1、網絡安全基礎知識電話：黑客常用攻擊手段及防御措施個人用戶忠告及建議內容提要網絡安全概述單位網絡安全措施推薦F關注網絡安全的必要性一. 網絡安全概述網絡安全現狀概述導致網絡安全問題的原因Internet網絡呈爆炸式增長Internet用戶數（百萬）互聯網用戶數每半年翻一番億美元Internet 商業(yè)應用快速增長E-mailWeb瀏覽Intranet站點E-Commerce電子交易復雜程度時間Internet 變得越來越重要Internet 變得越來越重要Internet已成為全球最重要的信息傳播工具！2001年不完全統(tǒng)計： Internet 現在遍及186個國家 容納近60萬個網絡 提供了包括6

2、00個大型聯網圖書館 400個聯網的學術文獻庫 2000種網上雜志 900種網上新聞報紙 50多萬個Web網站在內的多種服務 總共近100萬個信息源為世界各地的網民提供大量信息資源交流和共享的空間。 互聯網數據量每100天翻一番Internet 變得越來越重要Internet目前的發(fā)展規(guī)模連接計算機 2億多臺Internet用戶已超過 5億人Internet的發(fā)展速度是歷史上發(fā)展最快的一種信息網絡技術以商業(yè)化后達到 5000 萬用戶為例 電視用了13年，收音機用了38年，電話100年Internet 從商業(yè)化達到 5000 萬用戶用了4 年時間Internet 正在以超過摩爾定理(Moore)

3、的速度發(fā)展Metcalfe定律（第四定律）：網絡性能的增長速度等于連在網上的PC數目的平方(Cn2)，即網絡的頻寬每年提高了3倍。正如尼爾巴雷特在信息國的狀態(tài)一書中所言：“要想預言Internet的發(fā)展，簡直就像企圖用弓箭追趕飛行中的子彈。在你每次用手指按動鍵盤的同時，Internet就已經在不斷變化了。”網絡帶寬vs.CPU性能第三定律：“吉爾德定律”(Gilders Law)： 在未來25年，主干網的帶寬每6個月增長一倍，其增長速度是摩爾定律預測的 CPU 增長速度的3倍。Internet的飛速發(fā)展加速了社會的信息化過程，由于信息價值的提高，信息的最主要的載體網絡、計算機成為不法分子攻擊的

4、目標。Internet 變得越來越重要已確定的信息系統(tǒng)安全的脆弱性（即允許非授權訪問或破壞網絡的軟件與硬件問題）的數量在近年迅速增加2001年：10902003年：412919952003全球信息系統(tǒng)脆弱性問題 資料來源： 2003年2月8日1988-2002接到正式報告的攻擊事件資料來源： 實際上發(fā)生的攻擊事件遠遠超過這個數字613225240677313342340241225732734373498592175652658820940100002000030000400005000060000700008000019881989199019911992199319941995199619

5、9719981999200020012002混合型威脅 (Red Code, Nimda)拒絕服務攻擊(Yahoo!, eBay)發(fā)送大量郵件的病毒(Love Letter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網絡入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數量網絡安全問題日益突出關注網絡安全的必要性一. 網絡安全概述網絡安全現狀概述導致網絡安全問題的原因網絡信息安全問題涉及國家安全 政治安全第一次(1997)：印尼金融危機、排華反華第二次（1999.05):北約轟炸我駐南使館第三次（1999.07）:李提“兩國論”第

6、四次（2000.02）:日本右翼事件/教科書第五次（2001.2）:日航歧視華人事件第六次（2001.05）:中美撞機事件中外黑客大戰(zhàn) 6 次高潮網絡信息安全問題涉及國家安全 政治安全2001年2月8日，中央企業(yè)工作委員會直屬的高新技術企業(yè)集團武漢郵電科學研究院被黑，首頁頁頭被加上“這里是信息產業(yè)部郵科院的網站，但已經被黑”的字樣。由于武漢郵電科學研究院在我國光纖研究領域和在武漢市的地位，其網站被黑引起了社會的廣泛關注，據稱也引起了國家信息部的注意。這是2001年國內第一次有影響的黑客事件。 2001年12月, 九運會期間信息系統(tǒng)運作獲得圓滿成功，抵御數十萬次黑客攻擊，創(chuàng)下全運會史上的五個第一

7、。僅在開幕式當天，就出現了總數達35萬次的三次襲擊高峰，此后平均每天有35萬次的攻擊。網管發(fā)現，幾乎世界各地都有黑客參與攻擊，其中不乏一些“頗負盛名”的俄羅斯、美國黑客。由于采用了防火墻設備，并派人24小時監(jiān)控，九運會網絡安然無恙，黑客們只得無功而返。網絡信息安全問題涉及國家安全 政治安全2000年2月，日本右翼分子舉行集會，企圖否認南京大屠殺暴行，引起中國黑客憤慨，中國黑客連番襲擊日本網站。2月8日9日，中國最大網站新浪網招致黑客長達18小時的襲擊，其電子郵箱完全陷入癱瘓。2001年11月1日，國內網站新浪被一家美國黃色網站攻破，以致沾染黃污。網頁維護單位已迅速將黃色網站屏蔽。新浪網站搜索引

