攻击概述.ppt

攻击的位置 （1）远程攻击：从该子网以外的地方向该子网或者该子网内的系统发动攻击。 （2）本地攻击：通过所在的局域网，向本单位的其他系统发动攻击，在本机上进行非法越权访问也是本地攻击。 （3）伪远程攻击：指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象。 攻击的层次 ①简单拒绝服务（如邮件炸弹攻击）. ②本地用户获得非授权读访问 ③本地用户获得他们本不应拥有的文件写权限 ④远程用户获得了非授权的帐号 ⑤远程用户获得了特权文件的读权限 ⑥远程用户获得了特权文件的写权限 ⑦远程用户拥有了根（root）权限 攻击的人员 黑客：闯入计算机主要是为了挑战和获取访问权限 间谍：闯入计算机主要是为了政治情报信息 恐怖主义者：闯入计算机主要是为了政治目的而制造恐怖 公司雇佣者：闯入计算机主要是为了竞争经济利益 职业犯罪：闯入计算机主要是为了个人的经济利益 破坏者：闯入计算机主要是为了实现破坏 系统的漏洞 漏洞是指硬件、软件或策略上的缺陷，从而可使攻击者能够在未经授权的情况下访问系统。 漏洞涉及的范围很广，涉及到网络的各个环节、各个方面，包括：路由器、防火墙、操作系统、客户和服务器软件。比如一台提供网上产品搜索的Web服务器，就需要注意操作系统、数据库系统、Web服务软件及防火墙。 软件错误 所有的软件都是有错的。 造成软件出现错误的原因是多方面的，比如软件复杂性、程序设计的缺陷、开发时间紧迫、软件开发工具本身的错误等。并且无论经过怎样的测试，软件产品中仍然会遗留下许多错误和缺陷。因为软件是由人来完成的，所有由人做的工作都不会是完美无缺的。 管理人员的惰性。一个简单的例子就是缺省口令。 系统配置不当 默认配置的不足：许多系统为了易用，安装后都有默认的安全配置信息。易用意味着易于闯入。 管理员的疏忽：系统安装后保持管理员口令的空值，而且随后不进行修改。 临时端口：有时候为了测试之用，管理员会在机器上打开一个临时端口，但测试完后却忘记了禁止它。 信任关系：网络间的系统经常建立信任关系以方便资源共享，但这也给入侵者带来间接攻击的可能，例如，只要攻破信任群中的一个机器，就有可能进一步攻击其他的机器。 时间性 漏洞的时间性 系统发布——漏洞暴露——发布补丁——新漏洞出现 安全漏洞与系统攻击之间的关系 漏洞暴露—可能的攻击—发布补丁 攻击实例 SMBDie V1.0，该软件对打了SP3、SP4的计算机依然有效，必须打专门的SMB补丁 需要两个参数：对方的IP地址和对方的机器名,然后再点按钮“Kill”，对方计算机立刻重启或蓝屏 远程攻击的步骤 寻找目标主机收集目标信息 锁定目标 利用域名和IP地址可以找到目标主机。 Tracert/TraceRoute能够得出到达目标主机所要经过的网络数和路由器数。 Ping确定一个指定的主机的位置并确定其是否可达。 Finger和Rusers命令收集用户信息 Host或者Nslookup命令，结合Whois和Finger命令获取主机、操作系统和用户等信息 攻击者也可向主机发送虚假消息，然后根据返回host unreachable这一消息特征判断出哪些主机是存在的。 寻找目标主机收集目标信息 服务分析 一是使用不同应用程序测试。例如：使用Telnet、FTP等用户软件向目标主机申请服务，如果主机有应答就说明主机提供了这个服务，开放了这个端口的服务 二是使用一些端口扫描工具软件，对目标主机一定范围的端口进行扫描。这样可以全部掌握目标主机的端口情况。 寻找目标主机收集目标信息 系统分析 使用具有已知响应类型的数据库的自动工具，对来自目标主机作出的响应进行检查，确定目标主机的操作系统。如打开WIN95的RUN窗口，然后输入命令： Telnet xx.xx.xx.xx(目标主机) 然后按“确定”，可以发现如下响应： Digital UNIX (xx.xx.xx) (ttyp1) login: 可以从公开渠道获得的信息 公司的Web网页（或许有网络或系统安防配置） 相关组织 地理位置细节（google地图） 电话号码、联系人名单、电子邮件地址、详细的个人资料 近期重大事件（合并、收购、裁员、快速增长等等） 可以表明现有信息安防机制的隐私/安防策略和技术细节 已归档的信息（历史网页，搜索引擎快照） 心怀不满的员工 搜索引擎、Usenet和个人简历 让人感兴趣的其他信息 由域名得到IP地址 ping命令试探 ping Nslookup命令 在提示符“”后键入 由IP地址得到地理位置 在线 IP 地址查询/，/ 个人资料 在得到电话号码之后，可以通过、或之类的网站查出地理地址。可以根据电话号码为他们的“密集拨号”攻击设定一个攻击范围或是