网络犯罪侦查技术优秀PPT课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络犯罪侦察技术
林英源自文库信息安全
CHENLI
1
第二章 网络攻击模型
2.1 网络攻击模型描述 2.2 攻击身份和位置隐藏 2.3 目标系统信息收集 2.4 弱点信息挖掘分析 2.5 目标使用权限获取 2.6 攻击行为隐藏 2.7 攻击实施 2.8 开辟后门 2.9 攻击痕迹清除
CHENLI
1) 利用被入侵的主机作为跳板;
跳板机所在 的网络
攻击者所在 的网络
攻击
CHENLI
网络攻击目 标网络
4
2) 应用电话转接技术隐藏攻击者身份; 3) 盗用他人的账号上网; 4) 通过免费代理网关实施攻击; 5) 假冒用户账号; 6) 伪造IP地址。
CHENLI
5
2.2.1 IP欺骗攻击
2.1.1.1 信任关系
2
2.1 网络攻击模型描述
网络攻击过程一般分为以下阶段:
▪ 攻击身份和位置隐藏 ▪ 目标系统信息收集 ▪ 弱点信息挖掘分析 ▪ 目标使用权限获取
▪ 攻击行为隐藏 ▪ 攻击实施 ▪ 开辟后门 ▪ 攻击痕迹清除
CHENLI
3
2.2 攻击身份和位置隐藏
目的:隐藏网络攻击者的身份及主机位置 通常采用以下技术隐藏攻击的IP地址或域名:
CHENLI
10
A收到B的SYN包之后,会发送给B一个带有 SYN+ACK标志的数据段,告知自己的ISN,并确认B发送来 的第一个数据段,将ACK设置成B的SYN+1。
B确认收到的A的SYN+ACK数据包,将ACK设置成A的 SYN+1。A收到B的ACK后,连接成功建立,双方可以正式
传输数据了。
第一步:
B
第二步:
B
第三步:
B
SYN A
SYN+ACK A
ACK A
CHENLI
SYN=M SYN=N,ACK=M+1
ACK=N+1
11
如果要冒充B对A进行攻击,就要先使用B 的IP地址发送SYN标志给A,但是当A收到后, 它并不会把SYN+ACK发送到我们的主机,而 是发送到真正的B上去,这时就“漏馅”了, 因为B根本就没有发送过SYN请求,所以如果 要冒充B,首先就应该让B失去工作能力。
CHENLI
13
ISN每秒增加12800,如果有连接出现, 每次连接将把记数器的数值增加64000。
预测出攻击目标的序列号是非常困难的, 而且各个系统也不相同,如果黑客已经使用某 一种方法,能够预测出ISN,他就可以将ACK 序号送给主机A,这时连接就建立了。
CHENLI
14
2.1.1.3 IP欺骗的全过程
CHENLI
16
黑客伪装成被信任主机的IP地址,此时,该主机仍然 处在瘫痪状态,然后向目标主机的513端口(rlogin)发送 连接请求。目标主机立刻对连接请求作出反应,发送 SYN+ACK确认包给被信任主机,因为此时被信任主机处 于停顿状态,它当然无法接收到这个包。紧接着攻击者 向目标主机发送ACK数据包,该数据包使用前面估计的 序列号+1。
但是在实际的攻击过程中往往没有那么幸运, 如果估计的序列号值小于正确值,那么将被丢弃; 如果估计的序列号值大于正确值,并且在缓冲区 大小之内,那么该数据被认为是一个未来的数据, TCP模块将等待其他缺少的数据;如果估计的序 列号值大于期待的数字且不在缓冲区之内,TCP 将放弃它并返回一个期望获得的数据序列号。
CHENLI
8
2.1.1.2 IP欺骗的理论依据
IP欺骗最根本的理论依据:既然A、B之间
的信任关系是基于IP地址建立起来的,那么假如能够 冒充B的IP地址,就可以使用rlogin登录上A,而不 需要任何口令验证。
但是事情远没有这么简单,虽然可以通过编程的方
法随意改变发出的包的IP地址,但TCP协议对IP进行
CHENLI
6
1)在主机A和主机B上admin的home目录中创 建.rhosts文件;
2)在主机A的admin的home目录中用命令实现A、B 的信任关系:
# echo “B admin” > ~/.rhosts;
这时,从主机B上,就能毫无阻碍地使用任何以r开
头的远程调用命令,如rlogin、rsh、rcp等,而无需
了进一步的封装,是一种相对可靠的协议,不会让
黑客轻易地得逞。
CHENLI
9
TCP是面向连接的协议,双方在正式传输数 据之前,需要用“三次握手”来建立一个稳定的 连接。
