CISP-21-黑客攻防演示

黑客攻防演示中美黑客大战•起因:2001年4月1日,中美飞机相撞,中国浙江省湖洲籍飞行员王伟壮烈牺牲美国一家著名的网络安全公司宣布了一项调查数据，称自从撞机事件发生以来，两国网站上的黑客攻击事件每天都要发生40—50起，而在这之前，这个数字仅为1—2起。中美黑客交锋大事记(4月27日--5月5日)4月27日•担心中国黑客发动五一大攻击美国军方高度戒备•据一位国防部官员称，为防范黑客攻击，美国太平洋司令部已将其信息系统面临威胁状况的等级由一般提升至A级，这样有关人员会随时对网站的运营情况进行密切关注。同时，美国军方到5月2日左右还可能将上述威胁等级由A级提升至B甚至C级，一旦提升到B级，那么用户登陆所有军方网站时就会受到限制，而C级则意味着军方网络系统不会保持时刻在线。威胁等级最高一级为D级，届时整个军方系统将全部关闭。4月28日•美政府“防备中国黑客攻击”文件全文•美国联邦调查局下属的国家基础设施保护中心(NIPC)在美国当地时间26日(北京时间27日)就“中美黑客大战”发布文件。4月29日•美国劳工部及卫生部网站遭到中国黑客攻击•就在美国联邦调查局(FBI)刚刚警告称中国黑客有可能对美国网站发动进攻之后，几个由美国政府机构运营的网站就于当地时间4月28日遭到了攻击。4月30日•近日，“中国红客联盟”主页上张贴了通知，其主持人Lion召集“联盟”全体成员4月30日晚7:00召开“攻击美国网络动员大会”，讨论五一期间攻击美国网站的计划。•中国红客联盟将在今晚9:00打响“反击战”5月1日•中美黑客大战再升级美白宫官方网站遭攻击•安全专家表示，美中黑客之间的网络大战在当地时间4月30日愈加升级，其中美国白宫的官方网站遭到电子邮件“炸弹”的攻击，同时若干个美国和中国网站页面均被改得面目全非。美国能源部在新墨西哥州的一家下属网站在2001年4月30日凌晨(北京时间4月30日下午)被人用几条反美标语涂改，其它几家政府网站，包括美国劳工部的网站也遭到了类似袭击。黑客们在美国能源部的网站上留下了“伟大的中华民族万岁！”、“美国必须对撞机事件负完全责任”、“抗议美国向台湾出售武器，破坏世界和平！”等标语。5月2日•中美黑客大战升级两天之内700多家网站被黑•经过一天一夜的攻击，在记者昨晚10时发稿前，在中国红客联盟公布被黑美国站点的网站上，被“攻陷”的美国站点已达92个，而来自网友信息，被黑的中国站点则已超过600个(包括台湾地区的网站)。据分析，由于一些红客没能将所黑的网站及时报上，因此中美被黑站点比例大约在1：3左右。5月3日•只改页面未破坏DoS中国黑客手下留情•据美国网络安全专家称，中国黑客在广泛扩充攻击队伍，并在网上提供一种叫“杀死美国”的黑客工具，但他们只是在教人们如何涂改页面，并没有对网站的DOS(denialofservice)进行破坏。•中国黑客：美国黑客不罢手我们反击会升级•美国黑客对中国网站展开攻击，引起广东黑客参与“五一大反击”，对于此次攻击，有黑客表示，目的不仅仅是反击，更多地想暴露目前中国网站存在的严重安全问题，引起各方高度关注。5月4日•中国黑客对美展开反攻数千家美国网站被黑•在这俩天的攻击中，受损的主要是商业网站即以”.com“作后缀的网站。政府”.gov”和机构”.org”相对较少，教育部门”.edu”并未触及。•“中国红客”自发反击今天发动“大冲锋”5月5日•“白宫网站再遭黑客袭击被迫关闭两个多小时•白宫网站的新闻负责人吉米说：“大量数据的同时涌入，堵塞了白宫与其互联网服务提供商(ISP)的连接通道。”白宫网站同时接到了大量要求服务的请求，以至于合法用户无法登录该网站。•八万中国红客发起总攻美国考虑提升戒备状态美国白宫美国技术政策研究中心打造安全的IIS服务器一.什么是安全？二.IIS安全配置•1.合理配置IIS日志。•2.巧妙配置ACL（访问控制列表）。•3.开启TCP/IP筛选。•4.发挥2003Server自带防火墙的力量。