网络安全Chapter09

第九章黑客技术和漏洞扫描2本章内容黑客技术黑客的动机黑客攻的流程黑客技术概述针对网络的攻击漏洞扫描计算机漏洞实施网络扫描常用扫描攻击不同的扫描策略3黑客的动机黑客命名飞客“phreak”早期攻击电话网的青少年，研究各种盗打电话而不用付费的技术。黑客“Hacker”一个给予喜欢发现和解决技术挑战、攻击计算机网络系统的精通计算机技能的人的称号，与闯入计算机网络系统目的在于破坏和偷窃信息的骇客不同。骇客“Cracker”一个闯入计算机系统和网络试图破坏和偷窃个人信息的个体，与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。快客“Whacker”从事黑客活动但没有黑客技能的人，whacker是穿透系统的人中，在技术和能力上最不复杂的一类。4黑客的动机黑客命名武士“Samurai”被他人雇佣的帮助他人提高网络安全的黑客，武士通常被公司付给薪金来攻击网络。幼虫“Lara”一个崇拜真正黑客的初级黑客欲望蜜蜂“Wannabee”处于幼虫的初始阶段的黑客的称呼，他们急于掌握入侵技术，但由于他们没有经验，因此即使没有恶意也可能造成很大危险黑边黑客（Dark-Side）是指由于种种原因放弃黑客的道德信念而恶意攻击的黑客半仙“Demigod”一个具有多年经验在黑客团体具有世界级声誉的黑客。5黑客的动机从行为上划分，黑客分为两种白帽：长期致力于改善计算机社会及其资源，为了改善服务质量及产品，他们不断寻找弱点及脆弱性并公布于众黑帽：主要从事一些破坏活动，是一种犯罪行为，他们的动机是：好奇心、个人声望、智力挑战、窃取情报、报复、获取非法利益、政治目的6本章内容黑客技术黑客的动机黑客攻的流程黑客技术概述针对网络的攻击漏洞扫描计算机漏洞实施网络扫描常用扫描攻击不同的扫描策略7黑客攻击的流程黑客攻击流程图8黑客攻击的流程1.踩点踩点的目的是为了获取目标的如下信息：网络域名、网络地址分配、DNS服务器、邮件服务器和网关等关键系统的位置及软硬件信息内部网络独立地地址空间和名称空间远程访问模拟/数字电话号码和VPN访问点Internet与合作伙伴及子公司的网络的连接地址、连接类型及访问控制机制其他信息9黑客攻击的流程1.踩点信息搜集技术1）开放信息搜索：从开放的信息中提取关心的内容2）whois查询：whois是Internet域名注册数据库，通过查询该数据库获得以下重要信息：注册机构，得到特定的注册信息和相关的whois服务器机构本身，得到与特定目标相关的特定信息域名，得到与某个域名相关的全部信息网络，得到与某个网络或IP相关的全部信息联系点，得到某个联系人相关信息3）DNS区域传送DNS区域传送是DNS服务器的冗余机制，通过该机制，DNS辅服务器能从主服务器更新自己的数据。正常情况下DNS区域传送机制只对辅DNS服务器开放，但当管理员配置错误时，将导致任何主机均可请求主DNS服务器提供一个区域数据备份，以致目标区域所有主机信息泄露10黑客攻击的流程2.扫描扫描用来确定目标网络范围内哪些系统时“活动”的，主要目的是使攻击者对目标系统所提供的各种服务进行评估，以便集中精力在最有希望的途径上发起攻击扫描技术：1）Ping扫射：判断主机是否“活动”的有效方式。Ping、fping和WS_ping2）端口扫描：连接到目标主机的TCP和UDP端口上，确定哪些服务正在运行及服务版本号，以便发现相应服务程序的漏洞，工具：Unix上的Netcat及Nmap，Windows上的superscan及NetScanToolPro200311黑客攻击的流程2.扫描扫描技术：3）操作系统检测：利用系统旗标信息和TCP/IP堆栈指纹识别目标主机的操作系统，以便找出漏洞。