网络安全培训
31
蠕虫
蠕虫是一段独立的可执行程序, 它可以通过计算机网络把自身的拷 贝(复制品)传给其他的计算机。 蠕虫可以修改、删除别的程序,但 它也可以通过疯狂的自我复制来占 尽网络资源,从而使网络瘫痪。
32
后门与隐蔽通道
调试后门:为方便调试而设置的机关,系统调试完成后未能 及时消除。
维护后门:为方便远程维护所设置的后门,被黑客恶意利用。 恶意后门:由设计者故意设置的机关,用以监视用户的秘密
•混杂模式 • 处于这种模式的网卡接受网络中 所有数据包
25
网上截获的 帐号和口令
26
针对网络嗅探攻击的防范措施
•安装网关,防止对网间网信道进行嗅探 •对内部网络通信采取加密处理 •采用交换设备进行网络分段 •采取技术手段发现处于混杂模式的主机,发掘“鼹鼠”
27
缓冲区溢出
什么是缓冲区溢出 简单地说,缓冲区溢出就是向堆栈中分配的局
正常tcp connect
不能建立正常的连接
受害者
52
“拒绝服务”的例子: 攻击
攻击者 172.18.1.1
Code
Internet
欺骗性的 包 源地址 204.241.161.12 139 目的地址 204.241.161.12 139
目标 204.241.161.12
53
“拒绝服务”的例子: 攻击
SYN
ACK | SYN
???
SYN
ACK | SYN
ACK
其它正常用户能够得到响应
目标
49
针对攻击的防范措施(二)
好像不管 用了
攻击者
攻击者伪造源地址进行请求
SYN
ACK | SYN
???
其它正常用户能够得到响应
目标
50
攻击
源地址和目标地址相同! 即目标与自己在联接。
这么多需 要处理?
正常用户
奔腾三处理器和微软公司的98一方面带来更高性能和更快 速度,但另一方面有可能成为随时会泄密的“定时炸弹”。
34
病毒 是人编写的一段程序! 太多了!
35
计算机病毒的分类
引导型病毒() 可执行文件病毒(病毒) 宏病毒(七月杀手) 特洛伊木马型病毒() 病毒(爱虫) 脚本病毒( ) 混合型病毒()
36
部数据块中写入了超出其实际分配大小的数据, 导致数据越界,结果覆盖了原先的堆栈数据。 例如: ( *) { [16]; (); }
28
堆栈溢出攻击
十年来最大的安全问题
这是一种系统攻击手段,通过 向程序的缓冲区写超出其长度的 内容,造成缓冲区的溢出,从而 破坏程序的堆栈,使程序转而执 行其它指令,以达到攻击的目的 。这种攻击可以使得一个匿名的
据报道,曾上市的奔腾三处理器中设置了用以识别用户身 份的序列码,每一台机器只有唯一的序列码且永久不变,电 脑用户在网络或互联网上所做的每一件事都会留下痕迹,或 处于别人的监视之下。
而此前上市的操作系统98则会根据用户的计算机硬件配置 情况生成一串用户名字、相关地址代码等全球唯一的识别码, 然后通过电子注册程序在用户不知道的情况下传送到微软的 网站上。
认无人在身边。 定期改变口令,至少2个月要改变一次。
20
针对口令破解攻击的防范措施
安装入侵检测系统,检测口令破解行为 安装安全评估系统,先于入侵者进行模拟口令破解,以 便及早发现弱口令并解决 提高安全意识,避免弱口令
21
网络监听
网络监听的作用: 可以截获用户口令; 可以截获秘密的或专用的信息; 可以用来攻击相邻的网络; 可以对数据包进行详细的分析; 可以分析出目标主机采用了哪些协议。
22
常用网络监听工具
工具名称
操作系统
, , ,
, 、
功能简介 针对协议的不安全性进行监听 可以从以太网上监听并截获数据包 监控在以太网上传输的数据包 监听以太网上的通信 用来侦听本网段数据包,常用作错误诊断 显示当前的连接和协议统计 监听局域网上的通信的主机 监听外部主机对本机的访问
23
漏洞扫描和攻击之网络嗅探
29
用户有机会获得一台主机的部分
路由攻击
注入假的路由到路由选择系统 重定向业务流到黑洞 重定向业务流到慢的链接 重定向业务流到可以分析与修改的地点
30
逻辑炸弹
逻辑炸弹是一段潜伏的程序,它以某种逻 辑状态为触发条件,可以用来释放病毒和蠕虫 或完成其他攻击性功能,如破坏数据和烧毁芯 片。它平时不起作用,只有当系统状态满足触 发条件时才被激活。
正常的三次握手建立通讯的过程
SYN (我可以连接吗?)
发起方
ACK (可以)/SYN(请确 认!)
