《网络安全培训.pptx》由会员分享,可在线阅读,更多相关《网络安全培训.pptx(57页珍藏版)》请在第壹文秘上搜索。
1、 2p 当前的安全威胁当前的安全威胁p 常用威胁及应对常用威胁及应对p 漏洞攻击演示漏洞攻击演示p 总体解决思路总体解决思路培训内容 3 根据发布的公告,截止到2013年3月10日我国境内感染网络病毒的主机数量约为138.4万个,其中包括境内被木马或被僵尸程序控制的主机约43.4万以及境内感染飞客()蠕虫的主机约95万木马或僵尸程序受控主机在我国大陆的分布,排名前三位的分别是广东省、江苏省和浙江省。 捕获了大量新增网络病毒文件,按网络病毒名称统计新增33个,按网络病毒家族统计新增1个。 放马站点是网络病毒传播的源头。本周,监测发现的放马站点共涉及域名140个,涉及地址262个。在140个域名中
2、,有约60.7%为境外注册,且顶级域为的约占66.4%;在262个中,有约54.2%位于境内,约45.8%位于境外。根据对放马的分析发现,大部分放马站点是通过域名访问,而通过直接访问的涉及98个。 严峻的安全形势 4严峻的安全形势 5面临的安全威胁网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫信息丢失、信息丢失、篡改、销毁篡改、销毁6额外的不安全因素外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织7网络的普及使学习网络进攻变得容易q全球超过全球超过26万
3、个黑客站点提供系统漏洞和攻击知识万个黑客站点提供系统漏洞和攻击知识q越来越多的容易使用的攻击软件的出现越来越多的容易使用的攻击软件的出现q国内法律制裁打击力度不够国内法律制裁打击力度不够8WorkstationVia EmailFile ServerWorkstationMail Server混合型攻击:蠕虫Web ServerVia Web PageWeb ServerMail Gateway防病毒防病毒防火墙防火墙入侵检测入侵检测风险管理风险管理攻击的发展趋势9攻击的发展趋势(1). 漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) (2)
4、. 混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 漏洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。 10攻击的发展趋势(1). 主动恶意代码趋势制造方法:简单并工具化 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身,躲避甚至攻击防御检测软件.表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽,复制传播,难以检测。(2). 受攻击未来领域即时消息:等对等程序(P2P)移动设备(手机安全)11为什么会有这么多的攻击漏洞q 简单介绍各种漏洞及原因q 设计上的缺陷q 利益上的考虑q 软件变得日
5、益复杂12针对漏洞扫描的防范措施安装防火墙,禁止访问不该访问的服务端口,使用隐藏内部网络结构安装入侵检测系统,检测漏洞扫描行为安装评估系统,先于入侵者进行漏洞扫描,以便及早发现问题并解决提高安全意识,经常给操作系统和应用软件打补丁13常见的黑客攻击方法q 口令攻击q 网络监听q 缓冲区溢出q 路由攻击q 逻辑炸弹蠕虫后门、隐蔽通道计算机病毒拒绝服务攻击( )特洛伊木马其它网络攻击常见的网络攻击(10种)14口令攻击q 口令攻击软件 1.4q 这个软件由著名的黑客组织出的,它支持, , , 速度超快,可以说是目前同类中最杰出的作品。 对于老式的档(就是没的那种,任何人能看的都可以把 密文存下来)
