【正文】 是目前大多數(shù)流行代理服務器。 ? 包過濾另一個關鍵的弱點就是不能在用戶級別上進行過濾，即不能鑒別不同的用戶和防止 IP地址盜用。 ? 它阻擋別人進入內(nèi)部網(wǎng)絡，但也不告訴你何人進入你的系統(tǒng)，或者何人從內(nèi)部進入網(wǎng)際網(wǎng)路。 包過濾型防火墻是某種意義上的絕對安全 ? 另外，黑客們還可使用一種他們自己編制的路由器攻擊程序，這種程序使用路由器協(xié)議來發(fā)送偽造的路由信息，這樣所有的包 都會被重新路由到 一個入侵者所指定的特別地址。 ? 不足 – IP欺騙 ，攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的，黑客們對包過濾式防火墻發(fā)出一系列信息包，不過這些包中的 IP地址已經(jīng)被替換掉了 (FakeIP)，取而代之的是一串順序的 IP地址。 ? 包過濾將會檢查以下一些信息 : – 源 IP地址 – 目標 IP地址 – 源端口 – 目標端口 – 數(shù)據(jù)包類型 (如 ICMP、 IGMP、 EGP等 ) 包過濾優(yōu)缺點 ? 優(yōu)點 ： – 協(xié)助保護整個網(wǎng)絡，是防火墻系統(tǒng)中 第一起防線 。 ? 作為一種被動的防護手段，防火墻不能防范 因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。 ? 病毒等惡性程序可利用 夾帶闖關防火墻不能解決來自內(nèi)部網(wǎng)絡的攻擊和安全問題 ? 防火墻不能防止 策略配置不當或錯誤配置引起 的安全威脅。 防火墻的局限性 ? 防火墻 不能防范不經(jīng)過防火墻的攻擊 。 ? 監(jiān)視、過濾、檢查所有進來和出去的流量。 ? 防火墻可以監(jiān)控進出網(wǎng)絡的通信量，從而完成看似不可能的任務；僅讓安全、核準了的信息進入，同時又抵制對企業(yè)構成威脅的數(shù)據(jù)。 ? 主管人員：需要知道用來保證系統(tǒng)安全的最新工具。 提供培訓 ? 終端用戶：用戶必須被告知在互聯(lián)網(wǎng)上出現(xiàn)了哪些新的病毒。 ? 流氓軟件防御工具： – TROJAN HUNTER – EWIDO 網(wǎng)絡釣魚 ? 網(wǎng)絡釣魚（ Phishing），是“ Fishing”和“ Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“ Ph”來取代“ F”，創(chuàng)造了“ Phishing” 什么是網(wǎng)絡釣魚攻擊？ ? 目標：獲取個人敏感信息 – 用戶名、口令、帳號 ID、 ATM PIN碼或信用卡信息 ? 手段：釣魚 – 攻陷主機 – 架設釣魚網(wǎng)站－目標：知名金融機構及商務網(wǎng)站 – 發(fā)送大量欺騙性垃圾郵件 – 濫用個人敏感信息 ? 資金轉(zhuǎn)賬－經(jīng)濟利益 ? 冒用身份－犯罪目的 釣魚攻擊策略－欺騙技術 ? 欺騙用戶訪問釣魚網(wǎng)站 – DNS中毒攻擊 – Pharming － 網(wǎng)絡流量重定向 – (自動化 )社交工程－欺騙性垃圾郵件 ? 欺騙性垃圾郵件 – 發(fā)送途徑－難以追蹤 ? 境外的開放郵件服務器 ? 發(fā)送源－冒充知名權威機構 – 發(fā)送內(nèi)容－安全理由、緊急事件，欺騙用戶訪問釣魚網(wǎng)站，給出敏感個人信息 基于瀏覽器攻擊的防范 ? 勤打補丁 ? 安裝安全插件 ? 