《保障与安全攻击.ppt》由会员分享,可在线阅读,更多相关《保障与安全攻击.ppt(61页珍藏版)》请在三一办公上搜索。
1、1,攻击(1),一、攻击的基本概念,2,1、攻击的位置,一、攻击的一些基本概念,简单的入侵一个个人用户的机器,或是使某个大型主机完全瘫痪直至破坏掉所有的数据,都称为攻击。(1)远程攻击:从该子网以外的地方向该子网或者该子网内的系统发动攻击(时间、地点)。(2)本地攻击:通过所在的局域网,向本单位的其他系统发动攻击,在本机上进行非法越权访问也是本地攻击。(3)伪远程攻击:指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象。,3,2、攻击的层次,一、攻击的一些基本概念,1)简单拒绝服务(如邮件炸弹攻击).2)本地用户获得非授权读或者写权限3)
2、远程用户获得了非授权的帐号4)远程用户获得了特权文件的读写权限5)远程用户拥有了根(root)权限),4,3、攻击的目的,一、攻击的一些基本概念,1)进程的执行2)获取文件和传输中的数据3)获得超级用户权限4)对系统的非法访问5)进行不许可的操作6)拒绝服务,7)涂改信息8)暴露信息9)挑战10)政治意图11)经济利益12)破坏,5,4、攻击的人员,一、攻击的一些基本概念,1)黑客:为了挑战和获取访问权限2)间谍:为了政治情报信息3)恐怖主义者:为了政治目的而制造恐怖4)公司雇佣者:为了竞争经济利益5)职业犯罪:为了个人的经济利益6)破坏者:为了实现破坏,6,5、攻击的工具,一、攻击的一些基本
3、概念,1)用户命令:攻击者在命令行状态下或者图形用户接口方式输入命令。2)脚本或程序:在用户接口处初始化脚本和程序。3)自治主体:攻击者初始化一个程序或者程序片断,独立地执行操作,挖掘弱点。4)工具箱:攻击者使用软件包(包含开发弱点的脚本、程序、自治主体)。5)分布式工具:攻击者分发攻击工具到多台主机,通过协作方式执行攻击特定的目标。6)电磁泄漏,7,6、攻击的时间,一、攻击的一些基本概念,大部分的攻击(或至少是商业攻击时间)一般是服务器所在地的深夜。客观原因。在白天,大多数入侵者要工作或学习,以至没空进行攻击。速度原因。网络正变得越来越拥挤,因此最佳的工作时间是在网络能提供高传输速度的时间速
4、率的时间。保密原因。白天系统管理员一旦发现有异常行为。他们便会跟踪而来。,8,二、远程攻击的步骤,9,1、寻找目标主机并收集目标信息,二、远程攻击的步骤,1)锁定目标 因特网上每一台网络主机都有一个名字,术语称做域名;然而在网上能真正标识主机的是IP地址,域名只是用IP地址指定的主机便于好记而起的名字。利用域名和IP地址都可以顺利找到主机。DNS协议不对转换或信息的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。黑客只需实施一次域转换操作就能得到所有主机的名称以及内部IP地址。,10,1、寻找目标主机并收集目标信息,二、远程攻击的步骤,2)服务分析 用提供不同服务的应用程序试一试就
5、知道了,例如:使用Telnet、FTP等用户软件向目标主机申请服务,如果主机有应答就说明主机提供了这个服务,开放了这个端口的服务。黑客常用一些象PORTSCAN这样的工具软件,对目标主机一定范围的端口进行扫描。这样可全部掌握目标主机的端口情况。HAKTEK是一个非常实用的工具软件,它将许多应用集成在一起的工具,其中包括:Ping、IP地址范围扫描、目标主机端口扫描、邮件炸弹、过滤邮件、Finger主机等是非常实用的工具。,11,1、寻找目标主机并收集目标信息,二、远程攻击的步骤,3)系统分析 目标主机采用的是什么操作系统。黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包
6、传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法。通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。打开WIN95的RUN窗口,然后输入命令:Telnet(目标主机)然后按确定,会出现什么?Digital UNIX()(ttyp1)login:,12,Telnet,也就是虚终端服务。它允许一台主机上的用户登录进另一台远程主机,并在远程主机中工作,而用户当前所使用的主机好象仅仅是远程主机的一个终端。FTP,即文件传输协议。提供了一个有效的途径,将数据从一台主机传送到另一台主机。文件传输有文本和二进制两种模式。文本模式用来传输文本文件,并实现
