黑客入侵常用方法与防范措施.ppt

黑客入侵常用方法与防范措施.ppt

《黑客入侵常用方法与防范措施.ppt》由会员分享，可在线阅读，更多相关《黑客入侵常用方法与防范措施.ppt（78页珍藏版）》请在冰豆网上搜索。

黑客入侵防范技术综述黑客入侵防范技术综述许榕生许榕生中科院高能物理所计算中心中科院高能物理所计算中心研究员研究员国家计算机网络入侵防范中心国家计算机网络入侵防范中心首席科学家首席科学家010-88257981010-GlobalOpportunities622Mbps+10Gbpsl基于MotorolaDragonBall系列的处理器68k核心：

DragonBall68328、EZ、VZ、SuperVZARM核心：

DragonBallMX1网络存在的安全威胁网络存在的安全威胁网络存在的安全威胁网络存在的安全威胁网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫黒客攻击技术黒客攻击技术黒客攻击技术黒客攻击技术n入侵系统类攻击入侵系统类攻击1.信息窃听信息窃听SnifferSniffer2.口令攻击口令攻击John3.漏洞攻击漏洞攻击WIN/IIS、RPCn缓冲区溢出攻击缓冲区溢出攻击获取获取ROOTROOT口令口令n欺骗类攻击欺骗类攻击n拒绝服务攻击拒绝服务攻击DDOSDDOS1.拒绝服务攻击拒绝服务攻击2.分布式拒绝服务攻击分布式拒绝服务攻击n对防火墙等安全设备的攻击对防火墙等安全设备的攻击n利用病毒攻击利用病毒攻击n木马程序攻击木马程序攻击n后门攻击后门攻击n网络安全防范体系图网络安全防范体系图InternetInternet路由器路由器管理管理平台平台安全监控设备安全监控设备防火墙防火墙IDSIDS防病毒防病毒服务器服务器内部网内部网备份备份系统系统网络隐患网络隐患扫描系统扫描系统陷阱机陷阱机取证取证系统系统其它智能系统其它智能系统广域网的基本概念nn广域网组成：

结点交换机广域网组成：

结点交换机+链路链路结点交换机执行分组存储转发的功能；结点交换机执行分组存储转发的功能；一个结点交换机可连接多个信道。

一个结点交换机可连接多个信道。

nn距离：

广域网相隔几十或几百公里甚至几千公里。

距离：

广域网相隔几十或几百公里甚至几千公里。

提供的两类服务网络隐患扫描网络隐患扫描HP-UXHP-UXScoScoSolarisSolarisNTNT服务器服务器服务器服务器WebWeb服务器服务器服务器服务器NTNT安全管理员安全管理员评估、评估、服务检查、服务检查、攻击性测试、攻击性测试、提交安全建议报告提交安全建议报告等功能等功能网络隐患扫描硬件产品化网络隐患扫描硬件产品化iTOPNet-Scanner网络入侵检测系统网络入侵检测系统IDSHP-UXHP-UXScoScoSolarisSolarisNTNT服务器服务器服务器服务器WebWeb服务器服务器服务器服务器NTNT实时发现、实时发现、发布警报、发布警报、与防火墙与防火墙联动等功能联动等功能分布式IDS架构产品图NIDS产品技术产品技术（一一）nn降低误报率与漏报率降低误报率与漏报率uu基于应用会话的分析检测技术基于应用会话的分析检测技术uu高级模式匹配高级模式匹配uu无阻塞处理无阻塞处理nn实时响应技术实时响应技术uu提供多种响应方式提供多种响应方式uu响应过滤技术响应过滤技术uu防火墙互动开放接口防火墙互动开放接口-OpenNIDSOpenNIDSNIDS产品技术产品技术

