校园网常见网络攻击技术

第2阶段－入侵系统
• 在第2阶段中，黑客开始针对目标系统 或网络进行攻击以取得控制权，根据以 往的入侵事件，黑客攻击的手法可以归 纳为以下几点：
1. 利用第1阶段扫描过程中发现的漏洞直接对 目标主机进行攻击，以取得系统的控制 权。从网络上流行的工具可以看出大多漏 洞都是由于设计上的BUG和管理员的疏忽 造成的。例如：WebDev、RPC、IIS、 SQL注入、默认密码、等等
攻击对象：系统
第2阶段－入侵系统
• 漏洞TOP 10
Windows 系统
W1 Web Servers & Services W2 Workstation Service W3 Windows Remote Access Services W4 Microsoft SQL Server (MSSQL) W5 Windows Authentication W6 Web Browsers W7 File-Sharing Applications W8 LSAS Exposures W9 Mail Client W10 Instant Messaging
6267 8011 5800，5900 4899 3389
如何查杀后门程序
• 检查开放端口（Fport，netstat）
• 查看自动启动程序
– HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run
– HKEY_LOCAL_USER\software\microsoft\windows\CurrentVersion\Run
校园网常见网络攻击技术
陈俏 CCERT
提纲
• 黑客攻击流程概述 • 入侵前准备 • 系统入侵 • 后门程序概述 • 后入侵概述 • 如何防范入侵
黑客入侵基本描等)
第2阶段：
入侵系统，取得受害主机 的控制权，并安装后门程序
第3-1阶段：
扩大攻击范围
第3-2阶段：
UNIX 系统
U1 BIND Domain Name System U2 Web Server U3 Authentication U4 Version Control Systems U5 Mail Transport Service U6 Simple Network Management Protocol (SNMP) U7 Open Secure Sockets Layer (SSL) U8 Misconfiguration of Enterprise Services NIS/NFS U9 Databases U10 Kernel
第2阶段－入侵系统
提纲
• 黑客攻击流程概述 • 入侵前准备 • 系统入侵 • 后门程序概述 • 后入侵概述 • 如何防范入侵
后门程序的连接方式
• 以连接方式来分类
– 在受害主机上监听某个端口
－无法穿越防火墙
– 不主动监听端口
－由后门程序周期的尝试连接某台机器的Well-known Port（例 如：25、53、80、110..）
第2阶段－入侵系统
3. 发送包含某个链接的E-Mail给目标用户的帐号，诱 骗用户访问此链接，借此黑客可以利用IE的漏洞在 用户端执行命令或安装恶意程序，进而取得系统的 控制权。
攻击对象：End-User 利用漏洞：
Microsoft Windows IE IFRAME缓冲区溢出漏洞 Microsoft Internet Explorer ADODB.Stream对象文件安装漏洞
第3-3阶段－窃取重要资料及档案
• 黑客有目的性的攻击某个目标，就是为了 窃取目标机器上的重要资料，利用远程控 制软件黑客可以很容易的做到这点。
提纲
• 黑客攻击流程概述 • 入侵前准备 • 系统入侵 • 后门程序概述 • 后入侵概述 • 如何防范入侵
如何预防入侵
• 个人用户
– 不要随意执行未知的程序 – 不要随意访问未知的链接 – 密码不要太简单 – 关闭不必要的服务 – 安装反病毒软件及个人防火墙 – 及时的更新系统补丁
第2阶段－如何防止SQL注入
• 对用户输入参数进行合法性检测 • 替换输入参数中的单引号及注释符“--” • 数据库表名不要太易猜
第2阶段－入侵系统
2. 发送含有恶意代码的E-Mail至攻击目标的 用户的E-Mail帐号，欺骗用户执行恶意代码，从而 获得系统的控制权。
攻击对象：End-User 利用漏洞：Word或Excel的漏洞，例如MS03-050
如何预防入侵
• 服务器
– 定期对服务器进行漏洞扫描 – 了解每一个运行的Service的用途 – 了解每一个运行的进程的用途 – 了解每一个监听端口的用途 – 安装反病毒软件及其防火墙 – 及时的更新系统补丁
如何预防入侵
• 网络
