互联网安全攻防分析

互联网安全攻防分析第1页，共77页，2023年，2月20日，星期日了解互联网安全现状，增强防范意识；了解目前互联网常见的安全攻击技术手段，提高安全事件判别能力；了解互联网安全管理与维护的定义和内容；掌握安全管理与维护的基本能力，能提升日常性的管理和维护工作水平。学习目标第2页，共77页，2023年，2月20日，星期日议程安全攻防案例分析当前黑客与网络安全事件的特点网络安全事件攻防案例分析常见网络安全技术全网防御技术黑客侦查与追踪技术DDoS防御技术SQL注入/XSS跨站脚本日常安全维护应急处理方法第3页，共77页，2023年，2月20日，星期日当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击复合趋势攻击往往通过一级或者多级跳板进行大规模事件出现日益频繁传播速度越来越快对终端的攻击比率越来越高攻击事件的破坏程度在增加第4页，共77页，2023年，2月20日，星期日当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便具有安全知识和”专业”的人员的数量在增加复合趋势黑客、病毒和垃圾邮件技术整合在一个蠕虫当中黑客组合攻击开始出现攻击往往通过一级或者多级跳板进行黑客技术水平在增强有组织、有计划犯罪事件再增加，防止追查第5页，共77页，2023年，2月20日，星期日当前黑客与网络安全事件的特点大规模事件出现日益频繁大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码F变种等）大量垃圾邮件的出现传播速度越来越快利用系统漏洞，进行自动扫描由于浏览网页或查看E-Mail而受到感染或攻击DDoS攻击第6页，共77页，2023年，2月20日，星期日当前黑客与网络安全事件的特点对终端的攻击比率越来越高网上游戏、网上银行和电子商务的增加针对终端设计的黑客工具和木马补丁与升级不够及时缺乏安全防范意识攻击事件的破坏程度在增加第7页，共77页，2023年，2月20日，星期日典型网络安全案件分析木马与“网银大盗”匿名电子邮件转发溢出攻击与DCOMRPC漏洞NetBios与IPCARP欺骗DDoS攻击SQL注入第8页，共77页，2023年，2月20日，星期日木马与“网银大盗”冰河国产木马，有G_Client.exe,G_server.exe二个文件。客户端界面第9页，共77页，2023年，2月20日，星期日木马与“网银大盗”“网银大盗”

网上银行构架第10页，共77页，2023年，2月20日，星期日木马与“网银大盗”“网银大盗”网银大盗II(Troj_Dingxa.A)现象盗取网上银行的帐号、密码、验证码等。生成文件：%System%下，svch0stexe修改注册表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建：

"svch0st.exe"="%System%\svch0st.exe"

"taskmgr.exe"="%System%\svch0st.exe"第11页，共77页，2023年，2月20日，星期日木马与“网银大盗”网银大盗II(Troj_Dingxa.A)原理

木马程序，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑解决办法1、终止病毒进程"svch0st.exe"2、注册表修复3、删除病毒释放的文件"svch0st.exe"4、配置防火墙和边界路由器第12页，共77页，2023年，2月20日，星期日木马与“网银大盗”“网银大盗”案例第13页，共77页，2023年，2月20日，星期日多媒体木马Internet种了木马的电脑传送信息黑客摄像头语音设备GoogleSearch“inurl:"ViewerFrame?Mode="”…….1/ViewerFrame?Mode=Motion&Language=1第14页，共77页，2023年，2月20日，星期日匿名电子邮件转发漏洞名称：ExchangeServer匿名转发漏洞原理第15页，共77页，2023年，2月20日，星期日匿名电子邮件转发案例深圳市二十多个邮件服务器Internet某数据中心台湾日本第16页，共77页，2023年，2月20日，星期日匿名电子邮件转发造成危害网络堵塞给利用于反动宣传正常邮件服务器被RBL组织封闭解决方法打补丁关闭该服务或端口25,110第17页，共77页，2023年，2月20日，星期日溢出攻击与DCOMRPC漏洞溢出攻击原理第18页，共77页，2023年，2月20日，星期日溢出攻击与DCOMRPC漏洞DCOMRPC漏洞原理第19页，共77页，2023年，2月20日，星期日溢出攻击与DCOMRPC漏洞造成的危害---冲击波第20页，共77页，2023年，2月20日，星期日MYDOOM案例分析邮件蠕虫:MYDOOM现象通过电子邮件附件传播，设定向和

