互联网安全攻防分析

互联网安全攻防案例分析与网络安全技术主讲：郭亮安全服务部中国电信集团系统集成公司•了解互联网安全现状，增强防范意识；•了解目前互联网常见的安全攻击技术手段，提高安全事件判别能力；•了解互联网安全管理与维护的定义和内容；•掌握安全管理与维护的基本能力，能提升日常性的管理和维护工作水平。学习目标议程安全攻防案例分析当前黑客与网络安全事件的特点网络安全事件攻防案例分析常见网络安全技术全网防御技术黑客侦查与追踪技术DDoS防御技术SQL注入/XSS跨站脚本日常安全维护应急处理方法当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击复合趋势攻击往往通过一级或者多级跳板进行大规模事件出现日益频繁传播速度越来越快对终端的攻击比率越来越高攻击事件的破坏程度在增加当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便具有安全知识和”专业”的人员的数量在增加复合趋势黑客、病毒和垃圾邮件技术整合在一个蠕虫当中黑客组合攻击开始出现攻击往往通过一级或者多级跳板进行黑客技术水平在增强有组织、有计划犯罪事件再增加，防止追查当前黑客与网络安全事件的特点大规模事件出现日益频繁大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码F变种等）大量垃圾邮件的出现传播速度越来越快利用系统漏洞，进行自动扫描由于浏览网页或查看E-Mail而受到感染或攻击DDoS攻击当前黑客与网络安全事件的特点对终端的攻击比率越来越高网上游戏、网上银行和电子商务的增加针对终端设计的黑客工具和木马补丁与升级不够及时缺乏安全防范意识攻击事件的破坏程度在增加典型网络安全案件分析木马与“网银大盗”匿名电子邮件转发溢出攻击与DCOMRPC漏洞NetBios与IPCARP欺骗DDoS攻击SQL注入木马与“网银大盗”冰河国产木马，有G_Client.exe,G_server.exe二个文件。客户端界面木马与“网银大盗”“网银大盗”网上银行构架木马与“网银大盗”“网银大盗”网银大盗II(Troj_Dingxa.A)现象盗取网上银行的帐号、密码、验证码等。生成文件：%System%下，svch0stexe修改注册表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建：svch0st.exe=%System%\svch0st.exetaskmgr.exe=%System%\svch0st.exe木马与“网银大盗”网银大盗II(Troj_Dingxa.A)原理木马程序，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑解决办法1、终止病毒进程svch0st.exe2、注册表修复3、删除病毒释放的文件svch0st.exe4、配置防火墙和边界路由器木马与“网银大盗”“网银大盗”案例多媒体木马Internet种了木马的电脑传送信息黑客摄像头语音设备GoogleSearch“inurl:ViewerFrame?Mode=”…….=Motion&Language=1匿名电子邮件转发漏洞名称：ExchangeServer匿名转发漏洞原理匿名电子邮件转发案例深圳市二十多个邮件服务器Internet某数据中心台湾日本匿名电子邮件转发造成危害网络堵塞给利用于反动宣传正常邮件服务器被RBL组织封闭解决方法打补丁关闭该服务或端口25,110溢出攻击与DCOMRPC漏洞溢出攻击原理溢出攻击与DCOMRPC漏洞DCOMRPC漏洞原理溢出攻击与DCOMRPC漏洞造成的危害---冲击波MYDOOM案例分析邮件蠕虫:MYDOOM现象通过电子邮件附件传播，设定向攻击原理ARP欺骗1.ARP地址解析协议ARP协议定义了两类基本的消息：1）请求信息：包含自己的IP地址、硬件地址和请求解析的IP地址；2）应答信息：包含发来的IP地址和对应的硬件地址。ARP欺骗2、原理ARP欺骗3.防范ARP欺骗的方法交换机控制路由器隔离防火墙与代理服务器DDoS攻击原理DDoS攻击方法死亡之ping（pingofdeath）泪滴（teardrop）UDP洪水（UDPflood）SYN洪水（SYNflood）Land攻击Smurf攻击Fraggle攻击常用DDoS攻击工具ThankgodSYNFlooder独裁者TrinooTFN2KStacheldrahtSQL注入Web攻击模拟演示5IDS交换机防火墙Web服务器DB服务器3Select*fromproductwhereid=9714……AK47M188DBS003……typeDevicenameDeviceNo正常访问流程SQL注入Web攻击模拟演示SQL注入攻击流程580端口HTTP请求2=97;drop%20table%20dbappsecurity_new--IDS交换机防火墙Web服务器DB服务器3Select*fromproductwhereid=97Droptabledbappsecurity_new1……AK47M188DBS003……typeDevicenameDeviceNo4命令已执行成功常见网络安全技术全网防御技术黑客侦查与追踪技术DDoS防御技术应用层攻击防御（SQL注入、XSS脚本）黑客侦查与追踪技术黑客侦查与追踪系统黑客侦查与追踪系统系统组成1、现场勘查分析2、服务器监控3、远程追踪分析控制软件服务监控软件远程追踪探头黑客侦查与追踪系统原理黑客侦查与追踪系统远程追踪DDoS攻击防御技术当前DDoS防御技术SYN代理SYN网关DDoS防御网关DDoS攻击防御方法SYN中继（代理）工作原理HostFWserverSYN中继（代理）1)HFW2)HSYN/ACKFW3)HACKFWFWS4)FWSFWSSYNSYN/ACKACK5)6)SYNSYN中继（代理）存在问题FW必须建立一个很大的链表来储存所有SYN请求，当有大量的SYN攻击包到来，FW一样会崩溃。