網(wǎng)絡平安建設中國教育和科研計算機網(wǎng)應急響應組CCERT清華大學信息網(wǎng)絡工程研究中心張千里編輯ppt目錄網(wǎng)絡平安簡介垃圾郵件的預防如何防止掃描和DOS攻擊系統(tǒng)平安管理和入侵的防范網(wǎng)絡平安常用工具CCERT簡介編輯ppt網(wǎng)絡平安簡介網(wǎng)絡平安概念常見的網(wǎng)絡平安問題垃圾郵件危害DOS、掃描危害蠕蟲危害編輯ppt網(wǎng)絡平安概念信息平安保密性、完整性、可用性、可信性把網(wǎng)絡看成一個透明的、不平安的信道系統(tǒng)平安：網(wǎng)絡環(huán)境下的端系統(tǒng)平安網(wǎng)絡平安網(wǎng)絡的保密性：存在性、拓撲結構等網(wǎng)絡的完整性：路由信息、域名信息網(wǎng)絡的可用性：網(wǎng)絡根底設施計算、通信資源的授權使用：地址、帶寬？？編輯ppt常見的網(wǎng)絡平安問題垃圾郵件UCE:UnsolicitedCommercialEmailUBE:UnsolicitedBulkEmailSpam網(wǎng)絡掃描和拒絕效勞攻擊端口掃描和缺陷掃描DDOS、DOS入侵和蠕蟲蠕蟲：Lion、nimda、CRII系統(tǒng)缺陷編輯ppt垃圾郵件危害網(wǎng)絡資源的浪費歐洲委員會公布的一份報告，垃圾郵件消耗的網(wǎng)絡費用每年高達100億美元資源盜用利用他人的效勞器進行垃圾郵件轉發(fā)威脅網(wǎng)絡平安DOS攻擊編輯pptDOS、掃描危害占用資源占用大量帶寬效勞器性能下降影響系統(tǒng)和網(wǎng)絡的可用性網(wǎng)絡癱瘓效勞器癱瘓往往與入侵或蠕蟲伴隨缺陷掃描DDOS編輯ppt入侵、蠕蟲造成的危害信息平安機密或個人隱私信息的泄漏信息篡改可信性的破壞系統(tǒng)平安后門的存在資源的喪失信息的暴露網(wǎng)絡平安根底設施的癱瘓編輯ppt垃圾郵件的預防垃圾郵件特點郵件轉發(fā)原理配置Sendmail關閉轉發(fā)配置Exchange關閉轉發(fā)編輯ppt垃圾郵件特點內容：商業(yè)廣告宗教或個別團體的宣傳資料發(fā)財之道,連鎖信等接收者無因接受被迫接受發(fā)送手段信頭或其它說明身份的信息進行了偽裝或篡改通常使用第三方郵件轉發(fā)來發(fā)送編輯ppt郵件轉發(fā)原理編輯ppt配置Sendmail關閉轉發(fā)〔一〕

簡介Sendmail8.9以上版本/etc/mail/relay-domains/etc/mail/accessSendmail8.8以下版本升級Sendmail其它版本配置Sendmail缺省不允許轉發(fā)編輯相應的允許轉發(fā)IP列表編輯ppt配置Sendmail關閉轉發(fā)〔二〕

Mc文件樣例divert(0)dnlVERSIONID(`@(#)generic-solaris2.mc8.8(Berkeley)5/19/1998')OSTYPE(solaris2)dnlDOMAIN(generic)dnlFEATURE(access_db,dbm-o/usr/local/etc/mail/access)define(`confPRIVACY_FLAGS',``authwarnings,goaway,noexpn,novrfy'')dnlMAILER(local)dnlMAILER(smtp)dnl編輯ppt配置Sendmail關閉轉發(fā)〔三〕

Sendmail配置Sendmail.cw配置郵件效勞器所接受的域名CMRelay-domains配置郵件效勞器可以轉發(fā)的地址202.112.50.8Access允許對某一個來源地址進行配置REJECT、RELAY、OK、〞msg〞編輯ppt配置Sendmail關閉轉發(fā)〔四〕access文件樣本nobody@yahoo550:badusername202.112.55.RELAY6 REJECT編輯ppt配置Sendmail關閉轉發(fā)〔五〕Sendmail使用建立別名編輯aliases文件Sendmail–v–bi初始化啟動Sendmail–bd–q1h使用access數(shù)據(jù)庫Makemapdbm/etc/mail/access</etc/mail/access編輯ppt配置Exchange關閉轉發(fā)〔一〕ExchangeServer5.0或以前版本

