信息安全系统工程黑客资料

1、1、黑客的类型(lixng)和动机从黑客行为上划分，黑客有“善意(shny)”与“恶意”两种，即所谓白帽（White Hat）及黑帽（Black Hat）。白帽利用他们的技能做一些善事，长期致力于改善计算机社会及其资源，为了改善服务质量及产品，他们不断寻找弱点及脆弱性并公布于众。黑帽则利用他们的技能做一些恶事，主要从事一些破坏活动，从事的是一种犯罪行为。共五十二页“黑帽”的动机(dngj)1、 好奇心：许多黑帽声称，他们只是对计算机及电话网感到好奇，希望通过探究这些(zhxi)网络更好地了解它们是如何工作的。2、个人声望：通过破坏具有高价值的目标以提高在黑客社会中的可信度及知名度。3、智力挑战

2、：为了向自己的智力极限挑战或为了向他人炫耀，证明自己的能力；还有些甚至不过是想做个“游戏高手”或仅仅为了“玩玩”而已。4、窃取情报：在Internet上监视个人、企业及竞争对手的活动信息及数据文件，以达到窃取情报的目的。共五十二页“黑帽”的动机(dngj)（续）5、报复：电脑罪犯感到其雇主本该提升自己、增加薪水或以其他方式承认他的工作。电脑犯罪活动成为他反击雇主的方法，也希望借此引起别人的注意。6、金钱：有相当一部分电脑犯罪是为了赚取金钱。7、政治目的：任何政治因素都会反映到网络领域，主要表现有：1）敌对国之间利用网络的破坏活动； 2）个人(grn)及组织对政府不满而产生的破坏活动。这类黑帽的

3、动机不是钱，几乎永远都是为政治，一般采用的手法包括更改网页、植入电脑病毒等。共五十二页2、黑客攻击的流程(lichng)共五十二页2.1 踩点“踩点”的主要目的是获取目标的如下信息：1） 因特网网络域名、网络地址分配、域名服务器、邮件交换主机、网关等关键系统的位置及软硬件信息。2） 内联网与Internet内容类似，但主要关注内部网络的独立地址空间及名称空间。3） 远程访问模拟/数字电话号码和VPN访问点。4） 外联网与合作伙伴及子公司的网络的连接地址、连接类型及访问控制机制(jzh)。5） 开放资源未在前4类中列出的信息，例如 Usenet、雇员配置文件等。共五十二页踩点采用(ciyng)的

4、主要技术1、开放信息源搜索通过一些标准搜索引擎，揭示一些有价值的信息。2、whois查询whois是目标Internet域名注册数据库，目前，可用的whois数据库很多。3、DNS区域传送DNS区域传送是一种DNS服务器的冗余(rn y)机制。共五十二页局域网主机(zhj)发现主机发现通过测试发现局域网内的活动主机可以利用ARP协议实现主机发现。ARPAddress Resolution Protocol“地址解析”就是主机在发送帧前将目的(md)逻辑地址转换成目的(md)物理地址的过程。在使用TCP/IP协议的以太网中ARP协议完成将IP地址（逻辑）映射到MAC地址（物理）的过程。向目标主机

5、发送一个ARP请求，如果目标主机处于活动状态则会返回其MAC地址，这样达到探测的目的。共五十二页ARP示意图示例共五十二页利用(lyng)ARP进行主机发现关键函数(hnsh)：SendARP函数SendARP是Microsoft Platform SDK中提供用来获得目标主机的MAC地址的函数，它发送一个ARP请求报文，用来获得与指定IP地址相应的物理地址。SendArp声明如下：1）DestIP：目的IP地址，ARP协议将试图获得这个IP地址相对应的物理地址；2）SrcIP：指定了发送者的IP地址，这个参数是可选的，调用者可以用0填充；3）pMacAddr：一个指向无符号长整型的指针，如果

6、函数调用成功，这个长整型变量将保存得到的物理地址；4）phyAddrLen：一个指向无符号长整型的指针，如果函数调用成功，这个长整型变量将保存得到的物理地址的长度。共五十二页利用(lyng)ARP进行主机发现（续）参考流程显示(xinsh)局域网所有活动主机的IP地址。示例共五十二页2.2 扫描(somio)通过踩点已获得一定信息(xnx)（IP地址范围、DNS服务器地址、邮件服务器地址等），下一步需要确定目标网络范围内哪些系统是“活动”的，以及它们提供哪些服务。扫描的主要目的是使攻击者对攻击的目标系统所提供的各种服务进行评估，以便集中精力在最有希望的途径上发动攻击。扫描中采用的主要技术有：P

