黑客检测技术与手段防护

黑客检测技术与手段防护国家信息技术安全研究中心肖彪渗透的基本步骤踩点各种信息的收集，包括IP状况，开启的端口，服务器的状况。（常用工具有：nmap、hping、whois，traceroute等）漏洞查找通过前期踩点，判断对方开启什么服务，判断大概可能出现漏洞。通过扫描，发现安漏洞。攻击系统扫尾工作安装后门（给对方中上木马，或者某个服务里面添加一个帐户等）清除入侵痕迹（主要为log清楚，和入侵者上传的工具清除）踩点了解目标主机和网络的一些基本的安全信息:管理员联系信息，电话号，传真号；IP地址范围；DNS服务器；邮件服务器。扫描对于内部网络，可用协议类型很多，ICMP协议是普遍要装上的，（Internet控制消息协议）用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。ICMP协议本身的特点决定了它非常容易被利用，用于攻击网络上的路由器和主机。对于外部网络，可用协议类型也很多，涉及到的原理也有很多，例如：TCP扫描，UDP扫描,常用的工具也很多,比如Xscan,sss,nmap，nessus等等.查点查点：SNMP（简单网络管理协议）通过默认的管理群字符串PUBLIC读取特性，可以得到系统的一些信息，具体有：接口表，路由表及ARP表，TCP表和UDP表，设备表和存储表，进程表和软件表，用户表，共享表，经常可以了解到网络的拓扑。利用NetBIOS规则，NetBOIS位于TCP/IP之上，定义了多个TCP和UDP端口.比如42,137,138,139.sid工具由两个小工具组成：user2sid和sid2user.user2sid获得用户名或组名的sid;sid2user则是输入一个sid而获得相应用户名的和组名渗透技术一览攻击系统中常用的渗透技术网络探测会话劫持拒绝服务攻击（DoS）口令探测木马隐藏踪迹网络渗透技术－会话劫持在现实生活中，例如银行的一笔交易如果营业员检查了顾客的身份证和帐户卡，抬起头来，发现不再是刚才的顾客他会把钱交给外面的顾客吗？网络中的问题在网络上，没有人知道上网的是一条狗TCP会话劫持欺骗和劫持欺骗是伪装成合法用户，以获得一定的利益劫持是积极主动地使一个在线的用户下线，或者冒充这个用户发送消息，以便达到自己的目的会话劫持分两种被动劫持监听网络流量，发现密码或者其他敏感信息主动劫持找到当前会话并接管过来，迫使一方下线，由劫持者取而代之攻击者接管了一个合法会话后，可以做更多危害性更大的事情TCP会话劫持被劫被持者服务器B1.A远程登录，建立会话，完成认证过程攻击者H2.监听流量实施会话劫持的过程发现目标找到什么样的目标，以及可以有什么样的探查手段，取决于劫持的动机和环境探查远程机器的ISN(初始序列号)规律可以使用扫描软件，或者手工发起多个连接等待或者监听对话最好在流量高峰期间进行，不容易被发现，而且可以有比较多可供选择的会话猜测序列号最关键的一步，如果不在一个子网中，难度就非常大使被劫持者下线ACK风暴，拒绝服务接管对话如果在同一子网中，则可以收到响应，否则要猜测服务器的动作如何防止会话劫持部署共享式网络，用交换机代替集线器无法进行监听TCP会话加密防火墙配置限制尽可能少量的外部许可连接的IP地址检测ACK包的数量明显增加网络渗透技术－拒绝服务攻击（DoS）DoS(DenialofService)信息安全的三个概念保密性、完整性、可用性针对可用性进行攻击定义：通过某些手段使得目标系统或者网络不能提供正常的服务特点：技术原理简单，工具化难以防范，有限DoS可以通过管理的手段防止DoS的动机强行重启对方机器恶意破坏或者报复网络恐怖主义DoS的危害使得正常的服务不能提供案例：1996年9月，一家ISP(PublicAccessNetworks)公司遭受拒绝服务达一周一上，拒绝对约6000多人和1000家公司提供Internet服务政府网站美国白宫的网站曾经遭受拒绝服务攻击分布式拒绝服务－DDoS2005年2月，一批商业性质的Web站点收到了DDoS的攻击Yahoo、eBuy、CNN等著名网站都受到过分布式拒绝服务攻击一些典型的DoS攻击（一）PingOfDeath原理：直接利用ping包，即ICMPEcho包，有些系统在收到大量比最大包还要长的数据包，会挂起或者死机受影响的系统：许多操作系统受影响著名的windows蓝屏工具攻击做法直接利用ping工具，发送超大的ping数据包利用特制的工具，例如：IPHacker防止措施打补丁防火墙阻止这样的ping包一些典型的DoS攻击（二）SYNFlood原理：每个机器都需要为半开连接分配一定的资源这种半开连接的数量是有限制共计方利用TCP连接三次握手过程，打开大量的半开TCP连接目标机器不能进一步接受TCP连接。机器就不再接受进来的连接请求。受影响的系统：大多数操作系统攻击细节连接请求是正常的，但是，源IP地址往往是伪造的，并且是一台不可达的机器的IP地址，否则，被伪造地址的机器会重置这些半开连接一般，半开连接超时之后，会自动被清除，所以，攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快任何连接到Internet上并提供基于TCP的网络服务，都有可能成为攻击的目标这样的攻击很难跟踪，因为源地址往往不可信，而且不在线一些典型的DoS攻击（三）SYNFlood攻击特征目标主机的网络上出现大量的SYN包，而没有相应的应答包SYN包的源地址可能是伪造的，甚至无规律可循防止措施针对网络防火墙或者路由器可以在给定时间内只允许有限数量的半开连接入侵检测，可以发现这样的DoS攻击行为打补丁Linux和Solaris使用了一种被称为SYNcookie的技术来解决SYNFlood攻击：在半开连接队列之外另设置了一套机制，使得合法连接得以正常继续网络渗透技术－口令探测如果别人知道了口令，那么有什么安全可言？