信息安全概论 网络的攻击与防范
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
五、特洛伊木马
冰河的客户端界面
文件管理器:有关文件的操作
命令控制台:向目标计算机发送命令。
五、特洛伊木马
冰河的主要功能
冰河是国产的远程监控软件,可以运行在Windows环境 下。
1.自动跟踪目标机屏幕变化,同时可完全模拟键盘及 鼠标输入,即在同步被控端屏幕变化的同时,监控端的 一切键盘及鼠标操作将反映在被控端屏幕(局域网适用); 2.记录各种口令信息:包括开机口令、屏保口令、各 种共享资源口令及绝大多数在对话框中出现过的口令信 息,且1.2以上的版本中允许用户对该功能自行扩充, 2.0以上版本还同时提供了击键记录功能;
网络安全的攻防体系
网络安全攻击防御体系 攻击技术
网络扫描 网络监听 网络入侵 网络后门与网络隐身
防御技术
操作系统安全配置技术 加密技术 防火墙技术 入侵检测技术
网络安全的实施 工具软件: Sniffer/X-Scan/防火墙软件/入侵检测软件/加密软件 等等 编程语言:C/C++/Perl 网络安全物理基础 操作系统:Unix/Linux/Windows 网络协议:TCP/IP/UDP/SMTP/POP/FTP/HTTP
木马的伪装
冒充图象文件或游戏程序 捆绑程序欺骗 将木马程序与正常文件捆绑为一个程序 伪装成应用程序扩展组件 木马名字为dll或ocx类型文件,挂在一个有名的 软件中。 后两种方式的欺骗性更大。
木马的特点
隐蔽性强:
木马有很强的隐蔽性,在Windows中,如果某个程序出 现异常,用正常的手段不能退出的时候,采取的办 法是按“Ctrl+Alt+Del”键,跳出一个窗口,找到 需要终止的程序,然后关闭它。早期的木马会在按 “Ctrl+Alt+Del”显露出来,现在大多数木马已 经看不到了。所以只能采用内存工具来看内存中 是否存在木马。
六、网络监听
嗅探器Sniffer
网络监听工具(也称嗅探器Sniffer)是供管理员监视 网络的状态、数据流动情况以及网络上传输的信息。 网络监听可以在网上的任何一个位置实施,如局域网 中的一台主机、网关上或远程网的调制解调器之间等。 Sniffer可以是硬件或软件,用来接收在网络上传输的 信息(硬件Sniffer通常称为协议分析仪)。网络可以 是运行在各种协议之下的(可以是其中几种协议的联 合) 。放置Sniffer的目的是使网络接口(比如以太网 适配器)处于广播状态(或叫混杂模式promiscuous mode),从而可截获网络上的内容。
木马的分类: 远程访问型、密码发送型、键盘记录型、毁坏型 (删除文件)、FTP型(打开目标机21端口,上传、 下载) 木马发展趋势: 与病毒结合,使之具有更强感染特性、跨平台型;
特洛伊木马启动方式
自动启动:木马一般会存在三个地方:注册表、 win.ini、system.ini,因为电脑启动的时候,需要装 载这三个文件。在 autoexec.bat、config.sys、 启动组中 易被发现。
常用攻击手段
口令破解 木马 冰河介绍 防范木马 Sniffer
口令“入侵者”
什么是口令“入侵者”
口令入侵者是指任何可以解开口令或屏 蔽口令保护的程序。一个口令入侵者并不一 定能够解开任何口令,事实上,多数破解程 序都做不到。但是,可以使用仿真工具,利 用与原口令程序相同的方法,通过对比分析, 用不同的加密口令去匹配原口令。 许多所谓的口令“入侵者”都使用“蛮力” 。
拒绝服务攻击(DoS)技术原理
攻击者过多的占用系统资源直道系统繁忙、超载 而无法处理正常的工作,甚至导致被攻击者主机 崩溃。 拒绝服务的攻击降低了资源的可用性,这些资源 可以是处理器、磁盘空间、CPU使用的时间、打 印机、调制解调器,甚至是系统管理员的时间, 攻击的结果是减少或失去服务。 分布式拒绝服务攻击。
网络防范的策略
物理安全策略
1、防盗;2、防火;3、防静电;4、防雷击;5、防 电磁泄漏。 口令、文件许可 加密 人事管理
访问控制策略
信息安全策略
网络安全管理策略
网络防范的方法
实体层次防范对策 能量层次防范对策 信息层次防范对策 管理层次防御对策
网络防范的原理
五、特洛伊木马
冰河的主要功能
3.获取系统信息:包括计算机名、注册公司、当前 用户、系统路径、操作系统版本、当前显示分辨率、 物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、 锁定鼠标、锁定系统热键及锁定注册表等多项功能限 制;
5.远程文件操作:包括创建、上传、下载、复制、 删除文件或目录、文件压缩、快速浏览文本文件、远 程打开文件(提供了四中不同的打开方式——正常方 式、最大化、最小化和隐藏方式)等多项文件操作功 能;
积极防范
对正常的网络行为建立模型,把所有通过安全设备的 网络数据拿来和保存在模型内的正常模式匹配,如果 不在正常范围内,就认为是攻击行为,对其作出处理。 模型建立比较困难。 对已经发现的攻击方式、经过专家分析后给出其特征 进而来构建攻击特征集,然后在网络数据中寻找与之 匹配的行为,从而达到发现和阻挡的作用。 不能对未被发现的攻击方式作出反应。
消极防范
网络安全模型
P2DR
以策略(Policy)为核心。 防护(Protection)。 检测(Detection)。 响应(Response)。
网络安全模型
APPDRR
风险分析(Analysis) 制定安全策略(Policy) 系统防护(Protection) 实时监测(Detection) 实时响应(Response) 灾难恢复(Renew)
