版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
信息安全概述主要內(nèi)容信息安全的概念信息安全的發(fā)展歷史信息安全的目標信息安全的研究內(nèi)容信息安全的概念信息(information)是經(jīng)過加工(獲取、推理、分析、計算、存儲等)的特定形式數(shù)據(jù),是物質(zhì)運動規(guī)律的總和。信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務(wù)不中斷。信息安全涉及的知識領(lǐng)域信息安全是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。
信息安全的發(fā)展歷史信息安全的發(fā)展經(jīng)歷了如下幾個階段:古典信息安全輻射安全計算機安全網(wǎng)絡(luò)安全信息安全安全性攻擊被動攻擊攻擊者在未被授權(quán)的情況下,非法獲取信息或數(shù)據(jù)文件,但不對數(shù)據(jù)信息作任何修改
搭線監(jiān)聽、無線截獲、其他截獲、流量分析破壞了信息的機密性主動攻擊包括對數(shù)據(jù)流進行篡改或偽造
偽裝、重放、消息篡改,破壞了信息的完整性拒絕服務(wù),破壞了信息系統(tǒng)的可用性信息安全的目標機密性:Confidentiality,指保證信息不被非授權(quán)訪問。完整性:Integrity,指信息在生成、傳輸、存儲和使用過程中不應(yīng)被第三方篡改??捎眯裕篈vailability,指授權(quán)用戶可以根據(jù)需要隨時訪問所需信息。信息安全性質(zhì)之間的關(guān)系信息安全的目標是致力于保障信息的這三個特性不被破壞。構(gòu)建安全系統(tǒng)的一個挑戰(zhàn)就是在這些特性中找到一個平衡點,因為它們常常是相互矛盾的。因此,三個特征是可以獨立,也可以有重疊。其它信息安全性質(zhì)可靠性:是指系統(tǒng)在規(guī)定條件下和規(guī)定時間內(nèi)、完成規(guī)定功能的概率。不可抵賴性:也稱作抗否認性,是面向通信雙方(人、實體或進程)信息真實統(tǒng)一的安全要求,它包括收、發(fā)雙方均不可抵賴??蓪彶樾裕菏褂脤徲嫛⒈O(jiān)控、防抵賴等安全機制,使得使用者(包括合法用戶、攻擊者、破壞者、抵賴者)的行為有證可查,并能夠?qū)W(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段??煽匦裕菏菍π畔⒓靶畔⑾到y(tǒng)實施安全監(jiān)控。管理機構(gòu)對危害國家信息的來往、使用加密手段從事非法的通信活動等進行監(jiān)視審計,對信息的傳播及內(nèi)容具有控制能力。信息安全的研究內(nèi)容信息安全的研究范圍非常廣泛,其領(lǐng)域劃分成三個層次信息安全基礎(chǔ)理論研究信息安全應(yīng)用技術(shù)研究信息安全管理研究
信息安全基礎(chǔ)研究密碼理論數(shù)據(jù)加密算法消息認證算法數(shù)字簽名算法密鑰管理安全理論身份認證、授權(quán)和訪問控制、安全審計和安全協(xié)議信息安全應(yīng)用研究安全技術(shù)防火墻技術(shù)、漏洞掃描和分析、入侵檢測、防病毒等。平臺安全物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、用戶安全和邊界安全。信息安全管理研究安全策略研究包括安全風險評估、安全代價評估、安全機制的制定以及安全措施的實施和管理等。
安全標準研究主要內(nèi)容包括安全等級劃分、安全技術(shù)操作標準、安全體系結(jié)構(gòu)標準、安全產(chǎn)品測評標準和安全工程實施標準等。
安全測評研究主要內(nèi)容有測評模型、測評方法、測評工具、測評規(guī)程等。
網(wǎng)絡(luò)與信息安全
系統(tǒng)安全:Linux系統(tǒng)安全內(nèi)容Linux系統(tǒng)介紹Linux內(nèi)核Linux文件系統(tǒng)Linux的網(wǎng)絡(luò)結(jié)構(gòu)Linux攻防技術(shù)一次針對Linux的入侵過程Linux操作系統(tǒng)背景最初由LinusBenedictTorvalds于1991年開發(fā)的1994年3月發(fā)布第一個正式版本內(nèi)核升級模式穩(wěn)定的內(nèi)核,第二個數(shù)字為偶數(shù),例如2.2.14開發(fā)的內(nèi)核,第二個數(shù)字為奇數(shù),例如2.1.14Linux系統(tǒng)特點兼容UNIX:API兼容,管理命令和各種工具源碼開放支持各種硬件平臺,支持多CPULinux平臺上存在大量的應(yīng)用軟件,以及應(yīng)用開發(fā)工具Linux內(nèi)核多用戶,多任務(wù),分時,軟實時處理不是微內(nèi)核系統(tǒng),但具有某些微內(nèi)核特征Intel版本:i386的保護模式,特權(quán)級內(nèi)核態(tài)(0)和用戶態(tài)(3)中斷和系統(tǒng)調(diào)用——兩種特權(quán)級的切換PCB:進程控制塊,常駐內(nèi)存進程是最基本的調(diào)度單元進程是動態(tài)的,每一個進程都有一個進程控制塊沒有專門的調(diào)度進程,內(nèi)核中有一個schedule函數(shù)完成調(diào)度任務(wù)進程在調(diào)度過程中有多種狀態(tài)進程調(diào)度:狀態(tài)轉(zhuǎn)換圖TASK_RUNNINGHoldingCPUTASK_UNINTERRUPTIBLETASK_INTERRUPTIBLETASK_ZOMBIETASK_STOPPEDdo_fork()schedule()時間片到do_exit()申請資源未果申請資源未果跟蹤系統(tǒng)調(diào)用所申請資源有效時收到SIG_KILL或SIG_CONT后所申請資源有效或者收到信號時Linux的系統(tǒng)調(diào)用編程接口,與POSIX兼容,C語言函數(shù)集合實現(xiàn)形式與DOS的INT21H相似Linux使用int80h函數(shù)名“sys_xxx”比如系統(tǒng)調(diào)用fork的相應(yīng)函數(shù)sys_fork()系統(tǒng)調(diào)用號和系統(tǒng)調(diào)用表系統(tǒng)調(diào)用都轉(zhuǎn)換為Int80h軟中斷所有的系統(tǒng)調(diào)用只有一個入口system_call出口:ret_from_sys_callLinux內(nèi)存管理在i386機器上,每個進程有獨立的4G虛存空間32位線性地址——利用硬件的分頁機制內(nèi)核的代碼段和數(shù)據(jù)段被映射到3G以上的空間中用戶態(tài)下的代碼實際可申請的虛存空間為0-3GB每個進程用兩套段描述符來訪問內(nèi)存,分別用來訪問內(nèi)核態(tài)和用戶態(tài)下的內(nèi)存空間在用戶態(tài)下,代碼不可能訪問3G以上的地址空間,如果要訪問內(nèi)核空間,必須通過系統(tǒng)調(diào)用或者中斷Linux對虛存的管理使用vma(virtualmemoryarea)機制在進程數(shù)據(jù)結(jié)構(gòu)中,指定了用戶空間的上界,在系統(tǒng)調(diào)用時,用戶指定的指針不能超過此上界,但是內(nèi)核代碼可以重新設(shè)定此上界頁交換機制:缺頁中斷、頁面換入Linux的段選擇符情況Linux的模塊機制可動態(tài)裝載的內(nèi)核模塊(lkm)一組命令:insmod/rmmod/lsmod/modprobe/…關(guān)于模塊機制可以讓核心保持比較小的尺寸動態(tài)裝載,避免重新啟動模塊機制常常用于設(shè)備驅(qū)動內(nèi)核模塊一旦加載之后,與原有的核心代碼同等可動態(tài)裝載的內(nèi)核模塊的一些缺點可能會導(dǎo)致一定的性能損失,和內(nèi)存開銷代碼不規(guī)范的模塊可能導(dǎo)致核心崩潰如果調(diào)用系統(tǒng)核心功能時,參數(shù)錯誤,同樣會有問題Linux的模塊機制原理insmod裝載模塊Linux內(nèi)核中有一個模塊鏈表首先通過一個特權(quán)級系統(tǒng)調(diào)用來找到核心的輸出符號然后將模塊讀入虛擬內(nèi)存,并利用來自核心的輸出符號,修改其未解析的核心例程和資源的引用地址再次使用特權(quán)級系統(tǒng)調(diào)用來申請足夠的空間來容納新的核心模塊,并拷貝到此內(nèi)存空間中每個模塊必須包括初始化例程和注銷例程,insmod將調(diào)用初始化代碼,并執(zhí)行一個特權(quán)級系統(tǒng)調(diào)用將模塊的初始化與注銷例程地址傳遞給核心rmmod卸載模塊當一個模塊不再被引用的時候,它可以被卸載核心調(diào)用注銷例程,釋放相應(yīng)的核心資源從模塊鏈表中移除,它所占用的核心內(nèi)存被回收內(nèi)核中的ROOTKIT通過LKM機制,可以在系統(tǒng)內(nèi)核中插入木馬模塊一個典型的以Linux2.2.x為基礎(chǔ)的rootkit——knark使用insmodknark.o就可以加載到內(nèi)核中一旦加載了knark后門之后可以改變netstat的輸出結(jié)果可以改變運行進程的UID和GID可以不用SUID就能夠獲得root訪問權(quán)限……還有其他的ROOTKITS,比如adore內(nèi)核ROOTKITS的對策根據(jù)每個rootkit的特征進行檢測,然后設(shè)法刪除預(yù)防為主,安裝內(nèi)核檢測系統(tǒng),比如LIDSLinux文件系統(tǒng)Linux支持多種文件系統(tǒng),包括ext、ext2、hpfs、vfat、ntfs、…通過虛擬文件系統(tǒng)VFS,Linux操作系統(tǒng)可以支持不同類型的文件系統(tǒng)文件系統(tǒng)類型管理文件系統(tǒng)類型的注冊途徑:在編譯內(nèi)核時確定在文件系統(tǒng)作為模塊裝入時登記nextnext=0nextfile_systemfile_system_type虛擬文件系統(tǒng)(VFS)是物理文件系統(tǒng)與服務(wù)之間的一個接口層,只存在于內(nèi)存中定義了關(guān)于各種特殊文件系統(tǒng)的公共接口——抽象性Super_block、inode、文件操作函數(shù)入口把所有的文件系統(tǒng)映射到同一個層次結(jié)構(gòu)中,通過super_block與inode中的關(guān)聯(lián)關(guān)系來實現(xiàn),如下圖所示處理面向文件系統(tǒng)的通用操作把針對文件系統(tǒng)的操作映射到相關(guān)的物理文件系統(tǒng)許多復(fù)雜的cache機制,提高了文件系統(tǒng)的訪問效率VFSinodecacheVFSdirectorycacheBuffercache……rooti_mounti_sbs_coverds_mountedext2文件系統(tǒng)這是Linux系統(tǒng)專用的文件系統(tǒng)文件也是分塊存儲,以塊為整單位數(shù)據(jù)塊三次間接塊二次間接塊一次間接塊12個直接塊數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊...組0組1組Ns_blockfs描述符塊位圖inode位圖inode表數(shù)據(jù)塊數(shù)據(jù)結(jié)構(gòu)ext2_super_blockext2_inode:內(nèi)含一個32位的文件訪問控制表和一個32位的目錄訪問控制表Linux文件系統(tǒng)的安全性Linux文件系統(tǒng)安全模型與兩個屬性相關(guān)文件的所有者(ownership)文件所有者的id文件所有者所在用戶組的id訪問權(quán)限(accessrights)10個標志第1個標志:d(目錄),b(塊系統(tǒng)設(shè)備),c(字符設(shè)備),.(普通文件)第2-4個標志:所有者的讀、寫、執(zhí)行權(quán)限第5-7個標志:所有者所在組的讀、寫、執(zhí)行權(quán)限第8-10個標志:其他用戶的讀、寫、執(zhí)行權(quán)限用chmod修改權(quán)限:字符方式和數(shù)字方式Linux文件的安全性SUID程序正常情況下,一個程序在運行的時候,它的進程將屬于當前用戶但是,對于SUID程序,它的進程不屬于啟動用戶,而是屬于該程序的所有者用戶通常,SUID/SGID程序中的bug往往是入侵的基礎(chǔ)mount和fstab命令用mount裝載文件系統(tǒng)的時候,可以使用一些選項控制文件系統(tǒng)的安全性,對于裝載FAT系統(tǒng)比較有意義。umash=Nuid=Ngid=NLinux文件系統(tǒng)安全性權(quán)限管理的不靈活只能對所有者、所有者所在組和其他用戶分配權(quán)限,無法做到進一步的細致化POSIXACLsforLinux軟件包內(nèi)核補丁,可以做到用ACL來管理權(quán)限需要重新編譯內(nèi)核,下載補丁:http://acl.bestbits.at兩個命令:setfacl、getfacl真正刪除文件工具wipeLinux用戶管理用戶文件/etc/passwdShadowpassword:/etc/shadow此文件只對root可讀讓用戶擁有單獨的組,而不是加入到共享的users組中g(shù)roupadd創(chuàng)建用戶:useradd改口令:passwd管理口令的有效期chageLinux中crypt口令加密方案crypt()是一個口令加密函數(shù),它基于DES算法。我們可以認為這是一個單向加密操作函數(shù)原型:char*crypt(constchar*key,constchar*salt);*salt是兩個字符,每個字符可從[a-zA-Z0-9./]中選出來算法UNIX標準算法使用DES加密算法,用key對一個常量進行加密,獲得一個13字節(jié)的密文編碼輸出,其中包括salt的兩個字符[fromRedHatLinux6.2]Salt的作用同樣的口令產(chǎn)生不同的密文增加了窮舉空間建議使用更為安全的MD5算法Linux中Kerberos認證協(xié)議的支持建立KDC下載和安裝Kerberos5配置Kerberos啟動服務(wù)管理Kerberoskadmin,管理Kerberos數(shù)據(jù)庫使用Kerberoskinit,獲得一個ticketklist,列出所有的ticketskpasswd,修改口令kdestroy,刪除一個ticket使用支持Kerberos的網(wǎng)絡(luò)應(yīng)用,例如ftp,telnet,等PAM(PluggableAuthenticationModules)一種可插入的認證機制針對一個服務(wù),指定一些認證相關(guān)的動作,放到/etc/pam.conf文件中,或者放到/etc/pam.d/下與服務(wù)同名的配置文件中每一行包含一個模塊類型、一個控制級別、一個模塊:servicemodule-typecontrol-flagmodule[args]例如passwdpasswordrequiredpam_cracklib.sotype=userretry=3passwdpasswordrequiredpam_pwdb.souse_authtokPAM結(jié)構(gòu)圖logintelnetftp……用戶認證管理(auth)帳戶管理(account)會話管理(session)口令管理(password)PAM配置文件管理員PAMAPIUNIX認證Kerberos認證S/Key認證PAMSPIPAM核心庫系統(tǒng)服務(wù)PAM服務(wù)模塊……Linux內(nèi)核安全性Linux內(nèi)核機制存在的一些潛在缺陷超級用戶的特權(quán)可能會被濫用系統(tǒng)文檔不安全系統(tǒng)內(nèi)核可以比較容易地插入模塊內(nèi)核中,進程不受保護Linux對網(wǎng)絡(luò)的支持Linux從UNIX繼承了在網(wǎng)絡(luò)方面的優(yōu)勢Linux自身的發(fā)展也是與Internet息息相關(guān)的介紹內(nèi)容Linux網(wǎng)絡(luò)層次Linux協(xié)議棧Linux網(wǎng)絡(luò)配置內(nèi)核防火墻Linux中網(wǎng)絡(luò)的層次結(jié)構(gòu)BSDSocketsINETSocketsTCPUDPIPPPPSLIPEthernetARPUserKernelNetworkApplicationsSocketInterfaceProtocolLayersNetworkDevicesAppletalkIPXBSDSocket一個通用的接口ApartofVFSinodeAsocketcanbeoperatedjustthesameasafilebysystemcallread(),write(),lseek()…一個套接字描述一個通訊連接的一端,兩個通訊程序中各自有一個套接字來描述它們自己那一端。每一類型的套接字有它自己的通信尋址方法。Linux支持下列套接字地址族或域UNIXUnix域套接字INETInternet地址族支持通過TCP/IP協(xié)議的通信AX25AmateurradioX25IPXNovellIPXAPPLETALKAppletalkDDPX25X25對BSDsocket進行準確操作要依賴于它下面的地址族Client/ServerCommunicationClient1.Createasocket2.Bindanaddr3.Listentheclient4.CreateasocketServer
