常見攻擊與防御培訓材料

1、常見攻擊與防御常見攻擊與防御入侵方式入侵方式v 入侵目標 系統(tǒng)入侵 互聯(lián)網(wǎng)設備入侵 應用入侵 物理入侵 人腦入侵 獲取口令SniffARP Spoof中間人攻擊口令猜測破解口令漏洞利用緩沖區(qū)溢出SQL 注入代碼注入社會工程學掃描的技術分類掃描的技術分類存活性掃描端口掃描漏洞掃描OS識別掃描流程主機掃描技術主機掃描技術v 主機掃描的目的是確定在目標網(wǎng)絡上的主機是否可達。這是信息收集的初級階段，其效果直接影響到后續(xù)的掃描。v 常用的傳統(tǒng)掃描手段有： ICMP Echo掃描 ICMP Sweep掃描 Broadcast ICMP掃描 Non-Echo ICMP掃描v 防火墻和網(wǎng)絡過濾設備常常導致傳統(tǒng)

2、的探測手段變得無效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用ICMP協(xié)議提供網(wǎng)絡間傳送錯誤信息的手段，往往可以更有效的達到目的：v 非常規(guī)的掃描手段有： 錯誤的數(shù)據(jù)分片：發(fā)送錯誤的分片（如某些分片丟失） 通過超長包探測內部路由器：超過目標系統(tǒng)所在路由器的PMTU且設置禁止分片標志端口掃描端口掃描v 一個端口就是一個潛在的通信通道，即入侵通道v 當確定了目標主機可達后，就可以使用端口掃描技術，發(fā)現(xiàn)目標主機的開放端口，包括網(wǎng)絡協(xié)議和各種應用監(jiān)聽的端口。v 很多基于端口的掃描器都以端口掃描后的返回數(shù)據(jù)作為判斷服務狀態(tài)的依據(jù)v 端口掃描技術應用以下協(xié)議： TCP UDP ICMP攻擊攻擊“譜線

3、譜線”一般的入侵流程 信息搜集 漏洞利用進入系統(tǒng) 實現(xiàn)目的 竊 取 、 篡 改 、 破壞 進一步滲透其他主機 安裝后門什么是什么是DDOSDDOS攻擊攻擊DDOSDDOS攻擊原理攻擊原理mbehringmbehringISPISPCPECPEInternetInternetZombieZombie( (僵尸僵尸) )發(fā)現(xiàn)漏洞取得用戶權取得控制權植入木馬清除痕跡留后門做好攻擊準備HackerHacker( (黑客黑客) )v攻擊來自于眾多來源，發(fā)出不計其數(shù)的IP數(shù)據(jù)包v攻擊的眾多來源來自不同的地理位置v會過渡地利用網(wǎng)絡資源v拒絕合法用戶訪問在線資源v洪水般的攻擊包堵塞住企業(yè)與互聯(lián)網(wǎng)的全部連接v終

4、端客戶的內部設備都不能有效抵御這種攻擊 DDOS攻擊是黑客利用攻擊軟件通過許多臺“肉雞”同時展開拒絕服務攻擊，規(guī)模更大，危害更大MasterServerDDOS攻擊特性我是硬殺傷，是劫匪、是強盜、是截拳道，用最直接的方式把你擊倒！我和其他兄弟有本質的區(qū)別，他們講究的是技巧、我強調的是力道！洪水是我的外表，霸道才是本質。從來不搞懷柔，結果只有兩個，不是你倒就是我倒我只喜歡群毆，從不單挑！我只喜歡群毆，從不單挑！流量型攻擊SYN FloodSYN （我可以連接嗎？）（我可以連接嗎？）攻擊者攻擊者受害者受害者偽造地址發(fā)送大量偽造地址發(fā)送大量SYN 請求請求就是讓就是讓你白等你白等SYN Flood

5、攻擊原理攻擊表現(xiàn)v SYN_RECV狀態(tài)v 半開連接隊列 遍歷，消耗CPU和內存 SYN|ACK 重試 SYN Timeout：30秒2分鐘v 無暇理睬正常的連接請求拒絕服務SYN （我可以連接嗎？）（我可以連接嗎？）SYN （我可以連接嗎？）（我可以連接嗎？）SYN （我可以連接嗎？）（我可以連接嗎？）SYN （我可以連接嗎？）（我可以連接嗎？）正常連接請求得不到響應正常連接請求得不到響應正常正常SYN（我可以連接嗎？）（我可以連接嗎？）連接型攻擊CC Proxy攻擊者攻擊者受害者受害者(Web Server)大量非正常大量非正常HTTP Get請求請求不能建立正常的連接不能建立正常的連接非

