完全你的安全

完全你的安全2023/6/91第一页，共六十五页，编辑于2023年，星期二黑客攻防技术网络安全概述黑客主要攻击技术典型攻防工具介绍实际操作2023/6/92第二页，共六十五页，编辑于2023年，星期二网络安全概述※黑客

闪客（Flasher)、快客（Creaker)

2023/6/93第三页，共六十五页，编辑于2023年，星期二安全新动态网络规模愈来愈大网络应用越来越丰富以蠕虫（Worm）为主要代表的病毒传播成为热点以拒绝服务（DDOS）为主要目的网络攻击时时考验客户的网络以垃圾信息为代表的非法内容浪费着网络的资源2023/6/94第四页，共六十五页，编辑于2023年，星期二安全问题在安全建设中往往需要引入众多的安全技术和产品，因此面临着：1.它们之间却缺少信息层互通能力;2.缺乏全网的集中监控能力。从而降低了安全系统整体的运作效率，增加了安全事件的发现时间和响应时间，甚至最终导致安全事故的发生！FirewallIDS/IPS安全审计数据加密反病毒身份认证漏洞扫描OPSECIDMEFSYSLOGSNMPDatabaseWMINTLOG点安全应用安全2023/6/95第五页，共六十五页，编辑于2023年，星期二在过去的安全事故里，蠕虫病毒是我们面对最为头疼的问题之一；它造成了我们网络带宽的消耗、服务器资源的崩溃，使得我们的领导不满，甚至对业务生产造成中断，因此我们一直都想消除或者控制它，但实际安全运维中却发现很多技术问题：接下来我们将以如何处理蠕虫为例来进行分析：IT部门的烦恼---技术角度心预警防护检测响应恢复反制.

如何事先了解安全问题和安全趋势；.

如何调整安全防护策略应对蠕虫病毒？.

病毒感染源？病毒主机？影响信息系统？.

要清除和防止蠕虫病毒我们应该怎么做？.

如何恢复被蠕虫攻击的信息系统？.

如何取证、定位来规范相关人员和流程？安全蠕虫攻击我们需要安全闭环！2023/6/96第六页，共六十五页，编辑于2023年，星期二安全进入体系时代要求建造安全的整体网络从点转变到面的方式考虑安全问题各种整体的解决方案和技术体系被提出天融信：可信网络架构（TNA）CISCO：自防御网络（SDN）华为：安全渗透网络（SPN）锐捷：全局安全网络（GSN）2023/6/97第七页，共六十五页，编辑于2023年，星期二黑客攻击技术2023/6/98第八页，共六十五页，编辑于2023年，星期二黑客入侵的一般流程2023/6/99第九页，共六十五页，编辑于2023年，星期二扫描技术什么是扫描？

实际上是自动检测远程或本地主机（目标）安全性弱点的程序。常用的扫描技术

TCP方式（采用三次握手的方式）

SYN方式（利用半连接的方式）2023/6/910第十页，共六十五页，编辑于2023年，星期二扫描技术常用的扫描工具流光5.0、Xscan3.0、Superscan4.0、NSS2023/6/911第十一页，共六十五页，编辑于2023年，星期二扫描技术2023/6/912第十二页，共六十五页，编辑于2023年，星期二扫描技术2023/6/913第十三页，共六十五页，编辑于2023年，星期二扫描技术防止方法

安装个人或者网络防火墙、屏蔽相应的应用及端口2023/6/914第十四页，共六十五页，编辑于2023年，星期二渗透技术什么是渗透？

利用已知目标的相关漏洞信息，对目标进行试探性入侵，拿到一点权限并为下一步作准备常用渗透手段

技术手段（代码注入、系统溢出、权限提升、跳板等）

非技术手段（社会工程学）2023/6/915第十五页，共六十五页，编辑于2023年，星期二渗透技术尝试利用IIS中知名的Unicode漏洞微软IIS4.0和5.0都存在利用扩展UNICODE字符取代“/”和“＼”而能利用“../”目录遍历的漏洞。

