網(wǎng)絡(luò)安全管理培訓(xùn)課件(共36頁(yè)).ppt

1、網(wǎng)絡(luò)平安劉敏賢劉敏賢 副教授副教授西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院2第一章回憶第一章回憶l什么是平安什么是平安l信息平安的級(jí)別信息平安的級(jí)別l平安的幾個(gè)要素平安的幾個(gè)要素l平安威脅的來(lái)源平安威脅的來(lái)源l平安的目標(biāo)平安的目標(biāo)l信息平安體系信息平安體系lP2DR模型模型lPDRR3第第2章章 網(wǎng)絡(luò)攻擊行徑分析網(wǎng)絡(luò)攻擊行徑分析l本章對(duì)攻擊事件、攻擊的目的、攻擊的步驟及攻本章對(duì)攻擊事件、攻擊的目的、攻擊的步驟及攻擊的訣竅作一些簡(jiǎn)要的介紹，為隨后深入學(xué)習(xí)攻擊的訣竅作一些簡(jiǎn)要的介紹，為隨后深入學(xué)習(xí)攻擊技術(shù)打下根底。擊技術(shù)打下根底。4第第2章章 網(wǎng)絡(luò)攻擊行徑分析網(wǎng)絡(luò)攻擊行徑分析l2.1攻擊事件攻擊事件l2.

2、2攻擊的目的攻擊的目的l2.3攻擊的步驟攻擊的步驟l2.4攻擊訣竅攻擊訣竅5攻擊事件攻擊事件l平安威脅平安威脅l外部攻擊、外部攻擊、l內(nèi)部攻擊內(nèi)部攻擊l行為濫用行為濫用 第第2 2章章 第第1 1節(jié)節(jié)6l潛在的攻擊者潛在的攻擊者l競(jìng)爭(zhēng)對(duì)手競(jìng)爭(zhēng)對(duì)手l黑客政治家黑客政治家l有組織的罪犯有組織的罪犯l恐怖主義者恐怖主義者l政府政府l雇傭殺手雇傭殺手l虛偽朋友虛偽朋友n不滿的員工不滿的員工n客戶客戶n供給商供給商n廠商廠商n商務(wù)伙伴商務(wù)伙伴n契約者、臨時(shí)契約者、臨時(shí)雇員和參謀雇員和參謀7l攻擊者的水平攻擊者的水平腳本小孩腳本小孩Script Kiddies普通技能攻擊者普通技能攻擊者高級(jí)技能攻擊者高級(jí)

3、技能攻擊者 平安專家平安專家杰出攻擊者杰出攻擊者8Who is 黑客黑客l黑客黑客(Hacker)一詞，原一詞，原指熱心于計(jì)算機(jī)技術(shù)，指熱心于計(jì)算機(jī)技術(shù)，水平高超的電腦專家，水平高超的電腦專家，尤其是程序設(shè)計(jì)人員。尤其是程序設(shè)計(jì)人員。l黑客是一群喜歡用智力黑客是一群喜歡用智力通過(guò)創(chuàng)造性方法來(lái)挑戰(zhàn)通過(guò)創(chuàng)造性方法來(lái)挑戰(zhàn)腦力極限的人，特別是腦力極限的人，特別是他們所感興趣的領(lǐng)域他們所感興趣的領(lǐng)域 。9歷史上最著名的歷史上最著名的五大黑客五大黑客10Kevin David MitnicklKevin David Mitnick 凱文凱文米特尼克米特尼克- 世界世界上公認(rèn)的頭號(hào)黑客。曾上公認(rèn)的頭號(hào)黑客。

