网络攻击与病毒及应用层安全技术 锐捷网络 吴舜乾
目 录 Contents 网络攻击与入侵防护 病毒及防病毒 网页篡改与挂马 安全审计与日志技术
什么是网络攻击 通信协议缺陷 配置不当 操作系统缺陷 程序缺陷 …… 网络攻击:网络攻击者利用目前网络通信协议(如 TCP/IP协议)自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等,通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件,非法进入本地或远程用户主机系统,非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息(如特洛伊木马)等一系列过程的总称。
常见的网络攻击手段 控制类 阻塞类 探测类 攻击 破坏类 欺骗类 漏洞类 注意:在一次网络攻击中,并非只使用上述六种攻击手段中的某一种,而是多种攻击手段相综合,取长补短,发挥各自不同的作用。
阻塞类攻击 阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源,使服务器崩溃或资源耗尽无法对外继续提供服务。 拒绝服务攻击(DoS,Denial of Service)是典型的阻塞类攻击,它是一类个人或多人利用Internet协议组的某些工具,拒绝合法用户对目标系统(如服务器)和信息的合法访问的攻击。常见的方法:TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。
控制类攻击 控制型攻击是一类试图获得对目标机器控制权的攻击。 最常见的三种:口令攻击、特洛伊木马、缓冲区溢出攻击。
探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。 主要包括:扫描技术、体系结构刺探、系统信息服务收集等。
欺骗类攻击 欺骗类攻击包括IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息,后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。 主要包括:ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。
漏洞类攻击 针对扫描器发现的网络系统的各种漏洞实施的相应攻击,伴随新发现的漏洞,攻击手段不断翻新,防不胜防。 漏洞(Hole):系统硬件或者软件存在某种形式的安全方面的脆弱性,这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。 要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点,不论是公开的还是秘密的,都提供漏洞的归档和索引等。
破坏类攻击 破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击,包括计算机病毒、逻辑炸弹等攻击手段。 逻辑炸弹与计算机病毒的主要区别:逻辑炸弹没有感染能力,它不会自动传播到其他软件内。
网络攻击防护模型 响应式 主动式 通过名字识别攻击 根据需要进行响应 减轻损失 事后恢复 早期预警技术 有效的补丁管理 主动识别和阻挡技术
目 录 Contents 网络攻击与入侵防护 病毒及防病毒 网页篡改与挂马 安全审计与日志技术
计算机病毒 凡能引起计算机故障、破坏计算机数据的程序统称为计算机病毒(Computer Virus)
计算机病毒的特征 隐蔽性 传染性 潜伏性 病毒特征 寄生性 可触发性 破坏性
通过移动存储设备来传播:如软盘、U盘、光盘等 计算机病毒的传播途径 通过不可移动的计算机硬件设备进行传播 通过移动存储设备来传播:如软盘、U盘、光盘等 通过计算机网络进行传播 通过点对点通信系统和无线通道传播
计算机病毒的分类 分类 按攻击的操作系统 传播媒介 链接方式 危害程度 寄生方式 攻击机型 广义病毒
反病毒技术 病毒检测技术 病毒的清除 病毒的免疫 病毒的预防
计算机病毒的预防 经常进行数据备份 慎用软盘、光盘等移动存储介质 不要轻易打开电子邮件中的附件 浏览网页(特别是个人网页)时要谨慎 使用免费、共享软件时要注意先查毒 系统帐户不要使用空口令或弱密码 使用共享文件夹要谨慎 系统补丁更新要及时 尽量避免在无防毒软件的机器上或公用机器上使用可移动磁盘 对计算机的使用权限进行严格控制 选用优秀反病毒软件,并正确使用
杀毒软件必备功能 病毒查杀能力 对新病毒的反应能力 对文件的备份和恢复能力 实时监控功能 界面友好、易于操作 对现有资源的占用情况 系统兼容性
防病毒网关 主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙的功能。
