Download
1 / 97
970 likes | 1.13k Views
第六章 网络攻击技术. 网络安全原理与应用. 计算机科学与技术系. 学习目标. 了解黑客与网络攻击的基础知识; 理解与 掌握 : 口令攻击 端口扫描 缓冲区溢出 网络监听 IP地址地址 特洛伊木马 等攻击方式的原理、方法及危害; 能够识别和防范各类攻击。. 6.1 网络攻击概述. 6.1.1 关于黑客 6.1.2 黑客攻击的步骤 6.1.3 网络入侵的对象 6.1.4 主要的攻击方法 6.1.5 攻击的新趋势. 6.1 网络攻击概述. 系统攻击或入侵 系统攻击或入侵是指利用系统安全漏洞,非授权进入他人主机或网络的行为。
E N D
第六章 网络攻击技术 网络安全原理与应用 计算机科学与技术系
学习目标 • 了解黑客与网络攻击的基础知识; • 理解与掌握: • 口令攻击 • 端口扫描 • 缓冲区溢出 • 网络监听 • IP地址地址 • 特洛伊木马 等攻击方式的原理、方法及危害; • 能够识别和防范各类攻击。
6.1 网络攻击概述 • 6.1.1 关于黑客 • 6.1.2 黑客攻击的步骤 • 6.1.3 网络入侵的对象 • 6.1.4 主要的攻击方法 • 6.1.5 攻击的新趋势
6.1 网络攻击概述 • 系统攻击或入侵 • 系统攻击或入侵是指利用系统安全漏洞,非授权进入他人主机或网络的行为。 • 了解自己系统的漏洞及入侵者的攻击手段,才能更好的保护自己的系统。 • 正所谓“知彼知己,百战不殆”
6.1.1 关于黑客 • 黑客(hacker) 在早期,“黑客”一词本身并无贬义,他们是: • 一群专门研究、发现计算机和网络漏洞的计算机爱好者; • 独立思考、奉公守法的计算机迷; • 喜欢探索软件程序奥秘,并从中增长其个人才干的人,为电脑技术的发展作出了巨大贡献。 • 苹果公司的创始人、前首席执行官乔布斯就曾经是一个黑客。 • 把电脑和电子产品变得简约化、平民化,让曾经是昂贵稀罕的电子产品变为现代人生活的一部分。 • 苹果失去了一位富有远见和创造力的天才,世界失去了一个不可思议之人。 • 乔布斯改变了世界
苹果创始人之一、原任公司CEO史蒂夫·乔布斯(Steve Jobs)出生于1955年2月24日,苹果公司成立于1976年4月1日 WHO IS HE?
6.1.1 关于黑客 • 骇客(Cracker) • 怀不良企图与非法目的的人; • 非法侵入他人系统进行偷窥、破坏活动的人; • 是真正对社会造成危害的人。 • 红客(honker) • 红客通常会利用自己掌握的技术去维护国内网络的安全,并对外来的进攻进行还击的人。 • 白客 • 使用黑客技术在一些大公司、企业做网络安全防护的人。 • 现在,黑客、骇客已被专指利用网络技术进行违法犯罪甚至通过网络漏洞来牟取暴利的人。黑客就是指入侵者、攻击者。
6.1.2 黑客攻击的步骤 1.确定攻击目标,收集相关信息 收集攻击目标的:目标的位置、路由、系统结构及其技术细节 • Ping程序:测试一个主机是否处于活动状态、到达主机的时间 • Tracert程序:可以用该程序来获取到达某一主机经过的网络及路由器的列表。 • Finger协议:可以用来取得某一主机上所有用户的详细信息。 • DNS服务器:服务器提供了系统中可以访问的主机的IP地址和主机名列表。 • SNMP协议:可以查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其它内部细节。 • Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数。
网络信息收集—DOS命令 • -t 表示将不间断向目标IP发送数据包,直到我们强迫其停止。试想,如果你使用100M的宽带接入,而目标IP是56K的Modem,那么要不了多久,目标IP就因为承受不了这么多的数据而掉线,如此一次攻击就这么简单的实现了。 • -l定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用,会有更好的效果。 • -n定义向目标IP发送数据包的次数,默认为3次。如果网络速度比较慢,3次对我们来说也浪费了不少时间,因此若仅为判断目标IP是否存在,只需定义为1次。 • ping命令也可以直接ping主机域名,可以得到主机的IP Ping命令-----参数的意义如下:
网络信息收集—DOS命令 Ping命令
