网络安全培训讲义(PPT 171页).ppt

* 间接鉴别操作系统 说明 不直接进行扫描 利用网络应用服务使用过程中的信息来推断和分析操作系统类型，并得到其他有用信息 如Telnet 80端口查看WEB服务器类型从而初步判断操作系统类型 这种方法难以被发现 防御对策 修改服务器上应用服务的banner信息，达到迷惑攻击者的目的 * 直接鉴别操作系统类型 TCP/IP栈指纹探测技术 各个操作系统在实现TCP/IP栈的时候有细微的不同，可以通过下面一些方法来进行判定 TTL值 Windows窗口值 ToS类型 DF标志位 初始序列号（ISN）采样 MSS（最大分段大小） 其他 * TTL = 4 TTL = 5 TTL = 6 TTL = 7 TTL = 8 TTL = 9 TTL = 3 TTL = 2 destination source TTL = 10 TTL（Time To Live） * 缓冲区溢出攻击 危害性 据统计，缓冲区溢出攻击占所有网络攻击总数的80%以上 溢出成功后大都能直接拿到目标系统的最高权限 身边的例子 RPC DCOM溢出 IIS .ida/idq溢出 IIS .printer溢出 IIS WebDav溢出 Wu-ftpd溢出 * “红色代码”的蔓延速度 * 尼姆达（Nimda） 尼姆达是在 9·11 恐怖袭击整整一个星期后出现的，当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒 尼姆达是在早上9:08发现的，明显比红色代码更快、更具有摧毁功能，半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑，总共造成将近10亿美元的经济损失 传播方式包括：电子邮件、网络临近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、CodeRedII和Sadmind/IIS蠕虫留下的后门等 * SQL Slammer蠕虫 Slammer的传播数度比“红色代码”快两个数量级 在头一分钟之内，感染主机数量每8.5秒增长一倍； 3分钟后该病毒的传播速度达到峰值（每秒钟进行5500万次扫描）； 接下来，其传播速度由于自身挤占了绝大部分网络带宽而开始下降； 10分钟后，易受攻击的主机基本上已经被感染殆尽 30分钟后 在全球的感染面积 * 2003年8月11日首先被发现，然后迅速扩散，这时候距离被利用漏洞的发布日期还不到1个月 该蠕虫病毒针对的系统类型范围相当广泛（包括Windows NT/2000/XP） 截至8月24日，国内被感染主机的数目为25~100万台 全球直接经济损失几十亿美金 RPC DCOM蠕虫 * 3、网络威胁 恶意代码及黑客攻击手段的三大特点 ： 传播速度惊人 受害面惊人 穿透深度惊人 * 传播速度 “大型推土机”技术(Mass rooter)，是新一代规模性恶意代码具备的显著功能。 这些恶意代码不仅能实现自我复制，还能自动攻击内外网上的其它主机，并以受害者为攻击源继续攻击其它网络和主机。 以这些代码设计的多线程和繁殖速度，一个新蠕虫在一夜之间就可以传播到互联网的各个角落。 * 受害面 许多国家的能源、交通、金融、化工、军事、科技和政府部门等关键领域的信息化程度逐年提高，这些领域的用户单位的计算机网络，直接或间接地与Internet有所联系。 各种病毒、蠕虫等恶意代码，和各种黑客攻击，通过Internet为主线，对全球各行业的计算机网络用户都造成了严重的影响。 * 穿透深度 蠕虫和黑客越来越不满足于攻击在线的网站，各种致力于突破各种边界防线的攻击方式层出不穷。 一个新的攻击手段，第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机； 第二批受害对象是与Internet联网的，经常收发邮件的个人用户； 第三批受害对象是OA网或其它二线内网的工作站； 终极的受害对象可能会波及到生产网络和关键资产主机。 * 信息战 在海湾战争和最近的伊拉克战争中，美国大量采用了信息战的手段 在未来的局部战争中，信息战或信息威慑将成为非常重要的非常规战手段 信息战的范围不仅仅局限于军事领域，关系国家国计民生的行业（如政府、金融等）也会成为信息战的攻击目标 * 信息时代威胁图 * 类别 攻击举例 V 敌国政府、间谍 IV 商业间谍 III 罪犯 II 恶意用户、内部人员、普通黑客 I 用户误操作 * 网络攻击的动机 偷取国家机密 商业竞争行为 内部员工对单位的不满 对企业核心机密的企望 网络接入帐号、信用卡号等金钱利益的诱惑 利用攻击网络站点而出名 对网络安全技术的挑战 对网络的好奇心 * 攻击的一般过程 预攻击 内容： 获得域名及IP分布 获得拓扑及OS等 获得端口和服务 获得应用系统情况 跟踪新漏洞发布 目的： 收集信息，进行进一步攻击决策 攻击 内容： 获得远程权限 进入远程系统 提升本地权