– 定期的对网络内主机进行扫描 – 搭建防火墙，阻止外对内的扫描 – 安装流量监控系统 – 安装入侵检测系统
– BITS
－Background Intelligent Transfer Service 进程管理器中看不到，平时没有端口，正反两种连接，适用 于Windows2000/XP/2003
– 协议隧道（ICMP报文）
－Loki，Lokid 无监听端口
后门程序的连接方式（BITS）
• 利用svchost实现原理
－RootKit：用以隐藏黑客所执行的程序及连 接，以防止被系统管理者发现
第3-2阶段－持续维持控制权限
• 通常情况下，透过后门主动建立的连接黑 客只能得到命令行方式，黑客还可以使用 一些远程控制软件（如Terminal Service、 R_Server、 Dameware Remote Control、 VNC、PCAnywhere等）连上受害主机， 从而取得窗口操作界面，更加方便的维持 控制权限。
– Win.ini
system.ini
• 查看运行的进程
提纲
• 黑客攻击流程概述 • 入侵前准备 • 系统入侵 • 后门程序概述 • 后入侵概述 • 如何防范入侵
第3-1阶段－扩大攻击范围
• 至此阶段，黑客已经控制了某个内网的机 器，通过后门程序可以对整个内网进行进 一步的蚕食，得以控制更多的机器，以备 后用。
——
第2阶段－SQL注入
• 国内网站ASP+Access或SQLServer占70% 以上
• 原理：程序未对输入数据的合法性进行判 断
• SQL注入是从正常的WWW端口访问 • 经典测试法1＝1、1＝2
第2阶段－SQL注入
• Sql_ok.asp?id=8 and 1=1
常见后门端口
• 网络公牛（Netbull） • 网络精灵（Netspy） • SubSeven • 冰河 • 网络神偷（Nethief） • 广外女生
• WAY2.4
• VNC • Remote Administrator
• Terminal Services
23444 7306 27374 7626
谢谢！ Thank You!
• 系统扫描 －获取系统及网络信息
• Nmap
– 判断OS类型及版本 – 刺探系统开放的Service
• Cheops
– 图形化的网络刺探工具，能判别OS类型及绘制网络拓扑 图
－获取系统漏洞信息
• Nessus、HScan、XScan、流光、 ISS….
– 用来刺探系统可能存在的漏洞
提纲
• 黑客攻击流程概述 • 入侵前准备 • 系统入侵 • 后门程序概述 • 后入侵概述 • 如何防范入侵
第2阶段－SQL注入
• Sql_bad.asp?id=8 and 1=1
第2阶段－SQL注入
• Ascii逐字解码法
http://127.0.0.1/sql_bad.asp?id=8 And (Select Count(*) from dv_Admin)>=0 http://127.0.0.1/sql_bad.asp?id=8 And (Select Count(username) from dv_Admin)>=0 http://127.0.0.1/sql_bad.asp?id=8 And (select top 1 len(username) from dv_Admin)>0 http://127.0.0.1/sql_bad.asp?id=8 And (select top 1 asc(mid(username,1,1)) from dv_Admin)>0 $sql=“select * from [table] where [field]=“&id $sql=“select * from [table] where [field]= ‘”&string&”’ ” http://127.0.0.1/sql_bad.asp?string=test’ and (Select Count(*) from dv_Admin)>=0 and ‘’=‘
第3-2阶段－持续维持控制权限
• 黑客为了维持取得的控制权限及掌握更多 信息，除了安装后门程序外，亦会安装下 列程序：
－Keylogger：能记录使用者启动的程序和键入 的命令，进而可以拦截如网络交易、POP3、 SMTP、FTP等的帐号及密码
－Password Dump：可配合密码攻击来取得系统 上的所有用户的帐号和密码
持续维持所取得的 控制权限
第3-3阶段：
窃取重要资料及档案
提纲
• 黑客攻击流程概述 • 入侵前准备 • 系统入侵 • 后门程序概述 • 后入侵概述 • 如何防范入侵
第1阶段－入侵前的准备
• 收集入侵目标的信息 －E-Mail、News、Whois、搜索引擎 －例如：
第1阶段－入侵前的准备