入侵步骤
2009年10月20日
1、隐藏IP
2、信息搜集(踩点、扫描、监听)
3、实施入侵(获得系统或管理员权限)
4、保持访问(植入后门)
5、隐藏踪迹(清除日志)
一、隐藏IP
1、 利用别人的机器(俗称‘肉鸡’)进行攻击:先登录到一个第三方的主机然后再对目标进行攻击,这样一旦被发现被攻击者也只能得到那台“肉鸡”的IP。
2、 多极跳板攻击-Sock代理:这样在被攻击者的机器上留下的将是代理跳板主机的IP地址。
二、信息搜集
1、踩点
2、扫描
3、监听
二、信息搜集(踩点)
踩点:
域名及其注册机构的查询
公司性质的了解
对主页进行分析(源代码注解)
邮件地址的搜集
目标IP地址范围查询
二、信息搜集(扫描)
主动的侦查―扫描
扫描的目的
扫描的策略
扫描的类型
安全扫描软件功能
二、信息搜集(扫描)
1、扫描的目的
扫描的目的:利用技术或工具在攻击目标的IP地址或地址段的主机上寻找有用信息及漏洞。
二、信息搜集(扫描)
2、扫描的策略
第一种是被动式策略
所谓被动式策略就是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查;
第二种是主动式策略
主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。
利用被动式策略扫描称为系统安全扫描
利用主动式策略扫描称为网络安全扫描。
3、目前流行的扫描类型是
TCP conntect扫描
直接发送TCP请求,根据返回信息,确定扫描目标是否存在,缺点会在目标机器上被记录。
TCP SYN扫描
这种扫描又称为半开放扫描,是针对TCP的三次握手弱点的扫描方式,目前已经可以被防火墙等软件记录。
ACK扫描
向扫描目标发送连接确认信息。
FIN扫描
向端口发送终止连接请求,如果对方端口开放则没有回应,如果没有开放会有RST回复。缺点:有些系统无论端口开放与否都会对中断请求发送RST回复。
4、安全扫描系统具有以下功能
协调了其它的安全设备;
使枯燥的系统安全信息易于理解,告诉了你系统发生的事情;
跟踪用户进入,在系统中的行为和离开的信息;
可以报告和识别文件的改动;
纠正系统的错误设置;
识别正在受到的攻击;
减轻系统管理员搜索最近黑客行为的负担;
使得安全管理可由普通用户来负责;
为制定安全规则提供依据。
被动的侦查―监听
网络监听原本是网络管理员使用一类管理工具,监视网络的状态、数据的流动、以及网络上传输的信息。但这类工具也常被黑客所使用,以此获得网络上传输的敏感信息。
如何防止监听
尽量建设交换网络
使用加密技术
使用一次性口令技术
前门攻击
暴力攻击
后门攻击
木马攻击
基于故障攻击
中间人攻击
拒绝服务器攻击
哄骗攻击
实例:弱口令攻击
三、实施入侵-后门攻击
实例:Ipc$空会话
三、实施入侵-木马攻击
实例:远程控制
三、实施入侵-基于故障攻击
指利用系统漏洞(bug)\应用程序或服务\网络配置失误而发起的攻击
三、实施入侵-基于故障攻击
缓冲区溢出攻击
几十年来,缓冲区溢出一直引起许多严重的安全性问题。其中最著名的例子是:1988 年,因特网蠕虫程序在 finger 中利用缓冲区溢出感染了因特网中的数万台机器。但是,缓冲区溢出问题并非已成古老的历史,缓冲区溢出(又称堆栈溢出)攻击已成为最常用的黑客技术之一。据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。
三、实施入侵-基于故障攻击
缓冲区溢出的原理
引起缓冲区溢出问题的根本原因是 C(与其后代 C++)本质就是不安全的,没有边界来检查数组和指针的引用,也就是开发人员必须检查边界(而这一行为往往会被忽视),否则会冒遇到问题的风险。标准 C 库中还存在许多非安全字符串操作,包括:strcat(),sprintf(),vsprintf(),gets(),scanf()以及在循环内的getc(),fgetc(),getchar()等。