8、擎提供的100多條“留學生回流”相關新聞標題中，標題“中國留學生回流熱”的鏈接被指向一家全英文的美國成人黃色網站，圖片極為污穢，不堪入目。2001年11月3日，中國青年報兩次被黑，北京青年報網站遭到不明黑客襲擊。網站被修改為黑色底色，并掛有巴西國旗。11月4日，北京青年報網站再次被黑客攻擊。據稱，黑客的兩次攻擊都是善意的，不知道這是北京青年報的自嘲還是黑客們真是善意的，總之，我們再一次發(fā)現我們網絡的脆弱，不然不知道怎樣解釋兩天的兩次善意被黑。1996年8月17日，美國司法部的網絡服務器遭到“黑客”入侵，并將“美國司法部”的主頁改為“美國不公正部”，將司法部部長的照片換成了阿道夫希特勒，將司法部

9、徽章換成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長的助手。1996年9月18日，黑客光顧美國中央情報局的網絡服務器，將其主頁由“中央情報局”改為“中央愚蠢局”。1996年12月29日，黑客侵入美國空軍的全球網網址并將其主頁肆意改動，其中空軍介紹、新聞發(fā)布等內容被替換成一段簡短的黃色錄象，且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關閉了其他80多個軍方網址。2000年3月6日晚6時50分，美國白宮網站主頁被黑:在白宮上空飄揚的美國國旗竟變成了骷髏頭的海盜旗；在克林頓與戈爾的合影中，戈爾成了獨眼龍。更可笑的是，幾分鐘后白宮上懸掛的旗幟又搖身一變成了一美女剪影，而戈爾則變成了一

10、個漢堡包。此后不久，主頁又被黑客修改，在美國國旗位置出現了三排歪歪扭扭的紅色字體：Hackers was here（黑客到此一游）。 網絡信息安全問題涉及國家安全 政治安全美國發(fā)生的案例：CIA HOMEPAGEDOJ HOMEPAGEUSAFHOMEPAGE美國被黑的WEB頁面美國歷年被攻擊的情況引自 ComputerEmergenceResponseTeam,CERT網絡信息安全問題涉及國家安全 經濟安全1997年12月19日至1999年8月18日：有人先后19次入侵某證券公司上海分公司電腦數據庫，非法操作股票價格，累計挪用金額1290萬元。 1998年2月25日：黑客入侵中國公眾多媒體通

11、信網廣州藍天bbs系統(tǒng)并得到系統(tǒng)的最高權限，系統(tǒng)失控長達15小時。為國內報道首例網上黑客案件。1998年9月22日，黑客入侵揚州工商銀行電腦系統(tǒng)，將72萬元注入其戶頭，提出26萬元。為國內首例利用計算機盜竊銀行巨款案件。 1999年4月16日：黑客入侵中亞信托投資公司上海某證券營業(yè)部，造成340萬元損失。1999年11月14日至17日：新疆烏魯木齊市發(fā)生首起針對銀行自動提款機的黑客案件，用戶的信用卡被盜1.799萬元。 2000年3月6日至8日：黑客攻擊實華開EC123網站達16次，同一時期，號稱全球最大的中文網上書店“當當書店”也遭到多次黑客攻擊。國內幾起典型案例：安全事件造成經濟損失(1)

12、1988年康奈爾大學的研究生羅伯特.莫里斯(22歲)針對UNIX的缺陷設計了一個“蠕蟲”程序,感染了6000臺計算機，使Internet不能正常運行，造成的經濟損失達1億美元。他因此被判三年緩刑、罰款1萬美元、做400小時的社區(qū)服務。1994年末，俄羅斯黑客弗拉基米爾利文與其伙伴從圣彼得堡的一家小軟件公司的聯網計算機上，向美國CITYBANK銀行發(fā)動了一連串攻擊，通過電子轉帳方式，從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。1995年，“世界頭號電腦黑客”凱文米特尼克被捕。他被指控闖入許多電腦網絡，包括入侵北美空中防務體系、美國國防部，偷竊了2萬個信用號卡和復制軟件。1999

13、年4月26日，臺灣人編制的CIH病毒的大爆發(fā)，有統(tǒng)計說我國大陸受其影響的PC機總量達36萬臺之多。有人估計在這次事件中，經濟損失高達近12億元。2005年，英國有500萬人僅被網絡詐騙就造成經濟損失達5億美元。 “頭號電腦黑客”凱文 米特尼克Kevin Mitnick1995年2月被送上法庭，“到底還是輸了”。2000年1月出獄，3年內被禁止使用電腦、手機及互聯網。（材料引自駭世黑客余開亮 張兵編）安全事件造成經濟損失(2)2000年2月份黑客攻擊的浪潮，是互連網問世以來最為嚴重的黑客事件。三天內黑客使美國數家頂級互聯網站雅虎、亞馬遜、EBAY、CNN陷入癱瘓，造成直接經濟損失12億美元，造成

14、Internet的速度降低20%，并引起股市動蕩：引起美國道窮斯股票指數下降了200多點。成長中的高科技股納斯達克股票也一度下跌了80個點。安全事件造成的經濟損失(3)2000年5月4日，“愛蟲”病毒大爆發(fā)，據美國加利福尼亞州的名為“電腦經濟”的研究機構發(fā)布的初步統(tǒng)計數據：“愛蟲”大爆發(fā)兩天之后，全球約有4500萬臺電腦被感染，造成的損失已經達到26億美元。此后幾天里，“愛蟲”病毒所造成的損失還將以每天10億美元到15億美元的速度增加。 愛蟲病毒造成的損失超過100億美元！ 安全事件造成的經濟損失(4)在2001年7月開始發(fā)作的“紅色代碼”病毒造成大面積網絡癱瘓，直接經濟損失超過26億美元。臭