口令是一些系统中验证用户身份的唯一标识建议：如果我们使用物理设备验证…口令探测广泛应用的攻击手段入门者也能使用的技术涉及方面广泛操作系统普通软件、加密信息口令探测的内容网络监听暴力破解在其他攻击得手后得到密码利用用户的疏忽网络监听登录电子信箱或者其他Telnet、FTP服务密码通过明文传输如果黑客在网络上监听，就可以得到用户的密码使用监听工具L0phtcrack监听windows帐户密码可以捕获win2000服务器与其低版本客户机之间发送的消息如果连接一端不支持Kerberos，认证自动降到NTLML0phtcrack可以破解NTLM密码WindowsXP的远程登录桌面在用户登录时帐号和密码用明文传输现在已经修复这个错误网络监听的对策使用安全的连接方式使用SecureShell来取代TelnetHTTP的安全连接现有一些论文也在讨论其他一些协议安全认证部分的添加不允许用户使用最高权限帐户远程登录系统UNIX系统下不能使用root帐户远程登录登录后使用su命令切换用户使用SSL加密连接可以直接root登录对L0phtcrack的防范使用交换网络升级系统，使用Kerberos认证暴力破解两种方式的破解在线破解在线登录目标主机，通过程序循环输入密码尝试正确的密码输入可能会在日志里留下记录，很容易被探测出来离线破解取得目标主机的密码文件，然后在本地破解花费时间较长，一般时攻击系统取得一定权限后使用暴力破解的手段字典攻击强行攻击组合攻击在线破解Windows系统使用NAT(NetBIOSAuditingTool)进行探测在NetBIOS开放138，139端口提供SMB服务，允许用户远程访问文件系统Windows2000缺省共享所有驱动器和admin$访问文件系统时需要用户身份验证NAT可以猜测用户口令，从而取得目标机器的控制权NAT用法：nat[-ofilename][-uuserlist][-ppasslist]addressLinux系统一般在telnet三次错误后，系统会断开连接在线破解的软件较少其他应用系统上的在线破解离线破解得到用户的密码文件，然后在本地破解Windows系统用户密码存放在%systemroot%\system32\config\和%systemroot%\repair\中得到这个文件后可以使用L0phtcrack进行本地破解Linux系统用户名和密码存储在/etc/passwd中会被很多用户看到该文件为了加强安全性，将密码存储在etc/shadow中只能由root存取著名的破解工具：JohntheRipper因为Linux在线破解困难，所以离线破解比较常见很多管理员现在没有使用shadow文件字典攻击字典：一些单词或者字母和数字的组合使用字典的好处比较快速的得到用户密码，只需要在字典中进行查找前提条件绝大多数用户选择密码总是有一定规律的姓名：自己、父母、爱人、孩子生日电话号码，身份证号码，学号英文单词上述组合打开钱包，我就能知道你的密码设计一个好的字典是非常有必要的防止字典攻击的方法使用带有特殊字符的密码密码不是有规律的英语单词强行攻击在选定的字母或者数字序列里生成所有包含这些字母的口令密码生成器，只要用户指定字母和数字和密码的位数，就能生成字典特点密码较多，所需时间较长分布式攻击多台计算机共同运算适用于对用户信息不够了解的情况对策使用长的密码攻击者需要构造出很大的字典，加大攻击难度经常更换密码需要在方便和安全中作出抉择组合攻击综合前两种攻击的优点字典攻击：速度较快强行攻击：发现所有的口令根据掌握的用户的不同信息，进行口令组合姓名缩写和生日的组合在字母组合后面加上一些数字攻击速度破解口令数量字典攻击快所有字典单词强行攻击慢所有口令组合攻击中等以字典为基础的单词安装后门攻击者在攻击成功后，为了能够下次进入系统，需要留下后门－迅速重新获取访问权的机制后门种类创建帐号不易被人察觉的帐号启动文件在系统启动的时候运行程序利用设备驱动程序创建后门受调度的作业将后门放到调度作业队列中远程控制安装木马网络渗透技术－木马既是攻击系统得到系统权限的方法，又是攻击得手后留下后门的手段曾在网络上成为主要的攻击手段尤其在Windows系统下极为流行木马的原理两个部分：外壳程序和内核程序内核程序启动后在后台运行，打开端口，开启后门黑客连接到木马打开的端口，向木马下达命令一种C/S结构随着反木马技术的发展，木马也越来越隐蔽特洛伊木马（一）Windows系统下的木马一般将木马写到注册表中或者启动组中注册表位置：HKLM\Software\Microsoft\Windows\CurrentVersion\Run或者HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices容易被查杀木马的对策设计成一个DLL，将自己写到其他程序的运行空间中但是还是要打开端口用户对策防火墙，切断木马的对外连接查看打开端口的程序名称，从而查找木马特洛伊木马（二）特洛伊木马技术的发展反向端口技术不需要打开端口，而是监听端口防火墙一般不会阻塞掉内部访问外部80端口的数据包木马定期向黑客指定的机器80端口发送数据包，机器接收后，就可以知道哪台机器中了木马，从而对它进行控制木马更加隐蔽，难以发现GINA木马攻击得手后使用或者物理接触到机器GINA是用户和Windows认证系统间的中间人，允许用户自己编写黑客将自己写的GINAdll程序加入到注册表中，可以捕获用户和密码特洛伊木马（三）用户对木马的对策不要