信息安全系統(tǒng)工程黑客資料

1、1、黑客的類型(lixng)和動(dòng)機(jī)從黑客行為上劃分，黑客有“善意(shny)”與“惡意”兩種，即所謂白帽（White Hat）及黑帽（Black Hat）。白帽利用他們的技能做一些善事，長(zhǎng)期致力于改善計(jì)算機(jī)社會(huì)及其資源，為了改善服務(wù)質(zhì)量及產(chǎn)品，他們不斷尋找弱點(diǎn)及脆弱性并公布于眾。黑帽則利用他們的技能做一些惡事，主要從事一些破壞活動(dòng)，從事的是一種犯罪行為。共五十二頁“黑帽”的動(dòng)機(jī)(dngj)1、 好奇心：許多黑帽聲稱，他們只是對(duì)計(jì)算機(jī)及電話網(wǎng)感到好奇，希望通過探究這些(zhxi)網(wǎng)絡(luò)更好地了解它們是如何工作的。2、個(gè)人聲望：通過破壞具有高價(jià)值的目標(biāo)以提高在黑客社會(huì)中的可信度及知名度。3、智力挑戰(zhàn)

2、：為了向自己的智力極限挑戰(zhàn)或?yàn)榱讼蛩遂乓C明自己的能力；還有些甚至不過是想做個(gè)“游戲高手”或僅僅為了“玩玩”而已。4、竊取情報(bào)：在Internet上監(jiān)視個(gè)人、企業(yè)及競(jìng)爭(zhēng)對(duì)手的活動(dòng)信息及數(shù)據(jù)文件，以達(dá)到竊取情報(bào)的目的。共五十二頁“黑帽”的動(dòng)機(jī)(dngj)（續(xù)）5、報(bào)復(fù)：電腦罪犯感到其雇主本該提升自己、增加薪水或以其他方式承認(rèn)他的工作。電腦犯罪活動(dòng)成為他反擊雇主的方法，也希望借此引起別人的注意。6、金錢：有相當(dāng)一部分電腦犯罪是為了賺取金錢。7、政治目的：任何政治因素都會(huì)反映到網(wǎng)絡(luò)領(lǐng)域，主要表現(xiàn)有：1）敵對(duì)國之間利用網(wǎng)絡(luò)的破壞活動(dòng)； 2）個(gè)人(grn)及組織對(duì)政府不滿而產(chǎn)生的破壞活動(dòng)。這類黑帽的

3、動(dòng)機(jī)不是錢，幾乎永遠(yuǎn)都是為政治，一般采用的手法包括更改網(wǎng)頁、植入電腦病毒等。共五十二頁2、黑客攻擊的流程(lichng)共五十二頁2.1 踩點(diǎn)“踩點(diǎn)”的主要目的是獲取目標(biāo)的如下信息：1） 因特網(wǎng)網(wǎng)絡(luò)域名、網(wǎng)絡(luò)地址分配、域名服務(wù)器、郵件交換主機(jī)、網(wǎng)關(guān)等關(guān)鍵系統(tǒng)的位置及軟硬件信息。2） 內(nèi)聯(lián)網(wǎng)與Internet內(nèi)容類似，但主要關(guān)注內(nèi)部網(wǎng)絡(luò)的獨(dú)立地址空間及名稱空間。3） 遠(yuǎn)程訪問模擬/數(shù)字電話號(hào)碼和VPN訪問點(diǎn)。4） 外聯(lián)網(wǎng)與合作伙伴及子公司的網(wǎng)絡(luò)的連接地址、連接類型及訪問控制機(jī)制(jzh)。5） 開放資源未在前4類中列出的信息，例如 Usenet、雇員配置文件等。共五十二頁踩點(diǎn)采用(ciyng)的

