CISP0208安全攻击与防护-v3.0

安全攻击与防护培训机构名称培训讲师版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容2知识体知识域知识子域信息收集与分析常见攻击与防范后门设置与防范安全漏洞、恶意代码与攻防安全漏洞与恶意代码安全攻击与防护痕迹清除与防范知识域：安全攻击与防护知识子域：信息收集与分析了解信息收集与分析的作用理解快速定位、定点挖掘、漏洞查询等信息收集与分析的方法理解信息收集与分析的防范措施3安全攻击与防护4踩点定位入侵后门痕迹攻击的过程信息收集目标分析实施攻击方便再次进入打扫战场防护针对以上提到的行为了解其原理并考虑应对措施信息收集-入侵的第一步为什么要收集信息获取攻击目标大概信息为下一步攻击做准备利用收集的信息直接攻击5知己知彼，百战不殆信息收集与分析案例信息收集的概念情报学中一个领域传统的信息收集案例：著名的照片泄密案互联网时代的信息收集信息技术的发展使得数据大量被生产出来案例：明星的家庭住址6收集哪些信息目标系统的信息系统相关资料域名、网络拓扑、操作系统、应用软件相关脆弱性目标系统的组织相关资料组织架构及关联组织地理位置细节电话号码、邮件等联系方式近期重大事件员工简历其他可能令攻击者感兴趣的任何信息7公开信息收集-搜索引擎快速定位Google搜索“5sf67.jsp”可以找到存在此脚本的Web网站Google搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖掘定点采集Google搜索“.doc+website”挖掘信息隐藏信息.mdb、.ini、.txt、.old、.bak、.001……后台入口8Howtohackwebsitewithgoogle!网络信息收集-域名信息9WhoisWhois是一个标准服务，可以用来查询域名是否被注册以及注册的详细资料

Whois可以查询到的信息域名所有者域名及IP地址对应信息联系方式域名到期日期域名注册日期域名所使用的DNSServers……信息收集技术-域名与IP查询域名与IP查询─nslookup

操作系统自带命令，主要是用来查询域名名称和IP之间的对应关系网络状况查询─Ping系统自带命令，测试与远端电脑或网络设备的连接状况网络路径状况查询─tracert系统自带命令，测试与远端电脑或网络设备之间的路径10系统信息收集-服务旗标检测11FTP回显信息Web回显信息系统及应用信息收集-TCP/IP协议栈检测原理不同厂商对IP协议栈实现之间存在许多细微的差别，通过这些差别就能对目标系统的操作系统加以猜测。检测方法主动检测被动检测12原理通过端口扫描确定主机开放的端口，不同的端口对应运行着的不同的网络服务扫描方式全扫描半打开扫描隐秘扫描漏洞扫描……系统及应用信息收集-端口扫描端口测试数据包测试响应数据包我知道主机上开放的端口了13分析目标-入侵的准备为什么需要分析目标确定收集信息的准确性去除迷惑信息攻击方式及攻击路径的选择漏洞信息及攻击工具获取漏洞扫描漏洞库QQ群论坛等交互应用……1415信息收集与分析工具-扫描器网络设备漏洞扫描器CiscoAuditingTools集成化的漏洞扫描器NessusShadowSecurityScannereEye的RetinaInternetSecurityScannerGFILANguard专业web扫描软件IBMappscanAcunetixWebVulnerability数据库漏洞扫描器ISSDatabaseScanneroscanner Oracle数据库扫描器Metacoretex 数据安全审计工具信息收集与分析的防范公开信息收集防御信息展示最小化原则，不必要的信息不要发布网络信息收集防御部署网络安全设备（IDS、防火墙等）设置安全设备应对信息收集（阻止ICMP）系统及应用信息收集防御修改默认配置（旗标、端口等）减少攻击面

