网络安全攻击与防护应对措施
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SYN Flood:共计方利用TCP连接三次握手过程,打开大量的半开TCP连 接。目标机器不能进一步接受TCP连接,机器就不再接受进来的连接请 求
8
中广国电州信研广究东院公司
综合部
一些典型的DoS攻击(二)
LAND攻击:通过向一个目标主机发送一个用于建立请求连 接的TCP SYN报文而实现对目标主机的攻击。与正常的TCP SYN报文不同的是:LAND攻击报文的源IP地址和目的IP地址 是相同的,都是目标主机的IP地址。这样目标主机接在收到 这个SYN报文后,就会向该报文的源地址发送一个ACK报文, 并建立一个TCP连接控制结构,而该报文的源地址就是自己。 由于目的IP地址和源IP地址是相同的,都是目标主机的IP地 址,因此这个ACK报文就发给了目标主机本身。
综合部
社交工程攻击
利用人性弱点、人际交往或互动特性所发展出来的 一种攻击防护
早期社交工程是使用电话或其它非网络方式来询问 个人资料,而目前社交工程大多是利用电子邮件或 网页来进行攻击
使用电子邮件进行攻击常见手法 - 假冒寄件者 - 使用与业务相关或令人感兴趣得邮件内容 - 含有恶意程序的附件或链接 - 利用应用程序的弱点(包括零时差攻击)
Smurf攻击:攻击者向一个广播地址发送ICMP Echo请求, 并且用受害者的IP地址作为源地址,广播地址网络上的每台 机器响应这些Echo请求,同时向受害者主机发送ICMP Echo-Reply应答,受害者主机会被这些大量的应答包淹没
9
中广国电州信研广究东院公司
综合部
DDoS攻击
10
中广国电州信研广究东院公司
各类安全对象自身的基础防护措施 降低系统自身的安全风险
安全监 控中心 安全产品防护
系统自身安全
限制和禁用可能造成漏洞的服务和端口,安装和使用防火墙和病 毒查杀工具或采取其它防病毒和防攻击措施,软件应及时安装补 丁,定期更新,及时消除可能的隐患
打开网络下载软件、邮件附件等前要进行病毒查杀 尽量避免使用来历不明的软件 定期备份数据 加强账户、权限管理 定期对日志进行审计
- ICMP flood - UDP flood - 等等
7
中广国电州信研广究东院公司
综合部
一些典型的DoS攻击(一)
Ping Of Death:直接利用ping包,即ICMP Echo包,有些系统在收到大 量比最大包还要长的数据包,会挂起或者死机
TearDrop:利用IP包的分片装配过程中,由于分片重叠,计算过程中出 现长度为负值,在执行memcpy的时候导致系统崩溃
ICMP flood:攻击者向目标主机发送大量的ICMP ECHO报文,将产生 ICMP泛洪,目标主机会将大量的时间和资源用于处理ICMP ECHO报文, 而无法处理正常的请求或响应,从而实现对目标主机的攻击
UDP flood:攻击者通过向目标主机发送大量的UDP报文,导致目标主机 忙于处理这些UDP报文,而无法处理正常的报文请求或响应
• 攻击者接管了一个合法会话后,可以做更多危 害性更大的事情
6
中广国电州信研广究东院公司
综合部
拒绝服务攻击(DoS)
DoS (Denial of Service) 定义:通过某些手段使得目标系统或者网络不能提供正常的
服务 典型DOS攻击
- Ping Of Death - TearDrop
网络安全攻击与防护应对措施
2019年7月
目录
攻击技术
攻击防护
1
中广国电州信研广究东院公1司
综合部
攻击步骤
• 一般的入侵流程
– 信息搜集 – 漏洞利用进入系统 – 实现目的
窃取、篡改、破 坏……
– 进一步渗透其他主机 – 安装后门
2
中广国电州信研广究东院公司
综合部
网络攻击技术
网络探测 欺骗 会话劫持 拒绝服务攻击(DoS) 缓冲区溢出 口令探测 社交工程 物理攻击 木马 隐藏踪迹
5
中广国电州信研广究东院公司
综合部
