计算机网络安全技术讲座.ppt

计算机网络安全技术讲座 潘瑜,2006年7月,1,计算机网络安全技术讲 座,江苏技术师范学院 计算机科学与工程学院,潘 瑜,Mail: ,计算机网络安全技术讲座 潘瑜,2006年7月,2,网络安全管理员必须十分了解网络面临的威胁和可能受到的攻击 知己知彼、百战百胜,计算机网络安全技术讲座 潘瑜,2006年7月,3,背景介绍 关于黑客 普通用户可能受到的攻击 网络或主机可能受到的攻击 常见问题 结束语,内容提要,计算机网络安全技术讲座 潘瑜,2006年7月,4,报告内容提要,背景介绍,计算机网络安全技术讲座 潘瑜,2006年7月,5,网络中存在的安全威胁,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,计算机网络安全技术讲座 潘瑜,2006年7月,6,这就是黑客 ？,计算机网络安全技术讲座 潘瑜,2006年7月,7,什么是黑客 ？,黑客（hacker）是那些检查（网络）系统完整性和安全性的人，他们通常非常精通计算机硬件和软件知识，并有能力通过创新的方法剖析系统。 “黑客”通常会去寻找网络中漏洞，但是往往并不去破坏计算机系统。 正是因为黑客的存在，人们才会不断了解计算机系统中存在的安全问题。 入侵者（Cracker）只不过是那些利用网络漏洞破坏网络的人，他们往往会通过计算机系统漏洞来入侵，他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。真正的黑客应该是一个负责任的人，他们认为破坏计算机系统是不正当的。 现在hacker和Cracker已经混为一谈，人们通常将入侵计算机系统的人统称为黑客。,计算机网络安全技术讲座 潘瑜,2006年7月,8,黑客们通常遵守的规范,不恶意破坏任何系统,这样做只会带来麻烦。恶意破坏它人的软件或系统将导致法律刑责,如果只是使用别人的电脑,那仅为非法使用 绝不修改任何系统文件,除非认为有绝对把握的文件，或者有绝对的必要。 3 不要将已破解的任何信息与人分享，除非此人可以信赖。 4 当发送相关信息到BBS时，对于当前所做的黑事尽可能说的含糊一些，以避免BBS受到警告。 5 在BBS上Post文章的时候不要使用真名和真实的电话号码。,计算机网络安全技术讲座 潘瑜,2006年7月,9,黑客们通常遵守的规范,6 如果黑了某个系统，绝对不要留下任何的蛛丝马迹。（绝对不要留下大名或者是绰号之类的，这时由于成功的兴奋所导致的个人过度表现欲望会害死黑客的。） 7 不要侵入或破坏政府机关的主机。 8 不在家庭电话中谈论你Hack的任何事情。 9 将黑客资料放在安全的地方。 10 想真正成为黑客，你必须真枪实弹去做黑客应该做的事情。不能仅仅靠坐在家里读些黑客之类的文章或者从BBS中扒点东西，就能成为黑客，这不是黑客的真正含义。目前黑客在信息安全范畴内特指：对电脑系统的非法侵入者。,计算机网络安全技术讲座 潘瑜,2006年7月,10,黑客入侵和破坏的危险,黑客在网上的攻击活动每年以十倍速增长。 修改网页进行恶作剧、窃取网上信息兴风作浪。 非法进入主机破坏程序、阻塞用户、窃取密码。 串入银行网络转移金钱、进行电子邮件骚扰。 黑客可能会试图攻击网络设备，使网络设备瘫痪。,美国每年因黑客而造成的经济损失近百亿美元,他们利用网络安全的脆弱性，无孔不入！,计算机网络安全技术讲座 潘瑜,2006年7月,11,我国信息安全事件统计,CERT有关安全事件的统计,计算机网络安全技术讲座 潘瑜,2006年7月,12,11/29/96,CIA HOMEPAGE,DOJ HOMEPAGE,USAF,HOMEPAGE,被黑的WEB页面举例,计算机网络安全技术讲座 潘瑜,2006年7月,13,因特网上常见的黑客站点,INTERNET 上有超过30,000 个黑客站点： 黑客咨询站 黑暗魔域 黑客专家 黑客工作室 中国红客 黑客俱乐部 来自于黑客站点主页上的一些目录 兴旺的一伙：为了兴趣和利益 击破隐藏的口令保护 发送EMAIL的漏洞列表 如何成为一个UNIX黑客 你曾经想成为特权用户吗？ 怎样隐藏你的痕迹或破坏 ,G. Mark Hardy,计算机网络安全技术讲座 潘瑜,2006年7月,14,哪些人会成为黑客？,黑客的态度（黑客技术与网络安全书） 做一名黑客有很多乐趣，但却是些要费很多气力方能得到的乐趣。 这些努力需要动力。 一个问题不应该被解决两次（共享信息） 黑客们应该从来不会被愚蠢的重复性劳动所困扰 黑客们是天生的反权威主义者。 态度不能替代能力,计算机网络安全技术讲座 潘瑜,2006年7月,15,哪些人会成为黑客？