系统网络安全.pptx

《系统网络安全.pptx》由会员分享，可在线阅读，更多相关《系统网络安全.pptx（66页珍藏版）》请在咨信网上搜索。

第九章第九章 系统网络安全续系统网络安全续常用攻击手段常用攻击手段一、攻击的位置一、攻击的位置一、攻击的一些基本概念（1）远远程程攻攻击击：从从该该子子网网以以外外的的地地方方向向该该子子网或者该子网内的系统发动攻击。网或者该子网内的系统发动攻击。（2）本本地地攻攻击击：通通过过所所在在的的局局域域网网，向向本本单单位位的的其其他他系系统统发发动动攻攻击击，在在本本机机上上进进行行非非法法越权访问也是本地攻击。越权访问也是本地攻击。（3）伪伪远远程程攻攻击击：指指内内部部人人员员为为了了掩掩盖盖攻攻击击者者的的身身份份，从从本本地地获获取取目目标标的的一一些些必必要要信信息息后后，攻攻击击过过程程从从外外部部远远程程发发起起，造造成成外外部部入入侵的现象。侵的现象。二、攻击的层次二、攻击的层次一、攻击的一些基本概念1）简单拒绝服务（如邮件炸弹攻击）简单拒绝服务（如邮件炸弹攻击）.2）本地用户获得非授权读或者写权限）本地用户获得非授权读或者写权限3）远程用户获得了非授权的帐号）远程用户获得了非授权的帐号4）远程用户获得了特权文件的读写权限）远程用户获得了特权文件的读写权限5）远程用户拥有了根（）远程用户拥有了根（root）权限）权限）三、攻击的目的三、攻击的目的一、攻击的一些基本概念1）进程的执行）进程的执行2）获取文件和传输中的数据）获取文件和传输中的数据3）获得超级用户权限）获得超级用户权限4）对系统的非法访问）对系统的非法访问5）进行不许可的操作）进行不许可的操作6）拒绝服务）拒绝服务7）涂改信息）涂改信息8）暴露信息）暴露信息9）挑战）挑战10）政治意图）政治意图11）经济利益）经济利益12）破坏）破坏四、攻击的人员四、攻击的人员一、攻击的一些基本概念一、攻击的一些基本概念1）黑客：为了挑战和获取访问权限）黑客：为了挑战和获取访问权限2）间谍：为了政治情报信息）间谍：为了政治情报信息3）恐怖主义者：为了政治目的而制造恐怖）恐怖主义者：为了政治目的而制造恐怖4）公司雇佣者：为了竞争经济利益）公司雇佣者：为了竞争经济利益5）职业犯罪：为了个人的经济利益）职业犯罪：为了个人的经济利益6）破坏者：为了实现破坏）破坏者：为了实现破坏五、攻击的工具五、攻击的工具1）用用户户命命令令：攻攻击击者者在在命命令令行行状状态态下下或或者者图图形形用用户户接接口方式输入命令。口方式输入命令。2）脚本或程序：在用户接口处初始化脚本和程序。）脚本或程序：在用户接口处初始化脚本和程序。3）自自治治主主体体：攻攻击击者者初初始始化化一一个个程程序序或或者者程程序序片片断断，独立地执行操作，挖掘弱点。独立地执行操作，挖掘弱点。4）工工具具箱箱：攻攻击击者者使使用用软软件件包包（包包含含开开发发弱弱点点的的脚脚本本、程序、自治主体）。程序、自治主体）。5）分分布布式式工工具具：攻攻击击者者分分发发攻攻击击工工具具到到多多台台主主机机，通通过协作方式执行攻击特定的目标。过协作方式执行攻击特定的目标。6）电磁泄漏）电磁泄漏六、攻击的时间六、攻击的时间一、攻击的一些基本概念大大部部分分的的攻攻击击（或或至至少少是是商商业业攻攻击击时时间间）一一般般是服务器所在地的深夜。是服务器所在地的深夜。客客观观原原因因。在在白白天天，大大多多数数入入侵侵者者要要工工作作或或学学习，以至没空进行攻击。习，以至没空进行攻击。速速度度原原因因。网网络络正正变变得得越越来来越越拥拥挤挤，因因此此最最佳佳的的工工作作时时间间是是在在网网络络能能提提供供高高传传输输速速度度的的时时间间速率的时间。速率的时间。保保密密原原因因。白白天天系系统统管管理理员员一一旦旦发发现现有有异异常常行行为。他们便会跟踪而来。为。他们便会跟踪而来。七、寻找目标主机并收集目标信息七、寻找目标主机并收集目标信息1）锁定目标）锁定目标因因特特网网上上每每一一台台网网络络主主机机都都有有一一个个名名字字，术术语语称称做做域域名名；然然而而在在网网上上能能真真正正标标识识主主机机的的是是IP地地址址，域域名只是用名只是用IP地址指定的主机便于好记而起的名字。地址指定的主机便于好记而起的名字。利利用用域域名名和和IP地地址址都都可可以以顺顺利利找找到到主主机机。