第八讲网络入侵与攻击分析.ppt

网络入侵与攻击 主讲：尚赵伟 认识黑客（Hacker) 黑客： 通常是试图闯入计算机并试图造成破坏的人。 黑客： 黑客不仅仅是在Internet上找麻烦的单独的个体，事实上，他们是网上一个活跃的团体。每个团体的成员有不同的命名。 黑客命名（1） 飞客“phreak” – 早期攻击电话网的青少年，研究各种盗打电话而不用付费的技术。 黑客“Hacker” – 一个给予喜欢发现和解决技术挑战、攻击计算机网络系统的精通计算机技能的人的称号，与闯入计算机网络系统目的在于破坏和偷窃信息的骇客不同。 骇客“Cracker” – 一个闯入计算机系统和网络试图破坏和偷窃个人信息的个体，与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。 黑客命名（2） 快客“Whacker” – 从事黑客活动但没有黑客技能的人，whacker是穿透系统的人中，在技术和能力上最不复杂的一类。 武士“Samurai” – 被他人雇佣的帮助他人提高网络安全的黑客，武士通常被公司付给薪金来攻击网络。 幼虫“Lara” – 一个崇拜真正黑客的初级黑客 黑客命名（3） 欲望蜜蜂“Wannabee” – 处于幼虫的初始阶段的黑客的称呼，他们急于掌握入侵技术，但由于他们没有经验，因此即使没有恶意也可能造成很大危险 黑边黑客（Dark-Side） – 是指由于种种原因放弃黑客的道德信念而恶意攻击的黑客 半仙“Demigod” – 一个具有多年经验在黑客团体具有世界级声誉的黑客。 黑客道德准则和行为特征 美国学者史蒂夫·利维在《黑客电脑史》中指出的“黑客道德准则” （1）通往电脑的路不止一条 （2）所有的信息都应当是免费和共享的 （3）一定要打破电脑集权 （4）在电脑上创造的是艺术和美 （5）计算机将使生活更加美好 行为特征： – 热衷挑战、崇尚自由、主张信息共享、反叛精神、破坏心理 网络入侵与攻击 网络入侵 – 以窃用网络资源为主要目的，更多的还含有黑客的虚荣心成分。 网络攻击 – 以干扰破坏网络服务为主要目的。 界限不明显，从技术上看网络入侵是网络攻击的一种。 网络攻击的步骤 ① 信息收集，获取目标系统的信息，操作系统的类型和版本，主要提供的服务和服务进程的类型和版本，网络拓扑结构 ② 获得对系统的访问权力 ③ 获得系统超级用户的权力。利用（2）的权力和系统的漏洞，可以修改文件，运行任何程序，留下下次入侵的缺口，或破坏整个系统 ④ 消除入侵痕迹 入侵者可利用的弱点 ① 网络传输和协议的漏洞 攻击者利用网络传输时对协议的信任以及网络传输的漏洞进入系统。 ② 系统的漏洞 攻击者可以利用系统内部或服务进程的BUG和配置错误进行攻击。 ③ 管理的漏洞 攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入的系统信息，包括口令、用户名等。 攻击者需要的信息 域名 经过网络可以到达的IP地址 每个主机上运行的TCP和UDP服务 系统体系结构 访问控制机制 系统信息（用户名和用户组名、系统标识、路由表、SNMP信息等） 其他信息，如模拟/数字电话号码、鉴别机制等 …… 信息收集步骤 ① 找到初始信息 ② 找到网络的地址范围 ③ 找到活动的机器 ④ 找到开放端口和入口点 ⑤ 弄清操作系统 ⑥ 针对特定应用和服务的漏洞扫描 找到初始信息 Open source Whois 一些查询工具 DNS域名系统 DNS域名系统(Domain Name Sever)，是一个全球分布式数据库系统，在基于TCP/IP的网络中，用于主机名和IP地址间的相互转换。对于每一个DNS节点，包含有该节点所在的机器的信息、邮件服务器的信息、主机CPU和操作系统等信息. 采用客户/服务器模式，BIND（Berkeley Internet Name Domain) 9.2 在Windows操作系统中，除了DNS，微软公司还沿用另一套名字系统：NetBIOS名字系统。NetBIOS是介于会话层与表示层之间的一个协议。NetBIOS名是一种非层次的名字空间，要求在整个网络中必须唯一。网络邻居、net命令使用这种命名空间。 域名解析过程 Windows中，名字解析过程大致如下： – （1）对于明显的非NetBIOS名（长度大于15个字符或名字中包含“.”号），使用域名解析方式：查询HOSTS文件，再查询DNS服务器 – （2）如果长度不大于15个字符或名字中不包含“.”号，系统假定其为NetBIOS名，使用NetBIOS方式处理 公开信息 从目标机构的网页入手 – 也许会泄露一些信息：机构的位置、联系人电话姓名和电子邮件地址、所用安全机制及策略、网络拓扑结构 新闻报道、出版发行物 – 例如：XX公司采用XX系统，… – XX公司发生安全事件（多次） 新