安全與支付

第三講

安全與支付

第三講攻擊的非計(jì)算機(jī)手段攻擊的非計(jì)算機(jī)手段安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件攻防技術(shù)戰(zhàn)攻防技術(shù)戰(zhàn)黑客攻擊的過程

踩點(diǎn)（FootPrinting）

掃描（Scanning）

查點(diǎn)（Enumeration）

獲取訪問權(quán)（GainingAccess）

黑客攻擊的過程踩點(diǎn)（FootPrinting）黑客攻擊的過程2

權(quán)限提升（EscalatingPrivilege）

竊?。≒ilfering）

掩蓋蹤跡（CoveringTrack）

創(chuàng)建后門（CreatingBackDoors）

拒絕服務(wù)攻擊（DenialofService）黑客攻擊的過程2權(quán)限提升（EscalatingPriv黑客攻擊流程圖黑客攻擊流程圖安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件端口判斷判斷系統(tǒng)選擇最簡(jiǎn)方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個(gè)系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途較高明的入侵步驟端口判斷選擇分析獲取提安裝清除攻擊其獲取敏作為其較高明的入侵15信息收集信息收集技術(shù)是一把雙刃劍黑客在攻擊之前需要收集信息，才能實(shí)施有效的攻擊安全管理員用信息收集技術(shù)來發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)并進(jìn)行修補(bǔ)攻擊工具攻擊命令攻擊機(jī)制目標(biāo)網(wǎng)絡(luò)網(wǎng)絡(luò)漏洞目標(biāo)系統(tǒng)系統(tǒng)漏洞攻擊者漏洞掃描評(píng)估加固攻擊過程實(shí)時(shí)入侵檢測(cè)知己知彼，百戰(zhàn)不殆15信息收集信息收集技術(shù)是一把雙刃劍攻擊工具攻擊機(jī)制目標(biāo)網(wǎng)絡(luò)16信息收集過程信息收集（踩點(diǎn)，footprint）是一個(gè)綜合過程從一些社會(huì)信息入手找到網(wǎng)絡(luò)地址范圍找到關(guān)鍵的機(jī)器地址找到開放端口和入口點(diǎn)找到系統(tǒng)的制造商和版本……16信息收集過程信息收集（踩點(diǎn)，footprint）是一個(gè)綜17攻擊者需要的信息域名經(jīng)過網(wǎng)絡(luò)可以到達(dá)的IP地址每個(gè)主機(jī)上運(yùn)行的TCP和UDP服務(wù)系統(tǒng)體系結(jié)構(gòu)訪問控制機(jī)制系統(tǒng)信息（用戶名和用戶組名、系統(tǒng)標(biāo)識(shí)、路由表、SNMP信息等）其他信息，如模擬/數(shù)字電話號(hào)碼、認(rèn)證機(jī)制等……17攻擊者需要的信息域名18社會(huì)信息DNS域名網(wǎng)絡(luò)實(shí)名管理人員在新聞組或者論壇上的求助信息也會(huì)泄漏信息網(wǎng)站的網(wǎng)頁中新聞報(bào)道例如：XX公司采用XX系統(tǒng)，…這樣的信息可以合法地獲取18社會(huì)信息DNS域名19例：來自網(wǎng)站的公開信息19例：來自網(wǎng)站的公開信息20網(wǎng)站上令人感興趣的信息機(jī)構(gòu)所在位置與其關(guān)系緊密的公司或?qū)嶓w電話號(hào)碼聯(lián)系人姓名和電子郵件地址指示所用安全機(jī)制的類型的私密或安全策略與其相關(guān)聯(lián)的Web服務(wù)器鏈接此外，嘗試查閱HTML源代碼20網(wǎng)站上令人感興趣的信息機(jī)構(gòu)所在位置此外，嘗試查閱HTML21非網(wǎng)絡(luò)技術(shù)的探查手段社會(huì)工程通過一些公開的信息，獲取支持人員的信任假冒網(wǎng)管人員，騙取員工的信任(安裝木馬、修改口令等)查電話簿、XX手冊(cè)(指南)在信息發(fā)達(dá)的社會(huì)中，只要存在，就沒有找不到的，是這樣嗎？通過搜索引擎可以獲取到大量的信息搜索引擎提供的信息的有效性？(google、)21非網(wǎng)絡(luò)技術(shù)的探查手段社會(huì)工程安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件24信息收集：whoisWhois為Internet提供目錄服務(wù)，包括名字、通訊地址、電話號(hào)碼、電子郵箱、IP地址等信息Client/Server結(jié)構(gòu)Client端(發(fā)出請(qǐng)求，接受結(jié)果，并按格式顯示到客戶屏幕上)Server端(建立數(shù)據(jù)庫，接受注冊(cè)請(qǐng)求,提供在線查詢服務(wù))客戶程序UNIX系統(tǒng)自帶whois程序Windows也有一些工具直接通過Web查詢24信息收集：whoisWhois25

美國政府部門allwhois美國以外的whois服務(wù)器通過這些查詢可以得到黑客感興趣的一些信息：注冊(cè)機(jī)構(gòu)：顯示特定的注冊(cè)信息和相關(guān)的whois服務(wù)器；機(jī)構(gòu)本身：顯示與某個(gè)特定機(jī)構(gòu)相關(guān)的所有信息；域名：顯示與某個(gè)特定域名相關(guān)的所有信息網(wǎng)絡(luò)：顯示與某個(gè)特定網(wǎng)絡(luò)或IP地址相關(guān)的所有信息；聯(lián)系點(diǎn)：顯示與某位特定人員（通常是管理方面聯(lián)系人）相關(guān)的所有信息

