信息与网络系统安全现状与威胁.pptx

《信息与网络系统安全现状与威胁.pptx》由会员分享，可在线阅读，更多相关《信息与网络系统安全现状与威胁.pptx（73页珍藏版）》请在咨信网上搜索。

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,-,*,Copyright,2001 X-Exploit Team,X-Exploit Team,www.x-,Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,-,*,Copyright,2001 X-Exploit Team,X-Exploit Team,www.x-,信息安全博士后科研工作站,马东平 博士,-10-23,信息与网络系统安全现实状况与威胁,Version 3,Copyright,X-Exploit Team,X-Exploit Team,www.x-,信息与网络系统安全现状与威胁,第1页,概述,主要威胁,主要原因,结束语,日程安排,信息与网络系统安全现状与威胁,第2页,Internet,Business,Value,Expanded Access Heightened Security Risks,Explosion In,E-Business,Intranet,Internet,Access,Internet,Based Extranet,电子商务,网络教育,供给链管理,呼叫中心,信息战,网络驱使商业发展,信息与网络系统安全现状与威胁,第3页,INTERNET冲击波,信息技术革命改变了传统经济运作模式，国家安全保障方式与日常生活组织方式,等同火创造,继农业和工业革命之后第三大技术革命,世界变得如此之大，同时也变得如此之小,人类社会对,Internet,依赖性越来越大,信息与网络系统安全现状与威胁,第4页,全部联网计算机与其它末端设备，不论处理与通信能力大小，不论其所处位置，均赋予唯一,IP,地址，网络连接是面向,IP,，而网络本身是非面向连接；,网络由自治系统组成，,Routing,问题在自治系统内外分别考虑，因而能够分块独立建网和管理；,信息按照内容相互链接机制，推进了信息海洋真正形成，反过来推进,Internet,发展。,三个基本思想,信息与网络系统安全现状与威胁,第5页,高可靠性,高安全性,电子商务,网络教育,供给链管理,呼叫中心,Public WWW,Server,Campus Backbone,Hua-Tech,Firewall,Intranet,Servers,Gateway,Sales,Office,Headquarters,Internet,Mainframe,新访问需求,高扩展性,新应用需求,商业发展对网络提出更高要求,信息与网络系统安全现状与威胁,第6页,信息窃探,病毒困扰,拒绝服务,未授权访问,数据拦截,Nimuda,Code Red II,ILOVEYOU,Computer Virus,Strikes Worldwidw,-CNN,TFN2K,Several Web Sites,Attacked,Following Assault,On Yahoo,-New York Times,AOL Boosts Email,Security After,Attack,-C/NET,威胁驱使安全意识提升,信息与网络系统安全现状与威胁,第7页,第一次(1997)：印尼金融危机、排华反华,第二次（1999.05):北约轰炸我驻南使馆,第三次（1999.07）:李提“两国论”,第四次（.02）:日本右翼事件/教科书,第五次（.2）:日航歧视华人事件,第六次（.05）:中美撞机事件,国内外网络安全事件回顾,信息与网络系统安全现状与威胁,第8页,黑客攻击澳洲政府网站,美一企业信用卡数据库遭黑客攻击,美国国会图书馆周一遭黑客攻击,黑客向,VISA,信用卡集团敲诈1000万美金,英国电脑黑客勒索跨国企业,黑客直闯美国核武器试验室,盗走30万人信用卡资料黑客敲诈10万美元,黑客攻击,FBI,网站,美黑客封杀参院网址联调局落闸求自保,怀柔县政