网络安全及防护措施
湖北托普
1
概要
一、安全隐患及安全认识分析 二、网络安全体系结构 三、网络安全整体防护思路
2
一、安全隐患及安全认识分析
3
网络安全事件
2019/9扬州郝氏兄弟工行窃款案例 北京机场票务系统瘫痪 深交所证券交易系统瘫痪 二滩电厂网络安全事故 大量的网站被黑、被攻击 网上信用卡密码被盗，钱被划走
攻击者利用该进程可以方便的再次进入系
统而不用身份验证；攻击者可以利用这个 后门向新的目标发起攻击
通常控制端和木马植入端的通信是加密处
理的，很难发现
36
常见的木马工具
Netbus Bo2k Subseven Doly 冰河
37
Unix 后门技术
管理员通过改变所有密码类似的方法来提
击
文件，重要资料遭到破坏 系统濒临崩溃，无法正常运行 网络涌堵，正常通信无法进行 重要信息资料被窃取，机密资料泄漏，造
成重大经济损失
8
常规攻击行为的步骤
预攻击信息探测，使用扫描器获取目标信
息，这些信息可以为：主机或设备上打开 的服务，端口，服务程序的版本，系统的 版本，弱密码帐号等
GET请求 SET请求
常规配置信息 RO community
RW community
修改或下载所有状 态信息
MIBS
29
设备攻击的形式
攻击者
控制 INTERNET
对内部攻击 切断
跳板攻击
内部网络
其它网络
30
蠕虫
蠕虫是一段独立的可执行程序，它可以 通过计算机网络把自身的拷贝（复制品）传 给其他的计算机。蠕虫可以修改、删除别的 程序，但它也可以通过疯狂的自我复制来占 尽网络资源，从而使网络瘫痪。
4
安全威胁种类分析图
逻辑炸弹
木马
拒绝服务
后门
信息丢失、 篡改 病毒
网络
黑客攻击
信息外泄
资源占用
5
常见的攻击方式介绍
6
了解攻击的作用
网络管理员对攻击行为的了解和认识，
有助于提高危险性认识
在遭遇到攻击行为时能够及时的发现
和应对
了解攻击的手段才能更好的防范
7
攻击带来的后果
系统被侵占，并被当作跳板进行下一步攻
高安全性，仍然能再次侵入
大多数后门能躲过日志，大多数情况下，
即使入侵者正在使用系统也无法显示他在 线的情况和记录
后门往往被反复利用来攻击该主机，发现
主机的变化，除掉新装上的监控系统
后门攻击对unix有很大的危害性
38
密码破解后门
入侵者通过一个弱密码和默认密码帐号进
行弱点攻击取得了系统的控制权
取得shadow文件和 passwd文件，其中
passwd文件的加密机制较弱，但对shadow 文件的破解技术也在发展
攻击者取得文件后crack密码文件，扩大战
果，造成主机系统的众多用户口令丢失
优点是管理员很难 确定到底那个帐号被窃
取了
39
Rhosts++后门
联网的unix主机，像rsh和rlogin这样的服务
16
Ping of death
• Ping of death就是故意产生畸形的测 试 Ping 包 ， 声 称 自 己 的 尺 寸 超 过 ICMP 上 限 ， 也 就 是 加 载 的 尺 寸 超 过 64KB 上 限 ， 使 未 采 取 保 护 措 施 的 网 络系统出现内存分配错误，导致 TCP/IP协议栈崩溃，最终接收方宕机。
优点：suid进程在系统中有很多，但并不都
属于root身份，很多是正常进程，难以查找
即便使用find / -perm 4700 -print
41
Login后门
Unix中，login程序通，常对telnet的用户进行验证，
入侵者在取得最高权限后获取login.c的源代码修 改，让它在比较口令与存储口令时先检查后门口 令，这样攻击者可以登录系统不需系统的验证
31
蠕虫攻击技术
蠕虫技术是病毒和黑客攻击手法的
结合，包含两者的技术，这种攻击 造成的后果比单一的黑客攻击和病 毒传染要大的多
攻击的第一步是扫描，找出符合攻
击漏洞的主机，这其中包括端口扫 描和脆弱性扫描
32
蠕虫攻击技术
实施攻击，现在的手法大多是缓冲区
溢出和系统自身的解码漏洞如Code red的.ida/idq 溢出和Lion的wu-ftpd缓 冲区溢出
是基于rhosts文件里的主机名的简单验证
攻击者只需向可访问的某用户的主目录的
rhosts文件中输入“++”表示所有的主机均 可以利用该帐号就可以无需口令进入该帐 号
Home目录通过NFS向外共享时，如权限设
置有误，更容易成为攻击的对象
攻击者Байду номын сангаас喜欢使用rsh这样的工具，因为这
种连接缺少日志记录能力，不易被发现
由于后门口令是在用户真实登陆之前进行的，所