会话劫持
欺骗和劫持
- 欺骗是伪装成合法用户,以获得一定的利益 - 劫持是积极主动地使一个在线的用户下线,或者
冒充这个用户发送消息,以便达到自己的目的
会话劫持分两种
- 被动劫持 • 监听网络流量,发现密码或者其他敏感信息
- 主动劫持 • 找到当前会话并接管过来,迫使一方下线,由 劫持者取而代之
网页攻击通过恶意程序下载或钓鱼网站来进行
11
中广国电州信研广究东院公司
综合部
其它攻击技术
缓冲区溢出: - 通过修改某些内存区域,把一段恶意代码存储到 一个buffer中,并且使这个buffer被溢出,以便当 前进程被非法利用(执行这段恶意的代码)
口令探测 - 网络监听 - 暴力破解 - 在其他攻击得手后得到密码 - 利用用户的疏忽
隐藏踪迹 - 为了使建立的后门不易被发现,防止系统管理员发现攻击者
13
中广国电州信研广究东院公司
综合部
目录
攻击技术
攻击防护
14
中广国电州信研广究东院公14司
综合部
网络攻击防护体系
将下面两层产生的大量安全信息进行统一分析和管理 提高安全防护效率和整体安全水平
对各类安全对象(如主机、网络设备、应用系统等)采取的 外围防护措施(如防火墙、IDS等),主要应对外部安全威 胁
12
中广国电州信研广究东院公司
综合部
其它攻击技术
物理攻击 - 物理接触到计算机,这台计算机就没有任何安全可言 - 写有口令的提示条、网络组织结构图、软盘、光盘、笔记本等,也可 能会影响到安全
木马 - 两个部分:外壳程序和内核程序,内核程序启动后在后台运行,打开 端口,开启后门黑客连接到木马打开的端口,向木马下达命令 - 既是攻击系统得到系统权限的方法,又是攻击得手后留下后门的手段
3
中广国电州信研广究东wk.baidu.com公司
综合部
网络探测
主机扫描 网络结构发现 端口和服务扫描 操作系统识别 资源和用户信息扫描
4
中广国电州信研广究东院公司
综合部
欺骗
欺骗技术 - IP欺骗 • 假冒他人的IP地址发送信息 - 邮件欺骗 • 假冒他人的邮件地址发送信息 - Web欺骗 • 你连到的网站是真的吗? - 其他欺骗 • DNS欺骗 • 非技术性欺骗
8
中广国电州信研广究东院公司
综合部
一些典型的DoS攻击(二)
LAND攻击:通过向一个目标主机发送一个用于建立请求连 接的TCP SYN报文而实现对目标主机的攻击。与正常的TCP SYN报文不同的是:LAND攻击报文的源IP地址和目的IP地址 是相同的,都是目标主机的IP地址。这样目标主机接在收到 这个SYN报文后,就会向该报文的源地址发送一个ACK报文, 并建立一个TCP连接控制结构,而该报文的源地址就是自己。 由于目的IP地址和源IP地址是相同的,都是目标主机的IP地 址,因此这个ACK报文就发给了目标主机本身。
综合部
社交工程攻击
利用人性弱点、人际交往或互动特性所发展出来的 一种攻击防护
早期社交工程是使用电话或其它非网络方式来询问 个人资料,而目前社交工程大多是利用电子邮件或 网页来进行攻击
使用电子邮件进行攻击常见手法 - 假冒寄件者 - 使用与业务相关或令人感兴趣得邮件内容 - 含有恶意程序的附件或链接 - 利用应用程序的弱点(包括零时差攻击)
Smurf攻击:攻击者向一个广播地址发送ICMP Echo请求, 并且用受害者的IP地址作为源地址,广播地址网络上的每台 机器响应这些Echo请求,同时向受害者主机发送ICMP Echo-Reply应答,受害者主机会被这些大量的应答包淹没
9
中广国电州信研广究东院公司
综合部
DDoS攻击
10
中广国电州信研广究东院公司
各类安全对象自身的基础防护措施 降低系统自身的安全风险
安全监 控中心 安全产品防护
系统自身安全
限制和禁用可能造成漏洞的服务和端口,安装和使用防火墙和病 毒查杀工具或采取其它防病毒和防攻击措施,软件应及时安装补 丁,定期更新,及时消除可能的隐患
打开网络下载软件、邮件附件等前要进行病毒查杀 尽量避免使用来历不明的软件 定期备份数据 加强账户、权限管理 定期对日志进行审计
