入侵方法与手段.pptx

1、0入侵检测技术分析入侵检测技术分析1入侵检测技术分析入侵检测技术分析 第二章第二章入侵方法与手段入侵方法与手段2第第 二章二章 入侵方法与手段入侵方法与手段n 网络入侵概述网络入侵概述n 网络入侵的各种手段网络入侵的各种手段32.1 网络入侵概述网络入侵概述n 网络入侵在流程上具有一定的规律可寻。了解网网络入侵在流程上具有一定的规律可寻。了解网络入侵者的思路和入侵手段是防范网络入侵的第络入侵者的思路和入侵手段是防范网络入侵的第一步。一步。n 网络入侵的定义：网络入侵的定义：l 使用一定技巧来获得非法或未授权的网络或文件使用一定技巧来获得非法或未授权的网络或文件访问，入侵进入内部网的行为。访问，

2、入侵进入内部网的行为。n TCP/IP是早期为科学研究而设计的，在设计之初是早期为科学研究而设计的，在设计之初没有考虑网络信任和信息安全因素，早期的操作没有考虑网络信任和信息安全因素，早期的操作系统也注重于功能而忽略了安全问题，这些因素系统也注重于功能而忽略了安全问题，这些因素都成为了网络入侵者滋生的土壤，都成为了网络入侵者滋生的土壤，42.1 网络入侵概述网络入侵概述n 网络入侵的一般流程：网络入侵的一般流程：确定目标确定目标 信息收集信息收集 漏洞挖掘漏洞挖掘 攻击网络攻击网络 攻击系统攻击系统 留下后门留下后门 清除日志清除日志 结束攻击结束攻击5主要入侵攻击方法主要入侵攻击方法网络信息

3、丢失、篡改、销毁内部、外部泄密拒绝服务攻击逻辑炸弹黑客攻击计算机病毒后门、隐蔽通道蠕虫特洛伊木马62.1 网络入侵概述网络入侵概述n 典型网络入侵方法分析典型网络入侵方法分析l 主机渗透方法简析主机渗透方法简析口令破解口令破解 漏洞攻击漏洞攻击 特洛伊木马攻击特洛伊木马攻击l网络攻击方法简析网络攻击方法简析拒绝服务攻击拒绝服务攻击 IP地址欺骗地址欺骗 网络监听网络监听l 其它攻击方法其它攻击方法 病毒攻击病毒攻击 社会工程攻击等社会工程攻击等继续7口令破解口令破解n 口令是主机安全的第一道防线口令是主机安全的第一道防线.n 猜测口令也是网络入侵者渗透主机系统行之有猜测口令也是网络入侵者渗透主

4、机系统行之有效的方法效的方法.n 口令的安全与多种因素有关口令的安全与多种因素有关:口令的强度、口令口令的强度、口令文件的安全、口令的存储格式等。文件的安全、口令的存储格式等。n 弱口令是口令安全的致命弱点弱口令是口令安全的致命弱点n 增强口令的强度、保护口令存储文件、服务器增强口令的强度、保护口令存储文件、服务器合理利用口令管理工具是对付口令破解的必要合理利用口令管理工具是对付口令破解的必要措施。措施。返回返回8漏洞攻击漏洞攻击n 目前发现的网络设备和操作系统的漏洞多达上目前发现的网络设备和操作系统的漏洞多达上万种。万种。n 在操作系统渗透攻击中被网络入侵者利用的最在操作系统渗透攻击中被网络

5、入侵者利用的最多的一种漏洞是缓冲溢出漏洞。多的一种漏洞是缓冲溢出漏洞。n 此外，利用漏洞的攻击还有此外，利用漏洞的攻击还有Unicode编码漏洞、编码漏洞、SQL Injection漏洞等。漏洞等。n 漏洞大多数是由于开发者的疏忽而造成的。漏洞大多数是由于开发者的疏忽而造成的。返回返回9n特洛伊木马特洛伊木马n在古希腊人同特洛伊人的战争期间，希腊人佯装撤退并留下一只内部藏有战士的巨大木马，特洛伊人大意中计，将木马拖入特洛伊城。夜晚木马中的希腊战士出来与城外的战士里应外合，攻破了特洛伊城，特洛伊木马的名称也就由此而来。在计算机领域里，有一种特殊的程序，黑客通过它来远程控制别人的计算机，我们把这类

