1-网络攻击与防范概述

网络攻击与防范概述攻防范述文伟平博士副教授北京大学软件与微电子学院信息安全系北京大学软件与微电子学院信息安全系北京大学网络与软件安全保障教育部重点实验室内容提要信息安全特点、威胁及趋势信安特点威胁及趋势信息系统面临的安全问题信息攻击理论方法与典型场景分析信息攻击理论方法与典型场景分析信息安全观念演变信息安全资源推荐攻击场景演示攻击场景演示信息安全特点威胁趋势信息安全特点威胁趋势信息重要性在未来竞争中获取信息优势谁就掌握了竞争优势，谁就掌握了竞争的主动权。因此，信息安全已成为影响国家安安全已成为影响国家安全、经济发展、社会稳定个人利害的重大关定、个人利害的重大关键问题。信息是除空天、空间陆地和海洋之外空间、陆地和海洋之外的第五维战场，国际上围绕信息的获取使用围绕信息的获取、使用、破坏和控制的对抗愈演愈烈愈烈。网络信息环境复杂性多协议、多系统、多应用、多用户组成的网络环境复杂性高存在难以避免的安全脆弱性环境，复杂性高，存在难以避免的安全脆弱性。脆弱性是信息安全的潜在隐患，应对信息化网络环境的安全脆弱性已成为个挑战性课题络环境的安全脆弱性已成为一个挑战性课题。信息化网络环境从封闭走向开放，信息化网络环境成为由多系统互连多部门合作多区域环境成为由多系统互连、多部门合作、多区域分布、应用种类繁多等综合成的大系统。CERT安全事件日益增多CERT各年接到的安全事件报告数12000014000016000080000100000120000全事件200004000060000安0200001988198919901991199219931994199519961997199819992000200120022003时间时间信息安全与国家安全兰德公司信息安全专家认为，“信息战没有前线，潜兰德公司信息安全专家认为，信息战没有前线，潜在的战场是一切联网系统可以访问的地方――如电力网、电话交换网。总体来说，美国本土不再是能提供逃避外部攻击的避难所。”信息攻击方法用于军事对抗领域，“信息战”）成为新的事对抗模式“数（informationwar）成为新的军事对抗模式，“数字空间”将变成新战场。计算机病毒和网络黑客攻击技术将会用作军事武器计算机病毒和网络黑客攻击技术将会用作军事武器信息安全与社会关系未来的信息网络化将越来越依赖于网络环境的安全保障信息及网络环境安全成为信息社会安全，保障信息及网络环境安全成为信息社会正常运转的基础。信息安全的特点1.拒绝服务攻击频繁发生，入侵者难以追踪。使用分布式拒绝服务的攻击方法利用跳板发动攻击信息安全的特点2攻击者需要的技术水平逐渐降低，手段更加灵活，2.攻击者需要的技术水平逐渐降低，手段更加灵活，联合攻击急剧增多攻击工具易于从网络下载网络蠕虫具有隐蔽性、传染性、破坏性、自主攻击能力能力新一代网络蠕虫和黑客攻击、计算机病毒之间的界新代网络蠕虫和黑客攻击计算机病毒之间的界限越来越模糊信息安全的特点3.系统漏洞、软件漏洞、网络漏洞发现加快，攻击时间变短爆发时间变短相关数据相关数据：在所有新攻击方法中，64%的攻击针对一年之内发现的在所有新攻击方法中，64%的攻击针对年之内发现的漏洞最短的大规模攻击距相应漏洞被公布的时间仅仅为28天最短的大规模攻击距相应漏洞被公布的时间仅仅为28天（数据来源于国家反计算机入侵和防病毒研究中心）信息安全的特点4.垃圾邮件问题依然严重4.垃圾邮件问题依然严重垃圾邮件中不仅有毫无用处的信息，还有病毒和恶意代码代码年度占所发生网络安全事件总数的百分比在网络安全事件中的排名比200436％2200536％2200635％3200722％3200821％3信息安全的特点5.信息将比以往更有价值政府和企业通过信息化，大幅提高了工作效率。各类组织的数据库成了最有价值的资产。信息在控制接入方面同样具有价值，例如，签署契约，用户鉴定对于维护社会稳定、执法工作中的追踪罪犯，搜集证据等方面也极具价值。