网络安全和防火墙 第4部分 高级攻击

@2006VCampusCorporationAllRightsReserved.第六单元高级攻击学习目标•掌握常见高级攻击方式原理•熟悉常见高级攻击的防范措施•清楚病毒、木马、间谍软件各自的特点•掌握针对网站的常用攻击方法及防范措施欺骗和中间人攻击•网络欺骗主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗等。•中间人攻击是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，实质上两台主机是通过中间这台主机来交换信息的，这台计算机就称为“中间人”，而两端主机却毫无察觉。ARP欺骗利用ARP列表生成机制的漏洞来进行全网络嗅探和攻击的技术利用ARP欺骗的木马或病毒怎样防范:（1）在客户端使用arp命令绑定网关的真实MAC地址命令如下：arp(先清除错误的ARP表)arp192.168.1.103-03-03-03-03-03（静态指定网关的MAC地址）（2）在交换机上做端口与MAC地址的静态绑定。（3）在路由器上做IP地址与MAC地址的静态绑定。（4）使用“ARPSERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。（5）提高用户的安全意识，养成良好的安全习惯，包括：及时安装系统补丁程序；为系统设置强壮的密码；安装防火墙；安装有效的杀毒软件并及时升级病毒库；不主动进行网络攻击，不随便运行不受信任的软件。中间人攻击示意图合法用户服务器攻击者合法用户认为他在与服务器直接对话攻击者将信息传送到服务器信息流实际上经过了攻击者嗅探攻击•嗅探器(sniffer)是利用计算机网络接口截获本不应该接收数据报文的一种技术，也可以将网络中所有经过本物理网卡的所有流量全都截取下来。•嗅探攻击的威胁在于攻击者能够分析出所有以明文传输的信息，包括：–明文传送的用户口令–明文传送的专用或机密的信息–可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限–可以用来分析网络结构，进行网络渗透。链路攻击和TCP会话劫持•会话劫持（SessionHijack）是一种结合了嗅探以及欺骗技术在内的攻击手段。•主要有两种类型：–中间人攻击–注射式攻击•经典的会话劫持工具–TTYwatch–HUNT会话劫持示意图合法用户服务器攻击者合法用户远程登录服务器合法用户验证服务器你好,我是合法用户Die!会话劫持的危害及防范•会话劫持攻击使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的访问状态，因此对系统安全构成的威胁比较严重。•防范这类攻击的最佳办法是使用加密协议传输数据。计算机病毒的定义•计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的特点•计算机病毒首先是一段可执行的程序•计算机病毒的传染性•计算机病毒的潜伏性•计算机病毒的可触发性•计算机病毒的破坏性•计算机病毒的针对性•计算机病毒的衍生性计算机病毒的类型•磁盘引导区传染的计算机病毒•操作系统传染的计算机病毒•应用程序传染的计算机病毒预防计算机病毒•安装防病毒软件，并且及时升级。•安全使用互联网，不要随意点击、下载和运行各种来历不明的程序和脚本。•要重视文件的备份，经常做文件备份，重要的文件要多做几份。•可移动存储介质在使用之前先杀毒。•保证主机的物理安全，防止他人运行未授权的程序。集中式病毒管理•“集中式管理、分布式杀毒”技术，使安装在网络系统中的每台计算机上的杀毒软件构筑成协调一致的立体防护体系，而网络管理员只需通过控制台，就可实时掌握全网各节点的病毒监测状况，也可远程指挥每台计算机杀毒软件的工作方式。•克服网络杀毒产品不能全网统一杀毒的缺陷，杜绝了因部分计算机未能及时杀毒而留下的隐患。木马攻击•完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。•服务器程序用于监听被侵入主机的端口或监视用户活动，控制器端程序则用于接收服务器程序返回的信息并可控制远程主机。木马的特点•隐蔽性•自动运行性•包含具有未公开并且可能产生危险后果的功能的程序•具备自动恢复功能•能自动打开特别的端口木马的类型•破坏型•密码发送型•远程访问型•键盘记录木马•DoS攻击木马•代理木马•FTP木马•程序杀手木马•反弹端口型木马非法服务•非法服务会在系统上开启一个秘密的端口，提供未经许可的服务，这和很多木马的工作原理是一样的。•常见的非法服务包括：–NetBus–BackOrifice和BackOrifice2000–灰鸽子–冰河2.X击键信息收集器•击键信息收集器（keyloggers）都是作为应用程序被安装在受害者的计算机上，并且在用户完全不知情的前提下驻留在系统内存中。这些应用程序将收集用户所有的击键信息并将其保存在一个文件中，目的就是为了捕获诸如用户密码之类的机密数据。SQL注入攻击•对SQL注入攻击来说，其服务器本身来说没有什么漏洞，主要是一些恶意的用户利用SQL语法的特点，针对的是应用程序开发者编程过程中的漏洞而进行的一种攻击。•由于SQL注入攻击利用的是SQL语法，使得这种攻击具有广泛性。SQL注入攻击的防范•最小权限原则。•对用户输入进行检查。•使用存储过程。•当SQL运行出错时，不要显示出错信息。•针对常用的SQL注入式攻击方式进行专门的设置。基于浏览器的攻击•钓鱼式攻击：攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动。•浏览器劫持：通过BHO、DLL插件、Hook技术、WinsockLSP等载体达到对用户的浏览器进行篡改的目的。•流氓软件防御工具：–TROJANHUNTER–EWIDO基于浏览器攻击的防范•勤打补丁•安装安全插件•引起个人的重视不要采取单独的系统或技术•使用多种手段和技术来弥补每个单独技术的弱点，从而提高整体安全性。每一种安全产品和工具都有其自身的优点与缺点，作为公司的安全设计和实施者，也就需要你在这些可选的安全产品中选择一部分合适的产品来平衡你的安全需求。提供培训•终端用户：用户必须被告知在互联网上出现了哪些新的病毒。•管理员：安全管理员必须跟踪最新的威胁和对策。•主管人员：需要知道用来保证系统安全的最新工具。考虑物理安全•增强物理安全的方法包括：–用密码锁替代普通锁–将服务器放到上锁的房间中–安装监视设备–需要智能卡才能打开根据需要购置设备•根据评估审核的需求来决定•结合管理来确定特殊的需求•考虑企业即将会出现的新需要•确定一个新的技术如何对最终用户产生影响•结合管理来节省资金•进行调查来确定在你的公司中实施哪些产品