网络安全与黑客入侵技术概述

1、网络安全与黑客入侵技术概述安全问题综述黑客攻击研究常见的攻击类型分析常见问题结束语报告内容提要：系统安全信息安全文化安全文化安全：作用点：有害信息的传播对我国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。外显行为：黄色、反动信息泛滥，敌对的意识形态信息涌入，互联网被利用作为串联工具，传播迅速，影响范围广。防范措施：设置因特网关，监测、控管。文化安全：作用点：对所处理的信息机密性与完整性的威胁，主要表现在加密方面。外显行为：窃取信息，篡改信息，冒充信息，信息抵赖。防范措施：加密，认证，数字签名，完整性技术（VPN)信息安全：信息安全：信息窃取信息传递信息冒充信息篡改信息抵赖加密技术完整性技

2、术认证技术数字签名作用点：对计算机网络与计算机系统可用性的威胁，主要表现在访问控制方面。外显行为：网络被阻塞，黑客行为，计算机病毒等，使得依赖于信息系统的管理或控制体系陷于瘫痪。防范措施：防止入侵，检测入侵，抵抗入侵，系统恢复。系统安全：因特网网络对国民经济的影响在加强安全漏洞危害在增大信息对抗的威胁在增加研究安全漏洞以防之因特网电力交通通讯控制广播工业金融医疗研究攻防技术以阻之系统安全：防火墙第一道防线，阻止入侵入侵监测第二道防线，发现入侵加固系统第三道防线，抵抗入侵自动恢复第四道防线，起死回生系统安全：安全问题综述黑客攻击研究常见的攻击类型分析常见问题结束语报告内容提要：网络上存在的问题：

3、 网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫 “黑客”在网上的攻击活动每年以十倍速增长。 修改网页进行恶作剧、窃取网上信息兴风作浪。 非法进入主机破坏程序、阻塞用户、窃取密码。 串入银行网络转移金钱、进行电子邮件骚扰。美国每年因黑客而造成的经济损失近百亿美元他们利用网络安全的脆弱性，无孔不入。黑客的破坏： 网络硬件设备的后门 网络软件产品的后门 网络安全产品的问题：嵌入式固件病毒安全产品的隐蔽性通道可恢复性密钥的密码 系统运行平台的安全性问题外来安全设备的隐患：黑客？发布网络漏洞的网站：SANSCERTCOASTOther subs

4、cription listsNTBUGTRAQBUGTRAQDC-STUFF中国的相关网站：绿色兵团 中国网络安全响应中心中科网威大量的病毒安全厂商的网站黑客入侵方式：攻击的三个阶段 寻找目标，收集信息(nessus) 获得初始的访问控制权与特权 攻击其他系统典型步骤： 扫描内部信息：获知提供何种服务, 那种服务可用以及相关的配置信息. 开放的端口 利用系统已知的漏洞：通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。如果得到了普通用户的权限就会进一步发掘 消除痕迹留下后门： 黑客已经获得了系统的控制，会尽量清除痕迹，放置木马、新建账号等，系

5、统完整性检查可以发现这种情况。需要注意的问题： 网络的开放性使得攻击来自各个地方 内外部的攻击同时存在 黑客工具的开放性使得问题变的严重 攻击没有针对性，但是涉及面很广端口扫描httpftptelnetsmtp攻击过程示例：口令暴力攻击用户名:john口令:john1234攻击过程示例：攻击过程示例：用john登录服务器利用漏洞获得超级用户权限留后门隐藏用户更改主页信息选中攻击目标获取普通用户权限擦除入侵痕迹安装后门获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动典型攻击示意图： ping，fping 判断主机死活 tcp/udp scan 结合常规服务约定，根据端口判断提供服务 o