,对操作系统有深入的研究 得到一个开放源码的Unix并学会使用、运行它 熟悉网络协议，特别是精通TCP/IP协议 学习如何编程 Python, C, Perl, and LISP 学会如何使用WWW和写HTML 收集相关系统漏洞，对已知漏洞的分析能帮助发现新漏洞和提高防护能力,计算机网络安全技术讲座 潘瑜,2006年7月,16,报告内容提要,普通用户可能 受到的攻击,计算机网络安全技术讲座 潘瑜,2006年7月,17,普通用户可能受到的攻击,侵入系统 获取机密信息 计算机病毒 逻辑炸弹 特洛伊木马 网络攻击 安全防范,计算机网络安全技术讲座 潘瑜,2006年7月,18,侵入系统,侵入Win9X系统 新建用户 取消用户登录 文件共享 网络邻居 运行命令：17c$ 侵入windows2000/windows XP 输入法 Guest用户 文件共享 突破屏幕保护,计算机网络安全技术讲座 潘瑜,2006年7月,19,获取机密信息,文件拷贝 用户密码窃取 安装专用软件获取计算机登录密码：Cmos密码、Windows密码、屏幕保护口令密码 如CmosPwd、award、Screen、ntkd、pwltool、openpass等 加密文件的破译 如ZipPass、CrackArj、Recovers、Wwprt11d等 安装木马，记录键盘信息等，如KeyKey、HookDump 破坏计算机文件,计算机网络安全技术讲座 潘瑜,2006年7月,20,计算机病毒,破坏计算机正常运行的程序 具有传染性、隐蔽性、潜伏性、破坏性等特点 包括引导型、文件型、和混合型,计算机网络安全技术讲座 潘瑜,2006年7月,21,逻辑炸弹,逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。,计算机网络安全技术讲座 潘瑜,2006年7月,22,特洛伊木马,木马的工作原理; 木马的分类： 远程访问型； 密码发送型； 键盘记录型； 毁坏型。 常见的几种木马： BO2000； 冰河； SubSeven；,计算机网络安全技术讲座 潘瑜,2006年7月,23,木马常用欺骗法,捆绑欺骗：如把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人 ； 危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载 ；或直接将木马改名上载到FTP网站上，等待别人下载； 文件夹惯性点击：把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹； zip伪装：将一个木马和一个损坏的zip包捆绑在一起，然后指定捆绑后的文件为zip图标； 网页木马法,计算机网络安全技术讲座 潘瑜,2006年7月,24,常见木马程序,Inet20：可以发送密码出去的木马，启动位置HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunInet HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSend Indoc：可把对方的机器信息，OUTLOOK，ICQ，硬盘，以及网络消息发送出去的木马 ，启动位置 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce “Msgsrv16“=“Msgsrv16“ HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce “Msgsrv16“=“Msgsrv16“ HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun “Msgsrv16“=“Msgsrv16“ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “Msgsrv16“=“Msgsrv16“ HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices “Msgsrv16“=“Msgsrv16“ Fatalerr：骗取别人密码的东西，出现错误的提示窗口，让你从新输入密码，然后将密码保存到c:os32779.sys Eps：偷别人E-MAIL密码的木马。删除方法Winstart.bat: ctty nul C:WINDOWSPRICOL.EXE.EXE HKCUSoftwareMirabilisICQAgentAppsRun Path=C:WINDOWSPRICOL.EXE.EXE,计算机网络安全技术讲座 潘瑜,2006年7月,25,冰河介绍,国内黑客组织编写； 分为服务器端和客户端：G_Server.exe和G_Client.exe 功能齐全： 跟踪屏幕变化； 记录各种口令； 获取系统信息； 控制系统； 注册表操作； 文件操作； 点对点通信 缺省使用7626端口,计算机网络安全技术讲座 潘瑜,2006年7月,26,冰河介绍,计算机网络安全技术讲座 潘瑜,2006年7月,27,冰河介绍,启动冰河,计算机网络安全技术讲座 潘瑜,2006年7月,28,木马的防范,木马首先会隐藏自己： 在任务栏中隐藏 ； 在任务管理器中隐形 ； 悄没声息地启动 ：如启动组、win.ini、system.ini、注册表等； 注意自己的端口； 伪装成驱动程序及动态链接库：如Kernl32.dll，sysexlpr.exe 等。 