《网络安全与防火墙培训.ppt》由会员分享,可在线阅读,更多相关《网络安全与防火墙培训.ppt(52页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、 四四 基本攻击基本攻击学习目标描述典型的网络攻击类型描述典型的网络攻击类型识别常见的攻击事件识别常见的攻击事件问题知道那些攻击知道那些攻击受到那些攻击受到那些攻击攻击如何解决攻击如何解决攻击行为的动机攻击行为的动机金钱金钱爱好兴趣爱好兴趣无知好奇无知好奇炫耀炫耀暴力破解和字典攻击暴力破解和字典攻击暴力攻击使用字母、数字和字符的随机组合反复进暴力攻击使用字母、数字和字符的随机组合反复进行试探性访问。暴力攻击程序通过简单地猜测用户行试探性访问。暴力攻击程序通过简单地猜测用户名和反复访问服务器来破解一台服务器或数据文件。名和反复访问服务器来破解一台服务器或数据文件。字典穷举法攻击通过查询一个字典穷
2、举法攻击通过查询一个“字典文件字典文件”来尝试来尝试破译口令,此文件包括一个很长的单词列表。容易破译口令,此文件包括一个很长的单词列表。容易破译用户使用标准的单词设置的口令。破译用户使用标准的单词设置的口令。使用强密码可有效地防止暴力破解和字典攻击。使用强密码可有效地防止暴力破解和字典攻击。系统漏洞与后门系统漏洞是程序中无意造成的缺陷,它形成了一个系统漏洞是程序中无意造成的缺陷,它形成了一个不被注意的通道。不被注意的通道。后门是一个在操作系统或程序中无证明文件的通道,后门是一个在操作系统或程序中无证明文件的通道,通常是由软件开发人员故意放置在那里的。通常是由软件开发人员故意放置在那里的。系统默
3、认设置系统默认设置几乎所有的网络后台运行程序在默认设置的情况下几乎所有的网络后台运行程序在默认设置的情况下都泄漏很多的信息。都泄漏很多的信息。采取措施保护下列信息:采取措施保护下列信息:DNSDNS服务器的内容服务器的内容路由表路由表用户和帐户名用户和帐户名运行在任何服务器上的标题信息运行在任何服务器上的标题信息拒绝服务和分布式拒绝服务拒绝服务和分布式拒绝服务拒绝服务攻击:是指攻击者通过某种手段,有意地拒绝服务攻击:是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降户提供所需要的服务或者使得
4、服务质量降低低。分布式拒绝服务攻击:处于不同位置的多个攻击者分布式拒绝服务攻击:处于不同位置的多个攻击者同时向一个或者数个目标发起攻击,或者一个或多同时向一个或者数个目标发起攻击,或者一个或多个攻击者控制了位于不同位置的多台机器并利用这个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。务攻击。攻击趋势DOSDDOSamplification networkAttackerMasters MiFrom:Xi(spoofe
5、d)To:Victim Vattack packetFrom:Xi(spoofed)To:Agent Aicontrol packetFrom:Xi(spoofed)To:Master Micontrol packetVictim VAgents Ai控制控制拒绝服务攻击方式SYN FloodUDP FloodUDP DNS Query FloodICMP FloodHTTP Get FloodConnection Flood防护手段缓解DDoS攻击路由器优化路由器优化系统加固(系统加固(IIS、Apache)SYN Cookie技术技术退让策略,负载均衡、退让策略,负载均衡、Cache借助安
6、全设备借助安全设备流量牵引流量牵引流量牵引区域区域1:WEB区域区域2:DNS区域区域3:E-Commerce 应用用 InternetLegitimate Traffic正正常常流流量量攻攻击目目标1.检测非正常流量非正常流量2.启启动保保护 (自自动/手手动)RemoteHealthInjection(RHI)3.将流量转移到将流量转移到Guard模块模块5.将正常流量重新注入将正常流量重新注入6.到其他区域的流到其他区域的流量没有受到影响量没有受到影响BGP PeerO 192.168.3.0/24 110/2 via 100.0.0.3,2d11h,GigabitEthernet2B