三、实施入侵-基于故障攻击
缓冲区溢出的原理
example1.c
void function(char *str)
{
char buffer[16];
strcpy(buffer,str);
}
三、实施入侵-基于故障攻击
缓冲区溢出的副作用取决于
写入的数据中有多少超过缓冲区边界
当缓冲区已满并且溢出时,覆盖了哪些数据(如果有的话)
程序是否试图读取溢出期间被覆盖的数据
哪些数据最终替换被覆盖的内存
三、实施入侵-基于故障攻击
缓冲区溢出漏洞攻击方式
在程序的地址空间里安排适当的代码
将控制程序转移到攻击代码的形式
unction Pointers(函数指针)
ctivation Records(激活记录)
Longjmp buffers(长跳转缓冲区)
植入综合代码和流程控制
三、实施入侵-基于故障攻击
缓冲区溢出的防患
正确的编写代码
非执行的缓冲区
检查数组边界
程序指针完整性检查
四、保持访问-设置后门
在大多数情况下,攻击者入侵一个系统后,他可能还想在适当的时候再次进入系统,所以设置后门.
留后门通常有两种目的:
1、保持对目标系统的长期控制。
2、监事目标系统的行动或者记录目标系统的敏感信息,随时报告入侵者。
四、保持访问-设置后门
后门分类:
命令模式后门
击键记录后门
脚本后门
帐号后门
图形界面控制后门
木马后门
其他后门
四、保持访问-设置后门
命令模式后门
Telnet扩展后门三剑客
Winshell
Wollf
wineggdropshell
四、保持访问-设置后门
击键记录后门
击键记录后门也是黑客比较常采用的方法,该类后门主要用于监视用户的键盘输入记录,然后发送给攻击者,或者由攻击者定期连接上来察看。
2009年10月20日
1、隐藏IP
2、信息搜集(踩点、扫描、监听)
3、实施入侵(获得系统或管理员权限)
4、保持访问(植入后门)
5、隐藏踪迹(清除日志)
一、隐藏IP
1、 利用别人的机器(俗称‘肉鸡’)进行攻击:先登录到一个第三方的主机然后再对目标进行攻击,这样一旦被发现被攻击者也只能得到那台“肉鸡”的IP。
2、 多极跳板攻击-Sock代理:这样在被攻击者的机器上留下的将是代理跳板主机的IP地址。
二、信息搜集
1、踩点
2、扫描
3、监听
二、信息搜集(踩点)
踩点:
域名及其注册机构的查询
公司性质的了解
对主页进行分析(源代码注解)
邮件地址的搜集
目标IP地址范围查询
二、信息搜集(扫描)
主动的侦查―扫描
扫描的目的
扫描的策略
扫描的类型
安全扫描软件功能
二、信息搜集(扫描)
1、扫描的目的
扫描的目的:利用技术或工具在攻击目标的IP地址或地址段的主机上寻找有用信息及漏洞。
二、信息搜集(扫描)
2、扫描的策略
第一种是被动式策略
所谓被动式策略就是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查;
第二种是主动式策略
主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。
利用被动式策略扫描称为系统安全扫描
利用主动式策略扫描称为网络安全扫描。
3、目前流行的扫描类型是
TCP conntect扫描
直接发送TCP请求,根据返回信息,确定扫描目标是否存在,缺点会在目标机器上被记录。
TCP SYN扫描
这种扫描又称为半开放扫描,是针对TCP的三次握手弱点的扫描方式,目前已经可以被防火墙等软件记录。
ACK扫描
向扫描目标发送连接确认信息。
FIN扫描
向端口发送终止连接请求,如果对方端口开放则没有回应,如果没有开放会有RST回复。缺点:有些系统无论端口开放与否都会对中断请求发送RST回复。
