Embed Size (px)
DESCRIPTION
黑客攻击和网络安全. 开篇. 世界头号电脑黑客的传奇故事. 凯文米特尼克 1964 年生于美国加州 从小父母离异,使他性格内向、生活独立 4 岁的米特尼克就能玩一种美国流行的名为 “ 拿破仑的滑铁卢 ” 高智力游戏 15 岁的米特尼克入侵了 “ 北美空中防务指挥系统 ” ,一举成名 信心大增的他,接着入侵 “ 太平洋电话公司 ” ,任意修改用户信息. 世界头号电脑黑客的传奇故事. 入侵联邦调查局,发现特工们正在调查一名黑客,而资料显示,黑客正是自己。 第一次被捕,因不满 16 岁获得人们的同情,被从轻发落。 获释后的他把目光转向信誉不错的大公司 - PowerPoint PPT Presentation
Citation preview
黑客攻击和网络安全
开篇
世界头号电脑黑客的传奇故事 凯文米特尼克 1964年生于美国加州 从小父母离异,使他性格内向、生活独立 4岁的米特尼克就能玩一种美国流行的名为“拿破仑的滑铁卢”高智力游戏
15岁的米特尼克入侵了“北美空中防务指挥系统”,一举成名
信心大增的他,接着入侵“太平洋电话公司”,任意修改用户信息
世界头号电脑黑客的传奇故事 入侵联邦调查局,发现特工们正在调查一名黑客,而资料显示,黑客正是自己。
第一次被捕,因不满 16岁获得人们的同情,被从轻发落。
获释后的他把目光转向信誉不错的大公司 1988年被 DEC公司指控,未被允许保释 1993年联邦调查局设下圈套引诱米特尼克,被中途发现。
世界头号电脑黑客的传奇故事 米特尼克的逃跑历程,传言,他曾经控制加州的一个电话系统,窃听警察行踪。
1994年,米特尼克发动对“圣迭戈超级计算机中心”的攻击,并引起与人称“美国最出色的电脑安全专家之一”的下村勉的对抗。
1995年,下村勉利用米特尼克使用的无线电话的电波而逮捕了米特尼克。
2000年,米特尼克出狱,并禁止接触任何和电子相关的物品。
黑客攻击和网络安全
步骤篇
黑客攻击的步骤之一 踩点-搜索相关信息:通过多种途径获得和目标系统有关的大量信息譬如域名、 IP地址范围、邮件地址、用户帐号、网络拓扑、路由跟踪信息、系统运行状态等等
黑客攻击的步骤之二 扫描-探测漏洞:获取目标系统的直接信息,特别是目标系统的可被利用的缺陷。这部分主要包括:端口扫描、操作系统类型扫描、针对特定应用以及服务的漏洞扫描(重点如Web漏洞扫描、Windows漏洞扫描、 SNMP漏洞扫描、 RPC漏洞扫描和 LDAP目录服务漏洞扫描)
黑客攻击的步骤之三 嗅探- sniff 技术:通过嗅探,获得大量的
敏感信息。王维明已经介绍过在同一冲突域里面的嗅探原理,我将重点介绍交换网络的嗅探技术。
黑客攻击的步骤之四 攻击-直捣龙门:通过前面的刺探,开始
真正的攻击。一般的攻击方法: DoS攻击、DDoS攻击、口令破解攻击、网络欺骗攻击、会话劫持攻击等
黑客攻击和网络安全
案例篇
北航 50 周年服务器被黑案例分析 踩点访问 http://whois.edu.cn/cgi-bin/reg/otherobj 查询北航相关信息
Whois 服务器的结果 Whois buaa.edu.cn ?
Beijing University Of Aeronautics&astronautics (DOM) #37, Xue Yuan Lu Road,Haidian District Beijing, BJ 100083 China
Domain Name: BUAA.EDU.CN Network Number: 202.112.128.0 - 202.112.143.255Administrative Contact, Technical Contact: Li , Yunchun
(YL4-CN) [email protected] +86 82317655 Record last updated on 19990305 Record created on 19990305 Domain Servers in listed order: maindns.buaa.edu.cn 202.112.128.50
Network Number: 202.112.128.0 - 202.112.143.255Network Number: 202.112.128.0 - 202.112.143.255
dig的查询结果 ; <<>> DiG 9.2.0 <<>> buaa.edu.cn ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46238 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIO
NAL: 0 ;; QUESTION SECTION: ;buaa.edu.cn. IN A ;; AUTHORITY SECTION: buaa.edu.cn. 86400 IN SOA manager.buaa.ed
u.cn. root.buaa.edu.cn 1997102401 10800 3600 3600000 86400 ;; Query time: 1 msec ;; SERVER: 202.112.128.51#53(202.112.128.51) ;; WHEN: Thu Dec 5 11:46:55 2002
;; SERVER: 202.112.128.51#53(202.112.128.51);; SERVER: 202.112.128.51#53(202.112.128.51)
查询 DNS 服务器信息 使用 Nslookup
获取的条目信息> ls -d buaa.edu.cn
[manager.buaa.edu.cn]
buaa.edu.cn. SOA manager.buaa.edu.cn root.buaa.edu.cn. (1997102401 10800 3600 3600000 86400)
buaa.edu.cn. NS manager.buaa.edu.cn
buaa.edu.cn. MX 10 mail.buaa.edu.cn
xscserver A 211.71.4.110
scc A 202.112.133.60
50th A 202.112.128.47
experiment NS ns.experiment.buaa.edu.cn
ns.experiment A 202.112.137.235
www1 A 202.112.133.42
gonghui A 202.112.135.169
dept7-1 A 202.112.133.71
50th A 202.112.128.4750th A 202.112.128.47
重点扫描 扫描网段 重点网段:服务器所在网段 202.112.128.
