《系统网络安全》PPT课件.ppt
《《系统网络安全》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《系统网络安全》PPT课件.ppt(66页珍藏版)》请在三一办公上搜索。
1、第九章 系统网络安全续常用攻击手段,一、攻击的位置,一、攻击的一些基本概念,(1)远程攻击:从该子网以外的地方向该子网或者该子网内的系统发动攻击。(2)本地攻击:通过所在的局域网,向本单位的其他系统发动攻击,在本机上进行非法越权访问也是本地攻击。(3)伪远程攻击:指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象。,二、攻击的层次,一、攻击的一些基本概念,1)简单拒绝服务(如邮件炸弹攻击).2)本地用户获得非授权读或者写权限3)远程用户获得了非授权的帐号4)远程用户获得了特权文件的读写权限5)远程用户拥有了根(root)权限),三、攻击的
2、目的,一、攻击的一些基本概念,1)进程的执行2)获取文件和传输中的数据3)获得超级用户权限4)对系统的非法访问5)进行不许可的操作6)拒绝服务,7)涂改信息8)暴露信息9)挑战10)政治意图11)经济利益12)破坏,四、攻击的人员,一、攻击的一些基本概念,1)黑客:为了挑战和获取访问权限2)间谍:为了政治情报信息3)恐怖主义者:为了政治目的而制造恐怖4)公司雇佣者:为了竞争经济利益5)职业犯罪:为了个人的经济利益6)破坏者:为了实现破坏,五、攻击的工具,1)用户命令:攻击者在命令行状态下或者图形用户接口方式输入命令。2)脚本或程序:在用户接口处初始化脚本和程序。3)自治主体:攻击者初始化一个程
3、序或者程序片断,独立地执行操作,挖掘弱点。4)工具箱:攻击者使用软件包(包含开发弱点的脚本、程序、自治主体)。5)分布式工具:攻击者分发攻击工具到多台主机,通过协作方式执行攻击特定的目标。6)电磁泄漏,六、攻击的时间,一、攻击的一些基本概念,大部分的攻击(或至少是商业攻击时间)一般是服务器所在地的深夜。客观原因。在白天,大多数入侵者要工作或学习,以至没空进行攻击。速度原因。网络正变得越来越拥挤,因此最佳的工作时间是在网络能提供高传输速度的时间速率的时间。保密原因。白天系统管理员一旦发现有异常行为。他们便会跟踪而来。,七、寻找目标主机并收集目标信息,1)锁定目标因特网上每一台网络主机都有一个名字
4、,术语称做域名;然而在网上能真正标识主机的是IP地址,域名只是用IP地址指定的主机便于好记而起的名字。利用域名和IP地址都可以顺利找到主机。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。黑客只需实施一次域转换操作就能得到所有主机的名称以及内部IP地址。,2)服务分析用提供不同服务的应用程序试一试就知道了,例如:使用Telnet、FTP等用户软件向目标主机申请服务,如果主机有应答就说明主机提供了这个服务,开放了这个端口的服务。黑客常用一些象PORTSCAN这样的工具软件,对目标主机一定范围的端口进行扫描。这样可全部掌握目标主机的端口情况。HAKTEK是一
5、个非常实用的一个工具软件,它将许多应用集成在一起的工具,其中包括:Ping、IP地址范围扫描、目标主机端口扫描、邮件炸弹、过滤邮件、Finger主机等都是非常实用的工具。,二、远程攻击的步骤,3)系统分析目标主机采用的是什么操作系统。黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法。通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。打开RUN窗口,然后输入命令:Telnet(目标主机)然后按确定,会出现什么?,Users access verificationUesr