（二）nn系统自身保护系统自身保护uu无无IPIP抓包抓包uu响应过滤响应过滤uu模块化模块化uu多重监控多重监控nn应用部署应用部署uu支持双向连接及加密认证支持双向连接及加密认证uu引擎串接部署引擎串接部署参考对比表格项目项目产品产品引擎引擎平台平台检测检测项目项目双向双向连接连接防范防范STICKSTICK警报警报过滤过滤无无IPIP抓包抓包响应响应方法方法RealSecureRealSecureNTNTSolarisSolaris500500600600不支持不支持不支持不支持支持支持支持支持R,V,L,M,R,V,L,M,O,SO,SeTrusteTrustNTNT300300不支持不支持支持支持不支持不支持支持支持R,V,L,MR,V,L,MO,SO,SNISDetectorNISDetectorLinuxLinux300300不支持不支持不支持不支持不支持不支持支持支持R,V,LR,V,L天阗天阗天阗天阗LinuxLinux？

不支持不支持？

不支持不支持支持支持R,V,L,M,R,V,L,M,TT天眼天眼LinuxLinux850850支持支持支持支持TCPTCP数据攻击数据攻击警报过滤警报过滤支持支持支持支持R,V,L,M,R,V,L,M,T,S,O,GT,S,O,GNIDS技术体系结构网络入侵检测系统示意图简单网络环境复杂网络环境安全产品的性能问题规则集膨胀产品性能降低流量增加网络入侵监控系统网络入侵监控系统IMSHP-UXHP-UXScoScoSolarisSolarisNTNT服务器服务器服务器服务器WebWeb服务器服务器服务器服务器NTNT指定指定IP、实时发现、实时发现、制止阻断制止阻断IP包的格式普通用户普通用户HUB/SWITCH普通用户普通用户HUB/SWITCHHUB路由器/网关监控系统Internet网络入侵取证系统网络入侵取证系统nIFS识别识别识别识别保存保存保存保存分析分析分析分析提交提交提交提交国际计算机网络安全技术交流国际计算机网络安全技术交流FIRSTFIRST年会介绍年会介绍nnFIRSTFIRSTFIRSTFIRST（ForumofIncidentResponseandSecurityTeamsForumofIncidentResponseandSecurityTeamsForumofIncidentResponseandSecurityTeamsForumofIncidentResponseandSecurityTeams）nn计计算机网算机网络络事件响事件响应应和安全和安全组织论坛组织论坛。

旨在。

旨在联联络络全世界的网全世界的网络络安全安全组织组织以及以及专专家，家，针对针对日益日益严严重的网重的网络络安全安全课题课题采取技采取技术术及管理及管理对对策的高策的高级级研研讨讨会。

会。

nn该该会会议议已在世界各地召开已在世界各地召开过过，其中包括：

法国，其中包括：

法国的的图卢兹图卢兹、美国的芝加哥、澳大利、美国的芝加哥、澳大利亚亚的布里斯的布里斯班、墨西哥的蒙特雷、英国的布班、墨西哥的蒙特雷、英国的布鲁鲁斯托斯托尔尔以及以及美国加州的克拉拉。

美国加州的克拉拉。

nn每届都有来自每届都有来自3030多个不同国家的大致多个不同国家的大致300300多位多位参加者，我国代表近几年参加会议参加者，我国代表近几年参加会议。

nn近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集中几个方面主要集中几个方面：

1.1.取证方面：

相关的技术报告有：

取证方面：

相关的技术报告有：

11）ForensicDiscoveryForensicDiscovery（取证的发现）；取证的发现）；22）文件系统的内部结构调查导引；文件系统的内部结构调查导引；33）WindowsXPWindowsXP客户端的取证功能；客户端的取证功能；44）计算机取证在网络入侵调查中的重要作用；）计算机取证在网络入侵调查中的重要作用；55）计算机取证协议与步骤的标准化；）计算机取证协议与步骤的标准化；66）Pdd:

Pdd:

手持式操作系统设备的存储映像与手持式操作系统设备的存储映像与取证分析。

取证分析。

近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集中几个方面主要集中几个方面：

2.2.传统安全防护技术和手段的报告，如：

传统安全防护技术和手段的报告，如：

11）使用个人防火墙加固安全防范；）使用个人防火墙加固安全防范；22）使用）使用EtherealEthereal实现入侵检测；实现入侵检测；33）电子商务的安全：

