【正文】 次握手過(guò)程 SYN SYN +ACK ACK Client Server SYN_SEND SYN_RECV ESTABLISHED ESTABLISHED 2022年 2月 5日 安全基礎(chǔ)知識(shí) SYN Flood攻擊 (2) ? 原理： – 利用 TCP協(xié)議缺陷發(fā)送大量 TCP半連接請(qǐng)求，使得目標(biāo)機(jī)器不能進(jìn)一步接受 TCP連接 – 對(duì) TCP而言，半連接是指一個(gè)沒有完成三次握手過(guò)程的會(huì)話 – 配合 IP欺騙 ,短時(shí)間內(nèi)不斷發(fā)送 SYN包，使服務(wù)器回復(fù) SYN/ACK,并不斷重發(fā)直至超時(shí) – 偽造的 SYN包長(zhǎng)時(shí)間占用未連接隊(duì)列，達(dá)到上限后，服務(wù)器將拒絕響應(yīng) SYN請(qǐng)求，正常的 SYN請(qǐng)求被丟棄 2022年 2月 5日 安全基礎(chǔ)知識(shí) SYN Flood攻擊 (3) 攻擊者 Inter Code 目標(biāo) 欺騙性的 IP 包 源地址是偽造的 目標(biāo)地址是 TCP Open SYN 2022年 2月 5日 安全基礎(chǔ)知識(shí) SYN Flood攻擊 (4) 攻擊者 Inter 目標(biāo) SYN+ACK 同步應(yīng)答響應(yīng) 源地址 目標(biāo)地址不存在 TCP ACK 未連接隊(duì)列 達(dá)到上限 2022年 2月 5日 安全基礎(chǔ)知識(shí) SYN Flood攻擊案例 ?外高橋機(jī)房下載系統(tǒng) DLC服務(wù)器 SynFlood攻擊 2022年 2月 5日 安全基礎(chǔ)知識(shí) UDP Flood攻擊 ? 原理： – UDP協(xié)議是無(wú)連接的協(xié)議，提供不可靠的傳輸服務(wù) – 不需要用任何程序建立連接來(lái)傳輸數(shù)據(jù) – 攻擊者向目標(biāo)機(jī)端口發(fā)送了足夠多的 UDP 數(shù)據(jù)包的時(shí)候，整個(gè)系統(tǒng)就會(huì)癱瘓。80040e1439。 Order By Id DESC39。 /，行 290 ? 獲取信息 – 初步確定可能存在 SQL INJECTION漏洞 2022年 2月 5日 安全基礎(chǔ)知識(shí) 查找注入點(diǎn)（ 1） ? 測(cè)試方法 ① ② and 1=1 ③ and 1=2 經(jīng)典的 1=1 ， 1=2測(cè)試法 ? 可以注入 ① 正常顯示（必然結(jié)果） ② 正常顯示，內(nèi)容基本與①相同 ③ 提示錯(cuò)誤 2022年 2月 5日 安全基礎(chǔ)知識(shí) 查找注入點(diǎn)（ 2） ? 使用工掃描注入點(diǎn) 2022年 2月 5日 安全基礎(chǔ)知識(shí) 判斷數(shù)據(jù)庫(kù)類型 ? 語(yǔ)句 and 0(select version) ? 返回 Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 39。 將 nvarchar 值 39。 轉(zhuǎn)換為數(shù)據(jù)類型為 int 的列時(shí)發(fā)生語(yǔ)法錯(cuò)誤。80040e0739。dbo39。 /，行 290 ? 判斷 – 權(quán)限很高，可以確定是服務(wù)器角色組中的成員 2022年 2月 5日 安全基礎(chǔ)知識(shí) 執(zhí)行 XP_CMDSHELL ? 條件 – 當(dāng)前連接數(shù)據(jù)的帳號(hào)具有 SA權(quán)限 – ? 語(yǔ)句 – exec master..xp_cmdshell “ user aaa bbb /add” – exec master..xp_cmdshell “ localgroup aaa administrators /add” ? 結(jié)果 – 在操作系統(tǒng)中添加帳戶 aaa,密碼為 bbb – 將新建的帳戶 aaa加入管理員組 2022年 2月 5日 安全基礎(chǔ)知識(shí) 獲得 web后臺(tái)管理的權(quán)限 ? 后臺(tái)管理的認(rèn)證頁(yè)面一般有以下語(yǔ)句： select * from admin where username=39。 