华东师大网络基础建设 常潘 pchang@ecnu.edu.cn
主要内容介绍 系统漏洞及常见网络攻击手段 病毒(蠕虫)技术发展及防范 木马技术介绍及防范措施 托管服务器的建议 2 此页列出学习本课程需要达到的目标。 此页胶片仅在授课时使用,胶片+注释中有单独的文字说明课程目标,不需要再使用该页胶片。 2
微软安全漏洞 2007年 69个 2008年78个 2009年已经发布49个漏洞补丁 3 此页为了让学员和老师对课程安排有一个大致的了解。 此页列出本课程的主要培训标题,列出每章的名称即可。如果章下面的节不多,在此页可以一并列出。 此页胶片仅在授课时使用,胶片+注释中有专门的目录和标题,不需要重复使用该页面。 3
面对漏洞我们应该怎么做? 打补丁。以往的统计数字表明,及时打补丁能有效防止大多数病毒爆发。 攻击名称 补丁发布日期 攻击开始日期 可利用时间 Worm.sasser 2004年4月13日 2004年5月1日 18天 MS Blaster 2003年7月15日 2003年8月10日 26天 Trojan.Kaht 2003年3月17日 2003年5月5日 49天 SQL Slammer 2002年7月24日 2003年1月24日 184天 Klez-E 2001年3月29日 2002年1月17日 294天 Nimda 2000年10月17日 2001年9月18日 336天 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 4
怎样打补丁? 对用户进行安全培训,形成定期更新系统的习惯。 Windows系统尽量开启自动定时更新,以减少网络管理人员的工作量。 对重要系统实行手动更新,更新前做好备份和记录工作。 在需要打补丁的系统数量多的情况下,使用补丁管理系统,实现补丁的扫描、分发和安装。 系统管理服务器(Systems Management Server) 终端服务(Terminal services) AppExpress、Landesk 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。
病毒的分类 1995年以前 1996 - 1998年 1999年以後 引导区病毒 DOS 病毒 Windows 病毒 宏病毒 Script 病毒 Java 病毒 1999年以後 特洛伊木马、蠕虫、 恶作剧程序、 黑客工具 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 6
攻击和威胁转移到服务器和互连网网关,对之提出新的安全挑战 当今病毒演化趋势 病毒演化趋势 邮件/互联网 Code Red Nimda Goner 2001 2002… 邮件 Bubbleboy Melissa 1999 2000 Love Letter 1981 物理介质 Apple 1,2,3 Brain 1986 1994 Good Times 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 攻击和威胁转移到服务器和互连网网关,对之提出新的安全挑战 7
病毒的发展趋势 病毒更新换代向多元化发展 依赖网络进行传播 攻击方式多样(邮件,网页,局域网等) 利用系统漏洞成为病毒有力的传播方式 病毒与黑客技术相融合 伪装的更巧妙。 svchost.exe等,看起来和系统程序很接近 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 8
病毒的危害 占用系统资源,使被感染主机运行速度变得极为缓慢甚至崩溃,正常应用无法运行。 占用大量网络带宽,甚至使网络瘫痪。 对特定著名服务器发动DOS攻击。如微软、yahoo、google等。 反复重启系统,如冲击波、震荡波等 攻击防病毒软件。 放置木马、后门,偷取商业信息及个人、企业用户的隐私。 其他 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 9
病毒入侵途径 Firewall Router Internet/HTTP 中毒的网站主机 Internet/HTTP 网页夹带HTTP病毒指令 Firewall Router 用户机虽已经安装防病毒软件,但病毒(HTTP指令格式)经由网页浏览,透过IE的安全性漏洞,直接感染用户机 有安装防毒软件的用户机 10
病毒的应对措施 病毒防治,对学校而言已是一个整体安全问题,不再是单纯的买几套装软件就可以解决问题的。 学校需要集中管理 Central Control。 系统维护, 病毒特征码定期,及时更新... 找出并有效防堵所有病毒入侵管道。 11
如何才能有效防治病毒 预防为主 + 紧急措施 控制传染源 建立局域网内部的升级系统,包括各种操作系统的补丁升级,各种常用的软件升级,各种杀毒软件病毒库的升级。 对邮件服务器进行监控,防止带毒邮件进行传播。 对局域网用户进行安全培训 去掉服务器中不必要的共享和服务 控制传染源 Internet网关 90%病毒的入侵渠道 网络客户机 其余10%病毒的入侵渠道 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 12
如何才能有效防治病毒 控制病毒的扩散途径 客户端、PC安装反病毒防火墙 培训,养成不打开来历不明的邮件的习惯。尤其不要打开附件。 邮件服务器 Web服务器 文件服务器 客户端、PC安装反病毒防火墙 培训,养成不打开来历不明的邮件的习惯。尤其不要打开附件。 选择最快的升级途径,包括对操作系统和反病毒软件的升级。 通过Internet升级进行每天/每小时的升级 企业网内防毒产品自动部署机制 安装,随时升级 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 13
如何才能有效防治病毒 集中的管理 集中的病毒警报机制 集中的安全产品部署、策略部署和升级机制 集中的系统日志、报告机制 14 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 14