7、192.168.3.128/32 20/0 via 20.0.0.2,00:00:01 192.168.3.128=zone,10.0.0.2=Guard Module,20.0.0.2=MSFCBGP announce 4.攻攻击缓解解(清清洁)缓冲区溢出缓冲区中被放入了太多的信息,就会发生缓存溢出,缓冲区中被放入了太多的信息,就会发生缓存溢出,这可能会引起这可能会引起“shell”shell”(也就是一段内存空间)(也就是一段内存空间)被留下。黑客非常关注这个被留下。黑客非常关注这个shellshell,因为它常常接,因为它常常接收了那些黑客想要使用的命令。收了那些黑客想要使用的命令。原理
8、内部攻击为获得未授权的访问权,与外部边缘攻击相同的方为获得未授权的访问权,与外部边缘攻击相同的方法也可以在内部攻击中使用,有些时候更容易法也可以在内部攻击中使用,有些时候更容易 。窃听应用程序间的消息、损害现有控制机制以及物窃听应用程序间的消息、损害现有控制机制以及物理攻击是内部攻击的常见方式。理攻击是内部攻击的常见方式。社会工程和非直接攻击社会工程和非直接攻击社会工程学(社会工程学(Social Engineering),一种通过对),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得等心理陷阱进行诸
9、如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的自身利益的手法,近年来已成迅速上升甚至滥用的趋势。趋势。打电话询问密码打电话询问密码伪造伪造E-mailE-mail病毒,病毒,BUGBUG和服务缺陷和服务缺陷钓鱼攻击钓鱼攻击常见的攻击技术常见的攻击技术 发送电子邮件,以虚假信息引诱用户中圈套发送电子邮件,以虚假信息引诱用户中圈套建立假冒网上银行、网上证券网站,骗取用户帐号密码实建立假冒网上银行、网上证券网站,骗取用户帐号密码实施盗窃施盗窃利用虚假的电子商务进行诈骗利用虚假的电子商务进行诈骗利用木马和黑客技术等手段窃取用户信息后实施盗窃活动利用木马和黑客技术等手段窃取用户
10、信息后实施盗窃活动利用用户弱口令等漏洞破解、猜测用户帐号和密码利用用户弱口令等漏洞破解、猜测用户帐号和密码复制图片和网页设计、相似的域名复制图片和网页设计、相似的域名URL地址隐藏黑客工具地址隐藏黑客工具通过弹出窗口和隐藏提示通过弹出窗口和隐藏提示利用社会工程学利用社会工程学利用利用IP地址的形式显示欺骗用户点击地址的形式显示欺骗用户点击间谍软件间谍软件(英文名称为间谍软件(英文名称为“spyware”spyware”)是一种来自)是一种来自互联网的,能够在用户不知情的情况下偷偷进行非互联网的,能够在用户不知情的情况下偷偷进行非法安装(安装后很难找到其踪影),并悄悄把截获法安装(安装后很难找到
11、其踪影),并悄悄把截获的一些机密信息发送给第三者的软件。的一些机密信息发送给第三者的软件。间谍软件类型间谍软件类型 :广告型间谍软件广告型间谍软件 监视型间谍软件监视型间谍软件 小结安全攻击的类型安全攻击的类型常见的攻击常见的攻击 五五 其他攻击其他攻击学习目标掌握常见高级攻击的原理掌握常见高级攻击的原理熟悉常见高级攻击的防范措施熟悉常见高级攻击的防范措施了解病毒,木马,间谍软件各自的特点了解病毒,木马,间谍软件各自的特点掌握针对网站的常用攻击方法及防范措施掌握针对网站的常用攻击方法及防范措施欺骗和中间人攻击网络欺骗主要方式有网络欺骗主要方式有:IP欺骗、欺骗、ARP欺骗、欺骗、DNS欺欺骗、
12、骗、Web欺骗、电子邮件欺骗、源路由欺骗等。欺骗、电子邮件欺骗、源路由欺骗等。中间人攻击是通过各种技术手段将受入侵者控制的中间人攻击是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算一台计算机虚拟放置在网络连接中的两台通信计算机之间,实质上两台主机是通过中间这台主机来交机之间,实质上两台主机是通过中间这台主机来交换信息的,这台计算机就称为换信息的,这台计算机就称为“中间人中间人”,而两端,而两端主机却毫无察觉。主机却毫无察觉。IP欺骗IP欺骗是指攻击者伪造别人的欺骗是指攻击者伪造别人的IP地址,让一台计算地址,让一台计算机假冒另一台计算机机假冒另一台计算机ARP欺骗
13、IP aMAC AIP bMAC BIP cMAC CC is sending faked gratuitous ARP reply to AC sees traffic from IP a to IP bC-A,ARP,b=CC-A,ARP,b=CA-C,IP,a-bA-C,IP,a-bC-B,IP,a-bC-B,IP,a-bARP防范怎样防范怎样防范:(1)在客户端使用)在客户端使用arp命令绑定网关的真实命令绑定网关的真实MAC地址命令如下:地址命令如下:arp (先清除错误的先清除错误的ARP表表)arp 192.168.1.1 03-03-03-03-03-03(静态(静态指定网关的
