黑客攻防案例分析和.ppt

黑客攻防案例分析与现代网络安全技术 主讲：柯宗贵 广东天海威数码技术有限公司 内 容 黑客攻防案例分析 当前黑客与网络安全事件的特点 大规模网络安全事件回顾 网络安全事件攻防案例分析 现代网络安全技术 内网保密技术 全网防御技术 黑客侦查与追踪技术 蜜罐（攻击陷阱）技术 DDoS防御技术 当前黑客与网络安全事件的特点 黑客可以轻易地施行跨网、跨国攻击 复合趋势 攻击往往通过一级或者多级跳板进行 大规模事件出现日益频繁 传播速度越来越快 对pc的攻击比率越来越高 攻击事件的破坏程度在增加 当前黑客与网络安全事件的特点 黑客可以轻易地施行跨网、跨国攻击 攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便 具有安全知识和专业的人员的数量在增加 复合趋势 黑客、病毒和垃圾邮件技术整合在一个蠕虫当中 黑客组合攻击开始出现 攻击往往通过一级或者多级跳板进行 黑客技术水平在增强 有组织、有计划犯罪事件再增加，防止追查 当前黑客与网络安全事件的特点 大规模事件出现日益频繁 大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码F变种等） 大量垃圾邮件的出现 传播速度越来越快 利用系统漏洞，进行自动扫描 由于浏览网页或查看E-Mail而受到感染或攻击 DDoS攻击 当前黑客与网络安全事件的特点 对pc的攻击比率越来越高 网上游戏、网上银行和电子商务的增加 针对pc设计的黑客工具和木马 补丁与升级不够及时 缺乏安全防范意识 攻击事件的破坏程度在增加 大规模网络安全事件回顾 SQL SLAMMER蠕虫 2003年1月25日爆发，我国境内受感染两万多台 口令蠕虫事件 2003年3月8日出现，部分大学网络瘫痪 红色代码F变种 2003年3月11日发作，在我国网络中扩撒超过12万次 大规模网络安全事件回顾 冲击波蠕虫事件 2003年8月11日发现，至12月31日，150万台以上中招 MYDOOM事件 1月27日出现，先后出现了多种变种，SCO网站受堵， 163等邮件服务器出现问题。国内10%的电脑受感染 “震荡波”事件 5月1日出现，至今仍有新变种出现，受“冲击波”的影 响，没有造成重大危害。 大规模网络安全事件回顾 DDOS事件 广州某主机托管中心受国外黑客DDoS攻击事件 广州南沙某集团企业外网DDoS攻击事件 篡改网页事件 广西某市政府网站被篡改 大规模网络安全事件回顾 电子邮件事件 番禺某小学“法轮功”反动电子邮件堵塞网络安全事件 深圳市匿名电子邮件转发事件 “网银大盗”事件 4月，“网银大盗” 偷取某家银行的网上银行用户的帐号和密码 6月， “网银大盗Ⅱ”，涉及到十几家银行的多种网上交易业务 6月， “网银大盗III”，偷取数家国际银行网上账号及密码 典型网络安全案件分析 木马与“网银大盗” 匿名电子邮件转发 溢出攻击与DCOM RPC漏洞 网络恐怖主义 NetBios与IPC ARP欺骗 DDoS攻击 木马与“网银大盗” 冰河 国产木马，有G_Client.exe,G_server.exe二个文件。客户端界面 木马与“网银大盗” WOLLF 木马与“网银大盗” “网银大盗” 网上银行构架 木马与“网银大盗” “网银大盗” 网银大盗II(Troj_Dingxa.A ) 现象 盗取网上银行的帐号、密码、验证码等。 生成文件：%System%下，svch0stexe 修改注册表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建：svch0st.exe = %System%\svch0st.exe taskmgr.exe = %System%\svch0st.exe 木马与“网银大盗” 网银大盗II(Troj_Dingxa.A ) 原理 木马程序 ，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑 解决办法 1、终止病毒进程svch0st.exe 2、注册表修复 3、删除病毒释放的文件svch0st.exe 4、配置防火墙和边界路由器 木马与“网银大盗” “网银大盗”案例 多媒体木马 匿名电子邮件转发 漏洞名称：Exchange Server5.5匿名转发漏洞 原理 匿名电子邮件转发 案例 深圳市二十多个邮件服务器 番禺东城小学 匿名电子邮件转发 造成危害 网络堵塞 给利用于反动宣传 解决方法 打补丁 关闭该服务或端口25 , 110 溢出攻击与DCOM RPC漏洞 溢出攻击原理 溢出攻击与DCOM RPC漏洞 DCO