培训课件-第一天-安全背景现状及相关技术设备

nullnull安全背景现状及相关技术设备 第一天null安全背景现状及相关技术设备 信息安全背景现状及相关技术 信息安全设备原理及应用 信息安全管理信息安全背景现状及相关技术信息安全背景现状及相关技术2009年11月CNCERT网络安全指数通报2009年11月CNCERT网络安全指数通报（1）基础网络的运行安全 互联网基础网络运行整体正常。我国西南某省发生一起省际通信光缆在城建施工中被挖断的事故,导致省内某运营商用户互联网访问异常达1小时以上。 针对境内基础网络的主要网络攻击仍然是拒绝服务攻击。运营商报送的针对基础IP网络的拒绝服务攻击次数较上月大幅增加66.0%，从部分运营商报送的详细统计来看，一般流量 攻击次数增加最多，所占攻击总次数的比例也由上月的86.0%增至93.6%。 2009年11月CNCERT网络安全指数通报2009年11月CNCERT网络安全指数通报 （2）公共互联网的网络安全 ①我国大陆地区约有2万个IP地址所对应的主机被境外通过木马程序秘密控制，较上月下降8.2%；位于我国大陆的木马控制服务器约有3.5万个，较上月下降25.8%； ②我国大陆地区约有5.9万个IP地址对应的主机被僵尸网络控制，与上月相比下降45.3%；位于我国大陆的僵尸网络控制服务器有433个，较上月增加8.3%； ③我国大陆地区被篡改网站数量为5073个，较上月下降12.4%，其中被篡改政府网站数量为290个，较上月的343个下降15.5%，占大陆被篡改网站的比例也由5.92%下降到5.72%； ④ CNCERT/CC接收到的事件数量较上月增长21.6%，其中除漏洞报告数量略有下降外，其他的网络安全事件报告数量均有不同程度的增长。 2009年11月CNCERT网络安全指数通报2009年11月CNCERT网络安全指数通报 （3）网络安全的主要威胁 近几个月披露的一些严重安全漏洞是互联网所面临的主要安全威胁。11月，CNCERT/CC接收到国内外安全组织报告的漏洞31个，其中高危漏洞16个。受影响的软硬件系统包括Apple、BIND 9、Blackberry、Google Chrome、HP 、Kaspersky、Linux、Microsoft、Opera和Serv-U FTP等。 此外，病毒、木马等恶意代码威胁程度相对较高，其传播和扩散的途径往往是利用了已经公布的系统和应用软件漏洞。本月泛滥的网页挂马成为互联网及用户面临的另一主要安全威胁。其中，高校网站挂马事件较多，其中不乏一些985工程以及211工程重点大学网站；月底，某大型招聘求职网站被挂马。目前正值高校毕业生求职高峰期，高校以及招聘求职类网站点击率高，成为近期黑客挂马的目标。 2009年11月CNCERT网络安全指数通报2009年11月CNCERT网络安全指数通报（4）用户对网络安全事件的感知情况 互联网用户感知最为强烈的事件是网页挂马事件和网站钓鱼事件。一个典型案例是：CNCERT协调国内域名注册企业打掉一个仿冒skype的网站；在CNCERT接到报告之前，该钓鱼网站已存活了较长时间，许多用户利益受到侵害。从CNCERT/CC接收国内外投诉事件情况看，垃圾邮件事件（占52%）和网页挂马事件（占34%）受用户关注度较高。 少林寺网站被黑事件少林寺网站被黑事件少林寺网站被黑事件少林寺网站被黑事件日本“宙斯盾”军舰泄密事件日本“宙斯盾”军舰泄密事件日本调查发现宙斯盾泄密缘于官兵传看黄色录象 根据神奈川县警署的调查，这名二等军曹隶属于海上自卫队第一护卫舰队“SHIRANE”号舰艇，他私自携带出的情报包括与该舰搭载的宙斯盾反导系统雷达性能以及迎击系统相关的图像和计算 公式 小学单位换算公式大全免费下载公式下载行测公式大全下载excel公式下载逻辑回归公式下载 ，都是自卫队法中所称的高度机密。随着调查的深入，涉案人员扩大至3人，除了这名二等军曹外，还有两名下士军官。 日本“宙斯盾”军舰泄密事件日本“宙斯盾”军舰泄密事件警方和海上自卫队联合组成的搜查组称，他们检查了二等军曹的硬盘，发现其中的机密情报是从其他舰艇上一名下士军官的电脑拷贝来的。 经查，这名下士军官的电脑中确实有相同的情报文件。二等军曹供认，他本来是去拷贝淫秽录像的，后来才发现把宙斯盾的情报文件也拷了过来。 据称，该军曹后来又把淫秽录像连同机密文件拷给了另一名下士军官。报道称，涉案的3名军官都没有权限接触宙斯盾情报，因此，神奈川警署与海上自卫队警务队认为，这个案件还涉及高级军官，可能也与传看淫秽录像有关。网络安全目前存在的威胁网络安全目前存在的威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫常见的黑客攻击方法及入侵技术的发展19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务www 攻击工具攻击者入侵者水平攻击手法半开放隐蔽扫描控制台入侵检测网络管理DDOS 攻击2002高常见的黑客攻击方法及入侵技术的发展入侵系统的常用步骤采用 漏洞 扫描 工具选择 会用 的 方式 入侵获取 系统 一定 权限提 升 为 最 高 权 限安装 系统 后门获取敏感信息 或者 其他攻击目的入侵系统的常用步骤较高明的入侵步骤端口 判断判断 系统选择 最简 方式 入侵分析 可能 有漏 洞的 服务获取 系统 一定 权限提 升 为 最 高 权 限安装 多个 系统 后门清除 入侵 脚印攻击其 他系统获取敏 感信息作为其 他用途较高明的入侵步骤常见的安全攻击方法常见的安全攻击方法直接获取口令进入系统：网络监听，暴力破解 利用系统自身安全漏洞 特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装 WWW欺骗：诱使用户访问纂改过的网页 电子邮件攻击：邮件炸弹、邮件欺骗 网络监听：获取明文传输的敏感信息 通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)社会工程学攻击 社会工程学攻击 社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。