网络攻击技术简介

30
Hack攻击----检测后门
F：检测/etc/passwd文件(unix)
1.陌生用户 2.口令为空的用户 3.uid或gid为0的用户 G：检测是否由sniffer程序在运行(unix) ifconfig
31
Hack攻击----检测后门
H：检测系统中的隐藏文件(unix)
find / -name ".*" -print I：检测系统中的LKM后门 chkrootkit(unix) kstat(linux) ksec(bsd)
13
Hack组织
6、LSD(Last Stage OF DeLIRIUM) http://lsd-pl.net/ 7、razor http://razor.bindview.com/
14
8、teso http://teso.scene.at/
15
Hack组织
6、w00w00 http://www.w00w00.org/
Hack攻击----提升权限
1. 检查目标主机上的SUID和GUID程序是否存在漏洞，如果 是，利用该漏洞提升权限，否则进入下一步(unix)。 2. 检查本地服务是否存在漏洞，如果是，利用该漏洞提升权 限，否则进入下一步。 3. 检查本地服务是否存在脆弱帐号或密码，如果是，利用该 帐号或密码提升权限；否则进入下一步。 4. 检查重要文件的权限是否设置错误，如果是，利用该漏洞 提升权限，否则进入下一步。 5. 检查配置目录中是否存在敏感信息可以利用。 6. 检查用户目录中是否存在敏感信息可以利用。 7. 检查其它目录是否存在可以利用的敏感信息。 8. 重复以上步骤，直到获得root权限或放弃。
34
黑客技术
3.sniffer技术 dsniff:多种协议的口令监听工具 http://naughty.monkey.org/~dugsong/dsniff FTP, Telnet,SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin,RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11,CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker,Citrix,ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMBБайду номын сангаас Oracle SQL*Net, Sybase and Microsoft SQL protocols等等。
33
黑客技术
2.端口扫描与远程操作系统识别 Nmap:最好的端口扫描器和远程操作系统识别工具 http://www.insecure.org/nmap/ Xprobe:icmp远程操作系统识别工具 http://www.sys-security.com/html/projects/X.html 只需要发4个包就可以识别远程操作系统
29
Hack攻击----检测后门
D：检查suid、guid程序(对于unix系统)
find / -user root -perm -4000 –print find / -user root -perm -2000 -print E：对软件包进行校验(对于linux系统) which login rpm –qf /bin/login rpm –V util-linux
19
著名黑客
4.Fyodor http://www.insecure.org/ Nmap的作者 在phrack杂志51期发表了关于高级端口扫描的论文 http://phrack.org/show.php?p=51&a=11 在phrack杂志54期发表了关于利用tcp/ip协议栈进行 远程操作系统识别的论文 http://phrack.org/show.php?p=54&a=9
37
黑客技术
6. 远程漏洞扫描技术—web漏洞扫描工具 whisker: http://www.wiretrip.net/rfp/p/doc.asp/i2/d21.htm twwwscan: http://search.iland.co.kr/twwwscan/
21
著名黑客
6. Solar Designer http://www.openwall.com/ 主要作品 John the Ripper: 最好的unix口令破解工具 openwall: Linux内核安全补丁
黑客大会
1.BlackHat(活动最频繁的黑客大会） http://www.blackhat.com/ 2.CanSecWest(水平极高的黑客大会） http://www.cansecwest.com/ 3.defcon（最权威的黑客大会） http://www.defcon.org 4.HAL(hackers at large） http://www.hal2001.org/hal/01Home/ 颇具盛名的黑客大会
7
黑客语言
1 -> i or l 3 -> e 4 -> a 7 -> t 9 -> g 0 -> o $ -> s | -> i or l |\| -> n |\/| -> m s -> z z -> s f -> ph ph -> f x -> ck ck -> x
黑客语言
例如：
8
•3v3ry0n3 kn0wz wh3n y0u h4ck a w3b p4g3 y0u h4v3 t0 us3 h4ck3r t4lk •Everyone knows when you hack a web page you have •To use hacker talk
32
黑客技术
1.口令破解 Unix口令破解工具：john the ripper http://www.openwall.com/john/ Windows nt、2000口令破解工具：L0phtCrack http://www.atstake.com/research/lc3/index.html