15、名昭著的“求職信”病毒在2001年12月爆發(fā)，產生大量病毒郵件堵塞服務器，造成損失達數百億美元2001年5月、2001年10月至11月和2002年2至4月，我國出現了病毒感染的3次高峰。在這三個時間段中恰好是“歡樂時光”病毒、“尼姆達”病毒、“求職信”病毒和GOP等病毒的高發(fā)期。安全事件造成的經濟損失(5)2003年1月“蠕蟲王”病毒使得網絡大面積癱瘓，銀行自動提款機運做中斷，直接經濟損失超過26億美元。令全世界聞風喪膽、令所有企業(yè)深惡痛絕的“沖擊波”病毒2003年7月發(fā)作，使得大量網絡癱瘓，造成了數十億美金的損失。2004年1月，“MyDoom”病毒發(fā)作，產生大量垃圾郵件，攻擊SCO和微軟網

16、站，給全球經濟造成了300多億美元的損失2003年8月29日，18歲美國青年杰弗里李帕森被FBI逮捕其編寫的“沖擊波”蠕蟲病毒自8月11日下午在因特網上傳播以來，已在全球范圍內感染了大約50萬臺電腦，造成大批電腦癱瘓和網絡連接速度減慢。新華社/路透編寫病毒的黑客編寫病毒的黑客病毒造成的損失程度2001年計算機病毒攻擊給全球造成損失130億美元2002年電腦病毒攻擊造成大約200-300億美元損失2003年的損失則達到550億美元2004年僅MyDoom病毒的損失就高達300億美元惡意代碼攻擊的年度損失網絡安全問題涉及國家安全社會穩(wěn)定互連網上散布的虛假信息、有害信息對社會管理秩序造成的危害，要比

17、現實社會中一個造謠要大的多。1999年4月，河南商都熱線一個BBS，一張說交通銀行鄭州支行行長攜巨款外逃的帖子，造成了社會的動蕩，三天十萬人上街排隊，擠提了十個億。網上治安問題，民事問題，人身侮辱事件來自上海，四川的舉報網上賭博，網上色情信息戰(zhàn)敵對雙方為爭奪對于信息的獲取權、控制權和使用權而展開的斗爭。它是以計算機網絡為戰(zhàn)場，計算機技術為核心、為武器，是一場智力的較量，以攻擊敵方的信息系統(tǒng)為主要手段，破壞敵方核心的信息系統(tǒng)，是現代戰(zhàn)爭的“第一個打擊目標”。 其手段有：計算機病毒、邏輯炸彈、后門（Back Door）、黑客、電磁炸彈、納米機器人和芯片細菌等。 美國聯邦調查局計算機犯罪組負責人吉姆

18、 塞特爾曾經說：給他10個世界頂級黑客，組成一個特別小組，90天內他就可以“關掉”美國就像關掉一臺計算機一樣。 網絡信息安全問題涉及國家安全信息戰(zhàn)有組織、大規(guī)模的網絡攻擊預謀行為：國家級、集團級無硝煙的戰(zhàn)爭： 跨國界、隱蔽性、低花費、跨領域、高技術性、情報不確定性美國的“信息戰(zhàn)執(zhí)行委員會”：網絡防護中心（1999年）信息作戰(zhàn)中心（2000年）網絡攻擊演練（2002年）MC02演習要害目標：金融支付中心、證券交易中心空中交管中心、鐵路調度中心電信網管中心、軍事指揮中心網絡信息安全問題涉及國家安全信息戰(zhàn)因特網安全漏洞危害在增大信息戰(zhàn)的威脅在增加電力交通通訊控制廣播工業(yè)金融醫(yī)療網絡信息安全問題涉及國

19、家安全信息戰(zhàn)信息戰(zhàn)重要實例1990年海灣戰(zhàn)爭，被稱為“世界上首次全面信息戰(zhàn)”，充分顯示了現代高技術條件下“制信息權”的關鍵作用。美軍通過向帶病毒芯片的打印機設備發(fā)送指令，致使伊拉克軍隊系統(tǒng)癱瘓，輕易地摧毀了伊軍的防空系統(tǒng)。多國部隊運用精湛的信息技術,僅以傷亡百余人的代價取得了殲敵十多萬的成果。在科索沃戰(zhàn)爭中，美國的電子專家成功侵入了南聯盟防空體系的計算機系統(tǒng)。當南聯盟軍官在計算機屏幕上看到敵機目標的時候，天空上其實什么也沒有。通過這種方法，美軍成功迷惑了南聯盟，使南聯盟浪費了大量的人力物力資源。同樣的方法還應用到南聯盟首領米洛舍維奇的頭上，美軍雇傭黑客闖入瑞士銀行系統(tǒng)，調查米氏的存款情況并加以

20、刪除，從心理上給予米氏以沉重的打擊。美軍19962004年對信息戰(zhàn)的投資預計達170.23億美元，1995年對計算機病毒武器研制的撥款為15億美元，1996年對開發(fā)信息安全保密技術款額為10億美元。在白宮Internet安全會議上，克林頓一次宣布撥款$900萬，用于資助訓練Internet安全專家和建立聯邦Internet安全所，拔款$20億用于建設網絡基礎設施以打擊網絡恐怖活動。我國打贏信息對抗的高層規(guī)劃？網絡信息安全問題涉及國家安全信息戰(zhàn)信息時代的國際形勢在信息時代，世界的格局是：一個信息霸權國家，十幾個信息主權國家，多數信息殖民地國家。在這樣的一個格局中，我們只有一個定位：反對信息霸權，

