《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 11-WEB攻擊檢測和防御技術(shù)；12-VPN概述

WEB攻擊檢測和防御技術(shù)了解WEB攻擊檢測和防御技術(shù)教學(xué)目標(biāo)服務(wù)器安全風(fēng)險DOS攻擊檢測和防御技術(shù)漏洞攻擊防護入侵檢測和防御技術(shù)WEB攻擊檢測和防御技術(shù)-1.攻擊技術(shù)聯(lián)動封鎖技術(shù)目錄WEB攻擊檢測和防御技術(shù)需求背景漏洞攻擊，任何一個計算機網(wǎng)絡(luò)的營造都有其不完善的一面，漏洞攻擊就是攻擊者利用這一點，在網(wǎng)絡(luò)系統(tǒng)的構(gòu)建組織中尋找漏洞，入侵用戶系統(tǒng)，竊取相關(guān)信息，對網(wǎng)絡(luò)系統(tǒng)安全構(gòu)成威脅。典型案例是2016年OpenSSL被爆出存在新安全漏洞“水牢漏洞”，這一漏洞使黑客有機會攻擊網(wǎng)站并讀取密碼、信用卡賬號、金融數(shù)據(jù)加密等信息，由于全球超過半數(shù)的網(wǎng)站服務(wù)器都使用OpenSSL協(xié)議加密，此次安全漏洞為全球網(wǎng)站帶來巨大安全挑戰(zhàn)。《2017年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》中數(shù)據(jù)給出，CNVD收集新增漏洞約16萬個，高危漏洞占比35.2%，排名前三的分別為應(yīng)用程序漏洞、Web應(yīng)用漏洞和操作系統(tǒng)漏洞。而除了漏洞的頻發(fā)，攻擊手法也從傳統(tǒng)的僵木蠕、Dos/DDoS等向0day、勒索病毒、APT、社會工程學(xué)等新型高級威脅演進。WEB攻擊檢測和防御技術(shù)OWASP背景了解開放式Web應(yīng)用程序安全項目（OWASP，OpenWebApplicationSecurityProject）是一個組織，它是公共的，不附屬于任何企業(yè)或財團。它提供有關(guān)計算機和互聯(lián)網(wǎng)應(yīng)用程序的公正、實際、有成本效益的信息，Top10的web威脅防護就是它定義的針對目前最普遍的web應(yīng)用層，為安全測試人員和開發(fā)者提供了如何識別與避免這些安全威脅的指南注意：Top10的對象以及內(nèi)容根據(jù)每年的安全具體狀況，是會不斷被調(diào)整的，而不是一成不變的排列，后面的PPT分析以AF上設(shè)計的Top10進行分析WEB攻擊檢測和防御技術(shù)SQL注入的原理SQL注入攻擊是由于web應(yīng)用程序開發(fā)中，沒有對用戶輸入數(shù)據(jù)的合法進行判斷，攻擊者可以通過互聯(lián)網(wǎng)輸入?yún)^(qū)域（如URL、表單等），利用某些特殊構(gòu)造的SQL的特殊字符和指令，提交一段數(shù)據(jù)庫查詢代碼，操縱并獲得本不為用戶所知的數(shù)據(jù)。攻擊的對象是：數(shù)據(jù)庫例如：我們在瀏覽器中輸入URL

，由于它只是對頁面的簡單請求無需對數(shù)據(jù)庫進行動態(tài)請求，所以它不存在SQL注入，當(dāng)我們輸入?testid=23時，我們在URL中傳遞變量testid，并且提供值為23，由于它是對數(shù)據(jù)庫進行動態(tài)查詢的請求（其中?testid＝23表示數(shù)據(jù)庫查詢變量），所以我們可以在該URL中嵌入惡意SQL語句。WEB攻擊檢測和防御技術(shù)SQL注入語句分析舉個例子:網(wǎng)站后臺代碼的sql語句構(gòu)建如下$sql=“select*fromuserwhereid=$id”

