CISP-2-安全攻防.ppt

信息安全技术安全攻防 中国信息安全产品测评认证中心 CNITSEC CISP 2 安全攻防 培训样稿 黑客历史 60年代麻省理工AI实验室第一次出现hacker这个词KenThompson发明unix1969 ARPANET开始建立70年代DennisRitchie发明C语言Phreaking JohnDraper世界上第一个计算机病毒出现乔布斯 apple公司的创办者 制造出了蓝盒子 黑客历史 80年代早期首次出现Cyberspace一词414s被捕LegionofDoom和ChaosComputerClub成立黑客杂志2600 phrack相续创刊80年代晚期25岁的KevinMutnik首次被捕1988年 莫里斯蠕虫事件 在几小时内感染了6000台计算机系统美国国防部成立了计算机紧急应急小组 CERT KevinMutnik 黑客历史 90年代早期AT T的长途服务系统在马丁路德金纪念日崩溃黑客成功侵入格里菲思空军基地和美国航空航天管理局KevinMitnick再次被抓获 这一次是在纽约 他被圣迭哥超级计算中心的TsutomuShimomura追踪并截获90年代晚期美国联邦网站大量被黑 包括美国司法部 美国空军 中央情报局和美国航空航天管理局等流行的电子搜索引擎Yahoo被黑客袭击 黑客语言 1 iorl3 e4 a7 t9 g0 o s iorl n ms zz sf phph fx ckck x 黑客语言 例如 3v3ry0n3kn0wzwh3ny0uh4ckaw3bp4g3y0uh4v3t0us3h4ck3rt4lkEveryoneknowswhenyouhackawebpageyouhaveTousehackertalk Hack杂志 1 2600http www phrack org Hack组织 1 stake 原L0pht 代表作品 L0phtCrack2 cDc CULTOFTHEDEADCOW Hack组织 3 admftp http www security is 5 antisecurityhttp anti security isSaveabugsavealife致力于维护软件届的生态平衡 Hack组织 6 LSD LastStageOFDeLIRIUM http lsd http teso scene at 8 thc TheHackersChoice 著名黑客 1 AlephOneBugtraq邮件列表主持人BugtraqFAQ 著名黑客 2 SimpleNomadhttp www nmrc orgNMRC核心成员 建立者 NMRC NomadMobileResearchCentre TheHackFAQ的作者Pandora NetWare漏洞扫描器 的作者 著名黑客 3 RFP RainForestPuppy 著名黑客 4 Fyodorhttp www insecure org Nmap的作者在phrack杂志51期发表了关于高级端口扫描的论文http phrack org show php p 51 a 11在phrack杂志54期发表了关于利用tcp ip协议栈进行远程操作系统识别的论文http phrack org show php p 54 a 9 著名黑客 5 dugsonghttp www monkey org dugsong 揭示了checkpointFW 1状态包过滤的漏洞编写了功能强大的黑客工具包dsniff包括dsniff webspy arpspoof sshow等http naughty monkey org dugsong dsniff 著名黑客 6 SolarDesigner 黑客大会 1 BlackHathttp www defcon org 黑客攻击的典型步骤 获取对方信息 扫描 社会工程学等 进行攻击 exploit 消除痕迹 删除日志等 留后门 公众域信息 Nmap traceroute firewalk pingsweeps etcNIC注册纪录DNS纪录SNMP扫描OS识别BannergrabbingWardialers社交工程 获取信息 Google的高级使用 1 搜索整个字符串a Indexof password b Indexof password txt2 site 搜索整个站点site 火眼3 filetype 搜索某种文件类型4 inurl 分类搜索inurl firewallnetpowerinurl idsnetpowerinurl idsanti 限制robot访问web站点的方法 Robot限制协议 Crawl Babelweb http www hsc whois 通过DNS获取信息 1 获取bind版本信息dig version bindchaostxtBind的各个版本存在多个缓冲区溢出漏洞 例如 8 2 8 2 1 bindNXTrecords漏洞8 2 8 2 3 ISCBind8TSIG缓冲区溢出漏洞限制对BIND的版本信息进行查询BIND8版本中 在named conf中使用version命令修改版本号 例如 options version hello1 1 1 DNS区域传输 dig axfr或host l v 列出所有dns注册信息限制区域传输对于BIND8版的软件 在配置文件named conf中使用命令allow transfer来限制允许区域传输的主机 例如 options allow transfer 192 168 100 1 202 96 44 0 24 网络拓扑发现 IPTTL 1 2 3 4 5 Traceroute 端口扫描 1 慢扫描 工具 nmap 例如 nmap TParanoid