安全基礎培訓密級：內部使用安全基礎培訓密級：內部使用1安全事件與黑客產業鏈2黑客攻擊路徑與常用工具目錄4安全防護措施3常見攻擊與安全威脅

5問題討論1安全事件與黑客產業鏈2黑客攻擊路徑與常用工具目錄41、安全事件與黑客產業鏈1、安全事件與黑客產業鏈安全事件2009年5月19日21時起，中國互聯網遭遇了“多米諾骨牌”連鎖反應，出現了大范圍的網絡故障。而安裝有暴風影音的千萬臺電腦則成為引發整個網絡故障連鎖反應的重要推力。2009年7月27日瑞星網站服務器遭黑客團伙的報復性攻擊，并被植入木馬。360金山稱愿助其抗黑客！

2010年1月12日上午7點鐘開始，全球最大中文搜索引擎“百度”遭到黑客攻擊，長時間無法正常訪問。主要表現為跳轉到一雅虎出錯頁面、伊朗網軍圖片，出現“天外符號”等；騰訊QQ和奇虎360是目前國內最大的兩個客戶端軟件。2010年11月3日晚，騰訊發布公告，在裝有360軟件的電腦上停止運行QQ軟件。360隨即推出了“WebQQ”的客戶端，但騰訊隨即關閉WebQQ服務，使客戶端失效安全事件2009年5月19日21時起，中國互聯網遭遇了“多黑客產業鏈黑客產業鏈黑客產業鏈描述據業內人士介紹，地下黑客產業鏈極其龐大且分工明確，有專門提供木馬程序的，有專門提供肉雞的。黑客產業鏈大致分為老板、病毒編寫者、流量商、盜號者和販賣商等多個環節，各黑客產業鏈個環節分工明確，其中“老板”處于整個鏈條的頂端，他對產業鏈的各個環節進行分工和協調。而那些層出不窮的木馬病毒程序，往往都是按照這些老板的要求，由專門編寫病毒的程序員開發出來的。一些比較大的私服每個月都會花2-3百萬元來黑對手，方式一般為，花錢雇傭數萬臺甚至幾十萬臺“肉雞”發送巨量數據集中攻擊對手，讓對手的服務器癱瘓，按照一些地下市面價格，1G的流量打1個小時約4-5萬元。一個完整的產業鏈條，一個盜號木馬，通過這樣一條制造、販賣、傳播、使用、盜號、銷贓的流水線，把一連串虛擬世界的數字代碼變成了真金白銀，產業鏈上各個環節分工明確，黑客可以根據自己的專長，專門負責某個環節，而更讓人擔憂的是，各種各樣的計算機木馬病毒、黑客技術，在網絡中泛濫傳播。在網絡上，充斥著形形色色的黑客論壇、內容五花八門，兜售盜號木馬，買賣“肉雞”，甚至還有專門傳授黑客技術的，只要肯花錢，只需一臺電腦一根網線，任何人都可以搖身一變，成為一名黑客。黑客產業鏈描述據業內人士介紹，地下黑客產業鏈極其2、黑客攻擊路徑與常用工具2、黑客攻擊路徑與常用工具“黑客”精神黑客的起源hacker一詞來自動詞hack，有“砍伐、雇工、干咳”等很多含義引申為“干了一件非常漂亮的工作”Hacker，cracker和blackhat“黑客”精神黑客的起源你帶什么“帽子”白帽子打破常規勇于創新灰帽子破解已有系統發現問題/漏洞黑帽子濫用資源蓄意破壞MS-BillGatesGNU-R.StallmanLinux-Linus漏洞發現-Tombkeeper軟件破解-0Day工具提供-pjf病毒散布者-熊貓燒香商業機密竊取者–匿名拒絕服務攻擊者-匿名你帶什么“帽子”白帽子灰帽子黑帽子MS-Bil攻擊“譜線”一般的入侵流程信息搜集漏洞利用進入系統實現目的竊取、篡改、破壞……進一步滲透其他主機安裝后門攻擊“譜線”一般的入侵流程系統滲透OS漏洞配置錯誤…應用滲透服務端客戶端……物理滲透社會工程學機房管理不當…….互聯網設備滲透IOS后門IOS堆棧溢出……黑客攻擊目標系統滲透OS漏洞配置錯誤…應用滲透服務端客戶端……物理滲透社示例：-某銀行或證券公司-該金融機構的信息系統包括：交易服務器、交易數據庫、網絡設備、WEB服務器、認證服務器、DNS服務器......攻擊者目標：-竊取控制權：機房>系統關鍵主機/設備>用戶數據>同一網段服務器>上游網絡設備>相關業務人員桌面系統>客戶端系統......-影響服務質量：交易服務質量>支持服務質量黑客攻擊目標示例：黑客攻擊目標信息收集從一些社會信息入手：找到網絡地址范圍找到關鍵的機器地址找到開放端口和入口點找到系統的制造商和版本A社會工程學:1。通過一些公開的信息，如辦公室電話號碼、管理員生日、姓、家庭電話。2。如果以上嘗試失敗，可能會通過各種途徑獲得管理員以及內部人員的信任，例如網絡聊天，然后發送加殼木馬軟件或者鍵盤記錄工具。3．如果管理員已經系統打了補丁，MS04-028漏洞無法利用。通過協助其解決技術問題，幫助其測試軟件，交朋友等名義，能夠直接有機會進入網絡機房。用Lc4工具直接破SAM庫(DEMO)B技術手段信息收集:Whois/DNS/Ping&Traceroute信息收集方法信息收集信息收集方法Whois查詢敏感信息泄漏的第一步涵蓋信息：企業申報上網時的數據企業的職能信息DNS服務器IP分配和使用情況聯系人Whois查詢敏感信息泄漏的第一步搜索手段不斷推陳出新……CodeSearch方便程序員進行源代碼搜索Computerworld和digg分別發表了基于CodeSearch文章基于Google的蠕蟲早已出現！Net-Worm.Perl.Santy.a。利用用Google查詢來發現運行phpBB論壇系統的Web站點系統漏洞Codesearch"lang:phpfile:wp-configuser-sample"搜索手段不斷推陳出新……CodeSearchCodese掃描的技術分類掃描流程存活性掃描端口掃描漏洞掃描OS識別掃描的技術分類掃描流程存活性掃描端口掃描漏洞掃描OS識別安全評估工具掃描器漏洞掃描：nessusxscanWeb應用掃描

