安全脆弱性分析

第10章安全脆弱性分析

■目录：

■10.1认识黑客(Hacker)

■10.1.1Hacker起源

].■10.1.2黑客守则

I10.1.3网络攻击三部曲

■10.2网络攻击概览

■10.2.1口令攻击

-10.2.2服务拒绝攻击

-10.2.3利用型攻击

-10.2.4信息收集型攻击

-10.2.5假消息攻击

-10.2.6嗅探攻击

10.3安全扫描技术

10.4入侵对策

2

■什么是黑客？黑客的特点是什么?

3

^^CNETNews.com-JudgepostponesMitiucktrial-Netscape

FileEditViewGoCommunicatorHelp

J33

BackForwardReloadHomeGuidePrintSecurity

fBookmarksHetsite：Jhttp.//www.news.com/Hews/Item/0,4,29544,00.html

JudgepostponesMitnicktrialSurplusDirect

ByReuters

SpecialtoCNETNLatestheadlines

December4,1998,5:10am.PT

displayondesktop

AjudgeyesterdaypostponedforthreemonthsconvictedhackerKevinMitnick'sEnlermiseCommuting

trialonfederalfraudandtheftchargesandaddedthatshewouldprobablyorderMicrosoftmayputGates

aseparatetrialforhiscodefendant.onstand

U.S.DistrictJudgeMarianaPfaelzerdelayedthestartofMitnick'sHewlett-Packardtouse

trialtoApril20fromJanuary19attherequestofhislawyers,whoE&Scards

saidtheyneededmoretimetoprepare.

Dellbusinessdeskto。

Pfaelzersaidshewouldalsolikelygrantadefenserequesttoholddownto$850

aseparatetrialforcodefendantLewisDePayne.

Gates:SecondbabyinQ2

Outsidecourt,defenselawyerDonaldRandolphsaidMitnick,who

isbeingheldinjailpendingtrial,wouldhavelikedtostarttrialSybaseformsnewdivisions

evenlaterin1999.

KevinMitnick,APCommunications

"He'sconcernedaboutthemassiveamountofmaterialintheFCCwalkstiqhtroaeover

prosecution'scase,"Randolphsaid."He'sanxioustomakesurewe'reprepared."ISPcalls

Mitnickisaccusedin25criminalcountsofstealingproprietaryinformationfromMotorola.Challengesmountforcable

Nokia.Novell.SunMicrosystems,andothercompaniesbyhackingintotheircomputers.industry

Mitnickwasconvictedofcomputerfraudin1989andsentencedtooneyearinprison.________Ellannrowp^.ATSJ-TCI.

血-------------------------------------------------------------------------------------------------君金一痂—]

赛开始，罐/郎，腐『[瓢|』一|&浏•|国;二.-

I---mL-__.7

“头号电脑黑客”凯文米特尼

克

腌。精彩赋性格内向、沉默寡言。

■4K岁e玩v游i戏达到M4家it水t平。

■13岁喜欢上无线电活动，开始与世界各地爱好者联

络。编写的也脑程序简洁实用、倾倒教师。

■15岁闯入“北美空中防务指挥系统”主机，翻阅了

美国所有的核弹头资料、令大人不可置信。

■不久破译了美国“太平洋电话公司”某地的改户密

码，随意更改用户的电话号码。并与中央联邦调查

局的特工恶作剧。

■被电脑信息跟踪机发现第一次被逮捕。

6

“头号电脑黑客”凯文米特尼

克

■幡画fhf孽司电脑的财务帐单。

.1988年再次入狱，被判一年徒刑。

，L1993年（29岁）逃脱联邦调查局圈套。

—■1.1994华向蒙地亚哥超级计算机中心发动攻击,该中心安

全专家下村勉决心羽1其捉拿归案。

■期间米特尼克还入侵了美国摩托罗拉、NOVELL.SUN公司

及芬兰NOKIA公司的电脑系统，盗走各种程序和数据（价

4亿美金）。

■下村勉用“电子隐形化”技术跟踪，最后准确地从无线

电话中找到行迹，并抄获其住处电脑。

7

“头号电脑黑客”凯文米特尼

克

■KmOi*忡描/cK到底还是输了”。

■2000年1月出狱，3年内被禁止使用电脑、手机及

互联网。（材料引自《骇世黑客》余开亮张兵

痂）

8

0」认识黑客（Hacker）

10.1.1Hacker起源

■飞客“phreak”-早期攻击电话网的青少年,

研究各种盗打电话而不用付费的技术。

9

4注意：黑客和骇客的区别!