6、正常非正常HTTP Get Flood正常用戶正常用戶正常正常HTTP Get Flood攻擊表現(xiàn)非正常非正常HTTP Get Flood非正常非正常HTTP Get Flood非正常非正常HTTP Get Flood非正常非正常HTTP Get Flood非正常非正常HTTP Get FloodDB連接池連接池用完啦！用完啦！受害者受害者(DB Server)DB連接池連接池占占用用占占用用占占用用HTTP Get Flood 攻擊原理v利用代理服務器向受害者發(fā)起大量HTTP Get請求v主要請求動態(tài)頁面，涉及到數(shù)據(jù)庫訪問操作v數(shù)據(jù)庫負載以及數(shù)據(jù)庫連接池負載極高，無法響應正常請求 漏洞型攻擊

7、Teardrop攻擊 UDP Fragments 受害者受害者發(fā)送大量發(fā)送大量UDP病態(tài)分片數(shù)據(jù)包病態(tài)分片數(shù)據(jù)包Teardrop 攻擊原理攻擊表現(xiàn)v 發(fā)送大量的UDP病態(tài)分片數(shù)據(jù)包v 操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象 v 無暇理睬正常的連接請求拒絕服務 UDP FragmentsUDP FragmentsUDP FragmentsUDP Fragments服務器宕機，停止響應服務器宕機，停止響應正常正常SYN（我可以連接嗎？）（我可以連接嗎？）攻擊者攻擊者服務器服務器系統(tǒng)崩潰系統(tǒng)崩潰DDOSDDOS攻擊影響攻擊影響DDOS攻擊起源DDOS起源： DDOS

8、最早可追述到1996年最初,在中國2002年開始頻繁出現(xiàn),2003年已經(jīng)初具規(guī)模!在網(wǎng)絡上掀起了血雨腥風！DDOS攻擊”豐功偉績“篇NO.1：系列：系列DDOS攻擊大型網(wǎng)站案攻擊大型網(wǎng)站案2000年2月，包括雅虎、CNN、亞馬遜、eBay、B、ZDNet，以及E*Trade和Datek等網(wǎng)站均遭到了DDoS攻擊，并致使部分網(wǎng)站癱瘓。此次事件是加拿大的一位網(wǎng)名叫Mafiaboy的年輕人干的,其真名叫Michael Calce，后來被指控犯了55項傷害罪，法院判罰拘禁8個月。Calce后來將其經(jīng)歷寫成了書，書名叫做Mafiaboy：我怎么攻擊互聯(lián)網(wǎng)以及它為何會崩潰。美博客評出過去十年互聯(lián)網(wǎng)七大災難

9、美博客評出過去十年互聯(lián)網(wǎng)七大災難DDOS攻擊”豐功偉績“篇2007年5月，愛沙尼亞最近三周來已遭遇三輪“網(wǎng)絡攻擊”，總統(tǒng)府、議會、幾乎全部政府部門、主要政黨、主要媒體和2家大銀行和通訊公司的網(wǎng)站均陷入癱瘓，為此北約頂級反網(wǎng)絡恐怖主義專家已前往該國救援。愛沙尼亞方面認為此事與俄羅斯當局有關。如果這一指責被證實，這將是第一起國家對國家的“網(wǎng)絡戰(zhàn)”。愛沙尼亞總理在辦公室辦公DDOS攻擊”豐功偉績“篇2009年7月DDOS攻擊”豐功偉績“篇DDOS攻擊”豐功偉績“篇DDOS攻擊”豐功偉績“篇DDOS攻擊形式嚴峻2010年2009年2008年2007年2006年2005年2004年2003年2002年6

10、5%54%40%33%29%20%16%10%6%年占網(wǎng)絡報警的百分比%DDOSDDOS攻擊的危害攻擊的危害攻擊流量越來越大百百G攻擊流量攻擊流量10G攻擊流量攻擊流量1G攻擊流量攻擊流量100M攻擊流量攻擊流量攻擊規(guī)模不斷增大針對應用的攻擊越來越多CC攻擊2009年7月8日，一名韓國警察廳官員在位于首爾的警察廳總部介紹黑客攻擊政府網(wǎng)站的情況這次是CC攻擊所有的安全設備都倒了攻擊目的越來越商業(yè)化事件1：2008年，兩家物流公司因為存在商業(yè)競爭，一公司為搶奪客戶資源雇用黑客利用DDOS手段發(fā)動攻擊，致使濰坊40萬網(wǎng)通用戶7月份不能正常上網(wǎng)。8月30日，隨著3名犯罪嫌疑人被正式批捕，濰坊市公安局網(wǎng)

