服务器渗透和攻击技术审计.ppt

34章节 服务器渗透和攻击技术审计  ● 知道那些对象容易遭受攻击 ● 讨论渗透策略和手法 ● 列举潜在的物理、操作系统和TCP／IP 堆栈攻击 ● 识别和分析暴力攻击、社会工程和拒绝 服务攻击 ● 实施反渗透和攻击的方法 常见攻击类型和特征 字典攻击：黑客和用一些自动执行的程序猜测用户命和密码，审计这类攻击通常需要做全面的日志记录和入侵监测系统(IDS)。 Man-in-thc-middle攻击：黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击 的有效方法是应用强壮的加密。 劫持攻击：在双方进行会话时被第三方(黑客)入侵，瘫痪其中一方，并冒充他继续与另一方进行会话。虽然不是个完全的解决方案，但强的验证方法将有助于防范这种 攻击。典型的就是tcp通信劫持 病毒攻击：病毒是能够自我复制和传播的小程序，消耗系统资源。在审计过程中，你应 当安装最新的反病毒程序，并对用户进行防病毒教育。 非法服务：非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接 下来的课程中学到这种攻击。 拒绝服务攻击：利用各种程序(包括病毒和包发生器)使系统崩溃或消耗带宽。 容易遭受攻击的目标 路由器，窃听配置通信（telnet，snmp).Dos 数据库 ,着重是在内网的保护 Web，Ftp:操作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破坏系统.旧有操作系统中以root权限初始运行的服务,一旦被黑客破坏，入侵者便可以在shell中运行任意的代码。注意runlevel。Cgi脚本 邮件服务：pop3口令明文传输，暴力破解，以及spam，系统本身漏洞。 Sunrpc，常见于NFS，sunrpc本身的漏洞 Dns 服务 Smaba ，Smb ，被暴力破解 /Article_Show.asp?ArticleID=4188 /index.php?act=magazinedo=viewmid=664 复习：关于端口扫描 有助于加强系统的安全性 常用技术 基本的TCP connect()扫描 TCP SYN扫描(半开连接扫描, half open) TCP Fin扫描(秘密扫描，stealth) TCP ftp proxy扫描(bounce attack) 用IP分片进行SYN/FIN扫描(躲开包过滤防火墙) UDP recvfrom扫描 UDP ICMP端口不可达扫描 Reverse-ident扫描 IP欺骗：双向欺骗 欺骗的过程 如何避免IP欺骗 主机保护，两种考虑 保护自己的机器不被用来实施IP欺骗 物理防护、登录口令 权限控制，不允许修改配置信息 保护自己的机器不被成为假冒的对象 无能为力 网络防护 路由器上设置欺骗过滤器 入口过滤，外来的包带有内部IP地址 出口过滤，内部的包带有外部IP地址 保护免受源路由攻击 路由器上禁止这样的数据包 电子邮件欺骗 电子邮件欺骗的动机 隐藏发信人的身份，匿名信 挑拨离间，唯恐世界不乱 骗取敏感信息 …… 欺骗的形式 使用类似的电子邮件地址 修改邮件客户软件的账号配置 直接连到smtp服务器上发信 电子邮件欺骗成功的要诀 与邮局的运作模式比较 基本的电子邮件协议不包括签名机制 发信可以要求认证 Web欺骗 Web是应用层上提供的服务，直接面向Internet用户，欺骗的根源在于 由于Internet的开放性，任何人都可以建立自己的Web站点 Web站点名字(DNS域名)可以自由注册，按先后顺序 并不是每个用户都清楚Web的运行规则 Web欺骗的动机 商业利益，商业竞争 政治目的 Web欺骗的形式 使用相似的域名 改写URL 劫持Web会话 使用类似的域名 注册一个与目标公司或组织相似的域名，然后建立一个欺骗网站，骗取该公司的用户的信任，以便得到这些用户的信息 例如，针对ABC公司，用来混淆 如果客户提供了敏感信息，那么这种欺骗可能会造成进一步的危害，例如： 用户在假冒的网站上订购了一些商品，然后出示支付信息，假冒的网站把这些信息记录下来(并分配一个cookie)，然后提示：现在网站出现故障，请重试一次。当用户重试的时候，假冒网站发现这个用户带有cookie，就把它的请求转到真正的网站上。用这种方法，假冒网站可以收集到用户的敏感信息。 对于从事商业活动的用户，应对这种欺骗提高警惕 改写URL 一个HTTP页面从Web服务器到浏览器的传输过程中，如果其中的内容被修改了的话，则欺骗就会发生，其中最重要的是URL改写 URL改写可以把用户带到不该去的地方，例如：a href=www.hackersite Welcom to Hollywood-Movie site./a 有一些更为隐蔽的做法 直接指向一些恶意的代码 把url定向放到script代码中，难以发现 改写页面