Download
1 / 52
520 likes | 656 Views
黑客攻击和网络安全. 开篇. 世界头号电脑黑客的传奇故事. 凯文米特尼克 1964 年生于美国加州 从小父母离异,使他性格内向、生活独立 4 岁的米特尼克就能玩一种美国流行的名为 “ 拿破仑的滑铁卢 ” 高智力游戏 15 岁的米特尼克入侵了 “ 北美空中防务指挥系统 ” ,一举成名 信心大增的他,接着入侵 “ 太平洋电话公司 ” ,任意修改用户信息. 世界头号电脑黑客的传奇故事. 入侵联邦调查局,发现特工们正在调查一名黑客,而资料显示,黑客正是自己。 第一次被捕,因不满 16 岁获得人们的同情,被从轻发落。 获释后的他把目光转向信誉不错的大公司
E N D
黑客攻击和网络安全 开篇
世界头号电脑黑客的传奇故事 • 凯文米特尼克1964年生于美国加州 • 从小父母离异,使他性格内向、生活独立 • 4岁的米特尼克就能玩一种美国流行的名为“拿破仑的滑铁卢”高智力游戏 • 15岁的米特尼克入侵了“北美空中防务指挥系统”,一举成名 • 信心大增的他,接着入侵“太平洋电话公司”,任意修改用户信息
世界头号电脑黑客的传奇故事 • 入侵联邦调查局,发现特工们正在调查一名黑客,而资料显示,黑客正是自己。 • 第一次被捕,因不满16岁获得人们的同情,被从轻发落。 • 获释后的他把目光转向信誉不错的大公司 • 1988年被DEC公司指控,未被允许保释 • 1993年联邦调查局设下圈套引诱米特尼克,被中途发现。
世界头号电脑黑客的传奇故事 • 米特尼克的逃跑历程,传言,他曾经控制加州的一个电话系统,窃听警察行踪。 • 1994年,米特尼克发动对“圣迭戈超级计算机中心”的攻击,并引起与人称“美国最出色的电脑安全专家之一”的下村勉的对抗。 • 1995年,下村勉利用米特尼克使用的无线电话的电波而逮捕了米特尼克。 • 2000年,米特尼克出狱,并禁止接触任何和电子相关的物品。
黑客攻击和网络安全 步骤篇
黑客攻击的步骤之一 • 踩点-搜索相关信息:通过多种途径获得和目标系统有关的大量信息譬如域名、IP地址范围、邮件地址、用户帐号、网络拓扑、路由跟踪信息、系统运行状态等等
黑客攻击的步骤之二 • 扫描-探测漏洞:获取目标系统的直接信息,特别是目标系统的可被利用的缺陷。这部分主要包括:端口扫描、操作系统类型扫描、针对特定应用以及服务的漏洞扫描(重点如Web漏洞扫描、Windows漏洞扫描、SNMP漏洞扫描、RPC漏洞扫描和LDAP目录服务漏洞扫描)
黑客攻击的步骤之三 • 嗅探-sniff技术:通过嗅探,获得大量的敏感信息。王维明已经介绍过在同一冲突域里面的嗅探原理,我将重点介绍交换网络的嗅探技术。
黑客攻击的步骤之四 • 攻击-直捣龙门:通过前面的刺探,开始真正的攻击。一般的攻击方法:DoS攻击、DDoS攻击、口令破解攻击、网络欺骗攻击、会话劫持攻击等
黑客攻击和网络安全 案例篇
北航50周年服务器被黑案例分析 • 踩点 访问http://whois.edu.cn/cgi-bin/reg/otherobj查询北航相关信息
Whois服务器的结果 • Whois buaa.edu.cn ? Beijing University Of Aeronautics&astronautics (DOM) #37, Xue Yuan Lu Road,Haidian District Beijing, BJ 100083 China Domain Name: BUAA.EDU.CN Network Number: 202.112.128.0 - 202.112.143.255 Administrative Contact, Technical Contact: Li , Yunchun (YL4-CN) lych@buaa.edu.cn +86 82317655 Record last updated on 19990305 Record created on 19990305 Domain Servers in listed order: maindns.buaa.edu.cn 202.112.128.50
查询DNS服务器信息 • 使用Nslookup
