1、互聯(lián)網(wǎng)安全攻防案例分析與網(wǎng)絡(luò)安全技術(shù),主講：郭亮 安全服務(wù)部 中國(guó)電信集團(tuán)系統(tǒng)集成公司,學(xué)習(xí)目標(biāo),議程,安全攻防案例分析 當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點(diǎn) 網(wǎng)絡(luò)安全事件攻防案例分析 常見(jiàn)網(wǎng)絡(luò)安全技術(shù) 全網(wǎng)防御技術(shù) 黑客偵查與追蹤技術(shù) DDoS防御技術(shù) SQL 注入/XSS 跨站腳本 日常安全維護(hù) 應(yīng)急處理方法,當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點(diǎn),黑客可以輕易地施行跨網(wǎng)、跨國(guó)攻擊 復(fù)合趨勢(shì) 攻擊往往通過(guò)一級(jí)或者多級(jí)跳板進(jìn)行 大規(guī)模事件出現(xiàn)日益頻繁 傳播速度越來(lái)越快 對(duì)終端的攻擊比率越來(lái)越高 攻擊事件的破壞程度在增加,當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點(diǎn),黑客可以輕易地施行跨網(wǎng)、跨國(guó)攻擊 攻擊、入侵工具和工具包數(shù)量

2、大量增加，可輕易從互聯(lián)網(wǎng)上獲取，使用操作更加簡(jiǎn)單方便 具有安全知識(shí)和”專(zhuān)業(yè)”的人員的數(shù)量在增加 復(fù)合趨勢(shì) 黑客、病毒和垃圾郵件技術(shù)整合在一個(gè)蠕蟲(chóng)當(dāng)中 黑客組合攻擊開(kāi)始出現(xiàn) 攻擊往往通過(guò)一級(jí)或者多級(jí)跳板進(jìn)行 黑客技術(shù)水平在增強(qiáng) 有組織、有計(jì)劃犯罪事件再增加，防止追查,當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點(diǎn),大規(guī)模事件出現(xiàn)日益頻繁 大規(guī)模網(wǎng)絡(luò)蠕蟲(chóng)事件（“沖擊波”、“震蕩波”、紅色代碼F變種等） 大量垃圾郵件的出現(xiàn) 傳播速度越來(lái)越快 利用系統(tǒng)漏洞，進(jìn)行自動(dòng)掃描 由于瀏覽網(wǎng)頁(yè)或查看E-Mail而受到感染或攻擊 DDoS攻擊,當(dāng)前黑客與網(wǎng)絡(luò)安全事件的特點(diǎn),對(duì)終端的攻擊比率越來(lái)越高 網(wǎng)上游戲、網(wǎng)上銀行和電子商務(wù)的增

3、加 針對(duì)終端設(shè)計(jì)的黑客工具和木馬 補(bǔ)丁與升級(jí)不夠及時(shí) 缺乏安全防范意識(shí) 攻擊事件的破壞程度在增加,典型網(wǎng)絡(luò)安全案件分析,木馬與“網(wǎng)銀大盜” 匿名電子郵件轉(zhuǎn)發(fā) 溢出攻擊與DCOM RPC漏洞 NetBios與IPC ARP欺騙 DDoS攻擊 SQL注入,木馬與“網(wǎng)銀大盜”,冰河 國(guó)產(chǎn)木馬，有G_Client.exe,G_server.exe二個(gè)文件?？蛻舳私缑?木馬與“網(wǎng)銀大盜”,“網(wǎng)銀大盜” 網(wǎng)上銀行構(gòu)架,木馬與“網(wǎng)銀大盜”,“網(wǎng)銀大盜” 網(wǎng)銀大盜II(Troj_Dingxa.A ) 現(xiàn)象 盜取網(wǎng)上銀行的帳號(hào)、密碼、驗(yàn)證碼等。 生成文件：%System%下，svch0stexe 修改注冊(cè)表：H

4、KEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRun下創(chuàng)建：svch0st.exe = %System%svch0st.exe taskmgr.exe = %System%svch0st.exe,木馬與“網(wǎng)銀大盜”,網(wǎng)銀大盜II(Troj_Dingxa.A ) 原理 木馬程序 ，非主動(dòng)傳播，主要通過(guò)用戶在瀏覽某些網(wǎng)頁(yè)或點(diǎn)擊一些不明連接及打開(kāi)不明郵件附件等操作時(shí)，間接感染用戶電腦 解決辦法 1、終止病毒進(jìn)程svch0st.exe 2、注冊(cè)表修復(fù) 3、刪除病毒釋放的文件svch0st.exe 4、配置防火墻和邊界路由器,木馬與“網(wǎng)銀大

