259人加入学习
(2人评价)
信息安全必修课
价格 ¥ 999.00
该课程属于 信息安全专业学生必修课 请加入后再学习

什么是社会工程学攻击
    利用任性弱点(本能反应、贪婪、易于信任等)进行欺骗获取利益的攻击方法

社会工程学的危险
    永远有效的攻击方法
    人是最不可控的因素

人性的弱点(Robert B Cialdini)
    信任权威
    忍心共同爱好
    获取好处后报答
    期望守信
    期望社会认可
    短期资源的渴望
    ......

    中奖通知
    欠费电话
    催叫房租
    ......

直接用于攻击
    正面攻击(直接索取)
    建立信任
    利用同情、内疚和胁迫
    ......
简介用于攻击
    口令破解中的社会工程学利用
    网络攻击中的社会工程学利用

注:讲师可以根据自己的经验替换后门课件中的三个案例,只要能说清楚社会工程学攻击即可

凯文-米特尼克
    世界著名黑客(世界第一黑客)
    1995年16岁时被捕入狱,2000年保释
    记者采访:你最擅长的技术是什么
    回答:社会工程学,技术会过时的,只有社会工程学永远不会

凯文米特尼克所著《欺骗的艺术》

载入吉尼斯世界纪录大全
《欺骗的艺术》中的经典案例

操盘手讲每天交       攻击者看到后,       伪装成电汇室人
易密码写在纸片  →   伪装成银行职员  →   员,询问麦克.汉
上,贴在电脑屏      (国际部麦克.汉       森,获取装好信
    幕旁             森),要求转账              息

                                                ↓
                                                 
                      完成诈骗过程   ←    重新要求转账


安全意识培训
    知道什么是社会工程学攻击
    社会工程学攻击利用什么
建立相应的安全响应应对措施
    构建完善的技术防御体系
    有效的安全管理体系和操作流程
注意保护个人隐私
    保护生日、年龄、email邮箱地址、手机号码、家庭电脑号码等信息

欺骗攻击(Spoofing)是指通过伪造源于可信任地址的数据包以使一台机器认证另一台技术的复杂技术

IP欺骗(IP Spoofing)
ARP欺骗(ARP Spoofing)
DNS欺骗(DNS Spoofing)
......

电子欺骗是一类攻击方式统称!

原理
    两台主机之前通过认证产生信任关系后,在链接过程中就不会要求严格的认证
IP欺骗是一系列步骤构成的攻击


确认攻击目标  →  使要冒充主机  →  猜正确的序数
                   无法响应追
                                        ↓
                    进行会话    ←   冒充受信主机


严格设置路由策略:拒绝来自网上,并声明源于本地地址的包
使用最新的系统和软件,避免会话序号被猜出
使用抗IP欺骗功能的产品
严密监视网络,对攻击进行报警

ARP协议(地址解析协议)
    ARP用于将IP地址解析MAC地址的协议

Microsoft Windows [版本 6.1.7601]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>cd/

C:\>arp -a

接口: 192.168.1.104 --- 0xc
  Internet 地址         物理地址              类型
  192.168.1.1           f0-eb-d0-22-46-b4     动态
  192.168.1.255         ff-ff-ff-ff-ff-ff     静态
  224.0.0.2             01-00-5e-00-00-02     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态

接口: 192.168.23.1 --- 0x12
  Internet 地址         物理地址              类型
  192.168.23.254        00-50-56-ff-e0-32     动态
  192.168.23.255        ff-ff-ff-ff-ff-ff     静态
  224.0.0.2             01-00-5e-00-00-02     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态

接口: 192.168.33.1 --- 0x13
  Internet 地址         物理地址              类型
  192.168.33.254        00-50-56-fc-9b-35     动态
  192.168.33.255        ff-ff-ff-ff-ff-ff     静态
  224.0.0.2             01-00-5e-00-00-02     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态

