绿盟内部安全培训课件

安全基础培训密级：内部使用安全基础培训密级：内部使用1安全事件与黑客产业链2黑客攻击路径与常用工具目录4安全防护措施3常见攻击与安全威胁

5问题讨论1安全事件与黑客产业链2黑客攻击路径与常用工具目录41、安全事件与黑客产业链1、安全事件与黑客产业链安全事件2009年5月19日21时起，中国互联网遭遇了“多米诺骨牌”连锁反应，出现了大范围的网络故障。而安装有暴风影音的千万台电脑则成为引发整个网络故障连锁反应的重要推力。2009年7月27日瑞星网站服务器遭黑客团伙的报复性攻击，并被植入木马。360金山称愿助其抗黑客！

2010年1月12日上午7点钟开始，全球最大中文搜索引擎“百度”遭到黑客攻击，长时间无法正常访问。主要表现为跳转到一雅虎出错页面、伊朗网军图片，出现“天外符号”等；腾讯QQ和奇虎360是目前国内最大的两个客户端软件。2010年11月3日晚，腾讯发布公告，在装有360软件的电脑上停止运行QQ软件。360随即推出了“WebQQ”的客户端，但腾讯随即关闭WebQQ服务，使客户端失效安全事件2009年5月19日21时起，中国互联网遭遇了“多黑客产业链黑客产业链黑客产业链描述据业内人士介绍，地下黑客产业链极其庞大且分工明确，有专门提供木马程序的，有专门提供肉鸡的。黑客产业链大致分为老板、病毒编写者、流量商、盗号者和贩卖商等多个环节，各黑客产业链个环节分工明确，其中“老板”处于整个链条的顶端，他对产业链的各个环节进行分工和协调。而那些层出不穷的木马病毒程序，往往都是按照这些老板的要求，由专门编写病毒的程序员开发出来的。一些比较大的私服每个月都会花2-3百万元来黑对手，方式一般为，花钱雇佣数万台甚至几十万台“肉鸡”发送巨量数据集中攻击对手，让对手的服务器瘫痪，按照一些地下市面价格，1G的流量打1个小时约4-5万元。一个完整的产业链条，一个盗号木马，通过这样一条制造、贩卖、传播、使用、盗号、销赃的流水线，把一连串虚拟世界的数字代码变成了真金白银，产业链上各个环节分工明确，黑客可以根据自己的专长，专门负责某个环节，而更让人担忧的是，各种各样的计算机木马病毒、黑客技术，在网络中泛滥传播。在网络上，充斥着形形色色的黑客论坛、内容五花八门，兜售盗号木马，买卖“肉鸡”，甚至还有专门传授黑客技术的，只要肯花钱，只需一台电脑一根网线，任何人都可以摇身一变，成为一名黑客。黑客产业链描述据业内人士介绍，地下黑客产业链极其2、黑客攻击路径与常用工具2、黑客攻击路径与常用工具“黑客”精神黑客的起源hacker一词来自动词hack，有“砍伐、雇工、干咳”等很多含义引申为“干了一件非常漂亮的工作”Hacker，cracker和blackhat“黑客”精神黑客的起源你带什么“帽子”白帽子打破常规勇于创新灰帽子破解已有系统发现问题/漏洞黑帽子滥用资源蓄意破坏MS-BillGatesGNU-R.StallmanLinux-Linus漏洞发现-Tombkeeper软件破解-0Day工具提供-pjf病毒散布者-熊猫烧香商业机密窃取者–匿名拒绝服务攻击者-匿名你带什么“帽子”白帽子灰帽子黑帽子MS-Bil攻击“谱线”一般的入侵流程信息搜集漏洞利用

