《攻击与b应急b响应课件》由会员分享,可在线阅读,更多相关《攻击与b应急b响应课件(79页珍藏版)》请在金锄头文库上搜索。
1、第十章 攻击与应急响应,10.1 攻击概述,攻击的位置,(1)远程攻击:外部攻击者通过各种手段,从该子网以外的地方向该子网或者该子网内的系统发动攻击。 (2)本地攻击:本单位的内部人员,通过所在的局域网,向本单位的其他系统发动攻击,在本机上进行非法越权访问。 (3)伪远程攻击:内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象,从而使追查者误以为攻击者来自外单位。,攻击的层次,简单拒绝服务 本地用户获得非授权读访问 本地用户获得他们本不应拥有的文件写权限 远程用户获得了非授权的帐号 远程用户获得了特权文件的读权限 远程供用户获得了特权文件的
2、写权限 远程用户拥有了根(root)权限,攻击的目的,进程的执行;获取文件和传输中的数据;获得超级用户权限;对系统的非法访问;进行不许可的操作;拒绝服务;涂改信息;暴露信息;挑战;政治意图;经济利益;破坏,攻击的人员,黑客与破坏者:为了挑战、自负、反叛等目的,获取访问权限 间谍:为了政治等情报信息 恐怖主义者:为了勒索、破坏、复仇、宣传等政治与经济目的,制造恐怖 公司雇员:为了竞争经济利益 计算机犯罪:为了个人的经济利益 内部人员:因为好奇、挑战、报复、经济利益。,攻击的工具,用户命令:在命令行状态下或者图形用户接口方式输入命令 脚本或程序:攻击者在用户接口处初始化脚本和程序挖掘弱点 自治主体
3、:攻击者初始化一个程序或者程序片断,独立地执行操作挖掘弱点 工具箱:使用软件包(包含开发弱点的脚本、程序、自治主体) 分布式工具:分发攻击工具到多台主机,通过协作方式执行攻击特定的目标 电磁泄漏。,攻击的一些基本概念,系统的漏洞,漏洞与时间的关系 系统发布漏洞暴露发布补丁新漏洞出现 安全漏洞与系统攻击的关系 漏洞暴露可能的攻击发布补丁,软件漏洞 缓冲区溢出 意料外的联合使用问题 不对输入内容进行预期检查 文件操作的顺序以及锁定等问题 系统配置 默认配置的不足 管理员的疏忽 临时端口 信任关系,远程攻击的步骤,黑客攻击流程图 Step1:寻找目标,收集信息 (1) 锁定目标 利用下列的公开协议或
4、工具,收集你的相关信息。 SNMP协议:用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。TraceRoute程序:能够用该程序获得到达目标主机所要经过的网络数和路由器数。Ping实用程序:可以用来确定一个指定的主机的位置。 DNS服务器:该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名。,(2) 服务分析 使用Telnet、FTP等软件试探; 使用端口扫描工具软件,如x-scan,namp等。 (3) 系统分析 (4) 获取帐号信息 利用目标主机的Finger功能:用来获取一个指定主机上的所有用户的详细信息(如注册名、电话号码、最后注册时间以及
5、他们有没有读邮件等等)。 利用电子邮件地址; 利用目录服务; 习惯性常用帐号;,(5) 获得管理员信息 使用查询命令host:可获得保存在目标域服务器中的所有信息。 Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数。ie: 使用搜索引擎查询Usenet和Web。,踩点,扫描,查点,获取访问权,拒绝服务攻击,权限提升,窃取,掩盖踪迹,创建后门,使用Whois、DNS、Google收集目标信息,利用踩点结果,查看目标系统在哪些通道使用哪些服务以及使用的是什么操作系统等,根据扫描,使用与特定操作系统/服务相关的技术,收集用户帐号、共享资源及export等信息,发起攻击,试图成
6、为超级用户,改变、添加、删除及复制用户数据,修改/删除系统日志,为以后在此入侵做准备,黑客攻击流程图,Step2:安全漏洞的挖掘和分析 扫描寻找安全漏洞,可以用下列方式: 自编程序:利用产品或操作系统的补丁程序发现系统的漏洞,利用自编程序进入未打“补丁”的系统。 利用公开的工具:像Internet的电子安全扫描程序ISS ( Internet Security Scanner)、审计网络用的安全分析工具SATAN ( Security Analysis Tool for Auditing Network)等。黑客可以利用这些工具,收集目标系统的信息,获取攻击目标系统的非法访问权。,Step3:
7、获得目标使用权限 用户的ID和口令是进入系统的第一道屏障,可以采用finger命令来探测目标主机是否连通,以及目标主机上用户的情况。然后可以采用专门的口令获取工具,得到用户的口令。,Step4:隐藏攻击活动 连接隐藏:修改环境变量、修改日志文件等; 进程隐藏:使用重定向技术减少给出的信息量,用特洛依木马代替程序等; 文件隐藏:用相似的字符串麻痹管理员,或隐藏文件。,Step5:实施攻击活动 建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统。 安装探测软件,包括木马 可能会利用被攻击主机作为对整个网络展开攻击的大本营,成为一台“肉鸡”。 Step6:攻击痕迹清除 为了
8、避免系统安全管理员追踪,攻击后会消除攻击痕迹,如:删除或替换系统的日志文件;干扰IDS正常运行和修改完整性检测标签。,10.2 缓冲区溢出攻击,原理 向一个有限空间的缓冲区中拷贝过长的字符串,它会带来两种后果: 过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可引起宕机、系统重新启动等后果; 利用这种漏洞可以执行任意指令,甚至可以取得系统特权。,一个典型的例子,返回地址:0 x40404040,利用缓冲区溢出进行的系统攻击(Windows) 参考Jason先生的Windows NT Buffer Overflows From Start to Finish. 调试、测试环境: Mic
