《信息安全技术第3章黑客攻击技术ppt课件》由会员分享,可在线阅读,更多相关《信息安全技术第3章黑客攻击技术ppt课件(152页珍藏版)》请在金锄头文库上搜索。
1、第第11章章 黑客技术黑客技术11.1 黑客的动机黑客的动机11.2 黑客攻击的流程黑客攻击的流程11.3 黑客技术概述黑客技术概述11.4 针对网络的攻击针对网络的攻击11.5 本章小结本章小结习题习题黑客的动机究竟是什么?在回答这个问题前,我们应黑客的动机究竟是什么?在回答这个问题前,我们应对黑客的种类有所了解,原因是不同种类的黑客动机对黑客的种类有所了解,原因是不同种类的黑客动机有着本质的区别。从黑客行为上划分,黑客有有着本质的区别。从黑客行为上划分,黑客有“善意善意”与与“恶意恶意”两种,即所谓白帽(两种,即所谓白帽(White Hat)及黑)及黑帽(帽(Black Hat)。白帽利用
2、他们的技能做一些善事,)。白帽利用他们的技能做一些善事,而黑帽则利用他们的技能做一些恶事。白帽长期致力而黑帽则利用他们的技能做一些恶事。白帽长期致力于改善计算机社会及其资源,为了改善服务质量及产于改善计算机社会及其资源,为了改善服务质量及产品,他们不断寻找弱点及脆弱性并公布于众。与白帽品,他们不断寻找弱点及脆弱性并公布于众。与白帽的动机相反,黑帽主要从事一些破坏活动,从事的是的动机相反,黑帽主要从事一些破坏活动,从事的是一种犯罪行为。一种犯罪行为。11.1 黑客的动机黑客的动机大量的案例分析表明黑帽具有以下主要犯罪动机。大量的案例分析表明黑帽具有以下主要犯罪动机。(1) 好奇心好奇心许多黑帽声
3、称,他们只是对计算机及电话网感到好奇,许多黑帽声称,他们只是对计算机及电话网感到好奇,希望通过探究这些网络更好地了解它们是如何工作的。希望通过探究这些网络更好地了解它们是如何工作的。(2) 个人声望个人声望通过破坏具有高价值的目标以提高在黑客社会中的可通过破坏具有高价值的目标以提高在黑客社会中的可信度及知名度。信度及知名度。(3) 智力挑战智力挑战为了向自己的智力极限挑战或为了向他人炫耀,证明为了向自己的智力极限挑战或为了向他人炫耀,证明自己的能力;还有些甚至不过是想做个自己的能力;还有些甚至不过是想做个“游戏高手游戏高手”或仅仅为了或仅仅为了“玩玩玩玩”而已。而已。(4) 窃取情报窃取情报在
4、在Internet上监视个人、企业及竞争对手的活动信息上监视个人、企业及竞争对手的活动信息及数据文件,以达到窃取情报的目的。及数据文件,以达到窃取情报的目的。(5) 报复报复电脑罪犯感到其雇主本该提升自己、增加薪水或以其电脑罪犯感到其雇主本该提升自己、增加薪水或以其他方式承认他的工作。电脑犯罪活动成为他反击雇主他方式承认他的工作。电脑犯罪活动成为他反击雇主的方法,也希望借此引起别人的注意。的方法,也希望借此引起别人的注意。(6) 金钱金钱有相当一部分电脑犯罪是为了赚取金钱。有相当一部分电脑犯罪是为了赚取金钱。(7) 政治目的政治目的任何政治因素都会反映到网络领域。主要表现有:任何政治因素都会反
5、映到网络领域。主要表现有: 敌对国之间利用网络的破坏活动;敌对国之间利用网络的破坏活动; 个人及组织对政府不满而产生的破坏活动。这类个人及组织对政府不满而产生的破坏活动。这类黑帽的动机不是钱,几乎永远都是为政治,一般采用黑帽的动机不是钱,几乎永远都是为政治,一般采用的手法包括更改网页、植入电脑病毒等。的手法包括更改网页、植入电脑病毒等。尽管黑客攻击系统的技能有高低之分,入侵系统手法尽管黑客攻击系统的技能有高低之分,入侵系统手法多种多样,但他们对目标系统实施攻击的流程却大致多种多样,但他们对目标系统实施攻击的流程却大致相同。其攻击过程可归纳为以下相同。其攻击过程可归纳为以下9个步骤:踩点个步骤:
6、踩点(Foot Printing)、扫描()、扫描(scanning)、查点)、查点(enumeration)、获取访问权()、获取访问权(Gaining Access)、)、权限提升(权限提升(Escalating Privilege)、窃取)、窃取(pilfering)、掩盖踪迹()、掩盖踪迹(Covering Track)、创建)、创建后门(后门(Creating Back Doors)、拒绝服务攻击)、拒绝服务攻击(Denial of Services)。黑客攻击流程如图)。黑客攻击流程如图11.1所示。所示。11.2 黑客攻击的流程黑客攻击的流程图图11.1 黑客攻击流程图黑客攻击流
7、程图“踩点踩点”原意为策划一项盗窃活动的准备阶段。举例原意为策划一项盗窃活动的准备阶段。举例来说,当盗贼决定抢劫一家银行时,他们不会大摇大来说,当盗贼决定抢劫一家银行时,他们不会大摇大摆地走进去直接要钱,而是狠下一番工夫来搜集这家摆地走进去直接要钱,而是狠下一番工夫来搜集这家银行的相关信息,包括武装押运车的路线及运送时间、银行的相关信息,包括武装押运车的路线及运送时间、摄像头的位置、逃跑出口等信息。在黑客攻击领域,摄像头的位置、逃跑出口等信息。在黑客攻击领域,“踩点踩点”是传统概念的电子化形式。是传统概念的电子化形式。“踩点踩点”的主要的主要目的是获取目标的如下信息:目的是获取目标的如下信息:
8、11.2.1 踩点踩点(1) 因特网网络域名、网络地址分配、域名服务器、因特网网络域名、网络地址分配、域名服务器、邮件交换主机、网关等关键系统的位置及软硬件信息。邮件交换主机、网关等关键系统的位置及软硬件信息。(2) 内联网与内联网与Internet内容类似,但主要关注内部内容类似,但主要关注内部网络的独立地址空间及名称空间。网络的独立地址空间及名称空间。(3) 远程访问模拟远程访问模拟/数字电话号码和数字电话号码和VPN访问点。访问点。(4) 外联网与合作伙伴及子公司的网络的连接地址、外联网与合作伙伴及子公司的网络的连接地址、连接类型及访问控制机制。连接类型及访问控制机制。(5) 开放资源未
9、在前开放资源未在前4类中列出的信息,例如类中列出的信息,例如 Usenet、雇员配置文件等。、雇员配置文件等。为达到以上目的,黑客常采用以下技术。为达到以上目的,黑客常采用以下技术。1.开放信息源搜索开放信息源搜索通过一些标准搜索引擎,揭示一些有价值的信息。例通过一些标准搜索引擎,揭示一些有价值的信息。例如,通过使用如,通过使用Usenet工具检索新闻组(工具检索新闻组(newsgroup)工作帖子,往往能揭示许多有用东西。通过使用工作帖子,往往能揭示许多有用东西。通过使用Google检索检索Web的根路径的根路径C:Inetpub,揭示出目标系揭示出目标系统为统为Windows NT/200
10、0。2.whois查询查询whois是目标是目标Internet域名注册数据库。目前,可用的域名注册数据库。目前,可用的whois数据库很多,例如,查询数据库很多,例如,查询com、net、edu及及org等结尾的域名可通过等结尾的域名可通过http:/得到,而查询美国得到,而查询美国以外的域名则应通过查询以外的域名则应通过查询http:/得得到相应到相应whois数据库服务器的地址后完成进一步的查数据库服务器的地址后完成进一步的查询。通过对询。通过对whois数据库的查询,黑客能够得到以下数据库的查询,黑客能够得到以下用于发动攻击的重要信息:用于发动攻击的重要信息:注册机构,得到特定的注册信
11、息和相关的注册机构,得到特定的注册信息和相关的whois服务服务器;器;机构本身,得到与特定目标相关的全部信息;机构本身,得到与特定目标相关的全部信息;域名,得到与某个域名相关的全部信息;域名,得到与某个域名相关的全部信息;网络,得到与某个网络或网络,得到与某个网络或IP相关的全部信息;相关的全部信息;联系点(联系点(POC),得到与某个人(一般是管理联系),得到与某个人(一般是管理联系人)的相关信息。人)的相关信息。例如,下面是通过例如,下面是通过http:/查询到的查询到的IBM公司的信息:公司的信息:Registrant:IBM Corporation (IBMDOM)Old Orcha
12、rd Rd.Armonk, NY 10504USDomain Name: IBM.COMAdministrative Contact, Technical Contact:Trio, Nicholas R(SZFHGULFPI)nrtWATSON.IBM.COMPO BOX 218YORKTOWN HTS, NY105980218US(914) 9451850 123 123 1234Record expires on 20Mar2005.Record created on 19Mar1986.Database last updated on 8May2003 21:18:57 EDT.Dom
13、ain servers in listed order:NS.WATSON.IBM.COM129.34.20.80NS.ALMADEN.IBM.COM198.4.83.35NS.AUSTIN.IBM.COM192.35.232.34NS.ERS.IBM.COM204.146.173.353.DNS区域传送区域传送DNS区域传送是一种区域传送是一种DNS服务器的冗余机制。通过该服务器的冗余机制。通过该机制,辅机制,辅DNS服务器能够从其主服务器能够从其主DNS服务器更新自己服务器更新自己的数据,以便主的数据,以便主DNS服务器不可用时,辅服务器不可用时,辅DNS服务器服务器能够接替主能够接替主D
14、NS服务器工作。正常情况下,服务器工作。正常情况下,DNS区域区域传送操作只对辅传送操作只对辅DNS服务器开放。然而,当系统管理服务器开放。然而,当系统管理员配置错误时,将导致任何主机均可请求主员配置错误时,将导致任何主机均可请求主DNS服务服务器提供一个区域数据的拷贝,以至于目标域中所有主器提供一个区域数据的拷贝,以至于目标域中所有主机信息泄露。能够实现机信息泄露。能够实现DNS区域传送的常用工具有区域传送的常用工具有dig、nslookup及及Windows版本的版本的 Sam Spade(其网(其网址为址为http:/www.samspade.org)。)。通过踩点已获得一定信息(通过踩
15、点已获得一定信息(IP地址范围、地址范围、DNS服务器服务器地址、邮件服务器地址等),下一步需要确定目标网地址、邮件服务器地址等),下一步需要确定目标网络范围内哪些系统是络范围内哪些系统是“活动活动”的,以及它们提供哪些的,以及它们提供哪些服务。与盗窃案之前的踩点相比,扫描就像是辨别建服务。与盗窃案之前的踩点相比,扫描就像是辨别建筑物的位置并观察它们有哪些门窗。扫描的主要目的筑物的位置并观察它们有哪些门窗。扫描的主要目的是使攻击者对攻击的目标系统所提供的各种服务进行是使攻击者对攻击的目标系统所提供的各种服务进行评估,以便集中精力在最有希望的途径上发动攻击。评估,以便集中精力在最有希望的途径上发
16、动攻击。扫描中采用的主要技术有扫描中采用的主要技术有Ping扫射(扫射(Ping Sweep)、)、TCP/UDP端口扫描、操作系统检测以及旗标端口扫描、操作系统检测以及旗标(banner)的获取。)的获取。11.2.2 扫描扫描1.Ping扫射扫射Ping扫射是判别主机是否扫射是判别主机是否“活动活动”的有效方式。的有效方式。Ping用于向目标主机发送用于向目标主机发送“ICMP”回射请求(回射请求(Echo Request)分组,并期待由此引发的表明目标系统)分组,并期待由此引发的表明目标系统“活动活动”的回射应答(的回射应答(Echo Reply)分组。常用的)分组。常用的ping扫射工
17、具有操作系统的扫射工具有操作系统的Ping命令及用于扫射网段的命令及用于扫射网段的fping、WS_ping等。等。2.端口扫射端口扫射端口扫描就是连接到目标机的端口扫描就是连接到目标机的TCP和和UDP端口上,确端口上,确定哪些服务正在运行及服务的版本号,以便发现相应定哪些服务正在运行及服务的版本号,以便发现相应服务程序的漏洞。著名的扫描工具有服务程序的漏洞。著名的扫描工具有UNIX系统上运系统上运行的行的Netcat (http:/ utilities)及)及Nmap(http:/www.insecure.org/nmap),),Windows系统上运行的系统上运行的 superscan(
18、http:/ Tool Pro 2003(http:/)。)。3.操作系统检测操作系统检测由于许多漏洞是和操作系统紧密相关的,因此,确定操作系由于许多漏洞是和操作系统紧密相关的,因此,确定操作系统类型对于黑客攻击目标来说也十分重要。目前用于探测操统类型对于黑客攻击目标来说也十分重要。目前用于探测操作系统的技术主要可以分为两类:利用系统旗标信息和利用作系统的技术主要可以分为两类:利用系统旗标信息和利用TCP/IP堆栈指纹。每种技术进一步细分为主动鉴别及被动鉴堆栈指纹。每种技术进一步细分为主动鉴别及被动鉴别。目前,常用的检测工具有别。目前,常用的检测工具有Nmap、Queso(http:/www.
