网络安全ppt
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
▪ IIS的安全检查列表
IIS 被“红色代码”利用的漏洞
▪ IIS 的一些ISAPI扩展
• .dlls 提供一些扩展功能
• 微软IIS在缺省安装情况下带了一个索引服务 器(Index Service)。缺省安装时,IIS支持两 种脚本映射:管理脚本(.ida文件)、Inernet数 据查询脚本(.idq文件)。这两种脚本都由一个 ISAPI扩展——idq.dll来处理和解释
网络攻击
▪ 拒绝服务攻击Dos
• 协议缺陷
▪ Ping of Death ▪ OOB缺陷WinNuke
• Flood攻击
▪ UDP Flood ▪ SYN Flood ▪ IGMP Flood ▪ 大量网络应用服务请求 ▪ 垃圾邮件
• 系统内部缺陷 • 计算机病毒和木马程序 • 口令破解 • 网络欺骗(DNS欺骗、会话劫持) • 缓冲区溢出
搜集网络信息的常用工具
• Finger • Whois • Nslookup • Dig • Ping • Traceroute • Pathping
▪ VisualRoute ▪ Smartwhois ▪ SamSpade ▪ NeoTracePro
网络扫描
▪ TCP/IP协议的套节字和系统服务 ▪ TCP和UDP ▪ 系统服务的banner信息 ▪ 端口扫描的类型
▪ 企业级的防病毒产品
Symantec Nortan Antivirus企业版
▪ 病毒防火墙 ▪ 网关防病毒产品
• 邮件服务器
▪ 防止其它类型入侵
Windows 2000系统的安全策略
▪ 文件系统格式NTFS ▪ 停止系统内部不必要的服务 ▪ 严格帐户管理,去除不必要的帐户 ▪ 设定文件权限,严格文件的共享和读写权 ▪ 为所有用户配置口令策略 ▪ 定期检查安全列表checklist
▪ 严重的是idq.dll是以SYSTEM身份运行 的,可利用此漏洞取得系统管理员权限
应对方法
▪ 微软在2001年6月份发布的修复程序 MS01-033
系统漏洞
▪ 例:Windows 2000输入法漏洞 ▪ 服务器上的应用代码保护 ▪ 对策
• 定期的安全扫描 • 及时更新安全补丁 • 停止系统上不必要的服务 • 控制好文件访问权限
Βιβλιοθήκη Baidu
分布式拒绝服务攻击
▪ 模型 ▪ 事件 ▪ 对策
• 木马的防治 • 入侵检测系统 • 网络流量和服务器负荷的监视 • 路由器或防火墙的配置
▪ 字典文件 ▪ 网格计算 ▪ 对策
计算机病毒和木马程序
▪ 历史 ▪ 种类
• 引导区病毒 • 文件病毒 • 多变形病毒 • 宏病毒 • 网络病毒
网络环境下的病毒
• 传播快速,无法全面清除 • 来源多样,更新快速 • 危害巨大
▪ 电子邮件 ▪ 文件下载 ▪ 及时通讯系统 ▪ 网络资源共享
几种历史上的主要病毒
端口扫描程序
▪ 主动、被动探测 ▪ Superscan ▪ Nmap ▪ 天眼
漏洞扫描
网络安全扫描程序
▪ Nessus ▪ ISS Scanner ▪ NAI CyberCop Scanner ▪ Shadow Scanner ▪ 国产
对抗网络扫描的手段
▪ 系统补丁Patch ▪ 禁止与系统服务信息有关的回应 ▪ 停止系统服务 ▪ 安装防火墙软件或者个人防火墙软件 ▪ 使用入侵检测系统 ▪ 提供系统安全的日志和审计功能 ▪ 一些小而有效的技巧
网络安全
安全很重要
▪ 实际上你很无奈
• “你要力图保护的是些什么资源 ?” • “你需要防范谁 ?” • “你究竟需要什么级别的安全 ?”
