電子課件任務5.1網(wǎng)絡及主機滲透攻擊測試

1、國家高等職業(yè)教育網(wǎng)絡技術(shù)專業(yè)教學資源庫計算機網(wǎng)絡安全技術(shù)與實施教學課件學習情境5：任務5.1網(wǎng)絡及主機滲透攻擊測試網(wǎng)絡及主機滲透攻擊測試5.1.2 引導文本1、網(wǎng)絡安全的含義網(wǎng)絡安全就是指通過采取各種技術(shù)手段和管理措施，使網(wǎng)絡系統(tǒng)的硬件，軟件以及系統(tǒng)中的數(shù)據(jù)受到保護，不會由于偶然或惡意的原因而遭到破壞、更改、泄露，保證網(wǎng)絡系統(tǒng)能連續(xù)、可靠、正常的運行，實現(xiàn)網(wǎng)絡服務不中斷的過程。2、網(wǎng)絡安全威脅網(wǎng)絡安全所面臨的威脅主要可分為兩大類：一是對網(wǎng)絡中信息的威脅；二是對網(wǎng)絡中設(shè)備的威脅。5.1.2 引導文本2、網(wǎng)絡安全威脅信息源信息目的正常數(shù)據(jù)流中 斷截 取修 改捏 造5.1.2 引導文本2、網(wǎng)絡安全威

2、脅根據(jù)網(wǎng)絡安全威脅產(chǎn)生的特點，可分為無意威脅和故意威脅兩類。故意威脅又可以分為被動攻擊和主動攻擊兩類。 (1) 被動攻擊(Passive Attacks)：在被動攻擊中，攻擊者簡單地監(jiān)聽所有信息流以獲得某些秘密。這種攻擊可以是基于網(wǎng)絡(跟蹤通信鏈路)或基于系統(tǒng)(用秘密抓取數(shù)據(jù)的特洛伊木馬)的，被動攻擊是最難被檢測到的。(2) 主動攻擊(Active Attacks)：攻擊者試圖突破讀者的安全防線。這種攻擊涉及到數(shù)據(jù)流的修改或創(chuàng)建錯誤流，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務等。例如，系統(tǒng)訪問嘗試是指，攻擊者利用系統(tǒng)的安全漏洞獲得用戶或服務器系統(tǒng)的訪問權(quán)。5.1.2 引導文本3、網(wǎng)絡

3、攻擊的動機想要在別人面前炫耀自己的技術(shù)，如進入別人的電腦去修改一個文件或目錄名。惡作劇、練功，這是許多人或?qū)W生入侵或破壞的最主要原因，除了有練功的效果外還有些許網(wǎng)絡探險的感覺。竊取數(shù)據(jù)，可能是偷取硬盤中的文件或各種上網(wǎng)密碼，然后從事各種商業(yè)應用。想復仇的事后報復者，如對老板或公司制度不滿，事先把報復程序或病毒程序?qū)懭胨幊绦颍⒁?guī)定在將來某時，或某條件下激活發(fā)作，摧毀原公司網(wǎng)絡系統(tǒng)?？棺h或宣示，如2001年5月1日中美黑客大戰(zhàn)，中美兩國的黑客相互攻擊對方網(wǎng)站，雙方均有數(shù)以千計的網(wǎng)站遭到攻擊，輕者被篡改主頁面，嚴重的則整個系統(tǒng)遭受毀滅性打擊。5.1.2 引導文本4、網(wǎng)絡攻擊的一般過程 端口判斷判

4、斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途5.1.2 引導文本5、黑客入侵行為模型圖 5.1.2 引導文本6、社會工程學“社會工程學（Social Engineering）”是一種通過對受害者的心理弱點、本能反應、好奇心、信任和貪婪等心理陷阱，來騙取用戶的信任以獲取機密信息和系統(tǒng)設(shè)置等不公開資料，為黑客攻擊和病毒感染創(chuàng)造了有利條件。“社會工程學”陷阱通常是以交談、欺騙、假冒或口語等方式，從合法用戶那里套取用戶系統(tǒng)的秘密。 利用“社會工程學”進行攻擊，主要分為3個步驟：信息刺探、心理學的應用、反查技術(shù)。