and password=39。abc39。123? 輕易騙過(guò)系統(tǒng)，獲取合法身份 2022年 2月 5日 安全基礎(chǔ)知識(shí) 如何防范 SQL注入 ? 對(duì)用戶的輸入進(jìn)行嚴(yán)格的過(guò)濾 ? 對(duì)變量類型進(jìn)行檢查 ? 執(zhí)行統(tǒng)一的代碼規(guī)范 ? 養(yǎng)成良好的習(xí)慣 ? …… 2022年 2月 5日 安全基礎(chǔ)知識(shí) 模擬試題 2 ? SQL注入漏洞與下列哪一項(xiàng)有關(guān)？ A 服務(wù)器的安全配置問題 B 操作系統(tǒng)的安全漏洞 C 數(shù)據(jù)庫(kù)的安全漏洞 D 代碼安全問題 2022年 2月 5日 安全基礎(chǔ)知識(shí) 主要安全技術(shù) ? 防火墻技術(shù) ? 入侵檢測(cè)技術(shù) ? 掃描技術(shù) ? …… 2022年 2月 5日 安全基礎(chǔ)知識(shí) 防火墻的概念 ? 防火墻定義： – 防火墻是位于兩個(gè) (或多個(gè) )網(wǎng)絡(luò)間，實(shí)施網(wǎng)間的隔離和訪問控制的一組組件的集合，它滿足以下條件： ? 內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻 ? 只有符合安全政策的數(shù)據(jù)流才能通過(guò)防火墻 2022年 2月 5日 安全基礎(chǔ)知識(shí) 防火墻的作用 ? 部署在網(wǎng)絡(luò)邊界處 – 實(shí)現(xiàn)網(wǎng)絡(luò)的隔離與訪問控制 – 阻止未經(jīng)授權(quán)的訪問流量 – 對(duì)網(wǎng)絡(luò)實(shí)施保護(hù)，以避免各種 IP欺騙和路由攻擊 ? 在防火墻可以監(jiān)視一些安全事件的發(fā)生情況 ? 在防火墻也可以實(shí)現(xiàn) NAT地址轉(zhuǎn)換， Inter日志、審計(jì)，甚至計(jì)費(fèi)等功能 2022年 2月 5日 安全基礎(chǔ)知識(shí) 防火墻的局限性 ? 不能防止內(nèi)部的攻擊 ? 針對(duì)應(yīng)用層的攻擊防御效果不佳 ? 容易成為網(wǎng)絡(luò)的瓶頸和單點(diǎn)故障 2022年 2月 5日 安全基礎(chǔ)知識(shí) 防火墻的類型 ? 包過(guò)濾防火墻 ? 應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器） ? 狀態(tài)檢測(cè)防火墻 2022年 2月 5日 安全基礎(chǔ)知識(shí) 包過(guò)濾防火墻 (1) ? 是一種基于網(wǎng)絡(luò)層的安全技術(shù) ? 基本的思想 – 過(guò)濾器建立一組規(guī)則，根據(jù) IP包是否匹配規(guī)則中指定的條件進(jìn)行判斷 ? 如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄 ? 如果所有規(guī)則都不匹配，則根據(jù)缺省策略 – 過(guò)濾規(guī)則包括源和目標(biāo) IP地址、協(xié)議、源和目標(biāo)端口號(hào) 網(wǎng)絡(luò)層 鏈路層 物理層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 2022年 2月 5日 安全基礎(chǔ)知識(shí) 包過(guò)濾防火墻 (2) ? 在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測(cè) – 并沒有考慮連接狀態(tài)信息 ? 通常在路由器上實(shí)現(xiàn) ? 優(yōu)點(diǎn)： – 實(shí)現(xiàn)簡(jiǎn)單 – 對(duì)用戶透明 ? 缺點(diǎn)： – 無(wú)法識(shí)別基于應(yīng)用層的攻擊 2022年 2月 5日 安全基礎(chǔ)知識(shí) 應(yīng)用層網(wǎng)關(guān) (1) ? 