保护了服务器，堵死了防火墙DDoS攻击防御方法SYN网关工作原理HostFWserverSYN网关HFWSFWS1）2）SYNSYNSYN/ACKHFWS3）HFWS4）FWS5）SYN/ACKACKACKACKRSTSYN网关快速将连接试呼从S待办队列移开，避免服务器待办队列堵塞定时器超时后，向S发送连接RST（复位）取消。存在问题A、占用服务器缓冲B、防火墙同样要储存SYN请求链接，攻击强烈时，同样会堵死防火墙DDoS防御技术防火墙、DDoS防御网关对抗DDOS攻击的三层防御措施（一）连接指纹鉴别（二）自适应“催命”算法（三）恶性服务请求攻击的防御连接指纹鉴别工作原理HostFWserver0积累识别技术,属国际专利连接指纹鉴别工作原理HFW1、工作原理HFWHFWFWHFWHSYN/ACKFWHSYNSYN/ACK(sn)ACK(SN+1)SYNACK(SN指纹验证)连接指纹鉴别工作原理A、SN序列号形成算法SN=f（源、目标IP，源、目标端口，其它信息，秘密字）B、只有当主机H回答包所携带的SN号经验证合法后，才须建立连接代理。2、优点由于在未确认SYN请求的合法性前，无须建立连接队列，所以这种方法具备以下优点：A、防火墙无须耗费内存资源B、没有缓冲溢出的危险C、在NAT模式下不占用防火墙的连接数自适应“催命”算法针对性针对通过高层编程（固定ＩＰ）进行的攻击，如socket编程中的“connect”函数。这种攻击也能通过防火墙的指纹合法性认证而建立起连接。但该攻击的效率较低，同时占用黑客大量主机资源。工作原理防火墙中建立每条连接都有一个连接超时值Age（又叫生命期），一般每半秒钟减一，防火墙会监控系统建立的连接数量，按一定算法算出（加快了）的递减步长STEP，降低某些可疑连接的生命期，加快这些连接超时。恶性服务请求攻击的防御针对性一般SQL数据库访问会占用服务器较多资源，黑客会分析web页面上耗费资源的分支请求，编写程序不停调用该分支请求，造成SQL服务器响应不过来。工作原理给管理员一个配置接口，管理员自己可以配置一些针对性统计策略，当在一定时间内某IP使用某SQL语句数量超过某一阀值时，防火墙会拒绝该IP的访问。其它措施对于一些固定IP的恶性攻击防火墙会对该IP进行自动锁定，超过一定时间，一般为180秒后再进行开锁。某集团内网黑客FWserverDDOS网关应用层攻击防御WEB应用安全概述针对WEB攻击风险的产生跨站脚本攻击SQL注入攻击针对WEB的攻击WebServer身份认证数据字典权限/角色敏感信息系统文件获取缓冲区溢出DOS攻击DBServer应用层攻击普通防火墙+IDS束手无策防火墙Web风险的产生攻击结果泄漏客户敏感数据，例如网银账号，手机通话记录等。篡改数据，发布虚假信息或者进行交易欺诈。使WEB网站成为钓鱼攻击的平台，将攻击扩大到所有访问WEB应用的用户。例如：网银成为了钓鱼的场所，那么其危害和影响是不言而喻的。拒绝服务，利用应用的弱点，造成拒绝服务，影响业务的正常运作风险的产生80%基于WEB的应用或多或少都存在安全问题，其中很大一部分是相当严重的问题防火墙、IDS或者使用SSL协议对此毫无用处不仅仅是开放在Internet的Web存在风险更多的ERP/CRM/MSS系统也都使用了Web应用程序……跨站脚本攻击简介(1)由于WEB应用程序没有对用户的输入进行严格的过滤和转换，就导致在返回页面中可能嵌入恶意代码。远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意HTML和脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现，因此这种攻击能在一定程度上隐藏身份跨站脚本攻击简介(2)什么是跨站脚本攻击XSS又叫CSS(CrossSiteScript)，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常呼略其危害性。跨站脚本攻击简介(3)跨站攻击的危害为了搜集用户信息，攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、ActiveX或Flash以欺骗用户窃取Cookie劫持帐户执行ActiveX执行Flash内容强迫您下载软件对硬盘和数据采取操作直接影响：利用该漏洞可以欺骗信任此网站的用户去执行任意的恶意代码或者转向其他恶意URL。潜在影响：导致网站用户对网站的信任度降低。安全风险跨站脚本攻击简介(4)由于XSS漏洞很容易在大型网站中发现，在黑客圈内它非常流行。FBI.gov、CNN.com、Time.com、Ebay、Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes都有这样那样的XSS漏洞。在商业产品中，平均每个月能够发现10-25个XSS漏洞常见存在漏洞的页面搜索引擎返回结果页面根据用户输入。登录页，存储用户帐户在数据库、Cookie等和以后写入用户名出客户端。Web表单处理信用卡信息。SQL注入攻击简介技术概述就攻击技术本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQLInjection攻击就发生了。实际上，SQLInjection