假设A、B两台主机进行通信,B首先发送带有 SYN标志的数据段通知A需要建立TCP连接, TCP的可靠性就是由数据包中的多位控制字来提 供的,其中最重要的是数据序列SYN和数据确认 标志ACK。B将TCP报头中的SYN设为自己本次 连接的初始值(ISN)。
在Unix主机中,存在着一种特殊的信任关系。 假设有两台主机A和B,上面各有一个账户admin, 主机A和B把admin当做两个互不相关的用户,在 不同的主机上操作时需要输入相应的账户(尽管 这两个账户都为admin),这极为不方便。为了 减少这种不便,可以在主机A和主机B中建立起 两个账户的信任关系,具体步骤如下:
IP欺骗由若干步骤组成: 1、使被信任主机瘫痪:
为了伪装成被信任主机而不“露馅”,需要使 其完全丧失网络工作能力。
2、序列号取样和猜测:
CHENLI
15
一旦估计出ISN的大小,就可以着手进行攻击。 当黑客的虚假TCP数据包进入目标主机时,如果 刚才估计的序列号是准确的,进入的数据将被放 置到目标主机的缓冲区当中。
CHENLI
12
然而除了让B失去工作能力,最难的是要对A 进行攻击,必须知道A使用的ISN。
TCP使用的ISN是一个32位的记数器,从0到 4294967295。TCP为每一个连接选择一个初始序 号ISN。ISN不能随便选取,不同的系统有不同的 算法。理解TCP如何分配ISN以及ISN随时间变化 的规律,对于成功地进行IP欺骗攻击很重要。
口令验证就可以直接登录到A上。这种信任关系是基
于IP地址的。
CHENLI
7
特别的,当 /etc/hosts.equiv中出现一个“+” 或 者 $HOME/.rhosts中出现 “++”时,表明任意地址 的主机可以无须口令验证而直接使用r命令登录此主 机,这是非常危险的。
rlogin 是一个简单的客户/服务器程序,它的作用类 似于telnet,唯一不同的是telnet完全依赖于口令验证, 而rlogin首先是基于信任关系的验证,其次才进行口 令验证,它使用TCP协议进行传输。当用户从一台主 机登录到另一台主机上,并且,如果目标主机信任它, rlogin将允许在不应答口令的情况下使用目标主机上 的资源。
林英源自文库信息安全
CHENLI
1
第二章 网络攻击模型
2.1 网络攻击模型描述 2.2 攻击身份和位置隐藏 2.3 目标系统信息收集 2.4 弱点信息挖掘分析 2.5 目标使用权限获取 2.6 攻击行为隐藏 2.7 攻击实施 2.8 开辟后门 2.9 攻击痕迹清除
CHENLI
1) 利用被入侵的主机作为跳板;
跳板机所在 的网络
攻击者所在 的网络
攻击
CHENLI
网络攻击目 标网络
4
2) 应用电话转接技术隐藏攻击者身份; 3) 盗用他人的账号上网; 4) 通过免费代理网关实施攻击; 5) 假冒用户账号; 6) 伪造IP地址。
CHENLI
5
2.2.1 IP欺骗攻击
2.1.1.1 信任关系
2
2.1 网络攻击模型描述
网络攻击过程一般分为以下阶段:
▪ 攻击身份和位置隐藏 ▪ 目标系统信息收集 ▪ 弱点信息挖掘分析 ▪ 目标使用权限获取
▪ 攻击行为隐藏 ▪ 攻击实施 ▪ 开辟后门 ▪ 攻击痕迹清除
CHENLI
3
2.2 攻击身份和位置隐藏
目的:隐藏网络攻击者的身份及主机位置 通常采用以下技术隐藏攻击的IP地址或域名:
CHENLI
10
A收到B的SYN包之后,会发送给B一个带有 SYN+ACK标志的数据段,告知自己的ISN,并确认B发送来 的第一个数据段,将ACK设置成B的SYN+1。
B确认收到的A的SYN+ACK数据包,将ACK设置成A的 SYN+1。A收到B的ACK后,连接成功建立,双方可以正式
传输数据了。
第一步:
B
第二步:
B
第三步:
B
SYN A
SYN+ACK A
ACK A
CHENLI
SYN=M SYN=N,ACK=M+1
ACK=N+1
11
如果要冒充B对A进行攻击,就要先使用B 的IP地址发送SYN标志给A,但是当A收到后, 它并不会把SYN+ACK发送到我们的主机,而 是发送到真正的B上去,这时就“漏馅”了, 因为B根本就没有发送过SYN请求,所以如果 要冒充B,首先就应该让B失去工作能力。
CHENLI
13
