网络安全攻击防护应对措施.ppt

网络安全攻击与防护应对措施 2013年7月 网络攻击技术 网络探测 欺骗 会话劫持 拒绝服务攻击（DoS） 缓冲区溢出 口令探测 社交工程 物理攻击 木马 隐藏踪迹 网络探测 主机扫描 网络结构发现 端口和服务扫描 操作系统识别 资源和用户信息扫描 欺骗 欺骗技术 IP欺骗 假冒他人的IP地址发送信息 邮件欺骗 假冒他人的邮件地址发送信息 Web欺骗 你连到的网站是真的吗？ 其他欺骗 DNS欺骗 非技术性欺骗 会话劫持 欺骗和劫持 欺骗是伪装成合法用户，以获得一定的利益 劫持是积极主动地使一个在线的用户下线，或者冒充这个用户发送消息，以便达到自己的目的 会话劫持分两种 被动劫持 监听网络流量，发现密码或者其他敏感信息 主动劫持 找到当前会话并接管过来，迫使一方下线，由劫持者取而代之 攻击者接管了一个合法会话后，可以做更多危害性更大的事情 拒绝服务攻击（DoS） DoS (Denial of Service) 定义：通过某些手段使得目标系统或者网络不能提供正常的服务 典型DOS攻击 Ping Of Death TearDrop ICMP flood UDP flood 等等 一些典型的DoS攻击（一） Ping Of Death：直接利用ping包，即ICMP Echo包，有些系统在收到大量比最大包还要长的数据包，会挂起或者死机 TearDrop：利用IP包的分片装配过程中，由于分片重叠，计算过程中出现长度为负值，在执行memcpy的时候导致系统崩溃 ICMP flood：攻击者向目标主机发送大量的ICMP ECHO报文，将产生ICMP泛洪，目标主机会将大量的时间和资源用于处理ICMP ECHO报文，而无法处理正常的请求或响应，从而实现对目标主机的攻击 UDP flood：攻击者通过向目标主机发送大量的UDP报文，导致目标主机忙于处理这些UDP报文，而无法处理正常的报文请求或响应 SYN Flood：共计方利用TCP连接三次握手过程，打开大量的半开TCP连接。目标机器不能进一步接受TCP连接，机器就不再接受进来的连接请求 一些典型的DoS攻击（二） LAND攻击：通过向一个目标主机发送一个用于建立请求连接的TCP SYN报文而实现对目标主机的攻击。与正常的TCP SYN报文不同的是：LAND攻击报文的源IP地址和目的IP地址是相同的，都是目标主机的IP地址。这样目标主机接在收到这个SYN报文后，就会向该报文的源地址发送一个ACK报文，并建立一个TCP连接控制结构，而该报文的源地址就是自己。由于目的IP地址和源IP地址是相同的，都是目标主机的IP地址，因此这个ACK报文就发给了目标主机本身。 Smurf攻击：攻击者向一个广播地址发送ICMP Echo请求，并且用受害者的IP地址作为源地址，广播地址网络上的每台机器响应这些Echo请求，同时向受害者主机发送ICMP Echo-Reply应答，受害者主机会被这些大量的应答包淹没 DDoS攻击 社交工程攻击 利用人性弱点、人际交往或互动特性所发展出来的一种攻击防护 早期社交工程是使用电话或其它非网络方式来询问个人资料，而目前社交工程大多是利用电子邮件或网页来进行攻击 使用电子邮件进行攻击常见手法 假冒寄件者 使用与业务相关或令人感兴趣得邮件内容 含有恶意程序的附件或链接 利用应用程序的弱点（包括零时差攻击） 网页攻击通过恶意程序下载或钓鱼网站来进行 其它攻击技术 缓冲区溢出： 通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码) 口令探测 网络监听 暴力破解 在其他攻击得手后得到密码 利用用户的疏忽 其它攻击技术 物理攻击 物理接触到计算机，这台计算机就没有任何安全可言 写有口令的提示条、网络组织结构图、软盘、光盘、笔记本等，也可能会影响到安全 木马 两个部分：外壳程序和内核程序，内核程序启动后在后台运行，打开端口，开启后门黑客连接到木马打开的端口，向木马下达命令 既是攻击系统得到系统权限的方法，又是攻击得手后留下后门的手段 隐藏踪迹 为了使建立的后门不易被发现，防止系统管理员发现攻击者 防火墙-概述 防火墙是一种有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。 防火墙定义一个必经之点，一般都包含以下三种基本功能 可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 防火墙-攻击防护配置 禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制ICMP包的大小 开启防源地址欺骗功能 控制连接与半连接的超时时间，必要时