•5.删除不必要的IIS映射。•6.采用SSL。三.模拟演练：黑客与网管的较量黑客：我要入侵你的服务器！端口扫描-下载数据库-获得Shell-控制服务器网管：我要维护IIS服务器的安全！防范扫描-防范下载-扼杀Shell-掌握控制权一.什么是安全？•不存在绝对安全的计算机理论上不存在绝对安全的计算机。因为计算机由硬件和软件组成，而硬件由人制成，软件由人编写，不可能完美，总会出现纰漏，而任何纰漏都可能被心怀不轨者利用。现实中存在相对安全的计算机。决定计算机是否安全是看管理者如何去让它安全：避开不安全硬件因素；进行常规安全设置；了解黑客技术并有针对性的加以防范。•最少的服务=最大的安全计算机在提供正常服务的前提下，尽可能不开放其他无用的服务，让可能出现安全问题的隐患减少，提高计算机整体安全性。•安全界的木桶理论木桶理论：一个由许多块长短不同的木板箍成的木桶，决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值，而是取决于其中最短的那块木板。要想提高木桶整体效应，不是增加最长的那块木板的长度，而是要下功夫补齐最短的那块木板的长度。决定计算机整体安全性的，不是最安全的设置或者服务，而是最容易出问题的设置或者服务。二.IIS安全配置1.合理配置IIS日志。1）开启并配置IIS日志IIS管理器-网站-目标站点-属性-启用日志记录-W3C扩展日志文件格式-属性：常规选项：更改日志文件目录到特定地址，不使用默认地址。方便多网站服务器的管理，也能在一定程度上迷惑黑客。高级选项：通常情况下，专业服务器为提高日志记录效率和必要的时候追查访问者信息，记录如下信息：日期、时间、客户IP、用户名、服务名、服务器IP、端口、方法（Get/Post）、协议状态、主机、代理、Cookies。2）分析IIS日志养成每天分析IIS日志，分析访问情况，发现访问异常，抓住隐藏入侵者是每个专业网络工程师、网络管理员的好习惯。3）定期备份IIS日志根据服务器上站点多寡、访问量高低、稳定性等情况，定期备份日志。在必要的时候，备份日志可作为排解疑难杂症的重要资料，也可作为呈堂证供。普通独立服务器备份周期在一星期左右为佳。二.IIS安全配置2.巧妙配置ACL（访问控制列表）。1）什么是ACL？Windows系统中，访问控制列表(AccessControlList，简称ACL)，用来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中，一个ACL是一个存储访问权限与被保护对象相互之间关系的列表。在Cisco路由器配置中，访问控制列表是使用包过滤技术，在路由器上读取第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。2）IIS物理文件夹的ACL配置总则总则：能写入不运行，能运行不写入。以ASP程序为例，允许访问者写入数据的文件夹不允许运行ASP，允许ASP运行的文件夹不允许写入数据。3）具体配置方法IIS文件夹-属性-安全-添加Administrators组账户的完全控制权限-根据实际情况添加IIS访问账户（IUSR_计算机名）的读、写权限。IIS管理器-站点目录-根据具体情况设置各文件夹是否具有运行权限。二.IIS安全配置3.开启TCP/IP筛选1）TCP/IP筛选的作用控制入站访问的最简单高效的方法之一就是使用“TCP/IP筛选”功能，TCP/IP筛选在内核模式下工作，可以对TCP/IP入站访问控制方案进行分层，简单而高效。2）配置TCP/IP筛选IIS服务器只需要TCP80端口通讯，不需要其他TCP或UDP端口，所以封锁所有无用端口：网卡属性-Internet协议（TCP/IP）-属性-高级-选项-TCP/IP筛选-属性-启用TCP/IP筛选-只开放TCP80端口-开放UDP端口1(不可占用端口)二.IIS安全配置4.发挥2003Server自带防火墙的力量。