社会工程学攻击社会工程学攻击目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Email 1、打电话请求密码 尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。 2、伪造Email 使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。物理攻击与防范 物理攻击与防范 物理安全是保护一些比较重要的设备不被接触。 物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。 暴力攻击暴力攻击暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。 一个黑客需要破解—段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。2001年中美黑客大战2001年中美黑客大战事件背景和经过 4.1撞机事件为导火线 4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改 4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了 “五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战PoizonB0x、pr0phet更改的网页PoizonB0x、pr0phet更改的网页国内黑客组织更改的网站页面国内黑客组织更改的网站页面美国劳工部网站这次事件中采用的常用攻击手法这次事件中采用的常用攻击手法红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下： “我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统， 这个行动在技术上是没有任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出，Lion蠕虫 SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping )这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞Windows 2000登录验证机制可被绕过攻击的发展趋势混合型、自动的攻击 Internet混合型攻击:蠕虫Workstation攻击的发展趋势攻击的发展趋势攻击的发展趋势漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) 混合型威胁趋势 将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。 攻击的发展趋势攻击的发展趋势主动恶意代码趋势 制造方法：简单并工具化 技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件. 表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。 受攻击未来领域 即时消息：MSN,Yahoo,ICQ,OICQ等 对等程序(P2P) 移动设备 网络扫描及防范技术网络扫描及防范技术 安全扫描的基本概念 安全扫描的工作原理 安全扫描的主要技术 安全扫描技术的防范 现有安全扫描软件介绍 扫描的基本概念扫描的基本概念 什么是安全扫描 为什么需要安全扫描 安全扫描的主要功能什么是安全扫描什么是安全扫描 安全扫描：采用模拟黑客攻击技术来测试主机和网络的安全性，它检测主机当前可用的服务及其开放端口，查找可能被远程试图恶意访问者攻击的大量众所周知的漏洞，隐患及安全脆弱点。 为什么需要网络扫描为什么需要网络扫描由于系统管理员的疏忽或缺乏 经验 班主任工作经验交流宣传工作经验交流材料优秀班主任经验交流小学课改经验典型材料房地产总经理管理经验 ，导致旧有的漏洞依然存在 由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统漏洞层出不穷 许多人出于好奇或别有用心，不停的窥视网上资源null网络扫描是一把双刃剑 安全评估工具 系统管理员保障系统安全的有效工具 网络漏洞扫描 网络入侵者收集信息的重要手段 扫描器的基本工作原理扫描器的基本工作原理安全扫描的主要技术安全扫描的主要技术黑客进行攻击的第一步——踩点 通过向目标主机发送数据包，然后根据响应来搜集系统信息，发现服务器的端口分配及所提供服务和软件版本，可以进一步检测远程或本地主机安全脆弱性 根据扫描的方式不同，可以把扫描技术分为四大类：主机扫描技术、端口扫描技术、操作系统探测扫描技术、漏洞扫描技术 扫描技术对比扫描技术对比栈指纹OS识别技术栈指纹OS识别技术原理：根据各个OS在TCP/IP协议栈实现上的不同特点，采用黑盒测试方法，通过研究其对各种探测的响应形成识别指纹，进而识别目标主机运行的操作系统。根据采集指纹信息的方式，又可以分为主动扫描和被动扫描两种方式。被动扫描被动扫描通过Sniff收集数据包，再对数据包的不同特征（TCP Window-size、 IP TTL、IP TOS、DF位等参数）进行分析，来识别操作系统。 