0
重点端口: 21 ( ftp )、 22 ( ssh )、23 ( telnet )、 25 ( smtp )、 53 ( dns )、 79 ( finger )、 80 ( http )、 139 ( NetBIOS )、 3389 ( remote admin )、 8080 ( proxy )
入侵模拟一: 3389 端口的入侵 由于微软对中国产品不付责任的态度,使得安装了终端服务和全拼的 w2k 服务器存在着远程登陆并能获取超级用户权限的严重漏洞
入侵模拟一: 3389 端口的入侵 扫描 3389 端口
入侵模拟一: 3389 端口的入侵 用终端客户端程序进行连接
入侵模拟一: 3389 端口的入侵 利用拼音输入法漏洞
入侵模拟一: 3389 端口的入侵
入侵模拟二: Ftp 服务器的入侵 由于某些 ftp 服务器口令设置过为简单,甚
至用户名和密码完全相同,导致黑客有机可乘。
入侵模拟二: Ftp 服务器的入侵
入侵模拟二: Ftp 服务器的入侵
入侵模拟三: 嗅探器的使用 通过嗅探往来目标主机的报文,从中发现
可以利用的珍贵信息
入侵模拟三: 嗅探器的使用
黑客攻击和网络安全
技术篇
技术篇之一:扫描过程中的隐藏技术 IP 地址欺骗扫描 原理:客户端向服务器端发送端口连接数
据报,但是报文的源 IP 地址填写为第三方的 IP 地址,这样服务器将向第三方返回确认信息。客户端通过观察第三方的反应就可以得知服务器端的指定端口有否打开。
前提:第三方没有其他的网络活动 IP 数据包的 ID 值顺序增 1
A 主机, 192.168.0.1 B 主机, 192.168.0.2NULL扫描
RST+ACK, ID增量为 1
NULL扫描
RST+ACK, ID增量为1
A 主机, 192.168.0.1B 主机, 192.168.0.2
SYNRST+ACK
C 主机, 192.168.0.3
NULL扫描
RST+ACK, ID增量不为 1
A 主机, 192.168.0.1
B 主机, 192.168.0.2
SYNRST+ACK
C 主机, 192.168.0.3
SYN+ACK
正常情况下B 主机的反应
被扫描 C 主机上的端口未监听
被扫描 C 主机上的端口正在监听
技术篇之一:扫描过程中的隐藏技术 通过 Proxy 隐藏 Socks 代理工作在线路层,介于传输层和应用层
之间,它并不向特定的协议处理模块提交数据内容,而只是简单的对 IP 地址和端口号进行转换处理。
使用 Sock5 代理,可以支持多种客户端的应用,而且最关键的是不会在服务器端留下痕迹。
方法:寻找漏洞百出的肉机,安装 sock5 代理服务器。
技术篇之二: Unicode 解码漏洞 2000年 10 月微软发布的 MS00-078号公告内容就是 unicode漏洞
漏洞原理介绍: 黑客可以通过构造如下 URL 来执行目标系统中的程序:
http://www.buaa.edu.cn/../../winnt/system32/cmd.exe?/c+dir 本指令假设目标服务器的主页目录为: c:\Interpub\wwwroot\下
技术篇之二: Unicode 解码漏洞
一般的 web 服务器会过滤掉危险字符,譬如 /和 \,没有这两项,很多黑客攻击无法进行。但是如果是经过 unicode 编码过的, web 服务器过滤后认为没有危险字符存在,就会对其进行解码,但是解码后就不再进行过滤了。如此,可以将危险字符直接写成 unicode 编码后的字符,就可以躲过过滤了。譬如,上面的命令行就可以改为: http://www.buaa.edu.cn/..%c1%1c../winnt/system32/cmd.exe?c+dir就可以了
技术篇之三:交换网络的嗅探器 关于 ip地址和MAC地址盗用的问题 交换网络的嗅探原理 嗅探对策
关于 IP地址和MAC地址盗用的问题
IP地址可以随意修改 MAC地址的修改 先了解目标主机的MAC地址 2000下在修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\
4D36E972-E325-11CE-BFC1-08002BE10318\0000、 0001、 0002等主键下寻找本主机的网卡的类型的主键下面添加一个名为“ NetworkAddress”的主键,值为需要设置的MAC地址。
Linux下面修改:Ifconfig eth0 down
Ifconfig eth0 hw ether 00:11:22:33:44:55
交换网络的嗅探原理
MAC洪水 原理:交换机内存有限,地址映射表的容量也有限。向交
换机发送大量的虚假 MAC地址信息数据,让交换机应接不暇,这个时候交换机可能象 hub一样,仅仅向所有的端口发送广播数据
