电子科技大学计算机科学与工程学院.ppt-道客多多

资源描述

1、2019/8/24,电子科技大学计算机科学与工程学院,计算系统与网络安全 Computer System and Network Security,2019/8/24,第9章网络攻防技术,结论,网络攻击阶段及相关工具,网络安全常识,操作系统简介(自学),网络简介,2019/8/24,第9章网络攻防技术,结论,网络攻击阶段及相关工具,网络安全常识,操作系统简介(自学),网络简介,2019/8/24,开始任何攻击或探测之前，请注意你自己也将暴露在攻击目标或监管系统面前，并请遵守信息安全职业道德！周世杰,2019/8/24,网络简介,协议分层,协议层 N1,协议层 N,协议层 N1,协议层 N

2、1,协议层 N,协议层 N1,发送方计算机,接收方计算机,2019/8/24,OSI七层模型,2019/8/24,TCP/IP分层模型,应用层,传输层,网络层,网络接口层,2019/8/24,TCP/IP网络,传输层,网络层,数据链路层,物理层,应用层,传输层,网络层,数据链路层,物理层,应用层,网络层,数据链路层,物理层,2019/8/24,TCP/IP数据封装,2019/8/24,TCP/IP进一步讨论,2019/8/24,TCP,2019/8/24,TCP（续）,控制字段：每一位代表一种控制功能从左至右为：紧急指针URG、ACK应答域有效、立即发送PSH、复位RST、同步序列号SYN

3、、释放连接FIN,2019/8/24,TCP（续）,校验和包括TCP协议头、数据和一个伪头部伪头部组成,2019/8/24,TCP（续）,三次握手,2019/8/24,TCP（续）,问题：6位保留位用来作什么？,2019/8/24,UDP,TCP源端口（16）,TCP目的端口（16）,消息长度（16）,数据,校验和,UDPUnreliable Damn Protocol,UDPUser Datagram Protocol,2019/8/24,IP,2019/8/24,IP（续）,IP地址子网掩码路由器交换机集线器网关网闸（Network Air Gap）,2019/8/24,I

4、P（续）,IP分片 3位标志：是否分片,2019/8/24,IP（续）,问题：8位服务类型一般没有使用，我们可以用它来做什么？,2019/8/24,ICMP,ICMP是TCP/IP中重要的协议之一 ICMP使用与IP相同的首部格式，在首部之后，在IP数据包的数据部分，ICMP加入一个ICMP类型字段，ICMP余下的格式依赖于ICMP类型字段 ICMP的类型：响应应答（0）、目的不可到达（3）、源抑制（6）、重定向（5）、响应（8）、超时（11）、参数问题（12）、时间戳（13）、时间戳应答（14）、消息请求（15）、消息应答（16）,2019/8/24,数据链路层,以太网数据帧格式,2019/

5、8/24,数据链路层（续）,以太网地址介质访问控制（MAC）地址（简称MAC地址）是48位地址当数据包要通过LAN发送到另外一个系统时，它必须知道哪个物理节点应该接收数据数据到达以太网后，不能发送到IP地址，而必须发送到物理网卡（NIC）实现IP地址和MAC解析的协议是地址解析协议（ARP）,2019/8/24,ARP,当一个系统有数据需要发送到LAN上时，它发送一个ARP请求 ARP被广播到LAN上知道该IP的计算机发送ARP响应收到ARP响应之后，IP地址和MAC地址的映射信息会在本地缓存（ARP地址解析表） ARP地址解析表会周期性的被清空 ARP一般不会通过路由器广播,20

6、19/8/24,第9章网络攻防技术,结论,网络攻击阶段及相关工具,网络安全常识,操作系统简介(自学),网络简介,2019/8/24,网络安全常识,潜在的攻击者竞争对手黑客政治家有组织的罪犯恐怖主义者政府雇佣杀手虚伪朋友,不满的员工客户供应商厂商商务伙伴契约者、临时雇员和顾问,2019/8/24,攻击者的水平,脚本小孩（Script Kiddies）,普通技能攻击者,高级技能攻击者,安全专家,杰出攻击者,2019/8/24,两个概念,黑客能赋予计算机扩展的能力，使其超越最初设计的人计算机窃贼恶意攻击计算机系统的人,2019/8/24,建立攻击环境,Alice 双启