11、警支隊成功偵破濰坊網(wǎng)通公司城域網(wǎng)遭受黑客攻擊的特大案件。此案是山東省首例DDOS黑客攻擊案。事件2：2009年， 兩名男子糾集一批“肉機”，對蘇州市一家網(wǎng)游公司發(fā)動攻擊，導致該公司網(wǎng)絡癱瘓?zhí)?，并敲詐游戲幣后換得贓款元。近日，蘇州虎丘區(qū)法院以破壞計算機信息系統(tǒng)罪分別判處兩人有期徒刑年個月和年個月。只搶有錢人個人發(fā)泄情緒化攻擊代價越來越小傳統(tǒng)防護手段的不足傳統(tǒng)防護手段的不足網(wǎng)絡安全威脅網(wǎng)絡安全威脅內部網(wǎng)絡信息資產(chǎn)內部網(wǎng)絡信息資產(chǎn)內部、外部泄密內部、外部泄密拒絕服務攻擊拒絕服務攻擊邏輯炸彈邏輯炸彈特洛伊木馬特洛伊木馬黑客攻擊黑客攻擊計算機病毒計算機病毒信息丟失、篡改、信息丟失、篡改、銷毀銷毀后門、隱

12、蔽通道后門、隱蔽通道蠕蟲蠕蟲網(wǎng)絡安全體系的網(wǎng)絡安全體系的“漏洞漏洞”網(wǎng) 絡 安 全防防火火墻墻虛虛擬擬專專網(wǎng)網(wǎng)入入侵侵檢檢測測漏漏洞洞掃掃描描病病毒毒防防護護安安全全審審計計應應用用安安全全抗抗拒拒絕絕服服務務系系統(tǒng)統(tǒng)傳統(tǒng)安全技術不足新的威脅需要新的技術來應對防火墻和防火墻和IPSIPS技術已經(jīng)不能技術已經(jīng)不能完全保護他們完全保護他們的客戶了的客戶了新的威脅需要新的威脅需要新的新的手段手段來應對來應對抗拒絕服務系統(tǒng)抗拒絕服務系統(tǒng)IPSIDS來自于傳統(tǒng)廠商的防護技術來自于傳統(tǒng)廠商的防護技術: : 擴大帶寬擴大帶寬 提高服務器性能提高服務器性能 閥值閥值每秒處理每秒處理10001000數(shù)據(jù)包，其數(shù)

13、據(jù)包，其 它丟棄它丟棄 隨機丟包隨機丟包每接受每接受3 3個包就丟棄一個包就丟棄一個個防火墻防火墻UTM整體安全方案中重要的一環(huán)整體安全方案中重要的一環(huán)Desktop應用層應用層Remote Laptop 網(wǎng)絡層網(wǎng)絡層網(wǎng)關層網(wǎng)關層現(xiàn)在有大概產(chǎn)品現(xiàn)在有大概產(chǎn)品: Security Firewall Gateway AV Content Filtering欠缺欠缺: 最強的抗洪水攻擊設備 保護內部網(wǎng)絡設備 最多的DDOS分類信息 最方便的管理現(xiàn)在有大概產(chǎn)品現(xiàn)在有大概產(chǎn)品: Proxy IDS/IPS欠缺欠缺: 對異常攻擊流量的監(jiān)控 對協(xié)議，端口的防護控制 對攻擊數(shù)據(jù)的準確分析 避免猜測/誤判現(xiàn)在有

14、大概產(chǎn)品現(xiàn)在有大概產(chǎn)品: Anti-virus Anti-spyware Personal firewall欠缺欠缺: 對CC攻擊的有效防護 對應用層FTP、POP3、SMTP等應用層攻擊的防護 從整體上提高應用服務的可靠性抗拒絕服務系統(tǒng)抗拒絕服務系統(tǒng)攻擊者主控機僵尸網(wǎng)絡目標服務器正常用戶服務器繁忙ing，資源被耗盡專業(yè)的抗專業(yè)的抗DDOSDDOS攻擊設備攻擊設備超強的抗攻擊性能超強的抗攻擊性能功能：功能：訪問控制訪問控制防防DoS/DDoS攻擊攻擊會話會話控制控制QoS帶寬管理帶寬管理合法流量合法流量正常流量正常流量非法流量非法流量攻擊流量攻擊流量30億次的UDP攻擊2億多次的TCP攻擊保障

15、網(wǎng)絡資源的高利用率保障網(wǎng)絡資源的高利用率突發(fā)、不可預見、不受控制的流量重要業(yè)務流量的執(zhí)行受到?jīng)_擊DDOS攻擊與業(yè)務無關流量：游戲， MP3，視聽，網(wǎng)購重要業(yè)務流量：Oracle, SAP, etc.SYN FloodUDP Flood保證關鍵業(yè)務的可靠性保證關鍵業(yè)務的可靠性重要性辦公OA業(yè)務辦理VoIPOracle/SAP視頻會議FTPEmail關鍵業(yè)務應用推動生產(chǎn)和業(yè)務發(fā)展每種應用對網(wǎng)絡穩(wěn)定的要求都很高專業(yè)的專業(yè)的DDOSDDOS攻擊防護模式攻擊防護模式智能識別并阻斷SYN Flood攻擊通過流量管理預防未知攻擊智能識別并阻斷ICMP Flood攻擊基于每個數(shù)據(jù)包進行細致的過濾智能識別并阻斷

