《12典型攻击与恶意代码.ppt》由会员分享,可在线阅读,更多相关《12典型攻击与恶意代码.ppt(63页珍藏版)》请在金锄头文库上搜索。
1、内容提要, 相关概念 信息收集技术 典型攻击技术 恶意代码 恶意代码防范方法,第12章 典型攻击与恶意代码,12.1 相关概念,黑客“Hacker” 喜欢技术挑战而攻击计算机网络系统的精通计算机技能的人,黑客与骇客性质不同; 骇客“Cracker” 闯入计算机系统和网络试图破坏和偷窃个人信息的个体; 武士“Samurai” 被他人雇佣的帮助他人提高网络安全的黑客,武士通常被公司付给薪金来攻击网络。 幼虫“Lara” 崇拜真正黑客的初级黑客,12.1 相关概念,欲望蜜蜂“Wannabee” 处于幼虫的初始阶段的黑客,他们急于掌握入侵技术,但由于他们没有经验,因此即使没有恶意也可能造成很大危险;
2、黑边黑客(Dark-Side) 是指由于种种原因放弃黑客的道德信念而恶意攻击的黑客; 半仙“Ddmigod” 一个具有多年经验在黑客团体具有世界级声誉的黑客。,12.1 相关概念,黑客道德准则和行为特征 美国学者史蒂夫利维在黑客电脑史中指出的“黑客道德准则” (1)通往电脑的路不止一条 (2)所有的信息都应当是免费和共享的 (3)一定要打破电脑集权 (4)在电脑上创造的是艺术和美 (5)计算机将使生活更加美好 行为特征: 热衷挑战、崇尚自由、主张信息共享、反叛精神、 破坏心理,12.1 相关概念,入侵者可利用的弱点 网络传输和协议的漏洞 攻击者利用网络传输时对协议的信任以及网络传输的漏洞进入系
3、统; 系统的漏洞 攻击者可以利用系统内部或服务进程的BUG和配置错误进行攻击; 管理的漏洞 攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入的系统信息,包括口令、用户名等。,12.2 信息收集技术,网络攻击的步骤 (1)信息收集 获取目标系统的信息,操作系统的类型和版本,主要提供的服务和服务进程的类型和版本,网络拓扑结构; ( 2)获得对系统的访问权力 攻击者可以利用系统内部或服务进程的BUG和配置错误进行攻击; (3)获得系统超级用户的权力 利用(2)的权力和系统的漏洞,可以修改文件,运行任何程序,留下下次入侵的缺口,或破坏整个系统。 (4)消除入侵痕迹,12.2 信息收
4、集技术,网络攻击的步骤 (1)信息收集 黑客在攻击之前需要收集信息,才能实施有效的攻击; 管理员用信息收集技术来发现系统的弱点;,12.2 信息收集技术,攻击者需要的信息 域名 经过网络可以到达的IP地址 每个主机上运行的TCP和UDP服务 系统体系结构 访问控制机制 系统信息(用户名和用户组名、系统标识、路由表、SNMP信息等) 其他信息,如模拟/数字电话号码、鉴别机制等 ,12.2 信息收集技术,信息收集步骤 找到初始信息 找到网络的地址范围 找到活动的机器 找到开放端口和入口点 弄清操作系统 针对特定应用和服务的漏洞扫描,12.2 信息收集技术,信息收集步骤 找到初始信息 公开信息 Wh
5、ois 一些查询工具 公开信息 DNS域名系统 DNS域名系统是一个全球分布式数据库系统,在基于TCP/IP的 网络中,用于主机名和IP地址间的相互转换。对于每一个DNS节 点,包含有该节点所在的机器的信息、邮件服务器的信息、主 机CPU和操作系统等信息.,12.2 信息收集技术,信息收集步骤 找到初始信息 公开信息 从目标机构的网页入手 也许会泄露一些信息:机构的位置、联系人电话姓名和 电子邮件地址、所用安全机制及策略、网络拓扑结构。 新闻报道、出版发行物 例如:XX公司采用XX系统, XX公司发生安全事件(多次) 新闻组或论坛 管理人员在新闻组或者论坛上的求助信息也会泄漏信息,12.2 信
6、息收集技术,例:来自网站的公开信息,12.2 信息收集技术,信息收集步骤 找到初始信息 公开信息 非网络技术的探查手段 社会工程 通过一些公开的信息,获取支持人员的信任 假冒网管人员,骗取员工的信任(安装木马、修改口令等) 查电话簿、手册(指南) 在信息发达的社会中,只要存在,就没有找不到的,是这样吗? 通过搜索引擎可以获取到大量的信息 搜索引擎提供的信息的有效性?(google),12.2 信息收集技术,信息收集步骤 找到初始信息 WHOIS “WHOIS”是当前域名系统中不可或缺的一项信息服务。在使用域名进行Internet冲浪时,很多用户希望进一步了解域名、名字服务器的详细信息,这就会用
7、到WHOIS。对于域名的注册服务机构(registrar)而言,要确认域名数据是否已经正确注册到域名注册中心(registry),也经常会用到WHOIS。直观来看,WHOIS就是链接到域名数据库的搜索引擎。 WHOIS系统组成 根据IETF标准 要求,WHOIS服务一般由WHOIS系统来提供。WHOIS系统是一个Client/Server系统。,12.2 信息收集技术,Client端主要负责: 1)提供访问WHOIS系统的用户接口; 2)生成查询并将其以适当的格式传送给Server; 3)接收Server传回的响应,并以用户可读的形式输出 Server端则主要负责 接收Client端的请求并发
