资安实验室攻防演练剧本简介精品.pptVIP

* DOS DDOS Land Smurf TearDrop Ping of death UDP Flood SYN Flood DOS 範例 * SYN Flood 簡介 目前最具威脅性的網路 DOS 攻擊行為 對目標機的服務不斷發送 TCP SYN 封包，使其回送 SYN+ACK 並等待 ACK 封包，最終因大量開啟連線等待而無法服務其他使用者，甚至因 CPU、記體憶使用率大量提高而降低效能。 常見型態為偽造來源 IP 進行單點攻擊、或結合受控制的僵屍機成多點進攻的DDOS。 Attack 隨 Lab 附上內部開發之測試用攻擊軟體 限制僅能攻擊某些特定 IP、特定Port 具備偽造來源IP、任意調整TCP Flag、任意調整封包大小的功能 可在 Lab 中完整模擬 Syn Flood 攻擊行為，亦可測試主機或網路設備承受能力 * Defense 滿載後隨機丟棄封包= 影響正常使用者 限制特定埠的使用頻寬= 影響正常使用者 縮短等待連接的 timeout 時間 = 無法抵擋發送頻率高的攻擊 加大接受連線的 queue = 無法抵擋發送頻率高的攻擊 * Defense (續) 阻擋特定來源 IP= DDOS 通常為隨機來源，難以阻擋 架設防火牆阻擋= 攻擊量大時，傳統防火牆會先滿載 過濾具相同特徵的封包= 易誤判、且攻擊者可作到完全無特徵 等待超時重傳時才連線= 影響使用者連接速度 SYN Cookie= 目前較有效的阻擋方式 * SYN Cookie 針對傳來的 SYN 封包，由標頭資料運算出一個cookie值放入回傳 的SYN+ACK封包的初始序列號(Sequence Number)。 當收到第三個 ACK 封包時，檢查確認號(Acknowledgment Number)，若帶有正確cookie值，則為一合法的連接。 本機不需額外保留空間等待連線 可建置在防火牆上，作為使用者與伺服器間的Connection Proxy * Detection 觀察防火牆、入侵偵測系統上的紀錄 在主機上觀察連線狀況例：netstat、TCPview 以軟體截取封包作確認例：sniffer、tcpdump、ethereal 若來源 IP 皆為偽造時，需配合 ISP 作追蹤 透過 DNS 機制協助找尋確實攻擊者 * * 受 SYN Flood 狀態 (netstat) * 封包特徵 (ethereal) Wireless Security 主題 Open System MAC Spoofing Weak WEP encryption Weak WPA encryption Man In The Middle Phishing * 內容 目前隨處可見的無線網路，大部份存在弱點，即使隱藏 SSID、加上 WEP 機制、限制 MAC Address，仍然可能被破解利用 被破解的無線網路，較實體網路包含更多危險性 提供劇本展示如何搜尋SSID、破解WEP、偽造 MAC Address 連接AP，進而展開中間人攻擊或網路釣魚 最後並說明如何強化無線網路安全 * Question ？ * * * * Format String – C 語言的 printf 系統使用不當造成的弱點, 可能執行任何惡意程式碼 * * * * 敦陽科技提供『Secure Programming』、『Harden System』教育訓練 * * Land – spoof source ip to itself TearDrop – IP Packet Offset Smurf – spoof victum ip to broadcast address Ping Of Deatch – packet size 65535 UDP Flood – spoof victum ip to other port 7 * * * 敦陽科技 為何需要攻防演練劇本？ 提升資安意識不能只靠熟讀理論，更需輔以實際操作 只有熟知駭客攻擊方式，才能作有效的防禦部署 一般人少有機會瞭解新聞裡的資安事件如何發生，藉由提供的劇本可略窺奧秘 攻擊的同時可測試資安設備（防火牆、入侵偵測系統）是否確實生效 * * 劇本範圍 - 四大領域 Security 完整的流程與教育訓練 * * Attack – 以清楚的圖示展示完整的攻擊手法及工具操作 Detection – 如何偵測攻擊行為，及判斷其所產生的跡象 Defense – 以設定機制或設備防禦，並顯示阻擋後的結果 Recovery – 遭攻擊後如何還原 Training – 對以上議題作完整的教育訓練 Host Security * System Security 主題 Malicious Software (