6、程序称为特洛伊木马程序(Trojans)。特洛伊木马攻击特洛伊木马攻击10n特洛伊木马的概念特洛伊木马的概念n从严格的定义来讲，凡是非法驻留在目标计算机里，在从严格的定义来讲，凡是非法驻留在目标计算机里，在目标计算机系统启动的时候自动运行，并在目标计算机目标计算机系统启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，比如窃取口令等，这类程上执行一些事先约定的操作，比如窃取口令等，这类程序都可以称为特洛伊木马程序。序都可以称为特洛伊木马程序。n一些特洛依木马程序，一旦成功侵人对方计算机就可以一些特洛依木马程序，一旦成功侵人对方计算机就可以拥有极高的权限，可以完成复制、更改、建立和删除客

7、拥有极高的权限，可以完成复制、更改、建立和删除客户机端的任何文件和目录，可以查获启动密码、用户密户机端的任何文件和目录，可以查获启动密码、用户密码、屏保密码，还可以对用户操作键盘进行记录，这意码、屏保密码，还可以对用户操作键盘进行记录，这意味着你的一举一动都在对方监视下，一切密码和口令对味着你的一举一动都在对方监视下，一切密码和口令对他来说都无任何意义了，对方可随意访问你的计算机系他来说都无任何意义了，对方可随意访问你的计算机系统。统。11n特洛伊木马程序一般分为服务器端（Server）和客户端（Client）。n服务器端是攻击者传到机器上的部分，用来在目标机上监听等待客户端连接过来。n客户端

8、是用来控制目标机器的部分，放在攻击者的机器上。n特洛伊木马程序能巧妙地运行在目标计算机系统里，而不容易被发现。现在有许多这类程序，如早期的 Back orifice、NetBus和最近出现的 sub7等，国内的此类软件有Netspy、YAI、冰河等。12特洛伊木马攻击特洛伊木马攻击n 特洛伊木马技术是远程控制技术的一个实现，特洛伊木马技术是远程控制技术的一个实现，而特洛伊木马和商业远程管理工具相比具有以而特洛伊木马和商业远程管理工具相比具有以下几个特点：下几个特点：l 在未经授权情况下渗透远端主机在未经授权情况下渗透远端主机l 被控制端的应用程序非常短小，便于上传被控制端的应用程序非常短小，便

9、于上传l 被控制端的应用程序在运行时不会弹出任何提被控制端的应用程序在运行时不会弹出任何提示和界面示和界面l 被控制端的应用程序一般具有自我保护功能，被控制端的应用程序一般具有自我保护功能，因此难以查杀因此难以查杀n新型的特洛伊木马已经开始与蠕虫、病毒技术新型的特洛伊木马已经开始与蠕虫、病毒技术相结合相结合返回返回13n特洛伊木马程序和远程控制程序、病毒等其他特洛伊木马程序和远程控制程序、病毒等其他攻击性程序相比既有相似之处，又有其它的特攻击性程序相比既有相似之处，又有其它的特点。特洛伊木马程序具有隐蔽性强、功能特殊点。特洛伊木马程序具有隐蔽性强、功能特殊等特点。等特点。n首先，木马程序更具有

10、隐蔽性。它和远程控制首先，木马程序更具有隐蔽性。它和远程控制软件是有区别的，木马总是想方设法地隐藏自软件是有区别的，木马总是想方设法地隐藏自己，而远程控制软件则是正常地运行。例如国己，而远程控制软件则是正常地运行。例如国内的血蜘蛛，国外的内的血蜘蛛，国外的Pc Anywnere等程序都是远等程序都是远程控制软件。血蜘蛛等服务器端程序在目标机程控制软件。血蜘蛛等服务器端程序在目标机器上运行时都会出现很醒目的标志。而木马类器上运行时都会出现很醒目的标志。而木马类软件的服务器端在运行时会应用各种手段隐藏软件的服务器端在运行时会应用各种手段隐藏自己，如有些把服务器端和正常程序绑定成一自己，如有些把服务

11、器端和正常程序绑定成一个程序个程序 14n 另外，通常木马程序的功能都是十分特殊的，另外，通常木马程序的功能都是十分特殊的，除了普通的文件操作外，有些木马程序还能够除了普通的文件操作外，有些木马程序还能够搜索搜索cache中的口令、设置口令、扫描中的口令、设置口令、扫描IP地址并地址并发现入侵的机器、记录键盘操作、远程注册表发现入侵的机器、记录键盘操作、远程注册表操作，以及颠倒屏幕、锁定鼠标等。操作，以及颠倒屏幕、锁定鼠标等。n 这里谈的只是很大一部分的木马工具，还有这里谈的只是很大一部分的木马工具，还有些水马工具的功能比较些水马工具的功能比较“专专”，而工作的方式，而工作的方式也不是客户机、

