【網(wǎng)絡(luò)通信安全管理員認(rèn)證－中級(jí)】第四章網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽(tīng)

1、網(wǎng)絡(luò)通信安全管理員認(rèn)證網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽(tīng) Copyright 2010 Mazhao漏洞漏洞v定義：任何會(huì)引起系統(tǒng)的安全性受到破壞的事物，是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷。v特點(diǎn)：1、長(zhǎng)久性2、多樣性3、隱蔽性安全級(jí)別越高，漏洞越少？（七個(gè)安全等級(jí)）漏洞的表現(xiàn)及產(chǎn)生的原因漏洞的表現(xiàn)及產(chǎn)生的原因網(wǎng)絡(luò)安全漏洞主要表現(xiàn)在以下幾個(gè)方面網(wǎng)絡(luò)安全漏洞主要表現(xiàn)在以下幾個(gè)方面 a. 系統(tǒng)存在安全方面的脆弱性：現(xiàn)在的操作系統(tǒng)都存在種種安全隱患，從Unix到Windows，五一例外。每一種操作系統(tǒng)都存在已被發(fā)現(xiàn)的和潛在的各種安全漏洞。b. 非法用戶得以獲得訪問(wèn)權(quán)。c. 合法用戶未經(jīng)授權(quán)提高

2、訪問(wèn)權(quán)限。d. 系統(tǒng)易受來(lái)自各方面的攻擊。產(chǎn)生的原因：1、Internet的設(shè)計(jì)缺陷2、網(wǎng)絡(luò)的開(kāi)放性及開(kāi)源性3、軟件的缺陷漏洞的分類漏洞的分類v常見(jiàn)的漏洞主要有以下幾類：a. 網(wǎng)絡(luò)協(xié)議的安全漏洞。b. 操作系統(tǒng)的安全漏洞。c. 應(yīng)用程序的安全漏洞。軟件或協(xié)議設(shè)計(jì)存在缺陷軟件或協(xié)議實(shí)現(xiàn)存在漏洞系統(tǒng)或網(wǎng)絡(luò)配置不當(dāng)漏洞的等級(jí)漏洞的等級(jí)v低級(jí)：拒絕服務(wù)，基于操作系統(tǒng)的，打補(bǔ)丁v中級(jí)：本地用戶非法或越權(quán)訪問(wèn)，應(yīng)用程序的缺陷引起v高級(jí)：遠(yuǎn)程用戶未經(jīng)授權(quán)訪問(wèn)，設(shè)置不當(dāng)引起。W Windowsindows常見(jiàn)系統(tǒng)漏洞及修復(fù)常見(jiàn)系統(tǒng)漏洞及修復(fù)v每個(gè)月第2個(gè)星期二：微軟vIIS漏洞、微軟數(shù)據(jù)訪問(wèn)部件MDAC漏洞、

3、NETBIOS網(wǎng)絡(luò)共享漏洞、匿名登錄漏洞、LAN Manager身份認(rèn)證漏洞、windows弱口令、IE瀏覽器漏洞、遠(yuǎn)程注冊(cè)表訪問(wèn)漏洞黑客攻擊黑客攻擊v網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊：所有試圖破壞網(wǎng)絡(luò)系統(tǒng)的安全所有試圖破壞網(wǎng)絡(luò)系統(tǒng)的安全性的非授權(quán)行為都叫做網(wǎng)絡(luò)攻擊。性的非授權(quán)行為都叫做網(wǎng)絡(luò)攻擊。v入侵：成功的攻擊。成功的攻擊。有哪些攻擊事件？有哪些攻擊事件？v破壞型攻擊：以破壞對(duì)方系統(tǒng)為主要目標(biāo)。v利用型攻擊：以控制對(duì)方系統(tǒng)為我所用為主要目標(biāo)。v信息收集型攻擊：以竊取對(duì)方信息為主要目標(biāo)。v網(wǎng)絡(luò)欺騙攻擊：以用假消息欺騙對(duì)方為主要目標(biāo)。v垃圾信息攻擊：以傳播大量預(yù)先設(shè)置的信息（可能是垃圾信息）為主要目標(biāo)。攻擊分

