CISP-2-安全攻防.ppt

信息安全技術(shù)安全攻防 中國信息安全產(chǎn)品測評認(rèn)證中心 CNITSEC CISP 2 安全攻防 培訓(xùn)樣稿 黑客歷史 60年代麻省理工AI實(shí)驗(yàn)室第一次出現(xiàn)hacker這個(gè)詞KenThompson發(fā)明unix1969 ARPANET開始建立70年代DennisRitchie發(fā)明C語言Phreaking JohnDraper世界上第一個(gè)計(jì)算機(jī)病毒出現(xiàn)喬布斯 apple公司的創(chuàng)辦者 制造出了藍(lán)盒子 黑客歷史 80年代早期首次出現(xiàn)Cyberspace一詞414s被捕LegionofDoom和ChaosComputerClub成立黑客雜志2600 phrack相續(xù)創(chuàng)刊80年代晚期25歲的KevinMutnik首次被捕1988年 莫里斯蠕蟲事件 在幾小時(shí)內(nèi)感染了6000臺計(jì)算機(jī)系統(tǒng)美國國防部成立了計(jì)算機(jī)緊急應(yīng)急小組 CERT KevinMutnik 黑客歷史 90年代早期AT T的長途服務(wù)系統(tǒng)在馬丁路德金紀(jì)念日崩潰黑客成功侵入格里菲思空軍基地和美國航空航天管理局KevinMitnick再次被抓獲 這一次是在紐約 他被圣迭哥超級計(jì)算中心的TsutomuShimomura追蹤并截獲90年代晚期美國聯(lián)邦網(wǎng)站大量被黑 包括美國司法部 美國空軍 中央情報(bào)局和美國航空航天管理局等流行的電子搜索引擎Yahoo被黑客襲擊 黑客語言 1 iorl3 e4 a7 t9 g0 o s iorl n ms zz sf phph fx ckck x 黑客語言 例如 3v3ry0n3kn0wzwh3ny0uh4ckaw3bp4g3y0uh4v3t0us3h4ck3rt4lkEveryoneknowswhenyouhackawebpageyouhaveTousehackertalk Hack雜志 1 2600http www phrack org Hack組織 1 stake 原L0pht 代表作品 L0phtCrack2 cDc CULTOFTHEDEADCOW Hack組織 3 admftp http www security is 5 antisecurityhttp anti security isSaveabugsavealife致力于維護(hù)軟件屆的生態(tài)平衡 Hack組織 6 LSD LastStageOFDeLIRIUM http lsd http teso scene at 8 thc TheHackersChoice 著名黑客 1 AlephOneBugtraq郵件列表主持人BugtraqFAQ 著名黑客 2 SimpleNomadhttp www nmrc orgNMRC核心成員 建立者 NMRC NomadMobileResearchCentre TheHackFAQ的作者Pandora NetWare漏洞掃描器 的作者 著名黑客 3 RFP RainForestPuppy 著名黑客 4 Fyodorhttp www insecure org Nmap的作者在phrack雜志51期發(fā)表了關(guān)于高級端口掃描的論文http phrack org show php p 51 a 11在phrack雜志54期發(fā)表了關(guān)于利用tcp ip協(xié)議棧進(jìn)行遠(yuǎn)程操作系統(tǒng)識別的論文http phrack org show php p 54 a 9 著名黑客 5 dugsonghttp www monkey org dugsong 揭示了checkpointFW 1狀態(tài)包過濾的漏洞編寫了功能強(qiáng)大的黑客工具包dsniff包括dsniff webspy arpspoof sshow等http naughty monkey org dugsong dsniff 著名黑客 6 SolarDesigner 黑客大會 1 BlackHathttp www defcon org 黑客攻擊的典型步驟 獲取對方信息 掃描 社會工程學(xué)等 進(jìn)行攻擊 exploit 消除痕跡 刪除日志等 留后門 公眾域信息 Nmap