机。蠕虫可以修改、删除别的程序，但它也可以通过疯狂的自我复制来占尽网络资源，从而使网络瘫痪。32后门与隐蔽通道q 调试后门：为方便调试而设置的机关，系统调试完成后未能及时消除。q 维护后门：为方便远程维护所设置的后门，被黑客恶意利用。q 恶意后门：由设计者成心设置的机关，用

11、以监视用户的秘密乃至破坏用户的系统q 隐蔽通道：是一种允许违背合法的平安策略的方式进行操作系统进程间通信的通道。隐蔽通道又分为隐蔽存储通道与隐蔽时间通道。隐蔽通道的重要参数是带宽。33操作系统后门 至今我国使用的处理器和操作系统等重要软硬件依然靠国外进口，有的兴旺国家出于种种目的，在软硬件上留下缺口或者“后门，给我国信息平安留下了巨大的隐患。 据报道，曾上市的奔腾三处理器中设置了用以识别用户身份的序列码，每一台机器只有唯一的序列码且永久不变，电脑用户在网络或互联网上所做的每一件事都会留下痕迹，或处于别人的监视之下。 而此前上市的操作系统98那么会根据用户的计算机硬件配置情况生成一串用户名字、相

12、关地址代码等全球唯一的识别码，然后通过电子注册程序在用户不知道的情况下传送到微软的网站上。 奔腾三处理器和微软公司的98一方面带来更高性能和更快速度，但另一方面有可能成为随时会泄密的“定时炸弹。34病 毒 是人编写的一段程序! 太多了!35计算机病毒的分类引导型病毒()可执行文件病毒病毒宏病毒七月杀手特洛伊木马型病毒()病毒(爱虫)脚本病毒( )混合型病毒()36针对病毒攻击的防范措施安装防火墙，禁止访问不该访问的效劳端口安装入侵检测系统，检测病毒蠕虫攻击安装防病毒软件，阻挡病毒蠕虫的侵袭提高平安意识，经常给操作系统和应用软件打补丁另一种威胁另一种威胁拒绝效劳攻击拒绝效劳攻击应用漏洞攻击及防范

13、38拒绝效劳攻击*定义及分类的定义的定义 分布式拒绝服务(Distributed Denial of Service)，即对特定的目标，利用大量分布式的合理服务请求来占用过多的服务资源，从而导致系统崩溃，无法提供正常的Internet服务。流量型攻击流量型攻击 通过发出海量数据包，造成设备负载过高，最终导致网络带宽或是设备资源耗尽，服务拒绝。 通常以Flooding形式，如SYN Flood、ACK Flood、ICMP Flood、UDP Flood、UDP DNS Query Flood、Connection Flood、HTTP Get Flood 等。应用型攻击应用型攻击 利用诸如HT

14、TP等应用协议的某些特征，通过持续占用有限的资源，从而使目标设备无法处理正常访问请求 如HTTP Half Open攻击、HTTP Error攻击等攻击影响攻击浪费网络浪费网络带宽资源带宽资源增加核心增加核心设备的工设备的工作负荷作负荷关键业务关键业务中断中断网络服务网络服务质量质量下降下降SLASLA破坏破坏导致导致高额高额服务赔偿服务赔偿信誉蒙受信誉蒙受损失损失经济蒙受经济蒙受损失损失攻击地下产业化直接开展收购肉鸡制造、控制，培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、效劳获取者、资金注入者培训地下黑客攻击网络 & q 攻

15、击 q 攻击q 攻击q 攻击q 攻击q 攻击 q 攻击目前主要的攻击方式45 攻击原理q正常的三次握手建立通讯的过程正常的三次握手建立通讯的过程SYN （我可以连接吗？）（我可以连接吗？）ACK （可以）（可以）/SYN（请确（请确认！）认！）ACK （确认连接）（确认连接）发起方发起方应答方应答方46 攻击原理SYN （我可以连接吗？）（我可以连接吗？）ACK （可以）（可以）/SYN（请确认！）（请确认！）攻击者攻击者受害者受害者伪造地址进行伪造地址进行SYN请求请求为何还没为何还没回应回应就是让你就是让你白等白等不能建立正常的连接不能建立正常的连接47连接耗尽正常正常tcp connec

16、t攻击者攻击者受害者受害者大量的大量的tcp connect这么多需这么多需要处理？要处理？不能建立正常的连接不能建立正常的连接正常正常tcp connect正常正常tcp connect正常正常tcp connect正常正常tcp connect正常用户正常正常tcp connect48针对攻击的防范措施一 攻击者攻击者目标目标攻击者伪造源地址进行请求攻击者伪造源地址进行请求好像不管好像不管用了用了其它正常用户能够得到响应其它正常用户能够得到响应 SYN ACK | SYN？ SYN ACK ACK | SYN49针对攻击的防范措施二 攻击者攻击者目标目标攻击者伪造源地址进行请求攻击者伪造源地址进行请求好像不管好像不管用了用了其它正常用户能够得到响应其它正常用户能够得到响应 SYN？ ACK | SYN攻击者受害者( )正常 请求不能建立正常的连接正常HTTP Get Flood正常用户正常 攻击表象利用代理效劳器向受害者发起大量 请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求正常