黑客攻击和网络安全开篇世界头号电脑黑客的传奇故事凯文米特尼克1964年生于美国加州从小父母离异,使他性格内向、生活独立4岁的米特尼克就能玩一种美国流行的名为“拿破仑的滑铁卢”高智力游戏15岁的米特尼克入侵了“北美空中防务指挥系统”,一举成名信心大增的他,接着入侵“太平洋电话公司”,任意修改用户信息世界头号电脑黑客的传奇故事入侵联邦调查局,发现特工们正在调查一名黑客,而资料显示,黑客正是自己。第一次被捕,因不满16岁获得人们的同情,被从轻发落。获释后的他把目光转向信誉不错的大公司1988年被DEC公司指控,未被允许保释1993年联邦调查局设下圈套引诱米特尼克,被中途发现。世界头号电脑黑客的传奇故事米特尼克的逃跑历程,传言,他曾经控制加州的一个电话系统,窃听警察行踪。1994年,米特尼克发动对“圣迭戈超级计算机中心”的攻击,并引起与人称“美国最出色的电脑安全专家之一”的下村勉的对抗。1995年,下村勉利用米特尼克使用的无线电话的电波而逮捕了米特尼克。2000年,米特尼克出狱,并禁止接触任何和电子相关的物品。黑客攻击和网络安全步骤篇黑客攻击的步骤之一踩点-搜索相关信息:通过多种途径获得和目标系统有关的大量信息譬如域名、IP地址范围、邮件地址、用户帐号、网络拓扑、路由跟踪信息、系统运行状态等等黑客攻击的步骤之二扫描-探测漏洞:获取目标系统的直接信息,特别是目标系统的可被利用的缺陷。这部分主要包括:端口扫描、操作系统类型扫描、针对特定应用以及服务的漏洞扫描(重点如Web漏洞扫描、Windows漏洞扫描、SNMP漏洞扫描、RPC漏洞扫描和LDAP目录服务漏洞扫描)黑客攻击的步骤之三嗅探-sniff技术:通过嗅探,获得大量的敏感信息。我将先简略介绍在同一冲突域里面的嗅探原理,并重点介绍交换网络的嗅探技术。黑客攻击的步骤之四攻击-直捣龙门:通过前面的刺探,开始真正的攻击。一般的攻击方法:DoS攻击、DDoS攻击、口令破解攻击、网络欺骗攻击、会话劫持攻击等黑客攻击和网络安全案例篇北航50周年服务器被黑案例分析踩点访问查询北航相关信息Whois服务器的结果Whoisbuaa.edu.cn?BeijingUniversityOfAeronautics&astronautics(DOM)#37,XueYuanLuRoad,HaidianDistrictBeijing,BJ100083ChinaDomainName:BUAA.EDU.CNNetworkNumber:202.112.128.0-202.112.143.255AdministrativeContact,TechnicalContact:Li,Yunchun(YL4-CN)lych@buaa.edu.cn+8682317655Recordlastupdatedon19990305Recordcreatedon19990305DomainServersinlistedorder:maindns.buaa.edu.cn202.112.128.50NetworkNumber:202.112.128.0-202.112.143.255dig的查询结果;DiG9.2.0buaa.edu.cn;;globaloptions:printcmd;;Gotanswer:;;-HEADER-opcode:QUERY,status:NOERROR,id:46238;;flags:qraardra;QUERY:1,ANSWER:0,AUTHORITY:1,ADDITIONAL:0;;QUESTIONSECTION:;buaa.edu.cn.INA;;AUTHORITYSECTION:buaa.edu.cn.86400INSOAmanager.buaa.edu.cn.root.buaa.edu.cn1997102401108003600360000086400;;Querytime:1msec;;SERVER:202.112.128.51#53(202.112.128.51);;WHEN:ThuDec511:46:552002;;SERVER:202.112.128.51#53(202.112.128.51)查询DNS服务器信息使用Nslookup获取的条目信息ls-dbuaa.edu.cn[manager.buaa.edu.cn]buaa.edu.cn.SOAmanager.buaa.edu.cnroot.buaa.edu.cn.(1997102401108003600360000086400)buaa.edu.cn.NSmanager.buaa.edu.cnbuaa.edu.cn.MX10mail.buaa.edu.cnxscserverA211.71.4.110sccA202.112.133.6050thA202.112.128.47experimentNSns.experiment.buaa.edu.cnns.experimentA202.112.137.235重点扫描扫描网段重点网段:服务器所在网段202.112.128.0重点端口:21(ftp)、22(ssh)、23(telnet)、25(smtp)、53(dns)、79(finger)、80(http)、139(NetBIOS)、3389(remoteadmin)、8080(proxy)入侵模拟一:3389端口的入侵由于微软对中国产品不付责任的态度,使得安装了终端服务和全拼的w2k服务器存在着远程登陆并能获取超级用户权限的严重漏洞入侵模拟一:3389端口的入侵扫描3389端口入侵模拟一:3389端口的入侵用终端客户端程序进行连接入侵模拟一:3389端口的入侵利用拼音输入法漏洞入侵模拟一:3389端口的入侵入侵模拟二:嗅探器的使用通过嗅探往来目标主机的报文,从中发现可以利用的珍贵信息入侵模拟二:嗅探器的使用黑客攻击和网络安全技术篇技术篇之一:扫描过程中的隐藏技术IP地址欺骗扫描原理:客户端向服务器端发送端口连接数据报,但是报文的源IP地址填写为第三方的IP地址,这样服务器将向第三方返回确认信息。