21、保衛(wèi)信息主權！關注網絡安全的必要性一. 網絡安全概述網絡安全現狀概述導致網絡安全問題的原因導致網絡信息安全問題的原因內因： 人們的認識能力和實踐能力的局限性（1）設計上的問題： Internet 從一開始就缺乏安全的總體構想和設計，TCP/IP 協(xié)議是在可信環(huán)境下，為網絡互聯而專門設計的，缺乏安全措施的考慮。（歷史造成） SYN Flood偽造源地址的半開掃描，DoS（2）實現上的問題: Windows 3.1 300萬行代碼， Windows 2000 5000萬行代碼 Ping of Death(死亡之ping) Ping -t -l 65550 對方IP 人為的后門和設計中的 Bug（3

22、）配置上的問題: 默認的服務（4）管理上的問題：弱的口令操作系統(tǒng)的安全問題19972000操作系統(tǒng)漏洞統(tǒng)計 操作系統(tǒng)的安全問題2001年操作系統(tǒng)漏洞統(tǒng)計 We will demonstrate that 62% of all systems can be penetrated in less than 30 minutes. More than half of all attacks will come from inside your own organization.from TNN.com請看抓“肉雞”過程導致網絡信息安全問題的原因外 因外 因黑客在網上的攻擊活動每年以十倍速增長美國每年

23、因黑客而造成的經濟損失近百億美元世界著名的黑客組織及其標志29A西班牙的黑客組織，其成員如下：名字 國家Benny捷克GriYo西班牙LordJulus羅馬尼亞Mandragore法國Super西班牙Tcp 西班牙TheMentalDriller西班牙VirusBuster西班牙TOPDEVICEASMMOEBIUSZULUSnakebasket來源: CSI / FBI Computer Crime Survey, March 1998.21%48%72%89%外國政府競爭對手黑客不滿的雇員導致網絡信息安全問題的原因國內的另一個統(tǒng)計：操作系統(tǒng)漏洞操作系統(tǒng)失效計算機病毒破壞來自內部人員破壞自然

24、災害來自外部的破壞原因不明電源系統(tǒng)失效管理人員失誤造成的損害黑客常用攻擊手段及防御措施個人用戶忠告及建議內容提要網絡安全概述單位網絡安全措施推薦F常見攻擊手段及防御措施二. 黑客常用攻擊手段及防御措施網絡攻防技術基礎系統(tǒng)安全性配置指南局域網數據庫服務器交換機磁盤陣列路由器網絡服務器WWW 服務器基帶ModemINTERNETModem池電話網ISDN、ADSL接入設備無線網Modem無線接入設備無線接入ModemCable ModemCable接入設備PCMCIA無線接入PCMCIA加入Internet方式10101110101010傳輸媒介網卡網絡信息傳輸過程示例兩個計算機交換文件 文件傳送

25、模塊計算機 1計算機 2文件傳送模塊只看這兩個文件傳送模塊好像文件及文件傳送命令是按照水平方向的虛線傳送的把文件交給下層模塊進行發(fā)送把收到的文件交給上層模塊再設計一個通信服務模塊 文件傳送模塊計算機 1計算機 2文件傳送模塊只看這兩個通信服務模塊好像可直接把文件可靠地傳送到對方把文件交給下層模塊進行發(fā)送把收到的文件交給上層模塊通信服務模塊通信服務模塊再設計一個網絡接入模塊 文件傳送模塊計算機 1計算機 2文件傳送模塊通信服務模塊通信服務模塊網絡接入模塊網絡接入模塊通信網絡網絡接口網絡接口網絡接入模塊負責做與網絡接口細節(jié)有關的工作例如，規(guī)定傳輸的幀格式，幀的最大長度等。TCP/IP協(xié)議體系結構T

26、CP協(xié)議的三次“握手” TCP協(xié)議的四次“揮手” 分布式進程通信的c/s模式客戶端Client服務器端Server常見攻擊手段及防御措施二. 黑客常用攻擊手段及防御措施網絡攻防技術基礎系統(tǒng)安全性配置指南成功的攻擊 =目的 + 手段 + 系統(tǒng)漏洞Attacker攻擊的目的獲取控制權好奇、惡作劇、證明實力執(zhí)行進程獲取文件和傳輸中的數據獲取超級用戶權限、越權使用資源對系統(tǒng)進行非法訪問進行不許可操作、越權使用拒絕服務涂改信息、暴露信息G. Mark Hardy常用攻擊手段漏洞掃描特洛伊木馬網絡嗅探（Sniffer）技術拒絕服務和分布式拒絕服務口令猜測欺騙技術緩沖區(qū)溢出常用攻擊工具標準的TCP/IP工具

27、 (ping, telnet)端口掃描和漏洞掃描 (ISS-Safesuit, Nmap, portscaner)網絡包分析儀 (snifferPro, network monitor)口令破解工具 (lc4, fakegina)木馬 (BO2k, 冰河, )攻擊的三個階段準備階段：尋找目標，收集信息實施階段：獲得初始的訪問控制權與特權善后工作：清除蹤跡，留下后門G. Mark Hardy攻擊的五個步驟一次成功的攻擊，都可以歸納成基本的五步驟，但是根據實際情況可以隨時調整。歸納起來就是“黑客攻擊五部曲” ：1、隱藏IP2、踩點掃描3、獲得系統(tǒng)或管理員權限 (入侵攻擊過程)4、種植后門5、在網絡

28、中隱身!典型的網絡攻擊過程示意圖選中攻擊目標獲取普通用戶權限擦除入侵痕跡安裝后門新建帳號獲取超級用戶權限攻擊其它主機獲取或修改信息從事其它非法活動掃描網絡利用系統(tǒng)已知的漏洞、通過輸入區(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數據造成緩沖區(qū)溢出、猜測已知用戶的口令，從而發(fā)現突破口。截獲篡改偽造中斷被動攻擊主 動 攻 擊目的站源站源站源站源站目的站目的站目的站被動攻擊：（破壞保密性）消息內容分析通信量分析主動攻擊中斷（破壞可用性）篡改（破壞完整性）偽造（破壞真實性）典型的網絡攻擊方式和分類! 利用 Windows NT/2000 空會話原理利用 Windows NT/2000 對NetBIOS的缺省信