12、服务器的方式，例如也不是客户机、服务器的方式，例如 passwu sender（中译名：口令邮差）的功能就是潜伏在（中译名：口令邮差）的功能就是潜伏在目标机器里，搜集各种口令的信息，在目标上目标机器里，搜集各种口令的信息，在目标上网的时候，秘密发送到指定的邮箱。网的时候，秘密发送到指定的邮箱。15n未来木马的发展方向n 特洛伊木马程序发展到今天，已经相当完善了，可以预测，在今后相当长的时间它还会继续其发展的脚步，使其攻击性和破坏性更加强大。从现在的形势来看，木马程序未来会向以下方向发展：n 1木马会和病毒结合，使自身具有更强的感染模式。传统的修改ini文件和注册表的手法已经不能适应更加隐秘的需

13、要。目前，很多水马的感染方式已经开始在转变，像前一阶段的YAI事件，就给了我们很多的启发，它会像病毒一样的感染Windows下的文件。n 2跨平台性会更强。木马的使用者当然认为一个木马既可以在Windows 9598下使用，也可以在 WinNT、Windows 2000下使用会更好。在9598下比较容易，但WinNT,Wndows 2000都具有权限的保护，在它们下面使用木马需要更高的手段，如控制进程等。16n 3模块化设计思想更为明显。模块化设计是一模块化设计思想更为明显。模块化设计是一种潮流，种潮流，Winamp就是模块化设计的典范，现在就是模块化设计的典范，现在的木马也有了模块化设计的程

14、序，像的木马也有了模块化设计的程序，像BO、Netbus、Sub7等经典木马都有一些优秀的插件等经典木马都有一些优秀的插件纷纷问世，这就是一个很好的说明。纷纷问世，这就是一个很好的说明。n 4即时通知特性。木马是否已经装入？目标即时通知特性。木马是否已经装入？目标在哪里？如果被攻击对象使用固定的地址，那在哪里？如果被攻击对象使用固定的地址，那就比较简单；如果目标使用的是动态就比较简单；如果目标使用的是动态IP地址怎地址怎么办？用扫描的方法慢了，现在的木马已经有么办？用扫描的方法慢了，现在的木马已经有了即时通知的功能，如了即时通知的功能，如IRC、ICQ通知等，但还通知等，但还是太少了，也许说不

15、定某天木马程序的即时通是太少了，也许说不定某天木马程序的即时通知功能变成了一个专门的软件也说不定。知功能变成了一个专门的软件也说不定。n5更强更多的功能。每个人都不是容易满足的，更强更多的功能。每个人都不是容易满足的，每当出现强大功能的时候，我们都会期望还有每当出现强大功能的时候，我们都会期望还有更强大的功能出现，以后的木马的功能会如何更强大的功能出现，以后的木马的功能会如何呢？究竟木马会发展到什么样的功能，谁也没呢？究竟木马会发展到什么样的功能，谁也没法预测，但肯定会让大家大吃一惊。法预测，但肯定会让大家大吃一惊。17木马分类n1远程访问型远程访问型n 这是现在使用最广泛的特洛伊木马这类木马

16、可以远这是现在使用最广泛的特洛伊木马这类木马可以远程访问被攻击者的硬盘。例如程访问被攻击者的硬盘。例如RATS（一种远程访问木（一种远程访问木马），它使用起来非常简单。只需运行服务端程序并且马），它使用起来非常简单。只需运行服务端程序并且得到受害人的得到受害人的IP，就可以访问到他的电脑，几乎在目标，就可以访问到他的电脑，几乎在目标机器上干任何事。远程访问型特洛伊木马会在目标机上机器上干任何事。远程访问型特洛伊木马会在目标机上打开一个端口。一些特洛伊木马还可以可以改变端口的打开一个端口。一些特洛伊木马还可以可以改变端口的选项并且可以设置连接密码，为的是只能让攻击者来控选项并且可以设置连接密码，

17、为的是只能让攻击者来控制特洛伊木马。改变端口的选项非常必要的，因为一些制特洛伊木马。改变端口的选项非常必要的，因为一些常见木马的监听端口已经为广大用户所熟知了。远程访常见木马的监听端口已经为广大用户所熟知了。远程访问型特洛伊木马每天都在出现，而且会继续出现。问型特洛伊木马每天都在出现，而且会继续出现。n2密码发送型密码发送型n这种特洛伊木马的目的是找到所有的隐藏密码并且在受这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发到指定的信箱。这类特洛害者不知道的情况下把它们发到指定的信箱。这类特洛伊木马大多数会在每次伊木马大多数会在每次Windows重启时重新运行，而且重启时