防范： 端口扫描； 查看连接； 检查注册表 ； 查找文件 ； 杀病毒软件或木马清除软件。,计算机网络安全技术讲座 潘瑜,2006年7月,29,流行木马大清除,BO2000： 查看注册表HEKY-LOCAL-MACHINESoftwareMicrosoftWindows CurrentVersionRunServicse 中是否存在Umgr32.exe 的键值。有则将其删除。 重新启动电脑，并将WindowsSystem中的Umgr32.exe删除。 NetSpy： 查看注册表HEKY-LOCAL-MACHINESoftwareMicrosoftWindows CurrentVersionRun 中是否有“Spynotify.exe”和“Netspy.exe”。有则将其删除。 重新启动电脑后将WindowsSystem中的相应文件删除。 Happy99： 此程序运行时，会在打开一个名为“Happy new year 1999”的窗口，并出现美丽的烟花，它会复制到Windows主文件夹的“System”目录下，更名为Ska.exe，并创建文件Ska.dll，同时修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。 检查注册HEKY-LOCAL-MACHINESoftwreMicrosoftWindows Current VersionRunOnce中有无键值Ska.exe。有则将其删除。 删除WindowsSystem中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。 NetBus： 在MS-DOS方式下用“Netstat-a”命令查看12345端口是否开启； 在注册表相应位置中是否有可疑文件。清除注册表中的NetBus的主键。 重新启动电脑，删除可执行文件即可。,计算机网络安全技术讲座 潘瑜,2006年7月,30,流行木马大清除,Asylum： 这个木马程序是修改了system.ini、win.ini两个文件； 查一下system.ini文件下面的BOOT项，看看“shell=explorer.exe”，如不是则删除它，用回上面的设置，并记下原来的文件名以便回过头去在纯DOS下删除它。 再打开win.ini文件，看在windows项下的“run=”是不是有什么文件名，一般情况下是没有任何加载值的，如有记下它以便回过头过在纯DOS下删除相应的文件名。 冰河： 用纯DOS启动进入系统，删除你安装的windows下的systemkernel32.exe和systemsysexplr.exe两个木马文件 删除后进入windows系统进入注册表中，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices两项，然后查找kernel32.exe和sysexplr.exe两个键值。 再找到HKEY_CLASSES_ROOTtxtfileopencommand,看在键值中是不是已改为“sysexplr.exe%1”，如是改回“notepad.exe %1”,计算机网络安全技术讲座 潘瑜,2006年7月,31,流行木马大清除,GOP： GOP木马会在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键下添加一个键值让自己自动运行。 首先要禁止该项。点击“开始”“运行”，输入“msinfo32”，查看其中的“软件环境”“正在运行的任务”，如果发现哪个项目只有程序名和路径，而没有版本、厂商和说明，就应该提高警惕了。一般说来，GOP木马在这里显示的版本为“不能用”。 运行regedit，进入到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键，记住刚才那个身份不明的运行项目，找到后删除该键值。 然后关闭计算机，稍候一下启动计算机。还记得刚才查看到的项目路径吧？那就是木马的程序的藏身之处！删除木马程序本身。,计算机网络安全技术讲座 潘瑜,2006年7月,32,恶意代码,聊天室或浏览网页时发生，主要是Script代码 默认主页被修改 IE标题栏被修改 开机时出现提示框 IE地址栏下多出了文字 在注 册表中对IE相关的注册表项如 默认主页等修改无效 Internet Exploer中点击右键，菜单中出现非法站点的链接 修改了操作系统 实例： 令浏览器端打开无数个窗口。预防：关闭java Html页面格式化客户端硬盘等。 