WebinspectAppscan商用漏洞掃描器ISS

極光安全評估工具掃描器綜合的漏洞利用工具——CanvasCanvas(/)綜合的漏洞利用工具——CanvasCanvas(http:/SQL注入自動化工具命令行Wis、WedGUI工具NBSI、啊D注入工具、HDSI、旁注工具SQL注入自動化工具命令行口令破解工具可直接讀取，嗅探密碼采用窮舉法，破譯只是時間問題6位純數字的密碼通常在20分鐘內破解口令破解工具可直接讀取，嗅探密碼3、常見攻擊與安全威脅3、常見攻擊與安全威脅暴力猜解利用已知漏洞攻擊特洛伊木馬拒絕服務攻擊蠕蟲病毒ARP欺騙攻擊嗅探sniffer網絡釣魚WEB攻擊社會工程安全威脅與常見攻擊手段暴力猜解安全威脅與常見攻擊手段

暴力猜解就是從口令侯選器中一一選取單詞，或用枚舉法選取，然后用各種同樣的加密算法進行加密再比較。一致則猜測成功，否則再嘗試。

?口令候選器

?枚舉法

?口令加密

?口令比較

?獲取口令的方法

?防御方法暴力猜解暴力猜解就是從口令侯選器中一一選取單詞，或用枚10(數字)+33(標點符號)+26*2(大小寫字母)=95如果passwd取任意5個字母+1位數字或符號(按順序)可能性是:52*52*52*52*52*43=16,348,773,000(163億）口令猜解計算方法10(數字)+33(標點符號)+26*2(大小寫字母)=95但如果5個字母是一個常用詞,設常用詞5000條,從5000個常用詞中取一個詞與任意一個字符組合成口令,即5000*(2*2*2*2*2)(大小寫)*43=6,880,000(688萬種可能性)在Pentium200上每秒可算3,4萬次,象這樣簡單的口令要不了3分鐘如果有人用P200算上一周,將可進行200億次攻擊,所以6位口令是很不可靠的,至少要用7位.口令猜解計算方法但如果5個字母是一個常用詞,設常用詞5000條,從5000個CGIasp漏洞“.ida/.idq”IIS4.0/IIS5.0遠程溢出unicode編碼二次漏洞IPC$Sqlserver空口令震蕩波微軟安全公告利用已知漏洞攻擊CGIasp漏洞利用已知漏洞攻擊在神話傳說中，特洛伊木馬表面上是“禮物”，但實際上藏匿了襲擊特洛伊城的希臘士兵。現在，特洛伊木馬是指表面上是有用的軟件、實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序。具有隱蔽性的可執行程序，通常在點擊后生效高隱蔽性可讀取，下載，上傳文件讀取各種密碼（包括網銀密碼，證券交易密碼）可對局域網其它信息進行嗅探特洛伊木馬在神話傳說中，特洛伊木馬表面上是“禮物”，但實際上藏匿了襲擊

“拒絕服務攻擊（DenialofService）”的方法，簡稱DoS。它的惡毒之處是通過向服務器發送大量的虛假請求，服務器由于不斷應付這些無用信息而最終筋疲力盡，而合法的用戶卻由此無法享受到相應服務，實際上就是遭到服務器的拒絕服務。拒絕服務式攻擊“拒絕服務攻擊（DenialofService）”的攻擊者InternetCode目標2欺騙性的IP包源地址

2Port139目的地址

2Port139TCPOpenG.MarkHardyLAND攻擊攻擊者InternetCode目標欺騙性的IP包G.M攻擊者InternetCode目標2IP包欺騙源地址

