黑客攻防案例分析與

現代網絡安全技術主講：柯宗貴黑客攻防案例分析與

現代網絡安全技術主講：柯宗貴內容黑客攻防案例分析當前黑客與網絡安全事件的特點大規模網絡安全事件回顧網絡安全事件攻防案例分析現代網絡安全技術內網保密技術全網防御技術黑客偵查與追蹤技術蜜罐（攻擊陷阱）技術DDoS防御技術內容黑客攻防案例分析當前黑客與網絡安全事件的特點黑客可以輕易地施行跨網、跨國攻擊復合趨勢攻擊往往通過一級或者多級跳板進行大規模事件出現日益頻繁傳播速度越來越快對pc的攻擊比率越來越高攻擊事件的破壞程度在增加當前黑客與網絡安全事件的特點黑客可以輕易地施行跨網、跨國攻擊當前黑客與網絡安全事件的特點黑客可以輕易地施行跨網、跨國攻擊攻擊、入侵工具和工具包數量大量增加，可輕易從互聯網上獲取，使用操作更加簡單方便具有安全知識和專業的人員的數量在增加復合趨勢黑客、病毒和垃圾郵件技術整合在一個蠕蟲當中黑客組合攻擊開始出現攻擊往往通過一級或者多級跳板進行黑客技術水平在增強有組織、有計劃犯罪事件再增加，防止追查當前黑客與網絡安全事件的特點黑客可以輕易地施行跨網、跨國攻擊當前黑客與網絡安全事件的特點大規模事件出現日益頻繁大規模網絡蠕蟲事件（“沖擊波”、“震蕩波”、紅色代碼F變種等）大量垃圾郵件的出現傳播速度越來越快利用系統漏洞，進行自動掃描由于瀏覽網頁或查看E-Mail而受到感染或攻擊DDoS攻擊當前黑客與網絡安全事件的特點大規模事件出現日益頻繁當前黑客與網絡安全事件的特點對pc的攻擊比率越來越高網上游戲、網上銀行和電子商務的增加針對pc設計的黑客工具和木馬補丁與升級不夠及時缺乏安全防范意識攻擊事件的破壞程度在增加當前黑客與網絡安全事件的特點對pc的攻擊比率越來越高大規模網絡安全事件回顧SQLSLAMMER蠕蟲

2003年1月25日爆發，我國境內受感染兩萬多臺口令蠕蟲事件

2003年3月8日出現，部分大學網絡癱瘓紅色代碼F變種

2003年3月11日發作，在我國網絡中擴撒超過12萬次大規模網絡安全事件回顧SQLSLAMMER蠕蟲大規模網絡安全事件回顧沖擊波蠕蟲事件

2003年8月11日發現，至12月31日，150萬臺以上中招MYDOOM事件

1月27日出現，先后出現了多種變種，SCO網站受堵，163等郵件服務器出現問題。國內10%的電腦受感染“震蕩波”事件

5月1日出現，至今仍有新變種出現，受“沖擊波”的影響，沒有造成重大危害。大規模網絡安全事件回顧沖擊波蠕蟲事件大規模網絡安全事件回顧DDOS事件廣州某主機托管中心受國外黑客DDoS攻擊事件廣州南沙某集團企業外網DDoS攻擊事件篡改網頁事件廣西某市政府網站被篡改大規模網絡安全事件回顧DDOS事件大規模網絡安全事件回顧電子郵件事件番禺某小學“法輪功”反動電子郵件堵塞網絡安全事件深圳市匿名電子郵件轉發事件“網銀大盜”事件4月，“網銀大盜”偷取某家銀行的網上銀行用戶的帳號和密碼6月，“網銀大盜Ⅱ”，涉及到十幾家銀行的多種網上交易業務6月，“網銀大盜III”，偷取數家國際銀行網上賬號及密碼大規模網絡安全事件回顧電子郵件事件典型網絡安全案件分析木馬與“網銀大盜”匿名電子郵件轉發溢出攻擊與DCOMRPC漏洞網絡恐怖主義NetBios與IPCARP欺騙DDoS攻擊典型網絡安全案件分析木馬與“網銀大盜”木馬與“網銀大盜”冰河國產木馬，有G_Client.exe,G_server.exe二個文件。客戶端界面木馬與“網銀大盜”冰河木馬與“網銀大盜”WOLLF木馬與“網銀大盜”木馬與“網銀大盜”“網銀大盜”