ConnectAcceptSendRecvINETSocketBSDsocket層從已注冊的INETproto_ops數(shù)據(jù)結(jié)構(gòu)中調(diào)用INET層socket支持例程來為它執(zhí)行工作。BSDsocket層把socket結(jié)構(gòu)傳到INET層。為了不把BSDsocket與TCP/IP的特定信息搞混,INETsocket層使用它自己的數(shù)據(jù)結(jié)構(gòu):sock,它與BSDsocket結(jié)構(gòu)相連。建立BSDsocket:地址族,socket類型,協(xié)議將地址與INETsocket綁定
綁定操作在INETsocket層內(nèi)處理,下面的TCP和UDP協(xié)議層提供一些支持。綁定的地址在sock結(jié)構(gòu)中的recv_addr和saddr字段。例如,fd=socket(AF_INET,SOCK_STREAM,0)下層網(wǎng)絡(luò)設(shè)備接收的包必須通過正確的INET和BSDsocket才能被處理。因此,UDP和TCP維護了一些hash表用來在輸入IP消息內(nèi)查找地址并將它們導(dǎo)向正確的socket/sock對。INETSocket(續(xù))在INETSocket上建立連接UDP:IP地址和端口號TCP:建立虛聯(lián)接監(jiān)聽INETSocketUDP:改變socket的狀態(tài)TCP:建立一個新的sock結(jié)構(gòu),加到兩個hash表中并激活tcp_bound_hash表和tcp_listening_hash表。接收連接請求只用于TCP協(xié)議阻塞和非阻塞狀態(tài)socket()sys_socket()socket()sock_create()inet_create()get_fd()returncheckprotocol,type,familynet_families[family]->create(sock,protocol)createsocketstructuretcp_v4_init_sock()sk->prot->init()INETinet_create()IPXipx_create()UNIXunix_create()LinuxBSDSocketDataStructure
files_structcountclose_on_execopen_fsfd[0]fd[1]fd[255]filef_modef_posf_flagsf_countf_ownerf_opf_inodef_versioninodesocksockettypeprotocoldata(sk)typeprotocolsocketSOCK_STREAMSOCK_STREAMAddressFamilysocketoperationsBSDSocketFileOperationslseekreadwriteselectioctlclosefasyncINETsocketBSDsocketIP層Socket緩存sk_buff每一個包到來之后,都被放到一個sk_buff中sk_buff是一個數(shù)據(jù)結(jié)構(gòu),包含一些與該包有關(guān)的信息在包和sk_buff之間是一對一的關(guān)系sk_buff大小按16字節(jié)的倍數(shù)分配空間接收IP包將接收的數(shù)據(jù)轉(zhuǎn)換成sk_buff結(jié)構(gòu)。這些sk_buff則被網(wǎng)絡(luò)驅(qū)動加入到了backlog隊列中。如果backlog隊列太長,則丟棄接收的sk_buff。發(fā)送IP包建立sk_buff加上各種頭。IP用路由表為目的IP地址解析路由IP分片PacketsinLinuxkernel2.2sys_write()sock_write()inet_sendmsg()tcp_v4_sendmsg()
tcp_do_sendmsg()
tcp_send_skb()
tcp_transmit_skb()ip_queue_xmit()
ip_output()
ip_finish_output()dev_queue_xmit()hard_start_xmit()sys_read()sock_read()inet_recvmsg()tcp_recvmsg()
tcp_v4_recv()ip_local_deliver()
ip_rcv()
net_bh()Netif_rx()Block_input()
ei_receive()
ei_interrupt()outputinput接收數(shù)據(jù)包的過程首先是硬件接收到數(shù)據(jù)包然后,硬件產(chǎn)生中斷驅(qū)動程序把數(shù)據(jù)從硬件拷貝到一個sk_buff中調(diào)用netif_rx()把數(shù)據(jù)包放到系統(tǒng)全局的backlog隊列中通知net_bh()在適當?shù)臅r候net_bh()執(zhí)行net_bh()試圖發(fā)送所有的數(shù)據(jù)包,然后從backlog隊列中移除,送到適當?shù)陌幚砥?,例如ip_rcv()ip_rcv()可能會調(diào)用ip_local_deliver()或ip_forward()ip_local_deliver()會導(dǎo)致調(diào)用tcp_v4_rcv()tcp_v4_rcv()將數(shù)據(jù)放到某個socket的隊列中當socket的進程讀數(shù)據(jù)時,tcp_recvmsg()被調(diào)用如果socket進程阻塞在讀操作上,則進程將被喚醒OnNetworklevel…Ip_rcv()RoutetableIp_forward()DemasqIp_output()RoutetableIp_local_deliver()inputforwardoutputTransportlevelDatalinklevelmasq網(wǎng)絡(luò)設(shè)備工作原理圖網(wǎng)絡(luò)設(shè)備驅(qū)動數(shù)據(jù)結(jié)構(gòu)面向?qū)ο蟮姆椒╯tructdevice可見部分和隱藏部分。可見部分是由外部賦值隱藏部分的域段僅面向系統(tǒng)內(nèi)部,它們可以隨時被改變初始化主要工作是檢測設(shè)備的存在、初始化設(shè)備的device結(jié)構(gòu)及在系統(tǒng)中登記該設(shè)備。
兩種方式:模塊初始化模式&啟動初始化模式網(wǎng)絡(luò)接口管理表:dev_base模塊初始化模式網(wǎng)絡(luò)設(shè)備驅(qū)動的職責提供初始化功能支持啟動初始化模式:網(wǎng)絡(luò)設(shè)備的檢測及初始化函數(shù)支持模塊初始化模式:網(wǎng)絡(luò)設(shè)備的初始化函數(shù),供register_netdev調(diào)用;還需提供init_module和cleanup_module函數(shù)提供該網(wǎng)絡(luò)設(shè)備的打開和關(guān)閉操作(ifconfig命令使用)提供該網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)傳輸函數(shù),負責向硬件發(fā)送數(shù)據(jù)包,供dev_queue_xmit調(diào)用;提供該網(wǎng)絡(luò)設(shè)備的中斷服務(wù)程序,處理數(shù)據(jù)傳輸完畢的善后事宜和數(shù)據(jù)的接收。當物理網(wǎng)絡(luò)設(shè)備有新數(shù)據(jù)到達或數(shù)據(jù)傳輸完畢時,將向系統(tǒng)發(fā)送硬件中斷請求,該函數(shù)用來響應(yīng)中斷請求Linux網(wǎng)絡(luò)配置Linux用daemon程序來提供網(wǎng)絡(luò)服務(wù)有些服務(wù)直接由daemon程序一直運行有些服務(wù)通過inetd提供Inetd它的職責是監(jiān)聽大范圍內(nèi)的網(wǎng)絡(luò)端口,根據(jù)進來的請求動態(tài)啟動相應(yīng)的服務(wù)daemon——節(jié)約資源在Linux上,其實大多數(shù)inetd服務(wù)并不是必需的,雖然,這些服務(wù)本身有一定的安全認證能力,但是為了安全起見,應(yīng)該關(guān)閉這些服務(wù)如何配置inetd?編輯inetd.conf