信息安全的特点6.复杂性成为最大问题“系统越复杂，面临的安全危险就越大”互联网为“有史以来最复杂的机器”。联网为有史以来最复杂的机器网络安全技术的发展始终未能跟上互联网前进的步伐。“网络安全形势好转，可同时系统却变得更加复杂。”安全威胁1.针对网络浏览器插件程序的攻击1.针对网络浏览器插件程序的攻击分布范围广分布范围广插件程序的漏洞不随浏览器的更新而自动消失安全威胁2.内部攻击者的威胁内部攻击者的威胁企业内部系统的联系越来越紧密，而且数据的价值也越来越高2004年至2006年内部攻击的比例在8％左右去年2004年至2006年，内部攻击的比例在8％左右，去年这个比例是5％，而到了今年已经上升到23％。安全威胁3.网络间谍技术主要针对的是高价值的目标袭击经常是通过向个人发送信息的方式来实现的安全威胁4.以重大事件或流行事件为诱饵的混合型攻击4.以重大事件或流行事件为诱饵的混合型攻击主要途径：主要途径利用注有煽动性标题的信息来诱使用户打开恶意邮件利用新闻、电影等制造虚假链接安全威胁5.无线网络、移动手机成为新的安全重灾区，消费者电子设备遭到攻击的可能性增大在无线网络中被传输的信息没有加密或者加密很弱很容易被窃在无线网络中被传输的信息没有加密或者加密很弱，很容易被窃取、修改和插入，存在较严重的安全漏洞手机病毒利用普通短信、彩信、上网浏览、下载软件与铃声等方式传播，还将攻击范围扩大到移动网关、WAP服务器或其他的网络设备络设备越来越多采用USB标准进行连接，并使用了更多存储设备和电脑外围产品外围产品安全威胁6、信息存储不安全2004年2月、4月–Microsoft和Cisco的源代码被盗；2004年9月Giltli$502004年9月–Guiltypleain$50millionidentitytheftcase支援部门员工从信贷资料库偷走了数以万计的客户资料户资料2005年2月–BankofAmerica120万客户资料，其中包括美国参议员，国防部职员等的资料被泄露——由于备份磁带遗失June,2004职员等的资料被泄露由于备份磁带遗失2005年4月–TimeWarner/IronMountain60万时代华纳员工资料泄露——由于Iron,AOL（美国在线）软件工程师被逮捕，因为他偷取9200万个客户资料倒卖60万时代华纳员工资料泄露由于IronMountain遗失备份磁带2005年6月–CardSystems黑客从支付系统偷取了4亿个信用卡资料黑客从支付系统偷取了4亿个信用卡资料谁动了那些敏感的数据?NetworkStOutsourcing50-80%的威胁来自防火墙后端（企业/部门内部）(source:FBI)CustomerCEONetworkAdministratorsStorageAdministratorsOutsourcingVendorsCustomerData客户资料EarningsStorageEarningsReleases财务报告SalariesandCFOandReviews工资资料LitigationDocsDRStorageAdministratorsStorageRepair/ServiceStaffDocs法律文件GeneralCounselTapeCourierSystemAdministratorsBackupAdministrators安全趋势1.集团化、产业化的趋势产业链：病毒木马编写者－专业盗号人员－销售渠道－专业玩家专业玩家病毒不再安于破坏系统，销毁数据，而是更关注财产和隐私。隐私。电子商务成为热点，针对网络银行的攻击也更加明显2008年病毒会更加紧盯在线交易环节，从早期的虚拟价值盗窃转向直接金融犯罪。安全趋势2.“黑客”逐渐变成犯罪职业财富的诱惑，使得黑客袭击不再是一种个人兴趣，而是越来越多的变成一种有组织的利益驱使的职业犯罪越来越多的变成一种有组织的、利益驱使的职业犯罪事例：拒绝服务相关的敲诈勒索和“网络钓鱼”。