1、系统安全加固及防护,主要内容,安全攻防,UNIX/LINUX系统安全,WINDOWS系统安全,2,3,1,安全攻防,发生在我们周围.安全问题成因威胁安全的常见手段及流程,发生在我们周围.,安全对于企业,萨班斯-奥克斯利法案 404章节(SOX404)IT治理 美国安然和世通财务丑闻案发商业泄密RMB6000的奥美(Ogilvy)全套创意计划和可下载的神州数码的年度战略规划文件Cisco 和 Microsoft企业的安全取决于完善的内部管理,有效的的安全措施和手段.,同时也取决于我们每个人!,SOX对公司的影响程度,美国证交会主席哈维皮特将世界通信公司会计造假案、安然事件、安达信解体和“9 .1
2、1事件”并称为美国金融证券市场遭遇的“四大危机” 针对安然、世通等财务欺诈事件,美国国会出台2002年公众公司会计改革和投资者保护法案该法案由美国众议院金融服务委员会主席奥克斯利(Oxley)和参议院银行委员会主席萨班斯(Sarbanes)联合提出,又名萨班斯法案,简写为SOX法案,安全对于个人,个人忽视安全问题影响到公司业务个人经济受到侵犯网银大盗 证券大盗 信用卡盗用个人隐私收到侵犯网络钓鱼 垃圾邮件个人私密 Paris Hilton,每个人需要了解风险所在,威胁来自无线还是Phone Call,黑客组织 成员均在十几岁到20岁之间,且除了主要成员见面外,很多成员仅在线联络漏洞成因 T-
3、mobile站点上重置用户密码的工具严重安全问题,可以让用户任意访问使用sidekick的用户的中心服务器。目标锁定 名人 扩大影响社会工程学的应用 冒充T-Mobile的高管进行询问非熟练黑客完成的案例,体现出若干公司在管理上的盲区。如客服人员薪水较低,上岗前并没有接受良好培训,但掌握了大量有价值信息。,我们身边和专家身上,河北黑客控制6万台僵尸计算机进行攻击导致某网站损失700万某著名网络游戏遭受网络攻击而导致服务中断微软、思科的核心机密产品源代码被人通过网络盗取,安全问题成因,目前存在的问题个人,空口令、简单口令、默认口令设置、长期不更换。点击进入危险的网站或链接。接收查看危险的电子邮件
4、附件。系统默认安装,从不进行补丁升级。拨号上网,给个人以及整个公司建立了后门。启动了众多的不用的服务。个人重要数据没有备份。 ,兼职的安全管理员物理安全保护基本的安全产品简单的系统升级机房安全管理制度资产管理制度 ,超过70%的信息安全事件,如果事先加强管理,都可以得到避免。,客户端成为Target,在攻击服务端变得困难时,黑客把目标转向管理员的PC以及其他客户机群利用对象:Windows漏洞、IE、Outlook、Foxmail、Serv-U、IRC软件等典型威胁:木马程序客户端往往不被重视,加上ARP欺骗、SMB会话劫持技术的应用,大多数内网安全性很薄弱,影响安全的因素,利益驱使技术环境操
5、作系统平台安全应用程序安全开发安全其他因素口令安全良好的使用习惯信任危机,系统默认安装,从不进行补丁升级。缓冲区溢出频发源代码泄漏空口令、简单口令、默认口令设置、长期不更换。点击进入危险的网站或链接。接收查看危险的电子邮件附件。社会工程学,曾经的黑客,媒体宣传的“黑客”,真实的黑客Kevin Mutnik,黑客的历史,80年代早期黑客杂志2600、phrack相续创刊 80年代晚期25岁的Kevin Mitnik首次被捕,90年代再次被捕Tsutomu Shimomura1988年,莫里斯蠕虫事件,在几小时内感染了6000台 计算机系统美国国防部成立了计算机紧急应急小组(CERT),今天的网络
6、犯罪产业链,网络金融犯罪主要以银行、证券为目标“网银大盗”、“证券大盗”2004年,农业银行、工商银行、中国银行、中国银联、渣打、汇丰、星展等银行纷纷被假冒2004年全球仿冒网站造成的损失金额达1.371亿美元以网络游戏产业链为目标入侵游戏服务器、游戏玩家的终端盗窃游戏装备、点卡等以其它虚拟资源为目标盗窃QQ号盗窃源代码网络黑社会的形成DoS讹诈DoS雇佣军:明码标价逐渐和传统犯罪相结合,威胁安全的常见手段及流程,网络安全目前存在的威胁,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,攻击“谱线”,预攻击信息收集侦查阶
