2006 VCampus Corporation All Rights Reserved. 第三单元第三单元系统资源侦查系统资源侦查学习目标学习目标掌握具体的侦查方法掌握安全扫描的方法与工具了解物理侦查的方法了解面谈的方法能够配置并部署一个企业级的安全审核工具明确通过侦查能获得的信息侦查方法侦查方法黑客攻击系统之前，必须要知道攻击目标的一些相关信息，这就需黑客攻击系统之前，必须要知道攻击目标的一些相关信息，这就需要事先侦查。要事先侦查。通过侦查可以获得大量的目标系统的基本信息。通过侦查可以获得大量的目标系统的基本信息。两种侦查方式：两种侦查方式：被动侦查被动侦查被动侦查收集的信息可以是公司的域名、公司的服务器和系统等。被动侦查收集的信息可以是公司的域名、公司的服务器和系统等。被动侦查有两类：被动侦查有两类：F嗅探（嗅探（sniffing） F信息收集信息收集 （information gathering） 主动侦查主动侦查主动侦查是指攻击者已经有了足够的信息再去探查或扫描站点。主动侦查是指攻击者已经有了足够的信息再去探查或扫描站点。 主动侦查的相关信息主动侦查的相关信息. 安全扫描安全扫描安全扫描以各种各样的方式进行。安全扫描以各种各样的方式进行。DNS工具，如：工具，如：whois、nslookup、host和和dig 标准的运用程序，包括标准的运用程序，包括ping, traceroute, telnet和和SNMPping，端口扫描仪和共享扫描仪，端口扫描仪和共享扫描仪网络运用程序及共享侦查程序，包括网络运用程序及共享侦查程序，包括NMAP和和Red Button包含了上述各方法的企业级的漏洞扫描仪包含了上述各方法的企业级的漏洞扫描仪安全扫描安全扫描ping扫描及扫描及traceroute ping扫描作用 使用命令ping一个公司的Web服务器可获得该公司所使用的IP地址范围，一旦得知 HTTP服务器的IP地址，可以使用ping扫描工具ping该子网的所有IP地址，可以得到该网络的地址图。 ping扫描分析扫描分析安全扫描安全扫描ping扫描软件扫描软件 在Windows系统的命令行中可以执行ping命令Traceroute(tracert) 使用traceroute，你可以推测出网络的物理布局，包括该网络连接Internet所使用的路由器端口扫描及相应软件工具端口扫描及相应软件工具端口扫描与ping扫描相似，不同的是端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口 端口扫描分析端口扫描分析安全扫描安全扫描网络侦查和服务器侦查程序网络侦查和服务器侦查程序 服务扫描 RedButton可以从开启了server服务的Windows 2000/NT服务器获取信息堆栈指纹 堆栈指纹技术可以用TCPIP来识别不同的操作系统和服务堆栈指纹程序和部分特征 强大的网络侦查工具NMAP共享扫描的工作示意图 共享扫描共享扫描安全扫描安全扫描共享扫描软件PingPro 扫描Windows网络共享 Red Button 扫描共享名称及相应密码 缺省配置和补丁级扫描 使用Telnet 利用Telnet客户端程序连接到其它端口 使用SNMP 从网络主机上查询相关的数据 SetRequst命令 SNMP软件 安全扫描安全扫描TCP/IP服务附加的附加的TCP/IP服务服务 简单简单TCP/IP服务服务Finger 获取远程服务器上的用户信息获取远程服务器上的用户信息 用户名用户名服务器名服务器名 E-mail帐号帐号 用户当前是否在线用户当前是否在线 用户登录时间用户登录时间 实验实验3-1：安装：安装ping ProPack在本实验中，我们将学习如何安装ping ProPack。 实验实验3-2：使用：使用ping ProPack进行进行ping扫描和端口扫描扫描和端口扫描在本实验中，我们将学习如何使用ping ProPack进行ping扫描和端口扫描 实验实验3-3：ping ProPack侦查网络组件侦查网络组件在本实验中，我们将使用ping ProPack进行ping和端口扫描，侦查已安装的视窗操作系统网络组件的信息。 实验实验3-4：在：在Windows 2000里安装协议里安装协议分析仪分析仪在本实验中，我们将在Windows 2000安装一个叫Ethereal Network Analyzer协议分析仪。实验实验3-5：配置协议分析仪：配置协议分析仪在本实验中，我们将学习配置Ethereal来捕捉你和同学之间传递的数据包。 