网络攻击与防御技术

安全攻防技术轻用其芒，动即有伤，是为凶器；深若藏拙，临机取决，是为利器。--《古剑铭》今天的交流内容

直观展示黑客攻击过程通常黑客攻击思路与操作近期常见攻击方法部份渗透测试结果课程内容Windows溢出漏洞时间线索漏洞发布：2006(ms06040)攻击程序发布：2006如何完成一次攻击？演示

直观展示黑客攻击过程通常黑客攻击思路与操作近期常见攻击方法部份渗透测试结果课程内容攻击阶段划分(1)预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：删除日志修补明显的漏洞植入后门木马进一步渗透扩展进入潜伏状态目的：消除痕迹，长期维持一定的权限攻击阶段划分(2)

直观展示黑客攻击过程通常黑客攻击思路与操作近期常见攻击方法部份渗透测试结果课程内容信息收集信息收集工具WhoisPingTracerouteNslookup网站公布信息路由信息Web信息搜索引擎查询端口扫描技术一个端口就是一个潜在的通信通道。/neolabs/neo-ports/neo-ports.html对目标计算机进行端口扫描，得到有用的信息。扫描的方法手工进行扫描熟悉各种命令。对命令执行后的输出进行分析端口扫描软件

许多扫描器软件都有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。堆栈指纹扫描

利用TCP/IP来识别不同的操作系统和服务向系统的IP和端口发送各种特殊的包。根据系统对包回应的差别，推断出操作系统的种类。堆栈指纹程序利用的部分特征ICMP错误信息抑制；服务类型值(TOS)；TCP/IP选项；对SYNFLOOD的抵抗力；TCP初始窗口端口扫描工具演示Nmap()Superscan()Sl()TCPSYN扫描也叫半开式扫描利用TCP连接三次握手的第一次进行扫描被扫描主机开放的端口不提供服务的端口防火墙过滤的端口

扫描器SYNSYNSYNSYN+ACK握手RST重置没有回应或者其他端口扫描工具Nmap简介被称为“扫描器之王”有forUnix和forWin的两种版本需要Libpcap库和Winpcap库的支持能够进行普通扫描、各种高级扫描和操作系统类型鉴别等使用-sS：半开式扫描-sT:普通connect()扫描-sU：udp端口扫描-O：操作系统鉴别-P0：强行扫描（无论是否能够ping通目标）-p：指定端口范围-v：详细模式NmapWinv1.3.0端口扫描工具SuperScan简介基于Windows平台速度快，图形化界面最新版本为4.0使用傻瓜化漏洞扫描系统漏洞扫描特定服务的漏洞扫描WEB服务数据库服务FTP服务Mail服务信息泄漏漏洞扫描用户信息共享信息人为管理漏洞扫描弱口令错误配置网络及管理设备漏洞扫描路由器、交换机SNMP设备漏洞扫描工具Nessus构架服务器端：基于Unix系统客户端：有GTK、Java和Win系统支持运作客户端连接服务器端，并下载插件和扫描策略真正的扫描由服务器端发起两者之间的通信通过加密认证优势：具有强大的插件功能完全免费，升级快速非常适合作为网络安全评估工具链接：ClientServerTargetsNessus工作流程漏洞扫描工具X-Scan国人自主开发完全免费X-Scan使用扫描开始安全漏洞扫描器安全漏洞扫描器的种类网络型安全漏洞扫描器主机型安全漏洞扫描器数据库安全漏洞扫描器安全漏洞扫描器的选用ISS（InternetSecurityScanner）：安氏SSS（ShadowSecurityScanner）：俄罗斯黑客RetinaNetworkSecurityScanner：eEyeLANguardNetworkSecurityScannerCyberCopScanner：NAISSS（ShadowSecurityScanner）RetinaNetworkSecurityScannerLANguardNetworkSecurityScanner操作系统类型鉴别主要依据利用不同操作系统对各种连接请求的不同反应和特征来判断远程主机操作系统的类型当使用足够多的不同特征来进行判断，操作系统的探测精度就能有很大保证间接鉴别操作系统说明不直接进行扫描利用网络应用服务使用过程中的信息来推断和分析操作系统类型，并得到其他有用信息如Telnet

