4网络安全与防火墙技术 北邮课件

主要内容网络安全及防火墙技术北京邮电大学 交换技术与通信网国家重点实验室 宽带网研究中心 典型攻击示例  信息系统安全概述  防火墙技术阙喜戎rongqx@ rongqx@1 交换技术与通信网国家重点实验室宽带网研究中心 2典型攻击示例Windows 2000的登录漏洞 2000的登录漏洞34缓冲区溢出攻击内存映像int abc(int a, ...) { char s[256]; ... scanf(“%s”,s); ... } 栈 的 生 长 方 向 地 址 的 生 长 方 向 SP一个例子 Windows 2000 的登录漏洞函数局部变量 字符缓冲 s[] 函数返回地址SP攻击代码交换技术与通信网国家重点实验室宽带网研究中心5交换技术与通信网国家重点实验室宽带网研究中心61分布式拒绝服务攻击步骤1 分布式拒绝服务攻击步骤1Hacker 不安全的计算机分布式拒绝服务攻击步骤2 分布式拒绝服务攻击步骤2Hacker 被控制的计算机(代理端)1攻击者使用扫描工具 探测扫描大量主机以 寻找潜在入侵目标。

2黑客设法入侵有安全漏洞 的主机并获取控制权。

InternetInternetScanning Program交换技术与通信网国家重点实验室宽带网研究中心 7 交换技术与通信网国家重点实验室宽带网研究中心 8分布式拒绝服务攻击步骤3 分布式拒绝服务攻击步骤3Hacker 被控制计算机（代理端） Master Server分布式拒绝服务攻击步骤4 分布式拒绝服务攻击步骤4Hacker 被控制计算机（代理端） Master Server黑客在得到入侵计算机 清单后，从中选出满足建 立网络所需要的主机，放 置已编译好的攻击程序， 并能对被控制的计算机发 送命令。

3InternetUsing Client program, 黑客发送控制命令给主机， 准备启动对目标系统的攻击4InternetTargeted System交换技术与通信网国家重点实验室宽带网研究中心9交换技术与通信网国家重点实验室宽带网研究中心10分布式拒绝服务攻击步骤5 分布式拒绝服务攻击步骤5Hacker Master Server 被控制计算机（代理端）分布式拒绝服务攻击步骤6 分布式拒绝服务攻击步骤6Hacker Master Server 被控制计算机（代理端）5主机发送攻击信号给被控 制计算机开始对目标系统 发起攻击。

Internet6 目标系统被无数的伪 造的请求所淹没，从而无 法对合法用户进行响应， DDOS攻击成功。

Request Denied UserInternetTargeted System交换技术与通信网国家重点实验室宽带网研究中心 11Targeted System交换技术与通信网国家重点实验室宽带网研究中心122社会工程（social engineering）陷阱 engineering） 攻击者通过讲述一些似是而非的假话，可以从有权访问 的人那里直接得到口令 擅长使用操控计算机使用者而非计算机本身的手法，诱骗使用者上当。

网络钓鱼（Phising ）1 貌似知名银行正式的通知信电子邮件主题范例： Citybank reminder: Please update your date (请与花旗银行确认你的帐户细 节) 假冒对象：Citibank (美国花旗银行) 寄件者：cash@ 邮件内容： Dear Customer: XXXXXXXXXXXXXXXXXXXX please click on the link below: 通常是利用大众的疏于防范的小诡计，让受害者掉入陷 阱，盗取身份识别。

 如：信用卡号、社会安全号码等 如：信用卡号 社会安全号码等 例：  网络钓鱼（Phising ）  通过发送垃圾邮件，采用欺骗方式诱使用户访问一个伪造的 网站（同真正电子银行或电子商务网站一样） 诱使用户下载木马程序或填写个人账号和密码https:///signin/confirmation.jsp 实际造访连结： http://219.148.127.66/scripts/confirmation.htm 所使用的网络钓鱼技巧： 以 HTML 格式进行 URL 掩盖 (URL Cloaking)，以及网址列造假 (Address Bar Spoofing) 防钓第1招：别急着 Click信中网址， 请在浏览器网址列输入网址交换技术与通信网国家重点实验室宽带网研究中心13交换技术与通信网国家重点实验室宽带网研究中心14交换技术与通信网国家重点实验室宽带网研究中心15交换技术与通信网国家重点实验室宽带网研究中心16网络钓鱼（Phising ）2 使用者真正造访的页面显示如下： 网络钓鱼（Phising ）3 出现https为首的某银行官方网站，且连网址都很神似  注意：网址下方有 锁头图标吗？ 凡是以HTTPS(超文书传输协议)为起始的网址，意味着在HTTP通讯协议上 加上SSL保密协议，使得HTTP文件在网际网络传送时，不易遭人窃取。

