信息基础及其安全 9_第1页
信息基础及其安全 9_第2页
信息基础及其安全 9_第3页
信息基础及其安全 9_第4页
信息基础及其安全 9_第5页
已阅读5页,还剩74页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第4章黑客攻击技术概述本章来介绍黑客攻击的一般流程与技术。这些知识是信息安全防护技术的基础,因为只有知道了别人怎样攻击自己的,才能更好地、有针对性地进行防护。本章攻击的方法与技术包括常见的密码破解攻击、缓冲区溢出攻击、欺骗攻击、DoS/DDoS攻击、CGI攻击、SQL注入攻击、网络蠕虫和社会工程攻击等。目录4.1攻击的一般流程4.2攻击的方法与技术4.1攻击的一般流程黑客攻击一般有六个步骤,即:踩点—>扫描—>入侵—>获取权限—>提升权限—>清除日志信息。1.踩点:主要是获取对方的IP,域名服务器信息,还有管理员的个人信息以及公司的信息。IP域名服务器信息可以通过工具扫描获取。比如通过这两个网站可以查询到一个服务器上有哪些网站,就是这个服务器上绑定了哪些域名。4.1攻击的一般流程黑客攻击一般有六个步骤,即:踩点—>扫描—>入侵—>获取权限—>提升权限—>清除日志信息。1.踩点:主要是获取对方的IP,域名服务器信息,还有管理员的个人信息以及公司的信息。IP域名服务器信息可以通过工具扫描获取。比如通过这两个网站可以查询到一个服务器上有哪些网站,就是这个服务器上绑定了哪些域名。4.1攻击的一般流程例如:可以在DOS环境下输入命令:c:\>telnetwww.*.*.cn80,如图2.1所示。这时出现如图2.2所示屏幕:4.1攻击的一般流程例如:可以在DOS环境下输入命令:c:\>telnetwww.*.*.cn80,如图2.1所示。这时出现如图2.2所示屏幕:4.1攻击的一般流程从这个错误命令的返回信息,可以知道如下信息:(1)对方Web服务用的是Apache2.0.52版本。(2)对方用的是PHP/4.3.10来做网页的。(3)对方的IP是211.*.*.4。这就为进一步的攻击创造了条件。4.1攻击的一般流程2.扫描:针对某个网址的后台地址,则可以用注入工具扫描。另外,这只是对网址进行扫描,还可以用工具对一些常见的漏洞和端口进行扫描。关于扫描的方法,前一章已经介绍过了,这里就不再赘述。3.入侵:这个阶段主要是看通过什么样的渠道进行入侵了。根据前面搜集到的信息,是采用Web网址入侵,还是服务器漏洞入侵,还是通过社会工程学原理进行欺骗攻击,这需要根据具体的情况来定。4.1攻击的一般流程4.获取权限:我们入侵当然一部分目的是为了获取权限。通过Web入侵能利用系统的漏洞获取管理员后台密码,然后登录后台。这样就可以上传一个网页木马,如ASP木马、php木马等。根据服务器的设置不同,得到的木马的权限也不一样,所以还要提升权限。4.1攻击的一般流程5.提升权限:提升权限,将普通用户的权限提升为更高一点的权限,比如管理员权限。这样才有权限去做其他的事情。提权可以采用系统服务的方法,社会工程学的方法,一般都是采用的第三方软件的方法。

6.清除日志:当入侵之后,当然不想留下蛛丝马迹。日志主要有系统日志,IIS日志和第三方软件的日志,比如系统装了入侵检测系统,就会有这个日志。要删除记录,一般是采用攻击删除。当然对于一些特殊记录,则需要手工删除了。不然使用工具统统删除了,管理员也会怀疑的。4.2攻击的方法与技术