網上銀行構架木馬與“網銀大盜”“網銀大盜”木馬與“網銀大盜”“網銀大盜”網銀大盜II(Troj_Dingxa.A)現象盜取網上銀行的帳號、密碼、驗證碼等。生成文件：%System%下，svch0stexe修改注冊表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下創建：

"svch0st.exe"="%System%\svch0st.exe"

"taskmgr.exe"="%System%\svch0st.exe"木馬與“網銀大盜”“網銀大盜”木馬與“網銀大盜”網銀大盜II(Troj_Dingxa.A)原理

木馬程序，非主動傳播，主要通過用戶在瀏覽某些網頁或點擊一些不明連接及打開不明郵件附件等操作時，間接感染用戶電腦解決辦法1、終止病毒進程"svch0st.exe"2、注冊表修復3、刪除病毒釋放的文件"svch0st.exe"4、配置防火墻和邊界路由器木馬與“網銀大盜”網銀大盜II(Troj_Dingxa.A木馬與“網銀大盜”“網銀大盜”案例木馬與“網銀大盜”“網銀大盜”案例多媒體木馬Internet種了木馬的電腦傳送信息黑客攝像頭語音設備多媒體木馬Internet種了木馬的電腦傳送信息黑客攝像頭匿名電子郵件轉發漏洞名稱：ExchangeServer5.5匿名轉發漏洞原理匿名電子郵件轉發漏洞名稱：ExchangeServer5.匿名電子郵件轉發案例深圳市二十多個郵件服務器番禺東城小學Internet東城小學臺灣日本匿名電子郵件轉發案例Internet東城小學臺灣日本匿名電子郵件轉發造成危害網絡堵塞給利用于反動宣傳解決方法打補丁關閉該服務或端口25,110匿名電子郵件轉發造成危害溢出攻擊與DCOMRPC漏洞溢出攻擊原理溢出攻擊與DCOMRPC漏洞溢出攻擊原理溢出攻擊與DCOMRPC漏洞DCOMRPC漏洞原理溢出攻擊與DCOMRPC漏洞DCOMRPC漏洞原理溢出攻擊與DCOMRPC漏洞造成的危害---沖擊波溢出攻擊與DCOMRPC漏洞造成的危害---沖擊波MYDOOM案例分析郵件蠕蟲:MYDOOM現象通過電子郵件附件傳播，設定向和

發起DDoS攻擊原理MYDOOM案例分析郵件蠕蟲:MYDOOM網絡恐怖主義網絡恐怖主義NetBios漏洞與IPC入侵

NetBios

弱口令

例如:Administrator/12345NetBios漏洞與IPC入侵NetBiosNetBios漏洞與IPC入侵攻擊原理Netuse\\38\IPC$

“12345”/u:“administrator”Copywollf.exe\\38\Admin$解決方法關閉139,445端口加強帳號強度NetBios漏洞與IPC入侵攻擊原理ARP欺騙ARP地址解析協議ARP協議定義了兩類基本的消息：

1）請求信息：包含自己的IP地址、硬件地址和請求解析的IP地址；

2）應答信息：包含發來的IP地址和對應的硬件地址。ARP欺騙ARP地址解析協議ARP欺騙2、原理ARP欺騙2、原理ARP欺騙防范ARP欺騙的方法交換機控制路由器隔離防火墻與代理服務器ARP欺騙防范ARP欺騙的方法DDoS攻擊原理DDoS攻擊原理DDoS攻擊方法死亡之ping（pingofdeath）淚滴（teardrop）UDP洪水（UDPflood）SYN洪水（SYNflood）Land攻擊Smurf攻擊Fraggle攻擊DDoS攻擊方法死亡之ping（pingofdeath常用DDoS攻擊工具ThankgodSYNFlooder獨裁者TrinooTFN2KStacheldraht常用DDoS攻擊工具ThankgodDDoS攻擊案例某市信息中心網站受DDoS攻擊事件廣州南沙某集團企業外網DDoS攻擊事件DDoS攻擊案例現代網絡安全技術內網安全保密技術全網防御技術黑客偵查與追蹤技術蜜罐（攻擊陷阱）技術DDoS防御技術現代網絡安全技術內網安全保密技術內網安全保密技術為什么需要內網保密審計系統？

