1、安全与支付安全与支付第三讲第三讲攻击的非计算机手段攻击的非计算机手段攻防技术战攻防技术战黑客攻击的过程黑客攻击的过程p 踩点(踩点(Foot PrintingFoot Printing)p 扫描(扫描(ScanningScanning)p 查点(查点(EnumerationEnumeration)p 获取访问权(获取访问权(Gaining AccessGaining Access)黑客攻击的过程黑客攻击的过程 2 2p 权限提升(权限提升(Escalating Privilege)p 窃取(窃取(Pilfering)p 掩盖踪迹(掩盖踪迹(Covering Track)p 创建后门(创建后门(
2、Creating Back Doors)p 拒绝服务攻击(拒绝服务攻击(Denial of Service)黑客攻击流程图黑客攻击流程图端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途较高明的入侵步骤较高明的入侵步骤15信息收集信息收集信息收集技术是一把双刃剑黑客在攻击之前需要收集信息,才能实施有效的攻击安全管理员用信息收集技术来发现系统的弱点并进行修补
3、攻击工具攻击工具攻击命令攻击命令攻击机制攻击机制目标网络目标网络网络漏洞网络漏洞目标系统目标系统系统漏洞系统漏洞攻击者攻击者漏洞扫描漏洞扫描评估评估加固加固攻击过程攻击过程实时实时入侵入侵检测检测知己知彼,百战不殆知己知彼,百战不殆16信息收集过程信息收集过程信息收集(踩点,footprint)是一个综合过程从一些社会信息入手找到网络地址范围找到关键的机器地址找到开放端口和入口点找到系统的制造商和版本17攻击者需要的信息攻击者需要的信息域名经过网络可以到达的IP地址每个主机上运行的TCP和UDP服务系统体系结构访问控制机制系统信息(用户名和用户组名、系统标识、路由表、SNMP信息等)其他信息,
4、如模拟/数字电话号码、认证机制等18社会信息社会信息DNS域名网络实名管理人员在新闻组或者论坛上的求助信息也会泄漏信息网站的网页中新闻报道例如:XX公司采用XX系统,这样的信息可以合法地获取19例:来自网站的公开信息例:来自网站的公开信息20网站上令人感兴趣的信息网站上令人感兴趣的信息机构所在位置与其关系紧密的公司或实体电话号码联系人姓名和电子邮件地址指示所用安全机制的类型的私密或安全策略与其相关联的Web服务器链接此外,尝试查阅此外,尝试查阅HTML源代源代码码21非网络技术的探查手段非网络技术的探查手段社会工程通过一些公开的信息,获取支持人员的信任假冒网管人员,骗取员工的信任(安装木马、修
5、改口令等)查电话簿、XX手册(指南)在信息发达的社会中,只要存在,就没有找不到的,是这样吗?通过搜索引擎可以获取到大量的信息搜索引擎提供的信息的有效性?(google、)24信息收集:信息收集:whoisWhois为Internet提供目录服务,包括名字、通讯地址、电话号码、电子邮箱、IP地址等信息Client/Server结构Client端(发出请求,接受结果,并按格式显示到客户屏幕上)Server端(建立数据库,接受注册请求,提供在线查询服务)客户程序UNIX系统自带whois程序Windows也有一些工具直接通过Web查询25whois.nic.gov 美国政府部门allwhois 美国
6、以外的whois服务器通过这些查询可以得到黑客感兴趣的一些信息:注册机构注册机构:显示特定的注册信息和相关的whois服务器;机构本身机构本身:显示与某个特定机构相关的所有信息;域名域名:显示与某个特定域名相关的所有信息网络网络:显示与某个特定网络或IP地址相关的所有信息;联系点联系点:显示与某位特定人员(通常是管理方面联系人)相关的所有信息 各种各种whois数据来源(续)数据来源(续)26公共数据库安全对策公共数据库安全对策考虑使用免费电话或不在本机构电话交换机范围内的电话,避免拨入攻击和社交工程伪造虚假的管理方面联系人,期望以此捕获潜在的社交工程师加强注册机构的信息更新方式,可以使用安全
