《网络攻防技术与实践》.doc

网络攻防技术与实践 北京大学网络攻防技术与实践课程 1 网络攻防技术概述与课程简介 诸葛建伟 zhugejianweicomcn 北京大学计算机研究所信安中心 2008年9月23 日 网络攻防技术与实践课程 1 Copyright c 20082009 诸葛建伟 内容 1 网络攻击和取证分析案例演示 2 黑客与黑客文化 3 网络攻防技术概述 4 课程简介 2008年9月23 日 网络攻防技术与实践课程 2 Copyright c 20082009 诸葛建伟 案例演示背景 黛蛇蠕虫 黛蛇蠕虫 Dasher 2005年国内爆发的知名蠕虫案例 狩猎女神项目组参与应急处理的第一个实际网络攻击案例 2005年12月15日北京时间2145狩猎女神项目组国内第一 时间截获蠕虫样本 2005年12月16日北京时间1024向CNCERTCC汇报了 Dasher蠕虫的爆发 定位用于传播的ShellFTP服务器 2005年12月16日北京时间1930协助CNCERTCC关闭 FTP Dasher蠕虫感染上万台主机 2005年12月16日北京时间1945发布黛蛇蠕虫分析报告 2005年12月17日协助CNCERTCC对相关主机进行取证分析 定位蠕虫编写和投放者为XXXX某ADSL用户 上报相关部门 2005年12月18日北京时间1500协助CNCERTCC发布 黛蛇 Dasher 蠕虫公告 2008年9月23 日 网络攻防技术与实践课程 3 Copyright c 20082009 诸葛建伟 黛蛇蠕虫CNCERTCC公告 2008年9月23 日 网络攻防技术与实践课程 4 Copyright c 20082009 诸葛建伟 黛蛇蠕虫机理图示 控制指令服务器 FTP服务器 Network 下载黛蛇蠕虫 感染源 连接控制指令服务 器获取下载FTP服 务器位置和指令 感染目标感染目标 攻击MSDTC 网关 WINS uPnP MSSQL 进一步传播 服务漏洞注入 Shellcode 激活 黛蛇蠕虫 感染目标 感染目标 2008年9月23 日 网络攻防技术与实践课程 5 Copyright c 20082009 诸葛建伟 黛蛇蠕虫案例演示环境 虚拟蜜网攻防实验环境 一台较高性能笔记本或PC 如何构建 第二堂课主要内 容 黛蛇蠕虫攻击源 宿主操作系统上构建 虚拟蜜网 虚拟机软件VMware Workstation 蜜网网关 ROO V13 虚拟机蜜罐 靶机 Windows 2K SVR 2008年9月23 日 网络攻防技术与实践课程 6 Copyright c 20082009 诸葛建伟 Metasploit渗透攻击软件 Metasploit渗透攻击 代码 httpmetas ploitorg come 渗透攻击代码和工具的开 发平台 2004年发布稳定版本 21版目前为30 与商业渗透测试软件 CANVASIMPACT构 成竞争 2008年9月23 日 网络攻防技术与实践课程 7 Copyright c 20082009 诸葛建伟 黛蛇蠕虫案例演示过程 黛蛇蠕虫攻击漏洞检测和渗透攻击 利用Metasploit进行uPnP漏洞的渗透攻击 展示Walleye上的攻击数据捕获和分析结果 黛蛇蠕虫的模拟感染过程 启动控制命令服务器NetCat 启动FTP服务器Server-U 执行黛蛇蠕虫中包含的uPnP漏洞渗透攻击脚本 利用Walleye分析由蜜网网关Sebek捕获的黛 蛇蠕虫攻击场景数据 2008年9月23 日 网络攻防技术与实践课程 8 Copyright c 20082009 诸葛建伟 课程作业1问卷调查 共10分 作业11 第一堂课程问卷调查 5分 认真如实填写课堂上发给大家的问卷调查 原则 匿名调查只进行统计分析 调查目的 1 了解情况提高授课针对性和质量 2 科学研究 下课后提交给助教 助教确认收到有效问卷询问学号 登记作业11成绩 作业12 最后一堂课程问卷调查 5分 2008年9月23 日 网络攻防技术与实践课程 9 Copyright c 20082009 诸葛建伟 内容 1 网络攻击和取证分析案例演示 2 黑客与黑客文化 3 网络攻防技术概述 4 课程简介 2008年9月23 日 网络攻防技术与实践课程 10 Copyright c 20082009 诸葛建伟 黑客社区黑客帝国 2008年9月23 日 网络攻防技术与实践课程 11 Copyright c 20082009 诸葛建伟 黑客-Hacker 黑客 hacker 黑客 黑客 黑帽子 black hat - 骇客 cracker 蓝客 blue hat 白帽子 white hat 红客 honker 飞客 phreaker Hacker