網(wǎng)絡(luò)安全與黑客入侵技術(shù)概述課件

網(wǎng)絡(luò)安全與黑客入侵技術(shù)概述舒永杰網(wǎng)絡(luò)安全與黑客入侵技術(shù)概述安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報(bào)告內(nèi)容提要：安全問題綜述報(bào)告內(nèi)容提要：系統(tǒng)安全信息安全文化安全文化安全：系統(tǒng)安全信息安全文化安全文化安全：作用點(diǎn)：有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅，主要表現(xiàn)在輿論宣傳方面。外顯行為：黃色、反動信息泛濫，敵對的意識形態(tài)信息涌入，互聯(lián)網(wǎng)被利用作為串聯(lián)工具，傳播迅速，影響范圍廣。防范措施：設(shè)置因特網(wǎng)關(guān)，監(jiān)測、控管。文化安全：作用點(diǎn)：有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅，主要作用點(diǎn)：對所處理的信息機(jī)密性與完整性的威脅，主要表現(xiàn)在加密方面。外顯行為：竊取信息，篡改信息，冒充信息，信息抵賴。防范措施：加密，認(rèn)證，數(shù)字簽名，完整性技術(shù)（VPN)信息安全：作用點(diǎn)：對所處理的信息機(jī)密性與完整性的威脅，主要表現(xiàn)在加密方信息安全：信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名信息安全：信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完作用點(diǎn)：對計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)可用性的威脅，主要表現(xiàn)在訪問控制方面。外顯行為：網(wǎng)絡(luò)被阻塞，黑客行為，計(jì)算機(jī)病毒等，使得依賴于信息系統(tǒng)的管理或控制體系陷于癱瘓。防范措施：防止入侵，檢測入侵，抵抗入侵，系統(tǒng)恢復(fù)。系統(tǒng)安全：作用點(diǎn)：對計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)可用性的威脅，主要表現(xiàn)在訪問因特網(wǎng)網(wǎng)絡(luò)對國民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增大信息對抗的威脅在增加研究安全漏洞以防之因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之系統(tǒng)安全：因特網(wǎng)網(wǎng)絡(luò)對國民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增大信息對抗的防火墻——第一道防線，阻止入侵入侵監(jiān)測——第二道防線，發(fā)現(xiàn)入侵加固系統(tǒng)——第三道防線，抵抗入侵自動恢復(fù)——第四道防線，起死回生系統(tǒng)安全：防火墻——第一道防線，阻止入侵入侵監(jiān)測——第二道防線，發(fā)現(xiàn)入安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報(bào)告內(nèi)容提要：安全問題綜述報(bào)告內(nèi)容提要：網(wǎng)絡(luò)上存在的問題：

網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲網(wǎng)絡(luò)上存在的問題：網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特※“黑客”在網(wǎng)上的攻擊活動每年以十倍速增長?！薷木W(wǎng)頁進(jìn)行惡作劇、竊取網(wǎng)上信息興風(fēng)作浪?！欠ㄟM(jìn)入主機(jī)破壞程序、阻塞用戶、竊取密碼?！脬y行網(wǎng)絡(luò)轉(zhuǎn)移金錢、進(jìn)行電子郵件騷擾。美國每年因黑客而造成的經(jīng)濟(jì)損失近百億美元他們利用網(wǎng)絡(luò)安全的脆弱性，無孔不入。黑客的破壞：※“黑客”在網(wǎng)上的攻擊活動每年以十倍速增長。美國每年因黑客※網(wǎng)絡(luò)硬件設(shè)備的后門※網(wǎng)絡(luò)軟件產(chǎn)品的后門※網(wǎng)絡(luò)安全產(chǎn)品的問題：嵌入式固件病毒安全產(chǎn)品的隱蔽性通道可恢復(fù)性密鑰的密碼※系統(tǒng)運(yùn)行平臺的安全性問題外來安全設(shè)備的隱患：※網(wǎng)絡(luò)硬件設(shè)備的后門外來安全設(shè)備的隱患：黑客？黑客？發(fā)布網(wǎng)絡(luò)漏洞的網(wǎng)站：SANSCERTCOAST/coast/hotlistOthersubscriptionlistsNTBUGTRAQBUGTRAQDC-STUFF發(fā)布網(wǎng)絡(luò)漏洞的網(wǎng)站：SANS中國的相關(guān)網(wǎng)站：綠色兵團(tuán)/中國網(wǎng)絡(luò)安全響應(yīng)中心cns911/中科網(wǎng)威netpower大量的病毒安全廠商的網(wǎng)站中國的相關(guān)網(wǎng)站：綠色兵團(tuán)黑客入侵方式：攻擊的三個階段※

尋找目標(biāo)，收集信息(nessus)※

獲得初始的訪問控制權(quán)與特權(quán)