府信息网受黑客攻击,黑客攻击塔斯社,西门子数字署名卡被黑客破解,美环境保护署成为黑客目标,英国保守党私人银行户口遭黑客入侵,黑客攻击罗马尼亚财政部网站,美国黑客攻击最少4个军事站点,小黑客大闹白宫网站,黑客攻击小布什竞选宣传网站,巴基斯坦黑客组织“攻陷”本国政府,近期网络安全事件回顾,黑客入侵美国,C-SPAN,有线电视网站,黑客频频敲诈银行,黑客攻击纳斯达克网站,俄国黑客闯进美军电脑,俄罗斯黑客闯进美国军事禁区,黑客入侵美国,C-SPAN,有线电视网站,“黑客”攻击,Hotmail,美国一网上黑客被判刑,黑客再次攻陷计算机安全网站,台“经济部”网站遭黑客攻击,北欧黑客攻击美军电脑,凯文-米特尼克电脑黑客案“私了”,DenCon,黑客大会网站被黑,美夏威夷州政府网站遭黑客攻击,NSI,企业网站遭黑客攻击,黑客攻击加拿大核武控制室,黑客攻击美军方主要网站,美国陆军站点被黑,美风暴预报中心网站被黑,黑客首次成功入侵微软网页,黑客入侵南非统计站点,信息与网络系统安全现状与威胁,第9页,信息与网络系统安全现状与威胁,第10页,安全威胁动向,参加作战,北约教授动用黑客攻击塞族电信基础设施,俄罗斯黑客在网上对北约宣战，攻击了北约很多相关军事目标站点,攻击军事，政治目站点,FBI，能源部，白宫，环境保护部，政府,陆军等军事,信息与网络系统安全现状与威胁,第11页,安全威胁动向,银行，证券，电子商务等商业站点,VISA,信用卡集团,英国保守党私人银行,团体威胁悄悄走来,政府组织,信息战,信息与网络系统安全现状与威胁,第12页,攻击群体在改变,个体到有组织群体改变,网络安全威胁六大改变,攻目标在改变,有军事敌对目标向民用目标转变,攻击目标在改变,有个人表现无目标到有意识有目标攻击改变,技术伎俩在改变,个人独自思索到有组织技术交流，培训改变,攻击者数量在改变,当前数目达数百万人至多,信息与网络系统安全现状与威胁,第13页,信息系统面临安全威胁,Copyright,X-Exploit Team,X-Exploit Team,www.x-,信息与网络系统安全现状与威胁,第14页,威胁动机,恶作剧,闲极无聊又具备一定技能，总想访问全部感兴趣站点,扬名,证实自己实力，得到同类尊敬与认可,报复,被停职，辞退，降职或不公正待遇，进行报复，后果很可怕,无知,正在学习计算机和网络，无意中发觉一个弱点漏洞可能造成数据摧毁或执行误操作,利益驱动,为获巨额酬劳受雇于人，帮人攻入目标系统偷窃或篡改信息,政治目标,破坏，窃取情报，信息战,信息与网络系统安全现状与威胁,第15页,计算机病毒,特洛伊木马/后门程序,黑客入侵,蓄意破坏,来自内部攻击（90%相关）,线路窃听/截取,辐射窃密,其它犯罪,Application,Transport,Network,Link,威胁方式方法,信息与网络系统安全现状与威胁,第16页,黑客与攻击方法改变,信息与网络系统安全现状与威胁,第17页,安全事件趋势统计,信息与网络系统安全现状与威胁,第18页,1988-1989,Year,1988,1989,Incidents,6,132,Year,1990,1991,1992,1993,1994,1995,1996,1997,1998,1999*,Incidents,252,406,773,1,334,2,340,2,412,2,573,2,134,3,734,9,859,1990-1999,Year,Q1-Q3,Incidents,21,756,34,754,-,Total incidents reported(1988-Q3,):,82,465,Number of incidents reported,信息与网络系统安全现状与威胁,第19页,1995-1999,Year,1995,1996,1997,1998,1999*,Vulnerabilities,171,345,311,262,417,Year,Q1-Q3,Vulnerabilities,1,090,1,820,-,Total vulnerabilities reported(1995-Q3,):,4,416,Vulnerabilities reported,信息与网络系统安全现状与威胁,第20页,无毒程序,P,进入,P,V,V,P,P,P,P,P,P,P,P,P,P,P,P,P,P,P,P,P,P,P,P,P,V,P,V,P,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,V,P,系统有毒,程序带毒,计算机病毒,信息与网络系统安全现状与威胁,第21页,尼姆达,Nimda v5,一个新型恶意蠕虫“,Nimda”（,又称“概念病毒(,CV)v.5”）,正在广泛传输。