【正文】 中間人攻擊和注射式攻擊 ? 攻擊行為：被動攻擊和主動攻擊 ? 經(jīng)典的會話劫持工具 – TTYwatch – HUNT 會話劫持示意圖 合 法 用 戶服 務(wù) 器攻 擊 者合 法 用 戶 遠(yuǎn) 程 登 錄 服 務(wù) 器合 法 用 戶 驗 證 服 務(wù) 器你 好 , 我 是 合 法 用 戶D i e !會話劫持的危害及防范 ? 會話劫持攻擊使攻擊者避開了被攻擊主機對訪問者的身份驗證和安全認(rèn)證，從而使攻擊者直接進入對被攻擊主機的訪問狀態(tài)，因此對系統(tǒng)安全構(gòu)成的威脅比較嚴(yán)重。 ? 防范這類攻擊的 最佳辦法是使用加密協(xié)議傳輸數(shù)據(jù) 。 會話劫持實例 ? 試驗 63:在 Linux下使用 劫持攻擊 計算機病毒的定義 ? 計算機病毒是指 編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù) ，影響計算機使用，并能自我復(fù)制的 一組計算機指令或者程序代碼。 計算機病毒的特點 ? 傳染性 ? 破壞性 ? 寄生性 ? 隱蔽性 ? 程序性（可執(zhí)行性） ? 潛伏性 ? 可觸發(fā)性 ? 衍生性 ? 欺騙性 ? 不可預(yù)見性 計算機病毒的類型 ? 磁盤引導(dǎo)區(qū)傳染的計算機病毒 ? 操作系統(tǒng)傳染的計算機病毒 ? 應(yīng)用程序傳染的計算機病毒 PE(Portable Executable（可移植的執(zhí)行體） )文件格式一覽 DOS MZ header DOS stub PE header Section table Section 1 Section 2 Section ... Section n 病毒如何感染其他文件 – 方法之一： ? 在文件中添加一個新節(jié) ? 該新節(jié)中添加病毒代碼和病毒執(zhí)行后的返回Host程序的代碼 ? 修改文件頭中代碼開始執(zhí)行位置（ AddressOfEntryPoint）指向新添加的節(jié)，以便程序運行后先執(zhí)行病毒代碼。 預(yù)防計算機病毒 ? 安裝防病毒軟件，并且及時升級。 ? 安全使用互聯(lián)網(wǎng)，不要隨意點擊、下載和運行各種來歷不明的程序和腳本。 ? 要重視文件的備份，經(jīng)常做文件備份，重要的文件要多做幾份。 ? 可移動存儲介質(zhì)在使用之前先殺毒。 ? 保證主機的物理安全，防止他人運行未授權(quán)的程序。 集中式病毒管理 ? “ 集中式管理、分布式殺毒 ”技術(shù)，使安裝在網(wǎng)絡(luò)系統(tǒng)中的每臺計算機上的殺毒軟件構(gòu)筑成協(xié)調(diào)一致的立體防護體系，而網(wǎng)絡(luò)管理員只需 通過控制臺，就可實時掌握全網(wǎng)各節(jié)點的病毒監(jiān)測狀況， 也可遠(yuǎn)程指揮每臺計算機殺毒軟件的工作方式。 ? 克服網(wǎng)絡(luò)殺毒產(chǎn)品不能全網(wǎng)統(tǒng)一殺毒的缺陷，杜絕了因部分計算機未能及時殺毒而留下的隱患。 木馬攻擊 ? 完整的木馬程序一般由兩個部份組成：一個是 服務(wù)器 程序，一個是 控制器 程序。 ? 服務(wù)器 程序用于 監(jiān)聽 被侵入主機的端口或監(jiān)視用戶活動， 控制器端程序 則用于 接收 服務(wù)器程序返回的信息并 可控制遠(yuǎn)程主機 。 木馬的特點 ? 隱蔽性 ? 自動運行性 ? 包含具有 未公開 并且可能產(chǎn)生危險后果的功能的程序 ? 具備自動恢復(fù)功能 ? 能 自動打開特別的端口 木馬的類型 ? 破壞型 ? 密碼發(fā)送型 ? 遠(yuǎn)程訪問型 ? 鍵盤記錄木馬 ? DoS攻擊木馬 ? 代理木馬 ? FTP木馬 ? 程序殺手木馬 ? 