2Port139目的地址

2Port139包被送回它自己崩潰G.MarkHardyLAND攻擊攻擊者InternetCode目標IP包欺騙崩潰G.Ma攻擊者InternetCode目標欺騙性的IP包源地址不存在目標地址是TCPOpenG.MarkHardyTcpsyn攻擊攻擊者InternetCode目標欺騙性的IP包G.M攻擊者InternetCode目標同步應答響應源地址目標地址不存在TCPACK崩潰G.MarkHardyTcpsyn攻擊攻擊者InternetCode目標同步應答響應崩潰G.MaBotNet工具Botnet:由Bot工具組成的可通信、可被攻擊者遠程控制的網絡Bot家族大部分bots從一個共同的代碼基礎演變而來6個大家族組成了大部分變種Bot種類IRCBotsP2PBotsHTTPBotsDNSBotsBotNet工具Botnet:由Bot工具組成的可通信、可被蠕蟲大史記RobertT.Moris——1988.11CodeRed——2001.07.19CodeRedII——2001.08.06數月之內——26億美元Nimda——2001.09.18Wantjob——2002.01Slammer——2003.01.24數天之內——12億美元Msblaster/“沖擊波”——2003.07“沖擊波殺手”MyDoom——2004.01Sasser/“震蕩波”——2004.05RobertTMoris蠕蟲大史記RobertT.Moris——1988.11R蠕蟲爆發傳播途徑多樣，如NimdaUnicode漏洞通過網絡鄰近共享文件、.電子郵件,IE瀏覽器的內嵌MIME類型自動執行漏洞、IIS服務器文件目錄遍歷（directorytraversal）的漏洞、CodeRedII和sadmind/IIS蠕蟲留下的后門蠕蟲爆發SQLSlammerWorm001005e2866b200047596e16e08004500..^(f...u..n..E.100194f580000001116264c6a54bf4e728........bd..K..(2066b2070c059a0180cdca040101010101f...............3001010101010101010101010101010101................4001010101010101010101010101010101................5001010101010101010101010101010101................6001010101010101010101010101010101................7001010101010101010101010101010101................800101010101010101010101dcc9b042eb..............B.900e0101010101010170ae420170ae4290........p.B.p.B.a09090909090909068dcc9b042b8010101.......h...B....b00131c9b11850e2fd35010101055089e5.1...P..5....P..c051682e646c6c68656c3332686b65726eQh.dllhel32hkernd051686f756e746869636b436847657454QhounthickChGetTe066b96c6c516833322e64687773325f66f.llQh32.dhws2_ff0b965745168736f636b66b9746f516873.etQhsockf.toQhs100656e64be1810ae428d45d450ff16508dend....B.E.P..P.11045e0508d45f050ff1650be1010ae428bE.P.E.P..P....B.1201e8b033d558bec517405be1c10ae42ff...=U..Qt.....B.13016ffd031c951515081f10301049b81f1...1.QQP........14001010101518d45cc508b45c050ff166a....Q.E.P.E.P..j150116a026a02ffd0508d45c4508b45c050.j.j...P.E.P.E.P160ff1689c609db81f33c61d9ff8b45b48d........<a...E..1700c408d1488c1e20401c2c1e20829c28d.@...........)..180049001d88945b46a108d45b05031c951.....E.j..E.P1.Q1906681f17801518d4503508b45ac50ffd6f..x.Q.E.P.E.P..1a0ebca..傳播速度快SQLSlammer10分鐘可以傳遍全世界損失大376bytesVS12億$SQLSlammerWorm001005e28ARP欺騙什么是Arp欺騙Arp協議Arp欺騙的種類長江長江，我是黃河長江長江，我才是黃河長江長江，我們都是黃河黃河黃河，我是長江ARP欺騙什么是Arp欺騙ARP欺騙

ARP欺騙往往應用于一個內部網絡，可以用它來擴大一個已經存在的網絡安全漏洞。如果可以入侵一個子網內的機器，其它的機器安全也將受到ARP欺騙的威脅。主要是利用arp協議漏洞更改主機的arp表。解決方法：局域網內包括路由器使用靜態arp<=>ip表ARP欺騙攻擊ARP欺騙ARP欺騙攻擊一個網絡接口應該只響應這樣的兩種數據幀：1．與自己硬件地址相匹配的數據禎2.發向所有機器的廣播數據幀。網卡來說一般有四種接收模式：1.廣播方式：該模式下的網卡能夠接收網絡中的廣播信息。2.組播方式：設置在該模式下的網卡能夠接收組播數據。3.直接方式：在這種模式下，只有目的網卡才能接收該數據。4.混雜模式：在這種模式下的網卡能夠接收一切通過它的數據，而不管該數據是否是傳給它的。嗅探SNIFFER攻擊一個網絡接口應該只響應這樣的兩種數據幀：嗅探SNIFFER攻

網絡釣魚是通過欺騙性的電子郵件、網頁欺詐用戶，誘使用戶泄漏重要信息的詐騙方式。一般而言，“網絡釣魚”屬于黑客攻擊方式中的社會工程學方法，更多的依靠欺騙手段來達到目的。與傳統的黑客攻擊手段相比，它更難防范，而攻擊的目的也更加明確的針對用戶的財務數據或者虛擬財產，因此危害也更大。網絡釣魚網絡釣魚是通過欺騙性的電子郵件、網頁欺詐WEB攻擊注入類SQL注入OS命令注入LDAP注入遠程文件包含繞過防御類目錄遍歷不安全對象引用跨站類跨站腳本跨站請求偽造資源消耗類分布式拒絕服務篡改仿冒類認證和會話管理失效隱藏變量篡改配置管理類不安全的數據存儲信息泄露和不正確的參數處理WEB攻擊注入類資源消耗類網站滲透測試網站滲透測試攻擊者冒充合法用戶發送郵件或打電話給管理人員，以騙取用戶口令和其它信息垃圾搜索:攻擊者通過搜索被攻擊者的廢棄物，得到與攻擊系統有關的信息，如果用戶將口令寫在紙上又隨便丟棄，則很容易成為垃圾搜索的攻擊對象社會工程學攻擊者冒充合法用戶發送郵件或打電話給管理人員，以騙取用戶口令4、安全防護措施4、安全防護措施網絡登錄控制網絡登錄控制是網絡訪問控制的第一道防線。通過網絡登錄控制可以限制用戶對網絡服務器的訪問，或禁止用戶登錄，或限制用戶只能在指定的工作站上進行登錄，或限制用戶登錄到指定的服務器上，或限制用戶只能在指定的時間登錄網絡等。網絡使用權限控制當用戶成功登錄網絡后，就可以使用其所擁有的權限對網絡資源(如目錄、文件和相應設備等)進行訪問。如果網絡對用戶的使用權限不能進行有效的控制，則可能導致用戶的非法操作或誤操作。目錄級安全控制用戶獲得網絡使用權限后，即可對相應的目錄、文件或設備進行規定的訪問。系統管理員為用戶在目錄級指定的權限對該目錄下的所有文件、所有子目錄及其子目錄下的所有文件均有效。屬性安全控制屬性安全控制是通過給網絡資源設置安全屬性標記來實現的。當系統管理員給文件、目錄和網絡設備等資源設置訪問屬性后，用戶對這些資源的訪問將會受到一定的限制。服務器安全控制網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等。網絡服務器的安全控制包括設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。訪問控制技術網絡登錄控制訪問控制技術防火墻：防火墻是用來保護內部網絡免受外部網絡的惡意攻擊和入侵，為防止計算機犯罪，將入侵者拒之門外的網絡安全技術。防火墻是內部網絡與外部網絡的邊界，它能夠嚴密監視進出邊界的數據包信息，能夠阻擋入侵者，嚴格限制外部網絡對內部網絡的訪問，也可有效地監視內部網絡對外部網絡的訪問。防火墻技術防火墻：防火墻技術防火墻工作模式包過濾防火墻路由器實現包過濾功能應用層防火墻內、外網的“中間人”基于狀態監測的包過濾防火墻主流技術物理層數據鏈路層網絡層傳輸層會話層表示層應用層應用層防火墻狀態監測包過濾防火墻工作模式包過濾防火墻物理層數據鏈路層網絡層傳輸層會話層包過濾防火墻包過濾防火墻對含有IP地址（源、目的）、端口號（源、目的）、協議類型等內容的包頭進行檢測典型產品：路由器優點高效對用戶透明缺點檢測不考慮數據內容、會話連接物理層數據鏈路層網絡層傳輸層會話層表示層應用層包過濾包過濾防火墻包過濾防火墻物理層數據鏈路層網絡層傳輸層會話層表主要威脅IP欺騙在數據包包頭中插入虛假源地址，以使該數據包看似發自受信源解決方法：確定數據包并非來自包頭指示位置IP源路由選項允許數據包源的用戶指定通向某一目的地的路徑多用于排錯同樣被利用與偽造受信源地址主要威脅IP欺騙應用層防火墻包過濾防火墻運行在網絡和服務器之間的應用層網關典型產品：ISA優點提供7層及以下層面防護缺點可能造成服務瓶頸物理層數據鏈路層網絡層傳輸層會話層表示層應用層應用層防火墻應用層防火墻包過濾防火墻物理層數據鏈路層網絡層傳輸層會話層表入侵檢測技術入侵檢測技術是網絡安全技術和信息技術結合的產物。使用入侵檢測技術可以實時監視網絡系統的某些區域，當這些區域受到攻擊時，能夠及時檢測和立即響應。入侵檢測有動態和靜態之分，動態檢測用于預防和審計，靜態檢測用于恢復和評估。入侵檢測技術入侵檢測技術入侵檢測技術傳統的防火墻系統L1：物理層L2：數據鏈路層L3：網絡層L4：傳輸層L5~L7：應用層FW：傳統4層安全網關7層應用威脅如何應對？IP包頭正文載荷蠕蟲病毒四層訪問控制檢查五元組IP包頭非法P2P下載靜態協議分析檢查檢查固定端口協議動態端口正文載荷