19、apostols.org/projectz/queso)、Siphon(http:/)。注:为什么要识别远程主机的注:为什么要识别远程主机的OS?OS识别是入侵或安全检测需要收集的重要信息,是分析漏洞识别是入侵或安全检测需要收集的重要信息,是分析漏洞和各种安全隐患的基础。只有确定了远程主机的操作系统类和各种安全隐患的基础。只有确定了远程主机的操作系统类型,版本,才能对其安全状况做进一步评估。型,版本,才能对其安全状况做进一步评估。 2:什么能标识远程主机的:什么能标识远程主机的OS信息?信息?端口及其运行的服务,主机上运行的程序种类及版本信息,端口及其运行的服务,主机上运行的程序种类及版本信息
20、,TCP/IP协议栈实现的差异等等,凡是能标明某个类型协议栈实现的差异等等,凡是能标明某个类型版本版本OS与其他所有不同类型与其他所有不同类型版本版本OS不同的差别不同的差别均可作为标识远程主机均可作为标识远程主机OS信息的手段。信息的手段。4.旗标获取旗标获取最后一种扫描手段是旗标获取。在旗标获取方法中,最后一种扫描手段是旗标获取。在旗标获取方法中,使用一个打开端口来联系和识别系统提供的服务及版使用一个打开端口来联系和识别系统提供的服务及版本号。最常用的方法是连接到一个端口,按本号。最常用的方法是连接到一个端口,按 Enter 键键几次,看返回什么类型的信息。几次,看返回什么类型的信息。例如
21、:例如: Netat_svr# Telnet 192.168.5.33 22SSH-1.99-OpenSSH_3.1p1表明该端口提供表明该端口提供SSH服务,版本号为服务,版本号为3.1p1。旗标是重要而危险的信息!了解了旗标和其一般获取旗标是重要而危险的信息!了解了旗标和其一般获取方法,你就知道该怎么样来利用那些已经公布出来的方法,你就知道该怎么样来利用那些已经公布出来的应用程序漏洞(现在很多是溢出或格式化字符串类的)应用程序漏洞(现在很多是溢出或格式化字符串类的)了,了, 通过扫描,入侵者掌握了目标系统所使用的操作系统,通过扫描,入侵者掌握了目标系统所使用的操作系统,下一步工作是查点。查
22、点就是搜索特定系统上用户和下一步工作是查点。查点就是搜索特定系统上用户和用户组名、路由表、用户组名、路由表、SNMP信息、共享资源、服务程信息、共享资源、服务程序及旗标等信息。查点所采用的技术依操作系统而定。序及旗标等信息。查点所采用的技术依操作系统而定。在在Windows系统上主要采用的技术有系统上主要采用的技术有“查点查点NetBIOS”线路、空会话(线路、空会话(Null Session)、)、SNMP代代理、活动目录(理、活动目录(Active Directory)等。)等。Windows系统系统上主要使用以下工具:上主要使用以下工具:(1) Windows系统命令系统命令net vi
23、ew、nbtstat、nbtscan及及nltest。11.2.3 查点查点(2) 第三方软件第三方软件 Netviewx(http:/www.ibt.ku.dk/jesper/NetViewX/default.htm);Userdump(http:/ Web服务器服务器及远程缓冲区溢出。而及远程缓冲区溢出。而UNIX系统采用的主要技术有系统采用的主要技术有蛮力密码攻击;密码窃听;通过向某个活动的服务发蛮力密码攻击;密码窃听;通过向某个活动的服务发送精心构造的数据,以产生攻击者所希望的结果的数送精心构造的数据,以产生攻击者所希望的结果的数据驱动式攻击据驱动式攻击(例如缓冲区溢出、输入验证、字典
24、攻例如缓冲区溢出、输入验证、字典攻击等击等);RPC攻击;攻击;NFS攻击以及针对攻击以及针对X-Windows系系统的攻击等。统的攻击等。11.2.4 获取访问权获取访问权著名的密码窃听工具有著名的密码窃听工具有sniffer pro(http:/)、TCPdump、LC4(L0phtcrack version 4,http:/ the RIPper(http:/ 2000 NetDDE漏洞),利用管漏洞),利用管理员不正确的系统配置等。理员不正确的系统配置等。11.2.5 权限提升权限提升常用的口令破解工具有常用的口令破解工具有John The RIPper、 John The RIPpe
25、r,得到,得到Windows NT管理员权限的工具有管理员权限的工具有lc_message、getadmin、sechole、Invisible Keystroke Logger(http:/ 窃取窃取黑客并非踏雪无痕,一旦黑客入侵系统,必然留下痕黑客并非踏雪无痕,一旦黑客入侵系统,必然留下痕迹。此时,黑客需要做的首要工作就是清除所有入侵迹。此时,黑客需要做的首要工作就是清除所有入侵痕迹,避免自己被检测出来,以便能够随时返回被入痕迹,避免自己被检测出来,以便能够随时返回被入侵系统继续干坏事或作为入侵其他系统的中继跳板。侵系统继续干坏事或作为入侵其他系统的中继跳板。掩盖踪迹的主要工作有禁止系统审
26、计、清空事件日志、掩盖踪迹的主要工作有禁止系统审计、清空事件日志、隐藏作案工具及使用人们称为隐藏作案工具及使用人们称为rootkit的工具组替换那的工具组替换那些常用的操作系统命令。常用的清除日志工具有些常用的操作系统命令。常用的清除日志工具有zap、wzap、wted。11.2.7 掩盖跟踪掩盖跟踪黑客的最后一招便是在受害系统上创建一些后门及陷黑客的最后一招便是在受害系统上创建一些后门及陷阱,以便入侵者一时兴起时,卷土重来,并能以特权阱,以便入侵者一时兴起时,卷土重来,并能以特权用户的身份控制整个系统。创建后门的主要方法有创用户的身份控制整个系统。创建后门的主要方法有创建具有特权用户权限的虚
27、假用户账号、安装批处理、建具有特权用户权限的虚假用户账号、安装批处理、安装远程控制工具、使用木马程序替换系统程序、安安装远程控制工具、使用木马程序替换系统程序、安装监控机制及感染启动文件等。装监控机制及感染启动文件等。11.2.8 创建后门创建后门黑客常用的工具有黑客常用的工具有rootkit、sub7(http:/)、cron、at、UNIX的的rc、Windows启动文件夹、启动文件夹、Netcat(http:/ Keystroke Logger、remove.exe等。等。如果黑客未能成功地完成第四步的获取访问权,那么如果黑客未能成功地完成第四步的获取访问权,那么他们所能采取的最恶毒的手
28、段便是进行拒绝服务攻击。他们所能采取的最恶毒的手段便是进行拒绝服务攻击。即使用精心准备好的漏洞代码攻击系统使目标服务器即使用精心准备好的漏洞代码攻击系统使目标服务器资源耗尽或资源过载,以致于没有能力再向外提供服资源耗尽或资源过载,以致于没有能力再向外提供服务。攻击所采用的技术主要是利用协议漏洞及不同系务。攻击所采用的技术主要是利用协议漏洞及不同系统实现的漏洞。统实现的漏洞。11.2.9 拒绝服务攻击拒绝服务攻击3.7 黑客攻击的思路黑客攻击的思路 假假设设某某黑黑客客想想人人侵侵某某企企业业网网络络中中心心一一台台Win2000的的 Web服服 务务 器器 ,入入 侵侵 的的 目目 标标 为为
29、 拿拿 到到”Win2000的的管管理理员员账账户户或或者者修修改改网网站站首首页页。他他可可能能的的攻攻击击思思路路流流程程大致如右图所示。大致如右图所示。3.7.1 信息收集信息收集 信息收集通常有以下一些方法:信息收集通常有以下一些方法: (1)从一些社会信息入手;)从一些社会信息入手; (2)找到网络地址范围;)找到网络地址范围; (3)找到关键的机器地址;)找到关键的机器地址; (4)找到开放端口和入口点;)找到开放端口和入口点; (5)找到系统的制造商和版本;)找到系统的制造商和版本; 信息收集又分为社会工程和技术手段收集。信息收集又分为社会工程和技术手段收集。p社会工程学社会工程
30、学 ()通通过过一一些些公公开开的的信信息息,如如办办公公室室电电话话号号码码、管管理理员员生生日日、姓姓氏氏姓姓名名、家家庭庭电电话话,来来尝尝试试弱弱口口令令,通通过过搜搜索索引引擎擎来来了了解解目目标标网网络络结结构构、关关于于主主机机更更详详细细的的信信息息,虽虽然然几几率率很很小小,至至今今仍仍会会有有管管理理员员犯犯一一些些经经典典的的错错误误,例例如如某某高高能能所所将将自自己己网网络络改改进进方方案案放放之之网网上上,详详细细到到每每台台设设备备的的地地址址配配置置,为为攻攻击击者者留下可乘之机。留下可乘之机。 (2)如如果果以以上上尝尝试试失失败败,可可能能会会通通过过各各种
31、种途途径径获获得得管管理理员员及及内内部部人人员员的的信信任任,例例如如网网络络聊聊天天,然然后后发发送送加加壳壳木木马马软软件件或或者者键键盘盘记记录录工工具具。如如一一段段时时间间熟熟悉悉之之后后,他他可可能能会会利利用用MS04-028漏漏洞洞利利用用工工具具将将自自己己的的照照片片帮帮定定一一个个木木马马,然然后后将将之之将将之之传传到到网网上上,同同时时附附一一个个http:/ (3)如如果果管管理理员员已已经经给给系系统统打打了了补补丁丁,MS04-028漏漏洞洞无无法法利利用用。攻攻击击者者可可能能通通过过协协助助其其解解决决技技术术问问题题,帮帮助助其其测测试试软软件件、交交朋
32、朋友友等等名名义义,能能够够直直接接有有机机会会进进入入网网络络机机房房。进进入入机机房房利利用用查查看看服服务务器器机机会会,可可以以开开设设一一隐隐藏藏账账户户(新新开开一一账账户户或或者者激激活活Guest账户都容易被发觉,如何建一隐藏账户见相关资料)。账户都容易被发觉,如何建一隐藏账户见相关资料)。 如如果果时时间间足足够够,直直接接登登陆陆机机器器或或通通过过网网上上邻邻居居破破解解服服务务器器Sam库库得得到到管管理理员员账账户户和和密密码码也也是是不不错错的的选选择择,下下载载Sam库库破破解解工工具具LC4(或或者者LC5),直直接接破破解解管管理理员员当当前前账账户户。如如果
33、果10位位以以下下纯纯数字密码,数字密码,LC4有能力在有能力在1小时内破解完成。小时内破解完成。(LC4破解本地破解本地SAM库界面)库界面) (4)也也可可能能通通过过查查找找最最新新的的漏漏洞洞库库去去反反查查具具有有漏漏洞洞的的主主机机,再实施攻击。再实施攻击。p 技术手段收集技术手段收集 攻攻击击者者通通过过Windows自自带带命命令令也也可可以以收收集集很很多多对对攻攻击击有有利利的信息。如的信息。如 DNSnslookup,PingTraceroute,Whois等。等。3.7.2 端口扫描端口扫描 通通过过前前一一节节基基本本的的信信息息收收集集,黑黑客客可可能能已已经经获获
34、得得攻攻击击对对象象的的IP地地址址、网网络络结结构构、操操作作系系统统系系统统等等信信息息,接接着着可可以以针针对对性性地地进进行漏洞扫描。行漏洞扫描。p 常用扫描软件常用扫描软件 扫扫描描软软件件有有 SSS(Shadow Security Scanner),Nmap、Xsan、Superscan,以以及及国国产产流流光光等等,SSS是是俄俄罗罗斯斯的的一一套套非非常常专专业业的的安安全全漏漏洞洞扫扫描描软软件件,能能够够扫扫描描目目标标服服务务器器上上的的各各种种漏漏洞洞,包包括括很很多多漏漏洞洞扫扫描描、端端口口扫扫描描、操操作作系系统统检检测测、账账号号扫扫描描等等等等,而且漏洞数据
35、可以随时更新。而且漏洞数据可以随时更新。p扫描远程主机扫描远程主机 开放端口扫描:通过开放哪些端口判断主机开放哪些服务。开放端口扫描:通过开放哪些端口判断主机开放哪些服务。 操操作作系系统统识识别别:SSS本本身身就就提提供供了了强强大大的的操操作作系系统统识识别别能能力力,也也可以使用其他工具进行主机操作系统检测。可以使用其他工具进行主机操作系统检测。 主主机机漏漏洞洞分分析析:SSS可可对对远远程程主主机机进进行行漏漏洞洞检检测测分分析析,这这更更方方便便了了黑黑客客了了解解远远程程主主机机的的状状态态,选选择择合合适适的的攻攻击击入入口口点点,进进行行远程入侵。远程入侵。3.7.3 漏洞
36、利用漏洞利用 由由于于SSS本本身身只只是是一一个个漏漏洞洞扫扫描描软软件件,针针对对漏漏洞洞本本身身不不带带有有任任何何利利用用或或者者攻攻击击功功能能。攻攻击击者者对对于于已已知知漏漏洞洞知知道道如如何何实实施施渗渗透透的的,可可以以直直接接渗渗透透。对对于于不不熟熟悉悉的的漏漏洞洞,则则必必须须找找出出相相应应的的漏漏洞洞利用工具或者利用方法。利用工具或者利用方法。 攻攻击击者者通通过过 Google,Baidu或或者者一一些些黑黑客客网网站站的的漏漏洞洞引引擎擎去去搜搜索索“漏漏洞洞关关键键字字符符”“利利用用”或或“攻攻击击”去去寻寻找找相相关关入入侵侵技技术术文文档档或或者者工工具
37、具,另另外外通通过过己己知知的的漏漏洞洞的的一一些些操操作作系系统统、服服务务、应应用用程序的特征关键字,去搜索更多的目标机器。程序的特征关键字,去搜索更多的目标机器。3.7.4 攻击阶段攻击阶段在在扫扫描描过过漏漏洞洞之之后后,进进入入攻攻击击阶阶段段,根根据据扫扫描描结结果果采采用用的的攻攻击击方方法法也不一样,举例如下:也不一样,举例如下: (1)如如攻攻击击者者通通过过扫扫描描得得到到系系统统存存在在IDQ漏漏洞洞,那那么么攻攻击击者者通通过过搜搜索索“IDQ溢溢出出下下载载”,就就能能搜搜索索到到IDQ over这这样样的的工工具具。具具体体过过程程见见3.2节节的的“idaidq缓
38、缓冲冲区区溢溢出出漏漏洞洞”攻攻击击实实现现,通通过溢出得到过溢出得到 Shell,然后通过,然后通过 Net use增加管理员账户。增加管理员账户。 (2)如如果果没没有有溢溢出出漏漏洞洞,可可以以继继续续查查看看相相关关服服务务漏漏洞洞。如如 IIS的的 Unicode,可可能能安安装装 ServerU等等其其他他可可利利用用漏漏洞洞。如如果果扫扫描描结结果果和和个个人人经经验验判判断断显显示示无无任任何何己己知知漏漏洞洞。可可以以考考虑虑暴暴力力破破解解管管理理员员账账户户(如如果果对对方方未未作作账账户户锁锁定定或或者者设设置置安安全全策策略略),对对Administrator口令实施
39、强行破解。口令实施强行破解。 如如果果目目标标主主机机是是一一台台个个人人主主机机,绝绝大大部部分分情情况况下下均均使使用用Administrator帐帐号号进进行行登登陆陆,且且个个人人防防范范意意识识较较差差的的话话,选选择择的的密密码码一一般般都都较较简简单单,如如“主主机机名名”、“11111”、“12345”等等简简单单密密码码(方方便便自自己己的的快快速速登登陆陆)。所所以以考考虑虑利利用用NetBIOS会会话话服务(服务(TCP 139)进行远程密码猜测。)进行远程密码猜测。 这这里里攻攻击击者者使使用用NAT(NetBIOS Auditing Tool)进进行行强强行行破破解解
40、:构构造造一一个个可可能能的的用用户户账账户户表表,以以及及简简单单的的密密码码字字典典,然然后后用用NAT进行破解。进行破解。 NAT穷举破解管理员账户界面参见下页图示:穷举破解管理员账户界面参见下页图示:(NAT穷举破解管理员账户界面)穷举破解管理员账户界面) (3)如如果果系系统统本本身身没没有有任任何何己己知知漏漏洞洞,攻攻击击者者考考虑虑从从服服务务的的应应用用开开始始人人手手攻攻击击。尤尤其其Web应应用用漏漏洞洞更更是是频频多多,大大致致攻攻击击步步骤骤如下(排序不一定代表攻击顺序先后):如下(排序不一定代表攻击顺序先后): 首首先先判判断断所所使使用用的的系系统统来来源源,如如
41、论论坛坛的的版版本本号号、新新闻闻系系统统来来源源,主主要要通通过过版版权权信信息息,html源源文文件件(非非程程序序源源代代码码)的的Meta信息,系统注释说明特征字。信息,系统注释说明特征字。 通通过过已已知知系系统统特特征征信信息息去去搜搜索索系系统统源源代代码码,下下载载分分析析,包包括括管管理理后后台台,上上传传后后台台,数数据据库库名名称称路路径径等等。尝尝试试站站外外提提交交、下载数据库等。下载数据库等。 如如果果没没有有找找到到特特征征信信息息,用用专专门门搜搜索索工工具具(如如 NBSI)搜搜索索管管理理后后台台登登陆陆页页。管管理理后后台台上上通通常常有有版版权权信信息息