实验实验3-6：用包嗅探器捕捉：用包嗅探器捕捉SNMPv1的的community names在本次实验中，我们将学习使用包嗅探器捕捉SNMPv1的community names。 物理侦查物理侦查物理闯入物理闯入 有效入侵手段有效入侵手段物理闯入常常需要攻击者假冒某种身份才能达到目的物理闯入常常需要攻击者假冒某种身份才能达到目的“假冒职员假冒职员” “假冒客户假冒客户” “维修工人维修工人” “行政人员行政人员” 物理闯入的危害物理闯入的危害 如何防范物理闯入如何防范物理闯入 物理侦查物理侦查垃圾搜寻垃圾搜寻 对垃圾进行分析有可能获得哪些信息？垃圾搜寻的危害如何防范垃圾搜寻 采访面谈采访面谈 通过访谈，初步确定出受审核网络的哪些目标是最通过访谈，初步确定出受审核网络的哪些目标是最有价值的，哪些目标是最容易受到攻击的。有价值的，哪些目标是最容易受到攻击的。企业级审核工具企业级审核工具支持的协议支持的协议 支持的协议和操作系统支持的协议和操作系统 漏洞数据库漏洞数据库 企业级审核工具企业级审核工具扫描等级扫描等级企业级的扫描器允许你选择安全扫描的等级。 大多数的网络扫描器将风险分成低、中、高三个等级。企业级的扫描程序具有细致的报告功能，可以用很多种格式输出信息。企业级审核工具企业级审核工具企业级审核工具企业级审核工具Symantec NetRecon Network Associates CyberCop Scanner Web Trends Security Analyzer ISS Internet Scanner ISS Security Scanner eEye Retina Security DynamicsKaneSecurity Analyst NetectHackerShield 实验实验3-7：部署：部署eEye Retina在本实验中，我们将学习在Windows 2000里安装eEye Retina，然后对教室里的主机进行扫描。 社会工程社会工程社会工程（社会工程（social engineering）陷阱，通常是利）陷阱，通常是利用大众的疏于防范的小诡计让受害者掉入陷阱。用大众的疏于防范的小诡计让受害者掉入陷阱。交谈交谈欺骗欺骗假冒假冒口语用字口语用字 社会工程社会工程流行社会工程学侦查方法流行社会工程学侦查方法使用电话进行的社会工程学攻击使用电话进行的社会工程学攻击 最流行的社会工程最流行的社会工程学手段学手段 。进入垃圾堆进入垃圾堆翻垃圾是一种常用的社会工程学手段。翻垃圾是一种常用的社会工程学手段。 在线的社会工程学在线的社会工程学说服说服反向社会工程学反向社会工程学 你能获得什么信息？你能获得什么信息？ 网络级别的信息网络级别的信息主机级别的信息主机级别的信息 合法和非法的网络工具合法和非法的网络工具 黑客工具和审核工具并没有本质上的区别黑客工具和审核工具并没有本质上的区别网络级别信息列表网络级别信息列表 信息信息描描 述述 网络拓扑 安全审核人员首先应当搞清楚网络的类别(以太网，令牌环等等)，IP地址范围，子网和其它网络信息。配线架的位置也很重要。作为安全管理人员，你的目标是用防火墙、代理服务器等设备保护这些信息。 路由器和交换机 掌握路由器和交换机的种类对分析网络安全十分重要，你可以使路由器泄漏信息。 防火墙种类 大多数的网络都有防火墙。如果你能够访问防火墙，便可以侦查它并寻找相应的漏洞。 IP服务 最基本的服务包括DHCP，BOOTP，WINS，SAMBA，和DNS。DNS 服务特别容易遭受缓冲区溢出的攻击。 Modem池 也许最流行的绕过防火墙做法是通过modem连接再附以Man-in-the-middle攻击和包捕获。War dialer是在Internet上寻找网络连接的重要的审核工具。 主机级别信息列表主机级别信息列表 信信 息息描描 述述 活动端口 你应该了解服务器上有哪些端口是活动的。HTTP和FTP服务是最容易遭受端口扫描的服务，而且黑客会进一步实施缓冲区溢出攻击。 数据库 数据库类型(例如Oracle, Microsoft SQLServer 和IBMDB2)，物理位置和应用协议都很有价值。 服务器 服务器类型是非常有价值的信息。一旦你确定了服务器的种类是Microsoft或UNIX，便可以有针对性地用系统的缺省设置和补丁侦查登录帐户名称，弱口令和低的补丁等级。 2006 VCampus Corporation All Rights Reserved. 