进入系统实现目的窃取、篡改、破坏……进一步渗透其他主机安装后门攻击“谱线”一般的入侵流程系统渗透OS漏洞配置错误…应用渗透服务端客户端……物理渗透社会工程学机房管理不当…….互联网设备渗透IOS后门IOS堆栈溢出……黑客攻击目标系统渗透OS漏洞配置错误…应用渗透服务端客户端……物理渗透社示例：-某银行或证券公司-该金融机构的信息系统包括：交易服务器、交易数据库、网络设备、WEB服务器、认证服务器、DNS服务器......攻击者目标：-窃取控制权：机房>系统关键主机/设备>用户数据>同一网段服务器>上游网络设备>相关业务人员桌面系统>客户端系统......-影响服务质量：交易服务质量>支持服务质量黑客攻击目标示例：黑客攻击目标信息收集从一些社会信息入手：找到网络地址范围找到关键的机器地址找到开放端口和入口点找到系统的制造商和版本A社会工程学:1。通过一些公开的信息，如办公室电话号码、管理员生日、姓、家庭电话。2。如果以上尝试失败，可能会通过各种途径获得管理员以及内部人员的信任，例如网络聊天，然后发送加壳木马软件或者键盘记录工具。3．如果管理员已经系统打了补丁，MS04-028漏洞无法利用。通过协助其解决技术问题，帮助其测试软件，交朋友等名义，能够直接有机会进入网络机房。用Lc4工具直接破SAM库(DEMO)B技术手段信息收集:Whois/DNS/Ping&Traceroute信息收集方法信息收集信息收集方法Whois查询敏感信息泄漏的第一步涵盖信息：企业申报上网时的数据企业的职能信息DNS服务器IP分配和使用情况联系人Whois查询敏感信息泄漏的第一步搜索手段不断推陈出新……CodeSearch方便程序员进行源代码搜索Computerworld和digg分别发表了基于CodeSearch文章基于Google的蠕虫早已出现！Net-Worm.Perl.Santy.a。利用用Google查询来发现运行phpBB论坛系统的Web站点系统漏洞Codesearch"lang:phpfile:wp-configuser-sample"搜索手段不断推陈出新……CodeSearchCodese扫描的技术分类扫描流程存活性扫描端口扫描漏洞扫描OS识别扫描的技术分类扫描流程存活性扫描端口扫描漏洞扫描OS识别安全评估工具扫描器漏洞扫描：nessusxscanWeb应用扫描

WebinspectAppscan商用漏洞扫描器ISS

极光安全评估工具扫描器综合的漏洞利用工具——CanvasCanvas(/)综合的漏洞利用工具——CanvasCanvas(http:/SQL注入自动化工具命令行Wis、WedGUI工具NBSI、啊D注入工具、HDSI、旁注工具SQL注入自动化工具命令行口令破解工具可直接读取，嗅探密码采用穷举法，破译只是时间问题6位纯数字的密码通常在20分钟内破解口令破解工具可直接读取，嗅探密码3、常见攻击与安全威胁3、常见攻击与安全威胁暴力猜解利用已知漏洞攻击特洛伊木马拒绝服务攻击蠕虫病毒ARP欺骗攻击嗅探sniffer网络钓鱼WEB攻击社会工程安全威胁与常见攻击手段暴力猜解安全威胁与常见攻击手段

暴力猜解就是从口令侯选器中一一选取单词，或用枚举法选取，然后用各种同样的加密算法进行加密再比较。一致则猜测成功，否则再尝试。

•口令候选器

•枚举法

•口令加密

•口令比较

•获取口令的方法

•防御方法暴力猜解暴力猜解就是从口令侯选器中一一选取单词，或用枚10(数字)+33(标点符号)+26*2(大小写字母)=95如果passwd取任意5个字母+1位数字或符号(按顺序)可能性是:52*52*52*52*52*43=16,348,773,000(163亿）口令猜解计算方法10(数字)+33(标点符号)+26*2(大小写字母)=95但如果5个字母是一个常用词,设常用词5000条,从5000个常用词中取一个词与任意一个字符组合成口令,即5000*(2*2*2*2*2)(大小写)*43=6,880,000(688万种可能性)在Pentium200上每秒可算3,4万次,象这样简单的口令要不了3分钟如果有人用P200算上一周,将可进行200亿次攻击,所以6位口令是很不可靠的,至少要用7位.口令猜解计算方法但如果5个字母是一个常用词,设常用词5000条,从5000个CGIasp漏洞“.ida/.idq”IIS4.0/IIS5.0远程溢出unicode编码二次漏洞IPC$Sqlserver空口令震荡波微软安全公告利用已知漏洞攻击CGIasp漏洞利用已知漏洞攻击在神话传说中，特洛伊木马表面上是“礼物”，但实际上藏匿了袭击特洛伊城的希腊士兵。现在，特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。具有隐蔽性的可执行程序，通常在点击后生效高隐蔽性可读取，下载，上传文件读取各种密码（包括网银密码，证券交易密码）可对局域网其它信息进行嗅探特洛伊木马在神话传说中，特洛伊木马表面上是“礼物”，但实际上藏匿了袭击

