黑客攻防案例分析与现代网络安全技术

黑客攻防案例分析与现代网络安全技术主讲：柯宗贵广东天海威数码技术有限公司内容黑客攻防案例分析当前黑客与网络安全事件的特点大规模网络安全事件回顾网络安全事件攻防案例分析现代网络安全技术内网保密技术全网防御技术黑客侦查与追踪技术蜜罐（攻击陷阱）技术DDoS防御技术当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击复合趋势攻击往往通过一级或者多级跳板进行大规模事件出现日益频繁传播速度越来越快对pc的攻击比率越来越高攻击事件的破坏程度在增加当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便具有安全知识和专业的人员的数量在增加复合趋势黑客、病毒和垃圾邮件技术整合在一个蠕虫当中黑客组合攻击开始出现攻击往往通过一级或者多级跳板进行黑客技术水平在增强有组织、有计划犯罪事件再增加，防止追查当前黑客与网络安全事件的特点大规模事件出现日益频繁大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码F变种等）大量垃圾邮件的出现传播速度越来越快利用系统漏洞，进行自动扫描由于浏览网页或查看E-Mail而受到感染或攻击DDoS攻击当前黑客与网络安全事件的特点对pc的攻击比率越来越高网上游戏、网上银行和电子商务的增加针对pc设计的黑客工具和木马补丁与升级不够及时缺乏安全防范意识攻击事件的破坏程度在增加大规模网络安全事件回顾SQLSLAMMER蠕虫2003年1月25日爆发，我国境内受感染两万多台口令蠕虫事件2003年3月8日出现，部分大学网络瘫痪红色代码F变种2003年3月11日发作，在我国网络中扩撒超过12万次大规模网络安全事件回顾冲击波蠕虫事件2003年8月11日发现，至12月31日，150万台以上中招MYDOOM事件1月27日出现，先后出现了多种变种，SCO网站受堵，163等邮件服务器出现问题。国内10%的电脑受感染“震荡波”事件5月1日出现，至今仍有新变种出现，受“冲击波”的影响，没有造成重大危害。大规模网络安全事件回顾DDOS事件广州某主机托管中心受国外黑客DDoS攻击事件广州南沙某集团企业外网DDoS攻击事件篡改网页事件广西某市政府网站被篡改大规模网络安全事件回顾电子邮件事件番禺某小学“法轮功”反动电子邮件堵塞网络安全事件深圳市匿名电子邮件转发事件“网银大盗”事件4月，“网银大盗”偷取某家银行的网上银行用户的帐号和密码6月，“网银大盗Ⅱ”，涉及到十几家银行的多种网上交易业务6月，“网银大盗III”，偷取数家国际银行网上账号及密码典型网络安全案件分析木马与“网银大盗”匿名电子邮件转发溢出攻击与DCOMRPC漏洞网络恐怖主义NetBios与IPCARP欺骗DDoS攻击木马与“网银大盗”冰河国产木马，有G_Client.exe,G_server.exe二个文件。客户端界面木马与“网银大盗”WOLLF木马与“网银大盗”“网银大盗”网上银行构架木马与“网银大盗”“网银大盗”网银大盗II(Troj_Dingxa.A)现象盗取网上银行的帐号、密码、验证码等。生成文件：%System%下，svch0stexe修改注册表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建：svch0st.exe=%System%\svch0st.exetaskmgr.exe=%System%\svch0st.exe木马与“网银大盗”网银大盗II(Troj_Dingxa.A)原理木马程序，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑解决办法1、终止病毒进程svch0st.exe2、注册表修复3、删除病毒释放的文件svch0st.exe4、配置防火墙和边界路由器木马与“网银大盗”“网银大盗”案例多媒体木马Internet种了木马的电脑传送信息黑客摄像头语音设备匿名电子邮件转发漏洞名称：ExchangeServer5.5匿名转发漏洞原理匿名电子邮件转发案例深圳市二十多个邮件服务器番禺东城小学Internet东城小学台湾日本匿名电子邮件转发造成危害网络堵塞给利用于反动宣传解决方法打补丁关闭该服务或端口25,110溢出攻击与DCOMRPC漏洞溢出攻击原理溢出攻击与DCOMRPC漏洞DCOMRPC漏洞原理溢出攻击与DCOMRPC漏洞造成的危害---冲击波MYDOOM案例分析邮件蠕虫:MYDOOM现象通过电子邮件附件传播，设定向攻击原理网络恐怖主义NetBios漏洞与IPC入侵NetBios弱口令例如:Administrator/12345NetBios漏洞与IPC入侵攻击原理Netuse\\192.168.0.138\IPC$“12345”/u:“administrator”Copywollf.exe\\192.168.0.138\Admin$解决方法关闭139,445端口加强帐号强度ARP欺骗1.ARP地址解析协议ARP协议定义了两类基本的消息：1）请求信息：包含自己的IP地址、硬件地址和请求解析的IP地址；2）应答信息：包含发来的IP地址和对应的硬件地址。ARP欺骗2、原理ARP欺骗3.