升級郵件系統(tǒng)ExchangeServer5.5以上選擇RerouteincomingSMTPmail

編輯ppt配置Exchange關閉轉發(fā)〔二〕填入所效勞的域點擊RoutingRestrictions編輯ppt如何防止DOS和掃描掃描簡介拒絕效勞攻擊簡介分布式拒絕效勞攻擊DOS和掃描的防范攻擊取證和報告編輯ppt掃描簡介缺陷掃描目的是發(fā)現(xiàn)可用的缺陷Satan、SSCANNmap-O效勞掃描目的是為了發(fā)現(xiàn)可用的效勞WWWscanftpscanProxyscan編輯ppt拒絕效勞攻擊簡介洪水式DOS攻擊SYNfloodSmurf利用系統(tǒng)或路由器缺陷DoS攻擊Windows:IGMPfragmentation,OOB…Linux:teardropSolaris:pingofdeath分布式拒絕效勞攻擊往往既利用系統(tǒng)或者路由器的缺陷產(chǎn)生大規(guī)模的洪水式攻擊兩方面的危害：被攻擊者和被利用者編輯ppt分布式拒絕效勞〔DDOS〕以破壞系統(tǒng)或網(wǎng)絡的可用性為目標常用的工具：Trin00TFN/TFN2KStacheldraht很難防范偽造源地址，流量加密，因此很難跟蹤clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood編輯pptDOS和掃描的防范〔一〕

路由器訪問控制鏈表基于源地址/目標地址/協(xié)議端口號路徑的完整性防止IP假冒和拒絕效勞〔Anti-spoofing/DDOS〕檢查源地址：ipverifyunicastreverse-path過濾RFC1918地址空間的所有IP包；路由協(xié)議的過濾與認證Flood管理—利用QoS的特征防止Floodinterfacexyzrate-limitoutputaccess-group20213000000512000786000conform-actiontransmitexceed-actiondropaccess-list2021permiticmpanyanyecho-reply編輯pptDOS和掃描的防范〔二〕

入侵檢測和防火墻入侵檢測工具了解情況提供報告依據(jù)指導應對政策防火墻建立訪問控制個人防火墻編輯ppt攻擊取證和報告系統(tǒng)取證Syslog系統(tǒng)日志Netstat連接情況CPU、Mem使用情況網(wǎng)絡取證Tcpdump路由器、防火墻紀錄入侵檢測系統(tǒng)報告責任方對方CERT或本轄區(qū)CERT對方責任人whois編輯ppt系統(tǒng)平安管理和入侵防范Windows系統(tǒng)平安管理UNIX系統(tǒng)平安管理路由器平安管理如何檢驗入侵蠕蟲的危害及防范編輯pptWindows平安管理〔一〕操作系統(tǒng)更新政策安裝最新版本的補丁ServicePack;安裝相應版本所有的hotfixes跟蹤最新的SP和hotfix病毒防范安裝防病毒軟件，及時更新特征庫政策與用戶的教育：如何處理郵件附件、如何使用下載軟件等賬號和口令管理口令平安策略:有效期、最小長度、字符選擇賬號登錄失敗n次鎖定關閉缺省賬號，guest,Administrator編輯pptWindows平安管理〔二〕Windows效勞管理TerminalServer中文輸入法缺陷網(wǎng)絡共享Nimda等一些蠕蟲和和病毒IISUNICODE(nimda、CodeBlue…)IndexService(CRI、CRII)編輯pptWindows平安管理〔三〕操作系統(tǒng)更新://windowsupdate.microsoft局域網(wǎng)防火墻配置防火墻/路由器，封鎖不必要的端口：TCPport135,137,139andUDPport138.基于主機的訪問控制Windows2000自帶個人防火墻編輯pptUnix平安管理〔一〕相應版本的所有補丁賬號與口令關閉缺省賬號和口令：lp,shutdown等shadowpasswd用crack/john等密碼破解工具猜測口令〔配置一次性口令〕網(wǎng)絡效勞的配置：/etc/inetd.conf,/etc/rc.d/*TFTP效勞get/etc/passwd匿名ftp的配置關閉rsh/rlogin/rexec效勞關閉不必要的rpc效勞安裝sshd，關閉telnet。NFSexport編輯pptUnix平安管理〔二〕操作系統(tǒng)更新Solaris：ftp://sunsolve.sun/Redhat：up2date常見平安問題Solaris各種RPC效勞LinuxprinterNamedWu-ftpd編輯ppt路由器平安管理〔一〕認證口令管理使用enablesecret,而不用enablepasswordTACACS/TACACS+,RADIUS,Kerberos認證控制交互式訪問控制臺的訪問：可以越過口令限制；遠程訪問telnet,rlogin,ssh,LAT,MOP,X.29,Modem虛擬終端口令保護：vty,tty：login，nopassword只接收特定協(xié)議的訪問，如transportinputssh設置允許訪問的地址：ipaccess-class超時退出：exec-timeout登錄提示：bannerlogin編輯ppt路由器平安管理〔二〕關閉沒有必要的效勞smallTCPnoservicetcp-small-servers:echo/chargen/discardfinger,ntp鄰機發(fā)現(xiàn)效勞〔cdp〕審計SNMP認證失敗信息，與路由器連接信息：Trap系統(tǒng)操作日志：systemlogging:console,Unixsyslogd,違反訪問控制鏈表的流量操作系統(tǒng)更新路由器IOS與其他操作系統(tǒng)一樣也有BUG編輯ppt怎樣檢測系統(tǒng)入侵觀察登錄用戶和活動進程w,who,finger,last命令ps,crash尋找入侵的痕跡last,lastcomm,netstat,lsof,/var/log/syslog，/var/adm/messages,~/.history查找最近被修改的文件：find檢測sniffer程序ifconfig,cpm編輯ppt蠕蟲的危害及防范〔一〕

