【正文】 客們建設(shè)，而駭客們破壞。要進(jìn)一步解決安全問(wèn)題，我們需要了解可能遇到的攻擊類(lèi)型。 暴力破解和字典攻擊 ? 暴力攻擊使用 字母、數(shù)字和字符 的隨機(jī)組合反復(fù)進(jìn)行試探性訪問(wèn)。 ? 字典窮舉法攻擊通過(guò)查詢(xún)一個(gè)“字典文件”來(lái)嘗試破譯口令，此文件包括一個(gè)很長(zhǎng)的單詞列表。 ? 使用強(qiáng)密碼可有效地防止暴力破解和字典攻擊。 ? 后門(mén) 是一個(gè)在操作系統(tǒng)或程序中無(wú)證明文件的通道，通常是由軟件開(kāi)發(fā)人員 故意放置 在那里的。 – 后門(mén)的重點(diǎn)在于為攻擊者提供進(jìn)入目標(biāo)計(jì)算機(jī)的通道。 ? 采取措施保護(hù)下列信息： – DNS服務(wù)器的內(nèi)容 – 路由表 – 用戶(hù)和帳戶(hù)名 – 運(yùn)行在任何服務(wù)器上的標(biāo)題信息 拒絕服務(wù)和分布式拒絕服務(wù) ? 拒絕服務(wù)攻擊（ DoS）中，黑客阻止合法的用戶(hù)訪問(wèn)某一種服務(wù)。 ? 分布式拒絕服務(wù)（ DDoS）攻擊是指幾個(gè)遠(yuǎn)程系統(tǒng)在一起工作并產(chǎn)生網(wǎng)絡(luò)傳輸，目的在于崩潰一個(gè)遠(yuǎn)程主機(jī) 。 –主要利用系統(tǒng)軟件的 Bug， 一旦 Bug被修正，攻擊就不起作用 ? 使系統(tǒng)或網(wǎng)絡(luò)無(wú)法響應(yīng)正常的請(qǐng)求 –發(fā)送大量的垃圾數(shù)據(jù)，使得系統(tǒng)無(wú)法處理正常的請(qǐng)求 分布式拒絕服務(wù)攻擊 ? 常用拒絕服務(wù)工具 B類(lèi)網(wǎng)絡(luò) 發(fā)送源地址為被攻擊主機(jī)的 地址，目的地址為廣播地址的數(shù)據(jù)包。 防止 DoS和 DDoS攻擊 ? 升級(jí)操作系統(tǒng) ? 密切觀測(cè)正在使用的代碼 ? 只購(gòu)買(mǎi)服務(wù)器、服務(wù)和應(yīng)用軟件的穩(wěn)定版本 Ping溢出 ? 屬于 拒絕服務(wù)攻擊 的一種類(lèi)型，其原理是使用簡(jiǎn)單的 Ping命令在短時(shí)間內(nèi)發(fā)送大量的 ping數(shù)據(jù)包到服務(wù)器，那么服務(wù)器就需要耗費(fèi)很多資源去處理這些數(shù)據(jù)包，從而導(dǎo)致無(wú)法正常工作。 – 以太網(wǎng)的 MTU是 1500，如果 IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長(zhǎng)度超過(guò)了 MTU，那么 IP層就要對(duì)數(shù)據(jù)包進(jìn)行分片（ fragmentation）操作，使每一片的長(zhǎng)度都小于或等于 MTU。如果數(shù)據(jù)部分大于 1472字 節(jié)，就會(huì)出現(xiàn)分片現(xiàn)象。如果有意發(fā)送總長(zhǎng)度超過(guò) 65535的 IP碎片，一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問(wèn)題，導(dǎo)致崩潰或者拒絕服務(wù)。所以說(shuō)，漏洞的起因是出在重組算法上。當(dāng)一個(gè)應(yīng)用程序產(chǎn)生上千個(gè)ICMP包的時(shí)候，就會(huì)發(fā)生 Ping溢出。 Ping防范方法 ? Windows系統(tǒng)請(qǐng)打上最新的 Service Pack，目前的 Linux內(nèi)核已經(jīng)不受影響。 ? 如果防火墻有重組碎片的功能，請(qǐng)確保自身的算法沒(méi)有問(wèn)題，否則被 DoS就會(huì)影響整個(gè)網(wǎng)絡(luò)。 SYN溢出 ? SYN: 標(biāo)志位用來(lái)建立連接，讓連接雙方同步序列號(hào)。 ? SYN溢出是黑客與服務(wù)器建立了成百上千個(gè)半連接，致使服務(wù)器的性能受到嚴(yán)重的限制，甚至崩潰。黑客非常關(guān)注這個(gè) shell，因?yàn)樗３＝邮樟四切┖诳拖胍褂玫拿睢? 原因：程序中缺少錯(cuò)誤檢測(cè) : void func(char *str) { char buf[16]。 } 如果 str的內(nèi)容多于 16個(gè)非 0字符，就會(huì)造成 buf的溢出，使程序出錯(cuò)。 – 對(duì)于使用 C語(yǔ)言開(kāi)發(fā)的軟件，緩沖區(qū)溢出大部分是數(shù)組越界或指針?lè)欠ㄒ迷斐傻摹? ? 運(yùn)行時(shí)指針、邊界檢查 內(nèi)部攻擊 ? 為獲得未授權(quán)的訪問(wèn)權(quán)，與外部邊緣攻擊相同的方法也可以在內(nèi)部攻擊中使用，有些時(shí)候更容易 。 社會(huì)工程和非直接攻擊 ? 社會(huì)工程攻擊 – 社會(huì)工程并不是一個(gè)新的術(shù)語(yǔ) ,它來(lái)源于社會(huì)學(xué)領(lǐng)域 .它指的是為了使人們遵從某個(gè)新的系統(tǒng) ,所采用的以一種可預(yù)測(cè)的方式來(lái)試圖改變?nèi)藗兊男袨榈倪^(guò)程 .在我們信息安全領(lǐng)域 ,社會(huì)工程 指的是 :導(dǎo)致人們泄漏信息或誘導(dǎo)人們的行為方式并造成信息系統(tǒng) ,網(wǎng)絡(luò)或數(shù)據(jù)的非授權(quán)訪問(wèn) ,非授權(quán)使用 ,或非授權(quán)暴露的一切成功或不成功的嘗試 . – 三個(gè)階段：情報(bào)收集、目標(biāo)選擇、攻擊 ? 常見(jiàn)方式： – 打電話詢(xún)問(wèn)密碼 – 偽造 Email – 病毒， BUG和服務(wù)缺陷 實(shí)驗(yàn) 51 ? 發(fā)送偽造的電子郵件 釣魚(yú)攻擊 ? 常見(jiàn)的攻擊技術(shù) – 發(fā)送電子郵件，以虛假信息引誘用戶(hù)中圈套 – 建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶(hù)帳號(hào)密碼實(shí)施盜竊 – 利用虛假的電子商務(wù)進(jìn)行詐騙 – 利用木馬和黑客技術(shù)等手段竊取用戶(hù)信息后實(shí)施盜竊活動(dòng) – 利用用戶(hù)弱口令等漏洞破解、猜測(cè)用戶(hù)帳號(hào)和密碼 – 復(fù)制圖片和網(wǎng)頁(yè)設(shè)計(jì)、相似的域名 – URL地址隱藏黑客工具 – 通過(guò)彈出窗口和隱藏提示 – 利用社會(huì)工程學(xué) – 利用 IP地址的形式顯示欺騙用戶(hù)點(diǎn)擊 間諜軟件 ? 間諜軟件（英文名稱(chēng)為“ spyware” ）是一種來(lái)自互聯(lián)網(wǎng)的，能夠在用戶(hù)不知情的情況下偷偷進(jìn)行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。 2022 VCampus Corporation All Rights Reserved. 第六單元 高級(jí)攻擊 學(xué)習(xí)目標(biāo) ? 掌握常見(jiàn)高級(jí)攻擊方式原理 ? 熟悉常見(jiàn)高級(jí)攻擊的防范措施 ? 清楚病毒、木馬、間諜軟件各自的特點(diǎn) ? 掌握針對(duì)網(wǎng)站的常用攻擊方法及防范措施 欺騙和中間人攻擊 ? 