※

攻擊其他系統(tǒng)黑客入侵方式：攻擊的三個階段典型步驟：※掃描內(nèi)部信息：獲知提供何種服務(wù),那種服務(wù)可用以及相關(guān)的配置信息.開放的端口※利用系統(tǒng)已知的漏洞：通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測已知用戶的口令，從而發(fā)現(xiàn)突破口。如果得到了普通用戶的權(quán)限就會進(jìn)一步發(fā)掘※消除痕跡留下后門：黑客已經(jīng)獲得了系統(tǒng)的控制，會盡量清除痕跡，放置木馬、新建賬號等，系統(tǒng)完整性檢查可以發(fā)現(xiàn)這種情況。典型步驟：※掃描內(nèi)部信息：獲知提供何種服務(wù),那種服務(wù)需要注意的問題：※網(wǎng)絡(luò)的開放性使得攻擊來自各個地方※內(nèi)外部的攻擊同時存在※黑客工具的開放性使得問題變的嚴(yán)重※攻擊沒有針對性，但是涉及面很廣需要注意的問題：※網(wǎng)絡(luò)的開放性使得攻擊來自各個地方端口掃描httpftptelnetsmtp攻擊過程示例：端口掃描http攻擊過程示例：口令暴力攻擊用戶名:john口令:john1234攻擊過程示例：口令暴力攻擊用戶名:john攻擊過程示例：攻擊過程示例：用john登錄服務(wù)器利用漏洞獲得超級用戶權(quán)限留后門隱藏用戶更改主頁信息攻擊過程示例：用john登錄利用漏洞獲得留后門更改主頁信息選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門獲取超級用戶權(quán)限攻擊其它主機(jī)獲取或修改信息從事其它非法活動典型攻擊示意圖：選中攻獲取普通擦除入安裝獲取超級攻擊其它獲取或從事其它典型攻※

ping，fping判斷主機(jī)死活※

tcp/udpscan結(jié)合常規(guī)服務(wù)約定，根據(jù)端口判斷提供服務(wù)※

osindentify發(fā)送奇怪的tcp包,不同的操作系統(tǒng)反應(yīng)不同，queso,nmap※

Accountscans利用Email，finger等工具獲得系統(tǒng)賬號消息（用戶名、最后一次登陸時間）常用工具：※ping，fping判斷主機(jī)死活常用工具：缺陷掃描Rootcompromise:pop3d停止syslogd,修改/etc/inetd.conf,激活telnet,ftp,替換以下程序/bin/login、/bin/ps、/usr/bin/du、/bin/ls、/bin/netstat安裝竊聽程序sniffer:/usr/.sniffit重新啟動syslogd,關(guān)閉pop3d刪除日志記錄wtmp、wtp、message、syslog典型攻擊：缺陷掃描典型攻擊：安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報(bào)告內(nèi)容提要：安全問題綜述報(bào)告內(nèi)容提要：※黑客攻擊※路由攻擊※口令攻擊※邏輯炸彈※特洛伊木馬常見攻擊分析：※陷門、隱蔽通道※信息丟失、篡改、銷毀※內(nèi)部、外部泄密※計(jì)算機(jī)病毒※拒絕服務(wù)攻擊（DOS）※電子欺騙（Spoofing）※黑客攻擊常見攻擊分析：※陷門、隱蔽通道口令攻擊分析：※Unixpassword文件※FTPTelnet的暴力破解口令※一般將生日作為密碼※簡單的單詞※使用同一個密碼作為所有的密碼※被有意留心的人竊取口令攻擊分析：※Unixpassword文件口令攻擊軟件John：這個軟件由著名的黑客組織--UCF出的,它支持Unix,Dos,Windows,速度超快,可以說是目前同類中最杰出的作品。對于老式的passwd檔(就是沒shadow的那種,任何人能看的都可以把passwd密文存下來),John可以直接讀取并用字典窮舉擊破。對于現(xiàn)代的passwd+shadow的方式,John提供了UNSHADOW程序直接把兩者合成出老式passwd文件。口令攻擊軟件John：這個軟件由著名的黑客組織-其它軟件：※破解WINDOWS開機(jī)密碼※破解郵件密碼※

