入侵检测技术课件：第2章（补充）入侵手段与方法

入侵方法与手段1第2章入侵方法与手段入侵方法与手段:黑客入侵模型与原理漏洞扫描口令破解拒绝服务攻击SQLInjection攻击缓冲区溢出攻击格式化字符串攻击跨站脚本攻击入侵方法与手段2黑客入侵的步骤确定目标信息收集攻击网络攻击系统留下后门漏洞挖掘清除日志结束攻击入侵方法与手段32.1

信息收集概述什么是信息收集？信息收集是指——黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标的所有探测活动信息收集的内容是什么？哪些信息对攻击是有意义的、是攻击者（当然也是网络防卫者）所关心的？入侵方法与手段42.1信息收集概述信息收集的内容域名和IP地址操作系统类型端口或运行的服务应用程序类型防火墙、入侵检测等安全防范措施内部网络结构、域组织、路由表、SNMP信息等有关系统的细节信息入侵方法与手段52.2.1网络信息挖掘利用公用信息服务进行信息收集WEB与搜索引擎服务USENET（新闻组服务）WhoIs服务DNS（域名系统）服务入侵方法与手段6(1)WEB与搜索引擎服务目标：获取目标公司或网站的域名或网站地址直接进入目标网站或通过搜索引擎获得主页地址入侵方法与手段7(1)WEB与搜索引擎服务目标：获取目标网络拓扑结构网络拓扑图IP分配表网络设备，安全设施…………EXAMPLE入侵方法与手段8入侵方法与手段9重庆大学校园网建设项目实施方案入侵方法与手段10入侵方法与手段11入侵方法与手段12入侵方法与手段13(1)WEB与搜索引擎服务WEB与搜索引擎服务公开的网页目标域名或网站地址网络拓扑结构网络管理员公司人员名单、电话、Email…………入侵方法与手段14(1)WEB与搜索引擎服务WEB与搜索引擎服务搜索引擎GoogleBaiduYahoo搜索引擎为我们提供了在WEB检索信息的能力。能否在WEB中找到所需要的信息，关键在于能否合理地提取搜索的关键字入侵方法与手段15搜索引擎服务搜索基本指令搜索技巧+/and强制包含检索项-排除某检索项“”组合多个检索词|或.匹配任意字符*匹配任意检索词site:搜索具体服务器或域名的网页filetype:搜索以特定文件扩展名结尾的URLintitle:搜索网页标题中的词汇inurl:搜索URL中的词汇intext:搜索正文中的词汇link:搜索连接到指定网页的网页入侵方法与手段16入侵方法与手段17入侵方法与手段18如：通过搜索下面的关键词，可以找到不少不同类型的分布在世界各地的网络摄像头：

inurl:viewerframe?mode=

inurl:indexFrame.shtmlAxis

intext:"MOBOTIXM1"intext:"OpenMenu"

intitle:"WJ-NT104MainPage

入侵方法与手段19入侵方法与手段20入侵方法与手段21入侵方法与手段22搜索引擎服务GoogleHacking搜索密码文件搜索管理员后台URL搜索CGI漏洞搜索黑客留下的后门…………EXAMPLE入侵方法与手段23选择目标入侵方法与手段24下载入侵方法与手段25GoogleHacking使用数据库中的帐号口令对登录入侵方法与手段26GoogleHacking成功进入管理页面入侵方法与手段27入侵方法与手段28入侵方法与手段29入侵方法与手段30入侵方法与手段31入侵方法与手段32GoogleHackingGoogle

