《1黑客攻击手段和方式.ppt》由会员分享,可在线阅读,更多相关《1黑客攻击手段和方式.ppt(60页珍藏版)》请在三一办公上搜索。
1、网络安全,课程的目的,给普通用户提供有关安全方面的综合信息给系统管理人员提供参考提高大家对安全知识的必要性的认识,主要内容,网络安全的基本概念常见攻击手段和工具网络安全的任务保障网络安全采取的措施,网络安全基础知识,什么是网络安全?网络安全是一门涉及计算机科学、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科,是指网络系统的硬件、软件及其系统中的数据受到保护、不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常的运行,网络服务不中断。从本质上讲,网络安全就是网络上的信息安全。,网络安全基础知识,为什么网络安全变得非常重要进行网络攻击变得越来越简单越来越
2、多的个人或公司连入Internet并不是所有的用户都具有基本的安全知识,国外网络安全案例,94年末,俄罗斯黑客弗拉基米尔利文与其伙伴向美国CITYBANK银行发动攻击,以电子转账方式,窃取了1100万美元。96年初,据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计,有53%的企业受到过计算机病毒的侵害,42%的企业的计算机系统在过去的一年里被非法使用过。96年,美国司法部、美国中央情报站、美国空军的网络相继受到攻击。2000年由于电脑病毒以及黑客的攻击,至少给美国的企业带来了2660亿美元左右的损失。,国内网络安全案例,96年2月,刚开通不久的Chinanet受到攻击,且攻击得逞.9
3、6年秋,北京某ISP的服务器受到其用户的攻击,致使服务中断了数小时。98年春节,华中理工大学的官方网站受到攻击,主页被修改达一个月之久。2001年有中美撞击事件引发的中美黑客大战,中方据说攻击美国网站超过1000个。美国黑客组织PoisonBOx袭击了至少一百家中国网站。,常见不安全因素,物理因素网络因素系统因素应用因素管理因素,常见攻击手段和工具,网络扫描口令入侵特洛伊木马信息窃取隐藏身份破坏装置IP电子欺骗平台安全性,扫描器,什么是扫描器扫描器是自动监测远程或本地主机安全性弱点的程序。扫描器如何工作真正的扫描器是TCP端口扫描器,这种程序选通TCP/IP端口和服务,并记录目标的回答。通过这
4、种方法,可以搜集到关于目标主机的有用信息。,扫描器,用于检查系统中可能存在的缺陷和服务及设置管理方面的弱点。可查出OS类型、开放的端口,可搜集本网段的IP地址,再对这些地址进行扫描来报告出FTPD脆弱性、NFS脆弱性、sendmail脆弱性、rexd如何等。,法律上禁止使用,SATAN,ISS,扫描器,为什么扫描器对Internet安全性很重要扫描器对Internet安全性之所以很重要,是因为它们能发现网络的弱点。至于这一信息是否被“黑客”或入侵者使用并不重要。如果系统管理人员使用了扫描器,它将直接有助于加强系统安全性;如果它被“入侵者”使用,也同样有助于加强系统安全性。这是因为一旦某个漏洞被
5、“入侵者”发现,那么人们最终是会发现的。如果一个系统管理人员不能使其网络足够安全,那么他的工作失误就会以网络安全漏洞的形式暴露出来。,扫描器,早期的扫描器-war dialerToneloc扫描器的属性寻找一台主机或一个网络一旦发现一台机器,可以找出机器正在运行的服务测试具有有漏洞的那些服务,扫描器,扫描器Strobe-能够快速的识别指定机器上正在运行什么服务。SATAN-运行于Unix之上,扫描远程主机已知的漏洞。Network Toolbox-windows上的端口扫描器ISS公司()的Internet Security Scanner等。,口令入侵,口令不会被解开,多数口令加密过程都是单
