CISP-2-安全攻防課件

信息安全技術(shù)

安全攻防中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心（CNITSEC）CISP-2-安全攻防（培訓(xùn)樣稿）黑客歷史60年代麻省理工AI實(shí)驗(yàn)室第一次出現(xiàn)hacker這個(gè)詞KenThompson發(fā)明unix1969，ARPANET開始建立

70年代DennisRitchie發(fā)明C語(yǔ)言Phreaking:JohnDraper世界上第一個(gè)計(jì)算機(jī)病毒出現(xiàn)喬布斯(apple公司的創(chuàng)辦者)制造出了藍(lán)盒子黑客歷史

80年代早期

首次出現(xiàn)Cyberspace一詞

414s被捕

LegionofDoom和ChaosComputerClub成立

黑客雜志2600、phrack相續(xù)創(chuàng)刊

80年代晚期

25歲的KevinMutnik首次被捕

1988年，莫里斯蠕蟲事件，在幾小時(shí)內(nèi)感染了6000臺(tái)計(jì)算機(jī)系統(tǒng)美國(guó)國(guó)防部成立了計(jì)算機(jī)緊急應(yīng)急小組(CERT)黑客歷史

90年代早期

AT&T的長(zhǎng)途服務(wù)系統(tǒng)在馬丁路德金紀(jì)念日崩潰黑客成功侵入格里菲思空軍基地和美國(guó)航空航天管理局

KevinMitnick再次被抓獲，這一次是在紐約，他被圣迭哥超級(jí)計(jì)算中心的TsutomuShimomura追蹤并截獲

90年代晚期美國(guó)聯(lián)邦網(wǎng)站大量被黑，包括美國(guó)司法部，美國(guó)空軍，中央情報(bào)局和美國(guó)航空航天管理局等流行的電子搜索引擎Yahoo被黑客襲擊黑客語(yǔ)言1->iorl3->e4->a7->t9->g0->o$->s|->iorl|\|->n|\/|->ms->zz->sf->phph->fx->ckck->x黑客語(yǔ)言例如：3v3ry0n3kn0wzwh3ny0uh4ckaw3bp4g3y0uh4v3t0us3h4ck3rt4lkEveryoneknowswhenyouhackawebpageyouhaveTousehackertalk

Hack組織1、@stake(原L0pht)

代表作品：L0phtCrack2、cDc(CULTOFTHEDEADCOW)

代表作品：bo、bo2000、PeekabootyHack組織3、adm

4、security

5、antisecurity

Saveabugsavealife致力于維護(hù)軟件屆的生態(tài)平衡Hack組織6、LSD(LastStageOFDeLIRIUM)

7、teso

8、thc(TheHackersChoice)

著名黑客

1．AlephOneBugtraq郵件列表主持人

BugtraqFAQ：Bugtraq：代表作品：SmashingTheStackForFunAndProfit發(fā)表于1996年11月8日，第一篇公開發(fā)表的介紹緩沖區(qū)溢出的論文著名黑客2．SimpleNomad

NMRC核心成員，建立者。NMRC(NomadMobileResearchCentre)TheHackFAQ的作者Pandora（NetWare漏洞掃描器)的作者著名黑客4.Fyodor

Nmap的作者在phrack雜志51期發(fā)表了關(guān)于高級(jí)端口掃描的論文在phrack雜志54期發(fā)表了關(guān)于利用tcp/ip協(xié)議棧進(jìn)行遠(yuǎn)程操作系統(tǒng)識(shí)別的論文著名黑客5.dugsong

揭示了checkpointFW-1狀態(tài)包過(guò)濾的漏洞編寫了功能強(qiáng)大的黑客工具包dsniff包括dsniff、webspy、arpspoof、sshow等著名黑客6.SolarDesigner

主要作品JohntheRipper:最好的unix口令破解工具

openwall:Linux內(nèi)核安全補(bǔ)丁黑客攻擊的典型步驟獲取對(duì)方信息，掃描、社會(huì)工程學(xué)等。進(jìn)行攻擊，exploit。消除痕跡，刪除日志等。留后門。公眾域信息。Nmap,traceroute,firewalk,pingsweeps,etcNIC注冊(cè)紀(jì)錄DNS紀(jì)錄SNMP掃描OS識(shí)別BannergrabbingWardialers社交工程獲取信息Google的高級(jí)使用1.搜索整個(gè)字符串

a)"Indexof/password“ b)"Indexof/"password.txt2.site--搜索整個(gè)站點(diǎn)

site:火眼3.—搜索某種文件類型4.inurl分類搜索

inurl:firewallnetpower inurl:idsnetpower inurl:idsantiCrawlBabelweb:teleportspadewhois–DNS區(qū)域傳輸dig@axfr或host–l–v–tany列出所有dns注冊(cè)信息限制區(qū)域傳輸對(duì)于BIND8版的軟件，在配置文件named.conf中使用命令allow-transfer來(lái)限制允許區(qū)域傳輸?shù)闹鳈C(jī)，例如：

options

{

allow-transfer

{

;

