【文章內(nèi)容簡(jiǎn)介】 Key Infrastructure” 的縮寫，意為“公鑰基礎(chǔ)設(shè)施”。簡(jiǎn)單地說(shuō)， PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。 ? PKI技術(shù)的意義 : – 通過(guò) PKI可以構(gòu)建一個(gè)可管、可控、安全的互聯(lián)網(wǎng)絡(luò)。 – 通過(guò) PKI可以在互聯(lián)網(wǎng)中構(gòu)建一個(gè)完整的授權(quán)服務(wù)體系。 – 通過(guò) PKI可以建設(shè)一個(gè)普適性好、安全性高的統(tǒng)一平臺(tái) 。 PKI的標(biāo)準(zhǔn) ? （ 1988） ? （ 1993）信息技術(shù)之開放系統(tǒng)互聯(lián)：概念、模型及服務(wù)簡(jiǎn)述 ? （ 1993）信息技術(shù)之開放系統(tǒng)互聯(lián)：鑒別框架 ? PKCS系列標(biāo)準(zhǔn) ? OCSP在線證書狀態(tài)協(xié)議 ? LDAP 輕量級(jí)目錄訪問(wèn)協(xié)議 虛擬專用網(wǎng)絡(luò) (VPN) ? VPN定義：不是真的專用網(wǎng)絡(luò)，但可以實(shí)現(xiàn)專用網(wǎng)絡(luò)的功能，依靠 ISP和 NSP， 通過(guò) VPN設(shè)備或軟件技術(shù)在任意兩個(gè)節(jié)點(diǎn)之間形成一個(gè)虛擬的點(diǎn)到點(diǎn)專線技術(shù)。 ? 特點(diǎn)： – 安全保障 – 服務(wù)質(zhì)量保證 – 可擴(kuò)充性和靈活性 – 可管理性 VPN安全技術(shù) ? 隧道技術(shù)（ Tunneling） PPTP， L2TP,L2F ? 加解密技術(shù)（ Encryption amp。 Decryption） ? 密鑰管理技術(shù)（ Key Management ） IKE,SKIP ? 身份認(rèn)證技術(shù)（ Authentication ） CHAP,MSCHAP 隧道技術(shù)（ Tunneling） ? 隧道技術(shù)是一種類似于點(diǎn)到點(diǎn)的技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)通過(guò)此通道傳輸。隧道由隧道協(xié)議組成。 ? 第二層隧道協(xié)議： ： 主要由微軟公司在 PPP的基礎(chǔ)上開發(fā)的一種協(xié)議，沒有對(duì) PPP進(jìn)行修改，將標(biāo)準(zhǔn) PPP加上封裝，支持 ClientLAN的 VPN連接，需要先建立PPP的連接。 2. L2F是由思科公司開發(fā)的一種提供虛擬拔號(hào)的隧道協(xié)議，支持 LAN－ LAN的連接 3. L2TP結(jié)合兩者的優(yōu)點(diǎn) VPN與 IPsec ? Ipsec處于各個(gè)協(xié)議層的中間位置，既能捕獲高層的報(bào)文，也能捕獲低層的報(bào)文，附加的安全措施與低層無(wú)關(guān)對(duì)高層透明。 ? 安全性： Ipsec更安全， PPTP采用 RC4的算法，支持40或 128位的加密算法， IPsec采用 168位的三重 DES算法。 安全套接字層 (SSL) ? SSL允許兩個(gè)應(yīng)用程序通過(guò)使用數(shù)字證書認(rèn)證后在網(wǎng)絡(luò)中進(jìn)行通信，它還使用加密及信息摘要來(lái)保證數(shù)據(jù)的可靠性。 SSL是工作在傳輸層協(xié)議上的，所有的瀏覽器都支持 SSL，所以應(yīng)用程序在使用它時(shí)不需要特殊的代碼。 Netscape公司發(fā)明的并在 1995年成為一項(xiàng)標(biāo)準(zhǔn)， 1996年，是當(dāng)前的標(biāo)準(zhǔn)并且所有瀏覽器都支持它。 數(shù)字簽名 ? 