網(wǎng)絡(luò)欺騙 主要方式 有 :IP欺騙、 ARP欺騙、 DNS欺騙、Web欺騙、電子郵件欺騙、源路由欺騙等。 ? DNS欺騙 ? DNS欺騙 – DNS是全稱(chēng)是 Domain Name Server，既域名服務(wù)器。 – 是網(wǎng)絡(luò)欺騙攻擊的一種很常見(jiàn)的手段，攻擊者通過(guò) 入侵 DNS服務(wù)器，控制路由器 等方法把受害者要訪問(wèn)的目標(biāo)機(jī)器名對(duì)應(yīng)的 IP解析為攻擊者所控制的機(jī)器。 ? 是一種 IP欺騙 攻擊。 – ARP欺騙：是對(duì)路由器 ARP表的欺騙和對(duì)內(nèi)網(wǎng) PC的網(wǎng)關(guān)欺騙。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng) MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的 MAC地址，造成正常 PC無(wú)法收到信息。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的 PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。使用防 arp軟件。 ? （ 3）在路由器上做 IP地址與 MAC地址的靜態(tài)綁定。 ? （ 5）提高用戶(hù)的安全意識(shí) ，養(yǎng)成良好的安全習(xí)慣，包括：及時(shí)安裝系統(tǒng)補(bǔ)丁程序；為系統(tǒng)設(shè)置強(qiáng)壯的密碼；安裝防火墻；安裝有效的殺毒軟件并及時(shí)升級(jí)病毒庫(kù)；不主動(dòng)進(jìn)行網(wǎng)絡(luò)攻擊，不隨便運(yùn)行不受信任的軟件。 ? 嗅探攻擊的威脅在于攻擊者能夠分析出所有以 明文傳輸 的信息，包括： – 明文傳送的 用戶(hù)口令 – 明文傳送的專(zhuān)用或 機(jī)密的信息 – 可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全，或者用來(lái) 獲取更高級(jí)別的 訪問(wèn)權(quán)限 – 可以用來(lái) 分析網(wǎng)絡(luò)結(jié)構(gòu) ，進(jìn)行網(wǎng)絡(luò)滲透。 – POP和 SMTP – FTP – TELNET ? 試驗(yàn) 62:使用 iris進(jìn)行網(wǎng)絡(luò)嗅探和協(xié)議分析 – 比較兩款工具的不同 鏈路攻擊和 TCP會(huì)話劫持 ? 會(huì)話劫持（ Session Hijack）是一種 結(jié)合了嗅探以及欺騙技術(shù) 在內(nèi)的攻擊手段。 ? 攻擊方式： 中間人攻擊和注射式攻擊 ? 攻擊行為：被動(dòng)攻擊和主動(dòng)攻擊 ? 經(jīng)典的會(huì)話劫持工具 – TTYwatch – HUNT 會(huì)話劫持示意圖 合 法 用 戶(hù)服 務(wù) 器攻 擊 者合 法 用 戶(hù) 遠(yuǎn) 程 登 錄 服 務(wù) 器合 法 用 戶(hù) 驗(yàn) 證 服 務(wù) 器你 好 , 我 是 合 法 用 戶(hù)D i e !會(huì)話劫持的危害及防范 ? 會(huì)話劫持攻擊使攻擊者避開(kāi)了被攻擊主機(jī)對(duì)訪問(wèn)者的身份驗(yàn)證和安全認(rèn)證，從而使攻擊者直接進(jìn)入對(duì)被攻擊主機(jī)的訪問(wèn)狀態(tài)，因此對(duì)系統(tǒng)安全構(gòu)成的威脅比較嚴(yán)重。 會(huì)話劫持實(shí)例 ? 試驗(yàn) 63:在 Linux下使用 劫持攻擊 計(jì)算機(jī)病毒的定義 ? 