引起個人的重視 如何對攻擊進行響應和阻斷？ ? 制訂完整的安全策略 ? 不要采取單獨的系統(tǒng)或技術 ? 部屬公司范圍的強制策略 ? 提供培訓 ? 考慮物理安全 ? 根據(jù)需要購置設備 不要采取單獨的系統(tǒng)或技術 ? 使用多種手段和技術 來彌補每個單獨技術的弱點，從而提高整體安全性。 基于瀏覽器的攻擊 ? 釣魚式攻擊：攻擊者利用欺騙性的 電子郵件 和 偽 造的 Web 站點 來進行詐騙活動。 ? 當 SQL運行出錯時，不要顯示出錯信息。 ? 對用戶輸入進行檢查。 ? 由于 SQL注入攻擊利用的是 SQL語法，使得這種攻擊具有廣泛性 。這些應用程序?qū)⑹占脩羲械膿翩I信息并將其保存在一個文件中，目的就是為了捕獲諸如用戶密碼之類的機密數(shù)據(jù)。 – 利用系統(tǒng)漏洞 – …… ? 譬如 ,紅色代碼、蠕蟲王、沖擊波、震蕩波 非法服務 ? 非法服務會在系統(tǒng)上 開啟一個秘密的端口 ，提供 未經(jīng)許可的服務 ，這和很多木馬的工作原理是一樣的。 病毒和蠕蟲的區(qū)別 病毒和蠕蟲的特點對比 ? 病毒具有如下幾個特點： – 可以自我傳播 – 具有破壞性 – 需要宿主來激活 – 使用系統(tǒng)正常的功能 – …… ? 譬如， CIH病毒、 Funlove、殺手 1求職信病毒等。 與病毒比較 – 計算機病毒主要攻擊的是 文件系統(tǒng) ，計算機使用者是傳染的觸發(fā)者，使用者的計算機知識水平的高低常常決定了病毒所能造成的破壞程度。 蠕蟲 – 計算機蠕蟲可以 獨立運行 ，并能把自身的一個包含所有功能的版本 傳播 到另外的計算機上 病毒和蠕蟲的定義比較 – 計算機病毒 是一段可以 自動傳播但需要用戶干預 來執(zhí)行的代碼或程序。 ? 服務器端程序既是木馬程序，要 植入 到 ”受害人”機器中。 木馬的特點 ? 隱蔽性 ? 自動運行性 ? 包含具有 未公開 并且可能產(chǎn)生危險后果的功能的程序 ? 具備自動恢復功能 ? 能 自動打開特別的端口 木馬的類型 ? 破壞型 ? 密碼發(fā)送型 ? 遠程訪問型 ? 鍵盤記錄木馬 ? DoS攻擊木馬 ? 代理木馬 ? FTP木馬 ? 程序殺手木馬 ? 反彈端口型木馬 木馬工作方式 ? 一般木馬程序 都包括 客戶端和服務器端程序。 木馬攻擊 ? 完整的木馬程序一般由兩個部份組成：一個是 服務器 程序，一個是 控制器 程序。 集中式病毒管理 ? “ 集中式管理、分布式殺毒 ”技術，使安裝在網(wǎng)絡系統(tǒng)中的每臺計算機上的殺毒軟件構筑成協(xié)調(diào)一致的立體防護體系，而網(wǎng)絡管理員只需 通過控制臺，就可實時掌握全網(wǎng)各節(jié)點的病毒監(jiān)測狀況， 也可遠程指揮每臺計算機殺毒軟件的工作方式。 ? 可移動存儲介質(zhì)在使用之前先殺毒。 ? 安全使用互聯(lián)網(wǎng)，不要隨意點擊、下載和運行各種來歷不明的程序和腳本。 計算機病毒的特點 ? 傳染性 ? 破壞性 ? 寄生性 ? 隱蔽性 ? 程序性（可執(zhí)行性） ? 潛伏性 ? 可觸發(fā)性 ? 衍生性 ? 欺騙性 ? 不可預見性 計算機病毒的類型 ? 磁盤引導區(qū)傳染的計算機病毒 ? 操作系統(tǒng)傳染的計算機病毒 ? 應用程序傳染的計算機病毒 PE(Portable Executable（可移植的執(zhí)行體） )文件格式一覽 DOS MZ header DOS stub PE header Section table Section 1 Section 2 Section ... Section n 病毒如何感染其他文件 – 方法之一： ? 