网络攻击基本过程.pptVIP

* * 网络攻击基本过程 何路 helu@ * 目标信息收集 攻击源隐藏 弱点挖掘 掌握控制权 攻击行为隐藏 实施目标攻击 开辟后门 攻击痕迹清除 攻击基本过程 网络攻击的基本过程 攻击身份和位置隐藏：隐藏网络攻击者的身份以及主机的位置，隐藏的主机位置使得系统管理无法追踪； 目标系统信息收集：确定攻击目标并收集目标系统的有关信息； 弱点信息挖掘分析：从收集到的目标信息中提取可使用的漏洞信息； 目标使用权限获取：获取目标系统的普通或者特权帐户的权限； 攻击行为隐蔽：隐蔽在目标系统中的操作，防止攻击行为被发现； 攻击实施：实施攻击或者以目标系统为跳板向其他系统发起新的攻击； 开辟后面：在目标系统中开辟后门，方便以后的入侵； 攻击痕迹清除：清除攻击痕迹，逃避攻击取证。 * 攻击身份和位置隐藏 攻击者通常应用如下技术隐藏攻击的IP地址或域名： 利用被侵入的主机作为跳板，如利用配置不当的Proxy作为跳板； 应用电话转接技术隐蔽攻击者身份，如利用电话的转接服务连接ISP 盗用他人的帐号上网 通过免费代理网关实施攻击； 伪造IP地址 假冒用户帐号等 * 目标系统信息收集 在侵入系统的过程中，收集信息是最重要的步骤。通过信息收集，从中发现有利用价值的东西,这些信息暴露出系统的安全脆弱性或潜在入口。攻击者对系统了解得越多，就越可能达到自己的目的，同时，落网的可能性就越小。攻击者通常使用端口扫描工具或者通过服务信息、电话号码簿、电子邮件帐号、网页等获取信息。 目标信息收集工具： 扫描器之王-NMAP 漏洞检查利器－NESSUS 大范围扫描工具－ X-SCAN 常用扫描工具－　SHADOW SCAN、CIS、SUPERSCAN和HOLESCAN 等。 Neotrc20 －图形化的Trace杂项工具,生动地显示出各节点和路由 * 弱点信息的挖掘与分析 击者收集到大量目标系统的信息后，开始从中挖掘可用于攻击目标的弱点信息。 常用的弱点挖掘技术方法如下： 系统或者应用服务软件的漏洞 主机信任关系漏洞 目标网络的管理漏洞； 通信协议漏洞 网络业务系统漏洞 * 漏洞挖掘工具实例： SNIFFER工具：常见免费的SNIFFER有tcpdump、Windump、SNIFFIT、NETXRAY 口令窃听工具：dsniff 密码破解工具：WINDOWS密码导出工具——PWDDUMP，WINDOWS密码破解工具—L0phtCrack，大众型破解2000/Nt的小工具－－NtKill 其他工具：IDA、W32dasm －　优秀的反汇编工具 Softice、Trw2000　－ 优秀的调试工具 * 目标使用权限获取 最终的目标是获得超级用户权限——对目标系统的绝对控制。 获得系统管理员权限通常有以下途径： 专门针对root用户的口令进行破解。 利用系统管理上的漏洞，如错误的文件许可权，错误的系统配置等。 令系统管理员运行特洛伊木马程序，截获LOGIN口令等。 窃听管理员口令。 * 攻击行为隐蔽 进入系统之后，攻击者要作的第一件事就是隐藏行踪，避免安全管理发现或IDS发现. 通常使用下述技术来隐藏行踪： 连接隐藏：如冒充其他用户，修改LOGNAME环境变量、修改登录日志文件、使用IPSPOOF技术等。 进程隐藏：如使用重定向技术减少ps给出的信息量、用特洛伊木马代替ps程序等。 文件隐藏：如利用字符串的相似来麻痹系统管理员，或修改文件属性使普通显示方法无法看到。 利用操作系统可加载模块特性，隐藏攻击时所产生的信息 * 实施攻击 进行非法活动或者以目标系统为跳板向其他系统发起新的攻击。不同的攻击者有不同的攻击目标。 一般来说，攻击目标有以下几个方面： 1）信息访问和破坏：信息经常成为攻击的目标。通过对信息的访问，他们可以使用、破坏或篡改信息。攻击者也可以通过拥有信息来获取利益，例如对专有信息、信用卡信息、个人信息和政府机密信息的利用等。 2）资源利用：系统资源可能是系统成为攻击目标的原因所在。这些资源可能是独一无二的，例如黑客希望使用专业硬件或专用外设；资源也可能是非常丰富，例如，高速的计算机系统或具备高速网络的系统经常成为黑客的目标。黑客可能利用这些资源来实现自己的企图。攻击其他被信任的主机和网络； 3）系统破坏：修改或删除重要数据，删除用户帐号，停止网络服务等。 * 开辟后门 一次成功的入侵通常要耗费攻击者大量的时间与资源，因此攻击者在退出系统之前会在系统中制造一些后门，方便下次入侵。 攻击者开辟后门时通常会应用以下方法： 放宽文件许可权 重新开放不安全的服务，如REXD、TFTP等。 修改系统的配置，如系统启动文件、网络服务配置文件等。 替换系统的共享文件。 修改系统的源代码，安装各