hacker n 原意用斧头做家具的能工巧匠 黑客词典Jargon File by com Eric S Raymond 2008年9月23 日 网络攻防技术与实践课程 12 Copyright c 20082009 诸葛建伟 黑客的定义-Jargon File 1 享受探索系统的实现细节拓展系统能力的人 2 编程狂热者甚至编程强迫症患者 3 能够欣赏黑客能力和价值的人 4 能够快速提升编程能力的人 5 在某种编程语言和系统上的专家和高手 6 在任意特定领域上的专家和技术狂热者 7 以创造性突破极限的智力挑战为追求和享受的人 8 偏见通过到处刺探尝试发现敏感信息的恶意攻 击者他们应该被称为骇客 2008年9月23 日 网络攻防技术与实践课程 13 Copyright c 20082009 诸葛建伟 黑客文化发展简史 com之A Brief History of Hackerdom 黑客起源实际上就是计算机技术和社区的起源 45-70s Real Programmer时代-史前时代 1945 Eckert Mauchly ENIAC Real Programer 通过硬件器件搭建系统使用原始编程语 言甚至机器码编程通过打卡机punch到卡片上通过读卡机输 入电脑并执行 61-83 黑客远古时代ITS文化 1961 MIT TMRC实验室出现第一台大型机DEC PDP-1 1969 ARPANET进入网络时代 ITS MIT AI Lab操作系统汇编LISP 三大重镇 中心MIT AI Lab Stanford SAIL CMU 1964 Multics操作系统- MIT GE ATT Honeywell 2008年9月23 日 网络攻防技术与实践课程 14 Copyright c 20082009 诸葛建伟 黑客文化发展简史 2 1969- 黑客远古时代Unix文化的兴起 1969 ATT Bell Lab Ken Thompson发明 Unix Dennis Ritchie发明C语言 1980 UUCP Usenet 1983 ARPANET TCPIP 1975- 黑客远古时代微电脑文化新潮 1975 第一台PC IBM5150出现 1975 Bill Gates创建MS 1981 MS-DOS 1977 苹果电脑 1984 Mac OS 1978 Intel 8086 x86 architecture 2008年9月23 日 网络攻防技术与实践课程 15 Copyright c 20082009 诸葛建伟 黑客文化发展简史 3 黑客远古时代的终结 80-83 ITSUnix和微电脑文化同时存在 1983 DEC停止PDP-10生产 集中在PDP- 11和VAX ITS过于复杂无法移植至其他机器 私有Unix时代 1984年ATT解散 Unix分 裂为Berkley Unix BSD 和ATT Unix两 大阵营 开源时代的到来 FSF GNU 2008年9月23 日 网络攻防技术与实践课程 16 Copyright c 20082009 诸葛建伟 黑客文化发展简史 4 开源时代 FSF Free Software Foundation GNU GNU is Not Unix 直至1996年comGNU操作系统- HURD并没有 如期出现 互联网时代 1988-1995全球互联网1991 Tim Berners-Lee 1992 Linux Kernel在互联网上发布-芬兰学生Linus Torvalds 1993年底趋于稳定 com之大教堂与市集 WIntel商业垄断联盟 MS Windows操作系统 Intel x86芯片 2008年9月23 日 网络攻防技术与实践课程 17 Copyright c 20082009 诸葛建伟 黑客社区的分化 随着计算机技术发展和衍生黑客社区逐步缩减至安 全领域 黑客社区的分化 Whitehats Blackhats Grayhats Kevin Mitnick 频繁攻击军方 FBI 商业公司网络被 FBI通缉多年流亡3次入狱成为世界最著名黑客 俄罗斯东欧剧变后追求经济利益的黑帽子大量出现 僵尸网络DDoS攻击和敲诈成为在线服务的重要威胁 垃圾邮件网站钓鱼信用卡盗用网站挂马等针对互联 网用户的攻击日益猖獗 人们逐渐将黑客等同于骇客或计算机犯罪者 骇客总是自称为黑客 媒体报道Computer hacker criminal 2008年9月23 日 网络攻防技术与实践课程 18 Copyright c 20082009 诸葛建伟 Kevin Mitnick Kevin Mitnick 凯文米特尼克 世界头号黑客-最具传奇色彩的黑客人物 Kevin的传奇人生经历 