防火墙、VPN原理简介.ppt

防火墙、IDS、VPN原理简介 802.1x Portal认证 端点安全的基本功能 组网应用——局域网接入 防火墙基本介绍－防火墙的概念 防火墙的基本特征 防火墙和路由器的差异 防火墙的分类 状态检测技术 状态防火墙对应用协议的支持 防火墙主要规格介绍－性能衡量指标 防火墙主要规格介绍－安全防范特性 防火墙主要规格介绍－业务支持 防火墙主要规格介绍－高可靠性 主机扫描原理 端口扫描原理(SYN扫描） 扫描攻击演示（端口扫描） 攻击方法 nmap -sS -p 1-65535 nmap -sT nmap -sF nmap -sU nmap -sP -255 检测方法 配置flowset，使受保护主机在单位时间内如有若干个端口遭受探测，则表明有探测，默认设置为1秒内50个端口。 相关工具 Nmap Unicode解码漏洞原理 漏洞发现 该漏洞是由国内著名黑客组织绿盟成员袁哥首先发现的，并在2000年10月11日公布到网上，由于利用方便简单，引起了广泛的关注。 涉及版本 Microsoft IIS 4.0???? Microsoft Windows NT 4.0 SP6a 以下 Microsoft IIS 5.0????- Microsoft Windows 2000 Server SP2 以下????- Microsoft Windows 2000 Professional SP2 以下 ????- Microsoft Windows 2000 Datacenter Server SP2 以下 ????- Microsoft Windows 2000 Advanced Server SP2 以下? Unicode解码漏洞原理 IIS如何解析unicode编码 对于IIS 5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”，它会首先将其解码变成:0xc10xhh， 然后尝试打开这个文件，Windows系统认为0xc10xhh可能是Unicode编码，因此它会首先将其解码。 解码原则 0x00= %hh 0x40 %c1%hh - (0xc1 - 0xc0) * 0x40 + 0xhh%c0%hh - (0xc0 - 0xc0) * 0x40 + 0xhh %hh 0x80 %c1%hh - (0xc1 - 0xc0) * 0x40 + (0xhh-0x80) %c0%hh - (0xc0 - 0xc0) * 0x40 + (0xhh-0x80) Unicode解码漏洞原理 利用unicode解码方式构造‘/’或‘\’ 因为符号‘/’的ASCII码是5c,而符号‘\’的ASCII码是2f,利用刚才介绍的编码方式，我们可以构造出这两个字符如下:%c1%1c - (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = ‘/’%c0%2f - (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = ‘\’ %c1%9c- (0xc1 - 0xc0) * 0x40 + (0x9c-0x80)=0x5c =‘/’%c0%af- (0xc0 - 0xc0) * 0x40 + (0xaf-0x80)=0x2f =‘\’ 欺骗IIS http://IP/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ http://IP/scripts/.. %c0%2f ../winnt/system32/cmd.exe?/c+dir+c:\ 通过以上变化，我们成功绕过了IIS的检查，顺利执行cmd.exe命令。只于为什么用scripts目录？这时因为默认iis这个目录具有可执行权限，所以选择它了，如果具有其他的一些可执行目录都可以，不过要注意它的目录深度，可能需要足够的..%c1%1c..或者..%c0%2f..了。 Unicode解码漏洞攻击Web服务器演示 攻击方法 发送带有%c1%1c ,%c0%2f,%c1%9c,%c0%af等一种或几种字符串组合的URI请求，在IIS 5.0以下的版本中会引出Unicode解码漏洞，通过该漏洞可以使攻击者逃避IIS的../或..\检查，如成功攻击Web服务器可获得系统的Web用户权限。 检测方法 检查所有发向Web服务器服务端口（默认80）的并带有%c1%1c,%c0%2f，%c1%9c,%c0%af等攻击特征串的URI数据流，由于通常攻击者会首先使用dir命令查看磁盘文件用于探测，我们可再加上dir字符串用于更准确匹配，