■黑客“Hacker"：一个给予喜欢发现和解决

技术挑战、攻击计算机网络系统的精通计算

机技能的人的称号，与闯入计算机网络系统

目的在于破坏和偷窃信息的骇客不同。

■骇客“Cracker”：一个闯入计算机系统和网

络试图破坏和偷窃个人信息的个体，与没有

兴趣做破坏只是对技术上的挑战感兴趣的黑

客相对应。

10

10.L2黑客守则

■1）不恶意破坏系统

■2）不修改系统文档

■3）不在bbs上谈论入侵事项

■4）不把要侵入的站点告诉不信任的朋友

■5）在post文章时不用真名

-6）入侵时不随意离开用户主机

-7）不入侵政府机关系统

■8）不在电话中谈入侵事项

■9）将笔记保管好

-10）要成功就要实践

-11）不删除或涂改已入侵主机的帐号

-12）不与朋友分享已破解的帐号

U

简单网络管理协议（SNMP）允许你从网络

主机上查询相关的数据。例如，你可以收集

TCP/IP方面的信息，还有在路由器、工作站

10.1.3-fl」t4.、.1*，，-r、->,—>，，IItr-、-1--

Whois（类似于finger〕是一种internet的目

踩点■>扫描录服务，whois提供了在Internet上一台主机

也苴不+需的诉右若的住=力n松^工田目然|加;夕

/一

1>踩区Finger服务使你可以获取远程服务器上的用户

信息。使用Finger,你可以得到：

①SNMP物用户名，服务器名，E-mail账号,用户当前是UI主

否在线，用户登录时间，响

②Trace

Ping一个公司的Web服务器可帮助你获得该]

Whois中公司所使用的IP地址范围。一旦你得知了!

HTTP服务器的IP地址，你可以使用Ping扫描I

④DNS服务

工具Ping该子网的所有IP地址，这可以帮助

⑤FingerWi你得到该网络的地址图。，

Ping实用断

12

首页域名服务最务报价域名转入代理体系・hois查询域名面板帮助中心

炼名・hois查询

User:_______________

输入您要查询的域名：

Pass:_______________

wwwstillfantasy.com.cn查询］

登录

免费注册忘记密吗域名whois查询结果：

stillfantasy.com.c曲］详细信息：

DomainName：stillfantasy.com.cn

RDID-20060823s10011s72131423-cn

DomainStatus：ok

RegistrantOrganization.苏奇龙

RegistrantName:苏奇龙

AdministrativeEmailkk@

SponsoringRegistrar：北京新网互联科技有限公司

NameServer:ns1.dns.com.cn

NameServer：ns2.dns.com.cn

RegistrationDate：2006-08-2315:24

ExpirationDate2007-08-2315:24

域名whois查询结果输出结束

13

2、扫描漏洞侦测

1使用自制工具

SATAN是为UNIX设计的，它主要是用C

2和Perl语言编写的。

SATAN用于扫描远程主机的许多已知

・r月光搜索-追捕版i.oi-1□!的漏洞,可写的FTP目录,Sendmail

起始地址：的|61142.176.83

2115.32.1开始搜索版本信息

对方所在地：广东省怫山用尸，感谢提供

结束地址：|202115.32.20kokowin

保存结果

每秒并发数目：画一对方域名：未知

r每次清除结果对方主机情况：

操作系统：Win9x/»T

202.115.32.5HTTP服务：未知，无法同对方机器连接

用户名为:SCU3,NETCENTER,工作组/域名为:NC.SCUFTP服务：未知，无法同对方机器连接

TELHET服务：未知，无法同对方机器连接

FUP3服务：未知，无法同对方机器连接

SMTP服务：未知，无法同对方机器连接

SOC总艮务：未知，无法同对方机器连接使检查对方域名

远程监控服务：未发现远程监控服务P检查对方机器

NetBios服务：发现HETBIOS服务旷智能追捕

DNS服务：未知，无法同对方机器连接厂使用用尸数据

对方机器名：P检查远程监控

用户名为:I6H0U2;工作组/域名为:WORKGROUP

开始搜索时间：16:24.50

完成搜索时间：16:24.51

当前搜索地址：202.115.32.20中地址错误.我要告诉你...看看追捕更新了没有...