正常的url如下/1.php?id=1訪問該url會出現(xiàn)id=1的正常頁面若是訪問/1.php?id=1and1=1后臺語句構(gòu)建如下select*fromuserwhereid=1and1=1會返回和id=1一樣的回顯信息。若是訪問/1.php?id=1and1=2后臺語句構(gòu)建如下select*fromuserwhereid=1and1=2會返回和id=1不一樣的回顯信息and1=1和and1=2都是注入的sql語句，將其換成特定語句會導(dǎo)致執(zhí)行攻擊者執(zhí)行任意sql語句。WEB攻擊檢測和防御技術(shù)SQL注入語句分析例如：我們嘗試在下面用戶名中輸入123’or1=1#,密碼同樣輸入123’or1=1#。點擊登錄后，提示登錄成功。為什么能夠成功登錄呢？因為實際執(zhí)行的語句是:select*fromuserswhereusername='123'or1=1#'andpassword='123'or1=1#’;照Mysql語法，#后面的內(nèi)容會被忽略，所以以上語句等同于（實際上密碼框里不輸入任何東西也一樣）：select*fromuserswhereusername='123'or1=1;由于判斷語句or1=1恒成立，所以結(jié)果當(dāng)然返回真，成功登錄。WEB攻擊檢測和防御技術(shù)SQL注入的危害SQL注入的危害包括但不局限于數(shù)據(jù)庫信息泄漏：數(shù)據(jù)庫中存放的用戶的隱私信息的泄露。網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對特定網(wǎng)頁進行篡改。網(wǎng)站被掛馬，傳播惡意軟件：修改數(shù)據(jù)庫一些字段的值，嵌入網(wǎng)馬鏈接，進行掛馬攻擊。數(shù)據(jù)庫被惡意操作：數(shù)據(jù)庫服務(wù)器被攻擊，數(shù)據(jù)庫的系統(tǒng)管理員帳戶被竄改。服務(wù)器被遠程控制，被安裝后門。經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)。破壞硬盤數(shù)據(jù)，癱瘓全系統(tǒng)。WEB攻擊檢測和防御技術(shù)SQL注入的日志分析WEB攻擊檢測和防御技術(shù)SQL注入的防御過濾特殊字符單引號、雙引號、斜杠、反斜杠、冒號、空字符等的字符過濾的對象用戶的輸入提交的URL請求中的參數(shù)部分從cookie中得到的數(shù)據(jù)驗證上一步所配置策略有效性有效性，是否可達預(yù)期。AF的防御使用web應(yīng)用防護中的SQL注入防護功能進行防護WEB攻擊檢測和防御技術(shù)XSS攻擊的原理跨站腳本攻擊（XSS）是由于web開發(fā)者在編寫應(yīng)用程序時沒有對用戶提交的語句和變量進行過濾或限制，XSS是一種常見于Web應(yīng)用中的計算機安全漏洞。惡意攻擊者通過web頁面向數(shù)據(jù)庫或HTML頁面中提交惡意的客戶端腳本（常用的有JS腳本），當(dāng)用戶瀏覽此網(wǎng)頁時，腳本就會在用戶的瀏覽器上執(zhí)行，進而達到攻擊者的目的。XSS攻擊就是讓攻擊者能夠在受害者的瀏覽器上執(zhí)行任意的JS代碼，利用的是用戶瀏覽器對網(wǎng)站的信任，執(zhí)行攻擊者構(gòu)造的JS代碼，實現(xiàn)對應(yīng)的攻擊危害WEB攻擊檢測和防御技術(shù)XSS攻擊的原理從下圖可以看出，HTML通過將一些字符特殊地對待，來區(qū)別文本和標(biāo)記，例如，小于符號（<）被看作是HTML標(biāo)簽的開始，<html>與</html>之間的字符是頁面的標(biāo)題內(nèi)容等等。