2 网络安全与防火墙培训

四基本攻击学习目标•描述典型的网络攻击类型•识别常见的攻击事件问题•知道那些攻击•受到那些攻击•攻击如何解决攻击行为的动机•金钱•爱好兴趣•无知好奇•炫耀暴力破解和字典攻击•暴力攻击使用字母、数字和字符的随机组合反复进行试探性访问。暴力攻击程序通过简单地猜测用户名和反复访问服务器来破解一台服务器或数据文件。•字典穷举法攻击通过查询一个“字典文件”来尝试破译口令，此文件包括一个很长的单词列表。容易破译用户使用标准的单词设置的口令。•使用强密码可有效地防止暴力破解和字典攻击。系统漏洞与后门•系统漏洞是程序中无意造成的缺陷，它形成了一个不被注意的通道。•后门是一个在操作系统或程序中无证明文件的通道，通常是由软件开发人员故意放置在那里的。系统默认设置•几乎所有的网络后台运行程序在默认设置的情况下都泄漏很多的信息。•采取措施保护下列信息：–DNS服务器的内容–路由表–用户和帐户名–运行在任何服务器上的标题信息拒绝服务和分布式拒绝服务•拒绝服务攻击：是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。•分布式拒绝服务攻击：处于不同位置的多个攻击者同时向一个或者数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。攻击趋势DOSDDOSamplificationnetworkAttackerMastersMiFrom:Xi(spoofed)To:VictimV…attackpacketFrom:Xi(spoofed)To:AgentAi…controlpacketFrom:Xi(spoofed)To:MasterMi…controlpacketVictimVAgentsAi控制拒绝服务攻击方式•SYNFlood•UDPFlood•UDPDNSQueryFlood•ICMPFlood•HTTPGetFlood•ConnectionFlood•……防护手段•缓解DDoS攻击–路由器优化–系统加固（IIS、Apache）–SYNCookie技术–退让策略，负载均衡、Cache–借助安全设备•流量牵引流量牵引区域1:WEB区域2:DNS区域3:E-Commerce应用InternetLegitimateTraffic正常流量攻击目标1.检测非正常流量2.启动保护(自动/手动)RemoteHealthInjection（RHI）3.将流量转移到Guard模块5.将正常流量重新注入6.到其他区域的流量没有受到影响BGPPeerO192.168.3.0/24[110/2]via100.0.0.3,2d11h,GigabitEthernet2B192.168.3.128/32[20/0]via20.0.0.2,00:00:01192.168.3.128=zone,10.0.0.2=GuardModule,20.0.0.2=MSFCBGPannounce4.攻击缓解(清洁)缓冲区溢出•缓冲区中被放入了太多的信息，就会发生缓存溢出，这可能会引起“shell”（也就是一段内存空间）被留下。黑客非常关注这个shell，因为它常常接收了那些黑客想要使用的命令。原理内部攻击•为获得未授权的访问权，与外部边缘攻击相同的方法也可以在内部攻击中使用，有些时候更容易。•窃听应用程序间的消息、损害现有控制机制以及物理攻击是内部攻击的常见方式。社会工程和非直接攻击•社会工程学（SocialEngineering），一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。•打电话询问密码•伪造E-mail•病毒，BUG和服务缺陷钓鱼攻击•常见的攻击技术–发送电子邮件，以虚假信息引诱用户中圈套–建立假冒网上银行、网上证券网站，骗取用户帐号密码实施盗窃–利用虚假的电子商务进行诈骗–利用木马和黑客技术等手段窃取用户信息后实施盗窃活动–利用用户弱口令等漏洞破解、猜测用户帐号和密码–复制图片和网页设计、相似的域名–URL地址隐藏黑客工具–通过弹出窗口和隐藏提示–利用社会工程学–利用IP地址的形式显示欺骗用户点击间谍软件•间谍软件（英文名称为“spyware”）是一种来自互联网的，能够在用户不知情的情况下偷偷进行非法安装（安装后很难找到其踪影），并悄悄把截获的一些机密信息发送给第三者的软件。