CISP0208安全攻击与防护_v30

1、安全攻击与防护安全攻击与防护课程内容课程内容2知识体知识域知识子域信息收集与分析信息收集与分析常见攻击与防范常见攻击与防范后门设置与防范后门设置与防范安全漏洞、恶意安全漏洞、恶意代码与攻防代码与攻防安全漏洞与安全漏洞与恶意代码恶意代码安全攻击与安全攻击与防护防护痕迹清除与防范痕迹清除与防范知识域：安全攻击与防护知识域：安全攻击与防护v知识子域：信息收集与分析 了解信息收集与分析的作用 理解快速定位、定点挖掘、漏洞查询等信息收集与分析的方法 理解信息收集与分析的防范措施3安全攻击与防护安全攻击与防护4踩点定位入侵后门痕迹v攻击的过程 信息收集 目标分析 实施攻击 方便再次进入 打扫战场v防护 针

2、对以上提到的行为了解其原理并考虑应对措施信息收集信息收集- -入侵的第一步入侵的第一步v为什么要收集信息 获取攻击目标大概信息 为下一步攻击做准备 利用收集的信息直接攻击5知己知彼，知己知彼，百战不殆百战不殆信息收集与分析案例信息收集与分析案例v信息收集的概念 情报学中一个领域v传统的信息收集 案例：著名的照片泄密案v互联网时代的信息收集 信息技术的发展使得数据大量被生产出来 案例：明星的家庭住址 注：建议讲师可以根据自己熟悉的内容更改其他案例6收集哪些信息收集哪些信息v目标系统的信息系统相关资料 域名、网络拓扑、操作系统、应用软件 相关脆弱性v目标系统的组织相关资料 组织架构及关联组织 地理

3、位置细节 电话号码、邮件等联系方式 近期重大事件 员工简历v其他可能令攻击者感兴趣的任何信息7公开信息收集公开信息收集- -搜索引擎搜索引擎v快速定位 Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站 Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器v信息挖掘 定点采集 Google 搜索 “.doc+website”挖掘信息 隐藏信息 .mdb、.ini、.txt、.old、.bak、.001 后台入口8How to hack website with google!网络信息收集网络信息收集- -域名信息域名信息9v Whoi

4、s Whois是一个标准服务，可以用来查询域名是否被注册以及注册的详细资料 Whois 可以查询到的信息 域名所有者 域名及IP地址对应信息 联系方式 域名到期日期 域名注册日期 域名所使用的 DNS Servers 信息收集技术信息收集技术- -域名与域名与IPIP查询查询v 域名与IP查询 nslookup 操作系统自带命令，主要是用来查询域名名称和 IP 之间的对应关系v 网络状况查询 Ping 系统自带命令，测试与远端电脑或网络设备的连接状况v 网络路径状况查询 tracert 系统自带命令，测试与远端电脑或网络设备之间的路径10系统信息收集系统信息收集- -服务旗标检测服务旗标检测1

5、1FTP回显信息Web回显信息系统及应用信息收集系统及应用信息收集-TCP/IP-TCP/IP协议栈检测协议栈检测v原理 不同厂商对IP协议栈实现之间存在许多细微的差别，通过这些差别就能对目标系统的操作系统加以猜测。v检测方法 主动检测 被动检测12v原理 通过端口扫描确定主机开放的端口，不同的端口对应运行着的不同的网络服务v扫描方式 全扫描 半打开扫描 隐秘扫描 漏洞扫描 系统及应用信息收集系统及应用信息收集- -端口扫描端口扫描端口测试数据包测试响应数据包我知道主机上开放的端口了13分析目标分析目标- -入侵的准备入侵的准备v为什么需要分析目标 确定收集信息的准确性 去除迷惑信息 攻击方式

6、及攻击路径的选择v漏洞信息及攻击工具获取 漏洞扫描 漏洞库 QQ群 论坛等交互应用 1415信息收集与分析工具信息收集与分析工具- -扫描器扫描器v 网络设备漏洞扫描器 Cisco Auditing Toolsv 集成化的漏洞扫描器 Nessus Shadow Security Scanner eEye的Retina Internet Security Scanner GFI LANguard v 专业web扫描软件 IBM appscan Acunetix Web Vulnerabilityv 数据库漏洞扫描器 ISS Database Scanner oscanner Oracle数据库扫

