CH网络攻击行为分析PPT课件

业务流分析 改动信息流 篡改或破坏数据 推断或演绎信息 非法篡改程序
第14页/共49页
实施安全威胁的人员
• 心存不满的员工 • 软硬件测试人员 • 技术爱好者 • 好奇的年青人 • 黑客（Hacker） • 破坏者（Cracker） • 以政治或经济利益为目的的间谍
第15页/共49页
互 联 网 上 的 黑 色 产 业 链
第25页/共49页
缓冲区溢出
Buffer overflow attack 缓冲区溢出攻击 –缓冲区溢出漏洞大量存在于各种软件中 –利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严 重后果。
最早的攻击1988年UNIX下的Morris worm 最近的攻击
–Codered 利用IIS漏洞 –SQL Server Worm 利用SQL Server漏洞 –Blaster 利用RPC漏洞 –Sasser利用LSASS漏洞
第2章 攻击信息安全的行为分析
第1页/共49页
基本内容
网络信息安全技术与黑客攻击技术都源于同一技术核心， 即网络协议和底层编程技术，不同的是怎么使用这些技术。 很多软件或设备可以为网络管理和安全提供保障，但当 被别有用心的人所利用时，就成了黑客工具，就象刀具， 是基本生活用具，又可成为杀人凶器。我们要做到“知己 知彼”，才能“百战不殆”，对黑客的攻击手段、途径、 方法和工具了解得越多，越有利于保护网络和信息的安全。 在介绍信息安全技术以前，本章先来分析与黑客攻击相 关的知识。
第26页/共49页
向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出， 破坏程序的堆栈，使程序转而执行其他的指令，达到攻 击的目的。
原因：程序中缺少错误检测: void func(char *str) {
char buf[16]; strcpy(buf,str); } 如果str的内容多于16个非0字符，就会造成buf的溢出， 使程序出错。
第6页/共49页
第7页/共49页
软件“复杂性”
第8页/共49页
2.1 安全问题的起源和常见威胁
• 2.1.4 网络与应用风险——威胁和攻击 • 对数据通信系统的威胁包括： • 对通信或网络资源的破坏 • 对信息的滥用、讹用或篡改 • 信息或网络资源的被窃、删除或丢失 • 信息的泄露 • 服务的中断和禁止 • 威胁和攻击的来源 • 内部操作不当 • 内部管理不严造成系统安全管理失控 • 来自外部的威胁和犯罪
第31页/共49页
• 典型的拒绝服务攻击有如下两种形式：资源耗尽和资源过载。 • 当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击（例如，
对已经满载的Web服务器进行过多的请求。）拒绝服务攻击还有可能是由于软件的 弱点或者对程序的错误配置造成的。 • 区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否 过份，从而使得其他的用户无法享用该服务资源。
第2页/共49页
2.1 安全问题的起源和常见威胁
• 2.1.1 信息安全问题的起源 • 信息安全问题是一个系统问题 • 计算机网络是目前信息处理的主要环境和信息传输的主要载体 • 互联网的“无序、无界、匿名”三大基本特征也决定了网络信息的不安全
第3页/共49页
2.1 安全问题的起源和常见威胁
• 2.1.2 物理安全风险 • 计算机本身和外部设备乃至网络和通信线路面临各种风险，如各种自然灾害、人为破坏、操作失误、 设备故障、电磁干扰、被盗和各种不同类型的不安全因素所致的物质财产损失、数据资料损失等。
