网络安全及常见攻击及防范

Kevin Mitnick
凯文•米特尼克是美国20世
纪最著名的黑客之一，他 是“社会工程学”的创始 人，第一个在FBI榜上有名 的黑客。 1979年他和他的伙伴侵入 了北美空防指挥部 1983年的电影《战争游戏》 演绎了同样的故事，在片 中，以凯文为原型的少年 黑客几乎引发了第三次世 界大战
军事网站 2%
网络服务 6%
其它 12%
政府网站 5%
教育网站 4%
机构网站 6%
商业网站 65%
国内网站遭攻击的分布
红色代码
–2001年7月19日，全球的入侵检测系统(IDS)几乎同时 报告遭到不名蠕虫攻击 –在红色代码首次爆发的短短9小时内，以迅雷不及掩耳 之势迅速感染了250,000台服务器 –最初发现的红色代码蠕虫只是篡改英文站点主页，显 示“Welcome to http://www.worm.com! Hacked by Chinese!” –随后的红色代码蠕虫便如同洪水般在互联网上泛滥， 发动拒绝服务(DoS)攻击以及格式化目标系统硬盘，并 会在每月20日～28日对白宫的WWW站点的IP地址发动 DoS攻击，使白宫的WWW站点不得不全部更改自己的 IP地址。
网络安全管理研究
安全策略研究 包括安全风险评估、安全代价评估、安全机制的制定以及 安全措施的实施和管理等。 安全标准研究 主要内容包括安全等级划分、安全技术操作标准、安全体 系结构标准、安全产品测评标准和安全工程实施标准等。 பைடு நூலகம்安全测评研究 主要内容有测评模型、测评方法、测评工具、测评规程等。
Kevin Mitnick
1989年在缓刑期间失踪达两
年之久，期间警察、FBI、 司法执行官一直在追捕他。 1994年X-mas闯入位于San Diego 的Tsutomu Shimomura的计算机.
Kevin Mitnick
2003年1月20日，
Mitnick从狱中释放。 条件是禁止接触计算 机、从事计算机咨询 或与计算机相关的工 作。
采用 漏洞 扫描 工具
选择 会用 的 方式 入侵
获取 系统 一定 权限
提 升 为 最 高 权 限
安装 系统 后门
获取敏感信息 或者 其他攻击目的
较高明的入侵步骤
判断 系统
提 升 为 最 高 权 限 攻击其 他系统
端口 判断 分析 可能 有漏 洞的 服务
选择 最简 方式 入侵
获取 系统 一定 权限
安装 多个 系统 后门
中美五一黑客大战
2001年5月1日是国际劳动节，5月4日是中国的青年节，
而5月7日则是中国在南斯拉夫的大使馆被炸两周年的 纪念日。中国黑客在这几个重大的纪念日期间对美国 网站发起了大规模的攻击 美国部分被黑网站
美国加利福尼亚能源部 日美社会文化交流会 白宫历史协会 UPI新闻服务网 华盛顿海军通信站
网络安全的目标
机密性：Confidentiality，
指保证信息不被非授权 访问。 完整性：Integrity，指信 息在生成、传输、存储 和使用过程中不应被第 三方篡改。 可用性 ：Availability， 指授权用户可以根据需 要随时访问所需信息。
机密性
完整性
可用性
内容提要
网络安全概述 常见攻击与防范
“红色代码”的蔓延速度
尼姆达（Nimda）
尼姆达是在 9· 恐怖袭击整整一个星期后出现的，当时传言是中 11 国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病 毒 尼姆达是在早上9:08发现的，明显比红色代码更快、更具有摧毁功 能，半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部 电脑，总共造成将近10亿美元的经济损失 传播方式包括：电子邮件、网络临近共享文件、IE浏览器的内嵌 MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、CodeRedII 和Sadmind/IIS蠕虫留下的后门等
NmapWin v1.3.0
SuperScan
简介