7、ing扫射（Ping Sweep）、TCP/UDP端口扫描、操作系统检测以及旗标（banner）的获取。共五十二页利用(lyng)TCP全扫描进行端口扫描TCP全扫描这种扫描方法直接连接到目标端口并完成一个完整的三次握手过程（SYN，SYN/ACK和ACK）。Windows操作系统提供了“connect()”函数来完成系统调用，用来与每一个感兴趣的目标计算机的端口进行连接如果(rgu)端口处于侦听状态，那么connect()函数就能成功；否则，connect()函数将调用失败。优点不需要任何权限，系统中任何用户都有权利使用这个调用。缺点如果对每个目标端口以线性的方式使用单独的connect()

8、函数调用，那么将会花费相当长的时间。容易被发觉，并且很容易被过滤掉。共五十二页利用TCP全扫描(somio)进行端口扫描（续）关键函数：connect尝试与目标端口建立连接，若返回(fnhu)SOCKET_ERROR则表示目标端口关闭，否则目标端口开放。参数int mysocket;struct sockaddr_in serAddr;connect(mysocket, (sockaddr *)&serAddr, sizeof(sockaddr)共五十二页利用(lyng)TCP全扫描进行端口扫描（续）参考(cnko)流程示例共五十二页漏洞(ludng)扫描漏洞扫描是一种网络安全扫描技术，它基于

9、局域网或Internet远程检测目标网络或主机安全性通过漏洞扫描，系统管理员能够发现所维护的Web服务器的各种( zhn)TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。漏洞扫描技术采用积极的、非破坏性的办法来检验系统是否含有安全漏洞网络安全扫描技术与防火墙、安全监控系统互相配合使用，能够为网络提供很高的安全性。共五十二页漏洞(ludng)扫描（续）漏洞扫描分为利用(lyng)漏洞库的漏洞扫描和利用(lyng)模拟攻击的漏洞扫描利用漏洞库的漏洞扫描包括：CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描和HTTP漏洞扫描等

10、。利用模拟攻击的漏洞扫描包括：Unicode遍历目录漏洞探测、FTP弱口令探测、OPENRelay邮件转发漏洞探测等。典型的工具：X-Scan 和 FTP-Scan 等。共五十二页2.3 查点(chdin)通过扫描，入侵者掌握了目标系统所使用的操作系统，下一步工作是查点(chdin)。查点就是搜索特定系统上用户和用户组名、路由表、SNMP信息、共享资源、服务程序及旗标等信息。查点所采用的技术依操作系统而定：在Windows系统上主要采用的技术有“查点NetBIOS”线路、空会话（Null Session）、SNMP代理、活动目录（Active Directory）等；在UNIX系统上采用的技术

11、有RPC查点、NIS查点、NFS查点及SNMP查点等。共五十二页2.4 获取(huq)访问权在搜集到目标系统(xtng)的足够信息后，下一步要完成的工作是得到目标系统的访问权进而完成对目标系统的入侵。对于Windows系统采用的主要技术有：NetBIOS SMB密码猜测（包括手工及字典猜测）、窃听LM及NTLM认证散列、攻击IIS Web服务器及远程缓冲区溢出。UNIX系统采用的主要技术有：蛮力密码攻击；密码窃听；通过向某个活动的服务发送精心构造的数据，以产生攻击者所希望的结果的数据驱动式攻击(例如缓冲区溢出、输入验证、字典攻击等)；RPC攻击；NFS攻击以及针对X-Windows系统的攻击等

12、。共五十二页2.5 权限(qunxin)提升一旦攻击者通过前面4步获得了系统上任意普通用户的访问权限后，攻击者就会试图将普通用户权限提升至超级用户权限，以便完成对系统的完全(wnqun)控制。这种从一个较低权限开始，通过各种攻击手段得到较高权限的过程称为权限提升。权限提升所采取的技术有：通过得到的密码文件，利用现有工具软件，破解系统上其他用户名及口令；利用不同操作系统及服务的漏洞（例如Windows 2000 NetDDE漏洞），利用管理员不正确的系统配置等。共五十二页2.6 窃取(qiq)一旦攻击者得到了系统的完全控制权，接下来将完成的工作(gngzu)是窃取，即进行一些敏感数据的篡改、添加

