安全攻防简介-培训.ppt

《安全攻防简介-培训.ppt》由会员分享，可在线阅读，更多相关《安全攻防简介-培训.ppt（78页珍藏版）》请在装配图网上搜索。

1、安全攻防简介,培训,目录,常见的黑客攻击手段介绍,2,常见的防御手段介绍,3,安全事件响应处理介绍,黑客究竟是什么？,黑客起源的背景,起源地： 美国 精神支柱： 对技术的渴求 对自由的渴求 历史背景： 越战与反战活动 马丁路德金与自由 嬉皮士与非主流文化 电话飞客与计算机革命,凯文米特尼克是美国20世纪最著名的黑客之一，他是社会工程学的创始人 1979年他和他的伙伴侵入了北美空防指挥部。 1983年的电影战争游戏演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战。,黑客(hacker),最开始，黑客(hacker)这个词只是指那些可以随心所欲编写计算机程序实现自己意图的计

2、算机高手，没有任何贬义。 骇客 白客 灰客 红客,中国的“黑客文化”,中国缺乏欧美抚育黑客文化的土壤 缺少庞大的中产阶层 缺少丰富的技术积累 中国的黑客文化更多带有“侠”的色彩 侠之大者，为国为民 侠之小者，除暴安良,黑客特殊的语言,例如： 3v3ry0n3 kn0wz wh3n y0u h4ck a w3b p4g3 y0u h4v3 t0 us3 h4ck3r t4lk Everyone knows when you hack a web page you have To use hacker talk,中国“黑客”重要历史事件,1998年印尼事件 1999年南联盟事件 中美五一黑客大战事

3、件,黑客攻击一般过程,黑客工具：数量越来越多，而且越来越易用，并且其造成的影响也越来越大。 黑客的知识技能：正因为以上工具的易用性，对于黑客入侵所需要的知识技能也越来越低。 漏洞被利用的时间越来越短，目前，宣布发现软件安全漏洞和利用这个安全漏洞的时间从三年前的185天缩短到了1天。Trend公司,黑客工具越来越多,攻击者技能要求越来越低,安全攻击特点和趋势(1),从展示、炫耀技巧到以追求经济利益为目的 如利用虚假网站进行的网络钓鱼，盗取上网用户银行帐号，进而窃取资金； 在普通用户的上网终端中植入控制软件，用于“监听”用户行为，并用来作为攻击重要目标的跳板，成为网络犯罪事件的牺牲品、替罪羊；,安

4、全攻击特点和趋势(2),内部工作人员、第三方技术支持人员利用对内部信息的了解、拥有的权限以及业务流程漏洞，实施信息安全犯罪。,安全攻击特点和趋势(3),攻击方法及技术趋势(4),高,低,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,回话劫持,擦除痕迹,臭探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,攻击者,入侵者技术,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,SQL注入,Google hacking,2005,常见的攻击手法,物理攻击 利用网络系统漏洞 暴力破解和网络嗅探

5、 特洛伊木马 蠕虫病毒 拒绝服务攻击 社会工程学 更多新的攻击技术,物理攻击,线路窃听 电磁泄漏 硬件损坏 绕过门禁 打开机箱，放电清除CMOS 水、火、雷、地震,利用网络系统漏洞,系统漏洞有可 能是操作系统本身所有的，如windows2000、UNIX等都有数量不等的漏洞，也有可能是由于管理的疏忽而造成的。 这些漏洞包括著名的UniCODE漏洞、WebDAV溢出漏洞以及最新的Server服务溢出漏洞等等。 系统本身的漏洞，可以安装软件补丁；另外网管也需要仔细工作，尽量避免因疏忽而使他人有机可乘。,中美黑客大战介绍,事件背景和经过 4.1撞机事件为导火线 四月初，美国黑客组织对国内站进行攻击，

6、约300左右的站点页面被修改 4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战,美国黑客更改的网页,国内黑客组织更改的页面,这次事件中被利用的典型漏洞,暴力破解和网络嗅探,在互联网上，使用密码是最常见并且最重要的安全保护方法，用户时时刻刻都需要输入密码进行身份校验。 现在的密码保护手段大都认密码不认人，因此，取得密码也是黑客进行攻击的重要手段。 取得密码也还有好几种方法，一种是对网络上的数据进行监听。 另一种解密