各種whois數(shù)據(jù)來源（續(xù)）25美國26公共數(shù)據(jù)庫安全對(duì)策考慮使用免費(fèi)電話或不在本機(jī)構(gòu)電話交換機(jī)范圍內(nèi)的電話，避免撥入攻擊和社交工程偽造虛假的管理方面聯(lián)系人，期望以此捕獲潛在的社交工程師加強(qiáng)注冊(cè)機(jī)構(gòu)的信息更新方式，可以使用安全的認(rèn)證機(jī)制26公共數(shù)據(jù)庫安全對(duì)策考慮使用免費(fèi)電話或不在本機(jī)構(gòu)電話交換機(jī)27信息收集：DNS查詢關(guān)于DNS是一個(gè)全球分布式數(shù)據(jù)庫，對(duì)于每一個(gè)DNS節(jié)點(diǎn)，包含有該節(jié)點(diǎn)所在的機(jī)器的信息、郵件服務(wù)器的信息、主機(jī)CPU和操作系統(tǒng)等信息Nslookup是一個(gè)功能強(qiáng)大的客戶程序熟悉nslookup，就可以把DNS數(shù)據(jù)庫中的信息挖掘出來分兩種運(yùn)行模式非交互式，通過命令行提交命令交互式：可以訪問DNS數(shù)據(jù)庫中所有開放的信息UNIX/LINUX環(huán)境下的host命令有類似的功能27信息收集：DNS查詢關(guān)于DNSTCP/IPTCP/IP百度域名劫持事件回顧DNS(小影片）百度域名劫持事件回顧DNS(小影片）百度“史無前例”的安全事件2019年1月12日晨7時(shí)起，網(wǎng)絡(luò)上開始陸續(xù)出現(xiàn)百度出現(xiàn)無法訪問的情況反饋，12時(shí)左右基本恢復(fù)正常；18時(shí)許百度發(fā)布官方版本公告；對(duì)事故原因說明為：“因的域名在美國域名注冊(cè)商處被非法篡改，導(dǎo)致全球多處用戶不能正常訪問百度?！卑俣取笆窡o前例”的安全事件2019年1月12日晨7時(shí)起，網(wǎng)絡(luò)（1）在整個(gè)事件期間百度頂級(jí)域名及旗下全部二級(jí)域名訪問都出現(xiàn)異常，在較長的時(shí)間全部被解析到位于荷蘭的IP地址跳轉(zhuǎn)至伊朗網(wǎng)軍（IRANIANCYBERARMY）頁面跳轉(zhuǎn)至雅虎錯(cuò)誤頁面

（1）在整個(gè)事件期間百度頂級(jí)域名及旗下全部二級(jí)域名訪問都出現(xiàn)（2）在此期間查詢whois信息可以發(fā)現(xiàn)異常，并有被不止一次修改的跡象。（2）在此期間查詢whois信息可以發(fā)現(xiàn)異常，并有被不止一正常情況下的全球DNS體系、和用戶三者的關(guān)系圖示正常情況下的全球DNS體系、和用戶三者的關(guān)系圖示攻擊示意圖攻擊示意圖域名劫持一般過程1、獲取劫持域名注冊(cè)信息：首先攻擊者會(huì)訪問域名查詢站點(diǎn)，通過MAKECHANGES功能，輸入要查詢的域名以取得該域名注冊(cè)信息。2、控制該域名的E-MAIL帳號(hào)：此時(shí)攻擊者會(huì)利用社會(huì)工程學(xué)或暴力破解學(xué)進(jìn)行該E-MAIL密碼破解，有能力的攻擊者將直接對(duì)該E-MAIL進(jìn)行入侵行為，以獲取所需信息。3、修改注冊(cè)信息：當(dāng)攻擊者破獲了E-MAIL后，會(huì)利用相關(guān)的MAKECHANGES功能修改該域名的注冊(cè)信息，包括擁有者信息、DNS服務(wù)器信息等。4、使用E-MAIL收發(fā)確認(rèn)函：此時(shí)的攻擊者會(huì)在信件帳號(hào)的真正擁有者之前，截獲網(wǎng)絡(luò)公司回潰的網(wǎng)絡(luò)確認(rèn)注冊(cè)信息更改件，并進(jìn)行回件確認(rèn)，隨后網(wǎng)絡(luò)公司將再次回潰成功修改信件，此時(shí)攻擊者成功劫持域名。域名劫持一般過程1、獲取劫持域名注冊(cè)信息：首先攻擊者會(huì)訪問域36網(wǎng)絡(luò)勘察最常用的工具：Ping和TraceroutePing:PacketInterNetGroper用來判斷遠(yuǎn)程設(shè)備可訪問性最常用的方法原理：發(fā)送ICMPEcho消息，然后等待ICMPReply消息Traceroute用來發(fā)現(xiàn)實(shí)際的路由路徑原理：給目標(biāo)的一個(gè)無效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個(gè)ICMPTimeExceeded消息Windows中為tracert36網(wǎng)絡(luò)勘察最常用的工具：Ping和Traceroute37網(wǎng)絡(luò)勘察的對(duì)策防火墻：設(shè)置過濾規(guī)則使用NIDS(NetworkIntrusionDetectionSystem)：商用以及免費(fèi)的NIDS（Snort）使用其他工具：如rotoroutor，它可以記錄外來的traceroute請(qǐng)求，產(chǎn)生虛假的應(yīng)答37網(wǎng)絡(luò)勘察的對(duì)策防火墻：設(shè)置過濾規(guī)則下堂課：網(wǎng)絡(luò)掃描攻擊者：信息收集的一部分，攻擊目標(biāo)定位，鑒別目標(biāo)，發(fā)現(xiàn)目標(biāo)弱點(diǎn)管理員：網(wǎng)絡(luò)安全檢查下堂課：網(wǎng)絡(luò)掃描攻擊者：信息收集的一部分，攻擊目標(biāo)定位，鑒別39