7、描器 Metacoretex 数据安全审计工具信息收集与分析的防范信息收集与分析的防范v公开信息收集防御 信息展示最小化原则，不必要的信息不要发布v网络信息收集防御 部署网络安全设备（IDS、防火墙等） 设置安全设备应对信息收集（阻止ICMP）v系统及应用信息收集防御 修改默认配置（旗标、端口等） 减少攻击面16严防死守！知识域：安全攻击与防护知识域：安全攻击与防护v知识子域：常见攻击与防范 理解默认口令攻击、字典攻击及暴力攻击的原理与防范措施 理解社会工程学攻击的方法与防范措施 理解IP欺骗、ARP欺骗和DNS欺骗的原理与防范措施 理解SYN Flood、UDP Flood、Teardrop

8、攻击等典型DOS/DDOS的原理与防范措施 理解缓冲区溢出攻击的原理与防范措施 理解SQL注入攻击的原理与防范措施 理解跨站脚本攻击的原理与防范措施17利用人性懒惰利用人性懒惰- -密码破解密码破解18v密码破解方法 暴力猜解v密码破解工具 密码暴力破解工具 密码字典生成工具v密码破解防御 密码生成技巧 密码管理策略暴力猜解方法一：散列值破解暴力猜解方法一：散列值破解v已知密码的散列算法及散列值的破解方法 Linux密码散列值#root:$1$acQMceF9$1$acQMceF9:13402:0:99999:7: Windows密码散列值（LM-Hash）Administrator:500:

9、C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:19密码明文密码明文对明文密码对明文密码进行加密进行加密对比密文对比密文更换密码明更换密码明文文暴力猜解方法一：散列值破解暴力猜解方法一：散列值破解v获取散列值工具 pwdump7.exe GetHashes.exe SAMInside.exe Cainv破解散列值工具John the Ripper L0Phtcrackv从网站等公开渠道得到散列值破解结果20ID:cisp psw:123456Ok,you can login inID:cisp psw:No,y

10、ou can not login in1 12123123412345123456OK,you can login inNo,you can not login inNo,you can not login inNo,you can not login inNo,you can not login in暴力猜解方法二：远程密码破解暴力猜解方法二：远程密码破解21密码字典密码字典- -密码破解关键密码破解关键v字典生成器 根据用户规则快速生成各类密码字典 攻击者常用的工具v密码字典作用 提高密码破解效率 密码破解知识的具体体现v22密码字典是攻击者破解成功和效率的关键！密码破解安全防御密码破解安

11、全防御v设置“好”的密码 自己容易记，别人不好猜v系统及应用安全策略 账户锁定策略v随机验证码v其他密码管理策略 密码专用/分级，不同应用/系统/网站不同密码 专用密码管理工具 A、B角 23利用人性弱点利用人性弱点- -社会工程学攻击社会工程学攻击v什么是社会工程学攻击 利用人性弱点（本能反应、贪婪、易于信任等）进行欺骗获取利益的攻击方法v社会工程学的危险 永远有效的攻击方法 人是最不可控的因素24人是永远的系统弱点!社会工程学利用的漏洞社会工程学利用的漏洞v人性的弱点（Robert B Cialdini） 信任权威 信任共同爱好 获得好处后报答 期望守信 期望社会认可 短缺资源的渴望 25

12、传统社会中的社会工程学传统社会中的社会工程学v 中奖通知v 欠费电话v 退税短信v 催交房租v 26网络社会的社会工程学网络社会的社会工程学v直接用于攻击 正面攻击（直接索取） 建立信任 利用同情、内疚和胁迫 v间接用于攻击 口令破解中的社会工程学利用 网络攻击中的社会工程学利用27注：讲师可以根据自己的经验替换后面课件中的三个案例，只要能说清楚社会工程学攻击即可案例一、凯文案例一、凯文米特尼克最擅长什么米特尼克最擅长什么v凯文米特尼克 世界著名黑客（世界第一黑客） 1995年16岁时被捕入狱，2000年保释 记者采访：你最擅长的技术是什么 回答:社会工程学，技术会过时，只有社会工程学永远不会

13、28凯文米特尼克所著欺骗的艺术案例二：案例二：“最大的计算机诈骗最大的计算机诈骗”过程过程v载入吉尼斯世界纪录大全v欺骗的艺术中的经典案例29操盘手将每天交易密码写在纸片上，贴在电脑屏幕旁攻击者看到后，伪装成银行职员（国际部麦克.汉森），要求转账伪装成电汇室人员，询问麦克.汉森，获取账号信息重新要求转账完成诈骗过程案例三：好心网管的失误案例三：好心网管的失误30InternetInternet攻击者网站上查询到信息：网管联系电话某处室人员名称：王强电话网管：你好，我是某某处王强，我的邮件密码忘记了，麻烦帮处理一下好的，请10分钟后登陆，我帮你把密码重置为123社会工程学防御社会工程学防御v安全

