网络安全—典型网络攻击手段课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,参考阅读,反击黑客,（美）,Ed Skoudis,王纲译 机械工业出版社,2002,年,Ed Skoudis,，是有名的信息安全预测专家、克林顿安全办公室的高级顾问以及网络安全研究会,“,The Hack-Counter Hack Training Course,”,的创始人，是多年来一直从事计算机安全工作。,Counter Hack: A Step-by-Step Guide to Computer Attacks and Effective Defenses,”,（中文版译名为,反击黑客,），,详细介绍防御各种黑客攻击的技术与方法。,参考阅读反击黑客 （美）Ed Skoudis 王纲译 机械,典型网络攻击步骤,典型网络攻击步骤,端口,判断,判断,系统,选择,最简,方式,入侵,分析,可能,有漏,洞的,服务,获取,系统,一定,权限,提,升,为,最,高,权,限,安装,多个,系统,后门,清除,入侵,脚印,攻击其,他系统,获取敏,感信息,作为其,他用途,端口判断选择分析获取提安装清除攻击其获取敏作为其,网络攻击手段,准备阶段,数据传输过程中的窃听,IP,地址欺骗,会话劫持,拒绝服务攻击,维护访问权 后门和木马,网络攻击手段准备阶段,准备阶段,获取目标的一般信息,探测目标的薄弱环节,战争拨号,端口扫描,漏洞扫描,准备阶段获取目标的一般信息,Whois,数据库查找,Whois数据库查找,IP,地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。,获取信息,收集主机信息,Ping,命令,判断计算机是否开着，或者数据包发送到返回需要多少时间,Tracert/Tracerout,命令,跟踪从一台计算机到另外一台计算机所走的路径,Finger,和,Rusers,命令,收集用户信息,Host,或者,Nslookup,命令，结合,Whois,和,Finger,命令,获取主机、操作系统和用户等信息,应用的方法：,IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户,准备阶段,调查和计划,了解有关攻击目标的信息,我们的目的,:,一旦发现某些行为特征,就可能在攻击真正开始前阻止,技术手段,:,查找目标的基本信息（,whois,数据库）,战争拨号，网络测绘 端口扫描,针对特定的,IP,哪些端口开放提供服务 哪种操作系统,(,响应特征,),扫描工具,“,知道门和窗,”,非技术手段,:,社会工程学,使用社会技巧和人际关系,获取与安全相关的信息 内部的一些地址,“,建筑物里面有些什么,”,偷听 垃圾搜寻 通过公告牌与聊天室交换信息,(,漏洞 利用的技术 相关目标的信息,),利用软件开发商的一些文档了解产品的细节,准备阶段 调查和计划 了解有关攻击目标的信息,通用目标侦察工具,Sam Spade,ping,：这个工具将,ICMP Echo,请求消息发给目标，看是否它是可达的，并判断应答的时间。,Whois,：,Sam Spade,使用默认,Whois,服务器或通过允许用户指定使用哪个,Whois,数据库来查询,Whois,。可使用内建的智能将,.com,、,.net,和,.org,的,Whois,查询发送到合适的,Whois,服务器。,IP,块,Whois,：,可以使用这个特性判断谁拥有一个特定组的,IP,地址，它使用的,ARIN,数据,(,American Registry for Internet Numbers,),。,Nslookup,：,这个特性允许查询,DNS,服务器，以找到与,IP,地址映射的域。,DNS,带传输：这个特性传输关于来自合适的名字服务器的一个给定域名的国内的所有信息。,Traceroute,：,这个特性返回源计算机与选择的目标之间的路由器跳的一个列表。,Finger,：,这个特性支持查询一个系统，决定它的用户列表。,SMTP VRFY,：这个功能用于判断特定邮件地址在一给定电子邮件服务器上是否合法。它基于简单的邮件传输协议（,SMTP,）鉴别命令，是最广泛使用的电子邮件协议里的选项，用于检查邮件地址的合法性。,Web,浏览器,：,Sam Spade,的内建的小型,Web,浏览器使用户能查看原始,HTTP,交互，包括所有的,HTTP,首部。,通用目标侦察工具Sam Spade,例：经理在她工作处的,PC,上安装了调制解调器和,pcAnywhere,。,pcAnywhere,是一种简单的程序，它允许用户通过调制解调器从远程位置拨号到一台,PC,并与之连接。,战争拨号,通过持续地拨入来侵入组织的基于调制解调器的系统。,例：经理在她工作处的 PC 上安装了调制解调器和 pcAny,战争拨号工具,L0pht,的,TBA,2000,年早期，一个名为,L0pht,的黑客组织发布了一个名为,TBA,的非常吸引人的战争拨号器。它是一个具有大量标准功能的战争拨号器，例如随机,/,连续拨号，载波检测。,TBA,引起人们注意的功能是它的运行平台：掌上个人数字助理。你用来存储日历和电话号码的工具现在可以用来进行战争拨号攻击了,。,THC-Scan2.0,THC-Scan,由,The Hackers Choice,团体发布，能自动检测调制解调器的速度、数据位、校验位及停止位。此工具也尝试去判断被发现的计算机所使用的操作系统。而且，,THC-Scan,有能力确认什么时候能再有拨号音，这样，黑客们便可以不经过你的,PBX,就可以拨打免费,电话。,THC-Scan 2.0,版于,1998,年圣诞节推出。,战争拨号工具L0pht的 TBA,战争拨号的预防措施,审计、监控和记录用于登录的设备以及其它可能受攻击的设备。