6.4常用信息加密技术介-教工FTP主页-中国科学技术大学

《网络信息安全》中国科学技术大学肖明军xiaomj@ustc.edu.cn第9章网络攻击•黑客技术•信息收集类攻击•入侵类攻击•欺骗类攻击•拒绝服务类攻击3自从20世纪90年代以来，几乎每一个计算机信息系统都是在网络环境下运行的。在网络环境下工作的计算机，除了经常要受到病毒等恶意程序的侵害外，还要受到黑客的攻击。这一章介绍黑客对于网络的一些主要攻击手段。4黑客技术5常见名词•什么是黑客（Hacker的音译）？源于动词Hack，其引申意义是指“干了一件非常漂亮的事”。就是精通计算机的网络、系统、外设以及软硬件技术的人。•什么是骇客（Cracker，破坏者）？就是运用自己的知识去做出有损他人权益的事情，就称这种人为骇客。6黑客入侵•1995年8月21日，设防严密的花旗银行（CITYBANK）被前苏联克格勃人员通过Internet侵入，损失现金高达1160万美元。而为了弄清真相并防止入侵者故伎重演，花旗银行又不得不出资580万美元的现金让入侵者讲述入侵秘密和详细步骤。•黑客们攻击的对象往往是要害部门。据美国五角大楼的一个研究小组称，美国国防部一年中遭受到的攻击就达25万次之多。1997年由于黑客入侵美国空军防务系统，迫使五角大楼把防务网络关闭24小时。1996年8月17日，黑客入侵美国司法部，将“美国司法部”的主页改成了“美国不公正部”，将司法部部长的照片换成了阿道夫·希特勒，将司法部的徽章换成了纳粹党的党徽，并加上一张色情女郎的图片作为司法部长的助手。同年的9月18日，黑客们又将美国“中央情报局”主页改成了“中央愚蠢局”。7黑客入侵•1999年4月26日，台湾大同工学院资讯工程系学生陈盈豪制造的“CIH”病毒发作，震撼了全球，据保守的估计至少有6000万部电脑受害。•2000年2月5日夜晚，国际著名的Yahoo、CNN（电子港湾）、亚马逊、微软网络等五大网站在DDoS（DistributedDenialofService，分布式拒绝服务）有组织地攻击下相继落马。DDoS是一种让计算机或网络大量地超载使用TCP、UDP或ICMP的网络通信量从而使之崩溃的攻击。在2月7，8，9三天里，它使这些著名网站的损失高达10亿美元，其中仅营业和广告收入一项就达1亿美元。•2000年5月4日，开始发作的“ILoveYou”病毒如野火般地肆虐美国，进而袭击全球，至少造成100亿美元的损失。8常见名词•漏洞：这个名词根据字面意思就可以理解，就好象一个房子，门很结实，可是有个窗户却不好，这就很可能造成被别人进入，入侵是也是相对的，必须要有漏洞才可以入侵。•后门：这个就是入侵后为方便我们下次进入肉鸡方便点所留下的东西，亲切的称为后门。•端口：这个是入侵是很重要的一个环节，端口这个东西就好象是我要买东西，需要在1号窗口来结帐，而开放的1号窗口就好比响应的端口，端口可以形象的比喻成窗口。不同的端口开放了不同的服务。•肉鸡：不是吃的那种，是中了我们的木马，或者留了后门，可以被我们远程操控的机器，现在许多人把有WEBSHELL权限的机器也叫肉鸡。webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现，也有人称之为网站后门工具。9黑客攻击的发展趋势•目前，黑客攻击有如下发展趋势：•（1）攻击工具的简单化：目前，黑客工具的技术性越来越高，使用越来越简单，并且大多是图形化界面，容易操作。•（2）攻击目标针对化：黑客攻击的目标越来越有针对性，并主要是针对意识形态和商业活动，如Yahoo事件。•（3）攻击方式系统化：黑客在攻击方式、时间、规模等方面一般都进行了长时间的准备和部署，系统地进行攻击。•（4）攻击时间持续化：由于网络协议的漏洞和追踪力量的薄弱，黑客肆无忌惮地对目标进行长时间的攻击。例如，cnns.net网站曾承受过DDoS长达40余天的攻击。10黑客攻击的一般过程11黑客攻击的一般过程•1.踩点黑客确定了攻击目标后，一般要收集被攻击者的信息：目标机的类型、IP地址、所在网络的类型；操作系统的类型、版本；系统管理人员的名字、邮件地址；……。12黑客攻击的一般过程对攻击对象信息的分析，可找到被攻击对象的脆弱点。为了获得这些信息，黑客要利用一些技术。例如：运行一个host命令，可以获得被攻击目标机的IP地址信息，还可以识别出目标机操作系统的类型；利用whois查询，可以了解技术管理人员的名字；运行一些Usernet和Web查询，可以了解有关技术人员是否经常上Usernet等；利用DNS区域传送工具dig、nslookup及Windows版本的SamSpade（网址为），获取目标域中的所有主机信息；一个管理人员经常讨论的问题也可以表明其技术水平的高低等。13黑客攻击的一般过程•2.扫描“苍蝇不叮无缝的蛋“。系统的漏洞会为攻击提供机会和入口。在踩点获得的信息的基础上，黑客常编写或收集适当的工具，在较短的时间内对目标系统进行扫描，进一步确定攻击对象的漏洞。漏洞扫描就是自动检测计算机网络系统在安全方面存在的可能被黑客利用的脆弱点。漏洞扫描技术通过安全扫描程序实现。所谓扫描，包含了非破坏性原则，即不对网络造成任何破坏。