网络攻击与防御技术

1、轻用其芒，动即有伤，是为凶器；轻用其芒，动即有伤，是为凶器；深若藏拙，临机取决，是为利器。深若藏拙，临机取决，是为利器。-古剑铭古剑铭今天的交流内容直观展示黑客攻击过程直观展示黑客攻击过程通常黑客攻击思路与操作通常黑客攻击思路与操作近期常见攻击方法近期常见攻击方法部份渗透测试结果部份渗透测试结果课程内容Windows 溢出漏洞v时间线索漏洞发布：2006(ms06040)攻击程序发布：2006v如何完成一次攻击？演示直观展示黑客攻击过程直观展示黑客攻击过程通常黑客攻击思路与操作通常黑客攻击思路与操作近期常见攻击方法近期常见攻击方法部份渗透测试结果部份渗透测试结果课程内容攻击阶段划分(1)预攻击

2、内容：内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：目的：收集信息，进行进一步攻击决策攻击内容：内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：目的：进行攻击，获得系统的一定权限后攻击内容：内容：删除日志修补明显的漏洞植入后门木马进一步渗透扩展进入潜伏状态目的：目的：消除痕迹，长期维持一定的权限攻击阶段划分(2)直观展示黑客攻击过程直观展示黑客攻击过程通常黑客攻击思路与操作通常黑客攻击思路与操作近期常见攻击方法近期常见攻击方法部份渗透测试结果部份渗透测试结果课程内容信息收集v信息收集工具WhoisPingTracerout

3、eNslookup网站公布信息http:/http:/http:/路由信息Web信息搜索引擎查询端口扫描技术v一个端口就是一个潜在的通信通道。vhttp:/ 熟悉各种命令。对命令执行后的输出进行分析端口扫描软件 许多扫描器软件都有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。 堆栈指纹扫描 v利用TCP/IP来识别不同的操作系统和服务 v向系统的IP和端口发送各种特殊的包。根据系统对包回应的差别，推断出操作系统的种类。v堆栈指纹程序利用的部分特征 ICMP错误信息抑制；服务类型值(TOS)；TCP/IP选项；对SYN FLOOD的抵抗力；TCP初始窗口 端口扫描

4、工具演示vNmap()vSuperscan(http:/)vSl(http:/)TCP SYN扫描v也叫半开式扫描v利用TCP连接三次握手的第一次进行扫描开放的端口开放的端口不提供服务的端口不提供服务的端口防火墙过滤的端口防火墙过滤的端口 SYNSYNSYNSYN+ACK握手握手RST 重置重置没有回应或者其他没有回应或者其他端口扫描工具vNmap简介v被称为“扫描器之王”v有for Unix和for Win的两种版本v需要Libpcap库和Winpcap库的支持v能够进行普通扫描、各种高级扫描和操作系统类型鉴别等使用v-sS：半开式扫描 -sT:普通con

5、nect()扫描 v-sU：udp端口扫描v-O：操作系统鉴别v-P0：强行扫描（无论是否能够ping通目标）v-p：指定端口范围v-v：详细模式NmapWin v1.3.0端口扫描工具vSuperScan简介v基于Windows平台v速度快，图形化界面v最新版本为4.0使用v傻瓜化漏洞扫描v系统漏洞扫描v特定服务的漏洞扫描WEB服务数据库服务FTP服务Mail服务v信息泄漏漏洞扫描用户信息共享信息v人为管理漏洞扫描弱口令错误配置v网络及管理设备漏洞扫描路由器、交换机SNMP设备漏洞扫描工具vNessus构架v服务器端：基于Unix系统v客户端：有GTK、Java和Win系统支持运作v客户端连

6、接服务器端，并下载插件和扫描策略v真正的扫描由服务器端发起v两者之间的通信通过加密认证优势：v具有强大的插件功能v完全免费，升级快速v非常适合作为网络安全评估工具链接：Nessus工作流程工作流程漏洞扫描工具vX-Scan国人自主开发完全免费X-Scan使用使用安全漏洞扫描器v安全漏洞扫描器的种类网络型安全漏洞扫描器主机型安全漏洞扫描器数据库安全漏洞扫描器v安全漏洞扫描器的选用ISS （Internet Security Scanner）：安氏SSS（Shadow Security Scanner）：俄罗斯黑客Retina Network Security Scan

7、ner：eEyeLANguard Network Security ScannerCyberCop Scanner：NAISSS（Shadow Security Scanner）Retina Network Security ScannerLANguard Network Security Scanner操作系统类型鉴别v主要依据利用不同操作系统对各种连接请求的不同反应和特征来判断远程主机操作系统的类型当使用足够多的不同特征来进行判断，操作系统的探测精度就能有很大保证间接鉴别操作系统v说明不直接进行扫描利用网络应用服务使用过程中的信息来推断和分析操作系统类型，并得到其他有用信息如Telnet