6、name:%username:timeout expiredUesrname:%username:timeout expiredUesrname:%username:timeout expired失去了跟主机的连接正在连接到210.41.110.200 不能打开到主机的连接,在端口23:连接失败,二、远程攻击的步骤,4)获取帐号信息对于陌生的目标主机可能只知道它有一个ROOT用户,至于其他帐户一无所知,要想登录目标主机我们至少要知道一个普通用户a.利用目标主机的Finger功能对黑客软件HAKTEK,它的Finger功能可以完全胜任,记录帐号信息,经过一段时间的监测,就会积累一定的帐号信息。f
7、inger很可能暴露入侵者的行为,为了避免finger查询产生标记,绝大多数入侵者使用finger gateways(finger网关)。,二、远程攻击的步骤,b.来源于电子邮件地址有些用户电子邮件地址(指符号前面的部分)与其取邮件的帐号是一致的c.非常全面的X.500功能有些主机提供了X.500的目录查询服务。如何知道是否提供X.500的功能,扫描目标主机的端口,如果端口105的状态已经被激活,在自己的机器上安装一个X.500的客户查询的工具,选择目标主机,可以获得意想不到的信息。,二、远程攻击的步骤,d.习惯性常用帐号根据平时的经验,一些系统总有一些习惯性的常用帐号,这些帐号都是系统中因为
8、某种应用而设置的。例如:制作WWW网站的帐号可能是html、www、web等,安装ORACLE数据库的可能有oracle的帐号,用户培训或教学而设置的user1、user2、student1、student2、client1、client2等帐户,一些常用的英文名字也经常会使用,例如:tom、john等,因此可以根据系统所提供的服务和在其主页得到的工作人员的名字信息进行猜测。,二、远程攻击的步骤,5)获得管理员信息运行一个查询命令,可获得保存在目标域服务器中的所有信息。,6)、攻击测试,二、远程攻击的步骤,大部分的入侵者并不想尝试这种行为,因为这需要一定的费用。在此步骤中,首先要建立一个和目标
9、一样的环境。一旦将此环境建立起来后,就可对它进行一系列的攻击。在此过程中,有两件事需要注意:(l)从攻击方来看这些攻击行为看上去像什么,(2)从被攻击方来看这些攻击行为看上去像什么。通过检查攻击方的日志文件入侵者能大致了解对一个几乎没有保护措施的目标进行攻击时攻击行为着上去像什么,八、各种相关工具的准备,二、远程攻击的步骤,紧接着应该收集各种实际使用的工具,最有可能是一些扫描工具,判断出目标网上的所有设备。基于对操作系统的分析需要对工具进行评估以判断有哪些漏洞和区域它们没有覆盖到。在只用一个工具而不用另一个工具就可覆盖某特定设备的情况下,最好还是同时使用这两个工具。这些工具的联合使用是否方便主
10、要依赖于这些工具是否能简易地作为外部模块附加到一个扫描工具上如 SATAN或 SAFESuite。在此进行测试变得极为有价值,因为在多数情况下附加一个外部模块非让它正常地工作并不那么简单。为了得到这些工具工作的确切结果,最好先在某台机器上进行实验。,九、攻击策略的制定,二、远程攻击的步骤,没有任何理由就实施入侵是很不明智的。攻击策略主要依赖于入侵者所想要达到的目的。需要说明的是扫描时间花得越长,也就是说越多的机器被涉及在内,那么扫描的动作就越有可能被发现;同时有越多的扫描数据需要筛选,因此,扫描的攻击的时间越短越好。因为你所想要的是一个主系统上或者是一个可用的最大网段的根权限,所以对一个更小、
11、更安全的网络进行扫描不可能获得很大的好处。无论如何,一旦你确定了扫描的参数,就可以开始行动了。,十、数据分析,二、远程攻击的步骤,完成扫描后,开始分析数据。首先应考虑通过此方法得到的信息是否可靠(可靠度在某种程度上可通过在类似的环境中进行的扫描实验得到。)然后再进行分析,扫描获得的数据不同则分析过程也不同。在SATAN中的文档中有一些关于漏洞的简短说明,并且真接而富有指导性。如果找到了某个漏洞,就应该重新参考那些通过搜索漏洞和其他可用资源而建立起来的数据库信息。在真正理解了攻击的本质和什么应从攻击中剔除之前,可能要花上数个星期来研究源码、漏洞、某特定操作系统和其他信息,这些是不可逾越的。在攻击
