网络攻防实战演练PPT课件

计算机网络,傅德谦2010.9,网络攻防技术or网络侦查与审计技术,网络侦查审计的三个阶段,第一节：侦查阶段,第一节：侦查阶段,本节要点：,描述侦查过程识别特殊的侦查方法安装和配置基于网络和基于主机的侦查软件实施网络级和主机级的安全扫描配置和实施企业级的网络漏洞扫描器,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。,安全扫描的检测技术,基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。,安全扫描系统具有的功能说明,协调了其它的安全设备使枯燥的系统安全信息易于理解，告诉了你系统发生的事情跟踪用户进入，在系统中的行为和离开的信息可以报告和识别文件的改动纠正系统的错误设置,安全扫描,whoisnslookuphostTraceroutePing扫描工具,安全扫描常用命令,Traceroute命令,用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等可以推测出网络物理布局判断出响应较慢的节点和数据包在路由过程中的跳数Traceroute或者使用极少被其它程序使用的高端UDP端口，或者使用PING数据包,Traceroute路由跟踪原理,?TTL-10,A,B,Traceroute路由跟踪原理,A,B,B,Traceroute路由跟踪原理,A,?TTL-10,B,Traceroute路由跟踪原理,A,我知道路由器B存在于这个路径上,路由器B的IP地址,普通Traceroute到防火墙后的主机,假定防火墙的规则阻止除PING和PING响应（ICMP类型8和0）,uniwis(05),30hopsmax,40bytepackets()0.540ms0.394ms0.397ms2()2.455ms2.479ms2.512ms34(4)4.812ms4.780ms4.747ms4()5.010ms4.903ms4.980ms515(15)5.520ms5.809ms6.061ms66(15)9.584ms21.754ms20.530ms7()94.127ms81.764ms96.476ms86(6)96.012ms98.224ms99.312ms,使用ICMP数据包后Traceroute结果,xuyitraceroute-I(05),30hopsmax,40bytepackets()0.540ms0.394ms0.397ms2()2.455ms2.479ms2.512ms34(4)4.812ms4.780ms4.747ms4()5.010ms4.903ms4.980ms515(15)5.520ms5.809ms6.061ms66(15)9.584ms21.754ms20.530ms7()94.127ms81.764ms96.476ms86(6)96.012ms98.224ms99.312ms,使用ICMP的Traceroute原理,由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端口为其接受的端口，就可以绕过防火墙到达目标主机。起始端口号计算公式起始端口号=(目标端口-两机间的跳数*探测数据包数)-1,例：防火墙允许FTP数据包通过，即开放了21号端口,两机间跳数为2起始端口号（ftp端口两机间的跳数*默认的每轮跳数)1（212*3）-115114,扫描类型,按照获得结果分类存活性扫描端口扫描系统堆栈扫描按照攻击者角色分类主动扫描被动扫描,一、存活性扫描,发送扫描数据包，等待对方的回应数据包其最终结果并不一定准确，依赖于网络边界设备的过滤策略最常用的探测包是ICMP数据包例如发送方发送ICMPEchoRequest，期待对方返回ICMPEchoReply,Ping扫描作用及工具,子网,6,8,0,2,4,Ping扫描,Ping扫描程序能自动扫描你所指定的IP地址范围,二、端口扫描,端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口,Netscantools扫描结果,端口扫描技术一览,对SYN分段的回应,对FIN分段的回应,对ACK分段的回应,对Xmas分段的回应,对Null分段的回应,对RST分段的回应,对UDP数据报的回应,端口扫描原理,一个端口就是一个潜在的通信通道，即入侵通道对目标计算机进行端口扫描，得到有用的信息扫描的方法：,手工进行扫描端口扫描软件,OSI参考模型,Application,TCP/IP协议簇,传输层,数据连路层,网络层,物理层,会话层,表示层,应用层,IP协议包头,0,15,16,31,ICMP协议包头,Type(类型),Code（代码）,Checksum（校验和）,ICMPContent,0,7,8,15,16,31,TCP协议包头,Sourceport(16),Destinationport(16),Sequencenumber(32),Headerlength(4),Acknowledgementnumber(32),Reserved(6),Codebits(6),Window(16),Checksum(16),Urgent(16),Options(0or32ifany),Data(varies),Bit0,Bit15,Bit16,Bit31,20bytes,UDP协议包头,SourcePort,Length,0,15,16,31,Data,DestinationPort,Checksum,TCP三次握手机制,SYNreceived,主机A：客户端,主机B：服务端,发送TCPSYN分段(seq=100ctl=SYN),TCP连接的终止,主机A：客户端,主机B：服务端,关闭A到B的连接,关闭B到A的连接,TCP/IP相关问题,一个TCP头包含6个标志位。它们的意义如下所述：,SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接；FIN：表示发送端已经没有数据要求传输了，希望释放连接；RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包；URG：为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效；ACK：为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效；PSH：如果置位，接收端应尽快把数据传送给应用层。,大部分TCP/IP遵循的原则(1),大部分TCP/IP遵循的原则(2),大部分TCP/IP遵循的原则(3),大部分TCP/IP遵循的原则(4),大部分TCP/IP遵循的原则(5),大部分TCP/IP遵循的原则(6),端口扫描方式,全TCP连接TCPSYN扫描TCPFIN扫描其它TCP扫描方式UDP扫描UDPrecvfrom（）和write（）扫描秘密扫描技术间接扫描,全TCP连接,长期以来TCP端口扫描的基础扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接连接由系统调用connect()开始对于每一个监听端口，connect()会获得成功，否则返回1，表示端口不可访问很容易被检测出来Courtney,Gabriel和TCPWrapper监测程序通常用来进行监测。另外，TCPWrapper可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。,TCPSYN扫描,TCPFIN扫描,其他TCP扫描方式,NULL扫描,发送一个没有任何标志位的TCP包，根据RFC793，如果目标主机的相应端口是关闭的话，应该发送回一个RST数据包,向目标主机发送一个FIN、URG和PUSH分组，根据RFC793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志,当一个包含ACK的数据包到达目标主机的监听端口时，数据包被丢弃，同时发送一个RST数据包,ACK扫描,FIN+URG+PUSH（Xmas扫描）,UDP扫描,使用的是UDP协议，扫描变得相对比较困难打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。然而，许多主机在向未打开的UDP端口发送数据包时，会返回一个ICMP_PORT_UNREACHABLE错误，即类型为3、代码为13的ICMP消息UDP和ICMP错误都不保证能到达，因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输这种扫描方法是很慢的，因为RFC对ICMP错误消息的产生速率做了规定这种扫描方法需要具有root权限,UDPrecvfrom()和write()扫描,当非root用户不能直接读到端口不能到达错误时，某些系统如Linux能间接地在它们到达时通知用户。,在非阻塞的UDP套接字上调用recvfrom()时，如果ICMP出错还没有到达时回返回AGAIN重试。如果ICMP到达时，返回CONNECTREFUSED连接被拒绝。这就是用来查看端口是否打开的技术。,对一个关闭的端口的第二个write()调用将失败。,秘密扫描技术,不含标准TCP三次握手协议的任何部分，比SYN扫描隐蔽得多FIN数据包能够通过只监测SYN包的包过滤器秘密扫描技术使用FIN数据包来探听端口Xmas和Null扫描秘密扫描的两个变种Xmas扫描打开FIN，URG和PUSH标记而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤秘密扫描通常适用于UNIX目标主机跟SYN扫描类似，秘密扫描也需要自己构造IP包,间接扫描,利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP假定参与扫描过程的主机为扫描机，隐藏机，目标机。