sT192 168 68 1 间隔5分钟扫描一个端口 2 随机扫描 Nmap默认就是随机扫描 指随机扫描目标端口 有些nids是根据连续连接本地端口段来判断端口扫描的 3 碎片扫描 工具nmap 例如 nmap f sT192 168 68 1 4 诱骗扫描 工具 nmap 例如 nmap D192 168 68 1 192 168 68 2 192 168 68 3 192 168 68 5 sS192 168 68 98 192 168 68 1 192 168 68 2 192 168 68 3都是虚假的地址 端口扫描 5 tcp扫描 工具nmap 例如 nmap sT192 168 68 1 6 Udp扫描 工具nmap 例如 nmap sU192 168 0 17 协议栈扫描 工具nmap 例如 nmap sO192 168 0 18 Syn扫描 工具nmap 例如 nmap sS192 168 68 1 9 Null扫描 工具nmap 例如 nmap sN192 168 68 1 10 XmasTree扫描 工具nmap 例如 nmap sX192 168 68 1 11 FIN扫描 工具nmap 例如 nmap sF192 168 68 1 12 分布式扫描 工具dps dscan 13 快扫描 工具nmap 例如 nmap F192 168 0 1 端口扫描 14 Ack扫描 检查是否是状态FW nmap sA192 168 0 1 15 Windows扫描 nmap sW192 168 0 1 16 RPC扫描 nmap sR192 168 0 117 反向ident扫描 nmap I192 168 0 1 18 Idle扫描 nmap P0 sI中间主机192 168 0 119 ftpbounce扫描 idlescan Idle扫描 端口开放 1 目标机 攻击者 3vil org Syn 80 跳板主机ID 0 172 0 0 1 Idle扫描 端口开放 2 目标机 攻击者 3vil org Syn ack 跳板主机ID 1 172 0 0 1 Idle扫描 端口开放 3 目标机 攻击者 跳板主机ID 1 10 0 0 1 192 0 0 1 172 0 0 1 Synsrc 172 0 0 1Dst 192 0 0 1 Idle扫描 端口开放 4 目标机 攻击者 10 0 0 1 192 0 0 1 Syn Acksrc 192 0 0 1Dst 172 0 0 1 跳板主机ID 1 172 0 0 1 Idle扫描 端口开放 5 目标机 攻击者 10 0 0 1 192 0 0 1 Rstsrc 172 0 0 1Dst 192 0 0 1 跳板主机ID 2 172 0 0 1 Idle扫描 端口开放 6 目标机 攻击者 10 0 0 1 192 0 0 1 Syn 80 跳板主机ID 2 172 0 0 1 Idle扫描 端口开放 7 目标机 攻击者 10 0 0 1 192 0 0 1 Syn 80 Syn ack 跳板主机ID 3 172 0 0 1 Idle扫描 端口关闭 1 目标机 攻击者 3vil org Syn 80 跳板主机ID 0 172 0 0 1 Idle扫描 端口关闭 2 目标机 攻击者 3vil org Syn ack 跳板主机ID 1 172 0 0 1 Idle扫描 端口关闭 3 目标机 攻击者 跳板主机ID 1 10 0 0 1 192 0 0 1 172 0 0 1 Synsrc 172 0 0 1Dst 192 0 0 1 Idle扫描 端口关闭 4 目标机 攻击者 10 0 0 1 192 0 0 1 Rstsrc 192 0 0 1Dst 172 0 0 1 跳板主机ID 1 172 0 0 1 Idle扫描 端口关闭 5 目标机 攻击者 10 0 0 1 192 0 0 1 Syn 80 跳板主机ID 1 172 0 0 1 Idle扫描 端口关闭 6 目标机 攻击者 10 0 0 1 192 0 0 1 Syn 80 Syn ack 跳板主机ID 2 172 0 0 1 ftpbounce扫描 目标机 攻击者 10 0 0 1 192 0 0 1 ftpserver 172 0 0 1 nmap P0 sT b172 0 0 1192 168 0 1 原理 21useranonymouspassa port192 168 0 173 23 23200PORTcommandsuccessful nlst425Can tbuilddataconnection Connectionrefused port192 168 0 173 12 234200PORTcommandsuccessful nlst150ASCIIdataconnectionfor bin ls 192 168 0 173 3306 0bytes 226ASCIITransfercomplete quit 远程操作系统识别技术 1 DNS的hinfo纪录2 Bannergrab3 二进制文件法3 Snmpgetsysdescr4 Tcp堆栈指纹技术5 Icmp堆栈指纹技术 DNS的hinfo纪录 wwwINHINFO SparcUltra5 Solaris2 6 获取方法 dig hinfo非常老的方法 现在一般没有管理员在dns记录里面添加hinfo纪录 Bannergrab Redhat etc issue etc bsd etc motdSolaris etc motd缺陷 不准确 负责任的管理员一般都修改这个文件通过webserver得到操作系统类型lynx head dump 二进制文件分析法 得到远程系统的一个二进制文件例如1 