被动扫描基本不具备攻击特征，具有很好的隐蔽性，但其实现严格依赖扫描主机所处的网络拓扑结构；和主动探测相比较，具有速度慢、可靠性不高等缺点。主动扫描主动扫描采用向目标系统发送构造的特殊包并监控其应答的方式来识别操作系统类型。 主动扫描具有速度快、可靠性高等优点，但同样严重依赖于目标系统网络拓扑结构和过滤规则。漏洞扫描技术漏洞扫描技术漏洞扫描技术建立在端口扫描技术的基础之上 漏洞扫描技术的原理 漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞： 漏洞库的匹配方法。在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在； 插件（功能模块技术）技术。通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。 反扫描技术反扫描技术原理 技术组成 反扫描技术（一）反扫描技术（一）防范主动扫描 减少开放端口，做好系统防护 实时监测扫描，及时做出告警 伪装知名端口，进行信息欺骗 防范被动扫描 不会向受害主机发送大规模的探测数据，因此其防范方法只有采用信息欺骗这一种方法 反扫描技术（二）反扫描技术（二）防火墙技术 允许内部网接入外部网络，但同时又能识别和抵抗非授权访问 入侵检测技术 发现未经授权非法使用计算机系统的个体或合法访问系统但滥用其权限的个体 审计技术 对系统中任一或所有的安全事件进行记录、分析和再现 访问控制技术 对主体访问客体的权限或能力的限制扫描软件介绍扫描软件介绍传统扫描软件介绍 评价扫描软件的原则 现有扫描软件的不足扫描软件介绍（一）扫描软件介绍（一）Nmap －－老式系统漏洞扫描之王 优点 提供了大量的命令行选项，能够灵活地满足各种扫描要求 输出格式丰富 平台：windows/Linux URL：http://www.insecure.org/nmap/ 扫描软件介绍（二）扫描软件介绍（二）Nessus 由Renaud编写的开放源码项目。 优点：采用分布式结构引擎具有极大弹性，可扩展性强，漏洞库较全面。 平台：Windows/Linux/UNIX URL：Http://www.nessus.org扫描软件介绍（三）扫描软件介绍（三）ISS Internet Scanner 该产品一直是安全扫描器的业界标准。 优点：报告功能强大，漏洞检查集完备，可用性很好。 平台：Windows NT URL：Http://www.iss.net扫描软件介绍（四）扫描软件介绍（四）X-Scan 安全焦点的作品 优点：主要针对WindowsNT/Windows 2000操作系统的安全进行全面细致评估，可以扫描出很多Windows系统流行的漏洞，并详细的指出安全的脆弱环节与弥补措施。 平台：Windows URL：http://www.xfocus.net/评价扫描软件的原则（一）评价扫描软件的原则（一）漏洞检测的完整性 是否能扫描各类重要的系统漏洞，漏洞库信息的完备程度如何？ 漏洞检测的精确性 是否能准确报告系统漏洞，很少误报或漏报 漏洞检测的范围 是否能进行本地主机或远端主机的扫描 及时更新 是否能及时更新漏洞库，加入新发现的漏洞信息评价扫描软件的原则（二）评价扫描软件的原则（二）报告功能 是否有完善的报告功能，是客户便于理解和维护 价格 产品价格是否合理现有扫描器软件的不足现有扫描器软件的不足检测的完整性 没有一种产品可以发现所有漏洞 检测的准确性 常有漏报、误报现象 更新的及时性 对新漏洞的更新不够及时口令破解及防范技术口令破解及防范技术 口令的现状 口令破解技术 保护口令的策略 口令的未来口令的现状口令的现状根本没有口令 使用系统的默认口令和内建账号 使用容易猜测的口令 姓名 生日 没有定期更换 书面记录口令 随机口令极易混淆 ……口令破解技术——概念口令破解技术——概念在加密情况下猜测别人的明文口令 重要性 审计口令强度 恢复遗忘/不知道的口令 转移用户——不恰当 检查和平衡系统 黑客试图得到敏感信息——危险口令破解技术——技术类型（1）口令破解技术——技术类型（1）词典攻击 普通词典中的单词 暴力攻击 CPU的速度 分布式 口令更换周期应当比强行破解口令的时间短 组合攻击 两者相结合；破解“单词＋数字”型口令口令破解技术——技术类型（2）口令破解技术——技术类型（2）口令破解技术——其他类型口令破解技术——其他类型 工程社会学 偷窥 搜索垃圾箱保护口令的策略保护口令的策略使用强口令（相对概念） 每45天更换一次 至少10个字符 必须混用字母、数字、特殊字符 不能包含词典单词 不能重复使用 保护口令的方法——加密 对称与不对称加密 哈希函数口令的未来口令的未来一次性口令 SecurID 生物统计学 指纹识别 掌纹识别 视网膜识别 脸部识别 语音识别网络监听及防范技术网络监听及防范技术 概述 共享式局域网下的网络监听 交换式局域网下的网络监听 网络窃听的被动防范 网络窃听的主动防范 网络监听及防范技术——概述网络监听及防范技术——概述网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法 间接性 利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏 隐蔽性 网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信网络监听及防范技术——共享式局域网下（1）网络监听及防范技术——共享式局域网下（1） 共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到 