5、5.1.2 引導文本7、木馬“特洛伊木馬”簡稱木馬，其英文叫做“Trojan house”，其名稱取自希臘神話的“特洛伊木馬記”，它是一種基于遠程控制的黑客工具。木馬通常寄生于用戶的計算機系統(tǒng)中，盜竊用戶信息，并通過網(wǎng)絡發(fā)送給黑客。在黑客進行的各種攻擊行為中，木馬都起到了開路先鋒的作用。木馬是一種惡意代碼，它通常并不像病毒程序那樣感染文件。木馬一般是以尋找后門、竊取密碼和重要文件為主，還能對計算機進行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強的隱蔽性、突發(fā)性和攻擊性。 5.1.2 引導文本7、木馬使用木馬程序的第一步是將木馬的“服務器程序”放到遠程被監(jiān)控主機上，這個過程成為木馬的植入過程。

6、常見的植入過程有如下幾種方法。 郵件收發(fā)：將木馬的“服務器程序”放入電子郵件中植入到遠程主機。 網(wǎng)頁瀏覽：將木馬的“服務器程序”放入網(wǎng)頁中植入到遠程主機。 文件下載：將木馬的“服務器程序”和被下載的文件捆綁到一起植入到遠程主機。服務端用戶運行木馬或捆綁木馬的程序后，木馬就會自動進行安裝。5.1.2 引導文本8、遠程控制遠程控制是在網(wǎng)絡上由一臺電腦（主控端 Remote/客戶端）遠距離去控制另一臺電腦（被控端 Host/服務器端）的技術(shù)，主要通過遠程控制軟件實現(xiàn)。遠程控制軟件工作原理：遠程控制軟件一般分客戶端程序(Client)和服務器端程序(Server)兩部分，通常將客戶端程序安裝到主控端的

7、電腦上，將服務器端程序安裝到被控端的電腦上。使用時客戶端程序向被控端電腦中的服務器端程序發(fā)出信號，建立一個特殊的遠程服務，然后通過這個遠程服務，使用各種遠程控制功能發(fā)送遠程控制命令，控制被控端電腦中的各種應用程序運行。5.1.2 引導文本9、主機發(fā)現(xiàn)任何網(wǎng)絡探測任務的最初幾個步驟之一就是把一組IP范圍(有時該范圍是巨大的)縮小為一列活動的或者你所感興趣的主機，這個過程稱之為“主機發(fā)現(xiàn)”。網(wǎng)絡管理員也許只對運行特定服務的主機感興趣，而從事安全的人士則可能對每一個細節(jié)都感興趣。一個系統(tǒng)管理員也許僅僅使用Ping來定位內(nèi)網(wǎng)上的主機，而一個外部入侵測試人員則可能絞盡腦汁用各種方法試圖突破防火墻的封鎖。

8、主機發(fā)現(xiàn)有時候也叫做ping掃描，但它遠遠超越用世人皆知的ping工具發(fā)送簡單的ICMP回顯請求報文，也可以使用ARP掃描、TCP SYN/ACK、UDP等多種掃描與連接探測。這些探測的目的是獲得響應以顯示某個IP地址是否是活動的(正在被某主機或者網(wǎng)絡設(shè)備使用)。 5.1.2 引導文本10、端口掃描一個端口就是一個潛在的通信通道，也就是一個入侵通道。端口掃描是入侵者收集信息的常用手法之一，也正是這一過程最容易使入侵者暴露自己的身份和意圖。對于非法入侵者而言，端口掃描是一種獲得主機信息的好方法。在UNIX操作系統(tǒng)中，使用端口掃描程序不需要超級用戶權(quán)限，任何用戶都可以使用，而且簡單的端口掃描程序非