获取的条目信息 > ls -d buaa.edu.cn [manager.buaa.edu.cn] buaa.edu.cn. SOA manager.buaa.edu.cn root.buaa.edu.cn. (1997102401 10800 3600 3600000 86400) buaa.edu.cn. NS manager.buaa.edu.cn buaa.edu.cn. MX 10 mail.buaa.edu.cn xscserver A 211.71.4.110 scc A 202.112.133.60 3806 A 202.99.6.52 experiment NS ns.experiment.buaa.edu.cn ns.experiment A 202.112.137.235 www1 A 202.112.133.42 gonghui A 202.112.135.169 dept7-1 A 202.112.133.71
重点扫描 • 扫描网段 重点网段:服务器所在网段202.112.128.0 重点端口:21(ftp)、22(ssh)、23(telnet)、25(smtp)、53(dns)、79(finger)、80(http)、139(NetBIOS)、3389(remote admin )、8080(proxy)
入侵模拟一:3389端口的入侵 • 由于微软对中国产品不付责任的态度,使得安装了终端服务和全拼的w2k 服务器存在着远程登陆并能获取超级用户权限的严重漏洞
入侵模拟一:3389端口的入侵 • 扫描3389端口
入侵模拟一: 3389端口的入侵 • 用终端客户端程序进行连接
入侵模拟一: 3389端口的入侵 • 利用拼音输入法漏洞
入侵模拟二: Ftp服务器的入侵 • 由于某些ftp服务器口令设置过为简单,甚至用户名和密码完全相同,导致黑客有机可乘。
入侵模拟三: 嗅探器的使用 • 通过嗅探往来目标主机的报文,从中发现可以利用的珍贵信息
黑客攻击和网络安全 技术篇
技术篇之一:扫描过程中的隐藏技术 • IP地址欺骗扫描 • 原理:客户端向服务器端发送端口连接数据报,但是报文的源IP地址填写为第三方的IP地址,这样服务器将向第三方返回确认信息。客户端通过观察第三方的反应就可以得知服务器端的指定端口有否打开。 • 前提:第三方没有其他的网络活动 IP数据包的ID值顺序增1
A主机,192.168.0.1 B主机,192.168.0.2 NULL扫描 RST+ACK,ID增量为1 B主机,192.168.0.2 A主机,192.168.0.1 NULL扫描 RST+ACK,ID增量为1 SYN RST+ACK B主机,192.168.0.2 A主机,192.168.0.1 NULL扫描 RST+ACK,ID增量不为1 RST+ACK SYN SYN+ACK C主机,192.168.0.3 正常情况下B主机的反应 被扫描C主机上的端口未监听 C主机,192.168.0.3 被扫描C主机上的端口正在监听
技术篇之一:扫描过程中的隐藏技术 • 通过Proxy隐藏 • Socks代理工作在线路层,介于传输层和应用层之间,它并不向特定的协议处理模块提交数据内容,而只是简单的对IP地址和端口号进行转换处理。 • 使用Sock5代理,可以支持多种客户端的应用,而且最关键的是不会在服务器端留下痕迹。 • 方法:寻找漏洞百出的肉机,安装sock5代理服务器。
技术篇之二: Unicode解码漏洞 • 2000年10月微软发布的MS00-078号公告内容就是unicode漏洞 • 漏洞原理介绍: 黑客可以通过构造如下URL来执行目标系统中的程序: http://www.buaa.edu.cn/../../winnt/system32/cmd.exe?/c+dir本指令假设目标服务器的主页目录为:c:\Interpub\wwwroot\下
技术篇之二: Unicode解码漏洞 一般的web服务器会过滤掉危险字符,譬如/和\,没有这两项,很多黑客攻击无法进行。但是如果是经过unicode编码过的,web服务器过滤后认为没有危险字符存在,就会对其进行解码,但是解码后就不再进行过滤了。如此,可以将危险字符直接写成unicode编码后的字符,就可以躲过过滤了。譬如,上面的命令行就可以改为:http://www.buaa.edu.cn/..%c1%1c../winnt/system32/cmd.exe?c+dir就可以了
技术篇之三:交换网络的嗅探器 • 关于ip地址和MAC地址盗用的问题 • 交换网络的嗅探原理 • 嗅探对策
