入侵检测技术 教学课件 作者 曹元大 IDS2.pptVIP

第2章 入侵方法与手段 入侵方法与手段: 黑客入侵模型与原理 漏洞扫描 口令破解 拒绝服务攻击 缓冲区溢出攻击 格式化字符串攻击 跨站脚本攻击 SQL Injection攻击 黑客入侵的步骤 常见的安全威胁 口令破解 拒绝服务（DoS）攻击 缓冲区溢出攻击 格式化字符串攻击 特洛伊木马 网络监听等等 主要入侵攻击方法 主机渗透攻击方法 口令破解 漏洞攻击 特洛伊木马攻击 网络攻击方法 拒绝服务攻击 IP地址欺骗 网络监听 其他攻击方法 病毒攻击 随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、木马和黑客攻击程序的结合，病毒攻击成为了互联网发展以来遇到的巨大挑战。 社会工程攻击 社会工程学其实就是一个陷阱，黑客通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密， 漏洞扫描 扫描器：扫描器是一种通过收集系统的信息来自动监测远程或本地主机安全性弱点的程序，通过使用扫描器，可以发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。这就能让黑客或管理员间接或直接的了解到远程主机存在的安全问题。 扫描器有三项功能：1、发现一个主机或网络；2、一旦发现一台主机，可以发现有什么服务程序正运行在这台主机上；3、通过测试这些服务，发现漏洞。 TCP Connect扫描 TCP SYN扫描 这种扫描方法没有建立完整的TCP连接，有时也被称为“半打开扫描（half-open scanning）”。其步骤是先往端口发送一个SYN分组。如果收到一个来自目标端口的SYN/ACK分组，那么可以推断该端口处于监听状态。如果收到一个RST/ACK分组，那么它通常说明该端口不在监听。执行端口的系统随后发送一个RST/ACK分组，这样并未建立一个完整的连接。这种技巧的优势比完整的TCP连接隐蔽，目标系统的日志中一般不记录未完成的TCP连接。 TCP FIN扫描 这种扫描方法是直接往目标主机的端口上发送FIN分组。按照RFC793，当一个FIN分组到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST分组。否则，当一个FIN分组到达一个打开的端口，分组只是简单地被丢掉（不返回RST分组）。 TCP Xmas扫描 无论TCP全连接扫描还是TCP SYN扫描，由于涉及TCP三次握手很容易被远程主机记录下来。Xmas扫描由于不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多。这种扫描向目标端口发送一个FIN、URG和PUSH分组。按照RFC793，目标系统应该给所有关闭着的端口发回一个RST分组。 。 TCP 空扫描 这种扫描发送一个关闭掉所有标志位的分组，按照RFC 793，目标系统应该给所有关闭着的端口返回一个RST分组。 TCP ACK扫描 这种扫描一般用来侦测防火墙，他可以确定防火墙是否只是支持简单的分组过滤技术，还是支持高级的基于状态检测的包过滤技术。 UDP扫描 这种扫描往目标主机的端口发送UDP数据分组，如果目标端口是关闭状态，则返回一个“ICMP端口不可达（ICMP port unreachable）”消息。否则，如果没有收到上述返回信息，可以判断该端口是开启的。 OS Fingerprint技术 许多漏洞是系统相关的，而且往往与相应的版本对应，同时从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统,因此操作系统指纹探测成为了黑客攻击中必要的环节。 如何辨识一个操作系统是OS Fingerprint技术的关键，常见的方法有： l 一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息； l? TCP/IP栈指纹； l? DNS泄漏出OS系统等等。 口令破解 帐户是一种参考上下文，操作系统在这个上下文描述符运行它的大部分代码。换一种说法，所有的用户模式代码在一个用户帐户的上下文中运行。即使是那些在任何人都没有登录之前就运行的代码（例如服务）也是运行在一个帐户（特殊的本地系统账户SYSTEM）的上下文中的。如果用户使用帐户凭据（用户名和口令）成功通过了登录认证，之后他执行的所有命令都具有该用户的权限。 口令破解是获得系统最高权限帐户的最有效的途径之一。 Windows口令文件的格式及安全机制 Windows NT及Windows2000中对用户帐户的安全管理使用了安全帐号管理器（SAM, Security Account Manager）的机制，SAM是组成注册表的5个配置单元之一，口令在SAM中通过单向函数（One-way Function, OWF）加密，SAM文件存放在“%systemroot%\system32\ config\sam”（在域服务器中，S