最危险的病毒--木马 木马,其实质只是一个非法的、未经许可安装和运行的网络客户端/服务器程序。 有明确的窃取敏感信息和恶意控制主机的意图,如窃取银行帐户密码。 非常隐蔽,非专业人员很难发现其踪迹。 难以清除。 对受害者造成的损失巨大。 15
凡是你在PC前所说、所做的一切,都有可能被记录! 偷窥用户信息 凡是你在PC前所说、所做的一切,都有可能被记录! 木马具有捕获每一个用户屏幕、每一次键击事件的能力。 完全的控制宿主主机。可以打开摄像头、麦克风,并将得到的图像、声音传给木马控制者(2004.6发现的蜜蜂大盗)。 带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包 随意操控PC本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,甚至进行银行转帐操作。 16
校园网现有核心出口拓扑结构图 盗取包括工商银行、招商银行、建设银行、交通银行、深圳发展银行、民生银行、华夏银行、上海银行等银行及付费通、支付宝、中国在线支付网、银联支付网关等三家网上支付机构的帐号、密码、验证码等 每隔10毫秒检查一次用户是否正在使用涉及到的银行“个人网上银行”的登陆界面 记录用户键入的所有键盘记录 每隔60秒搜索一次记录数据,然后把窃取到的信息以get方式发送到指定的http://*****.com/****/get.asp 17
木马的植入 利用系统漏洞,远程下载并执行木马安装程序。 捆绑在下载的其他软件中,用户安装该软件的同时安装木马,特别是各种破解软件、所谓绿色版软件。 伪装为其他软件(如小工具、漂亮的屏保等)。 利用IE漏洞可以通过Script、ActiveX及Asp、PHP、Cgi等交互脚本的方式植入。 电子邮件(如谎称是朋友寄给你的贺卡等)。 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 18
木马的隐藏及启动 在任务栏里隐形 在任务管理器里隐形 无进程、无端口的DLL(动态链接库)木马 自动启动(注册表、win.ini、system.ini等) 捆绑到其他的程序上(如打开某个盘符) Dll的形式注入到系统服务中,随服务的启动而启动 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 19
木马的反弹技术及多线程技术 反弹技术:由木马服务端主动连接客户端,因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑,并且可以穿过防火墙,例如灰鸽子。 一个木马同时运行多个线程。例如:三个线程,其中一个为主线程,负责远程控制的工作。另外两个为辅助线程,其中一个辅助线程称为监视线程,它负责检查木马程序是否被删除和是否被停止自启动。 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 20
木马病毒的防范 不要打开来历不明的文件,包括邮件附件和P2P软件发过来的文件。 非必须打开的服务、端口全部关闭。 保持操作系统的更新,减少漏洞。 安装个人防火墙软件。 下载软件要到可信的知名网站。并仔细阅读安装说明,如果为https网站,要检查安全证书的授权 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 21
是否中木马 留意系统一些可疑状况,如系统速度突然变慢、CPU利用率上升、没有进行任何网络相关操作时、网络连接显示在接收和发送数据、硬盘频繁读盘等。 无法获取IP地址、可以ping通,但不能浏览网页 使用工具(如netstat -a、TcpView等)查看是否有可疑的连接 查看c:\、c:\windows、c:\windows\system、 c:\windows\system32等位置有没有可疑文件 查看注册表特定位置有没有可疑的信息 22
发现木马后的处理 立即断开网络连接 所有在本机使用过的账号和密码都要马上更改,例如网上银行,拨号连接,ICQ,FTP,你的个人站点,免费邮箱等等 根据发现的线索确定木马的名称版本,在备份好重要数据之后,用专杀工具或手动清除木马。 实在不行后,重装系统往往是最快和最有效的办法 23
清除木马的过程 停止木马进程,无法停止的话则需要进入安全模式。 清除自启动的途径,包括注册表、 autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等 删除木马体,如冰河的kernel32.exe、sysexplr.exe 清除文件关联 使用工具 木马克星 Trojan Remover 24
我校提供的安全措施 Windows自动更新 杀毒软件 建议用户安装的软件 请访问http://202.120.80.12,下载update.exe执行后重启系统,会立即下载各种安全漏洞补丁 杀毒软件 http://norton.ecnu.edu.cn,安装杀毒软件。 建议用户安装的软件 360安全卫士 Windows defender 25
对各部门托管服务器及虚拟空间的要求 为防止托管服务器死机以及重新安装操作系统的便捷性,我们从上学期开始要求新托管的服务器必须配备远程控制卡,一旦死机,远程可以直接重新启动服务器以及安装操作系统 托管服务器要能每天登录查看补丁及病毒库的更新状况 托管服务器能每天备份数据到另外一台机器 托管服务器的超级用户要重命名,防止口令猜测攻击 更改远程桌面的端口号,最好不使用3389端口 开启防火墙服务,只允许80和远程桌面端口及ping 采用sql server的系统,最好能将网页的sql验证改为windows集成认证,同时设置强sa密码。access数据库为了防止下载,最好改成不规则的命名,同时将.mdb改为.asp或.aspx 26
对各部门托管服务器及虚拟空间的要求 应用软件的选择:能够使用jsp编写的尽可能选择jsp,操作系统也尽可能选择非windows系统,网页最好不用从网站上下载模板,因为模板的网页管理这一部分存在很多漏洞以及后门,很容易被利用 27