29、賴通過 TCP端口139 返回主機的大量信息實例如果通過端口掃描獲知TCP端口139已經打開net use 21IPC$ “口令” /USER: “用戶名 在攻擊者和目標主機間建立連接net use z: 21c$copy abc.exe 21admin$system32net time 21 at 21 21:05 abc.exe Windows 2000還有另一個SMB端口445針對Win系統(tǒng)的網絡攻擊術常識!常用攻擊手段分別介紹漏洞掃描特洛伊木馬網絡嗅探（Sniffer）技術拒絕服務（DOS）和分布式拒絕服務口令猜測欺騙技術緩沖區(qū)溢出系統(tǒng)信息收集掃描目的遠程操作系統(tǒng)識別網絡結構分析其他敏

30、感信息收集漏洞檢測錯誤的配置系統(tǒng)安全漏洞弱口令檢測常用攻擊手段漏洞掃描掃描類型地址掃描PingReply XXX.XXX.XXX.XXX掃描類型端口掃描主機可使用的端口號為065535，前1024個端口是保留端口，這些端口被提供給特定的服務使用。 常用的服務都是使用標準的端口，只要掃描到相應的端口開著，就能知道目標主機上運行著什么服務。然后入侵者才能針對這些服務進行相應的攻擊。掃描類型漏洞掃描漏洞掃描是使用漏洞掃描程序對目標系統(tǒng)進行信息查詢，通過漏洞掃描，可以發(fā)現系統(tǒng)中存在的不安全的地方。例如：操作系統(tǒng)漏洞弱口令用戶應用程序漏洞配置錯誤等高級掃描術慢速掃描如果掃描是對非連續(xù)性端口、源地址不一致

31、、時間間隔很長且沒有規(guī)律的掃描的話，這些掃描的記錄就會淹沒在其他眾多雜亂的日志內容中使用慢速掃描的目的就是騙過防火墻和入侵檢測系統(tǒng)而收集信息。雖然掃描所用的時間較長，但是這是一種較難發(fā)現的掃描 高級掃描術亂序掃描普通的掃描器在掃描遠程系統(tǒng)的端口時，對端口掃描的順序是有序的，這種按照一定的順序掃描端口的方式很容易被入侵檢測系統(tǒng)發(fā)覺。亂序掃描的端口號的順序是隨機生產的，這種方式能有效的欺騙某些入侵檢測系統(tǒng)而不會被入侵檢測系統(tǒng)發(fā)覺 掃描器SATANSAINTSSSStrobeX-ScanISS (安氏)PingerPortscanSuperscan流光掃描工具：X-Scan-v3.2掃描內容包括：遠

32、程操作系統(tǒng)類型及版本標準端口狀態(tài)及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用戶，NT服務器NETBIOS信息注冊表信息等。掃描器實例：X-Scan反掃描對策禁止/關閉不必要的服務/端口屏蔽敏感信息合理配置防火墻和IDS陷阱技術Honeypot 僚機策略緩沖區(qū)溢出漏洞(OOB)什么是緩沖區(qū)溢出？ 簡單地說，緩沖區(qū)溢出就是向堆棧中分配的局部數據塊中寫入了超出其實際分配大小的數據，導致數據越界，結果覆蓋了原先的堆棧數據。緩沖區(qū)溢出可以:使主機系統(tǒng)癱瘓；獲取系統(tǒng)的登錄賬號

33、；獲得系統(tǒng)的超級用戶權限。暴力破解系統(tǒng)用戶密碼 使用簡單字典文件，利用工具軟件GetNTUser可將管理員密碼破解出來。暴力破解郵箱密碼 郵箱的密碼一般需要設置到八位以上，否則七位以下的密碼容易被破解。尤其七位全部是數字，更容易被破解。案例 電子郵箱暴力破解： 工具軟件：黑雨POP3郵箱密碼暴力破解器 ver2.3.1木 馬木馬是一種可以駐留在對方系統(tǒng)中的一種程序。木馬一般由兩部分組成：服務器端和客戶端。駐留在對方服務器的稱之為木馬的服務器端，遠程的可以連到木馬服務器的程序稱之為客戶端。木馬的功能是通過客戶端可以操縱服務器，進而操縱對方的主機。木馬程序在表面上看上去沒有任何的損害，實際上隱藏著

34、可以控制用戶整個計算機系統(tǒng)、打開后門等危害系統(tǒng)安全的功能。木馬特洛伊木馬木馬來自于“特洛伊木馬”，英文名稱為Trojan Horse。傳說希臘人圍攻特洛伊城，久久不能攻克，后來軍師想出了一個特洛伊木馬計，讓士兵藏在巨大的特洛伊木馬中部隊假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城中，到了夜里，特洛伊木馬內的士兵便趁著夜里敵人慶祝勝利、放松警惕的時候從特洛伊木馬里悄悄地爬出來，與城外的部隊里應外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。是登錄屏還是特洛伊木馬?G. Mark Hardy吃驚嗎!G. Mark HardyGINA木馬！木馬的分類遠程訪問型特