网上的攻击方式很多,这里介绍7种常用的攻击方法与技术,包括密码破解攻击、缓冲区溢出攻击、欺骗攻击、DoS/DDoS攻击、SQL注入攻击、网络蠕虫和社会工程攻击等。4.2.1密码破解攻击 密码破解不一定涉及复杂的工具。它可能与找一张写有密码的贴纸一样简单,而这张纸就贴在显示器上或者藏在键盘底下。另一种蛮力技术称为“垃圾搜寻(dumpsterdiving)”,它基本上就是一个攻击者把垃圾搜寻一遍以找出可能含有密码的废弃文档。4.2攻击的方法与技术1.字典攻击(Dictionaryattack)到目前为止,一个简单的字典攻击是闯入机器的最快方法。字典文件(一个充满字典文字的文本文件)被装入破解应用程序(如L0phtCrack),它是根据由应用程序定位的用户帐户运行的。因为大多数密码通常是简单的,所以运行字典攻击通常足以实现目的了。4.2攻击的方法与技术2.混合攻击(Hybridattack)另一个众所周知的攻击形式是混合攻击。混合攻击将数字和符号添加到文件名以成功破解密码。许多人只通过在当前密码后加一个数字来更改密码。其模式通常采用这一形式:第一月的密码是“cat”;第二个月的密码是“cat1”;第三个月的密码是“cat2”,依次类推。4.2攻击的方法与技术3.暴力攻击(Bruteforceattack)暴力攻击是最全面的攻击形式,虽然它通常需要很长的时间工作,这取决于密码的复杂程度。根据密码的复杂程度,某些暴力攻击可能花费一个星期的时间。在暴力攻击中还可以使用LC5等工具。4.2攻击的方法与技术4.专业工具最常用的工具之有:(1)系统帐号破解工具LC5,如图2.3所示。4.2攻击的方法与技术(2)Word文件密码破解工具WordPasswordRecoveryMaster,如图2.4所示。4.2攻击的方法与技术(3)邮箱口令破解工具:黑雨,如图2.5所示。4.2攻击的方法与技术 (4)RAR压缩文件破解工具:InteloreRARPasswordRecovery,如图2.6所示。4.2攻击的方法与技术 (5)PowerPoint文件破解工具:Powerpoint-Password-Recovery.exe,如图2.7所示。4.2攻击的方法与技术4.2.2缓冲区溢出攻击缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。缓冲区溢出攻击有多种英文名称:bufferoverflow。第一个缓冲区溢出攻击--Morris蠕虫,它曾造成了全世界6000多台网络服务器瘫痪。4.2攻击的方法与技术缓冲区溢出攻击的原理主要是通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序:voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}4.2攻击的方法与技术4.2.3欺骗攻击1.源IP地址欺骗攻击许多应用程序认为如果数据包能够使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的前提。4.2攻击的方法与技术要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:(1)抛弃基于地址的信任策略:阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts文件;清空/etc/hosts.equiv文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。(2)使用加密方法:在包发送到网络上之前,可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。(3)进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。4.2攻击的方法与技术2.源路由欺骗攻击在通常情况下,信息包从起点到终点走过的路径是由位于此两点间的路由器决定的,数据包本身只知道去往何处,但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式:4.2攻击的方法与技术为了防范源路由欺骗攻击,一般采用下面两种措施:(1)对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。(2)在路由器上关闭源路由。用命令noipsource-route。4.2攻击的方法与技术4.2.4DoS/DDoS攻击

1.DoS攻击拒绝服务(DoS,DenialofService)攻击是目前黑客广泛使用的一种攻击手段。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。4.2攻击的方法与技术4.2.4DoS/DDoS攻击(1)SYNFlood:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYNACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。4.2攻击的方法与技术4.2.4DoS/DDoS攻击(2)Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。Smurf攻击原理如图2.9所示。4.2攻击的方法与技术(3)Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。(4)PingofDeath:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了PingofDeath攻击,该攻击会造成主机的死机。4.2攻击的方法与技术(5)Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。(6)PingSweep:使用ICMPEcho访问多个主机。(7)Pingflood:该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。4.2攻击的方法与技术2.DDoS攻击 分布式拒绝服务DDoS(DistributedDenialofService)攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了,目标对恶意攻击包的"消化能力"加强了不少,例如DoS攻击软件每秒钟可以发送3,000个攻击包,但被攻击主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。4.2攻击的方法与技术图2.10为典型的DDoS攻击工具CCv2.1,它是一个强大的应用层的DDoS攻击工具。4.2攻击的方法与技术4.2攻击的方法与技术4.2攻击的方法与技术3.针对DoS/DDoS攻击的防范针对DoS/DDoS攻击的防范主要采取如下一些方法:(1)确保所有服务器采用最新系统,并打上安全补丁。研究发现几乎每个受到DDoS攻击的系统都没有及时打上补丁。

(2)确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。4.2攻击的方法与技术(3)确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统甚至是受防火墙保护的系统。

(4)确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。

(5)禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据?4.2攻击的方法与技术(6)禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问!