13、、删除及复制（例如Windows系统的注册表、UNIX系统的rhost文件等）。通过对敏感数据的分析，为进一步攻击应用系统做准备。共五十二页2.7 掩盖(yngi)跟踪一旦黑客入侵系统，会留下痕迹。因此，黑客需要做的首要工作就是清除所有入侵痕迹，避免自己被检测出来，以便能够随时返回被入侵系统继续干坏事或作为入侵其他系统的中继跳板。掩盖踪迹的主要工作有：禁止系统审计、清空事件日志、隐藏作案工具及使用人们称为rootkit的工具组替换那些常用(chn yn)的操作系统命令。共五十二页2.8 创建(chungjin)后门黑客最后常在受害系统上创建一些后门及陷阱，以便以后重新攻击系统，并能以特权用户的

14、身份控制整个系统。创建后门的主要方法有：创建具有特权用户权限的虚假用户账号、安装批处理、安装远程控制工具、使用木马程序替换系统程序、安装监控机制(jzh)及感染启动文件等。共五十二页2.9 拒绝服务攻击(gngj)如果黑客未能成功地完成第四步的获取访问权，那么他们可能采取的手段(shudun)便是进行拒绝服务攻击：即使用精心准备好的漏洞代码攻击系统使目标服务器资源耗尽或资源过载，以致于没有能力再向外提供服务。攻击所采用的技术主要是利用协议漏洞及不同系统实现的漏洞。共五十二页3. 常用(chn yn)黑客技术目前，在实施网络攻击中，黑客所使用的入侵技术主要包括以下几种：协议漏洞(ludng)渗透

15、；密码分析还原；应用漏洞分析与渗透；社会工程学；拒绝服务攻击；病毒或后门攻击。可见，黑客的技术范围很广，涉及网络协议解析、源码安全性分析、密码强度分析和社会工程学等多个不同的学科。共五十二页3.1 协议(xiy)漏洞渗透网络中包含着种类繁多但层次清晰的网络协议规范，这些协议规范是网络运行的基本准则。但对于部分底层网络协议来说，对于安全的考虑有着先天的不足，部分网络协议具有严重的安全漏洞。通过对网络标准协议的分析，黑客可以从中总结出针对协议的攻击过程，利用协议的漏洞实现对目标网络的攻击。这些技术主要包括(boku)：1、会话侦听（Sniffer）与劫持技术2、地址欺骗技术共五十二页会话(huhu

16、)侦听网络数据包的截获网络数据包的截获是黑客攻击的主要手段之一，也是基于网络的入侵检测（N-IDS）技术的工作基石。根据网络类型的不同，网络数据截获可以(ky)通过两种方法实现：一种是利用以太网络的广播特性，另一种是通过设置路由器的监听端口或者是镜像端口来实现。共五十二页会话侦听以太网环境下的数据(shj)截获以太网数据传输是通过广播(gungb)传输媒体实现但是在系统正常工作时，应用程序只能接收到以本主机为目标主机的数据包，其他数据包将被网卡丢弃不作处理。要截获到流经网卡的不属于自己主机的数据，必须绕过系统正常工作的处理机制，直接访问网络底层：1）首先将网卡工作模式置于混杂（promiscu

17、ous）模式，使之可以接收目标MAC地址不是本机MAC地址的数据包。2）然后直接访问数据链路层，截获相关数据，由应用程序而非上层协议如IP和TCP协议对数据进行过滤处理，这样就可以截获到流经网卡的所有数据。共五十二页一个(y )Linux环境下的数据包截获示例1 #include stdio.h2 #include sys/socket.h3 #include socketbits.h4 #include sys/ioctl.h5 #include net/if.h6 #include netinet/in.h7 #include arpa/inet.h8 #include unistd.h9

18、 #include headers.h/*Prototype area*/10 int Open_Raw_Socket (void);11 int Set_Promisc (char *interface, int sock);12 int main () 13 int sock, bytes_recieved, fromlen;14 char buffer65535;15 struct sockaddr_in from;16 struct ip *ip;17 struct tcp *tcp;18 sock = Open_Raw_Socket (); -打开(d ki)原始套接字共五十二页19

19、 Set_Promisc (INTERFACE, sock); -设置网卡为“杂凑”模式20 while (1) fromlen = sizeof(from);bytes_recieved = recvfrom (sock, buffer, sizeof(buffer), 0, (struct sockaddr *)&from, &fromlen);printf (nBytes received: %5dn,bytes_recieved);printf (Source address: %sn,inet_ntoa(from.sin_addr);ip = (struct ip *)buffer;

