入侵手段与方法

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,入侵方法与手段,*,入侵方法与手段,1,第,2,章 入侵方法与手段,入侵方法与手段,:,黑客入侵模型与原理,漏洞扫描,口令破解,拒绝服务攻击,SQL Injection,攻击,缓冲区溢出攻击,格式化字符串攻击,跨站脚本攻击,入侵方法与手段,2,黑客入侵的步骤,确定目标,信息收集,攻击网络,攻击系统,留下后门,漏洞挖掘,清除日志,结束攻击,入侵方法与手段,3,2.1,信息收集概述,什么是信息收集？,信息收集是指,黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标的所有,探测活动,信息收集的内容是什么？,哪些信息对攻击是有意义的、是攻击者（当然也是网络防卫者）所关心的？,入侵方法与手段,4,2.1,信息收集概述,信息收集的内容,域名和,IP,地址,操作系统类型,端口或运行的服务,应用程序类型,防火墙、入侵检测等安全防范措施,内部网络结构、域组织、路由表、,SNMP,信息等有关系统的细节信息,入侵方法与手段,5,2.2.1,网络信息挖掘,利用公用信息服务进行信息收集,WEB,与搜索引擎服务,USENET,（新闻组服务）,WhoIs,服务,DNS,（域名系统）服务,入侵方法与手段,6,(1) WEB,与搜索引擎服务,目标：,获取目标公司或网站的域名或网站地址,直接进入目标网站或通过搜索引擎获得主页地址,入侵方法与手段,7,(1) WEB,与搜索引擎服务,目标：,获取目标网络拓扑结构,网络拓扑图,IP,分配表,网络设备，安全设施,EXAMPLE,入侵方法与手段,8,入侵方法与手段,9,重庆大学校园网建设项目实施方案,入侵方法与手段,10,入侵方法与手段,11,入侵方法与手段,12,入侵方法与手段,13,(1) WEB,与搜索引擎服务,WEB,与搜索引擎服务,公开的网页,目标域名或网站地址,网络拓扑结构,网络管理员,公司人员名单、电话、,Email,入侵方法与手段,14,(1) WEB,与搜索引擎服务,WEB,与搜索引擎服务,搜索引擎,Google,Baidu,Yahoo,搜索引擎为我们提供了在,WEB,检索信息的能力。能否在,WEB,中找到所需要的信息，关键在于能否合理地提取搜索的关键字,入侵方法与手段,15,搜索引擎服务,搜索基本指令,搜索技巧,+ / and,强制包含检索项,-,排除某检索项,“”,组合多个检索词,|,或,.,匹配任意字符,*,匹配任意检索词,site,:,搜索具体服务器或域名的网页,filetype:,搜索以特定文件扩展名结尾的,URL,intitle:,搜索网页标题中的词汇,inurl:,搜索,URL,中的词汇,intext:,搜索正文中的词汇,link:,搜索连接到指定网页的网页,入侵方法与手段,16,入侵方法与手段,17,入侵方法与手段,18,如：通过搜索下面的关键词，可以找到不少不同类型的分布在世界各地的网络摄像头：,inurl:viewerframe?mode=,inurl:indexFrame.shtml Axis,intext:MOBOTIX M1 intext:Open Menu,intitle:WJ-NT104 Main Page,入侵方法与手段,19,入侵方法与手段,20,入侵方法与手段,21,入侵方法与手段,22,搜索引擎服务,Google Hacking,搜索密码文件,搜索管理员后台,URL,搜索,CGI,漏洞,搜索黑客留下的后门,EXAMPLE,入侵方法与手段,23,选择目标,入侵方法与手段,24,下载,入侵方法与手段,25,Google Hacking,使用数据库中的帐号口令对登录,入侵方法与手段,26,Google Hacking,成功进入管理页面,入侵方法与手段,27,入侵方法与手段,28,入侵方法与手段,29,入侵方法与手段,30,入侵方法与手段,31,入侵方法与手段,32,Google Hacking,GoogleHacking,的特点,快速,搜索引擎预先准备了大量处理好的信息以供检索,准确,搜索引擎做了关联性、重要性等各种过滤处理措施,隐蔽,搜索、查询都是通过搜索引擎的数据库进行,智能,搜索引擎自身的智能特性,缓存,保留了已经实际不存在的敏感信息,第二次主题作业,请给出搜索引擎在入侵中的巧妙应用。