网络攻击的常见手段与防范措施演示文稿.pptVIP

* * * * * * * * * * 雅虎作为美国著名的互联网门户网站，也是20世纪末互联网奇迹的创造者之一。然而在2013年8月20日，中国雅虎邮箱宣布停止提供服务。就在大家已快将其淡忘的时候，雅虎公司突然对外发布消息，承认在2014年的一次黑客袭击中，至少5亿用户的数据信息遭窃。此次事件成为了有史以来规模最大的单一网站信息泄露事件。 2、SQL注入攻击 当前第29页\共有42页\编于星期日\12点 攻击方法 SQL注入主要是由于网页制作者对输入数据检查不严格，攻击者通过对输入数据的改编来实现对数据库的访问，从而猜测出管理员账号和密码； 如/view.asp?id=1； 改为/view.asp?id=1 and user=‘admin’； 如果页面显示正常，说明数据库表中有一个user字段，且其中有admin这个值； 通过SQL注入攻击可以探测网站后台管理员账号和密码。 SQL注入：就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。 当前第30页\共有42页\编于星期日\12点 利用探测出的管理员账号和密码登陆网站后台，在拥有附件上传的功能模块中尝试上传网页木马或一句话木马（一般利用数据库备份和恢复功能）； 通过网页木马探测IIS服务器配置漏洞，找到突破点提升权限，上传文件木马并在远程服务器上运行； 通过连接木马彻底拿到系统控制权； 因此，SQL注入只是网站入侵的前奏，就算注入成功也不一定可以拿到web shell或root。 当前第31页\共有42页\编于星期日\12点 1、输入验证 检查用户输入的合法性，确信输入的内容只包含合法的数据。 2、错误消息处理 防范SQL注入，还要避免出现一些详细的错误消息，因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。 3、加密处理 将用户登录名称、密码等数据加密保存。 4、存储过程来执行所有的查询 SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。 5、使用专业的漏洞扫描工具 6、确保数据库安全 7、安全审评 防范措施 当前第32页\共有42页\编于星期日\12点 3、ARP攻击 ARP（Address Resolution Protocol，地址解析协议）是根据IP地址获取物理地址的一个TCP/IP协议。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP攻击仅能在局域网内进行。 ARP请求包是以广播的形式发出，正常情况下只有正确IP地址的主机才会发出ARP响应包，告知查询主机自己的MAC地址。 局域网中每台主机都维护着一张ARP表，其中存放着IP—MAC地址对。 当前第33页\共有42页\编于星期日\12点 ARP改向的中间人窃听 A发往B：(MACb，MACa，PROTOCOL，DATA) B发往A：(MACa，MACb，PROTOCOL，DATA) A发往B：(MACx，MACa，PROTOCOL，DATA) B发往A：(MACx，MACb，PROTOCOL，DATA) 当前第34页\共有42页\编于星期日\12点 原理： X分别向A和B发送ARP包，促使其修改ARP表 主机A的ARP表中B为IPb—MACx 主机B的ARP表中A为IPa—MACx X成为主机A和主机B之间的“中间人”，可以选择被动地监测流量，获取密码和其他涉密信息，也可以伪造数据，改变电脑A和电脑B之间的通信内容。 防范措施： 网关和终端双向绑定IP和MAC地址。 局域网中的每台电脑中进行静态ARP绑定。 打开安全防护软件的ARP防火墙功能。 彻底追踪查杀ARP病毒。 当前第35页\共有42页\编于星期日\12点 01 常见的安全防范措施 目 录 三、安全防范措施 当前第36页\共有42页\编于星期日\12点 常用的安全防范措施 物理层 网络层 路由交换策略 VLAN划分 防火墙、隔离网闸 入侵检测 抗拒绝服务 传输加密 系统层 漏洞扫描 系统安全加固 SUS补丁安全管理 应用层 防病毒 安全功能增强 管理层 独立的管理队伍 统一的管