“拒绝服务攻击（DenialofService）”的方法，简称DoS。它的恶毒之处是通过向服务器发送大量的虚假请求，服务器由于不断应付这些无用信息而最终筋疲力尽，而合法的用户却由此无法享受到相应服务，实际上就是遭到服务器的拒绝服务。拒绝服务式攻击“拒绝服务攻击（DenialofService）”的攻击者InternetCode目标2欺骗性的IP包源地址

2Port139目的地址

2Port139TCPOpenG.MarkHardyLAND攻击攻击者InternetCode目标欺骗性的IP包G.M攻击者InternetCode目标2IP包欺骗源地址

2Port139目的地址

2Port139包被送回它自己崩溃G.MarkHardyLAND攻击攻击者InternetCode目标IP包欺骗崩溃G.Ma攻击者InternetCode目标欺骗性的IP包源地址不存在目标地址是TCPOpenG.MarkHardyTcpsyn攻击攻击者InternetCode目标欺骗性的IP包G.M攻击者InternetCode目标同步应答响应源地址目标地址不存在TCPACK崩溃G.MarkHardyTcpsyn攻击攻击者InternetCode目标同步应答响应崩溃G.MaBotNet工具Botnet:由Bot工具组成的可通信、可被攻击者远程控制的网络Bot家族大部分bots从一个共同的代码基础演变而来6个大家族组成了大部分变种Bot种类IRCBotsP2PBotsHTTPBotsDNSBotsBotNet工具Botnet:由Bot工具组成的可通信、可被蠕虫大史记RobertT.Moris——1988.11CodeRed——2001.07.19CodeRedII——2001.08.06数月之内——26亿美元Nimda——2001.09.18Wantjob——2002.01Slammer——2003.01.24数天之内——12亿美元Msblaster/“冲击波”——2003.07“冲击波杀手”MyDoom——2004.01Sasser/“震荡波”——2004.05RobertTMoris蠕虫大史记RobertT.Moris——1988.11R蠕虫爆发传播途径多样，如NimdaUnicode漏洞通过网络邻近共享文件、.电子邮件,IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历（directorytraversal）的漏洞、CodeRedII和sadmind/IIS蠕虫留下的后门蠕虫爆发SQLSlammerWorm001005e2866b200047596e16e08004500..^(f...u..n..E.100194f580000001116264c6a54bf4e728........bd..K..(2066b2070c059a0180cdca040101010101f...............3001010101010101010101010101010101................4001010101010101010101010101010101................5001010101010101010101010101010101................6001010101010101010101010101010101................7001010101010101010101010101010101................800101010101010101010101dcc9b042eb..............B.900e0101010101010170ae420170ae4290........p.B.p.B.a09090909090909068dcc9b042b8010101.......h...B....b00131c9b11850e2fd35010101055089e5.1...P..5....P..c051682e646c6c68656c3332686b65726eQh.dllhel32hkernd051686f756e746869636b436847657454QhounthickChGetTe066b96c6c516833322e64687773325f66f.llQh32.dhws2_ff0b965745168736f636b66b9746f516873.etQhsockf.toQhs100656e64be1810ae428d45d450ff16508dend....B.E.P..P.11045e0508d45f050ff1650be1010ae428bE.P.E.P..P....B.1201e8b033d558bec517405be1c10ae42ff...=U..Qt.....B.13016ffd031c951515081f10301049b81f1...1.QQP........14001010101518d45cc508b45c050ff166a....Q.E.P.E.P..j150116a026a02ffd0508d45c4508b45c050.j.j...P.E.P.E.P160ff1689c609db81f33c61d9ff8b45b48d........<a...E..1700c408d1488c1e20401c2c1e20829c28d.@...........)..180049001d88945b46a108d45b05031c951.....E.j..E.P1.Q1906681f17801518d4503508b45ac50ffd6f..x.Q.E.P.E.P..1a0ebca..传播速度快SQLSlammer10分钟可以传遍全世界损失大376bytesVS12亿$SQLSlammerWorm001005e28ARP欺骗什么是Arp欺骗Arp协议Arp欺骗的种类长江长江，我是黄河长江长江，我才是黄河长江长江，我们都是黄河黄河黄河，我是长江ARP欺骗什么是Arp欺骗ARP欺骗

