黑客攻擊和網(wǎng)絡(luò)安全

《黑客攻擊和網(wǎng)絡(luò)安全》由會(huì)員分享，可在線閱讀，更多相關(guān)《黑客攻擊和網(wǎng)絡(luò)安全（45頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),#,黑客攻擊和網(wǎng)絡(luò)安全,開篇,世界頭號(hào)電腦黑客的傳奇故事,凱文米特尼克1964年生于美國加州,從小父母離異，使他性格內(nèi)向、生活獨(dú)立,4歲的米特尼克就能玩一種美國流行的名為“拿破侖的滑鐵盧”高智力游戲,15歲的米特尼克入侵了“北美空中防務(wù)指揮系統(tǒng)”，一舉成名,信心大增的他，接著入侵“太平洋電話公司”，任意修改用戶信息,世界頭號(hào)電腦黑客的傳奇故事,入侵聯(lián)邦調(diào)查局，發(fā)現(xiàn)特工們正在調(diào)查一名黑客，而資料顯示，黑客正是自己。,第一次被捕，因不滿16歲獲得人們的同情，被從輕發(fā)落。,獲釋后的他把目光轉(zhuǎn)向信譽(yù)不錯(cuò)的大公司,198

2、8年被DEC公司指控，未被允許保釋,1993年聯(lián)邦調(diào)查局設(shè)下圈套引誘米特尼克，被中途發(fā)現(xiàn)。,世界頭號(hào)電腦黑客的傳奇故事,米特尼克的逃跑歷程，傳言，他曾經(jīng)控制加州的一個(gè)電話系統(tǒng)，竊聽警察行蹤。,1994年，米特尼克發(fā)動(dòng)對(duì)“圣迭戈超級(jí)計(jì)算機(jī)中心”的攻擊，并引起與人稱“美國最出色的電腦安全專家之一”的下村勉的對(duì)抗。,1995年，下村勉利用米特尼克使用的無線電話的電波而逮捕了米特尼克。,2000年，米特尼克出獄，并禁止接觸任何和電子相關(guān)的物品。,黑客攻擊和網(wǎng)絡(luò)安全,步驟篇,黑客攻擊的步驟之一,踩點(diǎn)搜索相關(guān)信息：通過多種途徑獲得和目標(biāo)系統(tǒng)有關(guān)的大量信息譬如域名、IP地址范圍、郵件地址、用戶帳號(hào)、網(wǎng)絡(luò)拓?fù)?/p>

3、、路由跟蹤信息、系統(tǒng)運(yùn)行狀態(tài)等等,黑客攻擊的步驟之二,掃描探測漏洞：獲取目標(biāo)系統(tǒng)的直接信息，特別是目標(biāo)系統(tǒng)的可被利用的缺陷。這部分主要包括：端口掃描、操作系統(tǒng)類型掃描、針對(duì)特定應(yīng)用以及服務(wù)的漏洞掃描（重點(diǎn)如Web漏洞掃描、Windows漏洞掃描、SNMP漏洞掃描、RPC漏洞掃描和LDAP目錄服務(wù)漏洞掃描）,黑客攻擊的步驟之三,嗅探sniff技術(shù)：通過嗅探，獲得大量的敏感信息。我將先簡略介紹在同一沖突域里面的嗅探原理，并重點(diǎn)介紹交換網(wǎng)絡(luò)的嗅探技術(shù)。,黑客攻擊的步驟之四,攻擊直搗龍門：通過前面的刺探，開始真正的攻擊。一般的攻擊方法：DoS攻擊、DDoS攻擊、口令破解攻擊、網(wǎng)絡(luò)欺騙攻擊、會(huì)話劫持攻擊

4、等,黑客攻擊和網(wǎng)絡(luò)安全,案例篇,北航50周年服務(wù)器被黑案例分析,踩點(diǎn),訪問,http:/ ?,Beijing University Of Aeronautics&astronautics(DOM)#37,Xue Yuan Lu Road,Haidian District Beijing,BJ 100083 China,Domain Name:,BUAA.EDU.CN,Network Number:202.112.128.0-202.112.143.255,Administrative Contact,Technical Contact:Li,Yunchun(YL4-CN),,+86 82317

5、655,Record last updated on 19990305,Record created on 19990305,Domain Servers in listed order:, 202.112.128.50,Network Number:202.112.128.0-202.112.143.255,dig的查詢結(jié)果,;DiG 9.2.0 ,;global options:printcmd,;Got answer:,;-HEADER-opcode:QUERY,status:NOERROR,id:46238,;flags:qr aa rd ra;QUERY:1,ANSWER:0,AUT