在文件中添加一個新節(jié) ? 該新節(jié)中添加病毒代碼和病毒執(zhí)行后的返回Host程序的代碼 ? 修改文件頭中代碼開始執(zhí)行位置（ AddressOfEntryPoint）指向新添加的節(jié)，以便程序運行后先執(zhí)行病毒代碼。 ? 防范這類攻擊的 最佳辦法是使用加密協(xié)議傳輸數(shù)據(jù) 。也就是在一次正常的通信過程中，攻擊者作為第三方參與到其中，或者在數(shù)據(jù)流中增加額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成攻擊者的間接聯(lián)系。 嗅探攻擊實例 ? 試驗 61:使用 sniffer pro進行監(jiān)聽并解析 IPv4協(xié)議頭部信息。 嗅探攻擊 ? 嗅探器 (sniffer) 是利用計算機網(wǎng)絡接口截獲本不應該接收數(shù)據(jù)報文的一種技術，也可以將網(wǎng)絡中所有經(jīng)過本物理網(wǎng)卡的所有流量全都截取下來。 ? （ 4）使用“ ARP SERVER”按一定的時間間隔廣播網(wǎng)段內(nèi)所有主機的正確 IPMAC映射表。 ARP欺騙 ? 利用 ARP列表生成機制的漏洞來進行全網(wǎng)絡嗅探和攻擊的技術 ? 利用 ARP欺騙的木馬或病毒 ? 怎樣防范 : ? （ 1）在客戶端 使用 arp命令綁定網(wǎng)關的真實 MAC地址命令如下： ? arp (先清除錯誤的 ARP表 ) ? arp 030303030303 （靜態(tài)指定網(wǎng)關的 MAC地址） ? （ 2）在交換機 上做端口與 MAC地址的靜態(tài)綁定。 ? 防范： mac地址和 IP地址靜態(tài)綁定。 – 第二種 ARP欺騙的原理是 —— 偽造網(wǎng)關 。 – 第一種 ARP欺騙的原理是 —— 截獲網(wǎng)關數(shù)據(jù) 。 中間人攻擊示意圖 合 法 用 戶服 務 器攻 擊 者合 法 用 戶 認 為 他 在 與服 務 器 直 接 對 話攻 擊 者 將 信 息 傳送 到 服 務 器信 息 流 實 際上 經(jīng) 過 了 攻擊 者ARP欺騙 ? ARP欺騙 – ARP（ Address Resolution Protocol，地址解析協(xié)議）是一個位于 TCP/IP協(xié)議棧中的低層協(xié)議，負責將某個 IP地址解析成對應的 MAC地址。 IP欺騙攻擊 IP欺騙攻擊 中間人攻擊 ? 中間人攻擊 是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間，實質(zhì)上兩臺主機是通過中間這臺主機來交換信息的，這臺計算機就稱為“中間人”，而兩端主機卻毫無察覺。當一臺主機發(fā)送一個請求要求解析某個域名時，他會首先把解析請求發(fā)到自己的DNS服務器上。 ? 欺騙技術可以分為對受害者的欺騙和對攻擊者的欺騙。 ? 間諜軟件類型 ： – 廣告型間諜軟件 – 監(jiān)視型間諜軟件 ? 間諜軟件傳播方式 – 軟件捆綁和嵌套 – 瀏覽網(wǎng)站（惡意網(wǎng)頁或網(wǎng)頁木馬） – 郵件發(fā)送 – 利用漏洞進行主動傳播和植入（多隱身于蠕蟲之中）。 ? 竊聽應用程序間的消息、損害現(xiàn)有控制機制以及物理攻擊是內(nèi)部攻擊的常見方式。 ? 溢出棧中的局部變量，使返回地址指向攻擊代碼 – 防御方法 ? 