14、意识培训 知道什么是社会工程学攻击 社会工程学攻击利用什么v建立相应的安全响应应对措施 构建完善的技术防御体系 有效的安全管理体系和操作流程v注意保护个人隐私 保护生日、年龄、email邮件地址、手机号码、家庭电话号码等信息31利用协议的缺陷利用协议的缺陷- -欺骗攻击欺骗攻击v欺骗攻击（Spoofing）是指通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术 32BACHello,Im B!典型的欺骗攻击典型的欺骗攻击vIP欺骗（IP Spoofing）vARP欺骗（ARP Spoofing）vDNS欺骗（DNS Spoofing）v33电子欺骗是一类攻击方式的统称！IPIP

15、欺骗的技术实现欺骗的技术实现v原理 两台主机之间经过认证产生信任关系后，在连接过程中就不会要求严格的认证vIP欺骗是一系列步骤构成的攻击34确认攻击目标使要冒充主机无法响应目标主机猜正确的序数冒充受信主机进行会话IPIP欺骗实现欺骗实现35BACSYN flood攻击 连接请求伪造B进行系列会话A的序数规则IPIP欺骗攻击的防范欺骗攻击的防范v严格设置路由策略：拒绝来自网上，且声明源于本地地址的包v使用最新的系统和软件，避免会话序号被猜出v使用抗IP欺骗功能的产品v严密监视网络，对攻击进行报警36ARPARP欺骗基础欺骗基础-Arp-Arp协议工作过程协议工作过程vARP协议（地址解析协议）

16、ARP用于将IP地址解析MAC地址的协议37bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa:aaWhos IP is Whos IP is MAC aa:aa:aa:aa:aa is 收到，我会缓存起来收到，我会缓存起来!Internet地址 物理地址 aa:aa:aa:aa:aaARPARP欺骗基础欺骗基础- -实现特点实现特点vARP协议实现特点 ARP协议特点：无状态，无需请求可以应答 ARP实现：ARP

17、缓存38ARPARP欺骗的实现欺骗的实现39bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa:aaMAC cc:cc:cc:cc:cc is 收到，我会缓存！收到，我会缓存！Internet地址 物理地址 cc:cc:cc:cc:ccCC:CC:CC:CC:CCHelloAA:AA:AA:AA:AAHelloARPARP欺骗的防御欺骗的防御v使用静态ARP缓存v使用三层交换设备vIP 与MAC地址绑定vARP防御

18、工具40DNSDNS欺骗基础欺骗基础-DNS-DNS协议工作过程协议工作过程vDNS（域名解析协议） 用于将域名解析成IP地址?其他DNS收到，我会缓存！我不知道，我问问其他服务器 ?我的缓存中有记录，我告诉你！DNS服务器客户机客户机DNS服务器DNSDNS欺骗实现欺骗实现?我不知道，我问问其他DNS服务器Other DNS收到，我会缓存！?我缓存中有记录，我告诉你！ 攻击者DNS服务器DNS服务器客户机?Qid=Qid=22DNSDNS欺骗的防范欺骗的防范vDNS服务器 使用新版本的DNS软件 安全设

19、置对抗DNS欺骗 关闭DNS服务递归功能 限制域名服务器作出响应的地址 限制域名服务器作出响应的递归请求地址 限制发出请求的地址v应用服务器 用户自主标识43利用系统缺陷利用系统缺陷- -拒绝服务攻击拒绝服务攻击v什么是拒绝服务 拒绝服务式攻击(Denial of Service)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。v拒绝服务攻击方式 利用系统、协议或服务的漏洞 利用TCP协议实现缺陷 利用操作系统或应用软件的漏洞 目标系统服务资源能力 利用大量数据挤占网络带宽 利用大量请求消耗系统性能 混合型44典型的拒绝服务攻击方式典型的拒绝服务攻击方式vSYN FloodvUDP F

20、loodvTeardropvPing of deathvSmurfvLandv45拒绝服务是一类攻击方式的统称！SYN FloodSYN Floodv理解SYN Flood需要的基础知识：建立TCP连接的三次握手过程客户服务器SYN （ISN）ACK（ISN+1）ACK（ISN+1）SYN（ISN）35SYN FloodSYN Floodv原理 伪造虚假地址连接请求，消耗主机连接数47(syn) Hello ,Im (syn+ack) Im ready?Im waiting(syn) Hello ,Im ?Im waiting(syn) Hello ,Im 3.3.