,它影响全部未安装补丁,Windows,系统，破坏力极大。,该蠕虫使用各种路径进行传输：,经过,email,邮件传输。经过网络共享传输,经过主动扫描并攻击未打补丁,IIS,服务器传输,经过浏览被篡改网页传输,这个蠕虫传输利用了以下四个安全漏洞：,微软,IE,异常处理,MIME,头漏洞,IE,在处理,MIME,头中“,Content-Type:”,处指定一些类型时，存在问题，攻击者能够 利用这类缺点在,IE,客户端执行任意命令.,Microsoft IIS Unicode,解码目录遍历漏洞,微软,IIS 4.0,和,IIS 5.0,在,Unicode,字符解码实现中存在一个安全漏洞，造成用户 能够远程经过,IIS,执行任意命令,Microsoft IIS CGI,文件名错误解码漏洞,微软,IIS 4.0/5.0,在处理,CGI,程序文件名时存在一个安全漏洞，因为错误地对文件名 进行了两次解码，攻击者可能利用这个漏洞执行任意系统命令,“CodeRedII”,和,Sadmind/IIS,蠕虫留下后门程序,蠕虫危害:,产生大量垃圾邮件,用蠕虫副本替换系统文件,可能影响,word,frontpage,等软件正常工作,严重降低系统以及网络性能,创建开放共享，大大降低了系统安全性,将,Guest,帐号赋予管理员权限，降低了系统安全性,信息与网络系统安全现状与威胁,第22页,红色代码,Code Red and Code Red II,概述,一个能够快速传输蠕虫。它利用微软,IIS web,服务器一个远程漏洞:微软,Index Server(.ida/idq)ISAPI,扩展远程溢出漏洞(,MS01-033)，,这个蠕虫会在被感染系统上放置后门程序，因 此它造成危害更大。它也使用了一个更为有效传输机制，使它能够更加快地感染其它主机。在受感染,Windows,系统上，这个蠕虫能够获取系统(,system),级权限，并会留下后门。因为蠕虫代码不适用,Windows NT,系统，所以可能造成,Windows NT,系统上,IIS,服务瓦解,。,信息与网络系统安全现状与威胁,第23页,红色代码,Code Red and Code Red II,蠕虫特征：,被蠕虫攻击系统，可能会在,web server,日志中留下以下统计：/,default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%uc bd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0,这与,Code Red,蠕虫留下统计非常相同：/,default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%uc bd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0,注意：假如您发觉这么统计，并不表示您系统已经被感染了。只是表示蠕虫试图攻 击过您系统。因为蠕虫没有对,web,服务器类型进行识别，所以很多,UNIX,系统下,web,服务器也会受到攻击。假如蠕虫攻击成功，在,IIS,日志中应该是看不到上述统计。,。被蠕虫感染主机上，会存在以下后门程序：,C:explorer.exe,D:explorer.exe,蠕虫也会将%,SYSTEM%CMD.EXE,文件复制到,IIS“scripts”,和“,MSADC”,目录内，并更名为,root.exe。