ACK (确认连接)
应答方
46
就是让 你白等
攻击者
攻击原理
伪造地址进行SYN请求
SYN (我可以连接吗?) ACK (可以)/SYN(请确认!)
不能建立正常的连接
为何还 没回应
受害者
47
连接耗尽
攻击者 正常用户
执行无关程序使系统响应减慢甚至 瘫痪,影响正常用户的使用,甚 至使合法用户被排斥而不能进入 计算机网络系统或不能得到相应 39
的定义
*定义及分类
• 分布式拒绝服务(Distributed Denial of Service),即对特定的目标,利用大 量分布式的合理服务请求来占用过多的服务资源,从而导致系统崩溃,无 法提供正常的Internet服务。
3
严峻的安全形势
4
面临的安全威胁
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
信息丢失、 篡改、销毁
网络
拒绝服务攻击
逻辑炸弹
蠕虫
内部、外部泄密
5
额外的不安全因素
内部个体 生产部
工程部
DMZ E-Mail File Transfer HTTP
中继
路由
市场部 人事部
Intranet
内部/组织 企业网络
15
口令攻击:“*”密码查看
16
口令攻击演示:密码破解
17
口令攻击
针对口令破解攻击的防范措施
不用中文拼音、英文单词 不用生日、纪念日、有意义的字符串 使用大小写字母、符号、数字的组合
19
针对口令破解攻击的防范措施
不要将口令写下来。 不要将口令存于电脑文件中。 不要让别人知道。 不要在不同系统上使用同一口令。 为防止眼明手快的人窃取口令,在输入口令时应确
12
常见的黑客攻击方法
• 常见的网络攻击(10种)
口令攻击 网络监听 缓冲区溢出 路由攻击 逻辑炸弹
• 其它网络攻击
• 蠕虫 • 后门、隐蔽通道 • 计算机病毒 • 拒绝服务攻击( ) • 特洛伊木马
口令攻击
口令攻击软件- 1.4 这个软件由著名的黑客组织出的,它支持, , , 速度超快,
外部/组织
Internet
外部个体
6
网络的普及使学习网络进攻变得容易
全球超过26万个黑客站点提供系统漏洞和攻击知识 越来越多的容易使用的攻击软件的出现 国内法律制裁打击力度不够
7
攻击的发展趋势
File Server Web Server
混合型攻击:蠕虫
防病毒
Web Server Workstation Via Web Page Via Email
10
为什么会有这么多的攻击漏洞
简单介绍各种漏洞及原因 设计上的缺陷 利益上的考虑 软件变得日益复杂
11
针对漏洞扫描的防范措施
•安装防火墙,禁止访问不该访问的服务端口,使用隐藏内部网络结构 •安装入侵检测系统,检测漏洞扫描行为 •安装评估系统,先于入侵者进行漏洞扫描,以便及早发现问题并解决 •提高安全意识,经常给操作系统和应用软件打补丁
针对病毒攻击的防范措施
•安装防火墙,禁止访问不该访问的服务端口 •安装入侵检测系统,检测病毒蠕虫攻击 •安装防病毒软件,阻挡病毒蠕虫的侵袭 •提高安全意识,经常给操作系统和应用软件打补丁
37
应用漏洞攻击及防范
另一种威胁 拒绝服务攻击——
拒绝服务攻击
不断对网络服务系统进行干扰,改 变其正常的作业流程。
乃至破坏用户的系统 隐蔽通道:是一种允许违背合法的安全策略的方式进行操作
系统进程间通信()的通道。隐蔽通道又分为隐蔽存储通道 与隐蔽时间通道。隐蔽通道的重要参数是带宽。
33
操作系统后门
至今我国使用的处理器和操作系统等重要软硬件依然靠国 外进口,有的发达国家出于种种目的,在软硬件上留下缺口 或者“后门”,给我国信息安全留下了巨大的隐患。
攻击者 172.18.1.1
Code
Internet
目标 204.241.161.12
崩溃
包欺骗 源地址 204.241.161.12 139 目的地址 204.241.161.12 139
大量的tcp connect
正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect
正常tcp connect
不能建立正常的连接
这么多需 要处理?
受害者
48
针对攻击的防范措施(一)
好像不管 用了
攻击者
攻击者伪造源地址进行请求
网络服务 质量下降
需求方、 服务获取者、 资金注入者
攻击地下产业化
攻击实施者
地下黑客攻击网络
攻击工具
传播销售
漏洞研究
僵尸网络
制造、控制, 培训、租售
学习、 赚钱
工具、病毒 制作
漏洞研究、 目标破解
培训 广告 经纪人
&
目前主要的攻击方式
攻击 攻击 攻击 攻击 攻击 攻击 攻击