NS_2_网络攻击1_黑客攻击流程 (1)

NetworkSecurity网络安全张立江cheungcumt@163.com第2讲网络攻击(I)—黑客攻击流程知己知彼，百战不殆；不知彼而知己，一胜一负；不知彼不知己，每战必败。–《孙子兵法》法无定法–《金刚经》Warning:请不要轻易出手2020/6/19计算机科学与技术学院2Contents黑客攻击的流程1踩点2扫描3查点42020/6/19计算机科学与技术学院3网络监听及防御技术5黑客攻击的流程黑客：灰帽子破解者•破解已有系统•发现问题/漏洞•突破极限/禁制•展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier白帽子创新者•设计新系统•打破常规•精研技术•勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者•随意使用资源•恶意破坏•散播蠕虫病毒•商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo-匿名恶渴求自由2020/6/19计算机科学与技术学院4黑客攻击的流程踩点扫描查点访问提升特权窃取信息掩踪灭迹创建后门拒绝服务Footprinting：确定目标地址范围、查询名字空间、并收集信息；关键在于不要漏掉任何细节Scaning：评估目标系统，识别监听业务，使攻击者将精力集中于最有希望攻克的途径Enumeration：识别目标系统上的合法用户账户和保护力不够的共享资源GainingAccess：利用收集的足够数据，胸有成竹的尝试访问目标系统Escalatingprivilege：如果上步只是普通用户访问权限，则寻找系统的完全控制Pilfering：再次进行信息获取，以确定目标系统的入侵机制和途径CoveringTracks：为避免被系统管理员发现，当务之急是掩盖来访踪迹Createbackdoor：在系统中留下后门和陷阱，为下次入侵创造条件DoS：如果无法取得特权，但又志在必得，那就最后一招—使用准备好的漏洞代码来使目标系统瘫痪2020/6/19计算机科学与技术学院5破坏型入侵型黑客攻击的流程—踩点踩点（footprinting）：收集目标信息的技巧从公开渠道查出该组织使用的域名、网络地址块、与因特网直接相联的各有关系统的IP地址以及与信息安防现状有关的其他细节：网络环境需要确认的信息因特网域名；网络地址块可以直接从因特网进行访问的各个系统的具体IP地址已被发现的各个系统上运行的TCP和UDP服务系统体系结构（例如SPARC或X86）访问控制机制和相关的访问控制表（accesscontrollist，ACL）入侵检测系统（intrusiondetectionsystem，IDS）各有关系统的细节信息（用户名和用户组名、系统旗标、路由表、SNMP信息等等）DNS主机名2020/6/19计算机科学与技术学院6黑客攻击的流程—踩点踩点的基本步骤：公开渠道获取信息WHOIS查询DNS查询网络侦查2020/6/19计算机科学与技术学院7黑客攻击的流程—踩点踩点活动要捞的“针”都有哪些呢？公司的Web网页相关组织地理位置细节电话号码、联系人名单、电子邮件地址、详细的个人资料近期重大事件（合并、收购、裁员、快速增长等等）可以表明现有信息安防机制的隐私/安防策略和技术细节已归档的信息心怀不满的员工搜索引擎、Usenet和个人简历让人感兴趣的其他信息公开渠道获取信息2020/6/19计算机科学与技术学院8例：公司的Web网页1.Web站点会提供大量有用信息（缺乏安防意识的组织毫不掩饰地把网络或系统安防配置细节列在Web服务器上）2.HTML源代码里的注释（诸如“”、“!”和“--”之类的HTML注释往往会隐藏着一些在Web窗口里看不到的秘密），镜像整个Web站点的工具：–UNIX操作系统下的Wget(BT5/KALI已安装)（）–Windows操作系统下的TeleportPro（）3.目标组织是否还建有其他站点（如、等）4.VPN网（试着访问“”或“”之类的站点）黑客攻击的流程—踩点2020/6/19计算机科学与技术学院9黑客攻击的流程—踩点2020/6/1910计算机科学与技术学院例：相关组织黑客攻击的流程—踩点2020/6/19计算机科学与技术学院11例：地理位置（GoogleMAP，百度地图等）黑客攻击的流程—踩点2020/6/19计算机科学与技术学院12搜索引擎技巧：以google为例空格表示“与”；减号“-”表示“非”；大写的“OR”表示“或”；site：搜寻结果局限在某个具体网站(site:cumt.edu.cn计算机)link：返回所有链接到某个URL地址的网页inurl：返回的网页链接中包含第一个关键词，后面的关键词则出现在链接中或者网页文档中allinurl：返回的网页链接中包含所有查询关键词allintitle和intitle：类似allinurl和inurl，对网页的标题栏进行查询related（相似页面），cache（缓存页面，网页快照），info（相关信息）黑客攻击的流程—踩点2020/6/19计算机科学与技术学院13黑客攻击的流程—踩点allinurl:tsweb/default.htm查找开放着remotedesktopWebConnection服务的Microsoftwindows服务器找出来2020/6/19计算机科学与技术学院14Mission1.1：练习使用google高级搜索技巧查找资料并练习使用百度，搜狗，360