ARP协议实现特点
    ARP协议特点:无状态,无需请求可以应答
    ARP实现:ARP缓存

C:\>arp -s

显示和修改地址解析协议(ARP)使用的“IP 到物理”地址转换表。

ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr] [-v]

  -a            通过询问当前协议数据,显示当前 ARP 项。
                如果指定 inet_addr,则只显示指定计算机
                的 IP 地址和物理地址。如果不止一个网络
                接口使用 ARP,则显示每个 ARP 表的项。
  -g            与 -a 相同。
  -v            在详细模式下显示当前 ARP 项。所有无效项
                和环回接口上的项都将显示。
  inet_addr     指定 Internet 地址。
  -N if_addr    显示 if_addr 指定的网络接口的 ARP 项。
  -d            删除 inet_addr 指定的主机。inet_addr 可
                以是通配符 *,以删除所有主机。
  -s            添加主机并且将 Internet 地址 inet_addr
                与物理地址 eth_addr 相关联。物理地址是用
                连字符分隔的 6 个十六进制字节。该项是永久的。
  eth_addr      指定物理地址。
  if_addr       如果存在,此项指定地址转换表应修改的接口
                的 Internet 地址。如果不存在,则使用第一
                个适用的接口。
示例:
  > arp -s 157.55.85.212   00-aa-00-62-c6-09.... 添加静态项。
  > arp -a                                  .... 显示 ARP 表。

使用静态APR缓存
使用三层交换设备
IP与MAC地址绑定
ARP防御工具

ip欺骗:最难和最关键的是猜目标的序号规则
arp欺骗:ip-mac:中间人攻击:CAIN,WINCAP,LIBNET
导致目标主机无法访问网络
最有效的防御方法:使用静态的ARP缓存表,ip+mac:静态绑定

DNS(域名解析协议)
    用于将域名解析成IP地址

        www.cisphome.cn?                www.cisphome.cn?
客户机 ─────────→ DNS服务器 ─────────→ 其他DNS
       ←─────────           ←─────────
             1.1.1.1                        1.1.1.1
                我不知道,我问问其他DNS服务器
                        收到我会缓存

        www.cisphome.cn?
客户机 ─────────→ DNS服务器  我的缓冲中有记录,我告诉你!
       ←─────────          
             1.1.1.1

           ┌───┐                      ┌───┐
           │Qid=22│                      │Qid=22│
           └───┘                      └───┘
               ↓                              ↓
        www.cisphome.cn?                www.cisphome.cn?
客户机 ─────────→ DNS服务器 ─────────→ 其他DNS
       ←─────────           ←─────────
             2.2.2.2                        1.1.1.1
                我不知道,我问问其他DNS服务器
                        收到我会缓存

        www.cisphome.cn?
客户机 ─────────→ DNS服务器  我的缓冲中有记录,我告诉你!
       ←─────────          
             2.2.2.2

DNS服务器
    使用新版本的DNS软件
    安全设置对抗DNS欺骗
        关闭DNS服务递归功能
        限制域名服务器作出响应的地址
        限制域名服务器作出响应的递归请求地址
        限制发出请求的地址
应用服务器
    用户自主标识

DNS欺骗
域名--ip;
dns劫持:www.baidu.com--www.sina.com
银行的钓鱼
DNS中毒:wwwyoutube.com --不存在的ip

什么是拒绝服务
    拒绝服务式攻击(Denial of Service),顾名思义就是被攻击的系统无法正常进行服务的攻击方式。
拒绝服务攻击方式
    利用系统、协议或服务的漏洞
        利用TCP协议实现缺陷
        利用操作系统或应用软件的漏洞
    目标系统服务资源能力
        利用大量数据挤占网络宽带
        利用大量请求消耗系统性能
    混合型

SYN Flood
UDP Flood
Teardrop
Ping of death
Smurf
Land
...
拒绝服务式一类攻击方式的统称!

