常见黑客攻击及安全防御手段

户打开或下载，然后使用户在无意中激活，导致系统 后门被安装 WWW欺骗：诱使用户访问纂改过的网页 电子邮件攻击：邮件炸弹、邮件欺骗 网络监听：获取明文传输的敏感信息 通过一个节点来攻击其他节点：攻击者控制一台主机 后，经常通过IP欺骗或者主机信任关系来攻击其他节 点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)
常见黑客攻击及安全防御手段
绿盟科技 于慧龙
提纲
常见的黑客攻击方法
常用的安全技术防范措施
常见的黑客攻击方法
入侵技术的发展
高
包欺骗 半开放隐蔽扫描 拒绝服务 DDOS 攻击 www 攻击 自动探测扫描 GUI远程控制 后门 破坏审计系统 会话劫持 控制台入侵 利用已知的漏洞 密码破解 可自动复制的代码 密码猜测 检测网络管理
提 升 为 最 高 权 限 攻击其 他系统
端口 判断 分析 可能 有漏 洞的 服务
安装 多个 系统 后门
清除 入侵 脚印
获取敏 感信息
作为其 他用途
常见的安全攻击方法
直接获取口令进入系统：网络监听，暴力破解 利用系统自身安全漏洞 特洛伊木马程序：伪装成工具程序或者游戏等诱使用

应用层
垃圾邮件 CGI资源耗尽
SYN Flood原理
正常的三次握手建立通讯的过程
SYN （我可以连接吗？）
ACK （可以）/SYN（请确 认！）
ACK （确认连接）
发起方
应答方
SYN Flood原理
就是 让你 白等 为何 还没 回应
伪造地址进行SYN请求
SYN （我可以连接吗？）
受攻击未来领域
即时消息：MSN,Yahoo,ICQ,OICQ等 对等程序(P2P) 移动设备
“红色代码”病毒的工作原理
1. 病毒利用IIS的 .ida 漏洞进入系统并获得
SYSTEM 权限(微软在2001年6月份已发布修复 程序 MS01-033) 2. 病毒产生100个新的线程 • 99 个线程用于感染其它的服务器 • 第100个线程用于检查本机, 并修改当前 首页 3. 在7/20/01 时所有被感染的机器回参与对白 宫网站 www.whitehouse.gov的自动攻击.
2001年中美黑客大战
事件背景和经过
4.1撞机事件为导火线 4月初，以PoizonB0x、pr0phet为代表的美国黑客 组织对国内站点进行攻击，约300个左右的站点页 面被修改 4月下旬，国内红（黑）客组织或个人，开始对美 国网站进行小规模的攻击行动，4月26日有人发表 了 “五一卫国网战”战前声明，宣布将在5月1日至 8日，对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战
防火墙一般不提供对内部的保护。
防火墙无法防范数据驱动型的攻击。 防火墙本身的防攻击能力不够，容易成
为被攻击的首要目标。 防火墙不能根据网络被恶意使用和攻击 的情况动态调整自己的策略。
防火墙与IDS联动
Pt-防护时间
时间
Pt-防护时间
>
Dt-检测时间
+
Rt-响应时间
入侵检测系统
Intranet
常见的安全技术防范措施
常用的安全防护措施
防火墙
入侵检测
漏洞扫描 抗拒绝服务 防病毒 系统安全加固 SUS补丁安全管理
常用的安全防护措施－防火墙
• 访问控制 • 认证 • NAT
• 加密 • 防病毒、内容过滤 • 流量管理
防火墙的局限性
防火墙不能防止通向站点的后门。
多次防病毒体系
系统安全加固
基本安全配臵检测和优化 密码系统安全检测和增强 系统后门检测 源自文库 提供访问控制策略和工具
增强远程维护的安全性
文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装
Windows系统安全加固

PoizonB0x、pr0phet更改的网页
国内某大型商业网站 国内某政府网站
中国科学院心理研究所
中经网数据有限公司
国内黑客组织更改的网站页面
美国某大型商业网站 美国某政府网站
美国劳工部网站
美国某节点网站
这次事件中采用的常用攻击手法
红客联盟负责人在5月9日网上记者新闻发布会
上对此次攻击事件的技术背景说明如下： “我 们更多的是一种不满情绪的发泄，大家也可以 看到被攻破的都是一些小站，大部分都是 NT/Win2000系统， 这个行动在技术上是没有 任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击
尼母达 Nimada的工作原理

4 种不同的传播方式
IE浏览器: 利用IE的一个安全漏洞 (微软在2001年3月份已发布修复程序 MS01-020) IIS服务器: 和红色代码病毒相同, 或直接利用 它留下的木马程序. (微软在红色代码爆发后已在其网站上公布了所
有的修复程序和解决方案)
电子邮件附件:
混合型威胁趋势
将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏 洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。
主动恶意代码趋势
制造方法：简单并工具化 技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术 手段巧妙地伪装自身，躲避甚至攻击防御检测软件. 表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发 展到可以在网络的任何一层生根发芽，复制传播，难以检测。
ACK （可以）/SYN（请确认！）
攻击者
不能建立正常的连接
受害者
连接耗尽
大量的tcp connect
正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect
正常tcp connect
这么多 需要处 理？
攻击者
正常tcp connect
正常用户
(已被使用过无数次的攻击方式)
文件共享: 针对所有未做安全限制的共享
MYDOOM的工作原理