(7)限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。

(8)确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。4.2攻击的方法与技术(9)在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。

(10)检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。

(11)利用DDoS设备提供商的设备。 目前没有哪个网络可以免受DDoS攻击,但如果采取上述几项措施,能起到一定的预防作用。4.2攻击的方法与技术4.2.5SQL注入攻击随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据。据统计,网站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。4.2攻击的方法与技术4.2.5SQL注入攻击4.2攻击的方法与技术4.2.5SQL注入攻击4.2攻击的方法与技术4.2.6网络蠕虫蠕虫(Worm)病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。目前危害比较大的蠕虫病毒主要通过三种途径传播:系统漏洞、聊天软件和电子邮件。4.2攻击的方法与技术4.2.6网络蠕虫蠕虫(Worm)4.2攻击的方法与技术4.2.7社会工程社会工程学(SocialEngineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。社会工程学不能等同于一般的欺骗手法,它尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术4.2.7社会工程社会工程学(SocialEngineering),4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术下面做一个详细的分析。细心的话,会发现这里有很多疑点。如下:

1.打开真正的联众网站如图2.21所示。会发现它和上面的假联众网站除了“有将活动专区”区别以外,“在线游戏”人数也不一样。真正联众网站上在线游戏人数为344387人,而假联众网站上在线游戏人数为523757人。而且真正联众网站上的在线人数是变化的,而假联众网站上在线游戏人数是不变的。难道同为联众公司,在上面玩游戏的人数还不一样吗?

2.上面“领奖说明”里面要交688元手续费,这里我们不仅要问,这688手续费用为什么不从上面8000元资金中扣除呢?4.2攻击的方法与技术

3.上面联众公司“网络文化经营许可证”当中,“单位名称”、“地址”、“法定代表人”、“经济类型”、“注册资本”等信息的字体大小、字体深浅为什么是不一样的呢?

4.为什么在“联系方式”当中,要写“银行卡号”、“身份证信息”、“真实改名”、“持卡人姓名”等信息呢?4.2攻击的方法与技术

4.3智能手机安全现在智能手机的使用越来越普遍,如图4-25所示为苹果公司的iPhone手机。许多人甚至有两个或两个以上的手机。同时手机遭受的攻击也随之越来越多。4.3智能手机安全4.3.1智能手机安全概述手机可以用于通信、游戏、炒股、工作、社交、旅行、看视频和医疗保健等重要服务。一般来说,人们对手机的依赖越大或者说手机的使用程度越高,那么手机被攻击的概率就越大。4.3智能手机安全下面介绍一些手机被入侵后可能发出的信号。1.手机电池使用时间突然缩短2.手机应用程序的权限过大3.手机在莫名其妙地发消息4.手机流量使用率飙升4.3智能手机安全4.3.2手机扫码中奖骗局

很多骗子会给受害人发快递,在快递的外表或里面放一个二维码,声称扫码可以中奖或得到钱财,如图4-1所示。这里如果受害人扫码后,可能手机里的钱财会在瞬间被转走。

所以收到快递信息后,一定要辨别真伪。坚决不为了一点儿蝇头小利而扫码。如果别人真要给你钱的话,可以通过正规渠道。4.3智能手机安全4.3智能手机安全4.3.3手机假的取件码骗局

有时候会莫名其妙地收到一个快递的取件码,如图4-2所示。这类“假的取件码”通常是诈骗分子精心设计的一个骗局,目的是诱导你对手机进行操作,从而盗取你的财产。4.3智能手机安全