6、向、不可逆的。但是可以使用仿真工具,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去取匹配原口令。,口令入侵,采用“蛮力”的方法来分析指定用户的口令。,CRACK程序,口令表,加密系统,比较,成功,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,不同,找到,字典,口令设置的特别方法 口
7、令中加空格 不要用字头加号码的方法 基于语句的口令:我是华工学人Ws Hg Xr,wH hO xE 基于键盘的口令:6413714Yrq Euqr,Hfa Djaf,口令入侵,口令入侵,口令破解工具John the Ripper 运行于DOS/Windown95平台LC3 Windows2000/NT 口令破解http:/,特洛伊木马,一种未经授权的程序,或在合法程序中有一段未经授权的程序代码,或在合法程序中包含有一段用户不了解的程序功能。上述程序对用户来说具有恶意的行为。,PKZIP300,什么是特洛伊木马程序?,UNIX的特洛伊木马,对一般用户正常响应,保持原功能,识别是用户FANG,将之
8、赋予ROOT权限,wldfingerD,FingerD,拥有ROOT权限,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,FANG在退出前注销ROOT权限,以免被系统人员查出,取消ROOT权限,对运行程序进行信息签名以识别其未被篡改。利用TAMU之类的安全工具程序包来预防。,特洛伊木
9、马,特洛伊程序的由来特洛伊程序是由编程人员创造的。它的作者都有着自己的意图。这种意图可以是任意的。但是基于在Internet的安全的前题,一个特洛伊程序将要做的是下列两件事中的一件(或两者兼有):提供一些功能,这些功能可以泄露一些系统的私有信息给程序的作者或者控制该系统。隐藏了一些功能,这些功能能够将系统的私有信息泄露给程序的作者,或者能够控制该系统。,特洛伊木马,特洛伊程序代表哪一级别的危险?特洛伊程序代表了一种很高级别的危险,主要是因为我们已经提到的几中原因:特洛伊程序很难以被发现在许多情况下,特洛伊程序是在二进制代码中发现的,它们大多数以无法阅读的形式存在特洛伊程序可作用于许多机器中,特
10、洛伊木马,用netstat对系统的守护进程端口号进行扫描,以检测是否存在未知的守护进程。利用ISS之类的扫描器进行检测。,特洛伊木马,Back Orifice 工作于windows95/98,client/server结构,使被安装计算机能够从远程控制BoDetect v3.5Back Orifice 2000(All variations!)SubSeven(16 different variations)PrettyPark Internet Worm Hack Attack Back Orifice(6 different variations)Netbus(7 variations),
11、对特洛伊木马程序的防范,利用TAMU之类的安全工具程序包来预防,所用的网络相对封闭,轻易不 与外界联系,检查自己的文件,采用数字签 名技术,防住第一次进入是至关重要的,信息窃取,搭线窃听捕包,linsniff,sniffit,tcpdump,收音机+MODEM,建立屏蔽措施,防止硬件窃听,数据加密,防止破译,特定软件可查获窃听者,信息窃取,sniffer既可以是硬件,也可以是软件,它用来接收在网络上传输的信息。sniffer成为一种很大的危险,因为:它们可以截获口令它们可以截获秘密的或专有的信息它们可以被用来攻击相邻的网络,信息窃取,Ethereal 最好的freeware snifferht
12、tp:/NetXray 网络协议分析工具Analyzer:a public domain protocol analyzerhttp:/netgroup-serv.polito.it/analyzer/http:/,数据加密防信息窃取技术,数据加密分为私钥及公钥密码体制两种,其中私钥密码体制用于存储和传输安全信息(如口令、密钥、权限表和认证结果等)和文件内容(如电子邮件、数据传输、图形声音等)的加密解密等。公钥密码体制用于进行密钥分配、身份认证等。,安全的加密方法是指对手找不到更好的攻击方法,只能通过穷举密钥的手段进行解密,即解密的难度与密钥空间成正比。,隐藏身份,在设计Internet时,设