5、盜”,“網(wǎng)銀大盜”案例,多媒體木馬,Internet,種了木馬的電腦,傳送信息,黑客,攝像頭 語(yǔ)音設(shè)備,Google Search “inurl:ViewerFrame?Mode=” . 1/ViewerFrame?Mode=Motion&Language=1,匿名電子郵件轉(zhuǎn)發(fā),漏洞名稱(chēng)：Exchange Server匿名轉(zhuǎn)發(fā)漏洞 原理,匿名電子郵件轉(zhuǎn)發(fā),案例 深圳市二十多個(gè)郵件服務(wù)器,Internet,某數(shù)據(jù)中心,臺(tái)灣,日本,匿名電子郵件轉(zhuǎn)發(fā),造成危害 網(wǎng)絡(luò)堵塞 給利用于反動(dòng)宣傳 正常郵件服務(wù)器被RBL組織封閉 解決方法 打補(bǔ)丁 關(guān)閉該服務(wù)或端口25 ,

6、110,溢出攻擊與DCOM RPC漏洞,溢出攻擊原理,溢出攻擊與DCOM RPC漏洞,DCOM RPC 漏洞原理,溢出攻擊與DCOM RPC漏洞,造成的危害-沖擊波,MY DOOM案例分析,郵件蠕蟲(chóng):MY DOOM 現(xiàn)象 通過(guò)電子郵件附件傳播，設(shè)定向和 發(fā)起DDoS攻擊 原理,ARP 欺騙,ARP 地址解析協(xié)議 ARP協(xié)議定義了兩類(lèi)基本的消息： 1） 請(qǐng)求信息：包含自己的IP地址、硬件地址和請(qǐng)求解析的IP地址； 2） 應(yīng)答信息：包含發(fā)來(lái)的IP地址和對(duì)應(yīng)的硬件地址。,ARP 欺騙,2、原理,ARP 欺騙,防范ARP欺騙的方法 交換機(jī)控制 路由器隔離 防火墻與代理服務(wù)器,DDoS攻擊,原理,DDo

7、S攻擊方法,死亡之ping （ping of death） 淚滴（teardrop） UDP洪水（UDP flood） SYN洪水（SYN flood） Land攻擊 Smurf攻擊 Fraggle攻擊,常用DDoS攻擊工具,Thankgod SYN Flooder 獨(dú)裁者 Trinoo TFN2K Stacheldraht,SQL注入,Web攻擊模擬演示,IDS,交換機(jī),防火墻,Web服務(wù)器,DB服務(wù)器,正常訪問(wèn)流程,SQL注入,Web攻擊模擬演示,SQL注入攻擊流程,IDS,交換機(jī),防火墻,Web服務(wù)器,DB服務(wù)器,常見(jiàn)網(wǎng)絡(luò)安全技術(shù),全網(wǎng)防御技術(shù) 黑客偵查與追蹤技術(shù) DDoS防御技術(shù) 應(yīng)用

8、層攻擊防御（SQL 注入、XSS腳本）,黑客偵查與追蹤技術(shù),黑客偵查與追蹤系統(tǒng),黑客偵查與追蹤系統(tǒng),系統(tǒng)組成 1、現(xiàn)場(chǎng)勘查分析 2、服務(wù)器監(jiān)控 3、遠(yuǎn)程追蹤,黑客偵查與追蹤系統(tǒng),原理,黑客偵查與追蹤系統(tǒng),遠(yuǎn)程追蹤,DDoS攻擊防御技術(shù),當(dāng)前DDoS防御技術(shù) SYN代理 SYN網(wǎng)關(guān) DDoS防御網(wǎng)關(guān),DDoS攻擊防御方法,SYN中繼（代理） 工作原理,SYN中繼（代理）,1) H,FW,2) H,SYN/ACK,FW,3) H,ACK,FW,FW,S,4),FW,S,FW,S,SYN,SYN/ACK,ACK,5),6),SYN,SYN中繼（代理）,存在問(wèn)題 FW必須建立一個(gè)很大的鏈表來(lái)儲(chǔ)存所有S