42、。如如果果没没有有,尝尝试试在在用用户户名名里里输输入入“or1=1-”一一类类的的注注入入语语句句。有有时时候候即即使使不不能能绕过后台,也能返回数据库地址等信息。绕过后台,也能返回数据库地址等信息。 以以上上尝尝试试都都没没有有成成功功,可可以以尝尝试试爆爆库库(http:/xxxxxx.xxxx/inc/conn.asp,如如果果出出错错信信息息中中可可以以显显示示出出数数据据库库的的路路径径,就就存存在在这这个个漏漏洞洞见见下下图图)或或者者使使用用工工具具注注入入(如如 Domain3.5)。)。(爆库成功结果) 如如果果上上述述任任何何尝尝试试都都无无功功而而返返,可可以以考考虑虑
43、此此站站任任何何可可以以进进行行交交互互地地方方如如图图像像上上传传、更更改改图图像像、个个性性签签名名等等处处,进进行行抓抓包包,分析提交数据,找出上传漏洞或者分析提交数据,找出上传漏洞或者XSS漏洞进行利用。漏洞进行利用。 一一切切攻攻击击尝尝试试都都无无功功而而返返,说说明明管管理理员员防防范范技技术术很很好好或或者者攻攻击击者者的的技技能能不不够够,攻攻击击者者不不可可能能入入侵侵每每一一台台机机器器,但但可可能能会会试图通过一些拒绝式服务攻击去阻止目标系统的正常运行。试图通过一些拒绝式服务攻击去阻止目标系统的正常运行。3.7.5 后攻击阶段后攻击阶段 如如获获得得管管理理员员账账户户
44、或或者者Webshell,黑黑客客可可能能会会按按以以下下流流程程进行后攻击操作:进行后攻击操作: (1)添加隐藏的管理员账户。)添加隐藏的管理员账户。 (2)拷贝后门到目标机器。)拷贝后门到目标机器。 (3)启动后门。)启动后门。 (4)修补常见漏洞,避免更多黑客进入系统。)修补常见漏洞,避免更多黑客进入系统。 (5)将将此此服服务务器器作作为为代代理理服服务务器器或或者者进进一一步步入入侵侵与与此此机机有有信信任关系的网络。任关系的网络。 (6)安安装装一一些些监监控控木木马马(记记录录银银行行账账户户,QQ密密码码),或或者者在在 Web服服务务器器 index里里加加入入隐隐藏藏木木马
45、马,达达到到其其他他目目的的(安安装装工工具具条条,发起发起DDoS,投放,投放AD)。)。 ( 7 7) 删删 除除 登登 陆陆 以以 及及 操操 作作 日日 志志 ( ( WinDirWinDirSystem32LogFilesSystem32LogFiles)。)。 利利用用溢溢出出攻攻击击,可可以以直直接接获获得得管管理理员员账账户户,如如果果通通过过Web攻攻击击,也也可可以以通通过过一一些些Webshell工工具具以以及及SQL注注入入得得到到或或增增加加管管理理员员账账户户。为为了了今今后后更更好好控控制制主主机机,例例如如监监控控主主机机键键盘盘记记录录或或者者屏屏幕幕,或或是
46、是拷拷贝贝Sam库库回回来来破破解解其其他他管管理理员员账账户户密密码码工工具具,或或通通过过远远程程控控制制工工具具的的控控制制目目标标服服务务器器等等(例例如如安安装装远远程程控控制制服服务务RAMDIN),我我们们可可以以在在对对方方的的服服务务器器上上安安装装一一个个后后门门程程序序。具具体步骤如下(假设后门为体步骤如下(假设后门为NC(Netcat):): 利利用用刚刚刚刚获获取取的的 Administrator口口令令,通通过过 Net use映映射射对方驱动器映射为本机对方驱动器映射为本机 X盘,语句为:盘,语句为: C:net use X:对对方方 IPC“管管理理员员密密码码
47、”/USER:“管管理理员员账账户户名名” 然然后后将将netcat主主程程序序nc.exe复复制制到到目目标标主主机机的的系系统统目目录录下下(便便于于隐隐藏藏),可可将将程程序序名名称称改改为为容容易易迷迷惑惑对对方方的的名名字字,如如rundll32.exe、ddedll32.exe等。等。 木木马马拷拷贝贝到到对对方方机机器器,并并将将其其安安装装执执行行。利利用用 at计计划划任任务务命命令令远远程程启启动动 NetCat,供供远远程程连连接接使使用用。另另外外,再再添添加加每每日日运运行行计计划划以以便便日日后后使使用用。如如果果对对方方停停止止计计划划任任务务,可可用用Micro
48、soft的的Netsvc强制启动。强制启动。 at命令语句为命令语句为:C:at服务服务 IP 16:24 C:Nc.exeinstall netsvc语句为语句为:C: netsvc schedule 对方服务器对方服务器 IP /start 如如果果攻攻击击者者对对开开启启的的服服务务的的名名称称(cmd下下net start可可以以看看到到当当前前启启动动的的服服务务)不不满满意意,怀怀疑疑被被管管理理员员发发现现,还还可可以以将将安安装装的的服服务务名名称称改改成成系系统统服服务务名名,如如 Fax服服务务,这这样样隐隐藏藏得得更更加加彻彻底底: 首先,将系统的首先,将系统的fax服务
49、给删除服务给删除: C:sc 对方对方 IP delete fax 然后再将然后再将NC服务改名服务改名: C:sc 对方对方 IP config NC displaynameFax 对对于于web应应用用攻攻击击,黑黑客客还还可可在在对对方方的的Index或或者者Default页页面面中中加加人人0大大小小窗窗口口的的隐隐藏藏的的iframe,去去加加载载任任何何一一个个恶恶意意的的网网页页,如如木木马马、Cookie收收集集网网页页等等。也也有有可可能能上上传传一些一些Webshell具,准备随时管理被入侵的网站。具,准备随时管理被入侵的网站。 对对于于另另外外一一些些黑黑客客,可可能能会
50、会考考虑虑删删除除日日志志(IIS 默默认认的的日日志志在在:WinDirSystem32LogFiles下下,删删除除全全部部文文件件);一一些些黑黑客客会会考考虑虑修修补补服服务务器器漏漏洞洞,如如删删除除弱弱口口令令、遍遍历历漏漏洞洞等等,防防止止服服务务器器被被再再次次攻攻击击,但但会会给给自自己己留留下下后后门门长长期期占占用用。另另外外一一些些黑黑客客会会去去告告诉诉管管理理员员漏漏洞洞之之所所在在,或或者者直直接接在在其其机机器器上上留留下下痕痕迹迹,如在首页上署名(你们网站有漏洞,通常为脚本青年所为)。如在首页上署名(你们网站有漏洞,通常为脚本青年所为)。 3.8 黑客攻击防范
51、黑客攻击防范 Windows NT(New Technology)是是微微软软公公司司第第一一个个真真正正意意 义义 上上 的的 网网 络络 操操 作作 系系 统统 , 发发 展展 经经 过过 Windows NT3.0/NT4.0/NT5.0(Windows 2000)和和 NT6.0(Windows 2003)等等众众多多版版本本,并并逐逐步步占占据据了了广广大大中中小小网网络络操操作作系系统统的的市市场场。下面主要介绍一些基本的。下面主要介绍一些基本的Windows安全措施:安全措施: l 物理安全、停止物理安全、停止Guest帐号、限制用户数量。帐号、限制用户数量。l 创建多个管理员帐
52、号、管理员帐号改名。创建多个管理员帐号、管理员帐号改名。l 陷阶帐号、更改默认权限、设置安全密码。陷阶帐号、更改默认权限、设置安全密码。l 屏幕保护密码、使用屏幕保护密码、使用NTFS分区。分区。l 运行防毒软件和确保备份盘安全。运行防毒软件和确保备份盘安全。l 关闭不必要的端口、开启审核策略。关闭不必要的端口、开启审核策略。l 操作系统安全策略、关闭不必要的服务。操作系统安全策略、关闭不必要的服务。l 开启密码策略、开启账户策略、备份敏感文件。开启密码策略、开启账户策略、备份敏感文件。l 不显示上次登录名、禁止建立空连接和下载最新的补丁。不显示上次登录名、禁止建立空连接和下载最新的补丁。 上
53、上述述9条条安安全全措措施施,可可以以对对照照关关键键字字通通过过搜搜索索引引擎擎来来了了解解如如何配置。还可以考虑以下的一些高级安全措施:何配置。还可以考虑以下的一些高级安全措施:l 关闭关闭DirectDraw、关闭默认共享。、关闭默认共享。l 禁用禁用 Dump File、文件加密系统。、文件加密系统。l 加密加密Temp文件夹、锁住注册表、关机时清除文件。文件夹、锁住注册表、关机时清除文件。l 禁止软盘光盘启动、使用智能卡、使用禁止软盘光盘启动、使用智能卡、使用IPSec。l 禁止判断主机类型、抵抗禁止判断主机类型、抵抗DDOS。l 禁止禁止Guest访问日志和数据恢复软件。访问日志和
54、数据恢复软件。 除此之外,还需考虑:除此之外,还需考虑:l 保证服务器所提供的服务安全,对服务器的保证服务器所提供的服务安全,对服务器的TCP进行端口过滤。进行端口过滤。l 使使用用防防护护产产品品防防病病毒毒、防防火火墙墙、入入侵侵检检测测,并并保保证证所所有有的的策策略略库库及及时时更更新新,并并尽尽量量考考虑虑使使用用网网络络版版防防毒毒产产品品和和专专业业服服务务器器防防毒毒产品。产品。l 对对Web服服务务器器做做网网络络负负载载平平衡衡,对对公公网网对对内内网网通通信信使使用用VPN,大的内部网络进行大的内部网络进行Vlan划分。划分。l 使使用用加加密密技技术术,如如 PGP加加
55、密密邮邮件件,使使用用 PKI-公公钥钥相相关关软软件件及及服服务,多因素认证、动态口令卡等。务,多因素认证、动态口令卡等。 l使用使用Outlook或者或者Foxmail接收邮件接收邮件,选择纯文本格式阅读邮件。选择纯文本格式阅读邮件。l 使用使用Windows传统风格文件夹,显示所有的文件和后缀名。传统风格文件夹,显示所有的文件和后缀名。l 保证保证Web安全。安全。 a.对网络上下载的免费代码需要反复检测。对网络上下载的免费代码需要反复检测。 b.对对数数据据库库要要进进行行改改名名,设设置置强强壮壮的的管管理理员员密密码码和和修修改改复复杂杂的的数据库表名。数据库表名。 C.删删除除管
56、管理理系系统统的的特特征征字字符符(如如动动力力文文章章的的“Powered by:MyPower Ver3.51”),如如有有可可能能更更改改特特征征的的文文件件名名,如如显显示示文文章章的的Article_Show.asp,可可改改成成其其他他没没有有特特征征的的文文件件名名如如“xxssh.asp”(需需要要注注意意跟跟此此页页面面关关联联的的页页面面连连接接也也得得更更改改成成新的文件名)。新的文件名)。 d.使使用用文文件件比比对对软软件件如如 Beyond Compare查查看看 Web目目录录有有程程序序文件与上传备份文件对比,判断有无被入侵者更改。文件与上传备份文件对比,判断有
57、无被入侵者更改。文件比较文件比较59p Windows漏洞的安全扫描工具漏洞的安全扫描工具工具一:工具一:MBSAMBSA(Microsoft Baseline Security Analyzer,微软基准安全分析器),该软件能对Windows、Office、IIS、SQL Server等软件进行安全和更新扫描(见下图),扫描完成后会用“X”将存在的漏洞标示出来,并提供相应的解决方法来指导用户进行修补。 工具二:工具二:UpdatescanUPDATESCAN是微软公司针对每月发布的补丁所开发的补丁扫描工具,不同于MBSA的是,每月UPDATESCAN都会 有新的版本。 网络是多种信息技术的集
58、合体,它的运行依靠相关的网络是多种信息技术的集合体,它的运行依靠相关的大量技术标准和协议。作为网络的入侵者,黑客的工大量技术标准和协议。作为网络的入侵者,黑客的工作主要是通过对技术和实际实现中的逻辑漏洞进行挖作主要是通过对技术和实际实现中的逻辑漏洞进行挖掘,通过系统允许的操作对没有权限操作的信息资源掘,通过系统允许的操作对没有权限操作的信息资源进行访问和处理。目前,黑客对网络的攻击主要是通进行访问和处理。目前,黑客对网络的攻击主要是通过网络中存在的拓扑漏洞以及对外提供服务的实现漏过网络中存在的拓扑漏洞以及对外提供服务的实现漏洞实现成功的渗透。洞实现成功的渗透。11.3 黑客技术概述黑客技术概述
59、除了使用这些技术上的漏洞,黑客还可以充分利用人除了使用这些技术上的漏洞,黑客还可以充分利用人为运行管理中存在的问题对目标网络实施入侵。通过为运行管理中存在的问题对目标网络实施入侵。通过欺骗、信息搜集等社会工程学的方法,黑客可以从网欺骗、信息搜集等社会工程学的方法,黑客可以从网络运行管理的薄弱环节入手,通过对人本身的习惯的络运行管理的薄弱环节入手,通过对人本身的习惯的把握,迅速地完成对网络用户身份的窃取并进而完成把握,迅速地完成对网络用户身份的窃取并进而完成对整个网络的攻击。对整个网络的攻击。可以看出,黑客的技术范围很广,涉及网络协议解析、可以看出,黑客的技术范围很广,涉及网络协议解析、源码安全
60、性分析、密码强度分析和社会工程学等多个源码安全性分析、密码强度分析和社会工程学等多个不同的学科。入侵一个目标系统,在早期需要黑客具不同的学科。入侵一个目标系统,在早期需要黑客具有过硬的协议分析基础、深厚的数学功底。但由于网有过硬的协议分析基础、深厚的数学功底。但由于网络的共享能力以及自动攻击脚本的成熟与广泛的散播,络的共享能力以及自动攻击脚本的成熟与广泛的散播,现在黑客的行为愈演愈烈,而对黑客的技术要求也在现在黑客的行为愈演愈烈,而对黑客的技术要求也在不断地降低。不断地降低。目前,在实施网络攻击中,黑客所使用的入侵技术主目前,在实施网络攻击中,黑客所使用的入侵技术主要包括以下几种:要包括以下几
61、种:协议漏洞渗透;协议漏洞渗透;密码分析还原;密码分析还原;应用漏洞分析与渗透;应用漏洞分析与渗透;社会工程学;社会工程学;拒绝服务攻击;拒绝服务攻击;病毒或后门攻击。病毒或后门攻击。网络中包含着种类繁多但层次清晰的网络协议规范。网络中包含着种类繁多但层次清晰的网络协议规范。这些协议规范是网络运行的基本准则,也是构建在其这些协议规范是网络运行的基本准则,也是构建在其上的各种应用和服务的运行基础。但对于底层的网络上的各种应用和服务的运行基础。但对于底层的网络协议来说,对于安全的考虑有着先天的不足,部分网协议来说,对于安全的考虑有着先天的不足,部分网络协议具有严重的安全漏洞。通过对网络标准协议的络
62、协议具有严重的安全漏洞。通过对网络标准协议的分析,黑客可以从中总结出针对协议的攻击过程,利分析,黑客可以从中总结出针对协议的攻击过程,利用协议的漏洞实现对目标网络的攻击。用协议的漏洞实现对目标网络的攻击。11.3.1 协议漏洞渗透协议漏洞渗透随着网络的不断发展,网络安全越来越得到管理者的随着网络的不断发展,网络安全越来越得到管理者的重视,大量陈旧的网络协议被新的更安全的网络协议重视,大量陈旧的网络协议被新的更安全的网络协议所代替。作为现代网络的核心协议,所代替。作为现代网络的核心协议,TCP/IP协议正协议正在不断地得到安全的修补,即在不破坏正常协议流程在不断地得到安全的修补,即在不破坏正常协
63、议流程的情况下,修改影响网络安全的部分。当然,由于先的情况下,修改影响网络安全的部分。当然,由于先天的不足,一些协议上的漏洞是无法通过修改协议弥天的不足,一些协议上的漏洞是无法通过修改协议弥补的。通过应用这些固有的协议漏洞,黑客开发出了补的。通过应用这些固有的协议漏洞,黑客开发出了针对特定网络协议环境下的网络攻击技术,这些技术针对特定网络协议环境下的网络攻击技术,这些技术以会话侦听与劫持技术和地址欺骗技术应用较多。以会话侦听与劫持技术和地址欺骗技术应用较多。1.会话侦听与劫持技术会话侦听与劫持技术传统的以太网络使用共享的方式完成对数据分组的传传统的以太网络使用共享的方式完成对数据分组的传送。这
64、在目前尤其在一些已经有一定历史的网络中是送。这在目前尤其在一些已经有一定历史的网络中是主要的分组发送方式。在这种方式下,发往目的结点主要的分组发送方式。在这种方式下,发往目的结点的分组数据实际上被发送给了所在网段的每一个结点。的分组数据实际上被发送给了所在网段的每一个结点。目的结点接收这些分组,并与其他结点共享传送带宽。目的结点接收这些分组,并与其他结点共享传送带宽。虽然从带宽的利用率上,这样做的实现利用率并不高,虽然从带宽的利用率上,这样做的实现利用率并不高,但由于实际的实现较为简单,同时造价较低,因此在但由于实际的实现较为简单,同时造价较低,因此在网络中得到了广泛的应用。正是根据共享式的网