網(wǎng)絡(luò)密碼……其它軟件：※破解WINDOWS開機(jī)密碼邏輯炸彈是一段潛伏的程序，它以某種邏輯狀態(tài)為觸發(fā)條件，可以用來釋放病毒和蠕蟲或完成其他攻擊性功能，如破壞數(shù)據(jù)和燒毀芯片。它平時不起作用，只有當(dāng)系統(tǒng)狀態(tài)滿足觸發(fā)條件時才被激活。邏輯炸彈：邏輯炸彈是一段潛伏的程序，它以某種邏輯狀態(tài)為觸特洛伊木馬是其內(nèi)部隱藏了某種隱蔽功能的程序，并不傳染，但設(shè)計(jì)者可利用其隱藏的功能達(dá)到目的，如尋找網(wǎng)絡(luò)上的漏洞或竊取某些信息。特洛伊木馬：特洛伊木馬是其內(nèi)部隱藏了某種隱蔽功能的程序，蠕蟲是一段獨(dú)立的可執(zhí)行程序，它可以通過計(jì)算機(jī)網(wǎng)絡(luò)把自身的拷貝（復(fù)制品）傳給其他的計(jì)算機(jī)。蠕蟲可以修改、刪除別的程序，但它也可以通過瘋狂的自我復(fù)制來占盡網(wǎng)絡(luò)資源，從而使網(wǎng)絡(luò)癱瘓。蠕蟲：蠕蟲是一段獨(dú)立的可執(zhí)行程序，它可以通過計(jì)算機(jī)※信息在傳輸過程中丟失；※信息在存儲過程中丟失；※改變信息流的次序、時序、流向；※未授權(quán)篡改、銷毀信息內(nèi)容。信息丟失、篡改、銷毀：※信息在傳輸過程中丟失；信息丟失、篡改、銷毀：※內(nèi)部涉密人員有意無意泄密；※內(nèi)部非授權(quán)人員有意偷竊機(jī)密信息；※外部人員使用高性能協(xié)議分析器、信道監(jiān)測設(shè)備對傳輸信息進(jìn)行分析；※外部人員竊取計(jì)算機(jī)系統(tǒng)的操作密碼；※外部人員破解系統(tǒng)的核心密碼；※外部人員竊取用戶的授權(quán)密碼。內(nèi)、外部泄密：※內(nèi)部涉密人員有意無意泄密；內(nèi)、外部泄密：※計(jì)算機(jī)病毒※拒絕服務(wù)攻擊（DOS）※電子欺騙其它攻擊：※計(jì)算機(jī)病毒其它攻擊：WinNuke攻擊原理

當(dāng)WindowsNT和Windows95系統(tǒng)的某些端口，如139號NetBIOS端口，接收到Out-of-Band數(shù)據(jù)時，系統(tǒng)不能正確地處理這些數(shù)據(jù)，造成系統(tǒng)的死機(jī)。網(wǎng)絡(luò)攻擊舉例：WinNuke攻擊原理網(wǎng)絡(luò)攻擊舉例：網(wǎng)絡(luò)攻擊舉例：LAND攻擊原理

當(dāng)對113或139號端口發(fā)送一個偽造的SYN報(bào)文時，如果報(bào)文中的源端主機(jī)的IP地址和端口與目的主機(jī)的IP地址和端口相同，例如從:139發(fā)送到:139，這時目標(biāo)主機(jī)將會死機(jī)。網(wǎng)絡(luò)攻擊舉例：LAND攻擊原理攻擊者InternetCode目標(biāo)2欺騙性的IP包源地址

2Port139目的地址

2Port139TCPOpenG.MarkHardyLand攻擊：攻擊者InternetCode目標(biāo)欺騙性的IP包G.M攻擊者InternetCode目標(biāo)2IP包欺騙源地址

2Port139目的地址

2Port139包被送回它自己崩潰G.MarkHardyLand攻擊：攻擊者InternetCode目標(biāo)IP包欺騙崩潰G.Ma攻擊者InternetCode目標(biāo)2IP包欺騙源地址2Port139目標(biāo)地址2Port139TCPOpen數(shù)據(jù)包被丟棄！防火墻防火墻把有危險的包阻隔在網(wǎng)絡(luò)外G.MarkHardy防護(hù)Land攻擊：攻擊者InternetCode目標(biāo)IP包欺騙防火墻防火墻把有網(wǎng)絡(luò)攻擊舉例：UDP攻擊

UDP攻擊的原理是使兩個或兩個以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。這樣會形成很大的數(shù)據(jù)流量。當(dāng)多個系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時，最終將導(dǎo)致整個網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)數(shù)目少，那么只有這幾臺主機(jī)會癱瘓。網(wǎng)絡(luò)攻擊舉例：UDP攻擊網(wǎng)絡(luò)攻擊舉例：TCP/SYN攻擊TCP的連接階段，發(fā)SYN包，要求連接偽造地址消耗主機(jī)資源網(wǎng)絡(luò)攻擊舉例：TCP/SYN攻擊TCP的連接階段，發(fā)SYN攻擊者InternetCode目標(biāo)欺騙性的IP包源地址不存在目標(biāo)地址是TCPOpenG.MarkHardySYNFlood：攻擊者InternetCode目標(biāo)欺騙性的IP包G.MSYNFlood：攻擊者InternetCode目標(biāo)同步應(yīng)答響應(yīng)源地址目標(biāo)地址不存在TCPACK崩潰G.MarkHardySYNFlood：攻擊者InternetCode目標(biāo)同步應(yīng)第一步：攻擊者向被利用網(wǎng)絡(luò)A的廣播地址發(fā)送一個ICMP協(xié)議的’echo’請求數(shù)據(jù)報(bào)，該數(shù)據(jù)報(bào)源地址被偽造成第二步：網(wǎng)絡(luò)A上的所有主機(jī)都向該偽造的源地址返回一個‘echo’響應(yīng)，造成該主機(jī)服務(wù)中斷。Smuff攻擊：第一步：攻擊者向被利用網(wǎng)絡(luò)A的廣播地址發(fā)送一個ICMP協(xié)議網(wǎng)絡(luò)攻擊舉例：ICMP/PING攻擊原理