7、段,信息收集,技术手段扫描技术Port scannerPing sweepBanner grabbing漏洞扫描OS fingerprintSNMPtracerouteNIC 注册纪录DNS 纪录公开域信息Google hacking社交工程,Whois查询,敏感信息泄漏的第一步以下为whois命令可执行网址:http:/ http:/ http:/ http:/ 企业申报上网时的数据 企业的职能信息 DNS服务器 IP分配和使用情况 联系人防御原则:向注册机构提供的信息必须干净,不能包含公司内职员的直接信息,防止社会工程攻击,SEHGoogle Hacking,Google Hacking
8、利用搜索引擎输入特定语法、关键字寻找可利用的渗透点,最终完成入侵。敏感的信息包括:目标站点的信息存储密码的文件后台管理和上传文件的 Web 页数据库特定扩展名的文件特定的 Web 程序,如论坛Google蠕虫已经出现!Net-Worm.Perl.Santy.a。利用用Google查询来发现运行phpBB论坛系统的Web站点系统漏洞并自动修改,登陆界面实例,Windows Remote Desktopintitle:Remote Desktop Web Connection,MS Outlook Web AccessIntitle:”Microsoft Outlook Web Access”,梦
9、寐以求的Shell,SQL注入,ORA-00933: SQL command not properly ended,SQL注入的目标查找,intitle:Error Occurred The error occurred in,源代码泄漏,Google Hacking 防御,Google hack手工提交 http:/ 内容检查,Google Hacking 防御,Robot:见门就进,见路就闯例1. 禁止所有搜索引擎访问网站的任何部分: User-agent: * Disallow: / 例2. 允许所有的robot访问: User-agent: * Disallow: 例3. 禁止某个搜索
10、引擎的访问: User-agent: BadBot Disallow: / 例4. 允许某个搜索引擎的访问: User-agent: baiduspider Disallow: User-agent: * Disallow: /,DNS侦查,使用nslookup 实现DNS 的排错工具 非交互模式:使用NSLOOKUP并在命令行中指定参数交互模式:不指定任何参数1set all 查看NSLOOKUP的默认设置 2server 修改响应NSLOOKUP查询的DNS服务器的名称,指定由那个DNS解析。 1.列出目标网络DNS 服务器的内容,此时DNS 服务器会把数据传送给你,管理员可以禁DNS
11、服务器进行区域传送,目前很多公司将DNS 服务器至于防火墙的保护之下并严格设定了只能向某些主机进行区域传送 2.ls t a 列出特定区域中的资源记录,本质上LS是对选定记录类型进行一次区域传输。-t 参数指定记录类型,any, -d参数将显示整个区域表,此命令导致了安全问题。防御:禁止区域传输,traceroute,Traceroute(tracert win2000)命令Traceroute 用于路由追踪推测出网络的物理布局判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间如何、是否有路由器当掉等 命令行界面以及图形界面1.在命令行下使用traceroute命令2.利用第三方工具:
12、http:/ 起始端口号计算公式起始端口号=(目标端口-两机间的跳数*探测数据包数)-1,例:防火墙允许FTP数据包通过,即开放了21号端口,两机间跳数为2 起始端口号(ftp端口两机间的跳数*默认的每轮跳数)1 (212*3)-1 151 14,扫描的技术分类,存活性扫描,端口扫描,系统指纹扫描,特定漏洞扫描,存活性扫描,子网,192.168.1.16,192.168.1.18,192.168.1.10,192.168.1.12,192.168.1.14,存活性扫描,主机扫描技术传统技术,PIng 扫描作用及工具得知了HTTP 服务器的IP 地址,你可以使用Ping 扫描工具Ping 该子网
13、所有IP 地址,可以帮助你得到该网络的地址图。 Ping 扫描程序将自动扫描你所指定的IP 地址范围 在命令行下使用ping命令主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段,其效果直接影响到后续的扫描。常用的传统扫描手段有:ICMP Echo扫描ICMP Sweep扫描Broadcast ICMP扫描Non-Echo ICMP扫描,网络拓扑发现,ICMP echo扫描,实现原理:Ping的实现机制,在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMP Echo Request (type 8)数据包,等待回复的ICMP Echo Reply 包(type