4、曾成功入侵北美防空指揮成功入侵北美防空指揮系統(tǒng)，他是第一個(gè)被美系統(tǒng)，他是第一個(gè)被美國(guó)聯(lián)邦調(diào)查局通緝的黑國(guó)聯(lián)邦調(diào)查局通緝的黑客?？汀巡游五角大樓，登錄克巡游五角大樓，登錄克里姆林宮，進(jìn)出全球所里姆林宮，進(jìn)出全球所有計(jì)算機(jī)系統(tǒng)，摧垮全有計(jì)算機(jī)系統(tǒng)，摧垮全球金融秩序和重建新的球金融秩序和重建新的世界格局，誰(shuí)也阻擋不世界格局，誰(shuí)也阻擋不了我們的進(jìn)攻，我們才了我們的進(jìn)攻，我們才是世界的主宰。是世界的主宰。 Kevin Mitnick 11Robert Tappan MorrislMorris 是前國(guó)家平安局科學(xué)家是前國(guó)家平安局科學(xué)家Rort Morris的兒子。的兒子。Robert 曾編寫(xiě)過(guò)著曾編寫(xiě)過(guò)

5、著名的名的Morris 蠕蟲(chóng)病毒。蠕蟲(chóng)病毒。lMorris 最后被判了最后被判了400小時(shí)的社區(qū)小時(shí)的社區(qū)效勞和一萬(wàn)美元的罰款。效勞和一萬(wàn)美元的罰款。 Morris 現(xiàn)現(xiàn)在是在是 MIT 計(jì)算機(jī)科學(xué)和人工智能實(shí)計(jì)算機(jī)科學(xué)和人工智能實(shí)驗(yàn)室驗(yàn)室 的一名專家。他專注于計(jì)算機(jī)的一名專家。他專注于計(jì)算機(jī)網(wǎng)絡(luò)體系。網(wǎng)絡(luò)體系。12Jonathan James (喬納森詹姆斯)l16歲的時(shí)候歲的時(shí)候James就已經(jīng)惡名遠(yuǎn)播就已經(jīng)惡名遠(yuǎn)播，成為了第一個(gè)因?yàn)楹诳托袕奖徊叮蔀榱说谝粋€(gè)因?yàn)楹诳托袕奖徊度氇z的未成年人。入獄的未成年人。lJames攻擊過(guò)的高度機(jī)密組織包括攻擊過(guò)的高度機(jī)密組織包括：國(guó)防威脅降低局，這是國(guó)

6、防部的：國(guó)防威脅降低局，這是國(guó)防部的一個(gè)機(jī)構(gòu)。一個(gè)機(jī)構(gòu)。l他還進(jìn)入侵過(guò)他還進(jìn)入侵過(guò)NASA的電腦，并且的電腦，并且竊取了價(jià)值超過(guò)竊取了價(jià)值超過(guò)170萬(wàn)美元的軟件。萬(wàn)美元的軟件。l發(fā)現(xiàn)這次入侵之后，發(fā)現(xiàn)這次入侵之后，NASA不得不不得不立刻關(guān)閉了整個(gè)電腦系統(tǒng)，造成的立刻關(guān)閉了整個(gè)電腦系統(tǒng)，造成的損失到達(dá)損失到達(dá)41000美元。美元。l2021年年5月月18日喬納森死于癌癥，日喬納森死于癌癥，25歲。歲。 13Adrian Lamo (阿德里安阿德里安拉莫拉莫)lLamo專門(mén)找大的組織下手，例如破解專門(mén)找大的組織下手，例如破解進(jìn)入微軟和進(jìn)入微軟和?紐約時(shí)報(bào)紐約時(shí)報(bào)?。Lamo喜歡使喜歡使用咖啡店、

