黑客攻擊和網(wǎng)絡(luò)安全

黑客攻擊和網(wǎng)絡(luò)安全開篇第一頁，共四十五頁。世界頭號電腦黑客的傳奇故事凱文米特尼克1964年生于美國加州從小父母離異，使他性格內(nèi)向、生活獨立4歲的米特尼克就能玩一種美國流行的名為“拿破侖的滑鐵盧”高智力游戲15歲的米特尼克入侵了“北美空中防務(wù)指揮系統(tǒng)”，一舉成名信心大增的他，接著入侵“太平洋電話公司”，任意修改用戶信息第二頁，共四十五頁。世界頭號電腦黑客的傳奇故事入侵聯(lián)邦調(diào)查局，發(fā)現(xiàn)特工們正在調(diào)查一名黑客，而資料顯示，黑客正是自己。第一次被捕，因不滿16歲獲得人們的同情，被從輕發(fā)落。獲釋后的他把目光轉(zhuǎn)向信譽不錯的大公司1988年被DEC公司指控，未被允許保釋1993年聯(lián)邦調(diào)查局設(shè)下圈套引誘米特尼克，被中途發(fā)現(xiàn)。第三頁，共四十五頁。世界頭號電腦黑客的傳奇故事米特尼克的逃跑歷程，傳言，他曾經(jīng)控制加州的一個電話系統(tǒng)，竊聽警察行蹤。1994年，米特尼克發(fā)動對“圣迭戈超級計算機中心”的攻擊，并引起與人稱“美國最出色的電腦安全專家之一”的下村勉的對抗。1995年，下村勉利用米特尼克使用的無線電話的電波而逮捕了米特尼克。2000年，米特尼克出獄，并禁止接觸任何和電子相關(guān)的物品。第四頁，共四十五頁。黑客攻擊和網(wǎng)絡(luò)安全步驟篇第五頁，共四十五頁。黑客攻擊的步驟之一踩點－搜索相關(guān)信息：通過多種途徑獲得和目標(biāo)系統(tǒng)有關(guān)的大量信息譬如域名、IP地址范圍、郵件地址、用戶帳號、網(wǎng)絡(luò)拓?fù)?、路由跟蹤信息、系統(tǒng)運行狀態(tài)等等第六頁，共四十五頁。黑客攻擊的步驟之二掃描－探測漏洞：獲取目標(biāo)系統(tǒng)的直接信息，特別是目標(biāo)系統(tǒng)的可被利用的缺陷。這部分主要包括：端口掃描、操作系統(tǒng)類型掃描、針對特定應(yīng)用以及服務(wù)的漏洞掃描（重點如Web漏洞掃描、Windows漏洞掃描、SNMP漏洞掃描、RPC漏洞掃描和LDAP目錄服務(wù)漏洞掃描）第七頁，共四十五頁。黑客攻擊的步驟之三嗅探－sniff技術(shù)：通過嗅探，獲得大量的敏感信息。我將先簡略介紹在同一沖突域里面的嗅探原理，并重點介紹交換網(wǎng)絡(luò)的嗅探技術(shù)。第八頁，共四十五頁。黑客攻擊的步驟之四攻擊－直搗龍門：通過前面的刺探，開始真正的攻擊。一般的攻擊方法：DoS攻擊、DDoS攻擊、口令破解攻擊、網(wǎng)絡(luò)欺騙攻擊、會話劫持攻擊等第九頁，共四十五頁。黑客攻擊和網(wǎng)絡(luò)安全案例篇第十頁，共四十五頁。北航50周年服務(wù)器被黑案例分析踩點訪問查詢北航相關(guān)信息第十一頁，共四十五頁。Whois服務(wù)器的結(jié)果Whois?BeijingUniversityOfAeronautics&astronautics(DOM)#37,XueYuanLuRoad,HaidianDistrictBeijing,BJ100083ChinaDomainName:BUAA.EDU.CN

NetworkNumber:-55AdministrativeContact,TechnicalContact:Li,Yunchun(YL4-CN)+8682317655Recordlastupdatedon19990305Recordcreatedon19990305DomainServersinlistedorder:0

