CISP-2-安全攻防课件

信息安全技术

安全攻防中国信息安全产品测评认证中心（CNITSEC）CISP-2-安全攻防（培训样稿）黑客历史60年代麻省理工AI实验室第一次出现hacker这个词KenThompson发明unix1969，ARPANET开始建立

70年代DennisRitchie发明C语言Phreaking:JohnDraper世界上第一个计算机病毒出现乔布斯(apple公司的创办者)制造出了蓝盒子黑客历史

80年代早期

首次出现Cyberspace一词

414s被捕

LegionofDoom和ChaosComputerClub成立

黑客杂志2600、phrack相续创刊

80年代晚期

25岁的KevinMutnik首次被捕

1988年，莫里斯蠕虫事件，在几小时内感染了6000台计算机系统美国国防部成立了计算机紧急应急小组(CERT)黑客历史

90年代早期

AT&T的长途服务系统在马丁路德金纪念日崩溃黑客成功侵入格里菲思空军基地和美国航空航天管理局

KevinMitnick再次被抓获，这一次是在纽约，他被圣迭哥超级计算中心的TsutomuShimomura追踪并截获

90年代晚期美国联邦网站大量被黑，包括美国司法部，美国空军，中央情报局和美国航空航天管理局等流行的电子搜索引擎Yahoo被黑客袭击黑客语言1->iorl3->e4->a7->t9->g0->o$->s|->iorl|\|->n|\/|->ms->zz->sf->phph->fx->ckck->x黑客语言例如：3v3ry0n3kn0wzwh3ny0uh4ckaw3bp4g3y0uh4v3t0us3h4ck3rt4lkEveryoneknowswhenyouhackawebpageyouhaveTousehackertalk

Hack组织1、@stake(原L0pht)

代表作品：L0phtCrack2、cDc(CULTOFTHEDEADCOW)

代表作品：bo、bo2000、PeekabootyHack组织3、adm

4、security

5、antisecurity

Saveabugsavealife致力于维护软件届的生态平衡Hack组织6、LSD(LastStageOFDeLIRIUM)

7、teso

8、thc(TheHackersChoice)

著名黑客

1．AlephOneBugtraq邮件列表主持人

BugtraqFAQ：Bugtraq：代表作品：SmashingTheStackForFunAndProfit发表于1996年11月8日，第一篇公开发表的介绍缓冲区溢出的论文著名黑客2．SimpleNomad

NMRC核心成员，建立者。NMRC(NomadMobileResearchCentre)TheHackFAQ的作者Pandora（NetWare漏洞扫描器)的作者著名黑客4.Fyodor

Nmap的作者在phrack杂志51期发表了关于高级端口扫描的论文在phrack杂志54期发表了关于利用tcp/ip协议栈进行远程操作系统识别的论文著名黑客5.dugsong

揭示了checkpointFW-1状态包过滤的漏洞编写了功能强大的黑客工具包dsniff包括dsniff、webspy、arpspoof、sshow等著名黑客6.SolarDesigner

主要作品JohntheRipper:最好的unix口令破解工具

openwall:Linux内核安全补丁黑客攻击的典型步骤获取对方信息，扫描、社会工程学等。进行攻击，exploit。消除痕迹，删除日志等。留后门。公众域信息。Nmap,traceroute,firewalk,pingsweeps,etcNIC注册纪录DNS纪录SNMP扫描OS识别BannergrabbingWardialers社交工程获取信息Google的高级使用1.搜索整个字符串

a)"Indexof/password“ b)"Indexof/"password.txt2.site--搜索整个站点

site:火眼3.—搜索某种文件类型4.inurl分类搜索

inurl:firewallnetpower inurl:idsnetpower inurl:idsantiCrawlBabelweb:teleportspadewhois–DNS区域传输dig@axfr或host–l–v–tany列出所有dns注册信息限制区域传输对于BIND8版的软件，在配置文件named.conf中使用命令allow-transfer来限制允许区域传输的主机，例如：

options

{

allow-transfer

{

;

/24;

};