理解SYN Flood需要的基础知识:建立TCP链接的三次握手过程

          │      SYN(ISN)      │
          │━━━━━━━━━━→│
          │     ACK(ISN+1)     │
          │←━━━━━━━━━━│
          │      SYN(ISN)      │
          │━━━━━━━━━━→│
          │      ACK(ISN+1)    │
客户┈┈┈│┈┈┈┈┈┈┈┈┈┈┈│┈┈┈服务器
          │                      │
          │                      │
          │                      │
          │                      │

原理
    伪造虚假地址连接请求,消耗主机连接数
             
                (syn) Hello ,I'm 2.2.2.2
1.1.1.1 ────────────────→ ?
                (syn+ack) I'm ready            I' m waiting......
              ┌─────────────
2.2.2.2 ←──┘

                (syn) Hello ,I'm 2.2.2.2       I' m waiting......
1.1.1.1 ────────────────→ ?  I' m waiting......
                (syn) Hello ,I'm 2.2.2.2       I' m waiting......
1.1.1.1 ────────────────→     I' m waiting......


原理

利用UDP协议实现简单、高效,形成流量冲击
实现方式
    大量UDP小包冲击应用服务器(DNS、Radius认证等)
    利用系统服务形成流量(Echo chargen)
    利用正常UDP服务发送大流量形成网络拥塞

原理
    构造错误的分片信息,系统重组分片数据时,内存计算错误,导致协议崩溃

C:\cd ddos20

C:\ddos20>xdox www.gooann.com 80
X-DOS v1.0 - command line d.o.s tool
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxx

Scanning www.gooann.com 80 ...

Remote host:   www.gooan.com (223.7.8.143)
Local address: 10.168.1.1
DOS mode:      SYN FLOOD
Port count:    1
Thread count:  10

............................................................................................

...

管理防御
    业务连续性极好(组织共同承担,应对DoS攻击)
    协调机制(运营商、公安部门、专家团队)
技术防御
    安全设备(防火墙、抗DoS设备)
    增强网络宽带
    自身强壮性(风险评估、补丁、安全加固、资源控制)
监测防御
    应急响应(建构监测体系)
堆栈概念

    一段连续分配的内存空间
堆栈特点
    后进先出
    堆栈生长方向与内存地址方向相反
指针
指针是指向内存单元的地址
寄存器
   暂存指令、数据和位址
   ESP(栈顶)、EBP(栈底)、EIP(返回地址)

由于返回地址已经被覆盖,函数执行返回地址时会将覆盖内容当作返回地址,然后试图执行相应地址的指

令,从而产生错误。

内存底部
内存顶部 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

     name         xxx         EIP         XXX
  [cispcisp]     [   ]       [   ]       [   ]

     name         XXX         EIP         XXX
  [aaaaaaaa]     [aaaa]      [aaaa]      [aaaa]

由于输入的name超过了定义变量的长度(8位),堆栈中预计的位置无法容纳,只好向内存顶部继续写 

'a' ,由于堆栈的生长方向与内存的生长方向相反,用户输入 'a' 覆盖了堆栈底部EBP和ret。程序在返

回时,将EBP中的 'aaaa' 的ASCII码: 0x61616161作为返回地址,试图执行0x61616161处指令,导致错

误,形成一次堆栈溢出。


用户
    补丁
    防火墙
开发人员
    编写安全代码,对输入数据进行验证
    使用相对安全的函数
系统
    缓冲区不可执行技术
    虚拟化技术

脚本安全基础
    WEB应用开发脚本:ASP、PHP、JSP等
    脚本的优势:
        交互性:
        自动更新:
        因时因人而变:
脚本安全风险
    注入攻击
    跨站脚本
    ......