• 其中，广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料
第18页/共49页
18 Melissa
18
感 15
15 布
染 12
Loveletter
12 置
一9
万6 台
3
所
Kournikova Code Red
Nimda Goner Klez
What’s Next
对
9
抗 6措 3施
需 小
所
1998 1999 2000 2001 2002 2003 2004 2005 2006 2008
需
时
时
间
第19页/共49页
2.3 网络攻击的层次
网
❖ 针对端口攻击
络
❖ 针对服务攻击
攻
❖ 针对第三方软件攻击
击
❖ DoS攻击
的
❖ 针对系统攻击途❖ 口令攻击 Nhomakorabea径
❖ 欺骗
第20页/共49页
网络攻击的层次
第24页/共49页
网络入侵技术----漏洞攻击
共M享S05文S-M0件B2简7，:S介• M共漏件下SB享M洞访或中B攻问策的打是击、略漏印S：控上洞e机利制存r可v用系在能，e软统的r允共件。的许M或安享e远s系全程串s统缺a执口g存陷行e在，等代的从B码用l缺而o途陷使2c0k实得。0的施攻5年简攻击6者击写月。能，够漏 这在洞 未是个授指协权硬 的件议情、用况软于 MS07我-0们63之：• S所缓M以B冲 v区能2溢中够出的在漏漏洞w洞攻i可n击d能o：允w通s许的过远向网程程执络序行邻的代缓居码冲发下区布写访日入问期超：一过 其十个长二域度月内的1数1的,据2其，00他7 机MVu器iclnro，SesrMao就Bbftil是协Sitey通c议iu造目nr过是成的iStyM溢。这一BB出u个个C，lloe协很从util而nd议重破AM实要lS坏lo0w程现的8-序R0的协e的6m3。议堆o–栈t，Ie，mC目转pood前而ret执a绝En行xte大其cu它多ti的o数n指(的令95，P7C达0上9到5都攻) 击在的运 行这一协议• ，RPwCi漏nd洞o、wsSM系B统漏洞都、充打当印漏着洞SMB协议的客户端和服务器， 所M以icroSsMoBf是t 安一全个公告遵M循S0客9-户00机1 -服严务重器模式的协议。 S发M布B日S中M期的B：服漏一洞务月可器能13负允, 2许责0远0通9程过执行网代络码提(9供58可68用7)的共享资源给SMB客户机， 服务器和客户机之间通过TCP/IP协议、或者IPX协议、或者是 NMetS1B0E-U0I0进6:S行M连B 客接户。端中的漏洞可能允许远程执行代码 发布日期： 二月 9, 2010 MS10一-0旦12服: S务MB器服和务器客中户可机能允之许间远建程执立行了代一码漏个洞连2接01，0-客02-户10机就可以通 过向服务器发送命令完成共享操作，比如读，写，检索等。
第29页/共49页
在进程的地址空间安排适当的代码 通过适当的初始化寄存器和内存，跳转到以上
代码段执行
利用进程中存在的代码
– 传递一个适当的参数 – 如程序中有exec(arg)，只要把arg指向“/bin/sh”就
可以了
植入法
– 把指令序列放到缓冲区中 – 堆、栈、数据段都可以存放攻击代码，最常见的是
❖ 第一层攻击：第一层攻击基于应用层的操作 ，这些攻击的目的只
网
是为了干扰目标的正常工作。
络 ❖ 第二层攻击：第二层攻击指本地用户获得不应获得的文件(或目录) 读权限 。
攻 ❖ 第三层攻击：在第二层的基础上发展成为使用户获得不应获得的
击
文件(或目录)写权限。
的 ❖ 第四层攻击：第四层攻击主要指外部用户获得访问内部文件的权 利。
第27页/共49页
类似函数有strcat、sprintf、vsprintf、gets、 scanf等
一般溢出会造成程序读/写或执行非法内存的数 据，引发segmentation fault异常退出.