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的組成硬件網(wǎng)絡(luò)節(jié)點(diǎn)端節(jié)點(diǎn)：計(jì)算機(jī)中間節(jié)點(diǎn)：交換機(jī)、集中器、復(fù)用器、路由器、中繼器通信鏈路：信息傳輸?shù)耐ǖ牢锢恚簜鬏斀橘|(zhì)邏輯：信道類比——CATV的電纜和頻道之間的關(guān)系軟件通信軟件（網(wǎng)絡(luò)協(xié)議軟件）網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)管理/安全控制軟件、網(wǎng)絡(luò)應(yīng)用軟件localISPcompanynetworkregionalISProuterworkstationservermobile39計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的組成硬件localISPcompan40網(wǎng)絡(luò)掃描一般分成兩種策略:一種是主動(dòng)式策略另一種是被動(dòng)式策略。掃描利用各種工具對(duì)攻擊目標(biāo)的IP地址或地址段的主機(jī)查找漏洞。掃描采取模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞逐項(xiàng)進(jìn)行檢查，目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、路由器和數(shù)據(jù)庫應(yīng)用等。根據(jù)掃描結(jié)果向掃描者或管理員提供周密可靠的分析報(bào)告40網(wǎng)絡(luò)掃描一般分成兩種策略:41掃描器（scanner）掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的軟件。主要有端口掃描器和漏洞掃描器兩種。掃描器通常集成了多種功能。端口掃描器的作用是進(jìn)行端口探測(cè)，檢查遠(yuǎn)程主機(jī)上開啟的端口。漏洞掃描器則是把各種安全漏洞集成在一起，自動(dòng)利用這些安全漏洞對(duì)遠(yuǎn)程主機(jī)嘗試攻擊，從而確定目標(biāo)主機(jī)是否存在這些安全漏洞。因此，掃描器是一把雙刃劍，系統(tǒng)管理員使用它來查找系統(tǒng)的潛在漏洞，而黑客利用它進(jìn)行攻擊。41掃描器（scanner）掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主42掃描攻擊的目的是否有的安全保護(hù)措施運(yùn)行那些服務(wù)服務(wù)器軟件的版本存在哪些漏洞目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)目標(biāo)主機(jī)運(yùn)行的操作系統(tǒng)42掃描攻擊的目的是否有的安全保護(hù)措施運(yùn)行那些服務(wù)服務(wù)器軟件43掃描類型網(wǎng)絡(luò)(地址)掃描發(fā)現(xiàn)活動(dòng)主機(jī)，獲取網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)端口掃描確定運(yùn)行在目標(biāo)系統(tǒng)上的TCP和UDP服務(wù)確定目標(biāo)系統(tǒng)的操作系統(tǒng)類型確定特定應(yīng)用程序或特定服務(wù)的版本漏洞掃描確定特定服務(wù)存在的安全漏洞43掃描類型網(wǎng)絡(luò)(地址)掃描44網(wǎng)絡(luò)掃描－了解網(wǎng)絡(luò)情況目的黑客首先希望了解你的網(wǎng)絡(luò)中的詳細(xì)情況，比如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，活動(dòng)主機(jī)IP地址，主要服務(wù)器，路由器和防火墻。黑客使用掃描工具一般先掃描你的網(wǎng)關(guān)、DMZ系統(tǒng)，各種服務(wù)器等Internet周邊環(huán)境，在控制了你的網(wǎng)絡(luò)周邊環(huán)境后，再繼續(xù)攻擊你的內(nèi)部網(wǎng)絡(luò)。種類發(fā)現(xiàn)活躍主機(jī)跟蹤路由44網(wǎng)絡(luò)掃描－了解網(wǎng)絡(luò)情況目的種類發(fā)現(xiàn)活躍主機(jī)跟蹤路由45發(fā)現(xiàn)活躍主機(jī)Ping：發(fā)送一個(gè)ICMP回顯請(qǐng)求(echorequest)數(shù)據(jù)包，如果目標(biāo)主機(jī)響應(yīng)一個(gè)ICMP回顯應(yīng)答響應(yīng)(echoreplay)數(shù)據(jù)包，則表示這是一個(gè)活躍主機(jī)。TCP掃描：許多網(wǎng)絡(luò)防火墻都阻塞ICMP消息，因此，發(fā)送一個(gè)TCPack包到80端口，如果獲得了RST返回，機(jī)器是活躍的。45發(fā)現(xiàn)活躍主機(jī)Ping：發(fā)送一個(gè)ICMP回顯請(qǐng)求(echo46TTL&Hop基本概念跳(Hop)：IP數(shù)據(jù)包經(jīng)過一個(gè)路由器就叫做一個(gè)跳。TTL在路由器中如何工作？

當(dāng)路由器收到一個(gè)IP數(shù)據(jù)包時(shí)，它首先將這個(gè)IP數(shù)據(jù)包的TTL字段減1，如果TTL為0則路由器拋棄這個(gè)數(shù)據(jù)包，并向源IP地址發(fā)送一個(gè)連接超時(shí)的ICMP數(shù)據(jù)包。如果不為0則根據(jù)路由表將這個(gè)數(shù)據(jù)包發(fā)送到下一個(gè)路由器或目的網(wǎng)絡(luò)。46TTL&Hop基本概念跳(Hop)：IP數(shù)據(jù)包經(jīng)過一個(gè)路安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件48跟蹤路由(tracerouting)黑客可以利用TTL值來確定網(wǎng)絡(luò)中數(shù)據(jù)包的路由路徑，通過發(fā)送一系列TTL值遞增的數(shù)據(jù)包來發(fā)現(xiàn)到達(dá)目的主機(jī)的路由路徑。Unix下的跟蹤路由工具是Traceroute，發(fā)送有遞增的TTL值的UDP數(shù)據(jù)包，同時(shí)尋找返回的ICMP超時(shí)消息。windows下的跟蹤路由工具是tracert。黑客使用跟蹤路由（tracerouting）技術(shù)來確定目標(biāo)網(wǎng)絡(luò)的路由器和網(wǎng)關(guān)的拓?fù)浣Y(jié)構(gòu)。48跟蹤路由(tracerouting)黑客可以利用TTL值49如何防御網(wǎng)絡(luò)掃描

