安全攻防实践

1、股票代码：002439股票代码：002439目录目录安全攻击与防护安全攻击与防护信息收集与分析实施入侵设置后门清除痕迹入侵的过程- 信息收集与分析- 实施攻击- 设置后门- 清除痕迹入侵的防护- 针对以上提到的行为了解其原理并考虑应对措施目录目录信息收集信息收集- -入侵的第一步入侵的第一步 为什么要收集信息 获取攻击目标大概信息 为下一步攻击做准备 利用收集的信息直接攻击知己知彼，知己知彼，百战不殆百战不殆信息收集与分析案例信息收集与分析案例 信息收集的概念 情报学中一个领域 传统的信息收集 案例：著名的照片泄密案 互联网时代的信息收集 信息技术的发展使得数据大量被生产出来 案例：明星的家庭

2、住址收集哪些信息收集哪些信息 目标系统的信息系统相关资料 域名、网络拓扑、操作系统、应用软件 相关脆弱性 目标系统的组织相关资料 组织架构及关联组织 地理位置细节 电话号码、邮件等联系方式 近期重大事件 员工简历 其他可能令攻击者感兴趣的任何信息公开信息收集公开信息收集- -搜索引擎搜索引擎 快速定位 Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站 Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器 信息挖掘 定点采集 Google 搜索 “.doc+website”挖掘信息 隐藏信息 .mdb、.ini、.txt、.old、.

3、bak、.001 后台入口How to hack website with google!网络信息收集网络信息收集- -域名信息域名信息 Whois Whois是一个标准服务，可以用来查询域名是否被注册以及注册的详细资料 Whois 可以查询到的信息 域名所有者 域名及IP地址对应信息 联系方式 域名到期日期 域名注册日期 域名所使用的 DNS Servers 信息收集技术信息收集技术- -域名与域名与IPIP查询查询 域名与IP查询 nslookup 操作系统自带命令，主要是用来查询域名名称和 IP 之间的对应关系 网络状况查询 Ping 系统自带命令，测试与远端电脑或网络设备的连接状况 网

4、络路径状况查询 tracert 系统自带命令，测试与远端电脑或网络设备之间的路径系统信息收集系统信息收集- -服务旗标检测服务旗标检测FTP回显信息Web回显信息系统及应用信息收集系统及应用信息收集-TCP/IP-TCP/IP协议栈检测协议栈检测 原理 不同厂商对IP协议栈实现之间存在许多细微的差别，通过这些差别就能对目标系统的操作系统加以猜测。 检测方法 主动检测 被动检测 原理- 通过端口扫描确定主机开放的端口，不同的端口对应运行着的不同的网络服务 扫描方式- 全扫描- 半打开扫描- 隐秘扫描- 漏洞扫描- 系统及应用信息收集系统及应用信息收集- -端口扫描端口扫描端口测试数据包测试响应数

5、据包我知道主机上开放的端口了分析目标分析目标- -入侵的准备入侵的准备 为什么需要分析目标 确定收集信息的准确性 去除迷惑信息 攻击方式及攻击路径的选择 漏洞信息及攻击工具获取 漏洞扫描 漏洞库 QQ群 论坛等交互应用 信息收集与分析工具信息收集与分析工具- -扫描器扫描器 网络设备漏洞扫描器Cisco Auditing Tools 集成化的漏洞扫描器NessusShadow Security Scanner eEye的Retina Internet Security ScannerGFI LANguard 专业web扫描软件IBM appscanAcunetix Web Vulnerabil

6、ity 数据库漏洞扫描器ISS Database Scanneroscanner Oracle数据库扫描器Metacoretex 数据安全审计工具信息收集与分析的防范信息收集与分析的防范 公开信息收集防御 信息展示最小化原则，不必要的信息不要发布 网络信息收集防御 部署网络安全设备（IDS、防火墙等） 设置安全设备应对信息收集（阻止ICMP） 系统及应用信息收集防御 修改默认配置（旗标、端口等） 减少攻击面严防死守！目录目录典型的攻击手段与防范典型的攻击手段与防范 理解默认口令攻击、字典攻击及暴力攻击的原理与防范措施 理解社会工程学攻击的方法与防范措施 理解IP欺骗、ARP欺骗和DNS欺骗的原