14、0) 。如果能收到,则表明目标系统可达,否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。 优点:简单,系统支持缺点:很容易被防火墙限制,且无返回信息可以通过并行发送,同时探测多个目标主机,以提高探测效率(ICMP Sweep扫描)。,Broadcast ICMP扫描,实现原理:将ICMP请求包的目标地址设为广播地址或网络地址,则可以探测广播域或整个网络范围内的主机。缺点:只适合于UNIX/Linux系统,Windows 会忽略这种请求包;这种扫描方式容易引起广播风暴,Non-Echo ICMP扫描,一些其它ICMP类型包也可以用于对主机或网络设备的探测,如:Stamp Request(
15、Type 13)Reply(Type 14)Address Mask Request (Type 17)Reply(Type 18),主机扫描技术高级技术,防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制,必须采用一些非常规的手段,利用ICMP协议提供网络间传送错误信息的手段,往往可以更有效的达到目的:异常的IP包头 :常见的伪造错误字段为Header Length Field 和IP Options Field在IP头中设置无效的字段值 : IP包中填充错误的字段值错误的数据分片:发送错误的分片(如某些分片丢失)通过超长包探测内部路由器:超过目标系统所在路由器的PMTU且
16、设置禁止分片标志反向映射探测:构造可能的内部IP地址列表,使用集成工具获得信息,使用集成工具获得信息,使用集成工具获得信息,端口扫描技术,当确定了目标主机可达后,就可以使用端口扫描技术,发现目标主机的开放端口,包括网络协议和各种应用监听的端口。端口扫描:就是得到目标主机开放和关闭的端口列表,这些开放的端口往往与一定的服务相对应,通过这些开放的端口,黒客就能了解主机运行的服务,然后就可以进一步整理和分析这些服务可能存在的漏洞,随后采取针对性的攻击。端口扫描技术主要包括以下三类:开放扫描会产生大量的审计数据,容易被对方发现,但其可靠性高;隐蔽扫描能有效的避免对方入侵检测系统和防火墙的检测,但这种扫
17、描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息;半开放扫描隐蔽性和可靠性介于前两者之间。,TCP/IP相关问题,一个TCP报头的标致(code bits)字段包含6个标志位SYN:标志位用来建立连接,让连接双方同步序列号。如果SYN1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接FIN:表示发送端已经没有数据要求传输了,希望释放连接RST:用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包URG:为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此
18、时紧急数据指针有效ACK:为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效PSH:如果置位,接收端应尽快把数据传送给应用层, 不必等缓冲区满再发送,端口扫描方式,全TCP连接TCP SYN 扫描TCP FIN 扫描其它TCP扫描方式UDP扫描UDP recvfrom()和write()扫描秘密扫描技术间接扫描,全TCP连接,长期以来TCP端口扫描的基础扫描主机尝试(使用三次握手)与目的机指定端口建立建立正规的连接 连接由系统调用connect()开始对于每一个监听端口,connect()会获得成功,否则返回1,表示端口不可访问 优点:稳定可靠,不需要特殊的权限缺点:扫描
19、方式不隐蔽,服务器日志会记录下大量密集的连接和错误记录 ,并容易被防火墙发现和屏蔽Courtney,Gabriel和TCPWrapper监测程序通常用来进行监测。另外,TCPWrapper可以对连接请求进行控制,所以它可以用来阻止来自不明主机的全连接扫描,TCPSYN扫描,扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST,那么说明端口是关闭的,按照设定就探听其它端口;如果应答中包含SYN和ACK,说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息,传送一个RST给目标机从而停止建立连接。由于在SYN扫描时,全连接尚未建立,所以这种技术通常被称为半打开扫描SYN扫描优缺