以不会被记录到utmp和wtmp日志的，所以攻击者 可以获得shell而不暴露
为了防止管理员使用strings查找login文件的文本
信息，新的手法会将后门口令部分加密
缺点是如果管理员使用MD5校验的话，会被发现
42
Telnetd后门
用户telnet 到系统，监听端口的inetd服务接
40
Suid和sgid进程后门
Uid是unix中的用户标志，标志用户的身份
和权限，suid进程则表示该进程归该用户所 有，具有该用户的身份权限
攻击者通常通过溢出和其他的手法取得root
权限，然后使用root身份属主一个文件如 chown root.root /bin/ls;suid这个文件如 chmod 4755 /bin/ls ;然后将其移到一个不起 眼的位置，这样任何一个普通用户登陆导 系统后只要执行该/bin/ls就可提升到root身 份
现行版本中网管端和设备间的通信只需经
过一个叫做community 值的简单验证，管 理端提供read only 的community 值时可以 读取该设备的常规运行信息，如提供read write值时，这可以完全管理该设备。
攻击网络互连设备的一条捷径，而且不太
被注意
28
Snmp的安全验证机制
Web欺骗攻击
创造某个网站的复制影像 用户输入户名、口令 用户下载信息，病毒、木马也下载
26
扫描器的功能简介
扫描器是 网络攻击中最常用的工具，并不直 接攻击目标，而是为攻击提供信息
扫描器至少应有三种功能：发现一个主机或 网络的能力；一旦发现，探测其存在的服 务及对应的端口；通过测试这些服务，发 现漏洞
数据段请求连接
黑客等待目标机发送ACK包给已经瘫痪
的主机
黑客伪装成被信任主机，发送SYN数据
段给目标主机
建立连接
21
IP碎片攻击
22
IP碎片攻击
只有第一个分段包含了上层协议信息 包过滤将丢弃第一个分段 其他分段允许通过 将在目的地被重组 目的主机需等待重传不完全的包, 最后返
43
文件系统后门
攻击者需要在已占领的主机上存储一些脚
本工具，后门集，侦听日志和sniffer信息等， 为了防止被发现，故修改 ls,du,fsck以隐藏 这些文件
受联接，随后传给in.telnetd,由他调用login 进程，在in.telnetd中也有对用户的验证信 息如登陆终端有Xterm,VT100等，但当终端 设为“letmein”时就会产生一个不需要身份 验证的shell来
攻击者知道管理员会检查login程序，故会
修改in.telnetd程序，将终端设为“letmein” 就可以轻易的做成后门
能响应正常请求，导致瘫痪 • 在目标主机上放了木马，重启主机，引导
木马 • 为完成IP欺诈，让被冒充的主机瘫痪 • 在正式进攻之前，要使目标主机的日志记
录系统无法正常工作
13
拒绝服务攻击的种类
• Land • Ping of Death • SYN flood • Dos/DDdos
14
Land Attack
• 在Land攻击中，黑客利用一个特别打造的 SYN包--它的原地址和目标地址都被设置 成某一个服务器地址进行攻击。此举将导 致 接 受 服 务 器 向 它 自 己 的 地 址 发 送 SYNACK消息，结果这个地址又发回ACK消息 并创建一个空连接，每一个这样的连接都 将 保 留 直 到 超 时 ， 在 Land 攻 击 下 ， 许 多 UNIX将崩溃，NT变得极其缓慢（大约持 续五分钟）。
17
SYN Flooding攻击 SYN Flooding 三段握手 内核处理
18
什么是DoS/DdoS攻击
•Denial of Service (DoS) 拒绝服务攻击
–攻击者利用大量的数据包“淹没”目标主机，耗尽 可用资源乃至系统崩溃，而无法对合法用户作出响 应。
•Distributed Denial of Service (DDoS)分布 式拒绝服务攻击
程序 • 危害：复制、更改、删除文件，查获密码、口令，
并发送到指定的信箱，监视被控计算机。 • BO、国产木马冰河 • 查看注册表：有无陌生项
35
木马技术
攻击者在成功侵占系统后往往会留下能够
以特殊端口监听用户请求并且能够绕过系 统身份验证的进程。
改进程在系统中运行具有隐秘性质，管理
员用常规的系统监视工具不容易发现
成功后在目标主机上自我复制攻击程
序，感染文件，疯狂调用进程。与发 起者脱离关系直接成为下一次攻击发 起者，换个网段继续扫描，攻击，以 此类推，这种扩散是最大的