12、中经验和耐心是无法替代的。一个经过很好计划和可怕的远程攻击,需要实施者对TCPIP以及系统等方面的知识有着极深刻的了解。,十一、实施攻击,二、远程攻击的步骤,获得了对攻击的目标系统的访问权后,可能有下述多种选择:毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便今后继续访问这个系统。在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的帐号名和口令等等。发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击。如果获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私人文件,毁坏
13、重要数据,破坏整个系统的信息。,1、漏洞的概念,三、系统漏洞,漏洞的概念漏洞是指硬件、软件或策略上的缺陷,从而可使攻击者能够在未经授权的情况下访问系统。所有软件都是有错的通常情况下99.99%无错的程序很少会出问题,利用那0.01%的错误导致100%的失败,1、漏洞的概念,三、系统漏洞,出现漏洞的原因当今的系统功能越来越强,体积也越做越大。庞大的系统是由小组完成的,不能指望每个人都不犯错,也不能指望无纰漏的合作。加上人的惰性,不愿意仔细地进行系统的安全配置。这样一来,本来比较安全的系统也变的不安全了。一个简单的例子就是缺省口令。,1、漏洞的概念,三、系统漏洞,漏洞的范围漏洞涉及的范围很广,涉及
14、到网络的各个环节、各个方面,包括:路由器、防火墙、操作系统、客户和服务器软件。比如一台提供网上产品搜索的Web服务器,就需要注意操作系统、数据库系统、Web服务软件及防火墙。,1、漏洞的概念,三、系统漏洞,漏洞的时间性系统发布漏洞暴露发布补丁新漏洞出现一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题也会长期存在。,1、漏洞的概念,三、
15、系统漏洞,安全漏洞与系统攻击之间的关系 漏洞暴露(可能的攻击)发布补丁系统攻击者往往是安全漏洞的发现者和使用者,要对于一个系统进行攻击,如果不能发现和使用系统中存在的安全漏洞是不可能成功的。,1、漏洞的概念,三、系统漏洞,漏洞的类型(1)管理漏洞-如两台服务器用同一个用户/密码,则入侵了A服务器后,B服务器也不能幸免。(2)软件漏洞-很多程序只要接收到一些异常或者超长的数据和参数,就会导致缓冲区溢出。(3)结构漏洞-比如在某个重要网段由于交换机、集线器设置不合理,造成黑客可以监听网络通信流的数据;又如防火墙等安全产品部署不合理,有关安全机制不能发挥作用,麻痹技术管理人员而酿成黑客入侵事故。(4
16、)信任漏洞-比如本系统过分信任某个外来合作伙伴的机器,一旦这台合作伙伴的机器被黑客入侵,则本系统的安全受严重威胁。,20个最危险的安全漏洞,2002年5月发布()三类安全漏洞:1)影响所有系统的七个漏洞(G1G7)2)影响Windows系统的六个漏洞(W1W6)3)影响Unix系统的七个漏洞(U1U7),G1-操作系统和应用软件的缺省安装,三、系统漏洞,软件开发商的逻辑是最好先激活还不需要的功能,而不是让用户在需要时再去安装额外的组件。这种方法尽管对用户很方便,但却产生了很多危险的安全漏洞,因为用户不会主动的给他们不使用的软件组件打补丁。而且很多用户根本不知道实际安装了什么,很多系统中留有安全
17、漏洞就是因为用户根本不知道安装了这些程序。大多数操作系统和应用程序。应该对任何连到Internet上的系统进行端口扫描和漏洞扫描。卸载不必要的软件,关掉不需要的服务和额外的端口。这会是一个枯燥而且耗费时间的工作。,G2-没有口令或使用弱口令的帐号,三、系统漏洞,易猜的口令或缺省口令是个严重的问题,更严重的是有的帐号根本没有口令。应进行以下操作:1审计你系统上的帐号,建立一个使用者列表。2制定管理制度,规范增加帐号的操作,及时移走不再使用的帐号。3经常检查确认有没有增加新的帐号,不使用的帐号是否已被删除。当雇员或承包人离开公司时,或当帐号不再需要时,应有严格的制度保证删除这些帐号。4对所有的帐号