80端口查看WEB服务器类型从而初步判断操作系统类型这种方法难以被发现防御对策修改服务器上应用服务的banner信息，达到迷惑攻击者的目的直接鉴别操作系统类型TCP/IP栈指纹探测技术各个操作系统在实现TCP/IP栈的时候有细微的不同，可以通过下面一些方法来进行判定TTL值Windows窗口值ToS类型DF标志位初始序列号（ISN）采样MSS（最大分段大小）其他漏洞扫描工具Nessus(演示)X-Scan(实验)GoogleHacking搜索技巧相关工具一般是用来进行搜索目标的一些相关信息，经常用到的命令：inurl:intext:Intitle:filetype:特洛伊木马攻击希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马来源于希腊神话中的特洛伊战争特洛伊木马黑客在攻击进入后会留下后门程序，以便于进行控制国内较常见的是：冰河、灰鸽子等按连接的方式可分:正向、反向B/S，C/S传统的远程控制步骤反弹端口连接模式>1024反弹式的远程控制程序防火墙IP数据包过滤目标主机Windows系统骗取系统IE进程木马线程正常线程进入合法应用程序正常线程…InternetExplorer浏览网页端口监听端口传统远程控制程序缓冲区溢出WIN漏洞(演示)Metasploit(/)缓冲区溢出-其它集成工具一个典型的问题程序voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}voidmain(intargc,char**argv){

if(argc>1)function(argv[1]);}执行结果[wlj@debianwlj]$gcc-ovulvul.c[wlj@debianwlj]$gdb./vul-q(gdb)r`perl-e'print"A"x28'`BBBBStartingprogram:/home/wlj/./vul`perl-e'print"A"x28'`BBBBProgramreceivedsignalSIGSEGV,Segmentationfault.0x42424242in??()(gdb)ireax0xbffffc60-1073742752ecx0x564eff411448017729edx0x575000421464860738ebx0x401621541075192148esp0xbffffc800xbffffc80ebp0x414141410x41414141esi0x400168e41073834212edi0xbffffd04-1073742588eip0x424242420x42424242....网络监听攻击的环境基于共享（HUB）环境的监听比较普遍实现较为简单基于交换（Switch）环境的监听基础是ARP欺骗技术网络监听攻击源目的sniffer加密解密passwd$%@&)*=-~`^,{基于共享环境的监听共享以太网环境中，所有物理信号都会被传送到每一个主机节点上去如将系统的网络接口设定为混杂模式(Promiscuous)，则就能接受到一切监听到的数据帧，而不管其目的MAC地址是什么共享环境监听的意义积极意义：方便网络管理员进行管理和网络故障分析消极意义：常被用来窃听在网络上以明文方式传输的口令和账号密码POP3邮件口令Ftp登录口令Telnet登录口令共享环境监听的检测基于主机的检测简单的ifconfig命令，包括各种UNIX系统基于网络的检测针对系统硬件过滤和软件过滤的检测针对DNS反向域名解析的检测针对网络和主机响应时间的检测使用专业的检测工具AntiSniff（有forwin和forunix的版本）Promiscan嗅探工具Ethereal(，实验)Windump(http://windump.polito.it/演示)Xsniff(实验)口令猜测Hydra(/)BrutusX-Scan()以上是常见的密码破解的工具,如破解ftp，pop3的密码等说明：口令猜测与密码破解的概念稍有不同猜解FTP的密码

密码破解John(/john/)L0phtCrack5()以上是两个最经常见到的破解系统密码的工具破解WIN系统的密码演示：MD5破解

MD5破解可以利用相关网站提供的接口或者用工具直接破解MD5(admin,32)=21232f297a57a5a743894a0e4a801fc3MD5(admin,16)=7a57a5a743894a0e