當(dāng)動態(tài)頁面中插入的內(nèi)容含有這些特殊字符（如<）時，用戶瀏覽器會將其誤認為是插入了HTML標(biāo)簽，當(dāng)這些HTML標(biāo)簽引入了一段JavaScript腳本時，這些腳本程序就會在用戶瀏覽器中執(zhí)行。所以，當(dāng)這些特殊字符不能被動態(tài)頁面檢查出異常時，就將會產(chǎn)生XSS漏洞。XSS也可以注入其他任意功能的腳本代碼，而這些腳本代碼也將能夠在受害的瀏覽器上得到執(zhí)行。WEB攻擊檢測和防御技術(shù)XSS語句分析舉個例子后臺代碼如下<?phpecho$_GET['keyword'];?>訪問正常url如下/1.php?keyword=123回顯就是123若是訪問/1.php?keyword=123<script>alert(1)</script>回顯的頁面就會執(zhí)行插入的JS代碼，發(fā)生彈窗。如果/1.php?keyword=123<script>alert(1)</script>這個鏈接發(fā)送給受害者并且引誘其點擊，受害者的瀏覽器將會彈窗?？偨Y(jié):XSS漏洞就是讓攻擊者能夠在受害者的瀏覽器上執(zhí)行任意的JS代碼。WEB攻擊檢測和防御技術(shù)XSS攻擊的分類及原理反射型XSS反射型XSS，用戶在頁面輸入框中輸入數(shù)據(jù)，通過get或者post方法向服務(wù)器端傳遞數(shù)據(jù)，輸入的數(shù)據(jù)一般是放在URL的querystring中，或者是form表單中，如果服務(wù)端沒有對這些數(shù)據(jù)進行過濾、驗證或者編碼，直接將用戶輸入的數(shù)據(jù)呈現(xiàn)出來，就可能會造成反射型XSS反射型攻擊，惡意代碼并沒有保存在目標(biāo)網(wǎng)站（服務(wù)器中沒有這樣的頁面和內(nèi)容），需要欺騙用戶自己去點擊鏈接才能觸發(fā)XSS代碼，反射型XSS一般容易出現(xiàn)在搜索頁面。WEB攻擊檢測和防御技術(shù)XSS攻擊的分類及原理存儲型XSS存儲型XSS，它和反射型XSS最大的不同就是，攻擊腳本將被永久地存放在目標(biāo)服務(wù)器的數(shù)據(jù)庫和文件中。通常是因為服務(wù)器端將用戶輸入的惡意腳本沒有經(jīng)過驗證就存儲在數(shù)據(jù)庫中，并且通過調(diào)用數(shù)據(jù)庫的方式，將數(shù)據(jù)呈現(xiàn)在瀏覽器上。這種攻擊多見于論壇，攻擊者在發(fā)帖的過程中，將惡意腳本連同正常信息一起注入到帖子的內(nèi)容之中。隨著帖子被論壇服務(wù)器存儲下來，惡意腳本也永久地被存放在論壇服務(wù)器的數(shù)據(jù)庫中。當(dāng)其它用戶瀏覽這個被注入了惡意腳本的帖子的時，惡意腳本則會在他們的瀏覽器中得到執(zhí)行，從而受到了攻擊。WEB攻擊檢測和防御技術(shù)XSS攻擊的危害盜取各類用戶帳號：如機器登錄帳號、用戶網(wǎng)銀帳號、各類管理員帳號網(wǎng)絡(luò)釣魚，包括盜取各類用戶賬號竊取用戶cookie資料，從而獲取用戶隱私信息，或利用用戶身份進一步對網(wǎng)站執(zhí)行操作劫持用戶（瀏覽器）會話，從而執(zhí)行任意操作，例如進行非法轉(zhuǎn)賬，強制發(fā)表日志，發(fā)送電子郵件等強制彈出廣告頁面，刷流量等網(wǎng)頁掛馬進行惡意操作，例如任意篡改頁面信息，刪除文章等進行大量的客戶端攻擊，如DDOS攻擊獲取客戶端信息，例如用戶的瀏覽歷史，真實ip，開放端口等控制受害者機器向其他網(wǎng)站發(fā)起攻擊結(jié)合其他漏洞進一步擴大攻擊提升用戶權(quán)限，包括進一步滲透網(wǎng)站傳播XSS跨站腳本蠕蟲等WEB攻擊檢測和防御技術(shù)XSS攻擊的日志分析WEB攻擊檢測和防御技術(shù)XSS攻擊的防御防御方式輸入與輸出中的過濾WEB安全編碼規(guī)范HttpOnlycookie