7、理与防范措施 理解SYN Flood、UDP Flood、Teardrop攻击等典型DOS/DDOS的原理与防范措施 理解缓冲区溢出攻击的原理与防范措施 理解SQL注入攻击的原理与防范措施 理解跨站脚本攻击的原理与防范措施利用人性懒惰利用人性懒惰- -密码破解密码破解 密码破解方法 暴力猜解 密码破解工具 密码暴力破解工具 密码字典生成工具 密码破解防御 密码生成技巧 密码管理策略暴力猜解方法一：散列值破解暴力猜解方法一：散列值破解 已知密码的散列算法及散列值的破解方法 Linux密码散列值#root:$1$acQMceF9$1$acQMceF9:13402:0:99999:7: Window

8、s密码散列值（LM-Hash）Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:密码明文密码明文对明文密码对明文密码进行加密进行加密对比密文对比密文更换密码明更换密码明文文暴力猜解方法一：散列值破解暴力猜解方法一：散列值破解 获取散列值工具 pwdump7.exe GetHashes.exe SAMInside.exe Cain 破解散列值工具John the Ripper L0Phtcrack 从网站等公开渠道得到散列值破解结果ID:cisp psw:123456Ok,you

9、 can login inID:cisp psw:No,you can not login in1 12123123412345123456OK,you can login inNo,you can not login inNo,you can not login inNo,you can not login inNo,you can not login in暴力猜解方法二：远程密码破解暴力猜解方法二：远程密码破解密码字典密码字典- -密码破解关键密码破解关键 字典生成器 根据用户规则快速生成各类密码字典 攻击者常用的工具 密码字典作用 提高密码破解效率 密码破解知识的具体体现 密码字典是攻击

10、者破解成功和效率的关键！密码破解安全防御密码破解安全防御 设置“好”的密码 自己容易记，别人不好猜 系统及应用安全策略 账户锁定策略 随机验证码 其他密码管理策略 密码专用/分级，不同应用/系统/网站不同密码 专用密码管理工具 A、B角 利用人性弱点利用人性弱点- -社会工程学攻击社会工程学攻击 什么是社会工程学攻击 利用人性弱点（本能反应、贪婪、易于信任等）进行欺骗获取利益的攻击方法 社会工程学的危险 永远有效的攻击方法 人是最不可控的因素人是永远的系统弱点!社会工程学利用的漏洞社会工程学利用的漏洞 人性的弱点（Robert B Cialdini） 信任权威 信任共同爱好 获得好处后报答 期

11、望守信 期望社会认可 短缺资源的渴望 传统社会中的社会工程学传统社会中的社会工程学中奖通知欠费电话退税短信催交房租网络社会的社会工程学网络社会的社会工程学 直接用于攻击 正面攻击（直接索取） 建立信任 利用同情、内疚和胁迫 间接用于攻击 口令破解中的社会工程学利用 网络攻击中的社会工程学利用案例一、凯文案例一、凯文米特尼克最擅长什么米特尼克最擅长什么 凯文米特尼克 世界著名黑客（世界第一黑客） 1995年16岁时被捕入狱，2000年保释 记者采访：你最擅长的技术是什么 回答:社会工程学，技术会过时，只有社会工程学永远不会凯文米特尼克所著欺骗的艺术案例二：案例二：“最大的计算机诈骗最大的计算机诈

