开篇 黑客攻击和网络安全
Download
Report
Transcript 开篇 黑客攻击和网络安全
黑客攻击和网络安全
开篇
世界头号电脑黑客的传奇故事
凯文米特尼克1964年生于美国加州
从小父母离异,使他性格内向、生活独立
4岁的米特尼克就能玩一种美国流行的名为
“拿破仑的滑铁卢”高智力游戏
15岁的米特尼克入侵了“北美空中防务指
挥系统”,一举成名
信心大增的他,接着入侵“太平洋电话公
司”,任意修改用户信息
世界头号电脑黑客的传奇故事
入侵联邦调查局,发现特工们正在调查一
名黑客,而资料显示,黑客正是自己。
第一次被捕,因不满16岁获得人们的同情,
被从轻发落。
获释后的他把目光转向信誉不错的大公司
1988年被DEC公司指控,未被允许保释
1993年联邦调查局设下圈套引诱米特尼克,
被中途发现。
世界头号电脑黑客的传奇故事
米特尼克的逃跑历程,传言,他曾经控制加州的
一个电话系统,窃听警察行踪。
1994年,米特尼克发动对“圣迭戈超级计算机中
心”的攻击,并引起与人称“美国最出色的电脑
安全专家之一”的下村勉的对抗。
1995年,下村勉利用米特尼克使用的无线电话的
电波而逮捕了米特尼克。
2000年,米特尼克出狱,并禁止接触任何和电子
相关的物品。
黑客攻击和网络安全
步骤篇
黑客攻击的步骤之一
踩点-搜索相关信息:通过多种途径获得
和目标系统有关的大量信息譬如域名、IP
地址范围、邮件地址、用户帐号、网络拓
扑、路由跟踪信息、系统运行状态等等
黑客攻击的步骤之二
扫描-探测漏洞:获取目标系统的直接信
息,特别是目标系统的可被利用的缺陷。
这部分主要包括:端口扫描、操作系统类
型扫描、针对特定应用以及服务的漏洞扫
描(重点如Web漏洞扫描、Windows漏洞
扫描、SNMP漏洞扫描、RPC漏洞扫描和
LDAP目录服务漏洞扫描)
黑客攻击的步骤之三
嗅探-sniff技术:通过嗅探,获得大量的敏
感信息。王维明已经介绍过在同一冲突域
里面的嗅探原理,我将重点介绍交换网络
的嗅探技术。
黑客攻击的步骤之四
攻击-直捣龙门:通过前面的刺探,开始
真正的攻击。一般的攻击方法:DoS攻击、
DDoS攻击、口令破解攻击、网络欺骗攻击、
会话劫持攻击等
黑客攻击和网络安全
案例篇
北航50周年服务器被黑案例分析
踩点
访问http://whois.edu.cn/cgi-bin/reg/otherobj
查询北航相关信息
Whois服务器的结果
Whois buaa.edu.cn ?
Beijing University Of Aeronautics&astronautics (DOM) #37,
Xue Yuan Lu Road,Haidian District Beijing, BJ 100083
China
Domain Name: BUAA.EDU.CN
Network
Number:
202.112.128.0
- 202.112.143.255
Network
Number:
202.112.128.0
- 202.112.143.255
Administrative Contact, Technical Contact: Li , Yunchun
(YL4-CN) [email protected] +86 82317655
Record last updated on 19990305
Record created on 19990305
Domain Servers in listed order:
maindns.buaa.edu.cn 202.112.128.50
dig的查询结果
; <<>> DiG 9.2.0 <<>> buaa.edu.cn
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46238
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1,
ADDITIONAL: 0
;; QUESTION SECTION:
;buaa.edu.cn.
IN
A
;; AUTHORITY SECTION:
buaa.edu.cn.
86400 IN
SOA manager.buaa.edu.cn.
root.buaa.edu.cn 1997102401 10800 3600 3600000 86400
;; Query time: 1 msec
;; SERVER:
202.112.128.51#53(202.112.128.51)
;; SERVER:
202.112.128.51#53(202.112.128.51)
;; WHEN: Thu Dec 5 11:46:55 2002
查询DNS服务器信息
使用Nslookup
获取的条目信息
> ls -d buaa.edu.cn
[manager.buaa.edu.cn]
buaa.edu.cn.
10800 3600 3600000 86400)
SOA
manager.buaa.edu.cn root.buaa.edu.cn. (1997102401
buaa.edu.cn.
NS
manager.buaa.edu.cn
buaa.edu.cn.