4、主要技術(shù)1、開放信息源搜索通過一些標(biāo)準(zhǔn)搜索引擎，揭示一些有價(jià)值的信息。2、whois查詢whois是目標(biāo)Internet域名注冊(cè)數(shù)據(jù)庫，目前，可用的whois數(shù)據(jù)庫很多。3、DNS區(qū)域傳送DNS區(qū)域傳送是一種DNS服務(wù)器的冗余(rn y)機(jī)制。共五十二頁局域網(wǎng)主機(jī)(zhj)發(fā)現(xiàn)主機(jī)發(fā)現(xiàn)通過測(cè)試發(fā)現(xiàn)局域網(wǎng)內(nèi)的活動(dòng)主機(jī)可以利用ARP協(xié)議實(shí)現(xiàn)主機(jī)發(fā)現(xiàn)。ARPAddress Resolution Protocol“地址解析”就是主機(jī)在發(fā)送幀前將目的(md)邏輯地址轉(zhuǎn)換成目的(md)物理地址的過程。在使用TCP/IP協(xié)議的以太網(wǎng)中ARP協(xié)議完成將IP地址（邏輯）映射到MAC地址（物理）的過程。向目標(biāo)主機(jī)

5、發(fā)送一個(gè)ARP請(qǐng)求，如果目標(biāo)主機(jī)處于活動(dòng)狀態(tài)則會(huì)返回其MAC地址，這樣達(dá)到探測(cè)的目的。共五十二頁ARP示意圖示例共五十二頁利用(lyng)ARP進(jìn)行主機(jī)發(fā)現(xiàn)關(guān)鍵函數(shù)(hnsh)：SendARP函數(shù)SendARP是Microsoft Platform SDK中提供用來獲得目標(biāo)主機(jī)的MAC地址的函數(shù)，它發(fā)送一個(gè)ARP請(qǐng)求報(bào)文，用來獲得與指定IP地址相應(yīng)的物理地址。SendArp聲明如下：1）DestIP：目的IP地址，ARP協(xié)議將試圖獲得這個(gè)IP地址相對(duì)應(yīng)的物理地址；2）SrcIP：指定了發(fā)送者的IP地址，這個(gè)參數(shù)是可選的，調(diào)用者可以用0填充；3）pMacAddr：一個(gè)指向無符號(hào)長(zhǎng)整型的指針，如果

6、函數(shù)調(diào)用成功，這個(gè)長(zhǎng)整型變量將保存得到的物理地址；4）phyAddrLen：一個(gè)指向無符號(hào)長(zhǎng)整型的指針，如果函數(shù)調(diào)用成功，這個(gè)長(zhǎng)整型變量將保存得到的物理地址的長(zhǎng)度。共五十二頁利用(lyng)ARP進(jìn)行主機(jī)發(fā)現(xiàn)（續(xù)）參考流程顯示(xinsh)局域網(wǎng)所有活動(dòng)主機(jī)的IP地址。示例共五十二頁2.2 掃描(somio)通過踩點(diǎn)已獲得一定信息(xnx)（IP地址范圍、DNS服務(wù)器地址、郵件服務(wù)器地址等），下一步需要確定目標(biāo)網(wǎng)絡(luò)范圍內(nèi)哪些系統(tǒng)是“活動(dòng)”的，以及它們提供哪些服務(wù)。掃描的主要目的是使攻擊者對(duì)攻擊的目標(biāo)系統(tǒng)所提供的各種服務(wù)進(jìn)行評(píng)估，以便集中精力在最有希望的途徑上發(fā)動(dòng)攻擊。掃描中采用的主要技術(shù)有：P

7、ing掃射（Ping Sweep）、TCP/UDP端口掃描、操作系統(tǒng)檢測(cè)以及旗標(biāo)（banner）的獲取。共五十二頁利用(lyng)TCP全掃描進(jìn)行端口掃描TCP全掃描這種掃描方法直接連接到目標(biāo)端口并完成一個(gè)完整的三次握手過程（SYN，SYN/ACK和ACK）。Windows操作系統(tǒng)提供了“connect()”函數(shù)來完成系統(tǒng)調(diào)用，用來與每一個(gè)感興趣的目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接如果(rgu)端口處于偵聽狀態(tài)，那么connect()函數(shù)就能成功；否則，connect()函數(shù)將調(diào)用失敗。優(yōu)點(diǎn)不需要任何權(quán)限，系統(tǒng)中任何用戶都有權(quán)利使用這個(gè)調(diào)用。缺點(diǎn)如果對(duì)每個(gè)目標(biāo)端口以線性的方式使用單獨(dú)的connect()