18、重新运行，而且它们会使用它们会使用25号端口发送号端口发送EMail。如果目标机有隐藏密。如果目标机有隐藏密码，这些特洛伊木马是非常危险的。码，这些特洛伊木马是非常危险的。18n3.键盘记录型键盘记录型n这种特洛伊木马非常简单。它们只作一种事情，就是记这种特洛伊木马非常简单。它们只作一种事情，就是记录受害者的键盘输入并且在录受害者的键盘输入并且在log文件中查找密码。据笔文件中查找密码。据笔者经验，这种特洛伊木马随着者经验，这种特洛伊木马随着Windows的启动而运行。的启动而运行。它们有像在线和离线记录这样的选项。在在线选项中，它们有像在线和离线记录这样的选项。在在线选项中，它们知道受害者在

19、线并且记录每一件事。但在离线记录它们知道受害者在线并且记录每一件事。但在离线记录时，每一件事在时，每一件事在Windows启动后才被记录，并且保存在启动后才被记录，并且保存在受害者的磁盘上等待被移动。受害者的磁盘上等待被移动。n4毁坏型毁坏型n这种特洛伊木马的唯一功能是毁坏并且删除文件。它们这种特洛伊木马的唯一功能是毁坏并且删除文件。它们非常简单，很容易使用。它能自动删除目标机的所有后非常简单，很容易使用。它能自动删除目标机的所有后缀名为缀名为dll和和exe的文件，所以非常危险，一旦被感染就的文件，所以非常危险，一旦被感染就会严重威胁到电脑的安全。会严重威胁到电脑的安全。n5.FTP型型n这

20、类特洛伊木马程序打开目标的这类特洛伊木马程序打开目标的21号端口，使黑客可以号端口，使黑客可以用一个用一个FTP客户端并且不用密码就连接到目标机，并拥客户端并且不用密码就连接到目标机，并拥有完全的上传和下载的权限。有完全的上传和下载的权限。19拒绝服务攻击拒绝服务攻击n 拒绝服务攻击通过消耗目标主机或者网络的资拒绝服务攻击通过消耗目标主机或者网络的资源，使得目标主机无法为合法用户提供正常网源，使得目标主机无法为合法用户提供正常网络服务。络服务。n 分布式拒绝服务攻击则是利用多台计算机对单分布式拒绝服务攻击则是利用多台计算机对单个或者多个目标同时发起拒绝服务攻击个或者多个目标同时发起拒绝服务攻击

21、n 目前分布式拒绝服务攻击方式已经成为一个非目前分布式拒绝服务攻击方式已经成为一个非常严峻的公共安全问题，成为网络攻击中最难常严峻的公共安全问题，成为网络攻击中最难应付的攻击方式之一。应付的攻击方式之一。n 目前有了一些防御方法，如目前有了一些防御方法，如SynCookie、HIP（History-based IP filtering)、ACC控制等控制等返回返回20IP欺骗欺骗n IP欺骗包括序列号欺骗、路由攻击、源地址欺欺骗包括序列号欺骗、路由攻击、源地址欺骗、授权欺骗等骗、授权欺骗等n 像像rlogin、rcall、rsh等命令以等命令以IP地址为基础的验地址为基础的验证。可以通过对证。

22、可以通过对IP堆栈进行修改，放入任意满堆栈进行修改，放入任意满足要求的足要求的IP地址，达到欺骗的目的。地址，达到欺骗的目的。返回返回21网络监听网络监听n 网络监听工具可以提供给管理员，以监测网络网络监听工具可以提供给管理员，以监测网络的状态、数据流情况及网上传输的信息的状态、数据流情况及网上传输的信息n 网络监听工具也是入侵者们常用的工具网络监听工具也是入侵者们常用的工具n 网络监听可以在网络上的任何位置实施，如局网络监听可以在网络上的任何位置实施，如局域网中的一台主机、网关或者交换机等。域网中的一台主机、网关或者交换机等。n 网络管理员一般选择在网关、路由器和防火墙网络管理员一般选择在网

23、关、路由器和防火墙上进行网络监听，这是监听效果最好的地方上进行网络监听，这是监听效果最好的地方n 最方便部署网络监听的位置是局域网中的主机，最方便部署网络监听的位置是局域网中的主机，这是大多数网络入侵者采用的方式。这是大多数网络入侵者采用的方式。返回返回22病毒攻击病毒攻击n 随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、木马和黑客攻击程序的结合，病毒攻击成为了木马和黑客攻击程序的结合，病毒攻击成为了因特网发展以来面临的最大挑战之一因特网发展以来面临的最大挑战之一返回返回23社会工程攻击社会工程攻击n 社会工程攻击是利用社会工程学实施攻击的一社会工程攻击是利用