非法內容IP包頭IP狀態檢測檢查地址對和端口傳統的防火墻系統L1：物理層L2：數據鏈路層L3：網絡層L4防火墻的局限性關于防火墻防火墻不能安全過濾應用層的非法攻擊，如SQL注入防火墻對不通過它的連接無能為力，如內網攻擊等防火墻采用靜態安全策略技術，無法動態防御新的非法攻擊動機轉變，安全事件無處不在人，安全意識薄弱漏洞，與日俱增入侵教程，隨處可見黑客工具，唾手可得以經濟利益為目的的地下黑客產業鏈……防火墻的局限性關于防火墻IDS系統的缺陷旁路部署：缺乏及時、有效的阻斷功能響應時間：NIDS響應可能滯后于攻性能：置于混雜模式的網卡數據報文捕獲和轉發能力受限防火墻互動方案的不足缺乏統一、認可的標準防火墻響應NIDS阻斷會話請求前，攻擊可能已經發生旁路監聽的IDS系統AttackTimeDetectTimeResponseTimeNIDS安全：DetectTime+

ResponseTime<AttackTimeIDS系統的缺陷旁路監聽的IDS系統AttackTimeD從IDS到IPS入侵保護系統IPS入侵檢測系統IDSIDSIPS防火墻不能有效檢測并阻斷夾雜在正常流量中的攻擊代碼IDS由于旁路部署，不能第一時間阻斷所有攻擊，亡羊補牢，側重安全狀態監控IPS在線部署，主動防御，實時阻斷攻擊從IDS到IPS入侵保護系統IPS入侵檢測系統IDSIDSI在線部署完整的網絡安全策略體系的核心構成要素在線接入，彌補IDS此類旁路檢測設備對攻擊進行實時防護的不足積極、主動的入侵防御深度檢測主動控制完整的安全策略與安全檢測體系，提供從鏈路層到應用層的全面防護主動出擊，全面抑制惡意流量的傳播，有效控制危害的蔓延IPS入侵防御系統在線部署完整的網絡安全策略體系的核心構成要素在線接入，彌補IIPSvs傳統安全產品IPS

X部署模式防火墻IDS在線部署旁路部署在線部署工作層次2~4層2~7層蠕蟲、木馬擴散抑制X僅檢測惡意軟件阻斷SQL注入攻擊防護拒絕服務攻擊抵御零日攻擊防護2~7層較弱僅檢測