21、3.3Im waitingIm waitingIm waitingUDP FloodUDP Floodv原理 利用UDP协议实现简单、高效，形成流量冲击 实现方式 大量UDP小包冲击应用服务器（DNS、Radius认证等） 利用系统服务形成流量（Echo chargen） 利用正常UDP服务发送大流量形成网络拥塞48TearDropTearDrop（分片攻击）（分片攻击）v原理 构造错误的分片信息，系统重组分片数据时内存计算错误，导致协议栈崩溃49SYNSYN ACKACKPSH 1:1024PSH 1025:2048PSH 2049:3073FINA

22、CKPSH 1:1025PSH 1000:2048PSH 2049:3073试图重组时主机崩溃分布式拒绝服务攻击（分布式拒绝服务攻击（DDoSDDoS）50Hackermastermastermasteragentagentagent agentagentagentagentagentagenttarget拒绝服务攻击的防御拒绝服务攻击的防御v管理防御 业务连续性计划（组织共同承担，应对DoS攻击） 协调机制（运营商、公安部门、专家团队）v技术防御 安全设备（防火墙、抗DoS设备） 增强网络带宽 自身强壮性（风险评估、补丁、安全加固、资源控制）v监测防御 应急响应（构建监测体系）51利用系统开

23、发缺陷利用系统开发缺陷- -缓冲区溢出缓冲区溢出v缓冲区溢出攻击原理 缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变v缓冲区溢出的危害 最大数量的漏洞类型 漏洞危害等级高52国家漏洞库（CNNVD）2013年漏洞统计缓冲区溢出基础缓冲区溢出基础- -堆栈、指针、寄存器堆栈、指针、寄存器v堆栈概念 一段连续分配的内存空间v堆栈特点 后进先出 堆栈生长方向与内存地址方向相反v指针 指针是指向内存单元的地址 寄存器 暂存指令、数据和位址 ESP（栈顶）、EBP（栈底）、EIP（返回地址）5334H12H78H

24、56H0108HESP栈顶(AL)(AH)34H12H78H56H0106HESP栈顶缓冲区溢出简单示例缓冲区溢出简单示例v程序作用：将用户输入的内容打印在屏幕上54Buffer.c#include int main ( ) char name8; printf(Please input your name: ); gets(name); printf(you name is: %s!, name); return 0; 缓冲区溢出示例缓冲区溢出示例55用户输入内容在8位以内时候，程序正常执行用户输入内容超过8位以后，程序执行产生错误缓冲区溢出简单示例缓冲区溢出简单示例56由于返回地址已经被覆

25、盖，函数执行返回地址时会将覆盖内容当作返回地址，然后试图执行相应地址的指令，从而产生错误。当我们全部输入a时，错误指令地址为0 x616161，0 x61是a 的ASCII编码程序溢出堆栈情况程序溢出堆栈情况57内存底部 内存顶部 name XXX EIP XXXcispcisp 堆栈顶部 堆栈底部 name XXX EIP XXXaaaaaaaa aaaa aaaa aaaa由于输入的由于输入的namename超过了定义变量的长度（超过了定义变量的长度（8 8位），堆栈中预计的位置无法容纳，位），堆栈中预计的位置无法容纳，只好向内存顶部继续写只好向内存顶部继续写aa，由于堆栈的生长方向与内存

26、的生长方向相反，由于堆栈的生长方向与内存的生长方向相反，用户输入的用户输入的aa覆盖了堆栈底部覆盖了堆栈底部EBPEBP和和retret。程序在返回时，将。程序在返回时，将EBPEBP中的中的aaaaaaaa的的ASCIIASCII码：码：0 x616161610 x61616161作为返回地址，试图执行作为返回地址，试图执行0 x616161610 x61616161处指令，导致错处指令，导致错误，形成一次堆栈溢出误，形成一次堆栈溢出缓冲区溢出攻击过程缓冲区溢出攻击过程v如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统58寻找程序漏洞编制缓冲区溢出程序精确控制跳转地址执行设