7、动：windows Linux,Eve 双启动：windows Linux,Bob 双启动：windows Linux,2019/8/24,第9章网络攻防技术,结论,网络攻击阶段及相关工具,网络安全常识,操作系统简介(自学),网络简介,2019/8/24,网络攻击阶段及工具,攻击的阶段性,侦察,2019/8/24,网络攻击阶段及工具（续）,侦察,2019/8/24,侦察,侦察是攻击的第一步，这就如同匪徒一般侦察是利用公开的、可利用的信息来调查攻击目标侦察包括以下技术低级技术侦察 Web搜索 Whois数据库域名系统（DNS）侦察通用的目标侦察工具,2019/8/24,低级技术侦察,

8、社交工程物理闯入垃圾搜寻你能找出垃圾搜寻的例子吗？,2019/8/24,Web搜索,搜索一个组织自己的web站点有电话号码的职员联系信息关于公司文化和语言的信息商务伙伴最近的合并和兼并公司正使用的技术使用搜索引擎搜索论坛 BBS（电子公告栏） Usenet（新闻组）,2019/8/24,Whois数据库搜索,什么是whois数据库：包括各种关于Internet地址分配、域名和个人联系方式的数据库研究.com, .net, .org域名研究非.com, .net和.org域名国家代码: 教育（.edu): 军事代码（.mit): whois.nic.mit 政府(

9、.gov): whois.nic.gov,2019/8/24,Whois数据库搜索(续),搜索目标域名,2019/8/24,Whois数据库搜索(续),搜索目标IP 美国Internet注册局：欧洲网络协调中心：亚太网络协调中心：中国互联网络信息中心：,2019/8/24,亚太网络信息中心,2019/8/24,DNS搜索,nslookup,2019/8/24,通用工具,Sam Spade工具 www.samspade.org/ssw/ Netscantools 基于web的工具 www.samspade.org .,2019/8/24,网络攻击阶段及工具（续）,侦察,2019/8/24

10、,扫描,扫描是在侦察之后，企图发现目标的漏洞扫描需要花费许多时间,2019/8/24,扫描内容,战争拨号网络测绘端口扫描漏洞扫描躲避IDS,2019/8/24,战争拨号,战争拨号是搜寻调制解调器查找电话号码：电话薄、Intenet、whois、web站点、社交工程工具 THCscan 2.0,2019/8/24,网络测绘,网络测绘是绘制目标的网络拓扑结构发现活跃主机 Ping TCP或UDP数据包扫描跟踪路由： Traceroute（UNIX） Tracert（Windows）网络测绘工具 Cheops： http:/ TCP连接扫描：三次握手 TCP SYN TCP FI

11、N Xma：发送TCP URG、PSH等 TCP 空扫描 TCP ACK FTP跳跃 UDP ICMP 工具：nmap,2019/8/24,FTP跳跃,2019/8/24,扫描的目的,发现活跃的主机发现开放的端口确定目标使用的操作系统协议栈指纹（Fingerprint）,2019/8/24,如何扫描防火墙,NMAP扫描目标主机开放端口如何扫描防火墙，确定其开放端口呢？ firewall,2019/8/24,Firewall,路由器,路由器,防火墙,TTL=4,Port=1, TTL=4,Port=2, TTL=4,Port=3, TTL=4,Port=4, TTL=4,超时消息,201

12、9/8/24,漏洞扫描,漏洞扫描寻找以下漏洞一般的配置错误默认的配置缺点知名系统的漏洞漏洞扫描的组成漏洞数据库用户配置工具扫描引擎当前活跃的知识库结果库和报告生成工具,漏洞数据库,用户配置工具,扫描引擎,活跃的知识库,结果库和报告生成,2019/8/24,漏洞扫描工具,SARA， SANT, Nessus, www.nesus.org ,2019/8/24,Nessus,Nessus以插件形式提供漏洞检查 Nessus基于客户/服务器结构,客户,服务器,2019/8/24,躲避IDS,上述扫描均存在“网络噪音”，易被IDS识别出来如何躲避IDS？ IDS如何工作？

13、如何躲避？,2019/8/24,IDS如何工作,IDS,2019/8/24,如何躲避IDS？,弄乱流量改变数据的结构或语法弄乱上下文 IDS无法识别完整的会话方法：网络层躲避应用层躲避,2019/8/24,网络层躲避,只使用片断发送片断泛洪以意想不到的方式对数据包分段微小片段攻击片段重叠工具：fragroute,2019/8/24,Fragrouter,2019/8/24,应用层躲避,躲避IDS CGI： whisker( ) URL编码 /./目录插入过早结束的URL 长URL 假参数 TAB分隔大小写敏感 Windows分隔符() 空方法会话拼接（在网络层分片）,