信息安全概论
-网络的攻击与防范
网络攻击
黑客与网络攻击
黑客(hacker)指专门研究、发现计算机系统和网络漏 洞的计算机爱好者。 如果做破坏性的行为一般称为骇客(cracker)。 理论上系统都有漏洞,存在攻击的可能。
网络攻击就是通过系统在网络上的漏洞,进行攻击的 行为。
网络攻击技术的发展
特洛伊木马是指黑客用来远程控制目标计算机 的特殊程序。凡是非法驻留在目标计算机里, 并执行预定的操作,窃取目标的私有信息,都 属于特洛伊木马。
工作方式:多数为C/S模式,服务器端安装在目 标机里,监听等待攻击者发出的指令;客户端 是用来控制目标机器的部分,放在攻击者机器 上。木马“Passwd Sender”(口令邮差)可以不 需要客户端。
结束
网络攻击技术分析
获取权限与提权 缓冲区溢出 拒绝服务攻击
获取权限与提权
通过网络监听获取权限 网络账号与口令的破解
强制口令破解
猜测简单口令 字典攻击 暴力猜解
获取口令文件 社会工程 网络钓鱼
网络欺骗
缓冲区溢出的技术原理
Void function(char *str) { char buffer[16]; strcpy(buffer,str); } Void main() { char large_string[256]; int I; for(i=0;i<=255;i++) {large_string[i]=‘A’;} function(large_string); }
如何对付木马
1.使用杀毒软件。
2.提高防范意识,不打开陌生人信中的附件,不 随意下载软件。 3.仔细阅读readme.txt。许多人出于研究目的 下载了一些特洛伊木马程序的软件包,往往错误 地执行了服务器端程序 4. 在删除木马之前,重要的一项工作是备份,需 要备份注册表, 备份你认为是木马的文件。
五、特洛伊木马
冰河的主要功能
6.注册表操作:包括对主键的浏览、增删、复制、 重命名和对键值的读写等所有注册表操作功能;
7.发送信息:以四种常用图标向被控端发送简短 信息; 8.点对点通讯:以聊天室形式同被控端进行在线 交谈。
五、特洛伊木马
冰河的主要组成文件
冰河2.2正式版共有4个文件,它们是:
G-client.exe 冰河客户端程序
口令“入侵者”
Windows 9x口令: 口令文件存储在c:\windows下,如 果 用 户 名 为 test , 则 口 令 文 件 是 test.pwl,该文件存储着加密后的 口令。 Unix系统: 口 令 存 放 于 /etc/passwd 或 /etc/shadow中
特洛伊木马(Trojans)
功能特殊:
潜伏能力强:表面上的木马被发现并删除以后,后备的 木马在一定的条件下会跳出来。 Glacier(冰河)有两个服务器程序,挂在注册表的启动 组中的是C:\Windows\System\Kernel32.exe,当电脑启 动时装入内存,这是表面上的木马;另一个是:\Windows \System\Sysexplr.exe,也在注册表中,它修改了文本 文件的关联,当点击文本文件的时候,它就启动了,它会 检查Kernel32.exe是不是存在。当Kernel32.exe被删 除以后, 如果点击了文本文件,那么这个文本文件照样 运行,而Sysexplr.exe被启动了。Sysexplr.exe会再生 成一个Kernel32.exe。
G-server.exe
Readme.txt
服务器端程序
自述文件
Operate.ini
配置文件
五、特洛伊木马
冰河的主要功能:连接服务器
首先是连接目标服务器,从菜单中选择文件添 加主机。填写内容: a) 显示名称:显示在程序中的名称,只用于方便 记忆。 b) 主机地址:填入IP地址或域名。 c) 访问口令:配置服务器程序时输入的口令。 d)监听端口:配置服务器程序是确定的端口号
捆绑方式启动:木马phAse 1.0版本和NetBus 1.53版 本就可以以捆绑方式装到目标电脑上,它可以捆绑到启 动程序或一般常用程序上。
捆绑方式是一种手动的安装方式。非捆绑方式的木马 因为会在注册表等位置留下痕迹,所以,很容易被发现, 而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、 捆绑程序等,位置的多变使木马有很强的隐蔽性。
攻击手段快速改变。 安全漏洞利用的速度越来越快。 有组织的攻击越来越多。 攻击的目的与目标在改变。 攻击行为越来越隐蔽。 攻击者的数量不断增加,破坏效果越来越大。
Βιβλιοθήκη Baidu
网络攻击过程
确定目标 信息收集
漏洞挖掘
攻击网络
攻击主机
留下后门
清除日志
隐藏攻击身份 信息收集 弱点分析 获取目标使用权限 隐藏攻击行为 干活 开辟后门 清除痕迹
修改文件关联。如用木马取代 notepad.exe 来打开txt文 件。
木马服务器存放位置及文件名
木马的服务器程序文件一般位置是在 c:\windows 和 c:\windows\system 中 , 因 为 windows的一些系统文件在这两个位置。 木马的文件名总是尽量和windows的系统文件接 近。
如何对付木马
1)端口扫描 2)查看连接:netstat –a 命令 上述两种方法对驱动程序/动态链接木马无效。 3)检查注册表 4)查找木马文件:如kernel32.exe,sysexplr.exe等 5)文件完整性检查: 开始程序附件系统工具系统信息 工具系统文件检查器。 如有损坏可从安装 盘还原。