Download
1 / 44
480 likes | 743 Views
黑客攻击和网络安全. 开篇. 世界头号电脑黑客的传奇故事. 凯文米特尼克 1964 年生于美国加州 从小父母离异,使他性格内向、生活独立 4 岁的米特尼克就能玩一种美国流行的名为 “ 拿破仑的滑铁卢 ” 高智力游戏 15 岁的米特尼克入侵了 “ 北美空中防务指挥系统 ” ,一举成名 信心大增的他,接着入侵 “ 太平洋电话公司 ” ,任意修改用户信息. 世界头号电脑黑客的传奇故事. 入侵联邦调查局,发现特工们正在调查一名黑客,而资料显示,黑客正是自己。 第一次被捕,因不满 16 岁获得人们的同情,被从轻发落。 获释后的他把目光转向信誉不错的大公司
E N D
黑客攻击和网络安全 开篇
世界头号电脑黑客的传奇故事 • 凯文米特尼克1964年生于美国加州 • 从小父母离异,使他性格内向、生活独立 • 4岁的米特尼克就能玩一种美国流行的名为“拿破仑的滑铁卢”高智力游戏 • 15岁的米特尼克入侵了“北美空中防务指挥系统”,一举成名 • 信心大增的他,接着入侵“太平洋电话公司”,任意修改用户信息
世界头号电脑黑客的传奇故事 • 入侵联邦调查局,发现特工们正在调查一名黑客,而资料显示,黑客正是自己。 • 第一次被捕,因不满16岁获得人们的同情,被从轻发落。 • 获释后的他把目光转向信誉不错的大公司 • 1988年被DEC公司指控,未被允许保释 • 1993年联邦调查局设下圈套引诱米特尼克,被中途发现。
世界头号电脑黑客的传奇故事 • 米特尼克的逃跑历程,传言,他曾经控制加州的一个电话系统,窃听警察行踪。 • 1994年,米特尼克发动对“圣迭戈超级计算机中心”的攻击,并引起与人称“美国最出色的电脑安全专家之一”的下村勉的对抗。 • 1995年,下村勉利用米特尼克使用的无线电话的电波而逮捕了米特尼克。 • 2000年,米特尼克出狱,并禁止接触任何和电子相关的物品。
黑客攻击和网络安全 步骤篇
黑客攻击的步骤之一 • 踩点-搜索相关信息:通过多种途径获得和目标系统有关的大量信息譬如域名、IP地址范围、邮件地址、用户帐号、网络拓扑、路由跟踪信息、系统运行状态等等
黑客攻击的步骤之二 • 扫描-探测漏洞:获取目标系统的直接信息,特别是目标系统的可被利用的缺陷。这部分主要包括:端口扫描、操作系统类型扫描、针对特定应用以及服务的漏洞扫描(重点如Web漏洞扫描、Windows漏洞扫描、SNMP漏洞扫描、RPC漏洞扫描和LDAP目录服务漏洞扫描)
黑客攻击的步骤之三 • 嗅探-sniff技术:通过嗅探,获得大量的敏感信息。我将先简略介绍在同一冲突域里面的嗅探原理,并重点介绍交换网络的嗅探技术。
黑客攻击的步骤之四 • 攻击-直捣龙门:通过前面的刺探,开始真正的攻击。一般的攻击方法:DoS攻击、DDoS攻击、口令破解攻击、网络欺骗攻击、会话劫持攻击等
黑客攻击和网络安全 案例篇
北航50周年服务器被黑案例分析 • 踩点 访问http://whois.edu.cn/cgi-bin/reg/otherobj查询北航相关信息
Whois服务器的结果 • Whois buaa.edu.cn ? Beijing University Of Aeronautics&astronautics (DOM) #37, Xue Yuan Lu Road,Haidian District Beijing, BJ 100083 China Domain Name: BUAA.EDU.CN Network Number: 202.112.128.0 - 202.112.143.255 Administrative Contact, Technical Contact: Li , Yunchun (YL4-CN) lych@buaa.edu.cn +86 82317655 Record last updated on 19990305 Record created on 19990305 Domain Servers in listed order: maindns.buaa.edu.cn 202.112.128.50 Network Number: 202.112.128.0 - 202.112.143.255