14、2019/8/24,网络攻击阶段及工具,侦察,2019/8/24,使用应用程序和操作系统的攻击获得访问权,在获得目标潜在的漏洞之后，攻击者将设法获得对目标系统的访问权脚本小孩的攻击过程：查找漏洞数据库下载工具发送攻击真正的攻击者：自己动手！,2019/8/24,常用的攻击方法,基于堆栈的缓冲区溢出密码猜测网络应用程序攻击,2019/8/24,基于堆栈的缓冲区溢出攻击,什么是堆栈？堆栈是一种数据结构，用来存储计算机上运行进程的重要信息堆栈的操作表现位LIFO：后进先出什么数据存储在堆栈中？存放与函数调用有关的信息,2019/8/24,进程内存布局,内存低端,内存高端,文本区

15、（包括程序代码和只读数据）,（已初始化区）数据区（未初始化区）,栈区,大小固定对应可执行文件的文本区,大小可变对应可执行文件的数据区,大小动态变化临时存储区典型操作为push，pop,2019/8/24,栈,内存低端,内存高端,填充方向,栈底是固定地址,栈顶指针（栈指针）SP,栈帧指针FP：指向栈的固定数据块,栈帧:包含函数的参数、局部变量以及恢复前一个栈帧的数据信息(如指令指针的值）,2019/8/24,栈（续）,当发生函数调用时，进程要做的第一件事情是保存以前的栈帧指针（FP），以便以后可以恢复它所指向的栈帧,随后，进程将创建一个新的栈帧，并将SP指针指向该新的的栈帧(该过程

16、称之为过程调用开始procedure prolog) 当别调用的函数结束时，以前存储的FP将被恢复（该过程称之为过程调用结束procedure epilog),2019/8/24,栈例子(1),void function(int a, int b, in c)char buffer15;char buffer210;void main (int argc, char *argv)char large_string256;function(1, 2, 3);,程序从此开始执行,程序流程转到此函数,2019/8/24,Main函数栈,Large_string （局部变量）,保存的框架指针（上一个

17、FP）,返回的指令指针,argv,内存低端,内存高端,填充方向,argc,SP,Main函数的栈帧,2019/8/24,Function函数被调用后,Large_string （局部变量）,保存的框架指针（上一个FP）,返回的指令指针,argv,内存低端,内存高端,填充方向,argc,SP,Main函数的栈帧,c,b,a,返回的指令指针,上一个FP (main函数的FP）,buffer1,buffer2,Function函数的栈帧,2019/8/24,栈例子(2),void function(char *str)char buffer16;strcpy(buffer, str);void m

18、ain ()char large_string256;int i;for(i=0; i256; i+)large_bufferi=Afunction(large_string);,程序从此开始执行,程序流程转到此函数,2019/8/24,Function函数被调用后,i, large_string （局部变量）,保存的框架指针（上一个FP）,返回的指令指针,内存低端,内存高端,填充方向,SP,Main函数的栈帧,*str,返回的指令指针,上一个FP (main函数的FP）,buffer,function函数的栈帧,2019/8/24,strcpy函数被调用后,AAAA AAAA,AAAA,A

19、AAA,内存低端,内存高端,填充方向,SP,Main函数的栈帧?,AAAA,AAAA,AAAA,buffer,function函数的栈帧?,返回的指令指针,2019/8/24,缓冲区溢出组成,发现缓冲区测试（Try！）字符串操作函数 Web搜索编写shell代码：将要被执行的程序编写exploit代码（植入代码）：启动shell代码的程序,2019/8/24,缓冲区溢出之后,一旦溢出并产生了一个命令外壳之后，攻击者采取的动作可能有：使用inetd创建后门使用tftp或netcat进行后门攻击回击xterm,2019/8/24,密码猜测攻击,猜测缺省密码通过登录脚本猜测密码密码

20、破解 Windows：L0phtCrack unix:： John the Ripper 关键：如何获得密码文件？,2019/8/24,网络应用程序攻击,收集帐号不断输入错误帐号和口令破坏web应用程序的会话跟踪猜测会话ID，通过获取HTML页面修改后重放修改cookies 如果会话ID不能手工修改？ Web代理工具：Achilles SQL Piggybacking,2019/8/24,Achilles,Achilles代理,IE or Netscape,Web Server,2019/8/24,SQL Piggybacking,SQL语句特殊字符 ; * % _ .,2019/8