Html打开本地一个超长文件名所指的文件，致使Windows死机,计算机网络安全技术讲座 潘瑜,2006年7月,33,网络攻击,拒绝服务型炸弹 OOB攻击 IGMP炸弹,计算机网络安全技术讲座 潘瑜,2006年7月,34,OOB攻击,OOB(Out Of Band)，是TCP/IP的一种传输模式 对Win95/WinNt4.0以前的版本起作用 向139端口发送0字节的数据包，系统会尽力恢复该数据包，导致系统资源费尽 常见工具WinNuke、VOOB、IPHacker等,计算机网络安全技术讲座 潘瑜,2006年7月,35,OOB攻击,WinNuke,VOOB,计算机网络安全技术讲座 潘瑜,2006年7月,36,IGMP炸弹,IGMP是一种类似于ICMP的协议，尚处于试验阶段； 系统收到畸形的IGMP包时，会出现蓝屏、死机； 如:NewIgmp、Ping-g、IcmpFlooder等； 防范：可以使用个人防火墙。,计算机网络安全技术讲座 潘瑜,2006年7月,37,IPHacker,启动IpHacker,计算机网络安全技术讲座 潘瑜,2006年7月,38,电子邮件炸弹,发送地址不详、数量巨大、容量庞大、充满乱码或脏话的恶意邮件，即垃圾邮件； 如KaBoom!、HakTek等,计算机网络安全技术讲座 潘瑜,2006年7月,39,KaBoom,计算机网络安全技术讲座 潘瑜,2006年7月,40,黑客是否光顾过你的电脑,计算机有时死机，有时重新启动； 在没有什么特殊操作时，却拼命读写硬盘； 莫名其妙的对软驱进行操作； 没有运行大程序，但系统速度运行减慢； 系统运行了你没有运行的非必要的程序； 出现了你想不到的网络连接。,计算机网络安全技术讲座 潘瑜,2006年7月,41,检查系统日志（Windows）,应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%sys tem32config，默认文件大小512KB 安全日志文件：%sys temroot%sys tem32configSecEvent.EVT 系统日志文件：%sys temroot%sys tem32configSysEvent.EVT 应用程序日志文件：%sys temroot%sys tem32configAppEvent.EVT Internet信息服务FTP日志默认位置：%sys temroot%sys tem32logfilesmsftpsvc1，默认每天一个日志 Internet信息服务WWW日志默认位置：%sys temroot%sys tem32logfilesw3svc1，默认每天一个日志 Scheduler服务日志默认位置：%sys temroot%schedlgu.txt,计算机网络安全技术讲座 潘瑜,2006年7月,42,检查系统日志（Unix）,系统LOG目录： /usr/adm：早期版本的UNIX /var/adm：新一点的版本使用这个位置 /var/log：一些版本的Solaris，Linux BSD，Free BSD使用这个位置 /etc：大多数UNIX版本把utmp放在此处，一些也把wtmp放在这里，这也是syslog.conf 的位置 下面的一些文件根据你所在的目录不同而不同： acct 或 pacct：记录每个用户使用的命令记录； access_log：主要使用来服务器运行了NCSA HTTPD，这记录文件会有什么站点连接过 你的服务器； aculog：保存着你拨出去的MODEMS记录； lastlog：记录了用户最近的LOGIN记录和每个用户的最初目的地，有时是最后不成功 LOGIN的记录； loginlog：记录一些不正常的LOGIN记录； messages：记录输出到系统控制台的记录，另外的信息由syslog来生成； security：记录一些使用UUCP系统企图进入限制范围的事例； sulog：记录使用su命令的记录； utmp：记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不 断变化； utmpx：UTMP的扩展； wtmp：记录用户登录和退出事件； syslog：最重要的日志文件，使用syslogd守护程序来获得日志信息； /dev/log ：一个UNIX域套接字，接受在本地机器上运行的进程所产生的消息； /dev/klog：一个从UNIX内核接受消息的设备；,计算机网络安全技术讲座 潘瑜,2006年7月,43,安全防范,为win98加把锁 按照正常方式在win98中添加一个用户名和密码； 重新启动计算机,在登录时按esc键，采用默认方式进入系统； 启动注册表管理程序； 进入HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowscurrentversionpoliciesexplorer 新建NoResttrictRun、NoDesktop、NoFind、NoSetFolders、NoRun、NoTaskbar等六个DWORD值，其值为1； 删除缺省用户开始菜单“程序”菜单及“文档”菜单所显示的所有内容； 关闭注册表编辑器； 重启系统。,计算机网络安全技术讲座 潘瑜,2006年7月,44,安全防范,Windows 2000下修改注册表加强PC安全 设置生存时间 位置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 值：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) 说明：指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达目标前在网络中生存的最大时间。