webserver目录下产生的core文件2 配置不当的ftpserver下的二进制文件 利用file readelf等来鉴别 Snmpgetsysdescr snmputilget192 168 0 124public 1 3 6 1 2 1 1 1 0Variable system sysDescr 0Value StringSunSNMPAgent Ultra 1 snmputilget192 168 0 124public iso org dod internet mgmt mib 2 system sysDescr 0Variable system sysDescr 0Value StringSunSNMPAgent Ultra 1 Snmpgetnextmib 2 snmputilgetnext192 168 0 124public 1 3 6 1 2 1Variable system sysDescr 0Value StringSunSNMPAgent Ultra 1 snmputilgetnext192 168 0 124public iso org dod internet mgmt mib 2 0Variable system sysDescr 0Value StringSunSNMPAgent Ultra 1 TCPSegmentFormat 20bytes Tcp堆栈指纹技术 nmap O192 168 0 1TEST1 向目标开放端口发包send tcp raw decoys rawsd Nmap用于系统识别的包 1 TH BOGUS 64 0 x40 1000000TH SYN 0 x02 000010BOGUS标记探测器 在syn包的tcp头里设置一个未定义的TCP 标记 64 版本号2 0 35之前的linux内核在回应中保持这个标记 有些操作系统在收到这种包是会复位连接 003 003 012 001 002 004 001 011 010 012 077 077 077 077 000 000 000 000 000 000是tcp选项 解释如下 003 003 012 窗口扩大因子kind 3 len 3 移位数 012 10 001 无操作 kind 1 002 004 001 011 最大报文段长度kind 2 len 4 长度 001 011 265 010 012 时间戳kind 8 len 10 077 077 077 077 时间戳值1061109567 000 000 000 000 时间戳响应 000 选项结束kind 0 000 填充位 Nmap用于系统识别的包 2 TEST2 向目标开放端口发包send tcp raw decoys rawsd 源端口 1 6个标志位都为0 ip选项同TEST1 Nmap用于系统识别的包 3 TEST3 向目标开放端口发包send tcp raw decoys rawsd 源端口 2 设置标志位TH SYN 0 x02 TH FIN 0 x01 TH URG 0 x20 TH PUSH 0 x08 Ip选项同TEST1 Nmap用于系统识别的包 4 TEST4 向目标开放端口发包send tcp raw decoys rawsd 源端口 3 设置标志位TH ACK ip选项同TEST1 Nmap用于系统识别的包 5 TEST5 向目标关闭端口发包send tcp raw decoys rawsd 源端口 4 标志位TH SYN ip选项同TEST1 Nmap用于系统识别的包 6 TEST6 向目标关闭端口发包send tcp raw decoys rawsd 源端口 5 标志位TH ACK ip选项同TEST1 Nmap用于系统识别的包 7 TEST7 向目标关闭端口发包send tcp raw decoys rawsd 源端口 6 标志位TH FIN TH PUSH TH URG ip选项同TEST1 Nmap用于系统识别的包 8 TEST8 向目标关闭端口发包send closedudp probe rawsd 向目标关闭端口发送udp包 一个指纹结构 TSeq Class RI gcd DF1 T1 DF Y W 2297 2788 4431 8371 8F4D ABCD FFF7 FFFF 2297 212 ACK S Flags AS Ops NNTNWME T2 DF N W 0 ACK O Flags R Ops WNMETL T3 Resp N T4 DF Y N W 0 ACK O Flags R Ops WNMETL T5 DF Y W 0 ACK S Flags AR Ops T6 DF Y N W 0 ACK O S Flags AR R Ops WNMETL T7 DF Y N W 0 ACK S O Flags AR R Ops WNMETL PU DF Y TOS 0 IPLEN 70 RIPTL 148 RID E RIPCK E F UCK E F F E ULEN 134 DAT E FingerprintSolaris2 6 2 7Solaris2 6 2 7的指纹 Icmp堆栈指纹技术 OfirArkin提出http www sys ICMP包格式 0 8 16 31 type code checksum identifier sequencenumber 例子 echorequest reply ping pong optionaldata 通常格式 ICMP协议 ICMP信息请求 针对广播地址的non echoicmp请求 利用tos位检测windows系统 识别windows Xprobe作者 C Attacker