火龙果第五章网络攻击步骤和常用工具.pptVIP

一次针对Windows 2000的入侵过程(六) 6. 清除痕迹 我们留下了痕迹了吗 用event viewer看一看 没有成功 看看它的日志文件 无安全日志记录 监听软件 通过集线器进行监听：被动监听 典型工具 Snort和Sniffit 通过交换机进行监听：主动监听 攻击者发明了很多工具，这些工具向交换型LAN发送数据，以达到截获原本不会发送到安装了嗅探器的机器的流量的目的。 Dsniff 由Dug Song编写，它是个工具集，可在LAN中以多种灵活的方式截取信息。 功能： 分析大量应用程序的数据包 能分析解释众多的协议类型。基本上每个嗅探器都能截获原始比特位，然而光这些原始比特位是没用的，除非攻击者能精确的分析并解释应用程序所规定的各个域的信息。例如，除非你能将FTP会话的用户ID、密码、单个命令和文本本身分离开来，否则这些原始比特位一点用都没有用。Dsniff能自动的辨认并解释大量的应用层协议（比如FTP，telnet,NNTP,SNMP,LDAP等），这对攻击者和安全人员来说是非常有用的。 用洪泛对付交换机 向LAN上发送大量的随机MAC地址以造成洪泛。随着网络上明显被使用的MAC地址的增多，交换机忠实的将其上每一链路所使用的MAC地址保存起来。最后，交换机内存耗尽，里面填充的都是假的MAC地址。由于无法再读到流量的地 址，无法转发流量，因而会出现流量洪泛现象。此时，一些交换机便开始向所有连在其上的链路发送数据。然后，攻击者就可以使用任意的嗅探器来截获所需的数据了。 用ARP欺骗信息对付交换机 有一些交换机在所剩余的内存到达一定限度时就停止存储MAC地址，因此MAC地址洪泛对这种交换机没有作用。 有一个工具arpspoof被包含在Dsniff中，Dsniff就是利用它来解决此难题。Arpspoof可以让攻击者操纵LAN上的ARP（地址解析协议）流量。ARP就是将第三层地址（IP）映射到第二层地址（MAC）。Arpspoof让攻击者将这种映射关系打乱从而在交换型的网络环境里截取数据。 发送假的DNS信息进行流量转向。Dsniff包含一个叫dnsspoof的程序，可让攻击者发送假的DNS回应给受害者，以使攻击者要访问其他机器时却访问攻击者的机器。 Dsniff 对HTTPS和SSH进行嗅探 Dsniff利用SSL和SSH对证书以及公钥的信任。如果Web服务器发给浏览器的证书是由一个浏览器不认识的证书机构签发的，浏览器将问用户是否接受此不信任的证书，信任的决定权留在了用户（通常是没经验的，一般用户不在意此）手里，浏览器会警告用户，但它仍允许用户继续建立连接。 Dsniff工具集中用于攻击HTTPS和SSH的工具名是：webmitm和sshmitm。 嗅探的防御 将通过网络传输的数据进行加密。 防止ARP欺骗，对包含了重要系统和数据的网络，在交换机上进行端口级安全设置，用链到端口上的机器的MAC地址来配置此端口，以防止MAC地址洪泛和arpspoof。而且，在极端重要的网络，如DMZ(隔离区，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区 )，在每台终端机器上使用静态ARP表，对LAN上的所有系统进行MAC地址的硬编码。 所谓口令攻击是指使用某些合法用户的账号和口令登录到目标主机，然后再实施攻击活动。这种方法的前提是必须首先得到目标主机上某个合法用户的账号，然后再进行合法用户口令的破译。 获得普通用户账号的方法很多，如利用目标主机的finger功能查询或从电子邮件地址中收集等。 口令攻击 口令破解 1.字典文件 所谓字典文件，就是根据用户的各种信息建立一个用户可能使用的口令的列表文件。字典中的口令是根据人们设置自己账号口令的习惯总结出的常用口令。对攻击者来说，攻击的口令在这字典文件中的可能性很大，而且因为字典条目相对较少，在破解速度上也远快于穷举法口令攻击。这种字典有很多种，适合在不同的情况下使用。 使用一部1万个单词的字典一般能猜测出系统中70%的口令。 （2）强行攻击 没有攻不破的口令，只是个时间问题。如果有速度足够快的计算机能尝试字母、数字、特殊字符的所有组合，将最终能破解所有的口令。 （3）组合攻击 使用字典单词但是单词尾部串接几个字母和数字，这就是组合攻击。（鉴于很多管理员要求使用字母和数字，用户的对策是在口令后面添加几个数字） 口令破解器 口令破解器是一个程序，它能将口令解译出来，或者让口令保护失效。口令破解器一般不是真正的去解码，因为事实上很多加密算法