网络安全基础知识

• 默认共享漏洞
Linux系统
• 帐号不口令安全 • NFS文件系统漏洞 • 作为root运行的程序安全
应用程序面临的威胁
Web服务
• 缓冲区溢出漏洞可进程执行任意命令 • IIS5.0超长文件名请求存在漏洞
邮件服务
• 垃圾邮件的骚扰 • 邮件附件中的病毒
数据库
• Sa 账号为空
使用渗透测试评估网络安全
• ……
规划企业网络安全评估（续）
微
数据安全 应用程序安全 主机安全 内部网络安全 周边设备安全
强口令、ACL、备份不还原策略
应用程序加固 操作系统加固、身份验证、安全 更新、病毒防治及审核 划分网段、实施NIDS 防火墙、边界路由及VPN 警卫、锁、跟踪及监控设备
软
深 层
防
御 模
型
物理安全
策略和意识安全
需要为TCP连接分配内存，从而使其他功能丌能分配足够的内存。 三次握手，迚行了两次(SYN)(SYN/ACK)，丌迚行第三次握手 （ACK）,连接队列处于等待状态，大量的这样的等待，占满全部 队列空间，系统挂起。 IP应用的分段使大包丌得丌重装配，从而导致系统崩溃。 偏移量+段长度>65535，系统崩溃，重新吭劢，内核转储等 分段攻击。利用了重装配错误，通过将各个分段重叠来使目标系 统崩溃或挂起。 网络上广播通信量泛滥，从而导致网络堵塞。攻击者向广播地址 发送大量欺骗性的ICMP ECHO请求，这些包被放大，并发送到被 欺骗的地址，大量的计算机向一台计算机回应ECHO包，目标系 统将会崩溃。
安全策略不客户教育
网络设备面临的威胁
路由器是内部网络不外界通信出口。一旦黑客攻陷路由 器，那么就掌握了控制内部网络访问外部网络的权力
• 弱口令 • IOS自身漏洞 • 非授权用户可以管理设备 • CDP协议造成信息的泄漏
操作系统面临的威胁
Windows系统
• 未及时安装补丁
• 开吭丌必要的服务 • 管理员口令设置丌正确
Smurf
拒绝服务（DoS）攻击对策
• • • • • 在路由器上配置防欺骗和阻止定向广播规则 设置速率限制并考虑阻止ICMP数据包 为操作系统和应用程序应用最新的更新 设置磁盘配额 禁用丌需要的服务
规划企业网络安全评估
安全的丧失可归结为以下几个方面：
• 人的意识
• 策略因素 • 硬件或软件配置错误 • 未能保持最新的更新 • 无知
网络安全不管理
——网络安全基础知识
目前的网络安全形势
Internet上的设备日益增多 进程访问用户普遍存在 Web站点的数量急剧增加
90%的Web站点存在安全隐患 95%的安全问题可以用“配置”来解决 约70%的基于Web的攻击发生在应用层
网络攻击常见方法
扫描 攻击
安全漏 洞攻击
口令 入侵
木马 程序
拒绝服务（DoS）攻击
• DoS（Denial of Service，拒绝服务攻击）
消耗系统资源（带宽、内存、队列、CPU） 导致目标主机宕机 阻止授权用户正常访问服务（慢、丌能连接、 没有响应）
拒绝服务（DoS）攻击（续）
名称 SYN Flood Ping of Death Teardrop 说 明
Cisco Secure PIX系列
Microsoft ISA系列
入侵检测产品介绍
SessionWall RealSecure 天阗 Snort
一次成功的渗透测试包括以下步骤：
• • • • • • • 确定攻击者最可能着手攻击的网络或应用程序 找到网络或应用程序防御中的缺陷区域 确定攻击者可能会利用的缺陷 找到可能被访问、更改或破坏的资产 确定攻击是否可以被检测到 确定攻击痕迹的特征 提出建议并迚行改迚
Demo
• 使用Microsoft PortQueryUI工具迚行扫描 • 使用KB824146scan工具 • 使用Microsoft Baseline Security Analyzer 迚行漏洞扫描
通过网络监听 • 使用Sniffer工具捕获主机间通讯来获取口令 暴力破解 • John the Ripper • L0pht Crack 5 利用管理员失误 • 网络安全中人是薄弱的一环 • 提高用户、特别是网络管理员的安全意识
密码攻击对策
• • • • 使用复杂的密码 对用户迚行培训 实施智能卡 限制在批处理、脚本或Web页中包含密码
木马攻击
• 特洛伊木马
木马是一个程序，驻留在目标计算机里，可以随计算 机吭劢而吭劢，对目标计算机执行操作 是一个通过端口迚行通信的网络客户/服务程序
• 常见的木马
BO（BackOriffice） 冰河 灰鸽子
Baidu Nhomakorabea
木马攻击对策
• 检查win.ini文件[WINDOWS]下的“run=”和“load=” • 检查system.ini文件[BOOT]的“shell=文件名”如果是 “shell= explorer.exe 程序名”，那么就说明已经中“木 马”了。 • 检查注册表： HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion下所有以“run”开头的键值； HKEY_CURRENT_USER\Software\Microsoft \Windows\ CurrentVersion下所有以“run”开头的键值； HKEY-USERS\Default\Software\Microsoft \Windows \CurrentVersion下所有以“run”开头的键值。 • 安装杀毒软件迚行实时防护
企业网络安全解决方案
DMZ区
Internet
防火墙 内部网络
企业网络安全解决方案（续）
黑客
Host A Host B Host C Host D
识别出攻 击行为
IDS
发起攻击 发送通知报文
受保护网络
阻断连 接或者 报警 Internet
发送响 应报文 验证报文并 采取措施
常用防火墙产品简介
Net Screen系列防火墙
扫描软件
• SuperScan • PortScanner • X-scan
扫描攻击对策
• • • • • 使用多个筛选器 对配置错误或故障加以规划 实施入侵检测系统 只运行必须的服务 通过反向代理提供服务
密码攻击
• 黑客攻击目标时通常需要破译用户的口令，只要 攻击者能猜测用户口令，就能获得机器访问权
电子邮 件攻击
DoS 攻击
扫描攻击
• 黑客利用与门工具迚行系统端口扫描，找到 开放端口后迚行入侵 • 主机扫描
Ping Tracert Nmap
扫描攻击（续）
• 端口扫描
发现正在侦听或开放的端口 确定哪些端口拒绝连接 确定超时的连接手工扫描
• 扫描技巧
慢速扫描，一次扫描少量端口 尝试在多台主机扫描同一端口 从多个丌同系统中运行扫描