8、80端口查看WEB服务器类型从而初步判断操作系统类型这种方法难以被发现v防御对策修改服务器上应用服务的banner信息，达到迷惑攻击者的目的直接鉴别操作系统类型vTCP/IP栈指纹探测技术各个操作系统在实现TCP/IP栈的时候有细微的不同，可以通过下面一些方法来进行判定vTTL值vWindows窗口值vToS类型vDF标志位v初始序列号（ISN）采样vMSS（最大分段大小）v其他漏洞扫描工具vNessus(演示)vX-Scan(实验)Google Hackingv搜索技巧v相关工具一般是用来进行搜索目标的一些相关信息，经常用到的命令：inurl:intext:Intitle:filetype:

9、特洛伊木马攻击希腊人攻打特洛伊城十年，希腊人攻打特洛伊城十年，始终未获成功，后来建造了始终未获成功，后来建造了一个大木马，并假装撤退，一个大木马，并假装撤退，希腊将士却暗藏于马腹中。希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，特洛伊人以为希腊人已走，就把木马当作是献给雅典娜就把木马当作是献给雅典娜的礼物搬入城中。晚上，木的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来马中隐藏的希腊将士冲出来打开城门，希腊将士里应外打开城门，希腊将士里应外合毁灭了特洛伊城。后来我合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线们把进入敌人内部攻破防线的手段叫做木马计，木马计的手段叫做木马计，木马计中使用的里

10、应外合的工具叫中使用的里应外合的工具叫做做特洛伊木马特洛伊木马来源于希腊神话中的特洛伊战争来源于希腊神话中的特洛伊战争特洛伊木马黑客在攻击进入后会留下后门程序，以便于进行控制国内较常见的是：冰河、灰鸽子等按连接的方式可分:正向、反向B/S，C/S传统的远程控制步骤反弹端口连接模式骗取系统IE进进程程木马线程木马线程正常线程进入合法应用程序正常线程缓冲区溢出vWIN漏洞(演示)vMetasploit (http:/ function(char *str) char buffer16; strcpy(buffer,str);void main(int argc, char *argv) if(ar

11、gc 1 ) function(argv1);执行结果wljdebian wlj$ gcc -o vul vul.cwljdebian wlj$ gdb ./vul -q(gdb) r perl -e print Ax28BBBBStarting program: /home/wlj/./vul perl -e print Ax28BBBBProgram received signal SIGSEGV, Segmentation fault.0 x42424242 in ? ()(gdb) i reax 0 xbffffc60 -1073742752ecx 0 x564eff41 144801

12、7729edx 0 x57500042 1464860738ebx 0 x40162154 1075192148esp 0 xbffffc80 0 xbffffc80ebp 0 x41414141 0 x41414141esi 0 x400168e4 1073834212edi 0 xbffffd04 -1073742588eip 0 x42424242 0 x42424242.网络监听攻击的环境v基于共享（HUB）环境的监听比较普遍实现较为简单v基于交换（Switch）环境的监听基础是ARP欺骗技术网络监听攻击源源目的目的snifferpasswd基于共享环境的监听v共享以太网环境中，所有物

13、理信号都会被传送到每一个主机节点上去v如将系统的网络接口设定为混杂模式(Promiscuous)，则就能接受到一切监听到的数据帧，而不管其目的MAC地址是什么共享环境监听的意义v积极意义：方便网络管理员进行管理和网络故障分析v消极意义：常被用来窃听在网络上以明文方式传输的口令和账号密码POP3邮件口令Ftp登录口令Telnet登录口令共享环境监听的检测v基于主机的检测简单的ifconfig命令，包括各种UNIX系统v基于网络的检测针对系统硬件过滤和软件过滤的检测针对DNS反向域名解析的检测针对网络和主机响应时间的检测v使用专业的检测工具AntiSniff（有for win和for unix的版

14、本）Promiscan嗅探工具vEthereal(http:/，实验)vWindump(http:/windump.polito.it/演示)vXsniff(http:/实验)口令猜测vHydra(/)vBrutusvX-Scan(http:/)以上是常见的密码破解的工具,如破解ftp，pop3的密码等说明：口令猜测与密码破解的概念稍有不同猜解FTP的密码 密码破解vJohn(http:/ Crack5(http:/)以上是两个最经常见到的破解系统密码的工具破解WIN系统的密码演示：MD5破解 MD5破解可以利用相关网站提供的接口或者用工具直接破解MD5(ad

15、min,32) = 21232f297a57a5a743894a0e4a801fc3MD5(admin,16) = 7a57a5a743894a0e应用攻击vWebProxyvSPIKE ProxyvSQL注入体验应用攻击v现在最典型的是SQL注入攻击 所谓SQL注入（SQL Injection），就是利用程序员对用户输入数据的合法性检测不严或不检测的特点，故意从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取想得到的资料。通常别有用心者的目标是获取网站管理员的帐号和密码。 另外还有一个概念：旁注演示：SQL注入攻击常见的注入工具：NBSIDomain3.6等PhishingveBa

