攻击与紧急响应-计算机安全必威体育官网网址.ppt

2006-9-1 第十章攻击与紧急响应 10.1 攻击概述 10.2 缓冲溢出攻击 10.3 扫描器 10.4 特洛伊木马 10.5 网络监听 10.6 拒绝服务攻击 10.7 IP欺骗 10.8 病毒 10.9 网络紧急响应 10.1 攻击概述 1 攻击的一些基本知识 攻击的位置 远程攻击 本地攻击，局域网内 伪远程攻击 10.1 攻击概述 攻击的层次 简单拒绝服务； 本地用户获得非授权读访问； 本地用户获得非授权写访问； 远程用户获得非授权账号； 远程用户获得特权文件的读权限； 远程用户获得特权文件的写权限； 远程用户拥有根权限； 10.1 攻击概述 攻击的目的 执行进程 获得文件，传送数据 获得特权 对系统非法访问 拒绝服务 破坏信息 政治意图 经济利益 10.1 攻击概述 攻击的人员 黑客，破坏者 间谍 恐怖主义者 公司雇员 计算机犯罪 内部人员 10.1 攻击概述 攻击的工具 用户命令 程序，脚本 自治主体 工具箱 分布式工具 电磁泄漏 10.1 攻击概述 攻击的时间：大部分的攻击(或至少是商业攻击时间)一般是服务器所在地的深夜。 客观原因：白天大多数入侵者要工作或学习，以至没空进行攻击。 速度原因：夜间网络负载轻，传输速度快。 必威体育官网网址原因：白天系统管理员可急时发现异常行为，他们会反向跟踪。 10.1 攻击概述 2 系统的漏洞 系统漏洞是系统的安全弱点，据此进行系统攻击。 系统漏洞普遍存在，包括软件漏洞和硬件漏洞。 攻击者寻找系统的安全弱点，即系统的漏洞。 系统复杂性、设计缺陷等是导致系统漏洞的原因。 还有系统设计者故意设置的系统漏洞。 10.1 攻击概述 系统漏洞与时间相关： 系统发布—漏洞暴露—发布补丁—新漏洞出现(动态性) 安全漏洞与系统攻击关系： 漏洞暴露—(可能的攻击)—发布补丁 漏洞种类繁多 10.1 攻击概述 漏洞种类 1.管理漏洞，如两台服务器用同一个用户/密码，则入侵了A服务器后，B服务器也不能幸免。 2.软件漏洞，很多程序只要接收到一些异常或者超长的数据和参数，就会导致缓冲区溢出。 3.结构漏洞，在某个重要网段由于交换机、集线器设置不合理，造成黑客可以监听网络通信流的数据。 4.信任漏洞，本系统过分信任某个外来合作伙伴的机器，一旦合作伙伴的机器被黑客入侵，则本系统的安全受严重威胁。 10.1 攻击概述 常见的漏洞 缓冲区溢出 意外的联合使用问题 不对输入内容进行预期检查 文件操作的顺序及锁定等问题 10.1 攻击概述 系统配置不当 默认设置不足 管理员疏忽 临时端口 信任关系 10.1 攻击概述 2003年最主要的安全漏洞： IIS服务 MDAC远程数据服务 SQL Server NETBIOS 匿名登录 LAN Manager Authentication 10.1 攻击概述 2003年最主要的安全漏洞： 一般的Windows认证，无口令，弱口令。 IE浏览器 Remote Registry Access Windows Scripting Host 10.1 攻击概述 了解二十个最危险的安全漏洞 更新时间：2006-6-15 大多数成功的蠕虫和其它网络攻击所依靠的都是少数几种通用操作系统中存在的安全漏洞。 这些攻击者都是机会主义者。 它们利用最简单、最便捷的路线，并且使用最有效且使用广泛的工具来寻找和利用众所周知的漏洞和弱点。 10.1 攻击概述 如果企业没有及时修补漏洞，这些攻击者就会乘机而入，而且它们扫瞄Internet上任何有漏洞的系统发起攻击。 10.1 攻击概述 10.1 攻击概述 3 远程攻击的步骤 寻找目标主机收集目标信息 进行测试 各种相关工具准备 攻击侧略的确定 数据分析 实施攻击 10.1 攻击概述 锁定目标 IP地址分析 DNS协议分析 SNMP协议分析 ICMP协议分析 Ping traceRoute 10.1 攻击概述 服务分析 WEB,FTP,TELNET…… 端口扫描，端口分析。 系统分析：TELNET 获取账号信息 FINGER 利用E-mail 利用目录服务 尝试习惯性常用账号，admin等 10.1 攻击概述 获得管理员信息 Host命令 WHOIS命令 10.1 攻击概述 实施攻击 销毁攻击入侵的轨迹 在目标系统中安装探测器软件，如木马。 进一步发现受损系统的网络信任等级 获得访问授权，读取更多的信息。 10.2 缓冲溢出攻击 1 缓冲溢出的概念 缓冲区溢出(堆栈溢出)攻击是最常用的黑客技术之一。 Buffer overflow attack 缓冲区溢出攻击 缓冲区溢出漏洞大量存在于各种软件中 利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严重后果。 最早的攻击1988年UNIX下的Morris worm 10.2 缓冲溢出攻击 1 缓冲溢出