发起DDoS攻击原理第21页，共77页，2023年，2月20日，星期日ARP欺骗ARP地址解析协议ARP协议定义了两类基本的消息：

1）请求信息：包含自己的IP地址、硬件地址和请求解析的IP地址；

2）应答信息：包含发来的IP地址和对应的硬件地址。第22页，共77页，2023年，2月20日，星期日ARP欺骗2、原理第23页，共77页，2023年，2月20日，星期日ARP欺骗防范ARP欺骗的方法交换机控制路由器隔离防火墙与代理服务器第24页，共77页，2023年，2月20日，星期日DDoS攻击原理第25页，共77页，2023年，2月20日，星期日DDoS攻击方法死亡之ping（pingofdeath）泪滴（teardrop）UDP洪水（UDPflood）SYN洪水（SYNflood）Land攻击Smurf攻击Fraggle攻击第26页，共77页，2023年，2月20日，星期日常用DDoS攻击工具ThankgodSYNFlooder独裁者TrinooTFN2KStacheldraht第27页，共77页，2023年，2月20日，星期日SQL注入Web攻击模拟演示5IDS交换机防火墙Web服务器DB服务器3Select*fromproductwhereid=9714……AK47M188DBS003……typeDevicenameDeviceNo正常访问流程第28页，共77页，2023年，2月20日，星期日SQL注入Web攻击模拟演示SQL注入攻击流程580端口HTTP请求25/web/n2/productview.asp?id=97;drop%20table%20dbappsecurity_new--IDS交换机防火墙Web服务器DB服务器3Select*fromproductwhereid=97Droptabledbappsecurity_new1……AK47M188DBS003……typeDevicenameDeviceNo4命令已执行成功第29页，共77页，2023年，2月20日，星期日常见网络安全技术全网防御技术黑客侦查与追踪技术DDoS防御技术应用层攻击防御（SQL注入、XSS脚本）第30页，共77页，2023年，2月20日，星期日黑客侦查与追踪技术黑客侦查与追踪系统第31页，共77页，2023年，2月20日，星期日黑客侦查与追踪系统系统组成

1、现场勘查分析

2、服务器监控

3、远程追踪分析控制软件服务监控软件远程追踪探头第32页，共77页，2023年，2月20日，星期日黑客侦查与追踪系统原理第33页，共77页，2023年，2月20日，星期日黑客侦查与追踪系统远程追踪第34页，共77页，2023年，2月20日，星期日DDoS攻击防御技术当前DDoS防御技术SYN代理SYN网关DDoS防御网关第35页，共77页，2023年，2月20日，星期日DDoS攻击防御方法SYN中继（代理）工作原理HostFWserver第36页，共77页，2023年，2月20日，星期日SYN中继（代理）1)HFW2)HSYN/ACKFW3)HACKFWFWS4)FWSFWSSYNSYN/ACKACK5)6)SYN第37页，共77页，2023年，2月20日，星期日SYN中继（代理）存在问题FW必须建立一个很大的链表来储存所有SYN请求，当有大量的SYN攻击包到来，FW一样会崩溃。保护了服务器，堵死了防火墙第38页，共77页，2023年，2月20日，星期日DDoS攻击防御方法SYN网关工作原理HostFWserver第39页，共77页，2023年，2月20日，星期日SYN网关HFWSFWS1）2）SYNSYNSYN/ACKHFWS3）HFWS4）FWS5）SYN/ACKACKACKACKRST第40页，共77页，2023年，2月20日，星期日SYN网关快速将连接试呼从S待办队列移开，避免服务器待办队

列堵塞定时器超时后，向S发送连接RST（复位）取消。存在问题

A、占用服务器缓冲

B、防火墙同样要储存SYN请求链接，攻击强烈时，同样会堵死防火墙第41页，共77页，2023年，2月20日，星期日DDoS防御技术防火墙、DDoS防御网关对抗DDOS攻击的三层防御措施（一）连接指纹鉴别（二）自适应“催命”算法（三）恶性服务请求攻击的防御第42页，共77页，2023年，2月20日，星期日连接指纹鉴别工作原理HostFWserver0积累识别技术,属国际专利第43页，共77页，2023年，2月20日，星期日连接指纹鉴别工作原理HFW1、工作原理HFWHFWFWHFWHSYN/ACKFWHSYNSYN/ACK(sn)ACK(SN+1)SYNACK(SN指纹验证)第44页，共77页，2023年，2月20日，星期日连接指纹鉴别工作原理A、SN序列号形成算法