Hacking

的特点快速搜索引擎预先准备了大量处理好的信息以供检索准确搜索引擎做了关联性、重要性等各种过滤处理措施隐蔽搜索、查询都是通过搜索引擎的数据库进行智能搜索引擎自身的智能特性缓存保留了已经实际不存在的敏感信息第二次主题作业请给出搜索引擎在入侵中的巧妙应用。入侵方法与手段33入侵方法与手段34(2)USENET（新闻组服务）USENETUSENET使用客户/服务器的工作方式使用NNTP（NetworkNewsTransportProtocol，TCP端口119）协议来完成客户和服务器间的交互用户使用新闻阅读器(newsreader)程序阅读Usenet文章新闻组阅读器软件一般具备在新闻组文章中进行搜索的功能，可以使用关键字对文章的发件人、文章的收件人、文章的标题或是文章的内容进行搜索入侵方法与手段35WhoIs服务功能：查询已注册域名的拥有者信息域名登记人信息联系方式域名注册时间和更新时间权威DNS的IP地址使用方法：SamSpade等网络实用工具(SamSpade提供了一个友好的GUI界面，能方便地完成多种网络查询任务，开发的本意是用于追查垃圾邮件制造者，也用于其它大量的网络探测、网络管理和与安全有关的任务，包括ping、nslookup、whois、dig、traceroute、finger、rawHTTPwebbrowser、DNSzonetransfer、SMTPrelaycheck、websitesearch等工具，是一个集成的工具箱。)(3)WhoIs服务入侵方法与手段36(4)DNS（域名系统）服务DNS：提供域名到IP地址的映射权威DNS——主DNSCashe-OnlyDNS——副DNSPing入侵方法与手段37(4)DNS（域名系统）服务如，nslookup命令入侵方法与手段382.2.2IP扫描与端口扫描扫描——Scan扫描目的：查看目标网络中哪些主机是存活的（Alive）查看存活的主机运行了哪些服务WWWFTPEMAILTELNET查看主机提供的服务有无漏洞入侵方法与手段39常见的安全威胁口令破解拒绝服务（DoS）攻击缓冲区溢出攻击格式化字符串攻击特洛伊木马网络监听病毒攻击社会工程攻击入侵方法与手段40主要网络入侵攻击方法网络信息丢失、篡改、销毁内部、外部泄密拒绝服务攻击逻辑炸弹黑客攻击计算机病毒后门、隐蔽通道蠕虫特洛伊木马入侵方法与手段41口令破解自己姓名的拼音37%常用英文单词23%计算机中经常出现的单词18%自己的出生日期7%良好的密码15%入侵方法与手段42口令破解通过破解获得系统管理员口令，进而掌握服务器的控制权是黑客的一个重要手段。破解获得管理员口令的方法有很多，下面是3种最为常见的方法。(1)猜解简单口令：(2)字典攻击：(3)暴力猜解：入侵方法与手段43iOpusPasswordRecovery软件口令重现入侵方法与手段44没有采用很强的口令策略（如口令的尝试次数的限制）时，强力攻击还是很有效的。强力攻击可以通过字典加速找到不安全的口令。一些常用的不安全口令：password、secret、sex、money、love、computer、football、hello、morning、ibm、work、office、online、terminal、internet选择口令的要点是：长度要足够，数字、字母、符号都要有，字母要大小写都有，不能使用有意义的单词等等。强力口令破解入侵方法与手段45口令破解软件

JohnTheRipperL0phtCrackNtcrackCrackerJackDictionaryMakerBrutus等过程：从字典中取出一个词加密密文比较该方法比较有效，大概60%的口令会被攻破破解口令文件入侵方法与手段46Brutus可以对本机和远程主机的Windows2000操作系统的Admin管理员或其他用户口令进行穷举攻击。入侵方法与手段47远程主机口令破解成功,管理员口令为ada入侵方法与手段48拒绝服务攻击DoS1.DoS拒绝服务即DenialofService，简称DoS服务-——是指系统提供的，用户在对其使用中会受益的功能。拒绝服务（DoS）——任何对服务的干涉如果使得其可用性降低或者失去可用性均称为拒绝服务。如果一个计算机系统崩溃、或其带宽耗尽、或其硬盘填满，导致其不能提供正常的服务，就构成拒绝服务。拒绝服务攻击——是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。入侵方法与手段49拒绝服务攻击DoS2.DDoS分布式拒绝服务攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般采用一对一的方式，随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的效果不明显，攻击的难度加大了，目标系统对恶意攻击包有足够的消化处理能力。入侵方法与手段503、DOS攻击过程

(1)准备阶段，收集目标信息

(2)占领傀儡机和控制台

(3)攻击的实施入侵方法与手段514、Dos攻击的种类

(1)利用系统缺陷进行攻击非法包攻击协议缺陷攻击

(2)利用放大原理进行攻击

(3)分布式DOS攻击入侵方法与手段525、系统缺陷攻击

1)teardrop2)Land攻击

3)Pingofdeath4)循环攻击(Echo-chargen)5)SYN洪水攻击入侵方法与手段53（1）碎片攻击(teardrop)它利用Windows95、WindowsNT和Windows3.1中处理IP分片（IPfragment）的漏洞，向受害者发送偏移地址重叠的分片的UDP数据包，使得目标机器在将分片重组时出现异常错误，导致目标系统崩溃或重启入侵方法与手段54（2）LAND攻击利用TCP三次握手来进行的攻击

