网络与系统攻击技术

1、网络与系统攻击技术主要内容一、网络攻击原理与技术1、网络与系统攻击背景Internet的飞速发展和普及，促进了网络信息系统的应用和发展。各种基于网络的信息系统已成为国民经济关键领域中的重要组成部分。例如电力信息系统、汽油运输和存储系统、金融服务信息系统等。1、网络与系统攻击背景然而，对网络的依赖性越大，所产生的风险也越来越大。网络系统面临入侵、事故、失效等威胁。受社会因素的影响，网络信息会受到破坏、窃取、篡改等威胁。网络信息化将传统的有形“空间安全概念”改成了无形的“数字信息空间”的安全问题。2、网络攻击技术和工具网络攻击的自动化程度和攻击速度不断提高攻击工具越来越复杂黑客利用安全漏洞的速度越

2、来越快防火墙被攻击者渗透的情况越来越多安全威胁的不对称性在增加攻击网络基础设施产生的破坏效果越来越大3 3、网络攻击的目标、网络攻击的目标4 4、网络攻击分类、网络攻击分类4.1 4.1 基于攻击术语分类基于攻击术语分类特洛伊木马特洛伊木马口令猜测口令猜测病毒病毒蠕虫蠕虫IPIP欺骗欺骗会话拦截会话拦截伪造伪造扫描扫描社交工程社交工程邮件欺骗邮件欺骗组合攻击组合攻击悬挂进程悬挂进程电磁泄漏电磁泄漏窃听窃听拒绝服务拒绝服务数据扰乱数据扰乱4.2 4.2 基于攻击种类分类基于攻击种类分类窃取口令窃取口令社交工程社交工程错误和后门错误和后门认证失效认证失效协议失效协议失效信息泄露信息泄露拒绝服务拒绝

3、服务4.3 4.3 基于多维角度分类基于多维角度分类攻击者攻击者攻击工具集攻击工具集攻击访问攻击访问攻击效果攻击效果攻击目标攻击目标5 5、攻击步骤、攻击步骤6 6、网络攻击模型、网络攻击模型7 7、历史上著名的黑客事件、历史上著名的黑客事件20102010年年1111月月1919日，跆拳道选手杨淑君亚日，跆拳道选手杨淑君亚运比赛被判出局，亚洲跆拳道联盟在遭到强运比赛被判出局，亚洲跆拳道联盟在遭到强烈质疑的同时，联盟网站遭到黑客入侵，首烈质疑的同时，联盟网站遭到黑客入侵，首页被换上页被换上“淑君第一淑君第一还我金牌还我金牌”等字样。等字样。7 7、历史上著名的黑客事件、历史上著名的黑客事件20

4、092009年年7 7月月7 7日，韩国遭受有史以来最猛日，韩国遭受有史以来最猛烈的一次攻击。韩国总统府、国会、国情院烈的一次攻击。韩国总统府、国会、国情院和国防部等国家机关，以及金融界、媒体和和国防部等国家机关，以及金融界、媒体和防火墙企业网站遭到了攻击。防火墙企业网站遭到了攻击。7 7月月9 9日，韩国日，韩国国家情报院和国民银行网站无法被访问。韩国家情报院和国民银行网站无法被访问。韩国国会、国防部、外交通商部等机构的网站国国会、国防部、外交通商部等机构的网站一度无法打开！这是韩国遭遇的到当时为止一度无法打开！这是韩国遭遇的到当时为止最严重的一次黑客攻击。最严重的一次黑客攻击。7 7、历史

5、上著名的黑客事件、历史上著名的黑客事件20082008年，一个全球性的黑客组织，利用年，一个全球性的黑客组织，利用ATMATM欺诈程序在一夜之间从世界欺诈程序在一夜之间从世界4949个城市的银个城市的银行中盗走了行中盗走了900900万美元。黑客们攻破的是一种万美元。黑客们攻破的是一种名为名为RBS WorldPayRBS WorldPay的银行系统，千方百计取的银行系统，千方百计取得了数据库内的银行卡信息，并在得了数据库内的银行卡信息，并在1111月月8 8日午日午夜，利用团伙作案从世界夜，利用团伙作案从世界4949个城市总计超过个城市总计超过130130台台ATMATM机上提取了机上提取了

6、900900万美元。最关键的是，万美元。最关键的是，目前目前FBIFBI还没破案，甚至据说连一个嫌疑人还还没破案，甚至据说连一个嫌疑人还没找到。没找到。7 7、历史上著名的黑客事件、历史上著名的黑客事件20062006年年1010月月1616日，中国骇客李俊发布熊日，中国骇客李俊发布熊猫烧香木马。并在短时间内，致使中国数百猫烧香木马。并在短时间内，致使中国数百万用户受到感染，并波及日本等周边国家。万用户受到感染，并波及日本等周边国家。李俊于李俊于20072007年年2 2月月1212日被捕。日被捕。7 7、历史上著名的黑客事件、历史上著名的黑客事件20012001年年5 5月，中美黑客网络大战