20、点优点在于即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全扫描少得多缺点是在大部分操作系统下,发送主机需要构造适用于这种扫描的IP包,而且构造SYN数据包需要超级用户或者授权用户访问专门的系统调用,TCP FIN扫描,在SYN扫描都不够秘密情况下(如:一些防火墙和包过滤器会对一些指定的端口进行监视,有的程序能检测到这些扫描)使用FIN数据包也许能够没有任何麻烦的通过防火墙设备实现原理:扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且返回一个RST数据包。否则,若是打开的端口,数据包只是简单的丢掉(不返回RST)。优点:由于这种技术不包含标准的
21、TCP三次握手协议的任何部分,所以无法被记录下来,从而必SYN扫描隐蔽得多,FIN数据包能够通过只监测SYN包的包过滤器。缺点:跟SYN扫描类似,需要自己构造数据包,要求由超级用户或者授权用户访问专门的系统调用;这种方法和系统的实现有一定的关系, windows不支持通常适用于UNIX目标主机,(包括CISCO,HP/UX,MVS和IRIX除外)。但在Windows95/NT环境下,该方法无效,因为不论目标端口是否打开,操作系统都返回RST包。,UDP扫描,使用的是UDP协议,由于UDP本身没有面向连接的机制,确认有困难,扫描变得相对比较困难针对未打开的UDP端口发送数据包时,通常会返回一个I
22、CMP_PORT_UNREACHABLE错误,即类型为3、代码为13的ICMP消息UDP和ICMP错误都不保证能到达这种扫描方法是很慢的,因为RFC对ICMP错误消息的产生速率做了规定同样,这种扫描方法需要具有root权限,秘密扫描技术,不含标准TCP三次握手协议的任何部分,比SYN扫描隐蔽得多Xmas和Null扫描秘密扫描的两个变种Xmas扫描:根据RFC 793文档,程序往目标端口发送一个FIN 、URG和PUSH包,若其关闭,应该返回一个RST包而Null扫描:程序发送一个没有任何标志位的TCP包,关着的端口将返回一个RST数据包FTP:文件传输协议(FTP)支持一个非常有意思的选项:代
23、理ftp连接。这个选项最初的目的(RFC959)是允许一个客户端同时跟两个FTP服务器建立连接,然后在服务器之间直接传输数据 秘密扫描通常适用于UNIX目标主机跟SYN扫描类似,秘密扫描也需要自己构造IP包,分段扫描,实现原理:并不直接发送TCP探测数据包,是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包,从而包过滤器就很难探测到。优点:隐蔽性好,可穿越防火墙缺点:可能被丢弃;某些程序在处理这些小数据包时会出现异常。,TCP间接扫描,实现原理:利用第三方的IP(欺骗主机)来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息,所以必须监控欺骗主机的IP行为,从而获得原
24、始扫描的结果。扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描,并通过观察其IP序列号的增长规律获取端口的状态 优点:隐蔽性好缺点:对第三方主机的要求较高 。在扫描机扫描目的机的时候,它不能发送任何数据包,扫描网段特定端口的NetBrute,扫描网段特定端口的NetBrute,扫描特定计算机所有端口的SuperScan,扫描特定计算机所有端口的SuperScan,扫描特定计算机所有端口的SuperScan,共享扫描软件,1.提供了允许审计人员扫描Windows 网络共享的功能。它只能侦查出共享名称,但不会入侵共享。2.如具有NetBrute, Ping Pro, 和RedButton
25、,操作系统辨识,操作系统辨识的动机许多漏洞是系统相关的,而且往往与相应的版本对应从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统操作系统的信息还可以与其他信息结合起来,比如漏洞库,或者社会诈骗(社会工程,social engineering)如何辨识一个操作系统1.一些端口服务的提示信息,例如,telnet、http、ftp等服务的提示信息2.TCP/IP栈指纹3.DNS泄漏出OS系统,OS fingerprint技术,TCP指纹识别技术nmap -O主动识别技术被动识别技术ICMP指纹识别技术应用层指纹识别技术根据系统应用进行综合判断更依赖于人的经验,被动指纹识别,你能区分