利用防火墻和路由器的數(shù)據(jù)包過濾功能來阻塞這些消息，還應(yīng)該阻塞所有流入的ICMP消息，另外，也可以過濾從你的網(wǎng)絡(luò)流出的ICMP超時(shí)信息，從而完全拒絕traceroute的訪問。49如何防御網(wǎng)絡(luò)掃描

利用防火墻和路由器的數(shù)據(jù)包過濾功能來阻50常見的端口掃描技術(shù)TCPconnect掃描SYN掃描FIN掃描反向映射掃描慢速掃描UDP掃描IP分片掃描FTP反彈掃描ident掃描RPC掃描源端口掃描50常見的端口掃描技術(shù)TCPconnect掃描SYN掃描F51被掃描主機(jī)的響應(yīng)TCP掃描的響應(yīng)：目標(biāo)主機(jī)響應(yīng)SYN/ACK，則表示這個(gè)端口開放。目標(biāo)主機(jī)發(fā)送RST，則表示這個(gè)端口沒有開放。目標(biāo)主機(jī)沒有響應(yīng)，則可能是有防火墻或主機(jī)未運(yùn)行。UDP掃描的響應(yīng)：目標(biāo)主機(jī)響應(yīng)端口不可達(dá)的ICMP報(bào)文則表示這個(gè)端口關(guān)閉。目標(biāo)主機(jī)沒有響應(yīng)，并且目標(biāo)主機(jī)響應(yīng)了ping，則這個(gè)端口被打開，如果防火墻阻塞了ICMP消息，則這個(gè)端口可能是關(guān)閉的。51被掃描主機(jī)的響應(yīng)TCP掃描的響應(yīng)：UDP掃描的響應(yīng)：52OSfingerprinting

操作系統(tǒng)的指紋識(shí)別根據(jù)不同類型的操作系統(tǒng)的TCP/IP協(xié)議棧的實(shí)現(xiàn)特征(stackfingerprinting)來判別主機(jī)的操作系統(tǒng)類型。不同的操作系統(tǒng)廠商的TCP/IP協(xié)議棧實(shí)現(xiàn)存在細(xì)微差異，對(duì)于特定的RFC文檔作出不同的解釋。向目標(biāo)主機(jī)發(fā)送特殊的數(shù)據(jù)包，然后根據(jù)目標(biāo)主機(jī)的返回信息在掃描工具的操作系統(tǒng)指紋特征數(shù)據(jù)庫中查找匹配的操作系統(tǒng)名。52OSfingerprinting

操作系統(tǒng)的指紋識(shí)別根53主動(dòng)與被動(dòng)的協(xié)議棧指紋識(shí)別主動(dòng)協(xié)議棧指紋識(shí)別：掃描器主動(dòng)地向目標(biāo)系統(tǒng)發(fā)送特殊格式的數(shù)據(jù)包，這種方式可能會(huì)被網(wǎng)絡(luò)IDS系統(tǒng)檢測(cè)出來。被動(dòng)協(xié)議棧指紋識(shí)別：通過被動(dòng)地監(jiān)聽網(wǎng)絡(luò)流量，來確定目標(biāo)主機(jī)地操作系統(tǒng)。一般根據(jù)數(shù)據(jù)包的一些被動(dòng)特征：TTL，窗口大小，DF等。53主動(dòng)與被動(dòng)的協(xié)議棧指紋識(shí)別主動(dòng)協(xié)議棧指紋識(shí)別：掃描器主動(dòng)54掃描應(yīng)用軟件版本在第一次連接時(shí)，許多軟件都公布了版本號(hào)(如sendmail,FTP,IMAPD，Apache等)。黑客根據(jù)這些連接信息(banner)就可以知道目標(biāo)的應(yīng)用軟件的版本信息。根據(jù)版本號(hào)很容易在網(wǎng)上查到它的已知漏洞，根據(jù)這些漏洞對(duì)目標(biāo)主機(jī)進(jìn)行攻擊。54掃描應(yīng)用軟件版本在第一次連接時(shí)，許多軟件都公布了版本號(hào)(55常見的掃描工具NAMP，winmapFoundstone公司的Robinkeir開發(fā)的superscanfoundstone流光fluxay4.7netxeyes/main.html55常見的掃描工具NAMP，winmapinsecure56如何防御端口掃描

關(guān)閉所有不必要的端口自己定期的掃描網(wǎng)絡(luò)主機(jī)、開放的端口使用基于狀態(tài)數(shù)據(jù)包過濾器或是代理等智能防火墻來阻塞黑客的掃描攻擊56如何防御端口掃描