目 录 Contents 网络攻击与入侵防护 病毒及防病毒 网页篡改与挂马 安全审计与日志技术
信息获取 商品购买 社会交往 银行业务 为什么关注Web应用安全? Web应用,我们身边无处不在! Notes: 22
商品购买 社会交往 但同时——Web安全事件层出不穷 Web攻击,国内国际层出不穷! 2010年2月,央视被黑 疑因不满春晚植入广告 2009年2月,某政府网站被篡改 俯卧撑、打酱油、躲猫猫 社会交往 2009年6月,高考前夕 数十所知名高校被挂马 Notes: Web应用安全市场的最大驱动力在于Web应用系统成为商用平台后,保护其安全可靠的服务与安全有保障的数据交互成为迫切需求。只有这样才能不仅保障业务的开展,而且保障免遭数据丢失、破坏,经济损失和客户投诉,甚至法律责任的承担。 Web攻击,国内国际层出不穷! 23
Web攻击现状 —— 网页篡改日益严重 CNCERT/CC国家计算机应急中心网页篡改监控报告 (2009年) 被篡改网页数量快速增长,从2003年的1157起到2009年的44393起 重大事件、关键时刻,往往成为攻击多发期(如国庆60周年为峰值) 24
Web攻击现状 —— 挂马成为重要攻击手段 挂马:利用公众对网站的信任,肆意传播木马 被挂马网站成为银行盗号、文件窃取、隐私扩散的“毒源” 严重影响社会和谐! 25
防火墙、IDS/IPS、网页防篡改等安全措施 现有的Web应用安全架构 数据中心Web应用服务系统 Firewall IDS/IPS (部署网页防篡改系统) 内部办公网络 防火墙、IDS/IPS、网页防篡改等安全措施
现有Web安全架构的缺陷 ? 75%的攻击,现有投资无法解决! 75%的攻击特征:通过80端口、无特征码、攻击动态网页 适合静态网页,无法恢复动态网页 事后恢复没有解决问题,网站可能再次被黑 如果被篡改页面已经传播出去,则无法修复影响 网页防篡改系统 特征库保护操作系统、数据库、IIS、Apache等通用服务器 但Web网站是自己编写的,其漏洞没有相应特征码可以识别 IDS/IPS 防火墙 无法防御通过80端口的HTTP攻击 75%的攻击特征:通过80端口、无特征码、攻击动态网页 事后恢复没有解决问题,需要进行事前保护
站点隐身效使攻击者无法获取服务器信息,从而无法执行下一步攻击 防网页篡改:站点隐身 站点隐身 避免攻击前的渗透扫描 避免Web服务系统出错信息暴露Web服务系统架构 掌握网站信息才能实施攻击! 对外部访问隐身 Web应用服务器类型 操作系统 版本号 版本更新程度 已知安全漏洞 工作站信息 源代码 站点目录信息 数据报错信息 阻止动机不纯的扫描 阻止意外泄露 网页防护系统 你看我不到! 站点隐身效使攻击者无法获取服务器信息,从而无法执行下一步攻击 28
解密 防网页篡改 DDSE深度解码扫描引擎 —— 解码HTTP语句逻辑 区别于简单的字符串过滤,是在进行各种解码基础上进行攻击检测 检测URL参数、Web表单输入、HTTP header等Web交互信息,在进行解码的基础上,对攻击的形式逻辑进行判断过滤 为什么需要解码扫描引擎? —— HTTP攻击防御的基础 1、攻击常常通过加密或其它非正常编码进行处理。 2、精确辨别正常Web访问与恶意攻击。 解密 Notes: 具有识别检测HTTP/HTTPS协议内容及具体数据的能力,支持各种web编码,例如ASP、PHP、JSP等。 具有检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。 检测数据表单输入的有效性,为web应用提供了一个外部输入的合规过滤机制,做到事前的检测过滤,安全性更为可靠。 验证HTTP/HTTPS协议会话的可靠性,弥补HTTP协议会话管理机制的缺陷,防御基于会话的攻击类型,如Cookie篡改及会话劫持等攻击。 29
DDSE是有效防御SQL注入、XSS跨站攻击的基础 防网页篡改 HTTP加密请求——解码判断SQL注入的逻辑特征: 806 Union Select Top 1 1,2,3,4,password,username,7,8,9,10,11,12,13,14,15 From users 下面是一个带有跨站脚本参数的URL: http://www.xxx.cn/search.asp?where=title&keyword=%27%2F%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%27%C8%E7%B9%FB%C4%E3%BF%B4%B5%BD%C1%CB%D5%E2%CC%F5%CF%FB%CF%A2,%B1%ED%CA%BE%D5%E2%B8%F6%D2%B3%C3%E6%B4%E6%D4%DAXSS%B9%A5%BB%F7%C2%A9%B6%B4%27%29%3C%2F%73%63%72%69%70%74%3E HTTP加密请求解码扫描判断XSS逻辑特征: http://www.xxx.cn/search.asp?where=title&keyword='/><script>alert('如果你看到了这条消息,表示这个页面存在XSS攻击漏洞')</script> Notes: 具有识别检测HTTP/HTTPS协议内容及具体数据的能力,支持各种web编码,例如ASP、PHP、JSP等。 