13、计者假定所有的用户都希望能被别人发现,觉得没有人有理由把自己隐藏起来;同时研究人员能够定位到每一个人的要求也是合理的。因此制造了有许多能够提供方便的查询方式的工具。,隐藏身份,常见的Unix查询服务finger.planwhois/etc/passwd危险的 ypcat,隐藏身份,关于cookieCookie现在主要用来存放当用户浏览主页是的一些信息。“这个简单的机制提供了一个强有力的工具,它使得一种新的基于Web环境的应用程序可以被开发出。网络购物应用程序现在可以存储当前选项的信息。对于免费的服务,它可以送回注册信息,从而客户在重新连接使不比输入userid,节点可以存储每个用户喜爱的悬想,
14、而且使得每次连接到这个节点时,客户端都支持这些选项。”,隐藏身份,Cookie并不是无害的!D.Krisol和L.Montulli在RFC2109中这样解释的:“原始的服务器可以设置一套cookie头来跟踪用户在服务器上走过的路径。用户可以反对这种行为,因为这种积累信息的行为具有侵略性,即是他们的身份是不明显的(身份可以通过发送一个填有身份信息的表格而明确起来)。”,隐藏身份,用cookie做用户权限控制是不安全的!一些Java脚本程序(或Perl脚本程序)被设计来得到你的IP地址,这种类型的代码也可以用来得到你用的浏览器类型、你的操作系统等等。,隐藏身份,whois服务Whois服务包含了所
15、有Internet节点的登录信息。Whois主要位于.登录数据有每个Internet节点上的详细信息,包括域名服务器、技术联系、电话号码以及地址。,破坏装置,破坏装置破坏装置即可以是一种软件,也可以是一种技术。其目的是达到下列目的:使别人感到烦恼破坏数据这种装置通常是底层的工具和技术,但是随着GUI的广泛应用,这种装置越来越容易得到和便于使用。,破坏装置,最典型的四种装置逻辑炸弹网络炸弹Denial of Service工具病毒,逻辑炸弹,逻辑炸弹是程序中的一部分,满足一定条件时激活某种特定的程序,并产生系统自毁,并附带破坏。,逻辑炸弹,潜伏代码,满足条件否?,满足而爆炸,防护方法:软件黑盒测
16、试,满足而爆炸,伊拉克的打印机香港的银行系统上海的控制系统KV300.,系统仿真,网络炸弹,以利用计算机协议处理的漏洞来攻击网上计算机使之死机为目的的网络程序。,攻击IP协议的网络炸弹,IP协议处理,死机,假长度攻击,防范方法:堵住协议处理的漏洞,newtear,boink,nestea,更新IP处理,用Telnet向80口发也可摧毁Windows NT,向139端口发0字节也可摧毁Windows95/NT,必须对恶意攻击的情况作假设,邮件炸弹,服务阻塞攻击,MAIL服务处理,停止服务,大量的Mail请求阻碍服务器,MailBomb,KaBoom!,防范方法:返回同样的信息,返回类似MAIL信
17、息,返回相应的Mail信息,拒绝服务攻击,Denial of Service工具Ping of Death这是一个非常简单的技术,通过发送异常的、大的用来进行ping操作的包,当目标收到这些包的时候,就会“死掉”。在这种状态下,机器只能重新启动。早期的WindowsNT 3.51就受这种攻击影响。Syn Flooder它采用的也是一种非常简单的flooding技术,它通过向某个服务不断发送请求,但是却不真正完成它,来耗尽服务器的端口资源。从而让服务器陷入瘫痪。,拒绝服务攻击,DNSkiller用来杀掉WindowsNT 4.0 DNS服务的工具。目前Linux等Unix平台,已经可以防止单纯的
