黑客攻防教學課件

黑客攻防演示黑客攻防演示1中美黑客大戰(zhàn)起因:2001年4月1日,中美飛機相撞,中國浙江省湖洲籍飛行員王偉壯烈犧牲中美黑客大戰(zhàn)起因:2

美國一家著名的網(wǎng)絡安全公司宣布了一項調(diào)查數(shù)據(jù)，稱自從撞機事件發(fā)生以來，兩國網(wǎng)站上的黑客攻擊事件每天都要發(fā)生40—50起，而在這之前，這個數(shù)字僅為1—2起。美國一家著名的網(wǎng)絡安全公司宣布了一項調(diào)查數(shù)據(jù)，稱自從3

中美黑客交鋒大事記(4月27日--5月5日)

中美黑客交鋒大事記(4月27日--5月5日)

44月27日擔心中國黑客發(fā)動五一大攻擊美國軍方高度戒備據(jù)一位國防部官員稱，為防范黑客攻擊，美國太平洋司令部已將其信息系統(tǒng)面臨威脅狀況的等級由一般提升至A級，這樣有關人員會隨時對網(wǎng)站的運營情況進行密切關注。同時，美國軍方到5月2日左右還可能將上述威脅等級由A級提升至B甚至C級，一旦提升到B級，那么用戶登陸所有軍方網(wǎng)站時就會受到限制，而C級則意味著軍方網(wǎng)絡系統(tǒng)不會保持時刻在線。威脅等級最高一級為D級，屆時整個軍方系統(tǒng)將全部關閉。4月27日54月28日美政府“防備中國黑客攻擊”文件全文美國聯(lián)邦調(diào)查局下屬的國家基礎設施保護中心(NIPC)在美國當?shù)貢r間26日(北京時間27日)就“中美黑客大戰(zhàn)”發(fā)布文件。4月28日64月29日

美國勞工部及衛(wèi)生部網(wǎng)站遭到中國黑客攻擊就在美國聯(lián)邦調(diào)查局(FBI)剛剛警告稱中國黑客有可能對美國網(wǎng)站發(fā)動進攻之后，幾個由美國政府機構運營的網(wǎng)站就于當?shù)貢r間4月28日遭到了攻擊。4月29日

美國勞工部及衛(wèi)生部網(wǎng)站遭到中國黑客攻擊74月30日近日，“中國紅客聯(lián)盟”主頁上張貼了通知，其主持人Lion召集“聯(lián)盟”全體成員4月30日晚7:00召開“攻擊美國網(wǎng)絡動員大會”，討論五一期間攻擊美國網(wǎng)站的計劃。中國紅客聯(lián)盟將在今晚9:00打響“反擊戰(zhàn)”4月30日85月1日中美黑客大戰(zhàn)再升級美白宮官方網(wǎng)站遭攻擊安全專家表示，美中黑客之間的網(wǎng)絡大戰(zhàn)在當?shù)貢r間4月30日愈加升級，其中美國白宮的官方網(wǎng)站遭到電子郵件“炸彈”的攻擊，同時若干個美國和中國網(wǎng)站頁面均被改得面目全非。

5月1日9美國能源部在新墨西哥州的一家下屬網(wǎng)站在2001年4月30日凌晨(北京時間4月30日下午)被人用幾條反美標語涂改，其它幾家政府網(wǎng)站，包括美國勞工部的網(wǎng)站也遭到了類似襲擊。黑客們在美國能源部的網(wǎng)站上留下了“偉大的中華民族萬歲！”、“美國必須對撞機事件負完全責任”、“抗議美國向臺灣出售武器，破壞世界和平！”等標語。美國能源部在新墨西哥州的一家下屬網(wǎng)站在2001年4月3105月2日中美黑客大戰(zhàn)升級兩天之內(nèi)700多家網(wǎng)站被黑經(jīng)過一天一夜的攻擊，在記者昨晚10時發(fā)稿前，在中國紅客聯(lián)盟公布被黑美國站點的網(wǎng)站上，被“攻陷”的美國站點已達92個，而來自網(wǎng)友信息，被黑的中國站點則已超過600個(包括臺灣地區(qū)的網(wǎng)站)。據(jù)分析，由于一些紅客沒能將所黑的網(wǎng)站及時報上，因此中美被黑站點比例大約在1：3左右。5月2日115月3日只改頁面未破壞DoS中國黑客手下留情據(jù)美國網(wǎng)絡安全專家稱，中國黑客在廣泛擴充攻擊隊伍，并在網(wǎng)上提供一種叫“殺死美國”的黑客工具，但他們只是在教人們?nèi)绾瓮扛捻撁?，并沒有對網(wǎng)站的DOS(denialofservice)進行破壞。中國黑客：美國黑客不罷手我們反擊會升級美國黑客對中國網(wǎng)站展開攻擊，引起廣東黑客參與“五一大反擊”，對于此次攻擊，有黑客表示，目的不僅僅是反擊，更多地想暴露目前中國網(wǎng)站存在的嚴重安全問題，引起各方高度關注。5月3日125月4日中國黑客對美展開反攻數(shù)千家美國網(wǎng)站被黑在這倆天的攻擊中，受損的主要是商業(yè)網(wǎng)站即以”.com“作后綴的網(wǎng)站。政府”.gov”和機構”.org”相對較少，教育部門”.edu”并未觸及?！爸袊t客”自發(fā)反擊今天發(fā)動“大沖鋒”5月4日135月5日“白宮網(wǎng)站再遭黑客襲擊被迫關閉兩個多小時白宮網(wǎng)站的新聞負責人吉米說：“大量數(shù)據(jù)的同時涌入，堵塞了白宮與其互聯(lián)網(wǎng)服務提供商(ISP)的連接通道?！卑讓m網(wǎng)站同時接到了大量要求服務的請求，以至于合法用戶無法登錄該網(wǎng)站。八萬中國紅客發(fā)起總攻美國考慮提升戒備狀態(tài)5月5日14美國白宮美國白宮15

美國技術政策研究中心

美國技術政策研究中心16黑客攻防教學課件17黑客攻防教學課件18黑客攻防教學課件19黑客攻防教學課件20黑客攻防教學課件21打造安全的IIS服務器一.什么是安全？二.IIS安全配置1.合理配置IIS日志。2.巧妙配置ACL（訪問控制列表）。3.開啟TCP/IP篩選。4.發(fā)揮2003Server自帶防火墻的力量。5.刪除不必要的IIS映射。6.采用SSL。三.模擬演練：黑客與網(wǎng)管的較量

黑客：我要入侵你的服務器！

端口掃描->下載數(shù)據(jù)庫->獲得Shell->控制服務器網(wǎng)管：我要維護IIS服務器的安全！防范掃描->防范下載->扼殺Shell->掌握控制權打造安全的IIS服務器一.什么是安全？22一.什么是安全？不存在絕對安全的計算機

理論上不存在絕對安全的計算機。因為計算機由硬件和軟件組成，而硬件由人制成，軟件由人編寫，不可能完美，總會出現(xiàn)紕漏，而任何紕漏都可能被心懷不軌者利用?，F(xiàn)實中存在相對安全的計算機。決定計算機是否安全是看管理者如何去讓它安全：避開不安全硬件因素；進行常規(guī)安全設置；了解黑客技術并有針對性的加以防范。最少的服務=最大的安全

計算機在提供正常服務的前提下，盡可能不開放其他無用的服務，讓可能出現(xiàn)安全問題的隱患減少，提高計算機整體安全性。安全界的木桶理論

木桶理論：一個由許多塊長短不同的木板箍成的木桶，決定其容水量大小的并非是其中最長的那塊木板或全部木板長度的平均值，而是取決于其中最短的那塊木板。要想提高木桶整體效應，不是增加最長的那塊木板的長度，而是要下功夫補齊最短的那塊木板的長度。決定計算機整體安全性的，不是最安全的設置或者服務，而是最容易出問題的設置或者服務。一.什么是安全？不存在絕對安全的計算機23二.IIS安全配置1.合理配置IIS日志。1）開啟并配置IIS日志

IIS管理器->網(wǎng)站->目標站點->屬性->啟用日志記錄->W3C擴展日志文件格式->屬性：常規(guī)選項：更改日志文件目錄到特定地址，不使用默認地址。方便多網(wǎng)站服務器的管理，也能在一定程度上迷惑黑客。高級選項：通常情況下，專業(yè)服務器為提高日志記錄效率和必要的時候追查訪問者信息，記錄如下信息：日期、時間、客戶IP、用戶名、服務名、服務器IP、端口、方法（Get/Post）、協(xié)議狀態(tài)、主機、代理、Cookies。

2）分析IIS日志

養(yǎng)成每天分析IIS日志，分析訪問情況，發(fā)現(xiàn)訪問異常，抓住隱藏入侵者是每個專業(yè)網(wǎng)絡工程師、網(wǎng)絡管理員的好習慣。

