论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 80 篇帖子 ]  前往页数 1, 2, 3, 4, 5, 6  下一页
作者 内容
 文章标题 : 常见的网络安全事件攻击原理与防范
帖子发表于 : 2008-05-04 16:40 
离线
新手

注册: 2007-06-13 19:08
最近: 2008-05-26 13:20
拥有: 1,125.90 安全币

奖励: 0 安全币
在线: 419 点
帖子: 8
常见的攻击手段与防范方法


附件:
常见的网络安全事件攻击原理与防范.ppt [3.06 MiB]

注意:所有附件下载均需支付10安全币,不足10安全币不能下载!重复下载以前下载过的附件不再需要安全币。


--------本帖迄今已累计获得61安全币用户奖励--------
回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-05-05 12:13 
离线
初级用户

注册: 2007-04-19 10:35
最近: 2013-03-26 17:26
拥有: 9.00 安全币

奖励: 0 安全币
在线: 705 点
帖子: 30
我想看看.


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-02 21:28 
离线
新手

注册: 2008-03-30 12:50
最近: 2011-07-30 09:15
拥有: 0.50 安全币

奖励: 0 安全币
在线: 56 点
帖子: 4
我也要看看


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-03 07:01 
离线
新手

注册: 2008-06-02 14:05
最近: 2008-06-04 13:16
拥有: 24.00 安全币

奖励: 0 安全币
在线: 72 点
帖子: 7
呵呵,都想看,不过想看的同志必须回贴,获安全币,


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-03 11:44 
离线
超级用户

关注按钮

注册: 2007-12-24 16:24
最近: 2013-11-19 11:05
拥有: 3,163.50 安全币

奖励: 2201 安全币
在线: 2538 点
帖子: 511
地址: 北京
绿盟的培训教程ppt
还不错
要看讲的怎么样了


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-05 17:12 
离线
新手

注册: 2008-03-07 15:59
最近: 2011-05-09 00:48
拥有: 34.40 安全币

奖励: 0 安全币
在线: 184 点
帖子: 10
先顶顶.


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-05 23:35 
离线
初级用户

注册: 2007-04-19 03:46
最近: 2015-10-11 13:47
拥有: 678.60 安全币

奖励: 5156 安全币
在线: 3180 点
帖子: 43
不错的培训资料,为了节约大家的安币,提出内容如下:

本次探讨的应急事件
网络设备的攻击与检测防范
网络设备安全部分
• 和主机安全相比较,有较低的发生概率
• 查看系统利用率、设备指示灯状态进行异常分析
• 容易出现问题的情况:缺省配置、错误配置
• 关注无线网网络设备安全
网络设备常见问题
• 利用协议进行攻击
– CDP 协议安全分析
– STP 协议安全分析
– VTP 协议安全分析
• 针对应用进行攻击
– 口令猜测破解
– SNMP 的风险
– 设备自身的缺陷
协议攻击之CDP
• Cisco专用协议,用来发现周边相邻的网络设备
– 可以得到相邻设备名称、操作系统版本、接口数量和类型、接口IP 地址等关键信息

• 在所有接口上默认打开
• 危害
– 任何人可以轻松得到目标网络的拓扑结构信息
• 对策
– 如不需要,禁止CDP
协议攻击之STP
• Spanning Tree Protocol
– 防止交换网络产生回路
– Root Bridge
– BPDU--bridge ID, path cost, interface
• 攻击
– 强制接管Root Bridge ,导致网络逻辑结构改变,在重新生成STP 时,可以使某些端口暂时失效,可以监听大部份网络流量。
– BPDU Flood :消耗带宽,拒绝服务( 间隔时间)
• 对策
– 对User-End 端口,禁止发送BPDU( 或用参数进行控制)
协议攻击之VTP
• Vlan Trunking Protocol
– 统一了整个网络的VLAN 配置和管理
– 可以将VLAN 配置信息传递到其它交换机
– 动态添加删除VLAN
– 准确跟踪和监测VLAN 变化
• 模式
– Server, Client, Transparent
协议攻击之VTP
• 脆弱性
– Domain:
• 只有属于同一个Domain的交换机才能交换Vlan信息
• set vtp domain netpower
– Password:
• 同一domain可以相互通过经MD5加密的password验证,但password设置非必需的,如果未设置password,入侵者可恶意添加或者删除Vlan。
• 对策
– 要设置password
– 将交换机的vtp设置为Transparent 模式:
• set vtp domain netpower mode transparent password sercetvty