未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知的文件。该账号在默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除，修改或执行，就如同一个用户成功登陆所能完成的一样。

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

Directoryofc:\

2001-06-1103:47p289default.asp

2001-06-1103:47p289default.htm

2001-03-0904:35pDIR>DocumentsandSettings

2001-06-1103:47p289index.asp

2001-06-1103:47p289index.htm

2001-05-0805:19aDIR>Inetpub

2001-05-1910:37pDIR>MSSQL7

2001-03-0904:22pDIR>ProgramFiles

2001-05-2306:21pDIR>WINNT

4File(s)1,156bytes

5Dir(s)2,461,421,561bytesfree这是已经看到目标主机的C盘根目录和文件了。http://219.237.xx.xx/yddown/view.asp?id=3

http://219.237.xx.xx/yddown%5cview.asp?id=3防止方法：打好相应的补丁程序，并升级到最新版本。利用IDS（入侵检测）技术，进行监控记录2023/6/916第十六页，共六十五页，编辑于2023年，星期二溢出攻击什么是溢出？

利用目标操作系统或者应用软件自身的安全漏洞进行特别代码请求，使其被迫挂起或者退出，从而得到一定的操作权限的行为。溢出分类

操作系统溢出/应用程序溢出

本地溢出/远程溢出2023/6/917第十七页，共六十五页，编辑于2023年，星期二溢出攻击主要溢出举例

尝试利用.printer远程缓冲区溢出漏洞进行攻击由于IIS5的打印扩展接口建立了.printer扩展名到msw3prt.dll的映射关系，缺省情况下该映射存在。当远程用户提交对.printer的URL请求时，IIS5调用msw3prt.dll解释该请求。由于msw3prt.dll缺乏足够的缓冲区边界检查，远程用户可以提交一个精心构造的针对.printer的URL请求，其"Host:"域包含大约420字节的数据，此时在msw3prt.dll中发生典型的缓冲区溢出，潜在允许执行任意代码。缓冲区溢出：向一个有限空间的缓冲区中拷贝了过长的字符串，带来了两种后果，一是过长的字符串覆盖了相临的存储单元而造成程序瘫痪，甚至造成当机、系统或进程重启等；二是利用漏洞可以让攻击者运行恶意代码，执行任意指令，甚至获得超级权限等。

RPC溢出、webdav、Ser_U6.0以上版本、RealServer8.0、ida溢出等2023/6/918第十八页，共六十五页，编辑于2023年，星期二溢出攻击防止方法

升级到最新版本，并打好相关的补丁程序。运用IDS（入侵检测）技术或者日志审计，进行监控记录2023/6/919第十九页，共六十五页，编辑于2023年，星期二代码攻击什么是代码攻击？

利用网站或者应用系统后台程序代码漏洞或者数据库调用程序不规范进行入侵的行为代码攻击类型

ASP注入

PHP注入

Java/ASP.net2023/6/920第二十页，共六十五页，编辑于2023年，星期二代码攻击代码攻击主要工具

NBSI2.0（ASP）

HDSI3.0（ASP、PHP）啊D_Tools应对方法

严谨后台编程手法，规范数据库调用方法利用IDS（入侵检测）技术，进行监控和记录2023/6/921第二十一页，共六十五页，编辑于2023年，星期二嗅探什么是嗅探？

在以太网或其他共享传输介质的网络上，用来截获网络上传输的信息嗅探方式（协议还原和密码截取）

内网嗅探（利用内部网HUB环境或者交换机镜像口）外网接线嗅探（利用中转路由或者交换设备镜像）2023/6/922第二十二页，共六十五页，编辑于2023年，星期二嗅探嗅探典型工具

Sniffer（协议和管理）

Iris（协议）

Cain2.5（密码）防止方法

内网采用交换机接入设为管理策略对于外网可采用应用层加密协议或者第三方加密设备2023/6/923第二十三页，共六十五页，编辑于2023年，星期二口令破解口令破解

是指破解口令或屏蔽口令保护口令破解方式

字典暴破（字典组合）防真对比（利用用户日常常用字符）屏蔽技术（利用程序或者流程漏洞）2023/6/924第二十四页，共六十五页，编辑于2023年，星期二口令破解常用破解工具