18、运行口令破解工具,以寻找弱口令或没有口令的帐号。,G3-没有备份或者备份不完整,三、系统漏洞,从事故中恢复要求及时的备份和可靠的数据存储方式。应列出一份紧要系统的列表。制定备份方式和策略。重要问题:1系统是否有备份?2备份间隔是可接受的吗?3系统是按规定进行备份的吗?4是否确认备份介质正确的保存了数据?5备份介质是否在室内得到了正确的保护?6是否在另一处还有操作系统和存储设施的备份?(包括必要的license key)7存储过程是否被测试及确认?,G4-大量打开的端口,三、系统漏洞,合法的用户和攻击者都通过开放端口连接系统。端口开得越多,进入系统的途径就越多。netstat 命令可以在本地运行
19、以判断哪些端口是打开的,但更保险的方法是对你的系统进行外部的端口扫描.在众多的端口扫描器中,最流行的是nmap。一旦你确定了哪些端口是打开的,接下来的任务是确定所必须打开的端口的最小集合-关闭其他端口,找到这些端口对应的服务,并关闭/移走它们。,G5-没有过滤地址不正确的包,三、系统漏洞,IP地址欺诈。例如smurf攻击。对流进和流出你网络的数据进行过滤。1任何进入你网络的数据包不能把你网络内部的地址作为源地址;必须把你网络内部的地址作为目的地址。任何离开你网络的数据包必须把你网络内部的地址作为源地址;不能把你网络内部的地址作为目的地址。3任何进入或离开你网络的数据包不能把一个私有地址(pri
20、vate address)或在RFC1918中列出的属于保留空间(包括或和网络回送地址)的地址作为源或目的地址。,G6-不存在或不完整的日志,三、系统漏洞,安全领域的一句名言是:预防是理想的,但检测是必须的。一旦被攻击,没有日志,你会很难发现攻击者都作了什么。在所有重要的系统上应定期做日志,而且日志应被定期保存和备份,因为你不知何时会需要它。查看每一个主要系统的日志,如果你没有日志或它们不能确定被保存了下来,你是易被攻击的。所有系统都应在本地记录日志,并把日志发到一个远端系统保存。这提供了冗余和一个额外的安全保护层。不论何时,用一次性写入的媒质记录日志。,G7-易被攻击的CGI程序,三、系统漏
21、洞,大多数的web服务器,都支持CGI程序。1从你的web服务器上移走所有CGI示范程序。2审核剩余的CGI脚本,移走不安全的部分。3保证所有的CGI程序员在编写程序时,都进行输入缓冲区长度检查。4为所有不能除去的漏洞打上补丁。5保证你的CGI bin目录下不包括任何的编译器或解释器。6从CGI bin目录下删除view-source脚本。7不要以administrator或root权限运行你的web服务器。大多数的web服务器可以配置成较低的权限,例如nobody.8不要在不需要CGI的web服务器上配置CGI支持。,W1-Unicode漏洞,三、系统漏洞,不论何种平台,何种程序,何种语言,
22、Unicode为每一个字符提供了一个独一无二的序号。通过向IIS服务器发出一个包括非法Unicode UTF-8序列的URL,攻击者可以迫使服务器逐字进入或退出目录并执行任意(程序)(script-脚本),这种攻击被称为目录转换攻击。Unicode用%2f和%5c分别代表/和。但你也可以用所谓的超长序列来代表这些字符。超长序列是非法的Unicode表示符,它们比实际代表这些字符的序列要长。/和均可以用一个字节来表示。超长的表示法,例如用%c0%af代表/用了两个字节。IIS不对超长序列进行检查。这样在URL中加入一个超长的Unicode序列,就可以绕过Microsoft的安全检查。如果你在运行
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统网络安全 系统 网络安全 PPT 课件
![提示](https://www.31ppt.com/images/bang_tan.gif)
链接地址:https://www.31ppt.com/p-5566477.html