应用攻击之口令破解
• Cisco路由器的密码
– 弱加密
– MD5 加密
• Enable secret 5

应用攻击之SNMP
• SNMP
– 版本 SNMPv1 、SNMPv2 、SNMPv3
– Snmp Agent
– MIB

• 有读写权限之分

• 非法攻击措施
– 针对SNMP 口令的暴力破解程序
– 利用读、写口令字获取配置文件、修改配置文件。
应用攻击之设备缺陷
• Cisco的IOS存在缺陷


网络设备防范措施
• 良好的网络建设规划
– IP 分配规划
– 拓扑结构规划

• 对网络设备进行安全加固配置

• 确保使用的协议尽可能的安全

• 使用AAA 加强访问控制和认证

设备的安全配置
• 关闭不必要的应用服务
• 使用强壮的口令
• 加强设备访问的认证与授权
• 升级设备固件(功能)或OS
• 使用访问控制列表
– 限制访问地址
– 限制数据包类型
Cisco为例的登录管理安全配置
• 使用加密的强密码
– service password-encryption
– enable secret pa55w0rd
• 使用分级密码策略(0~7)
– enable secret 6 pa55word
– privilege exec 6 show
– Debug 大量资源
• 使用用户密码策略
– user name password pass privilege exec 6 show

Cisco为例的登录管理安全配置
• 控制网络线路访问
– access-list 8 permit 192.168.0.10
– access-list 8 deny any
– line vty 0 4
– access-class 8 in
• 设置网络连接超时
– Exec-timeout 5 0
• 拨号验证
– CHAP PAP
– 回拨验证

Cisco为例的应用管理安全配置
• 禁用HTTP服务器
– no ip http server
• 禁用CDP 发掘协议
– no cdp run
• 禁用设备的NTP 服务器
– no ntp enable
– 如果用了, 需要验证
• Ntp server seattle( 地址) key 10
• no service finger
• 禁用简单网络管理协议
– no snmp-server enable
– 使用SNMPv3 加强安全特性
– snmp-server enable traps snmp auth md5
Cisco为例的应用管理安全配置
• 认证与日志管理
– logging 设置与不同的服务相关联
– logging 的不同级别
• 使用AAA加强设备访问控制
– AAA概念
• 禁用定向广播
– no ip directed-broadcast
• 禁用ARP代理
– no ip proxy-arp
• 使用IP验证
– Ip verify unicast reverse-path
• 禁用IP源路由选项
– no ip source-route
还需要关注网络布线
• 综合布线系统更会产生问题来增加网络系统的故障率

• 常见问题举例
– 交换机连接线缆构成环路
– 网络线缆中出现“ 幻象”
– 布线工程做的太烂了

拒绝服务攻击检测与防范
DoS类型的划分
DoS 攻击的发展
TCP三次握手原理
• 正常的三次握手建立通讯的过程
SYN Flood 攻击原理
• SYN_RECV状态
• 半开连接队列
– 遍历,消耗CPU和内存
– SYN|ACK 重试
– SYN Timeout:30秒~2分钟
• 无暇理睬正常的连接请求¡ª拒绝服务
ACK Flood 攻击原理
• 大量ACK冲击服务器
• 受害者资源消耗
– 查表
– 回应ACK/RST
• ACK Flood流量要很大才会对服务器造成影响
Connection Flood攻击原理
HTTP Get Flood 攻击原理
分布式拒绝服务(DDoS)
• 以破坏系统或网络的可用性为目的
• 常用的工具:
– Trin00
– TFN/TFN2K
– Stacheldraht

