网络攻击技术简介

34
黑客技术
3.sniffer技术 dsniff:多种协议的口令监听工具 /~dugsong/dsniff FTP, Telnet,SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin,RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11,CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker,Citrix,ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase and Microsoft SQL protocols等等。
37
黑客技术
6. 远程漏洞扫描技术—web漏洞扫描工具 whisker: /rfp/p/doc.asp/i2/d21.htm twwwscan: http://search.iland.co.kr/twwwscan/
21
著名黑客
6. Solar Designer / 主要作品 John the Ripper: 最好的unix口令破解工具 openwall: Linux内核安全补丁
黑客大会
1.BlackHat(活动最频繁的黑客大会） / 2.CanSecWest(水平极高的黑客大会） / 3.defcon（最权威的黑客大会） 4.HAL(hackers at large） /hal/01Home/ 颇具盛名的黑客大会
29
Hack攻击----检测后门
D：检查suid、guid程序(对于unix系统)
find / -user root -perm -4000 –print find / -user root -perm -2000 -print E：对软件包进行校验(对于linux系统) which login rpm –qf /bin/login rpm –V util-linux
9
Hack杂志
1. 2600 / 2. Phrack /
10
11
Hack组织
1、@stake(原L0pht) 代表作品：L0phtCrack
2、cDc(CULT OF THE DEAD COW) / 代表作品：bo、bo2000、Peekabooty
22
Hack攻击----进入系统
23
1. 扫描目标主机。 2. 检查开放的端口，获得服务软件及版本。 3. 检查服务软件是否存在漏洞，如果是，利用该漏洞远程进 入系统；否则进入下一步。 4. 检查服务软件是否存在脆弱帐号或密码，如果是，利用该 帐号或密码系统；否则进入下一步。 5. 利用服务软件是否可以获取有效帐号或密码，如果是，利 用该帐号或密码进入系统；否则进入下一步。 6. 服务软件是否泄露系统敏感信息，如果是，检查能否利用； 否则进入下一步。 7. 扫描相同子网主机，重复以上步骤，直到进入目标主机或 放弃。
著名黑客
2．Simple Nomad NMRC核心成员，建立者。 NMRC(Nomad Mobile Research Centre) The Hack FAQ 的作者 Pandora（NetWare漏洞扫描器)的作者
17
18
著名黑客
3.RFP(Rain Forest Puppy) /rfp/ Web Server安全权威、IIS MSADC漏洞的发现者 Rfp实验室的核心成员 主要作品：whisker Cgi扫描器，综合了多种anti-ids技术
1
黑客曝光
舒永杰
2
黑客历史
• 60年代
• • • • 麻省理工AI实验室 第一次出现hacker这个词 Ken Thompson 发明unix 1969，ARPANET开始建立
• 70年代
• • • •
Dennis Ritchie 发明C语言 Phreaking: John Draper 世界上第一个计算机病毒出现 乔布斯(apple公司的创办者)制造出了蓝盒子
33
黑客技术
2.端口扫描与远程操作系统识别 Nmap:最好的端口扫描器和远程操作系统识别工具 /nmap/ Xprobe:icmp远程操作系统识别工具 /html/projects/X.html 只需要发4个包就可以识别远程操作系统
Hack攻击----提升权限
1. 检查目标主机上的SUID和GUID程序是否存在漏洞，如果 是，利用该漏洞提升权限，否则进入下一步(unix)。 2. 检查本地服务是否存在漏洞，如果是，利用该漏洞提升权 限，否则进入下一步。 3. 检查本地服务是否存在脆弱帐号或密码，如果是，利用该 帐号或密码提升权限；否则进入下一步。 4. 检查重要文件的权限是否设置错误，如果是，利用该漏洞 提升权限，否则进入下一步。 5. 检查配置目录中是否存在敏感信息可以利用。 6. 检查用户目录中是否存在敏感信息可以利用。 7. 检查其它目录是否存在可以利用的敏感信息。 8. 重复以上步骤，直到获得root权限或放弃。
32
黑客技术
1.口令破解 Unix口令破解工具：john the ripper /john/ Windows nt、2000口令破解工具：L0phtCrack /research/lc3/index.html