3）定期備份IIS日志

根據(jù)服務器上站點多寡、訪問量高低、穩(wěn)定性等情況，定期備份日志。在必要的時候，備份日志可作為排解疑難雜癥的重要資料，也可作為呈堂證供。普通獨立服務器備份周期在一星期左右為佳。二.IIS安全配置1.合理配置IIS日志。24二.IIS安全配置2.巧妙配置ACL（訪問控制列表）。1）什么是ACL？

Windows系統(tǒng)中，訪問控制列表(AccessControlList，簡稱ACL)，用來定義用戶/工作組與文件、目錄或其他資源相關的訪問權限的一組數(shù)據(jù)。在活動目錄服務中，一個ACL是一個存儲訪問權限與被保護對象相互之間關系的列表。在Cisco路由器配置中，訪問控制列表是使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息，如源地址、目的地址、源端口、目的端口等，根據(jù)預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。

2）IIS物理文件夾的ACL配置總則

總則：能寫入不運行，能運行不寫入。

以ASP程序為例，允許訪問者寫入數(shù)據(jù)的文件夾不允許運行ASP，允許ASP運行的文件夾不允許寫入數(shù)據(jù)。

3）具體配置方法

IIS文件夾->屬性->安全->添加Administrators組賬戶的完全控制權限->根據(jù)實際情況添加IIS訪問賬戶（IUSR_計算機名）的讀、寫權限。

IIS管理器->站點目錄->根據(jù)具體情況設置各文件夾是否具有運行權限。

二.IIS安全配置2.巧妙配置ACL（訪問控制列表）。25二.IIS安全配置3.開啟TCP/IP篩選

1）TCP/IP篩選的作用控制入站訪問的最簡單高效的方法之一就是使用“TCP/IP篩選”功能，TCP/IP篩選在內(nèi)核模式下工作，可以對TCP/IP入站訪問控制方案進行分層，簡單而高效。

2）配置TCP/IP篩選

IIS服務器只需要TCP80端口通訊，不需要其他TCP或UDP端口，所以封鎖所有無用端口：

網(wǎng)卡屬性->Internet協(xié)議（TCP/IP）->屬性->高級->選項->TCP/IP篩選->屬性->啟用TCP/IP篩選->只開放TCP80端口->開放UDP端口1(不可占用端口)二.IIS安全配置3.開啟TCP/IP篩選26二.IIS安全配置4.發(fā)揮2003Server自帶防火墻的力量。

1）2003Server自帶防火墻介紹2003自帶防火墻是2003Server一個非常實用的功能，不管對個人用戶還是企業(yè)用戶都非常適用，完美的實現(xiàn)了簡單、便捷與強大功能的結合。對IIS服務器來說，2003Server自帶防火墻可以非常方便地實現(xiàn)端口過濾（抵抗攻擊）、禁止非法程序訪問網(wǎng)絡（扼殺后門）、記錄非法訪問信息（查詢黑客信息）等功能。2）配置2003Server自帶防火墻

控制面板->Windows防火墻->常規(guī)->啟用防火墻（允許例外）->例外選項卡->刪除全部第三方程序->添加端口80二.IIS安全配置27二.IIS安全配置5.刪除不必要的IIS映射。

IIS映射是用應用程序來解析訪問者的請求，返回給訪問者正常信息。一般情況下，2003Server包含了asa、asp、cer、cdx、idc、shtm、shtml、stm等應用程序擴展，但在實際使用中，并不需要全部映射。不刪除不使用的映射會造成IIS后門暢通無阻，造成服務器程序紊亂。

以ASP程序為例，正確的配置方法是：

IIS管理器->網(wǎng)站->目標站點->屬性->主目錄->配置->映射->刪除除ASP以外的所有映射

6.采用SSL

SSL是安全套接層(SecureSocketsLayer)的縮寫，主要提供三方面的服務：認證用戶和服務器,使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務器上；加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。SSL應用在IIS服務器上會提供非常好的安全保護，但會影響服務器效能，減慢訪問者訪問速度，所以在一般情況下不考慮使用SSL加強服務器安全性。二.IIS安全配置5.刪除不必要的IIS映射。28三.模擬演練：黑客與網(wǎng)管的較量黑客：

我要入侵你的服務器！網(wǎng)管：

我要維護IIS服務器的安全！端口掃描下載數(shù)據(jù)庫獲得Shell控制服務器掌握控制權扼殺Shell防范下載防范掃描攻擊VS防御攻擊VS防御攻擊VS防御攻擊VS防御三.模擬演練：黑客與網(wǎng)管的較量黑客：