X上網行為管理流量控制非授權訪問控制

XX僅檢測僅檢測

X僅檢測僅檢測僅檢測IPSvs傳統安全產品IPSX部署模式防火墻IDS在卓越的多千兆（Multi-Gigabit）處理性能全面精細的漏洞保護，提供針對零日攻擊的預先風險感知能力，覆蓋2-7層的深度入侵防護內置先進、可靠的Web信譽機制，全面提供面向客戶端的Web安全防護能力內嵌強大的專業防病毒引擎，支持對主流病毒、蠕蟲、木馬的查殺基于對象的虛擬系統（VIPS），滿足不同環境的入侵防御需求基于應用協議的流量管理支持2層/3層等多種組網方式豐富的HA部署模式完善的BYPASS解決方案可擴展至10路的串行防御能力綠盟NIPS：2~7層深度入侵防護專家國內入侵防御硬件市場第一品牌國內首獲入侵防御類產品EAL3級證書攻擊特征庫獲得國際權威CVE兼容性認證微軟MAPP項目合作團隊開發和支持卓越的多千兆（Multi-Gigabit）處理性能綠盟NIP產品體系構架智能協議識別多層檢測引擎網絡引擎交換路由NATIP碎片重組流匯聚TCP狀態跟蹤數據捕獲高性能多核硬件平臺深度協議分析專家系統協議異常檢測流量異常檢測安全響應模塊包丟棄會話阻斷記錄日志報警顯示互動接口郵件報警協議回放自定義命令關聯分析管理模塊用戶管理配置管理策略管理事件管理系統監控日志管理防火墻深度入侵防御虛擬系統抗D.o.S攻擊流量控制用戶網絡行為管理Web安全Web信譽庫惡意網站庫攻擊特征庫安全事件庫防病毒產品體系構架智能協議識別多層檢測引擎網絡引擎交換路由NATIIPS部署在企業總部Internet防火墻后：針對DMZ區服務器群重點防護提供虛擬補丁，保護核心業務持續、正常運轉提供Zero-Day攻擊防護IPS部署在企業內部的網絡邊界：抵御來自內網的攻擊，保護核心資產和核心數據，隔離和控制內部安全威脅提供虛擬補丁，保護核心業務持續、正常運轉提供Zero-Day攻擊防護IPS部署在企業分支機構Internet邊界：面向不同安全需求，隔離出多個安全域，針對DMZ重點防護抵御來自Internet的D.o.S、SQL注入等應用層攻擊抑制病毒、蠕蟲在網絡間擴散管理和規范內部用戶的上網行為分支機構網絡邊界典型部署和應用價值總部網絡邊界局域網接入DMZ分支機構企業總部IPS部署在企業總部Internet防火墻后：IPS部署在企安全掃描安全掃描是對計算機系統或其他網絡設備進行相關安全檢測，以查找安全隱患和可能被攻擊者利用的漏洞。從安全掃描的作用來看，它既是保證計算機系統和網絡安全必不可少的技術方法，也是攻擊者攻擊系統的技術手段之一，系統管理員運用安全掃描技術可以排除隱患，防止攻擊者入侵，而攻擊者則利用安全掃描來尋找入侵系統和網絡的機會。安全掃描技術安全掃描安全掃描技術安全審計安全審計是在網絡中模擬社會活動的監察機構，對網絡系統的活動進行監視、記錄并提出安全意見和建議的一種機制。利用安全審計可以有針對性地對網絡運行狀態和過程進行記錄、跟蹤和審查。通過安全審計不僅可以對網絡風險進行有效評估，還可以為制定合理的安全策略和加強安全管理提供決策依據，使網絡系統能夠及時調整對策。安全審計技術安全審計安全審計技術安全管理意義上講，安全管理就是指為實現信息安全的目標而采取的一系列管理制度和技術手段，包括安全檢測、監控、響應和調整的全部控制過程。而對整個系統進行風險分析和評估是明確信息安全目標要求的重要手段。安全管理安全管理安全管理謝謝！謝謝！安全基礎培訓密級：內部使用安全基礎培訓密級：內部使用1安全事件與黑客產業鏈2黑客攻擊路徑與常用工具目錄4安全防護措施3常見攻擊與安全威脅

5問題討論1安全事件與黑客產業鏈2黑客攻擊路徑與常用工具目錄41、安全事件與黑客產業鏈1、安全事件與黑客產業鏈安全事件2009年5月19日21時起，中國互聯網遭遇了“多米諾骨牌”連鎖反應，出現了大范圍的網絡故障。而安裝有暴風影音的千萬臺電腦則成為引發整個網絡故障連鎖反應的重要推力。2009年7月27日瑞星網站服務器遭黑客團伙的報復性攻擊，并被植入木馬。360金山稱愿助其抗黑客！

