第四章基于系统的攻击与防御ppt.pptVIP

第四章 基于windows操作系统的攻击与防御 1.windows系统口令攻击 口令攻击主要采用以下几种方法： 猜测攻击 字典攻击 穷举攻击 混合攻击 直接破解系统口令文件 网络嗅探(sniffer) 键盘记录 中间人攻击 社会工程学 1.1 Windows操作系统的口令破解技术 1.输入法漏洞 windows2000 sp2之前的版本。 目前的Vista操作系统，极点五笔输入法，也存在此类问题。 2.暴力破解SAM文件，一般使用工具LC 3.删除SAM文件 1.2 设置系统策略保护口令 连接策略 问题： 默认情况下系统没有设置登录的失败次数限制，导致可以被无限制地尝试连接系统管理的共享资源。 解决方法： 设置用户的访问策略，定义用户登录失败达到一定次数时锁定帐号，并限制管理员远程访问。 如何实现？ 在 “管理工具”中，选择本地安全策略。 在本地安全策略中选择“帐户安全策略”，其中的“密码策略”可以对密码的长度、密码的存留时间等方面进行设置。比如：在“密码必须符合复杂性要求”的选项中，系统默认是停用该功能，但推荐用户在使用时将该功能开启。 点击“帐户锁定策略”，可以看到三个被选项，这里可以对帐户的时间和帐户无效访问的次数进行设置。此处，我们点击“用户锁定阈值”点右键，选择“安全性”，此处就可以对用户无效访问次数进行限制。 由于Administrator帐号的特殊性，Administrator帐号无法设置帐号锁定，即使登录失败的次数达到设置时，该帐号也不可能被锁住。因此除了系统默认创建的Administrator帐号，还应该创建至少一个具有管理员特权的帐号，并且，把默认帐号Administrator改成另外一个名字。 2.IPC$入侵 2.1 什么是IPC IPC是英文Internet Process Connection的缩写，即：命名管道，它是windows提供的一个通信基础，用来在两台计算机进程之间建立通信连接，而IPC后面的$是windows系统所使用的隐藏符号，因此IPC$表示IPC共享，但是是隐藏的共享。默认IPC是共享的。通过IPC连接，入侵者就能够实现远程控制目标主机。 基础知识 SMB:(Server Message Block) Windows 协议族，用于文件打印共享的服务； NBT:(NETBios Over TCP/IP) 使用 137 （ UDP ） 138 （ UDP ） 139 （ TCP ）端口实现基于 TCP/IP 协议的 NETBIOS 网络互联。 在 WindowsNT 中 SMB 基于 NBT 实现，即使用 139 （ TCP ）端口；而在 Windows2000 中， SMB 除了基于 NBT 实现，还可以直接通过 445 端口实现。 网络共享对于端口的选择 对于 win2000 客户端（发起端）来说： 1 如果在允许 NBT 的情况下连接服务器时，客户端会同时尝试访问 139 和 445 端口，如果 445 端口有响应，那么就发送 RST 包给 139 端口断开连接，用 455 端口进行会话，当 445 端口无响应时，才使用 139 端口，如果两个端口都没有响应，则会话失败； 2 如果在禁止 NBT 的情况下连接服务器时，那么客户端只会尝试访问 445 端口，如果 445 端口无响应，那么会话失败。 对于 win2000 服务器端来说： 1 如果允许 NBT, 那么 UDP 端口 137, 138, TCP 端口 139, 445 将开放（ LISTENING ）； 2 如果禁止 NBT ，那么只有 445 端口开放。 我们建立的 ipc$ 会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听 139 或 445 端口， ipc$ 会话是无法建立的。 2.2 空会话（Null Session）攻击 概念：Null会话是同服务器建立的无信任支持的会话。一个会话包含用户的认证信息，而Null会话是没有用户的认证信息，也就好比是一个匿名的一样。 作用：当在多域环境中，要在多域中建立信任关系，首先需要找到域中的pdc来通过安全通道的密码验证，使用空会话能够非常容易地找到pdc，还有就是关于一些系统服务的问题。而且Lmhosts的#include就需要空会话的支持。 攻击过程： 1). 用扫描软件搜寻存在弱口令的主机比如流光，SSS，X-scan等，然后锁定目标，如果扫到了管理员权限的口令，假设现在得到了administrator的密码为空 3). 查看远程主机开了什么共享 net view \\192.168.1.6 4).查看远程主机的时间 net time \\192.168.1.6  5). 得到远程主