信息安全和网络对抗 专题1 信息扫描和攻防.pptVIP

经典漏洞:Ms08-067 在Windows操作系统下的Server服务在处理RPC请求过程中存在的一个严重漏洞，使远程攻击者可以通过发送恶意RPC请求触发这个溢出，导致完全入侵用户系统，并以SYSTEM权限执行任意指令并获取数据，造成系统失窃及系统崩溃等问题的出现。攻击者利用这个漏洞无需通过认证运行任意代码，同时该漏洞还有可能被蠕虫利用的危险，进行大规模的溢出攻击。 利用工具扫445端口的主机，就可找到可以远程溢出的主机 攻击过程：建立空连接（net use \\01\ipc$ ）? 利用工具执行溢出攻击（如Ms08-067.exe ）?用telnet登录该主机?执行操作 防范：下载补丁，关闭端口、服务 经典漏洞：网站的SQL注入攻击 SQL注入攻击（SQL Injection），是黑客对数据库进行攻击的常用手段之一。 程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。 用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL注入。 硬件与管理漏洞 防火墙防护漏洞 用户管理漏洞（见身份验证与欺骗专题） 近期典型软硬件漏洞 NetGear WNR1000路由器远程认证绕过漏洞 2013-04-02 ClipShare 多个SQL注入漏洞 2013-03-29 Google Chrome 权限许可和访问控制漏洞 2013-03-28 多款IBM产品栈缓冲区溢出漏洞 2013-03-27 Apple iOS 本地安全绕过漏洞 2013-03-20 Oracle MySQL MariaDB 拒绝服务漏洞 2013-03-19 Microsoft Windows 8 未明安全漏洞 2013-03-14 /vulnerability 漏洞攻击的“终极”解决办法？ 实验：用扫描工具扫描系统漏洞 选定漏洞扫描工具 安装、配置 扫描本机漏洞 查找资料了解相关漏洞的危害 修补漏洞 课堂汇报主题 主题： 社会工程学攻击 网络钓鱼 要求： 三人一小组 准备8分钟PPT汇报 汇报内容：什么是***，有何特点，典型事件，如何实施，如何防范 第三节 入侵检测系统 入侵检测系统 IDS 入侵检测系统（Intrusion Detection System，“IDS”） 是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IDS是一种积极主动的安全防护技术。 通过对网络中的数据包或者主机日志等信息进行提取、分析，发现入侵和攻击行为，并对入侵或者攻击作出响应。 侵入保护（阻止）系统（IPS） 是新一代的侵入检测系统（IDS），可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。 IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析，然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。 IDS的组成与基本技术 IDS部署的位置 尽可能靠近攻击源/受保护资源，一般部署在关键节点的交换机上 IDS的组成部件 信息源（主机/网络） 入侵分析引擎（事件发生器+事件分析器） 响应部件 IDS基本技术 误用检测（预知的入侵行为） 异常检测（异常不等于入侵） 混合型检测 IDS的分类 根据检测时机 实时入侵检测、事后入侵检测 根据检测手段 基于主机：分析系统的审计数据来发现可疑的活动，如内存和文件的变化等，一般只能检测该主机上发生的入侵 基于网络：捕获网上的包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者 分布式入侵检测系统：能够同时分析来源于系统的审计日志和来源于网络的信息流，这种系统一般由多个部件组成 根据检测技术 基于标志：定义违背安全策略的事件的特征，如网络数据包的某些头信息，类似杀毒软件的工作原理 基于异常：定义一组系统“正常”情况的数值，将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击 IDS的分类 根据检测对象 NIDS，network intrusion detection system，即网络入侵检测系统，主要用于检测hacker或cracker通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通讯信息，另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息，比如hub、路由器。 SIV，system integrity verifiers，即系统完整性检测，主要用于监视系统文件或者Windows注册表等重要信息是否被修改，以堵上攻击者日后来访的后门。SIV更多的是以工具软件的形式出现，比如著名的“Tripwire”，它可以检测到重要系统组件的变换情况，但并不产生实时的报警信息。 LFM，log file monito