9、YN請(qǐng)求，當(dāng)有大量的SYN攻擊包到來(lái)，F(xiàn)W一樣會(huì)崩潰。 保護(hù)了服務(wù)器，堵死了防火墻,DDoS攻擊防御方法,SYN網(wǎng)關(guān) 工作原理,SYN網(wǎng)關(guān),SYN網(wǎng)關(guān),快速將連接試呼從S待辦隊(duì)列移開(kāi)，避免服務(wù)器待辦隊(duì)列堵塞 定時(shí)器超時(shí)后，向S發(fā)送連接RST（復(fù)位）取消。 存在問(wèn)題 A、占用服務(wù)器緩沖 B、防火墻同樣要儲(chǔ)存SYN請(qǐng)求鏈接，攻擊強(qiáng)烈時(shí)，同樣會(huì)堵死防火墻,DDoS防御技術(shù),防火墻、DDoS防御網(wǎng)關(guān)對(duì)抗DDOS攻擊的三層防御措施 （一）連接指紋鑒別 （二）自適應(yīng)“催命”算法 （三）惡性服務(wù)請(qǐng)求攻擊的防御,連接指紋鑒別工作原理,0積累識(shí)別技術(shù),屬?lài)?guó)際專(zhuān)利,連接指紋鑒別工作原理,連接指紋鑒別工作原理,A、

10、SN序列號(hào)形成算法 SN=f （源、目標(biāo)IP，源、目標(biāo)端口，其它信息，秘密字） B、只有當(dāng)主機(jī)H回答包所攜帶的SN號(hào)經(jīng)驗(yàn)證合法后，才須建立連接代理。 2、優(yōu)點(diǎn) 由于在未確認(rèn)SYN請(qǐng)求的合法性前，無(wú)須建立連接隊(duì)列，所以這種方法具備以下優(yōu)點(diǎn)： A、防火墻無(wú)須耗費(fèi)內(nèi)存資源 B、沒(méi)有緩沖溢出的危險(xiǎn) C、在NAT模式下不占用防火墻的連接數(shù),自適應(yīng)“催命”算法,針對(duì)性 針對(duì)通過(guò)高層編程（固定）進(jìn)行的攻擊，如socket編程中的“connect”函數(shù)。這種攻擊也能通過(guò)防火墻的指紋合法性認(rèn)證而建立起連接。但該攻擊的效率較低，同時(shí)占用黑客大量主機(jī)資源。 工作原理 防火墻中建立每條連接都有一個(gè)連接超時(shí)值A(chǔ)ge（又

11、叫生命期），一般每半秒鐘減一，防火墻會(huì)監(jiān)控系統(tǒng)建立的連接數(shù)量，按一定算法算出（加快了）的遞減步長(zhǎng)STEP，降低某些可疑連接的生命期，加快這些連接超時(shí)。,惡性服務(wù)請(qǐng)求攻擊的防御,針對(duì)性 一般SQL數(shù)據(jù)庫(kù)訪問(wèn)會(huì)占用服務(wù)器較多資源，黑客會(huì)分析web頁(yè)面上耗費(fèi)資源的分支請(qǐng)求，編寫(xiě)程序不停調(diào)用該分支請(qǐng)求，造成SQL服務(wù)器響應(yīng)不過(guò)來(lái)。 工作原理 給管理員一個(gè)配置接口，管理員自己可以配置一些針對(duì)性統(tǒng)計(jì)策略，當(dāng)在一定時(shí)間內(nèi)某IP使用某SQL語(yǔ)句數(shù)量超過(guò)某一閥值時(shí)，防火墻會(huì)拒絕該IP的訪問(wèn)。,其它措施,對(duì)于一些固定IP的惡性攻擊防火墻會(huì)對(duì)該IP進(jìn)行自動(dòng)鎖定，超過(guò)一定時(shí)間，一般為180秒后再進(jìn)行開(kāi)鎖。,黑客,FW

