网络攻击行为分析

侦察是攻击的第一步，这就如同匪徒一般 侦察是利用公开的、可利用的信息来调查攻 击目标 侦察包括以下技术

低级技术侦察 Web搜索 Whois数据库 域名系统（DNS）侦察 通用的目标侦察工具
19
低级技术侦察

社交工程
在黑客理论中，指利用人性弱点、利用人际交往上的漏 洞来非法获取资料的行为。
14
ቤተ መጻሕፍቲ ባይዱ
网 络 攻 击 的 途 径
针对端口攻击 针对服务攻击 针对第三方软件攻击 DOS攻击 针对系统攻击 口令攻击 欺骗

15
网络攻击的层次（P22）
网 络 攻 击 的 层 次





第一层攻击：第一层攻击基于应用层的操作 ，这些攻击的目的只 是为了干扰目标的正常工作。 第二层攻击：第二层攻击指本地用户获得不应获得的文件(或目录) 读权限 。 第三层攻击：在第二层的基础上发展成为使用户获得不应获得的 文件(或目录)写权限。 第四层攻击：第四层攻击主要指外部用户获得访问内部文件的权 利。 第五层攻击：第五层攻击指非授权用户获得特权文件的写权限。 第六层攻击：第六层攻击指非授权用户获得系统管理员的权限或 根权限。
11
黑客攻击的手段



目前，黑客攻击网络的手段种类繁多，而且新的手段层 出不穷，黑客攻击可以分为以下两大类： 一类是主动攻击，这种攻击以各种方式获取攻击目标的 相关信息，找出系统漏洞，侵入系统后，将会有选择地 破坏信息的有效性和完整性。例如：邮件炸弹。 另一类是被动攻击，这种攻击是在不影响网络正常工作 的情况下，进行截获、窃取、破译以获得重要机密信息， 其中包括窃听和通信流量分析。例如：扫描器。 当前黑客攻击采用的主要手段是利用目前网络系统以及 各种网络软件的漏洞，比如基于TCP/IP协议本身的不完 善、操作系统的种种缺陷等；防火墙设置不当；电子欺 诈；拒绝服务（包括DDoS）；网络病毒；使用黑客工具 软件；利用用户自己安全意识薄弱，比如口令设置不当； 或直接将口令文件放在系统等等。
10
黑客攻击危害程度的划分
黑客攻击所使用的方法不同，产生的危害程度也不同，一般 分为八个层次： 第一层：邮件炸弹攻击； 第二层：简单拒绝服务； 第三层：本地用户获得非授权的读访问； 第四层：本地用户获得他们非授权的文件写权限； 第五层：远程用户获得了非授权的账号； 第六层：远程用户获得了特权文件的读权限； 第七层：远程用户获得了特权文件的写权限； 第八层：远程用户拥有了根权限（黑客已经攻克了系统）。 在这八层中，随着层号增大，危害的程度加重。

26
DNS搜索
使用nslookup实现区域传送的过程 （1）使用whois命令查询目标网络，例如在提示符下输入 whois webmaster.com.cn （2）你会得到目标网络的primary和slave DNS服务器的信息。例如， 假设主DNS服务器的名字是ns.webmaster.com.cn （3）使用交互查询方式，缺省情况下nslookup会使用缺省的DNS服 务器作域名解析。键入命令server ns.webmaster.com.cn定位目 标网络的DNS服务器； （4）列出目标网络DNS服务器的内容，如ls webmaster.com.cn。 此时DNS服务器会把数据传送给你，当然，管理员可以禁止DNS服 务器进行区域传送，目前很多公司将DNS服务器至于防火墙的保护 之下并严格设定了只能向某些主机进行区域传送。 一旦你从区域传送中获得了有用信息，你便可以对每台主机实施端口扫 描以确定它们提供了那些服务。如果你不能实现区域传送，你还可 以借助ping和端口扫描工具，当然还有traceroute。
21
Whois数据库搜索