表7-3 不同的操作系统对ping的TTL返回值 • ICMP回显应答的参数TTL(Time to Live,生存周期)一般缺省情况下可以反映目标主机操作系统,如表7-3所示。 • 通过观察TTL值的大小,可以粗略的判断出目标的主机系统类型,一般情况下: • TTL值在100至130之间,主机系统为WINDOWS • TTL值在240至255之间,主机系统为UNIX或LINUX
tracert命令 tracert命令为一个路由跟踪、诊断实用程序,它通过发送Internet控制消息协议(ICMP)回显请求和回显答复消息,用于确定IP数据报访问目标所采取的路径。 用法:tracertIP/URL 该命令返回到达IP地址所经过的路由器列表 网管经常被用于测试网络的连通性,确定故障位置
tracert命令 图7-19 本机到雅虎的路由器列表
6.1.2 黑客攻击的步骤 2.探测系统安全弱点 • 利用“补丁”找到突破口 • 用户没有及时使用“补丁”程序,就会给攻击者可趁之机。 • 利用扫描器发现安全漏洞 • 扫描器可以对整个网络或子网进行扫描,扫描常用的端口和指定的端口是否开放,寻找安全漏洞。 • 比较流行的扫描器: • ISS(Internet Security Scanner), • SATAN(Security Administrator Tool For Analyzing Networks)等等。 • X-scan • nmap
图7-52 Ping参数设置 图7-53 “端口相关设置”选项卡
6.1.2 黑客攻击的步骤 3.实施攻击 攻击行为的常见表现形式: (1)掩盖行迹,预留后门。 攻击者潜入系统后:⑴ 实现攻击目的或企图;⑵ 会尽量销毁可能留下的痕迹;⑶ 在受损害系统中找到新的漏洞或留下后门,以备下次光顾时使用。 (2)安装探测程序。 攻击者退出去以后,探测软件仍可以窥探所在系统的活动,收集攻击者感兴趣的信息,如:用户名、账号、口令等,并源源不断地把这些秘密传给幕后的攻击者。 (3)取得特权,扩大攻击范围。 如果攻击者获得根用户或管理员的权限……
黑客攻击步骤 • 黑客攻击的目标偏好不同、技术有高低之分、手法千变万化,但他们对目标实施攻击的步骤却大致相同,一般有八个步骤: 即踩点→扫描→查点→实施入侵→获取权限→提升权限→掩盖踪迹→植入后门程序.
6.1.3 网络入侵的对象 (1)固有的安全漏洞 协议的安全漏洞、弱口令、缓冲区溢出等 (2)系统维护措施不完善的系统 系统进行了维护,对软件进行了更新或升级 ,路由器及防 火墙配置了过滤规则 。 (3)缺乏良好安全体系的系统 建立有效的、多层次的防御体系。建立P2DR,PDRR安全体系结构。
6.1.4 主要的攻击方法 • 1. 获取口令 • 2.放置特洛伊木马 • 3.WWW的欺骗技术 • 4.电子邮件攻击 • 5.网络监听 • 6.寻找系统漏洞
6.1.4 主要的攻击方法 • 获取口令 • 通过网络监听非法得到用户密码。 • 在知道用户的帐号后(如电子邮件@前面的部分),利用一些专门软件强行破解用户密码。 • 通过服务器上的口令文件得到密码。 由于为数不少的操作系统都存在许多安全漏洞或一些其他设计缺陷,这些缺陷一旦被找出,黑客就可以长驱直入,获取服务器上的口令文件(在linux上被称为 shadow文件)。
6.1.4 主要的攻击方法 • 网络监听 • 网络监听是利用工具软件对网络状态、数据流程以及网络上信息传输进行监视; • 网络监听可以截获网络上所传输的信息。 • 网络监听经常用来获取用户密码等。如果两台主机进行通信,只要使用某些网络监听工具,例如sniffer等就可以轻而易举地截取用户口令和帐号等信息资料; • 网络监听只能应用于连接同一网段的主机。
6.1.4 主要的攻击方法 • 放置特洛伊木马 • 什么特洛伊木马 • 非法驻留在目标计算机里计算机程序 • 当目标计算机系统启动的时候自动运行 • 在目标计算机上执行一些事先约定的操作,比如窃取用户密码等信息资源 • 特洛伊木马特点 • 拥有强大的远程控制功能 • 具有极强的破坏性
6.1.4 主要的攻击方法 • WWW的欺骗技术 • 主要有两种攻击形式 • 正在访问的网页已经被黑客篡改过,网页上的信息是虚假的; • 黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求; • 黑客控制着错误的Web站点,这样受攻击者浏览器和Web服务器之间的所有网络信息完全被黑客所截获。 • 攻击者就有许多发起攻击的可能性,包括监视和破坏。
