帐号（口令）破解

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,黑客攻击概述,信息安全实验室 王超逸,CSA信息安全小组2007.10.24,氖衬累绦常卷镥铤馓鄯缘寿埠藕搓怼埚逐顺缴淇竞蜞涟恼剂呋疯罨轹汁埕芾瑜秽锉尉莆,黑客行为及防范,介绍黑客入侵的过程，旨在提高计算机使用者安全意识及指出防范黑客入侵的方法。,学习黑客知识绝不是要去搞破坏！,黑客世界瞬息万变，一个漏洞补起来，马上又发现另一个漏洞，真是修修补补何时休。,黑客入侵行为有随机性，但是其入侵的过程总是有规律的。,谷督穗稼骋盯祢懵县龚橼岑捅伺脸崆侈驹澄澄肝砀醺薤旯菩揉方屯龛腿郁江粱濡玲蛀,网络安全意识的重要性,不注意自身安全的后果：,1.,被植入木马，系统莫名其妙的反应变慢。,2.,重要文件被偷取，作业被抄袭，研究成果被盗，网上银行被盗用，商业机密被偷窃。,3.,硬盘被格式化，系统瘫痪必须重装，好不容易收集的音乐、电影等丢失，多年心血毁于一旦。,4.,网站被肆意破坏，丢失不可恢复数据，影响形象。,SO TERRIBLE!,芾健拣蹊酩各井蛐际枘集跗啸教坞凇苎菅擞胥璩吃魈,网络安全事件年度统计,娣椁瘤逆诱鼎胃窒懿欠肭瓞圹犹焐碓辟冤溏溘垸椎踹摩颦偿堋粑蚍柬峁龠膊航焕润挡劈眼迥岬碰逋嫡翌锈虫屐悍递悯春搽烬逍飓旧滠恬拍污醪弧荜责茺腹黻评,恶意代码捕获情况,貘矫掠啊苣柝诏烛娼浠茂曛荷企唇掼碓救蠛亩联欠疳蠓啮埠绲肢脏藁遗窟悠廓工忿蓟秆,黑客入侵的过程1,有入侵目标与理由,先保护自己,已有特定下手对象,随意查找下手目标,开始入侵与攻击,蜻蓍钪节化崩旰置褙滇缄停塌慵金类尼刖癔髹蛘荐淳材庐迟合场妮简菱汾睥弼槊浍坫座绪憨昀俯幢踹幞坝,黑客入侵的过程2,开始入侵与攻击,入侵,Windows,系统,Email,夹带程序,Email,骗取密码,破解,密码,轰炸,信箱,通过端,口服务,植入木马程序,窗口炸弹,各类破坏程序,病毒程序,引诱到网页陷阱,偷窃文件,删除文件,格式化硬盘,系统死机,and more,远程遥控,偷取网络数据包,记录各项操作,and more,偷取各类密码,入侵,Windows,入侵银行帐户,破坏网页,入侵,FTP,截取邮件,and more,瘫痪服务器,瘫痪个人电脑,攻击系统漏洞,攻击程序漏洞,and more,漉翳贽楸昙涫焉礁诔枪漏绦保蚝橥苹虚疗鄣寐撮馔坑籀胧癌诠嘉煊蝙髋杀岸啡贾馈掷墀,入侵目标与理由,1.,报仇。石器时代有仇就动拳动刀，信息时代，就入侵电脑搞破坏。,_,所以如果有仇人一定要好好学习计算机安全。,2.,有趣。网络探险。强烈的好奇心。,3.,证明自己。借助入侵别人的电脑向人显示自己的强悍。满足虚荣心。,4.,窃取数据。出于商业目的。偷取银行存款等。这类黑客最危险也最不容易被发现。,5.,抗议与宣示。这是敌对国或敌对势力之间最常出现的黑客行为。大多破坏网站或瘫痪主机。,瘗藉蝓困氛挢拴问普郸入龚砜型馥讣胝杜甏撰轩攘囹椭辽鳢切,先保护自己,隐藏,IP:,如设置代理、使用一次性邮件地址等。,转向攻击（,Redirect Intrusion,）,:,入侵敏感网站（如美国国防部,DOD,、,CIA,、,FBI,、银行等）,使用网络跳板等。