12、骗”过程过程 载入吉尼斯世界纪录大全 欺骗的艺术中的经典案例操盘手将每天交易密码写在纸片上，贴在电脑屏幕旁攻击者看到后，伪装成银行职员（国际部麦克.汉森），要求转账伪装成电汇室人员，询问麦克.汉森，获取账号信息重新要求转账完成诈骗过程案例三：好心网管的失误案例三：好心网管的失误InternetInternet攻击者网站上查询到信息：网管联系电话某处室人员名称：王强电话网管：你好，我是某某处王强，我的邮件密码忘记了，麻烦帮处理一下好的，请10分钟后登陆，我帮你把密码重置为123社会工程学防御社会工程学防御 安全意识培训 知道什么是社会工程学攻击 社会工程学攻击利用什么 建立相应的安全响应应对措施

13、 构建完善的技术防御体系 有效的安全管理体系和操作流程 注意保护个人隐私 保护生日、年龄、email邮件地址、手机号码、家庭电话号码等信息利用协议的缺陷利用协议的缺陷- -欺骗攻击欺骗攻击 欺骗攻击（Spoofing）是指通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术 BACHello,Im B!典型的欺骗攻击典型的欺骗攻击 IP欺骗（IP Spoofing） ARP欺骗（ARP Spoofing） DNS欺骗（DNS Spoofing） 电子欺骗是一类攻击方式的统称！IPIP欺骗的技术实现欺骗的技术实现 原理 两台主机之间经过认证产生信任关系后，在连接过程中就不会要求严格

14、的认证 IP欺骗是一系列步骤构成的攻击确认攻击目标使要冒充主机无法响应目标主机猜正确的序数冒充受信主机进行会话IPIP欺骗实现欺骗实现BACSYN flood攻击 连接请求伪造B进行系列会话A的序数规则IPIP欺骗攻击的防范欺骗攻击的防范 严格设置路由策略：拒绝来自网上，且声明源于本地地址的包 使用最新的系统和软件，避免会话序号被猜出 使用抗IP欺骗功能的产品 严密监视网络，对攻击进行报警ARPARP欺骗基础欺骗基础-Arp-Arp协议工作过程协议工作过程 ARP协议（地址解析协议） ARP用于将IP地址解析MAC地址的协议bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:a

15、a:aa:aaWhos IP is Whos IP is MAC aa:aa:aa:aa:aa is 收到，我会缓存起来收到，我会缓存起来!Internet地址 物理地址 aa:aa:aa:aa:aaARPARP欺骗基础欺骗基础- -实现特点实现特点 ARP协议实现特点 ARP协议特点：无状态，无需请求可以应答 ARP实现：ARP缓存ARPARP欺骗的实现欺骗的实现bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa

16、:aaMAC cc:cc:cc:cc:cc is 收到，我会缓存！收到，我会缓存！Internet地址 物理地址 cc:cc:cc:cc:ccCC:CC:CC:CC:CCHelloAA:AA:AA:AA:AAHelloARPARP欺骗的防御欺骗的防御 使用静态ARP缓存 使用三层交换设备 IP 与MAC地址绑定 ARP防御工具DNSDNS欺骗基础欺骗基础-DNS-DNS协议工作过程协议工作过程 DNS（域名解析协议） 用于将域名解析成IP地址

17、?其他DNS收到，我会缓存！我不知道，我问问其他服务器 ?我的缓存中有记录，我告诉你！DNS服务器客户机客户机DNS服务器DNSDNS欺骗实现欺骗实现?我不知道，我问问其他DNS服务器Other DNS收到，我会缓存！?我缓存中有记录，我告诉你！ 攻击者DNS服务器DNS服务器客户机?Qid=Qid=22DNSDNS欺骗的防范欺骗的防范 DNS服务器 使用新版本的DNS软件 安全设置对抗DNS欺骗 关闭DNS服务递归功能 限制域名服务器作出响应的地址 限制域名服务器作出响应的递归请求地址 限制发出请求的地

