网络攻击技术THL.ppt

网络攻击技术简介 唐慧林 信息搜集 信息搜集 1 信息收集 目的 攻击的时机 薄弱的环节 1 信息收集 社会工程学（Social Engineering） 1 信息收集 Google Hacking 1 信息收集 Who is 1 信息收集 扫描 1 信息收集 扫描 1 信息收集 扫描 1 信息收集 扫描 1 信息收集 扫描 1 信息收集 扫描 信息搜集 2 系统入侵 口令破解 2 系统入侵 口令破解 2 系统入侵 口令破解 2 系统入侵 口令破解 pswmonitor 口令破解 2 系统入侵 口令破解 黑雨——POP3邮箱密码暴力破解器 口令破解 2 系统入侵 网络嗅探(sniffer) 通过嗅探器在局域网内嗅探明文传输的口令字符串。 键盘记录 在目标系统中安装键盘记录后门，记录操作员输入的口令字符串，如很多间谍软件，木马等都可能会盗取你的口令。 2 系统入侵 口令破解 2 系统入侵 手段：钓鱼 攻陷主机 架设钓鱼网站－目标：知名金融机构及商务网站 发送大量欺骗性垃圾邮件 滥用个人敏感信息 资金转账－经济利益 冒用身份－犯罪目的 通过攻陷的网站服务器钓鱼 攻击者扫描网段，寻找有漏洞的服务器 服务器被攻陷，并安装一个rootkit或口令保护的后门工具 钓鱼者从加密的后门工具获得对服务器的访问权 下载已构建完毕的钓鱼网站内容 内容配置和网站测试工作 第一次访问钓鱼网站的IP地址可能是钓鱼者的真实IP地址 群发电子邮件工具被下载，并用以大规模散发包含假冒钓鱼网站信息的欺骗性垃圾邮件 潜在的受害者开始访问恶意的网页内容 构建钓鱼网络 通过端口重定向钓鱼 端口重定向器 透明地将连入的TCP连接转发到一个远程的目标主机 redir --lport=80 --laddr=IP address of honeypot --cport=80 --caddr=221.4.XXX.XXX （中国的IP） 透明地将受害者重定向到主钓鱼网站 36小时的时间段内，721个受害IP地址 通过僵尸网络进行钓鱼 僵尸网络用于发送垃圾邮件 启动SOCKS代理服务 僵尸工具中支持垃圾邮件发送的功能 harvest.emails – 使得僵尸工具获得一个Email地址列表 harvest.emailshttp – 使得僵尸工具通过HTTP获得一个Email地址列表 spam.setlist – 下载一个Email地址列表 spam.settemplate – 下载一个Email模板 spam.start – 开始发送垃圾邮件 spam.stop – 停止发送垃圾邮件 利用蜜网技术剖析网络钓鱼攻击 观察到的一些网络钓鱼攻击特征 较高的技术水平，良好的组织性 分布式、并行攻击 僵尸网络、垃圾邮件和网络钓鱼攻击的融合 2 系统入侵 SYN风暴： tcp三次握手协议，利用假ip＋半连接实现资源耗尽，达到攻击目的 Smurf 攻击 利用ip欺骗＋icmp协议实现攻击目的 利用处理程序错误 Ping of death Teardrop Land攻击 2 系统入侵 分布式拒绝服务攻击DDoS 2 系统入侵 缓冲区溢出 缓冲区溢出漏洞 void function(char * szPara1) { char buff[16]; strcpy(buffer, szPara1); } 存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。 最常见的是通过制造缓冲区溢出使程序运行一个用户shell，利用该shell，可以进行相关操作 2 系统入侵 RPC溢出漏洞 利用IIS溢出入侵系统 WebDav远程溢出 信息搜集 隐身巩固技术 当入侵主机以后，通常入侵者的信息就被记录在主机 的日志中 比如IP地址、入侵的时间以及做了哪些破坏活动等等，为了防止入侵的痕迹被发现，需要隐藏或者清除入侵的痕迹 实现隐身有两种方法： 设置代理跳板 清除系统日志 巩固入侵战果—留后门: 为了保持对已经入侵的主机长久的控制，需要在主机上建立网络后门，以后可以直接通过后门入侵系统。 隐身巩固技术 1 设置代理跳板 2 清除日志 3 留后门 1 设置代理跳板 1 设置代理跳板 选择代理服务的原则是选择不同地区的主机作为代理。 比如现在要入侵北美的某一台主机，选择南非的某一台主机作为一级代理服务器，选择北欧的某一台计算机作为二级代理，再选择南美的一台主机作为三级代理服务器，这样很安全了。 可以选择做代理的主机有一个先决条件，必须先安装相关的代理软件，一般都是将已经被入侵的主机作为代理服务器。 1 设置代理跳板 常用的网络代理跳板