网络安全培训2

第二章安全入侵原理常见的网络攻击手段攻击类型概述（一）•遍历服务器开放的通信端口，确认端口提供的服务类型，针对服务的漏洞进行攻击。•在电脑中，需要各种服务以支持各种功能，也可以手动开启或关闭某些服务以达到相应的功能。银行平面图服务类型漏洞攻击类型概述（二）•Web类型漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等攻击类型概述（二）服务类型漏洞攻击类型概述（三）•因服务器或客户端配置缺乏安全规范，导致机密资料外泄或被入侵。•常见的非安全配置：•1.密码过于简单•2.会话没有结束时间•3.会话非加密传输攻击类型概述（三）什么是网络攻击网络攻击：网络攻击者利用目前网络通信协议（如TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。常见的网络攻击手段①探测类攻击②拒绝服务类攻击③破坏类攻击④控制类攻击⑤欺骗类攻击注意：在一次网络攻击中，并非只使用上述六种攻击手段中的某一种，而是多种攻击手段相综合，取长补短，发挥各自不同的作用。探测类攻击信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。主要包括：扫描技术、体系结构刺探、系统信息服务收集等。目前正在发展更先进的网络无踪迹信息探测技术。网络安全扫描技术：网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强，也可被网络攻击者用来进行网络攻击。漏洞扫描拒绝服务类攻击拒绝服务类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。拒绝服务攻击（DoS，DenialofService）是典型的拒绝服务类攻击，它是一类个人或多人利用Internet协议组的某些工具，拒绝合法用户对目标系统（如服务器）和信息的合法访问的攻击。常见的方法：（不管系统是否存在漏洞）TCPSYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。利用系统的漏洞实现InternetDDOS攻击的过程瘫痪最终服务器阻塞沿途带宽DNS攻击基础网络设施BOT命令命令控制合法使用者DoSBot(受感染机器)DoSBot(受感染机器)DoSBot(受感染机器)DoSBot(受感染机器)漏洞类型DDOS攻击破坏类攻击破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。逻辑炸弹与计算机病毒的主要区别：逻辑炸弹没有感染能力，它不会自动传播到其他软件内。注意：由于我国使用的大多数系统都是国外进口的，其中是否存在逻辑炸弹，应该保持一定的警惕。对于机要部门中的计算机系统，应该以使用自己开发的软件为主。控制类攻击控制型攻击是一类试图获得对目标机器控制权的攻击。最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。口令截获与破解仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏技术和秘密信道技术；缓冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。服务器网马•在数据库中插入一句话木马–如%execute(request(value))%•或者上传网页木马欺骗类攻击欺骗类攻击包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。主要包括：ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。入侵的过程扫描使用工具（服务漏洞类型和web漏洞类型）手工试探（经验）扫描入侵远控恶意行为攻击者入侵的过程入侵手工验证工具攻击扫描入侵远控恶意行为攻击者入侵的过程远控账号密码新建用户扫描入侵远控恶意行为攻击者入侵的过程恶意行为木马病毒向外打流量（DDoS）监听窃取文件扫描入侵远控恶意行为攻击者入侵的过程恶意行为木马病毒向外打流量（DDoS）监听窃取文件扫描入侵远控恶意行为攻击者DDOS攻击原理DOS攻击概念DoSDenialofService的简称，拒绝服务。属于攻击早期形态，由于攻击者带宽、CPU等资源不足，较难形成威胁。如果是目标有明显漏洞，不需要僵尸网络，攻击成本较低。DDoS分布式拒绝服务(DistributedDenialofService)。当前主流攻击手段，带宽消耗、主机消耗、打漏洞都可以。福建金融企业广东在线交易这些年的DDoS攻击大事件谁会是下一个攻击案例的主角？浙江门户网站海外未知业务2016年1月末，春节来临之际，福建多家金融企业遭受海外黑客攻击威胁。主要为脉冲式攻击，辐射客户面积广泛。2015年12月，浙江互联网大会举办期间，浙江某门户网站在凌晨遭到10G以上的DDoS攻击，持续时间长达1个多小时。2015年10月，广东某在线交易平台遭到攻击组织DD4BC邮件勒索，受到持续时间长达3个小时的混个攻击及反射攻击2014年，Cloudflare的客户遭受400G反射攻击，刷新了DDoS单次攻击的最高峰值。攻击源来自全球开放的NTP服务器。DDoS攻击的分类和特点不是只有大流量才叫DDoS攻击者利用发包机或攻击工具等手段构造大流量攻击，通过消耗带宽资源和路由过载影响网络连接。常见攻击类型有SYNflood、UDPflood和ACKflood。带宽消耗型通过控制僵尸主机对目标业务和应用发起请求，模拟正常客户端行为，消耗主机资源使服务器运行缓慢或过载。常见攻击类型有HTTPGETFlood和DNSFlood。资源消耗型结合目标业务的特征发起大量请求，利用受害主机的业务逻辑缺陷造成服务器性能骤降，无法响应所有访问请求。