扫描机和目标机的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送任何数据包（除了与扫描有关的包）,端口扫描软件,端口扫描器是黑客最常使用的工具,单独使用的端口扫描工具集成的扫描工具,三、系统堆栈指纹扫描,利用TCP/IP来识别不同的操作系统和服务向系统发送各种特殊的包，根据系统对包回应的差别，推断出操作系统的种类堆栈指纹程序利用的部分特征ICMP错误信息抑制服务类型值(TOS)TCP/IP选项对SYNFLOOD的抵抗力TCP初始窗口,堆栈指纹的应用,利用FIN探测利用TCPISN采样使用TCP的初始化窗口ICMP消息抑制机制ICMP错误引用机制ToS字段的设置DF位的设置ICMP错误信息回显完整性TCP选项ACK值,利用FIN标记探测,开放端口,利用BOGUS标记探测,开放端口,使用TCP的初始化窗口,简单地检查返回包里包含的窗口长度。根据各个操作系统的不同的初始化窗口大小来唯一确定操作系统类型：,注：TCP使用滑动窗口为两台主机间传送缓冲数据。每台TCP/IP主机支持两个滑动窗口，一个用于接收数据，另一个用于发送数据。窗口尺寸表示计算机可以缓冲的数据量大小。,NMAP工具,功能强大、不断升级并且免费对网络的侦查十分有效它具有非常灵活的TCP/IP堆栈指纹引擎它可以穿透网络边缘的安全设备,注：NMAP穿透防火墙的一种方法是利用碎片扫描技术（fragmentscans），你可以发送隐秘的FIN包（-sF），Xmastree包（-sX）或NULL包（-sN）。这些选项允许你将TCP查询分割成片断从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。,四、其它扫描,共享扫描软件使用Telnet使用SNMP认证扫描代理扫描社会工程,共享扫描软件,提供了允许审计人员扫描Windows网络共享的功能只能侦查出共享名称，但不会入侵共享PingProRedButton,共享扫描软件,子网,6,0,结果,0：home，data,6：files，apps,共享扫描,共享目录Filesapps,共享目录homedata,使用Telnet,是远程登录系统进行管理的程序可以利用Telnet客户端程序连接到其它端口，从返回的报错中获得需要的系统信息,使用SNMP,SNMPv1最普通但也最不安全它使用弱的校验机制用明文发送communitynameSNMP信息暴露,企业级的扫描工具,扫描等级配置文件和策略报告功能报告风险等级AxcentBetReconFinger服务漏洞；GameOver（远程管理访问攻击）未授权注销禁止服务漏洞，包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail补丁等级,企业级的扫描工具,NetworkAssociatesCyberCopScanner是NetworkAssociates的产品，象NetRecon一样，CyberCopScanner是一个主机级别的审计程序。也把各种漏洞分类为低、中、高三个等级,提示：CyberCopMonitor不是网络扫描器，它是入侵监测系统程序，能够对黑客活动进行监视，提供报警功能，还能惩罚黑客。,企业级的扫描工具,WebTrendsSecurityAnalyzer与UNIX搭配使用多年操作界面也简单易用InternetSecuritySystems的扫描产品ISSInternetScanner有三个模块：intranet，firewall和Web服务器程序的策略是希望将网络活动分类，并针对每种活动提供一种扫描方案ISSSecurityScanner基于主机的扫描程序,社会工程,电话访问欺骗信任欺骗教育,电话访问,一位新的职员寻求帮助，试图找到在计算机上完成某个特定任务的方法一位愤怒的经理打电话给下级，因为他的口令突然失效一位系统管理员打电话给一名职员，需要修补它的账号，而这需要使用它的口令一位新雇佣的远程管理员打电话给公司，询问安全系统的配置资料一位客户打电话给供应商，询问公司的新计划，发展方向和公司主要负责人,信任欺骗,当电话社交工程失败的时候，攻击者可能展开长达数月的信任欺骗典型情况通过熟人介绍，来一次四人晚餐可以隐藏自己的身份，通过网络聊天或者是电子邮件与之结识伪装成工程技术人员骗取别人回复信件，泄漏有价值的信息一般说来，有魅力的异性通常是最可怕的信任欺骗者，不过不论对于男性还是女性，女性总是更容易令人信任,防范措施教育,网络安全中人是薄弱的一环,作为安全管理人员，避免员工成为侦查工具的最好方法是对他们进行教育。