网络安全管理培训课件

1、网络平安刘敏贤刘敏贤 副教授副教授西南科技大学计算机科学与技术学院2第一章回忆第一章回忆l什么是平安什么是平安l信息平安的级别信息平安的级别l平安的几个要素平安的几个要素l平安威胁的来源平安威胁的来源l平安的目标平安的目标l信息平安体系信息平安体系lP2DR模型模型lPDRR3第第2章章 网络攻击行径分析网络攻击行径分析l本章对攻击事件、攻击的目的、攻击的步骤及攻本章对攻击事件、攻击的目的、攻击的步骤及攻击的诀窍作一些简要的介绍，为随后深入学习攻击的诀窍作一些简要的介绍，为随后深入学习攻击技术打下根底。击技术打下根底。4第第2章章 网络攻击行径分析网络攻击行径分析l攻击事件攻击事件l攻击的目的

2、攻击的目的l攻击的步骤攻击的步骤l攻击诀窍攻击诀窍5攻击事件攻击事件l平安威胁平安威胁l外部攻击、外部攻击、l内部攻击内部攻击l行为滥用行为滥用 第第2 2章章 第第1 1节节6l潜在的攻击者潜在的攻击者l竞争对手竞争对手l黑客政治家黑客政治家l有组织的罪犯有组织的罪犯l恐怖主义者恐怖主义者l政府政府l雇佣杀手雇佣杀手l虚伪朋友虚伪朋友n不满的员工不满的员工n客户客户n供给商供给商n厂商厂商n商务伙伴商务伙伴n契约者、临时契约者、临时雇员和参谋雇员和参谋7l攻击者的水平攻击者的水平脚本小孩脚本小孩Script Kiddies普通技能攻击者普通技能攻击者高级技能攻击者高级技能攻击者 平安专家平安

3、专家杰出攻击者杰出攻击者8Who is 黑客黑客l黑客黑客(Hacker)一词，原一词，原指热心于计算机技术，指热心于计算机技术，水平高超的电脑专家，水平高超的电脑专家，尤其是程序设计人员。尤其是程序设计人员。l黑客是一群喜欢用智力黑客是一群喜欢用智力通过创造性方法来挑战通过创造性方法来挑战脑力极限的人，特别是脑力极限的人，特别是他们所感兴趣的领域他们所感兴趣的领域 。9历史上最著名的历史上最著名的五大黑客五大黑客10Kevin David MitnicklKevin David Mitnick 凯文凯文米特尼克米特尼克- 世界世界上公认的头号黑客。曾上公认的头号黑客。曾成功入侵北美防空指挥成

4、功入侵北美防空指挥系统，他是第一个被美系统，他是第一个被美国联邦调查局通缉的黑国联邦调查局通缉的黑客。客。l巡游五角大楼，登录克巡游五角大楼，登录克里姆林宫，进出全球所里姆林宫，进出全球所有计算机系统，摧垮全有计算机系统，摧垮全球金融秩序和重建新的球金融秩序和重建新的世界格局，谁也阻挡不世界格局，谁也阻挡不了我们的进攻，我们才了我们的进攻，我们才是世界的主宰。是世界的主宰。 Kevin Mitnick 11Robert Tappan MorrislMorris 是前国家平安局科学家是前国家平安局科学家Rort Morris的儿子。的儿子。Robert 曾编写过著曾编写过著名的名的Morris

5、蠕虫病毒。蠕虫病毒。lMorris 最后被判了最后被判了400小时的社区小时的社区效劳和一万美元的罚款。效劳和一万美元的罚款。 Morris 现现在是在是 MIT 计算机科学和人工智能实计算机科学和人工智能实验室验室 的一名专家。他专注于计算机的一名专家。他专注于计算机网络体系。网络体系。12Jonathan James (乔纳森詹姆斯)l16岁的时候岁的时候James就已经恶名远播就已经恶名远播，成为了第一个因为黑客行径被捕，成为了第一个因为黑客行径被捕入狱的未成年人。入狱的未成年人。lJames攻击过的高度机密组织包括攻击过的高度机密组织包括：国防威胁降低局，这是国防部的：国防威胁降低局，

6、这是国防部的一个机构。一个机构。l他还进入侵过他还进入侵过NASA的电脑，并且的电脑，并且窃取了价值超过窃取了价值超过170万美元的软件。万美元的软件。l发现这次入侵之后，发现这次入侵之后，NASA不得不不得不立刻关闭了整个电脑系统，造成的立刻关闭了整个电脑系统，造成的损失到达损失到达41000美元。美元。l2021年年5月月18日乔纳森死于癌症，日乔纳森死于癌症，25岁。岁。 13Adrian Lamo (阿德里安阿德里安拉莫拉莫)lLamo专门找大的组织下手，例如破解专门找大的组织下手，例如破解进入微软和进入微软和?纽约时报纽约时报?。Lamo喜欢使喜欢使用咖啡店、用咖啡店、Kinko店或