traceroute firewalk pingsweeps etcNIC注冊紀(jì)錄DNS紀(jì)錄SNMP掃描OS識別BannergrabbingWardialers社交工程 獲取信息 Google的高級使用 1 搜索整個(gè)字符串a(chǎn) Indexof password b Indexof password txt2 site 搜索整個(gè)站點(diǎn)site 火眼3 filetype 搜索某種文件類型4 inurl 分類搜索inurl firewallnetpowerinurl idsnetpowerinurl idsanti 限制robot訪問web站點(diǎn)的方法 Robot限制協(xié)議 Crawl Babelweb http www hsc whois 通過DNS獲取信息 1 獲取bind版本信息dig version bindchaostxtBind的各個(gè)版本存在多個(gè)緩沖區(qū)溢出漏洞 例如 8 2 8 2 1 bindNXTrecords漏洞8 2 8 2 3 ISCBind8TSIG緩沖區(qū)溢出漏洞限制對BIND的版本信息進(jìn)行查詢BIND8版本中 在named conf中使用version命令修改版本號 例如 options version hello1 1 1 DNS區(qū)域傳輸 dig axfr或host l v 列出所有dns注冊信息限制區(qū)域傳輸對于BIND8版的軟件 在配置文件named conf中使用命令allow transfer來限制允許區(qū)域傳輸?shù)闹鳈C(jī) 例如 options allow transfer 192 168 100 1 202 96 44 0 24 網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn) IPTTL 1 2 3 4 5 Traceroute 端口掃描 1 慢掃描 工具 nmap 例如 nmap TParanoid sT192 168 68 1 間隔5分鐘掃描一個(gè)端口 2 隨機(jī)掃描 Nmap默認(rèn)就是隨機(jī)掃描 指隨機(jī)掃描目標(biāo)端口 有些nids是根據(jù)連續(xù)連接本地端口段來判斷端口掃描的 3 碎片掃描 工具nmap 例如 nmap f sT192 168 68 1 4 誘騙掃描 工具 nmap 例如 nmap D192 168 68 1 192 168 68 2 192 168 68 3 192 168 68 5 sS192 168 68 98 192 168 68 1 192 168 68 2 192 168 68 3都是虛假的地址 端口掃描 5 tcp掃描 工具nmap 例如 nmap sT192 168 68 1 6 Udp掃描 工具nmap 例如 nmap sU192 168 0 17 協(xié)議棧掃描 工具nmap 例如 nmap sO192 168 0 18 Syn掃描 工具nmap 例如 nmap sS192 168 68 1 9 Null掃描 工具nmap 例如 nmap sN192 168 68 1 10 XmasTree掃描 工具nmap 例如 nmap sX192 168 68 1 11 FIN掃描 工具nmap 例如 nmap sF192 168 68 1 12 分布式掃描 工具dps dscan 13 快掃描 工具nmap 例如 nmap F192 168 0 1 端口掃描 14 Ack掃描 檢查是否是狀態(tài)FW nmap sA192 168 0 1 15 Windows掃描 nmap sW192 168 0 1 16 RPC掃描 nmap sR192 168 0 117 反向ident掃描 nmap I192 168 0 1 18 Idle掃描 nmap P0 sI中間主機(jī)192 168 0 119 ftpbounce掃描 idlescan Idle掃描 端口開放 1 目標(biāo)機(jī) 攻擊者 3vil org Syn 80 跳板主機(jī)ID 0 172 0 0 1 Idle掃描 端口開放 2 目標(biāo)機(jī) 攻擊者 3vil org Syn ack 跳板主機(jī)ID 1 172 0 0 1 Idle掃描 端口開放 3 目標(biāo)機(jī) 攻擊者 跳板主機(jī)ID 1 10 0 0 1 192 