ICMP/PING攻擊是利用一些系統(tǒng)不能接受超大的IP包或需要資源處理這一特性。如在Linux下輸入Ping-t66510IP（未打補(bǔ)丁的Win95/98的機(jī)器），機(jī)器就會癱瘓。網(wǎng)絡(luò)攻擊舉例：ICMP/PING攻擊原理網(wǎng)絡(luò)攻擊舉例：ICMP/SMURF攻擊原理

ICMP/SMURF攻擊利用的是網(wǎng)絡(luò)廣播的原理來發(fā)送大量的地址，而包的源地址就是要攻擊的機(jī)器本身的地址。因而所有接收到此包的主機(jī)都將給發(fā)包的地址發(fā)送一個ICMP回復(fù)包。網(wǎng)絡(luò)攻擊舉例：ICMP/SMURF攻擊原理網(wǎng)絡(luò)攻擊舉例：TARGA3攻擊(IP堆棧突破)

TARGA3攻擊的基本原理是發(fā)送TCP/UDP/ICMP的碎片包，其大小、標(biāo)記、包數(shù)據(jù)等都是隨機(jī)的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不規(guī)范數(shù)據(jù)包，便會使其TCP/IP堆棧出現(xiàn)崩潰，從而導(dǎo)致無法繼續(xù)響應(yīng)網(wǎng)絡(luò)請求（即拒絕服務(wù)）。網(wǎng)絡(luò)攻擊舉例：TARGA3攻擊(IP堆棧突破)DoS攻擊land,teardrop,SYNfloodICMP:smurfRouter:remotereset,UDPport7,Windows:Port135,137,139(OOB),terminalserverSolaris:Linux:其他...

網(wǎng)絡(luò)攻擊舉例：DoS攻擊網(wǎng)絡(luò)攻擊舉例：以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標(biāo)常用的工具：Trin00,TFN/TFN2K,Stacheldraht很難防范偽造源地址，流量加密，因此很難跟蹤clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFloodDDOS攻擊：以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標(biāo)clienttargethanDDOS攻擊的效果

由于整個過程是自動化的，攻擊者能夠在十幾秒鐘內(nèi)入侵一臺主機(jī)并安裝攻擊工具。也就是說，在短短的一小時內(nèi)可以入侵?jǐn)?shù)千臺主機(jī)。并使某一臺主機(jī)可能要遭受1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于1.04億人同時撥打某公司的一部電話號碼。DDOS攻擊：DDOS攻擊的效果DDOS攻擊：※確保主機(jī)不被入侵且是安全的；※周期性審核系統(tǒng)；※檢查文件完整性；※優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)；

※優(yōu)化對外開放訪問的主機(jī)；※在網(wǎng)絡(luò)上建立一個過濾器在攻擊信息到達(dá)網(wǎng)站服務(wù)器之前阻擋攻擊信息。DDOS攻擊的預(yù)防：※確保主機(jī)不被入侵且是安全的；DDOS攻擊的預(yù)防※如何增強(qiáng)自身的隱蔽性和攻擊能力；※采用加密通訊通道、ICMP協(xié)議等方法避開防火墻的檢測；※采用對自身進(jìn)行數(shù)字簽名等方法研究自毀機(jī)制，在被非攻擊者自己使用時自行消毀拒絕服務(wù)攻擊數(shù)據(jù)包，以消除證據(jù)。DDOS攻擊的發(fā)展趨勢：※如何增強(qiáng)自身的隱蔽性和攻擊能力；DDOS攻擊的發(fā)※攻擊UNIX獲取完全的存取能力※緩沖區(qū)溢出利用軟件錯誤來覆蓋內(nèi)存段※導(dǎo)致程序崩潰而給攻擊者留下超級用戶(root)的權(quán)限※問題：不知道攻擊者可能發(fā)現(xiàn)什么新的可利用途徑?！鉀Q方案:入侵探測軟件能實(shí)時辨認(rèn)權(quán)限變更并采取行動。緩沖區(qū)溢出：※攻擊UNIX獲取完全的存取能力緩沖區(qū)溢出：后門程序：※

BO、netbus※

Service/Daemon※冰河其他后門程序：※BO、netbus※改變登錄程序到一個后門程序※后門象正常的登錄程序一樣的工作，但它捕獲用戶口令※能使用與其它系統(tǒng)相類似的技術(shù)※問題:由于后門象正常的登錄程序一樣的工作，因此用戶不能辨別出來?！鉀Q方案:使用工具來主動監(jiān)視關(guān)鍵文件以獲取被纂改的跡象后門程序：※改變登錄程序到一個后門程序后門程序：后門例子：后門例子：后門例子：后門例子：L0phtcrack實(shí)證攻擊程序允許入侵者從整個系統(tǒng)中偷取口令!SpecifyacomputerTheintruderusesl0PHTCrack

todumpallpasswordsfromtheNTRegistryl0PHTCrackdumpsthepasswordfiles......Theintruderopensaworddictionary

(usuallyaprettycomprehensivelist)......Andrunsthecrack!Ouch!Somuchfornetworksecurity!G.MarkHardyL0phtcrack實(shí)證攻擊程序允許入侵者從整個系統(tǒng)中偷取口安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報(bào)告內(nèi)容提要：安全問題綜述報(bào)告內(nèi)容提要：※