MX
10
xscserver
A
211.71.4.110
scc
A
202.112.133.60
50th
50th
A
202.112.128.47
A
202.112.128.47
experiment
NS
ns.experiment.buaa.edu.cn
ns.experiment
A
202.112.137.235
www1
A
202.112.133.42
gonghui
A
202.112.135.169
dept7-1
A
202.112.133.71
mail.buaa.edu.cn
重点扫描
扫描网段
重点网段:服务器所在网段202.112.128.0
重点端口:21(ftp)、22(ssh)、23
(telnet)、25(smtp)、53(dns)、79
(finger)、80(http)、139(NetBIOS)、
3389(remote admin )、8080(proxy)
入侵模拟一:3389端口的入侵
由于微软对中国产品不付责任的态度,使
得安装了终端服务和全拼的w2k 服务器存
在着远程登陆并能获取超级用户权限的严
重漏洞
入侵模拟一:3389端口的入侵
扫描3389端口
入侵模拟一: 3389端口的入侵
用终端客户端程序进行连接
入侵模拟一: 3389端口的入侵
利用拼音输入法漏洞
入侵模拟一: 3389端口的入侵
入侵模拟二: Ftp服务器的入侵
由于某些ftp服务器口令设置过为简单,甚
至用户名和密码完全相同,导致黑客有机
可乘。
入侵模拟二: Ftp服务器的入侵
入侵模拟二: Ftp服务器的入侵
入侵模拟三: 嗅探器的使用
通过嗅探往来目标主机的报文,从中发现
可以利用的珍贵信息
入侵模拟三: 嗅探器的使用
黑客攻击和网络安全
技术篇
技术篇之一:扫描过程中的隐藏技术
IP地址欺骗扫描
原理:客户端向服务器端发送端口连接数
据报,但是报文的源IP地址填写为第三方
的IP地址,这样服务器将向第三方返回确
认信息。客户端通过观察第三方的反应就
可以得知服务器端的指定端口有否打开。
前提:第三方没有其他的网络活动
IP数据包的ID值顺序增1
A主机,192.168.0.1
NULL扫描
B主机,192.168.0.2
正常情况下B
主机的反应
RST+ACK,ID增量为1
A主机,192.168.0.1
B主机,192.168.0.2
NULL扫描
被扫描C主机
上的端口未
监听
RST+ACK,ID增量为1
SYN
RST+ACK
C主机,192.168.0.3
A主机,192.168.0.1
B主机,192.168.0.2
被扫描C主机
上的端口正
在监听
NULL扫描
RST+ACK,ID增量不为1
RST+ACK
SYN
SYN+ACK
C主机,192.168.0.3
技术篇之一:扫描过程中的隐藏技术
通过Proxy隐藏
Socks代理工作在线路层,介于传输层和应用层
之间,它并不向特定的协议处理模块提交数据内
容,而只是简单的对IP地址和端口号进行转换处
理。
使用Sock5代理,可以支持多种客户端的应用,
而且最关键的是不会在服务器端留下痕迹。
方法:寻找漏洞百出的肉机,安装sock5代理服
务器。
技术篇之二: Unicode解码漏洞
2000年10月微软发布的MS00-078号公告内容就
是unicode漏洞
漏洞原理介绍:
黑客可以通过构造如下URL来执行目标系统中的
程序:
http://www.buaa.edu.cn/../../winnt/system32/cmd
.exe?/c+dir 本指令假设目标服务器的主页目录为:
c:\Interpub\wwwroot\下
技术篇之二: Unicode解码漏洞
一般的web服务器会过滤掉危险字符,譬如/和\,没
有这两项,很多黑客攻击无法进行。但是如果是
经过unicode编码过的,web服务器过滤后认为没
有危险字符存在,就会对其进行解码,但是解码
后就不再进行过滤了。如此,可以将危险字符直
接写成unicode编码后的字符,就可以躲过过滤了。
譬 如 , 上 面 的 命 令 行 就 可 以 改 为 :
http://www.buaa.edu.cn/..%c1%1c../winnt/syste
m32/cmd.exe?c+dir就可以了
技术篇之三:交换网络的嗅探器
关于ip地址和MAC地址盗用的问题
交换网络的嗅探原理
嗅探对策
关于IP地址和MAC地址盗用的问题
IP地址可以随意修改
MAC地址的修改
先了解目标主机的MAC地址
2000下在修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4
D36E972-E325-11CE-BFC1-08002BE10318\0000、0001、0002等
主键下寻找本主机的网卡的类型的主键下面添加一个名为
“NetworkAddress”的主键,值为需要设置的MAC地址。