,安全性策略是一个良好的开端，但缺少了备份和执行就等于浪费时间。,遍历您的安装。好的遍历通常能使您找到连接到机器的调制解调器。还有，保存好的文档和平面图，以便您知道该查看哪儿。,查看您调制解调器上的自动应答配置。这也可以用来保护您的调制解调器。,最后，使用与内部,PBX,号码范围完全不同的电话号码。这是阻止战争拨号攻击的比较有效的方法之一。,例如，如果您的号码是,324-1000,，请将象,765-3000,这样的范围用于您的带外管理解决方案。对这些号码进行保密并将访问权限制于重要的专职成员。,战争拨号的预防措施审计、监控和记录用于登录的设备以及其它可能,获取网络服务的端口作为入侵通道。,端口扫瞄,1.TCP Connect()2.TCP SYN,3.TCP FIN4.IP,段扫瞄,5.TCP,反向,Ident,扫瞄,6.FTP,代理扫瞄,7.UDP ICMP,不到达扫瞄,7,种扫瞄类型：,获取网络服务的端口作为入侵通道。端口扫瞄1.TCP Con,端口扫描类型,开放扫描,(Open Scanning),需要扫描方通过三次握手过程与目标主机建立完整的,TCP,连接,可靠性高，产生大量审计数据，容易被发现,半开放扫描,(Half-Open Scanning),扫描方不需要打开一个完全的,TCP,连接,秘密扫描,(Stealth Scanning),不包含标准的,TCP,三次握手协议的任何部分,隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息,端口扫描类型,网络安全典型网络攻击手段课件,开放扫描,TCP connect(),扫描,原理,扫描器调用,socket,的,connect(),函数发起一个正常的连接,如果端口是打开的，则连接成功,否则，连接失败,优点,简单，不需要特殊的权限,缺点,服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描,开放扫描,Reverse-ident,扫描,Ident,协议,(RFC1413),使得可以发现任何一个通过,TCP,连接的进程的所有者的用户名，即使该进程并没有发起该连接,只有在,TCP,全连接之后才有效,Ident,服务在,TCP,端口,113,例如,A,想知道 从,B,的,6191,口连入自己,TCP23,口的用户名,A,可以连接,B,的,ident,服务，发送请求,6191,，,23,如果连接存在，,B,回应,6193, 23 : USERID : UNIX : stjohns,如果连接不存在，回应,6195, 23 : ERROR : NO-USER,攻击示例,可以先连接到,80,端口，然后通过,identd,来发现服务器是否在,root,下运行（可以直接发现,Web,服务器是否错误的配置成,root,权限）,建议关闭,ident,服务，或者在防火墙上禁止，除非是为了审计的目的,Reverse-ident扫描,半开放扫描,TCP SYN,扫描,原理,向目标主机的特定端口发送一个,SYN,包,如果应答包为,RST,包，则说明该端口是关闭的,否则，会收到一个,SYN|ACK,包。于是，发送一个,RST,，停止建立连接,由于连接没有完全建立，所以称为“半开连接扫描”,优点,很少有系统会记录这样的行为,缺点,在,UNIX,平台上，需要,root,权限才可以建立这样的,SYN,数据包,半开放扫描,TCP Idlescan,由,Antirez,首先使用，并在,Bugtraq,上公布,原理：,扫描主机通过伪造傀儡主机,IP,地址向目标主机发起,SYN,扫描，并通过观察傀儡主机,IP,序列号的增长规律获取端口的状态 。,(,开放状态，对,ACK,包返回,RST,包，序号增加；关闭状态，直接丢弃,RST,包，不增加,),优点,不直接扫描目标主机也不直接和它进行连接，隐蔽性较好,缺点,对傀儡主机的要求较高,TCP Idlescan,秘密扫描,TCP Fin,扫描,原理,扫描器发送一个,FIN,数据包,如果端口关闭的，则远程主机丢弃该包，并送回一个,RST,包,否则的话，远程主机丢弃该包，不回送,变种，组合其他的标记,优点,不是,TCP,建立连接的过程，所以比较隐蔽,缺点,与,SYN,扫描类似，也需要构造专门的数据包,在,Windows,平台无效，总是发送,RST,包,秘密扫描,TCP XMAS,扫描,原理,扫描器发送的,TCP,包包头设置所有标志位,关闭的端口会响应一个同样设置所有标志位的包,开放的端口则会忽略该包而不作任何响应,优点,比较隐蔽,缺点,主要用于,UNIX/Linux/BSD,的,TCP/IP,的协议栈,不适用于,Windows,系统,TCP XMAS扫描,其他扫描,FTP Bounce Scan,原理,用,PORT,命令让,ftp server,与目标主机建立连接，而且目标主机的端口可以指定,如果端口打开，则可以传输否则，返回,425 Cant build data connection: Connection refused.,Ftp,这个缺陷还可以被用来向目标,(,邮件,新闻,),传送匿名信息,优点：这种技术可以用来穿透防火墙,缺点：慢，有些,ftp server,禁止这种特性,其他扫描,UDP ICMP port unreachable scanning,利用,UDP,协议,原理,开放的,UDP,端口并不需要送回,ACK,包，而关闭的端口也不要求送回错误包，所以利用,UDP,包进行扫描非常困难,有些协议栈实现的时候，对于关闭的,UDP,端口，会送回一个,ICMP Port Unreach,错误,缺点,速度慢，而且,UDP,包和,ICMP,包都不是可靠的,需要,root,权限，才能读取,ICMP Port