4、安全扫描系统具有以下功能
协调了其它的安全设备;
使枯燥的系统安全信息易于理解,告诉了你系统发生的事情;
跟踪用户进入,在系统中的行为和离开的信息;
可以报告和识别文件的改动;
纠正系统的错误设置;
识别正在受到的攻击;
减轻系统管理员搜索最近黑客行为的负担;
使得安全管理可由普通用户来负责;
为制定安全规则提供依据。
被动的侦查―监听
网络监听原本是网络管理员使用一类管理工具,监视网络的状态、数据的流动、以及网络上传输的信息。但这类工具也常被黑客所使用,以此获得网络上传输的敏感信息。
如何防止监听
尽量建设交换网络
使用加密技术
使用一次性口令技术
前门攻击
暴力攻击
后门攻击
木马攻击
基于故障攻击
中间人攻击
拒绝服务器攻击
哄骗攻击
实例:弱口令攻击
三、实施入侵-后门攻击
实例:Ipc$空会话
三、实施入侵-木马攻击
实例:远程控制
三、实施入侵-基于故障攻击
指利用系统漏洞(bug)\应用程序或服务\网络配置失误而发起的攻击
三、实施入侵-基于故障攻击
缓冲区溢出攻击
几十年来,缓冲区溢出一直引起许多严重的安全性问题。其中最著名的例子是:1988 年,因特网蠕虫程序在 finger 中利用缓冲区溢出感染了因特网中的数万台机器。但是,缓冲区溢出问题并非已成古老的历史,缓冲区溢出(又称堆栈溢出)攻击已成为最常用的黑客技术之一。据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。
三、实施入侵-基于故障攻击
缓冲区溢出的原理
引起缓冲区溢出问题的根本原因是 C(与其后代 C++)本质就是不安全的,没有边界来检查数组和指针的引用,也就是开发人员必须检查边界(而这一行为往往会被忽视),否则会冒遇到问题的风险。标准 C 库中还存在许多非安全字符串操作,包括:strcat(),sprintf(),vsprintf(),gets(),scanf()以及在循环内的getc(),fgetc(),getchar()等。
三、实施入侵-基于故障攻击
缓冲区溢出的原理
example1.c
void function(char *str)
{
char buffer[16];
strcpy(buffer,str);
}
三、实施入侵-基于故障攻击
缓冲区溢出的副作用取决于
写入的数据中有多少超过缓冲区边界
当缓冲区已满并且溢出时,覆盖了哪些数据(如果有的话)
程序是否试图读取溢出期间被覆盖的数据
哪些数据最终替换被覆盖的内存
三、实施入侵-基于故障攻击
缓冲区溢出漏洞攻击方式
在程序的地址空间里安排适当的代码
将控制程序转移到攻击代码的形式
unction Pointers(函数指针)
ctivation Records(激活记录)
Longjmp buffers(长跳转缓冲区)
植入综合代码和流程控制
三、实施入侵-基于故障攻击
缓冲区溢出的防患
正确的编写代码
非执行的缓冲区
检查数组边界
程序指针完整性检查
四、保持访问-设置后门
在大多数情况下,攻击者入侵一个系统后,他可能还想在适当的时候再次进入系统,所以设置后门.
留后门通常有两种目的:
1、保持对目标系统的长期控制。
2、监事目标系统的行动或者记录目标系统的敏感信息,随时报告入侵者。
四、保持访问-设置后门
后门分类:
命令模式后门
击键记录后门
脚本后门
帐号后门
图形界面控制后门
木马后门
其他后门
四、保持访问-设置后门
命令模式后门
Telnet扩展后门三剑客
Winshell
Wollf
wineggdropshell
四、保持访问-设置后门
击键记录后门
击键记录后门也是黑客比较常采用的方法,该类后门主要用于监视用户的键盘输入记录,然后发送给攻击者,或者由攻击者定期连接上来察看。