网络攻击原理与技术解析课件

网络与系统攻击技术李洪伟hongweili@网络与系统攻击技术李洪伟课程信息学时数：32（上课16，上机16）

考核方式

平时考核：包括出席情况和平时作业（10分）实验：8次实验的成绩（25分）期末考核：闭卷考试成绩（65分）2课程信息学时数：32（上课16，上机16）2第一章网络攻击原理与技术3第一章3内容要点网络攻击历史1网络攻击目标2网络攻击分类3网络攻击模型44内容要点网络攻击历史1网络攻击目标2网络攻击分类3网络攻击模1.1网络攻击历史(1)挥之不去的阴霾—网络攻击史网络史上第一宗黑客入侵:1988年,美国康乃尔大学一位叫作Robert-Morris的研究生设计出的一套网络安全性测试程序出了差错，结果包括NASA、美国国家实验室、犹他州立大学等等在内，超过6000台的网络主机遭到破坏而瘫痪。净损失一千多万美元。51.1网络攻击历史(1)挥之不去的阴霾—网络攻击史51.1网络攻击历史(2)1986年Basit和Amjad两兄弟编写的Pakistan病毒（brain)。1988年美国康乃尔大学Morris编制的蠕虫病毒通过英特网传播1996年8月17日，美国司法部网页被改为“不公正部”1996年9月18日，“中央情报局”“中央愚蠢局”1996年12月，黑客侵入美国空军的全球网网址并将其主页肆意改动，迫使美国国防部一度关闭了其他80多个军方网址。1998年10月27日，刚刚开通的“中国人权研究会”网页，被“黑客”严重纂改。2000年春节期间黑客攻击以Yahoo和新浪等为代表的国内外著名网站,造成重大经济损失。E-mail侵权案件、泄密事件不断。61.1网络攻击历史(2)1986年Basit和Amjad1.1网络攻击历史(3)2010年安全威胁预测报告

“虚拟化、云计算以及互联网基础架构改变将扩大网络犯罪活动范围”(1)云计算与虚拟化能够带来可观的效益、节省大量成本，但将服务器迁移至传统信息安全边界之外，也扩大了网络犯罪者的活动范围。2009年11月发生如Danger/Sidekick因为云端服务器故障而导致大规模的数据服务中断，让业界见识到网络犯罪者对云计算可能造成的风险。网络犯罪者可能的做法，将不再去攻击用户的电脑，而是直接攻击数据中心与云端本身。71.1网络攻击历史(3)2010年安全威胁预测报告71.1网络攻击历史(4)(2)安全威胁形势已经改变，全球性的疫情爆发已不复见，例如：Slammer（蓝宝石）和CodeRed（红色代码）。甚至在2008年与2009年初广受瞩目的Conficker事件，也不算真正的全球性疫情，而是精心策划的共同攻击。未来，区域性与锁定对象的攻击，在数量与精密度上势必持续升高。81.1网络攻击历史(4)(2)安全威胁形势已经改变，全球性1.1网络攻击历史(5)(3)目前，由因特网工程工作小组(InternetEngineeringTaskForce)所设计的「新一代」因特网标准IPv6(InternetProtocolv.6)目前仍处于实验阶段，这套标准未来将取代已有二十年的历史的IPv4。随着使用者开始探索IPv6，网络犯罪者也将跃跃欲试，新的一年将会出现一些针对IPv6的概念验证攻击。可能遭到滥用的功能包括新的命令与控制(C&C)手段在内。不过应该还不会锁定IPv6地址空间，至少在短期内不会。91.1网络攻击历史(5)(3)目前，由因特网工程工作小组1.2网络攻击目标(1)1.信息保密性网络信息拦截社交工程数据推理网络监听101.2网络攻击目标(1)101.2网络攻击目标(2)2.信息完整性身份认证攻击会话劫持程序异常输入3.服务可用性消耗网络带宽消耗磁盘空间消耗CPU资源和内存资源4.运行可控性网络蠕虫垃圾邮件111.2网络攻击目标(2)2.信息完整性111.3网络攻击分类(1)在最高层次，攻击可分为两类：主动攻击包含攻击者访问他所需信息的故意行为，如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。被动攻击被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动很难觉察到。被动攻击包括嗅探、信息收集等攻击方法。121.3网络攻击分类(1)在最高层次，攻击可分为两类：121.3网络攻击分类(2)七种分类方法：基于攻击术语分类基于攻击种类分类基于攻击效果分类基于弱点分类矩阵基于攻击过程分类基于多维角度分类基于攻击步骤分类131.3网络攻击分类(2)七种分类方法：131.3.1基于攻击术语分类Cohen分类：特洛伊木马制造漏洞伪造网络包检测伪造人名伪造访问社交工程非法值插入口令猜测…