,入侵方法与手段,33,入侵方法与手段,34,(2) USENET,（新闻组服务）,USENET,USENET,使用客户,/,服务器的工作方式,使用,NNTP,（,Network News Transport Protocol,，,TCP,端口,119,）协议来完成客户和服务器间的交互,用户使用新闻阅读器,(newsreader),程序阅读,Usenet,文章,新闻组阅读器软件一般具备在新闻组文章中进行搜索的功能，可以使用关键字对文章的发件人、文章的收件人、文章的标题或是文章的内容进行搜索,入侵方法与手段,35,WhoIs,服务,功能：查询已注册域名的拥有者信息,域名登记人信息,联系方式,域名注册时间和更新时间,权威,DNS,的,IP,地址,使用方法：,SamSpade,等网络实用工具,(,SamSpade,提供了一个友好的,GUI,界面，能方便地完成多种网络查询任务，开发的本意是用于追查垃圾邮件制造者，也用于其它大量的网络探测、网络管理和与安全有关的任务，包括,ping,、,nslookup,、,whois,、,dig,、,traceroute,、,finger,、,raw HTTP web browser,、,DNS zone transfer,、,SMTP relay check,、,website search,等工具，是一个集成的工具箱。,),(3) WhoIs,服务,入侵方法与手段,36,(4) DNS,（域名系统）服务,DNS,：提供域名到,IP,地址的映射,权威,DNS,主,DNS,Cashe-Only DNS,副,DNS,Ping,入侵方法与手段,37,(4) DNS,（域名系统）服务,如，,nslookup,命令,入侵方法与手段,38,2.2.2 IP,扫描与端口扫描,扫描,Scan,扫描目的：,查看目标网络中哪些主机是存活的（,Alive,）,查看存活的主机运行了哪些服务,WWW,FTP,EMAIL,TELNET,查看主机提供的服务有无漏洞,入侵方法与手段,39,常见的安全威胁,口令破解,拒绝服务（,DoS）,攻击,缓冲区溢出攻击,格式化字符串攻击,特洛伊木马,网络监听,病毒攻击,社会工程攻击,入侵方法与手段,40,主要网络入侵攻击方法,网络,信息丢失、篡改、销毁,内部、外部泄密,拒绝服务攻击,逻辑炸弹,黑客攻击,计算机病毒,后门、隐蔽通道,蠕虫,特洛伊木马,入侵方法与手段,41,口令破解,自己姓名的拼音 37%,常用英文单词 23%,计算机中经常出现的单词 18%,自己的出生日期 7%,良好的密码 15%,入侵方法与手段,42,口令破解,通过破解获得系统管理员口令，进而掌握服务器的控制权是黑客的一个重要手段。破解获得管理员口令的方法有很多，下面是,3,种最为常见的方法。,(1),猜解简单口令：,(2),字典攻击：,(3),暴力猜解：,入侵方法与手段,43,iOpus Password Recovery,软件,口令重现,入侵方法与手段,44,没有采用很强的口令策略（如口令的尝试次数的限制）时，强力攻击还是很有效的。强力攻击可以通过字典加速找到不安全的口令。,一些常用的不安全口令：,password、secret、sex、money、love、computer、football、hello、morning、ibm、work、office、online、terminal、internet,选择口令的要点是：长度要足够，数字、字母、符号都要有，字母要大小写都有，不能使用有意义的单词等等。,强力口令破解,入侵方法与手段,45,口令破解软件,JohnTheRipper,L0phtCrack,Ntcrack,Cracker Jack,Dictionary Maker,Brutus,等,过程：,从字典中取出一个词,-,加密,-,密文比较,该方法比较有效，大概,60%,的口令会被攻破,破解口令文件,入侵方法与手段,46,Brutus,可以对本机和远程主机的,Windows2000,操作系统的,Admin,管理员或其他用户口令进行穷举攻击。,入侵方法与手段,47,远程主机口令破解成功,管理员口令为,ada,入侵方法与手段,48,拒绝服务攻击,DoS,1.DoS,拒绝服务即,Denial of Service,，简称,DoS,服务,-,是指系统提供的，用户在对其使用中会受益的功能。,拒绝服务（,DoS,）,任何对服务的干涉如果使得其可用性降低或者失去可用性均称为拒绝服务。