數(shù)字簽名的功能： – 接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名 – 發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名 – 任何人不能偽造對(duì)報(bào)文的簽名 – 保證數(shù)據(jù)的完整性，防止截獲者在文件中加入其他信息 – 對(duì)數(shù)據(jù)和信息的來(lái)源進(jìn)行保證，以保證發(fā)件人的身份 – 數(shù)字簽名有一定的處理速度，能夠滿足所有的應(yīng)用需求 @2022 VCampus Corporation All Rights Reserved. 第五單元 基本攻擊 學(xué)習(xí)目標(biāo) ? 描述典型的安全攻擊類型 ? 識(shí)別常見的攻擊事件 攻擊行為的動(dòng)機(jī) ? 黑客攻擊的動(dòng)機(jī)各不相同，有的為了達(dá)到目的，有的是為了獲取金錢，有的是為了個(gè)人興趣，有的是因?yàn)闊o(wú)知和好奇。要進(jìn)一步解決安全問(wèn)題，我們需要了解可能遇到的攻擊類型。為了防御黑客，還需要了解黑客所采用的技術(shù)、使用的工具及軟件。 暴力破解和字典攻擊 ? 暴力攻擊使用字母、數(shù)字和字符的隨機(jī)組合反復(fù)進(jìn)行試探性訪問(wèn)。暴力攻擊程序通過(guò)簡(jiǎn)單地猜測(cè)用戶名和反復(fù)訪問(wèn)服務(wù)器來(lái)破解一臺(tái)服務(wù)器或數(shù)據(jù)文件。 ? 字典窮舉法攻擊通過(guò)查詢一個(gè)“字典文件”來(lái)嘗試破譯口令，此文件包括一個(gè)很長(zhǎng)的單詞列表。容易破譯用戶使用標(biāo)準(zhǔn)的單詞設(shè)置的口令。 ? 使用強(qiáng)密碼可有效地防止暴力破解和字典攻擊。 擴(kuò)展實(shí)驗(yàn) 51 使用字典破解工具進(jìn)行 Windows口令破解 ? L0PHTCracker ? SamInside ? NAT 系統(tǒng)漏洞和后門 ? 系統(tǒng)漏洞是程序中無(wú)意造成的缺陷，它形成了一個(gè)不被注意的通道。 ? 后門是一個(gè)在操作系統(tǒng)或程序中無(wú)證明文件的通道，通常是由軟件開發(fā)人員故意放置在那里的。 擴(kuò)展實(shí)驗(yàn) 52 嘗試?yán)?Windows 2022漏洞進(jìn)行攻擊 ? 經(jīng)典的輸入法漏洞回顧 ? IIS UNICODE 漏洞 – 利用 IIS編碼時(shí)的漏洞，在一個(gè)可執(zhí)行的目錄中執(zhí)行命令 ? %c1%1c 〉 (0xc1 0xc0) * 0x40 + 0x1c = 0x5c = 39。/39。 ? %c0%2f 〉 (0xc0 0xc0) * 0x40 + 0x2f = 0x2f = 39。\39。 – 下面的 URL可能列出當(dāng)前目錄的內(nèi)容： 機(jī) ./scripts/..%c1%1c../winnt/system32/?/c+dir ? RPC2 系統(tǒng)默認(rèn)設(shè)置 ? 幾乎所有的網(wǎng)絡(luò)后臺(tái)運(yùn)行程序在默認(rèn)設(shè)置的情況下都泄漏很多的信息。 ? 采取措施保護(hù)下列信息： – DNS服務(wù)器的內(nèi)容 – 路由表 – 用戶和帳戶名 – 運(yùn)行在任何服務(wù)器上的標(biāo)題信息 拒絕服務(wù)和分布式拒絕服務(wù) ? 拒絕服務(wù)攻擊（ DoS）中，黑客阻止合法的用戶訪問(wèn)某一種服務(wù)。如表現(xiàn)在試圖讓一個(gè)系統(tǒng)工作超負(fù)荷。 ? 分布式拒絕服務(wù)（ DDoS）攻擊是指幾個(gè)遠(yuǎn)程系統(tǒng)在一起工作并產(chǎn)生網(wǎng)絡(luò)傳輸，目的在于崩潰一個(gè)遠(yuǎn)程主機(jī) 。 防止 DoS和 DDoS攻擊 ? 升級(jí)操作系統(tǒng) ? 密切觀測(cè)正在使用的代碼 ? 