4、類在最高層次，攻擊可被分為兩類： v主動(dòng)攻擊主動(dòng)攻擊主動(dòng)攻擊包含攻擊者訪問(wèn)他所需信息的故意行為。比如遠(yuǎn)程登錄到指定機(jī)器的端口25找出公司運(yùn)行的郵件服務(wù)器的信息，攻擊者是在主動(dòng)地做一些不利于你或你的公司系統(tǒng)的事情。正因?yàn)槿绱?，如果要尋找他們是很容易發(fā)現(xiàn)的。主動(dòng)攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用、欺騙等攻擊方法。v被動(dòng)攻擊被動(dòng)攻擊被動(dòng)攻擊主要是收集信息而不是進(jìn)行訪問(wèn)，數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一點(diǎn)也不會(huì)覺(jué)察到。被動(dòng)攻擊包括嗅探、信息收集等攻擊方法。入侵者進(jìn)入系統(tǒng)的主要途徑有： l 物理侵入：指一個(gè)入侵者對(duì)主機(jī)有物理進(jìn)入權(quán)限，比如他們能使用鍵盤，有權(quán)移走硬盤等。 l 本地侵入: 這類侵入表現(xiàn)為入

5、侵者已經(jīng)擁有在系統(tǒng)用戶的較低權(quán)限。如果系統(tǒng)沒(méi)有打最新的漏洞補(bǔ)丁，就會(huì)給侵入者提供一個(gè)利用知名漏洞獲得系統(tǒng)管理員權(quán)限的機(jī)會(huì)。 l 遠(yuǎn)程侵入: 這類入侵指入侵者通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入系統(tǒng)。比如通過(guò)植入木馬實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的控制，從遠(yuǎn)程發(fā)起對(duì)目標(biāo)主機(jī)的攻擊等。攻擊的步驟攻擊的步驟確確定定攻攻擊擊目目的的收收集集目目標(biāo)標(biāo)信信息息隱 藏隱 藏自 己自 己位置位置利用各利用各種手段種手段登陸對(duì)登陸對(duì)方主方主 機(jī)機(jī)檢查漏檢查漏洞、后洞、后門，獲門，獲取控制取控制權(quán)，權(quán)，.消除痕消除痕跡，植跡，植入后門，入后門，退退 出出攻擊的準(zhǔn)備階攻擊的準(zhǔn)備階段段攻擊的實(shí)施階段攻擊的實(shí)施階段攻擊的善后攻擊的善后階段階段攻擊過(guò)程攻擊

6、過(guò)程準(zhǔn)準(zhǔn)備備供供給給工工具具黑客攻擊一般過(guò)程1 端口掃描端口掃描httpftptelnetsmtp黑客攻擊一般過(guò)程2 口令暴力攻擊口令暴力攻擊用戶名用戶名:john口令口令:john1234黑客攻擊一般過(guò)程3 用用john登錄登錄服務(wù)器服務(wù)器利用漏洞獲得利用漏洞獲得超級(jí)用戶權(quán)限超級(jí)用戶權(quán)限留后門留后門隱藏用戶隱藏用戶更改主頁(yè)信息更改主頁(yè)信息典型的網(wǎng)絡(luò)攻擊示意圖 選中選中攻擊攻擊目標(biāo)目標(biāo)獲取普通獲取普通用戶權(quán)限用戶權(quán)限擦除入擦除入侵痕跡侵痕跡安裝后安裝后門新建門新建帳號(hào)帳號(hào)獲取超級(jí)獲取超級(jí)用戶權(quán)限用戶權(quán)限攻擊其它攻擊其它主機(jī)主機(jī)獲取或獲取或修改信息修改信息從事其它從事其它非法活動(dòng)非法活動(dòng)掃描掃描

7、網(wǎng)絡(luò)網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過(guò)輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測(cè)已知用戶的口令，從而發(fā)現(xiàn)突破口?？偨Y(jié)一下：攻擊五部曲總結(jié)一下：攻擊五部曲v一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實(shí)際情況可以隨時(shí)調(diào)整。歸納起來(lái)就是“黑客攻擊五部曲” 1、隱藏IP或IP欺騙 2、踩點(diǎn)掃描 3、獲得系統(tǒng)或管理員權(quán)限 4、種植后門 5、在網(wǎng)絡(luò)中隱身1 1、隱藏、隱藏IPIPv這一步必須做，如果自己的入侵的痕跡被發(fā)現(xiàn)了，這一步必須做，如果自己的入侵的痕跡被發(fā)現(xiàn)了，一切都晚了。一切都晚了。v通常有兩種方法實(shí)現(xiàn)自己通常有兩種方法實(shí)現(xiàn)自己IP的隱藏：的隱藏： 第一種方法是首先入侵互

8、聯(lián)網(wǎng)上的一臺(tái)電腦（俗稱第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺(tái)電腦（俗稱“肉肉雞雞”），利用這臺(tái)電腦進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，），利用這臺(tái)電腦進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是也是“肉雞肉雞”的的IP地址。地址。 第二種方式是做多極跳板第二種方式是做多極跳板“Sock代理代理”，這樣在入侵的，這樣在入侵的電腦上留下的是代理計(jì)算機(jī)的電腦上留下的是代理計(jì)算機(jī)的IP地址。地址。v比如攻擊比如攻擊A國(guó)的站點(diǎn)，一般選擇離國(guó)的站點(diǎn)，一般選擇離A國(guó)很遠(yuǎn)的國(guó)很遠(yuǎn)的B國(guó)計(jì)國(guó)計(jì)算機(jī)作為算機(jī)作為“肉雞肉雞”或者或者“代理代理”，這樣跨國(guó)度的攻，這樣跨國(guó)度的攻擊，一般很難被偵破。擊，一般很難被偵破。2 2、踩點(diǎn)掃描、踩點(diǎn)掃