16、yv中国金融机构中间人攻击v战争中的“中间人攻击”案例v网络中的“中间人攻击”客户端攻击v图片、MP3、视频、解码工具浏览器(IE、Firefox)IM(MSN、QQ)Office(Word)多媒体软件安全软件旁路攻击v曲线救国v旁注v旁攻社会工程学攻击 v社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。v举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子

17、的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。社会工程学攻击v目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Emailv1、打电话请求密码 尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。v2、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客

18、可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。DoS与DDoS攻击vDoS (Denial of Service)攻击的中文含义是拒绝服务攻击vDDoS (Distributed Denial of Service)攻击的中文含义是分布式拒绝服务攻击拒绝服务攻击的种类v发送大量的无用请求，致使目标网络系统整体的网络性能大大降低，丧失与外界通信的能力。v利用网络服务以及网络协议的某些特性，发送超出目标主机处理能力的服务请求，导致目标主机丧失对其他正常服务请求的相应能力。v利用系统或应用软件上的漏洞或缺陷，发送经过特殊构造的数据包，导致目标的

19、瘫痪（称之为nuke)拒绝服务攻击v网络层SYN FloodICMP FloodUDP FloodPing of Deathv应用层垃圾邮件CGI资源耗尽针对操作系统 winnuke典型举例：典型举例：SYN Flood原理原理v正常的三次握手建立通讯的过程正常的三次握手建立通讯的过程SYN （我可以连接吗？）（我可以连接吗？）ACK （可以）（可以）/SYN（请确（请确认！）认！）ACK （确认连接）（确认连接）发起方发起方应答方应答方SYN Flood原理原理SYN （我可以连接吗？）（我可以连接吗？）ACK （可以）（可以）/SYN（请确认！）（请确认！）攻击者攻击者受害者受害者伪造地址

20、进行伪造地址进行SYN请求请求为何为何还没还没回应回应就是就是让你让你白等白等不能建立正常的连接不能建立正常的连接连接耗尽连接耗尽正常正常tcp connect攻击者攻击者受害者受害者大量的大量的tcp connect这么多这么多需要处需要处理？理？不能建立正常的连接不能建立正常的连接正常正常tcp connect正常正常tcp connect正常正常tcp connect正常正常tcp connect正常用户正常正常tcp connect直观展示黑客攻击过程直观展示黑客攻击过程通常黑客攻击思路与操作通常黑客攻击思路与操作近期常见攻击方法近期常见攻击方法部份渗透测试结果部份渗透测试结果课程内容

21、现实：某ISP被渗透过程分析v安全措施OS：Sun SolarisFirewall策略只允许特定机器访问特定网络设立中间跳板v被入侵者成功渗透某国外电信某国内门户网站v聊天室、调查引擎、贺卡站 uid=2(bin) gid=2(bin)/SunOS VIP 5.7 Generic sun4u sparc SUNW,Ultra-4$ /sbin/ifconfig -a/sbin/ifconfig -alo0: flags=849 mtu 8232 inet netmask ff000000hme0: flags=863 mtu 1500 inet xx.151.243.78

22、netmask ffffffc0 broadcast xx.151.243.127cat /etc/passwdroot:x:0:1:Super-User:/:/bin/cshdaemon:x:1:1:/:bin:x:2:2:/usr/bin:sys:x:3:3:/:adm:x:4:4:Admin:/var/adm:lp:x:71:8:Line Printer Admin:/usr/spool/lp:某国内门户网站2vwww为x.x.x.197vx.x.x.195 ACEswitch 180eSNMP 使用private某国内提供商v一台网络设备配置不当IP Addressx.x.4.5Sys

23、tem Namexx7513ContactLocationCisco Internetwork Operating System Software IOS (tm) RSP Software (RSP-ISV-M), Version 12.0(5)T1, RELEASE SOFTWARE (fc1)Copyright (c) 1986-1999 by cisco Systems, Inc.Compiled Thu 19-Aug-99 01:39 by cmongRead-Only Community StringsILMIpublicvcn_xxxxxGSRvcn_xxxRead-Write

24、Community StringsILMIvcn_xxv导致最后控制全省网络设备某国内某国内提供商vXX网管80端口网管密码root:admintelnet test:test su root:admin导致直接控制骨干网全部xx设备v网管工作站暴露在公网，存在RPC-DCOM溢出，直接取得设备密码文件某国内提供商2v网管工作站，c、d盘完全共享，可能被下载重要数据或利用此台进入内网。 v重要服务器（radius），存在严重telnet缓冲区溢出漏洞，直接取得服务器权限。某国内提供商2uid=2(bin) gid=2(bin)/SunOS rad 5.8 Generic_108528-03 sun4u sparc SUNW,Ultra-250Cat /etc/passwdhostnameradroot:x:0:1:Super-User:/:/usr/bin/cshdaemon:x:1:1:/:bin:x:2:2:/usr/bin:sys:x:3:3:/:/bin/shadm:x:4:4:Admin:/var/adm:/bin/shlp:x:71:8:Line Printer Admin:/usr/spool/lp:/bin/shsmtp:x:0:0:Mail Daemon User:/:uucp:x:5:5:uucp