計(jì)算機(jī)病毒是指 編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù) ，影響計(jì)算機(jī)使用，并能自我復(fù)制的 一組計(jì)算機(jī)指令或者程序代碼。 預(yù)防計(jì)算機(jī)病毒 ? 安裝防病毒軟件，并且及時(shí)升級(jí)。 ? 要重視文件的備份，經(jīng)常做文件備份，重要的文件要多做幾份。 ? 保證主機(jī)的物理安全，防止他人運(yùn)行未授權(quán)的程序。 ? 克服網(wǎng)絡(luò)殺毒產(chǎn)品不能全網(wǎng)統(tǒng)一殺毒的缺陷，杜絕了因部分計(jì)算機(jī)未能及時(shí)殺毒而留下的隱患。 ? 服務(wù)器 程序用于 監(jiān)聽(tīng) 被侵入主機(jī)的端口或監(jiān)視用戶(hù)活動(dòng)， 控制器端程序 則用于 接收 服務(wù)器程序返回的信息并 可控制遠(yuǎn)程主機(jī) 。 ? 客戶(hù)端用于攻擊者控制植入的木馬的機(jī)器。 ? 利用的途徑： – 郵件附件 – 下載軟件 – 瀏覽帶有腳本的網(wǎng)頁(yè)。 – 蠕蟲(chóng) 是 不需要用戶(hù)干預(yù) 即可執(zhí)行的獨(dú)立程序或代碼，其通過(guò)不斷搜索和侵入具有漏洞的主機(jī)來(lái)自動(dòng)傳播。 – 蠕蟲(chóng)主要利用 計(jì)算機(jī)系統(tǒng)漏洞 進(jìn)行傳染，與使用者的計(jì)算機(jī)知識(shí)水平無(wú)關(guān)。 ? 蠕蟲(chóng)具有如下幾個(gè)特點(diǎn)： – 可以自我傳播 – 具有破壞性 – 不需要宿主激活。 ? 常見(jiàn)的非法服務(wù)包括： – Net Bus – Back Orifice 和 Back Orifice 2022 – 灰鴿子 – 冰河 擊鍵信息收集器 ? 擊鍵信息收集器（ key loggers）都是作為應(yīng)用程序被安裝在受害者的計(jì)算機(jī)上，并且在用戶(hù)完全不知情的前提下駐留在系統(tǒng)內(nèi)存中。 SQL注入攻擊 ? 對(duì) SQL注入攻擊來(lái)說(shuō)，其服務(wù)器本身來(lái)說(shuō)沒(méi)有什么漏洞，主要是一些惡意的用戶(hù) 利用 SQL語(yǔ)法的特點(diǎn) ，針對(duì)的是應(yīng)用程序開(kāi)發(fā)者 編程過(guò)程中的漏洞 而進(jìn)行的一種攻擊。 SQL注入攻擊的防范 ? 最小權(quán)限原則。 ? 使用存儲(chǔ)過(guò)程。 ? 針對(duì)常用的 SQL注入式攻擊方式進(jìn)行專(zhuān)門(mén)的設(shè)置。 ? 瀏覽器劫持：通過(guò) BHO（ browser helper object）、DLL插件、 Hook技術(shù)、 Winsock LSP等載體達(dá)到對(duì)用戶(hù)的瀏覽器進(jìn)行篡改的目的。每一種安全產(chǎn)品和工具都有其自身的優(yōu)點(diǎn)與缺點(diǎn)，作為公司的安全設(shè)計(jì)和實(shí)施者，也就需要你在這些可選的安全產(chǎn)品中選擇一部分合適的產(chǎn)品來(lái)平衡你的安全需求。 ? 管理員：安全管理員必須跟蹤最新的威脅和對(duì)策。 考慮物理安全 ? 增強(qiáng)物理安全的方法包括： – 用 密碼鎖 替代普通鎖 – 將服務(wù)器放到上鎖的房間中 – 安裝監(jiān)視設(shè)備 – 需要智能卡才能打開(kāi) 根據(jù)需要購(gòu)置設(shè)備 ? 根據(jù)評(píng)估審核的需求來(lái)決定 ? 結(jié)合管理來(lái)確定特殊的需求 ? 考慮企業(yè)即將會(huì)出現(xiàn)的新需要 ? 確定一個(gè)新的技術(shù)如何對(duì)最終用戶(hù)產(chǎn)生影響 ? 