65、络环网络中得到了广泛的应用。正是根据共享式的网络环境的数据共享特性,黑客技术中出现了会话窃听与劫境的数据共享特性,黑客技术中出现了会话窃听与劫持技术。持技术。只要可以作为目标网络环境的一个结点,就可以接收只要可以作为目标网络环境的一个结点,就可以接收到目标网络中流动的所有数据信息。这种接收的设置到目标网络中流动的所有数据信息。这种接收的设置非常简单,对于普通的计算机,只要将网卡设为混杂非常简单,对于普通的计算机,只要将网卡设为混杂模式就可以达到接收处理所有网络数据的目的。利用模式就可以达到接收处理所有网络数据的目的。利用会话窃听技术,入侵者可以通过重组数据包将网络内会话窃听技术,入侵者可以通过
66、重组数据包将网络内容还原,轻松地获得明文信息。例如,当前的网站登容还原,轻松地获得明文信息。例如,当前的网站登录中,在密码传输方面使用的方式几乎都是明文传送。录中,在密码传输方面使用的方式几乎都是明文传送。因此,这类密码也就相当容易获得。由于人的因素,因此,这类密码也就相当容易获得。由于人的因素,每个人使用的用户名和密码都只限于几个。通过获取每个人使用的用户名和密码都只限于几个。通过获取明文密码信息,入侵者不但可以轻易地以被监听者的明文密码信息,入侵者不但可以轻易地以被监听者的身份进入到各个网站,还可以通过搜集的用户密码表身份进入到各个网站,还可以通过搜集的用户密码表进入被监听人的计算机进行破
67、坏。进入被监听人的计算机进行破坏。会话窃听技术是网络信息搜集的一种重要方式,而利会话窃听技术是网络信息搜集的一种重要方式,而利用用TCP协议的漏洞,黑客更可以对所窥探的协议的漏洞,黑客更可以对所窥探的TCP连接连接进行临时的劫持,以会话一方用户的身份继续进行会进行临时的劫持,以会话一方用户的身份继续进行会话。会话劫持的根源在于话。会话劫持的根源在于TCP协议中对分组的处理。协议中对分组的处理。2.地址欺骗技术地址欺骗技术在传统的网络中,存在着大量的简单认证方式,这些在传统的网络中,存在着大量的简单认证方式,这些方式的基本原则就是以主机的方式的基本原则就是以主机的IP地址作为认证的基础,地址作为
68、认证的基础,即所谓的主机信任。通过设定主机信任关系,用户对即所谓的主机信任。通过设定主机信任关系,用户对网络的访问和管理行为变得简单,很大程度上提高了网络的访问和管理行为变得简单,很大程度上提高了网络的易用性。网络的易用性。这样的认证行为基于以下网络协议原则,即在网络中,这样的认证行为基于以下网络协议原则,即在网络中,所有的计算机都是通过如所有的计算机都是通过如IP这样的地址进行辨认,每这样的地址进行辨认,每一个主机具有固定的并且是惟一(这里的惟一相对于一个主机具有固定的并且是惟一(这里的惟一相对于所在网络而言)的地址。通过确认所在网络而言)的地址。通过确认IP就可以确认目标就可以确认目标主机
69、的身份。但就像现实中有假的身份证一样,网络主机的身份。但就像现实中有假的身份证一样,网络的地址也可以被假冒,这就是所谓的地址也可以被假冒,这就是所谓IP地址的欺骗。由地址的欺骗。由于网络的基础协议在安全性上的漏洞,这种假冒远较于网络的基础协议在安全性上的漏洞,这种假冒远较现实中的假冒方便简单。通过对地址的假冒,入侵者现实中的假冒方便简单。通过对地址的假冒,入侵者可以获得所仿冒地址计算机的所有特权,也就容易攻可以获得所仿冒地址计算机的所有特权,也就容易攻入到其他给被仿冒计算机提供信任连接的计算机上,入到其他给被仿冒计算机提供信任连接的计算机上,造成机密泄漏。如果防火墙配置不当,这种攻击甚至造成机
70、密泄漏。如果防火墙配置不当,这种攻击甚至可以绕过防火墙,破坏防火墙内的计算机。可以绕过防火墙,破坏防火墙内的计算机。为了保证数据的安全性,现在通常的方法是对数据进为了保证数据的安全性,现在通常的方法是对数据进行加密,防止可疑的截取行为造成的信息泄漏。对于行加密,防止可疑的截取行为造成的信息泄漏。对于数据的加密通常需要一个密钥,数据与密钥通过加密数据的加密通常需要一个密钥,数据与密钥通过加密算法自动机进行合成,生成密文。对于不知道密钥的算法自动机进行合成,生成密文。对于不知道密钥的攻击者来说,截获的密文难以理解。而对于非对称加攻击者来说,截获的密文难以理解。而对于非对称加密算法,即使攻击者知道密
71、钥,也无法从密文中还原密算法,即使攻击者知道密钥,也无法从密文中还原出明文信息。这样就可以保证网络通信信息的安全性。出明文信息。这样就可以保证网络通信信息的安全性。同样,对于认证用的密码信息,一般也是使用强度较同样,对于认证用的密码信息,一般也是使用强度较高的加密算法进行加密,以密文的形式存储在系统中。高的加密算法进行加密,以密文的形式存储在系统中。这些密文使用加密算法的强度一般较高,黑客即使获这些密文使用加密算法的强度一般较高,黑客即使获得密文存储文件,也难以从这些密文中分析出正确的得密文存储文件,也难以从这些密文中分析出正确的密码。密码。11.3.2 密码分析还原密码分析还原密码学等加密技
72、术向人们做出保证,密码的攻破理论密码学等加密技术向人们做出保证,密码的攻破理论上是不可行的,如果采用蛮力攻击的话,所用的时间上是不可行的,如果采用蛮力攻击的话,所用的时间将长到足够保证安全的程度。但现实中,密码的破解将长到足够保证安全的程度。但现实中,密码的破解却并不如理论中所保证的那样困难。随着计算机运算却并不如理论中所保证的那样困难。随着计算机运算速度的指数级提高,相同的运算量所使用的时间明显速度的指数级提高,相同的运算量所使用的时间明显地缩短。同时,对加密算法的强度分析以及社会工程地缩短。同时,对加密算法的强度分析以及社会工程学的密码筛选技术的不断发展,现实网络中的大量密学的密码筛选技术
73、的不断发展,现实网络中的大量密码可以在可接受的时间内被分析还原。密码分析与还码可以在可接受的时间内被分析还原。密码分析与还原技术不使用系统和网络本身的漏洞,虽然涉及对密原技术不使用系统和网络本身的漏洞,虽然涉及对密码算法的强度分析,但它主要利用的是人的惰性以及码算法的强度分析,但它主要利用的是人的惰性以及系统的错误配置。应用这类技术手段攻击通常是可以系统的错误配置。应用这类技术手段攻击通常是可以通过人工手段避免的,只要严格要求网络所在用户的通过人工手段避免的,只要严格要求网络所在用户的密码强度,还是可以避免大部分的攻击,但由于这涉密码强度,还是可以避免大部分的攻击,但由于这涉及人员管理,代价也
74、非常大。及人员管理,代价也非常大。目前网络中使用的加密算法,从加密的种类上来分,目前网络中使用的加密算法,从加密的种类上来分,主要包括对称加密和非对称加密两种基本的类别。根主要包括对称加密和非对称加密两种基本的类别。根据分析的出发点不同,密码分析还原技术主要分为密据分析的出发点不同,密码分析还原技术主要分为密码还原技术和密码猜测技术。对于网络上通用的标准码还原技术和密码猜测技术。对于网络上通用的标准加密算法来说,攻击这类具有很高强度加密算法的手加密算法来说,攻击这类具有很高强度加密算法的手段通常是使用后一种技术。在进行攻击的时候,密码段通常是使用后一种技术。在进行攻击的时候,密码分析还原所针对
75、的对象主要是通过其他侦听手段获取分析还原所针对的对象主要是通过其他侦听手段获取到的认证数据信息,包括系统存储认证信息的文件或到的认证数据信息,包括系统存储认证信息的文件或利用连接侦听手段获取的用户登录的通信信息数据。利用连接侦听手段获取的用户登录的通信信息数据。1.密码还原技术密码还原技术密码还原技术主要针对的是强度较低的加密算法。通密码还原技术主要针对的是强度较低的加密算法。通过对加密过程的分析,从加密算法中找出算法的薄弱过对加密过程的分析,从加密算法中找出算法的薄弱环节,从加密样本中直接分析出相关的密钥和明文。环节,从加密样本中直接分析出相关的密钥和明文。对于非对称算法,可以通过对密文的反
76、推将明文的可对于非对称算法,可以通过对密文的反推将明文的可能范围限定在有限的范围内,达到还原密文的结果。能范围限定在有限的范围内,达到还原密文的结果。这种方法需要对密码算法有深入的研究,同时,相关这种方法需要对密码算法有深入的研究,同时,相关算法的密码还原过程的出现,也就注定了相应加密算算法的密码还原过程的出现,也就注定了相应加密算法寿命的终结。法寿命的终结。对于目前网络上通行的标准加密算法来说,从理论和对于目前网络上通行的标准加密算法来说,从理论和实践中还没出现对应的密码还原过程,因此密码还原实践中还没出现对应的密码还原过程,因此密码还原技术的使用并不多。但对于没有公开加密算法的操作技术的使
77、用并不多。但对于没有公开加密算法的操作系统来说,由于算法的强度不够,在过程被了解后,系统来说,由于算法的强度不够,在过程被了解后,黑客就会根据分析中获得的算法漏洞完成密码还原的黑客就会根据分析中获得的算法漏洞完成密码还原的算法。现在,对于算法。现在,对于Windows操作系统来说,用户认证操作系统来说,用户认证的加密算法就已经被分析攻破,用户只要使用密码破的加密算法就已经被分析攻破,用户只要使用密码破解程序就可以完成对系统上所有密码的破解,获取系解程序就可以完成对系统上所有密码的破解,获取系统上所有用户的访问权限。统上所有用户的访问权限。2.密码猜测技术密码猜测技术密码还原技术需要目标系统使用
78、强度不高的、有一定密码还原技术需要目标系统使用强度不高的、有一定安全漏洞的加密算法,而对于一般的成熟加密算法,安全漏洞的加密算法,而对于一般的成熟加密算法,密码攻击主要使用的是密码猜测技术。密码猜测技术密码攻击主要使用的是密码猜测技术。密码猜测技术的原理主要是利用穷举的方法猜测可能的明文密码,的原理主要是利用穷举的方法猜测可能的明文密码,将猜测的明文经过加密后与实际的密文进行比较,如将猜测的明文经过加密后与实际的密文进行比较,如果所猜测的密文与实际的密文相符,则表明密码攻击果所猜测的密文与实际的密文相符,则表明密码攻击成功,攻击者可以利用这个密码获得相应用户的权限。成功,攻击者可以利用这个密码
79、获得相应用户的权限。往往这样猜测出来的密码与实际的密码相一致。往往这样猜测出来的密码与实际的密码相一致。密码猜测技术的核心在于如何根据已知的信息调整密密码猜测技术的核心在于如何根据已知的信息调整密码猜测的过程,在尽可能短的时间内破解密码。从理码猜测的过程,在尽可能短的时间内破解密码。从理论上讲,密码猜测的破解过程需要一段很长的时间,论上讲,密码猜测的破解过程需要一段很长的时间,而实际上,应用密码猜测技术实现对系统的攻击是目而实际上,应用密码猜测技术实现对系统的攻击是目前最为有效的攻击方式。这种方法比想像的更加有效前最为有效的攻击方式。这种方法比想像的更加有效的原因是许多人在选择密码时,技巧性都
80、不是很好,的原因是许多人在选择密码时,技巧性都不是很好,密码复杂性不高。简单的密码非常容易猜到,例如,密码复杂性不高。简单的密码非常容易猜到,例如,很多人使用用户名加上一些有意义的数字(生日或是很多人使用用户名加上一些有意义的数字(生日或是连续数字序列等)作为自己的密码,甚至有些人的密连续数字序列等)作为自己的密码,甚至有些人的密码与用户名相同,一些密码长度只有几个甚至一个字码与用户名相同,一些密码长度只有几个甚至一个字符。这类密码容易记忆,但也方便了入侵者。符。这类密码容易记忆,但也方便了入侵者。密码猜测技术就是利用人们的这种密码设置习惯,针密码猜测技术就是利用人们的这种密码设置习惯,针对所
81、搜集到的信息,对有意义的单词和用户名与生日对所搜集到的信息,对有意义的单词和用户名与生日形式的数列代码或简单数字序列进行排列组合,形成形式的数列代码或简单数字序列进行排列组合,形成密码字典,同时根据所搜集到的用户信息,对字典的密码字典,同时根据所搜集到的用户信息,对字典的排列顺序进行调整。以这个生成的字典作为基础,模排列顺序进行调整。以这个生成的字典作为基础,模拟登录的方式,逐一进行匹配操作,密码猜测工具可拟登录的方式,逐一进行匹配操作,密码猜测工具可以利用这种方式破解大量的系统。密码猜测技术的核以利用这种方式破解大量的系统。密码猜测技术的核心就是这种密码字典的生成技术。上述的生成方式是心就是
82、这种密码字典的生成技术。上述的生成方式是密码字典的基本生成原则。密码字典的基本生成原则。随着对目标网络用户信息搜集的深入,密码猜测工具随着对目标网络用户信息搜集的深入,密码猜测工具对字典进行的筛选越来越精细,字典序列调整的依据对字典进行的筛选越来越精细,字典序列调整的依据也就越多。对于攻击用的密码猜测技术,其主要目的也就越多。对于攻击用的密码猜测技术,其主要目的就是为了获取对目标网络的访问权限,它是黑客入侵就是为了获取对目标网络的访问权限,它是黑客入侵过程中介于信息搜集和攻击之间的攻击过程。从对目过程中介于信息搜集和攻击之间的攻击过程。从对目标网络的密码猜测攻击中就可以了解到目标网络对安标网络
83、的密码猜测攻击中就可以了解到目标网络对安全的重视程度。在以往黑客攻击的事件中,有大量目全的重视程度。在以往黑客攻击的事件中,有大量目标网络由于不重视安全管理,用户的密码强度不够,标网络由于不重视安全管理,用户的密码强度不够,黑客可以在几分钟甚至几秒钟的时间内破解大量一般黑客可以在几分钟甚至几秒钟的时间内破解大量一般用户甚至是管理员账户的密码。用户甚至是管理员账户的密码。任何的应用程序都不可避免地存在着一些逻辑漏洞,任何的应用程序都不可避免地存在着一些逻辑漏洞,这在这在IT行业中已经形成了共识。这一点,对于安全隐行业中已经形成了共识。这一点,对于安全隐患也同样适用。在这方面操作系统也不例外,几乎
84、每患也同样适用。在这方面操作系统也不例外,几乎每天都有人宣布发现了某个操作系统的安全漏洞。而这天都有人宣布发现了某个操作系统的安全漏洞。而这些安全漏洞也就成为了入侵者的攻击对象。通过对这些安全漏洞也就成为了入侵者的攻击对象。通过对这些安全漏洞的分析,确认漏洞的引发方式以及引发后些安全漏洞的分析,确认漏洞的引发方式以及引发后对系统造成的影响,攻击者可以使用合适的攻击程序对系统造成的影响,攻击者可以使用合适的攻击程序引发漏洞的启动,破坏整个服务系统的运行过程,进引发漏洞的启动,破坏整个服务系统的运行过程,进而渗透到服务系统中,造成目标网络的损失。而渗透到服务系统中,造成目标网络的损失。11.3.3
85、 应用漏洞分析与渗透应用漏洞分析与渗透目前,对各个网站的攻击几乎都使用到了应用漏洞分目前,对各个网站的攻击几乎都使用到了应用漏洞分析与渗透技术,攻击者或是利用析与渗透技术,攻击者或是利用WWW服务器的漏洞,服务器的漏洞,或是利用操作系统的缺陷攻入服务器,篡改网站主页。或是利用操作系统的缺陷攻入服务器,篡改网站主页。最近经常提及的对微软的最近经常提及的对微软的IIS服务器的攻击,就是利服务器的攻击,就是利用用IIS对对unicode解释的缺陷实现的。由于这类错误,解释的缺陷实现的。由于这类错误,入侵者甚至只使用浏览器就可以随意地篡改网站服务入侵者甚至只使用浏览器就可以随意地篡改网站服务器的内容。
86、最新的病毒器的内容。最新的病毒Nimda也是利用了也是利用了Outlook Express的安全漏洞迅速地传播开来的。的安全漏洞迅速地传播开来的。应用漏洞从错误类型上主要包括服务流程漏洞和边界应用漏洞从错误类型上主要包括服务流程漏洞和边界条件漏洞。条件漏洞。1.服务流程漏洞服务流程漏洞服务流程漏洞指服务程序在运行处理过程中,由于流服务流程漏洞指服务程序在运行处理过程中,由于流程次序的颠倒或对意外条件的处理的随意性,造成用程次序的颠倒或对意外条件的处理的随意性,造成用户有可能通过特殊类型的访问绕过安全控制部分或使户有可能通过特殊类型的访问绕过安全控制部分或使服务进入到异常的运行状态。服务进入到异
87、常的运行状态。例如,著名的例如,著名的IIS漏洞就是由漏洞就是由unicode的解释过程在路的解释过程在路径安全确认过程之后这样的流程错误产生的。利用这径安全确认过程之后这样的流程错误产生的。利用这种流程错误,用户可以将路径分割符分解为种流程错误,用户可以将路径分割符分解为unicode编码中的两个字符,造成服务在确认路径的时候被误编码中的两个字符,造成服务在确认路径的时候被误认为属于文件名而分析通过,在经过认为属于文件名而分析通过,在经过unicode解释后,解释后,系统根据指定的路径达到了对系统非公开资源的非法系统根据指定的路径达到了对系统非公开资源的非法访问。又如用户可以对处理输入不严密