1964年出生洛杉矶父母离异没人管 4岁滑铁卢的拿破仑13岁业余无线电 1979 15岁 闯入了北美空中防务指挥系统 1983年好莱坞大片战争游戏故事蓝本 1980 16岁 太平洋电话公司 联邦调查局 被FBI捕获少年犯管教所第一名电脑网络少年犯 1980-19885家大公司全美数据装配系统 1988 再次被执法当局逮捕 1993 非法侵入电话网 FBI 在FBI发布逮捕令前开始流亡 1994 攻击圣迭戈超级计算机中心激怒日籍安全专家下村勉1995年下村勉 协助FBI追踪并抓捕Kevin TakeDown The Pursuit and Capture of Americas most wanted computer outlaw 1995-2000 入狱4年半被禁止使用任何电子设备尝试改造收音机联网 2000年1月出狱改过自新从事安全咨询工作 httpkevinmitnickcom 出版畅销书欺骗的艺术入侵的艺术 2008年9月23 日 网络攻防技术与实践课程 19 Copyright c 20082009 诸葛建伟 黑客社区近代史 著名事件和人物 1988年Morris蠕虫爆发 - rtm Robert Tappan Morris 催生CERT机构FIRST组织 1990s 计算机安全产业的形成 FW DEC FW product 1991 CheckPoint 1993 IDS Wheel Group 1994 98- Cisco ISS 1994 06- IBM AV Norton mid-80s 90- Symantec McAfee 1987 Kaspersky 1997 缓冲区溢出攻击技术广泛传播 1996 Phrack 49 Alphe One Smashing The Stack For Fun And Profit 1998 Dildog The Tao of Windows Buffer Overflows 2000 Yahoo亚马逊CNNebay等门户网站被DDoS攻击 2001-2004 Windows平台上的蠕虫频繁 Code Red Blaster Slammer Sasser etc 2005- 经济利益驱动的黑客行为盛行 2008年9月23 日 网络攻防技术与实践课程 20 Copyright c 20082009 诸葛建伟 中国的黑客文化发展史 远古时代 1956-1965 电子计算机研制 19748 748工程汉字进入信息化时代北大计算 机所王选教授激光照排 70s-80s 微机汉字显示处理 CCDOS五笔输入法 汉王汉字识别UCDOS清华OCR金山WPS 计算机核心技术的缺失和落后芯片操作系统等 1987年高能物理所X25专线实现国际远程联网 1992年中国台湾香港联入全球互联网 1994年中国大陆正式联入全球互联网 中科院高能物理 所许榕生研究员 2008年9月23 日 网络攻防技术与实践课程 21 Copyright c 20082009 诸葛建伟 中国的黑客文化发展史 2 萌芽期 1994-1996 中国刚刚联入全球互联网 窃客破解软件注册码 成长期 1997-1999 初级黑客 学习初步技术使用国外黑客工具追随精神领袖 Kevin Mitnick 台湾省Coolfire黑客入门教程系列 1995-96年编写 1998年台湾省陈盈豪 CIH病毒 1998年美国死牛崇拜 黑客团队发布BO掀起特洛伊木马 热潮国内黑客开发NetSpy 冰河等 国内黑客软件小榕软件天行谢朝霞PP 彭泉 等 1998年7-8月针对印尼排华事件的网络攻击绿色兵团 2008年9月23 日 网络攻防技术与实践课程 22 Copyright c 20082009 诸葛建伟 中国的黑客文化发展史 3 混沌期 1999-2001 1999年5月大使馆被炸事件 对美黑客攻击 1999年7月台湾省两国论事件 对台黑客攻击 第一代黑客的商业化 绿色兵团中联绿盟安络科技 补天和瑞 2000年初东史郎南京大屠杀败诉事件 对日黑客攻击 2001年三菱事件日航事件教科书事件和台湾论 事件 对日黑客攻击 2001年4-5月中美撞机事件 中美黑客大战 中国红客联盟中国鹰派中国黑客联盟 中国红客的出现和发展 2008年9月23 日 网络攻防技术与实践课程 23 Copyright c 20082009 诸葛建伟 中国的黑客文化发展史 4 平静和成熟期 2002-Now 传统黑客团队专注于技术研发 安全焦点看雪学院白 细胞Ph4nt0m 大量传统黑客创办或进入安全公司 绿盟启明星辰安 天大成天下超级巡警 XCon安全焦点峰会 since 2002 安全漏洞研究和发现 nsfocus等 Phrack黑客杂志和知名黑客会议出现国人身影 