我要入侵你的服務器！網(wǎng)29三.模擬演練：黑客與網(wǎng)管的較量

黑客之端口掃描端口：計算機與外部通信的途徑。本地操作系統(tǒng)給有需求的進程分配的協(xié)議標識，即我們常說的端口。每個協(xié)議端口由一個正整數(shù)標識，如：80（IIS），21（FTP），139（NETBIOS）等。

端口掃描：通過給遠程服務器的各個端口發(fā)送不同的數(shù)據(jù)包，并記錄目標服務器給予的回答，通過這種方法搜集關于目標主機的各種有用的信息，這就是端口掃描（小提示：端口掃描也是網(wǎng)管必備技能之一，用來檢測主機信息）。

查看本地開放端口信息：可使用命令“netstat–ano”查看本地端口開放信息。

端口掃描工具：常見的端口掃描工具有如下幾種：X-SCAN：國人自主開發(fā)的集端口掃描、漏洞掃描、弱口令掃描于一體的經(jīng)典掃描器。Retina：國外Eeye公司出品的一款掃描器，可用于漏洞和端口掃描。

SSS：ShadowSecurityScanner，俄羅斯著名掃描器，可用于漏洞和端口掃描。

NMAP：開源的掃描工具，有*nix和Windows兩種版本。三.模擬演練：黑客與網(wǎng)管的較量

黑客之端口掃描端口：計算機與30三.模擬演練：黑客與網(wǎng)管的較量

網(wǎng)管之防范掃描通過IP篩選開放固定端口。

網(wǎng)卡屬性->常規(guī)->TCP/IP屬性->高級->選項->TCP/IP篩選->屬性->啟用TCP/IP篩選->添加TCP/UDP端口通過系統(tǒng)自帶防火墻禁止非法端口訪問。

控制面版->Windows防火墻->啟用->允許例外->例外->添加端口->80三.模擬演練：黑客與網(wǎng)管的較量

網(wǎng)管之防范掃描31三.模擬演練：黑客與網(wǎng)管的較量

黑客之下載數(shù)據(jù)庫數(shù)據(jù)庫地址掃描：

手工探測：黑客利用經(jīng)驗探索服務器是否存在可下載的數(shù)據(jù)庫。

工具探測：利用黑客工具測試服務器是否存在可下載的數(shù)據(jù)庫。

查詢數(shù)據(jù)庫內(nèi)敏感信息

Dvbbs7.MDB->Dv_Log->l_content->得到賬戶和密碼三.模擬演練：黑客與網(wǎng)管的較量

黑客之下載數(shù)據(jù)庫32三.模擬演練：黑客與網(wǎng)管的較量

網(wǎng)管之防范下載修改MDB后綴.將原本Access數(shù)據(jù)庫的MDB后綴修改成ASP或者ASA后綴，能有效防止黑客下載并破解該數(shù)據(jù)庫，對IIS服務器的安全有很好的強化作用。修改數(shù)據(jù)庫連接文件Conn.asp同時修改數(shù)據(jù)庫連接文件讓腳本系統(tǒng)正常運行。設置數(shù)據(jù)庫密碼：MicrosoftAccess->打開->目標數(shù)據(jù)庫->以獨占方式打開->工具->安全->設置/撤消密碼三.模擬演練：黑客與網(wǎng)管的較量

網(wǎng)管之防范下載修改MDB后綴33三.模擬演練：黑客與網(wǎng)管的較量

黑客之獲得Shell登錄后臺

通過獲得的賬戶和密碼登錄后臺，擁有對整個腳本系統(tǒng)的生殺大權，可隨意增/刪用戶、可隨意更改論壇信息！

備份數(shù)據(jù)庫獲得Shell

前臺上傳經(jīng)過修改的JPG程序，再到后臺通過數(shù)據(jù)庫備份功能將JPG程序轉換為ASP或者ASA程序運行，成功獲得WebShell。獲得WebShell以后，在網(wǎng)絡管理員未對服務器進行正確合理的安全配置時，可以訪問整個硬盤里的全部文件，并擁有完全權限，可讀取、刪除、寫入、運行程序！或者掛上類似“Hackeredby***”的黑頁出名。三.模擬演練：黑客與網(wǎng)管的較量

黑客之獲得Shell34三.模擬演練：黑客與網(wǎng)管的較量

網(wǎng)管之扼殺ShellACL設置杜絕Shell

通過ACL的設置，可成功防范黑客的入侵，在本例演示的情況下，只需要設置IIS整個目錄為不可寫入，單獨設置數(shù)據(jù)庫文件和上傳文件可寫入，再到IIS控制臺中設置上傳文件夾不可運行腳本即可。這樣設置后，黑客根本無法獲得Shell！

