1、计算机犯罪现场勘查,第三章 攻击与网络取证手段,第一节 攻击手段,第三章 攻击与网络取证手段,一、攻击的步骤,收集目标系统信息;探测分析目标系统弱点;实施入侵活动;,二、常见的几种攻击手段,端口扫描; 电子欺骗; 分布式拒绝服务攻击; 电子邮件攻击; 网络监听; 木马攻击;,口令攻击; 后门攻击; 电磁泄露; WEB欺骗; 内存空间窥探; 香肠术; 逻辑炸弹;,三、分布式拒绝服务攻击(DDOS),拒绝服务:就是用超出被攻击目标处理能力的海量数据包消耗可用系统,带宽源,致使网络服务瘫痪的一种攻击手段。 一般分为两种: 一是利用多个点向攻击对象发送巨大的数据包,造成对方的带宽用尽,使网站无法登陆,
2、这种攻击是持续的,前提是攻击点的带宽必须要大。,三、分布式拒绝服务攻击(DDOS),二是利用多点同时向攻击对象持续发送数据处理请求,造成被攻击方服务器系统资源占尽以至死机,这种方式主要针对论坛BBS,攻击点多。 英国已通过一项法律,将发动拒绝服务(DoS)攻击确定为一种犯罪行为。视频案例四(攻击),据了解,英国出台的新法律条款规定,影响计算机系统运行是一种犯罪行为。其他条款禁止阻止或妨碍对计算机上软件或数据的访问,或者影响计算机上数据或软件的运行。这类犯罪活动的最长刑期也由5年提高到了10年。,四、意大利香肠术,“意大利香肠”出自这样一个典故:在意大利,一个乞讨者想得到某人手中的一根香肠,但对
3、方不给,这位乞讨者就寻求对方可怜他,给他切一薄片,对方认为这个要求可以,于是就答应他了。第二天,乞讨者又去寻求切一片,第三天又是如此,最后,这根香肠全被乞讨者得到了。,四、意大利香肠术,后来这一手法被用到计算机上成为一种新的犯罪手段。这种计算机犯罪是采用他人不易觉察的手段,使对方自动做出一连串的细小让步,最后达到犯罪的目的。典型案例:美国的一个银行职员在处理数百万份客户的存取账目时,每次结算都截留一个四舍五入的利息尾数零头,然后将这笔钱转到一个虚设的账号上,经过日积月累,积少成多,盗窃了上亿美元。这种截留是通过计算机程序控制自动进行的。,五、逻辑炸弹,“逻辑炸弹”就是在计算机操作系统中有意设置
4、并插入某些程序的编码,这些编码只有在特定时间或是特定的条件下才自动激活执行程序而起到破坏作用。“逻辑炸弹”是对系统的潜在威胁和隐患,它有可能抹除数据文卷,或破坏系统功能,使整个系统瘫痪。,五、逻辑炸弹,典型案例:美国某公司负责工资表格的程序员在文件中事先秘密放置了一段程序,当他本人被公司解雇或他的名字从工资表中消失3个月后,该程序就破坏系统的文件库。,六、计算机职业道德,增强职业道德规范是计算机信息安全中的人员安全的一个重要内容,是法律行为规范的补充,是非强制性的自律要求,其目的是用来规范各类信息的使用。美国计算机伦理协会总结了“十戒”供大家参考:(1)不应该用计算机去伤害他人。(2)不应该影
5、响他人的计算机工作。(3)不应该到他人的计算机里去窥探。(4)不应该用计算机去偷窃。(5)不应该用计算机去做假证明。,(6) 不应该复制或利用没有购买的软件。 (7) 不应该未经他人许可的情况下使用他人的计算机资源。(8) 不应该剽窃他人的精神作品。(9) 应该注意你正在编写的程序和你正在设计系统的社会效应。(10) 应该始终注意,你使用计算机是在进一步加强你对同胞的理解和尊敬。,六、计算机职业道德,第二节 网络犯罪取证,第三章 攻击与网络取证手段,应用举例-网络监听,网络监听原理:从发送角度:在TCP/IP over Ethernet中,当网络中的一台主机同其它IP子网的主机通信时,源主机将
6、写有目的主机IP地址的数据包发向网关。数据包从TCP/IP协议的IP层交给不会识别IP地址的网络接口。对于作为网关的主机,由于它连接了多个网络,也就同时具备多个IP地址,在每个网络中它都有一个。,从接收角度:当连接在同一条电缆或集线器上的主机被逻辑地分为几个IP子网的时候,要是有一台主机处于监听模式,它还可以接收到发向与自己不在同一个IP子网的数据包。,应用举例-网络监听,从权限角度: 在UNIX系统中,当拥有超级权限的用户要想使自己所控制的主机进入监听模式,只需要向网络接口(Interface)发送I/O控制命令,就可以使主机设置成监听模式了。在Windows系统中,不论用户是否有权限,都将
7、可以通过直接运行监听工具进入监听模式。,应用举例-网络监听,共享式总线网络简图,Server,基于HUB连接网络的数据流向,HUB,交换矩阵简图,Server,基于交换机连接网络的数据流向,Switchboard,Server,基于交换机连接网络实现端口镜像后,Client,Snifer,镜像端口,被镜像端口,Switchboard,Server,基于交换机无端口镜像功能实现取证的方法,Client,Snifer,HUB,Switchboard,Windows NetXRay http:/ DECUnix/Linux Tcpdump http:/ Solaris Nfswatch http:/
8、 SunOS Etherfind http:/ 犯罪嫌疑人(黑客) 在运行监听程序的时候将ps或其它运行中的程序修改成TrojanHorse程序。对策: 在Unix上获得当前进程的清单上作比对 。,侦察中的技术对策,现象: 犯罪嫌疑人(黑客)所用的监听程序大都是免费在网上得到的非专业软件 。对策: 用Unix搜索监听程序加以检测识别,侦听可疑线程的网络连接。,技侦综合结论,1.软件定性 犯罪嫌疑人编制了一个针对湖南省国家税务局电子税务申报系统进行每秒一次自动非法访问的攻击程序,该程序一经启动,会自动地每秒用非法随机帐号和密码对该系统进行登录访问,致使报税系统阻塞,无法正常使用。,技侦综合结论,2.罪证鉴定依据经过网络侦听截获: 2005年1月6日至1月10日之间,犯罪分子多次启动自编的非法软件对省国税局电子报税系统进行网络非法攻击,共计27回29852次,后果十分严重,构成犯罪。,技侦对策应用的思考,现代网络中,SSH作为一种在应用环境中提供保密通信的协议一直都被沿用,SSH所使用的端口是22,它排除了在不安全信道上通信的信息被监听的可能性,使用到了RAS算法,在授权过程结束后,所有的传输都用IDEA技术加密。 但SSH并不就是完全安全的。,网络监听功能为我们网络警察提供哪些有利方面和不利的方面?,思 考 题,,Thank You !,