1.內網信息泄漏問題

2.重要數據的保護問題

3.蠕蟲病毒對邊界防御體系的沖擊問題內網安全保密技術為什么需要內網保密審計系統？內網安全保密技術為什么需要內網保密審計系統？內網安全保密技術為什么需要內網保密審計系統？藍盾內網保密審計系統內網保密審計系統的作用

1.防信息泄漏和非法外聯

2.重要數據的保護和監控

3.構建一個全網防御體系

4.各種網絡行為的記錄、審計

5.對各種攻擊的檢測（入侵檢測功能）藍盾內網保密審計系統內網保密審計系統的作用藍盾內網保密審計系統藍盾內網保密審計系統組成

系統由以下三部分組成：

1.網絡安全監控器

2.主機代理客戶端

3.控制中心藍盾內網保密審計系統藍盾內網保密審計系統組成藍盾內網保密審計系統功能文件檢測防護共享防護外聯監控網絡檢測防護功能設備管理和認證注冊表檢測防護主機日志監控主機資源審計異常檢測入侵檢測與取證功能蠕蟲檢測與隔離藍盾內網保密審計系統功能文件檢測防護藍盾內網保密審計系統藍盾內網保密審計系統全網防御技術HostAHostCHostB聯防中心InternetNIDS全網防御技術HostAHostCHostB聯防中心In

黑客偵查與追蹤技術藍盾黑客偵查與追蹤系統黑客偵查與追蹤技術藍盾黑客偵查與追蹤系統藍盾黑客偵查與追蹤系統系統組成

1、現場勘查分析

2、服務器監控

3、遠程追蹤分析控制軟件服務監控軟件遠程追蹤探頭藍盾黑客偵查與追蹤系統系統組成分析控制軟件服務監控軟件遠程追藍盾黑客偵查與追蹤系統原理藍盾黑客偵查與追蹤系統原理藍盾黑客偵查與追蹤系統遠程追蹤藍盾黑客偵查與追蹤系統遠程追蹤蜜罐（陷阱）技術一、蜜罐取證和反向拍照1、黑客攻擊三步曲掃描攻擊破壞試探性攻擊留后門掃描和試探性攻擊階段黑客一般用自身IP進行。而在進攻和破壞階段黑客一般都會通過傀壘機進行蜜罐（陷阱）技術一、蜜罐取證和反向拍照1、黑客攻擊三步曲掃蜜罐（陷阱）技術2、蜜罐取證原理記錄報警虛擬服務反向掃描拍照黑客主機蜜罐（陷阱）技術2、蜜罐取證原理記錄報警虛擬服務反向掃描拍照蜜罐（陷阱）技術A、記錄模塊

記錄所有攻擊信息、攻擊流程、黑客IP和使用的工具。B、報警模塊向管理機發出警報信息。C、反向掃描拍照模快對黑客主機進行反向掃描得出該主機的一些信息，如：主機名、用戶名操作平臺、版本號啟用的服務端口、應用程序版本信息其它該主機存在一些漏洞信息。蜜罐（陷阱）技術A、記錄模塊DDoS攻擊防御技術當前DDoS防御技術SYN代理SYN網關藍盾DDoS防御網關DDoS攻擊防御技術當前DDoS防御技術DDoS攻擊防御方法SYN中繼（代理）工作原理HostFWserverDDoS攻擊防御方法SYN中繼（代理）HostFWserveSYN中繼（代理）1)HFW2)HSYN/ACKFW3)HACKFWFWS4)FWSFWSSYNSYN/ACKACK5)6)SYNSYN中繼（代理）1)HFW2)HSYN/ACKFWSYN中繼（代理）存在問題FW必須建立一個很大的鏈表來儲存所有SYN請求，當有大量的SYN攻擊包到來，FW一樣會崩潰。保護了服務器，堵死了防火墻SYN中繼（代理）存在問題DDoS攻擊防御方法SYN網關工作原理HostFWserverDDoS攻擊防御方法SYN網關HostFWserverSYN網關HFWSFWS1）2）SYNSYNSYN/ACKHFWS3）HFWS4）FWS5）SYN/ACKACKACKACKRSTSYN網關HFWSFWS1）2）SYNSYNSYN/ACKHSYN網關