第四单元第四单元审核服务器渗透和攻击技术审核服务器渗透和攻击技术学习目标学习目标了解网络渗透技术理解攻击特征与审核技术之间的关系了解易受攻击的服务器和目标掌握对路由器、数据库、Web、FTP、E-mail服务器、DNS服务的审核掌握对系统漏洞的审核掌握对缓冲区溢出的审核掌握对拒绝服务攻击的审核网络渗透技术网络渗透技术一旦黑客准确定位你的网络，会选定一个目标进行一旦黑客准确定位你的网络，会选定一个目标进行渗透，通常这个目标会是安全漏洞最多或是他拥有渗透，通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。最多攻击工具的主机。 攻击特征和审核攻击特征和审核攻击特征是攻击的特定指纹。攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。别和防范攻击的。常见的攻击方法：常见的攻击方法：字典攻击Man-in-the-middle攻击劫持攻病毒攻击非法服务拒绝服务攻击危及安全的服务危及安全的服务 在审核任何一个互联网系统时，有下面三种方法：在审核任何一个互联网系统时，有下面三种方法：用字典攻击或暴力破解攻击对机器的密码数据库进行破解。用字典攻击或暴力破解攻击对机器的密码数据库进行破解。不考虑密码数据库，寻找一个漏洞进行攻击，如缓冲区溢不考虑密码数据库，寻找一个漏洞进行攻击，如缓冲区溢出或后门。出或后门。用社会工程学的方法进行攻击。用社会工程学的方法进行攻击。易受攻击的目标易受攻击的目标最常遭受攻击的目标包括路由器、数据库、最常遭受攻击的目标包括路由器、数据库、Web和和FTP服务器及与协议相关服务器及与协议相关的服务，如的服务，如DNS、WINS和和SMB。 路由器路由器路由器是内部网络与外界的一个通信出口，它在一个网络中充路由器是内部网络与外界的一个通信出口，它在一个网络中充当着平衡带宽和转换当着平衡带宽和转换IP地址的作用。地址的作用。 连接公网的路由器由于被暴露在外，通常成为被攻击的对象。连接公网的路由器由于被暴露在外，通常成为被攻击的对象。路由器被拒绝服务攻击。路由器被拒绝服务攻击。路由器的物理安全。路由器的物理安全。常见的通过路由器的攻击方式常见的通过路由器的攻击方式所有的网络攻击都要经过路由器 对路由器直接进行攻击的方式路由器和消耗带宽攻击路由器和消耗带宽攻击 路由器最大的威胁是拒绝服务攻击所造成的带宽消耗分布式拒绝服务攻击工具 Tribal Flood Network (TFN) Tribal Flood Network (TFN2K) Stacheldraht (TFN的一个变种) Trinoo数据库数据库黑客最想得到的是公司或部门的数据库。黑客最想得到的是公司或部门的数据库。 数据库中会包括的敏感信息数据库中会包括的敏感信息对于有特别敏感数据的服务器，审核时应特别注意对于有特别敏感数据的服务器，审核时应特别注意检查有无危险漏洞存在检查有无危险漏洞存在Web服务器和服务器和FTP服务器服务器WEB和和FTP服务器置于服务器置于DMZ。 极易遭到攻击极易遭到攻击Web和和FTP服务通常存在的问题服务通常存在的问题Web服务器和服务器和FTP服务器服务器攻击攻击 “”攻击攻击的危害防范攻击Web页面篡改页面篡改 许多企业、政府和公司都遭受过类似的攻击，有时这种攻击许多企业、政府和公司都遭受过类似的攻击，有时这种攻击甚至是出于政治目的。甚至是出于政治目的。Web页面的涂改意味着存在着入侵的漏洞。页面的涂改意味着存在着入侵的漏洞。Web页面篡改页面篡改防网页篡改系统防网页篡改系统 外挂轮询技术外挂轮询技术 核心内嵌技术核心内嵌技术事件触发技术事件触发技术 电子邮件服务器电子邮件服务器 网络入侵（网络入侵（Network Intrusion）服务破坏（服务破坏（Denial of Service）对于服务破坏的防范，则可以分成以下几个方面：对于服务破坏的防范，则可以分成以下几个方面：防止来自外部网络的攻击防止来自外部网络的攻击防止来自内部网络的攻击防止来自内部网络的攻击防止中继攻击防止中继攻击邮件服务器应有专门的编程接口邮件服务器应有专门的编程接口与邮件服务相关的问题包括：与邮件服务相关的问题包括：用字典和暴力攻击用字典和暴力攻击POP3的的login shell在一些版本中在一些版本中sendmail存在缓冲区溢出和其它漏洞存在缓冲区溢出和其它漏洞用用E-mail的转发功能转发大量的垃圾信件的转发功能转发大量的垃圾信件名称服务名称服务 大部分攻击都会针对大部分攻击都会针对DNS服务服务DNS攻击包括：攻击包括： 未授权的区域传输DNS“毒药”拒绝服务攻击其它攻击审核系统审核系统BUG 清楚操作系统产生的漏洞清楚操作系统产生的漏洞清楚漏洞修补程序清楚漏洞修补程序熟悉软件的漏洞和熟悉软件的漏洞和bug及时升级及时升级 审核审核TrapDoor和和RootKitRootkit是用木马替代合法程序。