1、簡介：本課程的主要內(nèi)容：網(wǎng)絡(luò)安全概述信息收集基于網(wǎng)絡(luò)掃描系統(tǒng)的攻擊與防御(windows系統(tǒng))腳本攻擊與防御惡意代碼攻擊與防御，第1章網(wǎng)絡(luò)安全概述，1.1，嚴(yán)重的信息安全問題，2000年2月6日左右，美國YAHOO等8家大型網(wǎng)站相繼遭到黑客攻擊。直接經(jīng)濟(jì)損失約12億美元(網(wǎng)上拍賣“電子港灣”網(wǎng)站、亞馬遜網(wǎng)站、美國在線)。該安全事件具有以下特點(diǎn)：攻擊直接針對商業(yè)應(yīng)用，造成巨大損失。信息網(wǎng)絡(luò)安全事關(guān)全社會，也是2008年中國信息安全的熱點(diǎn)。1.中國超過美國成為世界上互聯(lián)網(wǎng)用戶最多的國家。截至2008年6月，中國互聯(lián)網(wǎng)用戶數(shù)量達(dá)到2.53億，成為全球互聯(lián)網(wǎng)用戶數(shù)量最多的國家。同時(shí)，443端口的流量端

2、口排名從2007年的第四位上升到第二位，這表明大量網(wǎng)站已經(jīng)部署了SSL證書，以確?；ヂ?lián)網(wǎng)上機(jī)密信息的安全。2.電信運(yùn)營商開始重視用戶機(jī)密信息的安全。中國電信、中國移動等部分省級分支機(jī)構(gòu)已開始在網(wǎng)上營業(yè)廳等系統(tǒng)部署SSL證書，以確保用戶機(jī)密信息的安全，這表明中國電信運(yùn)營商開始在各方面與國際運(yùn)營商保持同步，為電信用戶提供更加安全可靠的信息服務(wù)。3.金融危機(jī)席卷全球。信息安全更有投資價(jià)值。全球金融動蕩已經(jīng)從金融業(yè)蔓延到其他行業(yè)。下崗企業(yè)面臨著離職員工帶來的商業(yè)秘密泄露問題。加強(qiáng)商業(yè)秘密保護(hù)，降低企業(yè)運(yùn)營成本。相關(guān)的安全服務(wù)提供商提供了巨大的商機(jī)。購買信息安全產(chǎn)品(包括SSL證書)的企業(yè)將更加理性，更

3、加注重性價(jià)比，而不是盲目追求品牌。4.2008年“網(wǎng)上銀行安全使用”主題聯(lián)合宣傳年：建設(shè)網(wǎng)上銀行綠色通道。4月2日，18家國內(nèi)銀行攜手推出“2008網(wǎng)銀安全使用聯(lián)合宣傳年”，打造網(wǎng)銀綠色通道，努力為用戶使用網(wǎng)銀創(chuàng)造更安全的環(huán)境。此次活動推出的網(wǎng)上銀行綠色通道由電動汽車證書、網(wǎng)上銀行殺毒工具和反欺詐聯(lián)動機(jī)制三大核心系統(tǒng)組成，從反釣魚網(wǎng)站、反病毒木馬盜竊和打擊網(wǎng)上銀行犯罪三個(gè)層面為網(wǎng)上銀行的使用提供全面保護(hù)。5.奧運(yùn)信息安全有保障。奧運(yùn)會的順利進(jìn)行與信息安全系統(tǒng)的有力保護(hù)密切相關(guān)。北京2008年奧運(yùn)會的成功表明，它的目標(biāo)是服務(wù)器、網(wǎng)絡(luò)交換機(jī)、路由器、應(yīng)用軟件系統(tǒng)等。6.第一屆塞班智能手機(jī)峰會于20