Icove分类：窃听隧道陷门伪造潜入软件盗版隐藏信道特洛伊木马未授权复制数据…

分类不清唽，不相互排斥141.3.1基于攻击术语分类Cohen分类：Icove分类：1.3.2基于攻击种类分类窃取口令协议失效社交工程信息泄漏错误和后门拒绝服务认证失败提供了某种结构，但仍不清晰151.3.2基于攻击种类分类窃取口令提供了某种结构，但仍不清1.3.3基于攻击效果分类Russell和Gangemi分类：针对秘密和机密性的攻击针对准确性、完整性、授权性的攻击针对可用性的攻击列表方法的变体161.3.3基于攻击效果分类Russell和Gangemi分类1.3.4基于弱点分类矩阵

攻击者攻击效果操作员程序员数据录入员内部用户外部用户物理破坏电源短路信息破坏删除磁盘恶意软件恶意软件数据欺骗恶意软件伪造数据入口窃取服务窃取用户帐号未授权操作拨号浏览信息窃取介质未授权操作拨号窃取信息未授权操作访问拨号171.3.4基于弱点分类矩阵攻击者操作员程序员1.3.5基于攻击过程分类中断Interruption拦截Block篡改Modiification拦截侦听Interception伪造Fabrication181.3.5基于攻击过程分类中断Interruption11.3.6基于多维角度分类攻击者及其目标攻击访问攻击效果攻击工具集191.3.6基于多维角度分类攻击者及其目标19采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的入侵系统的常用步骤1.3.7基于攻击步骤分类20采用选择获取提安装获取敏感信息入侵系统的常用步骤1.3.7端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途较高明的入侵步骤21端口判断选择分析获取提安装清除攻击其获取敏作为其较高明的入侵2001年中美黑客大战事件背景和经过4.1撞机事件为导火线4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道，评论，5月中旬结束大战222001年中美黑客大战事件背景和经过22PoizonB0x、pr0phet更改的网页中经网数据有限公司中国科学院心理研究所国内某政府网站国内某大型商业网站23PoizonB0x、pr0phet更改的网页中经网数据有限公国内黑客组织更改的网站页面美国劳工部网站美国某节点网站美国某大型商业网站美国某政府网站24国内黑客组织更改的网站页面美国劳工部网站美国某节点网站美国某这次事件中采用的常用攻击手法红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统，这个行动在技术上是没有任何炫耀和炒作的价值的。”主要采用当时流行的系统漏洞进行攻击25这次事件中采用的常用攻击手法红客联盟负责人在5月9日网上记者这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码

Unicode编码可穿越firewall,执行黑客指令

ASP源代码泄露可远程连接的数据库用户名和密码

SQLserver缺省安装微软Windows2000登录验证机制可被绕过

Bind远程溢出，Lion蠕虫

SUNrpc.sadmind远程溢出，sadmin/IIS蠕虫Wu-Ftpd格式字符串错误远程安全漏洞拒绝服务(syn-flood,ping)26这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码27这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和这次事件中被利用的典型漏洞Windows2000登录验证机制可被绕过28这次事件中被利用的典型漏洞Windows2000登录验证机1.4网络攻击模型攻击隐藏信息收集弱点探测权限获取行为隐藏攻击设施后门安装痕迹清除291.4网络攻击模型攻击隐藏信息收集弱点探测权限获取行为隐藏【信息搜集】找到初始信息开放来源信息（opensourceinformation）Whois和Nslookup

找到网络的地址范围AmericaRegistryforInternetNumbers(ARIN)whoisTraceroute

找到活动的机器Ping、Pingwar和Nmap找到开放端口和入口点PortScannersTCPconntect扫描、TCPSYN扫描FIN扫描、ACK扫描WarDialing30【信息搜集】找到初始信息303131【信息搜集】弄清操作系统Queso和Nmap弄清每个端口运行的是哪种服务defaultportandOSTelnetVulnerabilityScanners

画出网络图TracerouteVisualPingCheops32【信息搜集】弄清操作系统32【保留访问权限】后门（BackDoor）简单地说，后门（backdoor）就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。最简单的方法就是打开一个被监听代理所监听的端口。特洛伊木马特洛伊木马程序包括两个部分：一个外壳程序和一个内核程序。外壳程序就是每个人都可以看得到的部分。这部分必须是非常有趣或者是让人激动的，以至于当人们看到它的时候都会不加考虑的运行。内核部分就是能够对系统造成危害的部分ROOTKIT文件级别系统级别（内核级）33【保留访问权限】后门（BackDoor）33【隐藏踪迹】日志文件日志文件详细记录