26、节点192.168.1.10和节点192.168.10.54分别是什么操作系统吗?,被动TCP指纹识别的工具,端口扫描与远程操作系统识别Nmap:最好的端口扫描器和远程操作系统识别工具http:/www.insecure.org/nmap/Xprobe:icmp远程操作系统识别工具http:/www.sys- by ShokQueso, by SavageNmap, by Fyodor 使用NMAP工具进行检测siphonhttp:/ fingerprint技术实现最新的版本支持协议识别和Banner grabbing入侵检测规避技术广泛支持各种操作系统有很多的图形化前端界面多种格式的结果输出
27、,NetBIOS名称侦察,1.WIN系统十分依赖NetBIOS名称服务(NBNS,UDP 137)2.(TCP 139) NetBIOS会话服务( NetBIOS上的SMB)3.london = 10.100.11.200,使用net view侦查域,使用Nbtstat 查看NetBIOS名称表,NetBIOS名称类型,Unique (U) 该名称只有一个IP地址与之相对应Group (G)名称是唯一的,但可能有多个IP地址Multihomed(M)名称是唯一的,但同一台计算机具有多个IP地址,NetBIOS后缀和名称类型和服务,使用nbtscan扫描NetBIOS名称表,http:/www.
28、inetcat.org/software/nbtscan.html,使用其他工具进行netbios查点,1 enum 工具几乎集成了所有的netbios查点功能http:/ enum u d p l c 10.100.11.2102 nete 工具能从空会话连接获得大量信息http:/prO nete -o,NetBIOS-对策,1.禁止访问TCP/UDP 135-139端口2.禁止访问TCP/UDP 445端口3.如必须使用NBNS访问,防止泄露名称表中数据的方法在每台主机上禁用Alerter警报器和Messenger信使服务,漏洞扫描,1.弱点数据库2.扫描等级 3.配置文件和策略 4.报
29、告功能5.报告风险等级 专用的、针对性的扫描工具1.Symantec NetRecon2.ISS internet Scanner3.Eeye Retina4.利用N-stealth扫描系统漏洞5. Shadow Security Scanner俄罗斯专业安全漏洞扫描软件6. X-Scan-v2.3-cn企业级扫描与评估系统,Symantec NetRecon,攻击远程渗透,DNS安全,Bind的安全性将DNS安置于防火墙后面过滤特定的TCP53端口采用多台DNS服务器进行负载均衡关闭递归查询options recursion no;fetch-glue no;限制区域传输 options a
30、llow-transfer 192.168.100.1;202.96.44.0/24; ;限制对DNS递归查询的IPoptions allow-recursion x.x.x.x/mask; ;,其他常见服务,FTP使用ftpuser限制访问使用新版本Telnet守护进程安全明文传输Sendmail登陆25端口后使用expn和vrfy对用户枚举修改版本号 /sendmail-8.11.0/sendmail/version.c 和sendmail.cf中的SmtpGreetingMessage,如:将sendmail $v/$z; $b改为任意 如reegenmail关闭relay,远程渗透,利
31、用已知/未知漏洞进行远程溢出MS-05-039MS-05-055口令破解NATTScrack应用攻击SQL注入目录遍历等等,SUS父服务器,Windows Update,SUS 子服务器,Internet,客户端计算机,客户端计算机,SUS 的工作方式,下载Security Update Inventory服务端派送Scan元件,用户端返回结果,生成报表管理者下载补丁,更新用户端,防火牆,SMS 派送点,SMS 用戶端,SMS 用戶端,SMS 派送点,SMS 用戶端,Microsoft下載中心,SMS 服务器,SMS 的工作方式,关键词字典,字典空口令有意义的单词个人信息键盘布局密码寿命,避免