35、洛伊木馬鍵盤記錄型特洛伊木馬密碼發(fā)送型特洛伊木馬破壞型特洛伊木馬代理木馬FTP型特洛伊木馬網頁型木馬常見的Trojans木馬的植入方式利用系統(tǒng)漏洞安裝電子郵件附件、瀏覽網頁、FTP文件下載、QQ等方式傳播手工放置木馬的查殺安裝殺毒軟件和防火墻檢查INI文件查看win.ini中的“run=”、“l(fā)oad=”查看system.ini中的“shell= explorer.exe 程序名”后面所加載的程序。 木馬的查殺檢查注冊表：在注冊表中，最有可能隱藏木馬的地方是HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL

36、_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce檢查注冊表其他可能隱藏木馬的注冊表項還有：HKEY_LOCAL_MACHINESOFTW

37、AREMicrosoftWindows NTCurrentVersionWinlogonHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceExHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_

38、CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionwindowsLoadHKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionwindowsRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows AppInit_DLLs木馬的查殺檢查服務 開始程序管理工具服務

39、檢查系統(tǒng)進程 系統(tǒng)信息軟件環(huán)境正在運行任務(win98)、Pstools (winnt/2k)檢查開放端口 Netstat an(win98)、Fport(winnt/2k)監(jiān)視網絡通訊 防火墻、網絡監(jiān)視器(win2k)、Sniffer對可疑文件的分析 W32Dasm、IDA、Soft-ice木馬的查殺木馬的查殺木馬端口列表：網絡監(jiān)聽 / 嗅探（Sniffer）定義 嗅探器 (Sniffer)是能夠從網絡設備上捕獲網絡報文的一種工具Sniffer名稱的來由 通用網絡公司開發(fā)的一個程序NAI監(jiān)聽工具pswmonitor 該工具軟件功能比較強大，可以監(jiān)聽的一個網段所有的用戶名和密碼，而且還可以指定

40、發(fā)送的郵箱，設置的界面如圖所示。請演示：pswmonitor監(jiān)聽工具GW (Server)1 C打開IP轉發(fā)功能2 C發(fā)送假冒的arp包給B,聲稱自己是GW的IP地址3 B給外部發(fā)送數據，首先發(fā)給C4 C再轉發(fā)給GW普通用戶B嗅探者CARP欺騙 + Sniffer (一種中間人攻擊)交換環(huán)境中的嗅探器Sniffer 危害嗅探器能夠捕獲口令 能夠捕獲專用的或者機密的信息危害網絡鄰居的安全 獲取更高級別的訪問權限 獲得進一步進行攻擊需要的信息 網絡監(jiān)聽安全對策規(guī)劃網絡 合理分段，采用交換機、路由器、網橋等設備，相互信任的主機處于同一網段采用加密會話 對安全性要求高的數據通訊進行加密傳輸 例如采用目

41、前比較流行的SSL協(xié)議以及使用SSH這樣的安全產品傳送敏感使用一次性口令技術(OTP)為了防止ARP欺騙，使用永久的ARP緩存條目使用檢測工具 TripWar Anti-Sniffer（L0pht，not free） 拒絕服務攻擊(DOS) 拒絕服務攻擊的簡稱是：DoS（Denial of Service）攻擊，凡是造成目標計算機拒絕提供服務的攻擊都稱為DoS攻擊，其目的是使目標計算機或網絡無法提供正常的服務。最常見的DoS攻擊是：計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網絡，使網絡所有可用的帶寬都被消耗掉，最后導致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求沖擊計

42、算機，最終導致計算機無法再處理合法用戶的請求。TCP SYN AttackPing of Death消耗系統(tǒng)資源(帶寬、內存、隊列、CPU)系統(tǒng)宕機阻止授權用戶正常訪問網絡(慢、不能連接、沒有響應)CPU拒絕服務攻擊DOS!拒絕服務攻擊為什么要進行Dos攻擊放置木馬需要重啟使用IP欺騙，使冒用主機癱瘓使得被攻擊的目標主機的日志系統(tǒng)失效常見DoS攻擊種類死亡之Ping, land, teardrop, SYN floodICMP: smurf拒絕服務： LAND 攻擊攻擊者InternetCode目標2欺騙性的 IP 包源地址 2 Port 139目的地址 2 Port 139TCP OpenG

43、. Mark Hardy攻擊者InternetCode目標2 IP包欺騙源地址 2 Port 139目的地址 2 Port 139包被送回它自己崩潰G. Mark Hardy拒絕服務： LAND 攻擊LAND攻擊防范：代理類的防火墻攻擊者InternetCode目標2IP包欺騙源地址 2 Port 139目標地址 2 Port 139TCP Open防火墻防火墻把有危險的包阻隔在網絡外G. Mark HardyTCP 同步泛濫攻擊者InternetCode目標欺騙性的 IP 包源地址不存在目標地址是 TCP OpenG. Mark HardyTCP SYN 泛濫攻擊者InternetCode目

44、標同步應答響應源地址 目標地址不存在TCP ACK崩潰G. Mark HardyTCP SYN 泛濫攻擊的安全對策G. Mark Hardy法一：縮短SYN Timeout時間 由于SYN Flood攻擊的效果取決于服務器上保持的SYN半連接數，這個值=SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間，例如設置為20秒以下（過低的SYN Timeout設置可能會影響客戶的正常訪問），可以成倍的降低服務器的負荷。法二：設置SYN Cookie 就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內連續(xù)受到某個IP的重復SY