如果一个计算机系统崩溃、或其带宽耗尽、或其硬盘填满，导致其不能提供正常的服务，就构成拒绝服务。,拒绝服务攻击,是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。,入侵方法与手段,49,拒绝服务攻击,DoS,2. DDoS,分布式拒绝服务攻击手段是在传统的,DoS,攻击基础之上产生的一类攻击方式。单一的,DoS,攻击一般采用一对一的方式，随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得,DoS,攻击的效果不明显，攻击的难度加大了，目标系统对恶意攻击包有足够的消化处理能力。,入侵方法与手段,50,3,、,DOS,攻击过程,(1),准备阶段，收集目标信息,(2),占领傀儡机和控制台,(3),攻击的实施,入侵方法与手段,51,4,、,Dos,攻击的种类,(1),利用系统缺陷进行攻击,非法包攻击,协议缺陷攻击,(2),利用放大原理进行攻击,(3),分布式,DOS,攻击,入侵方法与手段,52,5,、系统缺陷攻击,1) teardrop,2) Land,攻击,3) Ping of death,4),循环攻击,(Echo-chargen),5) SYN,洪水攻击,入侵方法与手段,53,（,1,）碎片攻击,(,teardrop,),它利用,Windows 95,、,Windows NT,和,Windows 3.1,中处理,IP,分片（,IP fragment,）的漏洞，向受害者发送偏移地址重叠的分片的,UDP,数据包，使得目标机器在将分片重组时出现异常错误，导致目标系统崩溃或重启,入侵方法与手段,54,（,2,）,LAND,攻击,利用,TCP,三次握手来进行的攻击,Land,是向受害者发送,TCP SYN,包，而这些包的源,IP,地址和目的,IP,地址被伪造成相同的。,目标主机收到这样的连接请求时会向自己发送,SYN/ACK,数据包，结果导致目标主机向自己发回,ACK,数据包并创建一个连接。,大量的这样的数据包将使目标主机建立很多无效的连接，每一个这样的连接都将保留到超时，从而系统资源被大量的占用。,遭遇,Land,攻击时，许多,UNIX,将崩溃，而,Windows NT,会变得极其缓慢 。,入侵方法与手段,55,(3)Ping of death,攻击,向受害者发送超长的,ping,数据包，导致受害者系统异常,根据,TCP/IP,规范要求，数据包的长度不得超过,64K,个字节，其中包括至少,20,字节的包头和,0,字节或更多字节的选项信息，其余的则为数据。,而,Internet,控制消息协议,ICMP,是基于,IP,的，,ICMP,包要封装到,IP,包中。,ICMP,的头有,8,字节，因此，一个,ICMP,包的数据不能超过,65535-20-8,65507,字节,事实上，对于有的系统，攻击者只需向其发送载荷数据超过,4000,字节的,ping,包就可以达到目的，而不用使数据超过,65507,入侵方法与手段,56,（,4,）循环攻击,也称为死锁或振荡攻击,如：,Echo-chargen,攻击,Chargen(UDP,端口号,19),echo(UDP,端口号,7),echo,、,time,、,daytime,和,chargen,的任何组合都可能构成一个循环,chargen:,收到,每一个数据包时随机反馈一些字符,。,通过伪造与某一主机的,Chargen,服务之间的一次,UDP,连接，恢复地址指向开着,Echo,服务的一台主机，通过将,Chargen,和,Echo,服务互指，来回传送毫无用处且占满宽带的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务攻击飞快地导致网络可用带宽耗尽。,入侵方法与手段,57,正常的三次握手过程,SYN,攻击过程,(5) SYN,洪水攻击,入侵方法与手段,58,6,、基于放大原理的攻击,一是在报文数量上放大,(,广播地址,),二是在包长上放大（如,DNS,查询）,入侵方法与手段,59,Smurf,攻击,攻击者,用,广播,的方式发送,回复地址为受害者地址的,ICMP,请求数据包,，每个收到这个数据包的主机都进行回应，大量的回复数据包发给受害者，导致受害主机崩溃。