只購(gòu)買服務(wù)器、服務(wù)和應(yīng)用軟件的穩(wěn)定版本 Ping溢出 ? 屬于拒絕服務(wù)攻擊的一種類型，其原理是使用簡(jiǎn)單的 Ping命令在短時(shí)間內(nèi)發(fā)送大量的 ping數(shù)據(jù)包到服務(wù)器，那么服務(wù)器就需要耗費(fèi)很多資源去處理這些數(shù)據(jù)包，從而導(dǎo)致無(wú)法正常工作。 ? Eg:2022年 ,“10 萬(wàn)紅客攻打白宮 ?” SYN溢出 ? SYN溢出是黑客與服務(wù)器建立了成百上千個(gè)半連接，致使服務(wù)器的性能受到嚴(yán)重的限制，甚至崩潰。 擴(kuò)展實(shí)驗(yàn) 53 演示和體會(huì) DoS/DDoS攻擊 ? Synful ? TFN ? Hgod 死亡之 Ping和 Ping哄騙 ? 死亡之 Ping攻擊通過(guò)發(fā)送一個(gè)大于 65536字節(jié)的ICMP包使系統(tǒng)崩潰。 ? 當(dāng)一個(gè)應(yīng)用程序產(chǎn)生上千個(gè) ICMP包的時(shí)候，就會(huì)發(fā)生 Ping溢出。攻擊將阻塞網(wǎng)絡(luò)連接或使系統(tǒng)對(duì)網(wǎng)絡(luò)請(qǐng)求做出的反應(yīng)變慢。 緩存溢出 ? 緩沖區(qū)中被放入了太多的信息，就會(huì)發(fā)生緩存溢出，這可能會(huì)引起“ shell” （也就是一段內(nèi)存空間）被留下。黑客非常關(guān)注這個(gè) shell，因?yàn)樗３＝邮樟四切┖诳拖胍褂玫拿睢? 內(nèi)部攻擊 ? 為獲得未授權(quán)的訪問(wèn)權(quán)，與外部邊緣攻擊相同的方法也可以在內(nèi)部攻擊中使用，有些時(shí)候更容易 。 ? 竊聽?wèi)?yīng)用程序間的消息、損害現(xiàn)有控制機(jī)制以及物理攻擊是內(nèi)部攻擊的常見方式。 社會(huì)工程和非直接攻擊 ? 打電話詢問(wèn)密碼 ? 偽造 Email ? 病毒， BUG和服務(wù)缺陷 實(shí)驗(yàn) 51 ? 發(fā)送偽造的電子郵件 釣魚攻擊 ? 常見的攻擊技術(shù) – 發(fā)送電子郵件，以虛假信息引誘用戶中圈套 – 建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶帳號(hào)密碼實(shí)施盜竊 – 利用虛假的電子商務(wù)進(jìn)行詐騙 – 利用木馬和黑客技術(shù)等手段竊取用戶信息后實(shí)施盜竊活動(dòng) – 利用用戶弱口令等漏洞破解、猜測(cè)用戶帳號(hào)和密碼 – 復(fù)制圖片和網(wǎng)頁(yè)設(shè)計(jì)、相似的域名 – URL地址隱藏黑客工具 – 通過(guò)彈出窗口和隱藏提示 – 利用社會(huì)工程學(xué) – 利用 IP地址的形式顯示欺騙用戶點(diǎn)擊 間諜軟件 ? 間諜軟件（英文名稱為“ spyware” ）是一種來(lái)自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進(jìn)行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。 ? 間諜軟件類型 ： – 廣告型間諜軟件 – 監(jiān)視型間諜軟件 @2022 VCampus Corporation All Rights Reserved. 第六單元 高級(jí)攻擊 學(xué)習(xí)目標(biāo) ? 掌握常見高級(jí)攻擊方式原理 ? 熟悉常見高級(jí)攻擊的防范措施 ? 清楚病毒、木馬、間諜軟件各自的特點(diǎn) ? 掌握針對(duì)網(wǎng)站的常用攻擊方法及防范措施 欺騙和中間人攻擊 ? 網(wǎng)絡(luò)欺騙主要方式有 :IP欺騙、 ARP欺騙、 DNS欺騙、Web欺騙、電子郵件欺騙、源路由欺騙等。 ? 