网络攻击及防御技术

网络攻击及防御技术主讲薛质内容网络攻击案例网络攻击及防御技术1、严峻的信息安全问题2000年2月6日前后，美国YAHOO等8家大型网站接连遭受黑客的攻击，直接经济损失约为12亿美元（网上拍卖“电子港湾”网站、亚马逊网站、AOL）此次安全事故具有以下的特点：攻击直接针对商业应用攻击造成的损失巨大信息网络安全关系到全社会2、急需解决的若干安全问题信息安全与高技术犯罪1999年，上海XX证券部电脑主机被入侵2000年2月14日，中国选择网（上海）受到黑客攻击，造成客户端机器崩溃，并采用类似攻击YAHOO的手法，通过攻击服务器端口，造成内存耗尽和服务器崩溃我国约有64%的公司信息系统受到攻击，其中金融业占总数的57%不受欢迎的垃圾邮件的现象愈演愈烈1999年4月26日，CIH病毒“世纪风暴”媒体内容的安全性凯文米特尼克凯文•米特尼克是美国20世纪最著名的黑客之一，他是“社会工程学”的创始人1979年他和他的伙伴侵入了北美空防指挥部1983年的电影《战争游戏》演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战莫里斯蠕虫（MorrisWorm）时间1988年肇事者-RobertT.Morris,美国康奈尔大学学生，其父是美国国家安全局安全专家机理-利用sendmail,finger等服务的漏洞，消耗CPU资源，拒绝服务影响-Internet上大约6000台计算机感染，占当时Internet联网主机总数的10%，造成9600万美元的损失CERT/CC的诞生-DARPA成立CERT（ComputerEmergencyResponseTeam），以应付类似“蠕虫（MorrisWorm）”事件94年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元96年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“美国司法部”的主页改为“美国不公正部”，将司法部部长的照片换成了阿道夫·希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字96年9月18日，黑客光顾美国中央情报局的网络服务器，将其主页由“中央情报局”改为“中央愚蠢局”96年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址98年2月25日，美国国防部四个海军系统和七个空军系统的电脑网页遭侵入98年5月底，印度原子研究中心的主页()遭侵入98年8月31日，澳大利亚主要政党和政府官员的网站遭黑客袭击，网址被篡改98年9月13日，纽约时报站点（）遭黑客袭击2000年2月，著名的Yahoo、eBay等高利润站点遭到持续两天的拒绝服务攻击，商业损失巨大2002年3月底，美国华盛顿著名艺术家GloriaGeary在eBay拍卖网站的帐户，被黑客利用来拍卖IntelPentium芯片2002年6月，日本2002年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭中美五一黑客大战2001年5月1日是国际劳动节，5月4日是中国的青年节，而5月7日则是中国在南斯拉夫的大使馆被炸两周年的纪念日。中国黑客在这几个重大的纪念日期间对美国网站发起了大规模的攻击美国部分被黑网站美国加利福尼亚能源部日美社会文化交流会白宫历史协会UPI新闻服务网华盛顿海军通信站其它12%网络服务6%军事网站2%教育网站4%机构网站6%商业网站65%政府网站5%国内网站遭攻击的分布红色代码–2001年7月19日，全球的入侵检测系统(IDS)几乎同时报告遭到不名蠕虫攻击–在红色代码首次爆发的短短9小时内，以迅雷不及掩耳之势迅速感染了250,000台服务器–最初发现的红色代码蠕虫只是篡改英文站点主页，显示“Welcometo!HackedbyChinese!”–随后的红色代码蠕虫便如同洪水般在互联网上泛滥，发动拒绝服务(DoS)攻击以及格式化目标系统硬盘，并会在每月20日～28日对白宫的攻击，使白宫的地址。“红色代码”的蔓延速度尼姆达（Nimda）尼姆达是在9·11恐怖袭击整整一个星期后出现的，当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒尼姆达是在早上9:08发现的，明显比红色代码更快、更具有摧毁功能，半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑，总共造成将近10亿美元的经济损失传播方式包括：电子邮件、网络临近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、CodeRedII和Sadmind/IIS蠕虫留下的后门等SQLSlammer蠕虫Slammer的传播数度比“红色代码”快两个数量级在头一分钟之内，感染主机数量每8.5秒增长一倍；3分钟后该病毒的传播速度达到峰值（每秒钟进行5500万次扫描）；接下来，其传播速度由于自身挤占了绝大部分网络带宽而开始下降；10分钟后，易受攻击的主机基本上已经被感染殆尽30分钟后在全球的感染面积2003年8月11日首先被发现，然后迅速扩散，这时候距离被利用漏洞的发布日期还不到1个月该蠕虫病毒针对的系统类型范围相当广泛（包括WindowsNT/2000/XP）截至8月24日，国内被感染主机的数目为25~100万台全球直接经济损失几十亿美金RPCDCOM蠕虫3、网络威胁恶意代码及黑客攻击手段的三大特点：传播速度惊人受害面惊人穿透深度惊人传播速度“大型推土机”技术(Massrooter)，是新一代规模性恶意代码具备的显著功能。