,提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。,扫描目标网络级别的信息,扫描目标主机级别的信息,安全扫描技术的发展趋势,使用插件（plugin）或者叫功能模块技术使用专用脚本语言由安全扫描程序到安全评估专家系统,对网络进行安全评估,DMZE-MailFileTransferHTTP,Intranet,生产部,工程部,市场部,人事部,路由,Internet,中继,通讯&应用服务层,可适应性安全弱点监测和响应,DMZE-MailFileTransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,操作系统层,对于DMZ区域的检测,DMZE-MailFileTransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,应用程序层,第二节：渗透阶段,重点内容：服务器渗透与攻击技术,本节要点：讨论渗透策略和手法列举潜在的物理、操作系统和TCP/IP堆栈攻击识别和分析暴力攻击、社会工程和拒绝服务攻击实施反渗透和攻击的方法,75,2020/5/25,入侵和攻击的范畴,在Internet上,在局域网上,本地,离线,在Internet上,协作攻击：Internet允许全世界范围的连接，这很容易使来自全世界的人们在一个攻击中进行合作参与。,会话劫持：在合法的用户得到鉴别可以访问后，攻击者接管一个现存动态会话的过程。,欺骗：欺骗是一种模仿或采取不是自己身份的行为。,转播：是攻击者通过第三方的机器转播或反射他的通信，这样攻击就好象来自第三方的机器而不是他。,特洛伊木马或病毒：特洛伊木马的常见用途是安装后门。,在局域网上,嗅探流量：观察网络上所有流量的被动攻击。,广播：攻击者发送一个信息包到广播地址，以达到产生大量流量的目的。,文件访问：通过找到用户标识和口令，可以对文件进行访问。,远程控制：通过安装木马实现对机器的远程控制。,应用抢劫：接收应用并且达到非授权访问。,在本地,旁侧偷看,未上锁的终端,被写下的口令,拔掉机器,本地登录,离线,下载口令文件,下载加密的文本,复制大量的数据,常见的攻击方法,1.欺骗攻击(Spoofing),3.拒绝服务(DenialofService)攻击,2.中间人攻击(Man-in-the-MiddleAttacks),4.缓冲区溢出（BufferOverflow）攻击,5.后门和漏洞攻击,6.暴力破解攻击,容易遭受攻击的目标,路由器数据库邮件服务名称服务Web和FTP服务器和与协议相关的服务,一、欺骗技术,电子邮件欺骗,修改邮件客户软件的帐户配置,通过使用网络报文窃听以及路由和传输协议进行这种攻击。主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息。,Man-in-the-MiddleAttacks原理,二、中间人攻击(Man-in-the-MiddleAttacks),报文窃听(PacketSniffers),数据包篡改(Packetalteration),重放攻击（Replayattack）,会话劫持(Sessionhijacking),中间人攻击的类型,报文窃听是一种软件应用，该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。可以轻易通过解码工具（sniffers/netxray等）获得敏感信息（用户密码等）。,报文窃听(PacketSniffers),报文窃听(PacketSniffers)实例分析,用交换机来替代HUB，可以减少危害。防窃听工具：使用专门检测网络上窃听使用情况的软件与硬件。加密：采用IPSecurity(IPSec)、SecureShell(SSH)、SecureSocketsLayer(SSL)等技术。,验证(Authentication)：采用一次性密码技术(one-time-passwordsOTPs),PacketSniffers窃听防范,数据包篡改(Packetalteration),对捕获的数据包内容进行篡改，以达到攻击者的目的,更改数据包的校验和及头部信息，为进一步攻击做准备,攻击者截获了一次远程主机登录过程后，选择适当的时机对该登录过程进行重放，以进入远程主机。,重放攻击（Replayattack）,会话劫持(sessionhijacking),关于TCP协议的序列号,阻断正常会话,三、DOS攻击,DoS（DenyOfService）就是攻击者通过使你的网络设备崩溃或把它压跨（网络资源耗尽）来阻止合法用户获得网络服务，DOS是最容易实施的攻击行为。,DoS攻击主要是利用了TCP/IP协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的实现缺陷。