【正文】 查狀態(tài)表表項。 不正常，登錄去看看，被直接抓到口令。 結論：發(fā)現(xiàn)漏洞的最有效方法在于構造錯誤的參數(shù)傳遞！ 推論：鑒定測試中心的兄弟最有成為黑客的潛力！ 一次攻擊實例 有漏洞，很安全。 printf(a=%d,b=%d,c=%d,a,b,c)。網(wǎng)絡安全技術基礎 目錄 ? 基礎知識和基本技術 ? 防火墻技術和應用 ? 應用層攻擊和防范 ? 拒絕服務攻擊和防范 ? 病毒與反病毒技術 ? 反垃圾郵件專題 ? 安全審計技術專題 ? 網(wǎng)閘技術專題 日益成熟的黑色產(chǎn)業(yè)鏈 系統(tǒng)漏洞 是怎么產(chǎn)生的 void main() { int a,b,c。 } “ scanf”函數(shù)沒有進行輸入長度校驗，從而產(chǎn)生溢出漏洞。 了 3389遠程管理，非加密可以利用 有漏洞，直接拿下。 攻擊機 網(wǎng)管機 內(nèi)網(wǎng) 目標服務器 廣義的漏洞定義 漏洞就是通過加工后能夠產(chǎn)生危害的系統(tǒng)功能 基礎知識 ——TCP的 3次握手 Syn報文 Syn_ack報文 Ack報文 地瓜地瓜，我是土豆，聽到請回答！ over！ 土豆土豆，我是地瓜，你話音很清楚，能聽清楚我說話嗎？Over！ 地瓜地瓜，你話音也很清楚清楚，說正事吧。 如有相關表項則根據(jù)表項進行轉發(fā)，否則丟棄該數(shù)據(jù)包。 無老化時間的記錄稱為長連接，用于某些特殊應用 新建連接 非新建連接 狀態(tài)表老化 ？ 基本技術 ——特征匹配技術 特征庫 *************************************** /winnt/system32/?/c+dir+c:\ X5O!P%AP[4\PZX54(P^)7CC)7}$EICARSTANDARDANTIVIRUSTESTFILE!$H+H* *************************************** *************************************** 特征庫 以太網(wǎng)幀頭 IP頭 TCP頭 應用層數(shù)據(jù) 對比 網(wǎng)絡安全設備部署模式 旁路部署 在線部署 交換機上設臵鏡像端口，安全設備旁路進行抓包和特征匹配。 ? 應用代理型防火墻：作為應用層代理服務器，提供安全防護。選擇的 依據(jù) 就是系統(tǒng)內(nèi)設置的 過濾規(guī)則 或稱 訪問控制表 。 安全策略 訪問控制 應用代理防火墻 —圖示 應用代理防火墻 —技術評價 優(yōu)點 ： ? 可以將被保護網(wǎng)絡內(nèi)部的結構屏蔽起來 ? 可以實施較強的數(shù)據(jù)流監(jiān)控、記錄。 ? 計算機 B 1100，以 1100端口為源端口去訪問 80端口。 ? 計算機 ，它認為我們服務器的 IP地址是 ，于是以自己的 1039為源端口嘗試向 80端口建立連接。 ? 隱藏內(nèi)部網(wǎng)絡結構。 目錄 ? 基礎知識和基本技術 ? 防火墻技術和應用 ? 應用層攻擊和防范 ? 拒絕服務攻擊和防范 ? 病毒與反病毒技術 ? 反垃圾郵件專題 ? 安全審計技術專題 ? 網(wǎng)閘技術專題 常見信息安全威脅 拒絕服務攻擊 特洛伊木馬 Web應用攻擊 流氓軟件 網(wǎng)絡釣魚 垃圾郵件 社會工程 Web攻擊綜述 正常網(wǎng)站 攻擊者獲得網(wǎng)站 權限，或者在 網(wǎng)站上 注入惡意代碼 攻擊者利用網(wǎng)站的漏洞 網(wǎng)站漏洞 基礎軟件漏洞 應用系統(tǒng)漏洞 ?操作系統(tǒng)漏洞 ?Web服務器漏洞 ?ASP/PHP/CGI漏洞 ?