等国内搜索引擎的搜索技巧（选作）其他搜集信息的技巧（选作）黑客攻击的流程—踩点2020/6/19计算机科学与技术学院15ASOCCNSOGNSO黑客攻击的流程—踩点WHOIS查询IANAICANNIANA：InternetAssignedNumbersAuthority（）ICANN：InternetCorporationforAssignedNamesandNumbers（）ASO：AddressSupportingOrganization（地址支持组织，）GNSO：GenericNameSupportingOrganization（基本名称支持组织，）CCNSO：CountryCodeDomainNameSupportingOrganization（国家代码域名支持组织，）•因特网域名•IP地址号码•网络通信协议的参数指标和端口号码•因特网根DNS服务器的稳定运转2020/6/19计算机科学与技术学院16黑客攻击的流程—踩点ASOCCNSOGNSOIANAICANNAPNICARINLACNICRIPEAfriNIC亚太地区南美洲、北美洲和非洲下撒哈拉地区拉丁美洲和加勒比海地区欧洲、亚洲部分地区、赤道以北的非洲地区和中东地区南非和北非地区听取、审查与IP地址分配政策有关的意见;负责把IP地址块统一分配给在各自辖区内负责公共因特网号码资源的管理、分配和注册事务的洲际因特网注册局（RegionalInternetRegistry，RIR)RIR听取、审查与通用顶级域（generictop-leveldomain，gTLD）域名分配政策有关意见，并向ICANN董事会提出建议听取、审查与国家代码顶级域（country-codetop-leveldomain，ccTLD）域名分配政策有关的意见，并向ICANN董事会提出建议2020/6/19计算机科学与技术学院17黑客攻击的流程—踩点域名、IP地址的查询WHOIS服务器实际数据分别存储在全球各地的WHOIS服务器上WHOIS查询的语法、允许的查询类型、可供查询的数据和查询结果的格式在不同的服务器间往往有着很大的差异出于防范垃圾邮件制造者、黑客和资源过载问题的考虑，许多注册服务商会限制人们进行某些查询出于国家安全方面的考虑，.mil和.gov域的信息完全不允许普通大众进行查询域信息（比如sina.com）和IP信息（比如IP地址块、BGP自主系统号码等）需要分别向两个机构注册2020/6/19计算机科学与技术学院18域注册信息查询：TLD（top-leveldomain，顶级域）的官方注册局()目标组织是向哪家注册商进行注册从注册商那里查出查找的目标组织的域名注册细节黑客攻击的流程—踩点2020/6/19计算机科学与技术学院19黑客攻击的流程—踩点许多网站可以自动完成whois查询2020/6/19计算机科学与技术学院20IP注册信息的查询：IP注册事务由ICANN的ASO的几家RIR具体负责只须从几家RIR当中随便挑选一个作为IP注册信息查询的出发点，它就会告诉我们应该去往哪一个RIR才能找到需要的信息黑客攻击的流程—踩点从查询202.110.110.1102020/6/19计算机科学与技术学院21DNS区域传送（zonetransfer）：区域传送:一台后备服务器使用主服务器的数据刷新自己的数据库。以防止主域名服务器因意外故障变得不可用时影响到全局对系统管理员来说，允许不受信任的因特网用户执行DNS区域传送是最严重的错误配置之一真正的问题：在一个单位没有使用公用/私用DNS机制来分割外部公用/内部私用DNS信息时，内部主机名和IP地址都暴露给了攻击者黑客攻击的流程—踩点DNS查询2020/6/19计算机科学与技术学院22黑客攻击的流程—踩点区域传送方法一：nslookup(用于查询Internet域名信息或诊断DNS服务器问题的工具)当前的DNS服务器记录类型设为any2020/6/19计算机科学与技术学院23黑客攻击的流程—踩点acct181DINA192.168.230.31DINHINFOGateway2000WinWKGRPS1DINMX0tellurianadmin-smtp1DINRPbsmith.rcibsmith.who1DINTXTLocation:TelephoneRoomce1DINCNAMEaesopau1DINA192.168.230.41DINHINFOAspectMS-DOS1DINMX0andromeda1DINRPjcoy.erebusjcoy.who1DINTXTLocation:Libraryacct211DINA192.168.230.51DINHINFOGateway2000WinWKGRPS1DINMX0tellurianadmin-smtp1DINRPbsmith.rcibsmith.who1DINTXTLocation:AccountingDNS记录举例A:系统IP地址HINFO：平台或OS类型MX：邮件交换记录RP：负责人TXT：主机名或域名的说明CNAME：别名2020/6/19计算机科学与技术学院24黑客攻击的流程—踩点host命令:2020/6/19计算机科学与技术学院25黑客攻击的流程—踩点尝试确定网络的拓扑结构和可能存在的网络访问路径路由追踪：traceroute(tracert)网络侦查可用的图形化界面工具：1.VisualRoute（）2.NeoTrace（）3.Trout（）2020/6/19计算机科学与技术学院26黑客攻击的流程—扫描踩点⟺在一个