24、社会工程学实施攻击的一种总称种总称n 社会工程攻击是一个陷阱，入侵者通常以交谈、社会工程攻击是一个陷阱，入侵者通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密。用户系统的秘密。n 为了对付此类攻击，必须增强员工和用网人员为了对付此类攻击，必须增强员工和用网人员的安全意识，加强组织和管理措施。的安全意识，加强组织和管理措施。返回返回24社会工程学攻击社会工程学攻击 n社交工程是使用计谋和假情报去获得密码和其他敏感信社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多息的科学，研究一个站点的策略其

25、中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。妙的方法从他们希望渗透的组织那里获得信息。n举个例子：一组高中学生曾经想要进入一个当地的公司举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社

26、会研究工作的一部分。利用这份表格单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。是使用宠物和他们配偶名字作为密码。返回返回25社会工程学攻击社会工程学攻击n目前社会工程学攻击主要包括两种方式：打电话请求密目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造码和伪造Emailn1、打电话请求密码、打电话请求密码 l尽管不像前面讨论的策略那样聪明，打电话寻问密尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码也经常奏效。在社会

27、工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得码的合法雇员，经常通过这种简单的方法重新获得密码。密码。n2、伪造、伪造Emaill使用使用telnet一个黑客可以截取任何一个身份证发送一个黑客可以截取任何一个身份证发送Email的全部信息，这样的的全部信息，这样的Email消息是真的，因为它消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的统管理员或经理的黑客就能较为轻松的获得大量的信息

28、，黑客就能实施他们的恶意阴谋。信息，黑客就能实施他们的恶意阴谋。返回返回262.2 漏洞扫描漏洞扫描n 扫描器是一种通过收集系统的信息来自动监测远扫描器是一种通过收集系统的信息来自动监测远程或本地主机安全性弱点的程序程或本地主机安全性弱点的程序.n 扫描器不是直接实施攻击的工具扫描器不是直接实施攻击的工具,它仅能帮助网络它仅能帮助网络入侵者发现目标系统的某些内在的弱点入侵者发现目标系统的某些内在的弱点.n 扫描器有三项功能扫描器有三项功能:l 发现一个主机或网络的状态发现一个主机或网络的状态l 可以判断处于运行的系统中有哪些服务已启动可以判断处于运行的系统中有哪些服务已启动l 通过测试运行中的

29、网络服务通过测试运行中的网络服务,发现漏洞发现漏洞n 按目的来分，扫描器可分为端口扫描器和漏洞扫按目的来分，扫描器可分为端口扫描器和漏洞扫描器描器.常见的端口扫描器有常见的端口扫描器有NMAP、portscan等；漏等；漏洞扫描器有洞扫描器有ISS、NESSUS、SATAN等等272.2 漏洞扫描漏洞扫描n 各种扫描方式各种扫描方式l TCP Connect扫描扫描l TCP SYS 扫描扫描l TCP FIN扫描扫描l TCP Xmas树扫描树扫描l TCP空扫描空扫描l TCP ACK扫描扫描l UDP扫描扫描28漏洞扫描漏洞扫描n扫描器：扫描器是一种通过收集系统的信息来自动监测远程或本地

30、主机安全性弱点的程序，通过使用扫描器，可以发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。这就能让黑客或管理员间接或直接的了解到远程主机存在的安全问题。n扫描器有三项功能：1、发现一个主机或网络；2、一旦发现一台主机，可以发现有什么服务程序正运行在这台主机上；3、通过测试这些服务，发现漏洞。29TCP Connect扫描扫描30TCP SYN扫描扫描n这种扫描方法没有建立完整的这种扫描方法没有建立完整的TCPTCP连接，有时也连接，有时也被称为被称为“半打开扫描（半打开扫描（half-open half-open scanningscanning）”。其步骤是先往端口发送一个

31、。其步骤是先往端口发送一个SYNSYN分组。如果收到一个来自目标端口的分组。如果收到一个来自目标端口的SYN/ACKSYN/ACK分分组，那么可以推断该端口处于监听状态。如果组，那么可以推断该端口处于监听状态。如果收到一个收到一个RST/ACKRST/ACK分组，那么它通常说明该端口分组，那么它通常说明该端口不在监听。执行端口的系统随后发送一个不在监听。执行端口的系统随后发送一个RST/ACKRST/ACK分组，这样并未建立一个完整的连接。分组，这样并未建立一个完整的连接。这种技巧的优势比完整的这种技巧的优势比完整的TCPTCP连接隐蔽，目标系连接隐蔽，目标系统的日志中一般不记录未完成的统的日