8、函數(shù)調(diào)用，那么將會(huì)花費(fèi)相當(dāng)長(zhǎng)的時(shí)間。容易被發(fā)覺，并且很容易被過濾掉。共五十二頁利用TCP全掃描(somio)進(jìn)行端口掃描（續(xù)）關(guān)鍵函數(shù)：connect嘗試與目標(biāo)端口建立連接，若返回(fnhu)SOCKET_ERROR則表示目標(biāo)端口關(guān)閉，否則目標(biāo)端口開放。參數(shù)int mysocket;struct sockaddr_in serAddr;connect(mysocket, (sockaddr *)&serAddr, sizeof(sockaddr)共五十二頁利用(lyng)TCP全掃描進(jìn)行端口掃描（續(xù)）參考(cnko)流程示例共五十二頁漏洞(ludng)掃描漏洞掃描是一種網(wǎng)絡(luò)安全掃描技術(shù)，它基于

9、局域網(wǎng)或Internet遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或主機(jī)安全性通過漏洞掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)的Web服務(wù)器的各種( zhn)TCP/IP端口的分配、開放的服務(wù)、Web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在Internet上的安全漏洞。漏洞掃描技術(shù)采用積極的、非破壞性的辦法來檢驗(yàn)系統(tǒng)是否含有安全漏洞網(wǎng)絡(luò)安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合使用，能夠?yàn)榫W(wǎng)絡(luò)提供很高的安全性。共五十二頁漏洞(ludng)掃描（續(xù)）漏洞掃描分為利用(lyng)漏洞庫的漏洞掃描和利用(lyng)模擬攻擊的漏洞掃描利用漏洞庫的漏洞掃描包括：CGI漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描和HTTP漏洞掃描等

10、。利用模擬攻擊的漏洞掃描包括：Unicode遍歷目錄漏洞探測(cè)、FTP弱口令探測(cè)、OPENRelay郵件轉(zhuǎn)發(fā)漏洞探測(cè)等。典型的工具：X-Scan 和 FTP-Scan 等。共五十二頁2.3 查點(diǎn)(chdin)通過掃描，入侵者掌握了目標(biāo)系統(tǒng)所使用的操作系統(tǒng)，下一步工作是查點(diǎn)(chdin)。查點(diǎn)就是搜索特定系統(tǒng)上用戶和用戶組名、路由表、SNMP信息、共享資源、服務(wù)程序及旗標(biāo)等信息。查點(diǎn)所采用的技術(shù)依操作系統(tǒng)而定：在Windows系統(tǒng)上主要采用的技術(shù)有“查點(diǎn)NetBIOS”線路、空會(huì)話（Null Session）、SNMP代理、活動(dòng)目錄（Active Directory）等；在UNIX系統(tǒng)上采用的技術(shù)

11、有RPC查點(diǎn)、NIS查點(diǎn)、NFS查點(diǎn)及SNMP查點(diǎn)等。共五十二頁2.4 獲取(huq)訪問權(quán)在搜集到目標(biāo)系統(tǒng)(xtng)的足夠信息后，下一步要完成的工作是得到目標(biāo)系統(tǒng)的訪問權(quán)進(jìn)而完成對(duì)目標(biāo)系統(tǒng)的入侵。對(duì)于Windows系統(tǒng)采用的主要技術(shù)有：NetBIOS SMB密碼猜測(cè)（包括手工及字典猜測(cè)）、竊聽LM及NTLM認(rèn)證散列、攻擊IIS Web服務(wù)器及遠(yuǎn)程緩沖區(qū)溢出。UNIX系統(tǒng)采用的主要技術(shù)有：蠻力密碼攻擊；密碼竊聽；通過向某個(gè)活動(dòng)的服務(wù)發(fā)送精心構(gòu)造的數(shù)據(jù)，以產(chǎn)生攻擊者所希望的結(jié)果的數(shù)據(jù)驅(qū)動(dòng)式攻擊(例如緩沖區(qū)溢出、輸入驗(yàn)證、字典攻擊等)；RPC攻擊；NFS攻擊以及針對(duì)X-Windows系統(tǒng)的攻擊等