結(jié)合管理來(lái)節(jié)省資金 ? 進(jìn)行調(diào)查來(lái)確定在你的公司中實(shí)施哪些產(chǎn)品 2022 VCampus Corporation All Rights Reserved. 第七單元 防火墻及虛擬局域網(wǎng) 學(xué)習(xí)目標(biāo) ? 定義和描述防火墻在公司安全策略中承擔(dān)的任務(wù) ? 定義普通防火墻術(shù)語(yǔ) ? 創(chuàng)建包過(guò)濾規(guī)則 ? 描述電路級(jí)和應(yīng)用級(jí)、網(wǎng)關(guān)及其作用 ? 掌握應(yīng)用級(jí)網(wǎng)關(guān)的配置 ? 描述公共密鑰結(jié)構(gòu) (PKI) ? 討論虛擬專(zhuān)用網(wǎng)中公共密鑰的重要性 ? 描述在 IPv4中 IPSec的重要性 防火墻的發(fā)展情況 ? 包過(guò)濾防火墻 ? 代理服務(wù)器 ? 狀態(tài)監(jiān)控 ? 安全集成系統(tǒng) 防火墻的發(fā)展歷程 防火墻的定義和描述 ? 防火墻指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域 (即 Inter或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò) )與安全區(qū)域 (公司內(nèi)網(wǎng) )的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。 防火墻 防火墻的功能 ? 防火墻具有如下四種功能 : – 實(shí)施一個(gè)公司的安全策略 ? 如對(duì) HTTP流量做一些限制和過(guò)濾 – 創(chuàng)建一個(gè)阻塞點(diǎn) ? 防火墻可以在公司私有網(wǎng)絡(luò)和外網(wǎng)直接建立一個(gè)檢查點(diǎn)。 – 記錄 Inter活動(dòng) – 限制網(wǎng)絡(luò)暴露 ? 在公司網(wǎng)絡(luò)周?chē)鷦?chuàng)建了一個(gè)保護(hù)的邊界。如撥號(hào)訪問(wèn)、內(nèi)部攻擊等。 ? 防火墻不能防止利用 標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷 進(jìn)行的攻擊 ? 目前防火墻對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊還無(wú)能為力。 包過(guò)濾 ? 包過(guò)濾設(shè)備工作在 OSI參考模型的 網(wǎng)絡(luò)層 , 能夠允許或阻止包含特定 IP地址和端口的數(shù)據(jù)包。 – 對(duì)用戶(hù)透明 – 過(guò)濾路由器速度快、效率高，不需要投入另外的設(shè)備和軟件。一旦有一個(gè)包通過(guò)了防火墻，黑客便可以用這個(gè) IP地十來(lái)偽裝他們發(fā)出的信息。 ? 對(duì)付包包防火墻另一種方法就是通常所說(shuō)的”網(wǎng)絡(luò)炸彈“，或者說(shuō)”拒絕服務(wù)“ (DoS)。 ? 它可以阻止外部對(duì)私有網(wǎng)絡(luò)的訪問(wèn)，卻不能記錄內(nèi)部的訪問(wèn)。 代理服務(wù)器 ? 計(jì)算機(jī)網(wǎng)絡(luò)中主要有兩種類(lèi)型的代理 : – 應(yīng)用級(jí)代理服務(wù)器 (也叫應(yīng)用級(jí)網(wǎng)關(guān) )：應(yīng)用級(jí)網(wǎng)關(guān)能夠理解 應(yīng)用層 上的某一種特定協(xié)議 ,包括HTTP、 FTP、 SMTP、 DNS等等，但不處理數(shù)據(jù)包的地址，僅僅關(guān)心檢查特定應(yīng)用程序數(shù)據(jù)。