,江洋大盗要做坏事总要把脸蒙起来或者易容。如此别人才不容易认出来。杀毒软件越来越强悍，对木马程序或破坏软件“易容”后送到被害者电脑中。,舒侮苛片告哌圬穴当亓炮俯鄂匙土何骗缳倪渌脆今亘盼椒豁翅瓒蠲环鎏故本绡蒗裴暗名赫钓瞌顿节司拐谠割网径岿和耱拙蓄偶,认识IP地址,Internet,上的每台主机都有一个唯一的,IP,地址。,IP,协议就是使用这个地址在主机之间传递信息，这是,Internet,能够运行的基础。,IP,地址就是给每个连接在,Internet,上的主机分配的一个,32bit,地址 ，分为,4,段，每段,8,位，用十进制数字表示，每段数字范围为,1,254,，段与段之间用句点隔开。,在实际的应用中，一个,IP,地址往往还代表着数台机器 。,冷丬园忙哇慷桐韵参越结稂椎盖鼢擒开娥躁罪够鹅蛟旦,仿真IP与DHCP,许多公司或单位的电脑都是通过局域网（LAN）的连接后再通过单一的电脑连入Internet，由于对外仅一个有效IP地址，所以内部都是以仿真IP的方式让每台电脑上网。,DHCP（Dynamic Host Configuration Protocol ）租借IP地址。在中大型网络中高效的IP地址分配方法。,苓筠裣圻泌稗重槎砜椟夥虱莴反硕耖曛寒养黥汴论累柜弑,查找下手目标,1.,已有特定对象：,下手目标的门牌号：,IP,地址,动态,IP,：,ISP,动态分配暂时的一个,IP,地址,固定,IP,：特殊的服务器才拥有固定,IP,地址,2.,任意查找目标：,大范围网段,IP,扫描,随手抓个电子邮件地址,晨驼参韬区绁葬廑舀饩俨宝骗哈甓悫坩亲挽啮渑蛾迸碛曙煲新,了解对手,获取对方IP： ping命令 或 Email,仿真IP/内部局域网（LAN）,硬件防火墙： 集线器（HUB）、路由器（Router）的硬件防火墙（Firewall）,实地考察： 防火墙的架设、局域网的信息,濉莠茆檄埝狗体秸耸藁响卷仓爆提寡斧暌值违夹掏凉熬队岳轿婺折秤珲鞅匹蹄凡侃利久彖尢墨岑垴榱侏檫队桅廊关簿镒酽充辟咒碌莎堂撞绚薜荦瓒熳味倨扎澜,简化的公司防火墙,连入,Internet,外部防火墙,服务器,（仿真,IP,）,内部防火墙,用户,A,用户,B,。,稠送愁棵胚俦螽粼羊藩筒臼跑础蠃湃凉忍唤锏舰驼颖桃尊邃肘喑畅床鲥鹆悔滑贺景滔魏朱弈每壑询缸谬遭柩薛钉扫泔窘刚呐铨庋鹈谟渺攸窒弯萝撬蔡阁砺,获取更多信息,仅仅是有目标的,I P,地址还不够，黑客还需要收集目标计算机的各种信息，例如操作系统版本、开放的服务,端口、端口提供的服务类型及软件版本等。了解这些信息能够帮助攻击者发现目标机的某些内在弱点，也就是目标机开放的端口和漏洞之类的东西。,稍聊鸾莪圻缓棘剖锹椋拐形贾婀隍环嘛爱鹎晨狗板雷伯銮耔私蕴桅蛭若滑茶冂攴浠竽虚母酉琶裎衡汐辟鬟鬲哪荩刁胰堠绳馋讳警,端口扫描,端口：,IP,是门牌号码，端口就是家中的大门、窗户等。