7、者图书馆的网络店或者图书馆的网络来进行他的黑客行为，因此得了一个诨来进行他的黑客行为，因此得了一个诨号：不回家的黑客。号：不回家的黑客。Lamo经常发现平经常发现平安漏洞，并加以利用。通常他会告知企安漏洞，并加以利用。通常他会告知企业相关的漏洞。业相关的漏洞。l在在Lamo攻击过的名单上包括，雅虎、攻击过的名单上包括，雅虎、花旗银行，美洲银行和花旗银行，美洲银行和Cingular等。等。l由于侵入由于侵入?纽约时报纽约时报?内部网络，内部网络，Lamo成为顶尖的数码罪犯之一。也正是由于成为顶尖的数码罪犯之一。也正是由于这一罪行，这一罪行，Lamo被处以被处以65000美元的罚美元的罚款，并被处

8、以六个月的家庭禁闭和两年款，并被处以六个月的家庭禁闭和两年的缓刑。的缓刑。 14Kevin Poulsen (凯文普尔森)l他的另一个经常被提及的名字是他的另一个经常被提及的名字是Dark Dante，Poulsen受到广泛关注是因为他受到广泛关注是因为他采用黑客手段进入洛杉矶电台的采用黑客手段进入洛杉矶电台的KIIS-FM 线，这一举动为他赢得了一辆保时捷。线，这一举动为他赢得了一辆保时捷。l此后此后FBI开始追查开始追查Poulson，因为他闯入，因为他闯入了了FBI的数据库和用于敏感窃听的联邦电的数据库和用于敏感窃听的联邦电脑系统。脑系统。Poulsen的专长就是闯入的专长就是闯入 线，

9、线，他经常占据一个基站的全部他经常占据一个基站的全部 线路。线路。Poulsen还会重新激活黄页上的还会重新激活黄页上的 ，并提，并提供给自己的伙伴进行出售。供给自己的伙伴进行出售。Poulson留下了很多未解之谜，最后在一家超市被捕，判处以五年监禁。在狱中，Poulson干起了记者的行当，并且被推举为Wired News的高级编辑。在他最知名的文章里面，详细的通过比对Myspace的档案，识别出了744名性罪犯。 15攻击事件攻击事件l攻击事件分类攻击事件分类 l破坏型攻击破坏型攻击l利用型攻击利用型攻击l信息收集型攻击信息收集型攻击l网络欺骗攻击网络欺骗攻击l垃圾信息攻击垃圾信息攻击第第2

10、 2章章 第第1 1节节16l破坏型攻击破坏型攻击l以破坏对方系统为目标以破坏对方系统为目标l破坏的方式：使对方系统拒绝提供效劳破坏的方式：使对方系统拒绝提供效劳(DoS攻攻击击)、删除数据、破坏硬件系统等。、删除数据、破坏硬件系统等。l拒绝效劳攻击的分类：带宽耗尽型、目标主机资拒绝效劳攻击的分类：带宽耗尽型、目标主机资源耗尽型、网络程序漏洞利用型、本地漏洞利用源耗尽型、网络程序漏洞利用型、本地漏洞利用型型l拒绝效劳攻击的技术：拒绝效劳攻击的技术：第第2 2章章 第第1 1节节17DOS 攻击的手段攻击的手段lPing of DeathlIGMP FloodlTeardroplUDP floo

11、dlSYN floodlLand 攻击攻击lSmurf攻击攻击lFraggle攻击攻击l畸形消息攻击畸形消息攻击lDdosl目的地不可到达攻击目的地不可到达攻击l电子邮件炸弹电子邮件炸弹l对平安工具的拒绝效劳攻击对平安工具的拒绝效劳攻击18利用型攻击利用型攻击l利用型攻击利用型攻击l试图直接对目标计算机进行控制试图直接对目标计算机进行控制l后果：信息窃取、文件篡改、跳板傀儡主机后果：信息窃取、文件篡改、跳板傀儡主机l攻击手段：口令攻击嗅探、破解、木马攻击攻击手段：口令攻击嗅探、破解、木马攻击后门、缓冲区溢出攻击后门、缓冲区溢出攻击l手段手段l口令猜测口令猜测l特洛依木马特洛依木马l缓冲区溢出缓

12、冲区溢出19信息收集型攻击信息收集型攻击l信息收集型攻击信息收集型攻击l为进一步攻击提供有利信息为进一步攻击提供有利信息l种类：扫描、体系结构探测又叫系统扫描、种类：扫描、体系结构探测又叫系统扫描、利用信息效劳利用信息效劳l扫描技术扫描技术l体系结构探测体系结构探测l利用信息效劳利用信息效劳20网络欺骗攻击网络欺骗攻击l网络欺骗攻击网络欺骗攻击l为进一步攻击做准备为进一步攻击做准备l种类：种类：DNS欺骗、电子邮件欺骗、欺骗、电子邮件欺骗、Web欺骗、欺骗、IP欺骗欺骗l垃圾信息攻击垃圾信息攻击21攻击目的攻击目的l攻击的动机攻击的动机 l恶作剧恶作剧 l恶意破坏恶意破坏 l商业目的商业目的

