1、安全与支付,第三讲,攻击的非计算机手段,攻防技术战,黑客攻击的过程,踩点(Foot Printing)扫描(Scanning)查点(Enumeration)获取访问权(Gaining Access),黑客攻击的过程 2,权限提升(Escalating Privilege)窃取(Pilfering)掩盖踪迹(Covering Track)创建后门(Creating Back Doors)拒绝服务攻击(Denial of Service),黑客攻击流程图,端口 判断,判断 系统,选择 最简 方式 入侵,分析 可能 有漏 洞的 服务,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 多个 系
2、统 后门,清除 入侵 脚印,攻击其 他系统,获取敏 感信息,作为其 他用途,较高明的入侵步骤,15,信息收集,信息收集技术是一把双刃剑 黑客在攻击之前需要收集信息,才能实施有效的攻击 安全管理员用信息收集技术来发现系统的弱点并进行修补,攻击工具 攻击命令,攻击机制,目标网络,目标系统,攻击者,漏洞扫描 评估 加固,攻击过程,实时 入侵 检测,知己知彼,百战不殆,16,信息收集过程,信息收集(踩点,footprint)是一个综合过程 从一些社会信息入手 找到网络地址范围 找到关键的机器地址 找到开放端口和入口点 找到系统的制造商和版本 ,17,攻击者需要的信息,域名 经过网络可以到达的IP地址
3、每个主机上运行的TCP和UDP服务 系统体系结构 访问控制机制 系统信息(用户名和用户组名、系统标识、路由表、SNMP信息等) 其他信息,如模拟/数字电话号码、认证机制等 ,18,社会信息,DNS域名 网络实名 管理人员在新闻组或者论坛上的求助信息也会泄漏信息 网站的网页中 新闻报道 例如:XX公司采用XX系统, 这样的信息可以合法地获取,19,例:来自网站的公开信息,20,网站上令人感兴趣的信息,机构所在位置 与其关系紧密的公司或实体 电话号码 联系人姓名和电子邮件地址 指示所用安全机制的类型的私密或安全策略 与其相关联的Web服务器链接,此外,尝试查阅HTML源代码,21,非网络技术的探查
4、手段,社会工程 通过一些公开的信息,获取支持人员的信任 假冒网管人员,骗取员工的信任(安装木马、修改口令等) 查电话簿、XX手册(指南) 在信息发达的社会中,只要存在,就没有找不到的,是这样吗? 通过搜索引擎可以获取到大量的信息 搜索引擎提供的信息的有效性?(google、baidu),24,信息收集:whois,Whois 为Internet提供目录服务,包括名字、通讯地址、电话号码、电子邮箱、IP地址等信息 Client/Server结构 Client端(发出请求,接受结果,并按格式显示到客户屏幕上) Server端 (建立数据库,接受注册请求,提供在线查询服务) 客户程序 UNIX系统自
5、带whois程序 Windows也有一些工具 直接通过Web查询,25,http:/whois.nic.gov 美国政府部门 美国以外的whois服务器通过这些查询可以得到黑客感兴趣的一些信息: 注册机构:显示特定的注册信息和相关的whois服务器; 机构本身:显示与某个特定机构相关的所有信息; 域名:显示与某个特定域名相关的所有信息 网络:显示与某个特定网络或IP地址相关的所有信息; 联系点:显示与某位特定人员(通常是管理方面联系人)相关的所有信息,各种whois数据来源(续),26,公共数据库安全对策,考虑使用免费电话或不在本机构电话交换机范围内的电话,避免拨入攻击和社交工程 伪造虚假的
6、管理方面联系人,期望以此捕获潜在的社交工程师 加强注册机构的信息更新方式,可以使用安全的认证机制,27,信息收集:DNS查询,关于DNS 是一个全球分布式数据库,对于每一个DNS节点,包含有该节点所在的机器的信息、邮件服务器的信息、主机CPU和操作系统等信息 Nslookup是一个功能强大的客户程序 熟悉nslookup,就可以把DNS数据库中的信息挖掘出来 分两种运行模式 非交互式,通过命令行提交命令 交互式:可以访问DNS数据库中所有开放的信息 UNIX/LINUX环境下的host命令有类似的功能,TCP/IP,百度域名劫持事件回顾,DNS(小影片),百度“史无前例”的安全事件,2010年
7、1月12日晨7时起,网络上开始陆续出现百度出现无法访问的情况反馈,12时左右基本恢复正常;18时许百度发布官方版本公告;对事故原因说明为:“因的域名在美国域名注册商处被非法篡改,导致全球多处用户不能正常访问百度。”,(1)在整个事件期间百度顶级域名及旗下全部二级域名访问都出现异常,在较长的时间全部被解析到位于荷兰的IP地址188.95.49.6 跳转至伊朗网军(IRANIAN CYBER ARMY)页面 跳转至雅虎错误页面,(2)在此期间查询baidu whois信息可以发现异常,并有被不止一次修改的迹象。,正常情况下的全球DNS体系、baidu和用户三者的关系图示,攻击示意图,域名劫持一般过