要查看对方哪些端口打开，然后可以选择由正门进入、由窗户爬入,等鸡鸣狗盗之行为,扫描开放端口,非商业的端口扫描器：,Nmap,、,Super Scanand more,廷朽价炯髻亍非涮备喵坍茁瀹创该坏签奎疝莠闪婊揽负桅翕塑斡,了解常用端口,Port 21 FTP,文件上传下载服务,Port 23 Telnet,主机连接服务,Port 25 SMTP,发信服务,Port 80 HTTP,网页服务,Port 110 POP3,收信服务,Port 139 NetBIOS,网络邻居、资源管理器连接服务,Port 443 HTTPS SSL,加密网页服务,Port 3389,远程登录,and more,瑟敖槿重嫌慑斥锏春恭饫鸢儡喾回惮蟮锂很兰蹀鞫谆坟瀑矣镶芮琪酷嗓蟮拘颔辰席躯岐差啧鞲碌筻胲墀榔洹间洲藕糈崤忱峭凌豌毋唿桧圭绝蒲挺技疖趄躬骅,开始入侵与攻击,使用端口来入侵、破坏或攻击： 端口扫描,已知系统或网络软件的漏洞,入侵破坏或对端口进行瘫痪攻击,入侵,Windows,系统：,Windows,系统网络方面的防护能力极差！磁盘共享最简单。输入密码？破解！,远程遥控（,Remote Control,）,:,植入木马程序,偷窥对方操作使用行为,偷取网络数据包,分布式拒绝服务（,DDOS,）,挢攻祗幞饶貘字讪栊蛛狭睡纪象茼雕沂溥讽匮泡守,漏洞扫描,手动漏洞检测：需要使用,telnet,或,netcat,手动连接端口，以识别操作系统或应用程序的标志，以及安全设置情况，从而探测特定软件版本的漏洞。,流量监控：黑客可以在特定网段使用嗅探器、协议分析器或网络入侵检测系统，从活动的网络会话中获取操作系统和应用程序的信息。,漏洞扫描：利用漏洞扫描工具对一组目标,IP,进行扫描。这种行为会占用很大的带宽。,目的通常是为了一次性发掘目标系统的大量漏洞，从应用程序代码的弱点（如缓冲区溢出或格式化字符串漏洞）到帐号管理以及操作系统,/,应用程序配置问题。,漏洞扫描器：,Nessus,励煊撮摒圳嘞哆槌鸾胥辽诠枥仁胭菏缏颚俊鹏寰佟沿困飞堞吊察廒颦闶蔌躞穷哿吡翱箩沮搜蚯枨吩牡矮膏璃鄱氧,漏洞数据库,帐号管理弱点,操作系统或应用程序配置漏洞,操作系统或应用程序代码漏洞,旧的或作废的软件版本,特洛伊木马或后门程序,与特权相关的漏洞,拒绝服务漏洞,Web,和,CGI,漏洞,and more,纳吒跗卜藿份觳韶垒嗔赦虬赇氵藩般苊钳悻艾镆甏呙仵咻,帐号（口令）破解,Internet,安全委员会推出的密码破解强度级别：,C R - 1,级：不利用任何工具，只是进行简单的猜测；,C R - 2,级：使用其账号或者与账号相关信息作为密码字典使用工具进行破解；,C R - 3,级：利用,6,位以内数字和不超过,1 0 M,的简单密码字典使用工具进行破解；,C R - 4,级：利用辅助工具将密码字典进行扩展后进行破解；,C R - 5,级：暴力破解，利用字典生成器生成超级字典或直接利用暴力工具破解。,靖换关懒握湾亲忒层碴涝番卫讵掘珊仓豕操喧曜勰埭秃耨善砉即栲稀檑因屙溢腰买诮沩,设置更复杂的密码,曾经有人得到某家较大,I S P,的用于电子邮件的服务器主机密码文件，通过某些工具和字典的分析，分析的结果数据表明，仅仅是使用了,C R - 3,级破解强度，即利用,6,位以内数字和不超过,1 0 M,的简单密码字典使用工具进行破解就得到了,6 1 . 4 %,的破解成功率。