DNS协协议议不不对对转转换换或或信信息息性性的的更更新新进进行行身身份份认认证证，这这使使得得该该协协议议被被人人以以一一些些不不同同的的方方式式加加以以利利用用。黑黑客客只只需需实实施施一一次次域域转转换换操操作作就就能能得得到到所所有有主主机机的的名名称称以以及及内内部部IP地址。地址。2）服务分析）服务分析用用提提供供不不同同服服务务的的应应用用程程序序试试一一试试就就知知道道了了，例例如如：使使用用Telnet、FTP等等用用户户软软件件向向目目标标主主机机申申请请服服务务，如如果果主主机机有有应应答答就就说说明明主主机机提提供供了了这这个个服服务务，开开放放了了这个端口的服务。这个端口的服务。黑黑客客常常用用一一些些象象PORTSCAN这这样样的的工工具具软软件件，对对目目标标主主机机一一定定范范围围的的端端口口进进行行扫扫描描。这这样样可可全全部部掌掌握握目目标标主主机机的的端端口口情情况况。HAKTEK是是一一个个非非常常实实用用的的一一个个工工具具软软件件，它它将将许许多多应应用用集集成成在在一一起起的的工工具具，其其中中包包括括:Ping、IP地地址址范范围围扫扫描描、目目标标主主机机端端口口扫扫描描、邮邮件件炸炸弹、过滤邮件、弹、过滤邮件、Finger主机等都是非常实用的工具。主机等都是非常实用的工具。二、远程攻击的步骤3）系统分析）系统分析目目标标主主机机采采用用的的是是什什么么操操作作系系统统。黑黑客客使使用用具具有有已已知知响响应应类类型型的的数数据据库库的的自自动动工工具具，对对来来自自目目标标主主机机的的、对对坏坏数数据据包包传传送送所所作作出出的的响响应应进进行行检检查查。由由于于每每种种操操作作系系统统都都有有其其独独特特的的响响应应方方法法。通通过过将将此此独独特特的的响响应应与与数数据据库库中中的的已已知知响响应应进进行行对对比比，黑黑客经常能够确定出目标主机所运行的操作系统。客经常能够确定出目标主机所运行的操作系统。打开打开RUN窗口，然后输入命令：窗口，然后输入命令：Telnet xx.xx.xx.xx(目标主机目标主机)然后按然后按确定确定，会出现什么？，会出现什么？C:telnet 210.41.110.193Users access verificationUesrname:%username:timeout expiredUesrname:%username:timeout expiredUesrname:%username:timeout expired失去了跟主机的连接C:telnet 210.41.110.200正在连接到210.41.110.200 不能打开到主机的连接，在端口23：连接失败二、远程攻击的步骤二、远程攻击的步骤4）获取帐号信息）获取帐号信息对对于于陌陌生生的的目目标标主主机机可可能能只只知知道道它它有有一一个个ROOT用用户户，至至于于其其他他帐帐户户一一无无所所知知，要要想想登登录录目目标标主主机机我我们们至至少少要知道一个普通用户要知道一个普通用户a.利用目标主机的利用目标主机的Finger功能功能对对黑黑客客软软件件HAKTEK，它它的的Finger功功能能可可以以完完全全胜胜任任，记记录录帐帐号号信信息息，经经过过一一段段时时间间的的监监测测，就就会会积积累累一一定定的的帐帐号号信信息息。finger很很可可能能暴暴露露入入侵侵者者的的行行为为，为为了了避避免免finger查查询询产产生生标标记记，绝绝大大多多数数入入侵侵者者使使用用finger gateways（finger网关）。网关）。二、远程攻击的步骤b.来源于电子邮件地址来源于电子邮件地址有有些些用用户户电电子子邮邮件件地地址址（指指符符号号前前面面的的部部分分）与与其取邮件的帐号是一致的其取邮件的帐号是一致的c.非常全面的非常全面的X.500功能功能有有些些主主机机提提供供了了X.500的的目目录录查查询询服服务务。如如何何知知道道是是否否提提供供X.500的的功功能能，扫扫描描目目标标主主机机的的端端口口，如如果果端端口口105的的状状态态已已经经被被激激活活，在在自自己己的的机机器器上上安安装装一一个个X.500的的客客户户查查询询的的工工具具，选选择择目目标标主主机机，可以获得意想不到的信息。可以获得意想不到的信息。二、远程攻击的步骤二、远程攻击的步骤d.习惯性常用帐号习惯性常用帐号根根据据平平时时的的经经验验，一一些些系系统统总总有有一一些些习习惯惯性性的的常常用用帐帐号号，这这些些帐帐号号都都是是系系统统中中因因为为某某种种应应用用而而设设置置的的。