郑万波《网络安全精品教学》第4长网络攻防实例.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * 原理 举例 红色代码 红色代码依赖的系统：装Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系统；安装Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系统 红色代码的感染：通过IIS漏洞，使IIS服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行。蠕虫驻留后再次通过此漏洞感染其它服务器。 红色代码的发作：强行重起计算机 防范 1．一旦检测发现蠕虫迹象，应首先立即切断网络。这样可以防止蠕虫再次传播，同时可以减少蠕虫造成的网络负担。 2．将系统和应用软件打上最新补丁。很多蠕虫是通过系统和应用软件的漏洞进行传播的，将这些可能存在问题的软件打上最新补丁后，很大程度上可以从根本上解决问题。 3．升级杀毒软件并杀毒。当蠕虫发作时，大部分杀毒软件厂商都能够查杀这类蠕虫，更新最新的病毒库同时进行查杀工作能将大部分蠕虫清除。 4．如果仍然存在问题，尝试手动杀毒。不可避免地，某些蠕虫可以逃过杀毒软件的查杀，此时可以针对相应情况进行手动杀毒。 5．检查系统是否被开启后门，若有即清除。很多情况下，虽然计算机蠕虫被清除干净，但是蠕虫开启的隐蔽后门仍然存在，此时需要将蠕虫开启的后门也一同清除干净。 6．如果必要的话，启用备份系统。当数据被破坏或者怀疑计算机被开启后门且无法清除时，可以启用备份系统。 7．问题解决后连通网络并重新开启服务。问题解决后，重新接通网络，必要时重启相应服务。 8．查看日志。必要时，检查系统和网络日志，追查攻击来源。 9．评估损失并商讨问题产生的原因。评估损失及被蠕虫攻击的原因，可以最大限度地防止再次被攻击。 * * * * * * * * * * * * * * * * * * * * * * * * * * 木马运行中的隐藏与伪装 （1）在任务栏里隐藏 （2）在任务管理器里隐藏 （3）隐藏端口 木马启动方式 win.ini system.ini 启动组 注册表 捆绑方式启动 : 伪装在普通文件中 设置在超级连接中 木马传播方式（主动与被动）： 主动种入 通过E－mail 文件下载 浏览网页 3.3 计算机木马防御 发现木马：检查系统文件、注册表、端口 不要轻易使用来历不明的软件 不熟悉的E-MAIL不打开 常用杀毒软件并及时升级 查在安装新的软件之前，请先备份注册表在安装完软件以后，立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒，这时请将它杀掉，杀毒完成后，重新启动计算机 3.4 流行木马简介 冰 河 back orifice Subseven 网络公牛(Netbull) 网络神偷(Nethief) 广外女生 Netspy(网络精灵) 4 拒绝服务攻击 4.1 拒绝服务攻击实例 4.2 分布式拒绝服务攻击 4.3 一次DDoS攻击过程 4.4 计算机蠕虫 4.1 拒绝服务攻击实例 Ping of Death Jolt2 Land Ping of Death 原理： 攻击者：发送长度超过65535的ICMP Echo Request的碎片分组， 目标机：重组分片时会造成事先分配的65535字节缓冲区溢出，导致TCP/IP堆栈崩溃 防御： Win98之后的系统都能够应对超大尺寸的包 配置防火墙阻断ICMP以及任何未知协议分组 Jolt2 原理：发送大量相同的碎片化IP分组 分片标志位MF被置为0 偏移量为65520 IP分组大小为29字节 IPID为1109（IDS检测特征 ） 防御： Windows系统必须安装最新的补丁 在网络边界上禁止碎片包通过，或者限制其包速率 必须确保防火墙重组碎片的算法没有问题 计算总长度： 20+65520+9 = 65549 65535 Land 原理：发送一个特别定制的SYN分组 源地址和目的地址都设为目标机地址 源端口号和目的端口号相同 防御： 为操作系统安装最新的补丁 配置防火墙，过滤从外部接口进入的、含有内部源地址的分组 SYN Flood 原理：TCP连接的三次握手和半开连接 攻击者：发送大量伪造的TCP连接请求 方法1：伪装成当时不在线的IP地址发动攻击 方法2：在主机或路由器上阻截目标机的SYN/ACK分组 目标机：堆栈溢出崩溃或无法处理正常请求 防御： 缩短SYN Timeout时间 （设置为20秒以下 ） 设置SYN Cookie 缺陷：依赖于对方使用真实的IP地址 设置路由器和防火墙,在给定的时间内只允许数量有限的半开TCP连接发往主机 给每一个请求连接