一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式 网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧 网络监听及防范技术——共享式局域网下（2）网络监听及防范技术——共享式局域网下（2）使用MAC地址来确定数据包的流向 若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据 当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序 共享式网络下窃听就使用网卡的混杂模式 网络监听及防范技术——共享式局域网下（3）网络监听及防范技术——共享式局域网下（3）网络监听及防范技术——交换式局域网下（1）网络监听及防范技术——交换式局域网下（1）在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识 ARP协议实现的配对寻址 ARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。 局域网中每台主机都维护着一张ARP表，其中存放着地址对。 网络监听及防范技术——交换式局域网下（2）网络监听及防范技术——交换式局域网下（2）ARP改向的中间人窃听A发往B：(MACb，MACa， PROTOCOL，DATA) B发往A：(MACa，MACb， PROTOCOL，DATA)A发往B：(MACx，MACa， PROTOCOL，DATA) B发往A：(MACx，MACb， PROTOCOL，DATA)网络监听及防范技术——交换式局域网下（3）网络监听及防范技术——交换式局域网下（3） X分别向A和B发送ARP包，促使其修改ARP表 主机A的ARP表中B为 主机B的ARP表中A为 X成为主机A和主机B之间的“中间人” 网络监听及防范技术——网络窃听的被动防范 网络监听及防范技术——网络窃听的被动防范 分割网段 细化网络会使得局域网中被窃听的可能性减小 使用静态ARP表 手工输入地址对 采用第三层交换方式 取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换 加密 SSH、SSL、IPSec网络监听及防范技术——网络窃听的主动防范（1）网络监听及防范技术——网络窃听的主动防范（1）共享式局域网下的主动防范措施 伪造数据包 构造一个含有正确目标IP地址和一个不存在目标MAC地址——各个操作系统处理方式不同，一个比较好的MAC地址是FF-FF-FF-FF-FF-FE 性能分析 向网络上发送大量包含无效MAC地址的数据包，窃听主机会因处理大量信息而导致性能下降 网络监听及防范技术——网络窃听的主动防范（2） 网络监听及防范技术——网络窃听的主动防范（2） 交换式局域网下的主动防范措施 监听ARP数据包 监听通过交换机或者网关的所有ARP数据包，与预先建立的数据库相比较 定期探测数据包传送路径 使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查，并与备份的合法路径作比较 使用SNMP定期轮询ARP表 欺骗攻击及防范技术欺骗攻击及防范技术 IP欺骗及防范技术 电子邮件欺骗及防范技术 DNS欺骗及防范技术 Web欺骗及防范技术IP欺骗及防范技术——信任关系IP欺骗及防范技术——信任关系在hosta和hostb上Tomy的home目录中创建.rhosts文件 使用任何以r开头的远程调用命令（如rlogin、rsh、rcp等）而无需口令验证IP欺骗及防范技术——理论依据IP欺骗及防范技术——理论依据既然hosta和hostb之间的信任关系是基于IP址而建立起来的，那么假如能够冒充hostb的IP，就可以远程登录到hosta。 更加广泛的使用IP欺骗 IP是网络层的一个非面向连接的协议伪造IP地址比较容易，数据包改写IP欺骗及防范技术——会话劫持（1）IP欺骗及防范技术——会话劫持（1）一般欺骗会话劫持IP欺骗及防范技术——会话劫持（2）IP欺骗及防范技术——会话劫持（2）会话劫持攻击的基本步骤 发现攻击目标 确认动态会话 猜测序列号 关键一步，技术难点 使被冒充主机下线 伪造FIN包，拒绝服务攻击 接管会话IP欺骗及防范技术——会话劫持（3）IP欺骗及防范技术——会话劫持（3）猜测序列号 TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号 选择恰当时间，在数据流中插入一个欺骗包，服务器将接受这个包，并且更新ACK序列号；然而客户主机仍继续使用老的SEQ序列号，而没有察觉我们的欺骗包IP欺骗及防范技术——防范技术IP欺骗及防范技术——防范技术没有有效的办法可以从根本上防范会话劫持攻击 所有会话都加密保护——实现困难 使用安全协议（SSH、VPN）——保护敏感会话 对网络数据流采取限制保护措施——被动措施电子邮件欺骗及防范技术——案例电子邮件欺骗及防范技术——案例2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。 这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。 虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波，刺激人们针对信息安全问题展开了更加深切的讨论。 