7、一些格式转换。SMTP,即电子邮件服务使用缺省的端口25,以电子数据的方式,使用户快速、方便地传送信息。即使相隔大洲、大洋,电子邮件也可以在短短的几分钟内到达接收方的电子信箱。HTTP,即超文本传输协议,用来在WWW服务器上取得用超文本标记语言书写的页面。,13,1、寻找目标主机并收集目标信息,二、远程攻击的步骤,4)获取帐号信息 对于陌生的目标主机可能只知道它有一个ROOT用户,至于其他帐户一无所知,要想登录目标主机我们至少要知道一个普通用户.a.利用目标主机的Finger功能 对黑客软件HAKTEK,它的Finger功能可以完全胜任,记录帐号信息,经过一段时间的监测,就会积累一定的帐号信息
8、。finger很可能暴露入侵者的行为,为了避免finger查询产生标记,绝大多数入侵者使用finger gateways(finger网关)。,14,1、寻找目标主机并收集目标信息,二、远程攻击的步骤,b.来源于电子邮件地址 有些用户电子邮件地址(指符号前面的部分)与其取邮件的帐号是一致的c.非常全面的X.500功能 有些主机提供了X.500的目录查询服务。如何知道是否提供X.500的功能,扫描目标主机的端口,如果端口105的状态已经被激活,在自己的机器上安装一个X.500的客户查询的工具,选择目标主机,可以获得意想不到的信息。,15,1、寻找目标主机并收集目标信息,二、远程攻击的步骤,d.习
9、惯性常用帐号 根据平时的经验,一些系统总有一些习惯性的常用帐号,这些帐号都是系统中因为某种应用而设置的。例如:制作WWW网站的帐号可能是html、www、web等,安装ORACLE数据库的可能有oracle的帐号,用户培训或教学而设置的user1、user2、student1、student2、client1、client2等帐户,一些常用的英文名字也经常会使用,例如:tom、john等,因此可以根据系统所提供的服务和在其主页得到的工作人员的名字信息进行猜测。,16,1、寻找目标主机并收集目标信息,二、远程攻击的步骤,5)获得管理员信息 运行一个查询命令host,可获得保存在目标域服务器中的所
10、有信息。WHOIS查询,可识别出技术管理人员。运行一些Usenet和WEB查询。系统管理员的职责是维护站点的安全,当他们遇到各种问题时,许多管理员会迫不及待地将这些问题发到Usenet或邮件列表上以寻求答案。只要肯花一些时间来寻找此系统管理员的地址(和其他的一些信息)便能彻底地了解他的网络、他的安全概念以及他的个性。因为发出这种邮件的系统管理员总会指明他们的组织结构、网络的拓补结构和他们面临的问题。,17,2、攻击测试,二、远程攻击的步骤,大部分的入侵者并不想尝试这种行为,因为这需要一定的费用。在此步骤中,首先要建立一个和目标一样的环境。一旦将此环境建立起来后,就可对它进行一系列的攻击。在此过
11、程中,有两件事需要注意:(l)从攻击方来看这些攻击行为着上去像什么,(2)从被攻击方来看这些攻击行为看上去像什么。通过检查攻击方的日志文件入侵者能大致了解对一个几乎没有保护措施的目标进行攻击时攻击行为看上去像什么。,18,3、各种相关工具的准备,二、远程攻击的步骤,紧接着应该收集各种实际使用的工具,最有可能是一些扫描工具,判断出目标网上的所有设备。基于对操作系统的分析需要对工具进行评估以判断有哪些漏洞和区域它们没有覆盖到。在只用一个工具而不用另一个工具就可覆盖某特定设备的情况下,最好还是同时使用这两个工具。这些工具的联合使用是否方便主要依赖于这些工具是否能简易地作为外部模块附加到一个扫描工具上
12、如 SATAN或 SAFESuite。在此进行测试变得极为有价值,因为在多数情况下附加一个外部模块让它正常地工作并不那么简单。为了得到这些工具工作的确切结果,最好先在某台机器上进行实验。,19,4、攻击策略的制定,二、远程攻击的步骤,没有任何理由就实施入侵是很不明智的。攻击策略主要依赖于入侵者所想要达到的目的。需要说明的是扫描时间花得越长,也就是说越多的机器被涉及在内,那么扫描的动作就越有可能被发现;同时有越多的扫描数据需要筛选,因此,扫描的攻击的时间越短越好。因为你所想要的是一个主系统上或者是一个可用的最大网段的根权限,所以对一个更小、更安全的网络进行扫描不可能获得很大的好处。无论如何,一旦