应用攻击WebProxySPIKEProxySQL注入体验应用攻击现在最典型的是SQL注入攻击所谓SQL注入（SQLInjection），就是利用程序员对用户输入数据的合法性检测不严或不检测的特点，故意从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取想得到的资料。通常别有用心者的目标是获取网站管理员的帐号和密码。另外还有一个概念：旁注演示：SQL注入攻击常见的注入工具：NBSIDomain3.6等PhishingeBay中国金融机构中间人攻击战争中的“中间人攻击”案例网络中的“中间人攻击”客户端攻击图片、MP3、视频、解码工具浏览器(IE、Firefox)IM(MSN、QQ)Office(Word)多媒体软件安全软件旁路攻击曲线救国旁注旁攻社会工程学攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。社会工程学攻击目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Email1、打电话请求密码尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。2、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。DoS与DDoS攻击DoS(DenialofService)攻击的中文含义是拒绝服务攻击DDoS(DistributedDenialofService)攻击的中文含义是分布式拒绝服务攻击拒绝服务攻击的种类发送大量的无用请求，致使目标网络系统整体的网络性能大大降低，丧失与外界通信的能力。利用网络服务以及网络协议的某些特性，发送超出目标主机处理能力的服务请求，导致目标主机丧失对其他正常服务请求的相应能力。利用系统或应用软件上的漏洞或缺陷，发送经过特殊构造的数据包，导致目标的瘫痪（称之为nuke)拒绝服务攻击网络层SYNFloodICMPFloodUDPFloodPingofDeath应用层垃圾邮件CGI资源耗尽针对操作系统winnuke典型举例：SYNFlood原理正常的三次握手建立通讯的过程SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方SYNFlood原理SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接连接耗尽正常tcpconnect攻击者受害者大量的tcpconnect这么多需要处理？不能建立正常的连接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用户正常tcpconnect

直观展示黑客攻击过程通常黑客攻击思路与操作近期常见攻击方法部份渗透测试结果课程内容现实：某ISP被渗透过程分析安全措施OS：SunSolarisFirewall策略只允许特定机器访问特定网络设立中间跳板被入侵者成功渗透某国外电信某国内门户网站聊天室、调查引擎、贺卡站uid=2(bin)gid=2(bin)/SunOSVIP5.7Genericsun4usparcSUNW,Ultra-4$/sbin/ifconfig-a/sbin/ifconfig-alo0:flags=849<UP,LOOPBACK,RUNNING,MULTICAST>mtu8232inetnetmaskff000000hme0:flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST>mtu1500inetxx.151.243.78netmaskffffffc0broadcastxx.151.243.127cat/etc/passwdroot:x:0:1:Super-User:/:/bin/cshdaemon:x:1:1::/:bin:x:2:2::/usr/bin:sys:x:3:3::/:adm:x:4:4:Admin:/var/adm:lp:x:71:8:LinePrinterAdmin:/usr/spool/lp:某国内门户网站2www为x.x.x.197x.x.x.195ACEswitch180eSNMP使用private某国内提供商一台网络设备配置不当IPAddress x.x.4.5SystemName xx7513Contact Location CiscoInternetworkOperatingSystemSoftwareIOS(tm)RSPSoftware(RSP-ISV-M),Version12.0(5)T1,RELEASESOFTWARE(fc1)Copyright(c)1986-1999byciscoSystems,Inc.CompiledThu19-Aug-9901:39bycmongRead-OnlyCommunityStrings ILMI public vcn_xx xxxGSR vcn_xxxRead-WriteCommunityStrings ILMI vcn_xx导致最后控制全省网络设备某国内某国内提供商XX网管80端口网管密码root:admintelnettest:testsuroot:admin导致直接控制骨干网全部xx设备网管工作站暴露在公网，存在RPC-DCOM溢出，直接取得设备密码文件某国内提供商2网管工作站，c、d盘完全共享，可能被下载重要数据或利用此台进入内网。重要服务器（radius），存在严重telnet缓冲区溢出漏洞，直接取得服务器权限。某国内提供商2uid=2(bin)gid=2(bin)/SunOSrad5.8Generic_108528-03sun4usparcSUNW,Ultra-250Cat/etc/passwdhostnameradroot:x:0:1:Super-User:/:/usr/bin/cshdaemon:x:1:1::/:bin:x:2:2::/usr/bin:sys:x:3:3::/:/bin/shadm:x:4:4:Admin:/var/adm:/bin/shlp:x:71:8:LinePrinterAdmin:/usr/spool/lp:/bin/shsmtp:x:0:0:MailDaemonUser:/:u