21、/24,SQL Piggybacking,SQL Piggybacking,Select * from table where user=admin and pwd=SdfG#345!,Select * from table where user=admin and pwd=123 or 1=1,admin,SdfG#345!,admin,123 or 1=1,2019/8/24,网络攻击阶段及工具,攻击的阶段性,侦察,2019/8/24,使用网络攻击获得访问权,网络攻击方式嗅探 IP地址欺骗会话劫持多功能网络工具攻击：NetCat,2019/8/24,嗅探,被动嗅探：通过集线器进行嗅探

22、主动嗅探：通过交换机进行嗅探,2019/8/24,被动嗅探,嗅探工具 Tcpdump, www.tcpdum.org Windump, netgroup-serv.polito.it/windump/ Snort, www.snort.org Ethereal， Dsniff, www.monkey.org/dugsong/dsniff/ SnifferPro,2019/8/24,主动嗅探,被动嗅探仅对共享式网络有效，如何在交换式网络中进行嗅探呢？,集线器,交换机,2019/8/24,主动嗅探（续）,主动嗅探类型泛洪对付交换机用ARP欺骗信息对付交换机嗅探和欺骗DNS 对HTTPS和

23、SSH进行嗅探,2019/8/24,主动嗅探（续）,泛洪对付交换机(1),交换机,2019/8/24,主动嗅探（续）,泛洪对付交换机(2),交换机,内存耗尽！,2019/8/24,主动嗅探（续）,用ARP欺骗信息对付交换机（ARPSpoof）,交换机,外部网络,LAN的缺省路由,2019/8/24,主动嗅探（续）,用ARP欺骗信息对付交换机（ARPSpoof）,交换机,外部网络,LAN的缺省路由,1.配置IP转发将数据包送到缺省路由器,2. 发送假的ARP回应，使受害者主机的ARP表中的条目被污染，将路由器的IP地址映射为攻击者的MAC地址,3. 受害者的数据实际发向了攻击者,4. 攻击者进行

24、嗅探,5. 攻击者转发数据包,2019/8/24,主动嗅探（续）,嗅探和欺骗DNS,交换机,外部网络,LAN的缺省路由,1.攻击者启动DNS嗅探,2. 受害者发送DNS解析消息,3. 攻击者截获DNS解析消息,4. 攻击者快速回送一个假的域名解析：202.115.26.222,5. 受害者发送的数据将送往外部攻击者,202.115.26.222,2019/8/24,主动嗅探（续）,对HTTPS和SSH进行嗅探,中间人,中间人攻击,2019/8/24,主动嗅探,对HTTPS和SSH进行嗅探,交换机,外部网络,LAN的缺省路由,1.攻击者启动DNS嗅探,2. 受害者发送DNS解析消息,3. 攻击者

25、截获DNS解析消息,4. 攻击者快速回送一个假的域名解析：10.0.0.55,5. 受害者发送的数据将送往攻击者,10.0.0.55,6. 攻击者转发SSL或SSH消息,提示用户,2019/8/24,使用网络攻击获得访问权,IP地址欺骗简单IP地址欺骗复杂IP地址欺骗源路由欺骗,2019/8/24,简单IP地址欺骗,IP: x,IP: y,伪造一个来自于IP地址为y的数据包,2019/8/24,复杂IP地址欺骗,5. 使用猜测的序列号响应Bob,Eve,Alice,1. 打开到Bob的TCP连接以观察回应中使用的初始序列号,Bob,2. 对Alice发送拒绝服务攻击，使得Alice不能响

26、应任何消息,3. 使用Alice的地址与Bob建立连接,4. Bob的响应被发送到Alice,2019/8/24,使用源路由进行IP地址欺骗,Eve,Alice,Bob,3. Eve窃听数据，并修改后发送给Alice,1. 发送源路由数据包，其中从Bob到Alice的路径包括Eve,2. Bob发送到Alice的数据将经过Eve,2019/8/24,使用网络攻击获得访问权,会话劫持,Eve,Alice,Bob,1. Alice Telnet Bob,2. Alice 与Bob之间的 Telnet 连接,3. Eve窃听并分析TCP序列号,4. Eve伪装Alice的IP地址发送数据包给Bob,