每行格式:<service_name><sock_type><proto><flags><user><server_path><args>通過/etc/services文件,可以查到每個service的端口和協(xié)議類型停止inetd進程,并重新啟動inetd.conf配置文件/etc/services配置文件只影響inetd啟動的網(wǎng)絡(luò)服務(wù),由其他腳本(例如rcN.d)啟動的服務(wù)可能不受影響TCPwrappers在Linux中為/usr/sbin/tcpd,用法TCPwrapper使得系統(tǒng)可以在請求登錄或者輸入口令之前拒絕進來的連接TCPwrapper的兩個配置文件/etc/hosts.deny——滿足條件則拒絕/etc/hosts.allow——滿足條件則允許配置規(guī)則:service:host(s)[::action]兩個工具tcpdchk,檢查配置文件有沒有錯誤,是否與其他文件沖突tcpdmatch,模擬規(guī)則是否如期起作用日志、syslogdsyslogd是一個專門用于記錄日志信息的服務(wù)配置文件/etc/syslog.conf可以記錄本地日志,也可以記錄遠程的日志信息可以指定把什么樣的日志消息記錄到哪個文件中Linux的內(nèi)核防火墻協(xié)議棧在IP層上調(diào)用三個函數(shù),防火墻的功能將在這三個函數(shù)中實現(xiàn):ip_rcv():接收ip_forward():轉(zhuǎn)發(fā)ip_output():發(fā)送三條規(guī)則鏈Input鏈Output鏈Forward鏈Linux內(nèi)核支持的NATLinux內(nèi)核防火墻的發(fā)展從ipfwadm->ipchains->netfilterNetfilter是2.4內(nèi)核中實現(xiàn)網(wǎng)絡(luò)安全功能的通用框架在框架中,定義了5個鉤子在每個鉤子上可以掛接多個模塊Iptables模塊掛接在LOCAL_IN、FORWARD、LOCAL_OUT上提供多種功能包過濾防火墻地址轉(zhuǎn)換NAT網(wǎng)絡(luò)狀態(tài)檢測……Pre-routeForwardRoutePost-RouteLocal-inRouteLocal-out針對Linux的攻防技術(shù)Linux平臺上有大量的黑客工具,而且往往以源碼方式發(fā)布,所以,學會編譯和使用這些工具,可以在攻擊對抗中發(fā)揮作用探查信息用nmap可以查到Linux的版本信息改變Linux的協(xié)議棧行為,可以掩蓋這些信息許多早期的標準TCP/IP服務(wù),可以暴露系統(tǒng)的內(nèi)部信息,比如finger,還有一些基于RPC的服務(wù)盡量關(guān)閉不必要的服務(wù)一些服務(wù)的歡迎界面,比如ftp、telnet服務(wù)修改這些服務(wù)的配置信息口令破解如何獲得Linux的口令文件口令文件的格式是公開的口令文件passwd中,如果口令移到了shadow中,則沒有口令信息有一些工具能夠獲得shadow文件的副本破解程序Crack——猜口令JohntheRipper——字典攻擊,也可以窮舉攻擊XIT——字典攻擊,DOS程序……對策使用shadow,MD5使用強口令失敗多次之后,帳號鎖定結(jié)合其他的認證技術(shù)日志記錄Linux數(shù)據(jù)驅(qū)動攻擊目標:獲得root權(quán)限兩種類型緩沖區(qū)溢出攻擊通過緩沖區(qū)溢出,植入惡意代碼,獲得一個shell,可以是遠程的shell,也可以是本地的輸入驗證攻擊對于輸入沒有合理地檢查,導(dǎo)致執(zhí)行破壞性的代碼(命令或者腳本等)在Web服務(wù)中比較多見,缺乏對于輸入數(shù)據(jù)的語法檢查對策:加強編程中的安全意識。由用戶輸入的腳本代碼,或者在腳本代碼中要用到用戶輸入的數(shù)據(jù),則一定要檢查輸入數(shù)據(jù)不會危害整條語句Linux的X及其他針對X的攻擊X的功能太強大,一旦獲得X的服務(wù)器訪問控制權(quán),則可以為所欲為X的認證機制基于主機的認證,脆弱基于token交換的認證對策:關(guān)閉X服務(wù)其他攻防技術(shù)木馬技術(shù)網(wǎng)絡(luò)監(jiān)聽技術(shù)NFS不安全性檢查SUID程序的安全性日志記錄……一次針對Linux的入侵過程(一)1.收集信息
一般ftp服務(wù)器都使用了linux系統(tǒng),所以用ftp搜索器尋找
一次針對Linux的入侵過程(二)進一步探查目標一次針對Linux的入侵過程(三)2.漏洞掃描
一次針對Linux的入侵過程(四)3嘗試進入Wu-ftp2.6.0(1)是一個有漏洞的版本,首先使用ftp攻擊,
wuftpdgod是一個針對redhatlinux的wu-ftp2.6.0的siteexec漏洞的攻擊腳本
一次針對Linux的入侵過程(五)前面的入侵企圖沒有成功原因是該服務(wù)器上沒有開放上載權(quán)限,沒有可寫目錄。嘗試另外一個漏洞:rpc.statd緩沖區(qū)溢出。Statdx2是一個針對此漏洞攻擊的腳本,但是要求提供準確的字符串地址。否則一次攻擊過后如果不成功可能會使對方的rpc.statd進程終止,無法進行第二次攻擊嘗試。如何獲得這個地址:找一臺自己控制的主機,這臺主機的系統(tǒng)版本必須和目標主機相同。將攻擊腳本傳到該主機上。以root身份運行,如下圖所示一次針對Linux的入侵過程(六)執(zhí)行腳本statdx2一次針對Linux的入侵過程(七)再次對目標主機進行遠程攻擊成功!獲得rootshell,輸入命令ls一次針對Linux的入侵過程(八)4.裝上后門把后門程序放在一個ftp站點上,讓目標主機去下載
命令ls命令ftp命令mv執(zhí)行后門加一個帳號一次針對Linux的入侵過程(九)5銷毀證據(jù)/痕跡銷毀證據(jù)和消滅痕跡是有區(qū)別的銷毀證據(jù)是指不讓對方找到證據(jù)進行追蹤。方法很簡單:刪除消滅痕跡是指不讓對方感覺到被入侵:
做法是,有選擇地刪除一些記錄,而且刪除的動作也不能被記錄。以上動作主要留下的記錄在:/var/log/messages、/var/log/secure、/var/log/wtmp、/var/spool/ftpd等??梢詣h除之,如右圖所示參考資料Sourcecode:
LinuxSourcecode(release2.2)in/usr/src/linuxdirectory書“黑客大曝光”(第二版),清華出版社Linx系統(tǒng)安全基礎(chǔ)(SamsTeachYourselfLinuxSecurityBasicsin24Hours),人民郵電出版社,2002PracticalUNIX&InternetSecurity(2e),O’ReillyWebsites網(wǎng)絡(luò)與信息安全
系統(tǒng)安全:Windows系統(tǒng)安全內(nèi)容Windows安全結(jié)構(gòu)Windows的網(wǎng)絡(luò)結(jié)構(gòu)Windows攻防技術(shù)一次針對Windows2000的入侵過程Windows安全性設(shè)計目標一致的、健壯的、基于對象的安全模型滿足商業(yè)用戶的安全需求一臺機器上多個用戶之間安全地共享資源進程,內(nèi)存,設(shè)備,文件,網(wǎng)絡(luò)安全模型服務(wù)器管理和保護各種對象客戶通過服務(wù)器訪問對象服務(wù)器扮演客戶,訪問對象訪問的結(jié)果返回給服務(wù)器Windows
2000Architecture
用戶管理:帳戶(accounts)和組(groups)帳戶(useraccounts)定義了Windows中一個用戶所必要的信息,包括口令、安全ID(SID)、組成員關(guān)系、登錄限制,…組:universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)時間和空間唯一S-1-N-Y1-Y2-Y3-Y4Somewell-knownSIDs字符串形式和二進制形式的SIDWindowsNT安全組件(TCB)ReferencemonitorAccessvalidationrequestsAuditgenerationrequestsKernelmodeusermodeLocalsecuritypolicydatabaseLocalSecurityAuthorityAuditLogfileAuthenticationServiceAccountdirectoryServicesUserAccountDatabaseWinlogonAdministraticeToolsAuditmessagessecuritypolicyLocalSecurityAuthorityLocalSecurityAuthority:AprotectedsubsystemofMicrosoft?Windows
NT/Windows?