4、08年在北京舉行。塞班峰會論壇由塞班中國公司首次發(fā)起，于2008年6月5日在北京舉行。智能手機(jī)產(chǎn)業(yè)鏈中的所有合作伙伴都參與了此次盛會。此次峰會展示了塞班公司十年的發(fā)展成就和品牌榮譽(yù)，主題為“明天的技術(shù)，今天的手機(jī)”，圍繞智能手機(jī)相關(guān)技術(shù)話題進(jìn)行了深入的討論和交流，其中“智能手機(jī)平臺安全和代碼安全”最為廣泛關(guān)注。7.地震和雪災(zāi)捐贈網(wǎng)站被偽造或“掛掉”。廣大網(wǎng)民向四川地震災(zāi)區(qū)和南方雪災(zāi)災(zāi)區(qū)發(fā)起了規(guī)模空前的捐贈活動，網(wǎng)上小額捐贈普遍受到歡迎。然而，捐贈網(wǎng)站很容易被犯罪分子偽造，因?yàn)樗徊渴餝SL證書。相比之下，SSL證書被部署在當(dāng)選總統(tǒng)巴拉克奧巴馬的在線籌款網(wǎng)站上，這不僅確保了捐贈者的在線機(jī)密信息的

5、安全，還確保了籌款網(wǎng)站不會被偽造。8.2008年中國計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會暨中國網(wǎng)絡(luò)安全學(xué)會互聯(lián)網(wǎng)年會于2008年4月7日至9日在深圳召開本次年會共分四個(gè)分論壇：“電子政務(wù)安全”、“電子商務(wù)與金融安全”、“互聯(lián)網(wǎng)服務(wù)提供商安全”和“網(wǎng)絡(luò)安全信息技術(shù)”。與會領(lǐng)導(dǎo)人、專家學(xué)者就電子政務(wù)和電子商務(wù)安全、基礎(chǔ)信息網(wǎng)絡(luò)安全保障、培育健康有序的網(wǎng)絡(luò)安全文化、網(wǎng)絡(luò)安全應(yīng)急國際合作、重點(diǎn)城市網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)、安全漏洞現(xiàn)狀及發(fā)展趨勢等議題進(jìn)行了廣泛深入的討論。9.公安部啟動了2008年信息網(wǎng)絡(luò)安全調(diào)查。4月26日至5月26日，公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局組織開展了2008年全國信息網(wǎng)絡(luò)安全調(diào)查和計(jì)算機(jī)病毒疫

6、情調(diào)查。調(diào)查顯示，中國信息網(wǎng)絡(luò)安全事件的比例在經(jīng)歷了前三年的持續(xù)上升后，今年略有下降。信息網(wǎng)絡(luò)安全事件的比例為62.7%，下降了3。計(jì)算機(jī)病毒感染率為85.5%，比去年同期下降了6%，表明中國互聯(lián)網(wǎng)安全形勢有所改善。然而，多重網(wǎng)絡(luò)安全事件的比率為50，多重病毒感染的比率為66.8，這表明我國網(wǎng)民的網(wǎng)絡(luò)安全意識還比較薄弱，對網(wǎng)絡(luò)安全事件的發(fā)生重視不夠。10.建立一個(gè)可信的網(wǎng)絡(luò)。“中國反網(wǎng)絡(luò)釣魚聯(lián)盟”成立于2008年7月18日。由國內(nèi)銀行證券機(jī)構(gòu)、電子商務(wù)網(wǎng)站、域名注冊機(jī)構(gòu)、域名注冊服務(wù)機(jī)構(gòu)、專家學(xué)者組成的“中國反釣魚聯(lián)盟”在北京正式宣布成立。該聯(lián)盟初步建立了快速解決機(jī)制，并停止了網(wǎng)絡(luò)釣魚網(wǎng)站CN

7、域名解析等手段，及時(shí)制止其危害，構(gòu)建了可信網(wǎng)絡(luò)。1.2，一些亟待解決的安全問題，信息安全和高科技犯罪1999年，上海XX證券部的計(jì)算機(jī)主機(jī)遭到入侵。2000年2月14日，中國選擇網(wǎng)(上海)遭到黑客攻擊，導(dǎo)致客戶端機(jī)器崩潰。通過攻擊服務(wù)器端口，它導(dǎo)致內(nèi)存耗盡和服務(wù)器崩潰。中國約64%的公司信息系統(tǒng)遭到攻擊。其中，金融業(yè)占總數(shù)的57%。不受歡迎的垃圾郵件現(xiàn)象越來越嚴(yán)重。1999年4月26日，CIH病毒“世紀(jì)風(fēng)暴”成為20世紀(jì)美國最著名的黑客之一。他是“社會工程”的創(chuàng)始人。1979年，他和他的伙伴入侵北美防空司令部，并在1983年的電影戰(zhàn)爭游戲中表演了同樣的故事。在影片中，基于凱文的青少年黑客幾乎引