0 0 1 172 0 0 1 Synsrc 172 0 0 1Dst 192 0 0 1 Idle掃描 端口開放 4 目標(biāo)機(jī) 攻擊者 10 0 0 1 192 0 0 1 Syn Acksrc 192 0 0 1Dst 172 0 0 1 跳板主機(jī)ID 1 172 0 0 1 Idle掃描 端口開放 5 目標(biāo)機(jī) 攻擊者 10 0 0 1 192 0 0 1 Rstsrc 172 0 0 1Dst 192 0 0 1 跳板主機(jī)ID 2 172 0 0 1 Idle掃描 端口開放 6 目標(biāo)機(jī) 攻擊者 10 0 0 1 192 0 0 1 Syn 80 跳板主機(jī)ID 2 172 0 0 1 Idle掃描 端口開放 7 目標(biāo)機(jī) 攻擊者 10 0 0 1 192 0 0 1 Syn 80 Syn ack 跳板主機(jī)ID 3 172 0 0 1 Idle掃描 端口關(guān)閉 1 目標(biāo)機(jī) 攻擊者 3vil org Syn 80 跳板主機(jī)ID 0 172 0 0 1 Idle掃描 端口關(guān)閉 2 目標(biāo)機(jī) 攻擊者 3vil org Syn ack 跳板主機(jī)ID 1 172 0 0 1 Idle掃描 端口關(guān)閉 3 目標(biāo)機(jī) 攻擊者 跳板主機(jī)ID 1 10 0 0 1 192 0 0 1 172 0 0 1 Synsrc 172 0 0 1Dst 192 0 0 1 Idle掃描 端口關(guān)閉 4 目標(biāo)機(jī) 攻擊者 10 0 0 1 192 0 0 1 Rstsrc 192 0 0 1Dst 172 0 0 1 跳板主機(jī)ID 1 172 0 0 1 Idle掃描 端口關(guān)閉 5 目標(biāo)機(jī) 攻擊者 10 0 0 1 192 0 0 1 Syn 80 跳板主機(jī)ID 1 172 0 0 1 Idle掃描 端口關(guān)閉 6 目標(biāo)機(jī) 攻擊者 10 0 0 1 192 0 0 1 Syn 80 Syn ack 跳板主機(jī)ID 2 172 0 0 1 ftpbounce掃描 目標(biāo)機(jī) 攻擊者 10 0 0 1 192 0 0 1 ftpserver 172 0 0 1 nmap P0 sT b172 0 0 1192 168 0 1 原理 21useranonymouspassa port192 168 0 173 23 23200PORTcommandsuccessful nlst425Can tbuilddataconnection Connectionrefused port192 168 0 173 12 234200PORTcommandsuccessful nlst150ASCIIdataconnectionfor bin ls 192 168 0 173 3306 0bytes 226ASCIITransfercomplete quit 遠(yuǎn)程操作系統(tǒng)識別技術(shù) 1 DNS的hinfo紀(jì)錄2 Bannergrab3 二進(jìn)制文件法3 Snmpgetsysdescr4 Tcp堆棧指紋技術(shù)5 Icmp堆棧指紋技術(shù) DNS的hinfo紀(jì)錄 wwwINHINFO SparcUltra5 Solaris2 6 獲取方法 dig hinfo非常老的方法 現(xiàn)在一般沒有管理員在dns記錄里面添加hinfo紀(jì)錄 Bannergrab Redhat etc issue etc bsd etc motdSolaris etc motd缺陷 不準(zhǔn)確 負(fù)責(zé)任的管理員一般都修改這個(gè)文件通過webserver得到操作系統(tǒng)類型lynx head dump 二進(jìn)制文件分析法 得到遠(yuǎn)程系統(tǒng)的一個(gè)二進(jìn)制文件例如1 webserver目錄下產(chǎn)生的core文件2 配置不當(dāng)?shù)膄tpserver下的二進(jìn)制文件 利用file readelf等來鑒別 Snmpgetsysdescr snmputilget192 168 0 124public 1 3 6 1 2 