反彈端口型木馬 木馬工作方式 ? 一般木馬程序 都包括 客戶端和服務(wù)器端程序。 ? 客戶端用于攻擊者控制植入的木馬的機器。 ? 服務(wù)器端程序既是木馬程序，要 植入 到 ”受害人”機器中。 ? 利用的途徑： – 郵件附件 – 下載軟件 – 瀏覽帶有腳本的網(wǎng)頁。 蠕蟲 – 計算機蠕蟲可以 獨立運行 ，并能把自身的一個包含所有功能的版本 傳播 到另外的計算機上 病毒和蠕蟲的定義比較 – 計算機病毒 是一段可以 自動傳播但需要用戶干預(yù) 來執(zhí)行的代碼或程序。 – 蠕蟲 是 不需要用戶干預(yù) 即可執(zhí)行的獨立程序或代碼，其通過不斷搜索和侵入具有漏洞的主機來自動傳播。 與病毒比較 – 計算機病毒主要攻擊的是 文件系統(tǒng) ，計算機使用者是傳染的觸發(fā)者，使用者的計算機知識水平的高低常常決定了病毒所能造成的破壞程度。 – 蠕蟲主要利用 計算機系統(tǒng)漏洞 進行傳染，與使用者的計算機知識水平無關(guān)。 病毒和蠕蟲的區(qū)別 病毒和蠕蟲的特點對比 ? 病毒具有如下幾個特點： – 可以自我傳播 – 具有破壞性 – 需要宿主來激活 – 使用系統(tǒng)正常的功能 – …… ? 譬如， CIH病毒、 Funlove、殺手 1求職信病毒等。 ? 蠕蟲具有如下幾個特點： – 可以自我傳播 – 具有破壞性 – 不需要宿主激活。 – 利用系統(tǒng)漏洞 – …… ? 譬如 ,紅色代碼、蠕蟲王、沖擊波、震蕩波 非法服務(wù) ? 非法服務(wù)會在系統(tǒng)上 開啟一個秘密的端口 ，提供 未經(jīng)許可的服務(wù) ，這和很多木馬的工作原理是一樣的。 ? 常見的非法服務(wù)包括： – Net Bus – Back Orifice 和 Back Orifice 2022 – 灰鴿子 – 冰河 擊鍵信息收集器 ? 擊鍵信息收集器（ key loggers）都是作為應(yīng)用程序被安裝在受害者的計算機上，并且在用戶完全不知情的前提下駐留在系統(tǒng)內(nèi)存中。這些應(yīng)用程序?qū)⑹占脩羲械膿翩I信息并將其保存在一個文件中，目的就是為了捕獲諸如用戶密碼之類的機密數(shù)據(jù)。 SQL注入攻擊 ? 對 SQL注入攻擊來說，其服務(wù)器本身來說沒有什么漏洞，主要是一些惡意的用戶 利用 SQL語法的特點 ，針對的是應(yīng)用程序開發(fā)者 編程過程中的漏洞 而進行的一種攻擊。 ? 由于 SQL注入攻擊利用的是 SQL語法，使得這種攻擊具有廣泛性 。 SQL注入攻擊的防范 ? 最小權(quán)限原則。 ? 對用戶輸入進行檢查。 ? 使用存儲過程。 ? 當(dāng) SQL運行出錯時，不要顯示出錯信息。 ? 針對常用的 SQL注入式攻擊方式進行專門的設(shè)置。 基于瀏覽器的攻擊 ? 釣魚式攻擊：攻擊者利用欺騙性的 電子郵件 和 偽 造的 Web 站點 來進行詐騙活動。 ? 瀏覽器劫持：通過 BHO（ browser helper object）、DLL插件、 Hook技術(shù)、 Winsock LSP等載體達到對用戶的瀏覽器進行篡改的目的。 ? 流氓軟件防御工具： – TROJAN HUNTER – EWIDO 網(wǎng)絡(luò)釣魚 ? 網(wǎng)絡(luò)釣魚（ Phishing），是“ Fishing”和“ Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“ Ph”來取代“ F”，創(chuàng)造了“ Phishing” 什么是網(wǎng)絡(luò)釣魚攻擊？ ? 目標(biāo)：獲取個人敏感信息 – 用戶名、口令、帳號 ID、 ATM PIN碼或信用卡信息 ? 手段：釣魚 – 攻陷主機 – 架設(shè)釣魚網(wǎng)站－目標(biāo)：知名金融機構(gòu)及商務(wù)網(wǎng)站 – 發(fā)送大量欺騙性垃圾郵件 – 濫用個人敏感信息 ? 