如果在一个suid程序中特意构造内容，可以有 目的的执行程序，如/bin/sh，得到root权限。
2.5 网络入侵技术
网络主要攻击手段 • 任何以干扰、破坏网络系统为目的的非
授权行为都称之为网络攻击。 • 网络攻击实际上是针对安全策略的违规
行为、针对授权的滥用行为与针对正常 行为特征的异常行为的总和。
第23页/共49页
网络主要攻击手段
➢ 网站篡改（占45.91%） ➢ 垃圾邮件（占28.49%） ➢ 蠕虫（占6.31%） ➢ 网页恶意代码（占0.51%） ➢ 木马（占4.01%） ➢ 网络仿冒（占4.97%） ➢ 拒绝服务攻击（占0.58%） ➢ 主机入侵（占1.14%）
第12页/共49页
安全威胁的来源
安全威胁主要来自以下几个方面：
• 不可控制的自然灾害，如地震、雷击 • 恶意攻击、违纪、违法和计算机犯罪 • 人为的无意失误和各种各样的误操作 • 计算机硬件系统的故障 • 软件的“后门”和漏洞
第13页/共49页
安全威胁的表现形式
• 伪装 • 非法连接 • 非授权访问 • 拒绝服务 • 抵赖 • 信息泄露
第16页/共49页
个人信息泄露：人人都在“裸奔”
白领名录
电信机构
股民信息
需要注册的网站
豪车车主名单
银行
老板手机号码
保险公司
家长信息
各类中介
新生儿信息
教育机构
你房的东职信业息和单位地址、教育背景政、府银行部存门款、
机动车登记信息，甚至消费习惯、指纹、血型、病史……
医院
第17页/共49页
• 2011年12月，以程序员网站CSDN、天涯社区、美团网等数据库遭黑客攻击为代表，网络个人信息泄露事 件曾集中爆发，上亿用户的注册信息被公之于众
第4页/共49页
电磁泄露
)))))))) )))
第5页/共49页
2.1 安全问题的起源和常见威胁
• 2.1.3 系统风险——组件的脆弱性 • 硬件组件：设计、生产工艺或制造商 • 软件组件：“后门”、设计中的疏忽、不必要的功能冗余、逻辑混乱及其他不按信息系统安全等 级要求进行设计的安全隐患 • 网络和通信协议：TCP/IP协议簇先天不足 • 缺乏对用户身份的鉴别 • 缺乏对路由协议的鉴别认证 • TCP/UDP的缺陷
第32页/共49页
• 以下的两种情况最容易导致拒绝服务攻击：
• 由于程序员对程序错误的编制，导致系统不停的建立 进程，最终耗尽资源，只能重新启动机器。不同的系 统平台都会采取某些方法可以防止一些特殊的用户来 占用过多的系统资源，我们也建议尽量采用资源管理 的方式来减轻这种安全威胁。
• 还有一种情况是由磁盘存储空间引起的。假如一个用 户有权利存储大量的文件的话，他就有可能只为系统 留下很小的空间用来存储日志文件等系统信息。这是 一种不良的操作习惯，会给系统带来隐患。这种情况 下应该对系统配额作出考虑。
第11页/共49页
2.2 影响信息安全的人员分析
• 计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息的威胁；二是 针对网络中设备的威胁。
❖ 如果按威胁的对象、性质则可以细分为四类： ✓第一类是针对硬件实体设施 ✓第二类是针对软件、数据和文档资料 ✓第三类是兼对前两者的攻击破坏 ✓第四类是计算机犯罪。
利用栈
第30页/共49页
网络入侵技术----拒绝服务攻击
• 拒绝服务攻击（DoS）：通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服 务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。
• 分布式拒绝服务攻击：DDoS，攻击规模更大，危害更严重。 • 实例：SYN-Flood洪水攻击，Land攻击，Smurf攻击 ，UDP-Flood攻击，WinNuke攻击（139）等。
层 ❖ 第五层攻击：第五层攻击指非授权用户获得特权文件的写权限。 次 ❖ 第六层攻击：第六层攻击指非授权用户获得系统管理员的权限或
根权限。
第21页/共49页
2.4 网络攻击的一般步骤
• （1）隐藏IP • （2）踩点扫描 • （3）获得系统或管理员权限 • （4）种植后门 • （5）在网络中隐身
第22页/共49页
第9页/共49页
2.1 安全问题的起源和常见威 胁
正常信息流向
信息源
信息目的地
中断服务
信息源
信息目的地
侦听
信息源
信息目的地
修改 伪造
信息源
信息目的地
信息源
第10页/共49页
信息目的地
2.1 安全问题的起源和常见威胁
• 2.1.5 管理风险 • 安全大师Bruce Schneier：“安全是一个过程(Process），而不是一个产品（Product）”。 • 单纯依靠安全设备是不够的，它是一个汇集了硬件、软件、网络、人以及他们之间的相互关系和接口 的系统。 • 网络与信息系统的实施主体是人，安全设备与安全策略最终要依靠人才能应用与贯彻。
第28页/共49页
类似函数有strcat、sprintf、vsprintf、gets、 scanf等
一般溢出会造成程序读/写或执行非法内存的数 据，引发segmentation fault异常退出.
如果在一个suid程序中特意构造内容，可以有 目的的执行程序，如/bin/sh，得到root权限。