SN=f（源、目标IP，源、目标端口，其它信息，秘密字）B、只有当主机H回答包所携带的SN号经验证合法后，才须建立连接代理。2、优点

由于在未确认SYN请求的合法性前，无须建立连接队列，所以这种方法具备以下优点：

A、防火墙无须耗费内存资源

B、没有缓冲溢出的危险

C、在NAT模式下不占用防火墙的连接数第45页，共77页，2023年，2月20日，星期日自适应“催命”算法针对性针对通过高层编程（固定ＩＰ）进行的攻击，如socket编程中的“connect”函数。这种攻击也能通过防火墙的指纹合法性认证而建立起连接。但该攻击的效率较低，同时占用黑客大量主机资源。工作原理防火墙中建立每条连接都有一个连接超时值Age（又叫生命期），一般每半秒钟减一，防火墙会监控系统建立的连接数量，按一定算法算出（加快了）的递减步长STEP，降低某些可疑连接的生命期，加快这些连接超时。第46页，共77页，2023年，2月20日，星期日恶性服务请求攻击的防御针对性一般SQL数据库访问会占用服务器较多资源，黑客会分析web页面上耗费资源的分支请求，编写程序不停调用该分支请求，造成SQL服务器响应不过来。工作原理给管理员一个配置接口，管理员自己可以配置一些针对性统计策略，当在一定时间内某IP使用某SQL语句数量超过某一阀值时，防火墙会拒绝该IP的访问。第47页，共77页，2023年，2月20日，星期日其它措施对于一些固定IP的恶性攻击防火墙会对该IP进行自动锁定，超过一定时间，一般为180秒后再进行开锁。某集团内网黑客FWserverDDOS网关第48页，共77页，2023年，2月20日，星期日应用层攻击防御WEB应用安全概述针对WEB攻击风险的产生跨站脚本攻击SQL注入攻击第49页，共77页，2023年，2月20日，星期日针对WEB的攻击WebServer身份认证数据字典权限/角色敏感信息系统文件获取缓冲区溢出DOS攻击DBServer应用层攻击普通防火墙+IDS束手无策防火墙第50页，共77页，2023年，2月20日，星期日Web风险的产生攻击结果泄漏客户敏感数据，例如网银账号，手机通话记录等。篡改数据，发布虚假信息或者进行交易欺诈。使WEB网站成为钓鱼攻击的平台，将攻击扩大到所有访问WEB应用的用户。例如：网银成为了钓鱼的场所，那么其危害和影响是不言而喻的。拒绝服务，利用应用的弱点，造成拒绝服务，影响业务的正常运作风险的产生80%基于WEB的应用或多或少都存在安全问题，其中很大一部分是相当严重的问题防火墙、IDS或者使用SSL协议对此毫无用处不仅仅是开放在Internet的Web存在风险更多的ERP/CRM/MSS系统也都使用了Web应用程序……第51页，共77页，2023年，2月20日，星期日跨站脚本攻击简介(1)由于WEB应用程序没有对用户的输入进行严格的过滤和转换，就导致在返回页面中可能嵌入恶意代码。远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意HTML和脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现，因此这种攻击能在一定程度上隐藏身份第52页，共77页，2023年，2月20日，星期日跨站脚本攻击简介(2)什么是跨站脚本攻击XSS又叫CSS

(CrossSiteScript)，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常呼略其危害性。

第53页，共77页，2023年，2月20日，星期日跨站脚本攻击简介(3)跨站攻击的危害为了搜集用户信息，攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、ActiveX或Flash以欺骗用户窃取Cookie劫持帐户执行ActiveX执行Flash内容强迫您下载软件对硬盘和数据采取操作