：cookie中設(shè)置了HttpOnly屬性，則js腳本將無法讀取到cookie信息重要信息不要保存入cookieAF的防御開啟web應(yīng)用防護的XSS攻擊防護功能WEB攻擊檢測和防御技術(shù)跨站請求偽造的原理CSRF跨站請求偽造（Cross-siterequestforgery），是利用用戶的身份去訪問用戶的網(wǎng)站。跟跨站腳本（XSS）相比，XSS利用的是用戶瀏覽器對網(wǎng)站的信任，CSRF利用的是網(wǎng)站對用戶瀏覽器的信任。CSRF是攻擊者通過一些技術(shù)手段欺騙用戶的瀏覽器去訪問一個用戶自己曾經(jīng)認證過的網(wǎng)站并運行一些操作（如發(fā)郵件，發(fā)消息，甚至財產(chǎn)操作如轉(zhuǎn)賬和購買商品）。由于瀏覽器曾經(jīng)認證過，所以被訪問的網(wǎng)站會認為是真正的用戶操作而去運行。這利用了web中用戶身份驗證的漏洞：簡單的身份驗證只能保證請求發(fā)自某個用戶的瀏覽器，卻不能保證請求本身是用戶自愿發(fā)出的。WEB攻擊檢測和防御技術(shù)跨站請求偽造的原理CSRF是攻擊者通過一些技術(shù)手段欺騙用戶的瀏覽器去訪問一個用戶自己曾經(jīng)認證過的網(wǎng)站并運行一些操作（如發(fā)郵件，發(fā)消息，甚至財產(chǎn)操作如轉(zhuǎn)賬和購買商品，修改密碼等）WEB攻擊檢測和防御技術(shù)跨站請求偽造的場景分析以及防御方式場景假如一家銀行用以運行轉(zhuǎn)賬操作的URL地址如下：/withdraw?account=AccoutName&amount=1000&for=PayeeName那么，一個惡意攻擊者可以在另一個網(wǎng)站上放置如下代碼：<imgsrc=“/withdraw?account=Alice&amount=1000&for=Badman”>。如果有賬戶名為Alice的用戶訪問了惡意站點，而她之前剛訪問過銀行不久，登錄信息（cookie）尚未過期，那么攻擊者會利用他的瀏覽器身份再次訪問他的銀行轉(zhuǎn)賬網(wǎng)址，并給攻擊者轉(zhuǎn)賬WEB攻擊檢測和防御技術(shù)跨站請求偽造的場景分析以及防御方式防御1：檢查Referer字段HTTP頭中有一個Referer字段，這個字段用以標(biāo)明請求來源于哪個地址。在處理敏感數(shù)據(jù)請求時，通常來說，Referer字段應(yīng)和請求的地址位于同一域名下。例如：以上文銀行操作為例，Referer字段地址通常應(yīng)該是轉(zhuǎn)賬按鈕所在的網(wǎng)頁地址，應(yīng)該也位于之下。而如果是CSRF攻擊傳來的請求，Referer字段會是包含惡意網(wǎng)址的地址，不會位于之下，這時候服務(wù)器就能識別出惡意的訪問。WEB攻擊檢測和防御技術(shù)跨站請求偽造的場景分析以及防御方式防御2：添加校驗tokenCSRF的本質(zhì)在于攻擊者利用用戶的身份去訪問用戶可信的網(wǎng)站，所以如果在訪問敏感數(shù)據(jù)請求時，要求用戶瀏覽器提供的內(nèi)容不要保存在cookie中，并且使用攻擊者無法偽造的數(shù)據(jù)作為校驗，那么攻擊者就無法再進行CSRF攻擊。token通常是窗體中的一個數(shù)據(jù)項。