1网络攻击原理与技术.pptVIP

端口 判断 判断 系统 选择 最简 方式 入侵 分析 可能 有漏 洞的 服务 获取 系统 一定 权限 提 升 为 最 高 权 限 安装 多个 系统 后门 清除 入侵 脚印 攻击其 他系统 获取敏 感信息 作为其 他用途 较高明的入侵步骤 * 2001年中美黑客大战 事件背景和经过 4.1撞机事件为导火线 4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改 4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了 “五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，5月中旬结束大战 * PoizonB0x、pr0phet更改的网页 中经网数据有限公司 中国科学院心理研究所 国内某政府网站 国内某大型商业网站 * 国内黑客组织更改的网站页面 美国劳工部网站 美国某节点网站 美国某大型商业网站 美国某政府网站 * 这次事件中采用的常用攻击手法 红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下： “我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统， 这个行动在技术上是没有任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击 * 这次事件中被利用的典型漏洞 用户名泄漏，缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出，Lion蠕虫 SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping ) * 这次事件中被利用的典型漏洞 用户名泄漏，缺省安装的系统用户名和密码 入侵者 利用黑客工具 扫描系统用户 获得用户名 和简单密码 * 这次事件中被利用的典型漏洞 Windows 2000登录验证机制可被绕过 * 1.4 网络攻击模型 * 【 信息搜集 】 找到初始信息 开放来源信息 （open source information） Whois和Nslookup 找到网络的地址范围 America Registry for Internet Numbers(ARIN)whois Traceroute 找到活动的机器 Ping、Pingwar和Nmap 找到开放端口和入口点 Port Scanners TCP conntect扫描、TCP SYN扫描 FIN扫描、ACK扫描 War Dialing * * 【 信息搜集 】 弄清操作系统 Queso和Nmap 弄清每个端口运行的是哪种服务 default port and OS Telnet Vulnerability Scanners 画出网络图 Traceroute Visual Ping Cheops * 【 保留访问权限】 后门（Back Door） 简单地说，后门（backdoor）就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。最简单的方法就是打开一个被监听代理所监听的端口。 特洛伊木马 特洛伊木马程序包括两个部分：一个外壳程序和一个内核程序。外壳程序就是每个人都可以看得到的部分。这部分必须是非常有趣或者是让人激动的，以至于当人们看到它的时候都会不加考虑的运行。内核部分就是能够对系统造成危害的部分 ROOTKIT 文件级别 系统级别（内核级） * 【 隐藏踪迹】 日志文件 日志文件详细记录了在系统中任何人所做的任何事情，攻击后需要进行处理 删除文件还是删除内容？ 文件信息 为了获得系统的存取权限和在系统中建立后门，攻击者通常必须对某些系统文件进行修改。当他们这样做后，文件的一些信息，比如说修改时间和文件长度就会发生变化，需要恢复原样 附加文件 攻击者需要隐藏上传的系统附加文件 隐藏网络上的踪迹 网络入侵检测系统和防火墙的广泛使用使得黑客要把攻击数据包假扮成网络上的合法的通信信息，使它们看起来不那么引人注目，才有可能逃脱被追捕的命运 * * 微软的Danger子公司发生重大断线事件，造成许多T-Mobile Sidekick使用者无法访问他们的日历、通讯录和其他重要资料。那是因为Sidekick几乎将所有资料存在云端，而非设备本身。 * Conficker病毒，又名 Downup、Downandup、Downadup和 Kido (刻毒虫)，是一种出现于2008年10月的计算机蠕虫病毒，针对微软的Windo