7、用咖啡店、Kinko店或者圖書(shū)館的網(wǎng)絡(luò)店或者圖書(shū)館的網(wǎng)絡(luò)來(lái)進(jìn)行他的黑客行為，因此得了一個(gè)諢來(lái)進(jìn)行他的黑客行為，因此得了一個(gè)諢號(hào)：不回家的黑客。號(hào)：不回家的黑客。Lamo經(jīng)常發(fā)現(xiàn)平經(jīng)常發(fā)現(xiàn)平安漏洞，并加以利用。通常他會(huì)告知企安漏洞，并加以利用。通常他會(huì)告知企業(yè)相關(guān)的漏洞。業(yè)相關(guān)的漏洞。l在在Lamo攻擊過(guò)的名單上包括，雅虎、攻擊過(guò)的名單上包括，雅虎、花旗銀行，美洲銀行和花旗銀行，美洲銀行和Cingular等。等。l由于侵入由于侵入?紐約時(shí)報(bào)紐約時(shí)報(bào)?內(nèi)部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)，Lamo成為頂尖的數(shù)碼罪犯之一。也正是由于成為頂尖的數(shù)碼罪犯之一。也正是由于這一罪行，這一罪行，Lamo被處以被處以65000美

8、元的罰美元的罰款，并被處以六個(gè)月的家庭禁閉和兩年款，并被處以六個(gè)月的家庭禁閉和兩年的緩刑。的緩刑。 14Kevin Poulsen (凱文普爾森)l他的另一個(gè)經(jīng)常被提及的名字是他的另一個(gè)經(jīng)常被提及的名字是Dark Dante，Poulsen受到廣泛關(guān)注是因?yàn)樗艿綇V泛關(guān)注是因?yàn)樗捎煤诳褪侄芜M(jìn)入洛杉磯電臺(tái)的采用黑客手段進(jìn)入洛杉磯電臺(tái)的KIIS-FM 線，這一舉動(dòng)為他贏得了一輛保時(shí)捷。線，這一舉動(dòng)為他贏得了一輛保時(shí)捷。l此后此后FBI開(kāi)始追查開(kāi)始追查Poulson，因?yàn)樗J入，因?yàn)樗J入了了FBI的數(shù)據(jù)庫(kù)和用于敏感竊聽(tīng)的聯(lián)邦電的數(shù)據(jù)庫(kù)和用于敏感竊聽(tīng)的聯(lián)邦電腦系統(tǒng)。腦系統(tǒng)。Poulsen的專長(zhǎng)就是

9、闖入的專長(zhǎng)就是闖入 線，線，他經(jīng)常占據(jù)一個(gè)基站的全部他經(jīng)常占據(jù)一個(gè)基站的全部 線路。線路。Poulsen還會(huì)重新激活黃頁(yè)上的還會(huì)重新激活黃頁(yè)上的 ，并提，并提供給自己的伙伴進(jìn)行出售。供給自己的伙伴進(jìn)行出售。Poulson留下了很多未解之謎，最后在一家超市被捕，判處以五年監(jiān)禁。在獄中，Poulson干起了記者的行當(dāng)，并且被推舉為Wired News的高級(jí)編輯。在他最知名的文章里面，詳細(xì)的通過(guò)比對(duì)Myspace的檔案，識(shí)別出了744名性罪犯。 15攻擊事件攻擊事件l攻擊事件分類攻擊事件分類 l破壞型攻擊破壞型攻擊l利用型攻擊利用型攻擊l信息收集型攻擊信息收集型攻擊l網(wǎng)絡(luò)欺騙攻擊網(wǎng)絡(luò)欺騙攻擊l垃圾信

10、息攻擊垃圾信息攻擊第第2 2章章 第第1 1節(jié)節(jié)16l破壞型攻擊破壞型攻擊l以破壞對(duì)方系統(tǒng)為目標(biāo)以破壞對(duì)方系統(tǒng)為目標(biāo)l破壞的方式：使對(duì)方系統(tǒng)拒絕提供效勞破壞的方式：使對(duì)方系統(tǒng)拒絕提供效勞(DoS攻攻擊擊)、刪除數(shù)據(jù)、破壞硬件系統(tǒng)等。、刪除數(shù)據(jù)、破壞硬件系統(tǒng)等。l拒絕效勞攻擊的分類：帶寬耗盡型、目標(biāo)主機(jī)資拒絕效勞攻擊的分類：帶寬耗盡型、目標(biāo)主機(jī)資源耗盡型、網(wǎng)絡(luò)程序漏洞利用型、本地漏洞利用源耗盡型、網(wǎng)絡(luò)程序漏洞利用型、本地漏洞利用型型l拒絕效勞攻擊的技術(shù)：拒絕效勞攻擊的技術(shù)：P.9第第2 2章章 第第1 1節(jié)節(jié)17DOS 攻擊的手段攻擊的手段lPing of DeathlIGMP FloodlTe

