网络犯罪侦查技术课件.ppt

linying 1 网络犯罪侦察技术 林英 信息安全 linying 2 第二章网络攻击模型 2 1网络攻击模型描述2 2攻击身份和位置隐藏2 3目标系统信息收集2 4弱点信息挖掘分析2 5目标使用权限获取2 6攻击行为隐藏2 7攻击实施2 8开辟后门2 9攻击痕迹清除 linying 3 2 1网络攻击模型描述 攻击身份和位置隐藏目标系统信息收集弱点信息挖掘分析目标使用权限获取 攻击行为隐藏攻击实施开辟后门攻击痕迹清除 网络攻击过程一般分为以下阶段 linying 4 2 2攻击身份和位置隐藏 目的 隐藏网络攻击者的身份及主机位置通常采用以下技术隐藏攻击的IP地址或域名 1 利用被入侵的主机作为跳板 linying 5 2 应用电话转接技术隐藏攻击者身份 3 盗用他人的账号上网 4 通过免费代理网关实施攻击 5 假冒用户账号 6 伪造IP地址 linying 6 2 1 1 1信任关系在Unix主机中 存在着一种特殊的信任关系 假设有两台主机A和B 上面各有一个账户admin 主机A和B把admin当做两个互不相关的用户 在不同的主机上操作时需要输入相应的账户 尽管这两个账户都为admin 这极为不方便 为了减少这种不便 可以在主机A和主机B中建立起两个账户的信任关系 具体步骤如下 2 2 1IP欺骗攻击 linying 7 1 在主机A和主机B上admin的home目录中创建 rhosts文件 2 在主机A的admin的home目录中用命令实现A B的信任关系 echo Badmin rhosts 这时 从主机B上 就能毫无阻碍地使用任何以r开头的远程调用命令 如rlogin rsh rcp等 而无需口令验证就可以直接登录到A上 这种信任关系是基于IP地址的 linying 8 特别的 当 etc hosts equiv中出现一个 或者 HOME rhosts中出现 时 表明任意地址的主机可以无须口令验证而直接使用r命令登录此主机 这是非常危险的 rlogin是一个简单的客户 服务器程序 它的作用类似于telnet 唯一不同的是telnet完全依赖于口令验证 而rlogin首先是基于信任关系的验证 其次才进行口令验证 它使用TCP协议进行传输 当用户从一台主机登录到另一台主机上 并且 如果目标主机信任它 rlogin将允许在不应答口令的情况下使用目标主机上的资源 linying 9 2 1 1 2IP欺骗的理论依据IP欺骗最根本的理论依据 既然A B之间的信任关系是基于IP地址建立起来的 那么假如能够冒充B的IP地址 就可以使用rlogin登录上A 而不需要任何口令验证 但是事情远没有这么简单 虽然可以通过编程的方法随意改变发出的包的IP地址 但TCP协议对IP进行了进一步的封装 是一种相对可靠的协议 不会让黑客轻易地得逞 linying 10 TCP是面向连接的协议 双方在正式传输数据之前 需要用 三次握手 来建立一个稳定的连接 假设A B两台主机进行通信 B首先发送带有SYN标志的数据段通知A需要建立TCP连接 TCP的可靠性就是由数据包中的多位控制字来提供的 其中最重要的是数据序列SYN和数据确认标志ACK B将TCP报头中的SYN设为自己本次连接的初始值 ISN linying 11 A收到B的SYN包之后 会发送给B一个带有SYN ACK标志的数据段 告知自己的ISN 并确认B发送来的第一个数据段 将ACK设置成B的SYN 1 B确认收到的A的SYN ACK数据包 将ACK设置成A的SYN 1 A收到B的ACK后 连接成功建立 双方可以正式传输数据了 B B B A A A 第一步 第二步 第三步 SYN SYN ACK ACK SYN M SYN N ACK M 1 ACK N 1 linying 12 如果要冒充B对A进行攻击 就要先使用B的IP地址发送SYN标志给A 但是当A收到后 它并不会把SYN ACK发送到我们的主机 而是发送到真正的B上去 这时就 漏馅 了 因为B根本就没有发送过SYN请求 所以如果要冒充B 首先就应该让B失去工作能力 linying 13 然而除了让B失去工作能力 最难的是要对A进行攻击 必须知道A使用的ISN TCP使用的ISN是一个32位的记数器 从0到4294967295 TCP为每一个连接选择一个初始序号ISN ISN不能随便选取 不同的系统有不同的算法 理解TCP如何分配ISN以及ISN随时间变化的规律 对于成功地进行IP欺骗攻击很重要 linying 14 ISN每秒增加12800 如果有连接出现 每次连接将把记数器的数值增加64000 预测出攻击目标的序列号是非常困难的 而且各个系统也不相同 如果黑客已经使用某一种方法 能够预测出ISN 他就可以将ACK序号送给主机A 这时连接就建立了 linying 15 IP欺骗由若干步骤组成 1 使被信任主机瘫痪 为了伪装成被信任主机而不 露馅 需要使其完全丧失网络工作能力 2 序列号取样和猜测 2 1 1 3IP欺骗的全过程 linying 16 一旦估计出ISN的大小 就可以着手进行攻击 当黑客的虚假TCP数据包进入目标主机时 