《骇客攻击手法演示课件》由会员分享,可在线阅读,更多相关《骇客攻击手法演示课件(45页珍藏版)》请在金锄头文库上搜索。
1、駭客攻擊手法演示台中縣教育網路中心 張本和 王慶祥97.3.12大綱o駭客簡介o實驗演示n偵查工具實作 - WayBackMachinen偵查工具實作 - Email Spidersn掃描實作 - NMAPn掃描實作 - HTTrack Web Site Copiern列舉實作 - SuperScan4n權限提升實作 - Xn木馬工具實作-Trojan Generator大綱 (cont.)o實驗演示n木馬工具實作- Beast Trojann木馬實作 - DesktopSpyn檔案隱藏實作 - NTFSn檔案包裝術實作 - OneFilesExeMakero結論駭客的定義o駭客(Hacker
2、)又叫黑客,字典裡定義:一個對於程式設計、系統安全與網路安全非常樂衷研究的人,並且擁有高超的知識與技術o原本駭客是指那些熱衷專研電腦系統的專家,現在被污名為危害網路系統安全者的壞人。駭客的種類駭客入侵的目的o檢視系統是否有漏洞 o好玩、證明自己的功力o發洩、表達自己的不滿o竊取資料o報復或變態的破壞 o其他原因例如設立養雞場、建立跳板、利用他人儲存空間放置非法軟體、色情媒體等。駭客入侵的步驟偵查掃描取得權限維持權限擦拭足跡駭客/弱點研究網站駭客/弱點研究網站駭客/弱點研究網站駭客/弱點研究網站弱點研究網站www.hackerwatch.org弱點研究網站 偵查工具實作 WayBackMachi
3、newww.archive.org偵查工具實作 - Email Spiders掃描工具實作 - NMAPNMAP掃描方法ICMP163.17.38.1163.17.40.1ICMP Type 8 - - Echo Request ICMP Type 0 - Echo Reply ROUTERICMP ping 成功的例子163.17.38.1163.17.40.3ICMP Type 8 - - Echo Request ICMP Type 3 - Destination Unreachable ROUTERICMP ping 失敗的例子路由器找不到結點163.17.40.3,或是沒有通往結點1
4、63.17.40.3的路由NMAP掃描方法 TCP (一)旗標意義:SYN 初始主機之間的連線ACK 建立主機間的連線PSH 告知接收方系統立刻送出所有BUFFER中資料URG 聲明此封包中所有的資料必須立刻處理FIN 告訴遠端系統不再傳送資料RST 重設網路連線NMAP掃描方法 TCP (二)XMAS TREE (FIN+URG+PSH)+PORT 618 RST XMAS TREE SCANSDClosed portXMAS TREE (FIN+URG+PSH)+PORT 618 SDOpened port丟棄* WINDOWS 2000 會有不正常的回應會有不正常的回應NMAP掃描方法
5、TCP (二)NULL FLAGS+PORT 438RST NULL SCANSDOpened port:UNIX, WindowsClosed port:BSDNULL FLAGS+PORT 110 SDOpened port:BSD丟棄* RFC793並未定義該封包如何處理並未定義該封包如何處理NMAP掃描方法 TCP (二)FIN+PORT 443 RST FIN SCANSDClosed portFIN+PORT 23 SDOpened port丟棄NMAP掃描方法 TCP (二)ACK+PORT 389RST ACK SCANSDS 收到 RST表示封包未被阻隔 unfiteredA
6、CK+PORT 6969 SDS 沒收到 RST的封包表示被濾掉了 filtered丟棄* ACK SCAN是用來偵測是否有防火牆或入侵偵測設備過濾是用來偵測是否有防火牆或入侵偵測設備過濾NMAP掃描方法 TCP (二)SYN+PORT 113RST SYN SCANSDClosed portSYN+PORT 80 SDOpened port*SYN SCAN 又稱又稱 half-open SYN+ACK RST NMAP掃描方法 TCP (二)ACK+PORT 25RST+WIN=0 WINDOW SCANSD* 極類似極類似 ACK SCAN,但會多檢查,但會多檢查 WINDOW SIZE
7、Closed portACK+PORT 23RST+WIN=2048 SDOpened portNMAP掃描方法 TCP (二)IDLE SCAN圖片來源圖片來源http:/ UDP (三)UDP+PORT 514UDP SCANSDClosed portSDOpened portUDP+PORT 514ICMP Type 3 - Destination UnreachableCode 3-Port Unreachable 偵查工具實作 - HTTrack Web Site Copier列舉o取出使用者名稱、機器名稱、網路分享資源或服務的方法o用於內網o直接連入系統並直接的詢問列舉-Netbi
8、os Null Sessionso利用空的使用者名稱和密碼和Windows (NT/2000/XP)建立 null sessionoNull sessions是利用 CIFS/SMB (Common Internet File System/Server Messaging Block)的缺點nWindows: C:net use 192.34.34.2IPC$ “” /u:“”nLinux:$ smbclient targetipc$ “” U “”列舉實作 - SuperScan4權限提升實作 - Xo大小只有3Ko執行後直接取得一個叫X的帳號,具有最高權限。木馬工具實作-Trojan G
9、enerator木馬工具實作- Beast Trojan木馬實作-Desktop Spy檔案隱藏實作 - NTFS streamoNTFS 支援多個資料流的資料,以取得 NTFS 檔案系統 ;支援作業系統 (Windows、 Macintosh、 Windows NT, 2000, XP, 2003 和 Win 32 s)oNTFS streamn執行 notepad test.txtn輸入一些文字並存檔,檢查檔案大小n執行 notepad test.txt:hidden.txtn輸入一些文字並存檔n如果下指令 type test.txt:hidden.txt 會出錯但是可執行編輯 notep
10、ad test.txt:hidden.txt檔案隱藏實作 - NTFS stream檔案包裝術實作- OneFilesExeMaker避免 Null session的對策oNull sessions 針對 TCP 139 and/or TCP 445 portsoNull sessions 對 Windows 2003 無效o關閉 SMB serviceso編輯註冊檔限制匿名使用者:n開啟 regedt32HKLMSYSTEMCurrentControlSetLSAn選擇 edit add valuevalue name: Restrict AnonymousData Type: REG_WORDValue: 2避免木馬的對策o木馬比你想像的更可怕。o不要太相信朋友交/寄給你的檔案。o不要任意下載執行任何檔案。o木馬是非常非常難以移除的,甚至無法移除。o發現中木馬時第一件事就是拔掉網路線。o隨時提高警覺,觀察電腦正在執行的程序。o隨時注意自己的連線狀態。o最好移除木馬的方式就是重灌。o防火牆和防毒軟體不一定對木馬有效。安全的系統?安全性、功能性、方便性三角形方便性安全性功能性簡報結束,謝謝指教。
