互联网安全攻防分.ppt

互联网安全攻防案例分析与网络安全技术 主讲：郭亮 安全服务部 中国电信集团系统集成公司 议程 安全攻防案例分析 当前黑客与网络安全事件的特点 网络安全事件攻防案例分析 常见网络安全技术 全网防御技术 黑客侦查与追踪技术 DDoS防御技术 SQL 注入/XSS 跨站脚本 日常安全维护 应急处理方法 当前黑客与网络安全事件的特点 黑客可以轻易地施行跨网、跨国攻击 复合趋势 攻击往往通过一级或者多级跳板进行 大规模事件出现日益频繁 传播速度越来越快 对终端的攻击比率越来越高 攻击事件的破坏程度在增加 当前黑客与网络安全事件的特点 黑客可以轻易地施行跨网、跨国攻击 攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便 具有安全知识和”专业”的人员的数量在增加 复合趋势 黑客、病毒和垃圾邮件技术整合在一个蠕虫当中 黑客组合攻击开始出现 攻击往往通过一级或者多级跳板进行 黑客技术水平在增强 有组织、有计划犯罪事件再增加，防止追查 当前黑客与网络安全事件的特点 大规模事件出现日益频繁 大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码F变种等） 大量垃圾邮件的出现 传播速度越来越快 利用系统漏洞，进行自动扫描 由于浏览网页或查看E-Mail而受到感染或攻击 DDoS攻击 当前黑客与网络安全事件的特点 对终端的攻击比率越来越高 网上游戏、网上银行和电子商务的增加 针对终端设计的黑客工具和木马 补丁与升级不够及时 缺乏安全防范意识 攻击事件的破坏程度在增加 典型网络安全案件分析 木马与“网银大盗” 匿名电子邮件转发 溢出攻击与DCOM RPC漏洞 NetBios与IPC ARP欺骗 DDoS攻击 SQL注入 木马与“网银大盗” 冰河 国产木马，有G_Client.exe,G_server.exe二个文件。客户端界面 木马与“网银大盗” “网银大盗” 网上银行构架 木马与“网银大盗” “网银大盗” 网银大盗II(Troj_Dingxa.A ) 现象 盗取网上银行的帐号、密码、验证码等。 生成文件：%System%下，svch0stexe 修改注册表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建：svch0st.exe = %System%\svch0st.exe taskmgr.exe = %System%\svch0st.exe 木马与“网银大盗” 网银大盗II(Troj_Dingxa.A ) 原理 木马程序 ，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑 解决办法 1、终止病毒进程svch0st.exe 2、注册表修复 3、删除病毒释放的文件svch0st.exe 4、配置防火墙和边界路由器 木马与“网银大盗” “网银大盗”案例 多媒体木马 匿名电子邮件转发 漏洞名称：Exchange Server匿名转发漏洞 原理 匿名电子邮件转发 案例 深圳市二十多个邮件服务器 匿名电子邮件转发 造成危害 网络堵塞 给利用于反动宣传 正常邮件服务器被RBL组织封闭 解决方法 打补丁 关闭该服务或端口25 , 110 溢出攻击与DCOM RPC漏洞 溢出攻击原理 溢出攻击与DCOM RPC漏洞 DCOM RPC 漏洞原理 溢出攻击与DCOM RPC漏洞 造成的危害---冲击波 MY DOOM案例分析 邮件蠕虫:MY DOOM 现象 通过电子邮件附件传播，设定向和 发起DDoS攻击 原理 ARP 欺骗 ARP 地址解析协议 ARP协议定义了两类基本的消息： ????1） 请求信息：包含自己的IP地址、硬件地址和请求解析的IP地址； ????2） 应答信息：包含发来的IP地址和对应的硬件地址。 ARP 欺骗 2、原理 ARP 欺骗 防范ARP欺骗的方法 交换机控制 路由器隔离 防火墙与代理服务器 DDoS攻击 原理 DDoS攻击方法 死亡之ping （ping of death） 泪滴（teardrop） UDP洪水（UDP flood） SYN洪水（SYN flood） Land攻击 Smurf攻击 Fraggle攻击 常用DDoS攻击工具 Thankgod SYN Flooder 独裁者 Trinoo TFN2K Stacheldraht SQL注入 Web攻击模拟演示 SQL注入 Web攻击模拟演示 常见网络安全技术 全网防御技术 黑客侦查与追踪技术 DDoS防御技术 应用层攻击防御（SQL 注入、XSS脚本） 黑客侦查与追踪技术 黑客侦查与追踪系统 黑客侦查与追踪系统 系统组成