,入侵方法与手段,60,7,、分布式拒绝服务攻击,入侵方法与手段,61,sniffer(,网络侦听、嗅探,),sniffer,类的软件能把本地网卡设置成工作在,“,混杂,”,(promiscuous),方式，使该网卡能接收所有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等,嗅探软件：,Windump(Windows),Tcpdump(Unix),入侵方法与手段,62,Ethernet,网络侦听原理：,网卡完成收发数据包的工作，两种接收模式,混杂模式：,不管数据帧的目的地址是否与本地地址匹配，都接收下来,非混杂模式,只接收目的地址相匹配的数据帧，以及广播数据包,(,和组播数据包,),入侵方法与手段,63,POP,帐号的用户名（,Ethereal,）,入侵方法与手段,64,其他攻击方法,病毒攻击,随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、木马和黑客攻击程序的结合，病毒攻击成为了互联网发展以来遇到的巨大挑战。,社会工程攻击,社会工程学其实就是一个陷阱，黑客通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密，,入侵方法与手段,65,SQL Injection,攻击,目前，大部分应用程序的架构都采用了三层架构，都存在后台数据库，以存储大量信息。而数据库中以结构化查询语言（,SQL, Structure Query Language,）,为基础的关系数据库（,RDBMS, Relational Database Management System,）,最为流行。,在应用程序中，往往采用,Visual Basic,等第三代语言来组织,SQL,语句，然后传递给后台执行，以建立、删除、查询和管理后台数据库资料。由于数据库资料非常敏感，因此利用,SQL,实现的渗透和信息窃取，一般危害较大。,入侵方法与手段,66,缓冲区溢出,攻击,一个简单的堆栈例子,example1.c:,void function(int a, int b, int c), char buffer15; char buffer210;,void main(),function(1,2,3);,入侵方法与手段,67,格式化字符串攻击,普通的缓冲区溢出就是利用了堆栈生长方向和数据存储方向相反的特点，用后存入的数据覆盖先前压栈的数据，一般是覆盖返回地址，从而改变程序的流程，这样子函数返回时就跳到了黑客指定的地址，就可以按照黑客意愿做任何事情了。,所谓格式化串，就是在*,printf(),系列函数中按照一定的格式对数据进行输出，可以输出到标准输出，即,printf()，,也可以输出到文件句柄，字符串等，对应的函数有,fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf,等。能被黑客利用的地方也就出在这一系列的*,printf(),函数中，可能有人会问：这些函数只是把数据输出了，怎么能造成安全隐患呢？在正常情况下当然不会造成什么问题，但是*,printf(),系列函数有三条特殊的性质，这些特殊性质如果被黑客结合起来利用，就会形成漏洞。,入侵方法与手段,68,跨站脚本攻击,因为,CGI,程序没有对用户提交的变量中的,HTML,代码进行过滤或转换，从而导致了跨站脚本执行的漏洞。,CGI,输入的形式，主要分为两种：显示输入；隐式输入。,其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可以通过输入数据来进行干涉。显示输入又可以分为两种：输入完成立刻输出结果；输入完成先存储在文本文件或数据库中，然后再输出结果。,后者可能会导致网站显示中的问题。而隐式输入除了一些正常的情况外，还可以利用服务器或,CGI,程序处理错误信息的方式来实施。,入侵方法与手段,69,攻击检测工具,端口扫描和信息收集,nmap,、,finger,、,rpcinfo,、,DNS query,漏洞扫描,nessus,常见攻击手法,buffer overflow,（,IIS,、,Sun RPC,、,Linux,）,后门木马,NetBus,、,BO2K,拒绝服务,SYN Flood,、,UDP Bomb,、,IPFrag,、,DDoS,入侵方法与手段,70,小结,黑客入侵模型与原理,漏洞扫描,口令破解,拒绝服务攻击,分布式拒绝服务攻击,缓冲区溢出攻击,格式化字符串攻击,跨站脚本攻击,SQL Injection,攻击,