工具：Nmap、Queso、Siphon协议栈指纹识别：一类是主动识别，另一类则是被动识别主动协议栈指纹识别原理：由于TCP/IP协议栈技术只是在RFC文档中描叙，并没有一个统一的行业标准，于是各个公司在编写应用于自己的OS的TCP/IP协议栈时，对RFC文档做出了不尽相同的诠释，于是造成了各个OS在TCP/IP协议的实现上不同。12黑客攻击的流程主动协议栈指纹识别关于主动协议栈指纹识别这个领域最权威的论文是Fyodor发表在Phrack杂志上的《RemoteOSdetectionviaTCP/IPStackFingerPrinting》各种主动发送的探测数据包类型：FIN探测：根据RFC793文档，往目标主机上一个打开的端口发送一个FIN分组，正确的响应应该是无任何响应；但是，许多OS的TCP/IP协议栈实现上将返回一个FIN/ACK包[WINNT，CISCOIOS，HP/UX，IRIX等]BOGUS标记探测：发送一个含有未定义的TCP标记的TCP头的SYN包，一些OS[比如Linux]的回应将包含这个未定义的标记，在其它一些系统收到SYN+BOGUS包将关闭连接，利用这些特性可以标识一些OS。TCP初始窗口大小检测：简单检查返回的包里包含的窗口大小，某些OS在TCP/IP协议栈的实现中，这个值是独特的[AIX是0x3F25,NT和BSD是0x402E]，可以增加指纹鉴别的准确度。13黑客攻击的流程被动协议栈指纹识别被动协议栈指纹识别在原理上和主动协议栈指纹识别相似，但是它从不主动发送数据包，只是被动地捕获远程主机返回的包来分析其OS类型[版本]四种常用的被动签名[signature]：TTL值：Time-To-Live设置是什么窗口大小：OS设置的窗口大小DF：是否设置Don'tFragment[不分片]TOS：设置的服务类型14黑客攻击的流程2.扫描扫描技术：4）旗标获取：使用一个打开端口来联系和识别系统提供的服务及版本号，最常用的方法是连接到一个端口，按几次回车键，看返回什么类型信息15黑客攻击的流程2.扫描扫描技术：5）安全措施探查：判断目标网络使用了哪些安全防火措施，如防火墙、入侵检测、邮件过滤等a.获取目标网络路径信息目标网段信息：目标所在网段、掩码，安全区域划分目标路由信息：确认目标的具体路由情况，判断路径上的各种设备类型，路由器、交换机等b.了解目标前架设的安全设备的情况，确认目标是否安装了安全设施，防火墙、入侵检测和蜜罐系统c.了解目标使用安全设备的情况，包括入侵检测、日志审计、防病毒等16黑客攻击的流程3.查点查点是搜索特定系统上的用户和用户组名、路由表、SNMP信息、共享资源、服务程序及旗标等信息4.获取访问权获取用户名和密码，得到访问权限。技术主要是密码破解技术5.权限提升将普通用户权限提升到超级用户权限。权限提升所采取的技术主要有通过得到的密码文件，利用现有工具软件，破解系统上其他用户名及口令；利用不同操作系统及服务的漏洞（例如Windows2000NetDDE漏洞），利用管理员不正确的系统配置等。6.窃取进行一些敏感数据的篡改、添加、删除及复制17黑客攻击的流程7.掩盖踪迹清除所有入侵痕迹，避免自己被检测出来，以便能够随时返回被入侵系统护着最为入侵其他系统的跳板。掩盖总计主要工作有：禁止系统审计、清空事件日志、隐藏作案工具及使用人们称为rookit的工具组替换那些常用的操作系统命令。常用的的清除日志的工具有zap，wzap和wted18黑客攻击的流程8.创建后门在受害系统上创建一些后门及陷阱，一般入侵者日后以特权用户身份控制整个系统。创建后门的主要方法有：创建具有特权用户权限的虚假用户账号安装批处理安装远程控制工具使用木马程序替换系统程序安装监控机制感染启动文件19黑客攻击的流程9.拒绝服务攻击如果黑客未能成功地完成第四步的获取访问权，那么他们所能采取的恶毒的手段便是进行拒绝服务攻击。即使用精心准备好的漏洞代码攻击系统使目标服务器资源耗尽或资源过载，以致于没有能力再向外提供服务。