返回
安全攻防(绿盟-信息安全专题培训

安全攻防(绿盟-信息安全专题培训

ID:39514948

大小:2.69 MB

页数:121页

时间:2019-07-04

安全攻防(绿盟-信息安全专题培训_第1页
安全攻防(绿盟-信息安全专题培训_第2页
安全攻防(绿盟-信息安全专题培训_第3页
安全攻防(绿盟-信息安全专题培训_第4页
安全攻防(绿盟-信息安全专题培训_第5页
资源描述:

《安全攻防(绿盟-信息安全专题培训》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、NSFocusInformationTechnologyCo.Ltd.攻防技术和IDS刘闻欢Deppinliuwenhuan@nsfocus.comTrainingdept.,CustomerSupportCenterAugust2005StrictlyPrivate&Confidential安全攻击定义和手法攻击“谱线”轻用其芒,动即有伤,是为凶器;深若藏拙,临机取决,是为利器。--《古剑铭》踩点扫描(一)Ping、traceroute等系统自带命令端口扫描NmapOS指纹鉴别漏洞扫描(X-scan、SSS

2、、商业扫描器)构造特殊的攻击和扫描,如firewalking踩点扫描(二)踩点扫描(三)踩点扫描(四)D.o.S和DDoS无法入侵的情况下两类D.o.S拒绝服务攻击利用操作系统本身的缺陷,使服务挂起海量数据包攻击[root@ayazerotfn]#./tfnusage:tfn[-Pprotocol]Protocolforservercommunication.CanbeICMP,UDPorTCP.Usesarandomprotocolasdefault[-Dn]Sendoutnbogusre

3、questsforeachrealonetodecoytargets[-Shost/ip]SpecifyyoursourceIP.Randomlyspoofedbydefault,youneedtouseyourrealIPifyouarebehindspoof-filteringrouters[-fhostlist]FilenamecontainingalistofhostswithTFNserverstocontact远程渗透攻击(一)远程口令猜解远程缓冲区溢出WuFTP、ProFTPSamba、NFS、

4、RPCSSL、SSH、TelnetSQL注入远程渗透攻击(二)权限提升人为造成的文件权限配制错误,导致攻击者对重要文件有写权限,从而植入木马语句本地缓冲区溢出竞争条件,符号链接等攻击善后处理(一)善后处理(二)清除痕迹我们留下了痕迹了吗del*.evtechoxxx>*.evt看看它的日志文件无安全日志记录小结预攻击内容:获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的:收集信息,进行进一步攻击决策攻击内容:获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的

5、:进行攻击,获得系统的一定权限后攻击内容:删除日志修补明显的漏洞植入后门木马进一步渗透扩展进入潜伏状态目的:消除痕迹,长期维持一定的权限DoS和DDoS攻击/防范技术D.o.S攻击之SynFloodTCPSYN分段SourceIP=IPxTCPSYN/ACK分段IPx不断发送大量伪造的TCPSYN分段最多可打开的半开连接数量超时等待时间等待期内的重试次数X资源耗尽SynFlood侦查如果一个系统(或主机)负荷突然升高甚至失去响应,使用Netstat命令能看到大量SYN_RCVD的半连接(数量>500或占总连接

6、数的10%以上),可以认定,这个系统(或主机)遭到了Synflood攻击#/bin/shwhile[1];do echo-n"half-openconnections:"netstat-nat

7、grepSYN_RECV

8、wc-l sleep1;done对SYNFlood攻击的防御确定遭受SYNFlood攻击的方法对SYNFlood攻击的几种简单解决方法缩短SYNTimeout时间SYNFlood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度xSYNTimeout,所以通过缩短从接收到S

9、YN报文到确定这个报文无效并丢弃改连接的时间设置SYNCookie给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被一概丢弃负载均衡增强Win2000对Synflood的防御打开regedit,找到HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters增加一个SynAttackProtect的键值,类型为REG_DWORD,取值范围是0

10、-2,这个值决定了系统受到SYN攻击时采取的保护措施,包括减少系统SYN+ACK的重试的次数等,默认值是0(没有任何保护措施),推荐设置是2增强Win2000对Synflood的防御增加一个TcpMaxHalfOpen的键值,类型为REG_DWORD,取值范围是100-0xFFFF,这个值是系统允许同时打开的半连接默认情况下Pro和Server是100,AdvancedServer是500,这个值取

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。