也稱為代理服務(wù)器 (proxy) – 位于客戶機(jī)與服務(wù)器之間 ,完全阻擋了二者間的數(shù)據(jù)交流 – 外部系統(tǒng)與內(nèi)部之間沒有直接的數(shù)據(jù)通道 客 戶 網(wǎng) 關(guān) 服務(wù)器 發(fā)送請(qǐng)求 轉(zhuǎn)發(fā)請(qǐng)求 請(qǐng)求響應(yīng) 轉(zhuǎn)發(fā)響應(yīng) 2022年 2月 5日 安全基礎(chǔ)知識(shí) 應(yīng)用層網(wǎng)關(guān) (2) ? 優(yōu)點(diǎn) – 在應(yīng)用層上實(shí)現(xiàn) – 可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描 – 可實(shí)現(xiàn)基于用戶的認(rèn)證 – 可提供理想的日志功能 – 比較安全 ? 缺點(diǎn) – 有些服務(wù)要求建立直接連接，無(wú)法使用代理 –對(duì)系統(tǒng)的整體性能有影響 2022年 2月 5日 安全基礎(chǔ)知識(shí) 狀態(tài)檢測(cè)防火墻 ? 建立狀態(tài)連接表，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每個(gè)會(huì)話狀態(tài) ? 對(duì)每個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài) ? 提供了完整的對(duì)傳輸層的控制能力 2022年 2月 5日 安全基礎(chǔ)知識(shí) 入侵檢測(cè)技術(shù) ? 什么是 IDS？ – Intrusion Detection System – 入侵檢測(cè)系統(tǒng) ? 作用 – 監(jiān)控網(wǎng)絡(luò)和系統(tǒng) – 發(fā)現(xiàn)入侵企圖或異常現(xiàn)象 – 實(shí)時(shí)報(bào)警 – 主動(dòng)響應(yīng) ? 分類 – 主機(jī)入侵檢測(cè)（ HIDS） – 網(wǎng)絡(luò)入侵檢測(cè)（ NIDS） 2022年 2月 5日 安全基礎(chǔ)知識(shí) 主機(jī)主侵檢測(cè) HIDS ? 安裝于被保護(hù)的主機(jī)中 ? 主要分析主機(jī)內(nèi)部活動(dòng) – 系統(tǒng)日志 – 系統(tǒng)調(diào)用 – 文件完整性檢查 ? 占用一定的系統(tǒng)資源 2022年 2月 5日 安全基礎(chǔ)知識(shí) 網(wǎng)絡(luò)入侵檢測(cè) NIDS ? 安裝在被保護(hù)的網(wǎng)段中 ? 混雜模式監(jiān)聽 ? 分析網(wǎng)段中所有的數(shù)據(jù)包 ? 實(shí)時(shí)檢測(cè)和響應(yīng) ? 操作系統(tǒng)無(wú)關(guān)性 ? 不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)載 Switch Monitored Servers Console 通過(guò)端口鏡像實(shí)現(xiàn) （ SPAN / Port Monitor） 2022年 2月 5日 安全基礎(chǔ)知識(shí) IDS檢測(cè)技術(shù) ? 基于特征（ Signaturebased） – 建立并維護(hù)一個(gè)已知攻擊知識(shí)庫(kù) – 判別當(dāng)前行為活動(dòng)是否符合已知的攻擊模式 ? 基于異常（ Anomalybased） – 首先建立起用戶的正常使用模式，即知識(shí)庫(kù) – 標(biāo)識(shí)出不符合正常模式的行為活動(dòng) 2022年 2月 5日 安全基礎(chǔ)知識(shí) 掃描技術(shù) ? 什么是掃描器？ – 自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序 – 可以發(fā)現(xiàn)遠(yuǎn)程服務(wù)器開放的 TCP端口、提供的服務(wù)和軟件版本 – 間接地或直觀地了解到遠(yuǎn)程主機(jī)所存在的安全問題 2022年 2月 5日 安全基礎(chǔ)知識(shí) 掃描器的分類 ? 主機(jī)掃描器 – 在系統(tǒng)本地運(yùn)行檢測(cè)系統(tǒng)漏洞的程序 ? 網(wǎng)絡(luò)掃描器 – 基于網(wǎng)絡(luò)可遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)和主機(jī)系統(tǒng)漏洞的程序 ? 