Land是向受害者发送TCPSYN包，而这些包的源IP地址和目的IP地址被伪造成相同的。目标主机收到这样的连接请求时会向自己发送SYN/ACK数据包，结果导致目标主机向自己发回ACK数据包并创建一个连接。大量的这样的数据包将使目标主机建立很多无效的连接，每一个这样的连接都将保留到超时，从而系统资源被大量的占用。遭遇Land攻击时，许多UNIX将崩溃，而WindowsNT会变得极其缓慢。入侵方法与手段55(3)Pingofdeath攻击向受害者发送超长的ping数据包，导致受害者系统异常根据TCP/IP规范要求，数据包的长度不得超过64K个字节，其中包括至少20字节的包头和0字节或更多字节的选项信息，其余的则为数据。而Internet控制消息协议ICMP是基于IP的，ICMP包要封装到IP包中。ICMP的头有8字节，因此，一个ICMP包的数据不能超过65535-20-8＝65507字节事实上，对于有的系统，攻击者只需向其发送载荷数据超过4000字节的ping包就可以达到目的，而不用使数据超过65507入侵方法与手段56（4）循环攻击也称为死锁或振荡攻击如：Echo-chargen攻击

Chargen(UDP端口号19)echo(UDP端口号7)echo、time、daytime和chargen的任何组合都可能构成一个循环

chargen:收到每一个数据包时随机反馈一些字符。通过伪造与某一主机的Chargen服务之间的一次UDP连接，恢复地址指向开着Echo服务的一台主机，通过将Chargen和Echo服务互指，来回传送毫无用处且占满宽带的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务攻击飞快地导致网络可用带宽耗尽。

入侵方法与手段57正常的三次握手过程SYN攻击过程(5)SYN洪水攻击入侵方法与手段586、基于放大原理的攻击一是在报文数量上放大(广播地址)

二是在包长上放大（如DNS查询）入侵方法与手段59Smurf攻击攻击者用广播的方式发送回复地址为受害者地址的ICMP请求数据包，每个收到这个数据包的主机都进行回应，大量的回复数据包发给受害者，导致受害主机崩溃。入侵方法与手段607、分布式拒绝服务攻击入侵方法与手段61sniffer(网络侦听、嗅探)sniffer类的软件能把本地网卡设置成工作在“混杂”(promiscuous)方式，使该网卡能接收所有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等嗅探软件：Windump(Windows)Tcpdump(Unix)

…第三次的主题作业请自己编写一个嗅探器，并给出运行嗅探的结果。入侵方法与手段63Ethernet网络侦听原理：网卡完成收发数据包的工作，两种接收模式

混杂模式：不管数据帧的目的地址是否与本地地址匹配，都接收下来非混杂模式只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包)入侵方法与手段64POP帐号的用户名（Ethereal）入侵方法与手段65其他攻击方法病毒攻击随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、木马和黑客攻击程序的结合，病毒攻击成为了互联网发展以来遇到的巨大挑战。社会工程攻击社会工程学其实就是一个陷阱，黑客通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密，

入侵方法与手段66SQLInjection

攻击目前，大部分应用程序的架构都采用了三层架构，都存在后台数据库，以存储大量信息。而数据库中以结构化查询语言（SQL,StructureQueryLanguage）为基础的关系数据库（RDBMS,RelationalDatabaseManagementSystem）最为流行。在应用程序中，往往采用VisualBasic等第三代语言来组织SQL语句，然后传递给后台执行，以建立、删除、查询和管理后台数据库资料。由于数据库资料非常敏感，因此利用SQL实现的渗透和信息窃取，一般危害较大。入侵方法与手段67缓冲区溢出攻击一个简单的堆栈例子example1.c:voidfunction(inta,intb,intc){

charbuffer1[5];

charbuffer2[10];

}voidmain(){function(1,2,3);}入侵方法与手段68格式化字符串攻击普通的缓冲区溢出就是利用了堆栈生长方向和数据存储方向相反的特点，用后存入的数据覆盖先前压栈的数据，一般是覆盖返回地址，从而改变程序的流程，这样子函数返回时就跳到了黑客指定的地址，就可以按照黑客意愿做任何事情了。所谓格式化串，就是在*printf()系列函数中按照一定的格式对数据进行输出，可以输出到标准输出，即prin