2000thatauthenticatesandlogsusersontothelocalsystem.Inaddition,LSAmaintainsinformationaboutallaspectsoflocalsecurityonasystem,collectivelyknownastheLocalSecurityPolicyofthesystem.兩個概念LSAAuthenticationModelLSALogonSessions:從logon成功到logoffSecurityAccessToken是對一個進程或者線程的安全環(huán)境的完整描述包括以下主要信息用戶帳戶的SID所有包含該用戶的安全組的SIDs特權(quán):該用戶和用戶組所擁有的權(quán)利Owner
DefaultDiscretionaryAccessControlList(DACL)……這是一個基本的安全單元,每個進程一個ObjectSecurity所有對對象的訪問都要通過安全子系統(tǒng)的檢查系統(tǒng)中的所有對象都被保護起來文件、目錄、注冊表鍵內(nèi)核對象同步對象私有對象(如打印機等)管道、內(nèi)存、通訊,等對象的安全描述符(securitydescriptor)OwnerSIDGroupSIDsDiscretionaryACLAuditSystemACLObjectSecurityAccessControlListmanipulationAccessCheckAuditGenerationSecuritytokenUserGroupsPrivilegesUserYprocessAccessobjectXSecurityReferencemonitorSecuritydescriptorOwnerDACLSACLUserYUserXACLACEACEAccessmaskUserY…AccessmaskAccessdeterminationNTFSfileobjectsecurityTokenUserxxxNTFS1.打開一個可寫的文件fileSD2.從文件中得到SDAccessCheck3.是否允許?Yes/No4.返回文件句柄WindowsExplorerFile,Properties,SecurityFileAccess基于policy的安全性AuditingCategories:Success/FailureeventsLogonandLogoff、FileandObjectAccess、UseofUserrights、UserandGroupManagement、SecurityPolicyChanges、Restart,Shutdownsystem、ProcessTrackingPrivilegesAllowspecialabilitiesoverandaboveaccessrightsFinegrained:OnePrivilege=oneAbilityWindowsNThas23definedprivileges,suchas:Backupfilesanddirectories,changethesystemtimeLogonRightsLogononLocally(Forinteractivelogon)Accessthiscomputerfromnetwork(forremotelogon)Logonasaservice(startserviceprocessesunderspecificserviceaccount)Logonasabatchjob(submitjobstobatchqueues)Authentication:WinlogonProcessingWinlogonModelDistinctdesktopsEverysystemisauthenticated(windowstation)WinlogonArchitectureWinlogonGINADLLMultiplenetwork
providersWinlogonGINANP登錄界面一些跟Winlogon有關(guān)的概念I(lǐng)nitializingWinlogon首先注冊CTRL+ALT+DELSAS(secureattentionsequence)然后在WinSta0windowstation內(nèi)創(chuàng)建三個desktopsWinlogondesktopApplicationdesktopScreen-saverdesktopWinlogon的狀態(tài)Logged-OutStateLogged-OnStateWorkstation-LockedStateWinlogon和GINA的職責ServicesprovidedbyWinlogonAdministrative:保護WindowstationanddesktopEventnotification:SASRecognitionUserinterfaceNotifynetworkproviders(ofpasswordchange)ServicesprovidedbyGINASASmonitoringShellactivationanddisplaymessagesAuthorization:determineiflockworkstationisallowedWinlogon圖示W(wǎng)inlogonLSAAuthPkg用戶登錄界面AccountDBGINANetlogonWin32ShellNetlogonAuthPkgAccountDBAD/DCCTRL+ALT+DELLSA(LocalSecurityAuthority):InteractiveAuthentication&NoninteractiveAuthenticationDomainCredentialsDomainCredentials
DomaincredentialsareusedbyoperatingsystemcomponentsandauthenticatedbytheLocalSecurityAuthority(LSA).Typically,domaincredentialsareestablishedforauserwhenaregisteredsecuritypackageauthenticateslogondataprovidedbytheuser.Thelogoncredentialsarecachedbytheoperatingsystemsothatasinglesign-ongivestheuseraccesstoavarietyofresources.Thesecretpartofdomaincredentials,thepassword,isprotectedbytheoperatingsystem.Onlycomponentsrunningin-processwiththeLSAcanreadandwritedomaincredentials.Applicationsarelimitedtowritingdomaincredentials.Windows安全性的其他方面NetworkconnectionsecurityAuthentication、integrity、privacySecuredistributedapplicationsAuthenticatedRPCDCOMsecurityClientServerRPCruntimeSSPSSPRPCruntimeWindowsRegistry(注冊表)注冊表是一個很大的層次結(jié)構(gòu)數(shù)據(jù)庫,包含了大量的Windows配置信息,對于Windows的安全也是至關(guān)重要。一旦攻擊者能夠修改注冊表信息,則系統(tǒng)安全會受到嚴重的威脅WindowsNT/2000中的每個注冊表鍵都是受保護的對象用RegEdt32可以遠程訪問注冊表Windows2000中,注冊表和活動目錄(activedirectory)的關(guān)系注冊表是活動目錄的一個部分寫照兼容性Windows2000中的活動目錄(ActiveDirectory)Windows2000支持兩個目錄服務(wù)DNS,擴展——找到域控制器活動目錄——訪問域中對象的信息活動目錄一個數(shù)據(jù)庫訪問協(xié)議——LDAP信息的命名和組織方式LDAP://CN=smith,OU=users,OU=receivables,DC=us,DC=qwickbank,DC=com