資金轉(zhuǎn)賬－經(jīng)濟利益 ? 冒用身份－犯罪目的 釣魚攻擊策略－欺騙技術(shù) ? 欺騙用戶訪問釣魚網(wǎng)站 – DNS中毒攻擊 – Pharming － 網(wǎng)絡(luò)流量重定向 – (自動化 )社交工程－欺騙性垃圾郵件 ? 欺騙性垃圾郵件 – 發(fā)送途徑－難以追蹤 ? 境外的開放郵件服務(wù)器 ? 發(fā)送源－冒充知名權(quán)威機構(gòu) – 發(fā)送內(nèi)容－安全理由、緊急事件，欺騙用戶訪問釣魚網(wǎng)站，給出敏感個人信息 基于瀏覽器攻擊的防范 ? 勤打補丁 ? 安裝安全插件 ? 引起個人的重視 如何對攻擊進行響應(yīng)和阻斷？ ? 制訂完整的安全策略 ? 不要采取單獨的系統(tǒng)或技術(shù) ? 部屬公司范圍的強制策略 ? 提供培訓(xùn) ? 考慮物理安全 ? 根據(jù)需要購置設(shè)備 不要采取單獨的系統(tǒng)或技術(shù) ? 使用多種手段和技術(shù) 來彌補每個單獨技術(shù)的弱點，從而提高整體安全性。每一種安全產(chǎn)品和工具都有其自身的優(yōu)點與缺點，作為公司的安全設(shè)計和實施者，也就需要你在這些可選的安全產(chǎn)品中選擇一部分合適的產(chǎn)品來平衡你的安全需求。 提供培訓(xùn) ? 終端用戶：用戶必須被告知在互聯(lián)網(wǎng)上出現(xiàn)了哪些新的病毒。 ? 管理員：安全管理員必須跟蹤最新的威脅和對策。 ? 主管人員：需要知道用來保證系統(tǒng)安全的最新工具。 考慮物理安全 ? 增強物理安全的方法包括： – 用 密碼鎖 替代普通鎖 – 將服務(wù)器放到上鎖的房間中 – 安裝監(jiān)視設(shè)備 – 需要智能卡才能打開 根據(jù)需要購置設(shè)備 ? 根據(jù)評估審核的需求來決定 ? 結(jié)合管理來確定特殊的需求 ? 考慮企業(yè)即將會出現(xiàn)的新需要 ? 確定一個新的技術(shù)如何對最終用戶產(chǎn)生影響 ? 結(jié)合管理來節(jié)省資金 ? 進行調(diào)查來確定在你的公司中實施哪些產(chǎn)品 @2022 VCampus Corporation All Rights Reserved. 第七單元 防火墻及虛擬局域網(wǎng) 學(xué)習(xí)目標(biāo) ? 定義和描述防火墻在公司安全策略中承擔(dān)的任務(wù) ? 定義普通防火墻術(shù)語 ? 創(chuàng)建包過濾規(guī)則 ? 描述電路級和應(yīng)用級、網(wǎng)關(guān)及其作用 ? 掌握應(yīng)用級網(wǎng)關(guān)的配置 ? 描述公共密鑰結(jié)構(gòu) (PKI) ? 討論虛擬專用網(wǎng)中公共密鑰的重要性 ? 描述在 IPv4中 IPSec的重要性 防火墻的發(fā)展情況 ? 包過濾防火墻 ? 代理服務(wù)器 ? 狀態(tài)監(jiān)控 ? 安全集成系統(tǒng) 防火墻的發(fā)展歷程 防火墻的定義和描述 ? 防火墻指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，通過它可以隔離風(fēng)險區(qū)域 (即 Inter或有一定風(fēng)險的網(wǎng)絡(luò) )與安全區(qū)域 (公司內(nèi)網(wǎng) )的連接，同時不會妨礙人們對風(fēng)險區(qū)域的訪問。 ? 防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準(zhǔn)了的信息進入，同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)。 