2010年1月12日上午7點鐘開始，全球最大中文搜索引擎“百度”遭到黑客攻擊，長時間無法正常訪問。主要表現為跳轉到一雅虎出錯頁面、伊朗網軍圖片，出現“天外符號”等；騰訊QQ和奇虎360是目前國內最大的兩個客戶端軟件。2010年11月3日晚，騰訊發布公告，在裝有360軟件的電腦上停止運行QQ軟件。360隨即推出了“WebQQ”的客戶端，但騰訊隨即關閉WebQQ服務，使客戶端失效安全事件2009年5月19日21時起，中國互聯網遭遇了“多黑客產業鏈黑客產業鏈黑客產業鏈描述據業內人士介紹，地下黑客產業鏈極其龐大且分工明確，有專門提供木馬程序的，有專門提供肉雞的。黑客產業鏈大致分為老板、病毒編寫者、流量商、盜號者和販賣商等多個環節，各黑客產業鏈個環節分工明確，其中“老板”處于整個鏈條的頂端，他對產業鏈的各個環節進行分工和協調。而那些層出不窮的木馬病毒程序，往往都是按照這些老板的要求，由專門編寫病毒的程序員開發出來的。一些比較大的私服每個月都會花2-3百萬元來黑對手，方式一般為，花錢雇傭數萬臺甚至幾十萬臺“肉雞”發送巨量數據集中攻擊對手，讓對手的服務器癱瘓，按照一些地下市面價格，1G的流量打1個小時約4-5萬元。一個完整的產業鏈條，一個盜號木馬，通過這樣一條制造、販賣、傳播、使用、盜號、銷贓的流水線，把一連串虛擬世界的數字代碼變成了真金白銀，產業鏈上各個環節分工明確，黑客可以根據自己的專長，專門負責某個環節，而更讓人擔憂的是，各種各樣的計算機木馬病毒、黑客技術，在網絡中泛濫傳播。在網絡上，充斥著形形色色的黑客論壇、內容五花八門，兜售盜號木馬，買賣“肉雞”，甚至還有專門傳授黑客技術的，只要肯花錢，只需一臺電腦一根網線，任何人都可以搖身一變，成為一名黑客。黑客產業鏈描述據業內人士介紹，地下黑客產業鏈極其2、黑客攻擊路徑與常用工具2、黑客攻擊路徑與常用工具“黑客”精神黑客的起源hacker一詞來自動詞hack，有“砍伐、雇工、干咳”等很多含義引申為“干了一件非常漂亮的工作”Hacker，cracker和blackhat“黑客”精神黑客的起源你帶什么“帽子”白帽子打破常規勇于創新灰帽子破解已有系統發現問題/漏洞黑帽子濫用資源蓄意破壞MS-BillGatesGNU-R.StallmanLinux-Linus漏洞發現-Tombkeeper軟件破解-0Day工具提供-pjf病毒散布者-熊貓燒香商業機密竊取者–匿名拒絕服務攻擊者-匿名你帶什么“帽子”白帽子灰帽子黑帽子MS-Bil攻擊“譜線”一般的入侵流程信息搜集漏洞利用進入系統實現目的竊取、篡改、破壞……進一步滲透其他主機安裝后門攻擊“譜線”一般的入侵流程系統滲透OS漏洞配置錯誤…應用滲透服務端客戶端……物理滲透社會工程學機房管理不當…….互聯網設備滲透IOS后門IOS堆棧溢出……黑客攻擊目標系統滲透OS漏洞配置錯誤…應用滲透服務端客戶端……物理滲透社示例：-某銀行或證券公司-該金融機構的信息系統包括：交易服務器、交易數據庫、網絡設備、WEB服務器、認證服務器、DNS服務器......攻擊者目標：-竊取控制權：機房>系統關鍵主機/設備>用戶數據>同一網段服務器>上游網絡設備>相關業務人員桌面系統>客戶端系統......-影響服務質量：交易服務質量>支持服務質量黑客攻擊目標示例：黑客攻擊目標信息收集從一些社會信息入手：找到網絡地址范圍找到關鍵的機器地址找到開放端口和入口點找到系統的制造商和版本A社會工程學:1。通過一些公開的信息，如辦公室電話號碼、管理員生日、姓、家庭電話。2。如果以上嘗試失敗，可能會通過各種途徑獲得管理員以及內部人員的信任，例如網絡聊天，然后發送加殼木馬軟件或者鍵盤記錄工具。3．如果管理員已經系統打了補丁，MS04-028漏洞無法利用。通過協助其解決技術問題，幫助其測試軟件，交朋友等名義，能夠直接有機會進入網絡機房。用Lc4工具直接破SAM庫(DEMO)B技術手段信息收集:Whois/DNS/Ping&Traceroute信息收集方法信息收集信息收集方法Whois查詢敏感信息泄漏的第一步涵蓋信息：企業申報上網時的數據企業的職能信息DNS服務器IP分配和使用情況聯系人Whois查詢敏感信息泄漏的第一步搜索手段不斷推陳出新……CodeSearch方便程序員進行源代碼搜索Computerworld和digg分別發表了基于CodeSearch文章基于Google的蠕蟲早已出現！Net-Worm.Perl.Santy.a。利用用Google查詢來發現運行phpBB論壇系統的Web站點系統漏洞Codesearch"lang:phpfile:wp-configuser-sample"搜索手段不斷推陳出新……CodeSearchCodese掃描的技術分類掃描流程存活性掃描端口掃描漏洞掃描OS識別掃描的技術分類掃描流程存活性掃描端口掃描漏洞掃描OS識別安全評估工具掃描器漏洞掃描：nessusxscanWeb應用掃描

WebinspectAppscan商用漏洞掃描器ISS

極光安全評估工具掃描器綜合的漏洞利用工具——CanvasCanvas(/)綜合的漏洞利用工具——CanvasCanvas(http:/SQL注入自動化工具命令行Wis、WedGUI工具NBSI、啊D注入工具、HDSI、旁注工具SQL注入自動化工具命令行口令破解工具可直接讀取，嗅探密碼采用窮舉法，破譯只是時間問題6位純數字的密碼通常在20分鐘內破解口令破解工具可直接讀取，嗅探密碼3、常見攻擊與安全威脅3、常見攻擊與安全威脅暴力猜解利用已知漏洞攻擊特洛伊木馬拒絕服務攻擊蠕蟲病毒ARP欺騙攻擊嗅探sniffer網絡釣魚WEB攻擊社會工程安全威脅與常見攻擊手段暴力猜解安全威脅與常見攻擊手段

暴力猜解就是從口令侯選器中一一選取單詞，或用枚舉法選取，然后用各種同樣的加密算法進行加密再比較。一致則猜測成功，否則再嘗試。

?口令候選器

?枚舉法

?口令加密

?口令比較

?獲取口令的方法

?防御方法暴力猜解暴力猜解就是從口令侯選器中一一選取單詞，或用枚10(數字)+33(標點符號)+26*2(大小寫字母)=95如果passwd取任意5個字母+1位數字或符號(按順序)可能性是:52*52*52*52*52*43=16,348,773,000(163億）口令猜解計算方法10(數字)+33(標點符號)+26*2(大小寫字母)=95但如果5個字母是一個常用詞,設常用詞5000條,從5000個常用詞中取一個詞與任意一個字符組合成口令,即5000*(2*2*2*2*2)(大小寫)*43=6,880,000(688萬種可能性)在Pentium200上每秒可算3,4萬次,象這樣簡單的口令要不了3分鐘如果有人用P200算上一周,將可進行200億次攻擊,所以6位口令是很不可靠的,至少要用7位.口令猜解計算方法但如果5個字母是一個常用詞,設常用詞5000條,從5000個CGIasp漏洞“.ida/.idq”IIS4.0/IIS5.0遠程溢出unicode編碼二次漏洞IPC$Sqlserver空口令震蕩波微軟安全公告利用已知漏洞攻擊CGIasp漏洞利用已知漏洞攻擊在神話傳說中，特洛伊木馬表面上是“禮物”，但實際上藏匿了襲擊特洛伊城的希臘士兵。現在，特洛伊木馬是指表面上是有用的軟件、實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序。具有隱蔽性的可執行程序，通常在點擊后生效高隱蔽性可讀取，下載，上傳文件讀取各種密碼（包括網銀密碼，證券交易密碼）可對局域網其它信息進行嗅探特洛伊木馬在神話傳說中，特洛伊木馬表面上是“禮物”，但實際上藏匿了襲擊