大量技术书籍与著作涌现 黑客培训商业化黑客基地华夏黑客同盟第八军团 黑帽子日趋猖獗证券大盗灰鸽子熊猫烧香DDoS 网络虚拟资产地下经济链 2008年9月23 日 网络攻防技术与实践课程 24 Copyright c 20082009 诸葛建伟 黑客文化精髓 ESR五部曲之黑客道 如何成为一名黑客 搞清楚黑客和骇客的区别 根本的区别是黑客搞建设骇客搞破坏 骇客往往自称为黑客黑客往往是由community所公认 如何成为一名黑客 To follow the path 沿着这样一条道路 look to the master 寻找大师 follow the master 跟随大师 walk with the master 与大师同行 see through the master 洞察大师 become the master 成为大师 2008年9月23 日 网络攻防技术与实践课程 25 Copyright c 20082009 诸葛建伟 黑客应有的态度 1 世界充满了待解决的迷人问题 做一名黑客会有很多乐趣但却是要费很多气 力方能得到的乐趣 做黑客你得能从解决问题磨练技术及锻炼 智力中得到基本的乐趣 2 一个问题不应该被解决两次 聪明的脑袋是宝贵的有限的资源 解决问题并发布结果给其他黑客几乎是一种道 义 2008年9月23 日 网络攻防技术与实践课程 26 Copyright c 20082009 诸葛建伟 黑客应有的态度 2 3 无聊和乏味的工作是罪恶 无聊和乏味的工作不仅仅是令人不舒服而已而且是罪恶 作为一个黑客你必须坚信这点并尽可能多地将乏味的工作自 动化不仅为你自己也为了其他人尤其是其他黑客们 4 自由万岁 黑客们是天生的反独裁主义者 作为一个黑客你得对审查保密以及使用武力或欺骗去 压迫有行为能力的人们的做法有一种本能的敌意 5 态度不能替代能力 成为一名黑客需要智力实践奉献精神和辛苦工作 你必须学会怀疑并尊重各种各样的能力 2008年9月23 日 网络攻防技术与实践课程 27 Copyright c 20082009 诸葛建伟 如何得到黑客界认同 黑客界靠声誉运转 你在黑客界中的地位是由其他黑客根据你的Hacking技 术和成就所评价的 奉献文化靠奉献时间创造技术成果取得地位和名望 如何获得其他黑客尊敬成为黑客 写开放源代码软件 帮助测试并调试开放源代码软件 公布有用的信息 帮助维护基础设施的运转 为黑客文化本身服务 2008年9月23 日 网络攻防技术与实践课程 28 Copyright c 20082009 诸葛建伟 黑客道德 传统黑客道德 Old Hacker Ethics Levy - Hackers Heroes of the Computer Revolution Hands On Imperative 首要诫令对计算机和硬件的掌 控应是完全的 Information Wants to Be Free 自由没有知识产权 免费 Mistrust Authority 反独裁促进分权 No Bogus Criteria 黑客只以其Hacking能力和成就进 行评价 You can create truth and beauty on a computer Hacking 艺术和创新 Computers can change your life for the better 计算机能够改善生活黑客应为之奋斗 2008年9月23 日 网络攻防技术与实践课程 29 Copyright c 20082009 诸葛建伟 黑客道德 2 新黑客道德 New Hacker Ethics Steven Mizrach Is there a Hacker Ethic for 90s Hackers Above all else do no harm 无论如何不要破坏 Protect Privacy 保护隐私 Waste not want not 浪费可耻 无欲无求 Exceed Limitations 超越极限 The Communicational Imperative 通讯自由 Leave No Traces 不要留下任何踪迹 Share 共享 Self Defense 对威胁进行主动的自我防御 Hacking Helps Security 投身帮助提高安全性 Trust but Test 渗透测试 2008年9月23 日 网络攻防技术与实践课程 30 Copyright c 20082009 诸葛建伟 黑客道德的一个关键问题揭露策略 揭露策略如何揭露软件安全漏洞敏感信息 黑帽策略 封闭于小规模团队中并利用安全漏洞进行攻击和牟利 任意完全公开揭露策略 Bugtraq邮件列表 CERT公开揭露工作流 45 日内完全公布给公众 