电子邮件欺骗及防范技术——原理电子邮件欺骗及防范技术——原理发送邮件使用SMTP（即简单邮件传输协议） SMTP协议的致命缺陷：过于信任原则 SMTP假设的依据是：不怀疑邮件的使用者的身份和意图 伪装成为他人身份向受害者发送邮件 可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件电子邮件欺骗及防范技术——防范电子邮件欺骗及防范技术——防范查看电子邮件头部信息 不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源 采用SMTP身份验证机制 使用与POP协议收取邮件时相同的用户名/密码 PGP邮件加密 以公钥密码学（Public Key Cryptology） 为基础的 改造或是摒弃SMTP协议DNS欺骗及防范技术——DNS工作原理DNS欺骗及防范技术——DNS工作原理DNS的全称是Domain Name Server，即域名服务器 先向本地域名服务器提出解析要求，若没有则向对应域权威域名服务器提出解析要求 存在有欺骗的可能性，与IP欺骗类似DNS欺骗及防范技术——欺骗原理DNS欺骗及防范技术——欺骗原理DNS欺骗及防范技术——防范DNS欺骗及防范技术——防范DNS欺骗的局限性 不能替换缓存中已经存在的记录 缓存（Cache）刷新时间问题 防御DNS欺骗：安全配置DNS服务器 使用最新版的DNS服务器软件（BIND） 关闭DNS服务器的递归功能 限制动态更新 Web欺骗及防范技术——概念Web欺骗及防范技术——概念人们利用计算机系统完成具有安全需求的决策时往往是基于屏幕的显示 页面、URL 图标、图片 时间的先后顺序 攻击者创造一个完整的令人信服的Web世界，但实际上它却是一个虚假的复制 攻击者控制这个虚假的Web站点，受害者浏览器和Web之间所有网络通信完全被攻击者截获 Web欺骗及防范技术——概念Web欺骗及防范技术——概念Web欺骗及防范技术——原理（1）Web欺骗及防范技术——原理（1）URL地址改写 http://www.dhs.com http://www.hacker.net/http://www.dhs.com/ 攻击者改写Web页中的所有URL地址，使它们指向攻击者的Web服务器不是真正的Web服务器 Web欺骗及防范技术——原理（2）Web欺骗及防范技术——原理（2）欺骗过程 用户单击经过改写后的http://www.hacker.net/http://www.dhs.com/； http://www.hacker.net/向http://www.dhs.com/请求文档； http://www.dhs.com/向http://www.hacker.net/返回文档； http://www.hacker.net/改写文档中的所有URL； http://www.hacker.net/向用户返回改写后的文档 Web欺骗及防范技术——原理（3）Web欺骗及防范技术——原理（3）隐藏纰漏 由于JavaScript能够对连接状态栏写操作，而且可以将JavaScript操作与特定事件绑定在一起。 攻击者完全可以将改写的URL状态恢复为改写前的状态。 JavaScript、ActiveX等技术使Web欺骗变得更为可信。 Web欺骗及防范技术——防范技术Web欺骗及防范技术——防范技术 检查页面的源代码 禁用JavaScrip、ActiveX等脚本语言 确保应用有效和能适当地跟踪用户 会话ID 使用尽可能长的随机数 提高安全意识是非常重要的拒绝服务攻击及防范技术 拒绝服务攻击及防范技术 DoS攻击概述 DoS攻击技术 DoS攻击防范 未来发展趋势DoS攻击概述——概念 DoS攻击概述——概念 广义定义 任何导致被攻击的服务器不能正常提供服务的攻击方式 实际定义 攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源，以使得被攻击计算机或网络无法提供正常的服务，直至系统停止响应甚至崩溃的攻击方式DoS攻击概述——原理和思想DoS攻击概述——原理和思想基本原理 使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务 基本思想 迫使服务器的缓冲区满，不接收新的请求 使用IP欺骗迫使服务器把合法用户的连接复位，影响合法用户的连接DoS攻击概述——分类 DoS攻击概述——分类 利用协议中的漏洞 SYN-Flood攻击 利用软件实现的缺陷 teardrop攻击、land攻击 发送大量无用突发数据攻击耗尽资源 ICMP flood攻击、Connection flood 攻击 欺骗型攻击 IP Spoofing DoS攻击 DoS攻击技术——常见DoS技术DoS攻击技术——常见DoS技术利用TCP/IP协议进行的TCP DoS攻击 SYN flood攻击 Land攻击 Teardrop攻击 利用UDP服务进行的UDP DoS攻击 UDP Flood DoS攻击 利用ICMP协议进行的ICMP DoS攻击 Ping of Death攻击 Smurf攻击DoS攻击技术——DDoS技术（1）DoS攻击技术——DDoS技术（1）DDoS是在传统的DoS攻击基础之上产生的一种分布、协作的大规模攻击方式 主要目标是较大的站点，像商业公司、搜索引擎和政府部门的站点 DDoS攻击是利用一批受控制的机器向一台机器发起攻击，具有较大的破坏性 各大网站遭受DDoS攻击的事件时有发生DoS攻击技术——DDoS技术（2）DoS攻击技术——DDoS技术（2）DoS攻击技术——DDoS技术（3）DoS攻击技术——DDoS技术（3）攻击者 攻击者所用的主机，也称为攻击主控台 主控端 攻击者侵入并控制的一些主机，分别控制大量代理攻击主机 代理攻击端 攻击者侵入并控制的一批主机，其上面运行攻击程序，接受和运行主控端发来的命令 受害者 被攻击的目标主机DoS攻击技术——DRDoS技术（1）DoS攻击技术——DRDoS技术（1）攻击者伪造源地址为受害者地址的SYN连接请求包发送给大量的被欺骗服务器 服务器群会向源IP（也就是受害者）发出大量的SYN+ACK或RST包来进行响应 大量服务器的响应数据包最终在受害者处汇集为洪水 受害者难以隔离攻击洪水流，并且更难找到洪水流的来源 DoS攻击技术——DRDoS技术（2）DoS攻击技术——DRDoS技术（2）分布式拒绝服务攻击的效果分布式拒绝服务攻击的效果由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。