黑客攻击和网络安全
This presentation is the property of its rightful owner.
Sponsored Links
1 / 53

黑客攻击和网络安全 PowerPoint PPT Presentation


  • 69 Views
  • Uploaded on
  • Presentation posted in: General

黑客攻击和网络安全. 开篇. 世界头号电脑黑客的传奇故事. 凯文米特尼克 1964 年生于美国加州 从小父母离异,使他性格内向、生活独立 4 岁的米特尼克就能玩一种美国流行的名为 “ 拿破仑的滑铁卢 ” 高智力游戏 15 岁的米特尼克入侵了 “ 北美空中防务指挥系统 ” ,一举成名 信心大增的他,接着入侵 “ 太平洋电话公司 ” ,任意修改用户信息. 世界头号电脑黑客的传奇故事. 入侵联邦调查局,发现特工们正在调查一名黑客,而资料显示,黑客正是自己。 第一次被捕,因不满 16 岁获得人们的同情,被从轻发落。 获释后的他把目光转向信誉不错的大公司

Download Presentation

黑客攻击和网络安全

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


6332493

黑客攻击和网络安全

开篇


6332493

世界头号电脑黑客的传奇故事

  • 凯文米特尼克1964年生于美国加州

  • 从小父母离异,使他性格内向、生活独立

  • 4岁的米特尼克就能玩一种美国流行的名为“拿破仑的滑铁卢”高智力游戏

  • 15岁的米特尼克入侵了“北美空中防务指挥系统”,一举成名

  • 信心大增的他,接着入侵“太平洋电话公司”,任意修改用户信息


6332493

世界头号电脑黑客的传奇故事

  • 入侵联邦调查局,发现特工们正在调查一名黑客,而资料显示,黑客正是自己。

  • 第一次被捕,因不满16岁获得人们的同情,被从轻发落。

  • 获释后的他把目光转向信誉不错的大公司

  • 1988年被DEC公司指控,未被允许保释

  • 1993年联邦调查局设下圈套引诱米特尼克,被中途发现。


6332493

世界头号电脑黑客的传奇故事

  • 米特尼克的逃跑历程,传言,他曾经控制加州的一个电话系统,窃听警察行踪。

  • 1994年,米特尼克发动对“圣迭戈超级计算机中心”的攻击,并引起与人称“美国最出色的电脑安全专家之一”的下村勉的对抗。

  • 1995年,下村勉利用米特尼克使用的无线电话的电波而逮捕了米特尼克。

  • 2000年,米特尼克出狱,并禁止接触任何和电子相关的物品。


6332493

黑客攻击和网络安全

步骤篇


6332493

黑客攻击的步骤之一

  • 踩点-搜索相关信息:通过多种途径获得和目标系统有关的大量信息譬如域名、IP地址范围、邮件地址、用户帐号、网络拓扑、路由跟踪信息、系统运行状态等等


6332493

黑客攻击的步骤之二

  • 扫描-探测漏洞:获取目标系统的直接信息,特别是目标系统的可被利用的缺陷。这部分主要包括:端口扫描、操作系统类型扫描、针对特定应用以及服务的漏洞扫描(重点如Web漏洞扫描、Windows漏洞扫描、SNMP漏洞扫描、RPC漏洞扫描和LDAP目录服务漏洞扫描)


6332493

黑客攻击的步骤之三

  • 嗅探-sniff技术:通过嗅探,获得大量的敏感信息。王维明已经介绍过在同一冲突域里面的嗅探原理,我将重点介绍交换网络的嗅探技术。


6332493

黑客攻击的步骤之四

  • 攻击-直捣龙门:通过前面的刺探,开始真正的攻击。一般的攻击方法:DoS攻击、DDoS攻击、口令破解攻击、网络欺骗攻击、会话劫持攻击等


6332493

黑客攻击和网络安全

案例篇


6332493

北航50周年服务器被黑案例分析

  • 踩点

    访问http://whois.edu.cn/cgi-bin/reg/otherobj查询北航相关信息


Whois

Whois服务器的结果

  • Whois buaa.edu.cn ?

    Beijing University Of Aeronautics&astronautics (DOM) #37, Xue Yuan Lu Road,Haidian District Beijing, BJ 100083 China

    Domain Name: BUAA.EDU.CN

    Network Number: 202.112.128.0 - 202.112.143.255

    Administrative Contact, Technical Contact: Li , Yunchun (YL4-CN) [email protected] +86 82317655

    Record last updated on 19990305

    Record created on 19990305

    Domain Servers in listed order:

    maindns.buaa.edu.cn 202.112.128.50

Network Number: 202.112.128.0 - 202.112.143.255


6332493

dig的查询结果

  • ; <<>> DiG 9.2.0 <<>> buaa.edu.cn

  • ;; global options: printcmd

  • ;; Got answer:

  • ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46238

  • ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

  • ;; QUESTION SECTION:

  • ;buaa.edu.cn.INA

  • ;; AUTHORITY SECTION:

  • buaa.edu.cn.86400INSOAmanager.buaa.edu.cn. root.buaa.edu.cn 1997102401 10800 3600 3600000 86400