是用木马替代合法程序。TrapDoor是系统上的是系统上的bug，当执行合法程序时却产，当执行合法程序时却产生了非预期的结果。生了非预期的结果。 在对系统进行审核时，可以通过校验分析和扫描开在对系统进行审核时，可以通过校验分析和扫描开放端口的方式来检测是否存在放端口的方式来检测是否存在rootkit等问题。等问题。 审核审核TrapDoor和和RootKit审核审核bugs和后门程序和后门程序 在服务器上运行的操作系统和程序都存在代码上的漏洞。攻击者通常知道这些漏洞并加以利用。后门(backdoor)也指在操作系统或程序中未记录的入口，程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。后门不同于bug，这是由设计者有意留下的。在进行审核时，仔细记录任何你不了解它的由来和历史的程序。 缓冲区溢出缓冲区溢出 缓冲区溢出是指在程序重写内存块时出现的问题。防范缓冲区溢出攻击防范缓冲区溢出攻击关闭端口或服务安装厂商的补丁在防火墙上过滤特殊通信检查关键程序以需要的最少权限运行软件审核拒绝服务攻击审核拒绝服务攻击 防范拒绝服务攻击（防范拒绝服务攻击（DoS） 有效完善的设计带宽限制及时给系统安装补丁运行尽可能少的服务只允许必要的通信封锁敌意IP地址防范分布式拒绝服务攻击（防范分布式拒绝服务攻击（DDoS）保持网络安全安装入侵检测系统使用扫描工具审核非法服务、特洛伊木马和蠕虫审核非法服务、特洛伊木马和蠕虫非法服务开启一个秘密的端口，提供未经许可的服务。非法服务开启一个秘密的端口，提供未经许可的服务。常见的非法服务包括常见的非法服务包括: NetBus BackOrifice和BackOrifice2000 Girlfriend 冰河2X 秘密的建立共享的程序 非法服务是如何安装的？非法服务是如何安装的？通过社会工程可以安装非法服务。一个终端用户或系统管理员打开了一个附件或者他们认为是安全的文件，也有可能安装了非法服务。蠕虫通过与一个特定的网络服务相结合也可以安装非法服务。特洛伊木马。特洛伊木马。审核木马审核木马:扫描开放的端口是审核木马攻击的途径之一蠕虫蠕虫:蠕虫靠特定的软件传播结合所有攻击制定审核策略结合所有攻击制定审核策略 渗透策略渗透策略 物理接触 操作系统策略 弱口令策略 较弱的系统策略 审核文件系统漏洞IP欺骗和劫持欺骗和劫持Non-Blind Spoofing，Blind Spoofing和Connection HijackingNon-Blind Spoofing（非显性数据欺骗） Blind Spoofing（显性数据欺骗）Connection Hijacking（会话劫持）攻击者进行non-blind IP spoofing通常要与会话劫持相结合。用到的工具：一个包嗅探器 一个能够同时终止TCP连接、产生另一个TCP连接、进行IP伪装的程序拒绝服务和拒绝服务和TCP/IP堆栈堆栈 TCP/IP 堆栈负责处理传入和传出的堆栈负责处理传入和传出的 IP 数据包，并将数据包中的数数据包，并将数据包中的数据路由到要处理它们的应用程序。据路由到要处理它们的应用程序。在在TCP/IP堆栈中存在许多漏洞，如：堆栈中存在许多漏洞，如：允许碎片包大数据包IP路由选择半开TCP连接数据包flood等等成功地审核系统，需要理解每种攻击的特征。成功地审核系统，需要理解每种攻击的特征。SYN flood攻击Smurf和Fraggle攻击 Teardrop/Teardrop2 Ping of deathLand attackSSPingCPU HogWin Nuke实验实验4-1：嗅探：嗅探FTP密码和网页密码密码和网页密码在本实验中，我们将学习使用Ethereal捕捉你的系统和教师受密码保护的系统之间传输的数据包。 实验实验4-2：从邮件传输捕获用户名和密码：从邮件传输捕获用户名和密码在本实验中，我们将学习如何从邮件传输过程中嗅探密码。 实验实验4-3：登录到：登录到Windows 2000 服务器服务器 在本实验中，我们将使用嗅探到的用户名和密码尝试登录到Windows 2000服务器上 。实验实验4-4：升级：升级Windows 2000 TCP/IP堆栈堆栈在本实验中，我们将升级Windows 2000操作系统到最新的TCP/IP堆栈以抵御如NMAP这类的堆栈指纹程序。