DDOS攻击的预防DDOS攻击的预防确保主机不被入侵且是安全的； 周期性审核系统； 检查文件完整性； 优化路由和网络结构； 优化对外开放访问的主机； 在网络上建立一个过滤器或侦测器在攻击信息到达网站服务器之前阻挡攻击信息。DoS攻击防范——传统技术DoS攻击防范——传统技术加固操作系统 配置操作系统各种参数 利用防火墙 Random Drop算法：按照算法规则丢弃后续报文 SYN Cookie算法：采用6次握手技术 负载均衡技术 带宽限制和QoS保证 对报文种类、来源等各种特性设置阀值参数 DoS攻击防范——防范措施建议DoS攻击防范——防范措施建议时刻关注安全信息，关注所有安全问题的发展 优化对外开放访问的主机，及时更新系统补丁，对主机进行正确设置,关闭不必要的服务 安装防火墙对出入数据包过滤，对防火墙进行正确设置，启用防火墙的防DoS/DDoS属性 优化路由和网络结构并对路由器进行正确设置 与ISP合作协助，辅助实施正确的路由访问控制策略以保护带宽和内部网络 系统管理员应经常检查漏洞数据库以确保服务器版本不受影响 发展趋势——攻击技术发展趋势——攻击技术DoS攻击隐蔽性更好 DoS攻击将会更多采用分布式技术 DoS攻击工具将会更易操作，功能将更完善，破坏性更大 DoS攻击将会更多地针对路由器和网关进行 DoS攻击将会更多的针对TCP/IP协议的先天缺陷进行 发展趋势——防范技术发展趋势——防范技术DoS攻击防范技术将会综合更多种算法、集成更多种网络设备功能、与多种安全产品联动或集成 DoS攻击防范软件可能借助硬件特性提高处理速率 DoS攻击防范技术或产品可靠性更高缓存区溢出攻击及防范技术缓存区溢出攻击及防范技术 缓冲区溢出攻击概述 缓存区溢出攻击原理 建立缓冲区溢出防范体系缓存区溢出攻击概述——概念缓存区溢出攻击概述——概念缓冲区溢出攻击是Internet上最普遍、也是危害最大的一种网络攻击手段 缓冲区溢出攻击是一种利用目标程序的漏洞，通过往目标程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，破坏程序的堆栈，使程序转而执行指定代码，从而获得权限或进行攻击的一种攻击手段缓存区溢出攻击概述——危害性缓存区溢出攻击概述——危害性自1988年的Moris蠕虫事件以来，缓冲区溢出一直是一种严重的安全问题 在近五年中，每年CERT/CC公布的缓冲区溢出漏洞在其当年公布的重大安全漏洞中所占比率均在50％以上 在Bugtraq的调查中，有2/3的被调查者均认为缓冲区溢出是一个很严重的安全问题缓存区溢出攻击原理 ——内存模型（1）缓存区溢出攻击原理 ——内存模型（1）程序运行时，操作系统会分配给每个进程独立的虚拟地址空间，包括代码区、数据区和堆栈区 缓冲区溢出攻击就是利用动态的堆栈区内容进行操作来达到攻击目的 C程序中，每当调用函数时就会自动处理堆栈分配 堆栈起到了保存有关当前函数调用上下文的容器的作用缓存区溢出攻击原理 ——攻击原理缓存区溢出攻击原理 ——攻击原理当实际赋入局部变量的值长度超出缓冲区长度，而程序中又缺乏边界检查机制时，数据就会继续向栈底写入，导致栈中旧的元素被覆盖 只要在程序运行时传送给它一个足够大的参数，就可以在返回地址中填入一个希望程序转到的任意内存地址，从而控制程序的运行权，而且此时攻击者拥有的权限与运行程序所需的权限相同建立缓冲区溢出防范体系建立缓冲区溢出防范体系 分为三个阶段： 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 阶段：安全编程 测试阶段：编译检查 使用阶段：安全配置建立缓冲区溢出防范体系——设计阶段建立缓冲区溢出防范体系——设计阶段安全编程 避免使用非安全的C函数 自身不进行变量检查的非安全字符串操作函数 执行边界检查 C和C＋＋不能自动进行边界检查 采用非执行堆栈技术 使被攻击程序的数据段和堆栈数据段地址空间不可执行 建立缓冲区溢出防范体系——测试阶段建立缓冲区溢出防范体系——测试阶段编译检查 编译检查阶段主要通过使用静态和动态测试工具来检查和消除缓冲区溢出漏洞 静态测试 搜索源代码、使用带有安全检查的编译器 动态测试 错误注入工具（Fault Injection System Tool ）建立缓冲区溢出防范体系——使用阶段建立缓冲区溢出防范体系——使用阶段安全配置 隐藏系统信息 使攻击者无法确认溢出漏洞的位置 关闭不需要的服务 不必要的对外服务往往会提供攻击者其所需的漏洞 最小权限原则 取消普通用户的控制台访问权限 减少特权程序的使用（权限位中出现“s”的文件）提问讨论时间提问讨论时间安全设备原理及应用安全设备原理及应用网络信息安全的关键技术安全管理技术网络信息安全的关键技术安全集成技术安全产品类型安全产品类型 密 钥 管 理 产 品高 性 能 加 密 芯 片 产 品密 码 加 密 产 品数 字 签 名 产 品安全授权认证产品信息保密产品数 字 证 书 管 理 系 统用 户 安 全 认 证 卡智 能 IC 卡鉴 别 与 授 权 服 务 器安全平台/系统安 全 操 作 系 统安 全 数 据 库 系 统W E B 安 全 平 台安 全 路 由 器 与 虚 拟 专 用 网 络 产 品网 络 病 毒 检 查 预 防 和 清 除 产 品安全检测与监控产品网 络 安 全 隐 患 扫 描 检 测 工 具网 络 安 全 监 控 及 预 警 设 备网 络 信 息 远 程 监 控 系 统网 情 分 析 系 统防火墙的概念防火墙的概念信任网络防火墙非信任网络 防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问，以达到保护系统安全的目的。 