7、，撞机事月，中美黑客网络大战，撞机事件发生后，两国黑客之间发生的网络大战愈件发生后，两国黑客之间发生的网络大战愈演愈烈。从演愈烈。从4 4月月4 4日以来，美国黑客组织日以来，美国黑客组织PoizonBOxPoizonBOx不断袭击中国网站。对此，我国的不断袭击中国网站。对此，我国的网络安全人员积极防备美方黑客的攻击。中网络安全人员积极防备美方黑客的攻击。中国一些黑客组织则在国一些黑客组织则在“五一五一”期间打响了期间打响了“黑客黑客反击战反击战”！主要内容二、网络信息探测1 1、目标系统确定、目标系统确定2 2、系统存活探测、系统存活探测3 3、高级端口服务扫描、高级端口服务扫描TCP SY

8、NTCP SYN扫描扫描ClientClient端端ServeServer r端端ClienClient t端端ServerServer端端SYNSYNSYNSYNRSTRSTSYN/ACKSYN/ACKRST/ACKRST/ACKTCP SYNTCP SYN扫描建立成功扫描建立成功TCP SYNTCP SYN扫描建立未成功扫描建立未成功秘密扫描秘密扫描ClientClient端端ServeServer r端端ClienClient t端端ServerServer端端FINFINFINFINRSTRST端口开放端口开放端口关闭端口关闭1 1、TCP FINTCP FIN扫描扫描秘密扫描秘密扫描

9、ClientClient端端ServeServer r端端ClienClient t端端ServerServer端端NULLNULLNULLNULLRSTRST端口开放端口开放端口关闭端口关闭2 2、NULLNULL扫描扫描秘密扫描秘密扫描ClientClient端端ServeServer r端端ClienClient t端端ServerServer端端XMASXMASXMASXMASRSTRST端口开放端口开放端口关闭端口关闭3 3、XMASXMAS扫描扫描秘密扫描秘密扫描ClientClient端端ServeServer r端端ClienClient t端端ServerServer端端AC

10、KACKACKACKRSTRST目标主机安装防火墙目标主机安装防火墙目标主机未安装防火墙目标主机未安装防火墙4 4、ACKACK扫描扫描扫描扫射扫描扫射1 1、分段扫描、分段扫描IPIP数据报头内有数据报头内有3 3位位FlagsFlags字段表示此次发送字段表示此次发送或接收的报文是否是分段报文，以及是否或接收的报文是否是分段报文，以及是否是最后一个分段报文；如果是分段报文，是最后一个分段报文；如果是分段报文，则有一个则有一个1313位的位的Fragment OffsetFragment Offset字段表示字段表示其在原报文的位置，另外有其在原报文的位置，另外有Identification

11、Identification字段用以识别各个分段。字段用以识别各个分段。分段扫描就是将原来封装在一个报文的探测分段扫描就是将原来封装在一个报文的探测信息拆分至多个报文中，以防止被过滤。信息拆分至多个报文中，以防止被过滤。扫描扫射扫描扫射2 2、代理扫描、代理扫描文件传输协议文件传输协议FTPFTP选项：代理选项：代理FTPFTP连接。连接。其目的是允许一个客户端同时跟两个其目的是允许一个客户端同时跟两个FTPFTP服服务器建立连接，然后在服务器之间直接传务器建立连接，然后在服务器之间直接传输数据。输数据。FTPFTP端口扫描主要利用端口扫描主要利用FTPFTP代理服务器来扫代理服务器来扫描描T

12、CPTCP端口。端口。扫描扫射扫描扫射3 3、认证扫描、认证扫描每个类每个类UNIXUNIX操作系统都带有一个默认是侦听操作系统都带有一个默认是侦听113113端口的身份服务器。端口的身份服务器。作用：作用：“是什么用户从你的端口是什么用户从你的端口X X初始化连到初始化连到我的我的Y Y上来了上来了”。例如：在自己机器上开放例如：在自己机器上开放113113端口，引发目标端口，引发目标主机向本机发送认证请求，通过修改回应主机向本机发送认证请求，通过修改回应的用户信息，可能造成缓冲区溢出攻击。的用户信息，可能造成缓冲区溢出攻击。端口扫描策略端口扫描策略随机端口扫描随机端口扫描(Random P