蠕蟲簡介Morris蠕蟲事件發(fā)生于1988年，當時導致大約6000臺機器癱瘓主要的攻擊方法Rsh，rexec：用戶的缺省認證Sendmail的debug模式Fingerd的緩沖區(qū)溢出口令猜測CRII蠕蟲感染主機全球超過30萬臺導致大量網(wǎng)絡設備癱瘓編輯ppt蠕蟲的危害及防范〔二〕

Lion蠕蟲出現(xiàn)于今年四五月間造成網(wǎng)絡的針對53端口大面積掃描主要行為利用Bind平安缺陷入侵掃描一段B類網(wǎng)絡之后出現(xiàn)了很多類似的蠕蟲Raemon蠕蟲Sadmind蠕蟲解決方法：更新Linuxbind效勞器編輯ppt蠕蟲的危害及防范〔三〕

CRI主要影響WindowsNT系統(tǒng)和Windows2000主要影響國外網(wǎng)絡據(jù)CERT統(tǒng)計，至8月初已經(jīng)感染超過25萬臺主要行為利用IIS的Index效勞的緩沖區(qū)溢出缺陷進入系統(tǒng)檢查c:\notworm文件是否存在以判斷是否感染中文保護〔是中文windows就不修改主頁〕攻擊白宮！解決方法：更新Windows2000、NT操作系統(tǒng)和殺毒工具編輯ppt蠕蟲的危害及防范〔三續(xù)〕

CRIIInspiredbyCRI影響涉及全球國內影響尤其廣泛主要行為所利用缺陷相同只感染windows2000系統(tǒng)，由于一些參數(shù)的問題，只會導致NT死機休眠與掃描：中文windows，600個線程編輯pptCodeRed擴散速度〔7.19-7.20〕編輯pptCodeRedv1擴展速度〔7.19-7.20)編輯ppt蠕蟲的危害及防范〔四〕

nimda主要特點綜合了各種攻擊和傳染方法第一款既有蠕蟲特征又有病毒特征的惡意代碼影響面普及全球主要行為群發(fā)電子郵件，付病毒掃描共享文件夾，掃描有漏洞的IIS,掃描有CodeRed后門的IISServer編輯ppt蠕蟲的危害及防范〔五〕

蠕蟲的防范完善的平安政策定期更新殺毒工具郵件、網(wǎng)絡共享的平安使用標準系統(tǒng)責任人和權限設置有效的應對措施與轄區(qū)CERT保持及時聯(lián)系首先設法防止蔓延利用訪問控制建立?；饏^(qū)編輯ppt常用網(wǎng)絡平安工具介紹入侵檢測系統(tǒng)網(wǎng)絡入侵檢測系統(tǒng)其它入侵檢測系統(tǒng)風險評估和端口掃描防火墻平安傳輸編輯ppt網(wǎng)絡入侵檢測系統(tǒng)Tcpdump可以得到數(shù)據(jù)包的原始記錄需要較多的經(jīng)驗Snort可配置性強，檢測多種入侵，免費誤警率高Realsecure用戶界面好，誤警率低，穩(wěn)定的技術支持貴編輯ppt其它入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)Syslog+grepSnortwin32版文件完整性檢查系統(tǒng)tripware編輯ppt風險評估和端口掃描端口掃描工具Nmap：功能強大、速度快Strobe：使用簡單端口和進程對應工具LsofSocklistfport缺陷掃描系統(tǒng)Satancops編輯ppt防火墻網(wǎng)絡防火墻Linux：ipchains、netfilter其它UNIX操作系統(tǒng)：ipfilter商用防火墻NetscreenCheckpoint單機防火墻Zonealarm天網(wǎng)防火墻綠色警戒Win2000自帶編輯ppt平安傳輸SSH/OPENSSH遠程連接的平安版本也可以用來建立平安隧道進行平安數(shù)據(jù)傳輸SSL目前主要用于WWW效勞的平安數(shù)據(jù)傳輸stunnelVPN編輯ppt平安應急響應效勞應急響應效勞的誕生—CERT/CC1988年Morris蠕蟲事件直接導致了CERT/CC的誕生CERT/CC效勞的內容平安事件響應平安事件分析和軟件平安缺陷研究缺陷知識庫開發(fā)信息發(fā)布：缺陷、公告、總結、統(tǒng)計、補丁、工具教育與培訓：CSIRT管理、CSIRT技術培訓、系統(tǒng)和網(wǎng)絡管理員平安培訓指導其它CSIRT〔也稱IRT、CERT〕組織建設編輯pptCERT/CC簡介現(xiàn)有工作人員30多人，12年里處理了2