例如, • 用户访问的网站是:http://www.icbc.com.cn • 攻击者将http://www.icbc.com.cn改写为: http://www.abcd.com/http://www.icbc.com.cn。 • 当用户点击http://www.icbc.com.cn,将进入的是http://www.abcd.com。
6.1.4 主要的攻击方法 • 电子邮件攻击 • 电子邮件攻击主要表现为两种方式: • 一是邮件炸弹:指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪; • 二是电子邮件欺骗:攻击者佯称自己为系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或木马程序,这类欺骗只要用户提高警惕,一般危害性不是太大。
6.1.4 主要的攻击方法 • 寻找系统漏洞 • 系统漏洞是指应用软件或操作系统软件在设计上的缺陷或错误,这个缺陷或错误可以被非法者利用,通过植入木马、病毒等方式来攻击或控制整个电脑:窃取您电脑中的重要资料和信息,甚至破坏您的系统。 • 漏洞会影响到的范围: • ⑴ 系统本身及其支撑软件; • ⑵ 网络客户和服务器软件; • ⑶ 网络路由器和安全防火墙等。 • 漏洞主要分: • ⑴ 系统安全漏洞; • ⑵ 配置不当引出的漏洞; • ⑶ 应用软件漏洞;
6.1.5 攻击的新趋势 • 攻击过程的自动化与攻击工具的快速更新 • 攻击扩散:其余攻击需要有人发起,新工具能自动发起新攻击,比如,红色代码18小时之内,Nimda半小时之内就传遍了全球,通过Email附件、web服务、文件共享传播。 • 攻击工具协同工作:比如,DDos分布式拒绝服务攻击 • 攻击工具复杂化 攻击工具的特点: • 反检测:隐藏攻击工具技术; • 动态行为:过去按事先拟定的步骤,新的工具可以根据不 同的方法,随机选择预定义的策略,或直接远程控制。 • 攻击工具的模块化:过去攻击工具功能单一,新的工具的 功能可实现模块化。
6.1.5 攻击的新趋势 • 漏洞发现得更快 • 每天都有几十个漏洞被发现 • 入侵者发现漏洞比系统或程序的开发者早 • 渗透防火墙 • 新的攻击技术可以绕过防火墙实施攻击
6.2 口令攻击 • 6.2.1 获取口令的一些方法 • 6.2.2 设置安全的口令 • 6.2.3 一次性口令
6.2.1 获取口令的一些方法 • (1)通过网络监听非法得到用户口令 • (2)口令的穷举攻击 • (3)利用系统管理员的失误
6.2.2 设置安全的口令 • (1)口令的选择: • 口令选择:⑴ 要有一定的长度;⑵ 要有一定的复杂度 • 字母数字及标点的组合,如:Ha,Pp@y!和w/(X,y)*; • 使用一句话的开头字母做口令,如:由A fox jumps over a lazy dog!产生口令:AfJoAld!。 • (2)口令的保存: • 记住; • 放到安全的地方; • 最好加密 • (3)口令的使用: • 输入口令不要让别人看到; • 不要在不同的系统上使用同一口令; • 定期改变口令。
6.2.3.一次性口令(OTP,One-Time Password) • 一次性口令 一个口令仅使用一次,能有效地抵制重放攻击 • OTP的主要思路是: 加入不确定因素,使每次登录过程中的生成的口令不相同。 • 口令列表 每次登录使用完一个口令后就将它从列表明中删除。 • 口令生成 • 用户可以使用IC卡等硬件卡存储用户的一些秘密信息; • 将这些信息与随机数、系统时间等参数一起通过散列算法得到一个一次性口令。
6.3 扫描器 6.3.1 端口与服务 6.3.2 端口扫描 6.3.3 常用的扫描技术
6.3.1 端口与服务 • 许多TCP/IP应用服务程序都是客户/服务器结构 • 服务器上运行着一个守护进程,当客户有请求到达服务器时,服务器就启动一个相应的服务进程与其进行通信。 • 端口实际是服务器上应用服务的一种标识。 为简化这一过程,每个应用服务程序(如WWW、FTP、Telnet等)被赋予一个唯一的地址,这个地址称为端口。端口号的范围为0~65535。 • 通常服务器的守护进程在一个端口上监听,等待客户请求; • 一个端口是网络用户进行通信的一个通道,同时也是攻击者的进行入侵的一个通道。