快速將連接試呼從S待辦隊列移開，避免服務器待辦隊

列堵塞定時器超時后，向S發送連接RST（復位）取消。存在問題

A、占用服務器緩沖

B、防火墻同樣要儲存SYN請求鏈接，攻擊強烈時，同樣會堵死防火墻SYN網關快速將連接試呼從S待辦隊列移開，避免服務器待藍盾DDoS防御技術藍盾防火墻、藍盾DDoS防御網關對抗DDOS攻擊的三層防御措施（一）連接指紋鑒別（二）自適應“催命”算法（三）惡性服務請求攻擊的防御藍盾DDoS防御技術藍盾防火墻、藍盾DDoS防御網關對抗DD連接指紋鑒別工作原理HostFWserver0積累識別技術,屬國際專利連接指紋鑒別工作原理HostFWserver0積累識別技術,連接指紋鑒別工作原理HFW1、工作原理HFWHFWFWHFWHSYN/ACKFWHSYNSYN/ACK(sn)ACK(SN+1)SYNACK(SN指紋驗證)連接指紋鑒別工作原理HFW1、工作原理HFWHFWFWHFW連接指紋鑒別工作原理A、SN序列號形成算法

SN=f（源、目標IP，源、目標端口，其它信息，秘密字）B、只有當主機H回答包所攜帶的SN號經驗證合法后，才須建立連接代理。2、優點

由于在未確認SYN請求的合法性前，無須建立連接隊列，所以這種方法具備以下優點：

A、防火墻無須耗費內存資源

B、沒有緩沖溢出的危險

C、在NAT模式下不占用防火墻的連接數連接指紋鑒別工作原理A、SN序列號形成算法自適應“催命”算法針對性針對通過高層編程（固定ＩＰ）進行的攻擊，如socket編程中的“connect”函數。這種攻擊也能通過防火墻的指紋合法性認證而建立起連接。但該攻擊的效率較低，同時占用黑客大量主機資源。工作原理防火墻中建立每條連接都有一個連接超時值Age（又叫生命期），一般每半秒鐘減一，藍盾防火墻會監控系統建立的連接數量，按一定算法算出（加快了）的遞減步長STEP，降低某些可疑連接的生命期，加快這些連接超時。自適應“催命”算法針對性惡性服務請求攻擊的防御針對性一般SQL數據庫訪問會占用服務器較多資源，黑客會分析web頁面上耗費資源的分支請求，編寫程序不停調用該分支請求，造成SQL服務器響應不過來。工作原理藍盾會留給管理員一個配置接口，管理員自己可以配置一些針對性統計策略，當在一定時間內某IP使用某SQL語句數量超過某一閥值時，防火墻會拒絕該IP的訪問。惡性服務請求攻擊的防御針對性其它措施對于一些固定IP的惡性攻擊藍盾防火墻會對該IP進行自動鎖定，超過一定時間，一般為180秒后再進行開鎖。某集團內網黑客FWserver藍盾DDOS網關其它措施對于一些固定IP的惡性攻擊藍盾防火墻會對該IP進行自謝謝！謝謝！！謝謝！黑客攻防案例分析與