12、。共五十二頁2.5 權(quán)限(qunxin)提升一旦攻擊者通過前面4步獲得了系統(tǒng)上任意普通用戶的訪問權(quán)限后，攻擊者就會(huì)試圖將普通用戶權(quán)限提升至超級(jí)用戶權(quán)限，以便完成對(duì)系統(tǒng)的完全(wnqun)控制。這種從一個(gè)較低權(quán)限開始，通過各種攻擊手段得到較高權(quán)限的過程稱為權(quán)限提升。權(quán)限提升所采取的技術(shù)有：通過得到的密碼文件，利用現(xiàn)有工具軟件，破解系統(tǒng)上其他用戶名及口令；利用不同操作系統(tǒng)及服務(wù)的漏洞（例如Windows 2000 NetDDE漏洞），利用管理員不正確的系統(tǒng)配置等。共五十二頁2.6 竊取(qiq)一旦攻擊者得到了系統(tǒng)的完全控制權(quán)，接下來將完成的工作(gngzu)是竊取，即進(jìn)行一些敏感數(shù)據(jù)的篡改、添加

13、、刪除及復(fù)制（例如Windows系統(tǒng)的注冊(cè)表、UNIX系統(tǒng)的rhost文件等）。通過對(duì)敏感數(shù)據(jù)的分析，為進(jìn)一步攻擊應(yīng)用系統(tǒng)做準(zhǔn)備。共五十二頁2.7 掩蓋(yngi)跟蹤一旦黑客入侵系統(tǒng)，會(huì)留下痕跡。因此，黑客需要做的首要工作就是清除所有入侵痕跡，避免自己被檢測(cè)出來，以便能夠隨時(shí)返回被入侵系統(tǒng)繼續(xù)干壞事或作為入侵其他系統(tǒng)的中繼跳板。掩蓋蹤跡的主要工作有：禁止系統(tǒng)審計(jì)、清空事件日志、隱藏作案工具及使用人們稱為rootkit的工具組替換那些常用(chn yn)的操作系統(tǒng)命令。共五十二頁2.8 創(chuàng)建(chungjin)后門黑客最后常在受害系統(tǒng)上創(chuàng)建一些后門及陷阱，以便以后重新攻擊系統(tǒng)，并能以特權(quán)用戶的

14、身份控制整個(gè)系統(tǒng)。創(chuàng)建后門的主要方法有：創(chuàng)建具有特權(quán)用戶權(quán)限的虛假用戶賬號(hào)、安裝批處理、安裝遠(yuǎn)程控制工具、使用木馬程序替換系統(tǒng)程序、安裝監(jiān)控機(jī)制(jzh)及感染啟動(dòng)文件等。共五十二頁2.9 拒絕服務(wù)攻擊(gngj)如果黑客未能成功地完成第四步的獲取訪問權(quán)，那么他們可能采取的手段(shudun)便是進(jìn)行拒絕服務(wù)攻擊：即使用精心準(zhǔn)備好的漏洞代碼攻擊系統(tǒng)使目標(biāo)服務(wù)器資源耗盡或資源過載，以致于沒有能力再向外提供服務(wù)。攻擊所采用的技術(shù)主要是利用協(xié)議漏洞及不同系統(tǒng)實(shí)現(xiàn)的漏洞。共五十二頁3. 常用(chn yn)黑客技術(shù)目前，在實(shí)施網(wǎng)絡(luò)攻擊中，黑客所使用的入侵技術(shù)主要包括以下幾種：協(xié)議漏洞(ludng)滲透

15、；密碼分析還原；應(yīng)用漏洞分析與滲透；社會(huì)工程學(xué)；拒絕服務(wù)攻擊；病毒或后門攻擊。可見，黑客的技術(shù)范圍很廣，涉及網(wǎng)絡(luò)協(xié)議解析、源碼安全性分析、密碼強(qiáng)度分析和社會(huì)工程學(xué)等多個(gè)不同的學(xué)科。共五十二頁3.1 協(xié)議(xiy)漏洞滲透網(wǎng)絡(luò)中包含著種類繁多但層次清晰的網(wǎng)絡(luò)協(xié)議規(guī)范，這些協(xié)議規(guī)范是網(wǎng)絡(luò)運(yùn)行的基本準(zhǔn)則。但對(duì)于部分底層網(wǎng)絡(luò)協(xié)議來說，對(duì)于安全的考慮有著先天的不足，部分網(wǎng)絡(luò)協(xié)議具有嚴(yán)重的安全漏洞。通過對(duì)網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議的分析，黑客可以從中總結(jié)出針對(duì)協(xié)議的攻擊過程，利用協(xié)議的漏洞實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊。這些技術(shù)主要包括(boku)：1、會(huì)話偵聽（Sniffer）與劫持技術(shù)2、地址欺騙技術(shù)共五十二頁會(huì)話(huhu

