信息安全概论网络的攻击与防范.ppt

信息安全概论,-网络的攻击与防范,网络攻击,黑客与网络攻击黑客（hacker）指专门研究、发现计算机系统和网络漏洞的计算机爱好者。如果做破坏性的行为一般称为骇客（cracker）。理论上系统都有漏洞，存在攻击的可能。网络攻击就是通过系统在网络上的漏洞，进行攻击的行为。,网络攻击技术的发展,攻击手段快速改变。安全漏洞利用的速度越来越快。有组织的攻击越来越多。攻击的目的与目标在改变。攻击行为越来越隐蔽。攻击者的数量不断增加，破坏效果越来越大。,网络攻击过程,隐藏攻击身份信息收集弱点分析获取目标使用权限隐藏攻击行为干活开辟后门清除痕迹,网络攻击技术分析,获取权限与提权缓冲区溢出拒绝服务攻击,获取权限与提权,通过网络监听获取权限网络账号与口令的破解强制口令破解猜测简单口令字典攻击暴力猜解获取口令文件网络欺骗社会工程网络钓鱼,缓冲区溢出的技术原理,Void function(char*str)char buffer16;strcpy(buffer,str);Void main()char large_string256;int I;for(i=0;i=255;i+)large_stringi=A;function(large_string);,拒绝服务攻击（DoS）技术原理,攻击者过多的占用系统资源直道系统繁忙、超载而无法处理正常的工作，甚至导致被攻击者主机崩溃。拒绝服务的攻击降低了资源的可用性，这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器，甚至是系统管理员的时间，攻击的结果是减少或失去服务。分布式拒绝服务攻击。,网络防范的策略,物理安全策略1、防盗；2、防火；3、防静电；4、防雷击；5、防电磁泄漏。访问控制策略口令、文件许可信息安全策略加密网络安全管理策略人事管理,网络防范的方法,实体层次防范对策能量层次防范对策信息层次防范对策管理层次防御对策,网络防范的原理,积极防范对正常的网络行为建立模型，把所有通过安全设备的网络数据拿来和保存在模型内的正常模式匹配，如果不在正常范围内，就认为是攻击行为，对其作出处理。模型建立比较困难。消极防范对已经发现的攻击方式、经过专家分析后给出其特征进而来构建攻击特征集，然后在网络数据中寻找与之匹配的行为，从而达到发现和阻挡的作用。不能对未被发现的攻击方式作出反应。,网络安全模型,P2DR以策略（Policy）为核心。防护（Protection）。检测（Detection）。响应（Response）。,网络安全模型,APPDRR风险分析(Analysis)制定安全策略(Policy)系统防护(Protection)实时监测(Detection)实时响应(Response)灾难恢复(Renew),网络安全的攻防体系,常用攻击手段,口令破解木马冰河介绍防范木马Sniffer,口令“入侵者”,什么是口令“入侵者”口令入侵者是指任何可以解开口令或屏蔽口令保护的程序。一个口令入侵者并不一定能够解开任何口令，事实上，多数破解程序都做不到。但是，可以使用仿真工具，利用与原口令程序相同的方法，通过对比分析，用不同的加密口令去匹配原口令。许多所谓的口令“入侵者”都使用“蛮力”。,口令“入侵者”,Windows 9x口令：口令文件存储在c:windows下，如果用户名为test，则口令文件是test.pwl，该文件存储着加密后的口令。Unix系统：口令存放于/etc/passwd或/etc/shadow中,特洛伊木马(Trojans),特洛伊木马是指黑客用来远程控制目标计算机的特殊程序。凡是非法驻留在目标计算机里，并执行预定的操作，窃取目标的私有信息，都属于特洛伊木马。工作方式：多数为C/S模式，服务器端安装在目标机里，监听等待攻击者发出的指令；客户端是用来控制目标机器的部分，放在攻击者机器上。木马“Passwd Sender”(口令邮差)可以不需要客户端。,木马的伪装,冒充图象文件或游戏程序捆绑程序欺骗 将木马程序与正常文件捆绑为一个程序伪装成应用程序扩展组件 木马名字为dll或ocx类型文件，挂在一个有名的软件中。后两种方式的欺骗性更大。,木马的特点,隐蔽性强：木马有很强的隐蔽性,在Windows中,如果某个程序出现异常,用正常的手段不能退出的时候,采取的办法是按“CtrlAltDel”键,跳出一个窗口,找到需要终止的程序,然后关闭它。早期的木马会在按“CtrlAltDel”显露出来,现在大多数木马已经看不到了。所以只能采用内存工具来看内存中是否存在木马。功能特殊：,潜伏能力强：表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来。