7、的认证机制27信息收集:信息收集:DNS查询查询关于DNS是一个全球分布式数据库,对于每一个DNS节点,包含有该节点所在的机器的信息、邮件服务器的信息、主机CPU和操作系统等信息Nslookup是一个功能强大的客户程序熟悉nslookup,就可以把DNS数据库中的信息挖掘出来分两种运行模式非交互式,通过命令行提交命令交互式:可以访问DNS数据库中所有开放的信息UNIX/LINUX环境下的host命令有类似的功能TCP/IP百度域名劫持事件回顾百度域名劫持事件回顾DNS(小影片)百度百度“史无前例史无前例”的安全事件的安全事件2019年1月12日晨7时起,网络上开始陆续出现百度出现无法访问的情况
8、反馈,12时左右基本恢复正常;18时许百度发布官方版本公告;对事故原因说明为:“因的域名在美国域名注册商处被非法篡改,导致全球多处用户不能正常访问百度。”(1)在整个事件期间百度顶级域名及旗下全部二级域名访问都出现异常,在较长的时间全部被解析到位于荷兰的IP地址188.95.49.6跳转至伊朗网军(IRANIAN CYBER ARMY)页面跳转至雅虎错误页面(2)在此期间查询 whois信息可以发现异常,并有被不止一次修改的迹象。正常情况下的全球正常情况下的全球DNS体系、和用户三者的关系图体系、和用户三者的关系图示示 攻击示意图攻击示意图域名劫持一般过程域名劫持一般过程1、获取劫持域名注册信
9、息:首先攻击者会访问域名查询站点,通过MAKE CHANGES功能,输入要查询的域名以取得该域名注册信息。2、控制该域名的E-MAIL帐号:此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解,有能力的攻击者将直接对该E-MAIL进行入侵行为,以获取所需信息。3、修改注册信息:当攻击者破获了E-MAIL后,会利用相关的MAKE CHANGES功能修改该域名的注册信息,包括拥有者信息、DNS服务器信息等。4、使用E-MAIL收发确认函:此时的攻击者会在信件帐号的真正拥有者之前,截获网络公司回溃的网络确认注册信息更改件,并进行回件确认,随后网络公司将再次回溃成功修改信件,此时攻击者成功
10、劫持域名。36网络勘察网络勘察最常用的工具:Ping和TraceroutePing:Packet InterNet Groper用来判断远程设备可访问性最常用的方法原理:发送ICMP Echo消息,然后等待ICMP Reply消息Traceroute用来发现实际的路由路径原理:给目标的一个无效端口发送一系列UDP,其TTL依次增一,中间路由器返回一个ICMP Time Exceeded消息Windows中为tracert37网络勘察的对策网络勘察的对策防火墙:设置过滤规则使用NIDS(Network Intrusion Detection System):商用以及免费的NIDS(Snort)使
11、用其他工具:如rotoroutor,它可以记录外来的traceroute请求,产生虚假的应答下堂课:网络扫描下堂课:网络扫描攻击者:信息收集的一部分,攻击目标定位,鉴别目标,发现目标弱点管理员:网络安全检查39 计算机网络系统的组成计算机网络系统的组成硬件硬件网络节点端节点:计算机中间节点:交换机、集中器、复用器、路由器、中继器通信链路:信息传输的通道物理:传输介质逻辑:信道类比CATV的电缆和频道之间的关系软件软件通信软件(网络协议软件)网络操作系统网络管理/安全控制软件、网络应用软件local ISPcompanynetworkregional ISProuterworkstationse
12、rvermobile40网络扫描网络扫描 一般分成两种策略:一种是主动式策略另一种是被动式策略。扫描利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查,目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告41扫描器(扫描器(scanner)扫描器是一种自动检测远程或本地主机安全性弱点的软件。主要有端口扫描器和漏洞扫描器两种。扫描器通常集成了多种功能。端口扫描器的作用是进行端口探测,检查远程端口扫描器的作用是进行端口探测,检查远程主机上开启的端口。主机上开启的端口。漏洞扫描器