11、ardroplUDP floodlSYN floodlLand 攻擊攻擊lSmurf攻擊攻擊lFraggle攻擊攻擊l畸形消息攻擊畸形消息攻擊lDdosl目的地不可到達(dá)攻擊目的地不可到達(dá)攻擊l電子郵件炸彈電子郵件炸彈l對(duì)平安工具的拒絕效勞攻擊對(duì)平安工具的拒絕效勞攻擊18利用型攻擊利用型攻擊l利用型攻擊利用型攻擊l試圖直接對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行控制試圖直接對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行控制l后果：信息竊取、文件篡改、跳板傀儡主機(jī)后果：信息竊取、文件篡改、跳板傀儡主機(jī)l攻擊手段：口令攻擊嗅探、破解、木馬攻擊攻擊手段：口令攻擊嗅探、破解、木馬攻擊后門(mén)、緩沖區(qū)溢出攻擊后門(mén)、緩沖區(qū)溢出攻擊l手段手段l口令猜測(cè)口令猜測(cè)l特洛

12、依木馬特洛依木馬l緩沖區(qū)溢出緩沖區(qū)溢出19信息收集型攻擊信息收集型攻擊l信息收集型攻擊信息收集型攻擊l為進(jìn)一步攻擊提供有利信息為進(jìn)一步攻擊提供有利信息l種類：掃描、體系結(jié)構(gòu)探測(cè)又叫系統(tǒng)掃描、種類：掃描、體系結(jié)構(gòu)探測(cè)又叫系統(tǒng)掃描、利用信息效勞利用信息效勞l掃描技術(shù)掃描技術(shù)l體系結(jié)構(gòu)探測(cè)體系結(jié)構(gòu)探測(cè)l利用信息效勞利用信息效勞20網(wǎng)絡(luò)欺騙攻擊網(wǎng)絡(luò)欺騙攻擊l網(wǎng)絡(luò)欺騙攻擊網(wǎng)絡(luò)欺騙攻擊l為進(jìn)一步攻擊做準(zhǔn)備為進(jìn)一步攻擊做準(zhǔn)備l種類：種類：DNS欺騙、電子郵件欺騙、欺騙、電子郵件欺騙、Web欺騙、欺騙、IP欺騙欺騙l垃圾信息攻擊垃圾信息攻擊21攻擊目的攻擊目的l攻擊的動(dòng)機(jī)攻擊的動(dòng)機(jī) l惡作劇惡作劇 l惡意破壞

13、惡意破壞 l商業(yè)目的商業(yè)目的 l政治軍事政治軍事 第第2 2章章 第第2 2節(jié)節(jié)22攻擊目的攻擊目的l攻擊性質(zhì)攻擊性質(zhì)l破壞破壞l入侵入侵l攻擊目的攻擊目的l破壞目標(biāo)工作破壞目標(biāo)工作l竊取目標(biāo)信息竊取目標(biāo)信息l控制目標(biāo)機(jī)器控制目標(biāo)機(jī)器l利用假消息欺騙對(duì)方利用假消息欺騙對(duì)方 第第2 2章章 第第2 2節(jié)節(jié)23 攻擊的步驟攻擊的步驟l一般的攻擊都分為三個(gè)階段：一般的攻擊都分為三個(gè)階段：l攻擊的準(zhǔn)備階段攻擊的準(zhǔn)備階段l攻擊的實(shí)施階段攻擊的實(shí)施階段l攻擊的善后階段攻擊的善后階段 第第2 2章章 第第3 3節(jié)節(jié)24攻擊的一般過(guò)程攻擊的一般過(guò)程預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲

14、得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進(jìn)行進(jìn)一步攻擊決策攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：植入后門(mén)木馬刪除日志修補(bǔ)明顯的漏洞進(jìn)一步滲透擴(kuò)展目的：消除痕跡，長(zhǎng)期維持一定的權(quán)限25網(wǎng)絡(luò)攻擊一般過(guò)程網(wǎng)絡(luò)攻擊一般過(guò)程偵察偵察掃描掃描拒絕服務(wù)攻擊拒絕服務(wù)攻擊掩蓋蹤跡和隱藏掩蓋蹤跡和隱藏使用應(yīng)用程序和操作使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪問(wèn)權(quán)系統(tǒng)的攻擊獲得訪問(wèn)權(quán)使用網(wǎng)絡(luò)攻擊使用網(wǎng)絡(luò)攻擊獲得訪問(wèn)權(quán)獲得訪問(wèn)權(quán)維護(hù)訪問(wèn)權(quán)維護(hù)訪問(wèn)權(quán)網(wǎng)絡(luò)攻擊步驟網(wǎng)絡(luò)攻擊步驟典型攻擊步驟典型攻擊步驟預(yù)攻擊探測(cè)預(yù)攻擊探測(cè)收集信息,如OS類型,提

15、供的效勞端口發(fā)現(xiàn)漏洞發(fā)現(xiàn)漏洞,采取攻擊行為采取攻擊行為獲得攻擊目標(biāo)的控制權(quán)系統(tǒng)獲得攻擊目標(biāo)的控制權(quán)系統(tǒng)繼續(xù)滲透網(wǎng)絡(luò)繼續(xù)滲透網(wǎng)絡(luò),直至獲取機(jī)密數(shù)據(jù)直至獲取機(jī)密數(shù)據(jù)消滅蹤跡消滅蹤跡破解口令文件,或利用緩存溢出漏洞以此主機(jī)為跳板，尋找其它主機(jī)的漏洞獲得系統(tǒng)帳號(hào)權(quán)限，并提升為root權(quán)限安裝系統(tǒng)后門(mén)安裝系統(tǒng)后門(mén)方便以后使用27端口端口判斷判斷判斷判斷系統(tǒng)系統(tǒng)選擇選擇最簡(jiǎn)最簡(jiǎn)方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的效勞效勞獲取獲取系統(tǒng)系統(tǒng)一定一定權(quán)限權(quán)限提提升升為為最最高高權(quán)權(quán)限限安裝安裝多個(gè)多個(gè)系統(tǒng)系統(tǒng)后門(mén)后門(mén)去除去除入侵入侵腳印腳印攻擊其攻擊其他系統(tǒng)他系統(tǒng)獲取敏獲取敏感信息感信息作為其作為其

16、他用途他用途較高明的入侵步驟較高明的入侵步驟28 攻擊的步驟攻擊的步驟l攻擊的準(zhǔn)備階段攻擊的準(zhǔn)備階段l確定攻擊目的確定攻擊目的 l準(zhǔn)備攻擊工具準(zhǔn)備攻擊工具 l收集目標(biāo)信息收集目標(biāo)信息 第第2 2章章 第第3 3節(jié)節(jié)29 攻擊的步驟攻擊的步驟l攻擊實(shí)施階段的一般步驟攻擊實(shí)施階段的一般步驟l隱藏自已的位置隱藏自已的位置 l利用收集到的信息獲取賬號(hào)和密碼，登錄主機(jī)利用收集到的信息獲取賬號(hào)和密碼，登錄主機(jī) l利用漏洞或者其它方法獲得控制權(quán)并竊取網(wǎng)絡(luò)資源利用漏洞或者其它方法獲得控制權(quán)并竊取網(wǎng)絡(luò)資源和特權(quán)和特權(quán) 第第2 2章章 第第3 3節(jié)節(jié)30 攻擊的步驟攻擊的步驟l攻擊的善后階段攻擊的善后階段 l日志

