主机系统安全常用攻击手段.ppt

* * * * G5 - 没有过滤地址不正确的包 三、系统漏洞 IP地址欺诈。例如smurf攻击。对流进和流出你网络的数据进行过滤。 1．任何进入你网络的数据包不能把你网络内部的地址作为源地址；必须把你网络内部的地址作为目的地址。 任何离开你网络的数据包必须把你网络内部的地址作为源地址；不能把你网络内部的地址作为目的地址。 3．任何进入或离开你网络的数据包不能把一个私有地址（private address）或在RFC1918中列出的属于保留空间（包括10.x.x.x/8, 172.16.x.x/12 或192.168.x.x/16 和网络回送地址/8.）的地址作为源或目的地址。 * G6 - 不存在或不完整的日志 三、系统漏洞 安全领域的一句名言是：预防是理想的，但检测是必须的。一旦被攻击，没有日志，你会很难发现攻击者都作了什么。在所有重要的系统上应定期做日志，而且日志应被定期保存和备份，因为你不知何时会需要它。 查看每一个主要系统的日志，如果你没有日志或它们不能确定被保存了下来，你是易被攻击的。 所有系统都应在本地记录日志，并把日志发到一个远端系统保存。这提供了冗余和一个额外的安全保护层。 不论何时，用一次性写入的媒质记录日志。 * G7 - 易被攻击的CGI程序 三、系统漏洞 大多数的web服务器，都支持CGI程序。 1．从你的web服务器上移走所有CGI示范程序。 2．审核剩余的CGI脚本，移走不安全的部分。 3．保证所有的CGI程序员在编写程序时，都进行输入缓冲区长度检查。 4．为所有不能除去的漏洞打上补丁。 5．保证你的CGI bin目录下不包括任何的编译器或解释器。 6．从CGI bin目录下删除view-source脚本。 7．不要以administrator或root权限运行你的web服务器。大多数的web服务器可以配置成较低的权限，例如nobody. 8．不要在不需要CGI的web服务器上配置CGI支持。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 计算机系统安全 常用攻击手段 * 1、攻击的位置 一、攻击的一些基本概念 （1）远程攻击：从该子网以外的地方向该子网或者该子网内的系统发动攻击。 （2）本地攻击：通过所在的局域网，向本单位的其他系统发动攻击，在本机上进行非法越权访问也是本地攻击。 （3）伪远程攻击：指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象。 * 2、攻击的层次 一、攻击的一些基本概念 1）简单拒绝服务（如邮件炸弹攻击）. 2）本地用户获得非授权读或者写权限 3）远程用户获得了非授权的帐号 4）远程用户获得了特权文件的读写权限 5）远程用户拥有了根（root）权限） * 3、攻击的目的 一、攻击的一些基本概念 1）进程的执行 2）获取文件和传输中的数据 3）获得超级用户权限 4）对系统的非法访问 5）进行不许可的操作 6）拒绝服务 7）涂改信息 8）暴露信息 9）挑战 10）政治意图 11）经济利益 12）破坏 * 4、攻击的人员 一、攻击的一些基本概念 1）黑客：为了挑战和获取访问权限 2）间谍：为了政治情报信息 3）恐怖主义者：为了政治目的而制造恐怖 4）公司雇佣者：为了竞争经济利益 5）职业犯罪：为了个人的经济利益 6）破坏者：为了实现破坏 * 5、攻击的工具 一、攻击的一些基本概念 1）用户命令：攻击者在命令行状态下或者图形用户接口方式输入命令。 2）脚本或程序：在用户接口处初始化脚本和程序。 3）自治主体：攻击者初始化一个程序或者程序片断，独立地执行操作，挖掘弱点。 4）工具箱：攻击者使用软件包（包含开发弱点的脚本、程序、自治主体）。 5）分布式工具：攻击者分发攻击工具到多台主机，通过协作方式执行攻击特定的目标。 6）电磁泄漏 * 6、攻击的时间 一、攻击的一些基本概念 大部分的攻击（或至少是商业攻击时间）一般是服务器所在地的深夜。 客观原因。在白天，大多数入侵者要工作或学习，以至没空进行攻击。 速度原因。网络正变得越来越拥挤，因此最佳的工作时间是在网络能提供高传输速度的时间速率的时间。 必威体育官网网址原因。白天系统管理员一旦发现有异常行为。他们便会跟踪而来。 * 1、寻找目标主机并收集目标信息 二、远程攻击的步骤 1）锁定目标 因特网上每一台网络主机都有一个名字，术语称做域名；然而在网上能真正标识主机的是IP地址，域名只是用IP地址指定的主机便于好记而起的名字。 利用域名和IP地址都可以顺利找到主机。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。黑客只需实施一次域转换操作就能得到所有主机的名称以及内部I