18、址 应用服务器 用户自主标识利用系统缺陷利用系统缺陷- -拒绝服务攻击拒绝服务攻击 什么是拒绝服务 拒绝服务式攻击(Denial of Service)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。 拒绝服务攻击方式 利用系统、协议或服务的漏洞 利用TCP协议实现缺陷 利用操作系统或应用软件的漏洞 目标系统服务资源能力 利用大量数据挤占网络带宽 利用大量请求消耗系统性能 混合型典型的拒绝服务攻击方式典型的拒绝服务攻击方式 SYN Flood UDP Flood Teardrop Ping of death Smurf Land 拒绝服务是一类攻击方式的统称！拒绝服务攻击的防御拒绝服务

19、攻击的防御 管理防御 业务连续性计划（组织共同承担，应对DoS攻击） 协调机制（运营商、公安部门、专家团队） 技术防御 安全设备（防火墙、抗DoS设备） 增强网络带宽 自身强壮性（风险评估、补丁、安全加固、资源控制） 监测防御 应急响应（构建监测体系）利用系统开发缺陷利用系统开发缺陷- -缓冲区溢出缓冲区溢出 缓冲区溢出攻击原理 缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变 缓冲区溢出的危害 最大数量的漏洞类型 漏洞危害等级高国家漏洞库（CNNVD）2013年漏洞统计缓冲区溢出基础缓冲区溢出基础- -

20、堆栈、指针、寄存器堆栈、指针、寄存器 堆栈概念 一段连续分配的内存空间 堆栈特点 后进先出 堆栈生长方向与内存地址方向相反指针 指针是指向内存单元的地址 寄存器 暂存指令、数据和位址 ESP（栈顶）、EBP（栈底）、EIP（返回地址）34H12H78H56H0108HESP栈顶(AL)(AH)34H12H78H56H0106HESP栈顶缓冲区溢出简单示例缓冲区溢出简单示例 程序作用：将用户输入的内容打印在屏幕上Buffer.c#include int main ( ) char name8; printf(Please input your name: ); gets(name); print

21、f(you name is: %s!, name); return 0; 缓冲区溢出示例缓冲区溢出示例用户输入内容在8位以内时候，程序正常执行用户输入内容超过8位以后，程序执行产生错误缓冲区溢出简单示例缓冲区溢出简单示例由于返回地址已经被覆盖，函数执行返回地址时会将覆盖内容当作返回地址，然后试图执行相应地址的指令，从而产生错误。当我们全部输入a时，错误指令地址为0 x616161，0 x61是a 的ASCII编码程序溢出堆栈情况程序溢出堆栈情况内存底部 内存顶部 name XXX EIP XXXcispcisp 堆栈顶部 堆栈底部 name XXX EIP XXXaaaaaaaa aaaa a

22、aaa aaaa由于输入的由于输入的name超过了定义变量的长度（超过了定义变量的长度（8位），堆栈中预计的位置无法容纳，位），堆栈中预计的位置无法容纳，只好向内存顶部继续写只好向内存顶部继续写a，由于堆栈的生长方向与内存的生长方向相反，用，由于堆栈的生长方向与内存的生长方向相反，用户输入的户输入的a覆盖了堆栈底部覆盖了堆栈底部EBP和和ret。程序在返回时，将。程序在返回时，将EBP中的中的aaaa的的ASCII码：码：0 x61616161作为返回地址，试图执行作为返回地址，试图执行0 x61616161处指令，导致错误，处指令，导致错误，形成一次堆栈溢出形成一次堆栈溢出缓冲区溢出攻击过程

23、缓冲区溢出攻击过程 如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统寻找程序漏洞编制缓冲区溢出程序精确控制跳转地址执行设定的代码获得系统权限或破坏系统缓冲区溢出的防范缓冲区溢出的防范 用户 补丁 防火墙 开发人员 编写安全代码，对输入数据进行验证 使用相对安全的函数 系统 缓冲区不可执行技术 虚拟化技术利用应用开发缺陷利用应用开发缺陷- -网页脚本安全网页脚本安全 脚本安全基础 WEB应用开发脚本:ASP、PHP、JSP等 脚本的优势： 交互性： 自动更新： 因时因人而变： 脚本安全风险 注入攻击 跨站脚本 典型注入攻击典型注入攻击-SQL-SQL注入注入 SQL注入攻击原理