查找、刪除Shell在被入侵后，通過搜索可方便的找到Shell并進行刪除?，F(xiàn)在的WebShell有三種形態(tài)：獨立文件、插入數(shù)據(jù)庫、插入ASP頁面。通過搜索均能找出它們并刪除。三.模擬演練：黑客與網(wǎng)管的較量

網(wǎng)管之扼殺ShellACL設35三.模擬演練：黑客與網(wǎng)管的較量

黑客之控制服務器放置后門

通過WebShell上傳遠程控制后門，并運行，可獲得服務器的完全控制權限！隨后可上傳/運行更多后門！

控制服務器

黑客想做什么做什么！想怎么玩怎么玩！三.模擬演練：黑客與網(wǎng)管的較量

黑客之控制服務器36三.模擬演練：黑客與網(wǎng)管的較量

網(wǎng)管之掌握控制權ACL列表禁止訪問者運行后門通過嚴密的ACL設置，可禁止IIS訪問者運行程序的權限，讓后門無法運行。防火墻禁止后門連接即使后門運行后，有防火墻禁止后門訪問網(wǎng)絡，有TCP/IP篩選禁止非法端口數(shù)據(jù)收發(fā)，普通后門也無法連接成功。清理各種后門清理系統(tǒng)后門是一個艱巨的任務，現(xiàn)在的后門包含了端口綁定、反向連接、端口復用、DLL調(diào)用、進程插入、RootKit（APIHOOK）等種類，每一種后門的清理都非常耗費時間和精力，也是黑客與管理員之間計算機技術真刀真槍的比拼，包括通信協(xié)議、系統(tǒng)調(diào)用、服務本質、函數(shù)接口、反匯編技術等等等等，這些技術將作為以后大家一起逐步深入的內(nèi)容。三.模擬演練：黑客與網(wǎng)管的較量

網(wǎng)管之掌握控制權ACL列表禁37黑客攻防教學課件38謝謝各位謝謝各位39黑客攻防演示黑客攻防演示40中美黑客大戰(zhàn)起因:2001年4月1日,中美飛機相撞,中國浙江省湖洲籍飛行員王偉壯烈犧牲中美黑客大戰(zhàn)起因:41

美國一家著名的網(wǎng)絡安全公司宣布了一項調(diào)查數(shù)據(jù)，稱自從撞機事件發(fā)生以來，兩國網(wǎng)站上的黑客攻擊事件每天都要發(fā)生40—50起，而在這之前，這個數(shù)字僅為1—2起。美國一家著名的網(wǎng)絡安全公司宣布了一項調(diào)查數(shù)據(jù)，稱自從42

中美黑客交鋒大事記(4月27日--5月5日)

中美黑客交鋒大事記(4月27日--5月5日)

434月27日擔心中國黑客發(fā)動五一大攻擊美國軍方高度戒備據(jù)一位國防部官員稱，為防范黑客攻擊，美國太平洋司令部已將其信息系統(tǒng)面臨威脅狀況的等級由一般提升至A級，這樣有關人員會隨時對網(wǎng)站的運營情況進行密切關注。同時，美國軍方到5月2日左右還可能將上述威脅等級由A級提升至B甚至C級，一旦提升到B級，那么用戶登陸所有軍方網(wǎng)站時就會受到限制，而C級則意味著軍方網(wǎng)絡系統(tǒng)不會保持時刻在線。威脅等級最高一級為D級，屆時整個軍方系統(tǒng)將全部關閉。4月27日444月28日美政府“防備中國黑客攻擊”文件全文美國聯(lián)邦調(diào)查局下屬的國家基礎設施保護中心(NIPC)在美國當?shù)貢r間26日(北京時間27日)就“中美黑客大戰(zhàn)”發(fā)布文件。4月28日454月29日

美國勞工部及衛(wèi)生部網(wǎng)站遭到中國黑客攻擊就在美國聯(lián)邦調(diào)查局(FBI)剛剛警告稱中國黑客有可能對美國網(wǎng)站發(fā)動進攻之后，幾個由美國政府機構運營的網(wǎng)站就于當?shù)貢r間4月28日遭到了攻擊。4月29日

