第八讲-痕迹清除-MSE安全攻防培训资料.ppt

第八讲痕迹清除 王大勇wangdayong 2 主要内容 UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除 3 主要内容 UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除 4 UNIX系统攻击痕迹清除 UNIX系统攻击痕迹清除基本原理UNIX系统攻击痕迹清除实例 5 UNIX系统攻击痕迹清除基本原理 UNIX系统中3个重要的log文件 Wtmp或wtmpx它们记录每次登陆的信息 Utmp或utmpx它们记录以前登陆到系统中的所有用户 Lastlog它记录每个用户最近一次的登陆时间和登陆点 6 UNIX系统攻击痕迹清除基本原理 通过这些记录 网络管理员可以 准确地发现攻击者什么时候进行了攻击活动 发现攻击者从哪个站点进入系统 知道攻击者在线的时间有多久 7 UNIX系统攻击痕迹清除基本原理 下面分两种情况讨论清除日志记录的方法 攻击者拥有普通用户权限假如系统管理员将日志文件配置成任何用户可读写 修改日志文件就十分容易 不过 攻击者会想法添加一些记录到日志文件中 干扰管理员的视线 攻击者会rlogin到现在的主机 在lastlog中增加一个不令人怀疑的数据项 它将在该用户下次登陆时被显示 攻击者拥有超级用户权限拥有超级用户权限虽然为修改日志文件带来方便 但修改过度的话 就会引起管理员的注意 8 UNIX系统攻击痕迹清除实例 utmp文件的修改utmp主要记录当前系统用户注册情况 修改时 首先利用ttyslot 函数找到所要修改数据的位置 ttyslot 返回当前用户记录在utmp文件中的序号 然后可用lseek 直接定位到该位置 修改该记录 该成其他用户的记录 主要修改ut time ut line ut user 9 UNIX系统攻击痕迹清除实例 wtmp文件的修改wtmp文件中记录的数据结构与utmp文件中记录的数据结构相同 修改时 先利用函数ttyname 0 查出自己的终端设备名 在根据设备名逐个查找记录 修改自己的设备名记录 10 UNIX系统攻击痕迹清除实例 acct文件的修改修改文件前 攻击者先取得用户ID 用函数getuid 即可 然后逐个比较记录 查找所有与该ID有关的记录 修改该记录 此时 可将该记录改为其他用户记录 用户ID可通过函数getpwnam 获得 11 UNIX系统攻击痕迹清除实例 lastlog文件的修改lastlog文件的记录按用户ID的大小顺序排列 因此 修改前要利用函数getuid 取得用户ID 然后可利用lseek 直接定位到该记录 然后修改即可 12 主要内容 UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除 13 WindowsNT系统攻击痕迹清除 WindowsNT系统审计基本原理WindowsNT系统审计清除实例 14 WindowsNT系统审计基本原理 WindowsNT4 0通过了TCSEC的C2级测评 它携带的审计子系统缺省是关闭的 审计管理员可以在服务器的域用户管理或工作站的用户管理中打开审计文件 并设置审计事件类 系统在运行中产生3类日志 系统日志 应用程序日志和安全日志 这些日志可使用事件查看器浏览和按条件过滤显示 15 WindowsNT系统审计基本原理 用户登陆到系统时 WinLogon进程为用户创建访问令牌 其中包含用户及所属组的安全标识符 SID 作为用户的身份标识 文件等客体则含有自主访问控制列表 DACL 标明谁有访问权 文件还含有系统访问列表 SACL 标明哪些主体的访问需要被记录 用户进程访问客体对象时 通过Win32子系统向核心请求访问服务 核心的安全参考监视器 SRM 将访问 16 WindowsNT系统审计基本原理 令牌与客体的DACL进行比较 决定是否拥有访问权限 同时检查客体的SACL 确定本次访问是否落在既定的审计范围内 若是则送至审计子系统 整个过程可用下图表示 17 WindowsNT系统审计基本原理 用户进程 NTWin32子系统 访问请求 许可请求 授予许可 安全参考监视器SRM 客体对象 审计 检查客体的SACL 18 WindowsNT系统审计清除实例 elsave是JesperLauritsen编制的WindowsNT日志清除工具 例如 要清除某NT服务器IDS ONE的日志 可执行如下命令 elsave s IDS ONE 1 Security celsave s IDS ONE 1 Application celsave s IDS ONE 1 system c 19 主要内容 UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除 20 防火墙系统攻击痕迹清除 防火墙系统攻击痕迹清除基本原理防火墙系统攻击痕迹清除实例 21 防火墙系统攻击痕迹清除基本原理 防火墙存在于受保护网络与外部通信的唯一接口上 它的日志详细记录了网络通信连接和安全事件信息 这些信息是网络攻击取证的重要依据 攻击者应当首先攻击防火墙的日志审计系统 使防火墙日志审计系统停止运行或审计没有所需要的磁盘空间 这样就会使攻击者的行为无法记录 22 防火墙系统攻击痕迹清除基本原理 攻击防火墙的日志审计系统是不容易的 常见的方法有 用伪装的IP地址进行网络连接触发防火墙的审计功能 干扰防火墙的审计功能的运行 利用防火墙的漏洞 直接攻击防火墙系统 利用防火墙的漏洞 绕过防火墙的检查与访问控制机制 23 防火墙系统攻击痕迹清除基本原理 目前 Internet上专门干扰防火墙的工具有 FirewalkHpingSingIsicChariotFragrouter 24 防火墙系统攻击痕迹清除实例 转换程序 转换程序 标识有关WWW服务数据包 标识有关telnet数据包 B主机 A主机 25 主要内容 UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除 26 入侵检测系统攻击痕迹清除 入侵检测系统攻击痕迹清除的基本原理入侵检测系统攻击痕迹清除实例 27 入侵检测系统攻击痕迹清除的基本原理 攻击者要避免入侵检测系统的发现 通常采用的方法有 伪装IP地址 发起攻击 改变攻击方法 使得入侵检测系统缺少新的攻击模式特征 干扰入侵检测系统的运行 使入侵检测系统无法辨认真实的攻击 协同攻击 网络通信连接和系统访问都以合法的身份进行 28 入侵检测系统攻击痕迹清除实例 Stick是一个最近出现的针对IDS的DOS工具 它的攻击原理是向目标IDS以每秒250种攻击企图以上的速率发送大量 并且具有随机源地址的欺骗性攻击包 使IDS始终处于报警状态 占用大量CPU资源 并且由于真正的攻击往往混杂于其间 使IDS本身和入侵检测分析员无法判断真正的攻击行为 从而使IDS失效 29 主要内容 UNIX系统攻击痕迹清除WindowsNT系统攻击痕迹清除防火墙系统攻击痕迹清除入侵检测系统攻击痕迹清除WWW服务攻击痕迹清除 30 WWW服务攻击痕迹清除 WWW服务攻击痕迹清除基本原理