它实际上限定了IP数据包在丢弃前允许通过的路由器数量。有时利用此数值来探测远程主机操作系统。 防止ICMP重定向报文的攻击 Y_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 说明：该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它 的ICMP重定向消息，有时会被利用来干坏事.Win2000中默认值为1，表示响应ICMP重定向报 。,计算机网络安全技术讲座 潘瑜,2006年7月,45,安全防范,禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2) 说明：“ICMP路由公告”功能可造成他人计算机的网络连接异常、数据被窃听、计算机被 用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积，长时间的网络异常。因此建议关闭响应ICMP路由通告报文。Win2000中默认值为2，表示当DHCP发送路由器发现选项时启用。 防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAttackProtect REG_DWORD 0x2(默认值为0x0) 说明：SYN攻击保护包括减少SYN-ACK重新传输次数，,以减少分配资源所保留的时 间。路由缓存项资源分配延迟，直到建立连接为止。如果synattackprotect=2，则AFD的连接指示一直延迟到三路握手完成为止。注意，仅在TcpMaxHalfOpen和 TcpMaxHalfOpenRetried设置超出范围时，保护机制才会采取措施。,计算机网络安全技术讲座 潘瑜,2006年7月,46,安全防范,禁止C$、D$一类的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareServer、REG_DWORD、0x0 禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareWks、REG_DWORD、0x0 限制IPC$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机IPC$共享 说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server,计算机网络安全技术讲座 潘瑜,2006年7月,47,安全防范,不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters IGMPLevel REG_DWORD 0x0(默认值为0x2) 说明：Win9x下有个bug，就是用可以用IGMP使别人蓝屏，修改注册表可以修正这个 bug。Win2000虽然没这个bug了，但IGMP并不是必要的，因此照样可以去掉。 不支持路由功能 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters IPEnableRouter REG_DWORD 0x0(默认值为0x0) 说明：把值设置为0x1可以使Win2000具备路由功能，由此带来不必要的问题。,计算机网络安全技术讲座 潘瑜,2006年7月,48,报告内容提要,网络或主机可能受到的攻击,计算机网络安全技术讲座 潘瑜,2006年7月,49,网络或主机可能受到的攻击,网络攻击的一般步骤 扫描器 缓冲区溢出 口令攻击 Sniffer 利用Web进行攻击 拒绝服务攻击 欺骗攻击,计算机网络安全技术讲座 潘瑜,2006年7月,50,攻击的三个阶段,准备阶段：寻找目标，收集信息 实施阶段：获得初始的访问控制权与特权 善后工作：清除踪迹，留下后门。,G. Mark Hardy,计算机网络安全技术讲座 潘瑜,2006年7月,51,攻击的目的,获取控制权 好奇、恶作剧、证明实力 执行进程 获取文件和传输中的数据 获取超级用户权限、越权使用资源 对系统进行非法访问 进行不许可操作、越权使用 拒绝服务 涂改信息、暴露信息,G. Mark Hardy,计算机网络安全技术讲座 潘瑜,2006年7月,52,信息收集,突破网络系统的第一步是各种形式的信息收集。 黑客可以使用下面几种工具来收集这些信息： SNMP协议，用来查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。 TraceRoute程序能够得出到达目标主机所要经过的网络数和路由器数。 Whois协议是一种信息服务，能够提供有关所有DNS域和负责各个域的系统管理员数据。不过这些数据常常是过时的。 