14

■3、攻击

①建立帐户

②安装远程控制器

③发现信任关系全面攻击

④获取特权

15

图示:黑客攻击一般过程

本地黑客攻击

am

16

黑客攻击一般过程

Internet

用户名:john

口令:

路johnlZ

口令暴力攻击

龈H务署

17

黑客攻击■般过程

am

18

图：典型的网络攻击

Z1、、

（利用系统已知的漏洞、］

通过输入区向CGI发

送特殊的命令、发送

特别大的数据造成缓攻击其它

冲区溢出、猜测已知

用户的口令，从而发/主机

1血类面口一^J获取普通

用户权限一…"-、/获取或

扫描攻/擦除入一

新建帐号\^▼修改信息

网络"击目〜侵痕迹

标获取超级/

\从事其它

用户权限’

非法活动

19

■10.1认识黑客(Hacker)

_Hacker起源________

.10.1.2黑客守则

-10.1.3网络攻击三部曲

■10.2网络攻击概览

■10.2.1口令攻击

-10.2.2服务拒绝攻击

-10.2.3利用型攻击

-10.2.4信息收集型攻击

-10.2.5假消息攻击

10.3安全扫描技术

10.4入侵对策

20

10.2网络攻击概览

按照攻击的性质及其手段，可将通

常的网络攻击分为以下六大类型

①口令攻击

②拒绝服务攻击（也叫业务否决攻击）

③利用型攻击

④信息收集型攻击

⑤假消息攻击

⑥网络嗅探攻击

21

[0・2,3,口令攻击

■传统口令攻击类型：

■1）明文嗅探Clear-textsniffing：大量的应

用程序都是传送明文密码

■2）密文嗅探Encryptedsniffing：窃听加密密

码并解密

■3）窃取加密文件Passwordfilestealing：通

过窃取密码文件，利用工具破解

22

危险口令类型:

■用户名

■用户名变形

■生日

■常用英文单词

■6位以下长度的口令

■无口令默认口令

23

口令破解类型?

AdvancedZIPPasswordRecovery

②

OpenStopB^ncl-nnarkHelpAboutQuit

EncryptedZIP-fileTypeofattack

|C:\DocumentsandSettingsXadminiCa^.6Brute^force「D3oriaty

「Masi-「Plain-texl

Range|Length|DictionaryjPlain-text|Auto-save|Options|

Brute-forcerangeoptions

Allciaps.latin(AStartfrom;|

Air^melllatin{a

Mask.[

RAlldigju(0-3]

F-Allspecialsymbok(1©•)Masksymbol:[

Space

Allpuntable

Statuswindow

2001-12-1113:02:31-Analysingpasswordrange...▲j

2001-12-1113:02:31-Auto-savedirectorynotdefined.Usingpath:C:\Documentsand

Settings\administrator\^®\

Currentpassword:g25iaAveragespeed:3,762,054p/s

Timeelapsed3sTimeremaining:13s

Passwordlength=5.total:60.468J76zprocessed:11,424,538

18N

•AZPRversion3.21(c)2000VladimirKatalov,AndyMaly$hev&IvanGolubev,EIcomLtd

24

使用LC3软件对操作系统口令攻击

25

最近的一些口令攻击方法：

、■社会工程学(SocialEngineering)

■是一种利用人社会工程学的特点

的弱点：如人■常用手段

的未能反应、•伪装•引诱

好奇心、信任、•恐吓•说服

•恭维•渗透

贪婪等进行诸■另类方式

如欺骗、伤害•翻垃圾

等危害手段，•背后偷窥

•反向%t会工程

获取自身利益■防御手段

的手法•从技术上避免网站被仿冒

•严格的内部安全控制

•进行员工安全意识训练

记住，永远不要轻易透露自己的声码

MTT^H.于速0MtKU<在对方要求你发送卷g的

时候.你应该慎重甚至福要

反更审依对方身份.

X*T-・《<n・♦”r«»XJUi)*»Ka

♦一3五个台士•杵，-Z-mJ3J，

M*M同eW,♦jW'•*•

ri।aa।rrr.wwir.'iirriM

IRifl8ISmBI

CUSTOMER5CRV1G£

时醉er更二比而8云，••TtcxJitrrti”r珏■-

重设定码

•ffl.♦y父

R»：用，

力g*，・全

—；MMBXMMaMMT

__________________；______________________jj

__________________________

▲过于海阜的提示答案.

