常用网络安全技术 知识.ppt

政府站点 很多站点甚至都没有发现自己已经被攻击 一例利用FORNTPAGE的攻击事件 利用同样的手段远程进入调试页面状态 修改后的结果 入侵过程描述 入侵主机情况描述： 该主机位于国家xx局的x层计算机办公室，在11月中曾经连续发生数据库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家xx局网络安全管理部门报告，我公司在接到国家xx局的报告后，立即赶到现场取证分析。 操作系统和补丁情况： WIN2000个人版操作系统 SP2的补丁包 主要服务用途： 做为国家xx局计算中心内部网站使用，负责发布计算中心内部信息。网站运行IIS5，后台数据库采用ACCESS。 入侵后的行为表现： 主页页面新闻栏目内容被删除，后台数据库内容被人非法删改。 分析审计WEB服务器访问日志 08:40:59 1071198 GET /mynewsmdb 200 该记录表明1071198在早上8点40分的时候非法下载了mynewsmdb数据库，服务器返回200正确请求值，表示请求成功该数据库已经被非法下载。 08:42:14 1071198 GET /loginasp 200 随后该攻击者直接访问网站的在线管理系统。 漏洞扫描概述 　　漏洞源自“vulnerability”（脆弱性）。一般认为，漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。 　　标准化组织CVE（Common Vulnerabilities and Exposures, 即“公共漏洞与暴露”）致力于所有安全漏洞及安全问题的命名标准化，安全产品对漏洞的描述与调用一般都与CVE兼容。 1 漏洞的概念 信息安全的 “木桶理论” 　　对一个信息系统来说，它的安全性不在于它是否采用了必威体育精装版的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。 漏洞扫描概述 2 漏洞的发现 　　一个漏洞并不是自己突然出现的，必须有人发现它。这个工作主要是由以下三个组织之一来完成的：黑客、破译者、安全服务商组织。 　　每当有新的漏洞出现，黑客和安全服务商组织的成员通常会警告安全组织机构；破译者也许不会警告任何官方组织，只是在组织内部发布消息。根据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。 　　通常收集安全信息的途径包括：新闻组、邮件列表、Web站点、FTP文档。 　　网络管理者的部分工作就是关心信息安全相关新闻，了解信息安全的动态。管理者需要制定一个收集、分析以及抽取信息的策略，以便获取有用的信息。 漏洞扫描概述 3 漏洞对系统的威胁 　　漏洞对系统的威胁体现在恶意攻击行为对系统的威胁，因为只有利用硬件、软件和策略上最薄弱的环节，恶意攻击者才可以得手。 　　目前，因特网上已有3万多个黑客站点，而且黑客技术不断创新，基本的攻击手法已多达800多种。 　　目前我国95％的与因特网相连的网络管理中心都遭到过境内外攻击者的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。国内乃至全世界的网络安全形势非常不容乐观。漏洞可能影响一个单位或公司的生存问题。 漏洞扫描概述 4 漏洞扫描的必要性 帮助网管人员了解网络安全状况 对资产进行风险评估的依据 安全配置的第一步 向领导上报数据依据 82 系统脆弱性分析 　　信息系统存在着许多漏洞，如IIS的安全性、CGI的安全性、DNS与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门。由于网络的飞速发展，越来越多的漏洞也必将随之出现。 821 IIS安全问题 Windows的IIS服务器存在着很多漏洞，如拒绝服务、泄露信息、泄露源代码、获得更多权限、目录遍历、执行任意命令、缓冲区溢出执行任意代码等。 系统脆弱性分析 缓冲区溢出 Buffer overflow attack 缓冲区溢出攻击 缓冲区溢出漏洞大量存在于各种软件中 利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严重后果。 最早的攻击1988年UNIX下的Morris worm 最近的攻击 Codered 利用IIS漏洞 SQL Server Worm 利用SQL Server漏洞 Blaster 利用RPC漏洞 Sasser利用LSASS漏洞 系统脆弱性分析 向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，破坏程序的堆栈，使程序转而执行其他的指令，达到攻击的目的。 原因：程序中缺少错误检测: void func(char *str) { char buf[16]; strcpy(buf,str); } 如果str的内容多于16个非0字符，就会造成buf的溢出，使程序出错。 系统脆弱性分析