27、定的代码获得系统权限或破坏系统攻击演示及案例攻击演示及案例v注：讲师请根据自己的案例给学员介绍案例或演示，帮助学员深刻理解缓冲区溢出攻击的危害v推荐以下缓冲区溢出攻击演示 Windows2000 .idq缓冲区溢出攻击(MS01-033) Windows Server服务RPC请求缓冲区溢出漏洞（MS08-067）59缓冲区溢出的防范缓冲区溢出的防范v用户 补丁 防火墙v开发人员 编写安全代码，对输入数据进行验证 使用相对安全的函数v系统 缓冲区不可执行技术 虚拟化技术60利用应用开发缺陷利用应用开发缺陷- -网页脚本安全网页脚本安全v脚本安全基础 WEB应用开发脚本:ASP、PHP、JSP等

28、 脚本的优势： 交互性： 自动更新： 因时因人而变：v脚本安全风险 注入攻击 跨站脚本 61典型注入攻击典型注入攻击-SQL-SQL注入注入vSQL注入攻击原理 SQL注入（ SQL Injection ）：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行数据库操作62操作系统Web应用数据库服务器123调用数据库查询直接调用操作系统命令通过数据库调用操作系统命令SQLSQL注入简单示例注入简单示例63Select * from table where user=admin an

29、d pwd=ABCDEFG!;adminABCDEFG!Select * from table where user=admin and pwd=123 or 1=1admin123 or 1=1由于密码的输入方式，使得查询语句返回值永远为True，因此通过验证SQLSQL注入范例注入范例-URL-URL中的注入中的注入64http:/xx.xxx.xx.xx/playnews.asp?id=772and 1=1Microsoft OLE DB Provider for ODBC Drivers 错误 80040e14 MicrosoftODBC Microsoft Access Driver

30、 字符串的语法错误 在查询表达式 id = 772 中。 /displaynews.asp，行31 说明: 数据库为Access 程序没有对于id进行过滤 数据库表中有个字段名为idSQLSQL注入范例操作数据库注入范例操作数据库vttp:/ And (update user set passwd=123 where username=admin);- vSelect * from 表名 where 字段=49 And (update user set passwd=123 where username=admin);vupdate user set passwd=123 where user

31、name=admin);65非法的SQL语句被传递到数据库执行！SQLSQL注入演示及案例注入演示及案例v注：讲师请给学员演示SQL注入（正式讲课请更改此页） 推荐：Webgoat 跨站脚本也可以使用这个演示66SQLSQL注入的危害注入的危害v数据库信息收集 数据检索v操作数据库 增加数据 删除数据 更改数据v操作系统 借助数据库某些功能（例如：SQLServer的内置存储过程XP_CMDShell）67SQLSQL注入的防御注入的防御v防御的对象：所有外部传入数据 用户的输入 提交的URL请求中的参数部分 从cookie中得到的数据 其他系统传入的数据v防御的方法 白名单：限制传递数据的格

32、式 黑名单：过滤 过滤特殊字串：update、insert、delete等 开发时过滤特殊字符：单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符 部署防SQL注入系统或脚本68网页脚本攻击网页脚本攻击- -跨站脚本跨站脚本v跨站脚本攻击原理 跨站脚本（Cross Site Scripting，CSS）是由于程序员没有对用户提交的变量中的HTML代码进行过滤或转换，当浏览器下载页面时，脚本可被执行，攻击者可以利用用户和服务器之间的信任关系实现恶意攻击69跨站脚本攻击的危害跨站脚本攻击的危害v敏感信息泄露v账号劫持vCookie欺骗v拒绝服务v钓鱼v70跨站脚本示例跨站脚本示例- -信息窃取信息

33、窃取v某论坛为了实现特效，支持用户提交脚本71InternetInternet攻击者在论坛上发一个帖子：管理员请进，有事请教！（脚本：记录来访者session ）获得管理员session，我可以管理员身份登录论坛了我进去看看找我有什么事？跨站脚本攻击的防范跨站脚本攻击的防范v跨站脚本安全问题和特点更复杂，这使得对跨站脚本漏洞的防范难度更大 不允许脚本运行 对所有脚本进行严格过滤72知识域：知识域：安全攻击与防护安全攻击与防护v知识子域：后门设置与防范 理解攻击者设置系统后门的常用方法 理解针对后门的防范措施73v后门可以作什么 方便下次直接进入 监视用户所有行为、隐私 完全控制用户主机v后门设置的类型 账号后门 现有管理员账号密码/新建账号/升级现有账号权限 普通账号shell设置Setuid 漏洞后门 木马( rootkit) 脚本后门后门设置的方法后门设置的方法74后门的清除及防范后门的清除及防范v账号后门 管理员账号：定期