解决方法:使用静态地址映射表
交换网络的嗅探原理
MAC复制 原理:就是修改本机的MAC地址,使其和目标主机MAC地址相同。让交换机同时向两个端口(同 MAC地址)发送数据。
解决方法:使用静态地址映射表 ,建立端口和MAC地址的映射
交换网络的嗅探原理
ARP 欺骗 原理:一台主机会将所有收到的 ARP应答插入到 本机的
ARP缓存表里面。如果黑客想偷听网络中两台主机之间的通信(即使是通过交换机相连),他可以分别向两台主机发送 ARP 应答包,让两台主机都误认为对方的 MAC地址是黑客机器的 MAC地址,这样,则两台主机的通信全部通过黑客主机进行。黑客只需要更改数据包里面的某些信息用于转发就可以了。
交换网络的嗅探原理
ARP 欺骗实例 设 A 主机: IP: 192.168.1.1 MAC:11:11:11:11:11:11
设 B 主机: IP: 192.168.2.2 MAC:22:22:22:22:22:22
设 H 主机: IP: 192.168.3.3 MAC:33:33:33:33:33:33
假设 A和 B正在通信,黑客 H想进行 ARP 欺骗,这个时候 H向 A发送 ARP 应答包,里面包含
192.168.2.2 33:33:33:33:33:33
同时 H向 B发送 ARP 应答包,里面包含
192.168.1.1 33:33:33:33:33:33
技术篇之四:密码文件的破译 控制一台主机之后,最好不要另外添加任何用户,容易被人发现。控制肉机的最好办法:远程登陆该肉机,破译其密码文件
远程登陆的方法:执行 psexec程序Psexec \\202.204.103.89 -u IGUE_USER –p 605forest605
cmd.exe
各种操作系统密码文件的存放方式 Linux和 Unix系统的用户文件为 /etc/pass
wd,密码文件为 /etc/shadow (没有使用shadow机制的 Unix系统只有 passwd文件)
Windows98 存放在 C:\windows下的各种 pwl文件,文件名即用户名
各种操作系统密码文件的存放方式 Windows NT/2k 存放在 C:\winnt\system32
\config\sam文件中,该文件在系统运行期间锁定,无法阅读,但是可以通过磁盘修复命令 rdisk备份到 C:\winnt\repair下面,文件名为 sam._。该文件可以拷出。
或者使用 pwdump从注册表里面导出 SAM散列值并存储为 passwd格式文件
破解软件 Passwd文件破解工具: John The Ripper PWL文件的破解工具: Cain SAM文件的破解工具: L0phtcrack (其 v
3被称作 LC3 )
黑客攻击和网络安全
维护篇
维护篇之一:网络采用层次结构 DMZ ( Demilitarized Zone )非军事区和 I
nter Zone 内部网络区 DMZ 作为内部网络与外部网络的缓冲区 制定不同的保全政策 对外避免主机和重要服务器被入侵危及内
部网络
WebWeb 服务器服务器
内部网内部网
InternetInternet
DNSDNS 服务器服务器FTPFTP 服务器服务器
WebWeb 服务器服务器MailMail 服务器服务器FTPFTP 服务器服务器
Fire WallFire Wall
DMZDMZ
DNSDNS 服务器服务器
MailMail 服务器服务器
外部防火墙
內部防火墙DMZDMZ
InternetInternet
特性特性安全性最高安全性最高
内部网络效率低内部网络效率低 在 在 DMZ DMZ 中之伺服器效率高中之伺服器效率高
Inter ZoneInter Zone
维护篇之二:关注访问流量 SNMP ( Simple Network Management Pr
otocol )协议,用于网络底层管理,可以控制各种设备。不仅可以访问网络流量等,也可以监控诸如磁盘等设备。
SNMP客户端软件:MRTG, linux/unix工具,可以图形化显示管理信息。
MRTG图见: file:\\d:\forest\mrtg\index.htm
维护篇之三:关注漏洞 经常访问一些网址,留意补丁的发布安全焦点 http://www.xfocus.net/
微软安全公告栏: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/
CCERT网络安全: http://www.ccert.edu.cn/
维护篇之四:加强管理 关闭一切不需要的服务和端口 删除一切不需要的用户,慎重设置密码 严格设置对各种服务的访问控制权限 选用防火墙,设置严格的过滤规则 及时安装补丁和升级程序
全篇结束
谢 谢