安全策略：沒有明確的安全管理策略※

管理問題：管理規(guī)章制度、策略、負(fù)責(zé)人、落實(shí)操作系統(tǒng)安裝后使用缺省配置，不打補(bǔ)丁，運(yùn)行※許多不必要的服務(wù)；99%以上的入侵是可以通過系統(tǒng)配置來防范的；※

用戶安全意識※

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)※

安全工具的使用安全建議：※安全策略：沒有明確的安全管理策略安全建議：※多種服務(wù)安裝在同一服務(wù)器上，DNS/Mail/Web/FTP※公用服務(wù)器用戶口令過于簡單，uid:stud??/Pwd:123456※審計(jì)功能沒有激活，或管理員根本不檢查審計(jì)日志※沒有備份，系統(tǒng)在被入侵后很難恢復(fù)安全措施：※多種服務(wù)安裝在同一服務(wù)器上，DNS/Mail/We安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報(bào)告內(nèi)容提要：安全問題綜述報(bào)告內(nèi)容提要：除了信息的保密性、完整性，保證系統(tǒng)和網(wǎng)絡(luò)的可用性、防止網(wǎng)絡(luò)資源/流量盜用，是網(wǎng)絡(luò)安全服務(wù)的重要目標(biāo)之一；安全是每個人的責(zé)任，整體的安全性依賴于所有用戶安全意識的增強(qiáng)、安全技術(shù)的普及；保護(hù)用戶不受攻擊規(guī)范用戶行為，不發(fā)起攻擊行為不做攻擊的中繼增強(qiáng)協(xié)作精神，不做攻擊的中轉(zhuǎn)站僅僅依靠安全技術(shù)和工具并不能實(shí)現(xiàn)真正意義上的網(wǎng)絡(luò)安全，要實(shí)現(xiàn)真正意義上的網(wǎng)絡(luò)安全，相關(guān)法律法規(guī)的保障是非常必要的。結(jié)束語：除了信息的保密性、完整性，保證系統(tǒng)和網(wǎng)絡(luò)的可用性、防止網(wǎng)絡(luò)資謝謝大家！！謝謝大家！！謝謝！謝謝！67網(wǎng)絡(luò)安全與黑客入侵技術(shù)概述舒永杰網(wǎng)絡(luò)安全與黑客入侵技術(shù)概述安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報(bào)告內(nèi)容提要：安全問題綜述報(bào)告內(nèi)容提要：系統(tǒng)安全信息安全文化安全文化安全：系統(tǒng)安全信息安全文化安全文化安全：作用點(diǎn)：有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅，主要表現(xiàn)在輿論宣傳方面。外顯行為：黃色、反動信息泛濫，敵對的意識形態(tài)信息涌入，互聯(lián)網(wǎng)被利用作為串聯(lián)工具，傳播迅速，影響范圍廣。防范措施：設(shè)置因特網(wǎng)關(guān)，監(jiān)測、控管。文化安全：作用點(diǎn)：有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅，主要作用點(diǎn)：對所處理的信息機(jī)密性與完整性的威脅，主要表現(xiàn)在加密方面。外顯行為：竊取信息，篡改信息，冒充信息，信息抵賴。防范措施：加密，認(rèn)證，數(shù)字簽名，完整性技術(shù)（VPN)信息安全：作用點(diǎn)：對所處理的信息機(jī)密性與完整性的威脅，主要表現(xiàn)在加密方信息安全：信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名信息安全：信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完作用點(diǎn)：對計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)可用性的威脅，主要表現(xiàn)在訪問控制方面。外顯行為：網(wǎng)絡(luò)被阻塞，黑客行為，計(jì)算機(jī)病毒等，使得依賴于信息系統(tǒng)的管理或控制體系陷于癱瘓。防范措施：防止入侵，檢測入侵，抵抗入侵，系統(tǒng)恢復(fù)。系統(tǒng)安全：作用點(diǎn)：對計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)可用性的威脅，主要表現(xiàn)在訪問因特網(wǎng)網(wǎng)絡(luò)對國民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增大信息對抗的威脅在增加研究安全漏洞以防之因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之系統(tǒng)安全：因特網(wǎng)網(wǎng)絡(luò)對國民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增大信息對抗的防火墻——第一道防線，阻止入侵入侵監(jiān)測——第二道防線，發(fā)現(xiàn)入侵加固系統(tǒng)——第三道防線，抵抗入侵自動恢復(fù)——第四道防線，起死回生系統(tǒng)安全：防火墻——第一道防線，阻止入侵入侵監(jiān)測——第二道防線，發(fā)現(xiàn)入安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報(bào)告內(nèi)容提要：安全問題綜述報(bào)告內(nèi)容提要：網(wǎng)絡(luò)上存在的問題：