88、的访问。又如用户可以对处理输入不严密的CGI程序输程序输入含有运行代码的请求,如果没有对输入进行合法性入含有运行代码的请求,如果没有对输入进行合法性的处理,的处理,CGI程序就会在执行的过程中启动用户写入程序就会在执行的过程中启动用户写入的运行代码,造成系统信息的泄漏或破坏。的运行代码,造成系统信息的泄漏或破坏。2.边界条件漏洞边界条件漏洞边界条件漏洞则主要针对服务程序中存在的边界处理边界条件漏洞则主要针对服务程序中存在的边界处理不严谨的情况。在对服务程序的开发过程中,很多边不严谨的情况。在对服务程序的开发过程中,很多边界条件尤其是对输入信息的合法性处理往往很难做到界条件尤其是对输入信息的合法
89、性处理往往很难做到周全,在正常情况下,对边界条件考虑的不严密并不周全,在正常情况下,对边界条件考虑的不严密并不会造成明显可见的错误,但这种不严密的处理却会带会造成明显可见的错误,但这种不严密的处理却会带来严重的安全隐患。在边界漏洞中,以内存溢出错误来严重的安全隐患。在边界漏洞中,以内存溢出错误最为普遍,影响也最为严重。有很多攻击都是利用超最为普遍,影响也最为严重。有很多攻击都是利用超长的数据填满数据区并造成溢出错误,利用这种溢出长的数据填满数据区并造成溢出错误,利用这种溢出在没有写权限的内存中写入非法数据。在没有写权限的内存中写入非法数据。这些数据有些只是单纯地造成相关服务的停止,而另这些数据
90、有些只是单纯地造成相关服务的停止,而另一些则带有可运行信息,通过溢出,重定向了返回指一些则带有可运行信息,通过溢出,重定向了返回指针,启动写入数据中的运行代码,获取远程操作系统针,启动写入数据中的运行代码,获取远程操作系统的超级管理员权限或是对数据进行破坏,造成服务甚的超级管理员权限或是对数据进行破坏,造成服务甚至整个系统的崩溃。由于这种攻击涉及系统内核和内至整个系统的崩溃。由于这种攻击涉及系统内核和内存分配,与操作系统直接相关,但往往非常有效,并存分配,与操作系统直接相关,但往往非常有效,并且很难杜绝。这种类型的攻击是目前应用最多的攻击且很难杜绝。这种类型的攻击是目前应用最多的攻击方式,对于
91、网络的影响也最为严重。这类攻击包括方式,对于网络的影响也最为严重。这类攻击包括BIND溢出攻击、溢出攻击、sendmail溢出攻击、溢出攻击、Linux bash缓缓冲溢出攻击等。随着应用程序的复杂性不断提高,边冲溢出攻击等。随着应用程序的复杂性不断提高,边界条件类型的漏洞将会不断出现,而基于这种漏洞的界条件类型的漏洞将会不断出现,而基于这种漏洞的攻击也会不断增加。攻击也会不断增加。社会工程学与黑客使用的其他技术具有很大的差别,社会工程学与黑客使用的其他技术具有很大的差别,它所研究的对象不是严谨的计算机技术,而是目标网它所研究的对象不是严谨的计算机技术,而是目标网络的人员。社会工程学主要是利用
92、说服或欺骗的方法络的人员。社会工程学主要是利用说服或欺骗的方法来获得对信息系统的访问。这种说服和欺骗通常是通来获得对信息系统的访问。这种说服和欺骗通常是通过和人交流或其他互动方式实现的。过和人交流或其他互动方式实现的。11.3.4 社会工程学社会工程学简单地说,社会工程学就是黑客对人类天性趋于信任简单地说,社会工程学就是黑客对人类天性趋于信任倾向的聪明利用。黑客的目标是获得信息,通过获得倾向的聪明利用。黑客的目标是获得信息,通过获得那些重要系统未授权的访问路径来获取该系统中的某那些重要系统未授权的访问路径来获取该系统中的某些信息。信任是一切安全的基础。一般认为对于保护些信息。信任是一切安全的基
93、础。一般认为对于保护与审核的信任是整个安全链中最薄弱的一环,人类那与审核的信任是整个安全链中最薄弱的一环,人类那种天生愿意相信其他人的说辞的倾向让大多数人容易种天生愿意相信其他人的说辞的倾向让大多数人容易被这种手段所利用。这也是许多很有经验的安全专家被这种手段所利用。这也是许多很有经验的安全专家所强调的。所强调的。可以从两个层次来对社会工程学类的攻击进行分析:可以从两个层次来对社会工程学类的攻击进行分析:物理上的和心理上的。物理上的和心理上的。1.物理分析物理分析物理上,入侵发生的物理地点可以是工作区、电话、物理上,入侵发生的物理地点可以是工作区、电话、目标企业垃圾堆,甚至是在网上。目标企业垃
94、圾堆,甚至是在网上。(1) 对于工作区来说,黑客可以只是简单地走进来,对于工作区来说,黑客可以只是简单地走进来,冒充允许进入公司的维护人员或是顾问。大多数情况冒充允许进入公司的维护人员或是顾问。大多数情况下,入侵者可以对整个工作区进行深入的观察,直到下,入侵者可以对整个工作区进行深入的观察,直到找到一些密码或是一些可以利用的资料之后离开。另找到一些密码或是一些可以利用的资料之后离开。另一种获得审核信息的手段就是站在工作区观察公司雇一种获得审核信息的手段就是站在工作区观察公司雇员如何键入密码并偷偷记住。员如何键入密码并偷偷记住。(2) 最流行的社会工程学手段是通过电话进行的。最流行的社会工程学手
95、段是通过电话进行的。黑客可以冒充一个权力很大或是很重要的人物的身份,黑客可以冒充一个权力很大或是很重要的人物的身份,打电话从其他用户那里获得信息。一般机构的咨询台打电话从其他用户那里获得信息。一般机构的咨询台容易成为这类攻击的目标。咨询台之所以容易受到社容易成为这类攻击的目标。咨询台之所以容易受到社会工程学的攻击,是因为他们所处的位置就是为他人会工程学的攻击,是因为他们所处的位置就是为他人提供帮助的,因此就可能被人利用来获取非法信息。提供帮助的,因此就可能被人利用来获取非法信息。咨询台人员一般接受的训练都是要求他们待人友善,咨询台人员一般接受的训练都是要求他们待人友善,并能够提供别人所需要的信
96、息,所以这就成为了社会并能够提供别人所需要的信息,所以这就成为了社会工程学家们的金矿。大多数的咨询台人员所接受的安工程学家们的金矿。大多数的咨询台人员所接受的安全领域的培训与教育很少,这就造成了很大的安全隐全领域的培训与教育很少,这就造成了很大的安全隐患。患。 (3) 翻垃圾是另一种常用的社会工程学手段。因为翻垃圾是另一种常用的社会工程学手段。因为企业的垃圾堆里面往往包含了大量的信息。在垃圾堆企业的垃圾堆里面往往包含了大量的信息。在垃圾堆中可以找出很多危害安全的信息,包括企业的电话簿、中可以找出很多危害安全的信息,包括企业的电话簿、机构表格、备忘录等。这些资源可以向黑客提供大量机构表格、备忘录
97、等。这些资源可以向黑客提供大量的信息。电话簿可以向黑客提供员工的姓名、电话号的信息。电话簿可以向黑客提供员工的姓名、电话号码来作为目标和冒充的对象。机构的表格包含的信息码来作为目标和冒充的对象。机构的表格包含的信息可以让他们知道机构中的高级员工的姓名。备忘录中可以让他们知道机构中的高级员工的姓名。备忘录中的信息可以让他们一点点地获得有用信息来帮助他们的信息可以让他们一点点地获得有用信息来帮助他们扮演可信任的身份。企业的规定可以让他们了解机构扮演可信任的身份。企业的规定可以让他们了解机构的安全情况如何。日期安排表更是重要,黑客可以知的安全情况如何。日期安排表更是重要,黑客可以知道在某一时间有哪些
98、员工出差不在公司。系统手册、道在某一时间有哪些员工出差不在公司。系统手册、敏感信息,还有其他的技术资料可以帮助黑客闯入机敏感信息,还有其他的技术资料可以帮助黑客闯入机构的计算机网络。废旧硬件,特别是硬盘,黑客可以构的计算机网络。废旧硬件,特别是硬盘,黑客可以对它进行恢复来获取有用信息。对它进行恢复来获取有用信息。 (4) Internet是使用社会工程学来获取密码的乐园。是使用社会工程学来获取密码的乐园。这主要是因为许多用户都把自己所有账号的密码设置这主要是因为许多用户都把自己所有账号的密码设置为同一个。所以一旦黑客拥有了其中的一个密码以后,为同一个。所以一旦黑客拥有了其中的一个密码以后,他就
99、获得了多个账号的使用权。黑客常用的一种手段他就获得了多个账号的使用权。黑客常用的一种手段是通过在线表格进行社会工程学攻击。他可以发送某是通过在线表格进行社会工程学攻击。他可以发送某种彩票中奖的消息给用户,然后要求用户输入姓名种彩票中奖的消息给用户,然后要求用户输入姓名(以及电子邮件地址,这样他甚至可以获得用户在机(以及电子邮件地址,这样他甚至可以获得用户在机构内部使用的账户名)以及密码。这种表格不仅可以构内部使用的账户名)以及密码。这种表格不仅可以以在线表格的方式发送,同样可以使用普通邮件进行以在线表格的方式发送,同样可以使用普通邮件进行发送。况且,如果是使用普通信件方式的话,这些表发送。况且
100、,如果是使用普通信件方式的话,这些表格看上去就会更加像是从合法的机构中发出的,欺骗格看上去就会更加像是从合法的机构中发出的,欺骗的可能性也就更大了。黑客在线获得信息的另一种方的可能性也就更大了。黑客在线获得信息的另一种方法是冒充为该网络的管理员,通过电子邮件向用户索法是冒充为该网络的管理员,通过电子邮件向用户索要密码。要密码。这种方法并不是十分有效,因为用户在线的时候对黑这种方法并不是十分有效,因为用户在线的时候对黑客的警觉性比不在线时要高,但是该方法仍然是值得客的警觉性比不在线时要高,但是该方法仍然是值得考虑的。此外,黑客也有可能放置弹出窗口,并让它考虑的。此外,黑客也有可能放置弹出窗口,并
101、让它看起来像是整个网站的一部分,声称是用来解决某些看起来像是整个网站的一部分,声称是用来解决某些问题的,诱使用户重新输入账号与密码。这时用户一问题的,诱使用户重新输入账号与密码。这时用户一般会知道不应当通过明文来传输密码,但是,即使如般会知道不应当通过明文来传输密码,但是,即使如此,管理员也应当定期提醒用户防范这种类型的欺骗。此,管理员也应当定期提醒用户防范这种类型的欺骗。如果想做到进一步安全的话,系统管理员应当警告用如果想做到进一步安全的话,系统管理员应当警告用户,除非是与合法可信网络工作员工进行面对面交谈,户,除非是与合法可信网络工作员工进行面对面交谈,否则任何时候都不能公开自己的密码。否
102、则任何时候都不能公开自己的密码。 (5) 电子邮件同样可以用来作为更直接获取系统访电子邮件同样可以用来作为更直接获取系统访问权限的手段。例如,从某位有信任关系的人那里发问权限的手段。例如,从某位有信任关系的人那里发来的电子邮件附件中可能携带病毒、蠕虫或者木马。来的电子邮件附件中可能携带病毒、蠕虫或者木马。为了攻击目标网络,黑客通常会将包含后门的邮件发为了攻击目标网络,黑客通常会将包含后门的邮件发送给目标网络中的用户。只要存在缺乏安全防范意识送给目标网络中的用户。只要存在缺乏安全防范意识的用户,后门就可能被安装,黑客就获得了一个隐蔽的用户,后门就可能被安装,黑客就获得了一个隐蔽的攻击通道,为下一
103、步攻击更重要的系统做准备。的攻击通道,为下一步攻击更重要的系统做准备。2.心理分析心理分析除了这些物理手段以外,黑客也可能充分利用用户的除了这些物理手段以外,黑客也可能充分利用用户的心理,从心理学角度进行社会工程学式的攻击。基本心理,从心理学角度进行社会工程学式的攻击。基本的说服手段包括扮演、讨好、同情、拉关系等。不论的说服手段包括扮演、讨好、同情、拉关系等。不论是使用哪一种方法,主要目的还是说服目标泄露所需是使用哪一种方法,主要目的还是说服目标泄露所需要的敏感信息。要的敏感信息。(1) 扮演一般来讲是构造某种类型的角色并按该角扮演一般来讲是构造某种类型的角色并按该角色的身份行事。经常采用的角
104、色包括维修人员、技术色的身份行事。经常采用的角色包括维修人员、技术支持人员、经理、可信的第三方人员或者企业同事。支持人员、经理、可信的第三方人员或者企业同事。角色通常是越简单越好。某些时候就仅仅是打电话给角色通常是越简单越好。某些时候就仅仅是打电话给目标,索取需要的信息。但是这种方式并不是任何时目标,索取需要的信息。但是这种方式并不是任何时候都有效。在其他情况下,黑客会专心调查目标机构候都有效。在其他情况下,黑客会专心调查目标机构中的某一个人,并在他外出的时候冒充他的声音来打中的某一个人,并在他外出的时候冒充他的声音来打电话询问信息。电话询问信息。(2) 还有一种比较有争议的社会工程学手段是仅
105、仅还有一种比较有争议的社会工程学手段是仅仅简单地表现出友善的一面来套取信息。其理由是大多简单地表现出友善的一面来套取信息。其理由是大多数人都愿意相信打电话来寻求帮助的同事所说的话。数人都愿意相信打电话来寻求帮助的同事所说的话。所以黑客只需要获得基本的信任就可以了,稍稍恭维所以黑客只需要获得基本的信任就可以了,稍稍恭维一下目标就会让目标乐意进一步合作。一下目标就会让目标乐意进一步合作。(3) 获得非法信息更为高级的手段称为获得非法信息更为高级的手段称为“反向社会反向社会工程学工程学”。黑客会扮演一个不存在的但是权利很大的。黑客会扮演一个不存在的但是权利很大的人物,让企业雇员主动地向他询问信息。如
106、果深入地人物,让企业雇员主动地向他询问信息。如果深入地研究、细心地计划与实施的话,反向社会工程学攻击研究、细心地计划与实施的话,反向社会工程学攻击手段可以让黑客获得更多更好的机会来从雇员那里获手段可以让黑客获得更多更好的机会来从雇员那里获得有价值的信息。但是这需要大量的时间来准备,研得有价值的信息。但是这需要大量的时间来准备,研究以及进行一些前期的黑客工作。反向社会工程学包究以及进行一些前期的黑客工作。反向社会工程学包括括3个部分:暗中破坏,自我推销和进行帮助。黑客个部分:暗中破坏,自我推销和进行帮助。黑客先是对网络进行暗中破坏,让网络出现明显的问题,先是对网络进行暗中破坏,让网络出现明显的问
107、题,然后对网络进行维修并从雇员那里获得他真正需要的然后对网络进行维修并从雇员那里获得他真正需要的信息。那些雇员不会知道他是个黑客,因为网络中出信息。那些雇员不会知道他是个黑客,因为网络中出现的问题得到解决,所有人都会很高兴。现的问题得到解决,所有人都会很高兴。社会工程学的攻击对象是目标网络中的工作人员和目社会工程学的攻击对象是目标网络中的工作人员和目标网络中的运行管理制度。对于人员的安全管理,包标网络中的运行管理制度。对于人员的安全管理,包括安全知识的培训,其花费往往是巨大的。社会工程括安全知识的培训,其花费往往是巨大的。社会工程学没有或是很少利用目标网络中的技术漏洞,它利用学没有或是很少利用
108、目标网络中的技术漏洞,它利用人员对制度实际操作中的灵活性,对目标网络进行渗人员对制度实际操作中的灵活性,对目标网络进行渗透。这种攻击技术很难防范,而对于受到这种攻击的透。这种攻击技术很难防范,而对于受到这种攻击的企业,由于涉及暴露其自身的制度和管理漏洞,在某企业,由于涉及暴露其自身的制度和管理漏洞,在某种程度上会损害企业的形象,因此也只能自认倒霉。种程度上会损害企业的形象,因此也只能自认倒霉。因此,社会工程学作为一种重要的信息搜集的方式,因此,社会工程学作为一种重要的信息搜集的方式,在黑客攻击的踩点阶段被广泛采用。在黑客攻击的踩点阶段被广泛采用。拒绝服务攻击最主要的目的是造成被攻击服务器资源拒
109、绝服务攻击最主要的目的是造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。这样的入侵对于服耗尽或系统崩溃而无法提供服务。这样的入侵对于服务器来说可能并不会造成损害,但可以造成人们对被务器来说可能并不会造成损害,但可以造成人们对被攻击服务器所提供服务的信任度下降,影响公司的声攻击服务器所提供服务的信任度下降,影响公司的声誉以及用户对网络服务的使用。这类攻击主要还是利誉以及用户对网络服务的使用。这类攻击主要还是利用网络协议的一些薄弱环节,通过发送大量无效请求用网络协议的一些薄弱环节,通过发送大量无效请求数据包造成服务器进程无法短期释放,大量积累耗尽数据包造成服务器进程无法短期释放,大量积累耗尽系统
110、资源,使得服务器无法对正常的请求进行响应,系统资源,使得服务器无法对正常的请求进行响应,造成服务的瘫痪。造成服务的瘫痪。11.3.5 恶意拒绝服务攻击恶意拒绝服务攻击通过普通的网络连线,使用者传送信息要求服务器予通过普通的网络连线,使用者传送信息要求服务器予以确定,于是服务器回复用户。用户被确定后,就可以确定,于是服务器回复用户。用户被确定后,就可登入服务器。登入服务器。“拒绝服务拒绝服务”的攻击方式就是利用了服的攻击方式就是利用了服务器在回复过程中存在的资源占用缺陷,用户将众多务器在回复过程中存在的资源占用缺陷,用户将众多要求确认的信息传送到服务器,使服务器里充斥着这要求确认的信息传送到服务