]..keitr*.j.^jp

IHS”，F«»k»W免疑Mt送Q市………Q

一・--gSZH»；<天底下有免费的焰

悟吗？免结•陷阱'倒

«***|•

，，a।是不少.

M»>4»4**■

方

27

针对口令破解攻击的防范措施

•安装入侵检测系统，检测口令破解行为

•安装安全评估系统，先于入侵者进行模拟口令破解，

以便及早发现弱口令并解决

•提高安全意识，避免弱口令，同时防止各种诱骗和欺

诈攻击。

28

1022拒绝服务攻击(DOS)重点

■拒绝服务攻击(DenialofService)：通过

使计算机功能或性能崩溃，来阻止提供服务。

是常见实施的攻击行为。主要包括：

①死ping(pingofdeath)

②泪滴teardrop

③UDP洪流(UDPflood)

④SYN洪水(SYNflood)

⑤Land攻击

⑥Smurf攻击

⑦分布式拒绝服务攻击(DDOS)

29

①死ping(pingofdeath)

览：在早期版本中,许多操作系统对网

络数据包的最大尺寸有限制。对TCP/IP栈

的实现，在ICMP包上规定为64KB,在读取

包的报头后，要根据该报头里包含的信息，

来为有效载荷生成缓冲区。当发送ping请求

的数据包声称自己的尺寸超过ICMP上限，

也就是加载的尺寸超过64K上限时，就会使

ping请求接收方出现内存分配错误，导致

TCP/IP堆栈崩溃，致使接受方当机。

30

&"P】ngTosser*byAcidAngel.la|x|

Menu

1P/domain|HB-Bytes|56■Ping命令的-I参数可

PingNumberOfPingstosend|6以定制包的大小，-t

Trace参数可以循环发送无

c,।RandomIntervalbetweenpingsIcn

BeginKeepahve|mseconds+101数包，但是仅有这些

J是不够的，黑客们通

常使用自己的Ping工

具，甚至可以调动众

多肉鸡进行分布式攻

击。

Tosser是一款很实用

的网络测试工具，提

供了Ping和Trace功

能，如图所示。

J

31

■防御：现在所有的标准TCP/IP实现，都

已实现对付超大尺寸的包，并且，大多

数防火墙能够自动过滤这些攻击，包括

从windows98之后的windowsNT（service

pack3之后）、linux、Solaris和MacOS

都具有抵抗一般pingofdeath攻击的能

力，此外，对防火墙进行配置，阻断

ICMP以及任何未知协议都将防止此类攻

32

②泪滴teardrop

・墨览：泪滴也是一种常见的拒绝攻击方式（气的

让人掉泪），它利用的是系统在实现时的一个错

误，即攻击特定的IP协议栈实现片段重组代码存

在的缺陷。当网络分组穿越不同的网络时，有时

候需要根据网络最大传输单元MTU来把它们分割

成较小的片，早期的Linux系统在处理IP分片重组

问题时，尽管对片段是否过长进行检查，但对过

短的片段却没有进行验证，所以导致了泪滴形式

的攻击，会造成系统的死机或重新启动

防御：服务器应用最新的服务包，或者在设置防

火墙时，对分段进行重组，而不是转发它们。

33

1en1

第一个分片包

offse11end1

第二个分片包

offset2end2

I1en2I

♦:♦在Iinux(2.0内核)中有以下处理：当发现有位置重合时

(offset2<end1),将offset2向后调到end1

(offset2=end1),然后更改Ien2的值：Ien2=end2-

offset2;注意此时Ien2变成了一个小于零的值，在以

后处理时若不加注意便会出现溢出。

♦:♦检测：组装时检查Ien2的值便可，这样可以发现所有

的变种(如newtear)

34

③UDP洪流(UDPflood)

■概览：利用简单的TCP/IP服务，建立大流

量数据流，如Chargen和Echo来传送无用

的占满带宽的数据，通过伪造与某一主机

的Chargen服务之间的一次UDP连接，回

复地址指向提供Echo服务的一台主机，这

样就生成在两台主机之间的足够多的无用

数据流，过多的数据流就会导致带宽耗尽。

35

■防御：关掉不必要的TCP/IP服务或者对防火墙进

行配置，阻断来自Internet的请求这些服务的UDP

请求。

36

④SYN洪水(SYNflood)