Unreach,消息,一个应用例子,Solaris,的,rpcbind,端口,(UDP),位于,32770,之上，这时可以通过这种技术来探测,UDP ICMP port unreachable scan,端口扫描对策,设置防火墙过滤规则，阻止对端口的扫描,例如可以设置检测,SYN,扫描而忽略,FIN,扫描,使用入侵检测系统,禁止所有不必要的服务，把自己的暴露程度降到最低,Unix,或,linux,中，在,/etc/inetd.conf,中注释掉不必要的服务，并在系统启动脚本中禁止其他不必要的服务,Windows,中通过,Services,禁止敏感服务，如,IIS,端口扫描对策,常见扫描工具,Nmap,由,Fyodor,编写,提供,TCP,、,UDP,端口扫描、操作系统指纹识别,集成了多种扫描技巧，提供的端口扫描功能比较全面，是目前国外最为流行的端口扫描工具之一。,没有扫描漏洞的功能，无法对目标主机的脆弱性进行深入挖掘。,常见扫描工具Nmap,SuperScan,在,Windows,环境下的,TCP,端口扫描程序。,它允许灵活的定义目标,IP,端口列表,图形化的交互界面使得用起来简单方便。,具有以下功能：,1,） 通过,Ping,来检验,IP,是否在线；,2,）,IP,和域名相互转换；,3,） 检验目标计算机提供的服务类别；,4,） 检验一定范围目标计算机的是否在线和端口情况；,5,） 工具自定义列表检验目标计算机是否在线和端口情况；,6,） 自定义要检验的端口，并可以保存为端口列表文件；,7,） 软件自带一个木马端口列表,trojans.lst,，通过这个列表我们可以检测目标计算机是否有木马；同时，我们也可以自己定义修改这个木马端口列表,.,SuperScan,X-Scan,由国内,“,安全焦点,”,编写,Windows,环境下的能够扫描漏洞的检测工具。,支持插件功能，提供了图形界面和命令行两种操作方式，能够实现扫描远程操作系统类型、标准端口、常见漏洞等功能。,只能提供一种端口扫描方式，在目标网络复杂时无法灵活自主的进行选择配置，从而限制了它的适应性。,网络安全典型网络攻击手段课件,网络安全典型网络攻击手段课件,图,: X-scan,图: X-scan,操作系统的识别,操作系统辨识的动机,许多漏洞是系统相关的，而且往往与相应的版本对应,从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统,操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会诈骗,(,社会工程，,social engineering),如何辨识一个操作系统,一些端口服务的提示信息，例如，,telnet,、,http,、,ftp,等服务的提示信息,TCP/IP,栈指纹,DNS,泄漏出,OS,系统,操作系统的识别,图,: winfingerprint,图: winfingerprint,跟踪路由技术,跟踪路由的技术来确定组成你的网络基础设施的各种路由器和网关。跟踪路由技术依赖于,IP,首部中的生存时间（,TTL,）字段。,TTL,与时间无关；它与跳有关。,利用,TTL,字段进行网络测绘,TTL,工作原理,-,路由器收到,IP,数据包，将,TTL,字段的值减去,1,。如果,TTL,值是,0,，则路由器给数据包的源站回送一个,ICMP,超时的消息。,通过发送具有各种,TTL,值的一系列数据包，能够从已经知道的源站跟踪所有的路由器，一直到所有目的地。,攻击者能够再现出你的网络拓扑结构。,跟踪路由技术跟踪路由的技术来确定组成你的网络基础设施的各种路,Cheops:,一个很好的网络测绘工具,Cheops,是由,Mark Spence,编写的，运行在,Linux,系统下，能够使用,ping,和跟踪路由功能并,自动完成网络目录和拓扑结构的绘制,工作。,其他的功能,允许系统管理员在网络内方便的自动进行,FTP,和安全界面连接。,支持远程操作系统标识功能，使用,TCP,栈指纹技术。,Cheops:一个很好的网络测绘工具Cheops是由Mar,网络安全典型网络攻击手段课件,资源扫描与查找,扫描网络资源和共享资源，如目标网络计算机名、域名和共享文件等等；,扫描目标系统上合法用户的用户名和用户组名。,Windows,系统，特别是,Windows NT/2000,在这些方面存在着严重的漏洞，很容易让非法入侵者获取到关于该目标系统的很多有用信息，如共享资源、,Netbios,名和用户组等。,采用协议：,NetBIOS,协议、,CIFS/SMB,协议和空会话,常用工具：,Net View,Nbtstat,和,Nbtscan,Legion,和,Shed,资源扫描与查找,Net View,NET VIEW computername /CACHE | /DOMAIN:domainname,或,NET VIEW /NETWORK:NW computername,在命令行中输入“,net view /domain”,命令，可以获取网络上可用的域,/domain:domainname,指定要查看其可用计算机的域或工作组。,如果省略,DomainName,，,/domain,将显示网络上的所有域或工作组名。,Net View /domain:domainname,在命令行中输入“,net view /domain,：,domain_name”,命令，可以获取某一域中的计算机列表，其中,domain_name,为要列表计算机的域名。,在,命令行,中输入,“,net view computer_name,”,命令，可以获取网络某一计算机的共享资源列表，其中,computer_name,为计算机名,。