美國勞工部及衛(wèi)生部網(wǎng)站遭到中國黑客攻擊464月30日近日，“中國紅客聯(lián)盟”主頁上張貼了通知，其主持人Lion召集“聯(lián)盟”全體成員4月30日晚7:00召開“攻擊美國網(wǎng)絡動員大會”，討論五一期間攻擊美國網(wǎng)站的計劃。中國紅客聯(lián)盟將在今晚9:00打響“反擊戰(zhàn)”4月30日475月1日中美黑客大戰(zhàn)再升級美白宮官方網(wǎng)站遭攻擊安全專家表示，美中黑客之間的網(wǎng)絡大戰(zhàn)在當?shù)貢r間4月30日愈加升級，其中美國白宮的官方網(wǎng)站遭到電子郵件“炸彈”的攻擊，同時若干個美國和中國網(wǎng)站頁面均被改得面目全非。

5月1日48美國能源部在新墨西哥州的一家下屬網(wǎng)站在2001年4月30日凌晨(北京時間4月30日下午)被人用幾條反美標語涂改，其它幾家政府網(wǎng)站，包括美國勞工部的網(wǎng)站也遭到了類似襲擊。黑客們在美國能源部的網(wǎng)站上留下了“偉大的中華民族萬歲！”、“美國必須對撞機事件負完全責任”、“抗議美國向臺灣出售武器，破壞世界和平！”等標語。美國能源部在新墨西哥州的一家下屬網(wǎng)站在2001年4月3495月2日中美黑客大戰(zhàn)升級兩天之內(nèi)700多家網(wǎng)站被黑經(jīng)過一天一夜的攻擊，在記者昨晚10時發(fā)稿前，在中國紅客聯(lián)盟公布被黑美國站點的網(wǎng)站上，被“攻陷”的美國站點已達92個，而來自網(wǎng)友信息，被黑的中國站點則已超過600個(包括臺灣地區(qū)的網(wǎng)站)。據(jù)分析，由于一些紅客沒能將所黑的網(wǎng)站及時報上，因此中美被黑站點比例大約在1：3左右。5月2日505月3日只改頁面未破壞DoS中國黑客手下留情據(jù)美國網(wǎng)絡安全專家稱，中國黑客在廣泛擴充攻擊隊伍，并在網(wǎng)上提供一種叫“殺死美國”的黑客工具，但他們只是在教人們?nèi)绾瓮扛捻撁?，并沒有對網(wǎng)站的DOS(denialofservice)進行破壞。中國黑客：美國黑客不罷手我們反擊會升級美國黑客對中國網(wǎng)站展開攻擊，引起廣東黑客參與“五一大反擊”，對于此次攻擊，有黑客表示，目的不僅僅是反擊，更多地想暴露目前中國網(wǎng)站存在的嚴重安全問題，引起各方高度關注。5月3日515月4日中國黑客對美展開反攻數(shù)千家美國網(wǎng)站被黑在這倆天的攻擊中，受損的主要是商業(yè)網(wǎng)站即以”.com“作后綴的網(wǎng)站。政府”.gov”和機構”.org”相對較少，教育部門”.edu”并未觸及?！爸袊t客”自發(fā)反擊今天發(fā)動“大沖鋒”5月4日525月5日“白宮網(wǎng)站再遭黑客襲擊被迫關閉兩個多小時白宮網(wǎng)站的新聞負責人吉米說：“大量數(shù)據(jù)的同時涌入，堵塞了白宮與其互聯(lián)網(wǎng)服務提供商(ISP)的連接通道。”白宮網(wǎng)站同時接到了大量要求服務的請求，以至于合法用戶無法登錄該網(wǎng)站。八萬中國紅客發(fā)起總攻美國考慮提升戒備狀態(tài)5月5日53美國白宮美國白宮54

美國技術政策研究中心

美國技術政策研究中心55黑客攻防教學課件56黑客攻防教學課件57黑客攻防教學課件58黑客攻防教學課件59黑客攻防教學課件60打造安全的IIS服務器一.什么是安全？二.IIS安全配置1.合理配置IIS日志。2.巧妙配置ACL（訪問控制列表）。3.開啟TCP/IP篩選。4.發(fā)揮2003Server自帶防火墻的力量。5.刪除不必要的IIS映射。6.采用SSL。三.模擬演練：黑客與網(wǎng)管的較量

黑客：我要入侵你的服務器！

端口掃描->下載數(shù)據(jù)庫->獲得Shell->控制服務器網(wǎng)管：我要維護IIS服務器的安全！防范掃描->防范下載->扼殺Shell->掌握控制權打造安全的IIS服務器一.什么是安全？61一.什么是安全？不存在絕對安全的計算機