例例如如：制制作作WWW网网站站的的帐帐号号可可能能是是html、www、web等等，安安装装ORACLE数数据据库库的的可可能能有有oracle的的帐帐号号，用用户户培培训训或或教教学学而而设设置置的的user1、user2、student1、student2、client1、client2等等帐帐户户，一一些些常常用用的的英英文文名名字字也也经经常常会会使使用用，例例如如：tom、john等等，因因此此可可以以根根据据系系统统所所提提供供的的服服务务和和在在其其主主页页得得到的工作人员的名字信息进行猜测。到的工作人员的名字信息进行猜测。二、远程攻击的步骤二、远程攻击的步骤5）获得管理员信息）获得管理员信息运运行行一一个个查查询询命命令令，可可获获得得保保存存在在目目标标域域服务器中的所有信息。服务器中的所有信息。6)、攻击测试、攻击测试二、远程攻击的步骤二、远程攻击的步骤大大部部分分的的入入侵侵者者并并不不想想尝尝试试这这种种行行为为，因因为为这这需需要要一一定定的的费费用用。在在此此步步骤骤中中，首首先先要要建建立立一一个个和和目目标标一一样样的的环环境境。一一旦旦将将此此环环境境建建立立起起来来后后，就就可可对对它它进进行行一一系列的攻击。在此过程中，有两件事需要注意：系列的攻击。在此过程中，有两件事需要注意：（l）从攻击方来看这些攻击行为看上去像什么，）从攻击方来看这些攻击行为看上去像什么，（2）从被攻击方来看这些攻击行为看上去像什么。）从被攻击方来看这些攻击行为看上去像什么。通通过过检检查查攻攻击击方方的的日日志志文文件件入入侵侵者者能能大大致致了了解解对对一一个个几几乎乎没没有有保保护护措措施施的的目目标标进进行行攻攻击击时时攻攻击击行行为为着着上上去去像什么像什么八、各种相关工具的准备八、各种相关工具的准备二、远程攻击的步骤紧紧接接着着应应该该收收集集各各种种实实际际使使用用的的工工具具，最最有有可可能能是是一一些些扫扫描描工工具具，判判断断出出目目标标网网上上的的所所有有设设备备。基基于于对对操操作作系系统统的的分分析析需需要要对对工工具具进进行行评评估估以以判判断断有有哪哪些些漏漏洞洞和和区区域域它它们们没没有有覆覆盖盖到到。在在只只用用一一个个工工具具而而不不用用另另一一个个工工具具就就可可覆覆盖盖某某特特定定设设备备的的情情况况下下，最最好好还还是是同同时时使使用用这这两两个个工工具具。这这些些工工具具的的联联合合使使用用是是否否方方便便主主要要依依赖赖于于这这些些工工具具是是否否能能简简易易地地作作为为外外部部模模块块附附加加到到一一个个扫扫描描工工具具上上如如 SATAN或或 SAFESuite。在在此此进进行行测测试试变变得得极极为为有有价价值值，因因为为在在多多数数情情况况下下附附加加一一个个外外部部模模块块非非让让它它正正常常地地工工作作并并不不那那么么简简单单。为为了了得得到到这这些些工工具工作的确切结果，最好先在某台机器上进行实验。具工作的确切结果，最好先在某台机器上进行实验。九、攻击策略的制定九、攻击策略的制定二、远程攻击的步骤没没有有任任何何理理由由就就实实施施入入侵侵是是很很不不明明智智的的。攻攻击击策策略略主主要依赖于入侵者所想要达到的目的。要依赖于入侵者所想要达到的目的。需需要要说说明明的的是是扫扫描描时时间间花花得得越越长长，也也就就是是说说越越多多的的机机器器被被涉涉及及在在内内，那那么么扫扫描描的的动动作作就就越越有有可可能能被被发发现现；同同时时有有越越多多的的扫扫描描数数据据需需要要筛筛选选，因因此此，扫扫描描的的攻攻击击的的时时间间越越短短越越好好。因因为为你你所所想想要要的的是是一一个个主主系系统统上上或或者者是是一一个个可可用用的的最最大大网网段段的的根根权权限限，所所以以对对一一个个更更小小、更更安安全全的的网网络络进进行行扫扫描描不不可可能能获获得得很很大大的的好好处处。无无论论如何，一旦你确定了扫描的参数，就可以开始行动了。如何，一旦你确定了扫描的参数，就可以开始行动了。十、数据分析十、数据分析二、远程攻击的步骤完完成成扫扫描描后后，开开始始分分析析数数据据。首首先先应应考考虑虑通通过过此此方方法法得得到到的的信信息息是是否否可可靠靠（可可靠靠度度在在某某种种程程度度上上可可通通过过在在类类似似的的环环境境中中进进行行的的扫扫描描实实验验得得到到。）然然后后再再进进行行分分析析，扫扫描描获获得得的的数数据据不不同同则则分分析析过过程程也也不不同同。