第十章 攻击与应急响应.ppt

第十章 攻击与应急响应 10.1 攻击概述 系统的漏洞 漏洞与时间的关系 系统发布?漏洞暴露?发布补丁?新漏洞出现 安全漏洞与系统攻击的关系 漏洞暴露?可能的攻击?发布补丁 软件漏洞 缓冲区溢出 意料外的联合使用问题 不对输入内容进行预期检查 文件操作的顺序以及锁定等问题 系统配置 默认配置的不足 管理员的疏忽 临时端口 信任关系 远程攻击的步骤 黑客攻击流程图 Step1：寻找目标，收集信息 (1) 锁定目标 利用下列的公开协议或工具，收集你的相关信息。 SNMP协议：用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。?TraceRoute程序：能够用该程序获得到达目标主机所要经过的网络数和路由器数。?Ping实用程序：可以用来确定一个指定的主机的位置。? DNS服务器：该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名。? (2) 服务分析 使用Telnet、FTP等软件试探； 使用端口扫描工具软件，如x-scan,namp等。 (3) 系统分析 (4) 获取帐号信息 利用目标主机的Finger功能：用来获取一个指定主机上的所有用户的详细信息(如注册名、电话号码、最后注册时间以及他们有没有读邮件等等）。 利用电子邮件地址； 利用目录服务； 习惯性常用帐号； (5) 获得管理员信息 使用查询命令host：可获得保存在目标域服务器中的所有信息。 Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。ie:/whois/index.php 使用搜索引擎查询Usenet和Web。 Step2：安全漏洞的挖掘和分析 扫描寻找安全漏洞，可以用下列方式： 自编程序：利用产品或操作系统的补丁程序发现系统的漏洞，利用自编程序进入未打“补丁”的系统。 利用公开的工具：像Internet的电子安全扫描程序ISS （ Internet Security Scanner）、审计网络用的安全分析工具SATAN （ Security Analysis Tool for Auditing Network）等。黑客可以利用这些工具，收集目标系统的信息，获取攻击目标系统的非法访问权。 Step3：获得目标使用权限 用户的ID和口令是进入系统的第一道屏障，可以采用finger命令来探测目标主机是否连通，以及目标主机上用户的情况。然后可以采用专门的口令获取工具，得到用户的口令。 Step4：隐藏攻击活动 连接隐藏：修改环境变量、修改日志文件等； 进程隐藏：使用重定向技术减少给出的信息量，用特洛依木马代替程序等； 文件隐藏：用相似的字符串麻痹管理员，或隐藏文件。 Step5：实施攻击活动 建立另外的新的安全漏洞或后门，以便在先前的攻击点被发现之后，继续访问这个系统。? 安装探测软件，包括木马 可能会利用被攻击主机作为对整个网络展开攻击的大本营，成为一台“肉鸡”。 Step6：攻击痕迹清除 为了避免系统安全管理员追踪，攻击后会消除攻击痕迹，如：删除或替换系统的日志文件；干扰IDS正常运行和修改完整性检测标签。 10.2 缓冲区溢出攻击 原理 向一个有限空间的缓冲区中拷贝过长的字符串，它会带来两种后果： 过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可引起宕机、系统重新启动等后果； 利用这种漏洞可以执行任意指令，甚至可以取得系统特权。 利用缓冲区溢出进行的系统攻击(Windows) 参考Jason先生的《Windows NT Buffer Overflows From Start to Finish》. 调试、测试环境： Microsoft Visual C++ 6.0 Microsoft Windows 2000 Server 调试、测试过程 首先，写一个存在缓冲区溢出漏洞的应用程序。该程序可读取文件的内容，这样我们就能通过修改被读取文件的内容来使程序溢出。在Visual C++开发环境中创建一个新的控制台应用程序，选择”An Application that supports MFC”并单击”Finish”。向这个应用程序中添加一些必要的代码，如下： CWinApp theApp; using namespace std; void overflow(char* buff); void overflow(char* buff) {  CFile file;  CFileException er;  if(!file.Open(_T(overflow.txt),CFile::modeRead,er))  {  er.ReportError();  return;  } int x = file.Ge