Rain Forest Puppy策略 发现者应通知厂商5 日内答复每5 日提供更新信息识别功劳归功于 发现者 OIS互联网安全组织策略 发现者VSR通知厂商厂商7天内公开发布warning或回复发现者 发现者最后警告3天内必须回复否则可公开揭露 厂商每7 日状态更新30 日内完成补丁补丁和漏洞信息公开揭露 2008年9月23 日 网络攻防技术与实践课程 31 Copyright c 20082009 诸葛建伟 法律法规 黑客道德VS 法律法规 建议行为规范 黑客道德法律法规 各国均有相关法律法规成熟程度和侧重面不同 我国信息安全相关立法情况 基本法律民法 宪法商标法专利法保守国家秘密法 反不正当竞争法等在数字网络空间仍适用 刑法 普遍条款专门针对打击计算机犯罪的285-287条款 国家条例与管理办法 计算机软件保护条例 com 计算机系统安全保护条例 com 计算机信息系统安全 保护等级划分准则 199910 商用密码管理条例 com 计算机信息系统国际联网保密 管理规定 com 计算机病毒防治管理办法 com 互联网信息服务管理办法 com 2008年9月23 日 网络攻防技术与实践课程 32 Copyright c 20082009 诸葛建伟 刑法中关于计算机犯罪相关条款 第285条 非法侵入计算机信息系统罪 违反国家规定侵入国家事务国防建设尖端科学技术领域 的计算机信息系统的处三年以下有期徒刑或者拘役 第286条 破坏计算机信息系统罪 1 违反国家规定对计算机信息系统功能进行删除修改 增加干扰造成计算机信息系统不能正常运行后果严重 的处五年以下有期徒刑或者拘役后果特别严重的处五年 以上有期徒刑 2 违反国家规定对计算机信息系统中存储处理或者传输 的数据和应用程序进行删除修改增加的操作后果严重 的依照前款的规定处罚 3 故意制作传播计算机病毒等破坏性程序影响计算机系 统正常运行后果严重的依照第一款的规定处罚 第287条 利用计算机实施的各类犯罪 利用计算机实施金融诈骗盗窃贪污挪用公款窃取国家 秘密或者其他犯罪的依照本法有关规定定罪处罚 2008年9月23 日 网络攻防技术与实践课程 33 Copyright c 20082009 诸葛建伟 相关判罚案例 2004年证券大盗案件 盗取股票帐号盗买盗卖股票价值11419万元非法获利 386万元 刑法第264条盗窃罪 刑法第287条利用计算机实施的各类 犯罪主犯无期徒刑 2007年熊猫烧香案件 故意制作和传播计算机病毒主犯李俊获利145万元 刑法第286条破坏计算机信息系统罪主犯有期徒刑4年 2006年1月首宗盗卖号码案 腾讯内部人员盗取号保护信息外部人员盗取并出售获 利6万多元 刑法第252条侵犯通信自由罪 人大常委会关于维护互联 网安全的决定拘役六个月 盗卖案和熊猫烧香案引发网络虚拟资产保护立法讨论 尚无刑法第285条的公开宣判案例 2008年9月23 日 网络攻防技术与实践课程 34 Copyright c 20082009 诸葛建伟 内容 1 网络攻击和取证分析案例演示 2 黑客与黑客文化 3 网络攻防技术概述 4 课程简介 2008年9月23 日 网络攻防技术与实践课程 35 Copyright c 20082009 诸葛建伟 攻击技术 社会工程学Social engineering Human-targeting Vulnerabilities in humanness 技术性攻击Technical attack ComputerProgram-targeting Vulnerabilities in hardwareprograms 破坏性攻击 暴力破坏行为 拒绝服务攻击 DoSDDoS 2008年9月23 日 网络攻防技术与实践课程 36 Copyright c 20082009 诸葛建伟 社会工程学 人性弱点本能反应轻信恐惧贪婪好奇同情心 社会工程学 Social Engineering 社会工程学是操纵他人执行预期的动作或泄漏机密信息的一门 艺术 社会工程学技巧 Pretexting 借口托辞Phishing 钓鱼IVRphone phishing 电话语音伪造钓鱼Trojan horsegimmes 利用好奇心植入木马 Road apple 路上的苹果 Physical Analysis 垃圾分析 假冒权威假扮博取同情个人利益改善自我感觉不引 人注意的职业奖赏 知名社会工程师 Kevin Mitnick Book-The Art of Deception The Art of Intrusion Frank Abagnale MovieBook-Catch Me if You Can 2008年9月23 日 网络攻防技术与实践课程 37 Copy