,一旦被这个蠕虫感染，您,web,服务器负荷或者网络流量可能会异常增大。,。在受到蠕虫攻击后，您,IIS 4.0,服务可能会停顿。,信息与网络系统安全现状与威胁,第24页,潜伏代码,满足条,件否？,监视,满足而,爆炸,易损芯片,软件后门,政治目,满足而,爆炸,伊拉克打印机,香港银行系统,.,间谍程序，后门,信息与网络系统安全现状与威胁,第25页,系统分析-端口扫描,Port Scan,弱点漏洞利用-技术入侵,Vulnerabilities,特洛伊木马,Trojan,蠕虫,Worm,隐蔽通道,Pipe，,后门,Backdoor，,嗅探器,Sniffer,强力攻击,Bruteforce,拒绝服务,DOS/,分布式,DOS,电子坑骗,IP Spoofing,社会工程,Social Engineering,黑客攻击,信息与网络系统安全现状与威胁,第26页,确定攻击目标,网络或网络主机,搜集目标相关信息,帐号、路由、域名及自治系统,目标前期侦察与摸底,服务、弱点漏洞、调试与编译环境、用户权限、组属关系、防护情况,网络攻击普通过程,信息与网络系统安全现状与威胁,第27页,试探式攻击,取得初步进入目标系统条件,实施攻击,获取足够访问权,访问系统,获取信息,周围系统分析,信任主机分析、网络拓扑结构分析,网络攻击普通过程,信息与网络系统安全现状与威胁,第28页,后门安插与隐蔽,嗅探器、后门、特洛伊木马等,消去痕迹,日志、审计、暂时文件、暂时环境、网络监控等清理,网络攻击普通过程,信息与网络系统安全现状与威胁,第29页,网络攻击三要素,技术,普通技术/特定技术,机会,弱点漏洞/误操作/不妥配置,动机,报复/恶作剧/经济利益/政治目标/,信息与网络系统安全现状与威胁,第30页,特洛伊木马,Trojan,一个未经授权程序，或在正当程序中有一段未经授权程序代码，或在正当程序中包含有一段用户不了解程序功效。,Trojan,对用户来说含有恶意行为。,Client/Server,程序,控制系统,信息与网络系统安全现状与威胁,第31页,常见Trojans,信息与网络系统安全现状与威胁,第32页,TCP SYN Attack,Ping of Death,消耗系统资源(带宽、内存、队列、,CPU),当机,阻止授权用户正常访问服务(慢、不能连接、没有响应),CPU,拒绝服务,DOS,信息与网络系统安全现状与威胁,第33页,常见拒绝服务,信息与网络系统安全现状与威胁,第34页,分布式拒绝服务,DDOS,攻击者,攻击者,主控端,主控端,主控端,代理端,代理端,代理端,代理端,代理端,代理端,攻击目标,信息与网络系统安全现状与威胁,第35页,常见分布式拒绝服务,DDOS,Trinoo,TFN2K,TFN,stacheldraht,客户端、主控端和代理端主机相互间通讯时使用以下端口：1524tcp27665 tcp27444 udp31335 udp,客户端、主控端和代理端主机相互间通讯时使用,ICMP ECHO,和,ICMP ECHO REPLY,数据包。,客户端、主控端和代理端主机相互间通讯时并没有使用任何指定端口（在运行时指定或由程序随机选择），但结合了,UDP、ICMP,和,TCP,数据包进行通讯。,16660,tcp65000 tcpICMP ECHOICMP ECHO REPLY,探测漏洞、入侵系统、安装后门和rootkit,大量常规拒绝服务工具混合执行,信息与网络系统安全现状与威胁,第36页,确省帐户,Telnetd,FTPd,Rexecd,Rlogind,尝试用从,Finger,和,Rusers,搜集到信息,强力攻击,Bruteforce,信息与网络系统安全现状与威胁,第37页,利用网络和系统弱点漏洞，经过命令，程序等技术方法获取系统超级用户权限或者较高权限，以到达控制系统目标方法。,技术入侵,信息与网络系统安全现状与威胁,第38页,返回出口,程序区,数据区,堆栈区,Shell,程序,Shell,入口,mount,Shell,程序,Shell,程序,Shell,程序,Shell,程序,Shell,程序,Shell,程序,Shell,程序,Shell,程序,Shell,程序,Shell,程序,Shell,程序,Shell,程序,Shell,程序,Shell,入口,缓冲区溢出,进入操作系统,取得系统权限,转,SHELL,入口指定地址,经过造成缓冲区溢出并用指定地址覆盖返回地址而进入指定程序方式来取得系统权限。