黑客Hacker
▪ Cracker和Hacker
• Kevin Mitnick • 小莫里斯
▪ 网络入侵事件 ▪ 网络攻击事件 ▪ 网络安全维护人员和黑客之间的关系 (白帽子和灰帽子)
• Windows系统 • IIS系统
▪ 记录日志配置审计功能 ▪ 安装防病毒软件和个人防火墙软件 ▪ 安装系统补丁 ▪ 使用安全扫描程序 ▪ 搞好系统备份和恢复机制
• 磁盘拷贝技术 • 双机备份系统或者群集系统 • 备份主机 • 学会数据恢复技术
如何保证IIS的安全
▪ 案例:
• Red Code 蠕虫病毒 • 尼母达 Nimada
缓冲区溢出
▪ 原理
• 边界检查 • 堆栈 • 网络服务请求
▪ 对策
• 安全编程知识 • 使用代码的质量 • 安全的编译器和函数库和代码检查工具
口令破解
▪ 口令的处理方法
• UNIX • Windows系统
▪ 98的.pwl文件 ▪ NT和2000的散列表文件 ▪ PWDump.exe ▪ 网络侦听
网络侦听Sniffer
▪ 原理
• 网卡的工作模式 • 广播域 • 集线器、交换机和路由器
通用Sniffer
▪ Tcpdump ▪ NAI Sniffer Pro ▪ Net X-Ray ▪ Iris ▪ NetMonitor ▪ CommView ▪ 网络协议分析仪(Flock、HP公司)
专用Sniffer
▪ 冲击波(RPC漏洞) ▪ Nimda ▪ RedCode (可以攻击IIS) ▪ 美莉莎 ▪ BO2000 (木马程序) ▪ CIH (破坏BIOS病毒) ▪ Dir2 (多变形病毒) ▪ Stone (引导区病毒)
病毒的发现和防&治
▪ 病毒的扫描(静态、被动) ▪ 病毒防火墙(动态、主动) ▪ 病毒库 ▪ 免疫技术 ▪ 全面的策略 ▪ 建立病毒处理机制 ▪ 网络端口的扫描
▪ 口令Sniffer ▪ SMB Sniffer L0phtcrack ▪ 其它服务的Sniffer ▪ Dsniff
交换网络下的Sniffer
▪ 交换机的原理 ▪ 伪造MAC地址 ▪ 细化VLAN
对抗Sniffer
▪ AnfiSniff ▪ 防止ARP欺骗 ▪ 数据加密通讯
• SSH • SSL • VPN • PGP
IIS 被“红色代码”利用的漏洞
▪ 漏洞: idq.dll在一段处理URL输入代码中 存在一个未经检查的缓冲区,如果攻击 者提供一个特殊格式的URL,就可能引 发一个缓冲区溢出。
▪ 一个攻击者与有这样的idq.dll存在的 server建立web会话,通过此会话发出 缓冲区溢出攻击,并在web server上执 行代码。
IIS 被“红色代码”利用的漏洞
▪ IIS 的一些ISAPI扩展
• .dlls 提供一些扩展功能
• 微软IIS在缺省安装情况下带了一个索引服务 器(Index Service)。缺省安装时,IIS支持两 种脚本映射:管理脚本(.ida文件)、Inernet数 据查询脚本(.idq文件)。这两种脚本都由一个 ISAPI扩展——idq.dll来处理和解释
网络攻击
▪ 拒绝服务攻击Dos
• 协议缺陷
▪ Ping of Death ▪ OOB缺陷WinNuke
• Flood攻击
▪ UDP Flood ▪ SYN Flood ▪ IGMP Flood ▪ 大量网络应用服务请求 ▪ 垃圾邮件
• 系统内部缺陷 • 计算机病毒和木马程序 • 口令破解 • 网络欺骗(DNS欺骗、会话劫持) • 缓冲区溢出
搜集网络信息的常用工具
• Finger • Whois • Nslookup • Dig • Ping • Traceroute • Pathping
▪ VisualRoute ▪ Smartwhois ▪ SamSpade ▪ NeoTracePro
网络扫描
▪ TCP/IP协议的套节字和系统服务 ▪ TCP和UDP ▪ 系统服务的banner信息 ▪ 端口扫描的类型
▪ 企业级的防病毒产品
Symantec Nortan Antivirus企业版
▪ 病毒防火墙 ▪ 网关防病毒产品
• 邮件服务器
▪ 防止其它类型入侵
Windows 2000系统的安全策略
▪ 文件系统格式NTFS ▪ 停止系统内部不必要的服务 ▪ 严格帐户管理,去除不必要的帐户 ▪ 设定文件权限,严格文件的共享和读写权 ▪ 为所有用户配置口令策略 ▪ 定期检查安全列表checklist