/24;

};

};網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)IPTTL

12345Traceroute端口掃描1.慢掃描。工具：nmap。例如：nmap-TParanoid-sT。（間隔5分鐘掃描一個(gè)端口）。2.隨機(jī)掃描。Nmap默認(rèn)就是隨機(jī)掃描，指隨機(jī)掃描目標(biāo)端口。（有些nids是根據(jù)連續(xù)連接本地端口段來(lái)判斷端口掃描的）。3.碎片掃描。工具nmap。例如：nmap–f–sT。4.誘騙掃描。工具：nmap。例如：nmap-D,,,-sS8。（,,都是虛假的地址）。端口掃描5．tcp掃描。工具nmap。例如：nmap–sT。6.Udp掃描。工具nmap。例如：nmap–sU7.協(xié)議棧掃描。工具nmap.例如:nmap–sO8．Syn掃描。工具nmap。例如：nmap–sS。9．Null掃描。工具nmap。例如：nmap–sN。10．XmasTree掃描。工具nmap。例如：nmap–sX。11.FIN掃描。工具nmap。例如：nmap–sF。12.分布式掃描。工具dps、dscan。13.快掃描。工具nmap。例如：nmap–F

端口掃描14.Ack掃描，檢查是否是狀態(tài)FW。nmap–sA。15.Windows掃描，nmap–sW。16.RPC掃描，nmap–sR17.反向ident掃描，nmap–I。18.Idle掃描。nmap-P0-sI中間主機(jī)19.掃描。idlescanIdle掃描(端口開放)1目標(biāo)機(jī)攻擊者3Syn:80跳板主機(jī)ID=0Idle掃描(端口開放)2目標(biāo)機(jī)攻擊者3Syn/ack跳板主機(jī)ID=1Idle掃描(端口開放)3目標(biāo)機(jī)攻擊者跳板主機(jī)ID=1Synsrc=Dst=Idle掃描(端口開放)4目標(biāo)機(jī)攻擊者Syn/Acksrc=Dst=跳板主機(jī)ID=1Idle掃描(端口開放)5目標(biāo)機(jī)攻擊者Rstsrc==Dst=跳板主機(jī)ID=2Idle掃描(端口開放)6目標(biāo)機(jī)攻擊者Syn:80跳板主機(jī)ID=2Idle掃描(端口開放)7目標(biāo)機(jī)攻擊者Syn:80Syn/ack跳板主機(jī)ID=3Idle掃描(端口關(guān)閉)1目標(biāo)機(jī)攻擊者3Syn:80跳板主機(jī)ID=0Idle掃描(端口關(guān)閉)2目標(biāo)機(jī)攻擊者3Syn/ack跳板主機(jī)ID=1Idle掃描(端口關(guān)閉)3目標(biāo)機(jī)攻擊者跳板主機(jī)ID=1Synsrc=Dst=Idle掃描(端口關(guān)閉)4目標(biāo)機(jī)攻擊者Rstsrc=Dst=跳板主機(jī)ID=1Idle掃描(端口關(guān)閉)5目標(biāo)機(jī)攻擊者Syn:80跳板主機(jī)ID=1Idle掃描(端口關(guān)閉)6目標(biāo)機(jī)攻擊者Syn:80Syn/ack跳板主機(jī)ID=2掃描目標(biāo)機(jī)攻擊者nmap–P0–sT–b原理telnet21

useranonymous

pass

port192,168,0,173,23,23

200PORTcommandsuccessful.

nlst

425Can'tbuilddataconnection:Connectionrefused.

port192,168,0,173,12,234

200PORTcommandsuccessful.

nlst

150ASCIIdataconnectionfor/bin/ls(73,3306)(0bytes).

