常见黑客攻击及安全防御手段ppt课件

户打开或下载，然后使用户在无意中激活，导致系统 后门被安装 WWW欺骗：诱使用户访问纂改过的网页 电子邮件攻击：邮件炸弹、邮件欺骗 网络监听：获取明文传输的敏感信息 通过一个节点来攻击其他节点：攻击者控制一台主机 后，经常通过IP欺骗或者主机信任关系来攻击其他节 点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)
2001年中美黑客大战
事件背景和经过
4.1撞机事件为导火线 4月初，以PoizonB0x、pr0phet为代表的美国黑客 组织对国内站点进行攻击，约300个左右的站点页 面被修改 4月下旬，国内红（黑）客组织或个人，开始对美 国网站进行小规模的攻击行动，4月26日有人发表 了 “五一卫国网战”战前声明，宣布将在5月1日至 8日，对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战
常见黑客攻击及安全防御手 段
提纲
常见的黑客攻击方法
常用的安全技术防范措施
常见的黑客攻击方法
入侵技பைடு நூலகம்的发展
高
包欺骗 半开放隐蔽扫描 拒绝服务 DDOS 攻击 www 攻击 自动探测扫描 GUI远程控制 后门 破坏审计系统 会话劫持 控制台入侵 利用已知的漏洞 密码破解 可自动复制的代码 密码猜测 检测网络管理
PoizonB0x、pr0phet更改的网页
国内某大型商业网站 国内某政府网站
中国科学院心理研究所
中经网数据有限公司
国内黑客组织更改的网站页面
美国某大型商业网站 美国某政府网站
美国劳工部网站
美国某节点网站
这次事件中采用的常用攻击手法
红客联盟负责人在5月9日网上记者新闻发布会
上对此次攻击事件的技术背景说明如下： “我 们更多的是一种不满情绪的发泄，大家也可以 看到被攻破的都是一些小站，大部分都是 NT/Win2000系统， 这个行动在技术上是没有 任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击
受攻击未来领域
即时消息：MSN,Yahoo,ICQ,OICQ等 对等程序(P2P) 移动设备
“红色代码”病毒的工作原理
病毒利用IIS的 .ida 漏洞进入系统并获得 SYSTEM 权限(微软在2001年6月份已发布修 复程序 MS01-033) 2. 病毒产生100个新的线程 • 99 个线程用于感染其它的服务器 • 第100个线程用于检查本机, 并修改当前 首页 3. 在7/20/01 时所有被感染的机器回参与对白 宫网站 www.whitehouse.gov的自动攻击.
电子邮件附件:

(已被使用过无数次的攻击方式)
文件共享: 针对所有未做安全限制的共享
MYDOOM的工作原理

W32.Novarg.A@mm [Symantec] ，受影响系统: Win9x/NT/2K/XP/2003 1、创建如下文件： %System%shimgapi.dll %temp%Message， 这个文件由随机字母通组成。 %System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。 2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启 3127到3198范围内的TCP端口进行监听； 3、添加如下注册表项，使病毒可随机启动，并存储病毒的活动信息。 4、对www.sco.com实施拒绝服务（DoS)攻击,创建64个线程发送GET请 求，这个DoS攻击将从2004年2月1延续到2004年2月12日； 5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地 址：.htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt等； 6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发 送邮件，如果失败，则使用本地的邮件服务器发送； 7、邮件内容如下：From: 可能是一个欺骗性的地址；主题:hi/hello等。
提 升 为 最 高 权 限 攻击其 他系统
端口 判断 分析 可能 有漏 洞的 服务
安装 多个 系统 后门
清除 入侵 脚印
获取敏 感信息
作为其 他用途
常见的安全攻击方法
直接获取口令进入系统：网络监听，暴力破解 利用系统自身安全漏洞 特洛伊木马程序：伪装成工具程序或者游戏等诱使用

混合型威胁趋势
将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏 洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。
主动恶意代码趋势
制造方法：简单并工具化 技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术 手段巧妙地伪装自身，躲避甚至攻击防御检测软件. 表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发 展到可以在网络的任何一层生根发芽，复制传播，难以检测。
工具
入侵者水平
嗅探 擦除痕迹
攻击手法
1980
攻击者
1995 2000 2002
1985
1990
入侵系统的常用步骤
提 升 为 最 高 权 限
采用 漏洞 扫描 工具
选择 会用 的 方式 入侵
获取 系统 一定 权限
安装 系统 后门
获取敏感信息 或者 其他攻击目的
较高明的入侵步骤
判断 系统 选择 最简 方式 入侵 获取 系统 一定 权限
1.
尼母达 Nimada的工作原理

4 种不同的传播方式
IE浏览器: 利用IE的一个安全漏洞 (微软在2001年3月份已发布修复程序 MS01-020) IIS服务器: 和红色代码病毒相同, 或直接利用它留 下的木马程序. (微软在红色代码爆发后已在其网站上公布了所有
的修复程序和解决方案)
这次事件中被利用的典型漏洞
用户名泄漏，缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名
和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出，Lion蠕虫 SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping )
Workstation Via Email
防火墙
Workstation
入侵检测
风险管理
Workstation
Internet Mail Server Mail Gateway
混合型、自动的攻击
攻击的发展趋势
漏洞趋势
严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约 60%不需或很少需用代码)
这次事件中被利用的典型漏洞
用户名泄漏，缺省安装的系统用户名和
密码
入侵者
利用黑客工具 扫描系统用户
获得用户名 和简单密码
这次事件中被利用的典型漏洞
Windows 2000登录验证机制可被绕过
攻击的发展趋势
File Server Web Server
混合型攻击:蠕虫
防病毒
Web Server Via Web Page