8、回响应数据。Internet上基于TCP协议的基本服务都有自己默认的TCP端口号,同样作为Internet上核心服务之一的WHOIS服务,其Server端默认监听43号TCP端口,接收查询请求并产生响应。一般来说,Server端可以接收三种类型的信息查询:联系人、主机和域名。对于同一查询,Server端的输出应该具有一致性和稳定性。,12.2 信息收集技术,信息收集步骤 找到初始信息 WHOIS WHOIS工作过程 WHOIS服务是一个在线的“请求/响应”式服务。WHOIS Server运行在后台监听43端口,当Internet用户搜索一个域名(或主机、联系人等其他信息)时,WHOIS Ser
9、ver首先建立一个与Client的TCP连接,然后接收用户请求的信息并据此查询后台域名数据库。如果数据库中存在相应的记录,它会将相关信息如所有者、管理信息以及技术联络信息等,反馈给Client。待Server输出结束,Client关闭连接,至此,一个查询过程结束。 客户程序 UNIX系统自带whois程序 Windows也有一些工具 直接通过Web查询,12.2 信息收集技术,信息收集步骤 找到初始信息 WHOIS 各种whois数据来源 查询InterNIC数据库,只含有非军事和非美国政府的域,查询途径: http:/,提供Web接口 http:/,提供Web接口 多数Unix提供了whoi
10、s,fwhois由Chris Cappuccio编写 http:/,提供Netscan工具 http:/www.samspade.org,提供Sam Spade Web接口 如果需要查询政府、军事和国际性公司,可以查询以下的whois服务器 http:/ 欧洲IP地址分配 http:/ 亚太IP地址分配 http:/whois.nic.mil 美国军事部门,12.2 信息收集技术,信息收集步骤 找到初始信息 WHOIS 各种whois数据来源 http:/whois.nic.gov 美国政府部门 美国以外的whois服务器 通过http:/ http:/ 域名系统 对于国内的域名可以求助于中
11、国互联网信息中心或者中国 万网域名服务系统, http:/ http:/ 查询教育网的域名信息,http:/ reg/otherobj,12.2 信息收集技术,信息收集步骤 找到初始信息 WHOIS 通过这些查询可以得到黑客感兴趣的一些信息: 注册机构:显示特定的注册信息和相关的whois服务器; 机构本身:显示与某个特定机构相关的所有信息; 域名:显示与某个特定域名相关的所有信息 网络:显示与某个特定网络或IP地址相关的所有信息; 联系点:显示与某位特定人员(通常是管理方面联系人)相关的所有信息,12.2 信息收集技术,信息收集步骤 找到初始信息 WHOIS 一些查询工具 命令行方式查询工具
12、:Nslookup, Ping, Finger, Whois, Nslookup : Nslookup是一个功能强大的客户程序 Nslookup,就可以把DNS数据库中的信息挖掘出来。有两种运行模式: 非交互式,通过命令行提交命令 交互式:可以访问DNS数据库中所有开放的信息 UNIX/LINUX环境下的host命令有类似的功能,12.2 信息收集技术,Nslookup示例 使用Nslookup可查到域名服务器地址和IP地址 C:nslookup Server: Address: 202.112.7.13 Non-authoritative answer: Name: Address:
13、162.105.203.7,12.2 信息收集技术,Ping(Packet InterNet Groper)工具 发送ICMP Echo消息,等待Echo Reply消息 可以确定网络和外部主机的状态 可以用来调试网络的软件和硬件 每秒发送一个包,显示响应的输出,计算网络 来回的时间 最后显示统计结果丢包率,12.2 信息收集技术,例: 得到IP地址的简单方法是PING域名 C:ping Pinging 162.105.202.100 with 32 bytes of data: Reply from 162.105.202.100: bytes=32 time10ms TTL=62 Re
14、ply from 162.105.202.100: bytes=32 time10ms TTL=62 Reply from 162.105.202.100: bytes=32 time10ms TTL=62 Reply from 162.105.202.100: bytes=32 time10ms TTL=62 Ping statistics for 162.105.202.100: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms,12.2 信息收集技术,Finger 如果目标器的TCP 79端口开放了Finger服务,很容易得到系统中的用户信息 UNIX系统下,直接键入“Finger”命令,会得到当前注册登录到本系统的用户信息 WINDOS系统下,用Telnet建立到目标服务器TCP 79端口的连接,12.2 信息收集技术,Dig 向域名服务器查询信息的工具 Dig Dig any Dig version.bin