關(guān)閉所有不必要的端口自己定期的掃描網(wǎng)57漏洞掃描工具Nessus：最好的開放源代碼風(fēng)險(xiǎn)評(píng)估工具，可以運(yùn)行在Linux、BSD、Solaris。能夠完成超過1200項(xiàng)的遠(yuǎn)程安全檢查，具有多種報(bào)告輸出能力。并且會(huì)為每一個(gè)發(fā)現(xiàn)的安全問題提出解決建議。網(wǎng)址：ISSInternetScanner：應(yīng)用層風(fēng)險(xiǎn)評(píng)估工具，商業(yè)漏洞掃描軟件。X-Scan等57漏洞掃描工具Nessus：THEENDTHEEND網(wǎng)絡(luò)掃描的防范主機(jī)掃描防范措施監(jiān)測(cè)：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort 主機(jī)掃描監(jiān)測(cè)工具Scanlogd防御：仔細(xì)考慮對(duì)ICMP通信的過濾策略網(wǎng)絡(luò)掃描的防范主機(jī)掃描防范措施端口掃描防范措施端口掃描的監(jiān)測(cè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng):Snort中的portscan檢測(cè)插件系統(tǒng)掃描檢測(cè)工具:scanlogd,PortSentry,Genius端口掃描的預(yù)防開啟防火墻類UNIX:netfilter/IPTablesWin32:個(gè)人防火墻商用防火墻：CheckPoint、NetScreen、WatchGuard等禁用所有不必要的服務(wù),盡可能減少暴露面(進(jìn)一步的受攻擊面)類UNIX:/etc/inetd.conf

Win32:控制面板/服務(wù)端口掃描防范措施端口掃描的監(jiān)測(cè)系統(tǒng)類型探查防范措施沒有太多好辦法檢測(cè)端口掃描監(jiān)測(cè)工具對(duì)被動(dòng)式靜默監(jiān)聽并辨識(shí)系統(tǒng)類型行為則基本無能為力挫敗系統(tǒng)類型探查活動(dòng)的防御機(jī)制也很難更改默認(rèn)旗標(biāo)和默認(rèn)配置代理“不出聲就不會(huì)被發(fā)現(xiàn)”這一古老格言并不適用于網(wǎng)絡(luò)攻防領(lǐng)域應(yīng)立足于即使攻擊者探查出了操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)類型，也不能輕易的攻破這道“堅(jiān)固的防線”系統(tǒng)類型探查防范措施沒有太多好辦法漏洞掃描防范措施最簡(jiǎn)單對(duì)策：提前進(jìn)行漏洞掃描補(bǔ)丁自動(dòng)更新和分發(fā):修補(bǔ)漏洞聯(lián)邦桌面核心配置計(jì)劃(FDCC)確保桌面計(jì)算機(jī)的安全漏洞及補(bǔ)丁自動(dòng)管理中國2019年才開始政務(wù)終端安全配置(CGDCC)標(biāo)準(zhǔn)的發(fā)展檢測(cè)和防御漏洞掃描行為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng):Snort仔細(xì)審查防火墻配置規(guī)則漏洞掃描防范措施最簡(jiǎn)單對(duì)策：

安全與支付

第三講

安全與支付

第三講攻擊的非計(jì)算機(jī)手段攻擊的非計(jì)算機(jī)手段安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件攻防技術(shù)戰(zhàn)攻防技術(shù)戰(zhàn)黑客攻擊的過程

踩點(diǎn)（FootPrinting）

掃描（Scanning）

查點(diǎn)（Enumeration）

獲取訪問權(quán)（GainingAccess）

黑客攻擊的過程踩點(diǎn)（FootPrinting）黑客攻擊的過程2

權(quán)限提升（EscalatingPrivilege）

竊取（Pilfering）

掩蓋蹤跡（CoveringTrack）

創(chuàng)建后門（CreatingBackDoors）

拒絕服務(wù)攻擊（DenialofService）黑客攻擊的過程2權(quán)限提升（EscalatingPriv黑客攻擊流程圖黑客攻擊流程圖安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件端口判斷判斷系統(tǒng)選擇最簡(jiǎn)方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個(gè)系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途較高明的入侵步驟端口判斷選擇分析獲取提安裝清除攻擊其獲取敏作為其較高明的入侵77信息收集信息收集技術(shù)是一把雙刃劍黑客在攻擊之前需要收集信息，才能實(shí)施有效的攻擊安全管理員用信息收集技術(shù)來發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)并進(jìn)行修補(bǔ)攻擊工具攻擊命令攻擊機(jī)制目標(biāo)網(wǎng)絡(luò)網(wǎng)絡(luò)漏洞目標(biāo)系統(tǒng)系統(tǒng)漏洞攻擊者漏洞掃描評(píng)估加固攻擊過程實(shí)時(shí)入侵檢測(cè)知己知彼，百戰(zhàn)不殆15信息收集信息收集技術(shù)是一把雙刃劍攻擊工具攻擊機(jī)制目標(biāo)網(wǎng)絡(luò)78信息收集過程信息收集（踩點(diǎn)，footprint）是一個(gè)綜合過程從一些社會(huì)信息入手找到網(wǎng)絡(luò)地址范圍找到關(guān)鍵的機(jī)器地址找到開放端口和入口點(diǎn)找到系統(tǒng)的制造商和版本……16信息收集過程信息收集（踩點(diǎn)，footprint）是一個(gè)綜79攻擊者需要的信息域名經(jīng)過網(wǎng)絡(luò)可以到達(dá)的IP地址每個(gè)主機(jī)上運(yùn)行的TCP和UDP服務(wù)系統(tǒng)體系結(jié)構(gòu)訪問控制機(jī)制系統(tǒng)信息（用戶名和用戶組名、系統(tǒng)標(biāo)識(shí)、路由表、SNMP信息等）其他信息，如模擬/數(shù)字電話號(hào)碼、認(rèn)證機(jī)制等……17攻擊者需要的信息域名80社會(huì)信息DNS域名網(wǎng)絡(luò)實(shí)名管理人員在新聞組或者論壇上的求助信息也會(huì)泄漏信息網(wǎng)站的網(wǎng)頁中新聞報(bào)道例如：XX公司采用XX系統(tǒng)，…這樣的信息可以合法地獲取18社會(huì)信息DNS域名81例：來自網(wǎng)站的公開信息19例：來自網(wǎng)站的公開信息82網(wǎng)站上令人感興趣的信息機(jī)構(gòu)所在位置與其關(guān)系緊密的公司或?qū)嶓w電話號(hào)碼聯(lián)系人姓名和電子郵件地址指示所用安全機(jī)制的類型的私密或安全策略與其相關(guān)聯(lián)的Web服務(wù)器鏈接此外，嘗試查閱HTML源代碼20網(wǎng)站上令人感興趣的信息機(jī)構(gòu)所在位置此外，嘗試查閱HTML83非網(wǎng)絡(luò)技術(shù)的探查手段社會(huì)工程通過一些公開的信息，獲取支持人員的信任假冒網(wǎng)管人員，騙取員工的信任(安裝木馬、修改口令等)查電話簿、XX手冊(cè)(指南)在信息發(fā)達(dá)的社會(huì)中，只要存在，就沒有找不到的，是這樣嗎？通過搜索引擎可以獲取到大量的信息搜索引擎提供的信息的有效性？(google、)21非網(wǎng)絡(luò)技術(shù)的探查手段社會(huì)工程安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件86信息收集：whoisWhois為Internet提供目錄服務(wù)，包括名字、通訊地址、電話號(hào)碼、電子郵箱、IP地址等信息Client/Server結(jié)構(gòu)Client端(發(fā)出請(qǐng)求，接受結(jié)果，并按格式顯示到客戶屏幕上)Server端(建立數(shù)據(jù)庫，接受注冊(cè)請(qǐng)求,提供在線查詢服務(wù))客戶程序UNIX系統(tǒng)自帶whois程序Windows也有一些工具直接通過Web查詢24信息收集：whoisWhois87