NetworkNumber:-55第十二頁，共四十五頁。dig的查詢結(jié)果;<<>>DiG9.2.0<<>>;;globaloptions:printcmd;;Gotanswer:;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:46238;;flags:qraardra;QUERY:1,ANSWER:0,AUTHORITY:1,ADDITIONAL:0;;QUESTIONSECTION:;. IN A;;AUTHORITYSECTION:. 86400 IN SOA .1997102401108003600360000086400;;Querytime:1msec;;SERVER:1#53(1);;WHEN:ThuDec511:46:552002;;SERVER:1#53(1)第十三頁，共四十五頁。查詢DNS服務(wù)器信息使用Nslookup第十四頁，共四十五頁。獲取的條目信息50thA7第十五頁，共四十五頁。重點掃描掃描網(wǎng)段重點網(wǎng)段：服務(wù)器所在網(wǎng)段重點端口：21（ftp）、22（ssh）、23（telnet）、25（smtp）、53（dns）、79（finger）、80（http）、139（NetBIOS）、3389（remoteadmin）、8080（proxy）第十六頁，共四十五頁。入侵模擬一：3389端口的入侵由于微軟對中國產(chǎn)品不付責(zé)任的態(tài)度，使得安裝了終端服務(wù)和全拼的w2k服務(wù)器存在著遠程登陸并能獲取超級用戶權(quán)限的嚴(yán)重漏洞第十七頁，共四十五頁。入侵模擬一：3389端口的入侵掃描3389端口第十八頁，共四十五頁。入侵模擬一：3389端口的入侵用終端客戶端程序進行連接第十九頁，共四十五頁。入侵模擬一：3389端口的入侵利用拼音輸入法漏洞第二十頁，共四十五頁。入侵模擬一：3389端口的入侵第二十一頁，共四十五頁。入侵模擬二：嗅探器的使用通過嗅探往來目標(biāo)主機的報文，從中發(fā)現(xiàn)可以利用的珍貴信息第二十二頁，共四十五頁。第二十三頁，共四十五頁。第二十四頁，共四十五頁。第二十五頁，共四十五頁。入侵模擬二：嗅探器的使用第二十六頁，共四十五頁。黑客攻擊和網(wǎng)絡(luò)安全技術(shù)篇第二十七頁，共四十五頁。技術(shù)篇之一：掃描過程中的隱藏技術(shù)

IP地址欺騙掃描原理：客戶端向服務(wù)器端發(fā)送端口連接數(shù)據(jù)報，但是報文的源IP地址填寫為第三方的IP地址，這樣服務(wù)器將向第三方返回確認(rèn)信息?？蛻舳送ㄟ^觀察第三方的反應(yīng)就可以得知服務(wù)器端的指定端口有否打開。前提：第三方?jīng)]有其他的網(wǎng)絡(luò)活動IP數(shù)據(jù)包的ID值順序增1第二十八頁，共四十五頁。A主機，B主機，NULL掃描RST+ACK，ID增量為1NULL掃描RST+ACK，ID增量為1A主機，B主機，SYNRST+ACKC主機，NULL掃描RST+ACK，ID增量不為1A主機，B主機，SYNRST+ACKC主機，SYN+ACK正常情況下B主機的反應(yīng)被掃描C主機上的端口未監(jiān)聽被掃描C主機上的端口正在監(jiān)聽第二十九頁，共四十五頁。技術(shù)篇之二：嗅探器原理沖突域嗅探原理關(guān)于ip地址和MAC地址盜用的問題

交換網(wǎng)絡(luò)的嗅探原理

嗅探對策

第三十頁，共四十五頁。沖突域嗅探原理網(wǎng)卡一般有四種接收模式廣播模式：能夠接收網(wǎng)絡(luò)中廣播信息組播模式：能夠接收網(wǎng)絡(luò)中的組播信息直接模式：只接收匹配目的MAC地址的報文混雜模式：能夠接收一切監(jiān)聽到的數(shù)據(jù)幀一般網(wǎng)卡只接收以下兩種數(shù)據(jù)幀與自己MAC地址相匹配的數(shù)據(jù)幀發(fā)向所有機器的廣播數(shù)據(jù)幀第三十一頁，共四十五頁。關(guān)于IP地址和MAC地址盜用的問題IP地址可以隨意修改