1）2003Server自带防火墙介绍2003自带防火墙是2003Server一个非常实用的功能，不管对个人用户还是企业用户都非常适用，完美的实现了简单、便捷与强大功能的结合。对IIS服务器来说，2003Server自带防火墙可以非常方便地实现端口过滤（抵抗攻击）、禁止非法程序访问网络（扼杀后门）、记录非法访问信息（查询黑客信息）等功能。2）配置2003Server自带防火墙控制面板-Windows防火墙-常规-启用防火墙（允许例外）-例外选项卡-删除全部第三方程序-添加端口80二.IIS安全配置5.删除不必要的IIS映射。IIS映射是用应用程序来解析访问者的请求，返回给访问者正常信息。一般情况下，2003Server包含了asa、asp、cer、cdx、idc、shtm、shtml、stm等应用程序扩展，但在实际使用中，并不需要全部映射。不删除不使用的映射会造成IIS后门畅通无阻，造成服务器程序紊乱。以ASP程序为例，正确的配置方法是：IIS管理器-网站-目标站点-属性-主目录-配置-映射-删除除ASP以外的所有映射6.采用SSLSSL是安全套接层(SecureSocketsLayer)的缩写，主要提供三方面的服务：认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上；加密数据以隐藏被传送的数据；维护数据的完整性,确保数据在传输过程中不被改变。SSL应用在IIS服务器上会提供非常好的安全保护，但会影响服务器效能，减慢访问者访问速度，所以在一般情况下不考虑使用SSL加强服务器安全性。三.模拟演练：黑客与网管的较量黑客：我要入侵你的服务器！网管：我要维护IIS服务器的安全！端口扫描下载数据库获得Shell控制服务器掌握控制权扼杀Shell防范下载防范扫描三.模拟演练：黑客与网管的较量黑客之端口扫描•端口：计算机与外部通信的途径。本地操作系统给有需求的进程分配的协议标识，即我们常说的端口。每个协议端口由一个正整数标识，如：80（IIS），21（FTP），139（NETBIOS）等。•端口扫描：通过给远程服务器的各个端口发送不同的数据包，并记录目标服务器给予的回答，通过这种方法搜集关于目标主机的各种有用的信息，这就是端口扫描（小提示：端口扫描也是网管必备技能之一，用来检测主机信息）。•查看本地开放端口信息：可使用命令“netstat–ano”查看本地端口开放信息。•端口扫描工具：常见的端口扫描工具有如下几种：X-SCAN：国人自主开发的集端口扫描、漏洞扫描、弱口令扫描于一体的经典扫描器。Retina：国外Eeye公司出品的一款扫描器，可用于漏洞和端口扫描。SSS：ShadowSecurityScanner，俄罗斯著名扫描器，可用于漏洞和端口扫描。NMAP：开源的扫描工具，有*nix和Windows两种版本。三.模拟演练：黑客与网管的较量网管之防范扫描•通过IP筛选开放固定端口。网卡属性-常规-TCP/IP属性-高级-选项-TCP/IP筛选-属性-启用TCP/IP筛选-添加TCP/UDP端口•通过系统自带防火墙禁止非法端口访问。控制面版-Windows防火墙-启用-允许例外-例外-添加端口-80三.模拟演练：黑客与网管的较量黑客之下载数据库•数据库地址扫描：手工探测：黑客利用经验探索服务器是否存在可下载的数据库。工具探测：利用黑客工具测试服务器是否存在可下载的数据库。•查询数据库内敏感信息Dvbbs7.MDB-Dv_Log-l_content-得到账户和密码三.模拟演练：黑客与网管的较量网管之防范下载•修改MDB后缀.将原本Access数据库的MDB后缀修改成ASP或者ASA后缀，能有效防止黑客下载并破解该数据库，对IIS服务器的安全有很好的强化作用。•修改数据库连接文件Conn.asp同时修改数据库连接文件让脚本系统正常运行。•设置数据库密码：MicrosoftAccess-打开-目标数据库-以独占方式打开-工具-