美國政府部門allwhois美國以外的whois服務(wù)器通過這些查詢可以得到黑客感興趣的一些信息：注冊(cè)機(jī)構(gòu)：顯示特定的注冊(cè)信息和相關(guān)的whois服務(wù)器；機(jī)構(gòu)本身：顯示與某個(gè)特定機(jī)構(gòu)相關(guān)的所有信息；域名：顯示與某個(gè)特定域名相關(guān)的所有信息網(wǎng)絡(luò)：顯示與某個(gè)特定網(wǎng)絡(luò)或IP地址相關(guān)的所有信息；聯(lián)系點(diǎn)：顯示與某位特定人員（通常是管理方面聯(lián)系人）相關(guān)的所有信息

各種whois數(shù)據(jù)來源（續(xù)）25美國88公共數(shù)據(jù)庫安全對(duì)策考慮使用免費(fèi)電話或不在本機(jī)構(gòu)電話交換機(jī)范圍內(nèi)的電話，避免撥入攻擊和社交工程偽造虛假的管理方面聯(lián)系人，期望以此捕獲潛在的社交工程師加強(qiáng)注冊(cè)機(jī)構(gòu)的信息更新方式，可以使用安全的認(rèn)證機(jī)制26公共數(shù)據(jù)庫安全對(duì)策考慮使用免費(fèi)電話或不在本機(jī)構(gòu)電話交換機(jī)89信息收集：DNS查詢關(guān)于DNS是一個(gè)全球分布式數(shù)據(jù)庫，對(duì)于每一個(gè)DNS節(jié)點(diǎn)，包含有該節(jié)點(diǎn)所在的機(jī)器的信息、郵件服務(wù)器的信息、主機(jī)CPU和操作系統(tǒng)等信息Nslookup是一個(gè)功能強(qiáng)大的客戶程序熟悉nslookup，就可以把DNS數(shù)據(jù)庫中的信息挖掘出來分兩種運(yùn)行模式非交互式，通過命令行提交命令交互式：可以訪問DNS數(shù)據(jù)庫中所有開放的信息UNIX/LINUX環(huán)境下的host命令有類似的功能27信息收集：DNS查詢關(guān)于DNSTCP/IPTCP/IP百度域名劫持事件回顧DNS(小影片）百度域名劫持事件回顧DNS(小影片）百度“史無前例”的安全事件2019年1月12日晨7時(shí)起，網(wǎng)絡(luò)上開始陸續(xù)出現(xiàn)百度出現(xiàn)無法訪問的情況反饋，12時(shí)左右基本恢復(fù)正常；18時(shí)許百度發(fā)布官方版本公告；對(duì)事故原因說明為：“因的域名在美國域名注冊(cè)商處被非法篡改，導(dǎo)致全球多處用戶不能正常訪問百度?！卑俣取笆窡o前例”的安全事件2019年1月12日晨7時(shí)起，網(wǎng)絡(luò)（1）在整個(gè)事件期間百度頂級(jí)域名及旗下全部二級(jí)域名訪問都出現(xiàn)異常，在較長的時(shí)間全部被解析到位于荷蘭的IP地址跳轉(zhuǎn)至伊朗網(wǎng)軍（IRANIANCYBERARMY）頁面跳轉(zhuǎn)至雅虎錯(cuò)誤頁面