8、發(fā)了第三次世界大戰(zhàn)，莫里斯沃姆，1988年的肇事者羅伯特t莫里斯，美國康奈爾大學(xué)的學(xué)生，他的父親是國家安全局的安全專家利用發(fā)送郵件、手指等服務(wù)的漏洞來消耗CPU資源。拒絕服務(wù)的影響互聯(lián)網(wǎng)上約有6，000臺計(jì)算機(jī)受到感染，占當(dāng)時(shí)聯(lián)網(wǎng)主機(jī)總數(shù)的10%，造成9，600萬美元的損失。CERT/CC -DARPA的誕生建立了CERT(計(jì)算機(jī)應(yīng)急反應(yīng)小組)來處理類似的“莫里斯蠕蟲”事件。1994年底，俄羅斯黑客弗拉季米爾列文和他的合作伙伴從圣彼得堡一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上對美國的城商行發(fā)起了一系列攻擊，通過電子轉(zhuǎn)賬從城商行在紐約的計(jì)算機(jī)主機(jī)上竊取了1100萬美元。1996年8月17日，美國司法部的網(wǎng)絡(luò)

9、服務(wù)器遭到黑客攻擊?！懊绹痉ú俊钡闹黜摳臑椤懊绹痉ú俊?，司法部長的照片改為阿道夫希特勒，司法部的徽章改為納粹黨的徽章，并增加了一張色情女孩的照片，作為所謂的司法部長的助理。此外，還有許多言辭攻擊美國的司法政策。1996年9月18日，黑客們訪問了中央情報(bào)局的網(wǎng)絡(luò)服務(wù)器，并將它的主頁從“中央情報(bào)局”改為“中央愚蠢局”。1996年12月29日，黑客入侵了美國空軍的全球網(wǎng)站，并任意改變了它的主頁。其中，關(guān)于空軍介紹和新聞發(fā)布的內(nèi)容被一個(gè)黃色短片取代，聲稱美國政府所說的一切美國國防部被迫關(guān)閉了80多個(gè)其他軍事網(wǎng)站。1998年2月25日，美國國防部的四個(gè)海軍系統(tǒng)和七個(gè)空軍系統(tǒng)的計(jì)算機(jī)網(wǎng)頁遭到入侵。19

10、98年5月底，印度原子研究中心的主頁遭到入侵。1998年8月31日，澳大利亞主要政黨和政府官員的網(wǎng)站遭到黑客攻擊，1998年9月13日網(wǎng)站遭到篡改。紐約時(shí)報(bào)網(wǎng)站()遭到黑客攻擊。2000年2月，雅虎、易趣等著名的高利潤網(wǎng)站連續(xù)兩天遭到拒絕服務(wù)攻擊，業(yè)務(wù)損失巨大。2002年3月底，華盛頓著名藝術(shù)家格洛麗亞吉爾里(Gloria Geary)在易趣上拍賣了該賬戶，黑客利用該賬戶拍賣英特爾奔騰芯片。2002年6月，日本2002年世界杯組委會的官方網(wǎng)站被迫關(guān)閉，因?yàn)楹诳统晒θ肭植⒃诰W(wǎng)站上發(fā)布侮辱性內(nèi)容。中美“五一”黑客大戰(zhàn)，2001年5月1日是國際勞動節(jié)，5月4日是中國青年節(jié)，5月7日是中國駐南斯拉夫大