如果刚才估计的序列号是准确的 进入的数据将被放置到目标主机的缓冲区当中 但是在实际的攻击过程中往往没有那么幸运 如果估计的序列号值小于正确值 那么将被丢弃 如果估计的序列号值大于正确值 并且在缓冲区大小之内 那么该数据被认为是一个未来的数据 TCP模块将等待其他缺少的数据 如果估计的序列号值大于期待的数字且不在缓冲区之内 TCP将放弃它并返回一个期望获得的数据序列号 linying 17 黑客伪装成被信任主机的IP地址 此时 该主机仍然处在瘫痪状态 然后向目标主机的513端口 rlogin 发送连接请求 目标主机立刻对连接请求作出反应 发送SYN ACK确认包给被信任主机 因为此时被信任主机处于停顿状态 它当然无法接收到这个包 紧接着攻击者向目标主机发送ACK数据包 该数据包使用前面估计的序列号 1 如果攻击者估计正确的话 目标主机将会接收该ACK 连接就正式建立起来 可以开始传输数据了 这时 黑客就可以发送命令 cat rhosts以后就可以不用口令 直接登录到目标主机上 linying 18 总结攻击的整个步骤 1 首先使被信任主机的网络功能暂时瘫痪 以免对攻击造成干扰 2 连接到目标机的某个端口来猜测ISN基值和增加规律 3 把源地址伪装成被信任主机 发送带有SYN标志的数据段请求连接 4 等待目标机发送SYN ACK包给已瘫痪的被信任主机 5 伪装成被信任主机向目标机发送ACK 此时发送的数据段带有预测的目标机的ISN 1 6 连接建立 发送命令 linying 19 2 3目标系统信息收集 目的 确定攻击目标并收集目标系统的有关信息攻击者感兴趣的信息主要包括如下几方面 系统的一般信息 如系统的软硬件平台类型 系统的用户 系统的服务与应用等 系统及服务的管理 配置情况 如系统是否禁止root远程登录 SMTP服务器是否支持decode别名等 linying 20 系统口令的安全性 如系统是否存在弱口令 缺省用户的口令是否没有改动等 系统提供的服务的安全性 以及系统整体的安全性能 linying 21 使用口令攻击 如口令猜测攻击 口令文件破译攻击 网络窃听与协议分析攻击 社交欺诈等手段 对系统进行端口扫描 探测特定服务的弱点 应用漏洞扫描工具如ISS SATAN NESSUS等 攻击者获取信息的主要方法有 linying 22 2 3 1扫描器的相关知识 2 3 1 1什么是扫描器扫描器是一种通过收集系统的信息来自动检测远程或本地主机安全性弱点的程序 通过使用扫描器 可以发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本 这就能让黑客或管理员间接地或直观地了解到远程主机所存在的安全问题 扫描器有三项功能 1 发现一个主机或网络 2 一旦发现一台主机 可以发现有什么服务程序正运行在这台主机上 3 通过测试这些服务 发现漏洞 linying 23 2 3 1 2扫描器的分类扫描器按照使用对象的不同可以分为本地扫描器和远程扫描器 按照扫描的目的来分类 可以分为端口扫描器和漏洞扫描器 端口扫描只是单纯地用来扫描目标机开放的服务端口以及与端口相关的信息 漏洞扫描器检查扫描目标中可能包含的大量已知的漏洞 如果发现潜在的漏洞可能性 就报告给扫描者 linying 24 2 3 1 3端口扫描原理一般的端口扫描的原理非常简单 只是利用操作系统提供的connect 系统调用 与每一个感兴趣的目标计算机的端口进行连接 如果端口处于侦听状态 那么connect 就能成功 否则 这个端口不能用 即没有提供服务 linying 25 一个最简单的端口扫描器的源代码 包含一些网络调用和系统调用的头文件 include include include include include include intmain intargc char argv intprobeport 0 structhostenthost 定义socket主机结构 interr i net structsockaddr insa socket地址结构 if argc 2 printf 用法 shostname n argv 0 exit 1 for i 1 ih addr sizeofsa sin addr else herror argv 1 exit 2 sa sin port htons i 本次扫描的端口号 net socket AF INET SOCKET ATREAM 0 建立一个socket套接字 if net 0 perror nsocket exit 2 err connect net structsockaddr 连接到本端口 if err 0 printf s 5d s r argv 1 i strerror errno 如果端口关闭则显示 fflush stdout else printf s 5daccepted n argv 1 i 开放的端口显示 if shutdown net 2 0 perror shutdown exit 2 close net 关闭连接 printf r fflush stdout return 0 