,更新操作,系统版本,技术入侵-缓冲区溢出方法,信息与网络系统安全现状与威胁,第39页,用于检验系统中可能存在缺点和服务及设置管理方面弱点。,操作系统类型分析,开放端口分析,系统旗标分析,系统帐号分析,系统敏感文件分析,系统弱点漏洞分析,法律上禁止使用,Nmap，ISS,扫描器常规入侵工具,信息与网络系统安全现状与威胁,第40页,John,s,Bank,Account,Bob,I am John,Please,Send Cash$,John,接管或终止服务会话,X,接管会话,信息与网络系统安全现状与威胁,第41页,以搭线窃听、电磁泄露捕捉、信息流分析等为伎俩进行信息非法获取行为。,线路窃听与截取,信息与网络系统安全现状与威胁,第42页,搭线,窃听,捕包,linsniff,sniffit,tcpdump,收音机,+,MODEM,建立屏蔽办法，预防硬件窃听,数据加密，预防破译,特定软件可查获窃听者,辐射窃密,信息与网络系统安全现状与威胁,第43页,We Do Not Know What Is Addressed,And What Is Not!,Modem,Access,Router,Comms,The World,The World,External/Unstructured,External/Structured,Internal/Structured,Internal/Unstructured,Firewall,&,Router Configuration,Only Partial Reduction,(,Maybe 30%Vulnerability,Reduction),内部人员威胁,信息与网络系统安全现状与威胁,第44页,攻击层次分析,信息与网络系统安全现状与威胁,第45页,社会工程,电话坑骗（IP地址，系统类型，口令）,社会调查，情报工作,拉关系,目标：搜集信息，获取进入系统权限,信息与网络系统安全现状与威胁,第46页,Copyright,X-Exploit Team,X-Exploit Team,www.x-,威胁主要原因,信息与网络系统安全现状与威胁,第47页,不安全原因,模块层次结构、动态连接、打补丁、安全管理,网络安装、传输程序,创建进程、远端进程创建、特权继承,RPC（,远程过程调用）,NFS（,网络文件系统）,DAEMON（,等候进程）,DEBUG,开放端口、隐蔽通道,系统集成与开放和安全有矛盾,Sendmail,Java applets,ActiveX,操作系统脆弱性,信息与网络系统安全现状与威胁,第48页,Bruteforce,文件获取,强力攻击,TFTP(,简单文件传输协议),TFTP,是一个用于传输小文件文件传输协议，它没有用户和口令认证，假如提供此功效，则系统中配置文件和,Passwd,文件可能会被窃取；,NFS（,网络文件系统),POP3(,办公邮件协议),FTP(,文件传输协议),Telnet(,远程登录),Rsh(,远程,Shell),Rexec(,远程执行),Rlogin(,远程注册)。,普通,Unix,操作系统都有一些缺省帐号，这些缺省帐号有有缺省口令，有没有口令。假如存在这些缺省帐号，而且提供后七类中任何一个和几个服务，则服务器可能被侵入。,信息与网络系统安全现状与威胁,第49页,Daemon,Finger,进程,Finger,进程输出信息使黑客能够猜证系统存在帐户名；,Rsh,进程,Rsh,进程是允许用户执行远程,Shell,命令，假如系统帐号和口令被取得，则可统过此进程获取系统中一些信息；,Rwho,进程,Rwho,进程主要是用来定时广播系统中当前已登录用户信息，经过此进程能够取得其它主机已登录用户信息；,TFTP,进程,TFTP,进程主要用来传输小文件，在传输文件之前不做任何正当性认证，利用此进程可能获取系统配置文件和帐号文件；,UUCP,进程,UUCP,进程是用来,Unix,到,Unix,拷贝文件，假如配置不完善会出现安全方面问题；,NNTP,进程,NNTP,是网络新闻传输协议，普通情况下，,NNTP,进程只允许用户读新闻，而不能写，假如允许公开写，则会存在数据泛滥危险性；,SNMP,进程,SNMP,进程主要用来支持网络管理，假如使用是公开关键字如：,public,private，,则入侵者可经过它来获取相关系统信息。