網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲網(wǎng)絡(luò)上存在的問題：網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特※“黑客”在網(wǎng)上的攻擊活動每年以十倍速增長?！薷木W(wǎng)頁進(jìn)行惡作劇、竊取網(wǎng)上信息興風(fēng)作浪。※非法進(jìn)入主機(jī)破壞程序、阻塞用戶、竊取密碼。※串入銀行網(wǎng)絡(luò)轉(zhuǎn)移金錢、進(jìn)行電子郵件騷擾。美國每年因黑客而造成的經(jīng)濟(jì)損失近百億美元他們利用網(wǎng)絡(luò)安全的脆弱性，無孔不入。黑客的破壞：※“黑客”在網(wǎng)上的攻擊活動每年以十倍速增長。美國每年因黑客※網(wǎng)絡(luò)硬件設(shè)備的后門※網(wǎng)絡(luò)軟件產(chǎn)品的后門※網(wǎng)絡(luò)安全產(chǎn)品的問題：嵌入式固件病毒安全產(chǎn)品的隱蔽性通道可恢復(fù)性密鑰的密碼※系統(tǒng)運(yùn)行平臺的安全性問題外來安全設(shè)備的隱患：※網(wǎng)絡(luò)硬件設(shè)備的后門外來安全設(shè)備的隱患：黑客？黑客？發(fā)布網(wǎng)絡(luò)漏洞的網(wǎng)站：SANSCERTCOAST/coast/hotlistOthersubscriptionlistsNTBUGTRAQBUGTRAQDC-STUFF發(fā)布網(wǎng)絡(luò)漏洞的網(wǎng)站：SANS中國的相關(guān)網(wǎng)站：綠色兵團(tuán)/中國網(wǎng)絡(luò)安全響應(yīng)中心cns911/中科網(wǎng)威netpower大量的病毒安全廠商的網(wǎng)站中國的相關(guān)網(wǎng)站：綠色兵團(tuán)黑客入侵方式：攻擊的三個階段※

尋找目標(biāo)，收集信息(nessus)※

獲得初始的訪問控制權(quán)與特權(quán)

※

攻擊其他系統(tǒng)黑客入侵方式：攻擊的三個階段典型步驟：※掃描內(nèi)部信息：獲知提供何種服務(wù),那種服務(wù)可用以及相關(guān)的配置信息.開放的端口※利用系統(tǒng)已知的漏洞：通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測已知用戶的口令，從而發(fā)現(xiàn)突破口。如果得到了普通用戶的權(quán)限就會進(jìn)一步發(fā)掘※消除痕跡留下后門：黑客已經(jīng)獲得了系統(tǒng)的控制，會盡量清除痕跡，放置木馬、新建賬號等，系統(tǒng)完整性檢查可以發(fā)現(xiàn)這種情況。典型步驟：※掃描內(nèi)部信息：獲知提供何種服務(wù),那種服務(wù)需要注意的問題：※網(wǎng)絡(luò)的開放性使得攻擊來自各個地方※內(nèi)外部的攻擊同時存在※黑客工具的開放性使得問題變的嚴(yán)重※攻擊沒有針對性，但是涉及面很廣需要注意的問題：※網(wǎng)絡(luò)的開放性使得攻擊來自各個地方端口掃描httpftptelnetsmtp攻擊過程示例：端口掃描http攻擊過程示例：口令暴力攻擊用戶名:john口令:john1234攻擊過程示例：口令暴力攻擊用戶名:john攻擊過程示例：攻擊過程示例：用john登錄服務(wù)器利用漏洞獲得超級用戶權(quán)限留后門隱藏用戶更改主頁信息攻擊過程示例：用john登錄利用漏洞獲得留后門更改主頁信息選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門獲取超級用戶權(quán)限攻擊其它主機(jī)獲取或修改信息從事其它非法活動典型攻擊示意圖：選中攻獲取普通擦除入安裝獲取超級攻擊其它獲取或從事其它典型攻※

ping，fping判斷主機(jī)死活※

tcp/udpscan結(jié)合常規(guī)服務(wù)約定，根據(jù)端口判斷提供服務(wù)※

osindentify發(fā)送奇怪的tcp包,不同的操作系統(tǒng)反應(yīng)不同，queso,nmap※

Accountscans利用Email，finger等工具獲得系統(tǒng)賬號消息（用戶名、最后一次登陸時間）常用工具：※ping，fping判斷主機(jī)死活常用工具：缺陷掃描Rootcompromise:pop3d停止syslogd,修改/etc/inetd.conf,激活telnet,ftp,替換以下程序/bin/login、/bin/ps、/usr/bin/du、/bin/ls、/bin/netstat安裝竊聽程序sniffer:/usr/.sniffit重新啟動syslogd,關(guān)閉pop3d刪除日志記錄wtmp、wtp、message、syslog典型攻擊：缺陷掃描典型攻擊：安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語報(bào)告內(nèi)容提要：安全問題綜述報(bào)告內(nèi)容提要：※黑客攻擊※路由攻擊※口令攻擊※邏輯炸彈※特洛伊木馬常見攻擊分析：※陷門、隱蔽通道※信息丟失、篡改、銷毀※內(nèi)部、外部泄密※計(jì)算機(jī)病毒※拒絕服務(wù)攻擊（DOS）※電子欺騙（Spoofing）※黑客攻擊常見攻擊分析：※陷門、隱蔽通道口令攻擊分析：※Unixpassword文件※FTPTelnet的暴力破解口令※一般將生日作為密碼※簡單的單詞※使用同一個密碼作為所有的密碼※被有意留心的人竊取口令攻擊分析：※Unixpassword文件口令攻擊軟件John：這個軟件由著名的黑客組織--UCF出的,它支持Unix,Dos,Windows,速度超快,可以說是目前同類中最杰出的作品。對于老式的passwd檔(就是沒shadow的那種,任何人能看的都可以把passwd密文存下來),John可以直接讀取并用字典窮舉擊破。對于現(xiàn)代的passwd+shadow的方式,John提供了UNSHADOW程序直接把兩者合成出老式passwd文件。口令攻擊軟件John：這個軟件由著名的黑客組織-其它軟件：※破解WINDOWS開機(jī)密碼※破解郵件密碼※