  • ;; Query time: 1 msec

  • ;; SERVER: 202.112.128.51#53(202.112.128.51)

  • ;; WHEN: Thu Dec 5 11:46:55 2002

;; SERVER: 202.112.128.51#53(202.112.128.51)


6332493

查询DNS服务器信息

  • 使用Nslookup


6332493

获取的条目信息

> ls -d buaa.edu.cn

[manager.buaa.edu.cn]

buaa.edu.cn. SOA manager.buaa.edu.cn root.buaa.edu.cn. (1997102401 10800 3600 3600000 86400)

buaa.edu.cn. NS manager.buaa.edu.cn

buaa.edu.cn. MX 10 mail.buaa.edu.cn

xscserver A 211.71.4.110

scc A 202.112.133.60

50th A 202.112.128.47

experiment NS ns.experiment.buaa.edu.cn

ns.experiment A 202.112.137.235

www1 A 202.112.133.42

gonghui A 202.112.135.169

dept7-1 A 202.112.133.71

50th A 202.112.128.47


6332493

重点扫描

  • 扫描网段

    重点网段:服务器所在网段202.112.128.0

    重点端口:21(ftp)、22(ssh)、23(telnet)、25(smtp)、53(dns)、79(finger)、80(http)、139(NetBIOS)、3389(remote admin )、8080(proxy)


6332493

入侵模拟一:3389端口的入侵

  • 由于微软对中国产品不付责任的态度,使得安装了终端服务和全拼的w2k 服务器存在着远程登陆并能获取超级用户权限的严重漏洞


6332493

入侵模拟一:3389端口的入侵

  • 扫描3389端口


6332493

入侵模拟一: 3389端口的入侵

  • 用终端客户端程序进行连接


6332493

入侵模拟一: 3389端口的入侵

  • 利用拼音输入法漏洞


6332493

入侵模拟一: 3389端口的入侵


6332493

入侵模拟二: Ftp服务器的入侵

  • 由于某些ftp服务器口令设置过为简单,甚至用户名和密码完全相同,导致黑客有机可乘。


6332493

入侵模拟二: Ftp服务器的入侵


6332493

入侵模拟二: Ftp服务器的入侵


6332493

入侵模拟三: 嗅探器的使用

  • 通过嗅探往来目标主机的报文,从中发现可以利用的珍贵信息


6332493

入侵模拟三: 嗅探器的使用


6332493

黑客攻击和网络安全

技术篇


6332493

技术篇之一:扫描过程中的隐藏技术

  • IP地址欺骗扫描

  • 原理:客户端向服务器端发送端口连接数据报,但是报文的源IP地址填写为第三方的IP地址,这样服务器将向第三方返回确认信息。客户端通过观察第三方的反应就可以得知服务器端的指定端口有否打开。

  • 前提:第三方没有其他的网络活动

    IP数据包的ID值顺序增1


6332493

A主机,192.168.0.1

B主机,192.168.0.2

NULL扫描

RST+ACK,ID增量为1

B主机,192.168.0.2

A主机,192.168.0.1

NULL扫描

RST+ACK,ID增量为1

SYN

RST+ACK

B主机,192.168.0.2

A主机,192.168.0.1

NULL扫描

RST+ACK,ID增量不为1

RST+ACK

SYN

SYN+ACK

C主机,192.168.0.3

正常情况下B主机的反应

被扫描C主机上的端口未监听

C主机,192.168.0.3

被扫描C主机上的端口正在监听


6332493

技术篇之一:扫描过程中的隐藏技术

  • 通过Proxy隐藏

  • Socks代理工作在线路层,介于传输层和应用层之间,它并不向特定的协议处理模块提交数据内容,而只是简单的对IP地址和端口号进行转换处理。

  • 使用Sock5代理,可以支持多种客户端的应用,而且最关键的是不会在服务器端留下痕迹。

  • 方法:寻找漏洞百出的肉机,安装sock5代理服务器。


Unicode

技术篇之二: Unicode解码漏洞

  • 2000年10月微软发布的MS00-078号公告内容就是unicode漏洞

  • 漏洞原理介绍:

    黑客可以通过构造如下URL来执行目标系统中的程序:

    http://www.buaa.edu.cn/../../winnt/system32/cmd.exe?/c+dir本指令假设目标服务器的主页目录为:c:\Interpub\wwwroot\下


Unicode1

技术篇之二: Unicode解码漏洞

一般的web服务器会过滤掉危险字符,譬如/和\,没有这两项,很多黑客攻击无法进行。但是如果是经过unicode编码过的,web服务器过滤后认为没有危险字符存在,就会对其进行解码,但是解码后就不再进行过滤了。如此,可以将危险字符直接写成unicode编码后的字符,就可以躲过过滤了。譬如,上面的命令行就可以改为:http://www.buaa.edu.cn/..%c1%1c../winnt/system32/cmd.exe?c+dir就可以了