32、帐户被锁定,1.确定远程系统的锁定策略,先建立空连接,再使用工具enum p 可以查点锁定阀值 http:/2.对GUEST帐号进行密码猜测,即使被禁用也能返回不同的信息,当到达阀值时也会提示被锁定 net use teacherztzipc$ * /u:guest3.可删除GUEST帐户防止侦察,使用delguest 工具 http:/ admnlock 工具 admnlock /e,查看审核设置,1.使用 auditpol 工具可以查看审核状态及禁止审核 auditpol 10.100.11.2002.禁止使用审核 auditpol 10.100.11.200 /disable,手工猜测S
33、MB密码,如果查点出提供SMB服务,则可使用net use命令猜测,正确则显示命令成功 net use teacherztzipc$ passwd /u:teacherztzztz,实验1.破解远程管理员帐号,1.利用字典工具生成所需字典,2.使用Smbcrack破解管理员帐号,使用其他工具破解密码,1.使用NAT 工具2.使用SMBgrind 工具(network associates 公司) http:/ smbgrind i 192.168.1.1 r teacherztz -u userlist.txt -p passlist.txt -l 20 -v,1.使用NET命令添加帐号,L0
34、phtCrack工具,1.使用文字列表对密码进行字典攻击 2.对本地SAM数据库进行攻击3.对远程SAM数据库进行攻击4.对从网络上捕获的密码数据包进行攻击,1.破解本地SAM数据库,关键词LC5,可直接读取,嗅探密码采用穷举法,破译只是时间问题6位纯数字的密码通常在20分钟内破解,解决方案,口令强度不足口令结构简单口令保存方法不当口令保质期过长,不定期更改你的密码。上面LC5破解的例子给我们一个启示:只要有足够的时间,无论多高强度的密码最终都可被破解! 所以,不定期更改你的密码很有必要。一般来说密码寿命最好不超过一个月。键盘锁定,密码安全绝对不是技术问题,而是意识问题!,应用攻击解决方案,替
35、换或删除敏感字符/字符串。 屏蔽出错信息在服务端正式处理之前对提交数据的合法性进行检查等,针对SQL injection的防范,针对目录遍历的防范(MS windows 2003为例),虚拟目录不再具有执行权限 (MDAC,Script)增强文件访问控制(IUSR_machinename )禁用父目录(./),跨站脚本漏洞,WEB程序在输出用户提交的数据到页面时,没有进行URL编码,导致用户插入恶意的脚本。最终窃取cookies或者进行其他操作。跨站脚本攻击在多数情况下不会对服务器和WEB程序的运行造成影响,但对客户端的安全构成严重的威胁,网站仿冒,网站仿冒(Phishing)建立假网站通过垃
36、圾邮件发送服务器大量发信引诱用户访问使用中奖、系统升级等手段诱使用户输入个人信息主要针对银行和信用卡服务机构反网络钓鱼组织 APWG(Anti-Phishing Working Group)最新统计指出,约有70.8的网络欺诈是针对金融机构而来,而最常被仿冒的前三家公司为:Citibank(花旗银行)、eBay和Paypal,钓鱼实例,以假乱真,视觉陷阱域名类似 姜太公钓鱼,愿者上钩身份伪装 ?,钓鱼实例,“为什么每次登陆都得输入两次账号和密码?”,安全编程,程序只实现指定的功能 每个函数或者文件只实现基本的功能,越简洁的程序越不容易出现错误多个功能简单的函数或文件组成功能强大的程序 永远不
37、要信任用户输入 检查输入的每个字符是否都在合法字符集内,而不是判断是否存在非法字符尽可能的捕获错误尽量捕获每一个意外情况,不泄露任何关于错误的详细信息(如只要用户名和口令有一样不正确,都显示同样的错误信息,攻击者无法识别有效用户名。 发现错误之后立即停止执行尽可能少的在客户端储存信息尽量用在服务端的Session验证,暴力破解FTP密码,1使用brutus-aet2 工具可暴力破解HTTP,FTP,POP3,TELNET的密码 http:/ V2.6-V2.5高级扫描器,使用工具查点用户,1使用userinfo 工具,即使匿名访问=1,也能查点拥护 http:/ teacherztz admi