9、描v踩點(diǎn)就是通過(guò)各種途徑對(duì)所要攻擊的目標(biāo)踩點(diǎn)就是通過(guò)各種途徑對(duì)所要攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確），確定攻絲馬跡，但要確保信息的準(zhǔn)確），確定攻擊的時(shí)間和地點(diǎn)。擊的時(shí)間和地點(diǎn)。v掃描的目的是利用各種工具在攻擊目標(biāo)的掃描的目的是利用各種工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上尋找漏洞。掃描分地址或地址段的主機(jī)上尋找漏洞。掃描分成兩種策略：被動(dòng)式策略和主動(dòng)式策略。成兩種策略：被動(dòng)式策略和主動(dòng)式策略。3 3、獲得系統(tǒng)或管理員權(quán)限、獲得系統(tǒng)或管理員權(quán)限v得到管理員權(quán)限的目的是連接到遠(yuǎn)程計(jì)算機(jī)，對(duì)其進(jìn)行控制，達(dá)到自己攻擊目的。獲

10、得系統(tǒng)及管理員權(quán)限的方法有： 通過(guò)系統(tǒng)漏洞獲得系統(tǒng)權(quán)限 通過(guò)管理漏洞獲得管理員權(quán)限 通過(guò)軟件漏洞得到系統(tǒng)權(quán)限 通過(guò)監(jiān)聽(tīng)獲得敏感信息進(jìn)一步獲得相應(yīng)權(quán)限 通過(guò)弱口令獲得遠(yuǎn)程管理員的用戶密碼 通過(guò)窮舉法獲得遠(yuǎn)程管理員的用戶密碼 通過(guò)攻破與目標(biāo)機(jī)有信任關(guān)系另一臺(tái)機(jī)器進(jìn)而得到目標(biāo)機(jī)的控制權(quán) 通過(guò)欺騙獲得權(quán)限以及其他有效的方法。4 4、種植后門、種植后門 v為了保持長(zhǎng)期對(duì)自己勝利果實(shí)的訪問(wèn)權(quán),在已經(jīng)攻破的計(jì)算機(jī)上種植一些供自己訪問(wèn)的后門。5 5、在網(wǎng)絡(luò)中隱身、在網(wǎng)絡(luò)中隱身v一次成功入侵之后，一般在對(duì)方的計(jì)算機(jī)上已經(jīng)存儲(chǔ)了相關(guān)的登錄日志，這樣就容易被管理員發(fā)現(xiàn)。v在入侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日

11、志。網(wǎng)絡(luò)踩點(diǎn)網(wǎng)絡(luò)踩點(diǎn) v踩點(diǎn)就是通過(guò)各種途徑對(duì)所要攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確）。v常見(jiàn)的踩點(diǎn)方法包括： 在域名及其注冊(cè)機(jī)構(gòu)的查詢 公司性質(zhì)的了解 對(duì)主頁(yè)進(jìn)行分析 郵件地址的搜集 目標(biāo)IP地址范圍查詢。v踩點(diǎn)的目的就是探察對(duì)方的各方面情況，確定攻擊的時(shí)機(jī)。模清除對(duì)方最薄弱的環(huán)節(jié)和守衛(wèi)最松散的時(shí)刻，為下一步的入侵提供良好的策略。v更多的牽涉到社會(huì)工程學(xué)的內(nèi)容網(wǎng)絡(luò)掃描網(wǎng)絡(luò)掃描主動(dòng)防御技術(shù)主動(dòng)防御技術(shù)v分類： 安全掃描技術(shù)主要分為兩類：主機(jī)（被動(dòng)、系統(tǒng)）安全掃描技術(shù)和網(wǎng)絡(luò)（主動(dòng)）安全掃描技術(shù)。主機(jī)安全掃描技術(shù)主要針對(duì)系統(tǒng)中不合適的設(shè)置脆弱的口令，以及針對(duì)其它同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查等；而網(wǎng)絡(luò)安全掃描技術(shù)則是通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。 v技術(shù)：1、基于應(yīng)用的：被動(dòng)、應(yīng)用程序2、基于主機(jī)的：被動(dòng)、主機(jī)系統(tǒng)3、基于目