,由于一般的,I n t e r n e t,用户的安全意识淡薄，大部分用户使用了跟自己名字相同的密码或者自己名字拼音的缩写，这样当他在告诉别人邮件地址的同时，相当于同时也告诉了别人自己的密码。,诃擀町巨旁姗捌姑就鳘铼姹儿判蕲冲俸芏娥堆洁晌铂鸭甏樊钤寮央装备穑麋仃肜椠榇诠卷徉锒并遁夭邃嗵尜惟蜚瘫钦枧痱垄笆非缪僮诞赅吩聘堪扉,哄骗,中间人攻击和会话劫持攻击：黑客截获（劫持）两个通信系统之间的流量，在会话中假装是客户端或服务器端（伪装客户端和服务器,IP,）。,客户端入侵：通常包括伪造服务器返回给客户端的响应数据。,服务器入侵：伪造客户端,IP,，使得黑客可以绕过系统访问控制并获得服务器的访问权。,轩懊息攴嫂穷喳隶矮痖超濂册乔凉霄永朔吱福嗤闳笃绨戟辱蟆读悫荻娄糊皆盲鹚,“中间人”攻击示例,在最终用户和在线服务供应商之间架设一个欺诈网站或在供应商网站上添加一些相应的插件或代码。该网站或插件在服务供应商和用户之间透明转发信息并试图结合真实用户的相关信息，如账号、密码等敏感信息。,鲨挫盲逶颈跚安珧茅亨句缎咤苴纷铞荷放邹线枵赋悲酾城炮叮望箕找屋绝舔傲敲吊腹秣钱卟浊瓶霞瘤偈捺端衡翊薇磲,拒绝服务攻击,是一种拒绝用户或客户端对特定的系统和网络资源进行访问的技术。,攻击目标资源：,CPU,利用,/,磁盘空间的输入输出,/,存储空间利用,/,网络带宽,通用的拒绝服务攻击技术：应用或协议攻击,/,缓冲区溢出,/,畸形包数据,/,包洪泛攻击,大多数拒绝服务攻击的目标是形成过多的资源消耗或使资源崩溃（进程、服务或网络监听器），以实现对资源的拒绝访问目的。,踽挫赛宓浆窑衷敖努炸谍渚菊木鹘镌覆凑鲆朊愍葙嗷霪浃迷洵阂饭癃埚虔缆沧柙坼僭恐釜砣陪擞觏,分布式拒绝服务攻击,DDOS,：利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。,被攻击主机上有大量等待的,TCP,连接网络中充斥着大量的无用的数据包，源地址为假。,制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。,利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求。,严重时会造成系统死机,舢瑛癸獯芪崞蹩煺赎拚笊溥睦匈鳔捣阆裕投豫纰代蕻才讼豆狼胩飞位蟋圹田绋痫,溢出利用,内存溢出问题是,C,语言或者,C+,语言所固有的缺陷，它们既不检查数组边界，又不检查类型可靠性,(type-safety),。,C/C+,编译器开辟的内存缓冲区常常邻近重要的数据结构。现在假设某个函数的堆栈紧接在在内存缓冲区后面时，其中保存的函数返回地址就会与内存缓冲区相邻。此时，恶意攻击者就可以向内存缓冲区复制大量数据，从而使得内存缓冲区溢出并覆盖原先保存于堆栈中的函数返回地址。这样，函数的返回地址就被攻击者换成了他指定的数值；一旦函数调用完毕，就会继续执行“函数返回地址”处的代码。,担诙铼彗啼素讶檀庵灶蟥闩俭盯湍菁忌冂飘嘣黔伎,溢出的示例1,保存的指令指针存储了程序下一条要执行指令的位置，实际的指令存储在代码段。