理論上不存在絕對安全的計算機。因為計算機由硬件和軟件組成，而硬件由人制成，軟件由人編寫，不可能完美，總會出現(xiàn)紕漏，而任何紕漏都可能被心懷不軌者利用?，F(xiàn)實中存在相對安全的計算機。決定計算機是否安全是看管理者如何去讓它安全：避開不安全硬件因素；進行常規(guī)安全設置；了解黑客技術并有針對性的加以防范。最少的服務=最大的安全

計算機在提供正常服務的前提下，盡可能不開放其他無用的服務，讓可能出現(xiàn)安全問題的隱患減少，提高計算機整體安全性。安全界的木桶理論

木桶理論：一個由許多塊長短不同的木板箍成的木桶，決定其容水量大小的并非是其中最長的那塊木板或全部木板長度的平均值，而是取決于其中最短的那塊木板。要想提高木桶整體效應，不是增加最長的那塊木板的長度，而是要下功夫補齊最短的那塊木板的長度。決定計算機整體安全性的，不是最安全的設置或者服務，而是最容易出問題的設置或者服務。一.什么是安全？不存在絕對安全的計算機62二.IIS安全配置1.合理配置IIS日志。1）開啟并配置IIS日志

IIS管理器->網(wǎng)站->目標站點->屬性->啟用日志記錄->W3C擴展日志文件格式->屬性：常規(guī)選項：更改日志文件目錄到特定地址，不使用默認地址。方便多網(wǎng)站服務器的管理，也能在一定程度上迷惑黑客。高級選項：通常情況下，專業(yè)服務器為提高日志記錄效率和必要的時候追查訪問者信息，記錄如下信息：日期、時間、客戶IP、用戶名、服務名、服務器IP、端口、方法（Get/Post）、協(xié)議狀態(tài)、主機、代理、Cookies。

2）分析IIS日志

養(yǎng)成每天分析IIS日志，分析訪問情況，發(fā)現(xiàn)訪問異常，抓住隱藏入侵者是每個專業(yè)網(wǎng)絡工程師、網(wǎng)絡管理員的好習慣。

3）定期備份IIS日志

根據(jù)服務器上站點多寡、訪問量高低、穩(wěn)定性等情況，定期備份日志。在必要的時候，備份日志可作為排解疑難雜癥的重要資料，也可作為呈堂證供。普通獨立服務器備份周期在一星期左右為佳。二.IIS安全配置1.合理配置IIS日志。63二.IIS安全配置2.巧妙配置ACL（訪問控制列表）。1）什么是ACL？

Windows系統(tǒng)中，訪問控制列表(AccessControlList，簡稱ACL)，用來定義用戶/工作組與文件、目錄或其他資源相關的訪問權限的一組數(shù)據(jù)。在活動目錄服務中，一個ACL是一個存儲訪問權限與被保護對象相互之間關系的列表。在Cisco路由器配置中，訪問控制列表是使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息，如源地址、目的地址、源端口、目的端口等，根據(jù)預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。

2）IIS物理文件夾的ACL配置總則

總則：能寫入不運行，能運行不寫入。

以ASP程序為例，允許訪問者寫入數(shù)據(jù)的文件夾不允許運行ASP，允許ASP運行的文件夾不允許寫入數(shù)據(jù)。

3）具體配置方法

IIS文件夾->屬性->安全->添加Administrators組賬戶的完全控制權限->根據(jù)實際情況添加IIS訪問賬戶（IUSR_計算機名）的讀、寫權限。

IIS管理器->站點目錄->根據(jù)具體情況設置各文件夾是否具有運行權限。

二.IIS安全配置2.巧妙配置ACL（訪問控制列表）。64二.IIS安全配置3.開啟TCP/IP篩選

1）TCP/IP篩選的作用控制入站訪問的最簡單高效的方法之一就是使用“TCP/IP篩選”功能，TCP/IP篩選在內(nèi)核模式下工作，可以對TCP/IP入站訪問控制方案進行分層，簡單而高效。

2）配置TCP/IP篩選

IIS服務器只需要TCP80端口通訊，不需要其他TCP或UDP端口，所以封鎖所有無用端口：

網(wǎng)卡屬性->Internet協(xié)議（TCP/IP）->屬性->高級->選項->TCP/IP篩選->屬性->啟用TCP/IP篩選->只開放TCP80端口->開放UDP端口1(不可占用端口)二.IIS安全配置3.開啟TCP/IP篩選65二.IIS安全配置4.發(fā)揮2003Server自帶防火墻的力量。

