1、網(wǎng)絡(luò)安全與黑客入侵技術(shù)概述安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語(yǔ)報(bào)告內(nèi)容提要：系統(tǒng)安全信息安全文化安全文化安全：作用點(diǎn)：有害信息的傳播對(duì)我國(guó)的政治制度及文化傳統(tǒng)的威脅，主要表現(xiàn)在輿論宣傳方面。外顯行為：黃色、反動(dòng)信息泛濫，敵對(duì)的意識(shí)形態(tài)信息涌入，互聯(lián)網(wǎng)被利用作為串聯(lián)工具，傳播迅速，影響范圍廣。防范措施：設(shè)置因特網(wǎng)關(guān)，監(jiān)測(cè)、控管。文化安全：作用點(diǎn)：對(duì)所處理的信息機(jī)密性與完整性的威脅，主要表現(xiàn)在加密方面。外顯行為：竊取信息，篡改信息，冒充信息，信息抵賴。防范措施：加密，認(rèn)證，數(shù)字簽名，完整性技術(shù)（VPN)信息安全：信息安全：信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技

2、術(shù)認(rèn)證技術(shù)數(shù)字簽名作用點(diǎn)：對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)可用性的威脅，主要表現(xiàn)在訪問控制方面。外顯行為：網(wǎng)絡(luò)被阻塞，黑客行為，計(jì)算機(jī)病毒等，使得依賴于信息系統(tǒng)的管理或控制體系陷于癱瘓。防范措施：防止入侵，檢測(cè)入侵，抵抗入侵，系統(tǒng)恢復(fù)。系統(tǒng)安全：因特網(wǎng)網(wǎng)絡(luò)對(duì)國(guó)民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增大信息對(duì)抗的威脅在增加研究安全漏洞以防之因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之系統(tǒng)安全：防火墻第一道防線，阻止入侵入侵監(jiān)測(cè)第二道防線，發(fā)現(xiàn)入侵加固系統(tǒng)第三道防線，抵抗入侵自動(dòng)恢復(fù)第四道防線，起死回生系統(tǒng)安全：安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語(yǔ)報(bào)告內(nèi)容提要：網(wǎng)絡(luò)上存在的問題：

3、 網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲 “黑客”在網(wǎng)上的攻擊活動(dòng)每年以十倍速增長(zhǎng)。 修改網(wǎng)頁(yè)進(jìn)行惡作劇、竊取網(wǎng)上信息興風(fēng)作浪。 非法進(jìn)入主機(jī)破壞程序、阻塞用戶、竊取密碼。 串入銀行網(wǎng)絡(luò)轉(zhuǎn)移金錢、進(jìn)行電子郵件騷擾。美國(guó)每年因黑客而造成的經(jīng)濟(jì)損失近百億美元他們利用網(wǎng)絡(luò)安全的脆弱性，無孔不入。黑客的破壞： 網(wǎng)絡(luò)硬件設(shè)備的后門 網(wǎng)絡(luò)軟件產(chǎn)品的后門 網(wǎng)絡(luò)安全產(chǎn)品的問題：嵌入式固件病毒安全產(chǎn)品的隱蔽性通道可恢復(fù)性密鑰的密碼 系統(tǒng)運(yùn)行平臺(tái)的安全性問題外來安全設(shè)備的隱患：黑客？發(fā)布網(wǎng)絡(luò)漏洞的網(wǎng)站：SANSCERTCOASTOther subs

4、cription listsNTBUGTRAQBUGTRAQDC-STUFF中國(guó)的相關(guān)網(wǎng)站：綠色兵團(tuán) 中國(guó)網(wǎng)絡(luò)安全響應(yīng)中心中科網(wǎng)威大量的病毒安全廠商的網(wǎng)站黑客入侵方式：攻擊的三個(gè)階段 尋找目標(biāo)，收集信息(nessus) 獲得初始的訪問控制權(quán)與特權(quán) 攻擊其他系統(tǒng)典型步驟： 掃描內(nèi)部信息：獲知提供何種服務(wù), 那種服務(wù)可用以及相關(guān)的配置信息. 開放的端口 利用系統(tǒng)已知的漏洞：通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測(cè)已知用戶的口令，從而發(fā)現(xiàn)突破口。如果得到了普通用戶的權(quán)限就會(huì)進(jìn)一步發(fā)掘 消除痕跡留下后門： 黑客已經(jīng)獲得了系統(tǒng)的控制，會(huì)盡量清除痕跡，放置木馬、新建賬號(hào)等，系

