【正文】 上傳播以來，已在全球范圍內(nèi)感染了大約 50萬臺電腦，造成大批電腦癱瘓和網(wǎng)絡(luò)連接速度減慢。 ? 1999年 4月，河南商都熱線一個 BBS，一張說交通銀行鄭州支行行長攜巨款外逃的帖子，造成了社會的動蕩，三天十萬人上街排隊，擠提了十個億。 它是以 計算機網(wǎng)絡(luò)為戰(zhàn)場 ，計算機技術(shù)為核心、為武器，是一場智力的較量，以 攻擊敵方的信息系統(tǒng) 為主要手段，破壞敵方核心的信息系統(tǒng)，是現(xiàn)代戰(zhàn)爭的“第一個打擊目標”。 美國聯(lián)邦調(diào)查局計算機犯罪組負責(zé)人吉姆 ? 塞特爾曾經(jīng)說：給他 10個世界頂級黑客 ， 組成一個特別小組 ， 90天內(nèi)他就可以“ 關(guān)掉 ” 美國 就像關(guān)掉一臺計算機一樣 。 美軍通過向帶病毒芯片 的打印機設(shè)備發(fā)送指令 ， 致使伊拉克軍隊系統(tǒng)癱瘓 ，輕易地摧毀了伊軍的防空系統(tǒng) 。 ? 在科索沃戰(zhàn)爭中 ， 美國的電子專家成功侵入了 南聯(lián)盟防空體系的計算機系統(tǒng) 。 通過這種方法 ， 美軍成功迷惑了南聯(lián)盟 ， 使南聯(lián)盟浪費了大量的人力物力資源 。 ? 美軍 1996～ 2022年對信息戰(zhàn)的投資預(yù)計達 美元， 1995年對計算機病毒武器研制的撥款為 15億美元， 1996年對開發(fā)信息安全保密技術(shù)款額為 10億美元。 ? 我國打贏信息對抗的高層規(guī)劃？ 網(wǎng)絡(luò)信息安全問題涉及國家安全 ——信息戰(zhàn) 信息時代的國際形勢 ? 在信息時代 ， 世界的格局是： 一個信息霸權(quán)國家 ， 十幾個信息主權(quán)國家 ， 多數(shù)信息殖民地國家 。（歷史造成） SYN Flood——偽造源地址的半開掃描， DoS （ 2） 實現(xiàn)上 的問題 : Windows — 300萬行代碼， Windows 2022 — 5000萬行代碼 Ping of Death(死亡之 ping) — Ping t l 65550 對方 IP 人為的后門和設(shè)計中的 Bug （ 3） 配置上 的問題 : 默認的服務(wù) （ 4） 管理上 的問題：弱的口令 操作系統(tǒng)的安全問題 1997—2022 操作系統(tǒng) 漏洞統(tǒng)計 操作系統(tǒng)的安全問題 2022年 操作系統(tǒng) 漏洞統(tǒng)計 ? We will demonstrate that 62% of all systems can be perated in less than 30 minutes. ? More than half of all attacks will e from inside your own anization. from 請看抓“肉雞”過程 導(dǎo)致網(wǎng)絡(luò)信息安全問題的原因 外 因 信息戰(zhàn)士 減小美國決策空間、戰(zhàn)略優(yōu)勢，制造混亂，進行目標破壞 國家 安全 威脅 情報機構(gòu) 搜集政治、軍事，經(jīng)濟信息 恐怖分子 破壞公共秩序，制造混亂，發(fā)動政變 工業(yè)間諜 掠奪競爭優(yōu)勢，恐嚇 共同 威脅 犯罪團伙 施行報復(fù)，實現(xiàn)經(jīng)濟目的， 破壞制度 社會型黑客 攫取金錢，恐嚇，挑戰(zhàn)，獲取聲望 局部 威脅 娛樂型黑客 以嚇人為樂，喜歡挑戰(zhàn) 外 因 黑客在網(wǎng)上的攻擊活動 每年以十倍速增長 美國每年因黑客而造成的 經(jīng)濟損失近百億美元 ?世界著名的黑客組織及其標志 ?29A 西班牙的黑客組織，其成員如下： ? 名字 國家 ? Benny 捷克 ? GriYo 西班牙 ? LordJulus 羅馬尼亞 ? Mandragore 法國 ? Super 西班牙 ? Tcp 西班牙 ? TheMentalDriller 西班牙 ? VirusBuster 西班牙 ?TOPDEVICE ?ASM ?MOEBIUS ?ZULU ?Snakebasket 來源 : CSI / FBI Computer Crime Survey, March 1998. 