MD5_CreakerCain5.0防止方法

设置高强度密码规范操作流程和个人操作习惯（定期改变口令）打相应的漏洞补丁2023/6/925第二十五页，共六十五页，编辑于2023年，星期二口令破解破解成功！对方administrator的密码为12342023/6/926第二十六页，共六十五页，编辑于2023年，星期二木马技术什么是木马

是指任何提供了隐藏的、用户不希望的功能程序木马类型1、按连接方式主动/被动2、管理方式

B/S、C/S2023/6/927第二十七页，共六十五页，编辑于2023年，星期二木马技术常用木马工具

冰河灰鸽子2005ServenDoor防止方法

安装防火墙和防病毒软件，时常监视相关进程

2023/6/928第二十八页，共六十五页，编辑于2023年，星期二病毒什么是病毒？

计算机病毒是指能够通过某种途径潜伏在计算机的存储介质或程序中，当满足某种条件后即被激活，且对计算机资源具有破坏作用的一种程序或指令的集合。2023/6/929第二十九页，共六十五页，编辑于2023年，星期二病毒的演化趋势

攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战IDC,2004邮件/互联网CodeRedNimdafunloveKlez20012002邮件Melissa19992000LoveLetter1969物理介质Brain19861998CIHSQLSlammer20032004冲击波震荡波2023/6/930第三十页，共六十五页，编辑于2023年，星期二Internet成为主要传播途径据ICSA病毒流行性调查结果，电子邮件和Internet互联网已成为病毒传播的绝对主要途径。99%的病毒都是通过SMTP、HTTP和FTP协议进入用户的计算机。用户防病毒的意识薄弱缺乏安全技术培训防病毒实施强制力不够网络中漏洞普遍存在企业所面监的问题2023/6/931第三十一页，共六十五页，编辑于2023年，星期二WORM_SASSER.A染毒电脑未修补漏洞的系统已修补漏洞的系统随机攻击随机攻击随机攻击被感染不被感染被感染被感染不被感染不被感染病毒典型案例2023/6/932第三十二页，共六十五页，编辑于2023年，星期二病毒防止方法

安装杀病毒软件并升级病毒库安装个人防火墙打好相应的补丁

新的防护技术

网关型防病毒产品（病毒过滤网关）2023/6/933第三十三页，共六十五页，编辑于2023年，星期二防病毒网关介绍2023/6/934第三十四页，共六十五页，编辑于2023年，星期二防病毒网关介绍全面的协议保护

支持SMTP、POP3、IMAP4、HTTP和FTP协议实际应用中，HTTP协议开启后系统工作正常支持HTTPS协议，主要用在电子商务方面2023/6/935第三十五页，共六十五页，编辑于2023年，星期二防病毒网关介绍即插即用的透明接入方式采用流扫描技术

内部局域网邮件过滤Http过滤Ftp过滤FirewallInternet病毒从Internet入侵STOP!2023/6/936第三十六页，共六十五页，编辑于2023年，星期二随机存取的扫描算法（传统的解决方案）

2023/6/937第三十七页，共六十五页，编辑于2023年，星期二流扫描技术2023/6/938第三十八页，共六十五页，编辑于2023年，星期二DOS/DDOS攻击什么是DOS/DDOS攻击？DenialofService(DoS)

拒绝服务攻击,攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。DistributedDenialofService(DDoS)分布式拒绝服务攻击,攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。攻击者的身份很难确认。2023/6/939第三十九页，共六十五页，编辑于2023年，星期二正常访问通过普通的网络连线，使用者传送信息要求服务器予以确定。服务器于是回复用户。用户被确定后，就可登入服务器。TCP三次握手方式

2023/6/940第四十页，共六十五页，编辑于2023年，星期二“拒绝服务”（DoS）的攻击方式“拒绝服务”的攻击方式为：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器处于瘫痪状态2023/6/941第四十一页，共六十五页，编辑于2023年，星期二DDoS攻击过程扫描程序非安全主机黑客