7、方法就是使用穷举法对已知用户名的密码进行暴力解密。 还有，利用工具进行解密密码。 用户在进行密码设置时一定要将其设置得复杂，另外应该经常更换密码，这样使其被破解的可能性又下降了不少。,1999年1月，EFF 用DES Crack（内含1856块芯片）和网络分布计算，在DES Cracker的攻击下，仅在22小时内就成功的破译出安全密码。 DES Cracker是一台计算机用来建立测验DES加密数据联接密码的。这台机器单独能每秒扫描九百亿个密码。 过去20年里，这个算法已被广泛应该到加密数据，银行系统、经济领域、商业领域，所以DES算法的安全非常重要。 DES Cracker 造价25万美元。,

8、DES Crack,网络嗅探,木马病毒“艾妮”（TROJ_ANICMOO.AX）正在传播,木马是客户端攻击中经常使用的攻击方式 目的：盗取信息、远程控制的后门、拒绝服务的僵尸代理 木马的攻击发起方式 伪装格式 下载绑定 网站挂马 社会工程 蠕虫与漏洞,特洛伊木马,孔子曰：“食色，性也”，-看见美女你点不点？,攻击人性的弱点,被绑定木马，播放即执行恶意代码 利用浏览器的WEB功能嵌入恶意代码,被骇客利用的电影和娱乐事件 2005年8月 張靚穎在更衣室裏的手機照片，http:/*” 2006年2月一個饅頭引發的血案 2006年12月滿城盡帶黃金甲,影音文件,常用的木马实现技术 反弹端口 线程注入

9、加密隧道传输 分布式与上线通知 Exe捆绑 隐藏的自启动和文件关联,如何防范木马？ 安全意识 及时的系统补丁 定期的检查（工具和手工） 对系统异常操作警惕,特洛伊木马,蠕虫病毒攻击,蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络、电子邮件、WEB服务器、网络共享等。并对网络或联网计算机造成破坏。 蠕虫的基本程序结构为： 传播模块：负责蠕虫的传播， 隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。 目的功能模块：实现对计算机的控制、监视或破坏等功能。 传播模块由可以分为三个基本模块：扫描模块、攻击模块和复制模块。,Code RED 冲击波 威金蠕虫变

10、种RC MSN性感相册蠕虫病毒 恶性蠕虫“IO下载者” 熊猫烧香、金猪报喜 小浩蠕虫,层出不穷的蠕虫病毒,定义：DoS(Denial of Service，拒绝服务)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。 DDoS (Distributed Denial of Service，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。,什么是DoS/DDoS攻击？,攻击类型划分I 堆栈突破型（利用主机/设备漏洞） 远程溢出拒绝服务攻击 网络流量型（利用网络通讯协

11、议） SYN Flood ACK Flood ICMP Flood UDP Flood、UDP DNS Query Flood Connection Flood HTTP Get Flood ,攻击类型划分II 应用层 垃圾邮件、病毒邮件 DNS Flood 网络层 SYN Flood、ICMP Flood 链路层 ARP 伪造报文 物理层 直接线路破坏 电磁干扰,拒绝服务(DoS)的分类,TFN(Tribe Flood Network) 德国著名黑客Mixter编写的分布式拒绝服务攻击工具 TFN由主控端程序和代理端组成 攻击者到主控端TCP绑定 主控端到代理端ICMP_ECHOREPLY

12、代理端对目标机SYN Flood、ICMP Flood、UDP Flood、Smurf 攻击 免费的DDoS攻击工具，还包括Trinoo、TFN2k、Stacheldraht等，使得DDoS攻击技术门槛降低更加普及，对网络造成严重威胁,Mixter,ID字段包含命令,著名的DDoS攻击工具TFN,受害者,攻击者,主控端,主控端,代理端,主控端,代理端,代理端,代理端,代理端,代理端,僵尸军团,DDoS攻击模型,当前DDoS攻击的形势,社会工程 假借客户，骗取资料 冒充技术员打电话，询问个人邮件密码 搜集员工个人信息，破解用户口令 收买公司员工，窃取内部机密,社会工程,命令行 Wis、Wed G

13、UI工具：NBSI、SQL Tools,SQL注入自动化工具,SQL Injection Basic Example,什么是网络钓鱼（Phishing）？,“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。 在美国和英国已经开始出现专门反网络钓鱼的组织，越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列，比如微软、戴尔都宣布设立专案分析师或推出用户