（1）在整個(gè)事件期間百度頂級(jí)域名及旗下全部二級(jí)域名訪問都出現(xiàn)（2）在此期間查詢whois信息可以發(fā)現(xiàn)異常，并有被不止一次修改的跡象。（2）在此期間查詢whois信息可以發(fā)現(xiàn)異常，并有被不止一正常情況下的全球DNS體系、和用戶三者的關(guān)系圖示正常情況下的全球DNS體系、和用戶三者的關(guān)系圖示攻擊示意圖攻擊示意圖域名劫持一般過程1、獲取劫持域名注冊(cè)信息：首先攻擊者會(huì)訪問域名查詢站點(diǎn)，通過MAKECHANGES功能，輸入要查詢的域名以取得該域名注冊(cè)信息。2、控制該域名的E-MAIL帳號(hào)：此時(shí)攻擊者會(huì)利用社會(huì)工程學(xué)或暴力破解學(xué)進(jìn)行該E-MAIL密碼破解，有能力的攻擊者將直接對(duì)該E-MAIL進(jìn)行入侵行為，以獲取所需信息。3、修改注冊(cè)信息：當(dāng)攻擊者破獲了E-MAIL后，會(huì)利用相關(guān)的MAKECHANGES功能修改該域名的注冊(cè)信息，包括擁有者信息、DNS服務(wù)器信息等。4、使用E-MAIL收發(fā)確認(rèn)函：此時(shí)的攻擊者會(huì)在信件帳號(hào)的真正擁有者之前，截獲網(wǎng)絡(luò)公司回潰的網(wǎng)絡(luò)確認(rèn)注冊(cè)信息更改件，并進(jìn)行回件確認(rèn)，隨后網(wǎng)絡(luò)公司將再次回潰成功修改信件，此時(shí)攻擊者成功劫持域名。域名劫持一般過程1、獲取劫持域名注冊(cè)信息：首先攻擊者會(huì)訪問域98網(wǎng)絡(luò)勘察最常用的工具：Ping和TraceroutePing:PacketInterNetGroper用來判斷遠(yuǎn)程設(shè)備可訪問性最常用的方法原理：發(fā)送ICMPEcho消息，然后等待ICMPReply消息Traceroute用來發(fā)現(xiàn)實(shí)際的路由路徑原理：給目標(biāo)的一個(gè)無效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個(gè)ICMPTimeExceeded消息Windows中為tracert36網(wǎng)絡(luò)勘察最常用的工具：Ping和Traceroute99網(wǎng)絡(luò)勘察的對(duì)策防火墻：設(shè)置過濾規(guī)則使用NIDS(NetworkIntrusionDetectionSystem)：商用以及免費(fèi)的NIDS（Snort）使用其他工具：如rotoroutor，它可以記錄外來的traceroute請(qǐng)求，產(chǎn)生虛假的應(yīng)答37網(wǎng)絡(luò)勘察的對(duì)策防火墻：設(shè)置過濾規(guī)則下堂課：網(wǎng)絡(luò)掃描攻擊者：信息收集的一部分，攻擊目標(biāo)定位，鑒別目標(biāo)，發(fā)現(xiàn)目標(biāo)弱點(diǎn)管理員：網(wǎng)絡(luò)安全檢查下堂課：網(wǎng)絡(luò)掃描攻擊者：信息收集的一部分，攻擊目標(biāo)定位，鑒別101

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的組成硬件網(wǎng)絡(luò)節(jié)點(diǎn)端節(jié)點(diǎn)：計(jì)算機(jī)中間節(jié)點(diǎn)：交換機(jī)、集中器、復(fù)用器、路由器、中繼器通信鏈路：信息傳輸?shù)耐ǖ牢锢恚簜鬏斀橘|(zhì)邏輯：信道類比——CATV的電纜和頻道之間的關(guān)系軟件通信軟件（網(wǎng)絡(luò)協(xié)議軟件）網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)管理/安全控制軟件、網(wǎng)絡(luò)應(yīng)用軟件localISPcompanynetworkregionalISProuterworkstationservermobile39計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的組成硬件localISPcompan102網(wǎng)絡(luò)掃描一般分成兩種策略:一種是主動(dòng)式策略另一種是被動(dòng)式策略。掃描利用各種工具對(duì)攻擊目標(biāo)的IP地址或地址段的主機(jī)查找漏洞。掃描采取模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞逐項(xiàng)進(jìn)行檢查，目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、路由器和數(shù)據(jù)庫應(yīng)用等。根據(jù)掃描結(jié)果向掃描者或管理員提供周密可靠的分析報(bào)告40網(wǎng)絡(luò)掃描一般分成兩種策略:103掃描器（scanner）掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的軟件。主要有端口掃描器和漏洞掃描器兩種。掃描器通常集成了多種功能。端口掃描器的作用是進(jìn)行端口探測(cè)，檢查遠(yuǎn)程主機(jī)上開啟的端口。漏洞掃描器則是把各種安全漏洞集成在一起，自動(dòng)利用這些安全漏洞對(duì)遠(yuǎn)程主機(jī)嘗試攻擊，從而確定目標(biāo)主機(jī)是否存在這些安全漏洞。因此，掃描器是一把雙刃劍，系統(tǒng)管理員使用它來查找系統(tǒng)的潛在漏洞，而黑客利用它進(jìn)行攻擊。41掃描器（scanner）掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主104掃描攻擊的目的是否有的安全保護(hù)措施運(yùn)行那些服務(wù)服務(wù)器軟件的版本存在哪些漏洞目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)目標(biāo)主機(jī)運(yùn)行的操作系統(tǒng)42掃描攻擊的目的是否有的安全保護(hù)措施運(yùn)行那些服務(wù)服務(wù)器軟件105掃描類型網(wǎng)絡(luò)(地址)掃描發(fā)現(xiàn)活動(dòng)主機(jī)，獲取網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)端口掃描確定運(yùn)行在目標(biāo)系統(tǒng)上的TCP和UDP服務(wù)確定目標(biāo)系統(tǒng)的操作系統(tǒng)類型確定特定應(yīng)用程序或特定服務(wù)的版本漏洞掃描確定特定服務(wù)存在的安全漏洞43掃描類型網(wǎng)絡(luò)(地址)掃描106網(wǎng)絡(luò)掃描－了解網(wǎng)絡(luò)情況目的黑客首先希望了解你的網(wǎng)絡(luò)中的詳細(xì)情況，比如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，活動(dòng)主機(jī)IP地址，主要服務(wù)器，路由器和防火墻。黑客使用掃描工具一般先掃描你的網(wǎng)關(guān)、DMZ系統(tǒng)，各種服務(wù)器等Internet周邊環(huán)境，在控制了你的網(wǎng)絡(luò)周邊環(huán)境后，再繼續(xù)攻擊你的內(nèi)部網(wǎng)絡(luò)。種類發(fā)現(xiàn)活躍主機(jī)跟蹤路由44網(wǎng)絡(luò)掃描－了解網(wǎng)絡(luò)情況目的種類發(fā)現(xiàn)活躍主機(jī)跟蹤路由107發(fā)現(xiàn)活躍主機(jī)Ping：發(fā)送一個(gè)ICMP回顯請(qǐng)求(echorequest)數(shù)據(jù)包，如果目標(biāo)主機(jī)響應(yīng)一個(gè)ICMP回顯應(yīng)答響應(yīng)(echoreplay)數(shù)據(jù)包，則表示這是一個(gè)活躍主機(jī)。TCP掃描：許多網(wǎng)絡(luò)防火墻都阻塞ICMP消息，因此，發(fā)送一個(gè)TCPack包到80端口，如果獲得了RST返回，機(jī)器是活躍的。45發(fā)現(xiàn)活躍主機(jī)Ping：發(fā)送一個(gè)ICMP回顯請(qǐng)求(echo108TTL&Hop基本概念跳(Hop)：IP數(shù)據(jù)包經(jīng)過一個(gè)路由器就叫做一個(gè)跳。TTL在路由器中如何工作？

