网络攻击的常见手段与防范措施方案.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 攻击现象 被攻击主机上有大量等待的TCP连接； 网络中充斥着大量的无用的数据包； 源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯； 利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求，使主机无法处理所有正常请求； 严重时会造成系统死机。 分布式拒绝服务攻击：借助于C/S（客户/服务器）技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力 分布式拒绝服务攻击 攻击流程 1、搜集资料，被攻击目标主机数目、地址情况，目标主机的配置、性能，目标的宽带。　 2、是占领和控制网络状态好、性能好、安全管理水平差的主机做傀儡机。 3、攻击者在客户端通过telnet之类的常用连接软件，向主控端发送发送对目标主机的攻击请求命令。主控端侦听接收攻击命令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即发起flood攻击。 主机设置 所有的主机平台都有抵御DoS的设置，基本的有： 1、关闭不必要的服务 2、限制同时打开的Syn半连接数目 3、缩短Syn半连接的time out 时间 4、及时更新系统补丁 网络设置 1.防火墙 禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。 2.路由器 设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server 防范措施 雅虎作为美国著名的互联网门户网站，也是20世纪末互联网奇迹的创造者之一。然而在2013年8月20日，中国雅虎邮箱宣布停止提供服务。就在大家已快将其淡忘的时候，雅虎公司突然对外发布消息，承认在2014年的一次黑客袭击中，至少5亿用户的数据信息遭窃。此次事件成为了有史以来规模最大的单一网站信息泄露事件。 2、SQL注入攻击 攻击方法 SQL注入主要是由于网页制作者对输入数据检查不严格，攻击者通过对输入数据的改编来实现对数据库的访问，从而猜测出管理员账号和密码； 如/view.asp?id=1； 改为/view.asp?id=1 and user=‘admin’； 如果页面显示正常，说明数据库表中有一个user字段，且其中有admin这个值； 通过SQL注入攻击可以探测网站后台管理员账号和密码。 SQL注入：就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。 利用探测出的管理员账号和密码登陆网站后台，在拥有附件上传的功能模块中尝试上传网页木马或一句话木马（一般利用数据库备份和恢复功能）； 通过网页木马探测IIS服务器配置漏洞，找到突破点提升权限，上传文件木马并在远程服务器上运行； 通过连接木马彻底拿到系统控制权； 因此，SQL注入只是网站入侵的前奏，就算注入成功也不一定可以拿到web shell或root。 1、输入验证 检查用户输入的合法性，确信输入的内容只包含合法的数据。 2、错误消息处理 防范SQL注入，还要避免出现一些详细的错误消息，因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。 3、加密处理 将用户登录名称、密码等数据加密保存。 4、存储过程来执行所有的查询 SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。 5、使用专业的漏洞扫描工具 6、确保数据库安全 7、安全审评 防范措施 3、ARP攻击 ARP（Address Resolution Protocol，地址解析协议）是根据IP地址获取物理地址的一个TCP/IP协议。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP攻击仅能在局域网内进行。 ARP请求包是以广播的形式发出，正常情况下只有正确IP地址的主机才会发出ARP响应包，告知查询主机自己的MAC地址。 局域网中每台主机都维护着