6、s indentify 发送奇怪的tcp包, 不同的操作系统反应不同，queso,nmap Account scans 利用Email，finger等工具获得系统账号消息（用户名、最后一次登陆时间）常用工具：缺陷扫描Root compromise: pop3d停止 syslogd , 修改/etc/inetd.conf, 激活 telnet, ftp, 替换以下程序/bin/login 、/bin/ps 、/usr/bin/du 、/bin/ls 、/bin/netstat安装窃听程序 sniffer : /usr/.sniffit重新启动 syslogd ,关闭pop3d删除日志记录 wtm

7、p、wtp、message、syslog典型攻击：安全问题综述黑客攻击研究常见的攻击类型分析常见问题结束语报告内容提要： 黑客攻击 路由攻击 口令攻击 逻辑炸弹 特洛伊木马常见攻击分析： 陷门、隐蔽通道 信息丢失、篡改、销毁 内部、外部泄密 计算机病毒 拒绝服务攻击（ DOS ） 电子欺骗（Spoofing）口令攻击分析： Unix password 文件 的暴力破解口令 一般将生日作为密码 简单的单词 使用同一个密码作为所有的密码 被有意留心的人窃取口令攻击软件 John： 这个软件由著名的黑客组织-UCF出的,它支持Unix, Dos, Windows, 速度超快,可以说是目前同类中最杰出

8、的作品。 对于老式的passwd档(就是没shadow的那种,任何人能看的都可以把passwd 密文存下来),John可以直接读取并用 字典穷举击破。 对于现代的 passwd + shadow的方式, John提供了UNSHADOW程序直接把两者合成出老式passwd文 件。其它软件： 破解WINDOWS 开机密码 破解邮件密码 网络密码 逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。逻辑炸弹： 特洛伊木马是其内部隐藏了某种隐蔽功能的程序，并不传染，但设计者可利用其

9、隐藏的功能达到目的，如寻找网络上的漏洞或窃取某些信息。特洛伊木马： 蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫可以修改、删除别的程序，但它也可以通过疯狂的自我复制来占尽网络资源，从而使网络瘫痪。蠕虫： 信息在传输过程中丢失； 信息在存储过程中丢失； 改变信息流的次序、时序、流向； 未授权篡改、销毁信息内容。信息丢失、篡改、销毁： 内部涉密人员有意无意泄密； 内部非授权人员有意偷窃机密信息； 外部人员使用高性能协议分析器、信道监测设备对传输信息进行分析； 外部人员窃取计算机系统的操作密码； 外部人员破解系统的核心密码； 外部人员窃取用户的授权密码

10、。内、外部泄密： 计算机病毒 拒绝服务攻击（DOS） 电子欺骗其它攻击：WinNuke攻击原理 当Windows NT和Windows95系统的某些端口，如139号NetBIOS端口，接收到Out-of-Band数据时，系统不能正确地处理这些数据，造成系统的死机。网络攻击举例：网络攻击举例：LAND攻击原理 当对113或139号端口发送一个伪造的SYN报文时，如果报文中的源端主机的IP地址和端口与目的主机的IP地址和端口相同，例如从:139发送到:139，这时目标主机将会死机。攻击者InternetCode目标2欺骗性的 IP 包源地址 2 Port 139目的地址 2 Port 139TCP

11、 OpenG. Mark HardyLand攻击：攻击者InternetCode目标2 IP包欺骗源地址 2 Port 139目的地址 2 Port 139包被送回它自己崩溃G. Mark HardyLand攻击：攻击者InternetCode目标2IP包欺骗源地址 2 Port 139目标地址 2 Port 139TCP Open数据包被丢弃！防火墙防火墙把有危险的包阻隔在网络外G. Mark Hardy防护Land攻击：网络攻击举例：UDP攻击 UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个

12、网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪。网络攻击举例：TCP/SYN 攻击TCP的连接阶段，发SYN包，要求连接伪造地址消耗主机资源攻击者InternetCode目标欺骗性的 IP 包源地址不存在目标地址是 TCP OpenG. Mark HardySYN Flood：SYN Flood：攻击者InternetCode目标同步应答响应源地址 目标地址不存在TCP ACK崩溃G. Mark Hardy第一步：攻击者向被利用网络A的广播地址发送一个ICMP 协议的echo请求数据报，该数据报源地址被伪造成第二步：网络A上的所有主机都向该伪造的源地址返回一个echo响应，造成该主机