13、ort Scan)(Random Port Scan)慢扫描慢扫描(Slow Scan)(Slow Scan)通过分析某段时间内的网络通信来确定某个通过分析某段时间内的网络通信来确定某个特定的特定的IPIP正在扫描被保护的网络正在扫描被保护的网络分片扫描分片扫描(Fragmentation Scanning)(Fragmentation Scanning)根据携带的数据的根据携带的数据的IPIP分组进行分片分组进行分片诱骗诱骗(Decoy)(Decoy)某些网络扫描器用于诱骗或者伪造假地址某些网络扫描器用于诱骗或者伪造假地址分布式协调扫描分布式协调扫描(Coordinated Scan)(Co

14、ordinated Scan)利用多个利用多个IPIP同时对目标系统进行扫描同时对目标系统进行扫描常用扫描工具常用扫描工具SATANSATAN分析网络的安全管理、测试和报告工具分析网络的安全管理、测试和报告工具JakalJakal秘密扫描器秘密扫描器NSSNSS网络安全扫描器网络安全扫描器StrobeStrobe是一个是一个TCPTCP端口扫描器端口扫描器XscanXscan扫描具有扫描具有X X服务器弱点的子网或主机服务器弱点的子网或主机NmapNmap由由FyodorFyodor制作的端口扫描工具制作的端口扫描工具4 4、SNMPSNMP协议探测协议探测WindowsWindows系列都支

15、持简单网络管理协议系列都支持简单网络管理协议(SNMP)(SNMP)通过通过SNMPSNMP可以对网络设备进行远程管理可以对网络设备进行远程管理例如，当一个例如，当一个Windows2000Windows2000设备具有设备具有SNMPSNMP变量变量读取权限时，可以获取如下信息：读取权限时，可以获取如下信息：接口表、路由器表、接口表、路由器表、ARPARP表、表、TCPTCP表、表、UDPUDP表、设表、设备表、存储表、进程表和软件表、用户表、共享表备表、存储表、进程表和软件表、用户表、共享表主要内容三、系统信息探测1 1、服务版本类型探测、服务版本类型探测远程登录标识（远程登录标识（Tel

16、netTelnet服务服务bannerbanner）文件传输协议标识（文件传输协议标识（FTPFTP服务服务bannerbanner）HTTPHTTP头部（头部（WebWeb服务器）服务器）其他方法（其他方法（RPCRPC服务查询工具、服务查询工具、netcatnetcat）2 2、操作系统指纹探测、操作系统指纹探测（1 1）TCP/IPTCP/IP栈指纹扫描技术栈指纹扫描技术TCP/IPTCP/IP栈指纹识别主要是依赖不同操作系统栈指纹识别主要是依赖不同操作系统对特定数据报的不同反应来区分的。基于对特定数据报的不同反应来区分的。基于各版本操作系统各版本操作系统TCP/IPTCP/IP协议体系

17、实现上的协议体系实现上的不同，通过提交不同的不同，通过提交不同的IPIP数据报并分析目数据报并分析目标主机返回的相应数据报，比较其中各标标主机返回的相应数据报，比较其中各标记参数的不同就可以将不同的操作系统区记参数的不同就可以将不同的操作系统区分开。分开。2 2、操作系统指纹探测、操作系统指纹探测（2 2）ICMPICMP栈指纹扫描技术栈指纹扫描技术ICMPICMP栈指纹识别主要是通过发送栈指纹识别主要是通过发送UDPUDP或或ICMPICMP的的请求报文，然后分析各种请求报文，然后分析各种ICMPICMP应答，根据应答，根据应答数据报的差异来区分不同的系统。应答数据报的差异来区分不同的系统。

18、技术的实现主要体现在技术的实现主要体现在ICMPICMP报文的报文的IPIP头、头、CMPCMP报文、报文、ICMPICMP报文所引用的数据项三个方面。报文所引用的数据项三个方面。2 2、操作系统指纹探测、操作系统指纹探测（3 3）被动指纹扫描技术）被动指纹扫描技术通过被动监测网络通信，分析正常数据流通过被动监测网络通信，分析正常数据流中远程主机所发送的特殊字段，与指纹数中远程主机所发送的特殊字段，与指纹数据库比较，最终确定操作系统类型和版本。据库比较，最终确定操作系统类型和版本。3 3、WindowsWindows系统信息探测系统信息探测（1 1）NetBIOSNetBIOS简介简介NetBIOSNetBIOS是网络基本输入和输出系统，定义了是网络基本输入和输出系统，定义了一个软件接口，类似于一个软件接口，类似于APIAPI编程，提供标准编程，提供标准方法用于各种网络服务。方法用于各种网络服务。NetBIOSNetBIOS给程序提供了请求底层服务所需的统给程序提供了请求底层服务所需的统一命令集，这些服务包括名字管理、会话一命令集，这些服务包括名字管理、会话执行和节点之间的数据传输。执行和节点之间的数据传输。3 3、WindowsWindows系统信息探测系统信息探测（2 2）资源工具箱内的查