數(shù)據(jù)庫漏洞 ?注入 攻擊 ?跨 站腳本攻擊 網(wǎng)站被控制 網(wǎng)頁被篡改 網(wǎng)頁被掛馬 帳號失竊 成為傀儡機 拒絕服務 ? SQL注入攻擊 利用 Web應用程序（網(wǎng)頁程序）對用戶的網(wǎng)頁輸入數(shù)據(jù)缺少必要的合法性判斷的程序設計漏洞，攻擊者將惡意的 SQL命令注入到后臺數(shù)據(jù)庫的攻擊方式。 ? 跨站腳本攻擊對 Web網(wǎng)站的攻擊后果：網(wǎng)頁掛馬、拒絕服務 ? 舉個例子說明原理： 如攻擊者可 在目標服務器的留言本中 加入如下 代碼： 則存在跨站腳本漏洞的網(wǎng)站就會執(zhí)行攻擊者的 function()。 在線 部署，可 通過快 路徑避開 IDS事件風暴 。 ?因為攻擊是有特定的協(xié)議上下文的，將應用層協(xié)議特征分析與攻擊特征、病毒特征分析結合起來，可確保檢測精度。 4. 基于病毒樣本特征進行檢測。 檢測方法 1. 報文正規(guī)化。 5. 協(xié)議解碼。 有專門的交易渠道，誰都搞不定，只能嚴防死守。 ……。 ?按消耗的資源目標分： ? 帶寬耗盡型 DDoS： 以多欺少的泛洪（ Flood）攻擊，將目標機的出口帶寬資源耗盡，造成拒絕服務；攻擊流量里的單個報文沒有任何特征可言，流量大，通常有龐大的僵尸網(wǎng)絡做支撐，如 UDP Flood、 ICMP Flood等。 拒絕服務攻擊分類 Syn Flood攻擊與防范 Syn Syn＋ ACK ACK 正常 TCP三次握手完成連接 通過半連接耗盡正常服務資源 Syn? Syn? Syn? Syn＋ ACK Syn＋ ACK Syn＋ ACK ? 發(fā)送 帶有偽造源 IP地址的 SYN包，造成大量半連接耗盡服務器資源。 ? 消耗骨干設備的資源 ， 如防火墻的連接數(shù) 。 ? 一般來講 ACK Flood 流量要較大才會對服務器造成影響。 ? 尚未有類似的產(chǎn)品能夠防護 UDP/UDP DNS Query Flood。 ? 攻擊的手段 – 只針對 53端口發(fā) NULL 數(shù)據(jù)包，危害性不大 。 UDP DNS Query Flood 攻擊 其他常見拒絕服務攻擊 ? TFN(Tribe Flood Network) ? 德國著名黑客 Mixter編寫的分布式拒絕服務攻擊工具 ? TFN由主控端程序和代理端組成 ? 攻擊者到主控端 ——TCP綁定 ? 主控端到代理端 ——ICMP_ECHOREPLY ? 代理端對目標機 ——SYN Flood、 ICMP Flood、 UDP Flood、 Smurf 攻擊 ? 免費的 DDoS攻擊工具，還包括 Trinoo、TFN2k、 Stacheldraht等，使得 DDoS攻擊技術門檻降低更加普及，對網(wǎng)絡造成嚴重威脅 Mixter ID字段包含命令 DDoS典型攻擊工具 允許有效 請求通過 服務器 攻擊者 代理 主控端 主控端 代理 代理 代理 代理 代理 ? 通過 Syn Cookie機制防范 Syn Flood攻擊。 一般 DDoS攻擊防范技術 CC攻擊與防御 ?攻擊方法： ? 利用代理服務器發(fā)起大量的 HTTP Get 請求。 ? 在服務器上，從 Cookie與 IP的綁定和用戶 Session。 ? 網(wǎng)絡蠕蟲的兩種主要傳播方式 ? 利用遠程系統(tǒng)漏洞進行網(wǎng)絡傳播，如阻擊 波、 震蕩 波、 SQL蠕蟲； ? 利用電子郵件、 IM、局域網(wǎng)共享等進行網(wǎng)絡傳播，如愛蟲、求職信蠕蟲； ? 有的蠕蟲會綜合以上兩種方式進行網(wǎng)絡傳播，如 Nimda、熊貓燒香等。 瀏覽就可以傳染 ——可怕的