网络攻击与防御技术

直接鉴别操作系统类型

TCP/IP栈指纹探测技术
各个操作系统在实现TCP/IP栈的时候有细
微的不同，可以通过下面一些方法来进行 判定
TTL值
Windows窗口值 ToS类型
DF标志位
初始序列号（ISN）采样 MSS（最大分段大小） 其他
漏洞扫描工具
Nessus(演示) X-Scan(实验)
void main(int argc, char **argv) {
if(argc > 1 ) function(argv[1]);
}
执行结果
[wlj@debian wlj]$ gcc -o vul vul.c [wlj@debian wlj]$ gdb ./vul -q (gdb) r `perl -e 'print "A"x28'`BBBB Starting program: /home/wlj/./vul `perl -e 'print "A"x28'`BBBB Program received signal SIGSEGV, Segmentation fault. 0x42424242 in ?? () (gdb) i r eax 0xbffffc60 -1073742752 ecx 0x564eff41 1448017729 edx 0x57500042 1464860738 ebx 0x40162154 1075192148 esp 0xbffffc80 0xbffffc80 ebp 0x41414141 0x41414141 esi 0x400168e4 1073834212 edi 0xbffffd04 -1073742588 eip 0x42424242 0x42424242 ....
演示
课程内容
直观展示黑客攻击过程 通常黑客攻击思路与操作 近期常见攻击方法
部份渗透测试结果
攻击阶段划分(1)
预攻击
目的： 收集信息，进行进 一步攻击决策 内容： 获得域名及IP分布
攻击
目的： 进行攻击，获得系 统的一定权限 内容： 获得远程权限
后攻击
目的： 消除痕迹，长期维 持一定的权限 内容： 删除日志

口令猜测
Hydra(http://www.thc.org/) Brutus X-Scan(http://www.xfocus.net)

以上是常见的密码破解的工具,如破解ftp， pop3的密码等 说明：口令猜测与密码破解的概念稍有不同
猜解FTP的密码
密码破解

John(http://www.openwall.com/john/) L0pht Crack5(http://www.atstake.com)
特洛伊木马
黑客在攻击进入后会留下后门程序，以便于进行控制
国内较常见的是： 冰河、灰鸽子 等 按连接的方式可分: 正向、反向 B/S，C/S
传统的远程控制步骤
反弹端口连接模式
Internet Explore r 浏览网页
防火墙
端口
> 1024
目标主机
IE
木马线程 正常线程 进 正常线程 程 …
Windows
间接鉴别操作系统


说明 不直接进行扫描 利用网络应用服务使用过程中的信息来推断和分析操作系统 类型，并得到其他有用信息 如Telnet 80端口查看WEB服务器类型从而初步判断操作系 统类型 这种方法难以被发现 防御对策 修改服务器上应用服务的banner信息，达到迷惑攻击者的目 的
端口扫描工具演示
Nmap(http://www.nmap.org) Superscan(http://www.foundstone.com) Sl(http://www.foundstone.com)

TCP SYN扫描

也叫半开式扫描 利用TCP连接三次握手的第一次进行扫描
SYN
扫 描 器
Whois Ping
Traceroute
Nslookup 网站公布信息
http://www.netcraft.com
http://www.internic.com http://visualroute.visualware.com
路由信息
Web信息
搜索引擎查询
端口扫描技术


NmapWin v1.3.0
端口扫描工具

SuperScan 简介 基于Windows平台 速度快，图形化界面 最新版本为4.0 使用 傻瓜化
漏洞扫描


系统漏洞扫描 特定服务的漏洞扫描 WEB服务 数据库服务 FTP服务 Mail服务 信息泄漏漏洞扫描 用户信息 共享信息

网络及管理设备漏洞扫 描
路由器、交换机 SNMP设备

人为管理漏洞扫描
弱口令 错误配置
漏洞扫描工具

Nessus 构架 服务器端：基于Unix系统 客户端：有GTK、Java和Win系统支持 运作 客户端连接服务器端，并下载插件和扫描策略 真正的扫描由服务器端发起 两者之间的通信通过加密认证 优势： 具有强大的插件功能 完全免费，升级快速 非常适合作为网络安全评估工具 链接：www.nessus.org
以上是两个最经常见到的破解系统密码的工具
破解WIN系统的密码
演示：MD5破解 MD5破解可以利用相关网站提供的接 口或者用工具直接破解
MD5(admin,32) = 21232f297a57a5a743894a0e4a801fc3 MD5(admin,16) = 7a57a5a743894a0e
SSS（Shadow Security Scanner）
Retina Network Security Scanner
LANguard Network Security Scanner
操作系统类型鉴别

主要依据
利用不同操作系统对各种连接请求的不同
反应和特征来判断远程主机操作系统的类 型 当使用足够多的不同特征来进行判断，操 作系统的探测精度就能有很大保证

共享环境监听的意义
积极意义：方便网络管理员进行管理和 网络故障分析 消极意义：常被用来窃听在网络上以明 文方式传输的口令和账号密码

POP3邮件口令
Ftp登录口令 Telnet登录口令
共享环境监听的检测

基于主机的检测
简单的ifconfig命令，包括各种UNIX系统

基于网络的检测
安全攻防技术
轻用其芒，动即有伤，是为凶器； 深若藏拙，临机取决，是为利器。 --《古剑铭》
今天的交流内容
课程内容
直观展示黑客攻击过程 通常黑客攻击思路与操作 近期常见攻击方法
部份渗透测试结果
Windows 溢出漏洞