14、指定网关的MAC地址)地址)(2)在交换机上做端口与)在交换机上做端口与MAC地址的静态绑定。地址的静态绑定。(3)在路由器上做)在路由器上做IP地址与地址与MAC地址的静态绑定。地址的静态绑定。(4)使用)使用“ARP SERVER”按一定的时间间隔广播按一定的时间间隔广播网段内所有主机的正确网段内所有主机的正确IP-MAC映射表。映射表。(5)提高用户的安全意识,养成良好的安全习惯,)提高用户的安全意识,养成良好的安全习惯,包括:及时安装系统补丁程序;为系统设置强壮的包括:及时安装系统补丁程序;为系统设置强壮的密码;安装防火墙;安装有效的杀毒软件并及时升密码;安装防火墙;安装有效的杀毒软件
15、并及时升级病毒库;不主动进行网络攻击,不随便运行不受级病毒库;不主动进行网络攻击,不随便运行不受信任的软件。信任的软件。DNS欺骗源路由欺骗为了防范源路由欺骗攻击,一般采用下面两种措施:对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。在路由器上关闭源路由。用命令no ip source-route。防范方法SQL注入 SQL 注入:凡是网页脚本与数据库交互的地方,程序中没有对参数有限的过虑危险字符,就有可能发现SQL注入.如果连接数据库在账号权限过高,就有可能会发现更严重的问题.对于SQL Server数据库的存储过程来说,我们可以利用它来完成一些特定的
16、功能如列目录、执行系统命令等操作.对于MYSQL数据库我们还可以利用数据库的一些功能查看文件,写入文件等操作.这些操作对服务器对WEB系统和数据库都有很大的危害。ASP程序 SQL Injection下面我们看一个常规的下面我们看一个常规的ASP语句语句%if request(news_id)thennews_id=request(news_id)set nrs=Server.CreateObject(Adodb.Recordset)sql=SELECT*From news where news_id=&news_idnrs.open sql,conn,1,3news_hits=nrs(new
17、s_hits)nrs(news_hits)=news_hits+1nrs.updatenrs.close%上面的参数上面的参数“news_id”只过滤是否为空就直接放入了只过滤是否为空就直接放入了SQL语名。这语名。这就形成的就形成的SQL注入注入.我们测试一下我们测试一下SQL注入是怎么发现的。注入是怎么发现的。我们按我们按 的顺序一一打开网页。我们发现的顺序一一打开网页。我们发现是正常的网页是正常的网页是正常的网页是正常的网页是不正常的网页。是不正常的网页。这样这样and 1=1正常,正常,and 1=2 出错这样就形成了出错这样就形成了SQL 注入。因为我注入。因为我们的们的and 1=
18、1,and 1=2已经参于到了已经参于到了SQL语句了。语句了。攻击防范 WEB应用防火墙PING SWEEPPing 扫射(扫射(Ping Sweep),也叫做),也叫做 ICMP 扫射,扫射,是一个发送是一个发送ICMP回音请求(回音请求(“pings”)给一个)给一个 IP 地址范围的攻击,目的在于寻找能够被探查到攻击地址范围的攻击,目的在于寻找能够被探查到攻击主机的。主机的。HTTP GET FLOOD不断请求网站的不断请求网站的URL资源资源攻击原理防范对是否对是否HTTP Get的判断,要统计到达每个服务器的判断,要统计到达每个服务器的每秒钟的的每秒钟的GET 请求数,如果远远超过
19、正常值,请求数,如果远远超过正常值,就要对就要对HTTP协议解码,找出协议解码,找出HTTP Get及其参数及其参数(例如(例如URL等)。等)。然后判断某个然后判断某个GET 请求是来自代理服务器还是恶请求是来自代理服务器还是恶意请求。并回应一个带意请求。并回应一个带key的响应要求请求发起端的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求,这样用工具发起的请求,这样HTTP Get请求就无法到请求就无法到达服务器,达到防护的效果达服务器,达到防护的效果WEB应用防火墙应用防火墙对攻击进行响应和阻断完整的安全策略完整的安全策略不要采用单独的系统和技术不要采用单独的系统和技术部署公司范围的强制策略部署公司范围的强制策略提供培训提供培训考虑物理安全考虑物理安全根据需要购置设备根据需要购置设备小结了解攻击的原理了解攻击的原理了解攻击的防范方法了解攻击的防范方法对攻击的响应和阻断对攻击的响应和阻断 谢谢谢谢
限制150内