ARP欺骗往往应用于一个内部网络，可以用它来扩大一个已经存在的网络安全漏洞。如果可以入侵一个子网内的机器，其它的机器安全也将受到ARP欺骗的威胁。主要是利用arp协议漏洞更改主机的arp表。解决方法：局域网内包括路由器使用静态arp<=>ip表ARP欺骗攻击ARP欺骗ARP欺骗攻击一个网络接口应该只响应这样的两种数据帧：1．与自己硬件地址相匹配的数据祯2.发向所有机器的广播数据帧。网卡来说一般有四种接收模式：1.广播方式：该模式下的网卡能够接收网络中的广播信息。2.组播方式：设置在该模式下的网卡能够接收组播数据。3.直接方式：在这种模式下，只有目的网卡才能接收该数据。4.混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。嗅探SNIFFER攻击一个网络接口应该只响应这样的两种数据帧：嗅探SNIFFER攻

网络钓鱼是通过欺骗性的电子邮件、网页欺诈用户，诱使用户泄漏重要信息的诈骗方式。一般而言，“网络钓鱼”属于黑客攻击方式中的社会工程学方法，更多的依靠欺骗手段来达到目的。与传统的黑客攻击手段相比，它更难防范，而攻击的目的也更加明确的针对用户的财务数据或者虚拟财产，因此危害也更大。网络钓鱼网络钓鱼是通过欺骗性的电子邮件、网页欺诈WEB攻击注入类SQL注入OS命令注入LDAP注入远程文件包含绕过防御类目录遍历不安全对象引用跨站类跨站脚本跨站请求伪造资源消耗类分布式拒绝服务篡改仿冒类认证和会话管理失效隐藏变量篡改配置管理类不安全的数据存储信息泄露和不正确的参数处理WEB攻击注入类资源消耗类网站渗透测试网站渗透测试攻击者冒充合法用户发送邮件或打电话给管理人员，以骗取用户口令和其它信息垃圾搜索:攻击者通过搜索被攻击者的废弃物，得到与攻击系统有关的信息，如果用户将口令写在纸上又随便丢弃，则很容易成为垃圾搜索的攻击对象社会工程学攻击者冒充合法用户发送邮件或打电话给管理人员，以骗取用户口令4、安全防护措施4、安全防护措施网络登录控制网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问，或禁止用户登录，或限制用户只能在指定的工作站上进行登录，或限制用户登录到指定的服务器上，或限制用户只能在指定的时间登录网络等。网络使用权限控制当用户成功登录网络后，就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制，则可能导致用户的非法操作或误操作。目录级安全控制用户获得网络使用权限后，即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。属性安全控制属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后，用户对这些资源的访问将会受到一定的限制。服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。访问控制技术网络登录控制访问控制技术防火墙：防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵，为防止计算机犯罪，将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界，它能够严密监视进出边界的数据包信息，能够阻挡入侵者，严格限制外部网络对内部网络的访问，也可有效地监视内部网络对外部网络的访问。防火墙技术防火墙：防火墙技术防火墙工作模式包过滤防火墙路由器实现包过滤功能应用层防火墙内、外网的“中间人”基于状态监测的包过滤防火墙主流技术物理层数据链路层网络层传输层会话层表示层应用层应用层防火墙状态监测包过滤防火墙工作模式包过滤防火墙物理层数据链路层网络层传输层会话层包过滤防火墙包过滤防火墙对含有IP地址（源、目的）、端口号（源、目的）、协议类型等内容的包头进行检测典型产品：路由器优点高效对用户透明缺点检测不考虑数据内容、会话连接物理层数据链路层网络层传输层会话层表示层应用层包过滤包过滤防火墙包过滤防火墙物理层数据链路层网络层传输层会话层表主要威胁IP欺骗在数据包包头中插入虚假源地址，以使该数据包看似发自受信源解决方法：确定数据包并非来自包头指示位置IP源路由选项允许数据包源的用户指定通向某一目的地的路径多用于排错同样被利用与伪造受信源地址主要威胁IP欺骗应用层防火墙包过滤防火墙运行在网络和服务器之间的应用层网关典型产品：ISA优点提供7层及以下层面防护缺点可能造成服务瓶颈物理层数据链路层网络层传输层会话层表示层应用层应用层防火墙应用层防火墙包过滤防火墙物理层数据链路层网络层传输层会话层表入侵检测技术入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域，当这些区域受到攻击时，能够及时检测和立即响应。入侵检测有动态和静态之分，动态检测用于预防和审计，静态检测用于恢复和评估。入侵检测技术入侵检测技术入侵检测技术传统的防火墙系统L1：物理层L2：数据链路层L3：网络层L4：传输层L5~L7：应用层FW：传统4层安全网关7层应用威胁如何应对？IP包头正文载荷蠕虫病毒四层访问控制检查五元组IP包头非法P2P下载静态协议分析检查检查固定端口协议动态端口正文载荷