保护）电子商务的安全：

保护WebWeb应用；应用；44）ESAESA网络安全策略的设计、处理及其实现；网络安全策略的设计、处理及其实现；55）NASIRCNASIRC公告板实现方法和公告板实现方法和PKIPKI；66）UDPUDP扫描的问题；扫描的问题；77）一种防止绕过）一种防止绕过NIDSNIDS的适应规则评估算法的适应规则评估算法（AREARE）；）；88）识别路由器配置中的安全漏洞；）识别路由器配置中的安全漏洞；近年近年FIRSTFIRST年会讨论的热点内容年会讨论的热点内容主要集中几个方面主要集中几个方面：

3.3.事件或具体攻击的分析研究报告事件或具体攻击的分析研究报告：

一个全球性一个全球性InternetInternet蠕虫事件的调查；蠕虫事件的调查；911911事件的相关情况报告；事件的相关情况报告；DoSDoS攻击数据流量的分析；攻击数据流量的分析；SYNDEF:

SYNDEF:

战胜战胜DoS/DDoSSYNDoS/DDoSSYN洪水攻击的一种方法。

洪水攻击的一种方法。

4.4.与法律相关的报告：

与法律相关的报告：

CERTsCERTs新的合法性问题讨论；新的合法性问题讨论；CSIRTCSIRT培训：

合法性问题；培训：

合法性问题；版权侵范问题版权侵范问题-未来十年事件响应的最大挑战；未来十年事件响应的最大挑战；5.5.标准方面的报告：

标准方面的报告：

CVECVE的研究进展报告；的研究进展报告；传统防范工具的局限传统防范工具的局限nn防火墙用于网络隔离与过滤，仅类似于门岗。

防火墙用于网络隔离与过滤，仅类似于门岗。

nn大多数入侵检测系统（大多数入侵检测系统（IDSIDS）依赖于网络数据依赖于网络数据的片断，从法律的角度来看证据不够完整；但的片断，从法律的角度来看证据不够完整；但可以将可以将IDSIDS看作盗贼警报。

看作盗贼警报。

=网络取证网络取证设备如视频相机用来捕获盗贼的行设备如视频相机用来捕获盗贼的行踪记录证据，通过分析报告或者提交法庭、或踪记录证据，通过分析报告或者提交法庭、或者提供加强防卫的具体措施。

者提供加强防卫的具体措施。

入侵取证取证取证（Forensic）Forensic）nn针对计算机入侵与犯罪进行证据获取、保存、分析和出示的科学与技术。

nn证据的分析可以看作是对受侵计算机系统进行详细的解剖过程，对入侵的事件过程进行重建。

nn所提供的计算机证据与分析必须能够给法庭呈堂供证。

取证科学取证科学nn取证技术的有效性和可靠性以及取证专家基于科学分析的结果所得出的报告将作为法庭判决至关重要的依据。

nn整个取证过程中需要遵照操作规程和协议以确保证据进行过正确的分析并保证自始至终没有被篡改过。

入侵取证技术动态入侵取证技术动态nn1995年的一项美国SecretService调查报告指出，7070的法律部门拥有自己的计算机取证实验室，美国国防部至少在六年前就存在计算机取证实验室（CFLab），近年来披露出丰富的实用工具与产品。

nn中国至今还缺乏入侵取证方面专门有效的产品。

2121世纪的网络安全管理与取证技术世纪的网络安全管理与取证技术13届FIRST年会报告nnForensicForensic（取证）的定义取证）的定义nn计算机犯罪斗争中的体系结构、计算机犯罪斗争中的体系结构、IDSIDS和取证技术和取证技术nn一种新的取证范例一种新的取证范例nn案例研究案例研究-IISIIS漏洞（漏洞（20012001年中美黑客大战年中美黑客大战）2002年安然事件年安然事件Guardent公司入侵取证模型入侵取证模型法律基准法律基准证据的法律和法规证据的法律和法规技术基准技术基准分分析析策策略略技术解决方案技术解决方案

（一）网络入侵取证网络取证的设计与有关步骤网络