这类诈骗通常是不法分子利用受害人对快递的关心,设计一个看似合理实则充满陷阱的场景:第1步:‌伪造快递短信通知,制造场景‌:你会收到一条短信,内容通常是“您的快递已到达某驿站,请凭取件码XXXXX取件”,或者“您的快递已经到达某驿站,已经***天未取,并且即将过期,请凭取件码XXXXX取件”‌等。这条手机短信非常逼真,它包含了你的姓名、地址等个人信息,非常具有迷惑性。4.3智能手机安全第2步:‌多名诈骗分子自导自演:当你到达驿站发现并没有这个快递时,你就会拨打短信中留下的联系电话。拨通后,对方不会解决你的取件问题,而是会立刻转换自己的角色,自称是快递、或‌购物平台或知名App的客服人员‌。‌

第3步:编造各种理由,诱导你进一步操作‌:骗子会编造各种理由,例如说你已经‌开通了“百万保障”或“快递保障”服务,马上要自动动扣费‌,或‌会员即将要续费‌等,让你引起恐慌并要求你“协助关闭”这些服务以避免财产损失。4.3智能手机安全第4步:为了验证你的身份或解除你的授权,骗子会一步步诱导你做如下事情:

‌下载安装莫名其妙的手机APP‌:如“及时服务”、“云客服”、“云快递”等非官的手机方应用软件。‌

让你开启屏幕共享‌:让你看到他们在操作你的手机屏幕,实则是为了窃取你的操作画面。‌

索要你的敏感信息‌:要求你输入银行卡卡号号、银行密码、手机支付密码、短信验证码等。‌如图4-3所示为短信验证码。4.3智能手机安全4.3.2手机扫码中奖骗局

很多骗子会给受害人发快递,在快递的外表或里面放一个二维码,声称扫码可以中奖或得到钱财,如图4-1所示。这里如果受害人扫码后,可能手机里的钱财会在瞬间被转走。

所以收到快递信息后,一定要辨别真伪。坚决不为了一点儿蝇头小利而扫码。如果别人真要给你钱的话,可以通过正规渠道。

一旦你按照他们的指示操作,银行卡内的资金或手机微信、支付宝里的钱财就可能在不知不觉中被转走。‌4.3智能手机安全4.3智能手机安全4.3.4手机被控制

如果手机现出如图4-4所示的手机界面,说明你的手机被别人控制了。这时你对手机是进行不了任何操作的。包括关机都没有办法完成。这种情况经常发生在老年人身上,因为老年人防范意识低,经常在看手机各种视频的时候或为了“领鸡蛋”而点击下载了不明软件,又不会卸载。据报道,有老人因手机黑屏,检查时发现了手机上安装了26个诈骗APP。‌4.3智能手机安全4.3智能手机安全4.3智能手机安全

你可能会觉得出现这样的页面并不可怕,如果有人想盗取我们手机里的钱财,就会收到验证码,或者提醒之类的信息。但实际上,在这个页面下,我们什么都看不到。只有对方可以看到我们手机各种提示。4.3智能手机安全4.3.5手机被监听当你的手机被出现如下10个现象时,你可能已经被监听了。1.没有使用手机时,手机机身却(尤其听筒、摄像头区域)持续在发热。2.手机续航电量突然大幅下降,耗电排行中出现未知高耗电应用程序。3.手机频繁闪退、卡顿、或没有任何操作时自动亮屏、未知APP自行启动。4.手机通话时有杂音、回声,或明显能听到有第三方声音。5.手机收到的陌生的验证码、激活短信,或部分短信莫名其妙消失。4.3智能手机安全6.Wi-Fi通信频繁掉线或频繁卡顿,后台有不明数据持续在传输。7.手机桌面突然出现无法正常卸载的未知应用程序。8.通讯录中的好友收到以自己名义发送的诈骗链接、垃圾短信、快递信息等。9.手机定位功能自动开启,位置与实际地点不符,或关闭定位后仍被精准推送附近垃圾广告。10.手机出现微弱震动,或陌生号码来电后迅速挂断、回拨是空号。手机出现以上症状时,要及时找专业安全人员帮助处理。4.3智能手机安全4.3.6智能手机的安全防护

智能手机

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论