- ICMP flood - UDP flood - 等等
7
中广国电州信研广究东院公司
综合部
一些典型的DoS攻击(一)
Ping Of Death:直接利用ping包,即ICMP Echo包,有些系统在收到大 量比最大包还要长的数据包,会挂起或者死机
TearDrop:利用IP包的分片装配过程中,由于分片重叠,计算过程中出 现长度为负值,在执行memcpy的时候导致系统崩溃
ICMP flood:攻击者向目标主机发送大量的ICMP ECHO报文,将产生 ICMP泛洪,目标主机会将大量的时间和资源用于处理ICMP ECHO报文, 而无法处理正常的请求或响应,从而实现对目标主机的攻击
UDP flood:攻击者通过向目标主机发送大量的UDP报文,导致目标主机 忙于处理这些UDP报文,而无法处理正常的报文请求或响应
• 攻击者接管了一个合法会话后,可以做更多危 害性更大的事情
6
中广国电州信研广究东院公司
综合部
拒绝服务攻击(DoS)
DoS (Denial of Service) 定义:通过某些手段使得目标系统或者网络不能提供正常的
服务 典型DOS攻击
- Ping Of Death - TearDrop
网络安全攻击与防护应对措施
2019年7月
目录
攻击技术
攻击防护
1
中广国电州信研广究东院公1司
综合部
攻击步骤
• 一般的入侵流程
– 信息搜集 – 漏洞利用进入系统 – 实现目的
窃取、篡改、破 坏……
– 进一步渗透其他主机 – 安装后门
2
中广国电州信研广究东院公司
综合部
网络攻击技术
网络探测 欺骗 会话劫持 拒绝服务攻击(DoS) 缓冲区溢出 口令探测 社交工程 物理攻击 木马 隐藏踪迹
5
中广国电州信研广究东院公司
综合部
会话劫持
欺骗和劫持
- 欺骗是伪装成合法用户,以获得一定的利益 - 劫持是积极主动地使一个在线的用户下线,或者
冒充这个用户发送消息,以便达到自己的目的
会话劫持分两种
- 被动劫持 • 监听网络流量,发现密码或者其他敏感信息
- 主动劫持 • 找到当前会话并接管过来,迫使一方下线,由 劫持者取而代之
网页攻击通过恶意程序下载或钓鱼网站来进行
11
中广国电州信研广究东院公司
综合部
其它攻击技术
缓冲区溢出: - 通过修改某些内存区域,把一段恶意代码存储到 一个buffer中,并且使这个buffer被溢出,以便当 前进程被非法利用(执行这段恶意的代码)
口令探测 - 网络监听 - 暴力破解 - 在其他攻击得手后得到密码 - 利用用户的疏忽
隐藏踪迹 - 为了使建立的后门不易被发现,防止系统管理员发现攻击者
13
中广国电州信研广究东院公司
综合部
目录
攻击技术
攻击防护
14
中广国电州信研广究东院公14司
综合部
网络攻击防护体系
将下面两层产生的大量安全信息进行统一分析和管理 提高安全防护效率和整体安全水平
对各类安全对象(如主机、网络设备、应用系统等)采取的 外围防护措施(如防火墙、IDS等),主要应对外部安全威 胁
12
中广国电州信研广究东院公司
综合部
其它攻击技术
物理攻击 - 物理接触到计算机,这台计算机就没有任何安全可言 - 写有口令的提示条、网络组织结构图、软盘、光盘、笔记本等,也可 能会影响到安全
木马 - 两个部分:外壳程序和内核程序,内核程序启动后在后台运行,打开 端口,开启后门黑客连接到木马打开的端口,向木马下达命令 - 既是攻击系统得到系统权限的方法,又是攻击得手后留下后门的手段
3
中广国电州信研广究东wk.baidu.com公司
综合部
网络探测
主机扫描 网络结构发现 端口和服务扫描 操作系统识别 资源和用户信息扫描
4
中广国电州信研广究东院公司
综合部
欺骗
欺骗技术 - IP欺骗 • 假冒他人的IP地址发送信息 - 邮件欺骗 • 假冒他人的邮件地址发送信息 - Web欺骗 • 你连到的网站是真的吗? - 其他欺骗 • DNS欺骗 • 非技术性欺骗