02-CISP0208安全攻击与防护知识点标注v3.0.pptVIP

跨站脚本攻击的防范 跨站脚本安全问题和特点更复杂，这使得对跨站脚本漏洞的防范难度更大 不允许脚本运行 对所有脚本进行严格过滤 * 知识域：安全攻击与防护 知识子域：后门设置与防范 理解攻击者设置系统后门的常用方法 理解针对后门的防范措施 * 后门设置的方法 后门可以作什么 方便下次直接进入 监视用户所有行为、隐私 完全控制用户主机 后门设置的类型 账号后门 现有管理员账号密码/新建账号/升级现有账号权限 普通账号shell设置Setuid 漏洞后门 木马( rootkit) 脚本后门 * * 后门的清除及防范 账号后门 管理员账号：定期更换密码 定期检查系统是否有多余账号和具有管理员权限的账号 检查Linux系统中的Setuid程序 漏洞后门 补丁 * 后门的清除及防范 木马后门 杀毒软件 系统检查：服务、进程、端口 完整性校验 脚本后门 安全脚本备份 网页防篡改 * 知识域：安全攻击与防护 知识子域：痕迹清除与防范 理解攻击者清除痕迹的常用方法 理解针对痕迹清除的防范措施 * 攻击痕迹清除 清除/改写日志 日志存放路径 例如：IIS访问日志位置 %WinDir%\System32\LogFiles\W3SVC1\exyymmdd.log 修改系统日期 删除中间文件 删除创建的用户 * * 攻击痕迹清除防护措施-日志保护 日志设置 尽可能多的信息 日志时间 日志空间 日志权限 日志存储 本地路径及备份方式 网络存储（日志服务器） * 日志分析重点 日期 时间 （确定攻击的时间） 源IP (确定攻击者IP） 请求方法 (部分情况下要关注post操作) 请求链接 （查找链接中的特殊字符串） 状态代码 （了解操作的结果） * 日志分析 关注超长的记录 http协议对URL长度没有限制 一般网站正常情况下不需要太长的URL 关注记录中的非正常编码 例如红色代码蠕虫攻击会形成如下记录 GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858 %ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u000 3%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 关注日志请求链接中的关键字 cmd、select、xp_cmdshell、Post等 * 总结 信息收集与分析 基于人性弱点的攻击：密码破解、社会工程学 基于系统及协议缺陷的攻击：拒绝服务、电子欺骗 基于软件开发缺陷的攻击：缓冲区溢出、SQL注入、跨站脚本 后门与日志分析 * 谢谢，请提问题！ * 典型的欺骗攻击 IP欺骗（IP Spoofing） ARP欺骗（ARP Spoofing） DNS欺骗（DNS Spoofing） …… 电子欺骗是一类攻击方式的统称！ * IP欺骗的技术实现 原理 两台主机之间经过认证产生信任关系后，在连接过程中就不会要求严格的认证 IP欺骗是一系列步骤构成的攻击 确认攻击目标 使要冒充主机无法响应目标主机 猜正确的序数 冒充受信主机 进行会话 * IP欺骗实现 B A C SYN flood攻击 连接请求 伪造B进行系列会话 A的序数规则 * IP欺骗攻击的防范 严格设置路由策略：拒绝来自网上，且声明源于本地地址的包 使用最新的系统和软件，避免会话序号被猜出 使用抗IP欺骗功能的产品 严密监视网络，对攻击进行报警 * ARP欺骗基础-Arp协议工作过程 ARP协议（地址解析协议） ARP用于将IP地址解析MAC地址的协议 bb:bb:bb:bb:bb cc:cc:cc:cc:cc aa:aa:aa:aa:aa Who’s IP is Who’s IP is MAC aa:aa:aa:aa:aa is 收到，我会缓存起来! Internet地址 物理地址 aa:aa:aa:aa:aa * ARP欺骗基础-实现特点 ARP协议实现特点 ARP协议特点：无状态，无需请求可以应答 ARP实现：ARP缓存 * ARP欺骗的实现 bb:bb:bb:bb:bb cc