14、教育计划，微软还捐出4.6万美元的软件，协助防治“网络钓鱼”。,钓鱼者,Victim Web Server,受害用户,发送钓鱼邮件,受害者点击钓鱼URL,钓鱼网站被浏览,受害者发送机密信息,入侵主机，安装钓鱼网站和 垃圾邮件箱,Mail Drop Service,信息被发送到另外一个邮箱,钓鱼者索取信息,典型的钓鱼过程,伪造发件人地址 ：发件人可以是 可以是 ，但是实际上不是 伪造虚假连接：图像连接,网络钓鱼进行进行欺骗的技术手段,其他欺骗技术,跨站脚本漏洞（Cross Site Script）允许在一个合法的站点上插入非法的脚本 恶意的脚本在客户机上被执行，而这个客户机信任该站点 客户机上的

15、信息被恶意脚本获得，包括用户login的名字，cookie等等 特别具有欺骗性，用户看到的界面是“合法的站点”，包括URL、数字证书等等，但是由于服务器的漏洞，导致客户机上机密信息被盗取,高级钓鱼话题利用XSS漏洞,如何防钓鱼？,客户机： 不要随便点击EMAIL、ICQ和聊天室里的链接 不要连接到不信任的网络和使用不信任的计算机 启用个人防火墙 不断的更新客户机软件（防病毒、WEB浏览器、EMAIL客户端） 用数字证书 企业： 使用IPS 教育用户，并让他们的软件保持更新 部署防垃圾邮件和防病毒措施,网络攻击软件繁多,大量的攻击工具随手拾来,讨论,在工作中如果存在这些威胁将如何防御？,目录,常

16、见的黑客攻击手段介绍,1,常见的防御手段介绍,3,安全事件响应处理介绍,常见的防御手段,安全培训 安全意识培训 管理培训 技术培训 安全评估 工具评估 人工评估 渗透测试 访谈和现场观察 安全加固 通过更改配置加固 通过加强管理修补 通过增加手段修补 通过系统改造修补,安全评估内容,风险评估,风险监控以及日常风险管理,风险控制,工具评估,主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。网络扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安

17、全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁,工具评估,工具评估特点 操作最简单； 内容最基础； 历时最短； 结果最直观； 可自动生成报告； 因其固有的模板，适用的范围，特定的运行环境，以及它的缺乏智能性等诸多因素，因而有着很大的局限性； 对网络资源和被评估系统的资源占用在3%-5%之间，可以通过修改、配置一定的扫描策略来使这些资源消耗降低至最小,人工评估,工具扫描因为其固定的模板，适用的范围，特定的运行环境，以及它的缺乏智能性等诸多因素，因而有着很大的局限性；而人工评估与工具扫描相结合，可以完成

18、许多工具所无法完成的事情，从而得出全面的、客观的评估结果。 人工评估在各服务项目中都会用到，主要是依靠安氏公司具有丰富经验的安全专家在各服务项目中通过针对不同的评估对象采用顾问访谈，业务流程了解等方式，对评估对象进行全面的评估。,人工评估,人工评估特点 无写操作； 人工输出评估报告； 人工评估与工具扫描相结合，可以完成许多工具所无法完成的事情，得出全面的、客观的评估结果 对业务无影响,渗透测试,渗透测试主要依据已经发现的安全漏洞，模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。 渗透测试主要针对系统主机进行，因此将占用主机系统及其所在的网络环境的部分资源。对于其他的资源没有特殊的要求

19、。,渗透测试（续）,渗透测试（续）,优点 直观体现网络的安全状况 对提高安全意识的效果显著 实施灵活，资源调动较少 缺点 对实施小组的技术、经验、素质、协作要求苛刻 渗透成功可能只发现安全问题的冰山一角 渗透失败可能会造成“网络是安全的” 乐观印象,中国移动集团渗透测试及单系统评估项目,短信 渗透测试结果 由于到短信业务使用FTP协议并存在弱密码，渗透者轻易得到了用户名和密码并从BOOS登陆到短信接口机上，短信系统服务器使用SERV-U FTP Server V4.0 存在远程溢出漏洞可以得到主机的最高权限 从短信中心到综合网关可以得到综合网关服务器的最高权限 从短信中心到欢迎短信可以得到欢迎

20、短信关服务器的最高权限 人工评估结果 欢迎短信服务器被入侵 企信通服务器被入侵 弱口令 关键补丁没有安装 密码没有定期更改 人员离职账号口令交接存在问题 ,某省WAP系统单业务安全评估项目,评估结果 发现存在明显弱用户名和口令，通过该用户和弱口令成功的登陆到内部网络的堡垒机上，并因该账户的弱口令及多处存在基本接管了WAP上的路由器和防火墙。 分析GRE路由器配置发现可以到达GGSN。对GGSN由于不在这次渗透测试范围并没有对GGSN做渗透测试。 从WAP外部可以下载某厂商的表单应用软件客户端，因软件服务器端存在默认的用户名和口令，这样通过下载客户端软件的可以获得所有服务端的表单数据。,某省的彩