dig的查询结果 • ; <<>> DiG 9.2.0 <<>> buaa.edu.cn • ;; global options: printcmd • ;; Got answer: • ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46238 • ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 • ;; QUESTION SECTION: • ;buaa.edu.cn. IN A • ;; AUTHORITY SECTION: • buaa.edu.cn. 86400 IN SOA manager.buaa.edu.cn. root.buaa.edu.cn 1997102401 10800 3600 3600000 86400 • ;; Query time: 1 msec • ;; SERVER: 202.112.128.51#53(202.112.128.51) • ;; WHEN: Thu Dec 5 11:46:55 2002 ;; SERVER: 202.112.128.51#53(202.112.128.51)
查询DNS服务器信息 • 使用Nslookup
获取的条目信息 > ls -d buaa.edu.cn [manager.buaa.edu.cn] buaa.edu.cn. SOA manager.buaa.edu.cn root.buaa.edu.cn. (1997102401 10800 3600 3600000 86400) buaa.edu.cn. NS manager.buaa.edu.cn buaa.edu.cn. MX 10 mail.buaa.edu.cn xscserver A 211.71.4.110 scc A 202.112.133.60 50th A 202.112.128.47 experiment NS ns.experiment.buaa.edu.cn ns.experiment A 202.112.137.235 www1 A 202.112.133.42 gonghui A 202.112.135.169 dept7-1 A 202.112.133.71 50th A 202.112.128.47
重点扫描 • 扫描网段 重点网段:服务器所在网段202.112.128.0 重点端口:21(ftp)、22(ssh)、23(telnet)、25(smtp)、53(dns)、79(finger)、80(http)、139(NetBIOS)、3389(remote admin )、8080(proxy)
入侵模拟一:3389端口的入侵 • 由于微软对中国产品不付责任的态度,使得安装了终端服务和全拼的w2k 服务器存在着远程登陆并能获取超级用户权限的严重漏洞
入侵模拟一:3389端口的入侵 • 扫描3389端口
入侵模拟一: 3389端口的入侵 • 用终端客户端程序进行连接
入侵模拟一: 3389端口的入侵 • 利用拼音输入法漏洞
入侵模拟二: 嗅探器的使用 • 通过嗅探往来目标主机的报文,从中发现可以利用的珍贵信息
黑客攻击和网络安全 技术篇
技术篇之一:扫描过程中的隐藏技术 • IP地址欺骗扫描 • 原理:客户端向服务器端发送端口连接数据报,但是报文的源IP地址填写为第三方的IP地址,这样服务器将向第三方返回确认信息。客户端通过观察第三方的反应就可以得知服务器端的指定端口有否打开。 • 前提:第三方没有其他的网络活动 IP数据包的ID值顺序增1
A主机,192.168.0.1 B主机,192.168.0.2 NULL扫描 RST+ACK,ID增量为1 B主机,192.168.0.2 A主机,192.168.0.1 NULL扫描 RST+ACK,ID增量为1 SYN RST+ACK B主机,192.168.0.2 A主机,192.168.0.1 NULL扫描 RST+ACK,ID增量不为1 RST+ACK SYN SYN+ACK C主机,192.168.0.3 正常情况下B主机的反应 被扫描C主机上的端口未监听 C主机,192.168.0.3 被扫描C主机上的端口正在监听