1 1 1 0Variable system sysDescr 0Value StringSunSNMPAgent Ultra 1 snmputilget192 168 0 124public iso org dod internet mgmt mib 2 system sysDescr 0Variable system sysDescr 0Value StringSunSNMPAgent Ultra 1 Snmpgetnextmib 2 snmputilgetnext192 168 0 124public 1 3 6 1 2 1Variable system sysDescr 0Value StringSunSNMPAgent Ultra 1 snmputilgetnext192 168 0 124public iso org dod internet mgmt mib 2 0Variable system sysDescr 0Value StringSunSNMPAgent Ultra 1 TCPSegmentFormat 20bytes Tcp堆棧指紋技術(shù) nmap O192 168 0 1TEST1 向目標(biāo)開放端口發(fā)包send tcp raw decoys rawsd Nmap用于系統(tǒng)識別的包 1 TH BOGUS 64 0 x40 1000000TH SYN 0 x02 000010BOGUS標(biāo)記探測器 在syn包的tcp頭里設(shè)置一個(gè)未定義的TCP 標(biāo)記 64 版本號2 0 35之前的linux內(nèi)核在回應(yīng)中保持這個(gè)標(biāo)記 有些操作系統(tǒng)在收到這種包是會復(fù)位連接 003 003 012 001 002 004 001 011 010 012 077 077 077 077 000 000 000 000 000 000是tcp選項(xiàng) 解釋如下 003 003 012 窗口擴(kuò)大因子kind 3 len 3 移位數(shù) 012 10 001 無操作 kind 1 002 004 001 011 最大報(bào)文段長度kind 2 len 4 長度 001 011 265 010 012 時(shí)間戳kind 8 len 10 077 077 077 077 時(shí)間戳值1061109567 000 000 000 000 時(shí)間戳響應(yīng) 000 選項(xiàng)結(jié)束kind 0 000 填充位 Nmap用于系統(tǒng)識別的包 2 TEST2 向目標(biāo)開放端口發(fā)包send tcp raw decoys rawsd 源端口 1 6個(gè)標(biāo)志位都為0 ip選項(xiàng)同TEST1 Nmap用于系統(tǒng)識別的包 3 TEST3 向目標(biāo)開放端口發(fā)包send tcp raw decoys rawsd 源端口 2 設(shè)置標(biāo)志位TH SYN 0 x02 TH FIN 0 x01 TH URG 0 x20 TH PUSH 0 x08 Ip選項(xiàng)同TEST1 Nmap用于系統(tǒng)識別的包 4 TEST4 向目標(biāo)開放端口發(fā)包send tcp raw decoys rawsd 源端口 3 設(shè)置標(biāo)志位TH ACK ip選項(xiàng)同TEST1 Nmap用于系統(tǒng)識別的包 5 TEST5 向目標(biāo)關(guān)閉端口發(fā)包send tcp raw decoys rawsd 源端口 4 標(biāo)志位TH SYN ip選項(xiàng)同TEST1 Nmap用于系統(tǒng)識別的包 6 TEST6 向目標(biāo)關(guān)閉端口發(fā)包send tcp raw decoys rawsd 源端口 5 標(biāo)志位TH ACK ip選項(xiàng)同TEST1 Nmap用于系統(tǒng)識別的包 7 TEST7 向目標(biāo)關(guān)閉端口發(fā)包send tcp raw decoys rawsd 源端口 6 標(biāo)志位TH FIN TH PUSH TH URG ip選項(xiàng)同TEST1 Nmap用于系統(tǒng)識別的包 8 