时间线索
漏洞发布：2006(ms06040) 攻击程序发布：2006

如何完成一次攻击？

Google Hacking
搜索技巧 相关工具 一般是用来进行搜索目标的一些相关信息， 经常用到的命令： inurl: intext: Intitle: filetype:

特洛伊木马攻击
来源于希腊神话中的特洛伊战争
希腊人攻打特洛伊城十年， 始终未获成功，后来建造了 一个大木马，并假装撤退， 希腊将士却暗藏于马腹中。 特洛伊人以为希腊人已走， 就把木马当作是献给雅典娜 的礼物搬入城中。晚上，木 马中隐藏的希腊将士冲出来 打开城门，希腊将士里应外 合毁灭了特洛伊城。后来我 们把进入敌人内部攻破防线 的手段叫做木马计，木马计 中使用的里应外合的工具叫 做特洛伊木马
获得拓扑及OS等
获得端口和服务 获得应用系统情况
进入远程系统
提升本地权限 进一步扩展权限
修补明显的漏洞
植入后门木马 进一步渗透扩展
跟踪新漏洞发布
进行实质性操作
进入潜伏状态
攻击阶段划分(2)
课程内容
直观展示黑客攻击过程 通常黑客攻击思路与操作 近期常见攻击方法
部份渗透测试结果
信息收集

信息收集工具
网络监听攻击的环境

基于共享（HUB）环境的监听
比较普遍
实现较为简单

基于交换（Switch）环境的监听
基础是ARP欺骗技术
网络监听攻击
sniffer 源 目的
加密 passwd
$%@&)*=-~`^,{
解密
基于共享环境的监听
共享以太网环境中，所有物理信号都会被 传送到每一个主机节点上去 如将系统的网络接口设定为混杂模式 (Promiscuous)，则就能接受到一切监听 到的数据帧，而不管其目的MAC地址是 什么
堆栈指纹扫描



利用TCP/IP来识别不同的操作系统和服务 向系统的IP和端口发送各种特殊的包。根据系统对 包回应的差别，推断出操作系统的种类。 堆栈指纹程序利用的部分特征 ICMP错误信息抑制； 服务类型值(TOS)； TCP/IP选项； 对SYN FLOOD的抵抗力； TCP初始窗口

一个端口就是一个潜在的通信通道。 http://www.neohapsis.com/neolabs/neo-ports/neo-ports.html 对目标计算机进行端口扫描，得到有用的信息。 扫描的方法 手工进行扫描 熟悉各种命令。对命令执行后的输出进行分析 端口扫描软件 许多扫描器软件都有分析数据的功能。通过端口扫描， 可以得到许多有用的信息，从而发现系统的安全漏洞。
系统
监听端口
反弹式的远程 控制程序
传统远程控制程序
IP数据包过滤
缓冲区溢出
WIN漏洞(演示) Metasploit (http://www.metasploit.com/)

来自百度文库
缓冲区溢出-其它集成工具
一个典型的问题程序
void function(char *str) { char buffer[16]; } strcpy(buffer,str);
演示：SQL注入攻击 常见的注入工具： NBSI Domain3.6 等
Phishing
eBay 中国金融机构

中间人攻击
SYN+ACK握手 SYN RST 重置 SYN
开放的端口
不提供服务的端口
被 扫 描 主 机
防火墙过滤的端口
没有回应或者其他
端口扫描工具

Nmap 简介 被称为“扫描器之王” 有for Unix和for Win的两种版本 需要Libpcap库和Winpcap库的支持 能够进行普通扫描、各种高级扫描和操作系统类型鉴别等 使用 -sS：半开式扫描 -sT:普通connect()扫描 -sU：udp端口扫描 -O：操作系统鉴别 -P0：强行扫描（无论是否能够ping通目标） -p：指定端口范围 -v：详细模式
Nessus工作流程
Client
Server
Targets
漏洞扫描工具

X-Scan
国人自主开发 完全免费
X-Scan使用
扫描开始
安全漏洞扫描器


安全漏洞扫描器的种类 网络型安全漏洞扫描器 主机型安全漏洞扫描器 数据库安全漏洞扫描器 安全漏洞扫描器的选用 ISS （Internet Security Scanner）：安氏 SSS（Shadow Security Scanner）：俄罗斯黑客 Retina Network Security Scanner：eEye LANguard Network Security Scanner CyberCop Scanner：NAI
针对系统硬件过滤和软件过滤的检测
针对DNS反向域名解析的检测 针对网络和主机响应时间的检测

使用专业的检测工具
AntiSniff（有for win和for unix的版本）
Promiscan
嗅探工具
Ethereal(http://www.ethereal.com，实验) Windump(http://windump.polito.it/演示) Xsniff(http://www.xfocus.net实验)
应用攻击
WebProxy SPIKE Proxy SQL注入体验

应用攻击

现在最典型的是SQL注入攻击
所谓SQL注入（SQL Injection），就是利用程 序员对用户输入数据的合法性检测不严或不检测的 特点，故意从客户端提交特殊的代码，从而收集程 序及服务器的信息，从而获取想得到的资料。通常 别有用心者的目标是获取网站管理员的帐号和密码。 另外还有一个概念：旁注