13、服务中断。Smuff 攻击：网络攻击举例：ICMP/PING 攻击原理 ICMP/PING攻击是利用一些系统不能接受超大的IP包或需要资源处理这一特性。如在Linux下输入Ping -t 66510 IP（未打补丁的Win95/98的机器），机器就会瘫痪。网络攻击举例：ICMP/SMURF 攻击原理 ICMP/SMURF攻击利用的是网络广播的原理来发送大量的地址，而包的源地址就是要攻击的机器本身的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包。网络攻击举例：TARGA3 攻击 (IP 堆栈突破) TARGA3 攻击的基本原理是发送TCP/UDP/ICMP的碎片包，其大小、

14、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不规范数据包，便会使其TCP/IP堆栈出现崩溃，从而导致无法继续响应网络请求（即拒绝服务）。DoS 攻击land , teardrop, SYN floodICMP : smurfRouter: remote reset , UDP port 7, Windows: Port 135, 137,139(OOB), terminal serverSolaris :Linux:其他. 网络攻击举例：以破坏系统或网络的可用性为目标常用的工具：Trin00, TFN/TFN2K, Stacheldraht很难防范伪造源地址，流量加密

15、，因此很难跟踪clienttargethandler.agent.DoSICMP Flood / SYN Flood / UDP FloodDDOS 攻击：DDOS攻击的效果 由于整个过程是自动化的，攻击者能够在十几秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。DDOS 攻击： 确保主机不被入侵且是安全的； 周期性审核系统； 检查文件完整性； 优化路由和网络结构； 优化对外开放访问的主机； 在网络上建立一个过滤器在攻击信息到达网站服务器之前阻挡攻

16、击信息。DDOS 攻击的预防： 如何增强自身的隐蔽性和攻击能力； 采用加密通讯通道、ICMP协议等方法避开防火墙的检测； 采用对自身进行数字签名等方法研究自毁机制，在被非攻击者自己使用时自行消毁拒绝服务攻击数据包，以消除证据。DDOS 攻击的发展趋势： 攻击UNIX获取完全的存取能力 缓冲区溢出利用软件错误来覆盖内存段 导致程序崩溃而给攻击者留下超级用户(root)的权限 问题： 不知道攻击者可能发现什么新的可利用途径。 解决方案: 入侵探测软件能实时辨认权限变更并采取行动。缓冲区溢出：后门程序： BO、netbus Service/Daemon 冰河其他 改变登录程序到一个后门程序 后门象正

17、常的登录程序一样的工作，但它捕获用户口令 能使用与其它系统相类似的技术 问题: 由于后门象正常的登录程序一样的工作，因此用户不能辨别出来。 解决方案: 使用工具来主动监视关键文件以获取被纂改的迹象后门程序：后门例子：后门例子：L0phtcrack实证攻击程序允许入侵者从整个系统中偷取口令!Specify a computerThe intruder uses l0PHT Crack to dump all passwords from the NT Registryl0PHT Crack dumps the password files . . . . . The intruder opens

18、 a word dictionary(usually a pretty comprehensive list) . . . . . And runs the crack!Ouch!So much for network security!G. Mark Hardy安全问题综述黑客攻击研究常见的攻击类型分析常见问题结束语报告内容提要： 安全策略：没有明确的安全管理策略 管理问题：管理规章制度、策略、负责人、落实 操作系统安装后使用缺省配置，不打补丁，运行许多不必要的服务；99%以上的入侵是可以通过系统配置来防范的； 用户安全意识 网络拓扑结构 安全工具的使用安全建议： 多种服务安装在同一服务器上，DNS/Mail/Web/ FTP 公用服务器用户口令过于简单，uid: stud? / Pwd:1