防火墙的作用示意图防火墙的作用示意图防火墙的基本功能防火墙的基本功能数据包过滤（Packet Filtering） 网络地址转换（Network Address Translation） 应用级代理（Proxy Service） 身份认证（Authentication） 虚拟专用网（Virtual Private Network)防火墙的不足 防火墙的不足防火墙并非万能，防火墙不能完成的工作： 源于内部的攻击 不通过防火墙的连接 完全新的攻击手段 不能防病毒 防火墙的不足防火墙的不足防火墙不能防止内部的攻击行为。例如网络内部员工进行的攻击防火墙就不会检测到。 防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护的内部网络不受限制的向外拨号接入Internet的话，某些用户可以建立与Internet的直接连接，从而使这些连接绕过防火墙，造成一个潜在的威胁，恶意用户很可能通过这些连接入侵内部网络。 防火墙的不足防火墙的不足防火墙不能防止感染了病毒的软件或文件的传输，一般只能在每台主机上装反病毒软件来实现这个目的。 防火墙不能防止数据驱动型攻击。当有些表面看来无害的数据被转发或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。 因此，防火墙只是整体安全防范策略的一部分。这种安全策略必须包括公开的，以便用户知道自身责任的安全准则、职员培训 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关规定。 入侵检测的概念和作用入侵检测的概念和作用 入侵检测即通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。入侵检测的概念和作用入侵检测的概念和作用所谓入侵，是指任何试图危及计算机资源的完整性、机密性或可用性的行为。 而入侵检测，顾名思义，便是对入侵行为的发觉。 它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（简称IDS）。 入侵检测的概念和作用入侵检测的概念和作用入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 入侵检测的主要功能 入侵检测的主要功能 实时入侵检测与响应 警报信息分类、查询功能 引擎集中管理功能 策略管理功能 警报信息的统计和报表功能 分级用户管理功能 入侵检测系统入侵检测系统工作原理：实时监控网络数据，与已知的攻击手段进行匹配，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 使用方式：作为防火墙后的第二道防线。 入侵检测工具举例利用RealSecure进行可适应性 攻击检测和响应DMZ ? E-Mail ? File Transfer ? HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继入侵检测工具举例入侵检测工具举例DMZ ? E-Mail ? File Transfer ? HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继利用RealSecure进行可适应性 攻击检测和响应入侵检测工具举例入侵检测工具举例利用RealSecure进行可适应性 攻击检测和响应DMZ ? E-Mail ? File Transfer ? HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继商务伙伴入侵检测工具举例加密技术加密技术消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密，加了密的消息称为密文，而把密文转变为明文的过程称为解密。 明文用M（消息）或P（明文）表示，密文用C表示。加密函数E（M）=C；解密函数D（C）=M； D（E（M））=M加密技术对称密码非对称密码加密技术对称加密原理： 加密和解密使用相同密钥 加密强度基本由其密钥长度决定 目前一般至少为128位 主要优缺点： 加密速度快 管理复杂，风险大对称加密非对称加密加密技术出现以来最重大的突破 原理 有两把成对的密钥，称为公钥和私钥，其中公钥可以对外公布 用一把密钥加密的数据只有用配对的另一把密钥才能正确解密 特点： 密钥易于管理，公钥不怕被窃取 但速度一般比对称加密算法慢很多非对称加密身份鉴别身份鉴别身份鉴别的过程 身份证实（Identity Verification） “你是否是你所声称的你？” 身份识别（Identity Recognition） “我是否知道你是谁？” 身份认证的方式 动态口令 nullEP动态口令举例login: Smithchallenge: 6729330 response:6040EP672933021886552188655你现在已认证成功 !使用公钥算法的加密与签名使用公钥算法的加密与签名公开密钥与对称密钥相结合的加密方式 公开密钥与对称密钥相结合的加密方式 数字签名数字签名签名可信。文件的接收者相信签名者是慎重地在文件上签字的。 签名不可伪造。签名证明是签字者而不是其他人在文件上签字。 