非法内容IP包头IP状态检测检查地址对和端口传统的防火墙系统L1：物理层L2：数据链路层L3：网络层L4防火墙的局限性关于防火墙防火墙不能安全过滤应用层的非法攻击，如SQL注入防火墙对不通过它的连接无能为力，如内网攻击等防火墙采用静态安全策略技术，无法动态防御新的非法攻击动机转变，安全事件无处不在人，安全意识薄弱漏洞，与日俱增入侵教程，随处可见黑客工具，唾手可得以经济利益为目的的地下黑客产业链……防火墙的局限性关于防火墙IDS系统的缺陷旁路部署：缺乏及时、有效的阻断功能响应时间：NIDS响应可能滞后于攻性能：置于混杂模式的网卡数据报文捕获和转发能力受限防火墙互动方案的不足缺乏统一、认可的标准防火墙响应NIDS阻断会话请求前，攻击可能已经发生旁路监听的IDS系统AttackTimeDetectTimeResponseTimeNIDS安全：DetectTime+

ResponseTime<AttackTimeIDS系统的缺陷旁路监听的IDS系统AttackTimeD从IDS到IPS入侵保护系统IPS入侵检测系统IDSIDSIPS防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码IDS由于旁路部署，不能第一时间阻断所有攻击，亡羊补牢，侧重安全状态监控IPS在线部署，主动防御，实时阻断攻击从IDS到IPS入侵保护系统IPS入侵检测系统IDSIDSI在线部署完整的网络安全策略体系的核心构成要素在线接入，弥补IDS此类旁路检测设备对攻击进行实时防护的不足积极、主动的入侵防御深度检测主动控制完整的安全策略与安全检测体系，提供从链路层到应用层的全面防护主动出击，全面抑制恶意流量的传播，有效控制危害的蔓延IPS入侵防御系统在线部署完整的网络安全策略体系的核心构成要素在线接入，弥补IIPSvs传统安全产品IPS

X部署模式防火墙IDS在线部署旁路部署在线部署工作层次2~4层2~7层蠕虫、木马扩散抑制X仅检测

恶意软件阻断SQL注入攻击防护

拒绝服务攻击抵御零日攻击防护2~7层较弱

仅检测

X上网行为管理流量控制非授权访问控制

X

X仅检测

仅检测

X

仅检测仅检测仅检测IPSvs传统安全产品IPSX部署模式防火墙IDS在卓越的多千兆（Multi-Gigabit）处理性能全面精细的漏洞保护，提供针对零日攻击的预先风险感知能力，覆盖2-7层的深度入侵防护内置先进、可靠的Web信誉机制，全面提供面向客户端的Web安全防护能力内嵌强大的专业防病毒引擎，支持对主流病毒、蠕虫、木马的查杀基于对象的虚拟系统（VIPS），满足不同环境的入侵防御需求基于应用协议的流量管理支持2层/3层等多种组网方式丰富的HA部署模式完善的BYPASS解决方案可扩展至10路的串行防御能力绿盟NIPS：2~7层深度入侵防护专家国内入侵防御硬件市场第一品牌国内首获入侵防御类产