27、2019/8/24,会话劫持（续）,工具： Dsniff IP Watcher： TTYWatcher: ftp.cerias.purdue.edu TTYSnoop: ,2019/8/24,使用网络攻击获得访问权,多功能工具NetCat: http:/ 两种工作模式：客户模式和侦听模式,2019/8/24,Netcat,Netcat主要功能：文件传输端口扫描建立到开放端口的连接创建被动的后门命令shell 主动地推动一个后门命令shell 流量中继,2019/8/24,网络攻击阶段及工具,侦察,2019/8/24,拒绝服务攻击,拒绝服务攻击分类,本地,网络,停止服务,消耗资源,201

28、9/8/24,Land攻击,发送假的数据包，它的源IP地址和端口号与目标主机相同。旧的TCP/IP协议栈对这种未知情况就会造成混乱，甚至崩溃。,2019/8/24,Teardrop攻击,发送重叠的数据包碎片。在数据包头内碎片的长度被设置为不正确的值，所以主机对这些数据包碎片组装时就不能对其正确排队。一些TCP/IP协议栈收到这样的碎片就会崩溃。还包括Newtear攻击， Bonk攻击，Syndrop攻击,2019/8/24,SYN泛洪,发送大量的SYN包,无法接受正常的服务请求,连接队列被填满,2019/8/24,Smurf攻击,放大器,广播假的Ping，源地址采用Y,IP地址为y,2019

29、/8/24,DDoS,Master,Client,Zombie,2019/8/24,网络攻击阶段及工具,侦察,2019/8/24,维护访问权,木马（Trojan Horse） Back Orifice 2000(BO2K): . 后门（Backdoor） RootKits:修改系统命令甚至内核 du find ls Ifconfig netstat ps,2019/8/24,网络攻击阶段及工具,侦察,2019/8/24,掩盖踪迹和隐藏,安装RootKits或者backdoor 修改事件日志 Windows： *.evt 工具：winzapper, ntsecurity.nu/toolbox/

30、winzapper/ UNIX: utmp wtmp lastlog,2019/8/24,掩盖踪迹和隐藏（续）,利用秘密通道技术来隐藏证据隧道技术 loki：ICMP隧道 Van Hauser：HTTP 隧道隐蔽通道（Covert Channel）利用IP或者利用tcp头 IP identifier TCP Sequence number TCP ack number 工具： Covert_TCP,2019/8/24,Case Study,Source Code DB,2019/8/24,Case Study,Step 1：寻找跳离点,2019/8/24,Case Study,2019/

31、8/24,Case Study,Step 2：搜速Monstrous Software,2019/8/24,Case Study,Step 3：发送带病毒的、有吸引人的垃圾邮件,Source Code DB,2019/8/24,Case Study,Step 3：发送带病毒的、有吸引人的垃圾邮件,2019/8/24,Case Study,Step 4：下载病毒代码,2019/8/24,Case Study,Step 5：木马后门利用VPN搜索windows共享,2019/8/24,Case Study,Step 6：上传病毒代码，并替换为notepad等程序,2019/8/24,Case St

32、udy,Step 7：回传口令信息,2019/8/24,Case Study,Step 8：利用隐蔽信道传送命令和解密口令,Source Code DB,2019/8/24,Case Study,Step 9：利用破解后的口令建立VPN连接，并扫描网络,Source Code DB,Monstrous Software,2019/8/24,Case Study,Step 10：回传源代码,Source Code DB,Monstrous Software,源代码 Main () ,2019/8/24,总结,反击黑客是一件极为困难的工作网络攻击工具是一面双刃剑,2019/8/24,参考文献,E

33、d Skoudis，反击黑客，机械工业出版社，2002,2019/8/24,教材与参考书,教材：李毅超曹跃，网络与系统攻击技术电子科大出版社 2007 周世杰陈伟钟婷，网络与系统防御技术电子科大出版社 2007 参考书阙喜戎等编著，信息安全原理及应用，清华大学出版社 Christopher M.King, Curitis E.Dalton, T. Ertem Osmanoglu（常晓波等译）. 安全体系结构的设计、部署与操作，清华大学出版社，2003(Christopher M.King, et al, Security Architecture, design, deplo

34、yment & Operations ) William Stallings，密码编码学与网络安全原理与实践（第三版），电子工业出版社，2004 Stephen Northcutt，深入剖析网络边界安全，机械工业出版社，2003 冯登国，计算机通信网络安全，2001 Bruce Schneier, Applied Cryptography, Protocols, algorithms, and source code in C (2nd Edition)( 应用密码学协议、算法与C源程序，吴世忠、祝世雄、张文政等译) 蔡皖东，网络与信息安全，西北工业大学出版社，2004,2019/8/24,Any Question?,Q&A,

展开阅读全文