20、if (ip-ip_protocol = 6) printf (IP header length: %dn,ip-ip_length); printf (Protocol: %dn,ip-ip_protocol); tcp = (struct tcp *)(buffer + (4*ip-ip_length); printf (Source port: %dn,ntohs (tcp-tcp_source_port); printf (Dest port : %dn,ntohs (tcp-tcp_dest_port); int Open_Raw_Socket () -打开(d ki)原始套接字函数

21、 int sock; if (sock = socket (AF_INET, SOCK_RAW, IPPROTO_TCP) 0) perror (The raw socket was not created); exit (0); ; return (sock); 共五十二页-设置(shzh)杂凑模式int Set_Promisc (char *interface, int sock) struct ifreq ifr; strncpy (ifr.ifr_name, interface,strnlen(interface)+1); if (ioctl (sock, SIOCGIFFLAGS,

22、&ifr) =-1) perror (Could not retrive flags for the interface); exit (0); printf (The interface is: %sn, interface); perror (Retrieved flags from interface successfully); ifr.ifr_flags |= IFF_PROMISC; if (ioctl (sock, SIOCSIFFLAGS, &ifr) =-1) perror (Could not set the PROMISC flag:); exit (0); printf

23、 (Setting interface %s: to promisc, interface); return (0);共五十二页一个Linux环境下的数据包截获(jihu)示例上述(shngsh)程序的工作主流程如下： 1） 在18行调用Open_Raw_Socket（），获得可直接访问IP层数据包的SOCK_RAW类型套接字设备句柄。2） 在19行调用Set_Promisc（），将指定的网络接口设置为混杂模式。3） 进入主循环，打印所截获的网络数据包的相关信息，例如IP地址和TCP端口等。不同的操作系统提供的接口功能并不相同，因此直接采用套接字设备的编程代码在不同系统平台上不能通用。共五十二

24、页会话(huhu)侦听 Libpcap 库解决这一问题的办法之一是使用由美国(mi u)洛仑兹伯克利国家实验室所编写的专用于数据包截获功能的API函数库Libpcap。Libpcap库函数对上层程序屏蔽了底层系统的不同数据包截获方法，提供了统一的编程接口，使得采用该编程接口的数据包截获模块可以方便地在不同平台上进行移植。共五十二页Libpcap 库（续）LibCap所提供的若干函数接口：1） pcap_open_live(): 用来获得一个数据截获描述符，该描述符用于查看在网络上传输的数据包。2）pcap_stats(): 用来返回相关的状态参数。3）pcap_read(): 用于读取底层数据

25、包过滤机制缓冲区中的数据包，并对每个数据包用参数所设定(sh dn)的回调（Callback）函数进行处理。4）pcap_setfilter(): 用于设定一个过滤器程序。5）pcap_close(): 关闭相关的文件并释放对应资源。共五十二页Libpcap 库（续）Libpcap库函数支持数据包过滤机制，即著名的伯克利数据包过滤器（BPF），它是一种用于UNIX的内核数据包过滤体制。当一个数据包到达网络接口设备时，链路层设备驱动器通常把它传送给系统协议堆栈进行处理(chl)，但是，当BPF也在该网络接口上监听时，驱动器将会首先调用BPF。共五十二页Libpcap结构(jigu)共五十二页会话

26、(huhu)侦听 Winpcap库WIN32平台不提供直接的网络底层访问接口，必须通过虚拟设备驱动程序（VxD）实现网络数据包的截获功能，对应于Libpcap库的Windows版本是Winpcap库。Winpcap架构包括3个模块：1）NPF: 是一个虚拟设备驱动程序文件，它的功能是过滤数据包，并把数据包传递(chund)给用户态模块，这个过程中包括了一些操作系统所特有的代码。2）Packet.dll: 该动态链接库为WIN 32平台提供了一个公共的接口。3）Wipcap.dll: 该动态链接库提供了一个不依赖于操作系统类型的高层接口库，它提供了更加高层、抽象的函数。共五十二页Winpcap架

27、构(ji u)共五十二页Winpcap主要(zhyo)函数 1、pcap_findalldevs函数(hnsh) 2、pcap_freealldevs函数3、pcap_open_live函数4、pcap_next_ex函数5、pcap_loop函数6、pcap_setfilter函数7、pcap_compile函数8、pcap_close函数共五十二页Winpcap包捕获一般流程参考代码：实验(shyn)平台中的 PcapApp.cpp共五十二页会话侦听交换网络环境(hunjng)下的数据截获在实际的网络环境中，许多网络采取了交换运行环境（例如交换机、路由器等），此时传输媒体不再具备(jbi)