24、 SQL注入（ SQL Injection ）：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行数据库操作操作系统Web应用数据库服务器123调用数据库查询直接调用操作系统命令通过数据库调用操作系统命令SQLSQL注入简单示例注入简单示例Select * from table where user=admin and pwd=ABCDEFG!;adminABCDEFG!Select * from table where user=admin and pwd=123 or 1=1a

25、dmin123 or 1=1由于密码的输入方式，使得查询语句返回值永远为True，因此通过验证SQLSQL注入范例注入范例-URL-URL中的注入中的注入http:/xx.xxx.xx.xx/playnews.asp?id=772and 1=1Microsoft OLE DB Provider for ODBC Drivers 错误 80040e14 MicrosoftODBC Microsoft Access Driver 字符串的语法错误 在查询表达式 id = 772 中。 /displaynews.asp，行31 说明: 数据库为Access 程序没有对于id进行过滤 数据库表中有个字

26、段名为idSQLSQL注入范例操作数据库注入范例操作数据库 http:/ And (update user set passwd=123 where username=admin);- Select * from 表名 where 字段=49 And (update user set passwd=123 where username=admin); update user set passwd=123 where username=admin);非法的SQL语句被传递到数据库执行！SQLSQL注入的危害注入的危害 数据库信息收集 数据检索 操作数据库 增加数据 删除数据 更改数据 操作系统

27、借助数据库某些功能（例如：SQLServer的内置存储过程XP_CMDShell）SQLSQL注入的防御注入的防御 防御的对象：所有外部传入数据 用户的输入 提交的URL请求中的参数部分 从cookie中得到的数据 其他系统传入的数据 防御的方法 白名单：限制传递数据的格式 黑名单：过滤 过滤特殊字串：update、insert、delete等 开发时过滤特殊字符：单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符 部署防SQL注入系统或脚本网页脚本攻击网页脚本攻击- -跨站脚本跨站脚本 跨站脚本攻击原理 跨站脚本（Cross Site Scripting，CSS）是由于程序员没有对用户提交的

28、变量中的HTML代码进行过滤或转换，当浏览器下载页面时，脚本可被执行，攻击者可以利用用户和服务器之间的信任关系实现恶意攻击跨站脚本攻击的危害跨站脚本攻击的危害v敏感信息泄露v账号劫持vCookie欺骗v拒绝服务v钓鱼v跨站脚本示例跨站脚本示例- -信息窃取信息窃取 某论坛为了实现特效，支持用户提交脚本InternetInternet攻击者在论坛上发一个帖子：管理员请进，有事请教！（脚本：记录来访者session ）获得管理员session，我可以管理员身份登录论坛了我进去看看找我有什么事？跨站脚本攻击的防范跨站脚本攻击的防范 跨站脚本安全问题和特点更复杂，这使得对跨站脚本漏洞的防范难度更大 不

29、允许脚本运行 对所有脚本进行严格过滤目录目录后门设置与后门设置与防范防范 理解攻击者设置系统后门的常用方法 理解针对后门的防范措施 后门可以作什么 方便下次直接进入 监视用户所有行为、隐私 完全控制用户主机 后门设置的类型 账号后门 现有管理员账号密码/新建账号/升级现有账号权限 普通账号shell设置Setuid 漏洞后门 木马( rootkit) 脚本后门后门设置的方法后门设置的方法后门的清除及防范后门的清除及防范 账号后门 管理员账号：定期更换密码 定期检查系统是否有多余账号和具有管理员权限的账号 检查Linux系统中的Setuid程序 漏洞后门 补丁后门的清除及防范后门的清除及防范 木马后门 杀毒软件 系统检查：服务、进程、端口 完整性校验 脚本后门 安全脚本备份 网页防篡改目录目录痕迹清除与痕迹清除与防范防范 理解攻击者清除痕迹的常用方法 理解