linying 31 2 3 1 4扫描器之王 nmapnmap用于允许系统管理员查看一个大的网络系统有哪些主机以及其上运行何种服务程序 运行nmap后通常会得到一个关于扫描的机器的一个实用的端口列表 显示出该服务的服务名称 端口号 状态以及协议 状态有 open filtered unfiltered 三种 open 目标机器将会在该端口接受连接请求 filtered 有防火墙或着其他过滤装置在这个端口进行过滤 需要进一步查明端口是否开放 unfiltered 无防火墙或其他过滤装置 linying 32 2 3 1 5漏洞检查利器 NessusNessus是由一个法国的黑客RenaudDerasion编写的 它的特点在于跨平台 现在Nessus已经有了Linux BSD Solaris WindowsNT Windows98 2000下的版本 并且用Java写了新的客户端软件 Nessus是图形化的界面 还对扫描出的漏洞给出详细的利用方法和补救方法 是攻击者和网络管理员都应该学会使用的漏洞检查利器 linying 33 2 4弱点信息挖掘分析 目的 从收集到的目标信息中提取可使用的漏洞信息 常用到的弱点挖掘技术方法如下 系统或应用服务软件漏洞 linying 34 如果发现目标系统提供finger服务 攻击者就能通过该服务获得系统用户信息 进而通过猜测用户口令获取系统的访问权 如果系统还提供其他一些远程网络服务 如邮件服务 WWW服务 匿名FTP服务 FTP服务 攻击者可以利用这些远程服务中的弱点获取系统的访问权限 linying 35 主机信任关系漏洞攻击者可以利用CGI的漏洞 读取 etc hosts allow等文件 通过这些文件 攻击者可以大致了解主机间的信任关系 然后探测这些被信任主机存在哪些漏洞 linying 36 目标网络的使用者漏洞通过目标网络使用者漏洞 寻找攻破目标系统的捷径 通信协议漏洞分析目标网络的协议信息 寻找漏洞 如寻找TCP IP协议安全漏洞 网络业务系统漏洞分析目标网络的业务流程信息 挖掘其中的漏洞 如网络申请使用权限登记漏洞 linying 37 Finger服务曾存在的漏洞例如Solarisfingerd受影响的版本 所有SUNOS自带的FINGER服务器漏洞描述 当攻击者在向FINGER服务器提交以数字做用户名的询问请求时 Finger服务器会把所有wtmp中的用户名返回给攻击者 例如 finger1234 解决办法 关闭finger服务 linying 38 2 5目标使用权限获取 目的 获取目标系统的普通或特权账户权限 获取系统管理权限通常有以下途径 获得系统管理员的口令如专门针对root用户的口令攻击 利用系统管理上的漏洞如错误的文件许可权 错误的系统配置 某些SUID程序中存在的缓冲区溢出漏洞等 linying 39 令系统管理员运行特洛伊木马程序如经篡改之后的LOGIN程序等 窃听管理员口令 linying 40 2 6攻击行为隐藏 目的 隐藏在目标系统中的操作 防止攻击行为被发现攻击行为隐藏通常用到下面的技术 连接隐藏如冒充其他用户 修改LOGNAME环境变量 修改utmp日志文件 使用IPSPOOF技术等 进程隐藏如使用重定向技术减少ps给出的信息量 用特洛伊木马代替ps程序等 linying 41 文件隐藏如利用字符串的相似来麻痹系统管理员 或修改文件属性使普通显示方法无法看到 利用操作系统可加载模块特性 隐藏攻击时所产生的信息 linying 42 2 7攻击实施 目的 实施攻击或者以目标系统为跳板向其他系统发起新的攻击攻击目标有以下几个方面 linying 43 攻击其他被信任的主机和网络 修改或删除重要数据 窃听敏感数据 停止网络服务 下载敏感数据 删除用户账号 修改数据记录 linying 44 2 8开辟后门 目的 在目标系统中开辟后门 方便以后入侵 攻击者开辟后门时通常会应用以下方法 linying 45 放宽文件许可权 重新开放不安全的服务 如REXD TFTP等 修改系统的配置 如系统启动文件 网络服务配置文件等 替换系统的共享库文件 修改系统的源代码 安装各种特洛伊木马 安装嗅探器 建立隐蔽通道 linying 46 1 添加一个root账号echo hacker 0 0 bin sh etc passwd2 echo r hosts3 修改Sendmail cf 增加一个wiz命令Sendmail cf是邮件服务器sendmail的配置文件 加入wiz命令后 就可以从25端口直接进入系统 几种常见的后门 linying 47 4 使用BindShell后门通常就是在某一特定端口监听 一旦有连接连上以后就执行 bin sh 这样就可以获得Shell使用权 可以加入到Inetd conf中使其自动运行 5 利用crontab实现后门crontab是用来进行定时工作的工具 可以每到一定时间就往 etc passwd中加入一个uid为0 root 的用户 时间一到再删除掉 这样就解决了容易被发现的问题 并且可以在某个特定的时间进行攻击 6 修改系统内核 linying 48 2 9攻击痕迹清除 目的