如果可精确控制内存跳转地址,就可以执行指定代码,获得权限或破坏系统

寻找程序漏洞  →  编制缓冲区溢出程序  →  精确控制跳转地址

                                                ↓
                                                 
                  获得系统权限或      ←  执行设定的代码
                      破坏系统


sql注入:
1.产生原因:程序对用户输入的特殊字符没有进行过滤
<scr<script>ipt>
<script src=a.js>
2.判断注入点:
www.xx.com/a.jsp?id=1
and 1=1  页面返回正常
and 1=2  页面返回错误
3.万能口令:用户名:'or'='or'
select * from admin where username='$username' and password='$password'
select * from admin where username=''or'='or'' and password='1111111'
4.注入工具:AD,domain,hsi,sqlmap,pangolin
5.防火墙无法防御:http80
6.防御:安全编码:WAF: web app fw

select * from admin where user='admin' and pwd='ABCDEFG'
select * from admin where user='admin' or pwd='123' or '1=1'

数据库信息收集
    数据检索
操作数据库
    增加数据
    删除数据
    更改数据
操作系统
    借助数据库某些功能(例如:SQLServer的内置存储过程XP_CMDShell)

防御的对象:所有外部传入数据
    用户的输入
        提交的URL请求中的参数部分
        从cookie中得到的数据
    其他系统传入的数据
防御的方法
    白名单:限制传递数据的格式
    黑名单:过滤
        过滤特殊字串:upadate、insert、delete等
        开发时过滤特殊字符:单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符
    部署防SQL注入系统或脚本

跨站脚本攻击原理
    跨站脚本(Cross Site Scropting, Css)是由于程序员没有对用户提交的变量中的HTML代码进行过

滤转换,等浏览器下载页面时,脚本可被执行,攻击者可以利用用户和服务器之间的信任关系实现恶意攻

<scirpt>arlet()</script>

敏感信息泄露
账号劫持
Cookie欺骗
拒绝服务
钓鱼
......

某论坛为了实现特效,支持脚本提交脚本

跨站脚本安全问题和特定更复杂,这使得对跨站脚本漏洞的防范难度更大
    不允许脚本运行
    对所有脚本进行严格过滤

知识子域:后门设置与防范
    理解攻击者设置系统后门的常用方法
    理解针对后门的防范措施

后门可以作什么
    方便下次直接进入
    监控用户所有行为、隐私
    完全控制用户主机
后门设置的类型
    账号后门
        现有管理账号密码/新建账号/升级现有账号权限
        普通账号shell设置Setuid
    漏洞后门
    木马(rookit)
    脚本后门

账号后门
    管理员账号:定期更换密码
    定期检查系统是否有多余账号和具有管理员权限的账号
    检查Linux系统中的Setuid程序
漏洞后门
    补丁

木马后门
    杀毒软件
    系统检查:服务、进程、端口
    完整性校验
脚本后门
    安全脚本备份
    网页防篡改

清除/改写日志
    日志存放路径
    例如:IIS访问日志位置
        %WinDir%\System32\LogFiles\W3SVC1\exyymmdd.log
    修改系统日期
删除 中间文件
删除创建的用户


日期 时间    (确定攻击的时间)
源IP         (确定攻击者IP)
请求方法     (部分情况下要关注post操作)
请求链接     (查找链接中特殊字符串)
状态代码     (了解操作的结果)

关注超长的记录
    http协议对URL长度没有限制
    一般网站正常情况下不需要太长的URL
关注记录中的非正常编码
    录入红色代码蠕虫攻击会形成如下记录
关注日志请求链接中的关键字
    cmd、select、xp_cmdshell、Post等

信息收集与分析
基于人性弱点的攻击:密码破解、社会工程学
基于系统及协议缺陷的攻击:拒绝服务、电子欺骗
基于软件开发缺陷的攻击:缓冲区溢出、SQL注入、跨站脚本
后门与日志分析

[展开全文]
snowxn · 2016-12-18 · 该任务已被删除 0

PcShare2005

关闭自动播放

gpedit.msc--计算机配置--管理模板--windows组件--自动播放策略

[展开全文]
TracyZhao · 2016-10-01 · 该任务已被删除 0

五种安全服务:鉴别,访问控制,机密性,完整性,抗抵赖

八种安全机制:加密,数字签名

标准发展历史:

1 世界最早 :DOD,TCSEC

2 第一个提出CIA,欧共体的ITSEC

3第一个提出PP:用户提出的需求和实现无关

4ISO15408=CC GB/T 18336 IDT ISO15408

测评方法:CEM

SSE-CMM测评方法:SSAM

TOE:评估对象

PP:保护轮廓:用户提出的需求,和实现无关

ST:安全目标:由厂商提出,详细的技术实现方案

EAL:评估保证级EAL1-EAL7

1功能2结构34系统56半形式化7形式化

刑法285:非法侵入信息系统罪,3年以下,3-7年

刑法286:非法破坏信息系统罪:增加,删除,修改,5年以下,5年以上

刑法287:利用计算机实施犯罪

商用密码管理条例:

商用密码技术属于国家秘密

专控管理

43号文件:等级保护管理办法  公安部部门规章

分五级,由三级开始会对国家造成危害

坚持自主定级

定级步骤:系统识别与描述,等级确认

定级要素:受侵害的客体,对客体的侵害程度

三级:监督

四级:强制

二级以上备案要求

三年每年一次,四级每半年一次

GB17859:等级保护划分准则

27号文:关于加强信息安全保障工作的意见

坚持积极防御,综合防范,坚持技术与管理并重,重点加强九项工作:等保,资金,法律,标准,产品

信息安全未来领域大幅度领先:美国

168文:应急预案   GB20986 信息安全事件分类分级指南:分级要素:重要程度,社会影响,系统损失

应急步骤:准备,检测,遏制,根除,恢复,跟踪总结

17和28号文:政府信息系统检查相关文件

明确职责

提出谁谁:主管,运行,使用

提出无禁止

工信部:协调,指导,监督

SAC:中国国家标准化管理委员会

国际上:ISO JTC1 SC27

WG1:管理体系

WG2:安全机制和密码

WG3:安全评估

中国:信安标委:TC260

WG3:密码

WG5:安全评估

WG7:管理体系

GB:强制

DB:地标

技术类:ISO 15408=CC,GB18336

管理类:

ISO13335

ISO27001,ISMS要求

ISO27002 安全实施细则--最佳实践

ISO27003 ISMS实施指南

ISO27004 度量

ISO27005 风险管理

2005:11个方面,39控制目标,133控制措施

2013:14个,通信安全,操作安全,密码学,供应商关系

 

[展开全文]
TracyZhao · 2016-09-30 · 该任务已被删除 0

《信息安全风险评估规范》(GB/T 20984-2007)

《信息安全风险管理指南》(GB/Z 24364-2009)

GB/Z20986:信息安全事件分类分指南:

分级依据:信息系统的重要程度、造成的社会影响,系统损失

每半年要进行安全检查

等级保护管理办法:公安部 43号文件

分五级,由三级开始会对国家造成危害

三、监督

四、强制

五、专控

自主定级

定级步骤:系统的识别与描述,等级确认

定级要素:受侵害的客体,对客体的侵害程度

二级以上有备案要求

三级每年一次,四级每半年一次

国际上

ISO JTC1 SC27

WG1:安全管理体系

WG2:密码与安全机制

WG3:安全评估

中国: 信安标准:TC260

WG3:密码

WG5:安全评估

WG7:管理体系

[展开全文]
TracyZhao · 2016-09-18 · 该任务已被删除 0

  

[展开全文]
大赛暑期班_依漠 · 2016-09-05 · 该任务已被删除 0

信息安全评估,内部审核,有效性策略,管理评审,是ISMS规定的四个必要活动。

 

狭义ISO27001 的规定定义ISMS

 

 

和业务目标一致

与组织的文化相一致

管理者的支持

管理者对风险管理的理解

安全的信息安全意识

[展开全文]