111、器,使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址,种无用的信息。所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户。根据以至于当服务器试图回传时,却无法找到用户。根据协议的规定,服务器相关进程会进行暂时的等候,有协议的规定,服务器相关进程会进行暂时的等候,有时超过一分钟,之后才进行进程资源的释放。由于不时超过一分钟,之后才进行进程资源的释放。由于不断地发送这种虚假的连接请求信息,当进入等待释放断地发送这种虚假的连接请求信息,当进入等待释放的进程增加速度远大于系统释放进程的速度时,就会的进程增加速度远大于系统释放进程的速度时,就会造成服务器中待释放的进程不
112、断积累,最终造成资源造成服务器中待释放的进程不断积累,最终造成资源的耗尽而导致服务器瘫痪。的耗尽而导致服务器瘫痪。最基本的最基本的DoS攻击就是利用这种合理的服务请求来占攻击就是利用这种合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务器用过多的服务资源,从而使合法用户无法得到服务器的响应。而的响应。而DDoS攻击手段是在传统的攻击手段是在传统的DoS攻击基础攻击基础之上产生的一类攻击方式。单一的之上产生的一类攻击方式。单一的DoS攻击一般是采攻击一般是采用一对一的方式,当攻击目标用一对一的方式,当攻击目标CPU速度低、内存小或速度低、内存小或者网络带宽小等各项性能指标不高时,效果
113、是明显的。者网络带宽小等各项性能指标不高时,效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网速增长,内存大大增加,同时也出现了千兆级别的网络,这使得络,这使得DoS攻击的困难程度加大了。这样分布式攻击的困难程度加大了。这样分布式的拒绝服务攻击手段(的拒绝服务攻击手段(DDoS)就应运而生了。它利)就应运而生了。它利用大量的傀儡机来发起进攻,用比从前更大的规模来用大量的傀儡机来发起进攻,用比从前更大的规模来进攻受害者。进攻受害者。 高速广泛连接的网络给大家带来了方便,也为高速广泛连接的网络给大
114、家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代,黑客攻击创造了极为有利的条件。在低速网络时代,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干结点之间的连接都是以而现在电信骨干结点之间的连接都是以G为级别的,为级别的,大城市之间更可以达到大城市之间更可以达到2.5Gbps的连接,这使得攻击的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以分布在更大的范围
115、内,选择起来更灵活了。机位置可以分布在更大的范围内,选择起来更灵活了。一个比较完善的一个比较完善的DDoS攻击体系分成攻击体系分成3大部分:傀儡控大部分:傀儡控制、攻击用傀儡和攻击目标。傀儡控制和攻击用傀儡制、攻击用傀儡和攻击目标。傀儡控制和攻击用傀儡分别用做控制和实际发起攻击。对攻击目标来说,分别用做控制和实际发起攻击。对攻击目标来说,DDoS的实际攻击包是从攻击用傀儡机上发出的,傀的实际攻击包是从攻击用傀儡机上发出的,傀儡控制机只发布命令而不参与实际的攻击。对傀儡控儡控制机只发布命令而不参与实际的攻击。对傀儡控制和攻击用傀儡计算机,黑客有控制权或者是部分的制和攻击用傀儡计算机,黑客有控制权
116、或者是部分的控制权,并把相应的控制权,并把相应的DDoS程序上传到这些平台上,程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑在平时,这些傀儡机器并没有什么异常,只是一旦黑客与它们连接进行控制,并发出指令的时候,攻击傀客与它们连接进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。发起拒绝服务攻击儡机就成为害人者去发起攻击了。发起拒绝服务攻击时,黑客通常要进行信息搜集,攻击其他
117、的安全强度时,黑客通常要进行信息搜集,攻击其他的安全强度较低的网络,在被攻击网络的主机中安装傀儡程序作较低的网络,在被攻击网络的主机中安装傀儡程序作为攻击主机。完成以上工作后,黑客就明确了攻击目为攻击主机。完成以上工作后,黑客就明确了攻击目标,并组成了标,并组成了DDoS攻击体系中的傀儡控制和攻击用攻击体系中的傀儡控制和攻击用傀儡部分,可以进行实际的攻击了。傀儡部分,可以进行实际的攻击了。拒绝服务攻击由于不是使用什么漏洞,目前还没有很拒绝服务攻击由于不是使用什么漏洞,目前还没有很好的解决方案,因此也就被恶意的入侵者大量地使用。好的解决方案,因此也就被恶意的入侵者大量地使用。前面提到的地址欺骗攻
118、击方式中,入侵者一般先要对前面提到的地址欺骗攻击方式中,入侵者一般先要对被仿冒计算机进行拒绝服务攻击,使得被仿冒计算机被仿冒计算机进行拒绝服务攻击,使得被仿冒计算机无法进行正常响应,从而假冒应答完成地址欺骗。无法进行正常响应,从而假冒应答完成地址欺骗。计算机病毒检测与网络入侵防御在计算机与网络技术计算机病毒检测与网络入侵防御在计算机与网络技术不断发展的促进下,出现了需要共同防御的敌人。现不断发展的促进下,出现了需要共同防御的敌人。现在的病毒不仅仅只是通过磁盘才能传播,为了适应网在的病毒不仅仅只是通过磁盘才能传播,为了适应网络日益普及的形式,病毒也在自身的传播方式中加入络日益普及的形式,病毒也在
119、自身的传播方式中加入了网络这个可能会造成更大危害的传播媒介。为了能了网络这个可能会造成更大危害的传播媒介。为了能够在网络上传播,病毒也越来越多地继承了网络入侵够在网络上传播,病毒也越来越多地继承了网络入侵的一些特性,成为一种自动化的软体网络入侵者。它的一些特性,成为一种自动化的软体网络入侵者。它们利用网络入侵技术,通过网络进行广泛的传播渗透,们利用网络入侵技术,通过网络进行广泛的传播渗透,红色代码病毒和红色代码病毒和Nimda病毒就属此类。它们利用网络病毒就属此类。它们利用网络入侵的方式,侵入计算机并利用被感染计算机,对周入侵的方式,侵入计算机并利用被感染计算机,对周围的计算机进行入侵扫描以进
120、一步传播感染其他的计围的计算机进行入侵扫描以进一步传播感染其他的计算机。算机。11.3.6 病毒或后门攻击病毒或后门攻击有些病毒(或者叫木马)感染计算机,为远程入侵者有些病毒(或者叫木马)感染计算机,为远程入侵者提供可以控制被感染计算机的后门,著名的冰河病毒提供可以控制被感染计算机的后门,著名的冰河病毒就属此类。入侵者通过各种手段,在用户主机上安装就属此类。入侵者通过各种手段,在用户主机上安装后门服务程序,并利用自身的客户程序监视主机的行后门服务程序,并利用自身的客户程序监视主机的行为,甚至控制主机的操作。为,甚至控制主机的操作。病毒或后门攻击技术主要是漏洞攻击技术和社会工程病毒或后门攻击技术
121、主要是漏洞攻击技术和社会工程学攻击技术的综合应用。通常入侵者会利用社会工程学攻击技术的综合应用。通常入侵者会利用社会工程学将病毒或后门绕过安全防御体系引入到目标网络内学将病毒或后门绕过安全防御体系引入到目标网络内部。在进入到内部后,病毒或后门自身在提供黑客进部。在进入到内部后,病毒或后门自身在提供黑客进行访问和攻击的通道的同时,还不断地利用掌握的应行访问和攻击的通道的同时,还不断地利用掌握的应用漏洞在目标网络内部进行广泛的散播。由于病毒有用漏洞在目标网络内部进行广泛的散播。由于病毒有很强的自我保护和复制能力,因此,借助于目标网络很强的自我保护和复制能力,因此,借助于目标网络内部的网络环境,可以
122、迅速感染目标网络中的其他主内部的网络环境,可以迅速感染目标网络中的其他主机。随着现在用户间数据交换的日益普及,后门和病机。随着现在用户间数据交换的日益普及,后门和病毒被广泛地传播,对网络的安全以及用户的利益造成毒被广泛地传播,对网络的安全以及用户的利益造成了极大的危害。了极大的危害。除了针对不同的操作系统进行攻击外,还有针对网络除了针对不同的操作系统进行攻击外,还有针对网络设备的攻击。物理网络是网络服务的基础,在脆弱的设备的攻击。物理网络是网络服务的基础,在脆弱的网络上是不可能有坚固的系统的。只要网络中存在远网络上是不可能有坚固的系统的。只要网络中存在远程控制的渠道,就有可能被黑客利用对整个网
123、络进行程控制的渠道,就有可能被黑客利用对整个网络进行破坏。针对网络的攻击,主要的目标集中在网络的接破坏。针对网络的攻击,主要的目标集中在网络的接入设备,如拨号服务器、入设备,如拨号服务器、VPN接入,同时也会针对防接入,同时也会针对防火墙等安全防护设备。对于无线接入式的网络,黑客火墙等安全防护设备。对于无线接入式的网络,黑客通常尝试对无线信号进行接收实现对网络中内容的获通常尝试对无线信号进行接收实现对网络中内容的获取。除了达到渗透的目的,攻击者还经常通过拒绝服取。除了达到渗透的目的,攻击者还经常通过拒绝服务的攻击方式对网络进行攻击,阻碍目标网络对外提务的攻击方式对网络进行攻击,阻碍目标网络对外
124、提供正常的服务,从而对企业,尤其是网络服务企业的供正常的服务,从而对企业,尤其是网络服务企业的形象造成极大的影响。形象造成极大的影响。11.4 针对网络的攻击针对网络的攻击随着技术的进步,随着技术的进步,ADSL等宽带入户的解决方案进入等宽带入户的解决方案进入了千家万户。但拨号网络接入以其稳定性和设备的简了千家万户。但拨号网络接入以其稳定性和设备的简单性,到现在还被广泛地使用。甚至在一些拥有高速单性,到现在还被广泛地使用。甚至在一些拥有高速网络接口的企业,由于老设备继续使用、内部办公需网络接口的企业,由于老设备继续使用、内部办公需要等原因,通常会保留拨号接入的接口。而正是这些要等原因,通常会保
125、留拨号接入的接口。而正是这些接口,可能会对企业网造成可怕的安全影响。对于存接口,可能会对企业网造成可怕的安全影响。对于存在安全保护不当的远程访问服务器的网络,黑客完全在安全保护不当的远程访问服务器的网络,黑客完全可以不必在拥有防火墙保护的接口上费心。通过这些可以不必在拥有防火墙保护的接口上费心。通过这些照管不周的接口就可以顺利地实现对网络的入侵。拨照管不周的接口就可以顺利地实现对网络的入侵。拨号攻击与其他攻击类似,同样要经过踩点、扫描、查号攻击与其他攻击类似,同样要经过踩点、扫描、查点和漏洞发掘点和漏洞发掘4个步骤。个步骤。11.4.1 拨号和拨号和VPN攻击攻击拨号攻击的过程主要是利用拨号攻
126、击工具顺序地拨打拨号攻击的过程主要是利用拨号攻击工具顺序地拨打大量的电话号码,记录有效的数据连接,尝试确认在大量的电话号码,记录有效的数据连接,尝试确认在电话线另一端的系统,再通过猜测,以常用的用户名电话线另一端的系统,再通过猜测,以常用的用户名和保密短语有选择地尝试登录。和保密短语有选择地尝试登录。1.准备拨号攻击准备拨号攻击拨号攻击首先要确认目标电话号码范围。恶意的黑客拨号攻击首先要确认目标电话号码范围。恶意的黑客通常会从企业名称着手,从能够想到的尽可能多的来通常会从企业名称着手,从能够想到的尽可能多的来源汇集出一个潜在号码范围的清单。这其中最明显的源汇集出一个潜在号码范围的清单。这其中最
127、明显的方式是查找电话号码簿。一旦找到企业的主电话号码,方式是查找电话号码簿。一旦找到企业的主电话号码,入侵者通常会利用自动程序尝试拨打这个端局交换机入侵者通常会利用自动程序尝试拨打这个端局交换机号码,根据反馈的连接尝试结果获得拨号服务器的号号码,根据反馈的连接尝试结果获得拨号服务器的号码。码。另一个可能的策略是利用社会工程学技术,从安全意另一个可能的策略是利用社会工程学技术,从安全意识不高的企业人员口中套出目标公司的电话号码信息。识不高的企业人员口中套出目标公司的电话号码信息。这是获得公开的远程访问或数据中心电话线路信息的这是获得公开的远程访问或数据中心电话线路信息的好方法,通常可以获得与主电
128、话号码不属于同一端局好方法,通常可以获得与主电话号码不属于同一端局的拨号服务器号码。除了使用电话簿外,目标公司网的拨号服务器号码。除了使用电话簿外,目标公司网站也是寻找电话号码的重要信息来源。许多企业会在站也是寻找电话号码的重要信息来源。许多企业会在Internet上发布企业完全的电话目录。上发布企业完全的电话目录。除了这些信息以外,对于企业相关人员对外注册信息除了这些信息以外,对于企业相关人员对外注册信息的搜集更可以进一步获得有用的攻击信息。例如,从的搜集更可以进一步获得有用的攻击信息。例如,从网络上公布的域名注册详细信息,攻击者可以获得注网络上公布的域名注册详细信息,攻击者可以获得注册企业
129、的主电话号码,同时,还可以根据注册人猜测册企业的主电话号码,同时,还可以根据注册人猜测出一个可能的网络用户名称,而通常这个名称的主人出一个可能的网络用户名称,而通常这个名称的主人属于企业的高层用户或系统的高级管理人员。属于企业的高层用户或系统的高级管理人员。除了通过拨号获得拨号服务器可能的号码以外,通过除了通过拨号获得拨号服务器可能的号码以外,通过拨号分析,入侵者还可以了解到公司人员的姓名以及拨号分析,入侵者还可以了解到公司人员的姓名以及工作状态信息,包括员工是否在较长时间无法注意到工作状态信息,包括员工是否在较长时间无法注意到自身用户账号上的异常行为。通过对员工电话问候语自身用户账号上的异常
130、行为。通过对员工电话问候语的分析,入侵者甚至可以了解到各个人员在企业中的的分析,入侵者甚至可以了解到各个人员在企业中的重要程度,并以此进行攻击优先次序的调整。重要程度,并以此进行攻击优先次序的调整。通过对拨号服务器反馈信息的分析,可以找到易于渗通过对拨号服务器反馈信息的分析,可以找到易于渗透的调制解调器,在确认这个连接到底有多脆弱时,透的调制解调器,在确认这个连接到底有多脆弱时,往往需要仔细检查拨号的信息并手工进行跟踪处理。往往需要仔细检查拨号的信息并手工进行跟踪处理。通过对反馈信息的分析,攻击者可以获得服务器的生通过对反馈信息的分析,攻击者可以获得服务器的生产商以及服务器的型号版本,根据这些
131、信息,可以选产商以及服务器的型号版本,根据这些信息,可以选择正确的登录模式并根据服务器可能的默认账户和存择正确的登录模式并根据服务器可能的默认账户和存在的漏洞进行进一步的攻击。在的漏洞进行进一步的攻击。2.拨号攻击渗透拨号攻击渗透当信息搜集有了成果,下一步就是将得到的有价值信当信息搜集有了成果,下一步就是将得到的有价值信息进行分类。通过对服务器连接特性的分析,攻击者息进行分类。通过对服务器连接特性的分析,攻击者构成专门的攻击脚本。利用专门的攻击进行接入性的构成专门的攻击脚本。利用专门的攻击进行接入性的猜测攻击。影响攻击脚本的因素主要包括:猜测攻击。影响攻击脚本的因素主要包括:连接是否超时或尝试
132、次数的阈值;连接是否超时或尝试次数的阈值;超过阈值后的处理措施,如使当前连接无效等;超过阈值后的处理措施,如使当前连接无效等;连接是否只在一定时间内允许;连接是否只在一定时间内允许;认证的方式;认证的方式;用户代号和密码的最大字节数以及组成字符的允许范用户代号和密码的最大字节数以及组成字符的允许范围;围;是否对是否对CTRLC等特殊键有反应,从而搜集到额等特殊键有反应,从而搜集到额外的信息;外的信息;系统标示信息,信息是否会出现变化以及信息类型。系统标示信息,信息是否会出现变化以及信息类型。根据对这些因素相关信息的搜集,就可以对服务器实根据对这些因素相关信息的搜集,就可以对服务器实施攻击渗透。
133、根据以上因素,也可以确认服务器的攻施攻击渗透。根据以上因素,也可以确认服务器的攻击难度,服务器攻击难度分为以下击难度,服务器攻击难度分为以下5个级别:个级别:(1) 第一级,具有容易猜到的进程使用的密码。第一级,具有容易猜到的进程使用的密码。(2) 第二级,单一认证,无尝试次数限制。此类系第二级,单一认证,无尝试次数限制。此类系统只有一个密码或统只有一个密码或ID,且调制解调器在多次尝试失,且调制解调器在多次尝试失败后不会断开连接。败后不会断开连接。(3) 第三级,单一认证,有尝试次数限制。此类系第三级,单一认证,有尝试次数限制。此类系统只有一个密码或统只有一个密码或ID,但调制解调器在预设的
134、尝试,但调制解调器在预设的尝试次数失败后会断开连接。次数失败后会断开连接。(4) 第四级,双重认证,无尝试次数限制。此类系第四级,双重认证,无尝试次数限制。此类系统有两种认证机制。如需要同时确认用户名和密码,统有两种认证机制。如需要同时确认用户名和密码,调制解调器在多次尝试失败后不会断开连接。调制解调器在多次尝试失败后不会断开连接。(5) 第五级,双重认证,有尝试次数限制。此类系第五级,双重认证,有尝试次数限制。此类系统有两种认证机制。调制解调器在预设的尝试次数失统有两种认证机制。调制解调器在预设的尝试次数失败后会断开连接。败后会断开连接。级别越高,攻击的难度越大,脚本的处理也就越敏感。级别越