45、N報文，就認定是受到了攻擊，以后從這個IP地址來的包會被丟棄。Smuff 攻擊第一步：攻擊者向被利用網絡A的廣播地址發(fā)送一個ICMP 協(xié)議的echo請求數據報，該數據報源地址被偽造成第二步：網絡A上的所有主機都向該偽造的源地址返回一個echo響應，造成該主機服務中斷。常見的拒絕服務分布式拒絕服務（DDOS）以破壞系統(tǒng)或網絡的可用性為目標常用的工具：Trin00TFN/TFN2K Stacheldraht很難防范偽造源地址，流量加密很難跟蹤clienttargethandler.agent.DoSICMP Flood / SYN Flood / UDP FloodDDoS分布式拒絕服務攻擊步驟1

46、ScanningProgram不安全的計算機Hacker攻擊者使用掃描工具探測掃描大量主機以尋找潛在入侵目標。1InternetHacker被控制的計算機(代理端)黑客設法入侵有安全漏洞的主機并獲取控制權。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。2Internet分布式拒絕服務攻擊步驟2Hacker 黑客在得到入侵計算機清單后，從中選出滿足建立網絡所需要的主機，放置已編譯好的守護程序，并對被控制的計算機發(fā)送命令。 3被控制計算機（代理端）MasterServerInternet分布式拒絕服務攻擊步驟3Hacker Using Client program, 黑客發(fā)送控

47、制命令給主機，準備啟動對目標系統(tǒng)的攻擊4被控制計算機（代理端）TargetedSystemMasterServerInternet分布式拒絕服務攻擊步驟4InternetHacker 主機發(fā)送攻擊信號給被控制計算機開始對目標系統(tǒng)發(fā)起攻擊。5MasterServerTargeted System被控制計算機（代理端）分布式拒絕服務攻擊步驟5TargetedSystemHacker 目標系統(tǒng)被無數的偽造的請求所淹沒，從而無法對合法用戶進行響應，DDOS攻擊成功。6MasterServerUserRequest DeniedInternet被控制計算機（代理端）分布式拒絕服務攻擊步驟6分布式拒絕服務

48、攻擊DDOS攻擊的效果：由于整個過程是自動化的，攻擊者能夠在5秒鐘內入侵一臺主機并安裝攻擊工具。也就是說，在短短的一小時內可以入侵數千臺主機。并使某一臺主機可能要遭受1000MB/S數據量的猛烈攻擊，這一數據量相當于1.04億人同時撥打某公司的一部電話號碼。分布式拒絕服務攻擊預防DDOS攻擊的措施確保主機不被入侵且是安全的；周期性審核系統(tǒng)；檢查文件完整性；優(yōu)化路由和網絡結構；優(yōu)化對外開放訪問的主機；在網絡上建立一個過濾器（filter）或偵測器(sniffer)，在攻擊信息到達之前阻擋攻擊信息。對付 DDoS 攻擊的方法1定期掃描現有的網絡主節(jié)點，清查可能存在的安全漏洞。對新出現的漏洞及時進行

49、清理。骨干節(jié)點的計算機因為具有較高的帶寬，是黑客利用最佳位置，因此對這些主機本身加強主機安全是非常重要的。2在骨干節(jié)點上的防火墻的配置至關重要。防火墻本身能抵御DDOS攻擊和其它一些攻擊。在發(fā)現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣保護真正的主機不被癱瘓。對付 DDoS 攻擊的方法3用足夠的機器承受黑客攻擊。這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒。 4充分利用網絡設備保護網絡資源。所謂網絡設備是指路由器、防火墻等負載均衡設備，它們可將網絡有效地保護起來。

50、當網絡被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟后會恢復正常，而且啟動起來還很快，沒有什么損失。若其他服務器死掉，其中的數據會丟失，而且重啟服務器又是一個漫長的過程。對付 DDoS 攻擊的方法5使用Inexpress、Express Forwarding過濾不必要的服務和端口，即在路由器上過濾假IP。比如Cisco公司的CEF（Cisco Express Forwarding）可以針對封包 Source IP 和 Routing Table 做比較，并加以過濾。 6使用Unicast Reverse Path Forwarding檢查訪問者的來源。它通過反向路由表查詢的方

51、法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處，因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現，有助于提高網絡安全性。對付 DDoS 攻擊的方法7過濾所有RFC1918 IP地址。RFC1918 IP地址是內部網的IP地址，像、和，它們不是某個網段的固定IP地址，而是Internet內部保留的區(qū)域性IP地址，應該把它們過濾掉。 8限制SYN/ICMP流量。用戶應在路由器上配置SYN/ICMP的最大流量來限制 SYN/ICMP 封包所能占有的最高頻寬，這樣，當出現大量的超過所限

52、定的SYN/ICMP流量時，說明不是正常的網絡訪問，而是有黑客入侵。 對付正在進行的DDOS方法如果用戶正在遭受攻擊，他所能做的抵御工作非常有限。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶，很可能用戶在還沒回過神之際，網絡已經癱瘓。但是，用戶還是可以抓住機會尋求一線希望的。首先，檢查攻擊來源，通常黑客會通過很多假的IP地址發(fā)起攻擊，此時，用戶若能夠分辨出哪些是真IP地址，哪些是假IP地址，然后了解這些IP來自哪些網段，再找網段管理員把機器關掉，即可消除攻擊。 其次，找出攻擊者所經過的路由，把攻擊屏蔽掉。若黑客從某些端口發(fā)動攻擊，用戶可把這些端口屏蔽掉，以狙擊入侵。 最后一種比較折