};网络拓扑发现IPTTL

12345Traceroute端口扫描1.慢扫描。工具：nmap。例如：nmap-TParanoid-sT。（间隔5分钟扫描一个端口）。2.随机扫描。Nmap默认就是随机扫描，指随机扫描目标端口。（有些nids是根据连续连接本地端口段来判断端口扫描的）。3.碎片扫描。工具nmap。例如：nmap–f–sT。4.诱骗扫描。工具：nmap。例如：nmap-D,,,-sS8。（,,都是虚假的地址）。端口扫描5．tcp扫描。工具nmap。例如：nmap–sT。6.Udp扫描。工具nmap。例如：nmap–sU7.协议栈扫描。工具nmap.例如:nmap–sO8．Syn扫描。工具nmap。例如：nmap–sS。9．Null扫描。工具nmap。例如：nmap–sN。10．XmasTree扫描。工具nmap。例如：nmap–sX。11.FIN扫描。工具nmap。例如：nmap–sF。12.分布式扫描。工具dps、dscan。13.快扫描。工具nmap。例如：nmap–F

端口扫描14.Ack扫描，检查是否是状态FW。nmap–sA。15.Windows扫描，nmap–sW。16.RPC扫描，nmap–sR17.反向ident扫描，nmap–I。18.Idle扫描。nmap-P0-sI中间主机19.扫描。idlescanIdle扫描(端口开放)1目标机攻击者3Syn:80跳板主机ID=0Idle扫描(端口开放)2目标机攻击者3Syn/ack跳板主机ID=1Idle扫描(端口开放)3目标机攻击者跳板主机ID=1Synsrc=Dst=Idle扫描(端口开放)4目标机攻击者Syn/Acksrc=Dst=跳板主机ID=1Idle扫描(端口开放)5目标机攻击者Rstsrc==Dst=跳板主机ID=2Idle扫描(端口开放)6目标机攻击者Syn:80跳板主机ID=2Idle扫描(端口开放)7目标机攻击者Syn:80Syn/ack跳板主机ID=3Idle扫描(端口关闭)1目标机攻击者3Syn:80跳板主机ID=0Idle扫描(端口关闭)2目标机攻击者3Syn/ack跳板主机ID=1Idle扫描(端口关闭)3目标机攻击者跳板主机ID=1Synsrc=Dst=Idle扫描(端口关闭)4目标机攻击者Rstsrc=Dst=跳板主机ID=1Idle扫描(端口关闭)5目标机攻击者Syn:80跳板主机ID=1Idle扫描(端口关闭)6目标机攻击者Syn:80Syn/ack跳板主机ID=2扫描目标机攻击者nmap–P0–sT–b原理telnet21

useranonymous

pass

port192,168,0,173,23,23

200PORTcommandsuccessful.

nlst

425Can'tbuilddataconnection:Connectionrefused.

port192,168,0,173,12,234

200PORTcommandsuccessful.

nlst

150ASCIIdataconnectionfor/bin/ls(73,3306)(0bytes).

226ASCIITransfercomplete.

quit

远程操作系统识别技术1．DNS的hinfo纪录2．Bannergrab3.二进制文件法3．Snmpgetsysdescr4．Tcp堆栈指纹技术5．Icmp堆栈指纹技术DNS的hinfo纪录HINFO“SparcUltra5”“Solaris2.6”获取方法：dig@hinfo非常老的方法，现在一般没有管理员在dns记录里面添加hinfo纪录。BannergrabRedhat:/etc/issue、/etc/bsd:/etc/motdSolaris:/etc/motd缺陷：不准确，负责任的管理员一般都修改这个文件通过webserver得到操作系统类型lynx–head–dump二进制文件分析法得到远程系统的一个二进制文件例如1.webserver目录下产生的core文件2.配置不当的下的二进制文件……利用file、readelf等来鉴别Snmpgetsysdescr$snmputilget24public...0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1$snmputilget24public.ernet.mgmt.mib-2.system.sysDescr.0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1Snmpgetnextmib-2$snmputilgetnext24public..2.1Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1$snmputilgetnext24public.ernet.mgmt.mib-2.0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1TCPSegmentFormat01631源端口目的端口sequencenumberacknowledgementnumber头长度4保留6UAPRSFwindowsizeTCPchecksum紧急指针Tcp操作(长度可变，最大40个字节)数据20bytesTcp堆栈指纹技术nmap–OTEST1: 向目标开放端口发包

send_tcp_raw_decoys(rawsd,&target->host,current_port,openport,sequence_base,0,TH_BOGUS|TH_SYN,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);Nmap用于系统识别的包（1）TH_BOGUS=64=0x40=1000000TH_SYN=0x02=000010BOGUS标记探测器