13、你确定了扫描的参数,就可以开始行动了。,20,5、数据分析,二、远程攻击的步骤,完成扫描后,开始分析数据。首先应考虑通过此方法得到的信息是否可靠(可靠度在某种程度上可通过在类似的环境中进行的扫描实验得到。)然后再进行分析,扫描获得的数据不同则分析过程也不同。在SATAN中的文档中有一些关于漏洞的简短说明,并且直接而富有指导性。如果找到了某个漏洞,就应该重新参考那些通过搜索漏洞和其他可用资源而建立起来的数据库信息。在真正理解了攻击的本质和什么应从攻击中剔除之前,可能要花上数个星期来研究源码、漏洞、某特定操作系统和其他信息,这些是不可逾越的。在攻击中经验和耐心是无法替代的。一个经过很好计划和可怕的
14、远程攻击,需要实施者对TCPIP以及系统等方面的知识有着极深刻的了解。,21,6、实施攻击,二、远程攻击的步骤,获得了对攻击的目标系统的访问权后,可能有下述多种选择:毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便今后继续访问这个系统。在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的帐号名和口令等等。发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击。如果获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,破坏整个系统的信息。,22,三、攻击
15、的分类,23,攻击的分类,在最高层次,攻击可被分为两类:1、主动攻击 主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息;伪造无效IP地址去连接服务器,使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此,如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。,24,主动攻击和被动攻击,主动攻击(Active threats)阻断(Interruption)切断通信路径或端系统,破坏网络和系统的可用性篡改(Modification)未经授
16、权,修改信息,破坏系统或数据的完整性,源,目的,25,主动攻击和被动攻击,主动攻击重演(Replay),重放捕获一个数据单元,在以后的某个时机重传伪造(Fabrication)假冒另一个实体发送信息拒绝服务(Denial of Service)通过耗尽目标系统的资源(计算资源、通信资源、存储资源)危害目标系统的正常使用,B,源,目的,26,主动攻击和被动攻击,2、被动攻击被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。,27,主动攻击和被动攻击,被动攻击(Passive Attack)窃听:Sniffer,Wiretappi
17、ng,Interception流量分析(Traffic analysis):通过对通信业务流的观察(出现、消失、总量、方向与频度),推断出有用的信息,比如主机的位置,业务的变化等等,源,目的,sniffer,28,四、攻击步骤与方法,29,攻击步骤与方法,搜集信息 实施入侵 上传程序、下载数据 利用一些方法来保持访问,如后门、特洛伊木马 隐藏踪迹,30,入侵攻击,拒绝服务攻击 严格来说,拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。分布式拒绝服务攻击高速广泛连接的网络也为DDoS攻击创
18、造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。口令攻击攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的访问权,并能访问到用户能访问到的任何资源。,31,欺骗攻击,IP欺骗公司使用其他计算机的IP地址来获得信息或者得到特权。电子信件欺骗电子信件的发送方地址的欺骗。比如说,电子信件看上去是来自TOM,但事实上TOM没有发信,是冒充TOM的人发的信。WEB欺骗 越来越多的电子商务使用互连网。为了利用网站做电子商务,人们不得不被鉴别并被授权来得到信任。