技术篇之二:嗅探器原理 • 冲突域嗅探原理 • 关于ip地址和MAC地址盗用的问题 • 交换网络的嗅探原理 • 嗅探对策
冲突域嗅探原理 网卡一般有四种接收模式 • 广播模式:能够接收网络中广播信息 • 组播模式:能够接收网络中的组播信息 • 直接模式:只接收匹配目的MAC地址的报文 • 混杂模式:能够接收一切监听到的数据帧 一般网卡只接收以下两种数据帧 • 与自己MAC地址相匹配的数据帧 • 发向所有机器的广播数据帧
关于IP地址和MAC地址盗用的问题 • IP地址可以随意修改 • MAC地址的修改 先了解目标主机的MAC地址 2000下在修改注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318\0000、0001、0002等主键下寻找本主机的网卡的类型的主键下面添加一个名为“NetworkAddress”的主键,值为需要设置的MAC地址。 Linux下面修改: Ifconfig eth0 down Ifconfig eth0 hw ether 00:11:22:33:44:55
交换网络的嗅探原理 • MAC洪水 • 原理:交换机内存有限,地址映射表的容量也有限。向交换机发送大量的虚假MAC地址信息数据,让交换机应接不暇,这个时候交换机可能象hub一样,仅仅向所有的端口发送广播数据 • 解决方法:使用静态地址映射表
交换网络的嗅探原理 • MAC复制 • 原理:就是修改本机的MAC地址,使其和目标主机MAC地址相同。让交换机同时向两个端口(同MAC地址)发送数据。 • 解决方法:使用静态地址映射表 ,建立端口和MAC地址的映射
交换网络的嗅探原理 • ARP欺骗 • 原理:一台主机会将所有收到的ARP应答插入到 本机的ARP缓存表里面。如果黑客想偷听网络中两台主机之间的通信(即使是通过交换机相连),他可以分别向两台主机发送ARP应答包,让两台主机都误认为对方的MAC地址是黑客机器的MAC地址,这样,则两台主机的通信全部通过黑客主机进行。黑客只需要更改数据包里面的某些信息用于转发就可以了。
交换网络的嗅探原理 • ARP欺骗实例 • 设A主机:IP:192.168.1.1 MAC:11:11:11:11:11:11 设B主机:IP:192.168.2.2 MAC:22:22:22:22:22:22 设H主机:IP:192.168.3.3 MAC:33:33:33:33:33:33 假设A和B正在通信,黑客H想进行ARP欺骗,这个时候H向A发送ARP应答包,里面包含 同时H向B发送ARP应答包,里面包含
黑客攻击和网络安全 维护篇
维护篇之一:网络采用层次结构 • DMZ(Demilitarized Zone)非军事区和Inter Zone 内部网络区 • DMZ作为内部网络与外部网络的缓冲区 • 制定不同的保全政策 • 对外避免主机和重要服务器被入侵危及内部网络
Internet DMZ Fire Wall FTP服务器 Web服务器 DNS服务器 Mail服务器 内部网 Mail服务器 FTP服务器
外部防火墙 內部防火墙 DMZ Internet Inter Zone • 特性 • 安全性最高 • 内部网络效率低 • 在 DMZ 中之伺服器效率高
维护篇之二:关注访问流量 • SNMP(Simple Network Management Protocol)协议,用于网络底层管理,可以控制各种设备。不仅可以访问网络流量等,也可以监控诸如磁盘等设备。 • SNMP客户端软件:MRTG,linux/unix工具,可以图形化显示管理信息。 MRTG图见: file:\\d:\forest\mrtg\index.htm
维护篇之三:关注漏洞 • 经常访问一些网址,留意补丁的发布 安全焦点 http://www.xfocus.net/ 微软安全公告栏:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ CCERT网络安全:http://www.ccert.edu.cn/
维护篇之四:加强管理 • 关闭一切不需要的服务和端口 • 删除一切不需要的用户,慎重设置密码 • 严格设置对各种服务的访问控制权限 • 选用防火墙,设置严格的过滤规则 • 及时安装补丁和升级程序
全篇结束 谢 谢