–在syn包的tcp头里设置一个未定义的TCP"标记"（64）。版本号2.0.35之前的linux内核在回应中保持这个标记。有些操作系统在收到这种包是会复位连接。

\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000是tcp选项，解释如下：\003\003\012：窗口扩大因子

kind=3,len=3,移位数=\012=10\001：无操作：kind=1\002\004\001\011：最大报文段长度

kind=2,len=4,长度=\001\011=265\010\012：时间戳 kind=8,len=10\077\077\077\077：时间戳值 1061109567\000\000\000\000：时间戳响应\000：选项结束 kind=0\000：填充位Nmap用于系统识别的包（2）TEST2：向目标开放端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+1,openport,sequence_base,0,0,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+1，6个标志位都为0，ip选项同TEST1。

Nmap用于系统识别的包（3）TEST3：向目标开放端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+2,openport,sequence_base,0,TH_SYN|TH_FIN|TH_URG|TH_PUSH,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+2，设置标志位TH_SYN(0x02)，TH_FIN(0x01)，TH_URG(0x20)，TH_PUSH(0x08)。Ip选项同TEST1。Nmap用于系统识别的包（4）TEST4：向目标开放端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+3,openport,sequence_base,0,TH_ACK,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+3，设置标志位TH_ACK，ip选项同TEST1。

Nmap用于系统识别的包（5）TEST5：向目标关闭端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+4,closedport,sequence_base,0,TH_SYN,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+4，标志位TH_SYN，ip选项同TEST1。Nmap用于系统识别的包（6）TEST6：向目标关闭端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+5,closedport,sequence_base,0,TH_ACK,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);源端口+5，标志位TH_ACK，ip选项同TEST1。Nmap用于系统识别的包（7）TEST7：向目标关闭端口发包send_tcp_raw_decoys(rawsd,&target->host,current_port+6,closedport,sequence_base,0,TH_FIN|TH_PUSH|TH_URG,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+6，标志位TH_FIN，TH_PUSH，TH_URG，ip选项同TEST1。Nmap用于系统识别的包（8）TEST8：向目标关闭端口发包send_closedudp_probe(rawsd,&target->host,o.magic_port,closedport);

向目标关闭端口发送udp包一个指纹结构TSeq(Class=RI%gcd=<6%SI=<57A26&>DF1)T1(DF=Y%W=2297|2788|4431|8371|8F4D|ABCD|FFF7|FFFF|2297|212%ACK=S++%Flags=AS%Ops=NNTNWME)T2(DF=N%W=0%ACK=O%Flags=R%Ops=WNMETL)T3(Resp=N)T4(DF=Y|N%W=0%ACK=O%Flags=R%Ops=|WNMETL)T5(DF=Y%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=Y|N%W=0%ACK=O|S%Flags=AR|R%Ops=|WNMETL)T7(DF=Y|N%W=0%ACK=S|O%Flags=AR|R%Ops=|WNMETL)PU(DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPCK=E|F%UCK=E|F|F|E%ULEN=134%DAT=E)FingerprintSolaris2.6-2.7 Solaris2.6–2.7的指纹Icmp堆栈指纹技术OfirArkin提出ICMP包格式081631typecodechecksum依type和code域的不同而不同081631typecodechecksumidentifiersequencenumber例子：echorequest/reply(ping/pong)

optionaldata

通常格式ICMP协议msg# description0

echoreply3

destinationunreachable4 sourcequench5 redirect8

echorequest9 routeradvertisement10 routersolicitation11

timeexceededmsg# description12 parameterproblem13 timestamprequest14 timestampreply15 informationrequest16 informationreply17 addressmaskrequest18 addressmaskreplyICMP信息请求针对广播地址的non-echoicmp请求利用tos位检测windows系统识别windowsXprobe 作者CAttackerSYN|ACKfromhostAsrcport23withadvertisedwindow0x4000,DFbiton&ttlof64SYNtoport23A操作系统被动察觉通告的窗口值、是否设置DF位、缺省TTL。被动操作系统识别OSFingerprints:4000:ON:64=FreeBSD被动操作系统识别工具1.siphon2.P0fHack攻击进入系统1.

扫描目标主机。

2.

检查开放的端口，获得服务软件及版本。

3.

检查服务是否存在漏洞，如果是，利用该漏洞远程进入系统。

4.

检查服务软件是否存在脆弱帐号或密码，如果是，利用该帐号或密码系统。

5.

