6-1--网络系统安全——网络攻击分析

网络安全——网络攻击分析本讲要点：21.认识黑客2.网络攻击一般步骤3.新型网络攻击分析1.认识黑客中文“黑客”一词译自英文“hacker”。英语中，动词hack意为“劈，砍”，也就意味着“辟出，开辟”，进一步引申为“干了一件非常漂亮的工作”。“hacker”一词的出现可以追溯到20世纪60年代，当时麻省理工学院的一些学生把计算机难题的解决称为“hack”。在这些学生看来，解决一个计算机难题就像砍倒一棵大树，因此完成这种“hack”的过程就被称为“hacking”，而从事“hacking”的人就是“hacker”。31.认识黑客因此，黑客一词被发明的时候，完全是正面意义上的称呼。在他们看来，要完成一个“hack”，就必然具备精湛的技艺，包含着高度的创新和独树一帜的风格。后来，随着计算机和网络通信技术的不断发展，活跃在其中的黑客也越来越多，黑客阵营也发生了分化。人们通常用白帽、黑帽和灰帽来区分他们。41.认识黑客白帽黑客。简单地说，这是一群因为非恶意的原因侵犯网络安全的黑客。他们对计算机非常着迷，对技术的局限性有充分认识，具有操作系统和编程语言方面的高级知识，他们热衷编程，查找漏洞，表现自我。他们不断追求更深的知识，并乐于公开他们的发现，与其他人分享；主观上没有破坏的企图。例如，有的白帽受雇于公司来检测其内部信息系统的安全性，也包括那些在合同协议允许下对公司等组织内部网络进行渗透测试和漏洞评估的黑客。51.认识黑客国外媒体还把那些具有爱国热情和明显政治倾向、非官方的、使用技术来“维护国家和民族尊严”的人称为红客。61.认识黑客黑帽黑客。在西方的影视作品中，反派角色，如恶棍或坏人通常会戴黑帽子。因此，黑帽被用于指代那些非法侵入计算机网络或实施计算机犯罪的黑客。美国警方把所有涉及到“利用”、“借助”、“通过”或“干扰”计算机的犯罪行为都定为hacking，实际上指的就是黑帽的行为。为了将黑客中的白帽和黑帽区分，英文中使用“Cracker”、“Attacker”等词来指代黑帽。中文也译作骇客。71.认识黑客目前，国内对于黑客一词主要是指“对计算机信息系统进行非授权访问的人员”（GA163-1997《中华人民共和国公共安全行业标准》），属于计算机犯罪的范畴。81.认识黑客灰帽黑客。灰帽一词最早可以追溯到1977年，一个公司向美国专利局申请Greyhat商标，用于描述那些直接向软件供应商报告漏洞的黑客。1998年，著名的黑客组织L0pht在接受《纽约时报》采访时首次在媒体上用灰帽来指代他们的黑客行为。因此，灰帽被用于指代行为介于白帽和黑帽之间的技术娴熟的黑客。他们通常不为恶意或个人利益攻击计算机或网络，但是为了达到更高的安全性，可能会在发现漏洞的过程中打破法律或白帽黑客的界限。91.认识黑客例如，白帽致力于自由地、完整地公开所发现的漏洞，黑帽则利用发现的漏洞进行攻击和破坏，而灰帽则介于白帽和黑帽之间，他们会通过把发现的系统漏洞告知系统供应商来获得收入。101.认识黑客黑客阵营中的白帽、黑帽和灰帽也不是一成不变的。世界上有许多著名的黑客原先从事着非法的活动，后来也改邪归正，成为了白帽或灰帽，当然也有一些白帽成为了黑帽，从事着法律禁止和打击的网络犯罪的勾当。凯文.米特尼克被认为是世界上最著名的黑客。他1964年出生在美国洛杉矶。在他15岁的时候，仅凭一台电脑和一部调制解调器就闯入了北美空中防务指挥部的计算机系统主机。美国联邦调查局将他列为头号通缉犯，并为他伤透了脑筋。111.认识黑客1983年，好莱坞曾以此为蓝本，拍摄了电影《战争游戏》（又名《骇客追缉令》），演绎了一个同样的故事（在电影中一个少年黑客几乎引发了第三次世界大战）。=y1.6-96.1.1.cc04e66c962411de83b1#paction121.