具有检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。 检测数据表单输入的有效性,为web应用提供了一个外部输入的合规过滤机制,做到事前的检测过滤,安全性更为可靠。 验证HTTP/HTTPS协议会话的可靠性,弥补HTTP协议会话管理机制的缺陷,防御基于会话的攻击类型,如Cookie篡改及会话劫持等攻击。 DDSE是有效防御SQL注入、XSS跨站攻击的基础 30
网站挂马检测,既能预防攻击、又能发现已被挂马网页 防网站挂马:检测嵌入式程序 对已挂马的Web站点进行监控诊断 对未挂马的Web站点进行预防 检测过滤ActiveX、JAVA Applet、iFrame等嵌入式程序 Database 实时扫描监控Web 活动行为,数据流向 Web servers 阻断非法信息回传 报警通知管理员 提供Web请求临时响应服务,避免名誉损失 Notes: 实时监控web数据流向 检测过滤web应用流量中的Activex、JAVA applet、iFrame等嵌入式小程序。 网站挂马检测,既能预防攻击、又能发现已被挂马网页 31
演示视频 Notes: 实时监控web数据流向 检测过滤web应用流量中的Activex、JAVA applet、iFrame等嵌入式小程序。 32
目 录 Contents 网络攻击与入侵防护 病毒及防病毒 网页篡改与挂马 安全审计与日志技术
安全审计系统的必要性 一旦我们采用的防御体系被突破怎么办?至少我们必须知道系统是怎样遭到攻击的,这样才能恢复系统,此外我们还要知道系统存在什么漏洞,如何能使系统在受到攻击时有所察觉,如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的,它相当于飞机上使用的“黑匣子”。
网络安全审计 审计技术出现在计算机技术之前,是产生和记录并检查按时间顺序排列的系统事件记录过程。安全审计是计算机和网络安全的重要组成部分。 安全审计提供的功能服务于直接和间接两方面的安全目标: 直接的安全目标包括跟踪和监测系统中的异常事件 间接的安全目标是检测系统中其他安全机制的运行情况和可信度 网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。
网络安全审计分类 网络行为审计 主机审计 数据库审计 互联网审计
网络行为审计 原理:通过端口镜像取得原始数据包,并还原成连接,恢复到相应的通讯协议,如:FTP、Http、Telnet、SNMP等,进而重现通过该链路的网络行为。 目的:审计该链路上所有用户在网络上的“公共行为”,一般放在网络的主要干道上,象是城市中重点街区安装的摄像机,对公共区域的公共安全进行记录。 缺点:识别技术很关键,产品要识别的应用协议太多,对安全厂家来说是考验,当然一般来说是关心主要流量的应用协议解析。但该方法对于应用加密时就失去了审计的能力。
主机审计 在服务器上安装审计代理,审计主机使用者的各种行为,把主机的系统、安全等日志记录下来相当于针对主机上运行的所有业务系统的安全审计。 最主要的代表性的功能是非法外联审计,防止涉密信息通过终端外泄。 目的:审计主机使用者的行为,或进入该主机(服务器)的使用者的行为。 缺点:主机审计需要安装代理软件,对主机的性能有一定的影响。另外审计代理的防卸载与防中断运行的能力是必需的,否则产生的审计“天窗”是致命的安全漏洞。
数据库审计 镜像数据库服务器前的链路,审计数据库使用行为,可以重现到数据库的操作命令级别,如SELECT、UPDATA等 。 目的:数据库一般是应用系统的核心,对数据库的操作行为记录一般能记录用户的不法行为过程,并且审计的操作记录,也可以为数据库恢复提供依据,对系统的破坏损失也可以减小。 缺点:数据库的流量很大,审计记录的存储容量相当可观。
互联网审计 针对用户上互联网的行为的专向审计,主要识别的是Http、SMTP、FTP等协议,同时对互联网的常用应用如QQ、MSN、BT等也需要识别。互联网审计一般是对内部用户的上网进行规范。 目的:互联网出口往往是一个网络的“安全综合地带”,是与外界联系的必然出口,设置互联网的专项审计也是很多企业的管理需求。 缺点:互联网应用升级较快,对审计中的识别技术要求高,对于日渐增多的加密应用,如Skype、MSN等,对于审计来说都是极大的挑战。