5、統(tǒng)完整性檢查可以發(fā)現(xiàn)這種情況。需要注意的問題： 網(wǎng)絡(luò)的開放性使得攻擊來自各個(gè)地方 內(nèi)外部的攻擊同時(shí)存在 黑客工具的開放性使得問題變的嚴(yán)重 攻擊沒有針對(duì)性，但是涉及面很廣端口掃描httpftptelnetsmtp攻擊過程示例：口令暴力攻擊用戶名:john口令:john1234攻擊過程示例：攻擊過程示例：用john登錄服務(wù)器利用漏洞獲得超級(jí)用戶權(quán)限留后門隱藏用戶更改主頁(yè)信息選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門獲取超級(jí)用戶權(quán)限攻擊其它主機(jī)獲取或修改信息從事其它非法活動(dòng)典型攻擊示意圖： ping，fping 判斷主機(jī)死活 tcp/udp scan 結(jié)合常規(guī)服務(wù)約定，根據(jù)端口判斷提供服務(wù) o

6、s indentify 發(fā)送奇怪的tcp包, 不同的操作系統(tǒng)反應(yīng)不同，queso,nmap Account scans 利用Email，finger等工具獲得系統(tǒng)賬號(hào)消息（用戶名、最后一次登陸時(shí)間）常用工具：缺陷掃描Root compromise: pop3d停止 syslogd , 修改/etc/inetd.conf, 激活 telnet, ftp, 替換以下程序/bin/login 、/bin/ps 、/usr/bin/du 、/bin/ls 、/bin/netstat安裝竊聽程序 sniffer : /usr/.sniffit重新啟動(dòng) syslogd ,關(guān)閉pop3d刪除日志記錄 wtm

7、p、wtp、message、syslog典型攻擊：安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語(yǔ)報(bào)告內(nèi)容提要： 黑客攻擊 路由攻擊 口令攻擊 邏輯炸彈 特洛伊木馬常見攻擊分析： 陷門、隱蔽通道 信息丟失、篡改、銷毀 內(nèi)部、外部泄密 計(jì)算機(jī)病毒 拒絕服務(wù)攻擊（ DOS ） 電子欺騙（Spoofing）口令攻擊分析： Unix password 文件 的暴力破解口令 一般將生日作為密碼 簡(jiǎn)單的單詞 使用同一個(gè)密碼作為所有的密碼 被有意留心的人竊取口令攻擊軟件 John： 這個(gè)軟件由著名的黑客組織-UCF出的,它支持Unix, Dos, Windows, 速度超快,可以說是目前同類中最杰出

8、的作品。 對(duì)于老式的passwd檔(就是沒shadow的那種,任何人能看的都可以把passwd 密文存下來),John可以直接讀取并用 字典窮舉擊破。 對(duì)于現(xiàn)代的 passwd + shadow的方式, John提供了UNSHADOW程序直接把兩者合成出老式passwd文 件。其它軟件： 破解WINDOWS 開機(jī)密碼 破解郵件密碼 網(wǎng)絡(luò)密碼 邏輯炸彈是一段潛伏的程序，它以某種邏輯狀態(tài)為觸發(fā)條件，可以用來釋放病毒和蠕蟲或完成其他攻擊性功能，如破壞數(shù)據(jù)和燒毀芯片。它平時(shí)不起作用，只有當(dāng)系統(tǒng)狀態(tài)滿足觸發(fā)條件時(shí)才被激活。邏輯炸彈： 特洛伊木馬是其內(nèi)部隱藏了某種隱蔽功能的程序，并不傳染，但設(shè)計(jì)者可利用其

9、隱藏的功能達(dá)到目的，如尋找網(wǎng)絡(luò)上的漏洞或竊取某些信息。特洛伊木馬： 蠕蟲是一段獨(dú)立的可執(zhí)行程序，它可以通過計(jì)算機(jī)網(wǎng)絡(luò)把自身的拷貝（復(fù)制品）傳給其他的計(jì)算機(jī)。蠕蟲可以修改、刪除別的程序，但它也可以通過瘋狂的自我復(fù)制來占盡網(wǎng)絡(luò)資源，從而使網(wǎng)絡(luò)癱瘓。蠕蟲： 信息在傳輸過程中丟失； 信息在存儲(chǔ)過程中丟失； 改變信息流的次序、時(shí)序、流向； 未授權(quán)篡改、銷毀信息內(nèi)容。信息丟失、篡改、銷毀： 內(nèi)部涉密人員有意無意泄密； 內(nèi)部非授權(quán)人員有意偷竊機(jī)密信息； 外部人員使用高性能協(xié)議分析器、信道監(jiān)測(cè)設(shè)備對(duì)傳輸信息進(jìn)行分析； 外部人員竊取計(jì)算機(jī)系統(tǒng)的操作密碼； 外部人員破解系統(tǒng)的核心密碼； 外部人員竊取用戶的授權(quán)密碼