32、志中一般不记录未完成的TCPTCP连接。连接。31TCP FIN扫描扫描n这种扫描方法是直接往目标主机的端口上发送这种扫描方法是直接往目标主机的端口上发送FINFIN分组。按照分组。按照RFC793RFC793，当一个，当一个FINFIN分组到达一分组到达一个关闭的端口，数据包会被丢掉，并且回返回个关闭的端口，数据包会被丢掉，并且回返回一个一个RSTRST分组。否则，当一个分组。否则，当一个FINFIN分组到达一个分组到达一个打开的端口，分组只是简单地被丢掉（不返回打开的端口，分组只是简单地被丢掉（不返回RSTRST分组）。分组）。32TCP Xmas扫描扫描n无论无论TCPTCP全连接扫描还

33、是全连接扫描还是TCP SYNTCP SYN扫描，由于涉扫描，由于涉及及TCPTCP三次握手很容易被远程主机记录下来。三次握手很容易被远程主机记录下来。XmasXmas扫描由于不包含标准的扫描由于不包含标准的TCPTCP三次握手协议的三次握手协议的任何部分，所以无法被记录下来，从而比任何部分，所以无法被记录下来，从而比SYNSYN扫扫描隐蔽得多。这种扫描向目标端口发送一个描隐蔽得多。这种扫描向目标端口发送一个FINFIN、URGURG和和PUSHPUSH分组。按照分组。按照RFC793RFC793，目标系统应该，目标系统应该给所有关闭着的端口发回一个给所有关闭着的端口发回一个RSTRST分组。

34、分组。33TCP 空扫描空扫描n这种扫描发送一个关闭掉所有标志位的分组，这种扫描发送一个关闭掉所有标志位的分组，按照按照RFC 793RFC 793，目标系统应该给所有关闭着的端，目标系统应该给所有关闭着的端口返回一个口返回一个RSTRST分组。分组。34TCP ACK扫描扫描n这种扫描一般用来侦测防火墙，他可以确定防这种扫描一般用来侦测防火墙，他可以确定防火墙是否只是支持简单的分组过滤技术，还是火墙是否只是支持简单的分组过滤技术，还是支持高级的基于状态检测的包过滤技术。支持高级的基于状态检测的包过滤技术。35UDP扫描扫描n这种扫描往目标主机的端口发送这种扫描往目标主机的端口发送UDPUDP

35、数据分组，数据分组，如果目标端口是关闭状态，则返回一个如果目标端口是关闭状态，则返回一个“ICMPICMP端口不可达（端口不可达（ICMP port unreachableICMP port unreachable）”消息。消息。否则，如果没有收到上述返回信息，可以判断否则，如果没有收到上述返回信息，可以判断该端口是开启的。该端口是开启的。36n OS Fingerprint 探测是网络入侵者攻击中的重要环探测是网络入侵者攻击中的重要环节，常见的方法如下：节，常见的方法如下：l 一些端口服务的提示信息一些端口服务的提示信息l TCP/IP栈指纹栈指纹l DNS泄漏泄漏OS系统等系统等37OS

36、Fingerprint技术技术n许许多多漏漏洞洞是是系系统统相相关关的的，而而且且往往往往与与相相应应的的版版本本对对应应，同同时时从从操操作作系系统统或或者者应应用用系系统统的的具具体体实实现现中中发发掘掘出出来来的的攻攻击击手手段段都都需需要要辨辨识识系系统统,因因此此操操作作系系统统指指纹纹探探测测成成为为了了黑黑客客攻攻击击中中必必要要的的环节。环节。n如如何何辨辨识识一一个个操操作作系系统统是是OS OS FingerprintFingerprint技技术术的关键，常见的方法有：的关键，常见的方法有：l l 一一些些端端口口服服务务的的提提示示信信息息，例例如如，telnetteln

37、et、httphttp、ftpftp等服务的提示信息；等服务的提示信息；l l TCP/IPTCP/IP栈指纹；栈指纹；l l DNSDNS泄漏出泄漏出OSOS系统等等。系统等等。382.3 口令破解口令破解n 恶意黑客的目的就是以尽可能高的权限运行代码，恶意黑客的目的就是以尽可能高的权限运行代码，这就需要获取最高权限的账户，而口令破解是获这就需要获取最高权限的账户，而口令破解是获得系统最高权限账户的最有效的途径之一。得系统最高权限账户的最有效的途径之一。n Windows口令文件的格式及安全机制口令文件的格式及安全机制n UNIX口令文件的格式及安全机制口令文件的格式及安全机制392.3 口