Linux下面修改:
Ifconfig eth0 down
Ifconfig eth0 hw ether 00:11:22:33:44:55
交换网络的嗅探原理
MAC洪水
原理:交换机内存有限,地址映射表的容量也有限。向交
换机发送大量的虚假MAC地址信息数据,让交换机应接
不暇,这个时候交换机可能象hub一样,仅仅向所有的端
口发送广播数据
解决方法:使用静态地址映射表
交换网络的嗅探原理
MAC复制
原理:就是修改本机的MAC地址,使其和目标主机MAC地
址相同。让交换机同时向两个端口(同MAC地址)发送
数据。
解决方法:使用静态地址映射表 ,建立端口和MAC地址
的映射
交换网络的嗅探原理
ARP欺骗
原理:一台主机会将所有收到的ARP应答插入到 本机的
ARP缓存表里面。如果黑客想偷听网络中两台主机之间的
通信(即使是通过交换机相连),他可以分别向两台主机
发送ARP应答包,让两台主机都误认为对方的MAC地址
是黑客机器的MAC地址,这样,则两台主机的通信全部
通过黑客主机进行。黑客只需要更改数据包里面的某些信
息用于转发就可以了。
交换网络的嗅探原理
ARP欺骗实例
设A主机:IP:192.168.1.1 MAC:11:11:11:11:11:11
设B主机:IP:192.168.2.2 MAC:22:22:22:22:22:22
设H主机:IP:192.168.3.3 MAC:33:33:33:33:33:33
假设A和B正在通信,黑客H想进行ARP欺骗,这个时候H
向A发送ARP应答包,里面包含
192.168.2.2
33:33:33:33:33:33
同时H向B发送ARP应答包,里面包含
192.168.1.1
33:33:33:33:33:33
技术篇之四:密码文件的破译
控制一台主机之后,最好不要另外添加任
何用户,容易被人发现。控制肉机的最好
办法:远程登陆该肉机,破译其密码文件
远程登陆的方法:执行psexec程序
Psexec \\202.204.103.89 -u IGUE_USER –p 605forest605
cmd.exe
各种操作系统密码文件的存放方式
Linux和Unix系统的用户文件为/etc/passwd,
密码文件为/etc/shadow(没有使用shadow
机制的Unix系统只有passwd文件)
Windows98存放在C:\windows下的各种pwl
文件,文件名即用户名
各种操作系统密码文件的存放方式
Windows NT/2k存放在
C:\winnt\system32\config\sam文件中,该
文件在系统运行期间锁定,无法阅读,但
是可以通过磁盘修复命令rdisk备份到
C:\winnt\repair下面,文件名为sam._。该
文件可以拷出。
或者使用pwdump从注册表里面导出SAM
散列值并存储为passwd格式文件
破解软件
Passwd文件破解工具:John The Ripper
PWL文件的破解工具:Cain
SAM文件的破解工具:L0phtcrack(其v3
被称作LC3)
黑客攻击和网络安全
维护篇
维护篇之一:网络采用层次结构
DMZ(Demilitarized Zone)非军事区和
Inter Zone 内部网络区
DMZ作为内部网络与外部网络的缓冲区
制定不同的保全政策
对外避免主机和重要服务器被入侵危及内
部网络
Internet
DMZ
Fire Wall
FTP服务器
Mail服务器
DNS服务器 Web服务器
内部网
Web服务器
Mail服务器
FTP服务器
DNS服务器
外部防火墙
內部防火墙
DMZ
Internet
Inter Zone
特性
安全性最高
内部网络效率低
在 DMZ 中之伺服器效率高
维护篇之二:关注访问流量
SNMP(Simple Network Management
Protocol)协议,用于网络底层管理,可以
控制各种设备。不仅可以访问网络流量等,
也可以监控诸如磁盘等设备。
SNMP客户端软件:MRTG,linux/unix工
具,可以图形化显示管理信息。
MRTG图见:
file:\\d:\forest\mrtg\index.htm
维护篇之三:关注漏洞
经常访问一些网址,留意补丁的发布
安全焦点 http://www.xfocus.net/
微软安全公告栏:
http://www.microsoft.com/technet/treeview
/default.asp?url=/technet/security/bulletin/
CCERT网络安全:http://www.ccert.edu.cn/
维护篇之四:加强管理
关闭一切不需要的服务和端口
删除一切不需要的用户,慎重设置密码
严格设置对各种服务的访问控制权限
选用防火墙,设置严格的过滤规则
及时安装补丁和升级程序
全篇结束
谢
谢