TEST8 向目標(biāo)關(guān)閉端口發(fā)包send closedudp probe rawsd 向目標(biāo)關(guān)閉端口發(fā)送udp包 一個(gè)指紋結(jié)構(gòu) TSeq Class RI gcd DF1 T1 DF Y W 2297 2788 4431 8371 8F4D ABCD FFF7 FFFF 2297 212 ACK S Flags AS Ops NNTNWME T2 DF N W 0 ACK O Flags R Ops WNMETL T3 Resp N T4 DF Y N W 0 ACK O Flags R Ops WNMETL T5 DF Y W 0 ACK S Flags AR Ops T6 DF Y N W 0 ACK O S Flags AR R Ops WNMETL T7 DF Y N W 0 ACK S O Flags AR R Ops WNMETL PU DF Y TOS 0 IPLEN 70 RIPTL 148 RID E RIPCK E F UCK E F F E ULEN 134 DAT E FingerprintSolaris2 6 2 7Solaris2 6 2 7的指紋 Icmp堆棧指紋技術(shù) OfirArkin提出http www sys ICMP包格式 0 8 16 31 type code checksum identifier sequencenumber 例子 echorequest reply ping pong optionaldata 通常格式 ICMP協(xié)議 ICMP信息請求 針對廣播地址的non echoicmp請求 利用tos位檢測windows系統(tǒng) 識別windows Xprobe作者 C Attacker SYN ACKfromhostAsrcport23withadvertisedwindow0 x4000 DFbiton ttlof64 SYNtoport23 A 操作系統(tǒng)被動察覺通告的窗口值 是否設(shè)置DF位 缺省TTL 被動操作系統(tǒng)識別 OSFingerprints 4000 ON 64 FreeBSD 被動操作系統(tǒng)識別工具 1 siphon Hack攻擊 進(jìn)入系統(tǒng) 1 掃描目標(biāo)主機(jī) 2 檢查開放的端口 獲得服務(wù)軟件及版本 3 檢查服務(wù)是否存在漏洞 如果是 利用該漏洞遠(yuǎn)程進(jìn)入系統(tǒng) 4 檢查服務(wù)軟件是否存在脆弱帳號或密碼 如果是 利用該帳號或密碼系統(tǒng) 5 利用服務(wù)軟件是否可以獲取有效帳號或密碼 如果是 利用該帳號或密碼進(jìn)入系統(tǒng) 6 服務(wù)軟件是否泄露系統(tǒng)敏感信息 如果是 檢查能否利用 7 掃描相同子網(wǎng)主機(jī) 重復(fù)以上步驟 直到進(jìn)入目標(biāo)主機(jī)或放棄 Hack攻擊 提升權(quán)限 1 檢查目標(biāo)主機(jī)上的SUID和GUID程序是否存在漏洞 如果是 利用該漏洞提升權(quán)限 unix 2 檢查本地服務(wù)是否存在漏洞 如果是 利用該漏洞提升權(quán)限 3 檢查本地服務(wù)是否存在脆弱帳號或密碼 如果是 利用該帳號或密碼提升權(quán)限 4 檢查重要文件的權(quán)限是否設(shè)置錯(cuò)誤 如果是 利用該漏洞提升權(quán)限 5 檢查配置目錄中是否存在敏感信息可以利用 6 檢查用戶目錄中是否存在敏感信息可以利用 7 檢查其它目錄是否存在可以利用的敏感信息 8 重復(fù)以上步驟 直到獲得root權(quán)限或放棄 Hack攻擊 善后處理 第三步 放置后門最好自己寫后門程序 用別人的程序總是相對容易被發(fā)現(xiàn) 第四步 清理日志刪除本次攻擊的相關(guān)日志 不要清空日志 Hack攻擊 入侵檢測 1 掃描系統(tǒng)2 根據(jù)結(jié)果打補(bǔ)丁 修補(bǔ)系統(tǒng)3 檢測系統(tǒng)中是否有后門程序 Hack攻擊 檢測后門 A 察看端口unix lsoflsof itcp n 察看所有打開的tcp端口windows fportfport p Hack攻擊 檢測后門 B 察看進(jìn)程unix pspsex 察看所有運(yùn)行的進(jìn)程windows