3--05计算机网络安全基础-常见黑客攻击及安全防御手段

常见黑客攻击及安全防御手段19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务高常见的黑客攻击方法及入侵技术的发展采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的入侵系统的常用步骤端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途较高明的入侵步骤常见的安全攻击方法直接获取口令进入系统：网络监听，暴力破解利用系统自身安全漏洞特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装欺骗：诱使用户访问纂改过的网页电子邮件攻击：邮件炸弹、邮件欺骗网络监听：获取明文传输的敏感信息通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(D.o.S和D.D.o.S)社会工程学攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。社会工程学攻击目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Email1、打电话请求密码尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。2、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。物理攻击与防范物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。暴力攻击暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解—段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。2001年中美黑客大战事件背景和经过4.1撞机事件为导火线4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道，评论，中旬结束大战PoizonB0x、pr0phet更改的网页中经网数据有限公司中国科学院心理研究所国内某政府网站国内某大型商业网站国内黑客组织更改的网站页面美国劳工部网站美国某节点网站美国某大型商业网站美国某政府网站这次事件中采用的常用攻击手法红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统，这个行动在技术上是没有任何炫耀和炒作的价值的。”主要采用当时流行的系统漏洞进行攻击这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码Unicode编码可穿越firewall,执行黑客指令ASP源代码泄露可远程连接的数据库用户名和密码SQLserver缺省安装微软Windows2000登录验证机制可被绕过Bind远程溢出，Lion蠕虫SUNrpc.sadmind远程溢出，sadmin/IIS蠕虫Wu-Ftpd格式字符串错误远程安全漏洞拒绝服务(syn-flood,ping)这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码这次事件中被利用的典型漏洞Windows2000登录验证机制可被绕过混合型、自动的攻击WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻击:蠕虫WebServerViaWebPageWorkstationWebServerMailGateway防病毒防火墙入侵检测风险管理攻击的发展趋势攻击的发展趋势漏洞趋势严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和Internet漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。主动恶意代码趋势制造方法：简单并工具化技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。受攻击未来领域即时消息：MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备“红色代码”病毒的工作原理1.病毒利用IIS的.ida漏洞进入系统并获得SYSTEM权限(微软在2001年6月份已发布修复程序MS01-033)2.病毒产生100个新的线程•99个线程用于感染其它的服务器•第100个线程用于检查本机,并修改当前首页3.在7/20/01时所有被感染的机器回参与对白宫网站的工作原理4种不同的传播方式IE浏览器:利用IE的一个安全漏洞(微软在2001年3月份已发布修复程序MS01-020)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.(微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)电子邮件附件:(已被使用过无数次的攻击方式)文件共享:针对所有未做安全限制的共享MYDOOM的工作原理W32.Novarg.A@mm[Symantec]，受影响系统:Win9x/NT/2K/XP/20031、创建如下文件：%System%shimgapi.dll%temp%Message，这个文件由随机字母通组成。%System%taskmon.exe,如果此文件存在，则用病毒文件覆盖。2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的TCP端口进行监听；3、添加如下注册表项，使病毒可随机启动，并存储病毒的活动信息。MYDOOM的工作原理4、对实施拒绝服务（DoS)攻击,创建64个线程发送GET请求，这个DoS攻击将从2004年2月1延续到2004年2月12日；5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：.htm.sht.php.asp.dbx.tbb.adb.pl.wab.txt等；6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送；7、邮件内容如下：From:可能是一个欺骗性的地址；主题:hi/hello等。常见的安全技术防范措施常用的安全防护措施防火墙入侵检测漏洞扫描抗拒绝服务防病毒系统安全加固SUS补丁安全管理•访问控制•认证•NAT•加密•防病毒、内容过滤•流量管理常用的安全防护措施－防火墙防火墙的局限性防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙本身的防攻击能力不够，容易成为被攻击的首要目标。防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。防火墙与IDS联动时间Dt-检测时间Pt-防护时间Rt-响应时间Pt-防护时间+一个黑客在到达攻击目标之前需要攻破很多的设备(路由器，交换机)、系统（NT，UNIX）和放火墙的障碍，在黑客达到目标之前的时间，我们称之为防护时间Pt；在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt,检测到黑客的行为后，我们需要作出响应，这段时间称之为Rt.假如能做到Dt+RtPt,那么我们可以说我们的目标系统是安全的。入侵检测系统FirewallServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgent入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理漏洞扫描系统地方网管scanner监控中心地方网管地方网管地方网管地方网管市场部工程部router开发部ServersFirewall漏洞扫描产品应用拒绝服务攻击(DoS/DDoS)网络层SYNFloodICMPFloodUDPFloodPingofDeath应用层垃圾邮件CGI资源耗尽SYNFlood原理正常的三次握手建立通讯的过程SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方SYNFlood原理SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接连接耗尽正常tcpconnect攻击者受害者大量的tcpconnect这么多需要处理？不能建立正常的连接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用户正常tcpconnect拒绝服务攻击的对抗网络层升级系统防止pingofdeath等攻击通过带宽限制来防止flood攻击应用层拒绝服务的抵抗通常需要在应用层进行特定的设计SYNFlood与连接耗尽是难点计算机病毒程序型病毒引导型病毒宏病毒特洛伊木马型的程序有危害的移动编码防病毒软件历史单机版静态杀毒实时化反病毒防病毒卡动态升级主动内核技术自动检测技术：特征代码检测单特征检查法基于特征标记免疫外壳防病毒技术发展第一代反病毒技术采取单纯的病毒特征诊断，对加密、变形的新一代病毒无能为力；第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒误报率高，杀毒风险大；第三代反病毒技术静态扫描技术和动态仿真跟踪技术相结合；第四代反病毒技术基于病毒家族体系的命名规则基于多位CRC校验和扫描机理启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块企业级防病毒体系集中管理多次防病毒体系系统安全加固基本安全配置检测和优化密码系统安全检测和增强系统后门检测提供访问控制策略和工具增强远程维护的安全性文件系统完整性审计增强的系统日志分析系统升级与补丁安装Windows系统安全加固使用Windowsupdate安装最新补