16、UDP Flood攻擊 更多其他方法，Arp Spoofing、IP Spoofing、IP Scan、Smurf/Fraggle、TCP ProxyTCP Proxy技術技術用戶 抗拒絕服務系統(tǒng)FTP server0Client send TCP Syn 沒有TCP代理的時候TCP三次握手的過程Server response Syn AckFirewall send TCP Syn for ClientFake Client Without AckReal Client send Ack Firewall response Syn AckServer

17、 response Syn Ack如果是Tcp攻擊的話源地址為假冒，則不會存在這個回應報文，因此攻擊報文會被清洗設備丟棄v TCPProxyTCPProxy技術就是清洗設備代替服務器完成技術就是清洗設備代替服務器完成3 3次握手連接。次握手連接。v 用于來回路徑一致的情況下虛假源的用于來回路徑一致的情況下虛假源的SYN-FloodSYN-Flood攻擊防范及其它攻擊防范及其它TCP TCP FloodFlood攻擊。攻擊。Client send Ack 啟動TCP代理的時候TCP三次握手的過程Client send TCP Syn Firewall send Ack for Client要求：

18、 抗設備串接在鏈路中，客戶端和服務器交互的報文必須同時經(jīng)過清洗設備。（1）在接口板進行處理，盡量減少處理流程；（2）通過Cookie技術，收到合法應答后才創(chuàng)建會話， 避免自身資源耗盡TCP/UDPTCP/UDP反向源探測技術反向源探測技術 用于用于TCP/UDP攻擊防范。攻擊防范。v 第一步：第一步： 通過響應報文的校驗源是否合法，以防止虛假源攻擊；通過響應報文的校驗源是否合法，以防止虛假源攻擊；v 第二步：第二步： 源若合法，通過源若合法，通過TTL跳數(shù)確認是否是假冒其他合法地址發(fā)起的跳數(shù)確認是否是假冒其他合法地址發(fā)起的攻擊。攻擊。v 第三步：驗證同步連接第三步：驗證同步連接使用虛假源地址進

19、行攻擊正常用戶攻擊者Eudemon要訪問google，發(fā)送SYN報文看看你是不是真想訪問google, 發(fā)送SYNACK， ack_sequence序號錯誤Internet我真的想訪問哈，發(fā)送RST報文指紋識別技術指紋識別技術v 基于一次攻擊使用相同的僵尸，通過識別報文特征來區(qū)分正常流（不匹配的基于一次攻擊使用相同的僵尸，通過識別報文特征來區(qū)分正常流（不匹配的報文）和攻擊報文（匹配特征的報文）；報文）和攻擊報文（匹配特征的報文）；v 可以實現(xiàn)基于目的可以實現(xiàn)基于目的IP的指紋，防范各種源地址不斷變化的攻擊；的指紋，防范各種源地址不斷變化的攻擊；v 可以實現(xiàn)基于源可以實現(xiàn)基于源IP的指紋，防范固

20、定源發(fā)起的大流量攻擊，適合防御僵尸網(wǎng)絡的指紋，防范固定源發(fā)起的大流量攻擊，適合防御僵尸網(wǎng)絡發(fā)起的攻擊；發(fā)起的攻擊；v 主要防范：主要防范： HTTP Get Flood/CC攻擊攻擊 (源指紋源指紋) ， UDP Flood(目的指紋和源目的指紋和源指紋指紋)；攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸軍團僵尸軍團受害者哈，你們發(fā)的報文特征都一樣，不讓你們過了?；跁挿烙跁挿烙鵆onnection FloodConnection Floodv 攻擊原理 Connection Flood是典型的并且非常的有效的利用小流量沖擊是典型的并且非常的有效的利用小流量沖擊大帶寬網(wǎng)絡服務的攻擊方式，這種攻擊方式目前已經(jīng)越來越猖獗。大帶寬網(wǎng)絡服務的攻擊方式，這種攻擊方式目前已經(jīng)越來越猖獗。 攻擊原理利用真實的攻擊原理利用真實的IP地址向服務器發(fā)起大量的連接，并且建立地址向服務器發(fā)起大量的連接，并且建立連接之后很長時間不釋放，占用服務器的資源，造成服務器上的連接之后很長時間不釋放，占用服務器的資源，造成服務器上的服務應用無法響應其他客戶所發(fā)起的連接。服務應用無法響應其他客戶所發(fā)起的連接。v 防范方式 （1）清洗設備端基于一段時間內，統(tǒng)計