16、)偵聽網(wǎng)絡(luò)數(shù)據(jù)包的截獲網(wǎng)絡(luò)數(shù)據(jù)包的截獲是黑客攻擊的主要手段之一，也是基于網(wǎng)絡(luò)的入侵檢測(cè)（N-IDS）技術(shù)的工作基石。根據(jù)網(wǎng)絡(luò)類型的不同，網(wǎng)絡(luò)數(shù)據(jù)截獲可以(ky)通過兩種方法實(shí)現(xiàn)：一種是利用以太網(wǎng)絡(luò)的廣播特性，另一種是通過設(shè)置路由器的監(jiān)聽端口或者是鏡像端口來實(shí)現(xiàn)。共五十二頁會(huì)話偵聽以太網(wǎng)環(huán)境下的數(shù)據(jù)(shj)截獲以太網(wǎng)數(shù)據(jù)傳輸是通過廣播(gungb)傳輸媒體實(shí)現(xiàn)但是在系統(tǒng)正常工作時(shí)，應(yīng)用程序只能接收到以本主機(jī)為目標(biāo)主機(jī)的數(shù)據(jù)包，其他數(shù)據(jù)包將被網(wǎng)卡丟棄不作處理。要截獲到流經(jīng)網(wǎng)卡的不屬于自己主機(jī)的數(shù)據(jù)，必須繞過系統(tǒng)正常工作的處理機(jī)制，直接訪問網(wǎng)絡(luò)底層：1）首先將網(wǎng)卡工作模式置于混雜（promiscu

17、ous）模式，使之可以接收目標(biāo)MAC地址不是本機(jī)MAC地址的數(shù)據(jù)包。2）然后直接訪問數(shù)據(jù)鏈路層，截獲相關(guān)數(shù)據(jù)，由應(yīng)用程序而非上層協(xié)議如IP和TCP協(xié)議對(duì)數(shù)據(jù)進(jìn)行過濾處理，這樣就可以截獲到流經(jīng)網(wǎng)卡的所有數(shù)據(jù)。共五十二頁一個(gè)(y )Linux環(huán)境下的數(shù)據(jù)包截獲示例1 #include stdio.h2 #include sys/socket.h3 #include socketbits.h4 #include sys/ioctl.h5 #include net/if.h6 #include netinet/in.h7 #include arpa/inet.h8 #include unistd.h9

18、 #include headers.h/*Prototype area*/10 int Open_Raw_Socket (void);11 int Set_Promisc (char *interface, int sock);12 int main () 13 int sock, bytes_recieved, fromlen;14 char buffer65535;15 struct sockaddr_in from;16 struct ip *ip;17 struct tcp *tcp;18 sock = Open_Raw_Socket (); -打開(d ki)原始套接字共五十二頁19

19、 Set_Promisc (INTERFACE, sock); -設(shè)置網(wǎng)卡為“雜湊”模式20 while (1) fromlen = sizeof(from);bytes_recieved = recvfrom (sock, buffer, sizeof(buffer), 0, (struct sockaddr *)&from, &fromlen);printf (nBytes received: %5dn,bytes_recieved);printf (Source address: %sn,inet_ntoa(from.sin_addr);ip = (struct ip *)buffer;

20、if (ip-ip_protocol = 6) printf (IP header length: %dn,ip-ip_length); printf (Protocol: %dn,ip-ip_protocol); tcp = (struct tcp *)(buffer + (4*ip-ip_length); printf (Source port: %dn,ntohs (tcp-tcp_source_port); printf (Dest port : %dn,ntohs (tcp-tcp_dest_port); int Open_Raw_Socket () -打開(d ki)原始套接字函數(shù)

