黑客攻防技术2009MarketDept目录•黑客历史•攻防案例分析•黑客攻防基础知识•攻击入侵流程分析(攻防实战应用)•安全防范技术•对抗演练实验黑客历史•60年代–第一次出现hacker这个词–KenThompson发明unix–1969,ARPANET开始建立•70年代–DennisRitchie发明C语言–Phreaking:JohnDraper–世界上第一个计算机病毒出现–乔布斯(apple公司的创办者)制造出了蓝盒子黑客历史•80年代早期•首次出现Cyberspace一词•414s被捕•LegionofDoom和ChaosComputerClub成立•黑客杂志2600、phrack相续创刊•80年代晚期•25岁的KevinMutnik首次被捕•1988年,莫里斯蠕虫事件,在几小时内感染了6000台计算机系统•美国国防部成立了计算机紧急应急小组(CERT)黑客历史•90年代早期•AT&T的长途服务系统在马丁路德金纪念日崩溃•黑客成功侵入格里菲思空军基地和美国航空航天管理局•KevinMitnick再次被抓获,这一次是在纽约,他被圣迭哥超级计算中心的TsutomuShimomura追踪并截获•90年代晚期•美国联邦网站大量被黑,包括美国司法部,美国空军,中央情报局和美国航空航天管理局等•流行的电子搜索引擎Yahoo被黑客袭击黑客档案追踪1)国际黑客组织俄罗斯、美国、巴西、以色列、韩国、日本2)国内黑客组织–发展初期•没有任何漏洞研究、没有专业人员、没有安全意识–发展中期•在学习使用操作系统中发现某些漏洞,没有专业人员,没有安全意识–混乱期•有专业人员从事安全研究,有自己的工具,安全意识不强,漏洞公告的翻译黑客起源的背景•起源地:–美国•精神支柱:–对技术的渴求–对自由的渴求•历史背景:–越战与反战活动–马丁·路德金与自由–嬉皮士与非主流文化–电话飞客与计算机革命黑客?创新者•伍兹尼亚克和乔布斯•艾伦与盖茨黑客?嬉皮士•艾比·霍夫曼–嬉皮士之易比派(Yippies)–举起五角大楼行动•电话飞客–蓝匣子–1990年AT&T瘫痪事件黑客?攻击者•罗伯特·莫里斯•凯文·米特尼克罗伯特•莫里斯•1988年,莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特·莫里斯制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机,使之瘫痪。此后,从CIH到美丽杀病毒,从尼姆达到红色代码,病毒、蠕虫的发展愈演愈烈。凯文•米特尼克•凯文•米特尼克是美国20世纪最著名的黑客之一,他是《社会工程学》的创始人•1979年他和他的伙伴侵入了北美空防指挥部。•1983年的电影《战争游戏》演绎了同样的故事,在片中,以凯文为原型的少年黑客几乎引发了第三次世界大战。中国的“黑客文化”•中国缺乏欧美抚育黑客文化的土壤–缺少庞大的中产阶层–缺少丰富的技术积累•中国的黑客文化更多带有“侠”的色彩–侠之大者,为国为民–侠之小者,除暴安良中国“黑客”重要历史事件•1998年印尼事件•1999年南联盟事件•绿色兵团南北分拆事件•中美五一黑客大战事件黑客的分类灰帽子破解者•破解已有系统•发现问题/漏洞•突破极限/禁制•展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier白帽子创新者•设计新系统•打破常规•精研技术•勇于创新没有最好,只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者•随意使用资源•恶意破坏•散播蠕虫病毒•商业间谍人不为己,天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo者-匿名恶渴求自由所谓黑客语言•常见替换–A=4–B=8–E=3–G=9–l=1–O=0–S=5–t=7–Z=2•常见缩写–CK=x–You=u–Are=r–See=c–And=n/&–Not=!某个涉密网已经被间谍木马控制两年了,机密信息源源不断流出,领导对此十分头痛,事情的经过是这样。。。。。。。。。。。。防火墙文件服务器木马攻击者是机密网,要搞定可赚很多银子啊!!先投石问路!!服务器发布网段邮件服务器网站内网员工用机员工用机员工用机员工用机木马愿者上钩,嘿嘿,两个肉鸡!!抽袋烟……..开始远程遥控,先偷点啥回来好呢?“小李,今晚别睡觉了,否则明天别上班了!!答:现有产品无能为力!!XXX能解决这个问题“防护方案”投放木马??强!!!路由器Internet更多网络犯罪直接以经济利益为目的•最吸引国人眼球的应该是腾讯,2004年两次QQ大规模无法使用,尤其是此后的勒索传言,有人惊呼:中国网络恐怖主义诞生了。•入侵网站后贩卖游戏帐号事件层出不穷。•技术进步加上道德感的缺失,黑客们开始看清自己要的东西。1996年9月18日:美国中央情报局主页被攻破。2001年中美黑客大战期间:美国白宫主页被攻破2002年6月:美国白宫主页被攻破已经有了众多公开售卖SHELL的站点“挂马式”攻击的案例分析•中国招商引资网站点最下方被填加恶意连接,是一次典型的挂马式攻击。•“当当网”也没有幸免蠕虫、病毒、网络钓鱼事件频发•MYDOOM/Netsky/Bagle/震荡波/SCO炸弹/QQ尾巴/MSN射手等一系列新病毒和蠕虫的出现,造成了巨大的经济损失。而且病毒和蠕虫的多样化明显,甚至蠕虫编写组织开始相互对抗,频繁推出新版本。•越来越多的间谍软件,它们已经被更多的公司及个人利用,其目的也从初期简单收户信息演化为可能收集密码、帐号等资料,大家还记得网银大盗吗?•网络钓鱼,只看网络钓客以“假网站”试钓中国银行、工商银行等国内各大银行用户,就可以想见其猖獗程度了。什么是网络钓鱼?工行后续事件的追踪涉案金额惊人垃圾邮件与反垃圾邮件之间的斗争愈演愈烈“流氓软件”无空不入国家加强信息安全保障,颁布系列文件•信息安全等级保护逐渐成为当前国家重点发展的信息安全战略。