什么是whois数据库：包括各种关于Internet地址分配、域名和个 人联系方式的数据库 WHOIS是一种由防御数据网(DDN)信息中心(NIC)维护的关于用户、 主机系统、网络和域的Internet数据库。该数据库的信息只包括已 经通过NIC在因特网上注册的用户和主机系统的信息。可以查找这个 数据库，以确定用户的电子函件地址。该处理过程是首先在 nic．ddn．mil的WHOIS数据库进行登录，然后用WHOIS命令进 行查询。在提示符下键入HELP可以得到更多的信息。（百度） 研究.com, .net, .org域名 www.internic.net 研究非.com, .net和.org域名 国家代码:www.allwhois.com 教育（.edu): www.networksolutions.com 军事代码（.mit): whois.nic.mit 政府(.gov): whois.nic.gov
12
几种黑客常用的方法
（1）扫描器 所谓扫描器，实际是一种自动检测目标计算机安全性弱点的 程序。黑客通过使用扫描器，可以不留痕迹的发现远程 服务器的各种TCP端口的分配及提供的服务、使用的软件 版本以及其他一些服务信息。 （2）口令破解 黑客进行攻击常常是从破解用户口令开始的。 （3）炸弹攻击与病毒 炸弹攻击是指黑客利用自编的炸弹攻击程序或工具软件，集 中在一段时间内，向攻击的目标机器发出大量信息，使 机器出现负载过重、网络堵塞，最终使系统崩溃的一种 网络攻击手段。 （4）电子欺骗（Spoofing ）


物理闯入 垃圾搜寻

你能找出垃圾搜寻的例子吗？
20
Web搜索

搜索一个组织自己的web站点




有电话号码的职员联系信息 关于公司文化和语言的信息 商务伙伴 最近的合并和兼并公司 正使用的技术
www.google.com

使用搜索引擎


搜索论坛

BBS（电子公告栏） Usenet（新闻组）
安全威胁主要来自以下几个方面：

不可控制的自然灾害，如地震、雷击 恶意攻击、违纪、违法和计算机犯罪 人为的无意失误和各种各样的误操作 计算机硬件系统的故障 软件的“后门”和漏洞
4
安全威胁的表现形式



伪装 非法连接 非授权访问 拒绝服务 抵赖 信息泄露

24
亚太网络信息中心
25
DNS搜索
Nslookup 使用DNS的排错工具nslookup，你可以利用从whois查询 到的信息侦查更多的网络情况。例如，使用nslookup命 令把你的主机伪装成secondary DNS服务器，如果成功 便可以要求从主DNS服务器进行区域传送。要是传送成 功的话，你将获得大量有用信息，包括： a)使用此DNS服务器做域名解析到所有主机名和IP地址的 映射情况 b)公司使用的网络和子网情况 c)主机在网络中的用途。许多公司使用带有描述性的主机 名，像mail.companya.com，www.companyb.com 和print.companyc.com。
22
Whois数据库搜索(续)

搜索目标域名
23
Whois数据库搜索(续)

搜索目标IP


美国Internet注册局：www.arin.net/whois/arinwhois.html 欧洲网络协调中心：www.ripe.net 亚太网络协调中心：www.apnic.net 中国互联网络信息中心：www.cnnic.net.cn

不满的员工 客户 供应商 厂商 商务伙伴 契约者、临 时雇员和顾 问
7

攻击者的水平
杰出攻击者
高级技能攻击者 安全专家
普通技能攻击者 脚本小孩（Script Kiddies）
8
两个概念


黑客 能赋予计算机扩展的能力，使其超越最初设计的人 黑客是英文“Hacker”的英文译音，我国台湾地区译为“骇 客”，它起源于美国麻省理工学院的计算机实验室中。早期的黑 客是指那些精力旺盛，智力超群，具有高超编程能力的计算机程 序员。他们的行为主要包括设计黑客软件、盗打长途电话以及利 用电话进行欺诈。目前，按照公安部1997年4月21日发布的 《计算机信息系统安全专用产品分类原则》中术语的定义，黑客 是指对计算机信息系统进行非授权访问的人员。也有人认为，黑 客就是指那些利用通讯软件、通过网络非法进入公共和他人的计 算机系统，截获或篡改计算机中的信息，危害信息系统安全的电 脑入侵者，其入侵行为称为黑客行为。 计算机窃贼 恶意攻击计算机系统的人（Cracker）
16
网络攻击阶段及工具

