常见黑客攻击及安全防御手段
GUI远程控制 检测网络管理
利用已知的漏洞
密码破解 可自动复制的代码
攻击者
密码猜测
1980
1985
1990
1995
2000 2002
精选课件
4
入侵系统的常用步骤
采用 漏洞 扫描 工具
提
选择 会用 的 方式 入侵
获取 系统 一定 权限
升 为 最 高 权
限
安装 系统 后门
获取敏感信息 或者
其他攻击目的
精选课件
12
这次事件中被利用的典型漏洞
用户名泄漏,缺省安装的系统用户名和 密码
入侵者
利用黑客工具 扫描系统用户
精选课件
获得用户名 和简单密码
13
这次事件中被利用的典型漏洞
Windows 2000登录验证机制可被绕过
精选课件
14
攻击的发展趋势
File Server Web Server
混合型攻击:蠕虫
主要采用当时流行的系统漏洞进行攻击
精选课件
11
这次事件中被利用的典型漏洞
用户名泄漏,缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名
和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出,Lion蠕虫 SUN rpc.sadmind 远程溢出,sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping )
精选课件
5
较高明的入侵步骤
判断 系统
端口 判断
分析 可能 有漏 洞的 服务
提 选择 获取 升 最简 系统 为 方式 一定 最 入侵 权限 高
权 限
精选课件
攻击其 他系统
安装 多个 系统 后门
清除 入侵 脚印
获取敏 感信息
作为其 他用途
6
常见的安全攻击方法
直接获取口令进入系统:网络监听,暴力破解
▪ 表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发 展到可以在网络的任何一层生根发芽,复制传播,难以检测。
受攻击未来领域
▪ 即时消息:MSN,Yahoo,ICQ,OICQ等 ▪ 对等程序(P2P) ▪ 移动设备
精选课件
17
“红色代码”病毒的工作原理
1. 病毒利用IIS的 .ida 漏洞进入系统并获得Fra bibliotek精选课件
8
PoizonB0x、pr0phet更改的网页
国内某大型商业网站
国内某政府网站
中国科学院心理研究所
中经网数据有限公司
精选课件
9
国内黑客组织更改的网站页面
美国某大型商业网站
美国某政府网站
美国劳工部网站
美国某节点网站
精选课件
10
这次事件中采用的常用攻击手法
红客联盟负责人在5月9日网上记者新闻发布会 上对此次攻击事件的技术背景说明如下: “我 们更多的是一种不满情绪的发泄,大家也可以 看到被攻破的都是一些小站,大部分都是 NT/Win2000系统, 这个行动在技术上是没有 任何炫耀和炒作的价值的。”
防病毒
Web Server Workstation Via Web Page Via Email
防火墙
Workstation
入侵检测
Workstation
风险管理
Internet
Mail Server Mail Gateway
混合型、自动的攻击
精选课件
16
攻击的发展趋势
漏洞趋势
▪ 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约 60%不需或很少需用代码)
精选课件
18
尼母达 Nimada的工作原理
4 种不同的传播方式
▪ IE浏览器: 利用IE的一个安全漏洞
(微软在2001年3月份已发布修复程序 MS01-020)
▪ IIS服务器: 和红色代码病毒相同, 或直接利用它留 下的木马程序.
(微软在红色代码爆发后已在其网站上公布了所有 的修复程序和解决方案)
利用系统自身安全漏洞
特洛伊木马程序:伪装成工具程序或者游戏等诱使用 户打开或下载,然后使用户在无意中激活,导致系统 后门被安装
WWW欺骗:诱使用户访问纂改过的网页
电子邮件攻击:邮件炸弹、邮件欺骗
网络监听:获取明文传输的敏感信息
通过一个节点来攻击其他节点:攻击者控制一台主机 后,经常通过IP欺骗或者主机信任关系来攻击其他节 点以隐蔽其入侵路径和擦除攻击证据
SYSTEM 权限(微软在2001年6月份已发布修 复程序 MS01-033)
2. 病毒产生100个新的线程
• 99 个线程用于感染其它的服务器
• 第100个线程用于检查本机, 并修改当前 首页
3. 在7/20/01 时所有被感染的机器回参与对白 宫网站 的自动攻击.
常见黑客攻击及安全防御手段
绿盟科技 于慧龙
精选课件
1
提纲
常见的黑客攻击方法 常用的安全技术防范措施
精选课件
2
常见的黑客攻击方法
精选课件
3
入侵技术的发展
高 入侵者水平
攻击手法
半开放隐蔽扫描 工具
包欺骗 嗅探 擦除痕迹
拒绝服务
DDOS 攻击
www 攻击
自动探测扫描
后门
破坏审计系统
会话劫持 控制台入侵
▪ 电子邮件附件:
(已被使用过无数次的攻击方式)
▪ 文件共享: 针对所有未做安全限制的共享
精选课件
19
MYDOOM的工作原理
W32.Novarg.A@mm [Symantec] ,受影响系统: Win9x/NT/2K/XP/2003
1、创建如下文件:
混合型威胁趋势
▪ 将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏 洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。
主动恶意代码趋势
▪ 制造方法:简单并工具化
▪ 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术 手段巧妙地伪装自身,躲避甚至攻击防御检测软件.
拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)
精选课件
7
2001年中美黑客大战
事件背景和经过
▪ 4.1撞机事件为导火线 ▪ 4月初,以PoizonB0x、pr0phet为代表的美国黑客
组织对国内站点进行攻击,约300个左右的站点页 面被修改 ▪ 4月下旬,国内红(黑)客组织或个人,开始对美 国网站进行小规模的攻击行动,4月26日有人发表 了 “五一卫国网战”战前声明,宣布将在5月1日至 8日,对美国网站进行大规模的攻击行动。 ▪ 各方都得到第三方支援 ▪ 各大媒体纷纷报道,评论,中旬结束大战