135、高,攻击的难度越大,脚本的处理也就越敏感。对于属于第一级的拨号接入设备,基本上可以通过手对于属于第一级的拨号接入设备,基本上可以通过手工完成猜测过程。根据设备的类型,使用系统默认或工完成猜测过程。根据设备的类型,使用系统默认或其他方式对获得的用户名、密码进行尝试,可以顺利其他方式对获得的用户名、密码进行尝试,可以顺利地进入到系统。地进入到系统。对于属于第二级的设备,获取访问权所需要的主要是对于属于第二级的设备,获取访问权所需要的主要是密码。而由于连接尝试没有次数限制,因此可以通过密码。而由于连接尝试没有次数限制,因此可以通过字典方式的蛮力攻击进行密码猜测。第三级的设备与字典方式的蛮力攻击进行密
136、码猜测。第三级的设备与上一级相比攻击的时间相对较多,主要的区别就是在上一级相比攻击的时间相对较多,主要的区别就是在经过一定的猜测尝试后要进行挂起的处理,再重新拨经过一定的猜测尝试后要进行挂起的处理,再重新拨打尝试。对第四级和第五级的设备的攻击,要输入的打尝试。对第四级和第五级的设备的攻击,要输入的信息更多一些,因此其敏感性更高,也更容易犯错。信息更多一些,因此其敏感性更高,也更容易犯错。所花的时间也要高出许多。所花的时间也要高出许多。3.VPN攻击攻击由于电话网络的稳定性和普及性,拨号接入在很长一由于电话网络的稳定性和普及性,拨号接入在很长一段时间内还会是重要的接入方式。然而技术界不断创段时间
137、内还会是重要的接入方式。然而技术界不断创新的前沿阵地早已揭示了将来的远程访问机制,那就新的前沿阵地早已揭示了将来的远程访问机制,那就是是VPN虚拟专用网。虚拟专用网。VPN技术在最近几年蓬勃发展,技术在最近几年蓬勃发展,并稳步进入了公用和私用网络体系。虽然并稳步进入了公用和私用网络体系。虽然VPN相当注相当注重连接的安全性,但在实际生活当中,仍不乏重连接的安全性,但在实际生活当中,仍不乏VPN网网络被成功攻破的事例。络被成功攻破的事例。例如,对于微软公司例如,对于微软公司PPTP实现,就有着很多的攻击实现,就有着很多的攻击工具。微软公司工具。微软公司PPTP协议的漏洞主要体现在以下几协议的漏洞
138、主要体现在以下几个方面:个方面:(1) 微软公司的安全认证协议微软公司的安全认证协议MSCHAP依赖依赖于强度很低的传统加密函数于强度很低的传统加密函数LanManager散列算法。散列算法。(2) 用于加密网络数据的会话密钥的种子数据是根用于加密网络数据的会话密钥的种子数据是根据用户提供的密码生成的,从而潜在地把实际的密钥据用户提供的密码生成的,从而潜在地把实际的密钥位长度降到了声明的位长度降到了声明的40位或位或128位之下。位之下。(3) 会话加密算法使用对称会话加密算法使用对称RC4算法,在发送和接算法,在发送和接收双向会话中密钥被重用,削弱了算法的强度,使得收双向会话中密钥被重用,削
139、弱了算法的强度,使得会话容易遭受常见的加密攻击。会话容易遭受常见的加密攻击。(4) 协商和管理连接的控制通道完全未经认证,易协商和管理连接的控制通道完全未经认证,易遭受拒绝服务型攻击和欺骗攻击。遭受拒绝服务型攻击和欺骗攻击。(5) 只加密了数据有效负载,从而允许窃听者从控只加密了数据有效负载,从而允许窃听者从控制通道分组中获得许多有用的信息。制通道分组中获得许多有用的信息。4.防范措施防范措施对于拨号攻击的防范主要是对企业中使用的拨号接入对于拨号攻击的防范主要是对企业中使用的拨号接入设备进行管理,包括对拨号线路进行清点,消除未经设备进行管理,包括对拨号线路进行清点,消除未经授权的拨号连接;同时
140、将拨号服务集中,并隐蔽线路授权的拨号连接;同时将拨号服务集中,并隐蔽线路的号码,包括不公开相关的信息,拨号服务号码不在的号码,包括不公开相关的信息,拨号服务号码不在企业公布的电话号码范围以及相关端局范围内;确保企业公布的电话号码范围以及相关端局范围内;确保拨号设备的物理安全性,提升拨入的认证要求,同时拨号设备的物理安全性,提升拨入的认证要求,同时不显示标示信息并对连接操作日志进行定期的分析。不显示标示信息并对连接操作日志进行定期的分析。当然,除了这些技术上的防范方法,还需要企业在管当然,除了这些技术上的防范方法,还需要企业在管理上对接入情况有严格的策略,防止接入的随意性和理上对接入情况有严格的
141、策略,防止接入的随意性和不可控性。不可控性。现在,防火墙已被公认为企业网络安全防护的基本设现在,防火墙已被公认为企业网络安全防护的基本设备。市场上主要有两类防火墙:应用代理和分组过滤备。市场上主要有两类防火墙:应用代理和分组过滤网关。尽管一般认为应用代理比分组过滤网关安全,网关。尽管一般认为应用代理比分组过滤网关安全,但应用代理的限制特性和对性能的影响却使得它的适但应用代理的限制特性和对性能的影响却使得它的适用场合局限于从用场合局限于从Internet上其他位置外来的分组流动,上其他位置外来的分组流动,而不是从企业内部服务器外出的分组流动。而分组过而不是从企业内部服务器外出的分组流动。而分组过
142、滤网关以及更为先进的全状态分组过滤网关能在许多滤网关以及更为先进的全状态分组过滤网关能在许多具有高性能要求的较大机构中较好地运行。具有高性能要求的较大机构中较好地运行。11.4.2 针对防火墙的攻击针对防火墙的攻击防火墙自开始部署以来,已保护无数的网络躲过恶意防火墙自开始部署以来,已保护无数的网络躲过恶意的攻击行为,然而它们还远远不是保障网络安全的灵的攻击行为,然而它们还远远不是保障网络安全的灵丹妙药。市场上每个防火墙产品几乎每年都有安全脆丹妙药。市场上每个防火墙产品几乎每年都有安全脆弱点被发现。更糟糕的是,大多数防火墙往往配置不弱点被发现。更糟糕的是,大多数防火墙往往配置不当,且没有人进行及
143、时的维护和监管,失去了对现代当,且没有人进行及时的维护和监管,失去了对现代攻击进行防护的能力。攻击进行防护的能力。由于防火墙在开发和使用中存在种种的缺陷,因此攻由于防火墙在开发和使用中存在种种的缺陷,因此攻击者可以利用这些有利的因素,对安置防火墙的企业击者可以利用这些有利的因素,对安置防火墙的企业发动攻击。由于现在的一些错误心理,认为只要安上发动攻击。由于现在的一些错误心理,认为只要安上了防火墙就可以保证企业的安全,攻击者可以轻易地了防火墙就可以保证企业的安全,攻击者可以轻易地进入到进入到“柔软的网络中心柔软的网络中心”,进行肆意的破坏而不被,进行肆意的破坏而不被及时发觉。及时发觉。需要指出的
144、是,现实世界中,要想绕过配置得当的防需要指出的是,现实世界中,要想绕过配置得当的防火墙极为困难。然而使用火墙极为困难。然而使用traceroute、nmap之类的信之类的信息搜集工具,攻击者可以发现或推断出经由目标站点息搜集工具,攻击者可以发现或推断出经由目标站点的路由器和防火墙的访问通路,并确定防火墙的类型。的路由器和防火墙的访问通路,并确定防火墙的类型。当前发现的许多脆弱点,原因在于防火墙的错误配置当前发现的许多脆弱点,原因在于防火墙的错误配置和缺乏有效的管理维护,这两点一旦被加以利用,所和缺乏有效的管理维护,这两点一旦被加以利用,所导致的后果将会是毁灭性的。导致的后果将会是毁灭性的。1.
145、防火墙的确定防火墙的确定几乎每种防火墙都会发出独特的电子几乎每种防火墙都会发出独特的电子“气味气味”。即凭。即凭借端口扫描、标示获取等方式,攻击者能够有效地确借端口扫描、标示获取等方式,攻击者能够有效地确定目标网络上几乎每个防火墙的类型、版本甚至所配定目标网络上几乎每个防火墙的类型、版本甚至所配置的规则。一旦确认了目标网络的防火墙,攻击者就置的规则。一旦确认了目标网络的防火墙,攻击者就能够确认防火墙的脆弱点,并利用这些漏洞对目标网能够确认防火墙的脆弱点,并利用这些漏洞对目标网络进行渗透。络进行渗透。查找防火墙最简便的方法就是对特定的默认端口执行查找防火墙最简便的方法就是对特定的默认端口执行扫描
146、。市场上一些防火墙使用简单的端口扫描就会显扫描。市场上一些防火墙使用简单的端口扫描就会显露原形。例如,露原形。例如,CheckPoint的著名防火墙的著名防火墙Firewall-1监听监听256、257和和258端口上的端口上的TCP连接,连接,Microsoft的的Proxy Server则通常在则通常在1080和和1745端口上监听端口上监听TCP连连接。这样,只要利用端口扫描工具对网段中的相关端接。这样,只要利用端口扫描工具对网段中的相关端口进行扫描,就可以轻易确认防火墙的类型。口进行扫描,就可以轻易确认防火墙的类型。另一种寻找防火墙的方式是使用另一种寻找防火墙的方式是使用tracero
147、ute这样的路这样的路由跟踪工具。检查到达目标主机的路径上每一跳的具由跟踪工具。检查到达目标主机的路径上每一跳的具体地址和基本名称属性。通常到达目标之前的最后一体地址和基本名称属性。通常到达目标之前的最后一跳是防火墙的几率很大。当然,如果目标存在不对过跳是防火墙的几率很大。当然,如果目标存在不对过期分组进行响应的路由器或防火墙,那么这种寻找很期分组进行响应的路由器或防火墙,那么这种寻找很难达到效果,一般需要在获取路径信息后,进行进一难达到效果,一般需要在获取路径信息后,进行进一步的分析检测,确认最后一跳是否是防火墙。步的分析检测,确认最后一跳是否是防火墙。扫描防火墙有助于寻找防火墙,甚至确认防
148、火墙的类扫描防火墙有助于寻找防火墙,甚至确认防火墙的类型。但大多数的防火墙并没有打开默认端口进行监听,型。但大多数的防火墙并没有打开默认端口进行监听,因此还需要其他的一些定位防火墙的方法。与很多的因此还需要其他的一些定位防火墙的方法。与很多的应用服务相类似,许多的防火墙在连接的时候都会声应用服务相类似,许多的防火墙在连接的时候都会声明自己的防火墙功能以及类型和版本,这在代理性质明自己的防火墙功能以及类型和版本,这在代理性质的防火墙中更为普遍。通过了解这些标示信息,攻击的防火墙中更为普遍。通过了解这些标示信息,攻击者就能够发掘出大量已知的漏洞或常见的错误配置。者就能够发掘出大量已知的漏洞或常见的
149、错误配置。例如,在例如,在21号端口上使用号端口上使用Netcat连接一台怀疑是防火连接一台怀疑是防火墙的主机时,可以看到如下的信息:墙的主机时,可以看到如下的信息:C:nc v n 192.168.51.129 21(UNKNOWN) 192.168.21.129 21 (?) open220 Secure Gateway FTP server ready其中,其中,“Secure Gateway FTP server ready”是老式是老式Ragle Raptor防火墙的特征标志。为了进一步确认,防火墙的特征标志。为了进一步确认,连接其连接其23号端口:号端口:C:nc v n 192.
150、168.51.129 23(UNKNOWN) 192.168.21.129 23 (?) openEagle Secure GatewayHostname:从以上内容就可以进一步证明该防火墙的类型。同时从以上内容就可以进一步证明该防火墙的类型。同时也可以初步确认,这个防火墙没有经过很严格的安全也可以初步确认,这个防火墙没有经过很严格的安全管理。管理。如果以上的方法都无法确认防火墙的信息,那么攻击如果以上的方法都无法确认防火墙的信息,那么攻击者需要使用很高级的技术查找防火墙的信息。通过探者需要使用很高级的技术查找防火墙的信息。通过探测目标并留意到达目标所经历的路径,攻击者可以推测目标并留意到达目
151、标所经历的路径,攻击者可以推断出防火墙和配置规则。例如,可以用断出防火墙和配置规则。例如,可以用nmap工具对工具对目标主机进行扫描,获知哪些端口是打开的,哪些端目标主机进行扫描,获知哪些端口是打开的,哪些端口是关闭的,以及哪些端口被阻塞。通过对这些信息口是关闭的,以及哪些端口被阻塞。通过对这些信息的分析,可以得到关于防火墙配置的大量素材。的分析,可以得到关于防火墙配置的大量素材。对于一个配置不慎的防火墙来说,攻击者可以通过各对于一个配置不慎的防火墙来说,攻击者可以通过各种分析和扫描工具检查到它的存在以及具体的类型和种分析和扫描工具检查到它的存在以及具体的类型和配置信息。通过这些信息的搜集,攻
152、击者可以查阅手配置信息。通过这些信息的搜集,攻击者可以查阅手头的资料,找到可以利用的漏洞或逻辑后门透过或绕头的资料,找到可以利用的漏洞或逻辑后门透过或绕开防火墙,进入到企业内部。开防火墙,进入到企业内部。2.源端口扫描源端口扫描传统的分组过滤防火墙存在一个很大的缺陷,即不能传统的分组过滤防火墙存在一个很大的缺陷,即不能维持状态信息。由于无法维持状态,防火墙也就不能维持状态信息。由于无法维持状态,防火墙也就不能分辨出连接是源于防火墙外还是内。这样对部分类型分辨出连接是源于防火墙外还是内。这样对部分类型的连接就无法有效地控制。例如,对于提供的连接就无法有效地控制。例如,对于提供FTP服务服务的网络
153、,为了允许的网络,为了允许FTP数据通道通过防火墙,需要防数据通道通过防火墙,需要防火墙允许火墙允许20号端口与内部网络高数值端口的连接。这号端口与内部网络高数值端口的连接。这样,如果防火墙不能维护状态信息,就无法追踪一个样,如果防火墙不能维护状态信息,就无法追踪一个TCP连接与另一个连接的关系,这样,所有从连接与另一个连接的关系,这样,所有从20号端号端口到内部网络高数据端口的连接都允许有效地不加阻口到内部网络高数据端口的连接都允许有效地不加阻挡地通过。挡地通过。对于这种传统的分组过滤防火墙,可以利用这一弱点对于这种传统的分组过滤防火墙,可以利用这一弱点攻击防火墙后面脆弱的系统。利用端口重定
154、向工具,攻击防火墙后面脆弱的系统。利用端口重定向工具,可以将远端口设为可以将远端口设为20,从而透过防火墙进行漏洞的挖,从而透过防火墙进行漏洞的挖掘工作。掘工作。3.分组过滤防火墙攻击分组过滤防火墙攻击分组过滤防火墙主要依赖于分组过滤防火墙主要依赖于ACL规则确定各个分组规则确定各个分组是否有权出入内部网络。大多数情况下,这些是否有权出入内部网络。大多数情况下,这些ACL规则是精心设计的,难以绕过。但对于防火墙来说,规则是精心设计的,难以绕过。但对于防火墙来说,难免存在不严格的难免存在不严格的ACL规则,允许某些类型的分组规则,允许某些类型的分组不受约束地通过。例如,企业希望自己的不受约束地通
155、过。例如,企业希望自己的ISP提供提供DNS服务。相关的规则就可能设为服务。相关的规则就可能设为“允许来自允许来自53号号TCP源端口的所有活动源端口的所有活动”,这就是一个很不严格的规,这就是一个很不严格的规则,它将可能允许攻击者从外部扫描整个目标网络。则,它将可能允许攻击者从外部扫描整个目标网络。只要攻击者伪装成只要攻击者伪装成53号端口通信,就可以顺利地透过号端口通信,就可以顺利地透过防火墙进入到企业网络内部,进行扫描和肆意的破坏。防火墙进入到企业网络内部,进行扫描和肆意的破坏。通常,这种规则应设定为通常,这种规则应设定为“允许来自允许来自ISP的的DNS服务服务器的源和目的器的源和目的
156、TCP端口号均为端口号均为53的活动的活动”。这样就可。这样就可以避免由于允许范围的扩大而造成攻击的可能性。以避免由于允许范围的扩大而造成攻击的可能性。除了精心定制规则以外,对于部分防火墙,它们都有除了精心定制规则以外,对于部分防火墙,它们都有着默认打开的端口。例如,着默认打开的端口。例如,CheckPoint提供默认打开提供默认打开着的端口,包括着的端口,包括DNS查找(查找(53号号UDP端口)、端口)、DNS区区域传送(域传送(53号号TCP端口)和端口)和RIP(520号号UDP端口端口)。通。通过这些默认端口的分组数据一般不会进行日志记录。过这些默认端口的分组数据一般不会进行日志记录
157、。如果攻击者确认了防火墙的类型,就可以用伪装默认如果攻击者确认了防火墙的类型,就可以用伪装默认端口的方法有效地绕过所设置的防火墙规则。攻击者端口的方法有效地绕过所设置的防火墙规则。攻击者首先设法在网络内部安装后门程序,这一般可以利用首先设法在网络内部安装后门程序,这一般可以利用社会工程学中的种种欺骗手段实现。之后,攻击者就社会工程学中的种种欺骗手段实现。之后,攻击者就可以利用这些默认的端口与后门程序进行通信,进而可以利用这些默认的端口与后门程序进行通信,进而在完全没有安全记录的情况下实施对整个内部网络的在完全没有安全记录的情况下实施对整个内部网络的攻击。攻击。4.应用代理的攻击应用代理的攻击与