• 很难于防范
• 伪造源地址,流量加密
因此很难跟踪
DoS攻击的检测
• 根据异常情况分析
– 访问量突然剧增,经过sniffer 分析,有大量的非正常的包,如没有正常的tcp 三次握手,或者是三次握手后没有正常的关闭连接,或者大量的广播包,或者大量的icmp 包,这说明极其有可能是遭受DoS 攻击。
– 主机反应很迟钝, 两种可能,一种是流量确实很大,有可能是遭受DoS 攻击,还有就是应用程序编写有误,导致系统资源耗尽。
• 安全设备报警
– 入侵检测、防火墙、防毒软件提示

常规技术面对DDoS事件发生后的尴尬
串联部署
旁路部署
网络欺骗的原理与防御措施
网络欺骗
• 网络设备、网络服务的欺骗
– Yersinia

• IP地址、 MAC地址欺骗
– IP地址冲突问题
– ARP协议之中间人攻击

• 应用层的钓鱼攻击
– 电子邮件欺骗
– 虚假网站欺骗

• 社会工程学
IP地址、 MAC地址欺骗
• IP是网络层的一个非面向连接的协议,伪造IP地址相对容易。
– DoS攻击为其实例
– IP地址冲突
– IP广播风暴

• ARP 协议的安全缺陷
– ARP 风暴
– 中间人攻击


应用层攻击之邮件欺骗
• 交易网站的欺骗邮件
邮件欺骗的检测防范
• 电子邮件头部信息
– 仔细分析可知是否是欺骗性电子邮件,且包含邮件信息的来源

• 采用SMTP 身份验证机制
– 使用与POP 协议收取邮件时相同的用户名/ 密码

• 邮件通信加密
– PGP 加密
应用层攻击之虚假网站
• 以假乱真,视觉陷阱
– 域名类似
www.lcc.com.cn www.1cc.com.cn www.lcc.org.cn
– 姜太公钓鱼,愿者上钩

• 编码混淆
http://210.134.161.35 http://3532038435 http://0xD286A123

• DNS 劫持后再钓鱼

社会工程学
可行的检测对抗措施
• IP、MCA地址变更检测

• 加密通信数据

• 嗅探分析网络现状

• 不定期分析数据包传输路径
– tracert 、traceroute 一下数据包所经过的路径,并与备份的合法路径作比较
网络嗅探的原理与防御措施
嗅探技术概述
• 网络嗅探是指通过获取他人的通信数据,并从中提取重要信息的一种攻击手法

• 间接性
– 利用现有网络协议的缺陷来实现,不直接对目标主机进行任何操作或破坏
• 隐蔽性
– 网络嗅探只对目标主机发出的数据流进行隐蔽的操作,不与其交换信息,也不影响其的正常通信

共享环境下网络嗅探
• 共享环境下的嗅探
– HUB 的工作原理

共享环境下网络嗅探
• 网卡具有四种工作模式:广播、多播、直接和混杂模式,缺省工作模式是广播和直接模式。

交换环境下网络嗅探
• 交换环境下的嗅探
– Switch 工作原理

– 利用了Arp 欺骗原理。发起Arp 欺骗的主机向目标主机发送伪造的Arp 应答包,骗取目标系统更新Arp 表,将目标系统的网关的Mac 地址修改为发起Arp 欺骗的主机Mac 地址,使数据包都经由发起Arpspoof 的主机。