,信息与网络系统安全现状与威胁,第50页,RPC,RPC Stated,服务,因为,RPC Stated,服务进程对从远程,Lockd,中接收到信息不做认证，入侵者能够利用此漏洞发送远程过程调用，造成他可在系统上创建和删除任何文件；,NIS,服务,NIS(,网络信息服务)包含了主机名、口令文件、整个网络邮件别名等数据，它允许远程用户获取,NIS,口令文件副本，假如,NIS,域名被找到，能够经过猜测到口令获取未被认证信息；,Admind,服务,在缺省配置下，,Admind,服务进程运行在不安全模式中，在此模式下，入侵者有可能访问到口令文件，而且可修改口令文件；,BootParam,服务,BootParam,服务普通情况下用于无盘工作站，入侵者经过引导参数协议取得域名，利用域名经过,NIS,可取得口令文件；,NetStat,服务,NetStat,服务进程能够给入侵者提供相关开放端口和被信任主机信息；,Rstat,服务,Rstat,服务进程能够给入侵者提供机器服务器开启时间、有几个,CPU、,和有多少个磁盘等信息；,Ruser,服务,Ruser,服务进程能够查看服务器相关登录帐户信息。,信息与网络系统安全现状与威胁,第51页,NFS,NFS,共享目录输出,NFS,共享目录输出信息给入侵者提供了系统哪些目录可共享，而且提供了共享权限，如只读权限或读写权限等；,NFS,可写,NFS,可写是,NFS,共享目录可被任意人写，入侵者利用此弱点能够任意修改文件系统中文件；,NFS,对全部用户可安装,NFS,对全部用户可安装是,NFS,共享输出目录能够被任意人连接到当地机器上，此弱点可能使入侵者能获取文件系统中数据；,NFS CD.,NFS CD.,漏洞是允许客户进入共享输出目录上一级目录，使客户能够访问服务器全部文件系统。,信息与网络系统安全现状与威胁,第52页,NFS,每人可装载,端口匹配可装载,文件柄猜测,UID,Mknod,CD.,NFS,信息与网络系统安全现状与威胁,第53页,防火墙,Sendmail,强力攻击,无纪录,FTP,NFS,路由器,其它,网络系统脆弱性,信息与网络系统安全现状与威胁,第54页,IP协议,data,TCP/UDP header,IP header,Header,length,Type of service,Total length in bytes,Identification,3 bit,flags,13 bit fragment offset,Time to live,Protocol ID,Header checksum,Source IP address,Destination IP address,Version,0 Bit,16 Bit,32 Bit,信息与网络系统安全现状与威胁,第55页,服务器,SYN BIT SET，SEQ#=65,ACK#66，SYN BIT SET，SEQ#=102,ACK#103,数据传输,客户机,TCP/IP连接建立过程,信息与网络系统安全现状与威胁,第56页,拒绝服务,DOS,攻击名称,被利用弱点,SYN Flood,需要为TCP连接分配内存，从而使其它功效不能分配足够内存。,三次握手，进行了两次(SYN)(SYN/ACK)，不进行第三次握手（ACK）,连接队列处于等候状态，大量这么等候，占满全部队列空间，系统挂起。60s系统自动RST,但系统已经瓦解。,Ping of Death,IP应用分段使大包不得不重装配，从而造成系统瓦解。,偏移量+段长度65535，系统瓦解，重新开启，内核转储等,Land,TCP连接建立。