10、。內(nèi)、外部泄密： 計(jì)算機(jī)病毒 拒絕服務(wù)攻擊（DOS） 電子欺騙其它攻擊：WinNuke攻擊原理 當(dāng)Windows NT和Windows95系統(tǒng)的某些端口，如139號(hào)NetBIOS端口，接收到Out-of-Band數(shù)據(jù)時(shí)，系統(tǒng)不能正確地處理這些數(shù)據(jù)，造成系統(tǒng)的死機(jī)。網(wǎng)絡(luò)攻擊舉例：網(wǎng)絡(luò)攻擊舉例：LAND攻擊原理 當(dāng)對(duì)113或139號(hào)端口發(fā)送一個(gè)偽造的SYN報(bào)文時(shí)，如果報(bào)文中的源端主機(jī)的IP地址和端口與目的主機(jī)的IP地址和端口相同，例如從:139發(fā)送到:139，這時(shí)目標(biāo)主機(jī)將會(huì)死機(jī)。攻擊者InternetCode目標(biāo)2欺騙性的 IP 包源地址 2 Port 139目的地址 2 Port 139TCP

11、 OpenG. Mark HardyLand攻擊：攻擊者InternetCode目標(biāo)2 IP包欺騙源地址 2 Port 139目的地址 2 Port 139包被送回它自己崩潰G. Mark HardyLand攻擊：攻擊者InternetCode目標(biāo)2IP包欺騙源地址 2 Port 139目標(biāo)地址 2 Port 139TCP Open數(shù)據(jù)包被丟棄！防火墻防火墻把有危險(xiǎn)的包阻隔在網(wǎng)絡(luò)外G. Mark Hardy防護(hù)Land攻擊：網(wǎng)絡(luò)攻擊舉例：UDP攻擊 UDP攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。這樣會(huì)形成很大的數(shù)據(jù)流量。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)

12、網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)數(shù)目少，那么只有這幾臺(tái)主機(jī)會(huì)癱瘓。網(wǎng)絡(luò)攻擊舉例：TCP/SYN 攻擊TCP的連接階段，發(fā)SYN包，要求連接偽造地址消耗主機(jī)資源攻擊者InternetCode目標(biāo)欺騙性的 IP 包源地址不存在目標(biāo)地址是 TCP OpenG. Mark HardySYN Flood：SYN Flood：攻擊者InternetCode目標(biāo)同步應(yīng)答響應(yīng)源地址 目標(biāo)地址不存在TCP ACK崩潰G. Mark Hardy第一步：攻擊者向被利用網(wǎng)絡(luò)A的廣播地址發(fā)送一個(gè)ICMP 協(xié)議的echo請(qǐng)求數(shù)據(jù)報(bào)，該數(shù)據(jù)報(bào)源地址被偽造成第二步：網(wǎng)絡(luò)A上的所有主機(jī)都向該偽造的源地址返回一個(gè)echo響應(yīng)，造成該主機(jī)

13、服務(wù)中斷。Smuff 攻擊：網(wǎng)絡(luò)攻擊舉例：ICMP/PING 攻擊原理 ICMP/PING攻擊是利用一些系統(tǒng)不能接受超大的IP包或需要資源處理這一特性。如在Linux下輸入Ping -t 66510 IP（未打補(bǔ)丁的Win95/98的機(jī)器），機(jī)器就會(huì)癱瘓。網(wǎng)絡(luò)攻擊舉例：ICMP/SMURF 攻擊原理 ICMP/SMURF攻擊利用的是網(wǎng)絡(luò)廣播的原理來發(fā)送大量的地址，而包的源地址就是要攻擊的機(jī)器本身的地址。因而所有接收到此包的主機(jī)都將給發(fā)包的地址發(fā)送一個(gè)ICMP回復(fù)包。網(wǎng)絡(luò)攻擊舉例：TARGA3 攻擊 (IP 堆棧突破) TARGA3 攻擊的基本原理是發(fā)送TCP/UDP/ICMP的碎片包，其大小、

