搜索
中国电信“亮剑行动”IT安全知识与技能竞赛培训教材广州研究院及竞赛办公室编制攻防技术电信安全实验室及竞赛办公室编制如今网络攻击事件频繁发生,攻击泛滥已成互联网行业重病,各行业呼吁国家和运营商联手整治网络攻击,保障网络安全。面对多种多样的网络攻击,为了能够更好的防御这些攻击,就特别有必要了解相关的网络攻击。课程简介课程简介2电信安全实验室及竞赛办公室编制学习完此课程,您将会:了解黑客技术发展历程了解黑客攻击的分类了解网络攻击的基本步骤掌握常见网络攻击手段和防护措施学习目标学习目标3电信安全实验室及竞赛办公室编制第第11章章黑客背景和历史黑客背景和历史第2章黑客攻击分类和一般过程第3章常见攻击手段及防护课程目录课程目录4电信安全实验室及竞赛办公室编制Hacker的起源Hacker的起源•Hack的本意是:劈、砍,可引申为“事情做得漂亮!”•通常认为Hacker起源于1950s的麻省理工学院的实验室,他们精力充沛热衷于解决难题•到60、70年代,Hacker指那些对计算机进行智力上的自由探索,沉湎于技术和计算机的电气工程师和计算机革新者5电信安全实验室及竞赛办公室编制典型人物典型人物•RichardStallman斯托尔曼•SteveWozniak沃兹尼克6电信安全实验室及竞赛办公室编制Hacker的发展Hacker的发展770年代DennisRitchie发明C语言Phreaking:JohnDraper世界上第一个计算机病毒出现乔布斯(apple公司的创办者)制造出了蓝盒子80年代晚期•25岁的KevinMutnik首次被捕•1988年,莫里斯蠕虫事件,在几小时内感染了6000台计算机系统•美国国防部成立了计算机紧急应急小组(CERT)90年代晚期•美国联邦网站大量被黑,包括美国司法部,美国空军,中央情报局和美国航空航天管理局等•流行的电子搜索引擎Yahoo被黑客袭击90年代早期•AT&T的长途服务系统在马丁路德金纪念日崩溃•黑客成功侵入格里菲思空军基地和美国航空航天管理局•KevinMitnick再次被抓获,这一次是在纽约,他被圣迭哥超级计算中心的TsutomuShimomura追踪并截获80年代早期•首次出现Cyberspace一词•414s被捕•LegionofDoom和ChaosComputerClub成立•黑客杂志2600、phrack相续创刊60年代麻省理工AI实验室第一次出现hacker这个词KenThompson发明unix1969,ARPANET开始建立电信安全实验室及竞赛办公室编制典型人物典型人物•RobertMorris罗伯特·莫里斯1988年,莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特·莫里斯制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机,使之瘫痪。1990年,Morris因这个蠕虫的破坏被判有罪并处以3年缓刑、1万美元罚金和400小时的社区义务劳动。8中国电信“亮剑行动”IT安全知识与技能竞赛培训教材广州研究院及竞赛办公室编制攻防技术黑客的分类灰帽子破解者•破解已有系统•发现问题/漏洞•突破极限/禁制•展现自我计算机为人民服务漏洞发现-袁哥等软件破解-0Day工具提供-Numega白帽子创新者•设计新系统•打破常规•精研技术•勇于创新没有昀好,只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者•随意使用资源•恶意破坏•散播蠕虫病毒•商业间谍人不为己,天诛地灭入侵者-K.米特尼克CIH-陈英豪攻击Yahoo者-匿名恶渴求自由9电信安全实验室及竞赛办公室编制第1章黑客背景和历史第2章黑客攻击分类和一般过程第3章常见攻击手段及防护课程目录课程目录10电信安全实验室及竞赛办公室编制黑客攻击分类黑客攻击分类被动攻击(嗅探、钓鱼……)主动攻击(扫描、渗透、拒绝服务……)物理临近攻击内部人员攻击软硬件装配分发攻击11电信安全实验室及竞赛办公室编制攻击的过程攻击的过程信息收集分析目标实施攻击方便再次进入打扫战场12电信安全实验室及竞赛办公室编制踩点-信息收集踩点-信息收集为什么要收集信息获取攻击目标大概信息•网络信息•主机信息•是否存在漏洞•密码脆弱性等等指导下一步攻击行为信息收集的方式社会工程学媒体(如搜索引擎、广告介绍等)网络工具的探测13电信安全实验室及竞赛办公室编制定位-分析目标定位-分析目标•为什么需要分析目标–确定收集信息的准确性–更准确的判断(例如:index.ycs是java开发,开发人员修改了脚本后缀以迷惑攻击者)–攻击方式及工具路径的选择分析目标的方法–扫描–漏洞库–论坛等交互应用14电信安全实验室及竞赛办公室编制入侵-多种多样的入侵方式入侵-多种多样的入侵方式•针对配置错误的攻击-IPC$的攻击•针对应用漏洞的攻击-unicode•缓存溢出攻击-idq缓存溢出•电子欺骗攻击-ARP欺骗•拒绝服务攻击-synflood•针对弱口令的攻击-口令破解•利用服务的漏洞-本地输入法漏洞•利用应用脚本开发的漏洞-SQL注入•利用人的心理-社会工程学攻击•……15电信安全实验室及竞赛办公室编制•后门可以作什么–方便下次直接进入–监视用户所有行为、隐私–完全控制用户主机•后门放置方式–如果已经入侵•简单!