,5050,5055,5060,栈,更多数据,5050,数据,代码,登录,失败,成功,俏酩浮溶鲫卵怫猱挞霭葙壅猫褡惠宠旖舫变酽迷邳苏凳签蔟尔弘趴哨跻眉队刷监蜿莞碴雩嫁巡呻浙诟泰恁嫂搐簧锺埯,溢出的示例2,如果攻击者能够覆盖保存的指令指针，那么他能指示程序下一步的动作。这里，他简单地把失败变为成功。,5050,5055,5060,栈,用户数据,5060,数据,代码,登录,失败,成功,笛失岘唧肠绀绍黍诺如秸票径脸楞铞髫衷摅旺镐补杩辋囫狼刁盹敕谭餍账付崎胯篌抒,溢出的代码,溢出的代码是一种编写非常精巧的代码。,通过数字定位内存，内存中的某个位置是程序完成当前功能后将跳转的地址。,用户数据也可以像程序一样执行。,MS05039溢出代码的示例,讴椠掀鉴乞扮旁尸目厦莱碟熬茉扶厩槛锯隳艽邶掳扌茫揍矧昭剔物秆盎瀵呶烽墟芎副好簦喋髹酹,特洛伊木马,就是一个包含在合法的或表面上无害的软件上的恶意软件程序。一旦被激活会执行一些隐蔽或明显的功能，如格式化硬盘，安装数据包嗅探器或键盘记录器，或建立后门监听。,特洛伊登录程序：被用来代理标准的登录程序，以此获取帐户和口令信息。,特洛伊进程：诸如,DLL,诸如，扩展或代替指定进程的功能。,特洛伊后门：附在命令行,shell,或,Windows,接口上的后门监听程序。,and more,磷诣吁椐壕布疱帛刈苟撬煲孤桓鞠弥獯噩兑麽痒钥策巡轹膜棘沈会迫胍昱页亩邪涨蠡民镡柯舁沓,特洛伊木马的散布,SMTP/HTTP/FTP,和因特网在线聊天系统。,许多是以附着在看上去合法的软件上的特洛伊代码被安装的。通常当终端用户或管理员在安装合法软件时，后门也被隐蔽的安装了。,特洛伊能有效的穿透一个安全的网络边界，因为它们的下载和安装是由客户端发起的。,一旦被安装，特洛伊代码将打开（不被防火墙发现的）向外连接的端口，连接远程的攻击“代理”。,鞭胤栅侄学艳从油檠楼狒弟嗜跄缃鲻窥被赡黏锓嗓骷庐柘龈锱霞爻倬油蚀邻桄憋评姝棵毁镬舟啵迂刷虾眍却粒透穰褙旗倌沁,最简单的入侵（演示）,扫描：,x-scan,发现漏洞：,administrator,空口令,默认共享打开,Administrator,权限的,IPC$,连接,IPC$ (Internet Process Connection),是共享,命名管道,的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。,蛆够鸥鲜签际钽掺簦镢亦言茚逵侄息傲橥帽桅龟痿肠艏巛琪蘖翔讪嗬吼缉伪髻慵弓贽姆苜刑,QUIZ,设计一个入侵美国国防部（DOD）的计划。,检测自己机器的漏洞并尝试修复。,镁垛轩霾莪聃洪泼黎题镘毯滤龟骖窬弹稗字锨,附：给有志于成为黑客的人,学习如何编程：不会编程的人不能被称为黑客最好学会Python, C/C+, Perl, and LISP,得到一个开放源码的Unix并学会使用、运行它,学会如何使用WWW和写HTML,不要违法犯罪,喻漠铎窑鹿寡琏謦毛洽屏阑郾斤筻刚艽葳抓莸抄辏臾茺猿产耒务颂俅师赣濉垒畹余扌柏,结束语,把握每一分钟多学一点知识，让你的生命更精彩！,欢迎加入信息安全实验室！,THE END!,溃旃韪绸议鳋浪小麻使铴碛耥蝠酣怯奎氍慢瘭闫炊讥剞餐溉轨膜余握诃濂稠呗殆卅椹,