12、,server,DDOS網(wǎng)關(guān),應(yīng)用層攻擊防御,WEB應(yīng)用安全概述 針對(duì)WEB攻擊 風(fēng)險(xiǎn)的產(chǎn)生 跨站腳本攻擊 SQL注入攻擊,針對(duì)WEB的攻擊,Web Server,身份認(rèn)證,數(shù)據(jù)字典,權(quán)限/角色,敏感信息,系統(tǒng)文件獲取,緩沖區(qū)溢出,DOS攻擊,DB Server,防火墻,Web風(fēng)險(xiǎn)的產(chǎn)生,風(fēng)險(xiǎn)的產(chǎn)生,80%基于WEB的應(yīng)用或多或少都存在安全問(wèn)題，其中很大一部分是相當(dāng)嚴(yán)重的問(wèn)題 防火墻、IDS或者使用SSL協(xié)議對(duì)此毫無(wú)用處 不僅僅是開(kāi)放在Internet的Web存在風(fēng)險(xiǎn) 更多的 ERP/CRM/MSS 系統(tǒng)也都使用了Web應(yīng)用程序 ,跨站腳本攻擊簡(jiǎn)介(1),由于WEB應(yīng)用程序沒(méi)有對(duì)用戶的輸入進(jìn)行

13、嚴(yán)格的過(guò)濾和轉(zhuǎn)換，就導(dǎo)致在返回頁(yè)面中可能嵌入惡意代碼。遠(yuǎn)程攻擊者可以利用這些漏洞在用戶瀏覽器會(huì)話中執(zhí)行任意HTML和腳本代碼?？缯灸_本執(zhí)行漏洞的攻擊效果需要借助第三方網(wǎng)站來(lái)顯現(xiàn)，因此這種攻擊能在一定程度上隱藏身份,跨站腳本攻擊簡(jiǎn)介(2),什么是跨站腳本攻擊 XSS又叫CSS(Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。 XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常呼略其危害性。,跨站腳本攻擊簡(jiǎn)介(3),跨站攻擊的危害 為了搜集用

14、戶信息，攻擊者通常會(huì)在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺騙用戶 竊取 Cookie 劫持帳戶 執(zhí)行 ActiveX 執(zhí)行 Flash 內(nèi)容 強(qiáng)迫您下載軟件 對(duì)硬盤(pán)和數(shù)據(jù)采取操作,跨站腳本攻擊簡(jiǎn)介(4),由于XSS漏洞很容易在大型網(wǎng)站中發(fā)現(xiàn)，在黑客圈內(nèi)它非常流行。FBI.gov、CNN.com、T、Ebay、 Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes都有這樣那樣的XSS漏洞。 在商業(yè)產(chǎn)品中，平均每個(gè)月能夠發(fā)現(xiàn)10-25個(gè)XSS漏洞 常見(jiàn)存在漏洞的頁(yè)面 搜索引擎返回結(jié)果頁(yè)面根據(jù)用戶輸入。 登錄頁(yè)

15、， 存儲(chǔ)用戶帳戶在數(shù)據(jù)庫(kù)、 Cookie等和以后寫(xiě)入用戶名出客戶端。 Web 表單處理信用卡信息。,SQL注入攻擊簡(jiǎn)介,SQL注入攻擊簡(jiǎn)介,SQL注入攻擊(3),Web服務(wù)器,身份認(rèn)證信息,權(quán)限/角色,敏感應(yīng)用數(shù)據(jù),系統(tǒng)級(jí)文件存取,緩沖區(qū)溢出,DOS攻擊,數(shù)據(jù)字典,DB服務(wù)器,SQL注入攻擊示意,WEB應(yīng)用深度防御,實(shí)時(shí)告警,1、建立整體監(jiān)控管理系統(tǒng) 2、關(guān)注你負(fù)責(zé)的系統(tǒng) 把所管理的網(wǎng)站系統(tǒng)（或者監(jiān)控系統(tǒng)）設(shè)為瀏覽器的首頁(yè)，每天至少看三次你所管理的系統(tǒng)，殘酷地說(shuō)，管理員沒(méi)有節(jié)假日，因?yàn)楣?jié)假日恰恰是攻擊的高發(fā)時(shí)段。,日常安全維護(hù),3、定期備份數(shù)據(jù)庫(kù)和供下載的文檔 定期備份數(shù)據(jù)庫(kù)和上傳的文件，如果