38、令破解口令破解n 破解原理及典型工具破解原理及典型工具l工具一工具一 Password Crackerl工具二工具二 LOphtCrack40口令破解口令破解提纲提纲n口令破解方法：字典、暴力n口令破解方式：离线、在线nWindows登录口令验证过程nLinux口令破解41口令破解口令破解提纲提纲n口令破解方法：字典、暴力口令破解方法：字典、暴力n口令破解方式：离线、在线nWindows登录口令验证过程nLinux口令破解42字典破解，字典破解，Dictionary attack n密码破解的首选密码破解的首选n通过破解者对用户的了解，猜测其可能使用某通过破解者对用户的了解，猜测其可能使用某些

39、信息作为密码，例如姓名、生日、电话号码些信息作为密码，例如姓名、生日、电话号码等，同时结合对密码长度的猜测，利用工具来等，同时结合对密码长度的猜测，利用工具来生成密码破解字典。生成密码破解字典。n成功率高，速度快成功率高，速度快43字典破解工具字典破解工具nL0PHTCrackerlLC5 was discontinued by Symantec in 2006 lWIKInSamInsidelWindows NT/2000/XP/2003/Vista lWIKInPasswordsprolfor user hashes(MD5,MD4,MySQL,SHA-1,DES)44阅读阅读n 了解黑客

40、最喜欢的五种网络口令了解黑客最喜欢的五种网络口令-中国中国IT实验室实验室http:/ force attackn对密码可能使用的字符和长度进行设定后，对对密码可能使用的字符和长度进行设定后，对所有可能的密码组合逐个实验所有可能的密码组合逐个实验l例如限定为所有英文字母和所有数字，长度不例如限定为所有英文字母和所有数字，长度不超过超过8n花费时间长，随字符集规模和长度的变化非常花费时间长，随字符集规模和长度的变化非常大大47口令破解口令破解n口令破解方法：字典、暴力口令破解方法：字典、暴力n口令破解方式：离线、在线口令破解方式：离线、在线nWindows登录口令验证过程登录口令验证过程nLin

41、ux口令破解口令破解48离线破解离线破解n得到口令文件，在别的计算机上进行破解得到口令文件，在别的计算机上进行破解n加密算法，通常与加密算法，通常与OS的类型和版本相关的类型和版本相关候选口令候选口令产生器产生器口令口令加密加密密码密码比较比较输出匹配输出匹配口令口令匹配匹配不匹配不匹配49在线破解在线破解n攻击者不断的尝试各种口令试图登录目标主机。攻击者不断的尝试各种口令试图登录目标主机。n目标主机中，某些低级的帐号的口令往往比较目标主机中，某些低级的帐号的口令往往比较容易被尝试成功，攻击者可以使用这样的帐号容易被尝试成功，攻击者可以使用这样的帐号进入系统获取密码存放文件，然后进行离线破进入

42、系统获取密码存放文件，然后进行离线破解高权限的口令解高权限的口令l例如例如Windows的的SAM文件、文件、Linux的的passwd等等等等50口令破解口令破解n口令破解方法：字典、暴力n口令破解方式：离线、在线nWindows登录口令验证过程登录口令验证过程nLinux口令破解51Windows登录口令验证过程登录口令验证过程FROM：http:/ 2000 Security Gains，Article from Windows 2000 Magazine52n登录登录Windows 2000时时l首先尝试首先尝试Kerberos作为基本验证方式作为基本验证方式l若找不到若找不到KDC服

43、务，则使用服务，则使用NTLM安全机制来验安全机制来验证本地证本地SAM用户用户关于关于kerberos53登录过程登录过程WinLogonGINALSA协协商商SSPINTLMSSPKerberosSSP54Winlogonn1）输入用户名和密码输入用户名和密码GINALSAn2）LSASSPIn3）SSPIKerberos SSP，检查目的机器是本机，检查目的机器是本机还是域名还是域名l本机：返回错误消息给本机：返回错误消息给SSPIlSSPI通知通知GINAn4）GINALSAn5）LSASSPINTLM driver MSV1-0 SSPl实用实用netlogon服务和本地服务和本地S

44、AM来验证来验证n6）若上述都不能验证，提示用户）若上述都不能验证，提示用户55SAM文件文件n保存两个不同的口令信息保存两个不同的口令信息lLanManger（LM）口令散列算法）口令散列算法l加强版的加密加强版的加密NT版（版（NTLM）56LM散列算法散列算法n口令对齐到口令对齐到14位位l小于小于14位，用位，用0补齐补齐l大于大于14位，尾部丢弃位，尾部丢弃n口令分成两组，每组口令分成两组，每组7位，分别生成位，分别生成8位的位的DES密密钥，再分别使用一个钥，再分别使用一个magic数进行加密数进行加密lMagic数：将数：将0 x4B47532140232425用全是用全是1的一