认识黑客之后，在凯文·米特尼克身上还发生了很多具有传奇色彩的故事。大家可以阅读他的自传《线上幽灵》。目前，凯文·米特尼克是一名网络安全咨询师，从事着维护互联网安全的工作。131.认识黑客目前黑客已成为一个广泛的社会群体。在西方有完全合法的黑客组织、黑客学会，这些黑客经常召开黑客技术交流会。在因特网上，黑客组织有公开网站，提供免费的黑客工具软件，开放黑客课程，出版网上黑客杂志和书籍，但是他们所有的行为都要在法律的框架下进行。141.认识黑客这里，给大家介绍几个全球著名的黑客大会及他们的网站，大家可以进一步去了解世界上那些著名的黑客在关心什么，他们在做什么。DEFCON由绰号为“DarkTangent（黑暗切线）”的黑客JeffMoss创办，是世界上最知名的“黑客大会”。DEFCON每年在美国内华达州的拉斯维加斯举行，第一届在1993年6月举办。151.认识黑客DEFCON名称源自军事上的“战备状态（DefenseCondition）”的缩写，“Con”也可解读为“Conference（会议）”。此外，很多DEFCON小组的早期成员都是盗打电话的Cracker（破解者），他们喜欢的“DEF”也是电话键盘数字“3”上面印着的字母。DEFCON吸引了世界上很多厉害的黑客参与，他们的兴趣在软件、计算机架构、硬件修改，以及任何可以被“破解或攻破”的东西。当然还有全球许多大公司的代表以及美国国防部、联邦调查局、国家安全局等政府机构的官员。前者大部分为了商业利益，后者则是出于对美国网络控件安全战略的需要。161.认识黑客可以认为黑帽大会是DEFCON的商业版本，两个会议都是JeffMoss所创立（黑帽大会已被出售）。黑帽大会具有全球的吸引力，其参会者比较“企业、公司化”，而大量的DEFCON参会者则更加“街头化”和“黑客化”。黑帽大会有两个部分：黑帽培训和黑帽简报（BlackHatBriefings，演讲）。网络安全培训是所有安全会议的重点，黑帽大会作为世界上最大的IT安全会议，培训更是重头戏。171.认识黑客要提醒大家的是，这个会议的名称或者说是商标叫做黑帽，并不代表这些参会的全是黑帽，他们的所有行为都要受到法律的监管、约束和惩罚。181.认识黑客RSA大会开始作为一个密码学的会议，但后来演变成一个更广泛的信息安全会议，分为厂商展览和演讲议题两大部分。191.认识黑客开放Web应用安全项目（简写为OWASP）是一个为了提高软件的安全性，不以营利为目的的组织。OWASP会议主题主要贴近Web应用安全内容。因为，编写安全的代码是应用程序防止数据被窃取，提高整体安全性很重要的一部分。201.认识黑客国内影响比较大的黑客大会：中国互联网安全大会会议创办于2013年，由360互联网安全中心与中国互联网协会网络与信息安全工作委员会主办，国家互联网信息办公室网络安全协调局工业和信息化部网络安全管理局、国家网络和信息安全信息通报中心（公安部网络安全保卫局）作为指导单位。211.认识黑客那么黑客到底是神还是恶魔的答案，根据我们今天的讲解，大家应该有了答案。因为黑客可以分为三类，白帽和灰帽以及黑帽。可以说，他们分别扮演着大神和恶魔的角色。还有，我们必须认识到，无论哪类黑客，对技术的崇拜和对创新的不断追求，始终是黑客的共同点。黑帽的存在促使我们不断革新技术、更新系统，追求更加完美的功能，白帽和灰帽的存在帮助我们在与黑帽对抗的过程中不断追求完美。25本讲要点：271.认识黑客2.网络攻击一般步骤3.新型网络攻击分析2.网络攻击一般步骤为什么？在因特网上的主机均有自己的网络地址，因此攻击者在实施攻击活动时的首要步骤是设法隐藏自己所在的网络位置，如IP地址和域名，这样使调查者难以发现真正的攻击来源。怎么做？