网络安全2-网络攻击行径分析

网络安全刘敏贤副教授西南科技大学计算机科学与技术学院2第一章回顾什么是安全信息安全的级别安全的几个要素安全威胁的来源安全的目标信息安全体系P2DR模型PDRR3第2章网络攻击行径分析本章对攻击事件、攻击的目的、攻击的步骤及攻击的诀窍作一些简要的介绍，为随后深入学习攻击技术打下基础。4第2章网络攻击行径分析2.1攻击事件2.2攻击的目的2.3攻击的步骤2.4攻击诀窍5攻击事件安全威胁外部攻击、内部攻击行为滥用第2章第1节6潜在的攻击者竞争对手黑客政治家有组织的罪犯恐怖主义者政府雇佣杀手虚伪朋友不满的员工客户供应商厂商商务伙伴契约者、临时雇员和顾问7攻击者的水平脚本小孩（ScriptKiddies）普通技能攻击者高级技能攻击者安全专家杰出攻击者8Whois黑客黑客(Hacker)一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。黑客是一群喜欢用智力通过创造性方法来挑战脑力极限的人，特别是他们所感兴趣的领域。9历史上最著名的五大黑客10KevinDavidMitnickKevinDavidMitnick（凯文·米特尼克）-世界上公认的头号黑客。曾成功入侵北美防空指挥系统，他是第一个被美国联邦调查局通缉的黑客。巡游五角大楼，登录克里姆林宫，进出全球所有计算机系统，摧垮全球金融秩序和重建新的世界格局，谁也阻挡不了我们的进攻，我们才是世界的主宰。———KevinMitnick11RobertTappanMorrisMorris是前国家安全局科学家RortMorris的儿子。Robert曾编写过著名的Morris蠕虫病毒。Morris最后被判了400小时的社区服务和一万美元的罚款。Morris现在是MIT计算机科学和人工智能实验室的一名专家。他专注于计算机网络体系。12JonathanJames(乔纳森·詹姆斯)16岁的时候James就已经恶名远播，成为了第一个因为黑客行径被捕入狱的未成年人。James攻击过的高度机密组织包括：国防威胁降低局，这是国防部的一个机构。他还进入侵过NASA的电脑，并且窃取了价值超过170万美元的软件。发现这次入侵之后，NASA不得不立刻关闭了整个电脑系统，造成的损失达到41000美元。2008年5月18日乔纳森死于癌症，25岁。13AdrianLamo(阿德里安·拉莫)Lamo专门找大的组织下手，例如破解进入微软和《纽约时报》。Lamo喜欢使用咖啡店、Kinko店或者图书馆的网络来进行他的黑客行为，因此得了一个诨号：不回家的黑客。Lamo经常发现安全漏洞，并加以利用。通常他会告知企业相关的漏洞。在Lamo攻击过的名单上包括，雅虎、花旗银行，美洲银行和Cingular等。由于侵入《纽约时报》内部网络，Lamo成为顶尖的数码罪犯之一。也正是由于这一罪行，Lamo被处以65000美元的罚款，并被处以六个月的家庭禁闭和两年的缓刑。14KevinPoulsen(凯文·普尔森)他的另一个经常被提及的名字是DarkDante，Poulsen受到广泛关注是因为他采用黑客手段进入洛杉矶电台的KIIS-FM电话线，这一举动为他赢得了一辆保时捷。此后FBI开始追查Poulson，因为他闯入了FBI的数据库和用于敏感窃听的联邦电脑系统。Poulsen的专长就是闯入电话线，他经常占据一个基站的全部电话线路。Poulsen还会重新激活黄页上的电话，并提供给自己的伙伴进行出售。•Poulson留下了很多未解之谜，最后在一家超市被捕，判处以五年监禁。在狱中，Poulson干起了记者的行当，并且被推举为WiredNews的高级编辑。在他最出名的文章里面，详细的通过比对Myspace的档案，识别出了744名性罪犯。15攻击事件攻击事件分类破坏型攻击利用型攻击信息收集型攻击网络欺骗攻击垃圾信息攻击第2章第1节16破坏型攻击以破坏对方系统为目标破坏的方式：使对方系统拒绝提供服务(DoS攻击)、删除数据、破坏硬件系统等。