在在SATAN中中的的文文档档中中有有一一些些关关于于漏漏洞洞的的简简短短说明，并且真接而富有指导性。说明，并且真接而富有指导性。如如果果找找到到了了某某个个漏漏洞洞，就就应应该该重重新新参参考考那那些些通通过过搜搜索索漏漏洞洞和和其其他他可可用用资资源源而而建建立立起起来来的的数数据据库库信信息息。在在真真正正理理解解了了攻攻击击的的本本质质和和什什么么应应从从攻攻击击中中剔剔除除之之前前，可可能能要要花花上上数数个个星星期期来来研研究究源源码码、漏漏洞洞、某某特特定定操操作作系系统统和和其其他他信信息息，这这些些是是不不可可逾逾越越的的。在在攻攻击击中中经经验验和和耐耐心心是是无无法法替替代代的的。一一个个经经过过很很好好计计划划和和可可怕怕的的远远程程攻攻击击，需需要要实实施施者者对对TCPIP以以及及系系统统等等方方面面的的知知识识有有着极深刻的了解。着极深刻的了解。十一、实施攻击十一、实施攻击二、远程攻击的步骤二、远程攻击的步骤获得了对攻击的目标系统的访问权后，可能有下述多种选择：获得了对攻击的目标系统的访问权后，可能有下述多种选择：毁毁掉掉攻攻击击入入侵侵的的痕痕迹迹，并并在在受受到到损损害害的的系系统统上上建建立立另另外外的的新新的的安全漏洞或后门，以便今后继续访问这个系统。安全漏洞或后门，以便今后继续访问这个系统。在在目目标标系系统统中中安安装装探探测测器器软软件件，包包括括特特洛洛伊伊木木马马程程序序，用用来来窥窥探探所所在在系系统统的的活活动动，收收集集黑黑客客感感兴兴趣趣的的一一切切信信息息，如如Telnet和和FTP的帐号名和口令等等。的帐号名和口令等等。发发现现受受损损系系统统在在网网络络中中的的信信任任等等级级，这这样样黑黑客客就就可可以以通通过过该该系系统信任级展开对整个系统的攻击。统信任级展开对整个系统的攻击。如如果果获获得得了了特特许许访访问问权权，那那么么它它就就可可以以读读取取邮邮件件，搜搜索索和和盗盗窃窃私人文件，毁坏重要数据，破坏整个系统的信息。私人文件，毁坏重要数据，破坏整个系统的信息。1、漏洞的概念、漏洞的概念三、系统漏洞漏洞的概念漏洞的概念漏漏洞洞是是指指硬硬件件、软软件件或或策策略略上上的的缺缺陷陷，从从而而可可使使攻攻击击者者能能够够在在未未经经授授权权的的情情况况下下访访问系统。问系统。所有软件都是有错的所有软件都是有错的通通常常情情况况下下99.99%无无错错的的程程序序很很少少会会出出问问题题，利用那利用那0.01%的错误导致的错误导致100%的失败的失败1、漏洞的概念、漏洞的概念三、系统漏洞出现漏洞的原因出现漏洞的原因当当今今的的系系统统功功能能越越来来越越强强，体体积积也也越越做做越越大大。庞庞大大的的系系统统是是由由小小组组完完成成的的，不不能能指指望望每每个个人人都都不不犯犯错错，也也不不能能指指望望无无纰纰漏漏的的合合作。作。加加上上人人的的惰惰性性，不不愿愿意意仔仔细细地地进进行行系系统统的的安安全全配配置置。这这样样一一来来，本本来来比比较较安安全全的的系系统统也也变变的的不不安安全全了了。一一个个简简单单的的例例子子就就是是缺缺省口令。省口令。1、漏洞的概念、漏洞的概念三、系统漏洞漏洞的范围漏洞的范围漏漏洞洞涉涉及及的的范范围围很很广广，涉涉及及到到网网络络的的各各个个环环节节、各各个个方方面面，包包括括：路路由由器器、防防火火墙墙、操操作作系系统统、客客户户和和服服务务器器软软件件。比比如如一一台台提提供供网网上上产产品品搜搜索索的的Web服服务务器器，就就需需要要注注意意操操作作系系统统、数数据据库库系系统统、Web服服务务软软件件及及防防火火墙。墙。1、漏洞的概念、漏洞的概念三、系统漏洞漏洞的时间性漏洞的时间性系统发布系统发布漏洞暴露漏洞暴露发布补丁发布补丁新漏洞出现新漏洞出现一一个个系系统统从从发发布布的的那那一一天天起起，随随着着用用户户的的深深入入使使用用，系系统统中中存存在在的的漏漏洞洞会会被被不不断断暴暴露露出出来来，这这些些早早先先被被发发现现的的漏漏洞洞也也会会不不断断被被系系统统供供应应商商发发布布的的补补丁丁软软件件修修补补，或或在在以以后后发发布布的的新新版版系系统统中中得得以以纠纠正正。而而在在新新版版系系统统纠纠正正了了旧旧版版本本中中具具有有漏漏洞洞的的同同时时，也也会会引引入入一一些些新新的的漏漏洞洞和和错错误误。