,/network:nw,显示,NetWare,网络上所有可用的服务器,在命令行中输入“net view /domain,nbtstat,和,nbtscan,nbtstat,（,NetBIOS over TCP/IP,）是,Windows NT/2000,内置的命令行工具，利用它可以查询涉及到,NetBIOS,信息的网络机器。另外，它还可以用来消除,NetBIOS,高速缓存器和预加载,LMHOSTS,文件等。这个命令在进行安全检查时非常有用。,利用,nbtstat,查看目标,系统,NetBIOS,列表,nbtstat和nbtscan,Nbtstat,本身有一些缺陷，如一次只能扫描一台主机等，,nbtscan,（,http:/www.abb.aha.ru/software/nbtscan.html,）却可以对一个网段进行扫描,利用,nbtscan,对网段进行扫描。,Nbtstat本身有一些缺陷，如一次只能扫描一台主机等，nb,Legion,和,Shed,在,NetBIOS,扫描中，很重要的一项就是扫描网络中的共享资源，以窃取资源信息或植入病毒木马。,Legion,和,Shed,就是其中的典型。,Legion,的共享资源扫描可以对一个,IP,或网段进行扫描，它还包含一个共享密码的蛮力攻击工具，如 “,Show BF Tool”,按钮,。,主要用于,Windows 2000,以前的操作系统中,Legion和Shed,Shed,是一个速度很快的共享资源扫描工具，它可以显示所有的共享资源，包含隐藏的共享。,Shed是一个速度很快的共享资源扫描工具，它可以显示所有的共,空会话,原理,利用,Windows NT/2000,对,NetBIOS,的缺省信赖,通过,TCP,端口,139,返回主机的大量信息,实例,如果通过端口扫描获知,TCP,端口,139,已经打开,net use 192.168.102.230IPC$ /USER: ,在攻击者和目标主机间建立连接,Windows 2000,还有另一个,SMB,端口,445,预防资源扫描和查找的方法：,防范,NetBIOS,扫描的最直接方法就是不允许对,TCP/UDP 135,到,139,端口的访问，如通过防火墙或路由器的配置等。另外，对单独的主机，可使用,NetBIOS over TCP/IP,项失效或注册表配置来实现。,Windows 2000,操作系统还要禁止,445,端口。,空会话,用户和用户组查找,利用前面介绍的方法，可以很容易获取远程,Windows NT/2000,主机的共享资源、,NetBIOS,名和所处的域信息等。但黑客和非法入侵者更感兴趣的是通过,NetBIOS,扫描，获取目标主机的用户名列表。如果知道了系统中的用户名（即账号）后，就可以对该账号对应的口令进行猜测攻击（有些口令往往很简单），从而对远程目标主机进行更深入的控制。,在,Windows NT/2000,的资源工具箱,NTRK,中提供了众多的工具用于显示远程主机用户名和组信息，如前面介绍的,nbtstat,和,nbtscan,另外还有,UsrStat,等工具,用户和用户组查找,UsrStat,UsrStat,是一个命令行工具，用于显示一个给定域中的每一个用户的用户名、全名和最后的登录日期与时间，如图所示，可显示域中计算机上的用户信息。,UsrStat,发现操作系统、系统软件、常见应用软件、数据库存在的漏洞，提供解决方案。,双刃剑,漏洞发现与扫描,发现操作系统、系统软件、常见应用软件、数据库存在的漏洞，提供,瞬时攻击,瞬时攻击,漏洞发展趋势,1980 1985 1990 1995 2000 2002,时间（年）,高,各种攻击者的综合威胁程度,低,对攻击者技术知识和技巧的要求,黑客攻击越来越容易实现，威胁程度越来越高,信息网络系统的复杂性增加,脆弱性程度,网络系统日益复杂，安全隐患急剧增加,漏洞发展趋势1980 1985 1990,漏洞发展动态,时间,黑客高手发现新的弱点,黑客开始利用新弱点进行攻击,针对该弱点的粗糙的攻击工具开始传播,网络安全厂家获取相关漏洞信息集成到扫描检测工具中,自动扫描和利用该弱点的攻击工具的广泛散布和使用,弱点被广泛的用于攻击,漏洞发展动态时间黑客高手发现新的弱点黑客开始利用新弱点进行攻,漏洞发现方式,-,主机漏洞扫描,主机扫描器（本地扫描器）,与待检查系统运行于同一结点，执行对自身的检查。,主要功能,分析各种系统文件内容，查找可能存在的对系统安全造成威胁的配置错误。,特点,可以在系统上任意创建进程。为了运行某些程序，检测缓冲区溢出攻击，就要求扫描器做到这一点。,可以检查到安全补丁一级，以确保系统安装了最新的安全补丁。,可以查看本地系统配置文件，检查系统的配置错误。除非能攻入系统并取得超级用户权限，远程扫描器很难实现,漏洞发现方式-主机漏洞扫描主机扫描器（本地扫描器）,漏洞发现方式,-,网络扫描器,网络扫描器,(,远程扫描器,),和待检查系统运行于不同结点，通过网络,远程探测,目标结点，检查安全漏洞。,通过执行一整套综合的渗透测试程序集,(,扫描方法集,),，发送精心构造的数据包来检测目标系统是否存在安全隐患。,-,搜集目标主机上的各种信息，然后与系统的漏洞库进行匹配，如果满足匹配条件，则认为安全漏洞存在；,-,模拟黑客的攻击手法对目标主机进行攻击，如果模拟攻击成功，则认为安全漏洞存在。