226ASCIITransfercomplete.

quit

遠(yuǎn)程操作系統(tǒng)識(shí)別技術(shù)1．DNS的hinfo紀(jì)錄2．Bannergrab3.二進(jìn)制文件法3．Snmpgetsysdescr4．Tcp堆棧指紋技術(shù)5．Icmp堆棧指紋技術(shù)DNS的hinfo紀(jì)錄HINFO“SparcUltra5”“Solaris2.6”獲取方法：dig@hinfo非常老的方法，現(xiàn)在一般沒(méi)有管理員在dns記錄里面添加hinfo紀(jì)錄。BannergrabRedhat:/etc/issue、/etc/bsd:/etc/motdSolaris:/etc/motd缺陷：不準(zhǔn)確，負(fù)責(zé)任的管理員一般都修改這個(gè)文件通過(guò)webserver得到操作系統(tǒng)類型lynx–head–dump二進(jìn)制文件分析法得到遠(yuǎn)程系統(tǒng)的一個(gè)二進(jìn)制文件例如1.webserver目錄下產(chǎn)生的core文件2.配置不當(dāng)?shù)南碌亩M(jìn)制文件……利用file、readelf等來(lái)鑒別Snmpgetsysdescr$snmputilget24public...0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1$snmputilget24public.ernet.mgmt.mib-2.system.sysDescr.0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1Snmpgetnextmib-2$snmputilgetnext24public..2.1Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1$snmputilgetnext24public.ernet.mgmt.mib-2.0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1TCPSegmentFormat01631源端口目的端口sequencenumberacknowledgementnumber頭長(zhǎng)度4保留6UAPRSFwindowsizeTCPchecksum緊急指針Tcp操作(長(zhǎng)度可變，最大40個(gè)字節(jié))數(shù)據(jù)20bytesTcp堆棧指紋技術(shù)nmap–OTEST1: 向目標(biāo)開放端口發(fā)包

send_tcp_raw_decoys(rawsd,&target->host,current_port,openport,sequence_base,0,TH_BOGUS|TH_SYN,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);Nmap用于系統(tǒng)識(shí)別的包（1）TH_BOGUS=64=0x40=1000000TH_SYN=0x02=000010BOGUS標(biāo)記探測(cè)器

–在syn包的tcp頭里設(shè)置一個(gè)未定義的TCP"標(biāo)記"（64）。版本號(hào)2.0.35之前的linux內(nèi)核在回應(yīng)中保持這個(gè)標(biāo)記。有些操作系統(tǒng)在收到這種包是會(huì)復(fù)位連接。

\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000是tcp選項(xiàng)，解釋如下：\003\003\012：窗口擴(kuò)大因子

kind=3,len=3,移位數(shù)=\012=10\001：無(wú)操作：kind=1\002\004\001\011：最大報(bào)文段長(zhǎng)度

kind=2,len=4,長(zhǎng)度=\001\011=265\010\012：時(shí)間戳 kind=8,len=10\077\077\077\077：時(shí)間戳值 1061109567\000\000\000\000：時(shí)間戳響應(yīng)\000：選項(xiàng)結(jié)束 kind=0\000：填充位Nmap用于系統(tǒng)識(shí)別的包（2）TEST2：向目標(biāo)開放端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+1,openport,sequence_base,0,0,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+1，6個(gè)標(biāo)志位都為0，ip選項(xiàng)同TEST1。

Nmap用于系統(tǒng)識(shí)別的包（3）TEST3：向目標(biāo)開放端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+2,openport,sequence_base,0,TH_SYN|TH_FIN|TH_URG|TH_PUSH,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+2，設(shè)置標(biāo)志位TH_SYN(0x02)，TH_FIN(0x01)，TH_URG(0x20)，TH_PUSH(0x08)。Ip選項(xiàng)同TEST1。Nmap用于系統(tǒng)識(shí)別的包（4）TEST4：向目標(biāo)開放端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+3,openport,sequence_base,0,TH_ACK,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+3，設(shè)置標(biāo)志位TH_ACK，ip選項(xiàng)同TEST1。

Nmap用于系統(tǒng)識(shí)別的包（5）TEST5：向目標(biāo)關(guān)閉端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+4,closedport,sequence_base,0,TH_SYN,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+4，標(biāo)志位TH_SYN，ip選項(xiàng)同TEST1。Nmap用于系統(tǒng)識(shí)別的包（6）TEST6：向目標(biāo)關(guān)閉端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+5,closedport,sequence_base,0,TH_ACK,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);源端口+5，標(biāo)志位TH_ACK，ip選項(xiàng)同TEST1。Nmap用于系統(tǒng)識(shí)別的包（7）TEST7：向目標(biāo)關(guān)閉端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+6,closedport,sequence_base,0,TH_FIN|TH_PUSH|TH_URG,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+6，標(biāo)志位TH_FIN，TH_PUSH，TH_URG，ip選項(xiàng)同TEST1。Nmap用于系統(tǒng)識(shí)別的包（8）TEST8：向目標(biāo)關(guān)閉端口發(fā)包send_closedudp_probe(rawsd,&target->host,o.magic_port,closedport);

