资安实验室攻防演练剧本简介

1、資安實驗室攻防演練劇本簡介敦陽科技為何需要攻防演練劇本？提升資安意識不能只靠熟讀理論，更需輔以實際操作只有熟知駭客攻擊方式，才能作有效的防禦部署一般人少有機會瞭解新聞裡的資安事件如何發生，藉由提供的劇本可略窺奧秘攻擊的同時可測試資安設備（防火牆、入侵偵測系統）是否確實生效23劇本範圍 - 四大領域Security完整的流程與教育訓練45Attack 以清楚的圖示展示完整的攻擊手法及工具操作Detection 如何偵測攻擊行為，及判斷其所產生的跡象Defense 以設定機制或設備防禦，並顯示阻擋後的結果Recovery 遭攻擊後如何還原Training 對以上議題作完整的教育訓練Host Sec

2、urity7System Security 主題Malicious Software (Rootkit/Spyware/Trojan)Setuid PermissionBuffer Overflow ( Stack / Heap )Format StringRace ConditionKernel Exploit內容如何自我檢測主機是否有後門、木馬提供程式範例及劇本說明各弱點生成的原因、以及該如何利用近年來Windows、Linux Kernel 有哪些常見的弱點，可使系統停止運作、或取得較高權限如何強化系統安全89Case Study - Exploitable ServiceIISApac

3、heFtpdSendmailMySQLSamba etc內容提供針對各項弱點攻擊入侵的工具一般防火牆、入侵偵測系統如何辨別攻擊行為與防禦分析程式碼，說明為何會有該弱點、及開發程式時應如何避免如何強化服務安全10Web Security12Web Security 劇本主題SQL InjectionCross Site ScriptingLocal/Remote File InclusionDirectory TraversalExposed ConfigurationWeak AuthenticationCookie SpoofingHTTP Header Spoofing內容對每一個主題均提

4、供劇本，說明各弱點形成的原因、及如何利用介紹常見的 Web 攻擊手法、及輔助工具如何檢測 Web 弱點 - 程式碼掃描及外部測試如何運作開發網頁程式時應如何避免產生弱點1314Case Study - Famous Web Application論壇 - phpBBLog 分析 - AwstatsWebmail - OpenWebmail相簿 - Gallery部落格 - Wordpress內容網路上常見的許多 Open Source 套件，亦存在前述的各類型弱點分析程式碼，說明漏洞的原因、及如何利用以存取資料庫內容、建立後門、觀看系統中的任何資料說明官方新版本中的修補原理各套件受攻擊後會有哪

5、些特徵紀錄15劇本範例 - phpBB17phpBB目前被廣泛使用的論壇程式，在早期許多版本中存在弱點 2.0.5 SQL Injection2.0.10 Code Injection2.0.15 Command Injection2.0.17 Code Injection2.0.19 Cross Site Scripting著名網站行政院 國家資通安全會報 技術服務中心 資安論譠哈啦無名小站 線上討論區中視討論區中華電信-MOD討論區HiNet遊戲網討論區Mozilla Taiwan 討論區18遭入侵實例1920簡介 2.0.10 版本前存在 Code Injection 弱點原始功能 可搜

6、尋論壇裡的指定字串，並在顯示結果時以高亮度表示。由於程式未妥善處理使用者輸入的資料，惡意攻擊者可設計特殊的搜尋字串，讓網頁伺服器執行，甚至可建立後門、進入系統。以下將介紹如何攻擊、防禦、偵測。21Attack以執行指令為例，填入特定字串讓系統執行 system(“command”)，即可直接由瀏覽器中看到結果。例如欲執行 ls，則在瀏覽器網址列中輸入 :/target/phpBB2/viewtopic.php?t=1&highlight=%2527%252esystem(ls)%252e%2527完整的原理說明、程式碼分析、轉碼工具，將附於操作手冊中。正常情況2223攻擊結果24建立後門進入系

7、統25Defense更新至 2.0.11 版自行開發的程式，需妥善處理使用者輸入的資料，如此可有效防止 SQL Injection、Cross-Site-Scripting 等攻擊安裝 3 party 的模組，自動過濾危險字串例：mod_security強化系統設定、權限，可有效阻擋攻擊行為，即使未修補漏洞亦不會遭利用例: chroot apache、使用可偵測許多攻擊行為的 IDP26Detection檢查 access log 中是否有攻擊特徵字串 viewtopic.php?t=d+&highlight=%2527%25定時檢查程序、服務、機碼，是否有可疑檔案或後門安裝特殊模組，當使用者

8、端傳來危險字串時作完整紀錄( GET/POST/Cookie/Header )若有大量 URL encoding 過的紀錄，可用軟體協助還原 (見下圖)。27URL DecodeNetwork Security29主題Port ScanDenial Of ServiceDistributed Denial Of ServiceSniffingARP PoisoningMan-In-The-Middle AttackPhishing內容說明各種攻擊手法的原理受攻擊後的症狀、及如何排除如何收集封包蒐證路由器、或防火牆等應如何設定以避免這些攻擊驗證防火牆及入侵防禦系統的阻擋能力3031DOS & D

9、DOSLandSmurfTearDropPing of deathUDP FloodSYN FloodDOS 範例33SYN Flood 簡介目前最具威脅性的網路 DOS 攻擊行為對目標機的服務不斷發送 TCP SYN 封包，使其回送 SYN+ACK 並等待 ACK 封包，最終因大量開啟連線等待而無法服務其他使用者，甚至因 CPU、記體憶使用率大量提高而降低效能。常見型態為偽造來源 IP 進行單點攻擊、或結合受控制的僵屍機成多點進攻的DDOS。Attack隨 Lab 附上內部開發之測試用攻擊軟體限制僅能攻擊某些特定 IP、特定Port具備偽造來源IP、任意調整TCP Flag、任意調整封包大小

10、的功能可在 Lab 中完整模擬 Syn Flood 攻擊行為，亦可測試主機或網路設備承受能力34Defense滿載後隨機丟棄封包= 影響正常使用者限制特定埠的使用頻寬= 影響正常使用者縮短等待連接的 timeout 時間 = 無法抵擋發送頻率高的攻擊加大接受連線的 queue = 無法抵擋發送頻率高的攻擊35Defense (續)阻擋特定來源 IP= DDOS 通常為隨機來源，難以阻擋架設防火牆阻擋= 攻擊量大時，傳統防火牆會先滿載過濾具相同特徵的封包= 易誤判、且攻擊者可作到完全無特徵等待超時重傳時才連線= 影響使用者連接速度SYN Cookie= 目前較有效的阻擋方式36SYN Cooki

11、e針對傳來的 SYN 封包，由標頭資料運算出一個cookie值放入回傳 的SYN+ACK封包的初始序列號(Sequence Number)。當收到第三個 ACK 封包時，檢查確認號(Acknowledgment Number)，若帶有正確cookie值，則為一合法的連接。本機不需額外保留空間等待連線可建置在防火牆上，作為使用者與伺服器間的Connection Proxy37Detection觀察防火牆、入侵偵測系統上的紀錄在主機上觀察連線狀況例：netstat、TCPview以軟體截取封包作確認例：sniffer、tcpdump、ethereal若來源 IP 皆為偽造時，需配合 ISP 作追蹤透過 DNS 機制協助找尋確實攻擊者3839受 SYN Flood 狀態 (netstat)40封包特徵 (ethereal)Wireless Security主題Open SystemMAC SpoofingWeak WEP encryptionWeak WPA encryptionMan In The Middl