拒绝服务攻击的分类：带宽耗尽型、目标主机资源耗尽型、网络程序漏洞利用型、本地漏洞利用型拒绝服务攻击的技术：P.9第2章第1节17DOS攻击的手段PingofDeathIGMPFloodTeardropUDPfloodSYNfloodLand攻击Smurf攻击Fraggle攻击畸形消息攻击Ddos目的地不可达到攻击电子邮件炸弹对安全工具的拒绝服务攻击18利用型攻击利用型攻击试图直接对目标计算机进行控制后果：信息窃取、文件篡改、跳板（傀儡主机）攻击手段：口令攻击（嗅探、破解）、木马攻击（后门）、缓冲区溢出攻击手段口令猜想特洛依木马缓冲区溢出19信息收集型攻击信息收集型攻击为进一步攻击提供有利信息种类：扫描、体系结构探测（又叫系统扫描）、利用信息服务扫描技术体系结构探测利用信息服务20网络欺骗攻击网络欺骗攻击为进一步攻击做准备种类：DNS欺骗、电子邮件欺骗、Web欺骗、IP欺骗垃圾信息攻击21攻击目的攻击的动机恶作剧恶意破坏商业目的政治军事第2章第2节22攻击目的攻击性质破坏入侵攻击目的破坏目标工作窃取目标信息控制目标机器利用假消息欺骗对方第2章第2节23攻击的步骤一般的攻击都分为三个阶段：攻击的准备阶段攻击的实施阶段攻击的善后阶段第2章第3节24攻击的一般过程预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的：消除痕迹，长期维持一定的权限25网络攻击一般过程侦察扫描拒绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权网络攻击步骤典型攻击步骤预攻击探测收集信息,如OS类型,提供的服务端口发现漏洞,采取攻击行为获得攻击目标的控制权系统继续渗透网络,直至获取机密数据消灭踪迹破解口令文件,或利用缓存溢出漏洞以此主机为跳板，寻找其它主机的漏洞获得系统帐号权限，并提升为root权限安装系统后门方便以后使用27端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途较高明的入侵步骤28攻击的步骤攻击的准备阶段确定攻击目的准备攻击工具收集目标信息第2章第3节29攻击的步骤攻击实施阶段的一般步骤隐藏自已的位置利用收集到的信息获取账号和密码，登录主机利用漏洞或者其它方法获得控制权并窃取网络资源和特权第2章第3节30攻击的步骤攻击的善后阶段日志Windows禁止日志审计，清除事件日志，清除IIS服务日志Unixmessages、lastlog、loginlog、sulog、utmp、utmpx、wtmp、wtmpx、pacct为了下次攻击的方便，攻击者都会留下一个后门，充当后门的工具种类非常多，最典型的是木马程序第2章第3节31攻击诀窍基本方法口令入侵获取账号：Finger，X.500，电子邮件地址，默认账号获取密码：网络监听，Bruce，漏洞与失误特洛伊木马程序欺骗电子邮件攻击电子邮件轰炸，电子邮件欺骗第2章第4节32攻击诀窍基本方法黑客软件BackOrifice2000、冰河安全漏洞攻击Outlook，IIS，Serv-U对防火墙的攻击Firewalking、Hping渗透路由器攻击第2章第4节33攻击诀窍常用攻击工具网络侦查工具superscan，Nmap拒绝服务攻击工具DDoS攻击者1.4,sqldos,Trinoo木马BO2000，冰河，NetSpy，第2章第4节34攻击的发展趋势漏洞趋势严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和Internet漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。主动恶意代码趋势制造方法：简单并工具化技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。受攻击未来领域即时消息：MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备35网络攻击行径分析攻击目的攻击步骤攻击的准备阶段攻击的实施阶段攻击的善后阶段第2章重点回顾36网络攻击行径分析课后思考利用向目标主机发送非正常消息的而导致目标主机崩溃的攻击方法有哪些？简述破坏型攻击的原理及其常用手段。叙述扫描的作用并阐述常用的扫描方法。简要叙述攻击的一般过程及注意事项。第2章习题