第八讲-痕迹清除-MSE安全攻防培训资料PPT课件

第八讲痕迹清除,王大勇wangdayong,2,-,主要内容,UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除,3,-,主要内容,UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除,4,-,UNIX系统攻击痕迹清除,UNIX系统攻击痕迹清除基本原理UNIX系统攻击痕迹清除实例,5,-,UNIX系统攻击痕迹清除基本原理,UNIX系统中3个重要的log文件：Wtmp或wtmpx它们记录每次登陆的信息。Utmp或utmpx它们记录以前登陆到系统中的所有用户。Lastlog它记录每个用户最近一次的登陆时间和登陆点。,6,-,UNIX系统攻击痕迹清除基本原理,通过这些记录，网络管理员可以：准确地发现攻击者什么时候进行了攻击活动。发现攻击者从哪个站点进入系统。知道攻击者在线的时间有多久。,7,-,UNIX系统攻击痕迹清除基本原理,下面分两种情况讨论清除日志记录的方法。攻击者拥有普通用户权限假如系统管理员将日志文件配置成任何用户可读写，修改日志文件就十分容易。不过，攻击者会想法添加一些记录到日志文件中，干扰管理员的视线。攻击者会rlogin到现在的主机，在lastlog中增加一个不令人怀疑的数据项，它将在该用户下次登陆时被显示。攻击者拥有超级用户权限拥有超级用户权限虽然为修改日志文件带来方便，但修改过度的话，就会引起管理员的注意。,8,-,UNIX系统攻击痕迹清除实例,utmp文件的修改utmp主要记录当前系统用户注册情况。修改时，首先利用ttyslot（）函数找到所要修改数据的位置，ttyslot（）返回当前用户记录在utmp文件中的序号，然后可用lseek（）直接定位到该位置，修改该记录，该成其他用户的记录，主要修改ut-time，ut-line，ut-user。,9,-,UNIX系统攻击痕迹清除实例,wtmp文件的修改wtmp文件中记录的数据结构与utmp文件中记录的数据结构相同。修改时，先利用函数ttyname（0）查出自己的终端设备名，在根据设备名逐个查找记录，修改自己的设备名记录。,10,-,UNIX系统攻击痕迹清除实例,acct文件的修改修改文件前，攻击者先取得用户ID，用函数getuid（）即可。然后逐个比较记录，查找所有与该ID有关的记录，修改该记录。此时，可将该记录改为其他用户记录，用户ID可通过函数getpwnam（）获得。,11,-,UNIX系统攻击痕迹清除实例,lastlog文件的修改lastlog文件的记录按用户ID的大小顺序排列。因此，修改前要利用函数getuid（）取得用户ID，然后可利用lseek（）直接定位到该记录，然后修改即可。,12,-,主要内容,UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除,13,-,WindowsNT系统攻击痕迹清除,WindowsNT系统审计基本原理WindowsNT系统审计清除实例,14,-,WindowsNT系统审计基本原理,WindowsNT4.0通过了TCSEC的C2级测评，它携带的审计子系统缺省是关闭的，审计管理员可以在服务器的域用户管理或工作站的用户管理中打开审计文件，并设置审计事件类。系统在运行中产生3类日志：系统日志、应用程序日志和安全日志，这些日志可使用事件查看器浏览和按条件过滤显示。,15,-,WindowsNT系统审计基本原理,用户登陆到系统时，WinLogon进程为用户创建访问令牌，其中包含用户及所属组的安全标识符（SID），作为用户的身份标识。文件等客体则含有自主访问控制列表（DACL），标明谁有访问权。文件还含有系统访问列表（SACL），标明哪些主体的访问需要被记录。用户进程访问客体对象时，通过Win32子系统向核心请求访问服务，核心的安全参考监视器（SRM）将访问,16,-,WindowsNT系统审计基本原理,令牌与客体的DACL进行比较，决定是否拥有访问权限，同时检查客体的SACL，确定本次访问是否落在既定的审计范围内，若是则送至审计子系统。整个过程可用下图表示：,17,-,WindowsNT系统审计基本原理,用户进程,NTWin32子系统,访问请求,许可请求,授予许可,安全参考监视器SRM,客体对象,审计,检查客体的SACL,18,-,WindowsNT系统审计清除实例,elsave是JesperLauritsen编制的WindowsNT日志清除工具，例如，要清除某NT服务器IDS_ONE的日志，可执行如下命令：elsave-sIDS_ONE-1Security-celsave-sIDS_ONE-1Application-celsave-sIDS_ONE-1system-c,19,-,主要内容,UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除,20,-,防火墙系统攻击痕迹清除,防火墙系统攻击痕迹清除基本原理防火墙系统攻击痕迹清除实例,21,-,防火墙系统攻击痕迹清除基本原理,防火墙存在于受保护网络与外部通信的唯一接口上。它的日志详细记录了网络通信连接和安全事件信息，这些信息是网络攻击取证的重要依据。攻击者应当首先攻击防火墙的日志审计系统，使防火墙日志审计系统停止运行或审计没有所需要的磁盘空间，这样就会使攻击者的行为无法记录。,22,-,防火墙系统攻击痕迹清除基本原理,攻击防火墙的日志审计系统是不容易的，常见的方法有：用伪装的IP地址进行网络连接触发防火墙的审计功能，干扰防火墙的审计功能的运行。利用防火墙的漏洞，直接攻击防火墙系统。利用防火墙的漏洞，绕过防火墙的检查与访问控制机制。,23,-,防火墙系统攻击痕迹清除基本原理,目前，Internet上专门干扰防火墙的工具有：FirewalkHpingSingIsicChariotFragrouter,24,-,防火墙系统攻击痕迹清除实例,转换程序,转换程序,标识有关WWW服务数据包,标识有关telnet数据包,B主机,A主机,25,-,主要内容,UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除,26,-,入侵检测系统攻击痕迹清除,入侵检测系统攻击痕迹清除的基本原理入侵检测系统攻击痕迹清除实例,27,-,入侵检测系统攻击痕迹清除的基本原理,攻击者要避免入侵检测系统的发现，通常采用的方法有：伪装IP地址，发起攻击。改变攻击方法，使得入侵检测系统缺少新的攻击模式特征。干扰入侵检测系统的运行，使入侵检测系统无法辨认真实的攻击。协同攻击，网络通信连接和系统访问都以合法的身份进行。,28,-,入侵检测系统攻击痕迹清除实例,Stick是一个最近出现的针对IDS的DOS工具。它的攻击原理是向目标IDS以每秒250种攻击企图以上的速率发送大量，并且具有随机源地址的欺骗性攻击包，使IDS始终处于报警状态，占用大量CPU资源；并且由于真正的攻击往往混杂于其间，使IDS本身和入侵检测分析员无法判断真正的攻击行为，从而使IDS失效。,29,-,主要内容,UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除,30,-,WWW服务攻击痕迹清除,WWW服务攻击痕迹清除基本原