利用服务软件是否可以获取有效帐号或密码，如果是，利用该帐号或密码进入系统。

6.

服务软件是否泄露系统敏感信息，如果是，检查能否利用。

7.

扫描相同子网主机，重复以上步骤，直到进入目标主机或放弃。

Hack攻击提升权限1.

检查目标主机上的SUID和GUID程序是否存在漏洞，如果是，利用该漏洞提升权限(unix)。

2.

检查本地服务是否存在漏洞，如果是，利用该漏洞提升权限。

3.

检查本地服务是否存在脆弱帐号或密码，如果是，利用该帐号或密码提升权限。

4.

检查重要文件的权限是否设置错误，如果是，利用该漏洞提升权限。

5.

检查配置目录中是否存在敏感信息可以利用。

6.

检查用户目录中是否存在敏感信息可以利用。

7.

检查其它目录是否存在可以利用的敏感信息。

8.

重复以上步骤，直到获得root权限或放弃。

Hack攻击善后处理第三步：放置后门

最好自己写后门程序，用别人的程序总是相对容易被发现。

第四步：清理日志

删除本次攻击的相关日志，不要清空日志。Hack攻击入侵检测1.扫描系统2.根据结果打补丁，修补系统3.检测系统中是否有后门程序Hack攻击检测后门A.察看端口

unix：lsof lsof–itcp–n：察看所有打开的tcp端口

windows：fport fport/pHack攻击检测后门B.察看进程

unix：ps psex：察看所有运行的进程

windows：pslistC.杀掉进程

unix：kill windows：pskillHack攻击检测后门D：检查suid、guid程序(对于unix系统) find/-userroot-perm-4000–print find/-userroot-perm-2000-printE：对软件包进行校验(对于某些linux系统) whichlogin rpm–qf/bin/login rpm–Vutil-linuxHack攻击检测后门F：检测/etc/passwd文件(unix) 1.陌生用户

2.口令为空的用户

3.uid或gid为0的用户G：检测是否由sniffer程序在运行(unix) ifconfigHack攻击检测后门H：检测系统中的隐藏文件(unix) find/-name".*"-printI：检测系统中的LKM后门

chkrootkit(unix) kstat(linux) ksec(bsd)黑客技术1.口令破解Unix口令破解工具：johntheripper

Windowsnt、2000口令破解工具：L0phtCrack

黑客技术2.端口扫描与远程操作系统识别Nmap:最好的端口扫描器和远程操作系统识别工具

Xprobe:icmp远程操作系统识别工具

只需要发4个包就可以识别远程操作系统黑客技术3.sniffer技术dsniff:多种协议的口令监听工具

FTP,Telnet,SMTP,HTTP,POP,poppass,NNTP,IMAP,SNMP,LDAP,Rlogin,RIP,OSPF,PPTPMS-CHAP,NFS,VRRP,YP/NIS,SOCKS,X11,CVS,IRC,AIM,ICQ,Napster,PostgreSQL,MeetingMaker,Citrix,ICA,SymantecpcAnywhere,NAISniffer,MicrosoftSMB,OracleSQL*Net,SybaseandMicrosoftSQLprotocols等等。黑客技术4.Hijack,tcp劫持技术hunt:tcp连接劫持工具

综合利用sniffer技术和arp欺骗技术黑客技术5.远程漏洞扫描技术—通用漏洞扫描工具nessus:开源远程漏洞扫描工具

Securityassess:中科网威火眼网络安全评估分析系统

黑客技术6.远程漏洞扫描技术—web漏洞扫描工具whisker:

t:

黑客技术—缓冲溢出缓冲区返回地址开始向缓冲区写数据攻击者输入的数据返回地址被攻击者覆盖返回地址黑客技术—hackiis黑客技术—hackmssqlserver黑客技术—hackmssqlserverWindows2000系统如何打补丁1.执行wupdmgr.exe，单击产品更新，更新系统中软件到最新版本2.然后下载HFNetChk3.执行hfnetchk-v4.依照提示提示从

下载最新的安全补丁。

黑客技术：Smurf攻击攻击者被攻击者Ping广播地址源地址被设置为被攻击者的ip被利用网络黑客技术：Pingo’Death攻击攻击者产生碎片被攻击者收到碎片重组碎片Internet最后一个碎片太大导致缓存溢出buffer65535bytes第