13、则是把各种安全漏洞集成在一起,自漏洞扫描器则是把各种安全漏洞集成在一起,自动利用这些安全漏洞对远程主机尝试攻击,从而动利用这些安全漏洞对远程主机尝试攻击,从而确定目标主机是否存在这些安全漏洞。确定目标主机是否存在这些安全漏洞。因此,扫描器是一把双刃剑,系统管理员使用因此,扫描器是一把双刃剑,系统管理员使用它来查找系统的潜在漏洞,而黑客利用它进行它来查找系统的潜在漏洞,而黑客利用它进行攻击。攻击。42扫描攻击的目的扫描攻击的目的l是否有的安全保护措施是否有的安全保护措施l运行那些服务运行那些服务l服务器软件的版本服务器软件的版本l存在哪些漏洞存在哪些漏洞l目标网络的网络拓扑结构目标网络的网络拓扑
14、结构l目标主机运行的操作系统目标主机运行的操作系统43扫描类型扫描类型网络(地址)扫描发现活动主机,获取网络拓扑结构端口扫描确定运行在目标系统上的TCP和UDP服务确定目标系统的操作系统类型确定特定应用程序或特定服务的版本漏洞扫描确定特定服务存在的安全漏洞44网络扫描了解网络情况网络扫描了解网络情况目的目的 黑客首先希望了解你的网络中的详细情况,比如网络拓扑结构,活动主机IP地址,主要服务器,路由器和防火墙。黑客使用扫描工具一般先扫描你的网关、DMZ系统,各种服务器等Internet周边环境,在控制了你的网络周边环境后,再继续攻击你的内部网络。l种类种类 发现活跃主机发现活跃主机 跟踪路由跟踪
15、路由45发现活跃主机发现活跃主机Ping:发送一个ICMP回显请求(echo request)数据包,如果目标主机响应一个ICMP回显应答响应(echo replay)数据包,则表示这是一个活跃主机。l TCP扫描:许多网络防火墙都阻塞扫描:许多网络防火墙都阻塞ICMP消息,消息,因此,发送一个因此,发送一个TCP ack包到包到80端口,如果获端口,如果获得了得了RST返回,机器是活跃的。返回,机器是活跃的。46TTL&Hop基本概念基本概念l 跳跳(Hop):IP数据包经过一个路由器就叫做一个数据包经过一个路由器就叫做一个跳。跳。当路由器收到一个IP数据包时,它首先将这个IP数据包的TTL
16、字段减1,如果TTL为0则路由器抛弃这个数据包,并向源IP地址发送一个连接超时的ICMP数据包。如果不为0则根据路由表将这个数据包发送到下一个路由器或目的网络。48跟踪路由跟踪路由(tracerouting)黑客可以利用TTL值来确定网络中数据包的路由路径,通过发送一系列TTL值递增的数据包来发现到达目的主机的路由路径。Unix下的跟踪路由工具是Traceroute,发送有递增的TTL值的UDP数据包,同时寻找返回的ICMP超时消息。windows下的跟踪路由工具是tracert。l黑客使用跟踪路由(黑客使用跟踪路由(tracerouting)技术来)技术来 确定目标网络的路由器和网关的拓扑结
17、构。确定目标网络的路由器和网关的拓扑结构。49如何防御网络扫描如何防御网络扫描利用防火墙和路由器的数据包过滤功能来阻塞这些消息,还应该阻塞所有流入的ICMP消息,另外,也可以过滤从你的网络流出的ICMP超时信息,从而完全拒绝traceroute的访问。50常见的端口扫描技术常见的端口扫描技术TCP connect扫描lSYN扫描扫描lFIN扫描扫描l反向映射扫描反向映射扫描l慢速扫描慢速扫描lUDP扫描扫描lIP分片扫描分片扫描lFTP反弹扫反弹扫描描lident扫描扫描lRPC扫描扫描l源端口扫描源端口扫描51被扫描主机的响应被扫描主机的响应TCP扫描的响应:目标主机响应SYN/ACK,则表
18、示这个端口开放。目标主机发送RST,则表示这个端口没有开放。目标主机没有响应,则可能是有防火墙或主机未运行。UDP扫描的响应:扫描的响应:目标主机响应端口不可达的目标主机响应端口不可达的ICMP报文则表示这个报文则表示这个端口关闭。端口关闭。目标主机没有响应,并且目标主机响应了目标主机没有响应,并且目标主机响应了ping,则,则这个端口被打开,如果防火墙阻塞了这个端口被打开,如果防火墙阻塞了ICMP消息,消息,则这个端口可能是关闭的。则这个端口可能是关闭的。52OS fingerprinting操作系统的指纹识别操作系统的指纹识别根据不同类型的操作系统的TCP/IP协议栈的实现特征(stack