158、分组过滤防火墙相比,应用代理的弱点较少。一旦与分组过滤防火墙相比,应用代理的弱点较少。一旦加强了防火墙的安全并实施稳固的代理规则,代理防加强了防火墙的安全并实施稳固的代理规则,代理防火墙是难以绕过的。但是,在实际的运行中,对应用火墙是难以绕过的。但是,在实际的运行中,对应用代理的错误配置并不少见。代理的错误配置并不少见。在使用某些较早的在使用某些较早的UNIX代理时,管理员通常会忘记代理时,管理员通常会忘记限制本地访问。尽管内部用户访问限制本地访问。尽管内部用户访问Internet时存在认时存在认证要求,但他们却有可能获取到防火墙本身的本地访证要求,但他们却有可能获取到防火墙本身的本地访问权限
159、。如果可以进行本地登录,防火墙本身的安全问权限。如果可以进行本地登录,防火墙本身的安全性就成了更大的问题。以前面在防火墙扫描中提到的性就成了更大的问题。以前面在防火墙扫描中提到的eagle防火墙为例,在防火墙为例,在hostname中输入中输入localhost并使用并使用密码攻击技术,入侵者就有可能获得防火墙的本地访密码攻击技术,入侵者就有可能获得防火墙的本地访问权限。之后,根据操作系统的弱点进行攻击,入侵问权限。之后,根据操作系统的弱点进行攻击,入侵者获取者获取root用户的权限并进一步控制整个防火墙。用户的权限并进一步控制整个防火墙。一些应用代理服务器的安全性可能很高,建立了强壮一些应用
160、代理服务器的安全性可能很高,建立了强壮的访问控制规则,但很多时候,系统管理员会忽略禁的访问控制规则,但很多时候,系统管理员会忽略禁止外部连接通过该代理的访问权限。由于没有对代理止外部连接通过该代理的访问权限。由于没有对代理访问进行认证,外部攻击者可能会将这些代理服务器访问进行认证,外部攻击者可能会将这些代理服务器作为发起攻击的跳板,隐藏自己的行踪。作为发起攻击的跳板,隐藏自己的行踪。举例来说,对于目前很流行的举例来说,对于目前很流行的WinGate代理防火墙软代理防火墙软件,它的默认参数包含很多的弱点,包括文件认证的件,它的默认参数包含很多的弱点,包括文件认证的Telnet、SOCKS和和We
161、b。如果管理员只是简单地安装。如果管理员只是简单地安装并且不进行安全性的配置,那么,这个代理软件会被并且不进行安全性的配置,那么,这个代理软件会被攻击者利用作为攻击的跳板。在网络上,有着大量的攻击者利用作为攻击的跳板。在网络上,有着大量的诸如此类的代理防火墙,给安全管理员追踪可能的入诸如此类的代理防火墙,给安全管理员追踪可能的入侵行为带来了很大的困难。对于侵行为带来了很大的困难。对于WinGate来说,默认来说,默认的参数甚至允许用户通过管理端口远程查看系统的文的参数甚至允许用户通过管理端口远程查看系统的文件。这样就给件。这样就给WinGate系统本身带来了极大的漏洞,系统本身带来了极大的漏洞
162、,入侵者只需要连接入侵者只需要连接WinGate的管理端口,就可以顺利的管理端口,就可以顺利浏览系统中的所有文件,获取系统中存放的用于认证浏览系统中的所有文件,获取系统中存放的用于认证的用户名和密码。的用户名和密码。破坏一个网络或系统的运作往往比真正取得它们的访破坏一个网络或系统的运作往往比真正取得它们的访问权限容易得多,现在不断出现的具有强破坏性的种问权限容易得多,现在不断出现的具有强破坏性的种种拒绝服务(种拒绝服务(DoS)攻击就说明了这一点。像)攻击就说明了这一点。像TCP/IP之类的网络互联协议是按照在开放和彼此信之类的网络互联协议是按照在开放和彼此信任的群体中使用来设计的,在当前的现
163、实环境中却表任的群体中使用来设计的,在当前的现实环境中却表现出内在的缺陷。此外,许多操作系统和网络设备的现出内在的缺陷。此外,许多操作系统和网络设备的网络协议栈也存在缺陷,从而削弱了它们抵抗网络协议栈也存在缺陷,从而削弱了它们抵抗DoS攻攻击的能力。击的能力。DoS攻击威胁了大范围的网络服务,它不仅造成了服攻击威胁了大范围的网络服务,它不仅造成了服务的中断,部分攻击还会造成系统的完全崩溃甚至设务的中断,部分攻击还会造成系统的完全崩溃甚至设备的损毁,是目前最具有危险性的攻击。备的损毁,是目前最具有危险性的攻击。11.4.3 网络拒绝服务攻击网络拒绝服务攻击1.DoS攻击类型攻击类型DoS攻击从攻
164、击目的和手段上主要分为以下一些类型,攻击从攻击目的和手段上主要分为以下一些类型,它们以不同的方式对目标网络造成破坏。它们以不同的方式对目标网络造成破坏。(1) 带宽耗用带宽耗用DoS攻击攻击最阴险的最阴险的DoS攻击是带宽耗用攻击。它的本质就是攻攻击是带宽耗用攻击。它的本质就是攻击者消耗掉通达某个网络的所有可用的带宽。这种攻击者消耗掉通达某个网络的所有可用的带宽。这种攻击可以发生在局域网上,不过更常见的是攻击者远程击可以发生在局域网上,不过更常见的是攻击者远程消耗资源。为了达到这一目的,一种方法是攻击者通消耗资源。为了达到这一目的,一种方法是攻击者通过使用更多的带宽造成受害者网络的拥塞。对于拥
165、有过使用更多的带宽造成受害者网络的拥塞。对于拥有100Mbps带宽网络的攻击者来说,对于带宽网络的攻击者来说,对于T1连接的站连接的站点进行攻击可以完全填塞目标站点的网络链路。另一点进行攻击可以完全填塞目标站点的网络链路。另一种方法是攻击者通过征用多个站点集中拥塞受害者的种方法是攻击者通过征用多个站点集中拥塞受害者的网络连接来放大网络连接来放大DoS攻击效果。这样带宽受限的攻击攻击效果。这样带宽受限的攻击者就能够轻易地汇集相当高的带宽,成功地实现对目者就能够轻易地汇集相当高的带宽,成功地实现对目标站点的完全堵塞。标站点的完全堵塞。(2) 资源衰竭资源衰竭DoS攻击攻击资源衰竭攻击与带宽耗用攻击
166、的差异在于前者集中于资源衰竭攻击与带宽耗用攻击的差异在于前者集中于系统资源而不是网络资源的消耗。一般来说,它涉及系统资源而不是网络资源的消耗。一般来说,它涉及诸如诸如CPU利用率、内存、文件系统和系统进程总数之利用率、内存、文件系统和系统进程总数之类系统资源的消耗。攻击者往往拥有一定数量系统资类系统资源的消耗。攻击者往往拥有一定数量系统资源的合法访问权。之后,攻击者会滥用这种访问权消源的合法访问权。之后,攻击者会滥用这种访问权消耗额外的资源,这样,系统或合法用户被剥夺了原来耗额外的资源,这样,系统或合法用户被剥夺了原来享有的资源,造成系统崩溃或可利用资源耗尽。享有的资源,造成系统崩溃或可利用资
167、源耗尽。(3) 编程缺陷编程缺陷DoS攻击攻击部分部分DoS攻击并不需要发送大量的数据包来进行攻击。攻击并不需要发送大量的数据包来进行攻击。编程缺陷攻击就是利用应用程序、操作系统等在处理编程缺陷攻击就是利用应用程序、操作系统等在处理异常条件时的逻辑错误实施的异常条件时的逻辑错误实施的DoS攻击。攻击者通常攻击。攻击者通常向目标系统发送精心设计的畸形分组来试图导致服务向目标系统发送精心设计的畸形分组来试图导致服务的失效和系统的崩溃。的失效和系统的崩溃。(4) 基于路由的基于路由的DoS攻击攻击在基于路由的在基于路由的DoS攻击中,攻击者操纵路由表项以拒攻击中,攻击者操纵路由表项以拒绝向合法系统或
168、网络提供服务。诸如路由信息协议和绝向合法系统或网络提供服务。诸如路由信息协议和边界网关协议之类较早版本的路由协议没有或只有很边界网关协议之类较早版本的路由协议没有或只有很弱的认证机制。这就给攻击者变换合法路径提供了良弱的认证机制。这就给攻击者变换合法路径提供了良好的前提,往往通过假冒源好的前提,往往通过假冒源IP地址就能创建地址就能创建DoS攻击。攻击。这种攻击的后果是受害者网络的分组或者经由攻击者这种攻击的后果是受害者网络的分组或者经由攻击者的网络路由,或者被路由到不存在的黑洞网络上。的网络路由,或者被路由到不存在的黑洞网络上。(5) 基于基于DNS的的DoS攻击攻击基于基于DNS的攻击与基
169、于路由的的攻击与基于路由的DoS攻击类似。大多数攻击类似。大多数的的DNS攻击涉及欺骗受害者的域名服务器高速缓存虚攻击涉及欺骗受害者的域名服务器高速缓存虚假的地址信息。这样,当用户请求某假的地址信息。这样,当用户请求某DNS服务器执行服务器执行查找请求的时候,攻击者就达到了把它们重定向到自查找请求的时候,攻击者就达到了把它们重定向到自己喜欢的站点上的效果。己喜欢的站点上的效果。2.DoS攻击手段攻击手段一些一些DoS攻击可以影响许多类型的系统,将系统的网攻击可以影响许多类型的系统,将系统的网络带宽或资源耗尽。这些攻击的常用要素是协议操纵。络带宽或资源耗尽。这些攻击的常用要素是协议操纵。如果诸如
170、如果诸如ICMP这样的协议被操纵用于攻击目的,它这样的协议被操纵用于攻击目的,它就有能力同时影响许多系统。就有能力同时影响许多系统。DoS攻击主要有以下攻攻击主要有以下攻击手段。击手段。(1) Smurf攻击攻击Smurf攻击是一种最令人害怕的攻击是一种最令人害怕的DoS攻击。该攻击向攻击。该攻击向一个网络上的多个系统发送定向广播的一个网络上的多个系统发送定向广播的ping请求,这请求,这些系统接着对请求做出响应,造成了攻击数据的放大。些系统接着对请求做出响应,造成了攻击数据的放大。Smurf攻击通常需要至少攻击通常需要至少3个角色:攻击者、放大网个角色:攻击者、放大网络和受害者。攻击者向放大
171、网络的广播地址发送源地络和受害者。攻击者向放大网络的广播地址发送源地址,伪造成受害者系统的址,伪造成受害者系统的ICMP回射请求分组。放大回射请求分组。放大网络中的各个主机相继向受害者系统发出响应。如果网络中的各个主机相继向受害者系统发出响应。如果攻击者给一个拥有攻击者给一个拥有100个会对广播个会对广播ping请求做出响应请求做出响应的系统的放大网络发出的系统的放大网络发出ICMP分组,它的分组,它的DoS攻击效攻击效果就放大了果就放大了100倍。这样,大量的倍。这样,大量的ICMP分组发送给分组发送给受害者系统,造成网络带宽的耗尽。受害者系统,造成网络带宽的耗尽。(2) SYN洪泛洪泛在在
172、Smurf攻击流行前,攻击流行前,SYN洪泛一度是最具有破坏性洪泛一度是最具有破坏性的的DoS攻击。从原理上讲,主要是利用攻击。从原理上讲,主要是利用TCP连接的三连接的三次握手过程中的资源不平衡性。发动次握手过程中的资源不平衡性。发动SYN攻击时,攻攻击时,攻击者会发送一个从系统击者会发送一个从系统A到系统到系统B的的SYN分组,不过分组,不过他用一个不存在的系统伪装源地址。系统他用一个不存在的系统伪装源地址。系统B试图发送试图发送SYN/ACK分组到这个欺骗地址。由于响应的系统并分组到这个欺骗地址。由于响应的系统并不存在,因此不存在,因此B系统就无法收到响应的系统就无法收到响应的RST分组
173、或分组或ACK分组,直到连接超时。由于连接队列的容量通分组,直到连接超时。由于连接队列的容量通常很小,攻击者通常只需要常很小,攻击者通常只需要10秒钟发送若干秒钟发送若干SYN分组分组就能够完全禁止某个特定的端口,造成相对应的服务就能够完全禁止某个特定的端口,造成相对应的服务无法对正常的请求进行响应。无法对正常的请求进行响应。这种攻击非常具有破坏性。首先,它成功地引发这种攻击非常具有破坏性。首先,它成功地引发SYN洪泛只需要很小的带宽。其次,由于攻击者对洪泛只需要很小的带宽。其次,由于攻击者对SYN分分组的源地址进行伪装,而使得组的源地址进行伪装,而使得SYN洪泛成了隐蔽的攻洪泛成了隐蔽的攻击
174、,查找发起者变得非常困难。击,查找发起者变得非常困难。(3) PTR记录欺诈记录欺诈递归的功能允许递归的功能允许DNS服务器处理不是自己所服务区域服务器处理不是自己所服务区域的解析请求。当某个的解析请求。当某个DNS服务器接收到一个不是自己服务器接收到一个不是自己所服务区域的查询请求时,它将把该请求间接传送给所服务区域的查询请求时,它将把该请求间接传送给所请求区域的权威性所请求区域的权威性DNS服务器。从这个权威性服务服务器。从这个权威性服务器接收到响应后,最初的器接收到响应后,最初的DNS服务器把该响应发回给服务器把该响应发回给请求方。对于脆弱的请求方。对于脆弱的BIND版本,攻击者利用版本
175、,攻击者利用DNS递递归的功能,产生虚假的高速缓存归的功能,产生虚假的高速缓存DNS信息。该攻击称信息。该攻击称为为PTR记录欺诈,它发掘的是从记录欺诈,它发掘的是从IP地址映射到主机名地址映射到主机名称过程中的漏洞。通过将主机名称映射到其他的称过程中的漏洞。通过将主机名称映射到其他的IP地地址或不存在的址或不存在的IP地址,用户就无法正确地获得需要的地址,用户就无法正确地获得需要的服务,达到拒绝服务的目的。服务,达到拒绝服务的目的。3.DDoS攻击攻击在在2000年年2月,出现了分布式的拒绝服务(月,出现了分布式的拒绝服务(DDoS)攻)攻击,多个著名的网站受到了这种攻击,造成了不可估击,多
176、个著名的网站受到了这种攻击,造成了不可估量的损失。量的损失。DDoS攻击的第一步是瞄准并获得尽可能攻击的第一步是瞄准并获得尽可能多的系统管理员访问权。这种相当危险的任务通常是多的系统管理员访问权。这种相当危险的任务通常是用客户化的攻击脚本来指定脆弱的系统。一旦获得了用客户化的攻击脚本来指定脆弱的系统。一旦获得了对系统的访问权,攻击者会将对系统的访问权,攻击者会将DDoS软件上传并运行,软件上传并运行,大多数的大多数的DDoS服务器程序运行的方式是监听发起攻服务器程序运行的方式是监听发起攻击的指令。这样攻击者只需将需要的软件上传到尽可击的指令。这样攻击者只需将需要的软件上传到尽可能多的受损系统上
177、,然后等待适当的时机发起攻击命能多的受损系统上,然后等待适当的时机发起攻击命令即可。令即可。TFN攻击是第一个公开的攻击是第一个公开的UNIX分布式拒绝服务攻击。分布式拒绝服务攻击。TFN有客户端和服务器端组件,允许攻击者将服务器有客户端和服务器端组件,允许攻击者将服务器程序安装至远程的系统上,然后在客户端上使用简单程序安装至远程的系统上,然后在客户端上使用简单的命令,就可以发起完成分布式拒绝服务攻击。的命令,就可以发起完成分布式拒绝服务攻击。Stacheldraht更进一步,它将主控与被控之间的通信更进一步,它将主控与被控之间的通信进行了加密,躲避入侵检测系统的检测。同时它还可进行了加密,躲
178、避入侵检测系统的检测。同时它还可以用以用rcp命令在需要时升级服务器组件,进行新的命令在需要时升级服务器组件,进行新的DDoS攻击。攻击。黑客攻击的动机主要包括好奇心、个人声望、智力挑黑客攻击的动机主要包括好奇心、个人声望、智力挑战、窃取情报、报复、金钱、政治目的等。战、窃取情报、报复、金钱、政治目的等。黑客攻击的流程可归纳为踩点、扫描、查点、获取访黑客攻击的流程可归纳为踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门、拒绝问权、权限提升、窃取、掩盖踪迹、创建后门、拒绝服务攻击。服务攻击。黑客所使用的入侵技术主要包括协议漏洞渗透、密码黑客所使用的入侵技术主要包括协议漏洞渗透、密
179、码分析还原、应用漏洞分析与渗透、社会工程学、拒绝分析还原、应用漏洞分析与渗透、社会工程学、拒绝服务攻击、病毒或后门攻击。服务攻击、病毒或后门攻击。针对不同的网络有不同的攻击方法,主要的方法有拨针对不同的网络有不同的攻击方法,主要的方法有拨号和号和VPN攻击、针对防火墙的攻击、拒绝服务攻击。攻击、针对防火墙的攻击、拒绝服务攻击。11.5 本章小结本章小结11-1 黑客攻击的流程是什么?黑客攻击的流程是什么?11-2 黑客是否只有通过计算机才能够获取你的秘密?黑客是否只有通过计算机才能够获取你的秘密?11-3 “会话侦听与劫持技术会话侦听与劫持技术”是属于()的技术。是属于()的技术。A. 密码分析还原密码分析还原 B. 协议漏洞渗透协议漏洞渗透C. 应用漏洞分析与渗透应用漏洞分析与渗透 D. DoS攻击攻击11-4 比较比较“密码还原技术密码还原技术”和和“密码猜测技术密码猜测技术”。11-5 拒绝服务攻击的主要目的是什么?拒绝服务攻击的主要目的是什么?11-6 针对防火墙的攻击为什么可能成功?针对防火墙的攻击为什么可能成功?习题习题