服務(wù)器將其生成并附加在窗體中，其內(nèi)容是一個偽隨機數(shù)。當(dāng)客戶端通過窗體提交請求時，這個偽隨機數(shù)也一并提交上去以供校驗。正常的訪問時，客戶端瀏覽器能夠正確得到并傳回這個偽隨機數(shù)，而通過CSRF傳來的欺騙性攻擊中，攻擊者無從事先得知這個偽隨機數(shù)的值，服務(wù)端就會因為校驗token的值為空或者錯誤，拒絕這個可疑請求。WEB攻擊檢測和防御技術(shù)跨站請求偽造的場景分析以及防御方式防御3：AF防御根據(jù)Referer字段后面帶的URL地址，判斷這個URL地址是不是應(yīng)和請求的地址位于同一域名下，如果是則認為是可信的，AF會放行并不會記錄日志。如果不是，則AF認為存在跨站請求的威脅將實現(xiàn)攔截并記錄日志，下圖日志中可以看到Referer字段后面帶的惡意鏈接的地址WEB攻擊檢測和防御技術(shù)總結(jié)VPN概述（一）VPN需求背景VPN分類VPN常用技術(shù)目錄VPN需求背景需求場景VPN需求背景需求背景企業(yè)、組織、商家等對專用網(wǎng)有強大的需求。高性能、高速度和高安全性是專用網(wǎng)明顯的優(yōu)勢。物理專用網(wǎng)價格高昂，物理架設(shè)實施有難度。傳統(tǒng)的通過租用專線或撥號網(wǎng)絡(luò)的方式越來越不適用。（性價比較低）TCP/IP協(xié)議簇本身的局限性，不能保證信息直接傳輸?shù)谋Ｃ苄浴CP/IP協(xié)議在設(shè)計之初是基于可信環(huán)境的，沒有考慮安全問題，所以在TCP/IP協(xié)議簇本身存在許多固有的安全缺陷。VPN需求背景需求背景對專用網(wǎng)的需求越來越高物理專用網(wǎng)架設(shè)難，性價比低VPNVPN需求背景VPN概述VPN定義（VitualPrivateNetwork，虛擬私有網(wǎng)）：是指依靠ISP或其他NSP在公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上構(gòu)建的專用的安全數(shù)據(jù)通信網(wǎng)絡(luò)，只不過這個專線網(wǎng)絡(luò)是邏輯上的而不是物理的，所以稱為虛擬專用網(wǎng)。虛擬：用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用公共網(wǎng)絡(luò)資源建立自己的私有網(wǎng)絡(luò)。專用：用戶可以定制最符合自身需求的網(wǎng)絡(luò)。核心技術(shù)：隧道技術(shù)VPN需求背景VPN分類VPN常用技術(shù)目錄VPN分類按業(yè)務(wù)類型1.Client-LANVPN（AcceessVPN）使用基于Internet遠程訪問的VPN出差在外的員工、有遠程辦公需要的分支機構(gòu)，都可以利用這種類型的VPN，實現(xiàn)對企業(yè)內(nèi)部網(wǎng)絡(luò)資源進行安全地遠程訪問。VPN分類按業(yè)務(wù)類型2.LAN-LANVPN為了在不同局域網(wǎng)絡(luò)之間建立安全的數(shù)據(jù)傳輸通道，例如在企業(yè)內(nèi)部各分支機構(gòu)之間或者企業(yè)與其合作者之間的網(wǎng)絡(luò)進行互聯(lián)，則可以采用LAN－LAN類型的VPN。