45、个的一个KEY加密而成（加密而成（KGS!#$%）n将两组加密后的字符串连在一起，组成最终的将两组加密后的字符串连在一起，组成最终的口令散列口令散列57NTLM散列算法散列算法n将用户的口令转换成将用户的口令转换成unicode编码编码n使用使用MD4算法将口令加密算法将口令加密58n工具：工具：l字典生成器（？）字典生成器（？）lLC5口令破解程序（？）口令破解程序（？）n内容：内容：l口令破解口令破解l暴力破解暴力破解59口令破解口令破解n口令破解方法：字典、暴力口令破解方法：字典、暴力n口令破解方式：离线、在线口令破解方式：离线、在线nWindows登录口令验证过程登录口令验证过程nLi

46、nux口令破解口令破解60Linux口令破解口令破解nPasswd文件n阴影口令和shadow文件nCrypt函数nFC5口令加密nLinux口令破解对策61Linux口令破解口令破解nPasswd文件文件n阴影口令和阴影口令和shadow文件文件nCrypt函数函数nFC5口令加密口令加密nLinux口令破解对策口令破解对策62口令加密函数口令加密函数crypt函数函数nLinux的用户口令通过的用户口令通过crypt函数加密产生函数加密产生char*crypt(const char*key,const char*salt);其中，其中，key是用户输入的口令；是用户输入的口令；salt是新

47、建用户时是新建用户时系统随机生成的一个字符串，系统随机生成的一个字符串，A-Z,a-z,0-9ncrypt提供两种加密算法：提供两种加密算法：DES和和MD5n选择使用哪个加密算法，根据选择使用哪个加密算法，根据salt的长度决定的长度决定l2位时，位时，DES，此时，此时crypt得出的结果有得出的结果有4096中可中可能能l8位时，位时，MD5，结果的可能性急剧加大，结果的可能性急剧加大63Linux口令破解口令破解nPasswd文件n阴影口令和shadow文件nCrypt函数nFC5口令加密口令加密nLinux口令破解对策64FC5口令加密口令加密nFedora Core5 Linux系

48、统中，使用crypt函数n关于/etc/shadowl只有root用户可以访问l破解难度大n假设已经获得root权限？65Linux口令破解口令破解nPasswd文件n阴影口令和shadow文件nCrypt函数nFC5口令加密nLinux口令破解对策口令破解对策66Linux口令破解对策口令破解对策n自己使用口令破解程序，找到机器中存在的脆自己使用口令破解程序，找到机器中存在的脆弱口令，并加以更改弱口令，并加以更改n经常检查日志文件经常检查日志文件/var/log/messages，看看，看看FAILED LOGIN的情况的情况n使用阴影口令使用阴影口令l若没有使用阴影口令，则若没有使用阴影口

49、令，则1）使用）使用pwck命令检查命令检查passwd文件完整性文件完整性2）使用）使用pwconv命令转换到阴影指令命令转换到阴影指令672.4 拒绝服务攻击拒绝服务攻击n 拒绝服务攻击的方式有很多种。最基本的拒绝服拒绝服务攻击的方式有很多种。最基本的拒绝服务攻击就是利用合理的服务请求来占用过多的服务攻击就是利用合理的服务请求来占用过多的服务资源。务资源。n 有许多拒绝服务的程序在网络中散布：有许多拒绝服务的程序在网络中散布：Tribe Flood Network,tfn2k,smurf,targa等等68n拒绝服务攻击是由人或非人为发起的行动，使拒绝服务攻击是由人或非人为发起的行动，使你

50、的主机硬件、软件或者两者同时失去工作能你的主机硬件、软件或者两者同时失去工作能力，使你的系统不可访问并因此拒绝合法的用力，使你的系统不可访问并因此拒绝合法的用户服务要求。这种攻击往往是针对户服务要求。这种攻击往往是针对TCP/IP协议中协议中的某个弱点，或者系统存在的某些漏洞，对目的某个弱点，或者系统存在的某些漏洞，对目标系统发起的大规模进攻致使攻击目标无法向标系统发起的大规模进攻致使攻击目标无法向合法的用户提供正常的服务。合法的用户提供正常的服务。n拒绝服务攻击简单有效，能够产生迅速的效果。拒绝服务攻击简单有效，能够产生迅速的效果。2000年年2月月9日，美国著名的搜索引擎日，美国著名的搜索