,漏洞发现方式-网络扫描器网络扫描器(远程扫描器),网络安全典型网络攻击手段课件,扫描器基本模块,用户界面,扫描引擎,扫描方法集,漏洞数据库,扫描输出报告,扫描策略,扫描器基本模块用户界面扫描引擎扫描方法集漏洞数据库扫描输出报,主机扫描内容,-unix(1),系统完整性检查,关键系统文件变化检查,用户账户变化检查,黑客入侵标记检查,未知程序版本,不常见文件名,可疑设备文件,未经授权服务,网络数据包截获攻击检测,弱口令选择检测,有安全漏洞程序版本检测,标记可被攻击程序,报告需要安装的安全补丁,检查系统配置安全性,全局信任文件,主机扫描内容-unix(1)系统完整性检查未经授权服务,主机扫描内容,-,unix (2),crontab,文件,rc,系统启动文件,文件系统,mount,权限,打印服务,账户配置,组配置,检查网络服务安全性,是否允许,ip,转发,标记有风险服务,Ftp,配置,News,服务器配置,NFS,配置,邮件服务器配置,Web,服务器配置,检查用户环境变量安全性,系统文件属主,系统文件权限许可,文件属主及权限许可,shell,启动文件,用户信任文件,应用程序配置文件,主机扫描内容-unix (2) crontab文件NFS配,主机扫描内容,-,Windows,允许建立,guest,账户,guest,账户无口令,口令构造和过时原则,弱口令选择,登陆失败临界值,注册表权限许可,允许远程注册访问,独立的注册设置,对系统文件和目录不正确的分配许可权,非,NT,缺省配置的未知服务,运行易遭到攻击的服务，如：运行在,Web,服务器上的,SMB,服务等,带有许可访问控制设置的共享，可能给远程用户全部访问权,主机扫描内容-Windows 允许建立guest账户独立的,网络扫描内容（,1,）,后门类,浏览器类,强力攻击类,CGI-Bin,类,守护进程类,DCOM,类,DNS,协议类,NFS,类,电子邮件类,Finger,类,防火墙类,FTP,协议类,信息收集类,Instant Messaging,LDAP,类,NetBIOS,类,网络扫描内容（1）后门类电子邮件类,NIS,类,NT,关键问题类,NT,组类,NT,网络类,NT,口令检查类,NT,口令策略类,NT,补丁类,NT,策略类,NT,注册表类,NT,服务类,NT,用户类,协议欺骗类,路由器,/,交换机类,RPC,类,共享类,SNMP,类,TCP,端口扫描,UDP,端口扫描,Web,扫描,X Windows,类,网络扫描内容（,2,）,NIS 类NT 用户类网络扫描内容（2）,漏洞扫描系统的性能指标,准确性,效率,扫描方法的关联性,扫描器自身的安全,漏洞的描述,升级频率,漏洞扫描系统的性能指标准确性,Nessus,目前全世界最多人使用的系统漏洞扫描与分析软件。超过,75,000,个机构使用,Nessus,作为扫描该机构电脑系统的软件。,1998,年,创办人,Renaud Deraison,展开了一项名为,“Nessus”,的计划，其计划目的是希望能为因特网社群提供一个免费、威力强大、更新频繁并简易使用的远端系统安全扫描程序。经过了数年的发展,包括,CERT,与,SANS,等著名的网络安全相关机构皆认同此工具软件的功能与可用性。,2002,年时, Renaud,与,Ron Gula, Jack Huffard,创办了一个名为,Tenable Network Security,的机构。在第三版的,Nessus,发布之时,该机构收回了,Nessus,的版权与程序源代码,(,原本为开放源代码,),并注册成为该机构的网站。 目前此机构位于美国马里兰州的哥伦比亚。,Nessus,对个人用户是免费的，只需要在官方网站上填邮箱，立马就能收到注册号了，对应商业用户是收费的。,Nessus目前全世界最多人使用的系统漏洞扫描与分析软件。超,Exploit,发现漏洞后利用相应的,Exploit,获取控制权,有漏洞不一定就有,Exploit,。,有,Exploit,就肯定有漏洞,Exploit,Metasploit,是一个免费的、可下载的框架,H.D. Moore,在,2003,年发布,附带数百个已知软件漏洞的专业级漏洞攻击工具。,可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。,软件厂商再也不能推迟发布针对已公布漏洞的补丁了，因为,Metasploit,团队一直都在努力开发各种攻击工具，并将它们贡献给所有,Metasploit,用户。,漏洞发现和利用,-Metasploit,Metasploit是一个免费的、可下载的框架,H.D. M,网络攻击手段,准备阶段,传输过程中的窃听,IP,地址欺骗,会话劫持,拒绝服务攻击,维护访问权 后门和木马,网络攻击手段准备阶段,传输中的威胁,窃听,电缆,嗅探器,sniffer,对网卡重新编程,自感应技术,(,从电缆线读取辐射信号,要求足够近,),搭接电缆,WAN,上的信号截取者还必须能将信号从多路复用信号中分离,微波和卫星,很容易截获信号 依靠大容量和复杂的多路复用技术,即使获取了信号也无法将某个特定信号分离,光纤,安全性,:,分接易被发现 没有电磁辐射,传输中的威胁窃听电缆,无线通信,在美国,无线计算机连接 车库开门器 本地无线电 部分无绳电话 短距离无线应用共用频段,干扰,安全问题,:,无线信号强度,100-200,英尺,(1,英尺,=0.3048,米,),用调谐天线就可接受,无线通信的标准,802.11b 802.11a 802.11g,加密标准,WEP 40,位或,104,位经典流式密钥,(,调查显示,85%,无线网络没有使用,WEP,功能,),无线通信,通过集线器进行嗅探：被动嗅探,典型工具,Snort,和,Sniffit,通过集线器进行嗅探：被动嗅探典型工具 Snort和Snif,通过交换机进行嗅探：主动嗅探,攻击者发明了很多,工具,，这些工具,向交换型,LAN,发送欺骗性数据，以达到截获流量的目的。,通过交换机进行嗅探：主动嗅探攻击者发明了很多工具，这些工具向,Dsniff,www.monkey.org/-dugsong/dsniff,由,Dug Song,编写，是个工具集，可在,LAN,中以多种灵活的方式截取信息。