21% 48% 72% 89% 外國政府 競爭對手 黑客 不滿的雇員 導(dǎo)致網(wǎng)絡(luò)信息安全問題的原因 國內(nèi)的另一個統(tǒng)計： 操作系統(tǒng)漏洞 操作系統(tǒng)失效 計算機病毒破壞 來自內(nèi)部人員破壞 自然災(zāi)害 來自外部的破壞 原因不明 電源系統(tǒng)失效 管理人員失誤 造成的損害 黑客常用攻擊手段及防御措施 個人用戶忠告及建議 內(nèi)容提要 網(wǎng)絡(luò)安全概述 單位網(wǎng)絡(luò)安全措施推薦 F 常見攻擊手段及防御措施 二 . 黑客常用攻擊手段及防御措施 網(wǎng)絡(luò)攻防技術(shù)基礎(chǔ) 系統(tǒng)安全性配置指南 局域網(wǎng) 數(shù)據(jù)庫服務(wù)器 交換機 磁盤陣列 路由器 網(wǎng)絡(luò) 服務(wù)器 WWW 服務(wù)器 基帶 Modem INTERNET Modem池 電話網(wǎng) ISDN、 ADSL接入設(shè)備 無線網(wǎng) Modem 無線接入設(shè)備 無線接入 Modem Cable Modem Cable接入設(shè)備 PCMCIA 無線接入 PCMCIA 加入 Inter方式 短 卡以 太 網(wǎng)iMac短 卡iMac10101 101010100110101100010111011010010010 101010 傳輸媒介 網(wǎng)卡 網(wǎng)絡(luò)信息傳輸過程示例 兩個計算機交換文件 文件傳送模塊 計算機 1 計算機 2 文件傳送模塊 只看這兩個文件傳送模塊 好像文件及文件傳送命令 是按照水平方向的虛線傳送的 把文件交給下層模塊 進行發(fā)送 把收到的文件交給 上層模塊 再設(shè)計一個通信服務(wù)模塊 文件傳送模塊 計算機 1 計算機 2 文件傳送模塊 只看這兩個通信服務(wù)模塊 好像可直接把文件 可靠地傳送到對方 把文件交給下層模塊 進行發(fā)送 把收到的文件交給 上層模塊 通信服務(wù)模塊 通信服務(wù)模塊 再設(shè)計一個網(wǎng)絡(luò)接入模塊 文件傳送模塊 計算機 1 計算機 2 文件傳送模塊 通信服務(wù)模塊 通信服務(wù)模塊 網(wǎng)絡(luò)接入模塊 網(wǎng)絡(luò)接入模塊 通信網(wǎng)絡(luò) 網(wǎng)絡(luò) 接口 網(wǎng)絡(luò) 接口 網(wǎng)絡(luò)接入模塊負責(zé)做與網(wǎng)絡(luò)接口細節(jié)有關(guān)的工作 例如，規(guī)定傳輸?shù)膸袷剑瑤淖畲箝L度等。 ?歸納起來就是 “ 黑客攻擊五部曲 ” ： 隱藏 IP 踩點掃描 獲得系統(tǒng)或管理員權(quán)限 (入侵攻擊過程 ) 種植后門 在網(wǎng)絡(luò)中隱身 !!! 典型的網(wǎng)絡(luò)攻擊過程示意圖 選中攻 擊目標 獲取普通 用戶權(quán)限 擦除入 侵痕跡 安裝后門 新建帳號 獲取超級 用戶權(quán)限 攻擊其它 主機 獲取或 修改信息 從事其它 非法活動 掃描 網(wǎng)絡(luò) 利用系統(tǒng)已知的漏洞、通過輸入?yún)^(qū)向 CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測已知用戶的口令，從而發(fā)現(xiàn)突破口。 ? 常用的服務(wù)都是使用標準的端口，只要掃描到相應(yīng)的端口開著，就能知道目標主機上運行著什么服務(wù)。 掃描類型－漏洞掃描 ? 漏洞掃描是使用漏洞掃描程序?qū)δ繕讼到y(tǒng)進行信息查詢，通過漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中存在的不安全的地方。雖然掃描所用的時間較長，但是這是一種較難發(fā)現(xiàn)的掃描 高級掃描術(shù)－亂序掃描 ?