目标主机地址作为源地址和目标地址，并以目标主机上同一端口作为源端口和目标端口来发送TCP SYN包（连接开启）。系统以某种方式挂起。,Teardrop,分段攻击。利用了重装配错误，经过将各个分段重合来使目标系统瓦解或挂起。,SMURF,网络上广播通信量泛滥，从而造成网络堵塞。攻击者向广播地址发送大量坑骗性ICMP ECHO请求，这些包被放大，并发送到被坑骗地址，大量计算机向一台计算机回应ECHO包，目标系统将会瓦解。,信息与网络系统安全现状与威胁,第57页,TCP/IP序号坑骗,171.71.1.6,171.71.3.7,完成,TCP,连接,使用171.71.1.6作为源来发起,TCP,有效,TCP,连接,拒绝服务攻击,信息与网络系统安全现状与威胁,第58页,IP,Spoofing,TCP,序列号可预测性漏洞,TCP,序列号可预测性漏洞是指经过预测,TCP,序列号，经过发送伪装成信任主机,TCP,包，坑骗服务器，使服务器不能为正当用户提供正常服务；,SOCKS,规则漏洞,SOCKS,规则漏洞是指允许原来不能经过包经过，假如,SOCKS,是在防火墙中，可使入侵者透过防火墙访问服务器;,口令猜证漏洞,口令猜证漏洞是指服务器中需要用户/口令认证服务，允许无限制重试，利用此弱点入侵者能够猜测系统中帐号名称和口令。,信息与网络系统安全现状与威胁,第59页,SMTP,低版本漏洞,有些低版本,SendMail,服务进程因为程序不完善，出现了如缓冲益出问题,后门问题,Debug,模式支持;,配置问题,SendMail,配置比较复杂，因为配置问题出现漏洞，如：,SendMail,Expn,和,Vrfy,命令没相关闭，使黑客用来猜证系统中建立用户；,远程执行功效,远程执行功效主要是,SendMail,服务进程在,Mail From：,和,Rcpt To:,域中支持管道线功效，黑客利用此功效获取超级用户权限，或获取系统中敏感文件。,信息与网络系统安全现状与威胁,第60页,Sendmail,Debug and Wizard(调试和导向板),Aliases(假名),Pipe(管道),Identd(标识),8lgm(8个小绿人),信息与网络系统安全现状与威胁,第61页,服务器,客户机,FTP,数据连接,FTP,控制连接,Internet,FTP操作过程,信息与网络系统安全现状与威胁,第62页,FTP,上载弱点,上载就是允许客户将文件传送到服务器，此弱点对连接在互联网上服务器来言，大量数据涌入服务器，致使服务器磁盘空间被填满，造成系统不能正常工作；,参数溢出,参数溢出主要是在,PASV,方式下，因为执行不完善命令，造成系统,Core Dump,而使系统瓦解；,远程执行漏洞,远程执行功效假如允许执行诸如,cat，cp,等能浏览和拷贝文件命令，则系统存在很大危险性，入侵者能够利用此功效获取系统中敏感文件，或改变系统中配置文件；,获取超级用户权限,获取超级用户权限主要是有些,FTP,服务进程支持,CD root,命令，此命令可使普通用户取得超级用户权限。,信息与网络系统安全现状与威胁,第63页,NetBIOS,对全部些人完全共享,对全部些人完全共享，这是在,WindowNT,共享时缺省配置，他对全部可访问该主机用户提供完全访问权限；,对,Guest,用户完全共享,对,Guest,用户完全共享，,Guest,帐号是,WinNT,缺省帐号，它有缺省口令，假如系统提供对,Guest,用户完全访问权限，入侵者可经过,Guest,帐号注册到服务器获取信息或修改数据；,没有访问控制共享,没有访问控制共享，是指没有正当认证共享，在网络上任何用户都可访问，此弱点在,Win95,上常见；,对全部些人可写,对全部些人可写是指对全部可访问该服务器用户含有对共享目录写权限，此弱点可能会使被共享目录中文件被篡改或删除；,对,Guest,用户可写,对,Guest,用户可写是指经过,Guest,帐号注册就能获取共享资源写权限；,NetBios,空会话,NetBios,空会话经过长度为零用户名和口令注册获取对服务器访问权。