9、常易于編寫。掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過掃描TCP端口，并記錄反饋信息，不留痕跡地發(fā)現(xiàn)遠程服務器中各種TCP端口的分配、提供的服務和它們的軟件版本。這就能直觀地或間接地了解到遠程主機存在的安全問題。5.1.2 引導文本11、漏洞掃描漏洞掃描是一種網(wǎng)絡安全掃描技術(shù)，它基于局域網(wǎng)或Internet遠程檢測目標網(wǎng)絡或主機安全性。通過漏洞掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的Web服務器的各種TCP/IP端口的分配、開放的服務、Web服務軟件版本和這些服務及軟件呈現(xiàn)在Internet上的安全漏洞。漏洞掃描技術(shù)采用積極的、非破壞性的辦法來檢驗系統(tǒng)是否含有安全漏洞。網(wǎng)絡安全掃描技術(shù)與

10、防火墻、安全監(jiān)控系統(tǒng)互相配合使用，能夠為網(wǎng)絡提供很高的安全性。X-Scan采用多線程方式對指定IP地址段(或單機)進行安全漏洞掃描，支持插件功能，提供了圖形界面和命令行兩種操作方式。掃描內(nèi)容包括：遠程操作系統(tǒng)類型及版本、CGI漏洞、RPC漏洞、SQL-SERVER默認帳戶、FTP弱口令，NT主機共享信息、用戶信息、組信息等。 5.1.2 引導文本12、弱口令利用密碼設(shè)置和管理漏洞進行攻擊是多數(shù)黑客常用的方法。攻擊者首先是尋找系統(tǒng)是否存在沒有密碼的賬戶；其次是試探系統(tǒng)是否有容易猜出的密碼，嘗試登錄；三是使用密碼破譯一類的工具破解。而存放密碼的文件往往是攻擊者首先尋找的目標。用純數(shù)字、姓名拼音、昵

11、稱、生日日期、車牌號碼、電話號碼、常用證件號碼、公司名或部門名，或其它很容易想到的相關(guān)信息（如常用詞、簡單英文單詞或組合、軟件名、計算機名和地名等）做密碼都是很不安全的，應加以避免。5.1.2 引導文本13、緩沖區(qū)溢出緩沖區(qū)溢出是指通過向程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，以達到攻擊的目的。緩沖區(qū)溢出攻擊是一種常見且危害很大的系統(tǒng)攻擊手段，這種攻擊可以使得一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權(quán)。 緩沖區(qū)溢出攻擊的工作原理：向一個有限空間的緩沖區(qū)中拷貝過長的字符串，這將帶來兩種后果：一是過長的字符串覆蓋了

12、相鄰的存儲單元而造成程序癱瘓，甚至造成宕機、系統(tǒng)或進程重啟等；二是可讓攻擊者運行惡意代碼，執(zhí)行任意指令，甚至獲得超級權(quán)限等。 5.1.2 引導文本14、NET命令新建用戶：net user 新添加的用戶加入管理組：net localgroup 添加共享：net share建立連接：net use上傳文件：copy查看文件：dir 5.1.2 引導文本15、SQL注入SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別，可能被入侵很長時間管理員都不會發(fā)覺。隨著B/S模式應用開發(fā)的發(fā)展，使用這種模式編寫應用程序的程序員也越來越多。但是由于這個行業(yè)的入門門檻不高，程序員

13、的水平及經(jīng)驗也參差不齊，相當一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些用戶想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。 黑客通過利用系統(tǒng)連接到網(wǎng)絡的不安全的代碼執(zhí)行未經(jīng)授權(quán)的SQL指令發(fā)動攻擊。SQL注入攻擊之所以成為最常見的針對以數(shù)據(jù)庫為基礎(chǔ)的網(wǎng)站的攻擊方式，是因為黑客并不需要知道多少關(guān)于某個目標網(wǎng)頁瀏覽器的后臺設(shè)置，也不需要太多有關(guān)SQL查詢的知識就能發(fā)起攻擊。黑客們可以隨機地選擇目標IP地址，能夠?qū)⒛繕随i定到任何類型的網(wǎng)站。 5.1.2 引導文本15、SQL注入SQL注入的原因在應用程序中使用字符串聯(lián)結(jié)方式組