緩沖區(qū)不可執(zhí)行 植入的攻擊代碼無法執(zhí)行，不能產(chǎn)生大的危害 ? 編寫正確的代碼 ? 編譯器進行類型、邊界檢查，實現(xiàn)緩沖區(qū)的保護，如 java。 ? 類似函數(shù)有 strcat、 sprintf、 vsprintf、 gets、scanf等 – 一般溢出會造成程序讀 /寫或執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā) segmentation fault異常退出 . – 如果特意構造內(nèi)容，可以有目的的執(zhí)行程序，并獲得著急用戶的權限。 strcpy(buf,str)。 ? 緩沖區(qū)溢出 – 向緩沖區(qū)寫入超過緩沖區(qū)長度的內(nèi)容，造成緩沖區(qū)溢出，破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，達到攻擊的目的。 ? TCP協(xié)議三次握手過程 SYN, SEQ = x 主機 B ACK, SEQ = x + 1, ACK = y ? 1 被動打開 主動打開 確認 確認 主機 A 連接請求 擴展實驗 53 演示和體會 DoS/DDoS攻擊 ? Synful ? TFN ? Hgod 緩存溢出 ? 緩沖區(qū)中被放入了太多的信息，就會發(fā)生緩存溢出，這可能會引起“ shell” （也就是一段內(nèi)存空間）被留下。如果 SYN＝ 1而 ACK=0，則表示該數(shù)據(jù)包為連接請求，如果 SYN=1而 ACK=1則表示接受連接。 ? Win2K系統(tǒng)中，自定義 IP安全策略，設置“碎片檢查”。 ? 如果可能， 在網(wǎng)絡邊界上禁止碎片包 通過，或者用iptables限制每秒通過碎片包的數(shù)目。攻擊將阻塞網(wǎng)絡連接或使系統(tǒng)對網(wǎng)絡請求做出的反應變慢。 ? 死亡之 Ping攻擊通過發(fā)送一個大于 65536字節(jié)的ICMP包使系統(tǒng)崩潰。另外，如果分片之間偏移量經(jīng)過 精心構造，一些系統(tǒng)就無法處理，導致死機。 死亡之 Ping和 Ping哄騙 ? IP首部有 兩個字節(jié) 表示整個 IP數(shù)據(jù)包的長度，所以IP數(shù)據(jù)包最長只能為 0xFFFF，就是 65535字節(jié)。 – 我們假設要傳輸一個 UDP數(shù)據(jù)包，以太網(wǎng)的 MTU為 1500字節(jié)，一般 IP首部為 20字節(jié)， UDP首部為 8字節(jié)，數(shù)據(jù)的凈荷（ payload）部分預留是 1500208=1472字節(jié)。 ? Eg:2022年 ,“10 萬紅客攻打白宮 ?” 死亡之 Ping和 Ping哄騙 ? 分片原理 – 鏈路層具有最大傳輸單元 MTU這個特性，它限制了數(shù)據(jù)幀的最大長度，不 同的網(wǎng)絡類型都有一個上限值。被廣播 響應包 Smurf ? Syn flood攻擊 短時間內(nèi)向被攻擊主機發(fā)送大量的標志位為 SYN 數(shù)據(jù)包，使被攻擊主機處于等待連接裝態(tài) – 常見 DOS攻擊工具 ? TFN2k， TFN2K是由德國著名黑客 Mixter編寫的同類攻擊工具 TFN的后續(xù)版本 ，主要使用SYN flood攻擊方式。 ? 拒絕服務攻擊（ DoS, Denial of Service ） – 拒絕服務方法 ? 使系統(tǒng)或