MAC地址的修改

先了解目標(biāo)主機的MAC地址

2000下在修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318\0000、0001、0002等主鍵下尋找本主機的網(wǎng)卡的類型的主鍵下面添加一個名為“NetworkAddress”的主鍵，值為需要設(shè)置的MAC地址。Linux下面修改：Ifconfigeth0downIfconfigeth0hwether00:11:22:33:44:55第三十二頁，共四十五頁。交換網(wǎng)絡(luò)的嗅探原理MAC洪水原理：交換機內(nèi)存有限，地址映射表的容量也有限。向交換機發(fā)送大量的虛假MAC地址信息數(shù)據(jù)，讓交換機應(yīng)接不暇，這個時候交換機可能象hub一樣，僅僅向所有的端口發(fā)送廣播數(shù)據(jù)解決方法：使用靜態(tài)地址映射表

第三十三頁，共四十五頁。交換網(wǎng)絡(luò)的嗅探原理MAC復(fù)制

原理：就是修改本機的MAC地址，使其和目標(biāo)主機MAC地址相同。讓交換機同時向兩個端口（同MAC地址）發(fā)送數(shù)據(jù)。

解決方法：使用靜態(tài)地址映射表，建立端口和MAC地址的映射第三十四頁，共四十五頁。交換網(wǎng)絡(luò)的嗅探原理ARP欺騙

原理：一臺主機會將所有收到的ARP應(yīng)答插入到本機的ARP緩存表里面。如果黑客想偷聽網(wǎng)絡(luò)中兩臺主機之間的通信（即使是通過交換機相連），他可以分別向兩臺主機發(fā)送ARP應(yīng)答包，讓兩臺主機都誤認(rèn)為對方的MAC地址是黑客機器的MAC地址，這樣，則兩臺主機的通信全部通過黑客主機進行。黑客只需要更改數(shù)據(jù)包里面的某些信息用于轉(zhuǎn)發(fā)就可以了。第三十五頁，共四十五頁。交換網(wǎng)絡(luò)的嗅探原理ARP欺騙實例設(shè)A主機：IP：MAC:11:11:11:11:11:11設(shè)B主機：IP：MAC:22:22:22:22:22:22設(shè)H主機：IP：MAC:33:33:33:33:33:33假設(shè)A和B正在通信，黑客H想進行ARP欺騙，這個時候H向A發(fā)送ARP應(yīng)答包，里面包含

33:33:33:33:33:33同時H向B發(fā)送ARP應(yīng)答包，里面包含

33:33:33:33:33:33第三十六頁，共四十五頁。黑客攻擊和網(wǎng)絡(luò)安全維護篇第三十七頁，共四十五頁。維護篇之一：網(wǎng)絡(luò)采用層次結(jié)構(gòu)DMZ（DemilitarizedZone）非軍事區(qū)和InterZone內(nèi)部網(wǎng)絡(luò)區(qū)DMZ作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的緩沖區(qū)制定不同的保全政策對外避免主機和重要服務(wù)器被入侵危及內(nèi)部網(wǎng)絡(luò)第三十八頁，共四十五頁。內(nèi)部網(wǎng)InternetFTP服務(wù)器Web服務(wù)器Mail服務(wù)器FTP服務(wù)器FireWallDMZDNS服務(wù)器Mail服務(wù)器第三十九頁，共四十五頁。外部防火墻內(nèi)部防火墻DMZInternet特性 安全性最高

內(nèi)部網(wǎng)絡(luò)效率低在DMZ中之伺服器效率高InterZone第四十頁，共四十五頁。維護篇之二：關(guān)注訪問流量SNMP（SimpleNetworkManagementProtocol）協(xié)議，用于網(wǎng)絡(luò)底層管理，可以控制各種設(shè)備。不僅可以訪問網(wǎng)絡(luò)流量等，也可以監(jiān)控諸如磁盤等設(shè)備。SNMP客戶端軟件：MRTG，linux/unix工具，可以圖形化顯示管理信息。MRTG圖見：

file:\\d:\forest\mrtg\index.htm第四十一頁，共四十五頁。維護篇之三：關(guān)注漏洞第四十二頁，共四十五頁。維護篇之四：加強管理關(guān)閉一切不需要的服務(wù)和端口刪除一切不需要的用戶，慎重設(shè)置密碼嚴(yán)格設(shè)置對各種服務(wù)的訪問控制權(quán)限選用防火墻，設(shè)置嚴(yán)格的過濾規(guī)則及時安裝補丁和升級程序第四十三