ISN每秒增加12800,如果有连接出现, 每次连接将把记数器的数值增加64000。
预测出攻击目标的序列号是非常困难的, 而且各个系统也不相同,如果黑客已经使用某 一种方法,能够预测出ISN,他就可以将ACK 序号送给主机A,这时连接就建立了。
CHENLI
14
2.1.1.3 IP欺骗的全过程
CHENLI
16
黑客伪装成被信任主机的IP地址,此时,该主机仍然 处在瘫痪状态,然后向目标主机的513端口(rlogin)发送 连接请求。目标主机立刻对连接请求作出反应,发送 SYN+ACK确认包给被信任主机,因为此时被信任主机处 于停顿状态,它当然无法接收到这个包。紧接着攻击者 向目标主机发送ACK数据包,该数据包使用前面估计的 序列号+1。
但是在实际的攻击过程中往往没有那么幸运, 如果估计的序列号值小于正确值,那么将被丢弃; 如果估计的序列号值大于正确值,并且在缓冲区 大小之内,那么该数据被认为是一个未来的数据, TCP模块将等待其他缺少的数据;如果估计的序 列号值大于期待的数字且不在缓冲区之内,TCP 将放弃它并返回一个期望获得的数据序列号。
CHENLI
8
2.1.1.2 IP欺骗的理论依据
IP欺骗最根本的理论依据:既然A、B之间
的信任关系是基于IP地址建立起来的,那么假如能够 冒充B的IP地址,就可以使用rlogin登录上A,而不 需要任何口令验证。
但是事情远没有这么简单,虽然可以通过编程的方
法随意改变发出的包的IP地址,但TCP协议对IP进行
CHENLI
6
1)在主机A和主机B上admin的home目录中创 建.rhosts文件;
2)在主机A的admin的home目录中用命令实现A、B 的信任关系:
# echo “B admin” > ~/.rhosts;
这时,从主机B上,就能毫无阻碍地使用任何以r开
头的远程调用命令,如rlogin、rsh、rcp等,而无需
了进一步的封装,是一种相对可靠的协议,不会让
黑客轻易地得逞。
CHENLI
9
TCP是面向连接的协议,双方在正式传输数 据之前,需要用“三次握手”来建立一个稳定的 连接。
假设A、B两台主机进行通信,B首先发送带有 SYN标志的数据段通知A需要建立TCP连接, TCP的可靠性就是由数据包中的多位控制字来提 供的,其中最重要的是数据序列SYN和数据确认 标志ACK。B将TCP报头中的SYN设为自己本次 连接的初始值(ISN)。
在Unix主机中,存在着一种特殊的信任关系。 假设有两台主机A和B,上面各有一个账户admin, 主机A和B把admin当做两个互不相关的用户,在 不同的主机上操作时需要输入相应的账户(尽管 这两个账户都为admin),这极为不方便。为了 减少这种不便,可以在主机A和主机B中建立起 两个账户的信任关系,具体步骤如下:
IP欺骗由若干步骤组成: 1、使被信任主机瘫痪:
为了伪装成被信任主机而不“露馅”,需要使 其完全丧失网络工作能力。
2、序列号取样和猜测:
CHENLI
15
一旦估计出ISN的大小,就可以着手进行攻击。 当黑客的虚假TCP数据包进入目标主机时,如果 刚才估计的序列号是准确的,进入的数据将被放 置到目标主机的缓冲区当中。
CHENLI
12
然而除了让B失去工作能力,最难的是要对A 进行攻击,必须知道A使用的ISN。
TCP使用的ISN是一个32位的记数器,从0到 4294967295。TCP为每一个连接选择一个初始序 号ISN。ISN不能随便选取,不同的系统有不同的 算法。理解TCP如何分配ISN以及ISN随时间变化 的规律,对于成功地进行IP欺骗攻击很重要。
口令验证就可以直接登录到A上。这种信任关系是基
于IP地址的。
CHENLI
7
特别的,当 /etc/hosts.equiv中出现一个“+” 或 者 $HOME/.rhosts中出现 “++”时,表明任意地址 的主机可以无须口令验证而直接使用r命令登录此主 机,这是非常危险的。
rlogin 是一个简单的客户/服务器程序,它的作用类 似于telnet,唯一不同的是telnet完全依赖于口令验证, 而rlogin首先是基于信任关系的验证,其次才进行口 令验证,它使用TCP协议进行传输。当用户从一台主 机登录到另一台主机上,并且,如果目标主机信任它, rlogin将允许在不应答口令的情况下使用目标主机上 的资源。