11、使館被炸兩周年。在這些重大紀(jì)念日期間，中國黑客對美國網(wǎng)站發(fā)起了大規(guī)模攻擊。一些美國網(wǎng)站遭到黑客攻擊。白宮歷史協(xié)會合眾國際社新聞服務(wù)網(wǎng)華盛頓海軍通信站，國內(nèi)網(wǎng)站攻擊的分布，紅隊(duì)，2001年7月19日。世界各地的入侵檢測系統(tǒng)幾乎同時(shí)報(bào)告受到未知蠕蟲的攻擊。在紅隊(duì)第一次爆發(fā)后的9個(gè)小時(shí)內(nèi)，250，000臺服務(wù)器迅速被閃電感染。最初發(fā)現(xiàn)的紅隊(duì)蠕蟲只是篡改了英文網(wǎng)站的主頁，顯示“歡迎光臨！被中國人黑了！”隨后，紅隊(duì)蠕蟲像洪水一樣淹沒了互聯(lián)網(wǎng)，發(fā)起了拒絕服務(wù)(DoS)攻擊，格式化了目標(biāo)系統(tǒng)的硬盤，并在每月20日和28日對白宮萬維網(wǎng)網(wǎng)站的IP地址發(fā)起了DoS攻擊，這使得白宮萬維網(wǎng)網(wǎng)站不得不改變其所有的IP地

12、址?！凹t隊(duì)”、尼姆達(dá)、尼姆達(dá)的傳播速度恰好出現(xiàn)在911恐怖襲擊一周后。當(dāng)時(shí)有傳言稱，中國傳播尼姆達(dá)病毒是為了測試美國對網(wǎng)絡(luò)恐怖襲擊的快速反應(yīng)能力。尼姆達(dá)是在早上9336008被發(fā)現(xiàn)的，這顯然比紅隊(duì)更快、更具破壞性，并在半小時(shí)內(nèi)傳遍了全世界。隨后，它入侵了全世界830萬臺計(jì)算機(jī)，造成了近10億美元的經(jīng)濟(jì)損失。傳輸方式包括：電子郵件、網(wǎng)絡(luò)附近文件共享、工業(yè)工程瀏覽器中嵌入的MIME類型自動執(zhí)行漏洞、工業(yè)工程服務(wù)器文件目錄遍歷漏洞、代碼重定向和Saddimed/IIS蠕蟲等。SQL Slammer蠕蟲，Slammer在第一分鐘的傳播速度比“紅隊(duì)”快幾倍，每臺主機(jī)感染的數(shù)量在3分鐘后，病毒的傳播速度達(dá)

13、到峰值(每秒5500萬次掃描)；其次，它的傳播速度開始下降，因?yàn)樗加昧舜蟛糠志W(wǎng)絡(luò)帶寬；十分鐘后，易受攻擊的主機(jī)基本上被感染了。30分鐘后，世界上第一個(gè)被感染的地區(qū)在2003年8月11日被發(fā)現(xiàn)，然后迅速傳播。當(dāng)時(shí)，距離該漏洞的發(fā)布日期不到一個(gè)月。該蠕蟲的目標(biāo)是廣泛的系統(tǒng)類型(包括視窗NT/2000/XP)。截至8月24日，中國感染的主機(jī)數(shù)量為2.51億臺，全球直接經(jīng)濟(jì)損失達(dá)數(shù)十億美元。RPC DCOM蠕蟲，1.3網(wǎng)絡(luò)安全的概念，網(wǎng)絡(luò)安全的含義所謂“網(wǎng)絡(luò)安全”是指網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)受到保護(hù)，不會因意外或惡意原因而遭到破壞、更改或泄露，系統(tǒng)能夠持續(xù)、可靠、正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不會中斷。2、

14、網(wǎng)絡(luò)攻擊與防御基礎(chǔ)，2.1遠(yuǎn)程攻擊基礎(chǔ)A攻擊位置(1)遠(yuǎn)程攻擊(2)本地攻擊(3)偽遠(yuǎn)程攻擊，B .攻擊深度，表面攻擊讀訪問非根寫執(zhí)行訪問根寫執(zhí)行訪問，簡單拒絕服務(wù)；本地用戶獲得未授權(quán)的讀取權(quán)限；本地用戶獲得未授權(quán)的寫權(quán)限；遠(yuǎn)程用戶獲得未授權(quán)的賬戶信息；遠(yuǎn)程用戶獲得特權(quán)文件的讀取權(quán)限；遠(yuǎn)程用戶獲得特權(quán)文件的寫權(quán)限；遠(yuǎn)程用戶具有系統(tǒng)管理員權(quán)限。攻擊的等級，它們之間的關(guān)系，攻擊的分類。在最高層次上，攻擊分為兩類：主動攻擊：包含攻擊者獲取其所需信息的故意行為。主動攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用、欺騙和其他攻擊方法。被動攻擊：收集信息而不是訪問信息，數(shù)據(jù)的合法用戶根本不會意識到這種活動。被動