53、衷的方法是在路由器上濾掉ICMP包。 欺騙攻擊純技術性利用了TCP/IP協(xié)議的缺陷不涉及系統(tǒng)漏洞較為罕見1994.12.25，凱文.米特尼克利用IP欺騙技術攻破了San Diego計算中心1999年，RSA Security公司網站遭受DNS欺騙攻擊1998年，臺灣某電子商務網站遭受Web欺騙攻擊，造成大量客戶的信用卡密碼泄漏欺騙攻擊的主要類型：IP欺騙攻擊Web欺騙攻擊DNS欺騙攻擊后門程序BO、netbusService/Daemon帳戶其他新一代惡意代碼（蠕蟲、木馬）2002網絡攻擊手段的融合常見攻擊手段及防御措施二. 黑客常用攻擊手段及防御措施網絡攻防技術基礎系統(tǒng)安全性配置指南1、不要

54、選擇從網絡上安裝 雖然微軟支持在線安裝，但這絕對不安全。在系統(tǒng)未全部安裝完之前不要連入網絡，特別是Internet！甚至不要把一切硬件都連接好來安裝。因為Windows 2000安裝時，在輸入用戶管理員賬號“Administrator”的密碼后，系統(tǒng)會建立一個“ADMIN”的共享賬號，但是并沒有用剛輸入的密碼來保護它，這種情況一直會持續(xù)到計算機再次啟動。在此期間，任何人都可以通過“ADMIN”進入系統(tǒng)；同時，安裝完成，各種服務會馬上自動運行，而這時的服務器還到處是漏洞，非常容易從外部侵入。 拔線安裝2、要選擇NTFS格式來分區(qū) 最好所有的分區(qū)都是NTFS格式，因為NTFS格式的分區(qū)在安全性方面

55、更加有保障。就算其他分區(qū)采用別的格式(如FAT32)，但至少系統(tǒng)所在的分區(qū)中應是NTFS格式。 另外，應用程序不要和系統(tǒng)放在同一個分區(qū)中，以免攻擊者利用應用程序的漏洞(如微軟的IIS的漏洞)導致系統(tǒng)文件的泄漏，甚至讓入侵者遠程獲取管理員權限。 分區(qū)格式3、系統(tǒng)版本的選擇 WIN2000有各種語言的版本，對于我們來說，可以選擇英文版或簡體中文版，我強烈建議：在語言不成為障礙的情況下，請一定使用英文版。要知道，微軟的產品是以Bug & Patch而著稱的，中文版的Bug遠遠多于英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公布了漏洞后你的機子還會有半個月處于無保護狀況） 及時補丁4、組件的定

56、制 Win2000在默認情況下會安裝一些常用的組件，但是正是這個默認安裝是很危險的，你應該確切的知道你需要哪些服務，而且僅僅安裝你確實需要的服務，根據安全原則，最少的服務+最小的權限=最大的安全。典型的WEB服務器需要的最小組件選擇是：只安裝IIS的Com Files，IIS Snap-In，組件。如果你確實需要安裝其他組件，請慎重，特別是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個危險服務。 最少服務5、分區(qū)和邏輯盤的分配 建議最少建立兩個分區(qū)，一個系統(tǒng)分區(qū)，一個

57、應用程序分區(qū)，這是因為，微軟的IIS經常會有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個驅動器會導致系統(tǒng)文件的泄漏甚至入侵者遠程獲取ADMIN。推薦的安全配置是建立三個邏輯驅動器，第一個大于2G，用來裝系統(tǒng)和重要的日志文件，第二個放IIS，第三個放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。分區(qū)分放 IIS和FTP是對外服務的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。（這個可能會導致程序開發(fā)人員和站點編輯的苦惱） 5、分區(qū)和邏輯盤的分配 6、安裝殺毒軟件 殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門

58、程序，因此一定要運行殺毒程序并把它設為開機自動運行，并注意經常升級病毒庫。 殺毒升級及時7、安裝防火墻 有關防火墻請參見介紹： 設阻斷點基本概念 2個條件：策略執(zhí)行、自身免疫 2個默認安全策略 3個術語 防火墻的分類 分組（包）過濾、應用代理、狀態(tài)檢測 四種防火墻體系結構模型 包過濾、屏蔽主機、雙/多宿主、屏蔽子網 防火墻系統(tǒng)的實現 策略、步驟、實現、工具8、安裝系統(tǒng)補丁到微軟網站下載最新的補丁程序：經常訪問微軟和一些安全站點，下載最新的Service Pack和漏洞補丁，是保障服務器長久安全的唯一方法。 系統(tǒng)補漏9、安裝順序的選擇 首先，何時接入網絡：Win2000在安裝時的ADMIN$的共

59、享的漏洞；同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好Win2000 SERVER之前，一定不要把主機接入網絡。 順序合理其次，補丁的安裝：補丁的安裝應該在所有應用程序安裝完之后。因為補丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安裝。 注冊表的構造系統(tǒng)對注冊表預定了六個主管鍵字： HKEY_CLASSES_ROOT：文件擴展名與應用的關聯及OLE信息 HKEY_USERS：用戶根據個人愛好設置的信息。 HKEY_CU

60、RRENT_USER：當前登錄用戶控制面板選項和桌面等的設置，以及映射的網絡驅動器 HKEY_LOCAL_MACHINE：計算機硬件與應用程序信息 HKEY_DYN_DATA：即插即用和系統(tǒng)性能的動態(tài)信息 HKEY_CURRENT_CONFIG：計算機硬件配置信息注冊表的雙重入口問題在注冊表中經常出現雙重入口（分支），例如，有一些在HKEY_CLASSES_ROOT中的鍵同樣會在HKEY_LOCAL_MACHINE中出現。如果這些相同的分支出現在兩個不同的根鍵中，那么，哪個根鍵有效呢?注冊表的子鍵都有嚴格的組織。某些相同的信息會出現在超過一個的子鍵中，如果您只修改了一個子鍵，那么該修改是否作用