1）2003Server自帶防火墻介紹2003自帶防火墻是2003Server一個非常實用的功能，不管對個人用戶還是企業(yè)用戶都非常適用，完美的實現(xiàn)了簡單、便捷與強大功能的結合。對IIS服務器來說，2003Server自帶防火墻可以非常方便地實現(xiàn)端口過濾（抵抗攻擊）、禁止非法程序訪問網(wǎng)絡（扼殺后門）、記錄非法訪問信息（查詢黑客信息）等功能。2）配置2003Server自帶防火墻

控制面板->Windows防火墻->常規(guī)->啟用防火墻（允許例外）->例外選項卡->刪除全部第三方程序->添加端口80二.IIS安全配置66二.IIS安全配置5.刪除不必要的IIS映射。

IIS映射是用應用程序來解析訪問者的請求，返回給訪問者正常信息。一般情況下，2003Server包含了asa、asp、cer、cdx、idc、shtm、shtml、stm等應用程序擴展，但在實際使用中，并不需要全部映射。不刪除不使用的映射會造成IIS后門暢通無阻，造成服務器程序紊亂。

以ASP程序為例，正確的配置方法是：

IIS管理器->網(wǎng)站->目標站點->屬性->主目錄->配置->映射->刪除除ASP以外的所有映射

6.采用SSL

SSL是安全套接層(SecureSocketsLayer)的縮寫，主要提供三方面的服務：認證用戶和服務器,使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務器上；加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。SSL應用在IIS服務器上會提供非常好的安全保護，但會影響服務器效能，減慢訪問者訪問速度，所以在一般情況下不考慮使用SSL加強服務器安全性。二.IIS安全配置5.刪除不必要的IIS映射。67三.模擬演練：黑客與網(wǎng)管的較量黑客：

我要入侵你的服務器！網(wǎng)管：

我要維護IIS服務器的安全！端口掃描下載數(shù)據(jù)庫獲得Shell控制服務器掌握控制權扼殺Shell防范下載防范掃描攻擊VS防御攻擊VS防御攻擊VS防御攻擊VS防御三.模擬演練：黑客與網(wǎng)管的較量黑客：

我要入侵你的服務器！網(wǎng)68三.模擬演練：黑客與網(wǎng)管的較量

黑客之端口掃描端口：計算機與外部通信的途徑。本地操作系統(tǒng)給有需求的進程分配的協(xié)議標識，即我們常說的端口。每個協(xié)議端口由一個正整數(shù)標識，如：80（IIS），21（FTP），139（NETBIOS）等。

端口掃描：通過給遠程服務器的各個端口發(fā)送不同的數(shù)據(jù)包，并記錄目標服務器給予的回答，通過這種方法搜集關于目標主機的各種有用的信息，這就是端口掃描（小提示：端口掃描也是網(wǎng)管必備技能之一，用來檢測主機信息）。

查看本地開放端口信息：可使用命令“netstat–ano”查看本地端口開放信息。

端口掃描工具：常見的端口掃描工具有如下幾種：X-SCAN：國人自主開發(fā)的集端口掃描、漏洞掃描、弱口令掃描于一體的經(jīng)典掃描器。Retina：國外Eeye公司出品的一款掃描器，可用于漏洞和端口掃描。

SSS：ShadowSecurityScanner，俄羅斯著名掃描器，可用于漏洞和端口掃描。

NMAP：開源的掃描工具，有*nix和Windows兩種版本。三.模擬演練：黑客與網(wǎng)管的較量

黑客之端口掃描端口：計算機與69三.模擬演練：黑客與網(wǎng)管的較量

網(wǎng)管之防范掃描通過IP篩選開放固定端口。

網(wǎng)卡屬性->常規(guī)->TCP/IP屬性->高級->選項->TCP/IP篩選->屬性->啟用TCP/IP篩選->添加TCP/UDP端口通過系統(tǒng)自帶防火墻禁止非法端口訪問。

控制面版->Windows防火墻->啟用->允許例外->例外->添加端口->80三.模擬演練：黑客與網(wǎng)管的較量

網(wǎng)管之防范掃描70三.模擬演練：黑客與網(wǎng)管的較量

黑客之下載數(shù)據(jù)庫數(shù)據(jù)庫地址掃描：

手工探測：黑客利用經(jīng)驗探索服務器是否存在可下載的數(shù)據(jù)庫。

工具探測：利用黑客工具測試服務器是否存在可下載的數(shù)據(jù)庫。

查詢數(shù)據(jù)庫內(nèi)敏感信息

Dvbbs7.MDB->Dv_Log->l_co