SYN ACKfromhostAsrcport23withadvertisedwindow0 x4000 DFbiton ttlof64 SYNtoport23 A 操作系统被动察觉通告的窗口值 是否设置DF位 缺省TTL 被动操作系统识别 OSFingerprints 4000 ON 64 FreeBSD 被动操作系统识别工具 1 siphon Hack攻击 进入系统 1 扫描目标主机 2 检查开放的端口 获得服务软件及版本 3 检查服务是否存在漏洞 如果是 利用该漏洞远程进入系统 4 检查服务软件是否存在脆弱帐号或密码 如果是 利用该帐号或密码系统 5 利用服务软件是否可以获取有效帐号或密码 如果是 利用该帐号或密码进入系统 6 服务软件是否泄露系统敏感信息 如果是 检查能否利用 7 扫描相同子网主机 重复以上步骤 直到进入目标主机或放弃 Hack攻击 提升权限 1 检查目标主机上的SUID和GUID程序是否存在漏洞 如果是 利用该漏洞提升权限 unix 2 检查本地服务是否存在漏洞 如果是 利用该漏洞提升权限 3 检查本地服务是否存在脆弱帐号或密码 如果是 利用该帐号或密码提升权限 4 检查重要文件的权限是否设置错误 如果是 利用该漏洞提升权限 5 检查配置目录中是否存在敏感信息可以利用 6 检查用户目录中是否存在敏感信息可以利用 7 检查其它目录是否存在可以利用的敏感信息 8 重复以上步骤 直到获得root权限或放弃 Hack攻击 善后处理 第三步 放置后门最好自己写后门程序 用别人的程序总是相对容易被发现 第四步 清理日志删除本次攻击的相关日志 不要清空日志 Hack攻击 入侵检测 1 扫描系统2 根据结果打补丁 修补系统3 检测系统中是否有后门程序 Hack攻击 检测后门 A 察看端口unix lsoflsof itcp n 察看所有打开的tcp端口windows fportfport p Hack攻击 检测后门 B 察看进程unix pspsex 察看所有运行的进程windows pslistC 杀掉进程unix killwindows pskill Hack攻击 检测后门 D 检查suid guid程序 对于unix系统 find userroot perm 4000 printfind userroot perm 2000 printE 对软件包进行校验 对于某些linux系统 whichloginrpm qf bin loginrpm Vutil linux Hack攻击 检测后门 F 检测 etc passwd文件 unix 1 陌生用户2 口令为空的用户3 uid或gid为0的用户G 检测是否由sniffer程序在运行 unix ifconfig Hack攻击 检测后门 H 检测系统中的隐藏文件 unix find name printI 检测系统中的LKM后门chkrootkit unix kstat linux ksec bsd 黑客技术 1 口令破解Unix口令破解工具 johntheripper 黑客技术 2 端口扫描与远程操作系统识别Nmap 最好的端口扫描器和远程操作系统识别工具http www insecure org nmap Xprobe icmp远程操作系统识别工具http www sys 只需要发4个包就可以识别远程操作系统 黑客技术 3 sniffer技术dsniff 多种协议的口令监听工具http naughty monkey org dugsong dsniffFTP Telnet SMTP HTTP POP poppass NNTP IMAP SNMP LDAP Rlogin RIP OSPF PPTPMS CHAP NFS VRRP YP NIS SOCKS X11 CVS IRC AIM ICQ Napster PostgreSQL MeetingMaker Citrix ICA SymantecpcAnywhere NAISniffer MicrosoftSMB OracleSQL Net SybaseandMicrosoftSQLprotocols等等 黑客技术 4 Hijack tcp劫持技术hunt tcp连接劫持工具http lin fsid cvut cz kra HUNT综合利用sniffer技术和arp欺骗技术 黑客技术 5 远程漏洞扫描技术 通用漏洞扫描工具nessus 开源远程漏洞扫描工具http www nessus org Securityassess 中科网威火眼网络安全评估分析系统 黑客技术 6 远程漏洞扫描技术 web漏洞扫描工具whisker http search iland co kr twwwscan 黑客技术 缓冲溢出 缓冲区 返回地址 攻击者输入的数据 黑客技术 hackiis 黑客技术 hackmssqlserver 黑客技术 hackmssqlserver Windows2000系统如何打补丁 1 执行wupdmgr exe 单击产品更新 更新系统中软件到最新版本2 然后下载HFNetChk 黑客技术 Smurf攻击 Ping广播地址源地址被设置为被攻击者的ip 黑客技术 Pingo Death攻击 攻击者 产生碎片 被攻击者 收到碎片 重组碎片 Internet 最后一个碎片太大导致缓存溢出 buffer65535bytes 第二个碎片 4bytes offset end newoffset len end newoffset 0 memcpy dest src len unsignedintorunsignedlong 黑客技术 Teardrop攻击 黑客技术 DDOS WIN95 MURBURG病毒 WIN95 HPS病毒 黑客技术 roo