–如果尚未入侵•手动放置•利用系统漏洞,远程植入•利用系统漏洞,诱骗执行后门-方便下次进入后门-方便下次进入1616电信安全实验室及竞赛办公室编制特洛依木马–随系统自启动•修改注册表•服务•Ini文件RootKit–设备驱动脚本后门–难以查找隐藏账号–考验管理人员耐心与细心后门-方式后门-方式1717电信安全实验室及竞赛办公室编制•改写访问日志–例如:IIS访问日志位置%WinDir%\System32\LogFiles\W3SVC1\exyymmdd.log–改写日志的技巧•修改系统日期•删除中间文件•删除创建的用户抹去痕迹抹去痕迹1818电信安全实验室及竞赛办公室编制第1章黑客背景和历史第2章黑客攻击分类和一般过程第3章常见攻击手段及防护课程目录课程目录19电信安全实验室及竞赛办公室编制20电信安全实验室及竞赛办公室编制密码破解-利用人性懒惰密码破解-利用人性懒惰•密码破解方法手工猜测自动猜测暴力破解•密码工具密码暴力破解工具密码字典生成工具21电信安全实验室及竞赛办公室编制密码破解-密码穷举密码破解-密码穷举已知密码加密算法及密文情况下的破解方法22电信安全实验室及竞赛办公室编制ID:cisppsw:123456Ok,youcanlogininID:cisppsw:No,youcannotloginin112123123412345123456OK,youcanlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotloginin密码破解-口令暴力猜解密码破解-口令暴力猜解23电信安全实验室及竞赛办公室编制破解工具破解工具•JohntheRipper•L0Phtcrack•……2424电信安全实验室及竞赛办公室编制字典生成器字典生成器25根据用户规则快速生成各类密码字典攻击者常用的工具……25电信安全实验室及竞赛办公室编制26电信安全实验室及竞赛办公室编制欺骗攻击定义欺骗攻击定义BACHello,I’mB!欺骗攻击(Spoofing)是指通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术27电信安全实验室及竞赛办公室编制欺骗攻击的主要方式欺骗攻击的主要方式IP欺骗DNS欺骗ARP欺骗TCP会话劫持路由欺骗……28电信安全实验室及竞赛办公室编制客户服务器Synsend连接请求回应(ISN)Syn+ack确认(ISN+1)会话过程IPIP欺骗基础知识欺骗基础知识--三次握手三次握手29电信安全实验室及竞赛办公室编制IP欺骗实现步骤IP欺骗实现步骤IP欺骗攻击方法中包括了一系列攻击步骤30电信安全实验室及竞赛办公室编制IP欺骗实例讲解IP欺骗实例讲解BAC同步flood攻击连接请求伪造B进行系列会话A的序数规则31电信安全实验室及竞赛办公室编制防止IP欺骗防止IP欺骗严格设置路由策略:拒绝来自网上,且声明源于本地地址的包使用昀新的系统和软件,避免会话序号被猜出使用抗IP欺骗功能的产品严密监视网络,对攻击进行报警32电信安全实验室及竞赛办公室编制ARP欺骗基础-Arp协议工作过程ARP欺骗基础-Arp协议工作过程Bb:bbCc:ccAa:aa1.1.1.12.2.2.2Who’sIPis2.2.2.2Who’sIPis2.2.2.2MACBb:bbis2.2.2.2Isee,Iwillcache3.3.3.333电信安全实验室及竞赛办公室编制ARP欺骗实现ARP欺骗实现Bb:bbCc:ccAa:aa1.1.1.12.2.2.2MACcc:ccis2.2.2.2Isee,Iwillcache3.3.3.3MACdf:dfis1.1.1.1Icouldn’tfind1.1.1.134电信安全实验室及竞赛办公室编制ARP欺骗防御ARP欺骗防御使用静态ARP缓存IP与MAC地址绑定ARP防御工具35电信安全实验室及竞赛办公室编制DNS欺骗基础-DNS协议工作过程DNS欺骗基础-DNS协议工作过程其他DNS1.1.1.1IwillcacheIdon’tknow,Iwillaskother1.1.1.1’sinmycache1.1.1.136电信安全实验室及竞赛办公室编制DNS欺骗实现DNS欺骗实现’tknow,Iwillaskother’sinmycache2.2.2.2欺骗防御安装昀新版本的DNS软件关闭DNS服务递归功能限制域名服务器作出响应的地址限制域名服务器作出响应的递归请求地址限制发出请求的地址38电信安全实验室及竞赛办公室编制其他欺骗攻击-路由欺骗其他欺骗攻击-路由欺骗ICMP重定向报文欺骗ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。RIP路由欺骗RIP协议用于自治系统内传播路由信息。路由器在收到RIP数据报时一般不作检查。攻击者可以声称他所控制的路由器A可以昀快的到达某一站点B,从而诱使发往B的数据包由A中转。由于A受攻击者控制,攻击者可侦听、篡改数据。IP源径路由欺骗IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。39电信安全实验室及竞赛办公室编制40电信安全实验室及竞赛办公室编制拒绝服务攻击定义拒绝服务攻击定义•定义D.O.S(DenialofService)拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。D.D.O.S(DistributedDenialofservice)分布式拒绝服务攻击使用了分布式客户服务器功能,加密技术及其它类的功能,它能被用于控制任意数量的远程机器,以产生随机匿名的拒绝服务攻击和远程访问。41电信安全实验室及竞赛办公室编制D.O.S攻击D.O.S攻击•拒绝服务攻击示意图42中国电信“亮剑行动”IT安全知识与技能竞赛培训教材广州研究院及竞赛办公室编制攻防技术D.D.O.S攻击•分布式拒绝服务攻击示意图电信安全实验室及竞赛办公室编制拒绝服务攻击分类拒绝