基于Windows平 台 速度快，图形化 界面 最新版本为4.0
使用
傻瓜化
MBSA
漏洞扫描
在各种各样的软件逻辑漏洞中，有一部分会引起非
常严重的后果，我们把会引起软件做一些超出设计 范围事情的bug称为漏洞。 为了防范这种漏洞，最好的办法是及时为操作系统 和服务打补丁。所谓补丁，是软件公司为已发现的 漏洞所作的修复行为。 漏洞扫描通常通过漏洞扫描器来执行。漏洞扫描器 是通过在内部放臵已知漏洞的特征，然后把被扫描 系统特征和已知漏洞相比对，从而获取被扫描系统 漏洞的过程。 漏洞扫描只能找出目标机上已经被发现并且公开的 漏洞
莫里斯蠕虫（Morris Worm）
时间 1988年 肇事者 -Robert T. Morris , 美国康奈尔大学学生，其 父是美国国家安全局安全专家 机理 -利用sendmail, finger 等服务的漏洞，消耗 CPU资源，拒绝服务 影响 -Internet上大约6000台计算机感染，占当时 Internet 联网主机总数的10%，造成9600万美 元的损失 CERT/CC的诞生 -DARPA成立CERT（Computer Emergency Response Team），以应付类似“蠕虫（Morris Worm）”事件
Robert Morris
As a Student
As a Professor
Tsutomu Shimomura
在San Diego超级计算机中
心从事计算物理和计算机 安全的专家。 二个月后， Tsutomu追踪 到Mitnick的位臵。 1995年2月15日在North Carolina的Raleigh, Mitnick被FBI逮捕。
SQL Slammer蠕虫
Slammer的传播数度比“红色代码”快两个数量级 在头一分钟之内，感染主机数量每8.5秒增长一倍； 3分钟后该病毒的传播速度达到峰值（每秒钟进行5500万次扫描）； 接下来，其传播速度由于自身挤占了绝大部分网络带宽而开始下 降； 10分钟后，易受攻击的主机基本上已经被感染殆尽
应用的方法：
• Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间 • Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 • Finger和Rusers命令收集用户信息
扫描主要是指通过固定格式的询问来试探主机的某
些特征的过程，而提供了扫描功能的软件工具就是 扫描器。 “一个好的扫描器相当于数百个合法用户的账户信 息”。 分为端口扫描和漏洞扫描
高
包欺骗 半开放隐蔽扫描 拒绝服务 DDOS 攻击 www 攻击 自动探测扫描 GUI远程控制 后门 破坏审计系统 会话劫持 控制台入侵 利用已知的漏洞 密码破解 可自动复制的代码 密码猜测 检测网络管理
工具
入侵者水平
嗅探 擦除痕迹
攻击手法
1980
攻击者
1995 2000 2002
1985
1990
入侵系统的常用步骤
30分钟后 在全球的感染面积
网络安全涉及的知识领域
网络安全是一门涉及计算机科学、网络技术、
通信技术、密码技术、信息安全技术、应用数 学、数论、信息论等多种学科的综合性学科。
网络安全的研究内容
信息安全的研究范
围非常广泛，其领 域划分成三个层次
信息安全基础理论研究 信息安全应用技术研究
检查目标 加载
检查引擎
检测规则
检测报告
扫描器的工作流程
端口扫描
扫描端口的主要目的是判断目标主机的操作
系统以及开放了哪些服务。 端口是由计算机的通信协议TCP/IP协议定义 的。 计算机之间的通信，归根结底是进程间 的通信，而端口则与进程相对应。 端口分类：
熟知端口（公认端口）：由因特网指派名字和号 码公司ICANN负责分配给一些常用的应用层程序 固定使用的熟知端口，端口号一般为0～1023。 一般端口：用来随时分配给请求通信的客户进程。
网络常见攻击及防范
网络攻击技术是一把双刃剑。对攻击者而