19、在任何实体必须被信任的时候,欺骗的机会出现了。非技术类欺骗 这些类型的攻击是把精力集中在攻击攻击的人力因素上。它需要通过社会工程技术来实现。,32,会话劫持攻击,会话劫持(Session Hijack)是一种结合了嗅探以及欺骗技术在内的攻击手段。广义上说,会话劫持就是在一次正常的通信过程中,黑客作为第三方参与到其中,或者是在数据流(例如基于TCP的会话)里注射额外的信息,或者是将双方的通信模式暗中改变,即从直接联系变成 有黑客联系。会话劫持利用了TCP/IP工作原理来设计攻击。TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击,如HTTP、FTP、Telnet等。,33,缓冲区溢出攻击
20、,几十年来,缓冲区溢出一直引起许多严重的安全性问题。其中最著名的例子是:1988 年,因特网蠕虫程序在 finger 中利用缓冲区溢出感染了因特网中的数万台机器。引起缓冲区溢出问题的根本原因是 C(与其后代 C+)本质就是不安全的,没有边界来检查数组和指针的引用,也就是开发人员必须检查边界(而这一行为往往会被忽视),否则会冒遇到问题的风险。标准 C 库中还存在许多非安全字符串操作,包括:strcpy()、sprintf()、gets()等。,34,保留访问权限,在大多数情况下,攻击者入侵一个系统后,他可能还想在适当的时候再次进入系统。比如说,如果攻击者入侵了一个站点,将它作为一个对其他系统进行
21、攻击的平台或者是跳板,他就会想在适当的时候登录到这个站点取回他以前存放在系统里面的工具进行新的攻击。很容易想到的方法就是在这个已经被入侵的系统中留一个后门。但是,非常关键的是,不但要留下下次进入的通道,而且还要对自己所做的一切加以隐藏,如果建立起的后门马上就被管理员发现就没有任何用处了。,35,保留访问权限,后门和特洛伊木马 简单地说,后门(backdoor)就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。最简单的方法就是打开一个被端口监听代理所监听的代理,有很多软件可以做到这一点。,36,隐藏踪迹,当黑客成功获取了存取权限且完成了自己的预定目标后,他还有最后一个工作要完成-隐藏攻击踪迹
22、。这其中包括重新进入系统,将所有能够表明他曾经来过的证据隐藏起来。为达到这个目的,有四个方面的工作要做:日志文件大多数系统都是通过记录日志文件来检测是谁进入过系统并且停留了多长时间。根据日志文件所设置的级别不同,还可以发现他们做了些什么,对哪些文件进行了操作。,37,隐藏踪迹,文件信息 为了获得系统的存取权限和在系统中建立后门,攻击者通常必须对某些系统文件进行修改。当他们这样做后,文件的一些信息,比如说修改时间和文件长度就会发生变化,通过这些也可以确定系统是否曾经遭受过攻击。,38,隐藏踪迹,另外的信息 在很多情况下,黑客为了达到进入系统获取权限目的,必须另外上传或者安装一些文件。这些用来隐藏
23、踪迹或者用来对别的站点进行新攻击的文件通常会占用一定的磁盘空间。系统管理员可以通过磁盘空余空间的检查来确定是否发生过攻击。,39,隐藏踪迹,网络通信流量 当黑客对某个系统进行攻击时,大多数情况下是通过网络进行的。这也意味着攻击者必须对自己在网络上留下的痕迹进行清除。由于网络系统都运行着IDS(入侵检测系统),任何可疑的网络通信都会被打上标记。而要抹去IDS上的记录是非常困难的,因为它是实时监测的。,40,五、实例,41,社会工程学攻击,社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希
24、望渗透的组织那里获得信息。举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。,42,社会工程学攻击,目前社会工程学攻击主要包括两种方式:打电话请求密码和伪造Email1、打电话请求密码 尽管不像前面讨论的策略那样聪明,打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。2、