VPN分類按網(wǎng)絡(luò)層次分類應(yīng)用層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層SSLVPN等SangforVPNIPSec、GRE等L2F/L2TP、PPTP等VPN需求背景VPN分類VPN常用技術(shù)隧道技術(shù)加解密技術(shù)身份認證技術(shù)目錄隧道技術(shù)VPN常用技術(shù)加解密技術(shù)數(shù)據(jù)認證技術(shù)密鑰管理技術(shù)隧道技術(shù)身份認證技術(shù)隧道技術(shù)隧道技術(shù)隧道：是在公共通信網(wǎng)絡(luò)上構(gòu)建的一條數(shù)據(jù)路徑，可以提供與專用通信線路等同的連接特性。隧道技術(shù)：是指在隧道的兩端通過封裝以及解封裝技術(shù)在公網(wǎng)上建立一條數(shù)據(jù)通道，使用這條通道對數(shù)據(jù)報文進行傳輸。隧道是由隧道協(xié)議構(gòu)建形成的。隧道技術(shù)是VPN技術(shù)中最關(guān)鍵的技術(shù)。隧道技術(shù)多種隧道技術(shù)比較隧道協(xié)議保護范圍使用場景用戶身份認證加密和驗證GREIP層及以上數(shù)據(jù)IntranetVPN不支持支持簡單的關(guān)鍵字驗證、校驗L2TPIP層及以上數(shù)據(jù)AccessVPNExtranetVPN支持基于PPP的CHAP、PAP、EAP認證不支持IPSecIP層及以上數(shù)據(jù)IntranetVPNAccessVPNExtranetVPN支持預(yù)共享密鑰或證書認證、支持IKEv2的EAP認證支持SangforVPNIP層及以上數(shù)據(jù)IntranetVPNExtranetVPN支持多種身份認證支持SSLVPN應(yīng)用層特定數(shù)據(jù)AccessVPN支持多種身份認證支持VPN需求背景VPN分類VPN常用技術(shù)隧道技術(shù)加解密技術(shù)身份認證技術(shù)目錄加解密技術(shù)加解密技術(shù)目的：即使信息被竊聽或者截取，攻擊者也無法知曉信息的真實內(nèi)容?？梢詫咕W(wǎng)絡(luò)攻擊中的被動攻擊。通常使用加密機制來保護信息的保密性，防止信息泄密。信息的加密機制通常是建立在密碼學(xué)的基礎(chǔ)上。明文任何類型的未加密數(shù)據(jù)，用M表示。舉例：“Hello，這里是深信服科技有限公司！”密文加密的消息，用C表示舉例：41e@ETVBtt5%FhtjRG$gfh5FH%FG$RGHFFB加密過程解密過程加解密技術(shù)密碼學(xué)基礎(chǔ)從明文到密文的過程一般是通過加密算法加密進行的。從密文變成明文，稱為脫密（解密）變換。主流加密算法分為：對稱加密算法非對稱加密算法（公鑰加密算法）加解密技術(shù)對稱加密過程明文：你好嗎？密文：@！@##￥&**￥#AD加密密文：@！@##￥&**￥#AD明文：你好嗎？解密對稱加密過程通過公網(wǎng)傳輸BobAlice加解密技術(shù)常見的對稱加密算法AES算法IDEA······DES/3DES算法RC系列算法DES加密采用的是分組加密的方法，使用56位密鑰加密64位明文，最后產(chǎn)生64位密文。3DES用兩個密鑰對數(shù)據(jù)進行3次加密/解密運算。包括RC2、RC4、RC5、RC6算法，其中RC4是序列密碼算法，其他三種是分組密碼算法。AES為分組密碼，分組密碼也就是把明文分成一組一組的，每組長度相等，每次加密一組數(shù)據(jù)，直到加密完整個明文。高級加密標(biāo)準(zhǔn)，是下一代的加密算法標(biāo)準(zhǔn)，速度快，安全級別高，在21世紀(jì)AES標(biāo)準(zhǔn)的一個實現(xiàn)是Rijndael算法；（InternationalDataEncryptionAlgorithm）國際數(shù)據(jù)加密算法，使用128位密鑰提供非常強的