6.3.1 端口与服务 • 公认端口(Well Known Ports): • 从0到1023,这些端口号一般固定分配给一些服务。通常这些端口明确表明了某种服务的协议。 • 比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。 • 注册端口(Registered Ports): • 从1024到49151。这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。 • 只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。在关闭程序进程后,就会释放所占用的端口号。
6.3.1 端口与服务 • 动态和/或私有端口(Dynamic and/or Private Ports): • 从49152到65535。理论上,不应为服务分配这些端口
6.3.2 端口扫描 • 使用扫描器,通过端口扫描,就可知道目标主机上所运行的操作系统和提供的服务等许多有用信息。 • 扫描器是检测远程或本地系统安全脆弱性的工具软件。 • 一个扫描器既是网管工具,也是入侵工具 • 扫描软件是系统管理员掌握系统安全状况的工具 • 扫描软件是入侵者用来分析将被入侵系统的工具 • 一般把扫描器分为三类: • 数据库安全扫描器 • 操作系统安全扫描器 • 网络安全扫描器 分别针对于网络服务、应用程序、网络设备、网络协议等。
6.4 网络监听 6.4.1 网络监听的原理 6.4.2 网络监听工具及其作用 6.4.3 如何发现和防范sniffer
6.4 网络监听 1.网络监听的原理 • A与B通信,当数据帧到达一台主机的网络接口时,在正常情况下,网络接口读入数据帧,并检查数据帧帧头中的地址字段,如果数据帧中的目标物理地址是自己的,或者物理地址是广播地址,则将数据帧进行相应转发,否则就将这个数据帧丢弃。 • 对于每一个到达网络接口的数据帧,都要进行这个过程。然而,当主机工作在监听模式下,不管数据帧的目的地址是什么,所有的数据帧都将被转发。
网络监听 图7-60 HUB工作原理
6.4 网络监听 • 网络监听可以监视网络的状态、数据流动情况以及 网络上传输的信息: • 是网络管理员的一种监视和管理网络的一种方法; • 网络监听也常是黑客们经常使用的攻击手段; • 当信息以明文的形式在网络上传输时,便可以使用网络监听的方式截获用户口令等重要信息; • 只要将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获 • 网络监听可以在网上的任何一个位置实施,如局域网中的主机、网关等。
6.4 网络监听 2.网络监听工具及其作用 • 嗅探器(snifferpro)就是一种网络监听工具: • sniffer拦截所有的正在网络上传送的数据,并实时分析这些数据的内容,分析所处的网络状态和整体布局; • Sniffer实施的是一种消极的安全攻击,它躲在某个主机上偷听别人的通信,具有极好隐蔽性。 • 网络监听对系统管理员是很重要的,系统管理员通过监听可以诊断出大量的不可见问题: • 发现两台或多台计算机之间的异常通讯;发现各种协议的漏洞和缺陷。 • 网络的通信量属于哪个协议、主机使用的协议、用户最多的目标主机,报文发送的时间等
3.如何发现sniffer ⑴ 通过下面的方法可以分析出网络上是否存在sniffer • 网络通讯掉包率反常的高; • 网络带宽将出现异常; • 对于怀疑运行监听程序的主机,用正确的IP地址和错误的物理地址去PING。正常的机器不接受错误的物理地址,处于监听状态的机器能接受; • 往网上发大量包含着不存在的物理地址的包。由于监听程序将处理这些包,将导致性能下降,通过比较前后该机器性能(icmp echo delay等方法)加以判断; • 监测sniffer pro的工具软件,比如,anti-sniffer
⑵ 对网络监听的防范措施 • 从逻辑或物理上对网络分段 其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。 • 以交换式集线器代替共享式集线器 以交换式机代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法监听。 • 使用加密技术 数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码。 • 划分VLAN 运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。
6.5 IP欺骗 • 6.5.1 IP欺骗的工作原理 • 6.5.2 IP欺骗的防止