W32.Novarg.A@mm [Symantec] ，受影响系统: Win9x/NT/2K/XP/2003 1、创建如下文件： %System%shimgapi.dll %temp%Message， 这个文件由随机字母通组成。 %System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。 2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启 3127到3198范围内的TCP端口进行监听； 3、添加如下注册表项，使病毒可随机启动，并存储病毒的活动信息。 4、对www.sco.com实施拒绝服务（DoS)攻击,创建64个线程发送GET请 求，这个DoS攻击将从2004年2月1延续到2004年2月12日； 5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地 址：.htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt等； 6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发 送邮件，如果失败，则使用本地的邮件服务器发送； 7、邮件内容如下：From: 可能是一个欺骗性的地址；主题:hi/hello等。
工具
入侵者水平
嗅探 擦除痕迹
攻击手法
1980
攻击者
1995 2000 2002
1985
1990
入侵系统的常用步骤
提 升 为 最 高 权 限
采用 漏洞 扫描 工具
选择 会用 的 方式 入侵
获取 系统 一定 权限
安装 系统 后门
获取敏感信息 或者 其他攻击目的
较高明的入侵步骤
判断 系统 选择 最简 方式 入侵 获取 系统 一定 权限
不能建立正常的连接
受害者
拒绝服务攻击的对抗
网络层
升级系统防止ping of death 等攻击 通过带宽限制来防止flood攻击
应用层拒绝服务的抵抗
通常需要在应用层进行特定的设计
SYN Flood与连接耗尽是难点
计算机病毒
程序型病毒
引导型病毒
宏病毒 特洛伊木马型的程序 有危害的移动编码
攻击者
router
IDS Agent Firewall 发现攻击
报警
DMZ
发现攻击
监控中心
发现攻击
IDS Agent
报警
Servers
入侵检测系统的作用
实时检测
实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文
安全审计
对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据
这次事件中被利用的典型漏洞
用户名泄漏，缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名
和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出，Lion蠕虫 SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping )
防病毒软件历史
单机版静态杀毒
实时化反病毒
防病毒卡 动态升级 主动内核技术
自动检测技术：特征代码检测
单特征检查法 基于特征标记 免疫外壳
防病毒技术发展
第一代反病毒技术
采取单纯的病毒特征诊断，对加密、变形的新一代病毒无能 为力；
第二代反病毒技术
采用静态广谱特征扫描技术，可以检测变形病毒 误报率高，杀毒风险大；
这次事件中被利用的典型漏洞
用户名泄漏，缺省安装的系统用户名和
密码
入侵者
利用黑客工具 扫描系统用户
获得用户名 和简单密码
这次事件中被利用的典型漏洞
Windows 2000登录验证机制可被绕过
攻击的发展趋势
File Server Web Server
混合型攻击:蠕虫
防病毒
Web Server Via Web Page
第三代反病毒技术
静态扫描技术和动态仿真跟踪技术相结合；
第四代反病毒技术
基于病毒家族体系的命名规则 基于多位CRC校验和扫描机理 启发式智能代码分析模块、 动 态数据还原模块（能查出隐蔽 性极强的压缩加密文件中的病毒）、内存解毒模块、自身免 疫模块
企业级防病毒体系
集中管理
Workstation Via Email
防火墙
Workstation
入侵检测
风险管理
Workstation
Internet Mail Server Mail Gateway
混合型、自动的攻击
攻击的发展趋势
漏洞趋势
严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约 60%不需或很少需用代码)
主动响应
主动切断连接或与防火墙联动，调用其他程序处理
漏洞扫描系统
地方网管
地方网管 地方网管
地方网管
scanner
地方网管
监控中心
漏洞扫描产品应用
开发部 工程部
市场部
Firewall
Servers
route r
拒绝服务攻击(DoS/DDoS)
网络层
SYN Flood ICMP Flood UDP Flood Ping of Death
补丁安全管理（SUS）
英文全名叫“SOFTWARE UPDATE SERVICES ” SUS可以用于Windows2000、XP以及.Net等系统的关键
性更新任务。 参见《SUS系统架构服务》。
Q&A
使用Windows update安装最新补丁； 更改密码长度最小值、密码最长存留期、密码最短存 留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀 值，保障帐号以及口令的安全； 卸载不需要的服务； 将暂时不需要开放的服务停止； 限制特定执行文件的权限； 设臵主机审核策略； 调整事件日志的大小、覆盖策略； 禁止匿名用户连接； 删除主机管理共享； 限制Guest用户权限； 安装防病毒软件、及时更新病毒代码库； 安装个人防火墙。