安全趋势3.恶意软件的转型我国仍然是恶意软件最多的国家恶意软件在行为上将有所改观，病毒化特征削弱，但手段更“高明”包含更多的钓鱼欺骗元素段更高明，包含更多的钓鱼欺骗元素安全趋势4.网页挂马危害继续延续4.网页挂马危害继续延续服务器端系统资源和流量带宽资源大量损失服务器端系统资源和流量带宽资源大量损失成为网络木马传播的“帮凶”。客户端的用户个人隐私受到威胁安全趋势5.利用应用软件漏洞的攻击将更为迅猛新的漏洞出现要比设备制造商修补的速度更快一些嵌入式系统中的漏洞难以修补零日攻击现象日趋普遍安全趋势6.Web2.0的产品将受到挑战的产品将受到挑战以博客、论坛为首的web2.0产品将成为病毒和网络钓鱼的首要攻击目标社区网站上带有社会工程学性质的欺骗往往超过安全软社区网站上带有社会工程学性质的欺骗往往超过安全软件所保护的范畴自动邮件发送工具日趋成熟，垃圾邮件制造者正在将目标转向音频和视频垃圾邮件中国“黑客”重要历史事件1998年印尼事件年印事件1999年南联盟事件绿色兵团南北分拆事件绿色兵团南北分拆事件中美五一黑客大战事件典型黑客攻击案例2001年中美黑客大战事件背景和经过41撞机事件为导火线4.1撞机事件为导火线4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击约300个左右黑客组织对国内站点进行攻击，约300个左右的站点页面被修改4月下旬国内红（黑）客组织或个人开始对4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国网战”战前声明宣布将人发表了五卫国网战战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。击行动。各方都得到第三方支援各大媒体纷纷报道评论中旬结束大战30各大媒体纷纷报道，评论，中旬结束大战PoizonB0x、pr0phet更改的网页国内某政府网站国内某大型商业网站中经网数据有限公司中国科学院心理研究所31国内黑客组织更改的网站页面美国某大型商业网站美国某政府网站美国劳工部网站美国某节点网站32这次事件中采用的常用攻击手法红客联盟负责人在5月9日网上记者新闻发布会上对此红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统，这个行动在技术上是没有任何炫耀和炒作的价值的。”主要采当时流行的统漏洞进行攻击主要采用当时流行的系统漏洞进行攻击33这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码Uid编码可穿越fill执行黑客指令Unicode编码可穿越firewall,执行黑客指令ASP源代码泄露可远程连接的数据库用户名和密码SQ缺省安装SQLserver缺省安装微软Windows2000登录验证机制可被绕过溢出虫Bind远程溢出，Lion蠕虫SUNrpc.sadmind远程溢出，sadmin/IIS蠕虫Wu-Ftpd格式字符串错误远程安全漏洞拒绝服务(syn-flood,ping)34这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码密码获得用户名入侵者利用黑客工具扫描系统用户获得用户名和简单密码35最近几年的黑客攻击事件熊猫烧香DNS缓存污染攻击DNS缓存污染攻击“5.19”南方六省断网事件Google黑客攻击事件最高检黑客攻击事件最高检黑客攻击事件等等36黑客简史黑客简史黑客帝国浪漫主主义的的黑客客电影影箭鱼行动现现实实实主义义的黑黑客电影虎胆龙威IV20的007年的黑客年底对客电影抗恐怖怖主义义黑客起源的背景起源地：源美国精神支柱：精神支柱对技术的渴求对自由的渴求历史背景：越战与反战活动马丁·路德金与自由嬉皮士与非主流文化电话飞客与计算机革命黑客？