“拒絕服務攻擊（DenialofService）”的方法，簡稱DoS。它的惡毒之處是通過向服務器發送大量的虛假請求，服務器由于不斷應付這些無用信息而最終筋疲力盡，而合法的用戶卻由此無法享受到相應服務，實際上就是遭到服務器的拒絕服務。拒絕服務式攻擊“拒絕服務攻擊（DenialofService）”的攻擊者InternetCode目標2欺騙性的IP包源地址

2Port139目的地址

2Port139TCPOpenG.MarkHardyLAND攻擊攻擊者InternetCode目標欺騙性的IP包G.M攻擊者InternetCode目標2IP包欺騙源地址

2Port139目的地址

2Port139包被送回它自己崩潰G.MarkHardyLAND攻擊攻擊者InternetCode目標IP包欺騙崩潰G.Ma攻擊者InternetCode目標欺騙性的IP包源地址不存在目標地址是TCPOpenG.MarkHardyTcpsyn攻擊攻擊者InternetCode目標欺騙性的IP包G.M攻擊者InternetCode目標同步應答響應源地址目標地址不存在TCPACK崩潰G.MarkHardyTcpsyn攻擊攻擊者InternetCode目標同步應答響應崩潰G.MaBotNet工具Botnet:由Bot工具組成的可通信、可被攻擊者遠程控制的網絡Bot家族大部分bots從一個共同的代碼基礎演變而來6個大家族組成了大部分變種Bot種類IRCBotsP2PBotsHTTPBotsDNSBotsBotNet工具Botnet:由Bot工具組成的可通信、可被蠕蟲大史記RobertT.Moris——1988.11CodeRed——2001.07.19CodeRedII——2001.08.06數月之內——26億美元Nimda——2001.09.18Wantjob——2002.01Slammer——2003.01.24數天之內——12億美元Msblaster/“沖擊波”——2003.07“沖擊波殺手”MyDoom——2004.01Sasser/“震蕩波”——2004.05RobertTMoris蠕蟲大史記RobertT.Moris——1988.11R蠕蟲爆發傳播途徑多樣，如NimdaUnicode漏洞通過網絡鄰近共享文件、.電子郵件,IE瀏覽器的內嵌MIME類型自動執行漏洞、IIS服務器文件目錄遍歷（directorytraversal）的漏洞、CodeRedII和sadmind/IIS蠕蟲留下的后門蠕蟲爆發SQLSlammerWorm001005e2866b200047596e16e08004500..^(f...u..n..E.100194f580000001116264c6a54bf4e728........bd..K..(2066b2070c059a0180cdca040101010101f...............3001010101010101010101010101010101................4001010101010101010101010101010101................5001010101010101010101010101010101................6001010101010101010101010101010101................7001010101010101010101010101010101................800101010101010101010101dcc9b042eb..............B.900e0101010101010170ae420170ae4290........p.B.p.B.a09090909090909068dcc9b042b8010101.......h...B....b00131c9b11850e2fd35010101055089e5.1...P..5....P..c051682e646c6c68656c3332686b65726eQh.dllhel32hkernd051686f756e746869636b436847657454QhounthickChGetTe066b96c6c516833322e64687773325f66f.llQh32.dhws2_ff0b965745168736f636b66b9746f516873.etQhsockf.toQhs100656e64be1810ae428d45d450ff16508dend....B.E.P..P.11045e0508d45f050ff1650be1010ae428bE.P.E.P..P....B.1201e8b033d558bec517405be1c10ae42ff...=U..Qt.....B.13016ffd031c951515081f10301049b81f1...1.QQP........14001010101518d45cc508b45c050ff166a....Q.E.P.E.P..j150116a026a02ffd0508d45c4508b45c050.j.j...P.E.P.E.P160ff1689c609db81f33c61d9ff8b45b48d........<a...E..1700c408d1488c1e20401c2c1e20829c28d.@...........)..180049001d88945b46a108d45b05031c951.....E.j..E.P1.Q1906681f17801518d4503508b45ac50ffd6f..x.Q.E.P.E.P..1a0ebca..傳播速度快SQLSlammer10分鐘可以傳遍全世界損失大376bytesVS12億$SQLSlammerWorm001005e28ARP欺騙什么是Arp欺騙Arp協議Arp欺騙的種類長江長江，我是黃河長江長江，我才是黃河長江長江，我們都是黃河黃河黃河，我是長江ARP欺騙什么是Arp欺騙ARP欺騙

ARP欺騙往往應用于一個內部網絡，可以用它來擴大一個已經存在的網絡安全漏洞。如果可以入侵一個子網內的機器，其它的機器安全也將受到ARP欺騙的威脅。主要是利用arp協議漏洞更改主機的arp表。解決方法：局域網內包括路由器使用靜態arp<=>ip表ARP欺騙攻擊ARP欺騙ARP欺騙攻擊一個網絡接口應該只響應這樣的兩種數據幀：1．與自己硬件地址相匹配的數據禎2.發向所有機器的廣播數據幀。網卡來說一般有四種接收模式：1.廣播方式：該模式下的網卡能夠接收網絡中的廣播信息。2.組播方式：設置在該模式下的網卡能夠接收組播數據。3.直接方式：在這種模式下，只有目的網卡才能接收該數據。4.混雜模式：在這種模式下的網卡能夠接收一切通過它的數據，而不管該數據是否是傳給它的。嗅探SNIFFER攻擊一個網絡接口應該只響應這樣的兩種數據幀：嗅探SNIFFER攻