現代網絡安全技術主講：柯宗貴黑客攻防案例分析與

現代網絡安全技術主講：柯宗貴內容黑客攻防案例分析當前黑客與網絡安全事件的特點大規模網絡安全事件回顧網絡安全事件攻防案例分析現代網絡安全技術內網保密技術全網防御技術黑客偵查與追蹤技術蜜罐（攻擊陷阱）技術DDoS防御技術內容黑客攻防案例分析當前黑客與網絡安全事件的特點黑客可以輕易地施行跨網、跨國攻擊復合趨勢攻擊往往通過一級或者多級跳板進行大規模事件出現日益頻繁傳播速度越來越快對pc的攻擊比率越來越高攻擊事件的破壞程度在增加當前黑客與網絡安全事件的特點黑客可以輕易地施行跨網、跨國攻擊當前黑客與網絡安全事件的特點黑客可以輕易地施行跨網、跨國攻擊攻擊、入侵工具和工具包數量大量增加，可輕易從互聯網上獲取，使用操作更加簡單方便具有安全知識和專業的人員的數量在增加復合趨勢黑客、病毒和垃圾郵件技術整合在一個蠕蟲當中黑客組合攻擊開始出現攻擊往往通過一級或者多級跳板進行黑客技術水平在增強有組織、有計劃犯罪事件再增加，防止追查當前黑客與網絡安全事件的特點黑客可以輕易地施行跨網、跨國攻擊當前黑客與網絡安全事件的特點大規模事件出現日益頻繁大規模網絡蠕蟲事件（“沖擊波”、“震蕩波”、紅色代碼F變種等）大量垃圾郵件的出現傳播速度越來越快利用系統漏洞，進行自動掃描由于瀏覽網頁或查看E-Mail而受到感染或攻擊DDoS攻擊當前黑客與網絡安全事件的特點大規模事件出現日益頻繁當前黑客與網絡安全事件的特點對pc的攻擊比率越來越高網上游戲、網上銀行和電子商務的增加針對pc設計的黑客工具和木馬補丁與升級不夠及時缺乏安全防范意識攻擊事件的破壞程度在增加當前黑客與網絡安全事件的特點對pc的攻擊比率越來越高大規模網絡安全事件回顧SQLSLAMMER蠕蟲

2003年1月25日爆發，我國境內受感染兩萬多臺口令蠕蟲事件

2003年3月8日出現，部分大學網絡癱瘓紅色代碼F變種

2003年3月11日發作，在我國網絡中擴撒超過12萬次大規模網絡安全事件回顧SQLSLAMMER蠕蟲大規模網絡安全事件回顧沖擊波蠕蟲事件

2003年8月11日發現，至12月31日，150萬臺以上中招MYDOOM事件

1月27日出現，先后出現了多種變種，SCO網站受堵，163等郵件服務器出現問題。國內10%的電腦受感染“震蕩波”事件

5月1日出現，至今仍有新變種出現，受“沖擊波”的影響，沒有造成重大危害。大規模網絡安全事件回顧沖擊波蠕蟲事件大規模網絡安全事件回顧DDOS事件廣州某主機托管中心受國外黑客DDoS攻擊事件廣州南沙某集團企業外網DDoS攻擊事件篡改網頁事件廣西某市政府網站被篡改大規模網絡安全事件回顧DDOS事件大規模網絡安全事件回顧電子郵件事件番禺某小學“法輪功”反動電子郵件堵塞網絡安全事件深圳市匿名電子郵件轉發事件“網銀大盜”事件4月，“網銀大盜”偷取某家銀行的網上銀行用戶的帳號和密碼6月，“網銀大盜Ⅱ”，涉及到十幾家銀行的多種網上交易業務6月，“網銀大盜III”，偷取數家國際銀行網上賬號及密碼大規模網絡安全事件回顧電子郵件事件典型網絡安全案件分析木馬與“網銀大盜”匿名電子郵件轉發溢出攻擊與DCOMRPC漏洞網絡恐怖主義NetBios與IPCARP欺騙DDoS攻擊典型網絡安全案件分析木馬與“網銀大盜”木馬與“網銀大盜”冰河國產木馬，有G_Client.exe,G_server.exe二個文件。客戶端界面木馬與“網銀大盜”冰河木馬與“網銀大盜”WOLLF木馬與“網銀大盜”木馬與“網銀大盜”“網銀大盜”