向目標(biāo)關(guān)閉端口發(fā)送udp包一個(gè)指紋結(jié)構(gòu)TSeq(Class=RI%gcd=<6%SI=<57A26&>DF1)T1(DF=Y%W=2297|2788|4431|8371|8F4D|ABCD|FFF7|FFFF|2297|212%ACK=S++%Flags=AS%Ops=NNTNWME)T2(DF=N%W=0%ACK=O%Flags=R%Ops=WNMETL)T3(Resp=N)T4(DF=Y|N%W=0%ACK=O%Flags=R%Ops=|WNMETL)T5(DF=Y%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=Y|N%W=0%ACK=O|S%Flags=AR|R%Ops=|WNMETL)T7(DF=Y|N%W=0%ACK=S|O%Flags=AR|R%Ops=|WNMETL)PU(DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPCK=E|F%UCK=E|F|F|E%ULEN=134%DAT=E)FingerprintSolaris2.6-2.7 Solaris2.6–2.7的指紋Icmp堆棧指紋技術(shù)OfirArkin提出ICMP包格式081631typecodechecksum依type和code域的不同而不同081631typecodechecksumidentifiersequencenumber例子：echorequest/reply(ping/pong)

optionaldata

通常格式ICMP協(xié)議msg# description0

echoreply3

destinationunreachable4 sourcequench5 redirect8

echorequest9 routeradvertisement10 routersolicitation11

timeexceededmsg# description12 parameterproblem13 timestamprequest14 timestampreply15 informationrequest16 informationreply17 addressmaskrequest18 addressmaskreplyICMP信息請(qǐng)求針對(duì)廣播地址的non-echoicmp請(qǐng)求利用tos位檢測(cè)windows系統(tǒng)識(shí)別windowsXprobe 作者CAttackerSYN|ACKfromhostAsrcport23withadvertisedwindow0x4000,DFbiton&ttlof64SYNtoport23A操作系統(tǒng)被動(dòng)察覺(jué)通告的窗口值、是否設(shè)置DF位、缺省TTL。被動(dòng)操作系統(tǒng)識(shí)別OSFingerprints:4000:ON:64=FreeBSD被動(dòng)操作系統(tǒng)識(shí)別工具1.siphon2.P0fHack攻擊進(jìn)入系統(tǒng)1.

掃描目標(biāo)主機(jī)。

2.

檢查開放的端口，獲得服務(wù)軟件及版本。

3.

檢查服務(wù)是否存在漏洞，如果是，利用該漏洞遠(yuǎn)程進(jìn)入系統(tǒng)。

4.

檢查服務(wù)軟件是否存在脆弱帳號(hào)或密碼，如果是，利用該帳號(hào)或密碼系統(tǒng)。

5.

利用服務(wù)軟件是否可以獲取有效帳號(hào)或密碼，如果是，利用該帳號(hào)或密碼進(jìn)入系統(tǒng)。

6.

服務(wù)軟件是否泄露系統(tǒng)敏感信息，如果是，檢查能否利用。

7.

掃描相同子網(wǎng)主機(jī)，重復(fù)以上步驟，直到進(jìn)入目標(biāo)主機(jī)或放棄。

Hack攻擊提升權(quán)限1.

檢查目標(biāo)主機(jī)上的SUID和GUID程序是否存在漏洞，如果是，利用該漏洞提升權(quán)限(unix)。

2.

檢查本地服務(wù)是否存在漏洞，如果是，利用該漏洞提升權(quán)限。

3.

檢查本地服務(wù)是否存在脆弱帳號(hào)或密碼，如果是，利用該帳號(hào)或密碼提升權(quán)限。

4.

檢查重要文件的權(quán)限是否設(shè)置錯(cuò)誤，如果是，利用該漏洞提升權(quán)限。

5.

檢查配置目錄中是否存在敏感信息可以利用。

6.

檢查用戶目錄中是否存在敏感信息可以利用。

7.

檢查其它目錄是否存在可以利用的敏感信息。

8.