下图是使用者连到该网站时，一开始所显示的连结，很快的，就会变成图2 所显示的连结，而且是以「https」为开头！ 所显示的连结 而且是以「htt 」为开头！交换技术与通信网国家重点实验室宽带网研究中心17交换技术与通信网国家重点实验室宽带网研究中心183网络钓鱼（Phising ）4 网址列与窗口接合处是否出现过大缝隙？网络钓鱼（Phising ）5 选取网址时连 IE 图标也一并被选取吗？交换技术与通信网国家重点实验室宽带网研究中心19交换技术与通信网国家重点实验室宽带网研究中心20 “勒索程序”是 2005 年 5 月之后才出现的名词，当时出 现了第一个利用恶意加密机制直接向使用者敲诈金钱的 木马病毒 TROJ_PGPCODER.A 悄悄入侵系统自动执行的恶意程序：将档案加密，除非经过解密， 否则这些档案就无法读取  在勒索程序出现之前，网络勒索大多是以大型企业为对象  锁定家庭用户或小型企业，可降低被捕风险 勒索软件 TROJ_PGPCODER.A TROJ_CRYZIP.A TROJ_RANSOM.A TROJ_ARHIVEUS.A 压缩档案 压缩档案，并以 每半小时删除档 密码保护 案 勒索金钱 200美金 200美金 300美金 300美金 ＄10.99 美元 无（到指定线上 药局购买产品） 散播管道 在浏览网站时， 浏览色情网站 垃圾邮件或恶意 浏览色情网站 网页 趁机安装潜入受 害计算机 付赎金管道 Email 联络 e-gold 随机帐号 西联汇款 线上订购交换技术与通信网国家重点实验室宽带网研究中心 21勒索程序针对无线终端设备的攻击(1) 针对无线终端设备的攻击(1)智能化是将来PDA和手机等终端的必然趋势– 攻击者针对手机和PDA发起真正的攻击只是时间问题 攻击者针对手机和PDA发起真正的攻击只是时间问题蓝牙手机存在的安全漏洞– 造成恶意信息的传送向手机发送未被请求的文本信息 下载存储在手机中的所有数据 强迫被攻击手机呼叫第三方绑架方式加密档案– 不在移动电话与移动电话之间传播感染交换技术与通信网国家重点实验室宽带网研究中心22针对无线终端设备的攻击(2) 针对无线终端设备的攻击(2)手机病毒– 是一种计算机程序 – 可利用发送短信、彩信，电子邮件，浏览网站，下载铃声等 方式进行传播 – 导致用户手机修改手机操作界面；导致手机操作系统崩溃(死 导致用户手机修改手机操作界面；导致手机操作系统崩溃( 机)；过量消耗手机电力;自动拨打电话;遥控窃听；盗取手机中 ；过量消耗手机电力;自动拨打电话; 的信息；作为攻击PC网络的跳板 的信息；作为攻击PC网络的跳板、向外发送垃圾邮件等，甚 的信息 作为攻击PC网络的跳板 向外发送垃圾邮件等 甚 作为攻击PC网络的跳板、向外发送垃圾邮件等，甚 至还会损毁 SIM卡、芯片等硬件 SIM卡、芯片等硬件信息系统安全概述手机病毒传播和发作的两个基本的条件– 移动服务商要提供数据传输功能 – 手机能支持Java等高级程序写入功能 手机能支持Java等高级程序写入功能 – 凡是具有上网及下载等功能的手机都满足上面的条件，而普 通非上网手机则少有感染的机会交换技术与通信网国家重点实验室宽带网研究中心 23– 当前计算机网络和信息的安全问题交换技术与通信网国家重点实验室宽带网研究中心244因特网的发展（1 因特网的发展（1） 国际因特网的发展– – – – – 起源于 1969 年（ARPANET） 年（ARPANET） 最初用于军事目的 1993 年开始了商业应用 目前已覆盖近 200 个国家和地区 大量的上网用户和上网计算机因特网的发展（2 因特网的发展（2）因特网发展成功的技术要素– 统一而高效的协议体系（TCP/IP） 统一而高效的协议体系（TCP/IP） – 层次化的网络结构 – 总是能够利用最新的传输技术 – 开放性，使得大量基于TCP/IP的优秀应用软件不 开放性，使得大量基于TCP/IP的优秀应用软件不 断涌现… 断涌现… 我国因特网的现状– – – – –网民 4 2亿（ 2009：2 98亿； 2008： 2 53亿 ） 4.2 4.2亿（ 2009：2.98 2亿（ 2.98亿； 2008： 2.53 98亿； 2.53亿 53亿 手机网民数已有2.77亿 2009：1.17亿；2008： 7305万人） 手机网民数已有2.77亿（ 2009：1.17亿；2008： 7305万人） 国际出口带宽998.2GB/s 国际出口带宽998.2GB/s （ 2009：640.3GB/s ） 2009： 网站总数279万（ 2009：287.8万 网站总数279万（ 2009：287.8万 ； 2008： 191.9 万） 2008： IP地址总数2.5亿，仅次于美国，世界第二 IP地址总数2.5亿，仅次于美国，世界第二自身存在的问题越来越突出– 服务质量问题 – 管理问题 – 安全性问题… 安全性问题…交换技术与通信网国家重点实验室宽带网研究中心 26数据来源：中国互联网络信息中心（CNNIC）， 数据来源：中国互联网络信息中心（CNNIC）， 第二十三次中国互联网络发展状况统计报告（ 2009年 第二十三次中国互联网络发展状况统计报告（ 2009年1月）网络与交换国家重点实验室宽带网研究中心25 1988 年，Morris 在 Internet 上散布蠕虫病毒(Worm)，使当 年，Morris 上散布蠕虫病毒(Worm)，使当 时网上 10%（约 6000 台）计算机瘫痪 10%（约  2000年2月 Yahoo、eBay 等著名网络相继遭受到的大规 Yahoo、网络安全事件的相关报道网络安全事件CERT有关安全事件的统计 CERT有关安全事件的统计年份 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 总数 事件报道数目 6 132 252 406 773 1334 2340 2412 2573 2134 3734 9859 21756 47711模的拒绝服务攻击导致服务中断，在全球范围内引起 了巨大的震动 2003年8月，恶性蠕虫病毒“冲击波” ，利用微软 2003年 RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的 RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的 漏洞进行传播的蠕虫病毒至少攻击了全球 Windows用户，使他们的计算机无法工作并反复重启， Windows用户，使他们的计算机无法工作并反复重启， 大量企业用户也未能幸免。