35
黑客技术
4. Hijack,tcp劫持技术
hunt:tcp连接劫持工具 http://lin.fsid.cvut.cz/~kra/#HUNT
综合利用sniffer技术和arp欺骗技术
36
黑客技术
5. 远程漏洞扫描技术—通用漏洞扫描工具 nessus:开源远程漏洞扫描工具 http://www.nessus.org/ Security assess:中科网威火眼网络安全评估分析系统 http://www.netpower.com.cn
著名黑客
2．Simple Nomad http://www.nmrc.org NMRC核心成员，建立者。 NMRC(Nomad Mobile Research Centre) The Hack FAQ 的作者 Pandora（NetWare漏洞扫描器)的作者
17
18
著名黑客
3.RFP(Rain Forest Puppy) http://www.wiretrip.net/rfp/ Web Server安全权威、IIS MSADC漏洞的发现者 Rfp实验室的核心成员 主要作品：whisker Cgi扫描器，综合了多种anti-ids技术
A.察看端口
unix：lsof lsof –i tcp –n：察看所有打开的tcp端口 windows：fport fport /p
28
Hack攻击----检测后门
B.察看进程
unix：ps ps ex：察看所有运行的进程 windows：pslist C.杀掉进程 unix：kill windows：pskill
Hack组织
3、adm ftp://ftp.freelsd.net/ADM/ 4、security http://www.security.is/
12
5、antisecurity http://anti.security.is Save a bug save a life 致力于维护软件届的生态平衡
22
Hack攻击----进入系统
23
1. 扫描目标主机。 2. 检查开放的端口，获得服务软件及版本。 3. 检查服务软件是否存在漏洞，如果是，利用该漏洞远程进 入系统；否则进入下一步。 4. 检查服务软件是否存在脆弱帐号或密码，如果是，利用该 帐号或密码系统；否则进入下一步。 5. 利用服务软件是否可以获取有效帐号或密码，如果是，利 用该帐号或密码进入系统；否则进入下一步。 6. 服务软件是否泄露系统敏感信息，如果是，检查能否利用； 否则进入下一步。 7. 扫描相同子网主机，重复以上步骤，直到进入目标主机或 放弃。
24
25
Hack攻击----善后处理
第三步：放置后门
最好自己写后门程序，用别人的程序总是相 对容易被发现。 第四步：清理日志 删除本次攻击的相关日志，不要清空日志。
26
Hack攻击----入侵检测
1.扫描系统 2.根据结果打补丁，修补系统 3.检测系统中是否有后门程序
27
Hack攻击----检测后门
20
著名黑客
5.dugsong http://www.monkey.org/~dugsong/ 揭示了check point FW-1状态包过滤的漏洞
编写了功能强大的黑客工具包dsniff 包括dsniff、webspy、arpspoof、sshow等 http://naughty.monkey.org/~dugsong/dsniff/
7、thc(The Hackers Choice) https://www.thehackerschoice.com/
16
著名黑客
1．Aleph One Bugtraq邮件列表主持人 Bugtraq FAQ：http://www.nationwide.net/~aleph1/FAQ Bugtraq：http://online.securityfocus.com/archive/1 代表作品：Smashing The Stack For Fun And Profit http://phrack.org/show.php?p=49&a=14 发表于1996年11月8日，第一篇公开发表的介绍缓冲区溢出 的论文
5
Kevin Mutnik
6
黑客历史
• 90年代早期 • AT&T的长途服务系统在马丁路德金纪念日崩溃 •黑客成功侵入格里菲思空军基地和美国航空航天管理局 • Kevin Mitnick再次被抓获，这一次是在纽约，他被圣迭哥 超级计算中心的Tsutomu Shimomura追踪并截获 • 90年代晚期 •美国联邦网站大量被黑，包括美国司法部，美国空军，中央 情报局和美国航空航天管理局等 •流行的电子搜索引擎Yahoo被黑客袭击
1
黑客曝光
舒永杰
2
黑客历史
• 60年代
• • • • 麻省理工AI实验室 第一次出现hacker这个词 Ken Thompson 发明unix 1969，ARPANET开始建立
• 70年代
• • • •
Dennis Ritchie 发明C语言 Phreaking: John Draper 世界上第一个计算机病毒出现 乔布斯(apple公司的创办者)制造出了蓝盒子
3
4
黑客历史
• 80年代早期
• 首次出现Cyberspace一词 • 414s 被捕 • Legion of Doom和Chaos Computer Club成立 • 黑客杂志2600创刊
• 80年代晚期
•25岁的Kevin Mutnik首次被捕 •1988年，莫里斯蠕虫事件，在几小时内感染了6000台计 算机系统 •美国国防部成立了计算机紧急应急小组(CERT)
9
Hack杂志
1. 2600 http://www.2600.com/ 2. Phrack http://www.phrack.org/
10
11
Hack组织
1、@stake(原L0pht) http://www.atstake.com 代表作品：L0phtCrack
2、cDc(CULT OF THE DEAD COW) http://www.cultdeadcow.com/ 代表作品：bo、bo2000、Peekabooty