言，它是攻击技术，对安全人员来说，它 是不可缺少的安全防护技术。 对系统的攻击和入侵，都是利用软件或系 统漏洞进行。 大多数情况下，恶意攻击者使用的工具和 安全技术人员是相同的，这意味着安全人 员必须了解攻击者使用的工具和手段
入侵技术的发展
信息安全管理研究
网络安全基础研究
密码理论
数据加密算法 消息认证算法 数字签名算法 密钥管理
安全理论
身份认证、授权和访问控制、安全审计和安全协议
网络安全应用研究
安全技术
防火墙技术、漏洞扫描和分析、入侵检测、防病毒等。
平台安全
物理安全、网络安全、系统安全、数据安全、用户安 全和边界安全。
网络安全技术 ——常见攻击与防范
内容提要
网络安全概述 常见攻击与防范
网络安全威胁国家基础设施
广播 工业 通讯
控制
因特网
电力 交通 金融
信息对抗的威胁在增加
医疗
网络中存在的安全威胁
特洛伊木马
黑客攻击 后门、隐蔽通道
计算机病毒
网络
信息丢失、篡 改、销毁 拒绝服务攻击
逻辑炸弹
蠕虫
内部、外部泄密
端口扫描工具
Nmap
SuperScan
Mbsa
Nmap
简介
被称为“扫描器之王” 有for Unix和for Win的两种版本 需要Libpcap库和Winpcap库的支持 能够进行普通扫描、各种高级扫描和操作系统类型 鉴别等
使用
-sS：半开式扫描 -sT:普通connect()扫描 -sU：udp端口扫描 -O：操作系统鉴别 -P0：强行扫描（无论是否能够ping通目标） -p：指定端口范围 -v：详细模式
清除 入侵 脚印
获取敏 感信息
作为其 他用途
常见的安全攻击方法
信息探测攻击 口令破解攻击 缓冲区溢出攻击 远程控制攻击
D.o.S 和D.D.o.S
数据嗅探攻击
信息探测攻击
主机信息获取
端口扫描
漏洞扫描
主机扫描：获取主机信息
IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。
常见TCP熟知端口
服务名 称 FTP Telnet 端 口 号 21 23 说 明
常见UDP熟知端口
服务名 称 RPC SNMP TFTP 端 口 号 111 161 69 说 明
文件传输服务 远程登录服务
远程调用 简单网络管 理 简单文件传 输
HTTP
POP3 SMTP Socks
80
110 25 1080
网页浏览服务
邮件服务 简单邮件传输 服务 代理服务
用三次握手建立 TCP 连接
主机 A 主机 B
主动打开 连接请求 SYN, SEQ = x
被动打开
确认 确认 ACK, SEQ = x + 1, 确认号 = y 1
扫描方法
全TCP连接 这种扫描方法使用三次握手，与目标计算机建立标准的TCP连接。 很容易被目标主机发觉并记录。 半打开式扫描 扫描主机自动向目标计算机的指定端口发送SYN数据段，表示发送建立连接 请求，如果目标计算机的回应TCP报文中SYN=1，ACK=1，则说明该端口 是活动的，接着扫描主机传送一个RST给目标主机拒绝建立TCP连接，从而 导致三次握手过程的失败。 由于扫描过程中全连接尚未建立，所以大大降低了被目标计算机的记录的可 能性 FIN扫描 发送一个FIN=1的TCP报文到一个关闭的端口时，该报文会被丢掉，并返回 一个RST报文。但是，如果当FIN报文发到一个活动的端口时，该报文只是 简单的丢掉，不会返回任何回应。 扫描没有涉及任何TCP连接部分，因此，这种扫描比前两种都安全，可以称 之为秘密扫描。 第三方扫描 代理扫描”，这种扫描是控制第三方主机来代替入侵者进行扫描 更加隐蔽
网络安全的重要性
国家
社会
个人
网络不安全的原因
自身缺陷 + 开放性 + 黑客攻击
自身的缺陷
自然灾害
软硬件缺陷
网络的开放性
OSI 协议族本身的开放性, 简单性及方便性 同 时带来了安全隐患。
黑客攻击
黑客是程序员，掌握操作系统和编程语言方面
的知识，乐于探索可编程系统的细节，并且不 断提高自身能力，知道系统中的漏洞及其原因 所在.专业黑客都是很有才华的源代码创作者。 起源： 60年代 目的： 基于兴趣非法入侵 基于利益非法入侵 信息战