因因而而随随着着时时间间的的推推移移，旧旧的的漏漏洞洞会会不不断断消失，新的漏洞会不断出现。漏洞问题也会长期存在。消失，新的漏洞会不断出现。漏洞问题也会长期存在。1、漏洞的概念、漏洞的概念三、系统漏洞安全漏洞与系统攻击之间的关系安全漏洞与系统攻击之间的关系 漏洞暴露漏洞暴露（可能的攻击）（可能的攻击）发布补丁发布补丁系系统统攻攻击击者者往往往往是是安安全全漏漏洞洞的的发发现现者者和和使使用用者者，要要对对于于一一个个系系统统进进行行攻攻击击，如如果果不不能能发发现现和和使使用用系系统统中中存存在在的的安安全全漏漏洞洞是是不不可可能能成成功的。功的。1、漏洞的概念、漏洞的概念三、系统漏洞漏洞的类型漏洞的类型（1）管管理理漏漏洞洞-如如两两台台服服务务器器用用同同一一个个用用户户/密密码码，则则入入侵侵了了A服务器后，服务器后，B服务器也不能幸免。服务器也不能幸免。（2）软软件件漏漏洞洞-很很多多程程序序只只要要接接收收到到一一些些异异常常或或者者超超长长的的数数据据和参数，就会导致缓冲区溢出。和参数，就会导致缓冲区溢出。（3）结结构构漏漏洞洞-比比如如在在某某个个重重要要网网段段由由于于交交换换机机、集集线线器器设设置置不不合合理理，造造成成黑黑客客可可以以监监听听网网络络通通信信流流的的数数据据；又又如如防防火火墙墙等等安安全全产产品品部部署署不不合合理理，有有关关安安全全机机制制不不能能发发挥挥作作用用，麻麻痹痹技技术术管理人员而酿成黑客入侵事故。管理人员而酿成黑客入侵事故。（4）信信任任漏漏洞洞-比比如如本本系系统统过过分分信信任任某某个个外外来来合合作作伙伙伴伴的的机机器器，一一旦旦这这台台合合作作伙伙伴伴的的机机器器被被黑黑客客入入侵侵，则则本本系系统统的的安安全全受受严严重重威胁。威胁。20个最危险的安全漏洞个最危险的安全漏洞2002年5月发布（www.sans.org）三类安全漏洞：1）影响所有系统的七个漏洞（G1G7）2）影响Windows系统的六个漏洞（W1W6)3）影响Unix系统的七个漏洞（U1U7）G1-操作系统和应用软件的缺省安装操作系统和应用软件的缺省安装三、系统漏洞软软件件开开发发商商的的逻逻辑辑是是最最好好先先激激活活还还不不需需要要的的功功能能，而而不不是是让让用用户户在在需需要要时时再再去去安安装装额额外外的的组组件件。这这种种方方法法尽尽管管对对用用户户很很方方便便，但但却却产产生生了了很很多多危危险险的的安安全全漏漏洞洞，因因为为用用户户不不会会主主动动的的给给他他们们不不使使用用的的软软件件组组件件打打补补丁丁。而而且且很很多多用用户户根根本本不不知知道道实实际际安安装装了了什什么么，很很多多系系统统中中留留有有安安全全漏漏洞洞就就是是因因为为用用户户根根本本不不知知道道安安装装了了这这些些程序。程序。大多数操作系统和应用程序。大多数操作系统和应用程序。应应该该对对任任何何连连到到Internet上上的的系系统统进进行行端端口口扫扫描描和和漏漏洞洞扫扫描描。卸卸载载不不必必要要的的软软件件，关关掉掉不不需需要要的的服服务务和和额额外的端口。这会是一个枯燥而且耗费时间的工作。外的端口。这会是一个枯燥而且耗费时间的工作。G2-没有口令或使用弱口令的帐号没有口令或使用弱口令的帐号三、系统漏洞易易猜猜的的口口令令或或缺缺省省口口令令是是个个严严重重的的问问题题，更更严严重重的的是是有的帐号根本没有口令。应进行以下操作：有的帐号根本没有口令。应进行以下操作：1审计你系统上的帐号，建立一个使用者列表。审计你系统上的帐号，建立一个使用者列表。2制制定定管管理理制制度度，规规范范增增加加帐帐号号的的操操作作，及及时时移移走走不不再使用的帐号。再使用的帐号。3经经常常检检查查确确认认有有没没有有增增加加新新的的帐帐号号，不不使使用用的的帐帐号号是是否否已已被被删删除除。当当雇雇员员或或承承包包人人离离开开公公司司时时，或或当当帐帐号不再需要时，应有严格的制度保证删除这些帐号。号不再需要时，应有严格的制度保证删除这些帐号。4对对所所有有的的帐帐号号运运行行口口令令破破解解工工具具，以以寻寻找找弱弱口口令令或或没有口令的帐号。没有口令的帐号。G3-没有备份或者备份不完整没有备份或者备份不完整三、系统漏洞从从事事故故中中恢恢复复要要求求及及时时的的备备份份和和可可靠靠的的数数据据存存储储方方式式。应应列列出出一份紧要系统的列表。制定备份方式和策略。重要问题：一份紧要系统的列表。制定备份方式和策略。重要问题：1系统是否有备份？