網上銀行構架木馬與“網銀大盜”“網銀大盜”木馬與“網銀大盜”“網銀大盜”網銀大盜II(Troj_Dingxa.A)現象盜取網上銀行的帳號、密碼、驗證碼等。生成文件：%System%下，svch0stexe修改注冊表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下創建：

"svch0st.exe"="%System%\svch0st.exe"

"taskmgr.exe"="%System%\svch0st.exe"木馬與“網銀大盜”“網銀大盜”木馬與“網銀大盜”網銀大盜II(Troj_Dingxa.A)原理

木馬程序，非主動傳播，主要通過用戶在瀏覽某些網頁或點擊一些不明連接及打開不明郵件附件等操作時，間接感染用戶電腦解決辦法1、終止病毒進程"svch0st.exe"2、注冊表修復3、刪除病毒釋放的文件"svch0st.exe"4、配置防火墻和邊界路由器木馬與“網銀大盜”網銀大盜II(Troj_Dingxa.A木馬與“網銀大盜”“網銀大盜”案例木馬與“網銀大盜”“網銀大盜”案例多媒體木馬Internet種了木馬的電腦傳送信息黑客攝像頭語音設備多媒體木馬Internet種了木馬的電腦傳送信息黑客攝像頭匿名電子郵件轉發漏洞名稱：ExchangeServer5.5匿名轉發漏洞原理匿名電子郵件轉發漏洞名稱：ExchangeServer5.匿名電子郵件轉發案例深圳市二十多個郵件服務器番禺東城小學Internet東城小學臺灣日本匿名電子郵件轉發案例Internet東城小學臺灣日本匿名電子郵件轉發造成危害網絡堵塞給利用于反動宣傳解決方法打補丁關閉該服務或端口25,110匿名電子郵件轉發造成危害溢出攻擊與DCOMRPC漏洞溢出攻擊原理溢出攻擊與DCOMRPC漏洞溢出攻擊原理溢出攻擊與DCOMRPC漏洞DCOMRPC漏洞原理溢出攻擊與DCOMRPC漏洞DCOMRPC漏洞原理溢出攻擊與DCOMRPC漏洞造成的危害---沖擊波溢出攻擊與DCOMRPC漏洞造成的危害---沖擊波MYDOOM案例分析郵件蠕蟲:MYDOOM現象通過電子郵件附件傳播，設定向和

發起DDoS攻擊原理MYDOOM案例分析郵件蠕蟲:MYDOOM網絡恐怖主義網絡恐怖主義NetBios漏洞與IPC入侵

NetBios

弱口令

例如:Administrator/12345NetBios漏洞與IPC入侵NetBiosNetBios漏洞與IPC入侵攻擊原理Netuse\\38\IPC$

“12345”/u:“administrator”Copywollf.exe\\38\Admin$解決方法關閉139,445端口加強帳號強度NetBios漏洞與IPC入侵攻擊原理ARP欺騙ARP地址解析協議ARP協議定義了兩類基本的消息：

1）請求信息：包含自己的IP地址、硬件地址和請求解析的IP地址；

2）應答信息：包含發來的IP地址和對應的硬件地址。ARP欺騙ARP地址解析協議ARP欺騙2、原理ARP欺騙2、原理ARP欺騙防范ARP欺騙的方法交換機控制路由器隔離防火墻與代理服務器ARP欺騙防范ARP欺騙的方法DDoS攻擊原理DDoS攻擊原理DDoS攻擊方法死亡之ping（pingofdeath）淚滴（teardrop）UDP洪水（UDPflood）SYN洪水（SYNflood）Land攻擊Smurf攻擊Fraggle攻擊DDoS攻擊方法死亡之ping（pingofdeath常用DDoS攻擊工具ThankgodSYNFlooder獨裁者TrinooTFN2KStacheldraht常用DDoS攻擊工具ThankgodDDoS攻擊案例某市信息中心網站受DDoS攻擊事件廣州南沙某集團企業外網DDoS攻擊事件DDoS攻擊案例現代網絡安全技術內網安全保密技術全網防御技術黑客偵查與追蹤技術蜜罐（攻擊陷阱）技術DDoS防御技術現代網絡安全技術內網安全保密技術內網安全保密技術為什么需要內網保密審計系統？