38、nistrator2使用 userdump 工具http:/ userdump teacherztz guest 103使用 getacct 图形工具http:/4使用walksam 工具是rpctools三个工具中的一个http:/ walksam 192.168.1.1,渗透获得管理员帐户名称,1.使用user2sid, sid2user2.使用红色按钮3.使用letmin 工具,使用user2sid查点用户,1.与目标建立空连接 net use 10.100.11.210 ipc$ “” /u: ”2.获得域的SID user2sid 192.168.1.1 “domain users”
39、3.获得用户的名称 sid2user 192.168.1.1 5 21 5004关闭空连接 net use * /delete /y net use teacherztzipc$ /d /y,查看SID,1使用user2sid,sid2user查看用户帐号2使用pstools工具,键盘击键记录,1.使用 IKS 程序能记录每次击键动作,并能捕获CTRL+ALT+DEL序列,及登录到系统本身所需的密码2.IKS是用于远程安装的,被安装的系统必须重启3.默认情况下,击键记录被记录到 iks.dat 文件中4.使用IKS提供的datview 程序查看iks.dat文件的内容5.注册表键值: HKLM
40、SYSTEMCurrent ControlSetservicelogname,嗅探渗透网络用户,1.使用fsniff 能够嗅探网络中用户名和密码,包括一个可执行文件(fsniff.exe)和一个报文驱动(fsniff.sys) fsniff 命令2使用 dsniff forwin32工具http:/monkey.org/dugsong/dsniff dsniff 命令3.使用 ethereal 工具可以跨越平台捕获数据包,内网监听,网络接口应该只响应这样的两种数据帧 :1、帧的目标区域具有和本地网络接口相匹配的硬件地址。2、帧的目标区域具有“广播地址”。Anti-Sniffer:1.利用错误硬
41、件地址的数据包2.发送大量不存在的硬件地址的包,不止是明文密码嗅探,Network General 公司提供 的Sniffer Application Playback网络行为分析,捕获的FTP用户名及密码,捕获的EMAIL用户名及密码,ARP Spoof,C: arp -aInterface: 192.168.1.37 Internet Address Physical Address Type 192.168.1.33 00-90-6d-f2-24-00 dynamicHOSTB# arpspoof -t 192.168.1.37 192.168.1.33 8:0:20:c8:fe:15
42、8:0:20:c8:fe:15 0:50:ba:1a:f:c0 0806 42: arp reply 192.168.1.33 is-at 8:0:20:c8:fe:15 8:0:20:c8:fe:15 0:50:ba:1a:f:c0 0806 42: arp reply 192.168.1.33 is-at 8:0:20:c8:fe:15 8:0:20:c8:fe:15 0:50:ba:1a:f:c0 0806 42: arp reply 192.168.1.33 is-at 8:0:20:c8:fe:15 8:0:20:c8:fe:15 0:50:ba:1a:f:c0 0806 42: a
43、rp reply 192.168.1.33 is-at C:arp -aInterface: 192.168.1.37 Internet Address Physical Address Type 192.168.1.33 08-00-20-c8-fe-15 dynamic,环境: A机的ip地址:192.168.1.37 B机的ip地址:192.168.1.35,mac地址为:08-00-20-c8-fe-15 网关的ip地址:192.168.1.33,mac地址为:00-90-6d-f2-24-00 软件:dsniff包括了filesnarf、 mailsnarf、msgsnarf、urlsnarf、dnsspoof,后攻击控制及权限提升,木马 ,来自希腊神话的威胁,在神话传说中,特洛伊木马表面上是“礼物”,但实际上藏匿了袭击特洛伊城的希腊士兵。现在,特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。 具有隐蔽性的可执行程序,通常在点击后生效高隐蔽性可读取,下载,上传文件读取各种密码(包括网银密码,证券交易密码)可对局域网其它信息进行嗅探,