攻击所采用的技术主要是利用协议漏洞及不同系统实现的漏洞20本章内容黑客技术黑客的动机黑客攻的流程黑客技术概述针对网络的攻击漏洞扫描计算机漏洞实施网络扫描常用扫描攻击不同的扫描策略21黑客技术概述黑客的工作主要是通过对技术和实际实现中的逻辑漏洞进行挖掘，通过系统允许的操作对没有权限操作的信息资源进行访问和处理。黑客对网络的攻击主要是通过网络中存在的拓扑漏洞以及对外提供服务的漏洞实现成功的渗透。黑客的技术范围很广，涉及网络协议解析、源码安全性分析、密码强度分析和社会工程学等多个不同的学科。22黑客技术概述目前，在实施网络攻击中，黑客所使用的入侵技术主要包括以下几种：协议漏洞渗透密码分析还原应用漏洞分析与渗透社会工程学拒绝服务攻击病毒或后门攻击23黑客技术概述常见的网络攻击手段控制类攻击：试图获得对目标机器控制权，如口令攻击、木马等探测类攻击：收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助，如端口扫描、网络嗅探等欺骗类攻击：冒充合法网络主机骗取敏感信息，或散步假消息实施攻击，如伪造电子邮件、IP地址欺骗等漏洞类攻击：对网络系统的各种漏洞实施的相应攻击，花样繁多破坏类攻击：对目标机器的数据或软件实施破坏，如计算机病毒、逻辑炸弹等阻塞类攻击：企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务，如拒绝服务攻击24黑客技术概述1.协议漏洞渗透通过对网络标准协议的分析，黑客可以利用协议的漏洞实现对目标网络的攻击。黑客通过这些协议漏洞开发出网络攻击技术，以会话侦听、劫持技术、地址欺骗技术较多25黑客技术概述1.协议漏洞渗透1）会话侦听与劫持技术以太网络使用共享的方式完成对数据分组的传送。在这种方式下，发往目的结点的分组数据实际上被发送给了所在网段的每一个结点。正是根据共享式的网络环境的数据共享特性，黑客技术中出现了会话窃听与劫持技术。只要把网卡设置成混杂模式，接收到目标网络中流动的所有数据信息。通过重组数据包将网络内容还原成明文信息。利用TCP协议的漏洞，黑客更可以对所窥探的TCP连接进行临时的劫持，以会话一方用户的身份继续进行会话26黑客技术概述1.协议漏洞渗透2）地址欺骗技术网络中大量简单的认证方式以主机的IP地址作为认证，即所谓的主机信任，提高了网络的易用性。网络的地址可以被假冒，这就是所谓IP地址的欺骗。通过对地址的假冒，入侵者可以获得所仿冒地址计算机的所有特权，也就容易攻入到其他给被仿冒计算机提供信任连接的计算机上，造成机密泄漏27黑客技术概述1.协议漏洞渗透2）地址欺骗技术ARP欺骗攻击攻击方可以通过伪造ARP请求与应答更新目标主机的ARP缓存从而骗过目标机，使目标机的数据包发给攻击者中间人攻击假设三台计算机A、B、C。机器C修改A的ARP缓存表，将表中B的IP地址对应的MAC地址改成C的MAC地址。当A给B发送数据时，就使用了B的IP地址与C的MAC地址，使给B发送的数据全部发给了C同理修改目标机B的ARP缓存表使A的IP地址对应的MAC地址改成C的MAC地址。最终A与B之间通信的数据就全部经过C，之后C又把数据发给A和B28黑客技术概述2.密码分析还原随着计算机运算速度的指数级提高，对加密算法的强度分析以及社会工程学的密码筛选技术的不断发展，现实网络中的大量密码可以在可接受的时间内被分析还原。只要严格要求网络所在用户的密码强度，还是可以避免大部分的密码分析还原攻击29黑客技术概述2.密码分析还原密码分析还原技术主要分为密码还原技术和密码猜测技术。对象主要是通过侦听手段获取到的认证数据信息，包括系统存储认证信息的文件或利用连接侦听手段获取的用户登录的通信信息数据30黑客技术概述2.密码分析还原1）密码还原技术主要针对的是强度较低的加密算法。通过对加密过程的分析，从加密算法中找出算法的薄弱环节，从加密样本中直接分析出相关的密钥和明文