16、不是很經(jīng)常更新，訪問(wèn)量不大，大概每周備份一次，反之每天一次，不要怕麻煩，這個(gè)制度很有必要。,日常安全維護(hù),4、經(jīng)常用FTP登陸，查看上傳目錄下的文件格式 上傳目錄下不應(yīng)該有asp,cer,cdx,com,exe,bat之類(lèi)的文件. 一般情況下，允許上傳的文件格式有： 圖片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCX OFFICE文檔：DOC,XLS,PPT,MDB 文本文件：TXT,RTF 壓縮文件：RAR,ZIP,ISO,日常安全維護(hù),5、掌握最新的補(bǔ)丁以及漏洞信息 經(jīng)常關(guān)注官方網(wǎng)站的補(bǔ)丁發(fā)布，及時(shí)修改。 這里推薦一個(gè)帶漏洞搜索引擎的漏洞公布網(wǎng)址： /,日常安全

17、維護(hù),6、設(shè)置足夠強(qiáng)壯的密碼 管理的帳號(hào)密碼應(yīng)與管理員個(gè)人常用的不同，以防他人從別處得到網(wǎng)站的密碼。如果有多個(gè)管理員，要保證所有人的密碼都是“健壯的”，即不能像“123456”這樣容易猜測(cè)，必須是數(shù)字、字母和符號(hào)的組合。這點(diǎn)很重要，不然所有的安全措施都是徒勞！,日常安全維護(hù),日常安全維護(hù),一、部署專(zhuān)用網(wǎng)絡(luò)安全設(shè)備:防火墻 漏洞掃描 入侵檢測(cè)系統(tǒng) Anti DDoS 、 流量監(jiān)控 二、網(wǎng)站系統(tǒng)的專(zhuān)用保護(hù)方法 本地和遠(yuǎn)程：本地監(jiān)控、遠(yuǎn)程建立統(tǒng)計(jì)監(jiān)控平臺(tái)； 定時(shí)和觸發(fā)：根據(jù)等級(jí)設(shè)定觸發(fā)時(shí)間； 比較方法 ：文件大小、數(shù)字簽名； 恢復(fù)方式：本地恢復(fù)、遠(yuǎn)程恢復(fù)； 備份庫(kù)的安全 ：隱藏備份庫(kù)； 三、網(wǎng)站保護(hù)

18、的缺陷 保護(hù)軟件通常都是針對(duì)靜態(tài)頁(yè)面而設(shè)計(jì)，而現(xiàn)在動(dòng)態(tài)頁(yè)面占據(jù)的范圍越來(lái)越大，盡管本地監(jiān)測(cè)方式可以檢測(cè)腳本文件，但對(duì)腳本文件使用的數(shù)據(jù)庫(kù)卻無(wú)能為力。,應(yīng)急處理方法,應(yīng)急事件處理 四 步曲 1、先找專(zhuān)家 2、立刻恢復(fù) 3、分析源頭 4、修補(bǔ)漏洞,1、先找專(zhuān)家 a、聯(lián)系專(zhuān)業(yè)安全服務(wù)單位 b、聯(lián)系專(zhuān)業(yè)安全組織 2、立刻恢復(fù) 用備份文件替換被篡改的文件，同時(shí)注意保存證據(jù) 下載被黑的網(wǎng)站以保存相關(guān)證據(jù)。然后用平時(shí)備份的資 料替代被篡改的數(shù)據(jù)，及時(shí)恢復(fù)系統(tǒng)功能，最大限度降低不良影響。 （主要指網(wǎng)站系統(tǒng)）,應(yīng)急處理方法,3、分析源頭 查看監(jiān)控系統(tǒng)的分析報(bào)告，事件終端設(shè)備 日志。 4、修補(bǔ)漏洞 根據(jù)發(fā)現(xiàn)的問(wèn)題， 修補(bǔ)漏洞， 一定要記得事后加強(qiáng)監(jiān)控。,應(yīng)急處理方法,TIPs 1、文件時(shí)間一致原則 簡(jiǎn)單的說(shuō)就是保持大部分文件的上傳時(shí)間一致（數(shù)據(jù)庫(kù)之類(lèi)頻繁讀寫(xiě)的文件除外）。具體做法是一次上傳所有文件，這里建議就算修改了一個(gè)文件也重新上傳一下所有網(wǎng)頁(yè)，這樣做主要是方便查找木馬。,應(yīng)急處理方法,TIPs 2、文件對(duì)比法 這里介紹一個(gè)簡(jiǎn)單的文件對(duì)比工具Beyond Compare,應(yīng)