第5章 系统攻击及入侵检测1.ppt

第 5 章 系统攻击及入侵检测 黑客步骤一 窥探设施 踩点 扫描 查点 要确认的信息 因特网环境中要确认的信息： 域名 网络块（IP地址范围） 经因特网可到达的IP地址 每个系统上运行的TCP/UDP服务 系统的体系结构（X86或SPARC） 访问控制机制和相关的访问控制列表 入侵检测系统IDS 系统查点（用户名，组名，系统旗标，路由表，SNMP信息） 要确认的信息 在内联网环境中要确认的信息 连网协议（IP，IPX，DECNet等） 内部域名 其他和因特网一样。 在外联网环境中要确认的信息 连接源地址和目标地址 连接类型 访问控制机制 要确认的信息 远程访问要确认的信息： 模拟/数字电话号码 远程系统类型 认证机制 VPN及相关协议（IPSec,PPTP) 黑客步骤二 攻击操作系统（ windows/ UNIX/NetWare) 踩点（选择目标） 查点（确定是哪种操作系统及尽量多的信息） 获取Administrator账号和密码（猜，偷，抢，骗） 巩固权力（安装后门或进一步获取整个网络的信息） 掩盖踪迹（禁用审计，清空事件日志，隐藏文件） 黑客步骤三 攻击网络 攻击拨号 攻击PBX 攻击 Voicemail 攻击VPN 攻击网络设施 防火墙攻击 拒绝服务攻击 黑客步骤四 攻击软件 攻击Web服务器 攻击电子邮件服务器 5.1.2系统攻击的三个阶段 （1）收集信息(位置、路由、系统结构、 技术细节）Ping Tracert Nslookup （2）探测系统安全弱点 （分析补丁接口、扫描器） （3）实施攻击 （掩盖行迹，预留后门，安装探测程序 ，取得特权、扩大攻击范围） 攻击NT/2000 踩点(选择目标) 查点(知道是否是NT/2000操作系统) 获取Administrator账号 巩固权力 掩盖踪迹 获取Administrator账号 手段 远程密码猜测 窃听网络密码交换 缓冲区溢出 DoS攻击 特权升级 （一 ） 远程密码猜测 猜测：就是提示输入用户名和密码时，人工的猜测密码。 对策： 禁用TCP/UDP的135-139号端口 账号策略（最小长度，失败登录次数限制，有效期等） 设置强装密码（大写，小写，数字非字母字符，7个符号） 审计与记录设置（注意529号，539号事件） 入侵检测：实时盗窃报警 （二） 窍听网络密码交换 手段：在用户登录服务器时把密码嗅控下来（一般在同一局域网中窍听） 工具：L0phtcrack 过程：对己捕获的NT密码数据库文件进行猜测，但这个文件不易获取，所以就转为捕获SMB会话分组。 危害：只要窍听的时间足够长（几天），任何人都可以获得管理员身份。 窍听的对策 改掉管理员和管理员组的名称和描述 禁止LanMan认证，防止域控制器接收LM认证请求，接收NTLMv2认证。（但此法将使Win9x用户不能登录域控制器） 启用SMB签名（加密SMB分组，但性能会下降）。 （三） 缓冲区溢出 原理：一些不健壮的应用程序没有对输入的长度是否合适作出检查，于是没有预料的输入内容就溢出到“cpu执行栈“中的另一部分来执行，这样一些精心设计的溢出程序就可以获得管理员权限。 常见溢出： Winhlp32：以system特权运行批文件。 NTRAS:有system特权的命令提示。 缓冲区溢出对策 程序员应具有良好的编程习惯。 一般用户及时打相关应用程序的补丁。 网络管理员应经常上一些安全网站获取最新漏洞信息，及时给系统打补丁，并告知一般用户。 用一些工具如：Bowall。 长远来看，编程模式或CPU体系结构的改进时才能根本解决此问题。 （四） DoS（拒绝服务） 当攻击者把一些代码潜在NT系统的启动文件中时，通过该攻击迫使目标系统重启，从而达到获取密码的效果。 对策： 打补丁 一些外围安全产品 （五） 特权升级 前期工作可获得一些用户名和密码，但这些获得的用户可能不是管理员用户，没什么权限。因此就需要把这些用户升级为管理员用户。若系统管理员犯了配置时的致命错误，就有可能给攻击者使用工具来升组特权。 特权升级手段 虹吸（hoovering) getAdmin工具 Sechole工具 欺骗用户（最好是管理员）去执行代码，将攻击者的账号提升为超级用户。 特洛伊（Trojan）木马 可执行注册表键 （1） 虹吸 获得用户账号后，再去查点以汲取更多的信息（如下）： 可写的Web服务器或FTP目录（Srvinfo工具） 从.bat或脚本文件中找出应用程序密码（Find工具） 探测对注册表部分内容的访问（Regdmp工具） （2） Getadmin工具 把一个用户加到管理员组 缺点：在本地系统上运行，而一般用户是无权本地登录到一台NT服务器的。