9、rosoft Visual C+ 6.0 Microsoft Windows 2000 Server,调试、测试过程 首先,写一个存在缓冲区溢出漏洞的应用程序。该程序可读取文件的内容,这样我们就能通过修改被读取文件的内容来使程序溢出。在Visual C+开发环境中创建一个新的控制台应用程序,选择”An Application that supports MFC”并单击”Finish”。向这个应用程序中添加一些必要的代码,如下: CWinApp theApp; using namespace std; void overflow(char* buff); void overflow(char*
10、buff) CFile file; CFileException er; if(!file.Open(_T(overflow.txt),CFile:modeRead, ,int _tmain(int argc, TCHAR* argv, TCHAR* envp) int nRetCode = 0; if (!AfxWinInit(:GetModuleHandle(NULL), NULL, :GetCommandLine(), 0) cerr _T(Fatal Error: MFC initialization failed) endl; nRetCode = 1; else char buff
11、10; overflow(buff); return nRetCode; ,Windows NT/2000的内存结构: 0 x000000000 x0000FFFF:为NULL指针分配而保留的,访问该区域内存将导致“非法访问”错误。 0 x000100000 x7FFEFFFF:用户进程空间。EXE文件的映像被加载到其中(起始地址0 x00400000),DLL(动态链接库)也被加载到这部份空间。如果DLL或EXE的代码被装入到该范围的某些地址,就能够被执行。访问该区域中没有代码装入的地址将导致“非法访问”错误。 0 x7FFF00000 x7FFFFFFF是保留区域,对此区域的任何访问都将导
12、致“非法访问”错误。 0 x800000000 xFFFFFFFF仅供操作系统使用。用于加载设备驱动程序和其它核心级代码。从用户级应用程序(ring 3)访问此区域将导致“非法访问”错误。,源码解析: 1、在overflow.txt中填写“a”,不断尝试增加其长度,当字符串长度为18时,运行程序弹出下面的提示框,说明程序崩溃了。,此时ESP指向地址的内容为: 0012FF78 01 00 00 00 00 1B 42 .B 意思就是说返回地址没有被改变。,2、当字符串长度增加到24时,运行程序并观察弹出的对话框信息:“0 x61616161”指令引用的”0 x61616161”内存。该内存不能
13、为”written”。 仔细分析代码的运行。 首先,把断点设在main函数的最后一行代码,程序正确运行到该处的时候,查看反汇编后的代码,见下页。,汇编代码: 0040155B pop edi 0040155C pop esi 0040155D pop ebx 0040155E add esp,50h 00401561 cmp ebp,esp 00401563 call _chkesp (004015e6) 00401568 mov esp,ebp 0040156A pop ebp 0040156B ret,然后,单步执行到pop ebp指令时,看寄存器的状态: EIP = 0040156B E
14、SP = 0012FF74 EBP = 61616161 执行ret后,此时寄存器的状态为: EIP = 61616161 ESP = 0012FF78 EBP = 61616161 内存为: 0012FF78 01 00 00 00 00 1B 42 .B,3、当长度增加到28时,执行ret后,此时寄存器的状态为: EIP = 61616161 ESP = 0012FF78 EBP = 61616161 内存为: 0012FF78 61 61 61 61 00 1B 42 aaaa.B,防止缓冲区溢出的方法 编写正确的代码 对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。 通过
15、操作系统使得缓冲区不可执行,从而阻止攻击者殖入攻击代码 这种方法有效地阻止了很多缓冲区溢出的攻击,但是攻击者并不一定要殖入攻击代码来实现缓冲区溢出的攻击,所以这种方法还是存在很多弱点的。 利用编译器的边界检查来实现缓冲区的保护 这个方法使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出的威胁,但是相对而言代价比较大。 在程序指针失效前进行完整性检查 这样虽然这种方法不能使得所有的缓冲区溢出失效,但它的确确阻止了绝大多数的缓冲区溢出攻击,而能够逃脱这种方法保护的缓冲区溢出也很难实现。,10.3 安全扫描,基本原理 采用模拟黑客攻击的形式对目标可能存在的已知的安全漏洞进行逐项检查,然后根据扫描结果
16、向系统管理员提供周密可靠的安全性分析报告,为网络安全的整体水平产生重要的依据。 基于主机的安全扫描 基于网络的安全扫描,主要用途 发现漏洞。即通过对漏洞扫描来准确地发现网络中哪些主机或设备存在哪些漏洞。 获得可用的报表。即通过对扫描发现的漏洞进行统计分析,产生有意义的报表,其中包括漏洞的详细描述和修补方法。 展示资产漏洞情况。通过扫描来了解到网络中各主机当前的漏洞情况及修补情况。,系统安全扫描的工作原理,安全 管理员,基于网络的安全扫描 采用积极的、非破坏性的办法来检测系统是否有可能被攻击崩溃,利用一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。 通过网络远程探测其他主机的安全风险漏洞,安装在整个网络环境中的某一台机器上。 包含网络映射(Network Mapping)和端口扫描功能。 以Nessus为例。,基于网络的漏洞扫描器体系结构,漏洞数据库模块:漏洞数据库包含了各种操作系统的各种漏洞信息,以及如何检测漏洞的指令。由于新的漏洞会