,用洪泛对付交换机,用,ARP,欺骗信息对付交换机,能够分析大量应用程序的数据包,发送假的,DNS,信息,对,HTTPS,和,SSH,进行嗅探,Dsniffwww.monkey.org/-dugsong/,ARP,欺骗过程,ARP欺骗过程,发送假的,DNS,信息进行流量转向,。,Dsniff,包含一个叫,dnsspoof,的程序，可让攻击者发送假的,DNS,回应给受害者，以使攻击者要访问其他机器时却访问攻击者的机器。,Dsniff,发送假的DNS信息进行流量转向。Dsniff包含一个叫dns,对,HTTPS,和,SSH,进行嗅探,Dsniff,利用,SSL,和,SSH,对证书以及公钥的信任，如果,Web,服务器发给浏览器的证书是由一个浏览器不认识的证书机构签发的，浏览器将问用户是否接受此不信任的证书，信任的决定权留在了用户（通常是没经验的，一般用户不在意此）手里，浏览器会警告用户，但它仍允许用户继续建立连接。,Dsniff,工具集中用于攻击,HTTPS,和,SSH,的工具名是：,webmitm,和,sshmitm,。,Dsniff,对HTTPS和SSH进行嗅探Dsniff,对,HTTPS,和,SSH,进行嗅探,对HTTPS和SSH进行嗅探,嗅探的防御,将传输的数据进行,加密,。,使用,交换机,。,防止,ARP,欺骗,对包含了重要系统和数据的网络，在交换机上进行端口级安全设置，用链到端口上的机器的,MAC,地址来配置此端口，以防止,MAC,地址洪泛和,arpspoof,。,在极端重要的网络，如,DMZ,，,在每台终端机器上使用静态,ARP,表,，对,LAN,上的所有系统进行,MAC,地址的硬编码。,嗅探的防御将传输的数据进行加密。,网络攻击手段,准备阶段,传输过程中的窃听,IP,地址欺骗,会话劫持,拒绝服务攻击,维护访问权 后门和木马,网络攻击手段,IP,地址欺骗（,1,）,IP,地址欺骗,通过改变或伪装系统的,IP,地址进行攻击。,可帮助攻击者对那些使用,IP,地址来当作验证方式和过滤方法的应用程序进行破坏。,简单欺骗型,攻击者很容易,改变其,IP,地址,，,使用一种工具来,产生具有所需,IP,地址的数据包,。典型工具,Nmap,和,dsniff,都是利用后一种方法来产生欺骗性数据包的。如果攻击者想不让人知道数据包洪泛或,DOS,攻击的数据包来向，简单欺骗是个不错的选择。但有很大的限制。,IP地址欺骗（1）IP地址欺骗,假冒攻击存在的问题,例：,EVE,是攻击者，,ALICE,是被假装者，,BOB,是目标受害者。过程,:,EVE,与,BOB,打开一个连接，假冒,A,发送,3,次握手的第一个数据包,TCP SYN,（,A,，,ISNa,）；,然后是,3,端握手第二步，,BOB,发送,ACK,（,A,，,ISNa,）,SYN,（,B,，,ISNb,）给,ALICE,当,ALICE,收到此数据包时，因为它本身并没进行,3,次握手第一步，所以它将发送,RESET,信息，断开连接，,从而使,EVE,不能假装成,ALICE,和,BOB,交互，,EVE,也就无从截获数据流量。,如果,EVE,和,BOB,是在同一个,LAN,上，,简单攻击能够以交互方式进行，因为,EVE,可以从,LAN,上面截获,BOB,发出给,ALICE,的回应信息,，并利用,ARP,欺骗来防止,ALICE,的,RESET,信息将连接终止。,假冒攻击存在的问题如果EVE和BOB是在同一个LAN上，简单,破坏,UNIX,的,r,命令型,所谓,“,UNIX,信任,”,是指当一个,UNIX,系统信任另一个时，用户可以登录到被信任主机，使用,r-,命令（如,rlogin,、,rsh,、,rcp,）对信任主机进行访问时无需提供密码,。,IP,地址欺骗（,2,）,3,个终端都使用,UNIX,系统，而,ALICE,被,BOB,系统信任,。这样，,攻击者只要在欺骗攻击中成功使用了,ALICE,的地址,，他就能在,BOB,系统上执行命令而无需提供密码。,破坏UNIX的r命令型IP地址欺骗（2） 3个终端都使用,具体步骤：,EVE,打开到,BOB,的,TCP,连接，不断的发送,TCP SYN,数据包,可以帮助,EVE,猜测出,BOB,的,SYN-ACK,中的初始序列号随时间变化的规律，从而猜测出在第,5),步中将会使用的初始序列号，当然如果猜错，将前功尽,EVE,对,ALICE,发动拒绝服务攻击,，,使,ALICE,在一段时间内变哑，不能发送,RESET,数据包，于是欺骗性的,TCP,连接不会断掉了。,EVE,使用,ALICE,的地址同,BOB,建立连接,（极可能使用,rsh,这类命令），完成,3,次握手第一步。,BOB,回应数据包给,ALICE,由于,ALICE,受到拒绝服务攻击，不能发送,RESET,数据包。,EVE,向,BOB,发送,ACK,里面的,ISNb,（直到猜对）是猜的，而且还是使用,ALICE,的,IP,地址来进行欺骗。,具体步骤：EVE打开到BOB的TCP连接，不断的发送TCP,BOB,认为,ALICE,与他建立了一个,TCP,连接，并使用了,r-,命令,。,EVE,可以假装成,ALICE,发送命令给,BOB,，,BOB,将执行这些命令。,BOB,的所有回应都将被发送给,ALICE,，因此，,EVE,真正并没有同,BOB,建立交互连接。,EVE,只是发送命令，,BOB,将执行命令并发送回应给,ALICE,（仍然哑着），这就建立了一个单向的命令发送管道，,EVE,可以重新配置,BOB,以获得完全的交互访问权。,比如,EVE,可以将其,IP,地址加进,/etc/hosts.equiv,文件，使得,BOB,信任,EVE,，这样，以后就可以直接使用,r-,命令登录,BOB,，而不用使用欺骗手段了。,BOB认为ALICE与他建立了一个TCP连接，并使用了r-命,ISN,A,的猜测,ISNA的猜测,源路由欺骗型,源路由发送数据包的源机器可以指定此数据包在网络上要经过的途径。