6332493

技术篇之三:交换网络的嗅探器

  • 关于ip地址和MAC地址盗用的问题

  • 交换网络的嗅探原理

  • 嗅探对策


Ip mac

关于IP地址和MAC地址盗用的问题

  • IP地址可以随意修改

  • MAC地址的修改

    先了解目标主机的MAC地址

    2000下在修改注册表:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318\0000、0001、0002等主键下寻找本主机的网卡的类型的主键下面添加一个名为“NetworkAddress”的主键,值为需要设置的MAC地址。

    Linux下面修改:

    Ifconfig eth0 down

    Ifconfig eth0 hw ether 00:11:22:33:44:55


6332493

交换网络的嗅探原理

  • MAC洪水

  • 原理:交换机内存有限,地址映射表的容量也有限。向交换机发送大量的虚假MAC地址信息数据,让交换机应接不暇,这个时候交换机可能象hub一样,仅仅向所有的端口发送广播数据

  • 解决方法:使用静态地址映射表


6332493

交换网络的嗅探原理

  • MAC复制

  • 原理:就是修改本机的MAC地址,使其和目标主机MAC地址相同。让交换机同时向两个端口(同MAC地址)发送数据。

  • 解决方法:使用静态地址映射表 ,建立端口和MAC地址的映射


6332493

交换网络的嗅探原理

  • ARP欺骗

  • 原理:一台主机会将所有收到的ARP应答插入到 本机的ARP缓存表里面。如果黑客想偷听网络中两台主机之间的通信(即使是通过交换机相连),他可以分别向两台主机发送ARP应答包,让两台主机都误认为对方的MAC地址是黑客机器的MAC地址,这样,则两台主机的通信全部通过黑客主机进行。黑客只需要更改数据包里面的某些信息用于转发就可以了。


6332493

交换网络的嗅探原理

  • ARP欺骗实例

  • 设A主机:IP:192.168.1.1 MAC:11:11:11:11:11:11

    设B主机:IP:192.168.2.2 MAC:22:22:22:22:22:22

    设H主机:IP:192.168.3.3 MAC:33:33:33:33:33:33

    假设A和B正在通信,黑客H想进行ARP欺骗,这个时候H向A发送ARP应答包,里面包含

同时H向B发送ARP应答包,里面包含


6332493

技术篇之四:密码文件的破译

  • 控制一台主机之后,最好不要另外添加任何用户,容易被人发现。控制肉机的最好办法:远程登陆该肉机,破译其密码文件

  • 远程登陆的方法:执行psexec程序

    Psexec \\202.204.103.89 -u IGUE_USER –p 605forest605 cmd.exe


6332493

各种操作系统密码文件的存放方式

  • Linux和Unix系统的用户文件为/etc/passwd,密码文件为/etc/shadow(没有使用shadow机制的Unix系统只有passwd文件)

  • Windows98存放在C:\windows下的各种pwl文件,文件名即用户名


6332493

各种操作系统密码文件的存放方式

  • Windows NT/2k存放在C:\winnt\system32\config\sam文件中,该文件在系统运行期间锁定,无法阅读,但是可以通过磁盘修复命令rdisk备份到C:\winnt\repair下面,文件名为sam._。该文件可以拷出。

  • 或者使用pwdump从注册表里面导出SAM散列值并存储为passwd格式文件


6332493

破解软件

  • Passwd文件破解工具:John The Ripper

  • PWL文件的破解工具:Cain

  • SAM文件的破解工具:L0phtcrack(其v3被称作LC3)


6332493

黑客攻击和网络安全

维护篇


6332493

维护篇之一:网络采用层次结构

  • DMZ(Demilitarized Zone)非军事区和Inter Zone 内部网络区

  • DMZ作为内部网络与外部网络的缓冲区

  • 制定不同的保全政策

  • 对外避免主机和重要服务器被入侵危及内部网络


6332493

Internet

DMZ

Fire Wall

FTP服务器

Web服务器

DNS服务器

Mail服务器

内部网

Mail服务器

FTP服务器

DNS服务器

Web服务器


6332493

外部防火墙

內部防火墙

DMZ

Internet

Inter Zone

  • 特性

    • 安全性最高

    • 内部网络效率低

    • 在 DMZ 中之伺服器效率高


6332493

维护篇之二:关注访问流量

  • SNMP(Simple Network Management Protocol)协议,用于网络底层管理,可以控制各种设备。不仅可以访问网络流量等,也可以监控诸如磁盘等设备。

  • SNMP客户端软件:MRTG,linux/unix工具,可以图形化显示管理信息。

    MRTG图见:

    file:\\d:\forest\mrtg\index.htm


6332493

维护篇之三:关注漏洞

  • 经常访问一些网址,留意补丁的发布

    安全焦点 http://www.xfocus.net/

    微软安全公告栏:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/

    CCERT网络安全:http://www.ccert.edu.cn/


6332493

维护篇之四:加强管理

  • 关闭一切不需要的服务和端口

  • 删除一切不需要的用户,慎重设置密码

  • 严格设置对各种服务的访问控制权限

  • 选用防火墙,设置严格的过滤规则

  • 及时安装补丁和升级程序


6332493

全篇结束

谢 谢


  • Login