6、HORITY:1,ADDITIONAL:0,;QUESTION SECTION:,;.INA,;AUTHORITY SECTION:,.86400INSOA 1997102401 10800 3600 3600000 86400,;Query time:1 msec,;SERVER:202.112.128.51#53(202.112.128.51),;WHEN:Thu Dec 5 11:46:55 2002,;SERVER:202.112.128.51#53(202.112.128.51),查詢DNS服務(wù)器信息,使用Nslookup,獲取的條目信息,50th A 202.112.128.47,

7、重點(diǎn)掃描,掃描網(wǎng)段,重點(diǎn)網(wǎng)段：服務(wù)器所在網(wǎng)段202.112.128.0,重點(diǎn)端口：21（ftp）、22（ssh）、23（telnet）、25（smtp）、53（dns）、79（finger）、80（http）、139（NetBIOS）、3389（remote admin）、8080（proxy）,入侵模擬一：3389端口的入侵,由于微軟對(duì)中國產(chǎn)品不付責(zé)任的態(tài)度，使得安裝了終端服務(wù)和全拼的w2k 服務(wù)器存在著遠(yuǎn)程登陸并能獲取超級(jí)用戶權(quán)限的嚴(yán)重漏洞,入侵模擬一：3389端口的入侵,掃描3389端口,入侵模擬一：3389端口的入侵,用終端客戶端程序進(jìn)行連接,入侵模擬一：3389端口的入侵,利用拼音輸

8、入法漏洞,入侵模擬一：3389端口的入侵,入侵模擬二：嗅探器的使用,通過嗅探往來目標(biāo)主機(jī)的報(bào)文，從中發(fā)現(xiàn)可以利用的珍貴信息,入侵模擬二：嗅探器的使用,黑客攻擊和網(wǎng)絡(luò)安全,技術(shù)篇,技術(shù)篇之一：,掃描過程中的隱藏技術(shù),IP地址欺騙掃描,原理：客戶端向服務(wù)器端發(fā)送端口連接數(shù)據(jù)報(bào)，但是報(bào)文的源IP地址填寫為第三方的IP地址，這樣服務(wù)器將向第三方返回確認(rèn)信息?？蛻舳送ㄟ^觀察第三方的反應(yīng)就可以得知服務(wù)器端的指定端口有否打開。,前提：第三方?jīng)]有其他的網(wǎng)絡(luò)活動(dòng),IP數(shù)據(jù)包的ID值順序增1,A主機(jī)，192.168.0.1,B主機(jī)，192.168.0.2,NULL掃描,RST+ACK，ID增量為1,NULL掃描,

9、RST+ACK，ID增量為1,A主機(jī)，192.168.0.1,B主機(jī)，192.168.0.2,SYN,RST+ACK,C主機(jī)，192.168.0.3,NULL掃描,RST+ACK，ID增量不為1,A主機(jī)，192.168.0.1,B主機(jī)，192.168.0.2,SYN,RST+ACK,C主機(jī)，192.168.0.3,SYN+ACK,正常情況下B主機(jī)的反應(yīng),被掃描C主機(jī)上的端口未監(jiān)聽,被掃描C主機(jī)上的端口正在監(jiān)聽,技術(shù)篇之二：嗅探器原理,沖突域嗅探原理,關(guān)于,ip,地址和,MAC,地址盜用的問題,交換網(wǎng)絡(luò)的嗅探原理,嗅探對(duì)策,沖突域嗅探原理,網(wǎng)卡一般有四種接收模式,廣播模式：能夠接收網(wǎng)絡(luò)中廣播信息

10、,組播模式：能夠接收網(wǎng)絡(luò)中的組播信息,直接模式：只接收匹配目的MAC地址的報(bào)文,混雜模式：能夠接收一切監(jiān)聽到的數(shù)據(jù)幀,一般網(wǎng)卡只接收以下兩種數(shù)據(jù)幀,與自己MAC地址相匹配的數(shù)據(jù)幀,發(fā)向所有機(jī)器的廣播數(shù)據(jù)幀,關(guān)于,IP,地址和,MAC,地址盜用的問題,IP,地址可以隨意修改,MAC,地址的修改,先了解目標(biāo)主機(jī)的,MAC,地址,2000下在修改注冊(cè)表：,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass4D36E972-E325-11CE-BFC1-08002BE103180000、0001、0002等主鍵下尋找本主機(jī)的網(wǎng)卡的類型的主鍵下面添

