第八讲网络入侵与攻击.

网络入侵与攻击主讲：尚赵伟认识黑客（Hacker)黑客：通常是试图闯入计算机并试图造成破坏的人。黑客：黑客不仅仅是在Internet上找麻烦的单独的个体，事实上，他们是网上一个活跃的团体。每个团体的成员有不同的命名。黑客命名（1）飞客“phreak”–早期攻击电话网的青少年，研究各种盗打电话而不用付费的技术。黑客“Hacker”–一个给予喜欢发现和解决技术挑战、攻击计算机网络系统的精通计算机技能的人的称号，与闯入计算机网络系统目的在于破坏和偷窃信息的骇客不同。骇客“Cracker”–一个闯入计算机系统和网络试图破坏和偷窃个人信息的个体，与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。黑客命名（2）快客“Whacker”–从事黑客活动但没有黑客技能的人，whacker是穿透系统的人中，在技术和能力上最不复杂的一类。武士“Samurai”–被他人雇佣的帮助他人提高网络安全的黑客，武士通常被公司付给薪金来攻击网络。幼虫“Lara”–一个崇拜真正黑客的初级黑客黑客命名（3）欲望蜜蜂“Wannabee”–处于幼虫的初始阶段的黑客的称呼，他们急于掌握入侵技术，但由于他们没有经验，因此即使没有恶意也可能造成很大危险黑边黑客（Dark-Side）–是指由于种种原因放弃黑客的道德信念而恶意攻击的黑客半仙“Demigod”–一个具有多年经验在黑客团体具有世界级声誉的黑客。黑客道德准则和行为特征美国学者史蒂夫·利维在《黑客电脑史》中指出的“黑客道德准则”（1）通往电脑的路不止一条（2）所有的信息都应当是免费和共享的（3）一定要打破电脑集权（4）在电脑上创造的是艺术和美（5）计算机将使生活更加美好行为特征：–热衷挑战、崇尚自由、主张信息共享、反叛精神、破坏心理网络入侵与攻击网络入侵–以窃用网络资源为主要目的，更多的还含有黑客的虚荣心成分。网络攻击–以干扰破坏网络服务为主要目的。界限不明显，从技术上看网络入侵是网络攻击的一种。网络攻击的步骤①信息收集，获取目标系统的信息，操作系统的类型和版本，主要提供的服务和服务进程的类型和版本，网络拓扑结构②获得对系统的访问权力③获得系统超级用户的权力。利用（2）的权力和系统的漏洞，可以修改文件，运行任何程序，留下下次入侵的缺口，或破坏整个系统④消除入侵痕迹入侵者可利用的弱点①网络传输和协议的漏洞攻击者利用网络传输时对协议的信任以及网络传输的漏洞进入系统。②系统的漏洞攻击者可以利用系统内部或服务进程的BUG和配置错误进行攻击。③管理的漏洞攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入的系统信息，包括口令、用户名等。攻击者需要的信息域名经过网络可以到达的IP地址每个主机上运行的TCP和UDP服务系统体系结构访问控制机制系统信息（用户名和用户组名、系统标识、路由表、SNMP信息等）其他信息，如模拟/数字电话号码、鉴别机制等……信息收集步骤①找到初始信息②找到网络的地址范围③找到活动的机器④找到开放端口和入口点⑤弄清操作系统⑥针对特定应用和服务的漏洞扫描找到初始信息OpensourceWhois一些查询工具DNS域名系统DNS域名系统(DomainNameSever)，是一个全球分布式数据库系统，在基于TCP/IP的网络中，用于主机名和IP地址间的相互转换。对于每一个DNS节点，包含有该节点所在的机器的信息、邮件服务器的信息、主机CPU和操作系统等信息.采用客户/服务器模式，BIND（BerkeleyInternetNameDomain)9.2在Windows操作系统中，除了DNS，微软公司还沿用另一套名字系统：NetBIOS名字系统。NetBIOS是介于会话层与表示层之间的一个协议。NetBIOS名是一种非层次的名字空间，要求在整个网络中必须唯一。网络邻居、net命令使用这种命名空间。域名解析过程Windows中，名字解析过程大致如下：–（1）对于明显的非NetBIOS名（长度大于15个字符或名字中包含“.”号），使用域名解析方式：查询HOSTS文件，再查询DNS服务器–（2）如果长度不大于15个字符或名字中不包含“.”号，系统假定其为NetBIOS名，使用NetBIOS方式处理公开信息从目标机构的网页入手–也许会泄露一些信息：机构的位置、联系人电话姓名和电子邮件地址、所用安全机制及策略、网络拓扑结构新闻报道、出版发行物–例如：XX公司采用XX系统，…–XX公司发生安全事件（多次）新闻组或论坛–管理人员在新闻组或者论坛上的求助信息也会泄漏信息这样的信息可以合法地获取非网络技术的探查手段社会工程–通过一些公开的信息，获取支持人员的信任–假冒网管人员，骗取员工的信任(安装木马、修改口令等)查电话簿、手册(指南)–在信息发达的社会中，只要存在，就没有找不到的，是这样吗？通过搜索引擎可以获取到大量的信息–搜索引擎提供的信息的有效性？(google)直接用浏览器Whois标识与某个特定机构相关的域名与网络Whois–为Internet提供目录服务，包括名字、通讯地址、电话号码、电子邮箱、IP地址等信息Client/Server结构–Client端发出请求，接受结果，并按格式显示到客户屏幕上–Server端建立数据库，接受注册请求提供在线查询服务客户程序–UNIX系统自带whois程序–Windows也有一些工具–直接通过Web查询扫描技术基于TCP/IP协议，对各种网络服务，无论是主机或者防火墙、路由器都适用扫描器能够–发现系统存活情况–对端口扫描，发现哪些服务在运行–扫描器能够暴露网络上潜在的脆弱性，避免遭受不必要的攻击–有进一步的功能，包括操作系统辨识、应用系统识别用途，双刃剑–安全管理员可以用来确保自己系统的安全性–黑客用来探查系统的入侵点端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器扫描器历史早期–80年代，网络没有普及，上网的好奇心驱使许多年轻人通过Modem拨号进入到UNIX系统中。