pslistC 殺掉進(jìn)程unix killwindows pskill Hack攻擊 檢測后門 D 檢查suid guid程序 對于unix系統(tǒng) find userroot perm 4000 printfind userroot perm 2000 printE 對軟件包進(jìn)行校驗(yàn) 對于某些linux系統(tǒng) whichloginrpm qf bin loginrpm Vutil linux Hack攻擊 檢測后門 F 檢測 etc passwd文件 unix 1 陌生用戶2 口令為空的用戶3 uid或gid為0的用戶G 檢測是否由sniffer程序在運(yùn)行 unix ifconfig Hack攻擊 檢測后門 H 檢測系統(tǒng)中的隱藏文件 unix find name printI 檢測系統(tǒng)中的LKM后門chkrootkit unix kstat linux ksec bsd 黑客技術(shù) 1 口令破解Unix口令破解工具 johntheripper 黑客技術(shù) 2 端口掃描與遠(yuǎn)程操作系統(tǒng)識別Nmap 最好的端口掃描器和遠(yuǎn)程操作系統(tǒng)識別工具h(yuǎn)ttp www insecure org nmap Xprobe icmp遠(yuǎn)程操作系統(tǒng)識別工具h(yuǎn)ttp www sys 只需要發(fā)4個(gè)包就可以識別遠(yuǎn)程操作系統(tǒng) 黑客技術(shù) 3 sniffer技術(shù)dsniff 多種協(xié)議的口令監(jiān)聽工具h(yuǎn)ttp naughty monkey org dugsong dsniffFTP Telnet SMTP HTTP POP poppass NNTP IMAP SNMP LDAP Rlogin RIP OSPF PPTPMS CHAP NFS VRRP YP NIS SOCKS X11 CVS IRC AIM ICQ Napster PostgreSQL MeetingMaker Citrix ICA SymantecpcAnywhere NAISniffer MicrosoftSMB OracleSQL Net SybaseandMicrosoftSQLprotocols等等 黑客技術(shù) 4 Hijack tcp劫持技術(shù)hunt tcp連接劫持工具h(yuǎn)ttp lin fsid cvut cz kra HUNT綜合利用sniffer技術(shù)和arp欺騙技術(shù) 黑客技術(shù) 5 遠(yuǎn)程漏洞掃描技術(shù) 通用漏洞掃描工具nessus 開源遠(yuǎn)程漏洞掃描工具h(yuǎn)ttp www nessus org Securityassess 中科網(wǎng)威火眼網(wǎng)絡(luò)安全評估分析系統(tǒng) 黑客技術(shù) 6 遠(yuǎn)程漏洞掃描技術(shù) web漏洞掃描工具whisker http search iland co kr twwwscan 黑客技術(shù) 緩沖溢出 緩沖區(qū) 返回地址 攻擊者輸入的數(shù)據(jù) 黑客技術(shù) hackiis 黑客技術(shù) hackmssqlserver 黑客技術(shù) hackmssqlserver Windows2000系統(tǒng)如何打補(bǔ)丁 1 執(zhí)行wupdmgr exe 單擊產(chǎn)品更新 更新系統(tǒng)中軟件到最新版本2 然后下載HFNetChk 黑客技術(shù) Smurf攻擊 Ping廣播地址源地址被設(shè)置為被攻擊者的ip 黑客技術(shù) Pingo Death攻擊 攻擊者 產(chǎn)生碎片 被攻擊者 收到碎片 重組碎片 Internet 最后一個(gè)碎片太大導(dǎo)致緩存溢出 buffer65535bytes 第二個(gè)碎片 4bytes offset end newoffset len end newoffset 0 memcpy dest src len unsignedintorunsignedlong 黑客技術(shù) Teardrop攻擊 黑客技術(shù) DDOS WIN95 MURBURG病毒 WIN95 HPS病毒 黑客技術(shù) roo