15、攻擊包括嗅探、信息收集和其他攻擊方法。圖1，攻擊分類，就目前常見的攻擊而言，大致可以分為幾類(見圖1):竊聽：指攻擊者通過非法手段監(jiān)控系統(tǒng)活動，獲取一些安全關(guān)鍵信息。目前，屬于竊聽技術(shù)的常見攻擊方法如下：擊鍵記錄是嵌入在操作系統(tǒng)內(nèi)核中的隱藏軟件，通常被實(shí)現(xiàn)為鍵盤設(shè)備驅(qū)動程序，它可以記錄每個(gè)擊鍵，并將其存儲在攻擊者指定的隱藏本地文件中。例如PCAgent。網(wǎng)絡(luò)監(jiān)控：一旦攻擊者在目標(biāo)網(wǎng)絡(luò)上站穩(wěn)腳跟，這是他監(jiān)視網(wǎng)絡(luò)情報(bào)的最有效方法。通過設(shè)置網(wǎng)卡的混雜模式，他可以獲取網(wǎng)絡(luò)上的所有數(shù)據(jù)包，并從中提取安全關(guān)鍵信息，如明文傳輸?shù)拿艽a。如Win32平臺下的嗅探器和Unix平臺下的libpcap網(wǎng)絡(luò)監(jiān)控工具庫。

16、非法訪問數(shù)據(jù)：攻擊者或內(nèi)部人員違反安全策略，非法訪問超出其訪問權(quán)限的數(shù)據(jù)。獲取密碼文件：攻擊者破解密碼并獲取特權(quán)用戶或其他用戶的密碼的必要前提。欺騙：是指攻擊者偽裝成普通用戶以獲得對目標(biāo)的訪問或獲取關(guān)鍵信息的攻擊方法。屬于這種攻擊的方法包括：獲取密碼：通過默認(rèn)密碼、密碼猜測和密碼破解。猜測一些弱密碼。您還可以使用特殊的密碼猜測工具來破解密碼，例如遍歷字典或高頻密碼列表來找到正確的密碼。例如，Win32平臺的LOphtcrack。惡意代碼：包括木馬程序、郵件病毒、網(wǎng)頁病毒等。通常冒充有用的軟件工具、重要信息等。誘使用戶下載并運(yùn)行，或者使用郵件客戶端和瀏覽器的自動運(yùn)行機(jī)制，在啟動后悄悄地安裝惡意程序，通常會給攻擊者一個(gè)可以完全控制主機(jī)的遠(yuǎn)程連接。網(wǎng)絡(luò)欺騙：一種攻擊方法，攻擊者通過向攻擊目標(biāo)發(fā)送偽裝成可信主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包來獲得訪問權(quán)限或執(zhí)行命令。有IP欺騙、會話劫持、ARP重定向和RIP路由欺騙。拒絕服務(wù)：指終端或完全拒絕向合法用戶、網(wǎng)絡(luò)、系統(tǒng)等資源提供服務(wù)，意圖完全破壞的攻擊方式，也是一種相對容易實(shí)現(xiàn)的攻擊方式。特別是分布式拒絕服務(wù)攻擊對當(dāng)前互聯(lián)網(wǎng)構(gòu)成了嚴(yán)重威脅，造成了巨大的經(jīng)濟(jì)損失。拒絕服務(wù)攻擊的類型根據(jù)其攻擊形式可分為以下幾種：導(dǎo)致異常：利用硬件和軟件實(shí)現(xiàn)中的編程缺陷導(dǎo)致異常，從而導(dǎo)致拒絕服務(wù)。死亡之平攻擊。資源枯竭型：目標(biāo)因消耗