,DoS的技术分类,典型DOS攻击,PingofDeath,PingofDeath范例,IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。,泪滴(teardrop)攻击一,Teardrop攻击原理：,受影响的系统：Linux/WindowsNT/95,攻击特征：攻击过程简单，发送一些IP分片异常的数据包。,防范措施：,泪滴(teardrop)攻击二,服务器升级最新的服务包设置防火墙时对分片进行重组，而不是转发它们。,UDP洪水(UDPflood),Fraggle攻击,发送畸形UDP碎片，使得被攻击者在重组过程中发生未加预料的错误典型的Fraggle攻击碎片偏移位的错乱强制发送超大数据包纯粹的资源消耗,阻止IP碎片攻击,Windows系统请打上最新的ServicePack，目前的Linux内核已经不受影响。如果可能，在网络边界上禁止碎片包通过，或者用iptables限制每秒通过碎片包的数目。如果防火墙有重组碎片的功能，请确保自身的算法没有问题，否则DoS就会影响整个网络Windows2000系统中，自定义IP安全策略，设置“碎片检查”,TCPSYNflood,剖析SYNFlood攻击,不断发送大量伪造的TCPSYN分段,最多可打开的半开连接数量,超时等待时间,等待期内的重试次数,TCPSYNFlood攻击过程示例,对SYNFlood攻击的防御,对SYNFlood攻击的几种简单解决方法缩短SYNTimeout时间SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值等于SYN攻击的频度xSYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间设置SYNCookie给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃,增强Windows2000对SYNFlood的防御,打开regedit，找到HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters增加一个SynAttackProtect的键值，类型为REG_DWORD，取值范围是0-2，这个值决定了系统受到SYN攻击时采取的保护措施，包括减少系统SYN+ACK的重试的次数等，默认值是0（没有任何保护措施），推荐设置是2。,增强Windows2000对SYNFlood的防御,增加一个TcpMaxHalfOpen的键值，类型为REG_DWORD，取值范围是100-0 xFFFF，这个值是系统允许同时打开的半连接，默认情况下WIN2KPRO和SERVER是100，ADVANCEDSERVER是500，这个值取决于服务器TCP负荷的状况和可能受到的攻击强度。增加一个TcpMaxHalfOpenRetried的键值，类型为REG_DWORD，取值范围是80-0 xFFFF，默认情况下WIN2KPRO和SERVER是80，ADVANCEDSERVER是400，这个值决定了在什么情况下系统会打开SYN攻击保护。,Smurf攻击,Smurf攻击示意图,Smurf攻击,Smurf攻击的防止措施,Land攻击,电子邮件炸弹,分布式拒绝服务(DistributedDenialofService),DDoS攻击原理黑客侵入并控制了很多台电脑，并使它们一起向主机发动DoS攻击，主机很快陷于瘫痪，这就是分布式拒绝服务攻击DDoS（DistributedDenialOfService）。,分布式拒绝服务攻击网络结构图,三层模型,DDoS攻击过程,DDoS攻击使用的常用工具,TFN(TribeFloodNetwork),Trinoo,Stacheldraht,TFN2K,TFN是由著名黑客Mixter编写的，是第一个公开的UnixDDoS工具。由主控端程序和客户端程序两部分组成。它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。,TFN(TribeFloodNetwork),TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。,TFN2K,Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。,Stacheldraht,Trinoo,DDoS攻击的防御策略,四、缓冲区溢出BufferOverflow攻击,缓冲区溢出的攻击方式,缓冲区溢出攻击的基本思想,基本思想：通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码)危害性在UNIX平台上，通过发掘BufferOverflow,可以获得一个交互式的shell在Windows平台上，可以上载并执行任何的代码溢出漏洞发掘起来需要较高的技巧和知识背景，但是，一旦有人编写出溢出代码，则用起来非常简单,为什么会缓冲区溢出？