数据库审计
敏感信息泄露和数据篡改引发社会问题 事件一 某市四万孕产妇信息泄露, 政府紧急成立专案组严防内鬼 1张光盘,售价12000元 1张光盘,40000条信息 事件二 某医院病人病历遭篡改,导致医疗纠纷,病人院前静坐,社会影响严重 事件三 某医院主任反馈,现在很多医生都知道数据库账号(共同一个),当医生病历写错时,自己可以直接进行修改。如被人误改或恶意篡改会给病人带来生命危险。
透传 传统安全手段无法解决数据库安全问题 IDS IPS 不包含威胁特征的恶意行为 USG AV 合法用户滥用操作和误操作 不明账号的操作 DBA或超级用户的操作 共用账号操作无法溯源 利用技术手段空缺的行为滥用 不规范操作带来的DB风险 入侵攻击 木马僵尸 …… Hacker IDS IPS 不包含威胁特征的恶意行为 透传 IP欺骗 从上面的例子我们可以发现一个问题,对于运营商用户,他们的安全措施是比较完善的,部署了多种安全设备,比如防火墙、IDS、防病毒等,但是为什么还会出现这样的事情,主要原因在于传统的安全技术手段是通过对攻击特征、攻击方法进行识别而起到预警或防御作用,但是一个违规的行为有可能是正常的操作行为,其本身并不包含威胁特征,这样就导致了传统技术手段无法识别出这种内部违规行为 USG AV 蠕虫病毒 …… 传统安全手段也有鞭长莫及之处,数据库安全,迫切需要专业产品 43
数据库审计部署方案 流量 数据库安全是整个安全体系的最后一站,虽然外部攻击经过层层过滤已经减弱,但内部安全却是最薄弱的环节。 合法语句 误用滥用 恶意语句 数据库反馈报文 攻击报文 数据库审计 流量分析 镜像流量 数据库群 流量 业务系统 办公区 互联网区 多角度、图形化、清晰直观的呈现审计信息 全面的统计分析展示 各类top排名分析展现 灵活的手工报表、自动报表的生成及展现 丰富的报表模板选择 数据库安全是整个安全体系的最后一站,虽然外部攻击经过层层过滤已经减弱,但内部安全却是最薄弱的环节。 1、合法语句:正常通过 2、误用滥用:审计告警 3、反馈报文:业务优化 4、攻击报文:实时预警 44
数据库审计截图 多角度、图形化、清晰直观的呈现审计信息 全面的统计分析展示 各类top排名分析展现 灵活的手工报表、自动报表的生成及展现 丰富的报表模板选择 45
互联网审计
两个故事 故事一: 地点:华中某高校 人物:市公安局、网络中心、言论散布者 事件:某用户,在学校BBS上面散布攻击攻击政府的荒谬言论,被公安网监发现,反查至学校,学校用了两个多月时间才找出责任人,免于责任。 先让我们看看两个关于网络行为的两个故事 Page47
两个故事 故事二: 地点:华东某普教城域网 人物:某中学校长、网络管理员、某学生 事件:某学生因为一些私人原因对校长心生不满,遂通过学校网络在普教城域网的BBS上对该校长进行人身攻击,后无法查实。 这两个故事说明了什么?网络的确可以给我们带来便捷,但是作为运维者,我们需要确保我们的网络不仅运行良好,更要保证运行于里面的内容需要合情合理合法! 下面让我们看看为此,国家又做了如何规定。 Page48
政 策 要求 国家法规 公安部82号要求:网络记录用户上网日志 网络运维单位,要在发生非法网络行为时,对责任人进行IP定位 公安部82号令明确要求了,运维者要记录用户的上网日志,其中用户源/目的的IP地址和端口,当然如果有NAT,还需要记录这个对应关系以实现对责任人的快速定位。 Page49
网络行为全面审计 全面的审计 时间审计 上传下载 文件的信息及 其他各种行为 流量审计 收发的邮件 网页访问记录: URL地址、 网页标题等 WebMail、 网络发帖 网页访问记录: URL地址、 网页标题等 QQ、MSN等 聊天内容 审计的作用,就好像小学时上自习课,老师不在,班干部会提醒你“李小军,再捣乱我要把你名字记下告诉老师”。这就是审计的威力。 强化内网安全 提高工作效率 提升带宽效率 防范泄密 和法律风险 50
URL日志收集和查询 基于出口设备提供的URL日志查询; Page51
NAT访问日志收集和查询 基于防火墙/路由器的NAT日志,多种查询条件搜索日志; 报表显示字段可自定义,个性选择;
日志与用户信息对接 通过与用户管理系统对接,实现日志记录直接显示用户详细信息,方便快捷的查找用户。 Page53
目 录 Contents 网络攻击与入侵防护 病毒及防病毒 网页篡改与挂马 安全审计与日志技术
星网锐捷网络有限公司 地址:南宁市民族大道38-2#泰安大厦2812# 邮编:530022 Office Tel: 0771-2844841 Mobile Tel: 13471015887 Fax: 0771-2826640 E-Mail: wsq@ruijie.com.cn