當(dāng)路由器收到一個(gè)IP數(shù)據(jù)包時(shí)，它首先將這個(gè)IP數(shù)據(jù)包的TTL字段減1，如果TTL為0則路由器拋棄這個(gè)數(shù)據(jù)包，并向源IP地址發(fā)送一個(gè)連接超時(shí)的ICMP數(shù)據(jù)包。如果不為0則根據(jù)路由表將這個(gè)數(shù)據(jù)包發(fā)送到下一個(gè)路由器或目的網(wǎng)絡(luò)。46TTL&Hop基本概念跳(Hop)：IP數(shù)據(jù)包經(jīng)過一個(gè)路安全和支付-第三講-網(wǎng)絡(luò)攻擊非技術(shù)手段-課件110跟蹤路由(tracerouting)黑客可以利用TTL值來確定網(wǎng)絡(luò)中數(shù)據(jù)包的路由路徑，通過發(fā)送一系列TTL值遞增的數(shù)據(jù)包來發(fā)現(xiàn)到達(dá)目的主機(jī)的路由路徑。Unix下的跟蹤路由工具是Traceroute，發(fā)送有遞增的TTL值的UDP數(shù)據(jù)包，同時(shí)尋找返回的ICMP超時(shí)消息。windows下的跟蹤路由工具是tracert。黑客使用跟蹤路由（tracerouting）技術(shù)來確定目標(biāo)網(wǎng)絡(luò)的路由器和網(wǎng)關(guān)的拓?fù)浣Y(jié)構(gòu)。48跟蹤路由(tracerouting)黑客可以利用TTL值111如何防御網(wǎng)絡(luò)掃描

利用防火墻和路由器的數(shù)據(jù)包過濾功能來阻塞這些消息，還應(yīng)該阻塞所有流入的ICMP消息，另外，也可以過濾從你的網(wǎng)絡(luò)流出的ICMP超時(shí)信息，從而完全拒絕traceroute的訪問。49如何防御網(wǎng)絡(luò)掃描

利用防火墻和路由器的數(shù)據(jù)包過濾功能來阻112常見的端口掃描技術(shù)TCPconnect掃描SYN掃描FIN掃描反向映射掃描慢速掃描UDP掃描IP分片掃描FTP反彈掃描ident掃描RPC掃描源端口掃描50常見的端口掃描技術(shù)TCPconnect掃描SYN掃描F113被掃描主機(jī)的響應(yīng)TCP掃描的響應(yīng)：目標(biāo)主機(jī)響應(yīng)SYN/ACK，則表示這個(gè)端口開放。目標(biāo)主機(jī)發(fā)送RST，則表示這個(gè)端口沒有開放。目標(biāo)主機(jī)沒有響應(yīng)，則可能是有防火墻或主機(jī)未運(yùn)行。UDP掃描的響應(yīng)：目標(biāo)主機(jī)響應(yīng)端口不可達(dá)的ICMP報(bào)文則表示這個(gè)端口關(guān)閉。目標(biāo)主機(jī)沒有響應(yīng)，并且目標(biāo)主機(jī)響應(yīng)了ping，則這個(gè)端口被打開，如果防火墻阻塞了ICMP消息，則這個(gè)端口可能是關(guān)閉的。51被掃描主機(jī)的響應(yīng)TCP掃描的響應(yīng)：UDP掃描的響應(yīng)：114OSfingerprinting

操作系統(tǒng)的指紋識(shí)別根據(jù)不同類型的操作系統(tǒng)的TCP/IP協(xié)議棧的實(shí)現(xiàn)特征(stackfingerprinting)來判別主機(jī)的操作系統(tǒng)類型。不同的操作系統(tǒng)廠商的TCP/IP協(xié)議棧實(shí)現(xiàn)存在細(xì)微差異，對(duì)于特定的RFC文檔作出不同的解釋。向目標(biāo)主機(jī)發(fā)送特殊的數(shù)據(jù)包，然后根據(jù)目標(biāo)主機(jī)的返回信息在掃描工