•间谍软件类型：–广告型间谍软件–监视型间谍软件小结•安全攻击的类型•常见的攻击五其他攻击学习目标•掌握常见高级攻击的原理•熟悉常见高级攻击的防范措施•了解病毒，木马，间谍软件各自的特点•掌握针对网站的常用攻击方法及防范措施欺骗和中间人攻击•网络欺骗主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗等。•中间人攻击是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，实质上两台主机是通过中间这台主机来交换信息的，这台计算机就称为“中间人”，而两端主机却毫无察觉。IP欺骗•IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机ARP欺骗IPaMACAIPbMACBIPcMACC•CissendingfakedgratuitousARPreplytoA•CseestrafficfromIPatoIPbARP防范•怎样防范:•（1）在客户端使用arp命令绑定网关的真实MAC地址命令如下：•arp(先清除错误的ARP表)•arp192.168.1.103-03-03-03-03-03（静态指定网关的MAC地址）•（2）在交换机上做端口与MAC地址的静态绑定。•（3）在路由器上做IP地址与MAC地址的静态绑定。•（4）使用“ARPSERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。•（5）提高用户的安全意识，养成良好的安全习惯，包括：及时安装系统补丁程序；为系统设置强壮的密码；安装防火墙；安装有效的杀毒软件并及时升级病毒库；不主动进行网络攻击，不随便运行不受信任的软件。DNS欺骗源路由欺骗为了防范源路由欺骗攻击，一般采用下面两种措施：·对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。·在路由器上关闭源路由。用命令noipsource-route。防范方法SQL注入SQL注入：凡是网页脚本与数据库交互的地方，程序中没有对参数有限的过虑危险字符，就有可能发现SQL注入.如果连接数据库在账号权限过高,就有可能会发现更严重的问题.对于SQLServer数据库的存储过程来说，我们可以利用它来完成一些特定的功能如列目录、执行系统命令等操作.对于MYSQL数据库我们还可以利用数据库的一些功能查看文件,写入文件等操作.这些操作对服务器对WEB系统和数据库都有很大的危害。ASP程序SQLInjection•下面我们看一个常规的ASP语句•%•ifrequest(news_id)then•news_id=request(news_id)•setnrs=Server.CreateObject(Adodb.Recordset)•sql=SELECT*Fromnewswherenews_id=&news_id•nrs.opensql,conn,1,3•news_hits=nrs(news_hits)•nrs(news_hits)=news_hits+1•nrs.update•nrs.close%•上面的参数“news_id”只过滤是否为空就直接放入了SQL语名。这就形成的SQL注入.•我们测试一下SQL注入是怎么发现的。•①=12•②=12and1=1•③=12and1=2•我们按①②③的顺序一一打开网页。我们发现•①是正常的网页•②是正常的网页•③是不正常的网页。•这样and1=1正常，and1=2出错这样就形成了SQL注入。因为我们的and1=1,and1=2已经参于到了SQL语句了。攻击防范WEB应用防火墙PINGSWEEP•Ping扫射（PingSweep），也叫做ICMP扫射，是一个发送ICMP回音请求（“pings”）给一个IP地址范围的攻击，目的在于寻找能够被探查到攻击主机的。HTTPGETFLOOD•不断请求网站的URL资源攻击原理防范•对是否HTTPGet的判断，要统计到达每个服务器的每秒钟的GET请求数，如果远远超过正常值，就要对HTTP协议解码，找出HTTPGet及其参数（例如URL等）。•然后判断某个GET请求是来自代理服务器还是恶意请求。并回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求，这样HTTPGet请求就无法到达服务器，达到防护的效果•WEB应用防火墙对攻击进行响应和阻断•完整的安全策略•不要采用单独的系统和技术•部署公司范围的强制策略•提供培训•考虑物理安全•根据需要购置设备小结•了解攻击的原理•了解攻击的防范方法•对攻击的响应和阻断谢谢