网络攻防分析报告

网络攻防技术windows远程口令猜测与破解攻击

班级：网络工程XXXXX

学号：XXXXXXXXX

姓名：XXXXXXX

口令攻击

口令是网络系统的第一道防线。当前的网络系统都是通过口令来验证用户身份、实施访问控制的。口令攻击是指攻击者以口令为攻击目标，破解合法用户的口令，或避开口令验证过程，然后冒充合法用户潜入目标网络系统，夺取目标系统控制权的过程。口令攻击是实施网络攻击的最基本、最重要、最有效的方法之一。本文主要介绍口令攻击的几种方法及其防范措施。

在获得了相当于Administrator的地位之后，攻击者通常会尽可能多地收集一些能帮助他们进一步占据被攻陷系统的信息。此外，窃得Administrator权限的攻击者可能刚攻陷你整个网络的一小部分，他们还需要再安装一些黑客工具才能扩张其侵略版图。因此，黑客攻破系统之后的活动之一就是收集更多的用户名和口令，因为这些身份证书一般来讲是在整个系统中扩展地盘的关键，而且可能通过各种相关性关系将攻击行为延伸到其他网络中去。

XP SP2及以后的版本，黑客侵入后首先做的一件事就是关掉防火墙。默认配置的防火墙能够阻断下面要讨论的许多依赖于Windows 网络服务的工具发起的入侵。

常用口令攻击方法及分析口令认证的过程是用户在本地输入账号和口令，经传输线路到达远端系统进行认证。由此，就产生了3种口令攻击方式，即从用户主机中获取口令，在通信线路上截获口令，从远端系统中破解口令。

1.1从用户主机中获取口令

攻击者对用户主机的使用权限一般可分为两种情况:一是具有使用主机的一般权限;二是不具有使用主机的任何权限。前者多见于一些特定场合，如企业内部，大学校园的计算中心，机房等。所使用的工具多为可从网上下载的专用软件，对于攻击者来说不需要有太高的技术水平，只要能使用某些软件就可以进行破解。对于后者一般要与一些黑客技术配合使用，如特洛伊木马、后门程序等，这样可使攻击者非法获得对用户机器的完全控制权，然后再在目标主机上安装木马、键盘记录器等工具软件来窃取被攻击主机用户输入的口令字符串。

1.2通过网络监听来截获用户口令

网络监听的目的是截获通信的内容，然后分析数据包，从而获得一些敏感信息。它本来是提供给网络安全管理人员进行管理的工具，利用它来监视网络的状态、数据流动情况以及网络上传输的信息等。而目前，诸多协议本身没有采用任何加密或身份认证技术，如在Telnet、FTP、HTTP、SMTP等传输协议中，用户账户和密码信息都是以明文方式传输的，此时攻击者只要将网络接口设置成混杂模

式，然后利用数据包截取工具（如监听器Sniffer）便可很容易收集到一个网段内的所有用户账号和密码。

1.3远端系统破解用户口令

远端系统是指Web服务器或攻击者要入侵的其他服务器。攻击者入侵系统时，常常把破解系统中普通用户口令作为攻击的开始，因为只要取得系统中一般的访问权限，就很容易利用系统的本地漏洞来取得系统的控制权。下面是几种常见的攻击方式:

(1)利用Web页面欺骗:攻击者将用户所要浏览的网页URL地址改写成指向自己的服务器，当用户浏览目标网页的时候，实际上是一个伪造的页面，如果用户在这个伪造页面中填写有关的登录信息，如账户名称、密码等，这些信息就会被传送到攻击者的Web服务器，从而达到骗取口令的目的。如网络钓鱼就是采用这种方法获取用户的账号与密码等信息的。

(2)强行破解用户口令:当攻击者知道用户的账号(如电子邮件@前面的部分)后，就可以利用一些专门的密码破解工具进行破解，例如采用字典法、穷举法，破解工具会自动从定义的字典中取出一个单词，作为用户的口令尝试登录，如果口令错误，就按序取出下一个单词再进行尝试，直到找到正确的口令或者字典的单词测试完成为止。

(3)想方设法获取服务器上的用户口令文件(此文件成为Shadow 文件)后，用暴力破解程序破解用户口令。这种方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服

务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其对那些安全系数极低的口令更是在短短的一两分钟内，甚至几十秒内就可以将其破解。

口令攻击的防护措施

2.1使用相对安全的口令

为防止口令被穷举法或字典法猜解出，应加强口令安全。主要措施有:

(1)口令长度不小于6位，并应包含字母，数字和其他字符，并且不包含全部或部分的用户账号名；2)避免使用英文单词、生日、姓名、电话号码或这些信息的简单组合作为口令；(3)不要在不同的系统上使用相同的口令；(4)定期或不定期地修改口令；(5)使用口令设置工具生成健壮的口令；

(6)对用户设置的口令进行检测，及时发现弱口令；

(7)限制某些网络服务的登录次数，防止远程猜测、字典法、穷举法等攻击。

2.2检测和防止网络侦听

网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域网上传输的信息，不主动的与其他主机交换信息，也没有修改在网上传输的数据包。即便如此，仍然有一些方法可以用来检测和防止网络侦听。

2.2.1检测监听

虽然处于混杂模式下的主机并不会主动向外发送任何显露其嗅探特征的数据包，但在某些情况下，可通过一些外部诱因，使隐藏在暗处的监听器显露出来。

(1)对于怀疑运行监听程序的机器，构造一种正确的IP地址和错误的物理地址的ICMP数据包去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误物理地址的数据包，处于监听状态的机器能接收，如果他的IP stack不再次反向检查的话，就会对这个ping 的包做出回应；

(2)观测DNS。许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听发生时可以在DNS服务器上观测有没有明显增多的解析请求；

(3)使用反监听工具如ant sniffer等进行检测。