系统是否有备份？2备份间隔是可接受的吗？备份间隔是可接受的吗？3系统是按规定进行备份的吗？系统是按规定进行备份的吗？4是否确认备份介质正确的保存了数据？是否确认备份介质正确的保存了数据？5备份介质是否在室内得到了正确的保护？备份介质是否在室内得到了正确的保护？6是是否否在在另另一一处处还还有有操操作作系系统统和和存存储储设设施施的的备备份份？（包包括括必要的必要的license key）7存储过程是否被测试及确认？存储过程是否被测试及确认？G4-大量打开的端口大量打开的端口三、系统漏洞合合法法的的用用户户和和攻攻击击者者都都通通过过开开放放端端口口连连接接系系统统。端口开得越多，进入系统的途径就越多。端口开得越多，进入系统的途径就越多。netstat 命命令令可可以以在在本本地地运运行行以以判判断断哪哪些些端端口口是是打打开开的的,但但更更保保险险的的方方法法是是对对你你的的系系统统进进行行外外部部的的端端口口扫扫描描.在在众众多多的的端端口口扫扫描描器器中中，最最流流行行的的是是nmap。一一旦旦你你确确定定了了哪哪些些端端口口是是打打开开的的，接接下下来来的的任任务务是是确确定定所所必必须须打打开开的的端端口口的的最最小小集集合合-关关闭闭其其他他端端口口，找找到到这这些些端端口口对对应应的的服服务务，并并关关闭闭/移移走它们。走它们。G5-没有过滤地址不正确的包没有过滤地址不正确的包三、系统漏洞IP地地址址欺欺诈诈。例例如如smurf攻攻击击。对对流流进进和和流流出出你你网网络络的的数据进行过滤。数据进行过滤。1任任何何进进入入你你网网络络的的数数据据包包不不能能把把你你网网络络内内部部的的地地址址作作为为源源地地址址；必必须须把把你你网网络络内内部部的的地地址址作作为为目目的的地地址址。任任何何离离开开你你网网络络的的数数据据包包必必须须把把你你网网络络内内部部的的地地址址作作为为源地址；不能把你网络内部的地址作为目的地址。源地址；不能把你网络内部的地址作为目的地址。3任任何何进进入入或或离离开开你你网网络络的的数数据据包包不不能能把把一一个个私私有有地地址址（private address）或或在在RFC1918中中列列出出的的属属于于保保留留空空间间（包包括括10.x.x.x/8,172.16.x.x/12 或或192.168.x.x/16 和和网络回送地址网络回送地址127.0.0.0/8.）的地址作为源或目的地址。）的地址作为源或目的地址。G6-不存在或不完整的日志不存在或不完整的日志三、系统漏洞安安全全领领域域的的一一句句名名言言是是：预预防防是是理理想想的的，但但检检测测是是必必须须的的。一一旦旦被被攻攻击击，没没有有日日志志，你你会会很很难难发发现现攻攻击击者者都都作作了了什什么么。在在所所有有重重要要的的系系统统上上应应定定期期做做日日志志，而而且且日日志志应应被被定定期期保保存存和和备备份份，因因为为你你不不知知何何时时会会需需要要它。它。查查看看每每一一个个主主要要系系统统的的日日志志，如如果果你你没没有有日日志志或或它它们们不能确定被保存了下来，你是易被攻击的。不能确定被保存了下来，你是易被攻击的。所所有有系系统统都都应应在在本本地地记记录录日日志志，并并把把日日志志发发到到一一个个远远端系统保存。这提供了冗余和一个额外的安全保护层。端系统保存。这提供了冗余和一个额外的安全保护层。不论何时，用一次性写入的媒质记录日志。不论何时，用一次性写入的媒质记录日志。G7-易被攻击的易被攻击的CGI程序程序三、系统漏洞大多数的大多数的web服务器，都支持服务器，都支持CGI程序。程序。1从你的从你的web服务器上移走所有服务器上移走所有CGI示范程序。示范程序。2审核剩余的审核剩余的CGI脚本，移走不安全的部分。脚本，移走不安全的部分。3保保证证所所有有的的CGI程程序序员员在在编编写写程程序序时时，都都进进行行输输入入缓缓冲冲区长度检查。区长度检查。4为所有不能除去的漏洞打上补丁。为所有不能除去的漏洞打上补丁。5保证你的保证你的CGI bin目录下不包括任何的编译器或解释器。目录下不包括任何的编译器或解释器。6从从CGI bin目录下删除目录下删除view-source脚本。脚本。7不不要要以以administrator或或root权权限限运运行行你你的的web服服务务器器。大大多数的多数的web服务器可以配置成较低的权限，例如服务器可以配置成较低的权限，例如nobody.8不要在不需要不要在不需要CGI的的web服务器上配置服务器上配置CGI支持。