1.內網信息泄漏問題

2.重要數據的保護問題

3.蠕蟲病毒對邊界防御體系的沖擊問題內網安全保密技術為什么需要內網保密審計系統？內網安全保密技術為什么需要內網保密審計系統？內網安全保密技術為什么需要內網保密審計系統？藍盾內網保密審計系統內網保密審計系統的作用

1.防信息泄漏和非法外聯

2.重要數據的保護和監控

3.構建一個全網防御體系

4.各種網絡行為的記錄、審計

5.對各種攻擊的檢測（入侵檢測功能）藍盾內網保密審計系統內網保密審計系統的作用藍盾內網保密審計系統藍盾內網保密審計系統組成

系統由以下三部分組成：

1.網絡安全監控器

2.主機代理客戶端

3.控制中心藍盾內網保密審計系統藍盾內網保密審計系統組成藍盾內網保密審計系統功能文件檢測防護共享防護外聯監控網絡檢測防護功能設備管理和認證注冊表檢測防護主機日志監控主機資源審計異常檢測入侵檢測與取證功能蠕蟲檢測與隔離藍盾內網保密審計系統功能文件檢測防護藍盾內網保密審計系統藍盾內網保密審計系統全網防御技術HostAHostCHostB聯防中心InternetNIDS全網防御技術HostAHostCHostB聯防中心In

黑客偵查與追蹤技術藍盾黑客偵查與追蹤系統黑客偵查與追蹤技術藍盾黑客偵查與追蹤系統藍盾黑客偵查與追蹤系統系統組成

1、現場勘查分析

2、服務器監控

3、遠程追蹤分析控制軟件服務監控軟件遠程追蹤探頭藍盾黑客偵查與追蹤系統系統組成分析控制軟件服務監控軟件遠程追藍盾黑客偵查與追蹤系統原理藍盾黑客偵查與追蹤系統原理藍盾黑客偵查與追蹤系統遠程追蹤藍盾黑客偵查與追蹤系統遠程追蹤蜜罐（陷阱）技術一、蜜罐取證和反向拍照1、黑客攻擊三步曲掃描攻擊破壞試探性攻擊留后門掃描和試探性攻擊階段黑客一般用自身IP進行。而在進攻和破壞階段黑客一般都會通過傀壘機進行蜜罐（陷阱）技術一、蜜罐取證和反向拍照1、黑客攻擊三步曲掃蜜罐（陷阱）技術2、蜜罐取證原理記錄報警虛擬服務反向掃描拍照黑客主機蜜罐（陷阱）技術2、蜜罐取證原理記錄報警虛擬服務反向掃描拍照蜜罐（陷阱）技術A、記錄模塊

記錄所有攻擊信息、攻擊流程、黑客IP和使用的工具。B、報警模塊向管理機發出警報信息。C、反向掃描拍照模快對黑客主機進行反向掃描得出該主機的一些信息，如：主機名、用戶名操作平臺、版本號啟用的服務端口、應用程序版本信息其它該主機存在一些漏洞信息。蜜罐（陷阱）技術A、記錄模塊DDoS攻擊防御技術當前DDoS防御技術SYN代理SYN網關藍盾DDoS防御網關DDoS攻擊防御技術當前DDoS防御技術DDoS攻擊防御方法SYN中繼（代理）工作原理HostFWserverDDoS攻擊防御方法SYN中繼（代理）HostFWserveSYN中繼（代理）1)HFW2)HSYN/ACKFW3)HACKFWFWS4)FWSFWSSYNSYN/ACKACK5)6)SYNSYN中繼（代理）1)HFW2)HSYN/ACKFWSYN中繼（代理）存在問題FW必須建立一個很大的鏈表來儲存所有SYN請求，當有大量的SYN攻擊包到來，FW一樣會崩潰。保護了服務器，堵死了防火墻SYN中繼（代理）存在問題DDoS攻擊防御方法SYN網關工作原理HostFWserverDDoS攻擊防御方法SYN網關HostFWserverSYN網關HFWSFWS1）2）SYNSYNSYN/ACKHFWS3）HFWS4）FWS5）