▪ 严重的是idq.dll是以SYSTEM身份运行 的,可利用此漏洞取得系统管理员权限
应对方法
▪ 微软在2001年6月份发布的修复程序 MS01-033
系统漏洞
▪ 例:Windows 2000输入法漏洞 ▪ 服务器上的应用代码保护 ▪ 对策
• 定期的安全扫描 • 及时更新安全补丁 • 停止系统上不必要的服务 • 控制好文件访问权限
Βιβλιοθήκη Baidu
分布式拒绝服务攻击
▪ 模型 ▪ 事件 ▪ 对策
• 木马的防治 • 入侵检测系统 • 网络流量和服务器负荷的监视 • 路由器或防火墙的配置
▪ 字典文件 ▪ 网格计算 ▪ 对策
计算机病毒和木马程序
▪ 历史 ▪ 种类
• 引导区病毒 • 文件病毒 • 多变形病毒 • 宏病毒 • 网络病毒
网络环境下的病毒
• 传播快速,无法全面清除 • 来源多样,更新快速 • 危害巨大
▪ 电子邮件 ▪ 文件下载 ▪ 及时通讯系统 ▪ 网络资源共享
几种历史上的主要病毒
端口扫描程序
▪ 主动、被动探测 ▪ Superscan ▪ Nmap ▪ 天眼
漏洞扫描
网络安全扫描程序
▪ Nessus ▪ ISS Scanner ▪ NAI CyberCop Scanner ▪ Shadow Scanner ▪ 国产
对抗网络扫描的手段
▪ 系统补丁Patch ▪ 禁止与系统服务信息有关的回应 ▪ 停止系统服务 ▪ 安装防火墙软件或者个人防火墙软件 ▪ 使用入侵检测系统 ▪ 提供系统安全的日志和审计功能 ▪ 一些小而有效的技巧
网络安全
安全很重要
▪ 实际上你很无奈
• “你要力图保护的是些什么资源 ?” • “你需要防范谁 ?” • “你究竟需要什么级别的安全 ?”
黑客Hacker
▪ Cracker和Hacker
• Kevin Mitnick • 小莫里斯
▪ 网络入侵事件 ▪ 网络攻击事件 ▪ 网络安全维护人员和黑客之间的关系 (白帽子和灰帽子)
• Windows系统 • IIS系统
▪ 记录日志配置审计功能 ▪ 安装防病毒软件和个人防火墙软件 ▪ 安装系统补丁 ▪ 使用安全扫描程序 ▪ 搞好系统备份和恢复机制
• 磁盘拷贝技术 • 双机备份系统或者群集系统 • 备份主机 • 学会数据恢复技术
如何保证IIS的安全
▪ 案例:
• Red Code 蠕虫病毒 • 尼母达 Nimada
缓冲区溢出
▪ 原理
• 边界检查 • 堆栈 • 网络服务请求
▪ 对策
• 安全编程知识 • 使用代码的质量 • 安全的编译器和函数库和代码检查工具
口令破解
▪ 口令的处理方法
• UNIX • Windows系统
▪ 98的.pwl文件 ▪ NT和2000的散列表文件 ▪ PWDump.exe ▪ 网络侦听
网络侦听Sniffer
▪ 原理
• 网卡的工作模式 • 广播域 • 集线器、交换机和路由器
通用Sniffer
▪ Tcpdump ▪ NAI Sniffer Pro ▪ Net X-Ray ▪ Iris ▪ NetMonitor ▪ CommView ▪ 网络协议分析仪(Flock、HP公司)
专用Sniffer
▪ 冲击波(RPC漏洞) ▪ Nimda ▪ RedCode (可以攻击IIS) ▪ 美莉莎 ▪ BO2000 (木马程序) ▪ CIH (破坏BIOS病毒) ▪ Dir2 (多变形病毒) ▪ Stone (引导区病毒)
病毒的发现和防&治
▪ 病毒的扫描(静态、被动) ▪ 病毒防火墙(动态、主动) ▪ 病毒库 ▪ 免疫技术 ▪ 全面的策略 ▪ 建立病毒处理机制 ▪ 网络端口的扫描
▪ 口令Sniffer ▪ SMB Sniffer L0phtcrack ▪ 其它服务的Sniffer ▪ Dsniff
交换网络下的Sniffer
▪ 交换机的原理 ▪ 伪造MAC地址 ▪ 细化VLAN
对抗Sniffer
▪ AnfiSniff ▪ 防止ARP欺骗 ▪ 数据加密通讯
• SSH • SSL • VPN • PGP
IIS 被“红色代码”利用的漏洞
▪ 漏洞: idq.dll在一段处理URL输入代码中 存在一个未经检查的缓冲区,如果攻击 者提供一个特殊格式的URL,就可能引 发一个缓冲区溢出。
▪ 一个攻击者与有这样的idq.dll存在的 server建立web会话,通过此会话发出 缓冲区溢出攻击,并在web server上执 行代码。