黑客利用工具扫描Internet，发现存在漏洞的主机1Internet2023/6/942第四十二页，共六十五页，编辑于2023年，星期二黑客Zombies

黑客在非安全主机上安装类似“后门”的代理程序2InternetDDoS攻击过程2023/6/943第四十三页，共六十五页，编辑于2023年，星期二黑客

黑客选择主控主机，用来向“僵尸”发送命令3Zombies主控主机InternetDDoS攻击过程2023/6/944第四十四页，共六十五页，编辑于2023年，星期二Hacker

通过客户端程序，黑客发送命令给主控端，并通过主控主机启动“僵尸”程序对目标系统发动攻击4ZombiesTargeted目标SystemMasterServerInternetDDoS攻击过程2023/6/945第四十五页，共六十五页，编辑于2023年，星期二目标系统SystemHacker

主控端向“僵尸”发送攻击信号，对目标发动攻击5MasterServerInternetZombiesDDoS攻击过程2023/6/946第四十六页，共六十五页，编辑于2023年，星期二目标黑客

目标主机被“淹没”，无法提供正常服务，甚至系统崩溃6主控主机合法用户服务请求被拒绝Internet僵尸DDoS攻击过程2023/6/947第四十七页，共六十五页，编辑于2023年，星期二

DOS/DDOS攻击传统防止方法设置路由器ACL

牺牲正常流量、防护种类有限传统思想：防火墙

性能低下：一般<10M 优秀的<30M提高服务器自身能力

硬件和软件可调空间有限负载均衡

高层攻击防御能力有限，面向用户能力弱2023/6/948第四十八页，共六十五页，编辑于2023年，星期二DOS/DDOS攻击采用第三方专用设备多层防护体系特征库匹配统计学归纳技术动态识别生物学分析区分逆向验证技术Syn-Proxy技术2023/6/949第四十九页，共六十五页，编辑于2023年，星期二动态判定多重验证统计学分析生物学计算自学习特征库二次整体分析双向反馈环多层防护体系2023/6/950第五十页，共六十五页，编辑于2023年，星期二部署实现网桥模式串连接入系统一分钟完成部署2023/6/951第五十一页，共六十五页，编辑于2023年，星期二垃圾邮件2023/6/952第五十二页，共六十五页，编辑于2023年，星期二邮件欺骗导致银行信息等的泄露公安部、教育部、信息产业部及国务院新闻办联合发出通知，于2004年上半年开展互联网垃圾电子邮件专项治理工作网络带宽浪费邮件系统瘫痪用户时间花费蠕虫病毒通过邮件传播反动、色情、暴力等邮件影响用户身心健康垃圾邮件的影响2023/6/953第五十三页，共六十五页，编辑于2023年，星期二垃圾邮件的发展速度和趋势数据来源：Radicati，2004.6全球垃圾邮件的现状2023/6/954第五十四页，共六十五页，编辑于2023年，星期二据Commtouch调查，目前71%的垃圾邮件的URL是指向中国的服务器，美国以22%排名第二。全球垃圾邮件分布情况2023/6/955第五十五页，共六十五页，编辑于2023年，星期二中国垃圾邮件的现状2023/6/956第五十六页，共六十五页，编辑于2023年，星期二中国垃圾邮件的现状据中国互联网中心统计，现在，我国用户平均每周受到的垃圾邮件数超过邮件总数的60%，部分企业每年为此投入上百万元的设备和人力，垃圾邮件泛滥造成严重后果它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容2023/6/957第五十七页，共六十五页，编辑于2023年，星期二反垃圾邮件技术的技术演进IP过滤、关键字过滤邮件(附件)大小控制、SMTP连接时间频率控制智能内容过滤(Bayes)、RBL第一代第二代行为识别技术第三代2023/6/958第五十八页，共六十五页，编辑于2023年，星期二IP封禁和RBL缺点：“杀伤性”太强，只能作为辅助手段SMTP连接时间和频率控制缺点:无法防范Ddos方式的Emai