DNS服务器可以访问主机的IP地址表和它们对应的主机名。 Finger协议能够提供特定主机上用户们的详细信息（注册名、电话号码、最后一次注册的时间等）。 Ping程序可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中，可以Ping网络上每个可能的主机地址，从而可以构造出实际驻留在网络上的主机的清单。,计算机网络安全技术讲座 潘瑜,2006年7月,53,安全弱点的探测,通过漏洞扫描，找出主机上可以利用的漏洞。 收集到目标机构的网络信息之后，黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机。 由于已经知道的服务脆弱性较少，水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。 有几种公开的工具，如ISS(Internet Security Scanner, Internet安全扫描程序），SATAN(Security Analysis Tool for Auditing Networks，审计网络用的安全分析工具），可以对整个域或子网进行扫描并寻找安全上的漏洞。这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。 聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁（Patches）进行升级。,计算机网络安全技术讲座 潘瑜,2006年7月,54,善后工作,隐藏踪迹：完整的删除日志； 留下后门： 建立帐号：如使用CronTab实现定时地添加或删除帐号。 上载木马：如使用ICMP木马穿越防火墙的包过滤等。 修改内核。,计算机网络安全技术讲座 潘瑜,2006年7月,55,典型的网络攻击示意图,计算机网络安全技术讲座 潘瑜,2006年7月,56,常用的扫描工具,ping判断主机死活 tcp/udp scan 结合常规服务约定，根据端口判断提供服务 OS indentify 发送奇怪的tcp包, 不同的操作系统反应不同，queso, nmap(port scan) Account scans 利用Email，finger等工具获得系统账号消息（用户名、最后一次登陆时间） retina由eEye最新推出的严重威胁NT server的安全的扫描工具,它对扫描的目标NT主机的威胁是极其大的，通过扫描可以得到许多关于目标主机的系统弱点和信息，其中信息包括有：NetBios、CGI、UDP、ASP、FTP、DNS、D.O.S、POP、SMTP、注册表、服务、用户帐号、密码、SQL server、Proxy server以及Firewall和router十多个模块的弱点扫描 TWWWscan v0.2 基于WWW的扫描器，能扫162个WWW/CGI漏洞，显示网站的头部，以及服务器信息,计算机网络安全技术讲座 潘瑜,2006年7月,57,常用的扫描工具,DomainScan扫描主机断口开放情况，以及网上公共服务器有没有后门等。 小营流光：国内最棒的猜解密码软件，对ftp、http、代理服务器、Email信箱等都可以 。 ipseeker根据对方的IP地址查到他的位置和ISP.可以轻松的查出给你发信人的位置,你就可以知道你的那些通过E-mail交流的网友都是哪里的人了以及他的ISP ipscan IP扫描工具 tcpview快速的列出你已经建立了的TCP连接 sitescan搜寻网络上有漏洞的主机 etherboy是以太网的数据包截取和分析工具 voideye扫描78个CGI已知漏洞,并可自己添加漏洞扫描 ISS迄今最为完善的漏洞扫描工具，可以自己定义扫描策略 Sniffer网络数据包检测工具 NetXray网络流量分析工具。可以抓取网络数据包，分析网络通信协议,计算机网络安全技术讲座 潘瑜,2006年7月,58,网络监听,网络监听的作用： 可以截获用户口令； 可以截获秘密的或专用的信息； 可以用来攻击相邻的网络； 可以对数据包进行详细的分析； 可以分析出目标主机采用了哪些协议。,计算机网络安全技术讲座 潘瑜,2006年7月,59,常用网络监听工具,计算机网络安全技术讲座 潘瑜,2006年7月,60,缓冲区溢出,什么是缓冲区溢出？ 简单地说，缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据，导致数据越界，结果覆盖了原先的堆栈数据 缓冲区溢出可以使得主机系统瘫痪；可以获取系统的登录账号；可以获得系统的超级用户权限。,计算机网络安全技术讲座 潘瑜,2006年7月,61,缓冲区溢出原理,例如: int main() char name8; printf(“Your name is: ”); gets(name); printf(“%s”, name); return 0; ,内存底部,内存顶部,Name EBP ret, , Tom0 , AAAAAAAA AAAA AAAA,CPU将执行0x41414141，非法指令！