,EVE,产生带有虚假路由的数据包,路由为（,ALICEEVEBOB,）。任何在,EVE,和,BOB,之间的路由器都会读取此路由，并将数据包转发给,BOB,。,BOB,将对此数据包作出反应,。,回应将会将此源路由翻转过来（,BOBEVEALICE,）。,BOB,产生的数据包将会被传到,EVE,，因为,EVE,是源路由的一部分，它将截获这些数据包并不再转发（否则会导致,ALICE,发出,RESET,）。,IP,地址欺骗（,3,）,源路由欺骗型IP地址欺骗（3）,源路由很少通过,Internet,进行,，因为大多数单位在它们的,Internet,网关上都封掉了源路由的数据包。然而，在许多单位的内部网里，源路由仍是可行的，因此内部人员仍可能使用这种攻击手段。,源路由欺骗,源路由很少通过Internet进行，因为大多数单位在它们的I,IP,欺骗的防范方法 （,1,）,必须确保你的,TCP,堆栈所产生的序列号不容易被猜测。,添加操作系统提供商最新提供的安全补丁。,使用,Nmap,工具对自己的系统进行扫描，以测试其初始序列号的可预测性。,对,UNIX,系统，不要使用脆弱的,r-,命令，使用安全的方式，如,SSH,或,VPN,来代替,r-,命令。,在边界路由器和防火墙上实施“反欺骗”包过滤。,IP欺骗的防范方法 （1）必须确保你的TCP堆栈所产生的序,禁止带有源路由的数据包通过网关，,对,cisco,路由器而言，使用,no ip sourceroute,命令就可以使网关将带有源路由的数据包抛弃了。,必须注意整个环境中信任关系,。,应该杜绝将,UNIX,和,Windows NT,的信任关系通过不被保护的网络（如通过,Internet,防火墙）进行扩展。甚至连商业伙伴之间链路上的信任关系也应该被避免，只有在必要的商业需要时，系统之间的信任关系才应该十分谨慎的在安全的内部网上建立。,IP,欺骗的防范方法 （,2,）,禁止带有源路由的数据包通过网关，IP欺骗的防范方法 （2）,网络攻击手段,准备阶段,传输过程中的窃听,IP,地址欺骗,会话劫持,拒绝服务攻击,维护访问权 后门和木马,网络攻击手段,会话劫持,当用户和一台机器建立了一个交互式的登录会话时，攻击者可,使用会话劫持工具,将此会话从用户那里偷过来。,不易被发现,。当用户发现会话不见了，大多数人认为是网络故障所致，因此会重新登录，他们并没有意识到会话并没有断掉，而是被偷掉了。,会话劫持当用户和一台机器建立了一个交互式的登录会话时，攻击,会话劫持举例,ALICE BOB,建立了一个,telnet,会话,TCP,序列号猜测：,EVE,处于它们之间的网段上，使用嗅探工具看到此会话。仔细检查数据包的,TCP,序列号,。,会话劫持的过程：,在,ALICE,和,BOB,通信的某一时刻，,EVE,打算劫持此连接，他开始将源地址为,ALICE,的假冒流量注入网络中，数据包所使用的,TCP,序列号,是正确的。如果劫持成功，,BOB,将把,EVE,当作,ALICE,而执行收到的,EVE,发出的命令，,EVE,巧妙的把,ALICE,手上的会话给偷掉了,。,会话劫持举例ALICE BOB建立了一个telnet会话,会话劫持举例,会话劫持举例,基于主机的会话劫持,在,UNIX,系统上，如攻击者在,ALICE,或,BOB,上有了,root,权限,，基于主机的会话劫持工具可让攻击者与本地终端设备（,UNIX,系统上的,tty,，用于,telnet,和,rlogin,会话）进行交互。,tty,是被多种命令行程序（如,telnet,和,rolgin,）用来从用户键盘获得信息和在屏幕上以,ASCII,方式显示信息的软件工具。,攻击者就可以直接从受害者的,tty,上读取所有的会话信息，甚至向,tty,里输入击键符，这样便对会话有了完全的控制权,。,当攻击者没有,ALICE,或,BOB,机器上的账号时，基于网络的会话劫持工具十分有用，相反，截获会话的最简单方法就是使用基于主机的会话劫持。,典型的会话劫持的工具,有,Hunt,、,Dsniff,的,sshmitm,工具、,IP Watcher,、,TTYSnoop,等。,基于主机的会话劫持在UNIX系统上，如攻击者在ALICE或B,防御会话劫持,必须实施在,防御欺骗攻击,中所提及的方法,使用如,SSH,这样的加密方法或,VPN,以提供,安全会话,。,对非常重要的系统，如防火墙、路由器和安全系统，即使在穿过内部网时也要使用加密会话。,注意到,Dsniff,可用来劫持,SSH,连接，因此在使用,SSH,时应使用版本,2,的协议，并密切注意有关服务器公钥改变的信息，如果服务器公钥不明不白的改变了，不要进行连接，而是要对其做调查。,防御会话劫持必须实施在防御欺骗攻击中所提及的方法,网络攻击手段,准备阶段,传输过程中的窃听,IP,地址欺骗,会话劫持,拒绝服务攻击,维护访问权 后门和木马,网络攻击手段,拒绝服务攻击,DoS,一种通过耗尽,CPU,、内存、带宽以及磁盘空间等系统资源，来阻止或削弱对网络、系统或应用程序的授权使用的行为。,基于本地的拒绝服务攻击,基于远程的拒绝服务攻击,攻击举例,：,2000,年大商业网站,Yahoo!, eBay, A, eTrade,绰号,MafiaBay 15,岁加拿大少年，青少年罪犯感化中心服刑,8,个月,2001,年，微软旗下的,遭受,DoS,在一天上午和下午的部分时间只能响应,2%,的合法请求。,拒绝服务攻击DoS一种通过耗尽CPU、内存、带宽以及磁盘空间,基于本地的拒绝服务攻击,停止本地服务,杀死进程,：一个有足够权限的攻击者（如系统管理员）可以很容易的在,DoS ,攻击中杀死本地进程。如服务器进程,重新配置系统,：拥有足够权限的攻击者能重新配置系统，使其不再提供服务或者过滤掉特定的用户。