网络安全体系结构
¾ 较为隐蔽,不易被日志记录或防火墙发现
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
19
TCP SYN扫描
也叫半开式扫描 利用TCP连接三次握手的第一次进行扫描
扫 扫扫 描
器 器器
SYN
被
开放的端口
SYN+ACK握手
扫 描
SYN
RST 重置
不提供服务的端口
主 机
SYN 没有回应或者其他
5
入侵技能的演变
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
6
网络安全现状 网络安全威胁 网络安全解决方案 网络安全发展趋势 主流安全厂商和产品简介
本节大纲
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
7
网络潜在敌人
60%
Click to add Text 25%
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
9
反弹端口连接模式
Internet Explore
r 浏览网页
防火墙
端口
> 1024
目标主机
木马线程
IE
进 程
正常线程 正常线程
…
监听端口
IP数据包过滤
Windows 反弹式的远程
系统
控制程序
传统远程控制程序
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
5% 10%
骇客(cracker)
内部攻击 网络滥用用户 黑客(hacker)
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
8
特洛伊木马
特洛伊木马程序,或简称为特洛伊(trojan)是一些破坏性代码的传输载体;
木马:实质上是一个C/S架构,是一种远程控制的黑客工具;有服务器端和客 户端程序;
Client system
2. Install software to scan, compromise, and infect agents.
Handler systems
3. Agents are loaded with remote control attack software.
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
• 蠕虫是一种通过网络传播的恶意代 码,具有病毒的一些特点:传播性、 隐藏性、破坏性等;不利用文件寄 生即可以主动传播。传播速度比病 毒还快;
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
14
病毒
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
15
病毒
¾ 尼姆达是在 9·11 恐怖袭击整整一个星期后出现的,当时传言是中 国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达 病毒
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
18
端口扫描
目的
¾ 判断目标主机开启了哪些端口及其对应的服务
常规扫描技术
¾ 调用connect函数直接连接被扫描端口 ¾ 无须任何特殊权限 ¾ 速度较慢,易被记录
高级扫描技术
¾ 利用探测数据包的返回信息(例如RST)来进行间 接扫描
¾ 尼姆达是在早上9:08发现的,明显比红色代码更快、更具有摧毁 功能,半小时之内就传遍了整个世界。随后在全球各地侵袭了830 万部电脑,总共造成将近10亿美元的经济损失
30分钟后 在全球的感染面积
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
16
攻击通常可以分为三类:
¾ 侦查攻击; ¾ 访问攻击; ¾ 拒绝服务(DOS)攻击
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
23
安全漏洞扫描器
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
24
网络监听攻击
加密 passwd
$%@&)*=-~`^,{
sniffer
源
目的
解密
1
嗅探攻击是指通 .过软件将使用者 计算机网卡模式 置为混杂模式, 从而能查看通过 此网卡数据中明 文的重要信息。 比如用户的登陆 名和密码
网络攻击类型
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
17
侦查攻击
¾ 侦查攻击:实际上是一些搜集信息的行为,黑客们通过这种攻 击搜集网络数据,用于以后进一步攻击网络。像嗅探器和扫描 器这样的攻击软件可以用图形显示出网络资源的分布状态,发 现可能存在弱点
1. 服务器端口扫描; 2. 存活主机IP扫描; 3. 漏洞扫描; 4. 数据包的嗅探;
¾ ISS (Internet Security Scanner):安氏 ¾ SSS(Shadow Security Scanner):俄罗斯黑客 ¾ Retina Network Security Scanner:eEye ¾ LANguard Network Security Scanner ¾ CyberCop Scanner:NAI
防火墙过滤的端口
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
20
端口扫描工具x-scan
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
21
漏洞扫描的种类
系统漏洞扫描 特定服务的漏洞扫描
– WEB服务 – 数据库服务 – FTP服务 – Mail服务
信息泄漏漏洞扫描
– 用户信息 – 共享信息
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
11
传统木马远程控制步骤
侵袭过程:服务端程序的植入---连接请求并响应----客户端程序 (黑客)对其进行远程控制;
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
12
木马的传播
直接攻击 电子邮件 文件下载
经过伪装的木马 被植入目标机器
人为管理漏洞扫描
– 弱口令
– 错误配置
网络及管理设备漏洞扫 描
– 路由器、交换机
– SNMP设备
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
22
安全漏洞扫描器
安全漏洞扫描器的种类
¾ 网络型安全漏洞扫描器 ¾ 主机型安全漏洞扫描器 ¾ 数据库安全漏洞扫描器
安全漏洞扫描器的选用
¾ man-in-the-middle攻击需要黑客能访问到穿越网络的数据包 ¾ 中间人攻击有可能用做如下事情:
¾ 窃取信息 ¾ 劫持会话 ¾ 流量分析
• 引入新的信息到会话
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
30
中间人攻击案例
¾Arp”中间人”攻击,又称为ARP双向 欺骗。
¾如图,HOST A和HOST C通过switch进 行通信此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信, 它可以分别给这两台主机发送伪造的 ARP应答报文,使Host A和Host C用 MAC_B更新自身ARP映射表中与对方IP地 址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都 是通过黑客所在的主机间接进行的,即 Host B担当了“中间人”的角色,可以 对信息进行了窃取和篡改
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
28
访问攻击:密码攻击
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
29
访问攻击:中间人攻击
Host A
Data in Clear Text
Host B
Router A
Router B
¾ 通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯 罪分子可能会窃听通信信息,甚至更改被传输的数据分组。犯罪分子可 以不同的方法来阻截数据。例如IP伪装,即通过使用数据接收者的IP地 址,伪装成数据传输中的经过授权的一方
网络安全体系结构
长沙蓝狐网络培训
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
1
网络安全现状 网络安全威胁 网络安全解决方案 网络安全发展趋势 主流安全厂商和产品简介
本节大纲
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
2
网络架构的演变(过去)
¾ 在过去,网络大多是封闭式的,因此比较容易确保其安全性。那时的安 全性是取决于周边环境的,因此网络本身是一个静态的环境。周边环境 是很容易定义的,网络智能是不需要的,而简单的安全性设备足以承担 封堵安全性漏洞的任务
DOS攻击经典攻击:
¾ SynFlood ¾ Smurf ¾ PingFlood ¾ UDP Flooder
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
32
拒绝服务攻击—SynFlood
正常的TCP/IP三次握手
客 户 端
SYN
服
务
SYN+ACK 器
ACK
握手完成,开始传送数 据,系统消耗很少
Target
目标机器会接收很多来自中介网络的 请求
中介网络 放大器
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
34
DDOS图示
1. Scan for systems to hack.
4. The client issues commands to handlers that control agents in a mass attack.
4
网络威胁的演进
全球网络 整个地区 性网络 集团网络
私有网络 私人电脑
几秒 几分钟 几天 几周
1980s
• 闪电攻击 • 大量蠕虫驱动的拒绝服务攻击
下一代
• 分布式拒绝服务攻击DDOS • 混合攻击
第三代
• 宏病毒 • 拒绝服务攻击DOS