,典型的bufferoverflows漏洞,怎样防范缓冲区溢出,五、后门和漏洞攻击,后门(backdoor)：通常指软件开发人员为了便于测试或调试而在操作系统和程序中故意放置的未公布接口，与bug不同，后门使开发人员故意留下的。Eg.万能密码、超级用户接口等,漏洞(Bug):操作系统或软件存在的问题和错误。,IPC$漏洞输入法漏洞IIS.idaISAPI扩展远程溢出漏洞,六、暴力破解攻击,1.字典程序攻击,2.暴力攻击,暴力破解,暴力或字典破解是获得root访问权限的最有效、最直接的方式方法。三种破解工具L0phtcrack工具Johntheripper工具Crack工具,L0phtcrack界面,验证算法,暴力破解所要对付的对象就是各种各样的口令加密与验证算法冷静地分析各种常见的验证算法，找出其中的不足Windows2000系统默认的验证算法Unix/Linux系统默认的验证算法,164,2020/5/25,LanMan验证和NTLM验证,WindowsNT/2000支持多种验证机制，每一种验证机制之间的安全级别不同，下表列出了WindowsNT/2000所支持的各种验证机制。微软系统所采用的验证加密算法。,额外的审计工具,L0phtCrackpwdump2pwdump2密码散列提取工具在很长时间内由管理员和黑客同时使用，以从SAM中转储LANMan和NTLM密码散列。在Windows2000域控制器上工作，域控制器不再将散列存储在SAM中，而是存储在AD中lsadump2使用DLL注射绕过本地安全授权(LSA)以名为LSASecrets形式存储的安全信息上的正常的访问控制,构造一个Crack工具基本步骤,生成字典文件,常见的规则包括：1.计算hash值（MD5、SHA等）2.应用crypt（）函数,一旦攻击者成功地渗透进系统，会立即试图控制它。,第三节：控制阶段,一、攻击者的控制目标,获得root的权限,获得信息,作为跳板攻击其它系统,1.获得root的权限,攻击者最终目的是获得root的权限攻击者会采用许多不同的策略来获得这一权限非法服务和trapdoor允许攻击者使用合法的账号来升级访问权限,2.获得信息,获得root的权限后，攻击者会将立即进行信息扫描,获得有用数据。扫描方法操纵远程用户的Web浏览器运行脚本程序利用文件的缺省存放位置,3.信息重定向,攻击者控制了系统，便可以进行程序和端口重定向端口转向成功后，他们可以操控连接并获得有价值的信息相似的攻击目标还包括重定向SMTP端口，它也允许攻击者获得重要的信息,4.应用程序重定向,将某一端口与某一应用程序相绑定允许将某一程序的运行指定到特定的端口，从而可以远程使用Telnet进行控制,5.擦除渗透的痕迹,通常，攻击者通过破坏日志文件，可以骗过系统管理员和安全审计人员。这就是所谓的痕迹擦除日志文件包括：Web服务器防火墙HTTP服务器FTP服务器数据库操作系统的日志IDS日志日志文件类型包括事件日志应用程序日志安全日志,6.作为跳板攻击其它系统,通常，攻击者渗透操作系统的目的是通过它来渗透到网络上其它的操作系统。NASA服务器是攻击者通常的攻击目标，不仅因为他们想要获取该服务器上的信息，更主要的是许多组织都和该服务器有信任的连接关系。,系统是攻击者的终端还是攻击链条中的一个环节跳板攻击者为了伪装自己的真实来源，可能通过很多次跳板才达到攻击目的,二、控制手段,新的控制方法层出不穷系统的升级不可避免的会开启新的安全漏洞少数的极有天赋的黑客不断开发出新的工具作为安全审计人员，需要时刻注意各种迹象，同时留意自己的系统是否存在着问题,1.后门的安放,Rhosts+后门Login后门服务进程后门portbindsuidShell后门suidshell修改密码文件,2.创建新的访问点,通过安装额外的软件和更改系统参数，攻击者还可以开启后门优秀的系统管理员，黑客通常习惯于某种攻击策略，所以必须注意攻击者的控制手段安装后门的另一个通常方法是在操作系统中安置木马。,3.创建额外账号,为了减小从系统中被清除的几率，攻击者通常会在获得root权限后创建额外的账号使用批处理文件是创建额外账号的一种手段也可以增加没有密码的管理员账号在UNIX和Novell操作系统中同样存在类似的问题,自动添加账号,一个负责任的系统管理员会定期扫描用户的账号数据库，查看是否有权限的变更，新添加的账号和任何有关系统策略更改的可疑行为。然而，攻击者会利用老的账号登录系统攻击者还可以利用定时服务等自动执行的程序来添加账号通过定时服务来添加新的账号和重新设置权限，攻击者可以骗过最挑剔的管理员。,4.Trojan木马控制,Trojanhorse,RootKits,Rootkit是用非法程序替代合法程序所谓的“rootkit”是入侵者在入侵了主机后，用来做创建后门并加以伪装用的程序包通常包括了日志清理器，后门等程序rootkit通常出现在UNIX系统中,木马是一个程序，驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。