签名不可重用。签名是文件的一部分，不可能将签名移到不同的文件上。 签名的文件是不可改变。文件被签名后不能改变。 签名不可抵赖。签名和文件是物理的东西，因此签名者事后不能说他没有签过名。使用公开密钥的签名使用公开密钥的签名公开密钥与对称密钥相结合的签名公开密钥与对称密钥相结合的签名完整的公钥加密与签名 完整的公钥加密与签名 数字证书数字证书数字证书（Digital ID），又叫“数字身份证”、“网络身份证”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。 数字证书采用公钥体制 。 数字证书的格式一般采用X.509国际标准。 证书验证证书验证当证书持有者A想与证书持有者B通信时，他首先查找数据库并得到一个从证书持有者A到证书持有者B的证书路径（Certification Path）和证书持有者B的公钥。这时证书持有者A可使用单向或双向验证证书。 单向验证是从证书持有者A到证书持有者B的单向通信。 双向验证与单向验证类似，但它增加了来自证书持有者B的应答。 数字证书的使用数字证书的使用每一个用户有一个各不相同的名称，一个可信的认证中心CA给每个用户分配一个唯一的名称并签发一个包含用户名称和公钥的证书。 证书可以存储在网络中的数据库中。用户可以利用网络彼此交换证书。当证书撤销后，它将从证书目录中删除，然而签发此证书的CA仍保留此证书的副本，以备日后解决可能引起的纠纷。 数字证书的存储 数字证书的存储 数字证书可以存放在计算机硬盘、软盘、IC卡或CPU卡中。 数字证书在计算机硬盘中存放时，使用方便，但存放证书的计算机必须受到安全保护 软盘保存证书，被窃取的可能性有所降低，但软盘容易损坏，易于导致用户数字证书的不可用。 使用IC卡存放证书成本较低，且本身不易被损坏，安全强度较高，成为目前较为广泛的一种数字证书存储方式。 使用CPU卡存放证书时，安全级别最高，但相对来说，成本较高。 安全评估系统的发展历程安全评估系统的发展历程简单的扫描程序功能较为强大的 商业化扫描程序安全评估专家系统 最早出现的是专门为UNIX系统编写的一些只具有简单功能的小程序，多数由黑客在业余时间编写。 特点是功能单一，通常只能进行端口或CGI扫描等等；使用复杂，通常只有黑客才能够熟练使用；源代码开放。 Nmap即是其代表作品。 99年以前，出现的功能较为强大的商业化产品，特点是测试项数目较多，使用简单。 但是通常只是简单的把各个扫描测试项的执行结果罗列出来，直接提供给测试者而不对信息进行任何分析处理。对结果的评估分析、报告功能很弱。这时期的产品，主要功能还是扫描。 CyberCop和ISS Scanner是其中的代表。 近两年，主要商业化产品均运行Windows操作系统平台上，充分利用了WINDOWS平台上界面的友好性和开发的简单行。正在进行由安全扫描程序到安全评估专家系统的过渡。 不但使用简单方便，能够将对单个主机的扫描结果整理，形成报表，能够并对具体漏洞提出一些解决方法。 但目前产品对网络的状况缺乏一个整体的评估，对网络安全没有系统的解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。安全评估系统分类安全评估系统分类基于网络的安全评估产品 对关键网络及设备进行安全评估 基于主机的安全评估产品 对关键主机进行安全评估 专用安全评估产品 如数据库安全评估产品 安全评估系统工作原理安全评估系统工作原理远程扫描分析目标设备1、发送带有明显攻击特征的数据包2、等待目的主机或设备的响应3、分析回来的数据包的特征4、判断是否具有该脆弱性或漏洞安全评估主要功能安全评估主要功能网络安全评估功能 评估分析结果报表 服务检查功能 隔离检查的功能 实用工具 VPNVPN虚拟的网：即没有固定的物理连接，网络只有用户需要时才建立； 利用公众网络设施构成。传统联网方式传统联网方式合作伙伴/客户公司总部办事处/SOHO公共网络DDN传统VPN联网方式传统VPN联网方式公司总部办事处/SOHO公共网络VPN通道VPN client提问讨论时间提问讨论时间信息安全管理信息安全管理安全是过程安全是过程安全存在于过程 安全不仅仅是一个产品，它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统。（相互联系） 安全最主要的问题不仅包括安全技术、安全工具或者是安全产品上的缺乏，同时也包括网络管理人员、主管和使用者对安全意识的缺乏。（木桶原理）安全是个连续的过程分析阶段：管理阶段：检测阶段：恢复阶段：保护阶段：需求分析、漏洞扫描防火墙、VPN 、防病毒入侵检测、授权、认证、签名审计系统、访问控制数据备份、系统恢复安全是个连续的过程安全层次体系结构安全层次体系结构常见的安全技术防范手段常见的安全技术防范手段防火墙 入侵检测 漏洞扫描 抗拒绝服务 防病毒 系统安全加固防火墙防火墙防火墙的局限性防火墙的局限性防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙本身的防攻击能力不够，容易成为被攻击的首要目标。 防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略。防火墙与IDS联动防火墙与IDS联动时间Dt-检测时间Pt-防护时间Rt-响应时间Pt-防护时间 >+null一个黑客在到达攻击目标之前需要攻破很多的设备(路由器，交换机)、系统（NT，UNIX）和放火墙的障碍，在黑客达到目标之前的时间，我们称之为防护时间Pt； 在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt,检测到黑客的行为后，我们需要作出响应，这段时间称之为Rt.假如能做到Dt+Rt