16严防死守！知识域：安全攻击与防护知识子域：常见攻击与防范理解默认口令攻击、字典攻击及暴力攻击的原理与防范措施理解社会工程学攻击的方法与防范措施理解IP欺骗、ARP欺骗和DNS欺骗的原理与防范措施理解SYNFlood、UDPFlood、Teardrop攻击等典型DOS/DDOS的原理与防范措施理解缓冲区溢出攻击的原理与防范措施理解SQL注入攻击的原理与防范措施理解跨站脚本攻击的原理与防范措施17利用人性懒惰-密码破解18密码破解方法暴力猜解密码破解工具密码暴力破解工具密码字典生成工具密码破解防御密码生成技巧密码管理策略暴力猜解方法一：散列值破解已知密码的散列算法及散列值的破解方法Linux密码散列值#root:$1$acQMceF9:13402:0:99999:7:::Windows密码散列值（LM-Hash）Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:::19密码明文对明文密码进行加密对比密文更换密码明文暴力猜解方法一：散列值破解获取散列值工具pwdump7.exeGetHashes.exeSAMInside.exeCain破解散列值工具JohntheRipperL0Phtcrack从网站等公开渠道得到散列值破解结果20ID:cisppsw:123456Ok,youcanlogininID:cisppsw:No,youcannotloginin112123123412345123456OK,youcanlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotloginin暴力猜解方法二：远程密码破解21密码字典-密码破解关键字典生成器根据用户规则快速生成各类密码字典攻击者常用的工具密码字典作用提高密码破解效率密码破解知识的具体体现……22密码字典是攻击者破解成功和效率的关键！密码破解安全防御设置“好”的密码自己容易记，别人不好猜系统及应用安全策略账户锁定策略随机验证码其他密码管理策略密码专用/分级，不同应用/系统/网站不同密码专用密码管理工具A、B角……23利用人性弱点-社会工程学攻击什么是社会工程学攻击利用人性弱点（本能反应、贪婪、易于信任等）进行欺骗获取利益的攻击方法社会工程学的危险永远有效的攻击方法人是最不可控的因素24人是永远的系统弱点!社会工程学利用的漏洞人性的弱点（RobertBCialdini）信任权威信任共同爱好获得好处后报答期望守信期望社会认可短缺资源的渴望……25传统社会中的社会工程学中奖通知欠费电话退税短信催交房租……26网络社会的社会工程学直接用于攻击正面攻击（直接索取）建立信任利用同情、内疚和胁迫……间接用于攻击口令破解中的社会工程学利用网络攻击中的社会工程学利用27案例一、凯文·米特尼克最擅长什么凯文·米特尼克世界著名黑客（世界第一黑客）1995年16岁时被捕入狱，2000年保释记者采访：你最擅长的技术是什么回答:社会工程学，技术会过时，只有社会工程学永远不会28凯文米特尼克所著《欺骗的艺术》案例二：“最大的计算机诈骗”过程载入吉尼斯世界纪录大全《欺骗的艺术》中的经典案例29操盘手将每天交易密码写在纸片上，贴在电脑屏幕旁攻击者看到后，伪装成银行职员（国际部麦克.汉森），要求转账伪装成电汇室人员，询问麦克.汉森，获取账号信息重新要求转账完成诈骗过程案例三：好心网管的失误30Internet攻击者网站上查询到信息：网管联系电话某处室人员名称：王强电话网管：你好，我是某某处王强，我的邮件密码忘记了，麻烦帮处理一下好的，请10分钟后登陆，我帮你把密码重置为123社会工程学防御安全意识培训知道什么是社会工程学攻击社会工程学攻击利用什么建立相应的安全响应应对措施构建完善的技术防御体系有效的安全管理体系和操作流程注意保护个人隐私保护生日、年龄、email邮件地址、手机号码、家庭电话号码等信息31利用协议的缺陷-欺骗攻击欺骗攻击（Spoofing）是指通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术32BACHello,I’mB!典型的欺骗攻击IP欺骗（IPSpoofing）ARP欺骗（ARPSpoofing）DNS欺骗（DNSSpoofing）……33电子欺骗是一类攻击方式的统称！IP欺骗的技术实现原理两台主机之间经过认证产生信任关系后，在连接过程中就不会要求严格的认证IP欺骗是一系列步骤构成的攻击34确认攻击目标使要冒充主机无法响应目标主机猜正确的序数冒充受信主机进行会话IP欺骗实现35BACSYNflood攻击

连接请求伪造B进行系列会话A的序数规则IP欺骗攻击的防范严格设置路由策略：拒绝来自网上，且声明源于本地地址的包使用最新的系统和软件，避免会话序号被猜出使用抗IP欺骗功能的产品严密监视网络，对攻击进行报警36ARP欺骗基础-Arp协议工作过程ARP协议（地址解析协议）ARP用于将IP地址解析MAC地址的协议37bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa:aaWho’sIPisWho’sIPisMACaa:aa:aa:aa:aais收到，我会缓存起来!Internet地址物理地址aa:aa:aa:aa:aaARP欺骗基础-实现特点ARP协议实现特点ARP协议特点：无状态，无需请求可以应答ARP实现：ARP缓存38ARP欺骗的实现39bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa:aaMACcc:cc:cc:cc:ccis收到，我会缓存！Internet地址物理地址cc:cc:cc:cc:ccCC:CC:CC:CC:CCHelloAA:AA:AA:AA:AAHelloARP欺骗的防御使用静态ARP缓存使用三层交换设备IP与MAC地址绑定ARP防御工具40DNS欺骗基础-DNS协议工作过程DNS（域名解析协议）用于将域名解析成IP地址41??其他DNS收到，我会缓存！我不知道，我问问其他服务器

