计算机侦查技术3.pptVIP

linying@ynu.edu.cn 网络犯罪侦察技术 林英.信息安全 第三章 常用的网络攻击关键技术原理剖析 3.1 口令破解技术原理剖析 3.2 网络嗅探技术原理剖析 3.3 网络端口扫描技术原理剖析 3.4 缓冲区溢出攻击技术原理剖析 3.5 拒绝服务攻击技术原理剖析 3.1 口令破解技术原理剖析 3.1.2 口令攻击的条件与技术方法 攻击者要进行口令攻击通常需要具备如下条件： 高性能计算机； 大容量的在线字典或其他字符列表； 已知的加密算法； 可读的口令文件； 口令以较高的概率包含于攻击字典之中。 一般说来，口令攻击包含以下两个步骤： 第一步：获取口令文件； 第二步：用各种不同的加密算法对字典或其他字符表中的文字加密，并将结果与口令文件进行对比。 常用的口令攻击技术有： 暴力破解； 猜测攻击。 3.1.3 Unix系统口令攻击 passwd和shadow是Unix系统的两个重要的口令文件。一般存放在/etc目录下。Shadow文件只对root用户可读。 passwd文件中每一行代表一个用户条目，格式为： LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL shadow的格式为： root:xyDfccTrt180x:0:0:admin:/:/bin/sh Unix系统的口令加密算法曾经历过几次修正，现在普遍采用多重DES加密系统。DES加密过程是单向的，这种加密算法基于56位变量，将64位的二进制转换为一个独一无二的64位值。 它将用户输入的口令作为密钥，加密一个64位的0/1串，加密的结果再用用户的口令进行加密；重复该过程，一共进行25次，最后输出为一个11字节的字符串，存放在passwd的password域。 当用户登录时，系统并不是去解密已加密的口令，而是将输入的口令明文字符串传给加密函数crypt()，将加密函数的输出与passwd文件中该用户条目的passwd域进行比较，若匹配成功，则允许用户登录。 一个口令破解工具Crack的主要工作流程： 第一步，下载或自己生成一个字典文件。现在有许多专门生成字典的程序，如dictmake,txt2dict等； 第二步，取出字典文件中的每一个条目，对每一个单词运用一系列规则。规则可以多种多样，典型的规则包括： 使用几个单词和数字的组合 大小写交替使用 把单词正向、反向拼写后，接在一起 在每个单词的开头或结尾加上一些数字 第三步，调用系统的crypt()函数对使用规则生成的字符串进行加密变换； 第四步，再用一组子程序打开口令文件，取出密文口令，与crypt()函数的输出进行比较。 循环重复第二至第三步，直至口令破解成功。 3.1.4 网络服务口令攻击 网络服务口令攻击常用于远程在线攻击，它的主要工作流程如下： 第一步：建立与目标网络服务的网络连接； 第二步：选取一个用户列表文件及字典文件； 第三步：在用户列表文件及字典文件中，选取一组用户和口令，按网络服务协议规定，将用户名及口令发送给目标网络服务端口； 第四步：检测远程服务返回信息，确定口令尝试是否成功； 第五步：再取另一组用户和口令，重复循环试验，之至口令用户列表及字典文件选取完毕。 口令长度、口令有效期、口令加密算法、口令系统安全机制等都是口令攻击是否成功的关键因素。增强口令安全性有以下几种方法： 除口令验证程序外，使口令完全不可读； 在用户选择密码时就对密码进行过滤； 对字典或字符列表进行扫描，剔除用户选择的弱口令； 通过口令与智能卡相结合的方式登录系统； 采用某种机制动态地生成一次性口令。 3.2网络嗅探技术原理剖析 数据包嗅探器（Sniffer）是系统管理员用来监视和验证网络流量情况的软件程序，它们通常被用来在网路上截获并阅读位于TCP/IP中各个协议层次上的数据包。 ISS为Sniffer这样定义：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 预备知识 HUB工作原理： 以太网等很多网络（常见共享HUB连接的内部网）是基于总线方式 ，在共享HUB下面同一网段的所有机器的网卡都能接收到数据。（同一时间只能一个机器发数据并且所有机器都可以接收 ） 交换式HUB的内部单片程序能记住每个口的MAC地址，交换HUB下只有该接收数据的机器的网卡能接收到数据。（同一时间可以有多对机器进行数据传输并且数据是私有的 ） 预备知识 网卡工作原理 ： 网卡收到传输来的数据，网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收。 局域网如