如果使用存在的合法指令代替以上非法指令，则CPU将会继续执行！,计算机网络安全技术讲座 潘瑜,2006年7月,62,逻辑炸弹,逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。,计算机网络安全技术讲座 潘瑜,2006年7月,63,口令攻击,Clear-text sniffing 大量的应用程序都是传送明文密码 Encrypted sniffing 窃听加密密码并解密 Password file stealing 窃取密码文件，利用工具破解 Social Engineering 社会诈骗,计算机网络安全技术讲座 潘瑜,2006年7月,64,密码攻击软件,John The Ripper这个软件由著名的黑客组织-UCF出的,它支持Unix, Dos, Windows, 速度超快,可以说是目前同类中最杰出的作品。 对于老式的passwd档(就是没shadow的那种,任何人能看的都可以把passwd 密文存下来),John可以直接读取并用字典穷举击破。 对于现代的 passwd + shadow的方式, John提供了UNSHADOW程序直接把两者合成出老式passwd文 件。 WebCrack加了密码的web网站的破解工具 Password Unmask是一个可以将*号密码显示出来的软件。能够帮助电脑使用者解出ISP、电子邮件、 FTP等*号密码背后的真正信息，也就是能够让你得知真正的密码。 Wwprt11d破解WORD文件的工具 LophtCrack Win NT的克星,专门解NT的密码 e-pwdcache运行在WINDOWS 9x的小工具, 能在本地机器找出所有cached中的密码 fastzip快速破解ZIP文件的密码 hackftp针对IIS的FTP服务暴力破解工具,IIS没有密码传输的加密机制 小萤流光 密码在线破解，可以破解Web、FTP、POP3、Proxy的登录密码,计算机网络安全技术讲座 潘瑜,2006年7月,65,Unix密码文件的存放位置,AIX 3 /etc/security/passwd! 或/tcb/auth/ HP-UX /.secure/etc/passwd* Linux1.1 /etc/shadow* SunOs 4.1+c2 /etc/security/passwd.adjunct # username SunOs 5.0 /etc/shadow SCO Unix #.2.x /tcb/auth/files/ Ultrix 4 /etc/auth.dir|.pag UNICOS /etc/udb*,计算机网络安全技术讲座 潘瑜,2006年7月,66,密码设计原则,不用中文拼音、英文单词 不用生日、纪念日、有意义的字符串 使用大小写字母、符号、数字的组合,计算机网络安全技术讲座 潘瑜,2006年7月,67,保持口令安全的要点,* 不要将口令写下来。 * 不要将口令存于电脑文件中。 * 不要让别人知道。 * 不要在不同系统上使用同一口令。 * 为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。 定期改变口令,至少6个月要改变一次。,计算机网络安全技术讲座 潘瑜,2006年7月,68,蠕虫,蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫可以修改、删除别的程序，但它也可以通过疯狂的自我复制来占尽网络资源，从而使网络瘫痪。,计算机网络安全技术讲座 潘瑜,2006年7月,69,后门与隐蔽通道,调试后门：为方便调试而设置的机关，系统调试完成后未能及时消除。 维护后门：为方便远程维护所设置的后门，被黑客恶意利用。 恶意后门：由设计者故意设置的机关，用以监视用户的秘密乃至破坏用户的系统 隐蔽通道：是一种允许违背合法的安全策略的方式进行操作系统进程间通信（IPC）的通道。隐蔽通道又分为隐蔽存储通道与隐蔽时间通道。隐蔽通道的重要参数是带宽。,计算机网络安全技术讲座 潘瑜,2006年7月,70,路由攻击,注入假的路由到路由选择系统 重定向业务流到黑洞 重定向业务流到慢的链接 重定向业务流到可以分析与修改的地点,计算机网络安全技术讲座 潘瑜,2006年7月,71,利用Web进行攻击,CGI为用户提供数据交互 服务器对用户数据的解释可能会带来问题 编程语言本身的缺陷 ASP存在泄漏源代码的可能 常见的CGI和ASP程序存在漏洞,计算机网络安全技术讲座 潘瑜,2006年7月,72,CGI的安全性,非正常的表单数据：如超长等 不合理的数据来源：如用POST方法给WEB服务器发送上百兆字节数据 处理HTML问题 零字节毒药,计算机网络安全技术讲座 潘瑜,2006年7月,73,ASP的安全性,泄漏源代码 IIS中，使用以下URL将会泄漏ASP的源代码： /my.asp:$DATA /my.asp&2e /my.asp. /my%2e%asp /my%2e%41sp /my.asp%81或82 /my.asp%e9或e8 编程问题 FileSystemObject 数据库密码验证问题 饱含文件.inc：,计算机网络安全技术讲座 潘瑜,2006年7月,74,网络协议攻击,WinNuke攻击原理 当Windows NT和Windows95系统的某些端口，如139号NetBIOS端口，接收到Out-of-Band数据时，系统不能正确地处理这些数据，造成系统的死机。 