在实施策略上可以采用被动式和主动式两种策略。14黑客攻击的一般过程（1）被动式扫描策略被动式扫描策略主要检测系统中不合适的设置、脆弱的口令以及同安全规则相抵触的对象，具体还可以分为如下几类：（a）基于主机的扫描技术，通常它涉及系统的内核、文件的属性、操作系统的补丁等问题，能把一些简单的口令解密和剔除，能非常准确地定位系统存在的问题，发现漏洞。缺点是与平台相关，升级复杂。（b）基于目标的扫描技术，基于目标的扫描技术的基本原理是基于消息加密算法和哈希函数，如果函数的输入有一点变化，输出就会发生很大变化。这样文件和数据流的细微变化就会被感知。基于目标的扫描技术通常用于检测系统属性和文件属性，如数据库、注册号等。然后产生检验数，把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。（c）基于应用的扫描技术，这种技术主要用于检查应用软件包的设置和安全漏洞。15黑客攻击的一般过程（2）主动式扫描策略主动式扫描策略是基于网络的扫描技术，主要通过一些脚本文件对系统进行攻击，记录系统的反应，从中发现漏洞。（3）扫描工具目前，扫描程序已经发展到了几十种，有的小巧快捷，有的界面友好；有的功能单一，有的功能完善。被广泛使用的扫描程序有如下一些。（a）Ping扫射–Ping扫射可以判别主机是否“活动”。Ping向目标主机发送ICMP回射请求分组，并期待目标系统关于活动的回射应答分组。常用的Ping扫射工具有：操作系统的Ping命令和用于扫射网段的fping和WS_ping等。16黑客攻击的一般过程（b）端口扫描–扫描TCP/UDP端口号，可以确定正在运行的服务及其版本号，以发现相应的服务程序的漏洞。–在UNIX系统上运行的重要扫描工具有：»Netcat（）»Nmap（）–在Windows系统上运行的重要扫描工具有：»superscan（）»NetScanToolPro2003（）（c）旗标获取–旗标获取是通过一个打开的端口，来联系和识别系统提供的服务及版本号。如连接到一个端口，按几次Enter键，看返回的信息是什么。17黑客攻击的一般过程（d）操作系统检测–许多漏洞与操作系统有关。因此，黑客要首先确定操作系统的类型。如图所示，目前操作系统检测按技术原理可以分为：利用系统旗标信息和利用TCP/IP堆栈指纹两种；按鉴别的主动性可以分为：主动鉴别和被动鉴别。–目前常用的操作系统检测工具有：»Nmap，Queso（），Siphon（）18黑客攻击的一般过程•3.查点查点就是搜索特定系统上用户、用户组名、路由表、SNMP信息、共享资源、服务程序及旗标等信息。查点采用的技术依操作系统而定：（1）Windows系统上的主要技术查点NetBIOS线路空会话（NullSession）SNMP代理活动目录（ActiveDirectory）其他19黑客攻击的一般过程Windows系统上使用的主要工具：（a）Windows系统命令：netview、nbtstat、nbtscan和nltest。（b）第三方工具–Netviewx（）–Userdump（）–User2sid（）–GetAcct（）–DumpSec（）–Legion（）–NAT（黑客攻击的一般过程（2）UNIX系统上的主要技术PRG查点NIS查点NFS查点SNMP查点UNIX系统上常用的工具有：rpcinfo、rpcdump、shomount、finger、rwho、ruser、nmap、telnet、nc和snmpwalk等。21黑客攻击的一般过程•4.模拟攻击进行模拟攻击，测试对方反应，找出毁灭入侵证据的方法。•5.获取访问权获取访问权是入侵的正式开始。（1）Windows系统上的主要技术NetBIOS-SMB密码猜测；窃听LM及NTLM认证散列攻击IISWeb服务器远程缓冲区溢出22黑客攻击的一般过程（2）UNIX系统上的主要技术蛮力密码攻击密码窃听数据驱动式攻击（如缓冲区溢出、输入验证、字典攻击等）RPC攻击NFS攻击针对X-Windows系统的攻击其他23黑客攻击的一般过程著名的密码窃听工具：snifferpro（）TCPdumpLC4（L0phtcrackversion4，）readsmb著名的字典攻击工具：LC4JohntheRIPper（）NATSMBGrind（）fgrind24黑客攻击的一般过程•6.权限提升黑客一旦获取了访问权，就会试图将自己的普通用户权限提升至超级用户权限，以对系统进行完全控制。权限提升主要的技术是口令破解、利用漏洞以及不当配置等进行。常用口令破解工具有：JohnTheRIPper。可以得到管理员权限的工具有：lc_message、getadmin、sechole、Invisible、Keystroke、Logger（）。25黑客攻击的一般过程•7.窃取窃取就是对一些敏感数据的篡改、添加、删除和复制，以及通过对敏感数据的分析，为进一步攻击应用系统做准备。•8.掩盖踪迹掩盖踪迹，即清除自己所有的入侵痕迹。主要工作有：禁止系统审计、隐藏作案工具、清空事件日志（使用zap、wzap、wted等）、替换系统常用操作命令等。26黑客攻击的一般过程•9.创建后门创建后门是为了以后的入侵打开一个缺口，使入侵者能卷土重来，