支持。W1-Unicode漏洞漏洞三、系统漏洞不不论论何何种种平平台台，何何种种程程序序，何何种种语语言言，Unicode为为每每一一个个字字符符提提供供了了一一个个独独一一无无二二的的序序号号。通通过过向向IIS服服务务器器发发出出一一个个包包括括非非法法Unicode UTF-8序序列列的的URL,攻攻击击者者可可以以迫迫使使服服务务器器逐逐字字进进入入或或退退出出目目录录并并执执行行任任意意(程程序序)(script-脚脚本本)，这这种攻击被称为目录转换攻击。种攻击被称为目录转换攻击。Unicode用用%2f和和%5c分分别别代代表表/和和。但但你你也也可可以以用用所所谓谓的的超超长长序序列列来来代代表表这这些些字字符符。超超长长序序列列是是非非法法的的Unicode表表示示符符，它它们们比比实实际际代代表表这这些些字字符符的的序序列列要要长长。/和和均均可可以以用用一一个个字字节节来来表表示示。超超长长的的表表示示法法，例例如如用用%c0%af代代表表/用用了了两两个个字字节节。IIS不不对对超超长长序序列列进进行行检检查查。这这样样在在URL中中加加入入一一个个超超长长的的Unicode序序列列，就就可可以以绕绕过过Microsoft的的安安全全检检查查。如如果果你你在在运运行行一一个个未未打打补补丁丁的的IIS，那那么么你你是是易易受受到到攻攻击的。最好的判断方法是运行击的。最好的判断方法是运行hfnetchk。W2-ISAPI 缓冲区扩展溢出缓冲区扩展溢出三、系统漏洞安安装装IIS后后，就就自自动动安安装装了了多多个个ISAPI extensions。ISAPI，代代表表Internet Services Application Programming Interface，允允许许开开发发人人员员使使用用DLL扩扩展展IIS服服务务器器的的性性能能。一一些些动动态态连连接接库库，例例如如idq.dll，有有编编程程错错误误，使使得得他他们们做做不不正正确确的的边边界界检检查查。特特别别是是，它它们们不不阻阻塞塞超超长长字字符符串串。攻攻击击者者可可以以利利用用这这一一点点向向DLL发发送送数数据据，造造成成缓缓冲冲区区溢溢出出，进进而而控控制制IIS服服务务器。器。安装最新的安装最新的Microsoft的补丁。该漏洞不影响的补丁。该漏洞不影响Windows XP.同同时时，管管理理员员应应检检查查并并取取消消所所有有不不需需要要的的ISAPI扩扩展展。经经常常检查这些扩展没有被恢复。检查这些扩展没有被恢复。请请记记住住最最小小权权限限规规则则，你你的的系系统统应应运运行行系系统统正正常常工工作作所所需需的的最少服务。最少服务。W3-IIS RDS的使用的使用(Microsoft Remote Data Services)三、系统漏洞黑黑客客可可以以利利用用IISs Remote Data Services(RDS)中中的的漏漏洞洞以以administrator权权限限在在远远端端运运行命令。行命令。如如果果你你在在运运行行一一个个未未打打补补丁丁的的系系统统，你你是是易易被攻击的。被攻击的。W4-NETBIOS-未保护的未保护的Windows网络共享网络共享三、系统漏洞Server Message Block(SMB)协协议议，也也称称为为Common Internet File System(CIFS),允允许许网网络络间间的的文文件件共共享享。不不正正确确的的配配置置可可能能会会导导致致系系统统文文件件的的暴暴露露，或或给给予予黑黑客客完完全全的的系系统统访访问权。问权。在在Windows的的主主机机上上允允许许文文件件共共享享使使得得它它们们容容易易受受到到信信息息窃窃贼贼和和某某种种快快速速移移动动的的病病毒毒的的攻击。攻击。三、系统漏洞1在共享数据时，确保只共享所需目录。在共享数据时，确保只共享所需目录。2为为增增加加安安全全性性，只只对对特特定定IP地地址址进进行行共共享享，因因为为DNS名名可以欺诈。可以欺诈。3对对Windows系系统统(NT,2000)，只只允允许许特特定定用用户户访访问问共共享享文文件夹。件夹。4对对Windows系系统统，禁禁止止通通过过空空对对话话连连接接对对用用户户，组组，系系统统配配置置和和注注册册密密钥钥进进行行匿匿名名列列举举。在在W5中中有有更更详详尽尽的的信信息。