網(wǎng)絡(luò)密碼……其它軟件：※破解WINDOWS開機(jī)密碼邏輯炸彈是一段潛伏的程序，它以某種邏輯狀態(tài)為觸發(fā)條件，可以用來釋放病毒和蠕蟲或完成其他攻擊性功能，如破壞數(shù)據(jù)和燒毀芯片。它平時不起作用，只有當(dāng)系統(tǒng)狀態(tài)滿足觸發(fā)條件時才被激活。邏輯炸彈：邏輯炸彈是一段潛伏的程序，它以某種邏輯狀態(tài)為觸特洛伊木馬是其內(nèi)部隱藏了某種隱蔽功能的程序，并不傳染，但設(shè)計(jì)者可利用其隱藏的功能達(dá)到目的，如尋找網(wǎng)絡(luò)上的漏洞或竊取某些信息。特洛伊木馬：特洛伊木馬是其內(nèi)部隱藏了某種隱蔽功能的程序，蠕蟲是一段獨(dú)立的可執(zhí)行程序，它可以通過計(jì)算機(jī)網(wǎng)絡(luò)把自身的拷貝（復(fù)制品）傳給其他的計(jì)算機(jī)。蠕蟲可以修改、刪除別的程序，但它也可以通過瘋狂的自我復(fù)制來占盡網(wǎng)絡(luò)資源，從而使網(wǎng)絡(luò)癱瘓。蠕蟲：蠕蟲是一段獨(dú)立的可執(zhí)行程序，它可以通過計(jì)算機(jī)※信息在傳輸過程中丟失；※信息在存儲過程中丟失；※改變信息流的次序、時序、流向；※未授權(quán)篡改、銷毀信息內(nèi)容。信息丟失、篡改、銷毀：※信息在傳輸過程中丟失；信息丟失、篡改、銷毀：※內(nèi)部涉密人員有意無意泄密；※內(nèi)部非授權(quán)人員有意偷竊機(jī)密信息；※外部人員使用高性能協(xié)議分析器、信道監(jiān)測設(shè)備對傳輸信息進(jìn)行分析；※外部人員竊取計(jì)算機(jī)系統(tǒng)的操作密碼；※外部人員破解系統(tǒng)的核心密碼；※外部人員竊取用戶的授權(quán)密碼。內(nèi)、外部泄密：※內(nèi)部涉密人員有意無意泄密；內(nèi)、外部泄密：※計(jì)算機(jī)病毒※拒絕服務(wù)攻擊（DOS）※電子欺騙其它攻擊：※計(jì)算機(jī)病毒其它攻擊：WinNuke攻擊原理

當(dāng)WindowsNT和Windows95系統(tǒng)的某些端口，如139號NetBIOS端口，接收到Out-of-Band數(shù)據(jù)時，系統(tǒng)不能正確地處理這些數(shù)據(jù)，造成系統(tǒng)的死機(jī)。網(wǎng)絡(luò)攻擊舉例：WinNuke攻擊原理網(wǎng)絡(luò)攻擊舉例：網(wǎng)絡(luò)攻擊舉例：LAND攻擊原理

當(dāng)對113或139號端口發(fā)送一個偽造的SYN報(bào)文時，如果報(bào)文中的源端主機(jī)的IP地址和端口與目的主機(jī)的IP地址和端口相同，例如從:139發(fā)送到:139，這時目標(biāo)主機(jī)將會死機(jī)。網(wǎng)絡(luò)攻擊舉例：LAND攻擊原理攻擊者InternetCode目標(biāo)2欺騙性的IP包源地址

2Port139目的地址

2Port139TCPOpenG.MarkHardyLand攻擊：攻擊者InternetCode目標(biāo)欺騙性的IP包G.M攻擊者InternetCode目標(biāo)2IP包欺騙源地址

2Port139目的地址

2Port139包被送回它自己崩潰G.MarkHardyLand攻擊：攻擊者InternetCode目標(biāo)IP包欺騙崩潰G.Ma攻擊者InternetCode目標(biāo)2IP包欺騙源地址2Port139目標(biāo)地址2Port139TCPOpen數(shù)據(jù)包被丟棄！防火墻防火墻把有危險的包阻隔在網(wǎng)絡(luò)外G.MarkHardy防護(hù)Land攻擊：攻擊者InternetCode目標(biāo)IP包欺騙防火墻防火墻把有網(wǎng)絡(luò)攻擊舉例：UDP攻擊