?我的缓存中有记录，我告诉你！DNS服务器客户机客户机DNS服务器DNS欺骗实现42?我不知道，我问问其他DNS服务器OtherDNS收到，我会缓存！?我缓存中有记录，我告诉你！

攻击者DNS服务器DNS服务器客户机?Qid=22Qid=22DNS欺骗的防范DNS服务器使用新版本的DNS软件安全设置对抗DNS欺骗关闭DNS服务递归功能限制域名服务器作出响应的地址限制域名服务器作出响应的递归请求地址限制发出请求的地址应用服务器用户自主标识43利用系统缺陷-拒绝服务攻击什么是拒绝服务拒绝服务式攻击(DenialofService)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。拒绝服务攻击方式利用系统、协议或服务的漏洞利用TCP协议实现缺陷利用操作系统或应用软件的漏洞目标系统服务资源能力利用大量数据挤占网络带宽利用大量请求消耗系统性能混合型44典型的拒绝服务攻击方式SYNFloodUDPFloodTeardropPingofdeathSmurfLand……45拒绝服务是一类攻击方式的统称！SYNFlood理解SYNFlood需要的基础知识：建立TCP连接的三次握手过程客户服务器SYN（ISN）ACK（ISN+1）ACK（ISN+1）SYN（ISN）35SYNFlood原理伪造虚假地址连接请求，消耗主机连接数47(syn)Hello,I’m(syn+ack)I’mready?I’mwaiting……(syn)Hello,I’m?I’mwaiting……(syn)Hello,I’m……I’mwaiting……I’mwaiting……I’mwaiting……UDPFlood原理利用UDP协议实现简单、高效，形成流量冲击实现方式大量UDP小包冲击应用服务器（DNS、Radius认证等）利用系统服务形成流量（Echochargen）利用正常UDP服务发送大流量形成网络拥塞48TearDrop（分片攻击）原理构造错误的分片信息，系统重组分片数据时内存计算错误，导致协议栈崩溃49SYNSYN＋ACKACKPSH1:1024……PSH1025:2048……PSH2049:3073……FINACKPSH1:1025……PSH

1000:2048……PSH2049:3073……试图重组时主机崩溃分布式拒绝服务攻击（DDoS）50Hackermastermastermasteragentagentagentagentagentagentagentagentagenttarget拒绝服务攻击的防御管理防御业务连续性计划（组织共同承担，应对DoS攻击）协调机制（运营商、公安部门、专家团队）技术防御安全设备（防火墙、抗DoS设备）增强网络带宽自身强壮性（风险评估、补丁、安全加固、资源控制）监测防御应急响应（构建监测体系）51利用系统开发缺陷-缓冲区溢出缓冲区溢出攻击原理缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变缓冲区溢出的危害最大数量的漏洞类型漏洞危害等级高52国家漏洞库（CNNVD）2013年漏洞统计缓冲区溢出基础-堆栈、指针、寄存器堆栈概念一段连续分配的内存空间堆栈特点后进先出堆栈生长方向与内存地址方向相反指针指针是指向内存单元的地址寄存器暂存指令、数据和位址ESP（栈顶）、EBP（栈底）、EIP（返回地址）5334H12H78H56H0108HESP栈顶(AL)(AH)34H12H78H56H0106HESP栈顶缓冲区溢出简单示例程序作用：将用户输入的内容打印在屏幕上54Buffer.c#include<stdio.h>intmain(){