例如，在一个,Windows NT,文件服务器上，攻击者可以简单通过网络设置停止文件共享，以阻止合法用户远程访问此文件服务器有价值的数据。,使进程崩溃,：如果攻击者没有超级权限，他们也可以利用系统的弱点使进程崩溃。例如：攻击者可以通过向本地机任意输入大量的随机数据使堆栈缓冲区溢出。由于在溢出攻击期间入栈的返回指针是随机的，所以目标继承很容易崩溃，使系统拒绝用户访问,基于本地的拒绝服务攻击停止本地服务,消耗本地资源,填充进程表,一个攻击者可能会写一个程序，使用这种程序，攻击者就能像系统为用户启动进程那样迅速的建立新进程。最后，计算机的进程表被填满了，从而阻止了正常用户开启进程并拒绝任何的访问。,填充文件系统,通过不断的给文件系统发送大量的数据，攻击者能将文件分区表填满，阻止其他用户建立文件，还有可能使系统崩溃。,发送网络数据，阻塞通信链路,攻击者写一个程序，给被攻击的系统发送伪造的网络信息，消耗处理器和连接线路带宽。如果攻击者的程序能生成足够多的数据包，合法用户就不能与系统交换数据。,消耗本地资源,基于远程的拒绝服务攻击（,1,）,远程终止服务,Land,型数据包：,发送一个假的数据包，它的源,IP,地址和端口号均与目标主机相同。目标主机就会收到这样的数据包，来自本主机同一端口且同时到达。旧的,TCP/IP,栈在这种未知的情况下就会造成混乱，甚至崩溃。,Latierra,型数据包 ：,与,Land,型数据包类似，但会同时给多个端口发送多种类型的,Land,数据包。,Ping of Death,型数据包：,发送一个超长的数据包，当主机收到时，由于旧的,TCP/IP,栈不能有效处理一个大于,64K,的,Ping,包而崩溃。,基于远程的拒绝服务攻击（1） 远程终止服务,Jolt2,型数据包,：,发送一些数据包碎片，长度为零。因此这些空的数据包碎片看起来像一串数据包的第一个。只要这种数据包碎片发送出去，目标主机会耗尽处理器全部能力来重新组装这些数据包碎片。,Teardrop,、,Newtear,、,Bonk,、,Syndrop,等类型的数据包,：发送重叠的数据包碎片，在数据包头内碎片的长度被设置为不正确的值，所以主机对这些数据包碎片组装时不能对其正确排队。一些,TCP/IP,栈就会崩溃。,Winnuke,型数据包：,向一个,Windows,主机的开放文件共享系统端口（如,TCP,端口,139,）发送垃圾数据，当端口收到这种数据时，由于不能用合法的服务器信息块（,SMB,）协议对其进行格式化，导致系统瘫痪。,Jolt2 型数据包 ：发送一些数据包碎片，长度为零。因此这,消耗远程资源,远程占用目标主机的资源，特别是,通信链路的带宽,。在这种方式的攻击中，攻击者会利用数据包洪来消耗你所有的网络处理能力。,SYN FLOOD,攻击,Smurf,攻击,UDP,泛洪,基于远程的拒绝服务攻击（,2,）,消耗远程资源 基于远程的拒绝服务攻击（2）,正常的三段握手图例,正常的三段握手图例,SYN FLOOD,攻击,利用服务器的连接缓冲区（,Backlog Queue,），利用特殊的程序，设置,TCP,的,Header,，向服务器端不断地成倍发送只有,SYN,标志的,TCP,连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。 ,SYN,请求超过了服务器能容纳的限度，缓冲区队列满，服务器就不再接收新的请求了。,SYN FLOOD 攻击,Smurf,攻击,Smurf,是一种简单但有效的 拒绝服务攻击技术，它利用了,ICMP (Internet,控制信息协议,),。,Smurf,是用一个偷来的帐号安装到一个计算机上的，然后用一个伪造的源地址连续,ping,一个或多个计算机网络，这个伪造的源地址，实际上就是攻击的目标，它将,被极大数量的响应信息量所淹没,。,Smurf 攻击,attacker,ICMP echo req,Src: target,dst: xxx.xxx.xxx.,255,Echo reply,Echo reply,Echo reply,target,attackerICMP echo req Src: tar,UDP,泛洪,发送,UDP,数据包到诊断回送服务（在服务器上默认允许），服务器会回应一个带出是数据内容的,UDP,数据包给源地址，消耗网络带宽,常见的情况是利用大量,UDP,小包冲击,DNS,服务器或,Radius,认证服务器、流媒体视频服务器。,100k pps,的,UDPFlood,经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。,UDP泛洪发送UDP数据包到诊断回送服务（在服务器上默认允许,分布式拒绝服务攻击（,DDoS,）,DDoS,攻击,分为,3,层,：,攻击者,主控端,代理端,分布式拒绝服务攻击（ DDoS ）DDoS攻击,发起,DDoS,攻击的步骤,寻找,Internet,上有漏洞的主机,，进入系统后在其上面,安装后门程序,，攻击者入侵的主机越多，他的攻击队伍就越壮大。,在入侵主机上,安装攻击程序,，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。,在攻击者的调遣下对攻击对象,发起攻击,。,特点：幕后操纵，不易跟踪,。,发起DDoS攻击的步骤寻找Internet上有漏洞的主机，进,被,DDoS,攻击时的现象,被攻击主机上有大量等待的,TCP,连接,网络中充斥着大量的无用的数据包，源地址为假,制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯,利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求,严重时会造成系统死机,被 DDoS 攻击时的现象被攻击主机上