UDP攻擊的原理是使兩個或兩個以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。這樣會形成很大的數(shù)據(jù)流量。當(dāng)多個系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時，最終將導(dǎo)致整個網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)數(shù)目少，那么只有這幾臺主機(jī)會癱瘓。網(wǎng)絡(luò)攻擊舉例：UDP攻擊網(wǎng)絡(luò)攻擊舉例：TCP/SYN攻擊TCP的連接階段，發(fā)SYN包，要求連接偽造地址消耗主機(jī)資源網(wǎng)絡(luò)攻擊舉例：TCP/SYN攻擊TCP的連接階段，發(fā)SYN攻擊者InternetCode目標(biāo)欺騙性的IP包源地址不存在目標(biāo)地址是TCPOpenG.MarkHardySYNFlood：攻擊者InternetCode目標(biāo)欺騙性的IP包G.MSYNFlood：攻擊者InternetCode目標(biāo)同步應(yīng)答響應(yīng)源地址目標(biāo)地址不存在TCPACK崩潰G.MarkHardySYNFlood：攻擊者InternetCode目標(biāo)同步應(yīng)第一步：攻擊者向被利用網(wǎng)絡(luò)A的廣播地址發(fā)送一個ICMP協(xié)議的’echo’請求數(shù)據(jù)報(bào)，該數(shù)據(jù)報(bào)源地址被偽造成第二步：網(wǎng)絡(luò)A上的所有主機(jī)都向該偽造的源地址返回一個‘echo’響應(yīng)，造成該主機(jī)服務(wù)中斷。Smuff攻擊：第一步：攻擊者向被利用網(wǎng)絡(luò)A的廣播地址發(fā)送一個ICMP協(xié)議網(wǎng)絡(luò)攻擊舉例：ICMP/PING攻擊原理

ICMP/PING攻擊是利用一些系統(tǒng)不能接受超大的IP包或需要資源處理這一特性。如在Linux下輸入Ping-t66510IP（未打補(bǔ)丁的Win95/98的機(jī)器），機(jī)器就會癱瘓。網(wǎng)絡(luò)攻擊舉例：ICMP/PING攻擊原理網(wǎng)絡(luò)攻擊舉例：ICMP/SMURF攻擊原理

ICMP/SMURF攻擊利用的是網(wǎng)絡(luò)廣播的原理來發(fā)送大量的地址，而包的源地址就是要攻擊的機(jī)器本身的地址。因而所有接收到此包的主機(jī)都將給發(fā)包的地址發(fā)送一個ICMP回復(fù)包。網(wǎng)絡(luò)攻擊舉例：ICMP/SMURF攻擊原理網(wǎng)絡(luò)攻擊舉例：TARGA3攻擊(IP堆棧突破)

TARGA3攻擊的基本原理是發(fā)送TCP/UDP/ICMP的碎片包，其大小、標(biāo)記、包數(shù)據(jù)等都是隨機(jī)的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不規(guī)范數(shù)據(jù)包，便會使其TCP/IP堆棧出現(xiàn)崩潰，從而導(dǎo)致無法繼續(xù)響應(yīng)網(wǎng)絡(luò)請求（即拒絕服務(wù)）。網(wǎng)絡(luò)攻擊舉例：TARGA3攻擊(IP堆棧突破)DoS攻擊land,teardrop,SYNfloodICMP:smurfRouter:remotereset,UDPport7,Windows:Port135,137,139(OOB),terminalserverSolaris:Linux:其他...

網(wǎng)絡(luò)攻擊舉例：DoS攻擊網(wǎng)絡(luò)攻擊舉例：以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標(biāo)常用的工具：Trin00,TFN/TFN2K,Stacheldraht很難防范偽造源地址，流量加密，因此很難跟蹤clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFloodDDOS攻擊：以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標(biāo)clienttargethanDDOS攻擊的效果

由于整個過程是自動化的，攻擊者能夠在十幾秒鐘內(nèi)入侵一臺主機(jī)并安裝攻擊工具。也就是說，在短短的一小時內(nèi)可以入侵?jǐn)?shù)千臺主機(jī)。并使某一臺主機(jī)可能要遭受1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于1.04億人同時撥打某公司的一部電話號碼。DDOS攻擊：DDOS攻擊的效果DDOS攻擊：※確保主機(jī)不被入侵且是安全的；※周期性審核系統(tǒng)；※檢查文件完整性；※優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)；

※優(yōu)化對外開放訪問的主機(jī)；※在網(wǎng)絡(luò)上建立一個過濾器在攻擊信息到達(dá)網(wǎng)站服務(wù)器之前阻擋攻擊信息。DDOS攻擊的預(yù)防：※確保主機(jī)不被入侵且是安全的；DDOS攻擊的預(yù)防※如何增強(qiáng)自身的隱蔽性和攻擊能力；※采用加密通訊通道、ICMP協(xié)議等方法避開防火墻的檢測；※采用對自身