6、可以直接读取并用 字典穷举击破。 对于现代的 + 的方式, 提供了程序直接把两者合成出老式文 件。15 入侵者是如何得到密码的q 大量的应用程序都是传送明文密码q 窃听加密密码并解密q 窃取密码文件,利用工具破解q 社会诈骗16口令攻击:“*”密码查看17口令攻击演示:密码破解18口令攻击19针对口令破解攻击的防范措施不用中文拼音、英文单词不用生日、纪念日、有意义的字符串使用大小写字母、符号、数字的组合20针对口令破解攻击的防范措施q 不要将口令写下来。q 不要将口令存于电脑文件中。q 不要让别人知道。q 不要在不同系统上使用同一口令。q 为防止眼明手快的人窃取口令,在输入口令时应确认无人在身
7、边。q 定期改变口令,至少2个月要改变一次。21针对口令破解攻击的防范措施p安装入侵检测系统,检测口令破解行为p安装安全评估系统,先于入侵者进行模拟口令破解,以便及早发现弱口令并解决p提高安全意识,避免弱口令22 网络监听23 常用网络监听工具工具名称操作系统功能简介, 针对协议的不安全性进行监听, 可以从以太网上监听并截获数据包, 监控在以太网上传输的数据包 监听以太网上的通信, 用来侦听本网段数据包,常用作错误诊断、 显示当前的连接和协议统计监听局域网上的通信的主机监听外部主机对本机的访问24 网络嗅探是主机的一种工作模式,在这种模式下,主机可以接收到共享式网段在同一条物理通道上传输的所有
8、信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如 , , ,等就可以轻而易举地截取包括口令、帐号等敏感信息。漏洞扫描和攻击之网络嗅探25共享信道共享信道广播型以太网广播型以太网协议不加密协议不加密口令明文传输口令明文传输混杂模式混杂模式处于这种模式的网卡接受网络中处于这种模式的网卡接受网络中所有数据包所有数据包26网上截获的网上截获的帐号和口令帐号和口令27针对网络嗅探攻击的防范措施安装网关,防止对网间网信道进行嗅探对内部网络通信采取加密处理采用交换设备进行网络分段采取技术手段发现处于混杂模式的主机,发掘“鼹鼠”28 缓冲区溢出
9、q什么是缓冲区溢出q简单地说,缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据,导致数据越界,结果覆盖了原先的堆栈数据。q例如:q ( *) q 16; q (); q 29堆栈溢出攻击十年来最大的安全问题十年来最大的安全问题 这是一种系统攻击手段,通过这是一种系统攻击手段,通过向程序的缓冲区写超出其长度的向程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的行其它指令,以达到攻击的目的。这种攻击可以使得一个匿名的。这种攻击可以使得一个匿名的用户有机会获得一台
10、主机的部分用户有机会获得一台主机的部分或全部的控制权。或全部的控制权。30路由攻击注入假的路由到路由选择系统重定向业务流到黑洞重定向业务流到慢的链接重定向业务流到可以分析与修改的地点31逻辑炸弹 逻辑炸弹是一段潜伏的程序,它以某种逻辑状态为触发条件,可以用来释放病毒和蠕虫或完成其他攻击性功能,如破坏数据和烧毁芯片。它平时不起作用,只有当系统状态满足触发条件时才被激活。32蠕 虫 蠕虫是一段独立的可执行程序,它可以通过计算机网络把自身的拷贝(复制品)传给其他的计算机。蠕虫可以修改、删除别的程序,但它也可以通过疯狂的自我复制来占尽网络资源,从而使网络瘫痪。33后门与隐蔽通道q 调试后门:为方便调试
11、而设置的机关,系统调试完成后未能及时消除。q 维护后门:为方便远程维护所设置的后门,被黑客恶意利用。q 恶意后门:由设计者故意设置的机关,用以监视用户的秘密乃至破坏用户的系统q 隐蔽通道:是一种允许违背合法的安全策略的方式进行操作系统进程间通信()的通道。隐蔽通道又分为隐蔽存储通道与隐蔽时间通道。隐蔽通道的重要参数是带宽。34操作系统后门 至今我国使用的处理器和操作系统等重要软硬件依然靠国外进口,有的发达国家出于种种目的,在软硬件上留下缺口或者“后门”,给我国信息安全留下了巨大的隐患。 据报道,曾上市的奔腾三处理器中设置了用以识别用户身份的序列码,每一台机器只有唯一的序列码且永久不变,电脑用户
