【网络通信安全管理员认证-中级】第四章网络扫描与网络监听

黑客攻击
❖网络攻击：所有试图破坏网络系统的安全 性的非授权行为都叫做网络攻击。
❖入侵：成功的攻击。
有哪些攻击事件？
❖破坏型攻击：以破坏对方系统为主要目标。 ❖利用型攻击：以控制对方系统为我所用为主
要目标。 ❖信息收集型攻击：以窃取对方信息为主要目
标。 ❖网络欺骗攻击：以用假消息欺骗对方为主要
目标。 ❖垃圾信息攻击：以传播大量预先设置的信息
（可ຫໍສະໝຸດ Baidu是垃圾信息）为主要目标。
攻击分类
在最高层次，攻击可被分为两类：
❖主动攻击
主动攻击包含攻击者访问他所需信息的故意行为。比如远程 登录到指定机器的端口25找出公司运行的邮件服务器的信息， 攻击者是在主动地做一些不利于你或你的公司系统的事情。 正因为如此，如果要寻找他们是很容易发现的。主动攻击包 括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。
利用系统已知的漏 洞、通过输入区向 CGI发送特殊的命 令、发送特别大的 数据造成缓冲区溢 出、猜测已知用户 的口令，从而发现
突破口。
扫描 网络
选中 攻击 目标
获取普通 用户权限
获取超级 用户权限
擦除入 侵痕迹
安装后 门新建
帐号
攻击其它 主机
获取或 修改信息
从事其它 非法活动
总结一下：攻击五部曲
❖一次成功的攻击，都可以归纳成基本的五步 骤，但是根据实际情况可以随时调整。归纳 起来就是“黑客攻击五部曲”
网络安全漏洞主要表现在以下几个方面 a. 系统存在安全方面的脆弱性：现在的操作系统 都存在种种安全隐患，从Unix到Windows，五一 例外。每一种操作系统都存在已被发现的和潜在 的各种安全漏洞。 b. 非法用户得以获得访问权。 c. 合法用户未经授权提高访问权限。 d. 系统易受来自各方面的攻击。
产生的原因： 1、Internet的设计缺陷 2、网络的开放性及开源性 3、软件的缺陷
漏洞的分类
❖常见的漏洞主要有以下几类： a. 网络协议的安全漏洞。 b. 操作系统的安全漏洞。 c. 应用程序的安全漏洞。
软件或协议设计存在缺陷 软件或协议实现存在漏洞 系统或网络配置不当
漏洞的等级
❖低级：拒绝服务，基于操作系统的，打补 丁
❖被动攻击
被动攻击主要是收集信息而不是进行访问，数据的合法用户 对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收 集等攻击方法。
入侵者进入系统的主要途径有：
l 物理侵入：指一个入侵者对主机有物理进入权
限，比如他们能使用键盘，有权移走硬盘等。
l 本地侵入: 这类侵入表现为入侵者已经拥有在
系统用户的较低权限。如果系统没有打最新的漏 洞补丁，就会给侵入者提供一个利用知名漏洞获 得系统管理员权限的机会。
网络通信安全管理员认证
网络扫描与网络监听
Copyright © 2010 Mazhao
漏洞
❖定义：任何会引起系统的安全性受到破坏 的事物，是在硬件、软件、协议的具体实 现或系统安全策略上存在的缺陷。
❖特点： 1、长久性 2、多样性 3、隐蔽性
安全级别越高，漏洞越少？（七个安全等级）
漏洞的表现及产生的原因
▪ 第二种方式是做多极跳板“Sock代理”，这样在入侵的 电脑上留下的是代理计算机的IP地址。
❖ 比如攻击A国的站点，一般选择离A国很远的B国计 算机作为“肉鸡”或者“代理”，这样跨国度的攻 击，一般很难被侦破。
2、踩点扫描
❖踩点就是通过各种途径对所要攻击的目标 进行多方面的了解（包括任何可得到的蛛 丝马迹，但要确保信息的准确），确定攻 击的时间和地点。
▪ 1、隐藏IP或IP欺骗 ▪ 2、踩点扫描 ▪ 3、获得系统或管理员权限 ▪ 4、种植后门 ▪ 5、在网络中隐身
1、隐藏IP
❖ 这一步必须做，如果自己的入侵的痕迹被发现了， 一切都晚了。
❖ 通常有两种方法实现自己IP的隐藏：
▪ 第一种方法是首先入侵互联网上的一台电脑（俗称“肉 鸡”），利用这台电脑进行攻击，这样即使被发现了， 也是“肉鸡”的IP地址。
网络踩点
❖ 踩点就是通过各种途径对所要攻击的目标进行多方面 的了解（包括任何可得到的蛛丝马迹，但要确保信息 的准确）。
得到目标机的控制权 ▪ 通过欺骗获得权限以及其他有效的方法。
4、种植后门
❖为了保持长期对自己胜利果实的访问 权,在已经攻破的计算机上种植一些供 自己访问的后门。
5、在网络中隐身
❖一次成功入侵之后，一般在对方的计算 机上已经存储了相关的登录日志，这样 就容易被管理员发现。
❖在入侵完毕后需要清除登录日志已经其 他相关的日志。
l 远程侵入: 这类入侵指入侵者通过网络远程进
入系统。比如通过植入木马实现对目标主机的控 制，从远程发起对目标主机的攻击等。
攻击的步骤
攻击过程
确准收 定备集 攻供目 击给标 目工信 的具息
隐藏 自己 位置
利用 各种 手段 登陆 对方 主机
检查 漏洞、 后门， 获取 控制 权，…
..
消除 痕迹， 植入 后门， 退出
❖中级：本地用户非法或越权访问，应用程 序的缺陷引起
❖高级：远程用户未经授权访问，设置不当 引起。
Windows常见系统漏洞及修复
❖每个月第2个星期二：微软 ❖IIS漏洞、微软数据访问部件MDAC漏洞、
NETBIOS网络共享漏洞、匿名登录漏洞、 LAN Manager身份认证漏洞、windows弱 口令、IE浏览器漏洞、远程注册表访问漏洞
攻击的准备阶 段
攻击的实施阶段
攻击的善后 阶段
黑客攻击一般过程1
http ftp telnet smtp
端口扫描
黑客攻击一般过程2
用户名:john 口令:john1234 口令暴力攻击
黑客攻击一般过程3
利用漏洞获得 超级用户权限
留后门 隐藏用户
更改主页信息
用john登录 服务器
典型的网络攻击示意图
❖扫描的目的是利用各种工具在攻击目标的 IP地址或地址段的主机上寻找漏洞。扫描分 成两种策略：被动式策略和主动式策略。
3、获得系统或管理员权限
❖得到管理员权限的目的是连接到远程计算机， 对其进行控制，达到自己攻击目的。获得系统 及管理员权限的方法有：
▪ 通过系统漏洞获得系统权限 ▪ 通过管理漏洞获得管理员权限 ▪ 通过软件漏洞得到系统权限 ▪ 通过监听获得敏感信息进一步获得相应权限 ▪ 通过弱口令获得远程管理员的用户密码 ▪ 通过穷举法获得远程管理员的用户密码 ▪ 通过攻破与目标机有信任关系另一台机器进而