直接影响：利用该漏洞可以欺骗信任此网站的用户去执行任意的恶意代码或者转向其他恶意URL。潜在影响：导致网站用户对网站的信任度降低。安全风险第54页，共77页，2023年，2月20日，星期日跨站脚本攻击简介(4)由于XSS漏洞很容易在大型网站中发现，在黑客圈内它非常流行。FBI.gov、CNN.com、T、Ebay、Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes都有这样那样的XSS漏洞。在商业产品中，平均每个月能够发现10-25个XSS漏洞常见存在漏洞的页面搜索引擎返回结果页面根据用户输入。登录页，存储用户帐户在数据库、Cookie等和以后写入用户名出客户端。Web表单处理信用卡信息。

第55页，共77页，2023年，2月20日，星期日SQL注入攻击简介技术概述就攻击技术本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQLInjection攻击就发生了。实际上，SQLInjection攻击是存在于常见的多连接的应用程序中的一种漏洞，攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询,篡改和命令执行。

就风险而言，SQLInjection攻击也是位居前列，和缓冲区溢出漏洞相比，其优势在于能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中，SQLInjection漏洞的风险要高过其他所有的漏洞。安全风险第56页，共77页，2023年，2月20日，星期日SQL注入攻击简介攻击特点攻击的广泛性：由于其利用的是SQL语法,使得攻击普遍存在；攻击代码的多样性：由于各种数据库软件及应用程序有其自身的特点，实际的攻击代码可能不尽相同；影响范围数据库：MS-SqlServer、Oracle、Mysql、DB2、Informix等所有基于SQL语言标准的数据库软件；应用程序：ASP、PHP，JSP、CGI、CFM等所有应用程序；第57页，共77页，2023年，2月20日，星期日SQL注入攻击(3)Web服务器身份认证信息权限/角色敏感应用数据系统级文件存取缓冲区溢出DOS攻击数据字典DB服务器SQL注入攻击示意第58页，共77页，2023年，2月20日，星期日WEB应用深度防御实时告警第59页，共77页，2023年，2月20日，星期日1、建立整体监控管理系统2、关注你负责的系统把所管理的网站系统（或者监控系统）设为浏览器的首页，每天至少看三次你所管理的系统，残酷地说，管理员没有节假日，因为节假日恰恰是攻击的高发时段。日常安全维护第60页，共77页，2023年，2月20日，星期日3、定期备份数据库和供下载的文档 定期备份数据库和上传的文件，如果不是很经常更新，访问量不大，大概每周备份一次，反之每天一次，不要怕麻烦，这个制度很有必要。日常安全维护第61页，共77页，2023年，2月20日，星期日4、经常用FTP登陆，查看上传目录下的文件格式上传目录下不应该有asp,cer,cdx,com,exe,bat之类的文件.一般情况下，允许上传的文件格式有：图片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCXOFFICE文档：DOC,XLS,PPT,MDB文本文件：TXT,RTF压缩文件：RAR,ZIP,ISO日常安全维护第62页，共77页，2023年，2月20日，星期日5、掌握最新的补丁以及漏洞信息经常关注官方网站的补丁发布，及时修改。这里推荐一个带漏洞搜索引擎的漏洞公布网址：/日常安全维护第63页，共77页，2023年，2月20日，星期日6、设置足够强壮的密码 管理的帐号密码应与管理员个人常用的不同，以防他人从别处得到网站的密码。如果有多个管理员，要保证所有人的密码都是“健壮的”，即不能像“123456”这样容易猜测，必须是数字、字母和符号的组合。这点很重要，不然所有的安全措施都是徒劳！日常安全维护第64页，共77页，2023年，2月20日，星期日日常安全维护一、部署专用网络安全设备:防火墙漏洞扫描入侵检测系统AntiDDoS、流量监控……

二、网站系统的专用保护方法

本地和远程：本地监控、远程建立统计监控平台；定时和触发：根据等级设定触发时间；比较方法：文件大小、数字签名；恢复方式：本地恢复、远程恢复；备份库的安全：隐藏备份库；三、网站保护的缺陷保护软件通常都是针对静态页面而设计，而现在动态页面占据的范围越来越大，尽管本地监测方式可以检测脚本文件，但对脚本文件使用的数据库却无能为力。第65页，共77页，2023年，2月20日，星期日应急处理方法应急事件处理四步曲1、先找专家

2、立刻恢复

3、分析源头

4、修补漏洞第66页，共77页，2023年，2月20日，星期日1、先找专家

a、联