例如在网络购物车中添加过多的产品造成异常。应用利用型带宽消耗型攻击成本低，占DDoS攻击数量的70%以上；资源消耗型攻击操作技术难度大，是攻防双方之间的绝对较量。123DDoS攻击的发展趋势魔高一尺，道高一丈流量大频次高复杂化产业化2015年全年DDoS攻击数量为179,298次，平均20+次/小时。DOS种类应用层垃圾邮件、病毒邮件DNSFlood网络层SYNFlood、ICMPFlood伪造链路层ARP伪造报文物理层直接线路破坏电磁干扰DOS种类堆栈突破型（利用主机/设备的漏洞）远程溢出拒绝服务攻击利用协议栈漏洞流量型（利用TCP/IP协议缺陷）SYNFloodACKFloodICMPFloodUDPFlood、UDPDNSQueryFloodConnectionFloodHTTPGetFloodInternetDDOS攻击的过程瘫痪最终服务器阻塞沿途带宽DNS攻击基础网络设施BOT命令命令控制合法使用者DoSBot(受感染机器)DoSBot(受感染机器)DoSBot(受感染机器)DoSBot(受感染机器)正常TCP会话与SYNFLOOD攻击SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方正常的三次握手过程SYN（我可以连接吗？）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接！SYNFlood攻击原理•SYN_RECV状态。•半开连接队列–遍历，消耗CPU和内存–SYN|ACK重试–SYNTimeout：30秒~2分钟•无暇理睬正常的连接请求，造成拒绝服务。危害其他FLOOD攻击与危害•发送大量的ACK包冲击设备。•服务器回应ACK/RST包，消耗资源。•某些应用如JSPServer对ACKFlood比较敏感。•一般来讲ACKFlood流量要较大才会对服务器造成影响。ACKFlood攻击•UDP协议无状态，应用五花八门。•利用小报文冲击应用服务器：Radius认证服务器、DNS服务器、流媒体服务器。•针对不同应用协议攻击需要制定不同的应对策略。UDPFlood攻击•利用代理服务器发起大量的HTTPGet请求。•主要是请求动态页面。•数据库服务器负载极高，无法正常响应。HTTPGetFlood攻击•攻击的危害性和DNS服务器的脆弱性–字符串匹配查找是DNS服务器的主要负载。–微软的统计数据，一台DNS服务器所能承受的递归动态域名查询的上限是每秒钟9000个请求。–一台P3的主机可以很轻易地发出每秒上万个请求。–2004年初国内顶级虚拟主机服务商DNS服务器被攻击，影响极大。•攻击的手段–只针对53端口发NULL数据包，危害性不大。–请求解析固定的域名，由于有cache存在，需要较大数量。–随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求，引起连锁反应。–蠕虫扩散带来的大量域名解析请求。UDPDNSQueryFlood攻击常见攻击类型的判断方法判断synflood的方法：用netstat–na查看一下SYN_RECV状态和ESTABLISHED状态的比例关系，如果SYN_RECV状态是ESTABLISHED状态的2倍以上，则可以肯定是SYNFlood攻击。浏览器PHP,ASP,ASPX,JSP数据库服务器sWEB服务器终端应用程序存储端MySQL,MSSQL,OracleetcfunctiongetArticleInfo($id=0){global$db;if($id==0){…}Return$db-getOneRow(select*fromcms_articlewhereid=.$id);}SELECT*FROMcms_articleWHEREid=36典型WEB应用架构图一次HTTP抓包客户端服务端synSyn+ackackGETHTTP200漏洞类型DDOS攻击常见的抗DDoS解决方案抗D，不能是说说而已DDoS防护各类防护方案特点分析01.防火墙&IPS抗D防火墙产品的抗D模块无法检测应用层攻击，并且受会话性能的影响无法应对大流量攻击清洗的需求。03.云清洗抗D服务节省硬件采购和部署成本，防护性能弹性大，但是服务费用高，清洗策略不可控，全部依赖第三方运营。02.CDN防护DDoSCDN防护是将攻击流量负载到多个节点，节点性能无法应对大流量攻击，并且攻击透传回源无法防护。04.专有的抗D设备专有的抗D设备部署在本地网络出口，满足各类DDoS攻击防护。但要与云清洗配合才能解决带宽拥塞场景下的DDoS防护。怎样衡量一个抗D方案的优劣核心就是清洗，效果体现实力快速清洗事件汇报减少误伤智能运营01.算法要多更要强与防火墙或IPS相比，抗D设备的专业性体现在防护算法的多样性上，快速检测并启用智能算法清洗。03.报表体现价值能够通过丰富的报表多维度展示攻击情况，体现防护价值，全面掌握攻击趋势并警示业务防护管理。.02.策略精细且灵活精细化的防护策略是保障未知攻击防护清洗的重要前提，灵活的策略配置能够降低误伤，确保攻击下业务依然正常。04.防护不应该是负担DDoS的攻防是一门专有技术，成熟的解决方案需要提供智能的清洗策略，兼备可运营的平台、支持团队以及应急机制。SQL注入攻击基础（含HTTP协议）HTTP协议一次HTTP抓包客户端服务端synSyn+ackackGETHTTP200HTTP请求请求首部描述Host请求的服务器的主机名和端口号Connection允许C/S指定与请求/响应连接的有关选项Accept指定客户端接受信息的类型（MIME类型）User-Agent发起请求的应用程序名称Accept-Encoding告诉服务器能够接受哪些内容编码方式Cookie客户端提供给服务器的认证数据首行：请求的方法、路径、协议类型HTTP协议之方法GET获