8、程,1、获取劫持域名注册信息:首先攻击者会访问域名查询站点,通过MAKE CHANGES功能,输入要查询的域名以取得该域名注册信息。 2、控制该域名的E-MAIL帐号:此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解,有能力的攻击者将直接对该E-MAIL进行入侵行为,以获取所需信息。 3、修改注册信息:当攻击者破获了E-MAIL后,会利用相关的MAKE CHANGES功能修改该域名的注册信息,包括拥有者信息、DNS服务器信息等。 4、使用E-MAIL收发确认函:此时的攻击者会在信件帐号的真正拥有者之前,截获网络公司回溃的网络确认注册信息更改件,并进行回件确认,随后网络公司将再次
9、回溃成功修改信件,此时攻击者成功劫持域名。,36,网络勘察,最常用的工具: Ping和Traceroute Ping: Packet InterNet Groper 用来判断远程设备可访问性最常用的方法 原理:发送ICMP Echo消息,然后等待ICMP Reply消息 Traceroute 用来发现实际的路由路径 原理:给目标的一个无效端口发送一系列UDP,其TTL依次增一,中间路由器返回一个ICMP Time Exceeded消息 Windows中为tracert,37,网络勘察的对策,防火墙:设置过滤规则 使用NIDS(Network Intrusion Detection System
10、):商用以及免费的NIDS(Snort) 使用其他工具:如rotoroutor,它可以记录外来的traceroute请求,产生虚假的应答,下堂课:网络扫描,攻击者:信息收集的一部分,攻击目标定位,鉴别目标,发现目标弱点 管理员:网络安全检查,39,计算机网络系统的组成,硬件 网络节点 端节点:计算机 中间节点:交换机、集中器、复用器、路由器、中继器 通信链路:信息传输的通道 物理:传输介质 逻辑:信道 类比CATV的电缆和频道之间的关系 软件 通信软件(网络协议软件) 网络操作系统 网络管理/安全控制软件、网络应用软件,40,网络扫描,一般分成两种策略: 一种是主动式策略 另一种是被动式策略。
11、 扫描 利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。 扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查,目标可以是工作站、服务器、交换机、路由器和数据库应用等。 根据扫描结果向扫描者或管理员提供周密可靠的分析报告,41,扫描器(scanner),扫描器是一种自动检测远程或本地主机安全性弱点的软件。主要有端口扫描器和漏洞扫描器两种。扫描器通常集成了多种功能。,端口扫描器的作用是进行端口探测,检查远程主机上开启的端口。,漏洞扫描器则是把各种安全漏洞集成在一起,自动利用这些安全漏洞对远程主机尝试攻击,从而确定目标主机是否存在这些安全漏洞。,因此,扫描器是一把双刃剑,系统管理
12、员使用它来查找系统的潜在漏洞,而黑客利用它进行攻击。,42,扫描攻击的目的,是否有的安全保护措施,运行那些服务,服务器软件的版本,存在哪些漏洞,目标网络的网络拓扑结构,目标主机运行的操作系统,43,扫描类型,网络(地址)扫描 发现活动主机,获取网络拓扑结构 端口扫描 确定运行在目标系统上的TCP和UDP服务 确定目标系统的操作系统类型 确定特定应用程序或特定服务的版本 漏洞扫描 确定特定服务存在的安全漏洞,44,网络扫描了解网络情况,目的黑客首先希望了解你的网络中的详细情况,比如网络拓扑结构,活动主机IP地址,主要服务器,路由器和防火墙。黑客使用扫描工具一般先扫描你的网关、DMZ系统,各种服务
13、器等Internet周边环境,在控制了你的网络周边环境后,再继续攻击你的内部网络。,种类,发现活跃主机,跟踪路由,45,发现活跃主机,Ping:发送一个ICMP回显请求(echo request)数据包,如果目标主机响应一个ICMP回显应答响应(echo replay)数据包,则表示这是一个活跃主机。,TCP扫描:许多网络防火墙都阻塞ICMP消息,因此,发送一个TCP ack包到80端口,如果获得了RST返回,机器是活跃的。,46,TTL&Hop基本概念,跳(Hop):IP数据包经过一个路由器就叫做一个跳。,TTL在路由器中如何工作?,当路由器收到一个IP数据包时,它首先将这个IP数据包的TT