攻击的阶段性
侦察 扫描
使用应用程序和操作 系统的攻击获得访问权
决绝服务攻击
使用网络攻击 获得访问权
维护访问权
掩盖踪迹和隐藏
17
网络攻击阶段及工具（续）
侦察 扫描 使用应用程序和操作 系统的攻击获得访问权 决绝服务攻击 使用网络攻击 获得访问权
维护访问权
掩盖踪迹和隐藏
18
侦察
业务流分析 改动信息流 篡改或破坏数据 推断或演绎信息 非法篡改程序
5
实施安全威胁的人员



心存不满的员工 软硬件测试人员 技术爱好者 好奇的年青人 黑客（Hacker） 破坏者（Cracker） 以政治或经济利益为目的的间谍
6

潜在的攻击者


竞争对手 黑客政治家 有组织的罪 犯 恐怖主义者 政府 雇佣杀手 虚伪朋友
第02讲 网络攻击行为分析 （一）基础篇
1
基本内容
网络信息安全技术与黑客攻击技术都源于同一技术核心， 即网络协议和底层编程技术，不同的是怎么使用这些技术。 很多软件或设备可以为网络管理和安全提供保障，但当 被别有用心的人所利用时，就成了黑客工具，就象刀具， 是基本生活用具，又可成为杀人凶器。我们要做到“知己 知彼”，才能“百战不殆”，对黑客的攻击手段、途径、 方法和工具了解得越多，越有利于保护网络和信息的安全。 在介绍信息安全技术以前，本章先来分析与黑客攻击相 关的知识。
2
影响信息安全的人员分析

计算机网络系统所面临的威胁大体可分为两 种：一是针对网络中信息的威胁；二是针对 网络中设备的威胁。
如果按威胁的对象、性质则可以细分为四类： 第一类是针对硬件实体设施 第二类是针对软件、数据和文档资料 第三类是兼对前两者的攻击破坏 第四类是计算机犯罪。

3
安全威胁的来源
13
几种黑客常用的方法
电子欺骗一般包括任何使用计算机进行欺骗的行为。 （5）监听法 网络监听是局域网中的一种黑客技术，由于在进行监听时， 不与其他主机交换信息，也不修改密码，因此，网络监 听是一种被动的攻击方式，仅用于局域网中。 （6）拒绝服务攻击（Denial of Service） 拒绝服务攻击是指攻击者占有大量的共享资源，使系统无法 为其他用户提供资源或以过多的请求造成“溢出”，便 服务器或路由器过载，甚至迫使服务器关闭，终止为用 户提供服务的一种攻击方法。拒绝服务攻击是一种主动 的破坏性攻击。 从造成的危害上划分，拒绝服务攻击可分为两类，一是破坏 或毁坏系统资源，使用户无法使用；第二类是过载系统 服务或消耗系统资源，阻止其他用户使用这些服务。
9
黑客的特点
（1）充当黑客的年轻人居多 黑客年龄一般在10余岁到30岁之间，其中有许多未成年的小孩，如美国 号称“世界头号计算机黑客”的Kevin Mitnick，13岁迷上计算机， 15岁闯入“北美空中防务指挥系统”；英国的Mathew Bevan 14岁侵 入英国的电信公司；我国呼和浩特市一个10岁的初中生破译了该市 通信公司的系统管理员的账号，等等。 （2）人员的构成相对集中 70%以上的黑客事件是由内部人员或外部与内部合谋进行的。一般来说， 外部黑客入侵的目的主要是破坏系统，而内部或内外勾结的入侵多 数是为了获取信息；外部黑客对一个站点可能只入侵一次，内部或 内外勾结的入侵可能会连续几次。 （3）黑客活动时间相对固定 黑客活动主要是在晚上到凌晨、周末或节假日。因为职业化的黑客很少， 一般黑客多有自己的工作，实施黑客活动需要利用休息时间，又因 为在这些时间里，工作场所的人员少，便于隐蔽。 （4）从发展趋势看，黑客正在不断地走向系统化、组织化和年轻化 黑客甚至定期召开会议，如他们每四年在荷兰举行一次Hack - Tic会议、 每年在纽约举行“2600公文”、在拉斯维加斯举行DefCon会议和在 加利福尼亚的Lake Tahoe举行“黑客大会”。