系統(tǒng)掃描器 ? 數(shù)據(jù)庫(kù)掃描器 ? Web掃描器 ? 商業(yè)的 ? 非商業(yè)的 ? …. 2022年 2月 5日 安全基礎(chǔ)知識(shí) 掃描工作原理 ? 主動(dòng)模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為 ? 記錄、分析系統(tǒng)的反應(yīng)，發(fā)現(xiàn)其中的漏洞和脆弱性 ? 典型步驟是： – 發(fā)送信息探測(cè)數(shù)據(jù)包 – 等待目的主機(jī)或設(shè)備的響應(yīng) – 分析回來(lái)的數(shù)據(jù)包的特征 – 判斷是否具有該漏洞或脆弱性 – 有時(shí)不能單靠一次過(guò)程就能完成，而是要分析一系列過(guò)程情況 2022年 2月 5日 安全基礎(chǔ)知識(shí) 端口掃描 ? Port scanning: 找出網(wǎng)絡(luò)中開放的服務(wù) ? 基于 TCP/IP協(xié)議，對(duì)各種網(wǎng)絡(luò)服務(wù)，無(wú)論是主機(jī)或者防火墻、路由器都適用 ? 端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器 – Nmap – Nessus – FoundStone – …… 2022年 2月 5日 安全基礎(chǔ)知識(shí) 小結(jié) ? 信息安全的概念 ? 安全問題產(chǎn)生的根源 ? 安全漏洞的威脅 ? 常見的攻擊方式 – 掃描、監(jiān)聽、 DoSamp。 ? 最簡(jiǎn)單的一個(gè)例子是本地的 Administrators組，放到該組中的用戶賬戶具有本地計(jì)算機(jī)的全部權(quán)限 操作系統(tǒng)安全 2022年 2月 5日 SAM (Security Accounts Manager) ? 在獨(dú)立的 Windows 2022計(jì)算機(jī)上 ， 安全賬戶管理器負(fù)責(zé)保存用戶賬戶名和口令的信息 ? SAM 組 成 了 注 冊(cè) 表 的 5 個(gè) 配 置 單 元 之 一 ， 它 在 文 件%systemroot%\system32\config\sam中實(shí)現(xiàn) ? 在 Windows 2022域控制器上 ， 用戶賬戶和散列的數(shù)據(jù)保存在活動(dòng)目錄中 (默認(rèn)為 %systemroot%\ntds\)。 ?帶有 RID 500的 SID總是代表本地計(jì)算機(jī)的Administrator賬戶。 操作系統(tǒng)安全 2022年 2月 5日 用戶權(quán)利、權(quán)限和共享權(quán)限 ? 網(wǎng)絡(luò)安全性依賴于給用戶或組授予的能力 – 權(quán) 利 :在系統(tǒng)上完成特定動(dòng)作的授權(quán)，由系統(tǒng)指定給內(nèi)置組也可以由管理員將其擴(kuò)大到組和用戶上。 – 共享 :用戶可以通過(guò)網(wǎng)絡(luò)使用的文件夾。 ? 當(dāng)用戶登錄到一個(gè)具有某種權(quán)利的帳號(hào)時(shí)，該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務(wù)。 操作系統(tǒng)安全 2022年 2月 5日 Windows系統(tǒng)的文件權(quán)限 權(quán)限級(jí)別 RXWDPO 允許的用戶動(dòng)作 No Access 用戶不能訪問該文件 Read RX 用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行 Change RXWD 有 Read的權(quán)限，還可修改和刪除文件 Full control RXWDPO 包含 Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán) 操作系統(tǒng)安全 2022年 2月 5日 Windows系統(tǒng)的共享權(quán)限 (1) ? 共享只適用于文件夾（目錄） ? 如果文件夾不是共享的，那么在網(wǎng) 絡(luò)上就不會(huì)有用戶看到它，也就更不能訪問。 操作系統(tǒng)安全 2022年 2月 5日 Windows系統(tǒng)的共享權(quán)限 (2)