12、在网络或互联网上所做的每一件事都会留下痕迹,或处于别人的监视之下。 而此前上市的操作系统98则会根据用户的计算机硬件配置情况生成一串用户名字、相关地址代码等全球唯一的识别码,然后通过电子注册程序在用户不知道的情况下传送到微软的网站上。 奔腾三处理器和微软公司的98一方面带来更高性能和更快速度,但另一方面有可能成为随时会泄密的“定时炸弹”。35病 毒 是人编写的一段程序! 太多了!36计算机病毒的分类引导型病毒()可执行文件病毒(病毒)宏病毒(七月杀手)特洛伊木马型病毒()病毒(爱虫)脚本病毒( )混合型病毒()37针对病毒攻击的防范措施安装防火墙,禁止访问不该访问的服务端口安装入侵检测系统,检
13、测病毒蠕虫攻击安装防病毒软件,阻挡病毒蠕虫的侵袭提高安全意识,经常给操作系统和应用软件打补丁另一种威胁另一种威胁拒绝服务攻击拒绝服务攻击应用漏洞攻击及防范39拒绝服务攻击*定义及分类的定义 分布式拒绝服务(Distributed Denial of Service),即对特定的目标,利用大量分布式的合理服务请求来占用过多的服务资源,从而导致系统崩溃,无法提供正常的Internet服务。流量型攻击 通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽,服务拒绝。 通常以Flooding形式,如SYN Flood、ACK Flood、ICMP Flood、UDP Flood、UD
14、P DNS Query Flood、Connection Flood、HTTP Get Flood 等。应用型攻击 利用诸如HTTP等应用协议的某些特征,通过持续占用有限的资源,从而使目标设备无法处理正常访问请求 如HTTP Half Open攻击、HTTP Error攻击等攻击影响攻击浪费网络浪费网络带宽资源带宽资源增加核心增加核心设备的工设备的工作负荷作负荷关键业务关键业务中断中断网络服务网络服务质量质量下降下降SLASLA破坏破坏导致导致高额高额服务赔偿服务赔偿信誉蒙受信誉蒙受损失损失经济蒙受经济蒙受损失损失攻击地下产业化直接发展收购肉鸡制造、控制,培训、租售学习、赚钱僵尸网络工具、病毒
15、制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训地下黑客攻击网络 & q 攻击 q 攻击q 攻击q 攻击q 攻击q 攻击 q 攻击目前主要的攻击方式46 攻击原理q正常的三次握手建立通讯的过程正常的三次握手建立通讯的过程SYN (我可以连接吗?)(我可以连接吗?)ACK (可以)(可以)/SYN(请确(请确认!)认!)ACK (确认连接)(确认连接)发起方发起方应答方应答方47 攻击原理SYN (我可以连接吗?)(我可以连接吗?)ACK (可以)(可以)/SYN(请确认!)(请确认!)攻击者攻击者受害者受害者伪造地址进行伪造地址进行SYN请求
16、请求为何还为何还没回应没回应就是让就是让你白等你白等不能建立正常的连接不能建立正常的连接48连接耗尽正常正常tcp connect攻击者攻击者受害者受害者大量的大量的tcp connect这么多需这么多需要处理?要处理?不能建立正常的连接不能建立正常的连接正常正常tcp connect正常正常tcp connect正常正常tcp connect正常正常tcp connect正常用户正常正常tcp connect49针对攻击的防范措施(一) 攻击者攻击者目标目标攻击者伪造源地址进行请求攻击者伪造源地址进行请求好像不管好像不管用了用了其它正常用户能够得到响应其它正常用户能够得到响应 SYN ACK | SYN? SYN ACK ACK | SYN50针对攻击的防范措施(二) 攻击者攻击者目标目标攻击者伪造源地址进行请求攻击者伪造源地址进行请求好像不管好像不管用了用了其它正常用户能够得到响应其它正常用户能够得到响应 SYN? ACK | SYN攻击者受害者( )正常 请求不能建立正常的连接正常HTTP Get Flood正常用户正常 攻击表象利用代理服务器向受害者发起大量 请求主要请求动态页