Glacier(冰河)有两个服务器程序，挂在注册表的启动组中的是C:WindowsSystemKernel32.exe,当电脑启动时装入内存,这是表面上的木马;另一个是:Windows SystemSysexplr.exe,也在注册表中,它修改了文本文件的关联,当点击文本文件的时候,它就启动了,它会检查Kernel32.exe是不是存在。当Kernel32.exe被删除以后,如果点击了文本文件,那么这个文本文件照样运行,而Sysexplr.exe被启动了。Sysexplr.exe会再生成一个Kernel32.exe。,木马的分类:远程访问型、密码发送型、键盘记录型、毁坏型（删除文件）、FTP型（打开目标机21端口，上传、下载）木马发展趋势:与病毒结合，使之具有更强感染特性、跨平台型；,特洛伊木马启动方式,自动启动：木马一般会存在三个地方:注册表、win.ini、system.ini，因为电脑启动的时候，需要装载这三个文件。在autoexec.bat、config.sys、启动组中易被发现。捆绑方式启动：木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,它可以捆绑到启动程序或一般常用程序上。捆绑方式是一种手动的安装方式。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。修改文件关联。如用木马取代notepad.exe来打开txt文件。,木马服务器存放位置及文件名,木马的服务器程序文件一般位置是在c:windows和c:windowssystem中,因为windows的一些系统文件在这两个位置。木马的文件名总是尽量和windows的系统文件接近。,冰河的客户端界面,五、特洛伊木马,文件管理器:有关文件的操作命令控制台:向目标计算机发送命令。,冰河的主要功能,五、特洛伊木马,冰河是国产的远程监控软件，可以运行在Windows环境下。1自动跟踪目标机屏幕变化，同时可完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)；2记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了击键记录功能；,五、特洛伊木马,3获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；,冰河的主要功能,冰河的主要功能,五、特洛伊木马,6注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7发送信息：以四种常用图标向被控端发送简短信息；8点对点通讯：以聊天室形式同被控端进行在线交谈。,冰河的主要组成文件,五、特洛伊木马,冰河2.2正式版共有4个文件，它们是：G-client.exe冰河客户端程序G-server.exe服务器端程序Readme.txt自述文件Operate.ini配置文件,冰河的主要功能:连接服务器,五、特洛伊木马,首先是连接目标服务器，从菜单中选择文件添加主机。填写内容：a)显示名称：显示在程序中的名称，只用于方便记忆。b)主机地址：填入IP地址或域名。c)访问口令：配置服务器程序时输入的口令。d)监听端口：配置服务器程序是确定的端口号,如何对付木马,1.使用杀毒软件。2.提高防范意识,不打开陌生人信中的附件，不随意下载软件。3.仔细阅读readme.txt。许多人出于研究目的下载了一些特洛伊木马程序的软件包,往往错误地执行了服务器端程序4.在删除木马之前,重要的一项工作是备份,需要备份注册表,备份你认为是木马的文件。,如何对付木马,1）端口扫描2）查看连接：netstat a 命令上述两种方法对驱动程序/动态链接木马无效。3）检查注册表4）查找木马文件：如kernel32.exe,sysexplr.exe等5）文件完整性检查：开始程序附件系统工具系统信息工具系统文件检查器。如有损坏可从安装盘还原。,嗅探器Sniffer,六、网络监听,网络监听工具（也称嗅探器Sniffer）是供管理员监视网络的状态、数据流动情况以及网络上传输的信息。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。Sniffer可以是硬件或软件，用来接收在网络上传输的信息（硬件Sniffer通常称为协议分析仪）。网络可以是运行在各种协议之下的（可以是其中几种协议的联合）。放置Sniffer的目的是使网络接口（比如以太网适配器）处于广播状态（或叫混杂模式promiscuous mode），从而可截获网络上的内容。,