这时候的手段需要大量的手工操作–于是，出现了wardialer——自动扫描，并记录下扫描的结果–现代的扫描器要先进得多SATAN:SecurityAdministrator'sToolforAnalyzingNetworks–1995年4月发布，引起了新闻界的轰动–界面上的突破，从命令行走向图形界面(使用HTML界面)，不依赖于X–两位作者的影响(DanFarmer写过网络安全检查工具COPS，另一位WeitseVenema是TCP_Wrapper的作者)Nmap–作者为Fyodor，技术上，是最先进的扫描技术大集成–结合了功能强大的通过栈指纹来识别操作系统的众多技术主主机扫描主机扫描：确定在目标网络上的主机是否可达，同时尽可能多映射目标网络的拓扑结构，主要利用ICMP数据包–传统主机扫描技术–高级主机扫描技术传统主机扫描技术(1)ICMPEchoRequest(type8)andEchoReply(type0)–通过发送一个ICMPECHO(Type8)数据包到目标主机，如果ICMPECHOReply(ICMPType0)数据包接受到，说明主机是存活状态。–如果没有ECHOREPLY返回就可以初步判断主机没有在线或者使用了某些过滤设备过滤了ICMP的REPLY消息.–如ping传统主机扫描技术(2)ICMPSweep（PingSweep）PING扫射–使用ICMPECHO轮询多个主机称为ICMPSWEEP(或者PingSweep).–对于小的或者中等网络使用这种方法来探测主机是一种比较可接受的行为，但对于一些大的网络如A、B类子网，这种方法就显的比较慢，因为Ping在处理下一个命令之前将会等待正在探测主机的回应。UNIX下有一些并行处理工具，处理效率较高fping()Nmap(),Windows工具:pinger缺点:会在目标主机的DNS服务器中留下你(攻击者)的LOG记录。因为从域名到IP地址的转化需要查询该DNS服务器。传统主机扫描技术(3)broadcastICMP(ICMP广播)–通过发送ICMPECHOREQUEST到广播地址或者目标网络地址可以简单的来反映目标网络中活动的主机。这样的请求会广播到目标网络中的所有主机，所有活动的主机都将会发送ICMPECHOREPLY到攻击者的源IP地址。这种技术的主机探测只适用于目标网络的UNIX主机.传统主机扫描技术(4)NONE-ECHOICMP–其它ICMP服务类型（13和14、15和16、17和18）也可以用于对主机或网络设备如路由器等的探测–ICMPTimeStampRequest和REPLY允许一个节点查询另一个节点的当前时间，返回值是自午夜开始计算的毫秒数。发送者可以初始化标识符和序列号，请求端还填写发起时间戳，然后发送报文给应答系统。–应答系统接受请求后，填写接受和传送的时间戳，把信息类型改变为REPLY应答并送回给发送者。返回值是自午夜开始计算的毫秒数。高级主机扫描技术(1)利用被探测主机产生的ICMP错误报文来进行复杂的主机探测异常的IP包头–向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMPParameterProblemError信息。常见的伪造错误字段为HeaderLength和IPOptions。不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也不同。IP头中设置无效的字段值–向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMPDestinationUnreachable信息。高级主机扫描技术(2)错误的数据分片–当目标主机接收到错误的数据分片（如某些分片丢失），并且在规定的时间间隔内得不到更正时，将丢弃这些错误数据包，并向发送主机反馈ICMPFragmentReassemblyTimeExceeded错误报文。用UDP扫描–向目标主机特定端口发送一个0字节数据的UDP包，关闭端口会反馈ICMPPortUnreachable错误报文，而开放的端口则没有任何反馈。通过多个端口的扫描，还可以探测到目标系统。高级主机扫描技术(3)通过超长包探测内部路由器–若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志,该路由器会反馈FragmentationNeededandDon’tFragmentBitwasSet差错报文。反向映射探测–用于探测被过滤设备或防火墙保护的网络和主机。–构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其服务的范围的IP包发送ICMPHostUnreachable或ICMPTimeExceeded错误报文，没有接收到相应错误报文的IP地址可被认为在该网络中主机扫描的对策使用可以检测并记录ICMP扫描的工具使用入侵检测系统在防火墙或路由器中设置允许进出自己网络的ICMP分组类型端口扫描端口扫描的直接成果就是得到目标主机开放和关闭的端口列表，这些开放的端口往往与一定的服务相对应，通过这些开放的端口，黒客就能了解主机运行的服务，然后就可以进一步整理和分析这些服务可能存在的漏洞，随后采取针对性的攻击。已知的端口扫描的类型包括：–开放扫描(OpenScanning)–半开扫描(Half-OpenScanning)–隐蔽扫描(StealthScanning)开放扫描需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高，产生大量审计数据，容易被发现–TCPConnect()扫描–TCP反向探测扫描TCPConnect()扫描使用Socket的函数connect()来探测对方的端口是否是活动的。如果connect()返回成功，则说明该端口是开放的，否则该端口就是关闭的。优点:该扫描