13
Hack组织
6、LSD(Last Stage OF DeLIRIUM) / 7、razor /
14
8、teso http://teso.scene.at/
15
Hack组织
6、w00w00 /
5
Kevin Mutnik
6
黑客历史
• 90年代早期 • AT&T的长途服务系统在马丁路德金纪念日崩溃 •黑客成功侵入格里菲思空军基地和美国航空航天管理局 • Kevin Mitnick再次被抓获，这一次是在纽约，他被圣迭哥 超级计算中心的Tsutomu Shimomura追踪并截获 • 90年代晚期 •美国联邦网站大量被黑，包括美国司法部，美国空军，中央 情报局和美国航空航天管理局等 •流行的电子搜索引擎Yahoo被黑客袭击
7、thc(The Hackers Choice) https:///
16
著名黑客
1．Aleph One Bugtraq邮件列表主持人 Bugtraq FAQ：/~aleph1/FAQ Bugtraq：/archive/1 代表作品：Smashing The Stack For Fun And Profit /show.php?p=49&a=14 发表于1996年11月8日，第一篇公开发表的介绍缓冲区溢出 的论文
3
4
黑客历史
• 80年代早期
• 首次出现Cyberspace一词 • 414s 被捕 • Legion of Doom和Chaos Computer Club成立 • 黑客杂志2600创刊
• 80年代晚期
•25岁的Kevin Mutnik首次被捕 •1988年，莫里斯蠕虫事件，在几小时内感染了6000台计 算机系统 •美国国防部成立了计算机紧急应急小组(CERT)
Hack组织
3、adm ftp:///ADM/ 4、security http://www.security.is/
12
5、antisecurity http://anti.security.is Save a bug save a life 致力于维护软件届的生态平衡
19
著名黑客
4.Fyodor / Nmap的作者 在phrack杂志51期发表了关于高级端口扫描的论文 /show.php?p=51&a=11 在phrack杂志54期发表了关于利用tcp/ip协议栈进行 远程操作系统识别的论文 /show.php?p=54&a=9
24
25
Hack攻击----善后处理
第三步：放置后门
最好自己写后门程序，用别人的程序总是相 对容易被发现。 第四步：清理日志 删除本次攻击的相关日志，不要清空日志。
26
Hack攻击----入侵检测
1.扫描系统 2.根据结果打补丁，修补系统 3.检测系统中是否有后门程序
27
Hack攻击----检测后门
20
著名黑客
5.dugsong /~dugsong/ 揭示了check point FW-1状态包过滤的漏洞
编写了功能强大的黑客工具包dsniff 包括dsniff、webspy、arpspoof、sshow等 /~dugsong/dsniff/
7
黑客语言
1 -> i or l 3 -> e 4 -> a 7 -> t 9 -> g 0 -> o $ -> s | -> i or l |\| -> n |\/| -> m s -> z z -> s f -> ph ph -> f x -> ck ck -> x
黑客语言
例如：
8
•3v3ry0n3 kn0wz wh3n y0u h4ck a w3b p4g3 y0u h4v3 t0 us3 h4ck3r t4lk •Everyone knows when you hack a web page you have •To use hacker talk
35
黑客技术
4. Hijack,tcp劫持技术
hunt:tcp连接劫持工具 http://lin.fsid.cvut.cz/~kra/#HUNT
综合利用sniffer技术和arp欺骗技术
36
黑客技术
5. 远程漏洞扫描技术—通用漏洞扫描工具 nessus:开源远程漏洞描工具 / Security assess:中科网威火眼网络安全评估分析系统
30
Hack攻击----检测后门
F：检测/etc/passwd文件(unix)
1.陌生用户 2.口令为空的用户 3.uid或gid为0的用户 G：检测是否由sniffer程序在运行(unix) ifconfig
31
Hack攻击----检测后门
H：检测系统中的隐藏文件(unix)
find / -name ".*" -print I：检测系统中的LKM后门 chkrootkit(unix) kstat(linux) ksec(bsd)
A.察看端口
unix：lsof lsof –i tcp –n：察看所有打开的tcp端口 windows：fport fport /p
28
Hack攻击----检测后门
B.察看进程
unix：ps ps ex：察看所有运行的进程 windows：pslist C.杀掉进程 unix：kill windows：pskill