14、標(biāo)記、包數(shù)據(jù)等都是隨機(jī)的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不規(guī)范數(shù)據(jù)包，便會(huì)使其TCP/IP堆棧出現(xiàn)崩潰，從而導(dǎo)致無法繼續(xù)響應(yīng)網(wǎng)絡(luò)請(qǐng)求（即拒絕服務(wù)）。DoS 攻擊land , teardrop, SYN floodICMP : smurfRouter: remote reset , UDP port 7, Windows: Port 135, 137,139(OOB), terminal serverSolaris :Linux:其他. 網(wǎng)絡(luò)攻擊舉例：以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標(biāo)常用的工具：Trin00, TFN/TFN2K, Stacheldraht很難防范偽造源地址，流量加密

15、，因此很難跟蹤clienttargethandler.agent.DoSICMP Flood / SYN Flood / UDP FloodDDOS 攻擊：DDOS攻擊的效果 由于整個(gè)過程是自動(dòng)化的，攻擊者能夠在十幾秒鐘內(nèi)入侵一臺(tái)主機(jī)并安裝攻擊工具。也就是說，在短短的一小時(shí)內(nèi)可以入侵?jǐn)?shù)千臺(tái)主機(jī)。并使某一臺(tái)主機(jī)可能要遭受1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于1.04億人同時(shí)撥打某公司的一部電話號(hào)碼。DDOS 攻擊： 確保主機(jī)不被入侵且是安全的； 周期性審核系統(tǒng)； 檢查文件完整性； 優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)； 優(yōu)化對(duì)外開放訪問的主機(jī)； 在網(wǎng)絡(luò)上建立一個(gè)過濾器在攻擊信息到達(dá)網(wǎng)站服務(wù)器之前阻擋攻

16、擊信息。DDOS 攻擊的預(yù)防： 如何增強(qiáng)自身的隱蔽性和攻擊能力； 采用加密通訊通道、ICMP協(xié)議等方法避開防火墻的檢測(cè)； 采用對(duì)自身進(jìn)行數(shù)字簽名等方法研究自毀機(jī)制，在被非攻擊者自己使用時(shí)自行消毀拒絕服務(wù)攻擊數(shù)據(jù)包，以消除證據(jù)。DDOS 攻擊的發(fā)展趨勢(shì)： 攻擊UNIX獲取完全的存取能力 緩沖區(qū)溢出利用軟件錯(cuò)誤來覆蓋內(nèi)存段 導(dǎo)致程序崩潰而給攻擊者留下超級(jí)用戶(root)的權(quán)限 問題： 不知道攻擊者可能發(fā)現(xiàn)什么新的可利用途徑。 解決方案: 入侵探測(cè)軟件能實(shí)時(shí)辨認(rèn)權(quán)限變更并采取行動(dòng)。緩沖區(qū)溢出：后門程序： BO、netbus Service/Daemon 冰河其他 改變登錄程序到一個(gè)后門程序 后門象正

17、常的登錄程序一樣的工作，但它捕獲用戶口令 能使用與其它系統(tǒng)相類似的技術(shù) 問題: 由于后門象正常的登錄程序一樣的工作，因此用戶不能辨別出來。 解決方案: 使用工具來主動(dòng)監(jiān)視關(guān)鍵文件以獲取被纂改的跡象后門程序：后門例子：后門例子：L0phtcrack實(shí)證攻擊程序允許入侵者從整個(gè)系統(tǒng)中偷取口令!Specify a computerThe intruder uses l0PHT Crack to dump all passwords from the NT Registryl0PHT Crack dumps the password files . . . . . The intruder opens

18、 a word dictionary(usually a pretty comprehensive list) . . . . . And runs the crack!Ouch!So much for network security!G. Mark Hardy安全問題綜述黑客攻擊研究常見的攻擊類型分析常見問題結(jié)束語(yǔ)報(bào)告內(nèi)容提要： 安全策略：沒有明確的安全管理策略 管理問題：管理規(guī)章制度、策略、負(fù)責(zé)人、落實(shí) 操作系統(tǒng)安裝后使用缺省配置，不打補(bǔ)丁，運(yùn)行許多不必要的服務(wù)；99%以上的入侵是可以通過系統(tǒng)配置來防范的； 用戶安全意識(shí) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 安全工具的使用安全建議： 多種服務(wù)安裝在同一服務(wù)器上，DNS/Mail/Web/ FTP 公用服務(wù)器用戶口令過于簡(jiǎn)單，uid: stud? / Pwd:1