这些恶意代码不仅能实现自我复制，还能自动攻击内外网上的其它主机，并以受害者为攻击源继续攻击其它网络和主机。以这些代码设计的多线程和繁殖速度，一个新蠕虫在一夜之间就可以传播到互联网的各个角落。受害面许多国家的能源、交通、金融、化工、军事、科技和政府部门等关键领域的信息化程度逐年提高，这些领域的用户单位的计算机网络，直接或间接地与Internet有所联系。各种病毒、蠕虫等恶意代码，和各种黑客攻击，通过Internet为主线，对全球各行业的计算机网络用户都造成了严重的影响。穿透深度蠕虫和黑客越来越不满足于攻击在线的网站，各种致力于突破各种边界防线的攻击方式层出不穷。一个新的攻击手段，第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机；第二批受害对象是与Internet联网的，经常收发邮件的个人用户；第三批受害对象是OA网或其它二线内网的工作站；终极的受害对象可能会波及到生产网络和关键资产主机。信息战在海湾战争和最近的伊拉克战争中，美国大量采用了信息战的手段在未来的局部战争中，信息战或信息威慑将成为非常重要的非常规战手段信息战的范围不仅仅局限于军事领域，关系国家国计民生的行业（如政府、金融等）也会成为信息战的攻击目标信息战士减小美国决策空间、战略优势，制造混乱，进行目标破坏国家安全威胁情报机构搜集政治、军事，经济信息恐怖分子破坏公共秩序，制造混乱，发动政变工业间谍掠夺竞争优势，恐吓共同威胁犯罪团伙施行报复，实现经济目的，破坏制度社会型黑客攫取金钱，恐吓，挑战，获取声望局部威胁娱乐型黑客以吓人为乐，喜欢挑战信息时代威胁图类别攻击举例V敌国政府、间谍IV商业间谍III罪犯II恶意用户、内部人员、普通黑客I用户误操作网络攻击的动机偷取国家机密商业竞争行为内部员工对单位的不满对企业核心机密的企望网络接入帐号、信用卡号等金钱利益的诱惑利用攻击网络站点而出名对网络安全技术的挑战对网络的好奇心攻击的一般过程预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的：消除痕迹，长期维持一定的权限攻击的种类预攻击阶段端口扫描漏洞扫描操作系统类型鉴别网络拓扑分析攻击阶段缓冲区溢出攻击操作系统漏洞应用服务缺陷脚本程序漏洞攻击口令攻击错误及弱配置攻击网络欺骗与劫持攻击后攻击阶段后门木马痕迹擦除其它攻击种类拒绝服务攻击嗅探攻击恶意网页攻击社会工程攻击信息收集—非技术手段合法途径从目标机构的网站获取新闻报道，出版物新闻组或论坛社会工程手段假冒他人，获取第三方的信任搜索引擎信息收集—技术手段PingTracert/TracerouteRusers/FingerHost/nslookup端口扫描目的判断目标主机开启了哪些端口及其对应的服务常规扫描技术调用connect函数直接连接被扫描端口无须任何特殊权限速度较慢，易被记录高级扫描技术利用探测数据包的返回信息（例如RST）来进行间接扫描较为隐蔽，不易被日志记录或防火墙发现TCPSYN扫描也叫半开式扫描利用TCP连接三次握手的第一次进行扫描被扫描主机开放的端口不提供服务的端口防火墙过滤的端口扫描器SYNSYNSYNSYN+ACK握手RST重置没有回应或者其他端口扫描工具Nmap简介被称为“扫描器之王”有forUnix和forWin的两种版本需要Libpcap库和Winpcap库的支持能够进行普通扫描、各种高级扫描和操作系统类型鉴别等使用-sS：半开式扫描-sT:普通connect()扫描-sU：udp端口扫描-O：操作系统鉴别-P0：强行扫描（无论是否能够ping通目标）-p：指定端口范围-v：详细模式NmapWinv1.3.0端口扫描工具SuperScan简介基于Windows平台速度快，图形化界面最新版本为4.0使用傻瓜化漏洞扫描根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能存在某些漏洞积极意义进行网络安全评估为网络系统的加固提供先期准备消极意义被网络攻击者加以利用来攻陷目标系统或获取重要的数据信息漏洞扫描的种类系统漏洞扫描特定服务的漏洞扫描WEB服务数据库服务FTP服务Mail服务信息泄漏漏洞扫描用户信息共享信息人为管理漏洞扫描弱口令错误配置网络及管理设备漏洞扫描路由器、交换机SNMP设备漏洞扫描工具Nessus构架服务器端：基于Unix系统客户端：有GTK、Java和Win系统支持运作客户端连接服务器端，并下载插件和扫描策略真正的扫描由服务器端发起两者之间的通信通过加密认证优势：具有强大的插件功能完全免费，升级快速非常适合作为网络安全评估工具链接：工作流程漏洞扫描工具X-Scan国人自主开发完全免费X-Scan使用扫描开始安全漏洞扫描器安全漏洞扫描器的种类网络型安全漏洞扫描器主机型安全漏洞扫描器数据库安全漏洞扫描器安全漏洞扫描器的选用ISS（InternetSecurityScanner）：安氏SSS（ShadowSecurityScanner）：俄罗斯黑客RetinaNetworkSecurityScanner：eEyeLANguardNetworkSecurityScannerCyberCopScanner：NAISSS（ShadowSecurityScanner）RetinaNetworkSecurityScann