活動目錄的安全性客戶的身份認證——默認使用Kerberos作為認證協(xié)議對信息的訪問——每個對象和對象的屬性都有自己單獨的ACL表,從而實現(xiàn)精細的訪問控制活動目錄的維護實現(xiàn)快速的數(shù)據(jù)庫搜索——索引和全局目錄(GC,globalcatalog)復(fù)制機制——站點的概念,基于USN(更新序列號)的復(fù)制機制……一組管理工具兩個重要的安全服務(wù)KerberosPKIWindows2000中幾個證書存儲區(qū)SAM數(shù)據(jù)庫SAM:SecurityAccountsManager,包含有本地系統(tǒng)或者所控制域上所有用戶的用戶名和密文形式的密碼這是攻擊者最感興趣的部位獲取sam數(shù)據(jù)庫,然后進行破解在系統(tǒng)運行期間,sam數(shù)據(jù)庫是上鎖的獲取sam的手段從另一個文件系統(tǒng)進行拷貝從關(guān)鍵文件的備份中獲取壓縮之后的sam文件在線提取密碼散列值從網(wǎng)絡(luò)上進行監(jiān)聽破解工具無論是字典破解,還是窮舉攻擊,往往很奏效兩種手段結(jié)合起來使用使用syskey保護Windows2000中的網(wǎng)絡(luò)結(jié)構(gòu)NDISTDI:Transport
DriverInterfaceNetworkAPIInterprocesscommWindows2000中的IPSecNetBIOSoverTCP/IP介紹NetBIOSNetBIOS(網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)):最初由IBM開發(fā),MS利用NetBIOS作為構(gòu)建LAN的上層協(xié)議NetBIOS使得程序和網(wǎng)絡(luò)之間有了標準的接口,方便應(yīng)用程序的開發(fā)。并且可以移植到其他的網(wǎng)絡(luò)中NetBIOS位于OSI模型的會話層,也位于TCP/IP之上NetBIOS有兩種通訊模式會話模式。一對一進行通訊,LAN中的機器之間建立會話,可以傳輸較多的信息,并且可以檢查傳輸錯誤數(shù)據(jù)報模式。可以進行廣播或者一對多的通訊,傳輸數(shù)據(jù)大小受限制,沒有錯誤檢查機制,也不必建立通訊會話NetBIOSoverTCP/IP,支持三種服務(wù)名字服務(wù)會話服務(wù)數(shù)據(jù)報服務(wù)NetBIOS名字服務(wù)NetBIOS名字被用來標識網(wǎng)絡(luò)上的資源。程序開始和結(jié)束會話都要使用這些名稱。我們可以為一臺機器配置多個程序,每個程序都有唯一的NetBIOS名稱NetBIOS名字至多可以有16個字母或數(shù)字。當然,該名字在整個資源路由網(wǎng)絡(luò)里必須唯一。一臺使用NetBIOS的機器在網(wǎng)絡(luò)上工作之前,必須先注冊NetBIOS名稱當一臺機器激活的時候,先廣播自己的名字,如果它廣播成功,并且沒有與別的機器重名,則注冊成功。過程如下:登錄時,機器廣播自己的名字6到10次,確保其他網(wǎng)絡(luò)成員收到信息如果其他的機器也使用了同樣的名字,則它發(fā)布自己的廣播,包括它正在使用的名字,于是,請求注冊的機器停止如果其他的機器沒有反對它的加入,則注冊成功NetBIOS名字服務(wù)(續(xù))NetBIOS名字服務(wù)允許名字中包含16個字母數(shù)字,但Windows只允許15個字母,第十六個為NetBIOS后綴。NetBIOS后綴用在MicrosoftNetworking軟件中,區(qū)別安裝的功能,登記的設(shè)備和服務(wù)。名字有兩種類型:Unique(U)、Group(G)用nbtstat–Aip-address可以查看已經(jīng)注冊的名字NetBIOS名字解析由NetBIOS名字到IP地址的解析過程DNS名字解析是靜態(tài)的,NetBIOS是動態(tài)的名字解析的方式本地網(wǎng)絡(luò)廣播本地主機緩沖NetBIOS名字服務(wù)器客戶要首先登記自己的NetBIOS名字預(yù)定義文件lmhosts通過DNS和hosts文件解析NetBIOS會話服務(wù)和數(shù)據(jù)報服務(wù)會話服務(wù)為應(yīng)用程序提供一種面向連接的、可靠的雙向通訊機制Client/Server結(jié)構(gòu)雙方協(xié)作建立一個會話:一方調(diào)用Listen命令,另一方調(diào)用Call命令Listen命令指定雙方的名字結(jié)束會話:任何一方發(fā)出Hang-Up命令數(shù)據(jù)報服務(wù)是無連接的,不可靠的如果發(fā)送的目標是組名,則組中所有的成員都可以收到Send_Datagram命令和Receive_Datagram命令如果NetBIOS收到數(shù)據(jù),但卻沒有Receive_Datagram命令在等待,數(shù)據(jù)將被丟棄Send_Broadcast_Datagram命令和Receive_Broadcast_Datagram命令關(guān)于NetBIOS端口分配137端口是NetBIOS名稱UDP,138端口是NetBIOS數(shù)據(jù)報UDP,139端口是NetBIOS會話tcpWindows2000中,445端口也提供同樣的功能NetBIOS和WINSWINS是名字服務(wù)它是實現(xiàn)NetBIOS名字解析的一種方式(P-node)NetBIOS實現(xiàn)名字解析方式:B-node,P-node,M-node,H-modeWindowsNT/2000中的nullsessionWindows2000中,nullsession是系統(tǒng)內(nèi)置的一個功能Windows的網(wǎng)絡(luò)資源共享,通過445端口和139端口Null會話是同服務(wù)器建立的無信任支持的會話。Null會話也需要提供一個令牌,但是,令牌中不包含用戶信息,但是有一個SID,所對應(yīng)的用戶名為AnonymousLogon(在用戶列表中能看得到)Null會話的用途:有一些系統(tǒng)功能需要用到nullsessionNullSession的條件通過139端口或者445端口系統(tǒng)打開IPC$共享Nullsession的對策注冊表修改:HKLM\SYSTEM\CurrentControlSet\Control\LSA中的RestrictAnonymous=2做法:netuse\\Ip-address\IPC$“”/u:””net命令用nethelp可以查看net命令的使用指導(dǎo)netuse用于將計算機與共享的資源相連接,或者切斷計算機與共享資源的連接netview用于顯示一個計算機上共享資源的列表netstart/stop/pause用來啟動/終止/掛起一個服務(wù),也可以列出已經(jīng)啟動的服務(wù)其他NetcomputerNetgroupNetlocalgroupNetuserNetsendNetprintNetshareNettime……Windows平臺上的共享資源在Windows平臺上,共享資源既是一個暴露信息的地方,也是受攻擊的入侵點文件資源的共享打印服務(wù)的共享IPC$也是一個共享資源在網(wǎng)絡(luò)環(huán)境下,又離不開共享功能功能與風險共存對策使用隱藏共享設(shè)置好權(quán)限控制Windows9x/ME它本身就不是一個安全的操作系統(tǒng)主要的危險直接連接到共享資源上遠程訪問注冊表安裝后門服務(wù)程序利用現(xiàn)有服務(wù)程序的漏洞拒絕服務(wù)本地系統(tǒng)的不安性重新啟動口令的不安全WindowsNTWindowsNT是一個安全操作系統(tǒng)雖然已經(jīng)發(fā)現(xiàn)了大量的漏洞但是總算補丁來得很及時兩個顯著的安全性特點操作系統(tǒng)本身并不提供遠程運行代碼的能力對于控制臺的交互登錄權(quán)力僅限于少數(shù)帳號安全現(xiàn)狀對于WindowsNT的大量攻擊都是通過應(yīng)用服務(wù)器進行的(比如IISWebServer)。