中間人攻擊是通過(guò)各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間，實(shí)質(zhì)上兩臺(tái)主機(jī)是通過(guò)中間這臺(tái)主機(jī)來(lái)交換信息的，這臺(tái)計(jì)算機(jī)就稱為“中間人”，而兩端主機(jī)卻毫無(wú)察覺。 ARP欺騙 ? 利用 ARP列表生成機(jī)制的漏洞來(lái)進(jìn)行全網(wǎng)絡(luò)嗅探和攻擊的技術(shù) ? 利用 ARP欺騙的木馬或病毒 ? 怎樣防范 : ? （ 1）在客戶端使用 arp命令綁定網(wǎng)關(guān)的真實(shí) MAC地址命令如下： ? arp (先清除錯(cuò)誤的 ARP表 ) ? arp 030303030303 （靜態(tài)指定網(wǎng)關(guān)的 MAC地址） ? （ 2）在交換機(jī)上做端口與 MAC地址的靜態(tài)綁定。 ? （ 3）在路由器上做 IP地址與 MAC地址的靜態(tài)綁定。 ? （ 4）使用“ ARP SERVER”按一定的時(shí)間間隔廣播網(wǎng)段內(nèi)所有主機(jī)的正確 IPMAC映射表。 ? （ 5）提高用戶的安全意識(shí)，養(yǎng)成良好的安全習(xí)慣，包括：及時(shí)安裝系統(tǒng)補(bǔ)丁程序；為系統(tǒng)設(shè)置強(qiáng)壯的密碼；安裝防火墻；安裝有效的殺毒軟件并及時(shí)升級(jí)病毒庫(kù)；不主動(dòng)進(jìn)行網(wǎng)絡(luò)攻擊，不隨便運(yùn)行不受信任的軟件。 中間人攻擊示意圖 合 法 用 戶服 務(wù) 器攻 擊 者合 法 用 戶 認(rèn) 為 他 在 與服 務(wù) 器 直 接 對(duì) 話攻 擊 者 將 信 息 傳送 到 服 務(wù) 器信 息 流 實(shí) 際上 經(jīng) 過(guò) 了 攻擊 者嗅探攻擊 ? 嗅探器 (sniffer) 是利用計(jì)算機(jī)網(wǎng)絡(luò)接口截獲本不應(yīng)該接收數(shù)據(jù)報(bào)文的一種技術(shù)，也可以將網(wǎng)絡(luò)中所有經(jīng)過(guò)本物理網(wǎng)卡的所有流量全都截取下來(lái)。 ? 嗅探攻擊的威脅在于攻擊者能夠分析出所有以明文傳輸?shù)男畔?，包括? – 明文傳送的用戶口令 – 明文傳送的專用或機(jī)密的信息 – 可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全，或者用來(lái)獲取更高級(jí)別的訪問(wèn)權(quán)限 – 可以用來(lái)分析網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行網(wǎng)絡(luò)滲透。 嗅探攻擊實(shí)例 ? 試驗(yàn) 61:使用 sniffer pro進(jìn)行監(jiān)聽并解析 IPv4協(xié)議頭部信息。 – POP和 SMTP – FTP – TELNET ? 試驗(yàn) 62:使用 iris進(jìn)行網(wǎng)絡(luò)嗅探和協(xié)議分析 – 比較兩款工具的不同 鏈路攻擊和 TCP會(huì)話劫持 ? 會(huì)話劫持（ Session Hijack）是一種結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段。 ? 主要有兩種類型： – 中間人攻擊 – 注射式攻擊 ? 經(jīng)典的會(huì)話劫持工具 – TTYwatch – HUNT 會(huì)話劫持示意圖 合 法 用 戶服 務(wù) 器攻 擊 者合 法 用 戶 遠(yuǎn) 程 登 錄 服 務(wù) 器合 法 用 戶 驗(yàn) 證 服 務(wù) 器你 好 , 我 是 合 法 用 戶D i e !會(huì)話劫持的危害及防范 ? 會(huì)話劫持攻擊使攻擊者避開了被攻擊主機(jī)對(duì)訪問(wèn)者的身份驗(yàn)證和安全認(rèn)證，從而使攻擊者直接進(jìn)入對(duì)被攻擊主機(jī)的訪問(wèn)狀態(tài)，因此對(duì)系統(tǒng)安全構(gòu)成的威