charname[8];printf("Pleaseinputyourname:");gets(name);printf("younameis:%s!",name);return0;}缓冲区溢出示例55用户输入内容在8位以内时候，程序正常执行用户输入内容超过8位以后，程序执行产生错误缓冲区溢出简单示例56由于返回地址已经被覆盖，函数执行返回地址时会将覆盖内容当作返回地址，然后试图执行相应地址的指令，从而产生错误。当我们全部输入a时，错误指令地址为0x616161，0x61是a的ASCII编码程序溢出堆栈情况57内存底部内存顶部nameXXXEIPXXX[cispcisp][][][]堆栈顶部堆栈底部nameXXXEIPXXX[aaaaaaaa][aaaa][aaaa][aaaa]由于输入的name超过了定义变量的长度（8位），堆栈中预计的位置无法容纳，只好向内存顶部继续写‘a’，由于堆栈的生长方向与内存的生长方向相反，用户输入的‘a’覆盖了堆栈底部EBP和ret。程序在返回时，将EBP中的‘aaaa’的ASCII码：0x61616161作为返回地址，试图执行0x61616161处指令，导致错误，形成一次堆栈溢出缓冲区溢出攻击过程如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统58寻找程序漏洞编制缓冲区溢出程序精确控制跳转地址执行设定的代码获得系统权限或破坏系统缓冲区溢出的防范用户补丁防火墙开发人员编写安全代码，对输入数据进行验证使用相对安全的函数系统缓冲区不可执行技术虚拟化技术59利用应用开发缺陷-网页脚本安全脚本安全基础WEB应用开发脚本:ASP、PHP、JSP等脚本的优势：交互性：自动更新：因时因人而变：脚本安全风险注入攻击跨站脚本……60典型注入攻击-SQL注入SQL注入攻击原理SQL注入（SQLInjection）：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行数据库操作61操作系统Web应用数据库服务器123调用数据库查询直接调用操作系统命令通过数据库调用操作系统命令SQL注入简单示例62Select*fromtablewhereuser=‘admin’andpwd=‘ABCDEFG!’;adminABCDEFG!Select*fromtablewhereuser=‘admin’andpwd=‘123’or‘1=1’admin123’or‘1=1由于密码的输入方式，使得查询语句返回值永远为True，因此通过验证SQL注入范例-URL中的注入63http://xx.xxx.xx.xx/playnews.asp?id=772’and‘1’=‘1MicrosoftOLEDBProviderforODBCDrivers错误'80040e14'[Microsoft][ODBCMicrosoftAccessDriver]字符串的语法错误在查询表达式'id=772''中。/displaynews.asp，行31说明:

数据库为Access

程序没有对于id进行过滤数据库表中有个字段名为idSQL注入范例－操作数据库ttp:///showdetail.asp?id=49’And(updateusersetpasswd=‘123’whereusername=‘admin’);--Select*from表名where字段=’49’And(updateusersetpasswd=‘123’whereusername=‘admin’);updateusersetpasswd=‘123’whereusername=‘admin’);64非法的SQL语句被传递到数据库执行！SQL注入的危害数据库信息收集数据检索操作数据库增加数据删除数据更改数据操作系统借助数据库某些功能（例如：SQLServer的内置存储过程XP_CMDShell）65SQL注入的防御防御的对象：所有外部传入数据用户的输入提交的URL请求中的参数部分从cookie中得到的数据其他系统传入的数据防御的方法白名单：限制传递数据的格式黑名单：过滤过滤特殊字串：update、insert、delete等开发时过滤特殊字符：单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符部署防SQL注入系统或脚本66网页脚本攻击-跨站脚本跨站脚本攻击原理跨站脚本（CrossSiteScripting，CSS）是由于程序员没有对用户提交的变量中的HTML代码进行过滤或转换，当浏览器下载页面时，脚本可被执行，攻击者可以利用用户和服务器之间的信任关系实现恶意攻击67跨站脚本攻击的危害敏感信息泄露账号劫持Cookie欺骗拒绝服务钓鱼……68跨站脚本示例-信息窃取某论坛为了实现特效，支持用户提交脚本69Internet攻击者在论坛上发一个帖子：管理员请进，有事请教！（脚本：记录来访者session）获得管理员session，我可以管理员身份登录论坛了我进去看看找我有什么事？跨站脚本攻击的防范跨站脚本安全问题和特点更复杂，这使得对跨站脚本漏洞的防范难度更大不允许脚本运行对所有脚本进行严格过滤70知识域：安全攻击与防护知识子域：后门设置与防范理解攻击者设置系统后门的常用方法理解针对后门的防范措施71后门可以作什么方便下次直接进入监视用户所有行为、隐私完全控制用户主机后门设置的类型账号后门现有管理员账号密码/新建账号/升级现有账号权限普通账号shell设置Setuid漏洞后门木马(rootkit)脚本后门后门设置的方法72后门的清除及防范账号后门管理员账号：定期更换密码定期检查系统是否有多余账号和具有管理员权限的账号检查Lin