LAND攻击原理 当对113或139号端口发送一个伪造的SYN报文时，如果报文中的源端主机的IP地址和端口与目的主机的IP地址和端口相同，例如从:139发送到:139，这时目标主机将会死机。,计算机网络安全技术讲座 潘瑜,2006年7月,75,UDP攻击,UDP攻击原理 UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务（例如chargen服务(UDP)和echo服务(UDP)）之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪。,计算机网络安全技术讲座 潘瑜,2006年7月,76,PING 、SMURF攻击,ICMP/PING 攻击原理 ICMP/PING攻击是利用一些系统不能接受超大的IP包或需要资源处理这一特性。如在Linux下输入Ping -t 66510 IP（未打补丁的Win95/98的机器），机器就会瘫痪。 ICMP/SMURF 攻击原理 ICMP/SMURF攻击利用的是网络广播的原理来发送大量的地址，而包的源地址就是要攻击的机器本身的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包。,计算机网络安全技术讲座 潘瑜,2006年7月,77,Smurf攻击,检测：如果在网络内检测到目标地址为广播地址的icmp包。证明内部有人发起了这种攻击（或者是被用作攻击，或者是内部人员所为）；如果icmp包的数量在短时间内上升许多(正常的ping程序每隔一秒发一个ICMP echo请求)，证明有人在利用这种方法攻击系统。,计算机网络安全技术讲座 潘瑜,2006年7月,78,Teardrop :许多系统在处理分片组装时存在漏洞，发送异常的分片包会使系统运行异常，teardrop便是一个经典的利用这个漏洞的攻击程序。其原理如下（以linux为例）：发送两个分片IP包，其中第二个IP包完全与第一个在位置上重合。,在linux(2.0内核)中有以下处理:当发现有位置重合时（offset2end1）,将offset向后调到end1（offset2=end1）, 然后更改len2的值：len2=end2-offset2;注意此时len2变成了一个小于零的值，在以后处理时若不加注意便会出现溢出。 检测：组装时检查len2的值便可，这样可以发现所有的变种（如newtear）。,网络攻击举例,计算机网络安全技术讲座 潘瑜,2006年7月,79,网络攻击举例,TARGA3 攻击 (IP 堆栈突破)原理 TARGA3 攻击的基本原理是发送TCP/UDP/ICMP的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不规范数据包，便会使其TCP/IP堆栈出现崩溃，从而导致无法继续响应网络请求（即拒绝服务）。 Jolt2:jolt2是2000年五月份出现的新的利用分片进行的攻击程序，几乎可以造成当前所有的windows平台（95,98,NT,2000）死机。原理是发送许多相同的分片包，且这些包的offset值(65520 bytes)与总长度(48 bytes)之和超出了单个IP包的长度限制（65536 bytes）。 检测：组装时检查这种超出IP包最长限度的情况。,计算机网络安全技术讲座 潘瑜,2006年7月,80,OS detection,描述：在攻击发起之前，攻击者会尽可能的收集对方系统的信息,检测出对方操作系统的类型甚至版本尤为重要。nmap和queso等工具均可通过发送各种异常的数据包，并通过观察系统的不同反映来准确的鉴定远端的操作系统类型。 检测：因为其发出的数据包本身比较特殊，通过观察此特征可检查此类行为。如queso利用了TCP中未定义的标志，Linux系统的返回包将包含这个标志，而其他系统则会关闭连接。nmap向端口发出只有FIN标记的TCP数据包，许多系统如Windows，BSDI，CISCO，HP/UX和IRIX返回RESET。,计算机网络安全技术讲座 潘瑜,2006年7月,81,拒绝服务攻击,什么是拒绝服务攻击？ 为什么要进行Dos攻击 放置木马需要重启 使用IP欺骗，使冒用主机瘫痪 使得被攻击的目标主机的日志系统失效 DoS攻击 land, teardrop, SYN flood ICMP: smurf,计算机网络安全技术讲座 潘瑜,2006年7月,82,拒绝服务： LAND 攻击,攻击者 ,目标 2,欺骗性的 IP 包 源地址 2 Port 139 目的地址 2 Port 139 TCP Open,G. Mark Hardy,计算机网络