13、l政治军事政治军事 第第2 2章章 第第2 2节节22攻击目的攻击目的l攻击性质攻击性质l破坏破坏l入侵入侵l攻击目的攻击目的l破坏目标工作破坏目标工作l窃取目标信息窃取目标信息l控制目标机器控制目标机器l利用假消息欺骗对方利用假消息欺骗对方 第第2 2章章 第第2 2节节23 攻击的步骤攻击的步骤l一般的攻击都分为三个阶段：一般的攻击都分为三个阶段：l攻击的准备阶段攻击的准备阶段l攻击的实施阶段攻击的实施阶段l攻击的善后阶段攻击的善后阶段 第第2 2章章 第第3 3节节24攻击的一般过程攻击的一般过程预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目

14、的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的：消除痕迹，长期维持一定的权限25网络攻击一般过程网络攻击一般过程侦察侦察扫描扫描拒绝服务攻击拒绝服务攻击掩盖踪迹和隐藏掩盖踪迹和隐藏使用应用程序和操作使用应用程序和操作系统的攻击获得访问权系统的攻击获得访问权使用网络攻击使用网络攻击获得访问权获得访问权维护访问权维护访问权网络攻击步骤网络攻击步骤典型攻击步骤典型攻击步骤预攻击探测预攻击探测收集信息,如OS类型,提供的效劳端口发现漏洞发现漏洞,

15、采取攻击行为采取攻击行为获得攻击目标的控制权系统获得攻击目标的控制权系统继续渗透网络继续渗透网络,直至获取机密数据直至获取机密数据消灭踪迹消灭踪迹破解口令文件,或利用缓存溢出漏洞以此主机为跳板，寻找其它主机的漏洞获得系统帐号权限，并提升为root权限安装系统后门安装系统后门方便以后使用27端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的效劳效劳获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门去除去除入侵入侵脚印脚印攻击其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途较高明的入侵步骤较

16、高明的入侵步骤28 攻击的步骤攻击的步骤l攻击的准备阶段攻击的准备阶段l确定攻击目的确定攻击目的 l准备攻击工具准备攻击工具 l收集目标信息收集目标信息 第第2 2章章 第第3 3节节29 攻击的步骤攻击的步骤l攻击实施阶段的一般步骤攻击实施阶段的一般步骤l隐藏自已的位置隐藏自已的位置 l利用收集到的信息获取账号和密码，登录主机利用收集到的信息获取账号和密码，登录主机 l利用漏洞或者其它方法获得控制权并窃取网络资源利用漏洞或者其它方法获得控制权并窃取网络资源和特权和特权 第第2 2章章 第第3 3节节30 攻击的步骤攻击的步骤l攻击的善后阶段攻击的善后阶段 l日志日志lWindows Wind

17、ows l禁止日志审计，去除事件日志，去除禁止日志审计，去除事件日志，去除IISIIS效劳日志效劳日志lUnix Unix lmessagesmessages、lastloglastlog、loginlogloginlog、sulogsulog、utmputmp、utmpxutmpx、wtmpwtmp、wtmpxwtmpx、pacctpacctl为了下次攻击的方便，攻击者都会留下一个后门，充为了下次攻击的方便，攻击者都会留下一个后门，充当后门的工具种类非常多，最典型的是木马程序当后门的工具种类非常多，最典型的是木马程序 第第2 2章章 第第3 3节节31攻击诀窍攻击诀窍第第2 2章章 第第4

18、4节节32 攻击诀窍攻击诀窍l根本方法根本方法l黑客软件黑客软件 lBack Orifice2000、冰河、冰河l平安漏洞攻击平安漏洞攻击 lOutlook ，IIS，Serv-Ul对防火墙的攻击对防火墙的攻击 lFirewalking、Hping l渗透渗透 l路由器攻击路由器攻击 第第2 2章章 第第4 4节节33 攻击诀窍攻击诀窍l常用攻击工具常用攻击工具 l网络侦查工具网络侦查工具 lsuperscan superscan ，Nmap Nmap l拒绝效劳攻击工具拒绝效劳攻击工具 lDDoSDDoS攻击者攻击者 , sqldos , Trinoo , sqldos , Trinool木

19、马木马lBO2000 BO2000 ，冰河，冰河 ，NetSpy NetSpy ，第第2 2章章 第第4 4节节34攻击的开展趋势攻击的开展趋势l漏洞趋势漏洞趋势 l严重程度中等或较高的漏洞急剧增加严重程度中等或较高的漏洞急剧增加,新漏洞被利用越新漏洞被利用越来越容易来越容易(大约大约60%不需或很少需用代码不需或很少需用代码) l混合型威胁趋势混合型威胁趋势l将病毒、蠕虫、特洛伊木马和恶意代码的特性与效劳将病毒、蠕虫、特洛伊木马和恶意代码的特性与效劳器和器和 Internet 漏洞结合起来而发起、传播和扩散的攻漏洞结合起来而发起、传播和扩散的攻击击,例：红色代码和尼姆达等。例：红色代码和尼姆达等。 l主动恶意代码趋势主动恶意代码趋势l制造