21、铃、www门户和梦网渗透项目,彩铃 后门页面 目录信息暴露 脚本源代码信息暴露,某省的彩铃、www门户和梦网渗透项目,www门户 暴露ASP源文件 暴露SQL插入记录语句,其他,某网上营业厅渗透发现 不需要认证重置手机密码：由于网页中重置手机密码功能，未有图片认证验证。破坏者可以利用此漏洞，编写脚本发起对移动任何手机的大量重置短信。 SQL注入：构造语句获取到了数据库版本、数据库名、称数据库用户及密码（密码的HASH，暂未破解 ）、数据库表格内容等 文件泄露，大量的脚本文件暴露，通过暴露的脚本，可以查询到如下信息,其他,企业信息网（） 使用xscan、Scanner、等扫描工具对外网提供的服务

22、的IP地址进行扫描。 尝试对web提供的服务程序溢出。 尝试手工破解某用户名和密码。 成功后获得登陆某省公司部分OA系统的权限。 手工暴力破解某用户名和密码。 成功后得到登陆到某省公司内网的权限可以任意登陆OA服务器,访谈和现场观察,访谈 现场观察,安全评估内容,风险评估,风险监控以及日常风险管理,风险控制,网络安全评估（基础设施评估）,应用安全评估,需求阶段,系统开发和交付,系统部署实施,系统运行维护,系统废弃,系统敏感度评估,确定安全需求,将安全需求加入 到系统设计中,获得系统（开发 或购买）及安全功能,安装并使安全 控制有效,安全测试,鉴定合格,安全操作和管理,运作保证 （监控和审计）,

23、变更管理,系统废弃审核,定期评估,安全管理评估,安全管理评估流程,讨论,结合当前的环境中，思考或讨论目前主要采用哪些手段进行安全防御?,目录,常见的黑客攻击手段介绍,1,常见的防御手段介绍,2,安全事件响应处理介绍,安全事件响应处理介绍,安全事件的分类分级 安全事件处理流程,安全事件的分类分级,安全事件的定义 由于自然或者人为的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件。（信息安全事件分类分级指南） 安全事件是一个或一系列与网络与系统安全、业务安全、信息安全相关的，并极有可能危害系统可用性、完整性或保密性的事件。（中国移动安全事件管理办法）,安全事件的分类分级,安全事

24、件的分类 基于受攻击设备分类原则，安全事件分为： 主机设备安全事件 网络设备安全事件 数据库系统安全事件 基于安全事件影响的分类原则，安全事件类型分为 影响系统可用性的安全事件：拒绝服务攻击、恶意代码、漏洞攻击、僵尸网络等； 影响系统完整性的安全事件：信息篡改事件、网页挂马、以破坏系统数据为目的的后门木马、漏洞攻击等； 影响系统机密性的安全事件：信息窃取、信息泄密、网络钓鱼、网络嗅探、信息假冒、以窃取信息为目的后门木马、恶意程序（间谍软件、盗号软件）、漏洞攻击、僵尸网络等。 安全监控工作主要根据基于安全事件影响分类来进行。,安全事件的分类分级,安全事件分级,安全事件的来源,安全事件的来源,安全

25、事件处理流程图,安全应急响应 工作小组,综合部、市场部,省通信管理局,省安全分中心,CNNIC,地市州公司,技术支撑队伍,设备厂商,当地其它运营商,安全监控人员,负责重大安全事件信息对媒体、用户的披露口径,提供指导意见 协调相关资源,组织开展省内电信行业应急响应工作 提供技术支援,对省内DNS发生的安全事件提供技术支援,对系统发生的安全事件进行监控和预处理,向省公司上报安全事件及处理进展 按省公司要求落实应急响应要求,由自有专家队伍和外购服务组成，对重大安全事件分析、处理等工作提供专业技术支撑,针对本厂商提供的系统和设备，在安全保障工作中提供技术和服务支撑,共同处理应对跨企业的安全事件,系统维护人员,发生安全事件时按照应急预案在系统上实施处置措施,协调,协调,请示,配合,配合,配合,指导,指挥,组织,协调,移动应急响应组织架构,