第3章 攻击与络取证手段.pptVIP

交换矩阵简图 Server 基于交换机连接网络的数据流向 Switchboard Server 基于交换机连接网络实现端口镜像后 Client Snifer 镜像端口 被镜像端口 Switchboard Server 基于交换机无端口镜像功能实现取证的方法 Client Snifer HUB Switchboard Windows　NetXRay　/hacking/netxray.zipDECUnix/Linux　Tcpdump　　/hacking/management.zipSolaris　Nfswatch　　　/hacking/nfswatch.zipSunOS　Etherfind　/hacking/etherfind012.zip 著名监听程序网址 网络监听的作用 网络监听是为了系统管理员管理网络，监视网络状态和数据流动情况而设计的。 由于它有着截获网络数据的功能，所以也是黑客所惯用的伎俩之一。 案件追记---典型案例 2005年1月6日,湖南省公安厅网监处接到省国税局网络部的报案，称其正在运行的电子报税系统“ABC3000”遭到不明网络攻击。 攻击者采用不停发送电子数据包的方式，对省国税局新投入运行的电子报税系统进行网络干扰，严重影响了该运行系统的功能，致使湖南省几千个一般纳税户的申报税工作不能正常完成，对湖南省的税收申报工作和政府形象造成了极其严重的影响。 当运行监听程序的主机在监听的过程中只是被动的接收在网络中传输的信息时，它是不会跟其它主机交换信息的，也不能修改在网络中传输的信息包。 这就给网络监听的检测带来了麻烦。 案件技术侦察 网络监听状态分析 在网络监听时,常常要保存大量的信息，并将对收集的信息进行整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间（资源）,如果在这个时候详细的分析包中的内容，会有许多包因来不及接收而被漏走。 所以监听程序常常会将监听得到的数据包存放在文件中等待以后分析。 技侦方式方法 在Unix中可以通过ps–aun或ps–augx命令产生一个包括所有进程的清单：记录着进程的属主和这些进程占用的处理器时间及内存等。 这些都以标准表的形式输出在STDOUT上。如果某一个进程正在运行，那么它将会列在这张清单之中，从而发现可疑进程。 技侦难点及技术对策 难点: 犯罪嫌疑人(黑客) 在运行监听程序的时候将ps或其它运行中的程序修改成TrojanHorse程序。 对策: 在Unix上获得当前进程的清单上作比对 。 侦察中的技术对策 现象: 犯罪嫌疑人(黑客)所用的监听程序大都是免费在网上得到的非专业软件 。 对策: 用Unix搜索监听程序加以检测识别，侦听可疑线程的网络连接。 技侦综合结论 1.软件定性 犯罪嫌疑人编制了一个针对湖南省国家税务局电子税务申报系统进行每秒一次自动非法访问的攻击程序，该程序一经启动，会自动地每秒用非法随机帐号和密码对该系统进行登录访问，致使报税系统阻塞，无法正常使用。 技侦综合结论 2.罪证鉴定依据 经过网络侦听截获: 2005年1月6日至1月10日之间，犯罪分子多次启动自编的非法软件对省国税局电子报税系统进行网络非法攻击，共计27回29852次，后果十分严重，构成犯罪。 技侦对策应用的思考 现代网络中，SSH作为一种在应用环境中提供保密通信的协议一直都被沿用，SSH所使用的端口是22，它排除了在不安全信道上通信的信息被监听的可能性，使用到了RAS算法，在授权过程结束后，所有的传输都用IDEA技术加密。 但SSH并不就是完全安全的。 网络监听功能为我们网络警察提供哪些有利方面和不利的方面？ 思 考 题 njzms@126.com EICE 南京森林公安高等专科学校信息技术系 计算机犯罪现场勘查 第三章 攻击与网络取证手段 第一节 攻击手段 第三章 攻击与网络取证手段 一、攻击的步骤 收集目标系统信息； 探测分析目标系统弱点； 实施入侵活动； 二、常见的几种攻击手段 端口扫描； 电子欺骗； 分布式拒绝服务攻击； 电子邮件攻击； 网络监听； 木马攻击； 口令攻击； 后门攻击； 电磁泄露； WEB欺骗； 内存空间窥探； 香肠术； 逻辑炸弹； 三、分布式拒绝服务攻击(