21、 int sock; if (sock = socket (AF_INET, SOCK_RAW, IPPROTO_TCP) 0) perror (The raw socket was not created); exit (0); ; return (sock); 共五十二頁-設(shè)置(shzh)雜湊模式int Set_Promisc (char *interface, int sock) struct ifreq ifr; strncpy (ifr.ifr_name, interface,strnlen(interface)+1); if (ioctl (sock, SIOCGIFFLAGS,

22、&ifr) =-1) perror (Could not retrive flags for the interface); exit (0); printf (The interface is: %sn, interface); perror (Retrieved flags from interface successfully); ifr.ifr_flags |= IFF_PROMISC; if (ioctl (sock, SIOCSIFFLAGS, &ifr) =-1) perror (Could not set the PROMISC flag:); exit (0); printf

23、 (Setting interface %s: to promisc, interface); return (0);共五十二頁一個(gè)Linux環(huán)境下的數(shù)據(jù)包截獲(jihu)示例上述(shngsh)程序的工作主流程如下： 1） 在18行調(diào)用Open_Raw_Socket（），獲得可直接訪問IP層數(shù)據(jù)包的SOCK_RAW類型套接字設(shè)備句柄。2） 在19行調(diào)用Set_Promisc（），將指定的網(wǎng)絡(luò)接口設(shè)置為混雜模式。3） 進(jìn)入主循環(huán)，打印所截獲的網(wǎng)絡(luò)數(shù)據(jù)包的相關(guān)信息，例如IP地址和TCP端口等。不同的操作系統(tǒng)提供的接口功能并不相同，因此直接采用套接字設(shè)備的編程代碼在不同系統(tǒng)平臺(tái)上不能通用。共五十二

24、頁會(huì)話(huhu)偵聽 Libpcap 庫解決這一問題的辦法之一是使用由美國(mi u)洛侖茲伯克利國家實(shí)驗(yàn)室所編寫的專用于數(shù)據(jù)包截獲功能的API函數(shù)庫Libpcap。Libpcap庫函數(shù)對(duì)上層程序屏蔽了底層系統(tǒng)的不同數(shù)據(jù)包截獲方法，提供了統(tǒng)一的編程接口，使得采用該編程接口的數(shù)據(jù)包截獲模塊可以方便地在不同平臺(tái)上進(jìn)行移植。共五十二頁Libpcap 庫（續(xù)）LibCap所提供的若干函數(shù)接口：1） pcap_open_live(): 用來獲得一個(gè)數(shù)據(jù)截獲描述符，該描述符用于查看在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包。2）pcap_stats(): 用來返回相關(guān)的狀態(tài)參數(shù)。3）pcap_read(): 用于讀取底層數(shù)據(jù)

25、包過濾機(jī)制緩沖區(qū)中的數(shù)據(jù)包，并對(duì)每個(gè)數(shù)據(jù)包用參數(shù)所設(shè)定(sh dn)的回調(diào)（Callback）函數(shù)進(jìn)行處理。4）pcap_setfilter(): 用于設(shè)定一個(gè)過濾器程序。5）pcap_close(): 關(guān)閉相關(guān)的文件并釋放對(duì)應(yīng)資源。共五十二頁Libpcap 庫（續(xù)）Libpcap庫函數(shù)支持?jǐn)?shù)據(jù)包過濾機(jī)制，即著名的伯克利數(shù)據(jù)包過濾器（BPF），它是一種用于UNIX的內(nèi)核數(shù)據(jù)包過濾體制。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)接口設(shè)備時(shí)，鏈路層設(shè)備驅(qū)動(dòng)器通常把它傳送給系統(tǒng)協(xié)議堆棧進(jìn)行處理(chl)，但是，當(dāng)BPF也在該網(wǎng)絡(luò)接口上監(jiān)聽時(shí)，驅(qū)動(dòng)器將會(huì)首先調(diào)用BPF。共五十二頁Libpcap結(jié)構(gòu)(jigu)共五十二頁會(huì)話