網絡釣魚是通過欺騙性的電子郵件、網頁欺詐用戶，誘使用戶泄漏重要信息的詐騙方式。一般而言，“網絡釣魚”屬于黑客攻擊方式中的社會工程學方法，更多的依靠欺騙手段來達到目的。與傳統的黑客攻擊手段相比，它更難防范，而攻擊的目的也更加明確的針對用戶的財務數據或者虛擬財產，因此危害也更大。網絡釣魚網絡釣魚是通過欺騙性的電子郵件、網頁欺詐WEB攻擊注入類SQL注入OS命令注入LDAP注入遠程文件包含繞過防御類目錄遍歷不安全對象引用跨站類跨站腳本跨站請求偽造資源消耗類分布式拒絕服務篡改仿冒類認證和會話管理失效隱藏變量篡改配置管理類不安全的數據存儲信息泄露和不正確的參數處理WEB攻擊注入類資源消耗類網站滲透測試網站滲透測試攻擊者冒充合法用戶發送郵件或打電話給管理人員，以騙取用戶口令和其它信息垃圾搜索:攻擊者通過搜索被攻擊者的廢棄物，得到與攻擊系統有關的信息，如果用戶將口令寫在紙上又隨便丟棄，則很容易成為垃圾搜索的攻擊對象社會工程學攻擊者冒充合法用戶發送郵件或打電話給管理人員，以騙取用戶口令4、安全防護措施4、安全防護措施網絡登錄控制網絡登錄控制是網絡訪問控制的第一道防線。通過網絡登錄控制可以限制用戶對網絡服務器的訪問，或禁止用戶登錄，或限制用戶只能在指定的工作站上進行登錄，或限制用戶登錄到指定的服務器上，或限制用戶只能在指定的時間登錄網絡等。網絡使用權限控制當用戶成功登錄網絡后，就可以使用其所擁有的權限對網絡資源(如目錄、文件和相應設備等)進行訪問。如果網絡對用戶的使用權限不能進行有效的控制，則可能導致用戶的非法操作或誤操作。目錄級安全控制用戶獲得網絡使用權限后，即可對相應的目錄、文件或設備進行規定的訪問。系統管理員為用戶在目錄級指定的權限對該目錄下的所有文件、所有子目錄及其子目錄下的所有文件均有效。屬性安全控制屬性安全控制是通過給網絡資源設置安全屬性標記來實現的。當系統管理員給文件、目錄和網絡設備等資源設置訪問屬性后，用戶對這些資源的訪問將會受到一定的限制。服務器安全控制網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等。網絡服務器的安全控制包括設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。訪問控制技術網絡登錄控制訪問控制技術防火墻：防火墻是用來保護內部網絡免受外部網絡的惡意攻擊和入侵，為防止計算機犯罪，將入侵者拒之門外的網絡安全技術。防火墻是內部網絡與外部網絡的邊界，它能夠嚴密監視進出邊界的數據包信息，能夠阻擋入侵者，嚴格限制外部網絡對內部網絡的訪問，也可有效地監視內部網絡對外部網絡的訪問。防火墻技術防火墻：防火墻技術防火墻工作模式包過濾防火墻路由器實現包過濾功能應用層防火墻內、外網的“中間人”基于狀態監測的包過濾防火墻主流技術物理層數據鏈路層網絡層傳輸層會話層表示層應用層應用層防火墻狀態監測包過濾防火墻工作模式包過濾防火墻物理層數據鏈路層網絡層傳輸層會話層包過濾防火墻包過濾防火墻對含有IP地址（源、目的）、端口號（源、目的）、協議類型等內容的包頭進行檢測典型產品：路由器優點高效對用戶透明缺點檢測不考慮數據內容、會話連接物理層數據鏈路層網絡層傳輸層會話層表示層應用層包過濾包過濾防火墻包過濾防火墻物理層數據鏈路層網絡層傳輸層會話層表主要威脅IP欺騙在數據包包頭中插入虛假源地址，以使該數據包看似發自受信源解決方法：確定數據包并非來自包頭指示位置IP源路由選項允許數據包源的用戶指定通向某一目的地的路徑多用于排錯同樣被利用與偽造受信源地址主要威脅IP欺騙應用層防火墻包過濾防火墻運行在網絡和服務器之間的應用層網關典型產品：ISA優點提供7層及以下層面防護缺點可能造成服務瓶頸物理層數據鏈路層網絡層傳輸層會話層表示層應用層應用層防火墻應用層防火墻包過濾防火墻物理層數據鏈路層網絡層傳輸層會話層表入侵檢測技術入侵檢測技術是網絡安全技術和信息技術結合的產物。使用入侵檢測技術可以實時監視網絡系統的某些區域，當這些區域受到攻擊時，能夠及時檢測和立即響應。入侵檢測有動態和靜態之分，動態檢測用于預防和審計，靜態檢測用于恢復和評估。入侵檢測技術入侵檢測技術入侵檢測技術傳統的防火墻系統L1：物理層L2：數據鏈路層L3：網絡層L4：傳輸層L5~L7：應用層FW：傳統4層安全網關7層應用威脅如何應對？IP包頭正文載荷蠕蟲病毒四層訪問控制檢查五元組IP包頭非法P2P下載靜態協議分析檢查檢查固定端口協議動態端口正文載荷

非法內容IP包頭IP狀態檢測檢查地址對和端口傳統的防火墻系統L1：物理層L2：數據鏈路層L3：網絡層L4防火墻的局限性關于防火墻防火墻不能安全過濾應用層的非法攻擊，如SQL注入防火墻對不通過它的連接無能為力，如內網攻擊等防火墻采用靜態安全策略技術，無法動態防御