防火墻 防火墻的功能 ? 防火墻具有如下四種功能 : – 實施一個公司的安全策略 ? 如對 HTTP流量做一些限制和過濾 – 創(chuàng)建一個阻塞點 ? 防火墻可以在公司私有網(wǎng)絡(luò)和外網(wǎng)直接建立一個檢查點。 ? 監(jiān)視、過濾、檢查所有進來和出去的流量。 – 記錄 Inter活動 – 限制網(wǎng)絡(luò)暴露 ? 在公司網(wǎng)絡(luò)周圍創(chuàng)建了一個保護的邊界。 防火墻的局限性 ? 防火墻 不能防范不經(jīng)過防火墻的攻擊 。如撥號訪問、內(nèi)部攻擊等。 ? 病毒等惡性程序可利用 夾帶闖關(guān)防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題 ? 防火墻不能防止 策略配置不當(dāng)或錯誤配置引起 的安全威脅。 ? 防火墻不能防止利用 標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷 進行的攻擊 ? 目前防火墻對于來自網(wǎng)絡(luò)內(nèi)部的攻擊還無能為力。 ? 作為一種被動的防護手段，防火墻不能防范 因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。 包過濾 ? 包過濾設(shè)備工作在 OSI參考模型的 網(wǎng)絡(luò)層 , 能夠允許或阻止包含特定 IP地址和端口的數(shù)據(jù)包。 ? 包過濾將會檢查以下一些信息 : – 源 IP地址 – 目標(biāo) IP地址 – 源端口 – 目標(biāo)端口 – 數(shù)據(jù)包類型 (如 ICMP、 IGMP、 EGP等 ) 包過濾優(yōu)缺點 ? 優(yōu)點 ： – 協(xié)助保護整個網(wǎng)絡(luò)，是防火墻系統(tǒng)中 第一起防線 。 – 對用戶透明 – 過濾路由器速度快、效率高，不需要投入另外的設(shè)備和軟件。 ? 不足 – IP欺騙 ，攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的，黑客們對包過濾式防火墻發(fā)出一系列信息包，不過這些包中的 IP地址已經(jīng)被替換掉了 (FakeIP)，取而代之的是一串順序的 IP地址。一旦有一個包通過了防火墻，黑客便可以用這個 IP地十來偽裝他們發(fā)出的信息。 包過濾型防火墻是某種意義上的絕對安全 ? 另外，黑客們還可使用一種他們自己編制的路由器攻擊程序，這種程序使用路由器協(xié)議來發(fā)送偽造的路由信息，這樣所有的包 都會被重新路由到 一個入侵者所指定的特別地址。 ? 對付包包防火墻另一種方法就是通常所說的”網(wǎng)絡(luò)炸彈“，或者說”拒絕服務(wù)“ (DoS)。 ? 它阻擋別人進入內(nèi)部網(wǎng)絡(luò)，但也不告訴你何人進入你的系統(tǒng)，或者何人從內(nèi)部進入網(wǎng)際網(wǎng)路。 ? 它可以阻止外部對私有網(wǎng)絡(luò)的訪問，卻不能記錄內(nèi)部的訪問。 ? 包過濾另一個關(guān)鍵的弱點就是不能在用戶級別上進行過濾，即不能鑒別不同的用戶和防止 IP地址盜用。 代理服務(wù)器 ? 計算機網(wǎng)絡(luò)中主要有兩種類型的代理 : – 應(yīng)用級代理服務(wù)器 (也叫應(yīng)用級網(wǎng)關(guān) )：應(yīng)用級網(wǎng)關(guān)能夠理解 應(yīng)用層 上的某一種特定協(xié)議 ,包括HTTP、 FTP、 SMTP、 DNS等等，但不處理數(shù)據(jù)包的地址，僅僅關(guān)心檢查特定應(yīng)用程序數(shù)據(jù)。是目前大多數(shù)流行代理服務(wù)器