26、(huhu)偵聽 Winpcap庫WIN32平臺(tái)不提供直接的網(wǎng)絡(luò)底層訪問接口，必須通過虛擬設(shè)備驅(qū)動(dòng)程序（VxD）實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的截獲功能，對(duì)應(yīng)于Libpcap庫的Windows版本是Winpcap庫。Winpcap架構(gòu)包括3個(gè)模塊：1）NPF: 是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件，它的功能是過濾數(shù)據(jù)包，并把數(shù)據(jù)包傳遞(chund)給用戶態(tài)模塊，這個(gè)過程中包括了一些操作系統(tǒng)所特有的代碼。2）Packet.dll: 該動(dòng)態(tài)鏈接庫為WIN 32平臺(tái)提供了一個(gè)公共的接口。3）Wipcap.dll: 該動(dòng)態(tài)鏈接庫提供了一個(gè)不依賴于操作系統(tǒng)類型的高層接口庫，它提供了更加高層、抽象的函數(shù)。共五十二頁Winpcap架

27、構(gòu)(ji u)共五十二頁Winpcap主要(zhyo)函數(shù) 1、pcap_findalldevs函數(shù)(hnsh) 2、pcap_freealldevs函數(shù)3、pcap_open_live函數(shù)4、pcap_next_ex函數(shù)5、pcap_loop函數(shù)6、pcap_setfilter函數(shù)7、pcap_compile函數(shù)8、pcap_close函數(shù)共五十二頁Winpcap包捕獲一般流程參考代碼：實(shí)驗(yàn)(shyn)平臺(tái)中的 PcapApp.cpp共五十二頁會(huì)話偵聽交換網(wǎng)絡(luò)環(huán)境(hunjng)下的數(shù)據(jù)截獲在實(shí)際的網(wǎng)絡(luò)環(huán)境中，許多網(wǎng)絡(luò)采取了交換運(yùn)行環(huán)境（例如交換機(jī)、路由器等），此時(shí)傳輸媒體不再具備(jbi)

28、廣播特性，所以不能夠單憑設(shè)置網(wǎng)絡(luò)接口的混雜模式來截獲所有的數(shù)據(jù)包。常用的方法是利用交換機(jī)或者路由器上設(shè)置的監(jiān)聽端口或者鏡像端口。實(shí)際工作中，采用鏡像端口的方法常碰到兩個(gè)問題： 1）隨著交換帶寬的不斷增長(zhǎng)，并非所有的網(wǎng)絡(luò)流量都會(huì)反映在鏡像端口上。2）并非所有的交換設(shè)備都提供類似的鏡像端口。共五十二頁3.2 密碼分析(fnx)還原為了保證數(shù)據(jù)(shj)的安全性，現(xiàn)在通常的方法是對(duì)數(shù)據(jù)(shj)進(jìn)行加密，防止可疑的截取行為造成的信息泄漏。根據(jù)分析的出發(fā)點(diǎn)不同，密碼分析還原技術(shù)主要分為密碼還原技術(shù)和密碼猜測(cè)技術(shù)。對(duì)于網(wǎng)絡(luò)上通用的標(biāo)準(zhǔn)加密算法來說，攻擊這類具有很高強(qiáng)度加密算法的手段通常是使用后一種技術(shù)。

29、共五十二頁密碼(m m)分析還原（續(xù)）1、密碼還原技術(shù)密碼還原技術(shù)主要針對(duì)的是強(qiáng)度較低的加密算法。通過對(duì)加密過程的分析，從加密算法中找出算法的薄弱環(huán)節(jié)，從加密樣本中直接分析出相關(guān)的密鑰和明文。對(duì)于目前網(wǎng)絡(luò)上通行的標(biāo)準(zhǔn)加密算法來說，從理論和實(shí)踐(shjin)中還沒出現(xiàn)對(duì)應(yīng)的密碼還原過程，因此密碼還原技術(shù)的使用并不多。 2、密碼猜測(cè)技術(shù)密碼猜測(cè)技術(shù)的原理主要是利用窮舉的方法猜測(cè)可能的明文密碼，將猜測(cè)的明文經(jīng)過加密后與實(shí)際的密文進(jìn)行比較，如果所猜測(cè)的密文與實(shí)際的密文相符，則表明密碼攻擊成功。從理論上講，密碼猜測(cè)的破解過程需要一段很長(zhǎng)的時(shí)間，而實(shí)際上，應(yīng)用密碼猜測(cè)技術(shù)實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊是目前最為有效的攻