25、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息,这样的Email消息是真的,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。,43,物理攻击与防范,物理安全是保护一些比较重要的设备不被接触。物理安全比较难防,因为攻击往往来自能够接触到物理设备的用户。,44,案例1得到管理员密码,用户登录以后,所有的用户信息都存储在系统的一个进程中,这个进程是:“winlogon.exe”,可以利用程序将当前登录用户的密码解码出来,如图所示。,45,案
26、例1得到管理员密码,使用FindPass等工具可以对该进程进行解码,然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录,执行该程序,将得到当前用户的登录名,如图所示。,46,权限提升,有时候,管理员为了安全,给其他用户建立一个普通用户帐号,认为这样就安全了。其实不然,用普通用户帐号登录后,可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。,47,案例2 普通用户建立管理员帐号,利用Hacker帐户登录系统,在系统中执行程序GetAdmin.exe,程序自动读取所有用户列表,在对话框中点击按钮“New”,在框中输入要新建的管理员组的用户
27、名,如图所示。,48,普通用户建立管理员帐号,输入一个用户名“IAMHacker”,点击按钮“确定”以后,然后点击主窗口的按钮“OK”,出现添加成功的窗口,如图所示。,49,暴力攻击,暴力攻击的一个具体例子是,一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解段单一的被用非对称密钥加密的信息,为了破解这种算法,一个黑客需要求助于非常精密复杂的方法,它使用120个工作站,两个超级计算机利用从三个主要的研究中心获得的信息,即使拥有这种配备,它也将花掉八天的时间去破解加密算法,实际上破解加密过程八天已是非常短暂的时间了。,50,字典文件,一次字典攻击能否成功,很大因素上取决于字典文件。一个
28、好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机,可以根据公司管理员的姓氏以及家人的生日,作为字典文件的一部分,公司以及部门的简称一般也可以作为字典文件的一部分,这样可以大大的提高破解效率。一个字典文件本身就是一个标准的文本文件,其中每一行就代表一个可能的密码。目前有很多工具软件专门来创建字典文件,下图是一个简单的字典文件。,51,暴力破解操作系统密码,字典文件为暴力破解提供了一条捷径,程序首先通过扫描得到系统的用户,然后利用字典中每一个密码来登录系统,看是否成功,如果成功则将密码显示。案例3 暴力破解操作系统密码 比如使用下图所示的字典文件,利用工具软件GetNTU
29、ser依然可以将管理员密码破解出来,如图所示。,52,53,暴力破解邮箱密码,邮箱的密码一般需要设置到八位以上,否则七位以下的密码容易被破解。尤其七位全部是数字,更容易被破解。案例4 电子邮箱暴力破解 破解电子邮箱密码,一个比较著名的工具软件是:黑雨POP3邮箱密码暴力破解器,比较稳定的版本是,主界面如图所示。,54,55,暴力破解软件密码,目前许多软件都具有加密的功能,比如Office文档、Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话,同样容易被破解。案例5 Office文档暴力破解,56,57,修改权限密码,在对话框中选
30、择选项卡“安全性”,在打开权限密码和修改权限密码的两个文本框中都输入“999”,如图所示。,58,输入密码,保存并关闭该文档,然后再打开,就需要输入密码了,如图所示。,59,破解Word文档密码,该密码是三位的,使用工具软件,Advanced Office XP Password Recovery可以快速破解Word文档密码,主界面如图所示。,60,破解Word文档密码,点击工具栏按钮“Open File”,打开刚才建立的Word文档,程序打开成功后会在Log Window中显示成功打开的消息,如图所示。,61,破解Word文档密码,设置密码长度最短是一位,最长是三位,点击工具栏开始的图标,开始破解密码,大约两秒钟后,密码被破解了,如下图所示。,