28、广播特性，所以不能够单凭设置网络接口的混杂模式来截获所有的数据包。常用的方法是利用交换机或者路由器上设置的监听端口或者镜像端口。实际工作中，采用镜像端口的方法常碰到两个问题： 1）随着交换带宽的不断增长，并非所有的网络流量都会反映在镜像端口上。2）并非所有的交换设备都提供类似的镜像端口。共五十二页3.2 密码分析(fnx)还原为了保证数据(shj)的安全性，现在通常的方法是对数据(shj)进行加密，防止可疑的截取行为造成的信息泄漏。根据分析的出发点不同，密码分析还原技术主要分为密码还原技术和密码猜测技术。对于网络上通用的标准加密算法来说，攻击这类具有很高强度加密算法的手段通常是使用后一种技术。

29、共五十二页密码(m m)分析还原（续）1、密码还原技术密码还原技术主要针对的是强度较低的加密算法。通过对加密过程的分析，从加密算法中找出算法的薄弱环节，从加密样本中直接分析出相关的密钥和明文。对于目前网络上通行的标准加密算法来说，从理论和实践(shjin)中还没出现对应的密码还原过程，因此密码还原技术的使用并不多。 2、密码猜测技术密码猜测技术的原理主要是利用穷举的方法猜测可能的明文密码，将猜测的明文经过加密后与实际的密文进行比较，如果所猜测的密文与实际的密文相符，则表明密码攻击成功。从理论上讲，密码猜测的破解过程需要一段很长的时间，而实际上，应用密码猜测技术实现对系统的攻击是目前最为有效的攻

30、击方式。共五十二页3.3 应用漏洞(ludng)分析与渗透任何的应用程序都不可避免地存在着一些逻辑漏洞，这一点，对于安全隐患也同样适用。在这方面操作系统也不例外，几乎每天都有人宣布发现了某个操作系统的安全漏洞，这些安全漏洞也就成为了入侵者的攻击对象。通过对这些安全漏洞的分析，确认漏洞的引发方式以及引发后对系统造成的影响，攻击者可以使用合适的攻击程序引发漏洞的启动，破坏整个服务系统的运行过程，进而渗透到服务系统中，造成目标网络的损失。应用漏洞从错误类型(lixng)上主要包括服务流程漏洞和边界条件漏洞。共五十二页应用漏洞分析(fnx)与渗透（续）1.服务流程(lichng)漏洞服务流程漏洞指服务

31、程序在运行处理过程中，由于流程次序的颠倒或对意外条件的处理的随意性，造成用户有可能通过特殊类型的访问绕过安全控制部分或使服务进入到异常的运行状态。2.边界条件漏洞边界条件漏洞则主要针对服务程序中存在的边界处理不严谨的情况。共五十二页3.4 社会(shhu)工程学社会工程学与黑客使用的其他技术具有很大的差别，它所研究的对象不是严谨的计算机技术，而是目标网络的人员。社会工程学主要是利用说服或欺骗的方法来获得对信息系统的访问，这种说服和欺骗通常是通过和人交流或其他互动方式实现的。简单地说，社会工程学就是黑客对人类天性趋于信任倾向的聪明利用，人类那种天生(tinshng)愿意相信其他人的说辞的倾向让大

32、多数人容易被这种手段所利用。共五十二页社会(shhu)工程学（续）可以从两个层次来对社会工程学类的攻击进行分析：物理上的和心理上的。物理分析物理上，入侵发生的物理地点(ddin)可以是工作区、电话、目标企业垃圾堆，甚至是在网上（通过虚假的网页或电子邮件等）。心理分析除了物理手段以外，黑客也可能充分利用用户的心理，从心理学角度进行社会工程学式的攻击。基本的说服手段包括扮演、讨好、同情、拉关系等。共五十二页3.5 恶意( y)拒绝服务攻击拒绝服务攻击（ DoS）最主要的目的是造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。这样的入侵对于(duy)服务器来说可能并不会造成损害，但可以造成人们对被攻击服务器所提供服务的信任度下降，影响公司的声誉以及用户对网络服务的使用。这类攻击主要还是利用网络协议的一些薄弱环节，通过发送大量无效请求数据包造成服务器进程