17、日志lWindows Windows l禁止日志審計(jì)，去除事件日志，去除禁止日志審計(jì)，去除事件日志，去除IISIIS效勞日志效勞日志lUnix Unix lmessagesmessages、lastloglastlog、loginlogloginlog、sulogsulog、utmputmp、utmpxutmpx、wtmpwtmp、wtmpxwtmpx、pacctpacctl為了下次攻擊的方便，攻擊者都會(huì)留下一個(gè)后門(mén)，充為了下次攻擊的方便，攻擊者都會(huì)留下一個(gè)后門(mén)，充當(dāng)后門(mén)的工具種類非常多，最典型的是木馬程序當(dāng)后門(mén)的工具種類非常多，最典型的是木馬程序 第第2 2章章 第第3 3節(jié)節(jié)31攻擊訣竅攻

18、擊訣竅l根本方法根本方法l口令入侵口令入侵 l獲取賬號(hào)：獲取賬號(hào)：Finger ，X.500 ，電子郵件地址，電子郵件地址 ，默認(rèn)賬號(hào)默認(rèn)賬號(hào)l獲取密碼：網(wǎng)絡(luò)監(jiān)聽(tīng)獲取密碼：網(wǎng)絡(luò)監(jiān)聽(tīng) ，Bruce，漏洞與失誤，漏洞與失誤l特洛伊木馬程序特洛伊木馬程序 lWWW欺騙欺騙l電子郵件攻擊電子郵件攻擊 l電子郵件轟炸電子郵件轟炸 ，電子郵件欺騙，電子郵件欺騙第第2 2章章 第第4 4節(jié)節(jié)32 攻擊訣竅攻擊訣竅l根本方法根本方法l黑客軟件黑客軟件 lBack Orifice2000、冰河、冰河l平安漏洞攻擊平安漏洞攻擊 lOutlook ，IIS，Serv-Ul對(duì)防火墻的攻擊對(duì)防火墻的攻擊 lFirewa

19、lking、Hping l滲透滲透 l路由器攻擊路由器攻擊 第第2 2章章 第第4 4節(jié)節(jié)33 攻擊訣竅攻擊訣竅l常用攻擊工具常用攻擊工具 l網(wǎng)絡(luò)偵查工具網(wǎng)絡(luò)偵查工具 lsuperscan superscan ，Nmap Nmap l拒絕效勞攻擊工具拒絕效勞攻擊工具 lDDoSDDoS攻擊者攻擊者 1.4 , sqldos , Trinoo 1.4 , sqldos , Trinool木馬木馬lBO2000 BO2000 ，冰河，冰河 ，NetSpy NetSpy ，第第2 2章章 第第4 4節(jié)節(jié)34攻擊的開(kāi)展趨勢(shì)攻擊的開(kāi)展趨勢(shì)l漏洞趨勢(shì)漏洞趨勢(shì) l嚴(yán)重程度中等或較高的漏洞急劇增加嚴(yán)重程度中等或較高的漏洞急劇增加,新漏洞被利用越新漏洞被利用越來(lái)越容易來(lái)越容易(大約大約60%不需或很少需用代碼不需或很少需用代碼) l混合型威脅趨勢(shì)混合型威脅趨勢(shì)l將病毒、蠕蟲(chóng)、特洛伊木馬和惡意代碼的特性與效勞將病毒、蠕蟲(chóng)、特洛伊木馬和惡意代碼的特性與效勞器和器和 Internet 漏洞結(jié)合起來(lái)而發(fā)起、傳播和擴(kuò)散的攻漏洞結(jié)合起來(lái)而發(fā)起、傳播和擴(kuò)散的攻擊擊,例：紅色代碼和尼姆達(dá)等。例：紅