18、DoS攻击。很多路由器和防火墙厂家也在路由器加入了这个功能。,病毒,病毒随着Internet的出现,病毒比以往具有更大的危害性。Internet大大的加速了病毒的传播速度。一个计算机病毒是一个程序,有时是破坏性的(但并不总是这样)。它被设计为可以在计算机之间传播,感染它所经过的每一个地方。“感染”的过程通常是病毒把自己附着于其他文件之中。,病毒,这和特罗伊木马有明显不同。特罗伊木马是一个静态的程序,它存在于另外一个无害的程序之中。特罗伊木马不能从一台机器传播到另外一台机器,除非那个包含着特罗伊马程序的程序被传播。这些代码执行未经授权的功能,或者提供一个后门。后门指的是一种隐蔽的方法,通过它攻击
19、者可以进入那台机器,并获得控制权利。,病毒,病毒是自我复制的。病毒的自我复制是通过把自己附着于某一类文件之中来进行的。编制病毒也变得越来越简单!有许多可以使用的病毒制造工具Virus Creation LaboratoriesVirus FactoryVirus Creation 2000Virus Construction SetThe Windows Virus Engine,病毒,目前在Unix上的病毒较少,Unix的结构决定了它不适合病毒的传播。病毒工具Norton http:/等目前也没有根治病毒的有效方法,即使在采用了防病毒软件之后,也一样要经常进行备份。,IP电子欺骗,IP电子欺
20、骗就是伪造他人的源IP地址。其实质就是让一台机器扮演另一台机器。常见的攻击过程让被替代的机器A休眠发现目标机器B的序列号规律冒充机器A向机器B发出请求,算出机器应该发来什么序列号,给出机器B想要的回应。,IP电子欺骗,这样就可以利用机器B对机器A的信任关系进行攻击。IP电子欺骗并不容易:此技术只适用于少数平台这项技术复杂难懂,甚至对接密高手也是如此。用户可以很容易防范IP欺骗攻击,IP电子欺骗,怎样防止IP欺骗的攻击在路由器上通过配置你的网络系统参数,拒绝网络中声明来自本地的数据包。其它形式的电子欺骗DNS欺骗,平台安全性,漏洞漏洞是指任意的允许非法用户未经授权获得访问许可或提高其访问层次的硬
21、件或软件特征。没有一个系统是真正安全的,只能做到相对的安全。,平台安全性,存在不同类型的漏洞:允许拒绝服务的漏洞允许有权限的本地用户未经授权提高其权限的漏洞允许外来团体(在远程主机上)为经受权访问网络,平台安全性,我们可以按照严重程度进行分级:C级 允许恶意侵入者访问可能会破坏整个系统的漏洞常见缺省的CGI脚本B级 允许本地用户提高访问权限,可能允许其获得系统控制的漏洞rsh,暴露的/etc/passwd文件A级 允许任何用户中断、降低或妨碍系统操作的漏洞DoS,平台安全性,允许拒绝服务的漏洞允许拒绝服务的漏洞属于C类。这种攻击几乎都是基于操作系统的。也就是说这些漏洞存在于操作系统的网络传送本
22、身。当存在这种漏洞的时,必须通过软件开发者或销售商的弥补。某些拒绝服务攻击的实现可以针对个人。不涉及任何bug或漏洞,而是利用了WWW基本设计。这种类型一般列入恶意代码中。,平台安全性,例如,可以通过Java Script在对方机器上产生大量浏览器窗口,使目标机进入长期停顿状态。允许本地用户非法访问的漏洞B级Sendmail缓冲区溢出危险的 gets(),平台安全性,允许用户未经授权访问A类典型的设置错误是存放在驱动器上的例子脚本。这种漏洞每天都在Internet上重复!比如web服务器自带的例子文件。如早期Apache Server带的 test_cgiecho QUERY_STRING=$QUERY_STRING,平台安全性,其它A类漏洞FTPTelnetSendmailNFSARPPortmapfinger,平台安全性,漏洞对于Internet安全性的影响任何攻击者可利用的缺陷可能导致别的缺陷。就是说,每个权限(或大或小)在网络链中都是一个环节。破坏了一个环节,攻击者就有希望破坏其它的环节。漏洞问题严重的程度大部分漏洞都是C级漏洞及时安装补丁软件和采用规避方法,能防止大多数B,A类攻击。,平台安全性,常用的安全信息主页http:/http:/www.cert.org,