盡快升級到Windows2000WindowsNT的administrator帳號這是攻擊者最期望得到的權(quán)限手段遠程密碼猜測找到一個共享點,使用netuse命令行Nat工具從NT的認證協(xié)議(LanMan、NTLM)著手防護禁止NIC得NetBIOS功能帳戶的管理策略:設(shè)定lockout功能、強制使用強口令失敗類型的審計總是需要的WindowsNT的遠程攻擊遠程BufferOverflows系統(tǒng)本身的bufferoverflows漏洞并不多拒絕服務(wù)特權(quán)升級往系統(tǒng)注入代碼(getadmin工具)對于執(zhí)行權(quán)限的控制(比如Web相關(guān)的文件)Trojan木馬可執(zhí)行注冊表鍵得到了NT的Administrator之后鞏固權(quán)力針對SAM獲取SAM破解SAM針對LSA自動登錄功能鍵盤記錄器Sniffers遠程控制和后門如何在NT上遠程執(zhí)行代碼利用scheduleservice利用啟動注冊表鍵HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion下RunRunOnceRunOnceExRunServicesWindows2000原來的產(chǎn)品號為NT5繼承了NT4的許多特性在安全性方面應(yīng)該增強許多,至少把已有的大量漏洞都堵上了但是,在引入新的強大功能的同時,也必然引入新的漏洞,特別是一些復(fù)雜的功能活動目錄作為一個全局的信息倉庫容易成為暴露信息的焦點還要考慮兼容性認證協(xié)議的變化,NTLM->Kerberos文件系統(tǒng)的增強,增強的NTFSIPSec的全面支持,提供了方便的配置界面新的安全工具:組策略提供了大量新的服務(wù),帶來了危險特別是TerminalService加強審核功能Windows的管理策略友好的界面,不安全的口令使用安全的口令了解缺省配置的不安全關(guān)閉不必要的服務(wù)和端口兼容性和安全性的平衡打開跟安全有關(guān)的日志功能,并且經(jīng)常備份和檢查用一些安全工具進行自我保健應(yīng)用系統(tǒng)的不安全性也可以摧毀底層的安全防線緊跟Microsoft的補丁一次針對Windows2000的入侵過程(一)1.探測選擇攻擊對象,了解部分簡單的對象信息。這里,針對具體的攻擊目標,隨便選擇了一組IP地址,進行測試,選擇處于活動狀態(tài)的主機,進行攻擊嘗試;針對探測的安全建議對于網(wǎng)絡(luò):安裝防火墻,禁止這種探測行為對于主機:安裝個人防火墻軟件,禁止外部主機的ping包,使對方無法獲知主機當前正確的活動狀態(tài)一次針對Windows2000的入侵過程(二)2.掃描使用的掃描軟件這里選擇的掃描軟件是SSS(ShadowSecurityScanner),目前的最高版本是5.3.1,SSS是俄羅斯的一套非常專業(yè)的安全漏洞掃描軟件,能夠掃描目標服務(wù)器上的各種漏洞,包括很多漏洞掃描、端口掃描、操作系統(tǒng)檢測、賬號掃描等等,而且漏洞數(shù)據(jù)可以隨時更新。(呵呵,使用的是盜版軟件,數(shù)據(jù)更新功能好像無效。
)掃描遠程主機
開放端口掃描
操作系統(tǒng)識別
SSS本身就提供了強大的操作系統(tǒng)識別能力,也可以使用其他工具進行主機操作系統(tǒng)檢測。
主機漏洞分析
掃描結(jié)果:端口掃描可以看出幾個比較知名的端口均處于打開狀態(tài),如139、80等
嘗試使用Unicode漏洞攻擊,無效??赡苤鳈C已經(jīng)使用了SP進行補丁或未開放遠程訪問權(quán)限
掃描結(jié)果:操作系統(tǒng)識別
結(jié)果顯示該主機操作系統(tǒng)為Windows2000,正是我們期望的操作系統(tǒng)類型掃描結(jié)果:漏洞掃描SSS可對遠程主機進行漏洞檢測分析,這更方便了我們了解遠程主機的狀態(tài),選擇合適的攻擊入口點,進行遠程入侵
該主機存在的漏洞較多,我們可以確定選擇該主機作為攻擊對象。另外,主機的帳號密碼使用的是“永不過期”方式,我們可以在下面進行帳號密碼的強行破解
一次針對Windows2000的入侵過程(三)3.查看目標主機的信息在完成對目標主機的掃描后,我們可以利用WindowsNT/2000對NetBIOS的缺省信賴,對目標主機上的用戶帳號、共享資源等進行檢查。事實上,在利用SSS進行掃描的過程中,SSS已經(jīng)向我們報告了眾多有效的信息。這里,我們再利用Windows2000的IPC空會話查詢遠程主機
一次針對Windows2000的入侵過程(四)4.滲透IIS攻擊嘗試利用IIS中知名的Unicode和“Translate:f”漏洞進行攻擊,沒有成功。目標主機可能已修復(fù)相應(yīng)漏洞,或沒有打開遠程訪問權(quán)限Administrator口令強行破解
目標主機是一臺個人主機,絕大部分情況下,均使用Administrator帳號進行登陸,且個人防范意識較差的話,選擇的密碼一般都較簡單,如“主機名”、“11111”、“12345”之類的簡單密碼(方便自己的快速登陸)。所以考慮利用NetBIOS會話服務(wù)(TCP139)進行遠程密碼猜測。
這里我們使用NAT(NetBIOSAuditingTool)進行強行破解:構(gòu)造一個可能的用戶帳戶表,以及簡單的密碼字典,然后用NAT進行破解。成功Administrator口令破解情況一次針對Windows2000的入侵過程(五)5.鞏固權(quán)力現(xiàn)在我們得到了Administrator的帳戶,接下去我們需要鞏固權(quán)力添加一個迷惑性的帳戶,并加入administrators組,將來通過新帳戶進入裝載后門裝載后門一般的個人主機為防范病毒,均會安裝反病毒軟件,如NortonAnti-Virus、金山毒霸等,并且大部分人也能及時更新病毒庫,而大部分的木馬程序在這類軟件的病毒庫中均被視為Trojan木馬病毒。所以,這為我們增加了難度。除非一些很新的程序或自己編寫的程序才能夠很好地隱藏起來我們使用NetCat作為后門程序進行演示安裝后門程序(一)利用剛剛獲取的Administrator口令,通過Netuse映射對方驅(qū)動器
安裝后門程序(二)然后將netcat主程序nc.exe復(fù)制到目標主機的系統(tǒng)目錄下(便于隱藏),可將程序名稱改為容易迷惑對方的名字,如rundl132.exe、ddedll32.exe等
利用at命令遠程啟動NetCat,供我們遠程連接使用。還添加了每日運行計劃,供以后使用
安裝后門程序(三)遠程NetCat服務(wù)程序啟動后,我們可以在本地進行遠程連接,運行命令(在遠程主機上),這時,我們已經(jīng)完全控制了這臺機器了一次針對Windows2000的入侵過程(六)6.清除痕跡我們留下了痕跡了嗎用eventviewer看一看沒有成功看看它的日志文件無安全日志記錄通過入侵過程來看Win2k的防范盡量安裝防火墻軟件,并對安全規(guī)則庫定期進行更新
及時更新操作系統(tǒng)廠商發(fā)布的ServicePack補丁程序