•27号文件和66号文件等文件促进信息安全发展。•1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,条例中规定:我国的“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”•《计算机信息系统安全保护等级划分准则》GB17859-1999的制定。这是一部强制性国家标准,是技术法规。•2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文件)中指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。根据国家信息化领导小组的统一部署和安排,我国将在全国范围内全面开展信息安全等级保护工作。国家全力参与网络打黄专项行动Dakfjdjfdsafkdafldjdkjajfdlkiefjdksjalfdksajdlsakfdsalkfdkslafjdksafljddfksajfdjskajfdsjafdjsakjfdksjafkdjlsafjldksjafowjfejwaijiojkajfdkajdsajfdjsajfdjasfjdjsalfjlsdk分布远程控制SQL杀手蠕虫事件•2003年1月25日发作•造成大面积网络拥塞,部分骨干网络瘫痪•韩国网络基本处于瘫痪状态•我国境内感染主机22600余台口令蠕虫事件•2003年3月8日出现,主要在教育网中蔓延,部分大学校园网络瘫痪•后蔓延到电信、联通、移动、铁通、网通等多个网络,感染服务器41207台黑客攻击基础知识–系统分析--端口扫描PortScan–弱点漏洞的利用--技术入侵Vulnerabilities–特洛伊木马Trojan–蠕虫Worm–隐蔽通道Pipe,后门Backdoor,嗅探器Sniffer–强力攻击Bruteforce–拒绝服务DOS/分布式DOS–电子欺骗IPSpoofing–社会工程SocialEngineering–……黑客的攻击类型选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令,从而发现突破口。黑客攻击的一般步骤网络攻击三要素•技术–一般技术/特定技术•机会–弱点漏洞/误操作/不当的配置•动机–报复/恶作剧/经济利益/政治目的/…目标网络目标系统攻击机制攻击工具攻击命令系统漏洞网络漏洞威胁的来源攻击手段和过程目标的脆弱性Dakfjdjfdsafkdafldjdkjajfdlkiefjdksjalfdksajdlsakfdsalkfdkslafjdksafljddfksajfdjskajfdsjafdjsakjfdksjafkdjlsafjldksjafowjfejwaijiojkajfdkajdsajfdjsajfdjasfjdjsalfjlsdk5)攻击机制端口扫描httpftptelnetsmtp5)攻击机制口令暴力攻击用户名:john口令:john1234攻击机制用john登录服务器利用漏洞获得超级用户权限留后门隐藏用户更改主页信息攻击机制主机入侵回放(1)主机入侵的主要步骤–黑客踩点(收集网站信息)–初步扫描与判断(端口、弱密码扫描)–深度扫描与实施入侵行为–安装后门(WebShell、直接开端口后门、IIS后门、rootkit)(2)主机入侵与网站入侵的区别–危害性更大,主机直接被控制–技术型更强,要求攻击者对系统熟悉–更隐蔽,没有日志(3)主机入侵的危害性–网站完全落入黑客控制,数据完整性受到威胁–黑客入侵其他网站带来的法律责任攻击演示——网络环境介绍肉鸡IP:192.168.0.111目标机:192.168.0.115网站入侵回放前期的入侵探测直接影响到入侵的成功与否–前期工作准备是区别一个高级、有丰富入侵经验黑客的重要标准–探测内容(nslookup,whois,旁侧入侵)–根据探测内容决定使用的工具–演示nslookup命令,whois工具,旁侧入侵工具–根据目标情况查找漏洞资料库–旁侧入侵工具演示–管理员对策•不要使用和注册信息有关系的密码•定期对自己的网站进行安全防范肉鸡IP:192.168.0.111目标机:192.168.0.115攻击演示—环境介绍webshell攻击演示—环境介绍•踩点•利用互连网探测•DNS域名探测•网站信息收集•网站入侵网络入侵渗透回放获取一个目标机权限后(1)探测整个内网结构(2)嗅探网络密码及相关信息(3)获取新目标机的控制权攻击入侵流程分析安全防范技术(一)网络层安全防范方法和工具(二)主机层安全防范方法和工具(三)应用层(网站)防范方法和工具(四)桌面端安全防范(一)网络层安全防范方法和工具1.网络设备的分类–路由器工作在网络层,经常出现IP欺骗–交换机工作在数据链路层,经常出现ARP欺骗–HUB工作在物理层,仅仅作为连接作用(一)网络层安全防范方法和工具2.网络层安全防范的重要性–网络设备是网络构成的基本–直接影响到主机安全3.网络层安全防范的方法–信息泄露漏洞•CiscoWeb配置文件内容泄露漏洞•Snmp(简单网络管理协议)默认密码漏洞–拒绝服务漏洞•古老而有效的Land攻击•TCP碎片包攻击4.网络层安全防范的工具–以Cisco路由器为例–SolarWinds•工具原理:主要利用snmp协议目前网络设备面临的安全威胁•攻击者利用Tracert/SNMP命令很容易确定网络路由设备位置和基本结构•成为新一代DDOS攻击的首选目标•泄露网络拓扑结构•成为攻击者的攻击跳板(telnetping命令的使用)•交换机桢听口的安全问题5Cisco路由器的基本配置–设置复杂的登陆密码–设置负责的超级管理员密码修改snmp默认密码–停止snmp功能–停止Web管理功能–限制某些敏感端口•TCP:135-139,445,1034,3127,