SYNFlood是当前最流行的DoS（拒绝服务攻击）与

DDoS（分布式拒绝服务攻击）的方式之一，这是一

种利用TCP协议缺陷，发送大量伪造的TCP连接请求

,从而使得被攻击方资源耗尽（CPU满负荷或内存不

足）的攻击方式。

TCP与UDP不同，它是基于连接的，也就是说，为了

在服务端和客户端之间传送TCP数据，必须先建立一

个虚拟电路，也就是TCP连接，

37

建立TCP连接的标准过程如下:

■首先，请求端(客户端)发送一个包含SYN标志的

TCP报文，SYN即同步(Synchronize),同步报文会

指明客户端使用的端口以及TCP连接的初始序号。

■服务器在收到客户端的SYN报文后，将返回一个

SYN+ACK的报文，表示客户端的请求被接受，同时

TCP序号被加一，ACK即确认

(Acknowledgement)。

-最后，客户端也返回一个确认报文ACK给服务器端，

同样TCP序列号被加1,到此一个TCP连接完成。

■以上的连接过程在TCP协议中被称为三次握手(Three-

wayHandshake)

38

•假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么

服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的

（第三次握手无法完成），这种情况下服务器端一般会重试（再

次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的

连接，这段时间的长度称为SYN超时（Timeout）,一般来说这

个时间是分钟的数量级（大约为30秒到2分钟）.

•如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维

护一个非常大的半连接列表而消耗非常多的资源：数以万计的半

连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内

存.。

•服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客

户的正常请求（毕竟客户端的正常请求比率非常之小）。最后的

结果往往是堆栈溢出崩溃.

39

SYN-Flooding攻击

正常的三次握手建立通讯的过程

发起方应答方

40

SYN-Flooding攻击

攻击者伪造源地址进行SYN请求为何还

就是让没回应

你白等

SYN（我可以和你连接吗？）

ACK|SYN（可以，请确认！）

I

?•?•?•

而i而而谕

不能建立正常的连接

受害者

攻击者其它正常用户得不到响应

41

SYN-Flooding攻击

不能建立正常的连接受害者

正常用户

42

针对SYN・Flooding攻击的防范措施

（一）SYNDefender

攻击者伪造源地址进行SYN请求

其它正常用户能够得到响应

攻击者目标

43

针对SYN・Flooding攻击的防范措施

（二）SYNproxy

其它正常用户能够得到响应

攻击者目标

44

⑤Land攻击

■概览：在Land攻击中将一个SYN包的原地址

和目标地址都设置成同一服务器地址，导致

接受服务器向自己的地址发送SYN-ACK消息,

结果这个地址又发回ACK消息，并创建一个

空连接，每一个这样的连接都将保留直到超

时掉。对Land攻击反应不同，许多UNIX实现

将崩溃，NT则变得极其缓慢，大约持续五分

车中。

45

ILand攻击

i———

■源地址和目标地址相同!

■即目标与自己在联接。

不能建立正常的连接受害者

正常用户

46

Land攻击

4

目标

2

欺骗性的IP包

源地址2Port139

目的地址2Port139

TCPOpen

47

Land攻击

48

*巨绝服务”的保护：代理类的防火墙

目标

2

IP包欺骗防火墙

源地址2Port139

目标地址2Port139

TCPOpen

防火墙把有危险的包

阻隔在网络外

49

■防御：打最新的补丁或者在防火墙进行

配置，将那些在外部接口上入站的含有

内部源地址滤掉，包括10域127域

192J68域17216至以72・31域。

50

⑥Smurf攻击

Smurf是一种具有放大效果的DoS攻击

,具有很大的危害性。这种攻击形式利用了

TCP/IP中的定向广播特性，共有三个参与

角色：受害者、帮凶（放大网络，即具有广

播特性的网络）和攻击者。攻击者向放大网

络中的广播地址发送源地址（假冒）为受害

者系统的ICMP回射请求，由于广播的原因

,放大网络上的所有系统都会向受害者系统

做出回应，从而导致受害者不堪重负而崩溃

51

52

Smuff攻击示意图

第一步：攻击者向被利用网络A的广播地址发送一个

ICMP协议的‘echo,请求数据报，该数据报源地址被

伪造成

VictimA:

AttackerNetworlc