14、L字段减1,如果TTL为0则路由器抛弃这个数据包,并向源IP地址发送一个连接超时的ICMP数据包。如果不为0则根据路由表将这个数据包发送到下一个路由器或目的网络。,48,跟踪路由(tracerouting),黑客可以利用TTL值来确定网络中数据包的路由路径,通过发送一系列TTL值递增的数据包来发现到达目的主机的路由路径。Unix下的跟踪路由工具是Traceroute,发送有递增的TTL值的UDP数据包,同时寻找返回的ICMP超时消息。windows下的跟踪路由工具是tracert。,黑客使用跟踪路由(tracerouting)技术来 确定目标网络的路由器和网关的拓扑结构。,49,如何防御网络扫
15、描,利用防火墙和路由器的数据包过滤功能来阻塞这些消息,还应该阻塞所有流入的ICMP消息,另外,也可以过滤从你的网络流出的ICMP超时信息,从而完全拒绝traceroute的访问。,50,常见的端口扫描技术,TCP connect扫描,SYN扫描,FIN扫描,反向映射扫描,慢速扫描,UDP扫描,IP分片扫描,FTP反弹扫描,ident扫描,RPC扫描,源端口扫描,51,被扫描主机的响应,TCP扫描的响应: 目标主机响应SYN/ACK,则表示这个端口开放。 目标主机发送RST,则表示这个端口没有开放。 目标主机没有响应,则可能是有防火墙或主机未运行。,UDP扫描的响应: 目标主机响应端口不可达的I
16、CMP报文则表示这个端口关闭。 目标主机没有响应,并且目标主机响应了ping,则这个端口被打开,如果防火墙阻塞了ICMP消息,则这个端口可能是关闭的。,52,OS fingerprinting 操作系统的指纹识别,根据不同类型的操作系统的TCP/IP协议栈的实现特征(stack fingerprinting)来判别主机的操作系统类型。,不同的操作系统厂商的TCP/IP协议栈实现存在细微差异,对于特定的RFC文档作出不同的解释。,向目标主机发送特殊的数据包,然后根据目标主机的返回信息在扫描工具的操作系统指纹特征数据库中查找匹配的操作系统名。,53,主动与被动的协议栈指纹识别,主动协议栈指纹识别:
17、扫描器主动地向目标系统发送特殊格式的数据包,这种方式可能会被网络IDS系统检测出来。,被动协议栈指纹识别:通过被动地监听网络流量,来确定目标主机地操作系统。一般根据数据包的一些被动特征:TTL,窗口大小,DF等。,54,扫描应用软件版本,在第一次连接时,许多软件都公布了版本号(如sendmail,FTP,IMAPD,Apache等)。黑客根据这些连接信息(banner)就可以知道目标的应用软件的版本信息。根据版本号很容易在网上查到它的已知漏洞,根据这些漏洞对目标主机进行攻击。,55,常见的扫描工具,NAMP,winmap www.insecure.org,Foundstone公司的Robin
18、keir开发的superscan ,流光 fluxay4.7 http:/ 最好的开放源代码风险评估工具,可以运行在Linux、BSD、Solaris。能够完成超过1200项的远程安全检查,具有多种报告输出能力。并且会为每一个发现的安全问题提出解决建议。 网址:http:/www.nessus.org ISS Internet Scanner:应用层风险评估工具,商业漏洞扫描软件。 X-Scan等,THE END,网络扫描的防范,主机扫描防范措施监测:网络入侵检测系统Snort主机扫描监测工具Scanlogd防御:仔细考虑对ICMP通信的过滤策略,端口扫描防范措施,端口扫描的监测 网络入侵检测
19、系统: Snort中的portscan检测插件 系统扫描检测工具: scanlogd, PortSentry, Genius 端口扫描的预防 开启防火墙 类UNIX: netfilter/IPTables Win32: 个人防火墙 商用防火墙:Check Point、NetScreen、WatchGuard等 禁用所有不必要的服务,尽可能减少暴露面(进一步的受攻击面) 类UNIX: /etc/inetd.confWin32: 控制面板/服务,系统类型探查防范措施,没有太多好办法 检测 端口扫描监测工具 对被动式静默监听并辨识系统类型行为则基本无能为力 挫败系统类型探查活动的防御机制也很难 更改默认旗标和默认配置 代理 “不出声就不会被发现”这一古老格言并不适用于网络攻防领域 应立足于即使攻击者探查出了操作系统和网络服务类型,也不能轻易的攻破这道“坚固的防线”,漏洞扫描防范措施,最简单对策: 提前进行漏洞扫描 补丁自动更新和分发: 修补漏洞 联邦桌面核心配置计划(FDCC) 确保桌面计算机的安全漏洞及补丁自动管理 中国2010年才开始政务终端安全配置(CGDCC)标准的发展 检测和防御漏洞扫描行为 网络入侵检测系统: Snort 仔细审查防火墙配置规则,
