常见黑客攻击及安全防御手段案例.pptVIP

常见黑客攻击及安全防御手段 提纲 常见的黑客攻击方法 常用的安全技术防范措施 常见的黑客攻击方法 入侵技术的发展 入侵系统的常用步骤 较高明的入侵步骤 常见的安全攻击方法 直接获取口令进入系统：网络监听，暴力破解 利用系统自身安全漏洞 特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装 WWW欺骗：诱使用户访问纂改过的网页 电子邮件攻击：邮件炸弹、邮件欺骗 网络监听：获取明文传输的敏感信息 通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S) 2001年中美黑客大战 事件背景和经过 4.1撞机事件为导火线 4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改 4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了 “五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战 PoizonB0x、pr0phet更改的网页 国内黑客组织更改的网站页面 这次事件中采用的常用攻击手法 红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下： “我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统， 这个行动在技术上是没有任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击 这次事件中被利用的典型漏洞 用户名泄漏，缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出，Lion蠕虫 SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping ) 这次事件中被利用的典型漏洞 用户名泄漏，缺省安装的系统用户名和密码 这次事件中被利用的典型漏洞 Windows 2000登录验证机制可被绕过 TCP/IP的每个层次都存在攻击 攻击的发展趋势 攻击的发展趋势 漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) 混合型威胁趋势 将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。 主动恶意代码趋势 制造方法：简单并工具化 技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件. 表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。 受攻击未来领域 即时消息：MSN,Yahoo,ICQ,OICQ等 对等程序(P2P) 移动设备 “红色代码”病毒的工作原理 病毒利用IIS的 .ida 漏洞进入系统并获得 SYSTEM 权限(微软在2001年6月份已发布修复程序 MS01-033) 病毒产生100个新的线程 99 个线程用于感染其它的服务器 第100个线程用于检查本机, 并修改当前首页 在7/20/01 时所有被感染的机器回参与对白宫网站 的自动攻击. 尼母达 Nimada的工作原理 4 种不同的传播方式 IE浏览器: 利用IE的一个安全漏洞 (微软在2001年3月份已发布修复程序 MS01-020) IIS服务器: 和红色代码病毒相同, 或直接利用它留下的木马程序. (微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案) 电子邮件附件: (已被使用过无数次的攻击方式) 文件共享: 针对所有未做安全限制的共享 MYDOOM的工作原理 W32.Novarg.A@mm [Symantec] ，受影响系统: Win9x/NT/2K/XP/2003 1、创建如下文件： %System%shimgapi.dll %temp%Message， 这个文件由随机字母通组成。 %System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。 2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的TCP端口进行监听； 3、添加如下注册表项，使病毒可随机启动，并存储病毒的活动信息。 4、对实施拒