19、 fingerprinting)来判别主机的操作系统类型。l 不同的操作系统厂商的不同的操作系统厂商的TCP/IP协议栈实现存在细微差协议栈实现存在细微差异,对于特定的异,对于特定的RFC文档作出不同的解释。文档作出不同的解释。l 向目标主机发送特殊的数据包,然后根据目标主机的向目标主机发送特殊的数据包,然后根据目标主机的返回信息在扫描工具的操作系统指纹特征数据库中查返回信息在扫描工具的操作系统指纹特征数据库中查找匹配的操作系统名。找匹配的操作系统名。53主动与被动的协议栈指纹识别主动与被动的协议栈指纹识别主动协议栈指纹识别:扫描器主动地向目标系统发送特殊格式的数据包,这种方式可能会被网络ID
20、S系统检测出来。l 被动协议栈指纹识别:通过被动地监听网络流量,来被动协议栈指纹识别:通过被动地监听网络流量,来确定目标主机地操作系统。一般根据数据包的一些被确定目标主机地操作系统。一般根据数据包的一些被动特征:动特征:TTL,窗口大小,窗口大小,DF等。等。54扫描应用软件版本扫描应用软件版本在第一次连接时,许多软件都公布了版本号(如sendmail,FTP,IMAPD,Apache等)。黑客根据这些连接信息(banner)就可以知道目标的应用软件的版本信息。根据版本号很容易在网上查到它的已知漏洞,根据这些漏洞对目标主机进行攻击。55常见的扫描工具常见的扫描工具NAMP,winmap ins
21、ecure.orglFoundstone公司的公司的Robin keir开发的开发的superscan foundstonel流光流光 fluxay4.7 netxeyes/main.html56如何防御端口扫描如何防御端口扫描关闭所有不必要的端口 l 自己定期的扫描网络主机、开放的端口自己定期的扫描网络主机、开放的端口 l 使用基于状态数据包过滤器或是代理等智能防使用基于状态数据包过滤器或是代理等智能防火墙来阻塞黑客的扫描攻击火墙来阻塞黑客的扫描攻击 57漏洞扫描工具漏洞扫描工具Nessus:最好的开放源代码风险评估工具,可以运行在Linux、BSD、Solaris。能够完成超过1200项的
22、远程安全检查,具有多种报告输出能力。并且会为每一个发现的安全问题提出解决建议。网址:nessus.orgISS Internet Scanner:应用层风险评估工具,商业漏洞扫描软件。X-Scan等THE END网络扫描的防范网络扫描的防范主机扫描防范措施监测:网络入侵检测系统Snort主机扫描监测工具Scanlogd防御:仔细考虑对ICMP通信的过滤策略端口扫描防范措施端口扫描防范措施端口扫描的监测网络入侵检测系统:Snort中的portscan检测插件系统扫描检测工具:scanlogd,PortSentry,Genius端口扫描的预防开启防火墙类UNIX:netfilter/IPTable
23、sWin32:个人防火墙商用防火墙:Check Point、NetScreen、WatchGuard等禁用所有不必要的服务,尽可能减少暴露面(进一步的受攻击面)类UNIX:/etc/inetd.conf Win32:控制面板/服务系统类型探查防范措施系统类型探查防范措施没有太多好办法检测端口扫描监测工具对被动式静默监听并辨识系统类型行为则基本无能为力挫败系统类型探查活动的防御机制也很难更改默认旗标和默认配置代理“不出声就不会被发现”这一古老格言并不适用于网络攻防领域应立足于即使攻击者探查出了操作系统和网络服务类型,也不能轻易的攻破这道“坚固的防线”漏洞扫描防范措施漏洞扫描防范措施最简单对策:提前进行漏洞扫描补丁自动更新和分发:修补漏洞联邦桌面核心配置计划(FDCC)确保桌面计算机的安全漏洞及补丁自动管理中国2019年才开始政务终端安全配置(CGDCC)标准的发展检测和防御漏洞扫描行为网络入侵检测系统:Snort仔细审查防火墙配置规则