息。5 对对 主主 机机 或或 路路 由由 器器 上上 的的 NetBIOS会会 话话 服服 务务(tcp 139),Microsoft CIFS(TCP/UDP 445)禁止不绑定的连接。禁止不绑定的连接。6考考虑虑在在独独立立或或彼彼此此不不信信任任的的环环境境下下，在在连连接接Internet的的主主机上部署机上部署Restrict Anonymous registry key。W5-通过空对话连接造成的信息泄露通过空对话连接造成的信息泄露空空对对话话连连接接(null session)，也也称称为为匿匿名名登登录录，是是一一种种允允许许匿匿名名用用户户获获取取信信息息（例例如如用用户户名名或或共共享享文文件件），或或不不需需认认证证进进行行连连接接的的机机制制。explorer.exe利利用用它它来来列列举举远远程程服服务务器器上上的的共共享享文文件件。在在Windows NT和和Windows 2000系系统统下下，许许多多本本地地服服务务是是在在SYSTEM帐帐号号下下运运行行的的，又又称称为为Windows 2000的的LocalSystem。很很多多操操作作系系统统都都使使用用SYSTEM帐帐号号。当当一一台台主主机机需需要要从从另另一一台台主主机机上上获获取取系系统统信信息息时时，SYSTEM帐帐号号会会为为另另一一台台主主机机建建立立一一个个空空对对话话。SYSTEM帐帐号号实实际际拥拥有有无无限限的的权权利利，而而且且没没有有密密码码，所所以以你你不不能能以以SYSTEM的的方方式式登登录。录。SYSTEM有有时时需需要要获获取取其其它它主主机机上上的的一一些些信信息息，例例如如可可获获取取的的共共享享资资源源和和用用户户名名等等典典型型的的网网上上邻邻居居功功能能。由由于于它它不不能能以以用用户户名名和和口口令令进进入入，所所以以它它使使用用空空对对话话连连接接进进入入，不不幸幸的的是是攻击者也可以相同的方式进入。攻击者也可以相同的方式进入。W6-Weak hashing in SAM(LM hash)尽尽管管Windows的的大大多多数数用用户户不不需需要要LAN Manager的的支支持持，微微软软还还是是在在Windows NT 和和 2000系系统统里里缺缺省省安安装装了了LAN Manager口口令令散散列列。由由于于LAN Manager使使用用的的加加密密机机制制比比微微软软现现在在的的方方法法脆脆弱弱，LAN Manager的的口口令令能能在在很很短短的的时时间间内被破解。内被破解。LAN Manager散列的主要脆弱性在于：散列的主要脆弱性在于：长的口令被截成长的口令被截成14个字符个字符 短的口令被填补空格变成短的口令被填补空格变成14个字符个字符口令中所有的字符被转换成大写口令中所有的字符被转换成大写口令被分割成两个口令被分割成两个7个字符的片断个字符的片断另另外外，LAN Manager容容易易被被侦侦听听口口令令散散列列。侦侦听听可可以以为为攻攻击者提供用户的口令。击者提供用户的口令。U1-RPC 服务缓冲区溢出服务缓冲区溢出三、系统漏洞远远程程请请求求（Remote Procedure Calls）允允许许一一台台机机器器上上的的程程序序执执行行另另一一台台机机器器上上的的程程序序。用用来来提提供供网网络络服服务务如如NFS文文件件共共享享。由由于于RPC缺缺陷陷导导致致的的弱弱点点正正被被广广泛泛的的利利用用着着。有有证证据据显显示示，1999年年到到2000年年间间的的大大部部分分分分布布式式拒拒绝绝服服务务型型攻攻击击都都是是在在那那些些通通过过RPC漏漏洞洞被被劫劫持持的的机机器器上上执执行行的的。按按照照下下面面步步骤保护你的系统避免该攻击：骤保护你的系统避免该攻击：1.只只要要允允许许，在在可可以以从从Internet 直直接接访访问问的的机机器器上上关关闭闭或或删删除这些服务除这些服务2.在你必须运行该服务的地方，安装最新的补丁：在你必须运行该服务的地方，安装最新的补丁：3.定期搜索供应商的补丁库查找最新的补丁并立刻安装。定期搜索供应商的补丁库查找最新的补丁并立刻安装。4.在路由或防火墙关闭在路由或防火墙关闭RPC 端口端口(port 111)。5.关闭关闭 RPC loopback 端口端口,32770-32789(TCP and UDP)U2-Sendmail 漏洞漏洞三、系统漏洞Sendmail 是是在在UNIX和和Linux