,信息与网络系统安全现状与威胁,第64页,NT,User,管理员帐户,NT,系统管理员帐号缺省是,Adminitrator，,有些管理员在安装系统时，为了方便，不给管理员帐号设口令或设置了与帐号同名口令或用机器名作口令等轻易被猜测口令，一但服务器域名被发觉，入侵者很轻易进入系统，获取数据或破坏系统；,Guest,帐户,Guest,帐户在系统缺省状态下，是打开，且没有口令，即使它权限比较低，但经过,Guest,注册进入系统也能获取很多信息；其它用户指新建立域名用户，假如新建立用户帐号口令被轻易猜中，会给系统带来很大危险；,其它用户和口令安全规则,口令安全规则指是要求口令最小长度和最大长度，及使用时间范围；假如口令长度很短，很轻易经过词典猜证程序猜出指定用户口令。,信息与网络系统安全现状与威胁,第65页,P,roxy/DNS,WWW,服务代理,WWW,服务代理存在漏洞主要是在旧版本代理程序中，主要是允许入侵者远程执行命令，经过越过代理程序访问未被授权服务器；,代理扫描,代理扫描是经过防火墙扫描,WWW、FTP、E_MAIL,服务器；假如能够检测出这些服务器弱点，则防火墙代理存在漏洞；,DNS,动态更新,DNS,动态更新漏洞是允许名字服务器信息能够动态更新，造成入侵者破坏系统；,DNS,错误序号,DNS,反向查询,DNS,反向查询是指,DNS,支持反向查询同时和防火墙在一起，造成防火墙性能下降，出现一些漏洞。,信息与网络系统安全现状与威胁,第66页,WWW,CGI,程序漏洞,CGI,程序漏洞包含,PHF,程序，它允许执行任意命令，包含获取口令文件，有些,WWW,服务器在,cgi-bin,目录下存放,sh,perl test-cgi,程序，这些程序使入侵者能够取得对系统访问权；,IIS,中.,bat,和.,Cmd,文件漏洞,IIS,中.,bat,和.,Cmd,文件漏洞是指利用,IIS,不能处理.,bat,和.,Cmd,文件错误，利用这些错误可使入侵者在,WWW,服务器上执行命令；,目录中没有索引文件漏洞,目录中没有索引文件漏洞是指在,WWW,服务目录中没有,HTML,格式索引文件。,信息与网络系统安全现状与威胁,第67页,Firewall/Router,SOCKS,配置漏洞,SOCKS,配置漏洞是指因防火墙配置不完善，使本不应该经过包经过，致使服务器接收不正当访问；,普通强力攻击,普通强力攻击包含,TCP,序列号预测，,RPC,直接扫描。,TCP,序列号预测能够坑骗服务器，,RPC,直接扫描能够越过防火墙111端口封锁；,帐户登录强力攻击,帐户登录强力攻击主要是对防火墙及其它服务器进行重复登录试验；,服务拒绝攻击,服务拒绝攻击经过向主机发送大量同时数据包能够造成缓冲区和日志文件一溢出，使防火墙功效失灵。,信息与网络系统安全现状与威胁,第68页,Firewall/Router,防火墙,Source Porting,(,源头寻址),Source Routing,(,源头路由),SOCKs(,嵌套管),TCP,序列预测 (伪,IP),远程过程访问 直接扫描,防火墙拒绝服务测试,TCP/IP,信息与网络系统安全现状与威胁,第69页,没有统一安全策略（没法可依）,没有按照安全策略要求去做（执法不严）,组织混乱,安全管理脆弱性,信息与网络系统安全现状与威胁,第70页,结束语,Copyright,X-Exploit Team,X-Exploit Team,www.x-,信息与网络系统安全现状与威胁,第71页,关于,X-Exploit Team,www.x-,Copyright,X-Exploit Team,X-Exploit Team,www.x-,信息与网络系统安全现状与威胁,第72页,X-Exploit Team,一支由信息安全博士、博士后组成博士团体,一支由专业安全技术人员组成安全团体,一支不从政，不经商，专注安全学术学术团体,一支既不高傲自大，也不妄自菲薄，只求扎扎实实作技术求实团体,一支从事安全体系结构、安全模型、安全策略等基础理论研究贡献团体,一支专注密码工程、弱点漏洞、攻击模式、攻击方法等工程技术研究工程团体,一支,欢迎加入,X-Exploit Team,www.x-,信息与网络系统安全现状与威胁,第73页,