重復(fù)以上步驟，直到獲得root權(quán)限或放棄。

Hack攻擊善后處理第三步：放置后門

最好自己寫后門程序，用別人的程序總是相對(duì)容易被發(fā)現(xiàn)。

第四步：清理日志

刪除本次攻擊的相關(guān)日志，不要清空日志。Hack攻擊入侵檢測(cè)1.掃描系統(tǒng)2.根據(jù)結(jié)果打補(bǔ)丁，修補(bǔ)系統(tǒng)3.檢測(cè)系統(tǒng)中是否有后門程序Hack攻擊檢測(cè)后門A.察看端口

unix：lsof lsof–itcp–n：察看所有打開的tcp端口

windows：fport fport/pHack攻擊檢測(cè)后門B.察看進(jìn)程

unix：ps psex：察看所有運(yùn)行的進(jìn)程

windows：pslistC.殺掉進(jìn)程

unix：kill windows：pskillHack攻擊檢測(cè)后門D：檢查suid、guid程序(對(duì)于unix系統(tǒng)) find/-userroot-perm-4000–print find/-userroot-perm-2000-printE：對(duì)軟件包進(jìn)行校驗(yàn)(對(duì)于某些linux系統(tǒng)) whichlogin rpm–qf/bin/login rpm–Vutil-linuxHack攻擊檢測(cè)后門F：檢測(cè)/etc/passwd文件(unix) 1.陌生用戶

2.口令為空的用戶

3.uid或gid為0的用戶G：檢測(cè)是否由sniffer程序在運(yùn)行(unix) ifconfigHack攻擊檢測(cè)后門H：檢測(cè)系統(tǒng)中的隱藏文件(unix) find/-name".*"-printI：檢測(cè)系統(tǒng)中的LKM后門

chkrootkit(unix) kstat(linux) ksec(bsd)黑客技術(shù)1.口令破解Unix口令破解工具：johntheripper

Windowsnt、2000口令破解工具：L0phtCrack

黑客技術(shù)2.端口掃描與遠(yuǎn)程操作系統(tǒng)識(shí)別Nmap:最好的端口掃描器和遠(yuǎn)程操作系統(tǒng)識(shí)別工具

Xprobe:icmp遠(yuǎn)程操作系統(tǒng)識(shí)別工具

只需要發(fā)4個(gè)包就可以識(shí)別遠(yuǎn)程操作系統(tǒng)黑客技術(shù)3.sniffer技術(shù)dsniff:多種協(xié)議的口令監(jiān)聽工具

FTP,Telnet,SMTP,HTTP,POP,poppass,NNTP,IMAP,SNMP,LDAP,Rlogin,RIP,OSPF,PPTPMS-CHAP,NFS,VRRP,YP/NIS,SOCKS,X11,CVS,IRC,AIM,ICQ,Napster,PostgreSQL,MeetingMaker,Citrix,ICA,SymantecpcAnywhere,NAISniffer,MicrosoftSMB,OracleSQL*Net,SybaseandMicrosoftSQLprotocols等等。黑客技術(shù)4.Hijack,tcp劫持技術(shù)hunt:tcp連接劫持工具

綜合利用sniffer技術(shù)和arp欺騙技術(shù)黑客技術(shù)5.遠(yuǎn)程漏洞掃描技術(shù)—通用漏洞掃描工具nessus:開源遠(yuǎn)程漏洞掃描工具

Securityassess:中科網(wǎng)威火眼網(wǎng)絡(luò)安全評(píng)估分析系統(tǒng)

黑客技術(shù)6.遠(yuǎn)程漏洞掃描技術(shù)—web漏洞掃描工具whisker:

t:

黑客技術(shù)—緩沖溢出緩沖區(qū)返回地址開始向緩沖區(qū)寫數(shù)據(jù)攻擊者輸入的數(shù)據(jù)返回地址被攻擊者覆蓋返回地址黑客技術(shù)—hackiis黑客技術(shù)—hackmssqlserver黑客技術(shù)—hackmssqlserverWindows2000系統(tǒng)如何打補(bǔ)丁1.執(zhí)行wupdmgr.exe，單擊產(chǎn)品更新，更新系統(tǒng)中軟件到最新版本2.然后下載HFNetChk3.執(zhí)行hfnetchk-v4.依照提示提示從

下載最新的安全補(bǔ)丁。

黑客技術(shù)：Smurf攻擊攻擊者被攻擊者Ping廣播地址源地址被設(shè)置為被攻擊者的ip被利用網(wǎng)絡(luò)黑客技術(shù)：Pingo’Death攻擊攻擊者產(chǎn)生碎片被攻擊者收到碎片重組碎片Internet最后一個(gè)碎片太大導(dǎo)致緩存溢出buffer65535bytes第