客户端通过观察第三方的反应就可以得知服务器端的指定端口有否打开。前提:第三方没有其他的网络活动IP数据包的ID值顺序增1A主机,192.168.0.1B主机,192.168.0.2NULL扫描RST+ACK,ID增量为1NULL扫描RST+ACK,ID增量为1A主机,192.168.0.1B主机,192.168.0.2SYNRST+ACKC主机,192.168.0.3NULL扫描RST+ACK,ID增量不为1A主机,192.168.0.1B主机,192.168.0.2SYNRST+ACKC主机,192.168.0.3SYN+ACK正常情况下B主机的反应被扫描C主机上的端口未监听被扫描C主机上的端口正在监听技术篇之二:嗅探器原理冲突域嗅探原理关于ip地址和MAC地址盗用的问题交换网络的嗅探原理嗅探对策冲突域嗅探原理网卡一般有四种接收模式广播模式:能够接收网络中广播信息组播模式:能够接收网络中的组播信息直接模式:只接收匹配目的MAC地址的报文混杂模式:能够接收一切监听到的数据帧一般网卡只接收以下两种数据帧与自己MAC地址相匹配的数据帧发向所有机器的广播数据帧关于IP地址和MAC地址盗用的问题IP地址可以随意修改MAC地址的修改先了解目标主机的MAC地址2000下在修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318\0000、0001、0002等主键下寻找本主机的网卡的类型的主键下面添加一个名为“NetworkAddress”的主键,值为需要设置的MAC地址。Linux下面修改:Ifconfigeth0downIfconfigeth0hwether00:11:22:33:44:55交换网络的嗅探原理MAC洪水原理:交换机内存有限,地址映射表的容量也有限。向交换机发送大量的虚假MAC地址信息数据,让交换机应接不暇,这个时候交换机可能象hub一样,仅仅向所有的端口发送广播数据解决方法:使用静态地址映射表交换网络的嗅探原理MAC复制原理:就是修改本机的MAC地址,使其和目标主机MAC地址相同。让交换机同时向两个端口(同MAC地址)发送数据。解决方法:使用静态地址映射表,建立端口和MAC地址的映射交换网络的嗅探原理ARP欺骗原理:一台主机会将所有收到的ARP应答插入到本机的ARP缓存表里面。如果黑客想偷听网络中两台主机之间的通信(即使是通过交换机相连),他可以分别向两台主机发送ARP应答包,让两台主机都误认为对方的MAC地址是黑客机器的MAC地址,这样,则两台主机的通信全部通过黑客主机进行。黑客只需要更改数据包里面的某些信息用于转发就可以了。交换网络的嗅探原理ARP欺骗实例设A主机:IP:192.168.1.1MAC:11:11:11:11:11:11设B主机:IP:192.168.2.2MAC:22:22:22:22:22:22设H主机:IP:192.168.3.3MAC:33:33:33:33:33:33假设A和B正在通信,黑客H想进行ARP欺骗,这个时候H向A发送ARP应答包,里面包含192.168.2.233:33:33:33:33:33同时H向B发送ARP应答包,里面包含192.168.1.133:33:33:33:33:33黑客攻击和网络安全维护篇维护篇之一:网络采用层次结构DMZ(DemilitarizedZone)非军事区和InterZone内部网络区DMZ作为内部网络与外部网络的缓冲区制定不同的保全政策对外避免主机和重要服务器被入侵危及内部网络内部网InternetFTP服务器Web服务器Mail服务器FTP服务器FireWallDMZDNS服务器Mail服务器外部防火墙內部防火墙DMZInternet特性安全性最高内部网络效率低在DMZ中之伺服器效率高InterZone维护篇之二:关注访问流量SNMP(SimpleNetworkManagementProtocol)协议,用于网络底层管理,可以控制各种设备。不仅可以访问网络流量等,也可以监控诸如磁盘等设备。SNMP客户端软件:MRTG,linux/unix工具,可以图形化显示管理信息。MRTG图见:file:\\d:\forest\mrtg\index.htm维护篇之三:关注漏洞经常访问一些网址,留意补丁的发布安全焦点微软安全公告栏:=/technet/security/bulletin/CCERT网络安全:维护篇之四:加强管理关闭一切不需要的服务和端口删除一切不需要的用户,慎重设置密码严格设置对各种服务的访问控制权限选用防火墙,设置严格的过滤规则及时安装补丁和升级程序全篇结束谢谢