11、加一個(gè)名為“NetworkAddress”的主鍵，值為需要設(shè)置的MAC地址。,Linux下面修改：,Ifconfig eth0 down,Ifconfig eth0 hw ether 00:11:22:33:44:55,交換網(wǎng)絡(luò)的嗅探原理,MAC洪水,原理：交換機(jī)內(nèi)存有限，地址映射表的容量也有限。向交換機(jī)發(fā)送大量的虛假M(fèi)AC地址信息數(shù)據(jù)，讓交換機(jī)應(yīng)接不暇，這個(gè)時(shí)候交換機(jī)可能象hub一樣，僅僅向所有的端口發(fā)送廣播數(shù)據(jù),解決方法：使用靜態(tài)地址映射表,交換網(wǎng)絡(luò)的嗅探原理,MAC,復(fù)制,原理：,就是修改本機(jī)的,MAC,地址，使其和目標(biāo)主機(jī)MAC地址相同。讓交換機(jī)同時(shí)向兩個(gè)端口（同,MAC,地址）發(fā)送數(shù)

12、據(jù)。,解決方法：使用靜態(tài)地址映射表,，建立端口和MAC地址的映射,交換網(wǎng)絡(luò)的嗅探原理,ARP,欺騙,原理：,一臺(tái)主機(jī)會(huì)將所有收到的ARP應(yīng)答插入到,本機(jī)的ARP緩存表里面。如果黑客想偷聽網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信（即使是通過交換機(jī)相連），他可以分別向兩臺(tái)主機(jī)發(fā)送ARP應(yīng)答包，讓兩臺(tái)主機(jī)都誤認(rèn)為對(duì)方的MAC地址是黑客機(jī)器的MAC地址，這樣，則兩臺(tái)主機(jī)的通信全部通過黑客主機(jī)進(jìn)行。黑客只需要更改數(shù)據(jù)包里面的某些信息用于轉(zhuǎn)發(fā)就可以了。,交換網(wǎng)絡(luò)的嗅探原理,ARP,欺騙,實(shí)例,設(shè)A主機(jī)：IP：192.168.1.1 MAC:11:11:11:11:11:11,設(shè)B主機(jī)：IP：192.168.2.2 MAC

13、:22:22:22:22:22:22,設(shè)H主機(jī)：IP：192.168.3.3 MAC:33:33:33:33:33:33,假設(shè)A和B正在通信，黑客H想進(jìn)行ARP欺騙，這個(gè)時(shí)候H向A發(fā)送ARP應(yīng)答包，里面包含,192.168.2.2,33:33:33:33:33:33,同時(shí)H向B發(fā)送ARP應(yīng)答包，里面包含,192.168.1.1,33:33:33:33:33:33,黑客攻擊和網(wǎng)絡(luò)安全,維護(hù)篇,維護(hù)篇之一：網(wǎng)絡(luò)采用層次結(jié)構(gòu),DMZ（Demilitarized Zone）非軍事區(qū)和Inter Zone 內(nèi)部網(wǎng)絡(luò)區(qū),DMZ作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的緩沖區(qū),制定,不同的保全政策,對(duì)外避免主機(jī)和重要服務(wù)器被

14、入侵危及內(nèi)部網(wǎng)絡(luò),內(nèi)部網(wǎng),Internet,FTP,服務(wù)器,Web,服務(wù)器,Mail,服務(wù)器,FTP,服務(wù)器,Fire Wall,DMZ,DNS,服務(wù)器,Mail,服務(wù)器,外部,防火墻,內(nèi)部,防火墻,DMZ,Internet,特性,安全性最高,內(nèi)部網(wǎng)絡(luò)效率低,在,DMZ,中之伺服器效率高,Inter Zone,維護(hù)篇之二：關(guān)注訪問流量,SNMP（Simple Network Management Protocol）協(xié)議，用于網(wǎng)絡(luò)底層管理，可以控制各種設(shè)備。不僅可以訪問網(wǎng)絡(luò)流量等，也可以監(jiān)控諸如磁盤等設(shè)備。,SNMP客戶端軟件：MRTG，linux/unix工具，可以圖形化顯示管理信息。,MRTG圖見：,file:d:forestmrtgindex.htm,維護(hù)篇之三：關(guān)注漏洞,維護(hù)篇之四：加強(qiáng)管理,關(guān)閉一切不需要的服務(wù)和端口,刪除一切不需要的用戶，慎重設(shè)置密碼,嚴(yán)格設(shè)置對(duì)各種服務(wù)的訪問控制權(quán)限,選用防火墻，設(shè)置嚴(yán)格的過濾規(guī)則,及時(shí)安裝補(bǔ)丁和升級(jí)程序,全篇結(jié)束,謝 謝,感謝閱讀本文檔，謝謝！,