其实质只是一个通过端口进行通信的网络客户/服务程序。,木马程序的利用与监测,“木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。木马原则上和Laplink、PCanywhere等程序一样，只是一种远程管理工具木马本身不带伤害性，也没有感染力，所以不能称之为病毒(也有人称之为第二代病毒),木马原理,基本概念：对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机,控制功能：以管理员用户权限运行的木马程序几乎可以控制一切。,程序实现：可以使用VB或VC、JAVA以及其它任何编程工具的Winsock控件来编写网络客户/服务程序。,特洛伊木马隐身方法,主要途径有在任务栏中隐藏自己“化妆”为驱动程序使用动态链接库技术,木马的发展,典型的C/S结构，隐蔽性差,隐藏、自启动和操纵服务器等技术上有长足进步,隐藏、自启动和数据传递技术上有根本性进步，出现了以ICMP进行数据传输的木马,采用改写和替换系统文件的做法,流行木马及其技术特征,木马进程注册为系统服务反弹端口型木马出现替换系统文件中做法应用到Windows使用多线程技术,186,2020/5/25,Netbus木马,NetBus1.53版本可以以捆绑方式装到目标电脑上，可以捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。,Netbus木马,NetBus2.0版的功能更强，已用做远程管理的工作NetBus的功能运行程序强迫重启系统注销用户控制Web浏览器捕捉击键记录重定向端口和程序获得关于当前版本的信息上传、下载和删除文件控制、升级和定制服务器管理密码保护显示、终止远程系统程序,NetBus传输,NetBus使用TCP建立会话，缺省情况下用12345端口。跟踪NetBus的活动比较困难，可以通过检查12346端口数据来确定许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。,189,2020/5/25,Netbus2.0主要文件,检测NetBus,NetBus1.x版的程序使用下列的注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun可以用包嗅探器，检查缺省的12345或12346端口使用netstat，你可以键入下列命令：Netstatan或Netstatpudp,191,2020/5/25,Netbus连接,TCP:12345/12346,清除NetBus,高质量的反病毒程序另一种清除NetBus的方法是使用其客户端,点击清除服务器按钮如果攻击者采用了密码保护的话可能会要求你输入密码，也可以搜寻前面讨论的文件,BackOrifice2000,BackOrifice2000允许攻击者进行如下操作获取系统信息收集用户名和密码和用户缓存的密码获得文件的完全访问权限实施端口和程序的重定向通过HTTP从浏览器上传和下载文件,缺省设置,默认的BackOrifice2000一共由5个文件组成，他们分别是：Bo2k.exe-136kb，BO2K服务器端程序Bo2kcfg.exe-216kb，BO2K设置程序Bo2kgui.exe-568kb，BO2K客户端程序Bo3des.dll-24kb，plugin-tripleDESmoduleBo_peep.dll-52kb，plugin-remoteconsolemanager,195,2020/5/25,精选命令,BO的运作,BO木马包含三个程序：BOSERVE.EXE，BOCLIENT.EXE和BOCONFIG.EXE。其中第一个程序需安装在受感染的用户计算机中，也就是BO服务端BO主要运行于Windows95/98系统，对于WindowsNT影响较小服务器端程序为BOSERVE.EXE，它会自动安装在受攻击的计算机中，但是它同时需要另外一个文件名为BOCONFIG的程序来进行配置,BO的检测和清除,手工杀除BO2K运行REGEDIT.EXE，修改注册表，在下列键值处删除UMGR32.EXE的key值Hkey_local_machine/Software/Microsoft/Windows/CurrentVersion/RunServices重启系统在WINDOWSSYSTEM下删除UMGR321.EXE需要注意的是，bo2k安装后的名字是可以自定义的,木马防御方法总结,端口扫描扫描程序尝试连接某个端口，如果成功，则说明端口开放；否则关闭。但对于驱动程序/动态链接木马，扫描端口不起作用查看连接在本地机上通过netstat-a查看所有的TCP/UDP连