关于IP地址和MAC地址盗用的问题 • IP地址可以随意修改 • MAC地址的修改 先了解目标主机的MAC地址 2000下在修改注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318\0000、0001、0002等主键下寻找本主机的网卡的类型的主键下面添加一个名为“NetworkAddress”的主键,值为需要设置的MAC地址。 Linux下面修改: Ifconfig eth0 down Ifconfig eth0 hw ether 00:11:22:33:44:55
交换网络的嗅探原理 • MAC洪水 • 原理:交换机内存有限,地址映射表的容量也有限。向交换机发送大量的虚假MAC地址信息数据,让交换机应接不暇,这个时候交换机可能象hub一样,仅仅向所有的端口发送广播数据 • 解决方法:使用静态地址映射表
交换网络的嗅探原理 • MAC复制 • 原理:就是修改本机的MAC地址,使其和目标主机MAC地址相同。让交换机同时向两个端口(同MAC地址)发送数据。 • 解决方法:使用静态地址映射表 ,建立端口和MAC地址的映射
交换网络的嗅探原理 • ARP欺骗 • 原理:一台主机会将所有收到的ARP应答插入到 本机的ARP缓存表里面。如果黑客想偷听网络中两台主机之间的通信(即使是通过交换机相连),他可以分别向两台主机发送ARP应答包,让两台主机都误认为对方的MAC地址是黑客机器的MAC地址,这样,则两台主机的通信全部通过黑客主机进行。黑客只需要更改数据包里面的某些信息用于转发就可以了。
交换网络的嗅探原理 • ARP欺骗实例 • 设A主机:IP:192.168.1.1 MAC:11:11:11:11:11:11 设B主机:IP:192.168.2.2 MAC:22:22:22:22:22:22 设H主机:IP:192.168.3.3 MAC:33:33:33:33:33:33 假设A和B正在通信,黑客H想进行ARP欺骗,这个时候H向A发送ARP应答包,里面包含 同时H向B发送ARP应答包,里面包含
技术篇之四:密码文件的破译 • 控制一台主机之后,最好不要另外添加任何用户,容易被人发现。控制肉机的最好办法:破译其密码文件
各种操作系统密码文件的存放方式 • Linux和Unix系统的用户文件为/etc/passwd,密码文件为/etc/shadow(没有使用shadow机制的Unix系统只有passwd文件) • Windows98存放在C:\windows下的各种pwl文件,文件名即用户名
各种操作系统密码文件的存放方式 • Windows NT/2k存放在C:\winnt\system32\config\sam文件中,该文件在系统运行期间锁定,无法阅读,但是可以通过磁盘修复命令rdisk备份到C:\winnt\repair下面,文件名为sam._。该文件可以拷出。 • 或者使用pwdump从注册表里面导出SAM散列值并存储为passwd格式文件
破解软件 • Passwd文件破解工具:John The Ripper • PWL文件的破解工具:Cain • SAM文件的破解工具:L0phtcrack(其v3被称作LC3)
黑客攻击和网络安全 维护篇
维护篇之一:网络采用层次结构 • DMZ(Demilitarized Zone)非军事区和Inter Zone 内部网络区 • DMZ作为内部网络与外部网络的缓冲区 • 制定不同的保全政策 • 对外避免主机和重要服务器被入侵危及内部网络
Internet DMZ Fire Wall FTP服务器 Web服务器 DNS服务器 Mail服务器 内部网 Mail服务器 FTP服务器 DNS服务器 Web服务器
外部防火墙 內部防火墙 DMZ Internet Inter Zone • 特性 • 安全性最高 • 内部网络效率低 • 在 DMZ 中之伺服器效率高
维护篇之二:关注访问流量 • SNMP(Simple Network Management Protocol)协议,用于网络底层管理,可以控制各种设备。不仅可以访问网络流量等,也可以监控诸如磁盘等设备。 • SNMP客户端软件:MRTG,linux/unix工具,可以图形化显示管理信息。 MRTG图见: file:\\d:\forest\mrtg\index.htm
维护篇之三:关注漏洞 • 经常访问一些网址,留意补丁的发布 安全焦点 http://www.xfocus.net/ 微软安全公告栏:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ CCERT网络安全:http://www.ccert.edu.cn/