普通的掃描器在掃描遠程系統(tǒng)的端口時，對端口掃描的順序是有序的，這種按照一定的順序掃描端口的方式很容易被入侵檢測系統(tǒng)發(fā)覺。 掃描器實例： XScan 反掃描對策 ?禁止 /關(guān)閉不必要的服務(wù) /端口 ?屏蔽敏感信息 ?合理配置防火墻和 IDS ?陷阱技術(shù) Honeypot ?僚機策略 ?…… 緩沖區(qū)溢出漏洞 (OOB) ?什么是緩沖區(qū)溢出？ 簡單地說，緩沖區(qū)溢出就是向堆棧中分配的局部數(shù)據(jù)塊中寫入了超出其實際分配大小的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)越界，結(jié)果覆蓋了原先的堆棧數(shù)據(jù)。 暴力破解系統(tǒng)用戶密碼 ? 使用簡單字典文件，利用工具軟件 GetNTUser可將管理員密碼破解出來。尤其七位全部是數(shù)字，更容易被破解。 ? 木馬一般由兩部分組成： 服務(wù)器端和客戶端 。 ? 木馬的功能是通過客戶端可以操縱服務(wù)器，進而操縱對方的主機。 木馬＝特洛伊木馬 ? 木馬來自于“特洛伊木馬”，英文名稱為 Trojan Horse。由于特洛伊木馬程序的功能和此類似，故而得名。 木馬的查殺 ?檢查注冊表： 在注冊表中，最有可能隱藏木馬的地方是 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce ?檢查注冊表 其他可能隱藏木馬的注冊表項還有： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\windows\Load HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\windows\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\ AppInit_DLLs 木馬的查殺 ? 檢查服務(wù) 開始 \程序 \管理工具 \服務(wù) ? 檢查系統(tǒng)進程 系統(tǒng)信息 \軟件環(huán)境 \正在運行任務(wù) (win98)、 Pstools (winnt/2k) ? 檢查開放端口 Netstat –an(win98)、 Fport(winnt/2k) ? 監(jiān)視網(wǎng)絡(luò)通訊 防火墻、網(wǎng)絡(luò)監(jiān)視器 (win2k)、 Sniffer ? 對可疑文件的分析 W32Dasm、 IDA、 Softice 木馬的查殺 木馬的查殺 木馬端口列表： ? ? ? 網(wǎng)絡(luò)監(jiān)聽 / 嗅探（ Sniffer） ?定義 嗅探器 (Sniffer)是能夠從網(wǎng)絡(luò)設(shè)備上捕獲網(wǎng)絡(luò)報文的一種工具 ?Sniffer名稱的來由 通用網(wǎng)絡(luò)公司開發(fā)的一個程序－ NAI 監(jiān)聽工具 —pswmonitor ? 該工具軟件功能比較強大，可以監(jiān)聽的一個網(wǎng)段所有的用戶名和密碼，而且還可以指定發(fā)送的郵箱，設(shè)置的界面如圖所示。 ? 最常見的 DoS攻擊是：計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。 連通性攻擊指用大量的連接請求沖擊計算機，最終導(dǎo)致計算機無法再處理合法用戶的請求。 ? 法二：設(shè)置 SYN Cookie —— 就是給每一個請求連接的 IP地址分配一個 Cookie，如果短時間內(nèi)連續(xù)受到某個 IP的重復(fù) SYN報文，就認定是受到了攻擊，以后從這個 IP地址來的包會被丟棄。 常見的拒絕服務(wù) …… 分布式拒絕服務(wù)（ DDOS） ? 以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標 ? 常用的工具： ? Trin00 ? TFN/TFN2K ?