利用被侵入的主机（俗称“肉鸡”）作为跳板进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。使用多级代理，这样在被入侵主机上留下的是代理计算机的IP地址。伪造IP地址。假冒用户账号。隐藏攻击源282.网络攻击一般步骤为什么？攻击者搜集目标的信息，并进行综合、整理和分析后，能够初步了解一个机构的安全态势，并能够据此拟定出一个攻击方案。怎么做？确定攻击目标。踩点。通过各种途径收集目标系统的相关信息，包括机构的注册资料、公司的性质、网络拓扑结构、邮件地址、网络管理员的个人爱好等。隐藏攻击源信息搜集292.网络攻击一般步骤怎么做？确定攻击目标。踩点。扫描。利用扫描工具在攻击目标的IP地址或地址段的主机上，扫描目标系统的软硬件平台类型，并进一步寻找漏洞如目标主机提供的服务与应用及其安全性的强弱等等。嗅探。利用嗅探工具获取敏感信息，如用户口令等。视频：顶级黑客米特尼克演示无线网中嗅探银行账号隐藏攻击源信息搜集302.网络攻击一般步骤为什么？一般账户对目标系统只有有限的访问权限，要达到某些攻击目的，攻击者只有得到系统或管理员权限，才能控制目标主机实施进一步的攻击。怎么做？系统口令猜测种植木马会话劫持等隐藏攻击源信息搜集掌握系统控制权312.网络攻击一般步骤为什么？不同的攻击者有不同的攻击目的，无外乎是破坏机密性、完整性和可用性等怎么做？下载、修改或删除敏感信息。攻击其它被信任的主机和网络。瘫痪网络或服务。其它非法活动。隐藏攻击源信息搜集掌握系统控制权实施攻击322.网络攻击一般步骤为什么？一次成功的入侵通常要耗费攻击者的大量时间与精力，所以精于算计的攻击者在退出系统之前会在系统中安装后门，以保持对已经入侵主机的长期控制。怎么做？放宽系统许可权。重新开放不安全的服务。修改系统的配置，如系统启动文件、网络服务配置文件等。替换系统本身的共享库文件。安装各种木马，修改系统的源代码。隐藏攻击源信息搜集掌握系统控制权实施攻击安装后门332.网络攻击一般步骤为什么？一次成功入侵之后，通常攻击者的活动在被攻击主机上的一些日志文档中会有记载，如攻击者的IP地址、入侵的时间以及进行的操作等等，这样很容易被管理员发现。为此，攻击者往往在入侵完毕后清除登录日志等攻击痕迹。怎么做？清除或篡改日志文件。改变系统时间造成日志文件数据紊乱以迷惑系统管理员。利用前面介绍的代理跳板隐藏真实的攻击者和攻击路径。隐藏攻击源信息搜集掌握系统控制权实施攻击安装后门隐藏攻击痕迹342.网络攻击一般步骤上面介绍的是一次完整的攻击过程攻击者通常采取的步骤，实际上攻击过程中的每一步都可以看做是一种攻击。在上述的攻击过程中涉及的具体攻击手段主要包括：1）伪装攻击。通过指定路由或伪造假地址，以假冒身份与其它主机进行合法通信、或发送假数据包，使受攻击主机出现错误动作。如IP欺骗。352.网络攻击一般步骤2）探测攻击。通过扫描允许连接的服务和开放的端口，能够迅速发现目标主机端口的分配情况、提供的各项服务和服务程序的版本号，以及系统漏洞情况。黑客找到有机可乘的服务、端口或漏洞后进行攻击。常见的探测攻击程序有：Nmap、Nessus、Metasploit、ShadowSecurityScanner、X-Scan等。3）嗅探攻击。将网卡设置为混杂模式，对以太网上流通的所有数据包进行嗅探，以获取敏感信息。常见的网络嗅探工具有：SnifferPro、Tcpdump、Wireshark等。362.网络攻击一般步骤4）解码类攻击。用口令猜测程序破解系统用户帐号和密码。常见工具有：L0phtCrack、JohntheRipper、Cain&Abel、Saminside、WinlogonHack等。还可以破解重要支撑软件的弱口令，例如使用ApacheTomcatCrack破解T