交换环境下网络嗅探







• VLAN环境下的嗅探?
网络嗅探的检测
• 部分IDS产品能够有限度的检测

• IP地址和Mca地址变更检测

• 伪造Ping包的检测思路

• 发送Arp数据包进行检测


网络嗅探的防范
• 分割网段,增加嗅探攻击的成本

• 交换机取代集线器

• 指定静态MAC、IP地址
– 手工输入<IP—MAC> 地址对

• 加密通信内容
– 用SSH 取代TELENT……
僵尸网络原理与检测防范
Botnet的发展过程
• Botnet的雏形
– 20世纪90年代末,随着分布式拒绝服务攻击的成熟,攻击者利用工具控制大量的被感染主机,发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经是Botnet的雏形。

• 基于IRC协议的控制方式成为主流
– 1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现。

• 蠕虫的主动传播技术
– 2003 年之后,随着蠕虫技术的不断成熟,bot的传播开始使用蠕虫的传播技术,从而能够快速构建大规模的Botnet。

• P2P 结构构建控制信道
– Phatbot
Botnet的形成过程
• 主动攻击漏洞

• 邮件病毒

• 即时通信软件

• 恶意网站脚本

• 特洛伊木马
Botnet的危害
• 做发送垃圾邮件的代理

• 用来做拒绝服务攻击平台

• 窃取本机的机密信息

• 资源滥用造成经济损失

Botnet的研究情况
• 借助蜜罐实现分析
– 获取样本做逆向工程
– 分析连接Botnet 所需要的条件
– 伪装的客户端登录到Botnet 中去

• 网络流量研究
– 针对基于IRC 协议的Botnet 做分析



僵尸网络总结
• Botnet
– 是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS) 、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“ 取用” 。

• 发现僵尸网络是非常困难的
– 因为黑客通常远程、隐蔽地控制分散在网络上的“ 僵尸主机” ,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
僵尸网络的示例
僵尸网络防范
• 全面、多层安全防护体系
– 防火墙、入侵保护、防病毒、安全加固

• 听取安全公司的分析意见
– 经验所至
Q&A


--------本帖迄今已累计获得41安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-06 05:11 
离线
初级用户

注册: 2006-09-01 10:53
最近: 2009-08-07 17:14
拥有: 79.10 安全币

奖励: 2 安全币
在线: 1243 点
帖子: 57
精神可嘉


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-10 14:27 
离线
初级用户

注册: 2008-05-21 22:09
最近: 2009-02-25 21:36
拥有: 295.20 安全币

奖励: 0 安全币
在线: 325 点
帖子: 31
不错,学习学习,谢谢楼主!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-10 15:31 
离线
初级用户

注册: 2008-06-10 13:04
最近: 2009-07-03 15:29
拥有: 23.50 安全币

奖励: 0 安全币
在线: 263 点
帖子: 33
好,真好!就是没币


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-10 18:01 
离线
初级用户

注册: 2008-06-10 13:04
最近: 2009-07-03 15:29
拥有: 23.50 安全币

奖励: 0 安全币
在线: 263 点
帖子: 33
一个字,“想看看”


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-12 12:18 
离线
新手

注册: 2008-06-12 12:14
最近: 2008-06-24 07:47
拥有: 0.30 安全币

奖励: 0 安全币
在线: 32 点
帖子: 2
我想看看.


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 常见的网络安全事件攻击原理与防范
帖子发表于 : 2008-07-11 15:11 
离线
新手

注册: 2005-07-16 15:31
最近: 2012-12-27 09:42
拥有: 88.20 安全币

奖励: 0 安全币
在线: 1356 点
帖子: 10
想看看


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-15 19:40 
离线
初级用户

注册: 2008-07-11 13:46
最近: 2008-07-17 21:07
拥有: 49.00 安全币

奖励: 0 安全币
在线: 90 点
帖子: 39
咬咬牙,下吧!说的这么诱惑


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-16 14:37 
离线
高级用户

注册: 2005-12-22 23:23
最近: 2012-02-12 21:37
拥有: 2,062.80 安全币

奖励: 137 安全币
在线: 2129 点
帖子: 176
地址: 北京
收了,研究一下


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 80 篇帖子 ]  前往页数 1, 2, 3, 4, 5, 6  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012