防范ARP欺骗的方法交换机控制路由器隔离防火墙与代理服务器DDoS攻击原理DDoS攻击方法死亡之ping（pingofdeath）泪滴（teardrop）UDP洪水（UDPflood）SYN洪水（SYNflood）Land攻击Smurf攻击Fraggle攻击常用DDoS攻击工具ThankgodSYNFlooder独裁者TrinooTFN2KStacheldrahtDDoS攻击案例某市信息中心网站受DDoS攻击事件广州南沙某集团企业外网DDoS攻击事件现代网络安全技术内网安全保密技术全网防御技术黑客侦查与追踪技术蜜罐（攻击陷阱）技术DDoS防御技术内网安全保密技术为什么需要内网保密审计系统？1.内网信息泄漏问题2.重要数据的保护问题3.蠕虫病毒对边界防御体系的冲击问题内网安全保密技术为什么需要内网保密审计系统？蓝盾内网保密审计系统内网保密审计系统的作用1.防信息泄漏和非法外联2.重要数据的保护和监控3.构建一个全网防御体系4.各种网络行为的记录、审计5.对各种攻击的检测（入侵检测功能）蓝盾内网保密审计系统蓝盾内网保密审计系统组成系统由以下三部分组成：1.网络安全监控器2.主机代理客户端3.控制中心蓝盾内网保密审计系统功能1.文件检测防护2.共享防护3.外联监控4.网络检测防护功能5.设备管理和认证6.注册表检测防护7.主机日志监控8.主机资源审计9.异常检测10.入侵检测与取证功能11.蠕虫检测与隔离蓝盾内网保密审计系统全网防御技术HostAHostCHostB联防中心InternetNIDS黑客侦查与追踪技术蓝盾黑客侦查与追踪系统蓝盾黑客侦查与追踪系统系统组成1、现场勘查分析2、服务器监控3、远程追踪分析控制软件服务监控软件远程追踪探头蓝盾黑客侦查与追踪系统原理蓝盾黑客侦查与追踪系统远程追踪蜜罐（陷阱）技术一、蜜罐取证和反向拍照1、黑客攻击三步曲扫描攻击破坏试探性攻击留后门扫描和试探性攻击阶段黑客一般用自身IP进行。而在进攻和破坏阶段黑客一般都会通过傀垒机进行蜜罐（陷阱）技术2、蜜罐取证原理记录报警虚拟服务反向扫描拍照黑客主机蜜罐（陷阱）技术A、记录模块记录所有攻击信息、攻击流程、黑客IP和使用的工具。B、报警模块向管理机发出警报信息。C、反向扫描拍照模快对黑客主机进行反向扫描得出该主机的一些信息，如：主机名、用户名操作平台、版本号启用的服务端口、应用程序版本信息其它该主机存在一些漏洞信息。DDoS攻击防御技术当前DDoS防御技术SYN代理SYN网关蓝盾DDoS防御网关DDoS攻击防御方法SYN中继（代理）工作原理HostFWserverSYN中继（代理）1)HFW2)HSYN/ACKFW3)HACKFWFWS4)FWSFWSSYNSYN/ACKACK5)6)SYNSYN中继（代理）存在问题FW必须建立一个很大的链表来储存所有SYN请求，当有大量的SYN攻击包到来，FW一样会崩溃。保护了服务器，堵死了防火墙DDoS攻击防御方法SYN网关工作原理HostFWserverSYN网关HFWSFWS1）2）SYNSYNSYN/ACKHFWS3）HFWS4）FWS5）SYN/ACKACKACKACKRSTSYN网关快速将连接试呼从S待办队列移开，避免服务器待办队列堵塞定时器超时后，向S发送连接RST（复位）取消。存在问题A、占用服务器缓冲B、防火墙同样要储存SYN请求链接，攻击强烈时，同样会堵死防火墙蓝盾DDoS防御技术蓝盾防火墙、蓝盾DDoS防御网关对抗DDOS攻击的三层防御措施（一）连接指纹鉴别（二）自适应“催命”算法（三）恶性服务请求攻击的防御连接指纹鉴别工作原理HostFWserver0积累识别技术,属国际专利连接指纹鉴别工作原理HFW1、工作原理HFWHFWFWHFWHSYN/ACKFWHSYNSYN/ACK(sn)ACK(SN+1)SYNACK(SN指纹验证)连接指纹鉴别工作原理A、SN序列号形成算法SN=f（源、目标IP，源、目标端口，其它信息，秘密字）B、只有当主机H回答包所携带的SN号经验证合法后，才须建立连接代理。2、优点由于在未确认SYN请求的合法性前，无须建立连接队列，所以这种方法具备以下优点：A、防火墙无须耗费内存资源B、没有缓冲溢出的危险C、在NAT模式下不占用防火墙的连接数自适应“催命”算法针对性针对通过高层编程（固定ＩＰ）进行的攻击，如socket编程中的“connect”函数。这种攻击也能通过防火墙的指纹合法性认证而建立起连接。但该攻击的效率较低，同时占用黑客大量主机资源。工作原理防火墙中建立每条连接都有一个连接超时值Age（又叫生命期），一般每半秒钟减一，蓝盾防火墙会监控系统建立的连接数量，按一定算法算出（加快了）的递减步长STEP，降低某些可疑连接的生命期，加快这些连接超时。恶性服务请求攻击的防御针对性一般SQL数据库访问会占用服务器较多资源，黑客会分析web页面上耗费资源的分支请求，编写程序不停调用该分支请求，造成SQL服务器响应不过来。工作原理蓝盾会留给管理员一个配置接口，管理员自己可以配置一些针对性统计策略，当在一定时间内某IP使用某SQL语句数量超过某一阀值时，防火墙会拒绝该IP的访问。其它措施对于一些固定IP的恶性攻击蓝盾防火墙会对该IP进行自动锁定，超过一定时间，一般为180秒后再进行开锁。某集团内网黑客FWserver蓝盾DDOS网关谢谢！谢谢！！