停止主機上不必要的服務(wù),各種服務(wù)打開的端口往往成為黑客攻擊的入口
使用安全的密碼,最起碼不要直接使用常見的單詞、數(shù)字串以及可能暴露的主機信息(比如主機名、用戶名等)如果沒有文件和打印機共享要求,最好禁止139和445端口上的空會話
經(jīng)常利用netsession、netstat查看本機連接情況,并利用TaskManager查看本機運行的進程,及早發(fā)現(xiàn)異常情況
可以利用一些安全工具(如LockDown、BlackICE等)提供的本機程序安全管理功能,監(jiān)控本機程序的異常狀態(tài)(主動連接外部陌生的地址),增強主機對木馬程序的監(jiān)控能力
……參考資料書“黑客大曝光”(第二版),清華出版社“HackersBeware”,中文版《黑客——攻擊透析與防范》,電子工業(yè)出版社DavidChappell,UnderstandingMicrosoftWindows2000DistributedServices,中文版(清華大學出版社,潘愛民譯),2001Web站點/library/default.asp,或者MSDN-Library
安全評價標準主要內(nèi)容可信計算機系統(tǒng)評價標準通用評估準則CC我國信息系統(tǒng)安全評價標準計算機系統(tǒng)的提供者需要對他們的產(chǎn)品的安全特性進行說明,而用戶則需要驗證這些安全特性的可靠性。國際上有多種為計算機安全系統(tǒng)構(gòu)筑獨立審查措施的安全評價體系,其內(nèi)容和發(fā)展深刻地反映了對信息安全問題的認識程度。14.1可信計算機系統(tǒng)評價標準1985年12月美國國防部公布了評價安全計算機系統(tǒng)的六項標準。這套標準的文獻名稱即為“可信計算機系統(tǒng)評價標準”(TrustedComputerSystemEvaluationCriteria,簡記為TCSEC),又稱為橘皮書。14.1.1TCSEC的主要概念1.考核標準(1)安全策略(SecurityPolicy)(2)標識(Identification)(3)標記(Marking)(4)可記賬性(Accountability)(5)保障機制(Assurance)(6)連續(xù)性保護(ContinuousProtection)2.主要概念安全性可信計算基(TCB)自主訪問控制(DiscretionaryAccessControl,DAC)強制訪問控制(MandatoryAccessControl,MAC)隱蔽信道3.系統(tǒng)模型主體審計信息訪問監(jiān)控器監(jiān)控器數(shù)據(jù)基:(用戶權(quán)限表、訪問控制表)客體14.1.2計算機系統(tǒng)的安全等級TCSEC將可信計算機系統(tǒng)的評價規(guī)則劃分為四類,即安全策略、可記賬性、安全保證措施和文檔根據(jù)計算機系統(tǒng)對上述各項指標的支持情況及安全性相近的特點,TCSEC將系統(tǒng)劃分為四類(Division)七個等級1.D安全級最低級別,一切不符合更高標準的系統(tǒng),統(tǒng)統(tǒng)歸于D級。2.C1安全級只提供了非常初級的自主安全保護,稱為自主安全保護系統(tǒng),現(xiàn)有的商業(yè)系統(tǒng)往往稍作改進即可滿足要求。3.C2安全級稱為可控安全保護級,是安全產(chǎn)品的最低檔次很多商業(yè)產(chǎn)品已得到該級別的認證。達到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色4.B1安全級 又稱為帶標記的訪問控制保護級,其在C2級的基礎(chǔ)上增加了或加強了標記、強制訪問控制、審計、可記賬性和保障等功能。B1級能夠較好地滿足大型企業(yè)或一般政府部門對數(shù)據(jù)的安全需求,這一級別的產(chǎn)品才被認為是真正意義上的安全產(chǎn)品。滿足此級別的產(chǎn)品前一般多冠以“安全”(Security)或“可信的”(Trusted)字樣B類安全包含三個級別:B1、B2、B3級,他們都采用強制保護控制機制。B2安全級稱為結(jié)構(gòu)化保護級。該級系統(tǒng)的設(shè)計中把系統(tǒng)內(nèi)部結(jié)構(gòu)化地劃分成明確而大體上獨立的模塊,并采用最小特權(quán)原則進行管理。目前,經(jīng)過認證的B2級以上的安全系統(tǒng)非常稀少。B3安全級又稱為安全域保護級。該級的TCB必須滿足訪問監(jiān)控器的要求,審計跟蹤能力更強,并提供系統(tǒng)恢復(fù)過程。A1安全級又稱為可驗證設(shè)計保護級,即提供B3級保護的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護真正實現(xiàn)。14.2通用評估準則CCCC(CommonCriteriaforInformationTechnologySecurityEvaluation)標準是國際標準化組織ISO/IECJTC1發(fā)布的一個標準,是信息技術(shù)安全性通用評估準則,用來評估信息系統(tǒng)或者信息產(chǎn)品的安全性。14.2.1CC的主要用戶CC的主要用戶包括消費者、開發(fā)者和評估者。1.消費者消費者可以用評估結(jié)果來決定一個已評估的產(chǎn)品和系統(tǒng)是否滿足他們的安全需求。2.開發(fā)者CC為開發(fā)者在準備和參與評估產(chǎn)品或系統(tǒng)以及確定每種產(chǎn)品和系統(tǒng)要滿足安全需求方面提供支持。3.評估者當要做出TOE及其安全需求一致性判斷時,CC為評估者提供了評估準則。14.2.2CC的組成CC分為三個部分1.簡介和一般模型: 正文介紹了CC中的有關(guān)術(shù)語、基本概念和一般模型以及與評估有關(guān)的一些框架,附錄部分主要介紹保護輪廓(PP)和安全目標(ST)的基本內(nèi)容。2.安全功能要求:按“類-族-組件”的方式提出安全功能要求,提供了表示評估對象TOE安全功能要求的標準方法。3.安全保證要求:定義了評估保證級別,建立了一系列安全保證組建作為表示TOE保證要求的標準方法。CC的三個部分相互依存,缺一不可。14.2.3評估保證級別EAL評估保證級別是評估保證要求的一種特定組合(保證包),是度量保證措施的一個尺度,這種尺度的確定權(quán)衡了所獲得的保證級別以及達到該保證級別所需的代價和可能性。在CC中定義了7個遞增的評估保證級1.EAL1:功能測試EAL1適用于對正確運行需要一定信任的場合2.EAL2:結(jié)構(gòu)測試 要求開發(fā)者遞
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年寶雞貨運從業(yè)資格證試題庫及答案
- 2025年玉溪貨運考試題目
- 2025年丹東c1貨運從業(yè)資格證考試題
- 2024年市政工程建設(shè)項目借款合同3篇
- 2024年木材供需合同3篇
- 2024年度高品質(zhì)天然石材荒料采購與銷售合同3篇
- 2025存量房購買居間合同
- 2025種薯買賣合同范本
- 2024年版智慧醫(yī)療系統(tǒng)研發(fā)合同
- 2024年標準化汽車維修服務(wù)合同版B版
- 2023-2024學年廣州大附屬中學中考一模物理試題含解析
- 綠化養(yǎng)護工作日記錄表
- 2024美的在線測評題庫答案
- 2024版高考數(shù)學二輪復(fù)習:解析幾何問題的方法技巧
- 輿情監(jiān)測服務(wù)方案
- 北京市海淀區(qū)2023-2024學年八年級上學期期末英語試卷
- 果品類原料的烹調(diào)應(yīng)用課件
- 地彈簧行業(yè)分析
- 如何發(fā)揮采購在公司高質(zhì)量發(fā)展中作用
- 民事糾紛及其解決機制課件
- 美術(shù)高考總結(jié)匯報
評論
0/150
提交評論