30、擊方式。共五十二頁3.3 應(yīng)用漏洞(ludng)分析與滲透任何的應(yīng)用程序都不可避免地存在著一些邏輯漏洞，這一點(diǎn)，對(duì)于安全隱患也同樣適用。在這方面操作系統(tǒng)也不例外，幾乎每天都有人宣布發(fā)現(xiàn)了某個(gè)操作系統(tǒng)的安全漏洞，這些安全漏洞也就成為了入侵者的攻擊對(duì)象。通過對(duì)這些安全漏洞的分析，確認(rèn)漏洞的引發(fā)方式以及引發(fā)后對(duì)系統(tǒng)造成的影響，攻擊者可以使用合適的攻擊程序引發(fā)漏洞的啟動(dòng)，破壞整個(gè)服務(wù)系統(tǒng)的運(yùn)行過程，進(jìn)而滲透到服務(wù)系統(tǒng)中，造成目標(biāo)網(wǎng)絡(luò)的損失。應(yīng)用漏洞從錯(cuò)誤類型(lixng)上主要包括服務(wù)流程漏洞和邊界條件漏洞。共五十二頁應(yīng)用漏洞分析(fnx)與滲透（續(xù)）1.服務(wù)流程(lichng)漏洞服務(wù)流程漏洞指服務(wù)

31、程序在運(yùn)行處理過程中，由于流程次序的顛倒或?qū)σ馔鈼l件的處理的隨意性，造成用戶有可能通過特殊類型的訪問繞過安全控制部分或使服務(wù)進(jìn)入到異常的運(yùn)行狀態(tài)。2.邊界條件漏洞邊界條件漏洞則主要針對(duì)服務(wù)程序中存在的邊界處理不嚴(yán)謹(jǐn)?shù)那闆r。共五十二頁3.4 社會(huì)(shhu)工程學(xué)社會(huì)工程學(xué)與黑客使用的其他技術(shù)具有很大的差別，它所研究的對(duì)象不是嚴(yán)謹(jǐn)?shù)挠?jì)算機(jī)技術(shù)，而是目標(biāo)網(wǎng)絡(luò)的人員。社會(huì)工程學(xué)主要是利用說服或欺騙的方法來獲得對(duì)信息系統(tǒng)的訪問，這種說服和欺騙通常是通過和人交流或其他互動(dòng)方式實(shí)現(xiàn)的。簡(jiǎn)單地說，社會(huì)工程學(xué)就是黑客對(duì)人類天性趨于信任傾向的聰明利用，人類那種天生(tinshng)愿意相信其他人的說辭的傾向讓大

32、多數(shù)人容易被這種手段所利用。共五十二頁社會(huì)(shhu)工程學(xué)（續(xù)）可以從兩個(gè)層次來對(duì)社會(huì)工程學(xué)類的攻擊進(jìn)行分析：物理上的和心理上的。物理分析物理上，入侵發(fā)生的物理地點(diǎn)(ddin)可以是工作區(qū)、電話、目標(biāo)企業(yè)垃圾堆，甚至是在網(wǎng)上（通過虛假的網(wǎng)頁或電子郵件等）。心理分析除了物理手段以外，黑客也可能充分利用用戶的心理，從心理學(xué)角度進(jìn)行社會(huì)工程學(xué)式的攻擊?；镜恼f服手段包括扮演、討好、同情、拉關(guān)系等。共五十二頁3.5 惡意( y)拒絕服務(wù)攻擊拒絕服務(wù)攻擊（ DoS）最主要的目的是造成被攻擊服務(wù)器資源耗盡或系統(tǒng)崩潰而無法提供服務(wù)。這樣的入侵對(duì)于(duy)服務(wù)器來說可能并不會(huì)造成損害，但可以造成人們對(duì)被攻擊服務(wù)器所提供服務(wù)的信任度下降，影響公司的聲譽(yù)以及用戶對(duì)網(wǎng)絡(luò)服務(wù)的使用。這類攻擊主要還是利用網(wǎng)絡(luò)協(xié)議的一些薄弱環(huán)節(jié)，通過發(fā)送大量無效請(qǐng)求數(shù)據(jù)包造成服務(wù)器進(jìn)程