CISP-2-安全攻防課件

信息安全技術(shù)

安全攻防中國信息安全產(chǎn)品測評認證中心（CNITSEC）CISP-2-安全攻防（培訓(xùn)樣稿）黑客歷史60年代麻省理工AI實驗室第一次出現(xiàn)hacker這個詞KenThompson發(fā)明unix1969，ARPANET開始建立

70年代DennisRitchie發(fā)明C語言Phreaking:JohnDraper世界上第一個計算機病毒出現(xiàn)喬布斯(apple公司的創(chuàng)辦者)制造出了藍盒子黑客歷史

80年代早期

首次出現(xiàn)Cyberspace一詞

414s被捕

LegionofDoom和ChaosComputerClub成立

黑客雜志2600、phrack相續(xù)創(chuàng)刊

80年代晚期

25歲的KevinMutnik首次被捕

1988年，莫里斯蠕蟲事件，在幾小時內(nèi)感染了6000臺計算機系統(tǒng)美國國防部成立了計算機緊急應(yīng)急小組(CERT)黑客歷史

90年代早期

AT&T的長途服務(wù)系統(tǒng)在馬丁路德金紀念日崩潰黑客成功侵入格里菲思空軍基地和美國航空航天管理局

KevinMitnick再次被抓獲，這一次是在紐約，他被圣迭哥超級計算中心的TsutomuShimomura追蹤并截獲

90年代晚期美國聯(lián)邦網(wǎng)站大量被黑，包括美國司法部，美國空軍，中央情報局和美國航空航天管理局等流行的電子搜索引擎Yahoo被黑客襲擊黑客語言1->iorl3->e4->a7->t9->g0->o$->s|->iorl|\|->n|\/|->ms->zz->sf->phph->fx->ckck->x黑客語言例如：3v3ry0n3kn0wzwh3ny0uh4ckaw3bp4g3y0uh4v3t0us3h4ck3rt4lkEveryoneknowswhenyouhackawebpageyouhaveTousehackertalk

Hack組織1、@stake(原L0pht)

代表作品：L0phtCrack2、cDc(CULTOFTHEDEADCOW)

代表作品：bo、bo2000、PeekabootyHack組織3、adm

4、security

5、antisecurity

Saveabugsavealife致力于維護軟件屆的生態(tài)平衡Hack組織6、LSD(LastStageOFDeLIRIUM)

7、teso

8、thc(TheHackersChoice)

著名黑客

1．AlephOneBugtraq郵件列表主持人

BugtraqFAQ：Bugtraq：代表作品：SmashingTheStackForFunAndProfit發(fā)表于1996年11月8日，第一篇公開發(fā)表的介紹緩沖區(qū)溢出的論文著名黑客2．SimpleNomad

NMRC核心成員，建立者。NMRC(NomadMobileResearchCentre)TheHackFAQ的作者Pandora（NetWare漏洞掃描器)的作者著名黑客4.Fyodor

Nmap的作者在phrack雜志51期發(fā)表了關(guān)于高級端口掃描的論文在phrack雜志54期發(fā)表了關(guān)于利用tcp/ip協(xié)議棧進行遠程操作系統(tǒng)識別的論文著名黑客5.dugsong

揭示了checkpointFW-1狀態(tài)包過濾的漏洞編寫了功能強大的黑客工具包dsniff包括dsniff、webspy、arpspoof、sshow等著名黑客6.SolarDesigner

主要作品JohntheRipper:最好的unix口令破解工具

openwall:Linux內(nèi)核安全補丁黑客攻擊的典型步驟獲取對方信息，掃描、社會工程學(xué)等。進行攻擊，exploit。消除痕跡，刪除日志等。留后門。公眾域信息。Nmap,traceroute,firewalk,pingsweeps,etcNIC注冊紀錄DNS紀錄SNMP掃描OS識別BannergrabbingWardialers社交工程獲取信息Google的高級使用1.搜索整個字符串

a)"Indexof/password“ b)"Indexof/"password.txt2.site--搜索整個站點

site:火眼3.—搜索某種文件類型4.inurl分類搜索

inurl:firewallnetpower inurl:idsnetpower inurl:idsantiCrawlBabelweb:teleportspadewhois–DNS區(qū)域傳輸dig@axfr或host–l–v–tany列出所有dns注冊信息限制區(qū)域傳輸對于BIND8版的軟件，在配置文件named.conf中使用命令allow-transfer來限制允許區(qū)域傳輸?shù)闹鳈C，例如：

options

{

allow-transfer

{

;

/24;

};

};網(wǎng)絡(luò)拓撲發(fā)現(xiàn)IPTTL

12345Traceroute端口掃描1.慢掃描。工具：nmap。例如：nmap-TParanoid-sT。（間隔5分鐘掃描一個端口）。2.隨機掃描。Nmap默認就是隨機掃描，指隨機掃描目標端口。（有些nids是根據(jù)連續(xù)連接本地端口段來判斷端口掃描的）。3.碎片掃描。工具nmap。例如：nmap–f–sT。4.誘騙掃描。工具：nmap。例如：nmap-D,,,-sS8。（,,都是虛假的地址）。端口掃描5．tcp掃描。工具nmap。例如：nmap–sT。6.Udp掃描。工具nmap。例如：nmap–sU7.協(xié)議棧掃描。工具nmap.例如:nmap–sO8．Syn掃描。工具nmap。例如：nmap–sS。9．Null掃描。工具nmap。例如：nmap–sN。10．XmasTree掃描。工具nmap。例如：nmap–sX。11.FIN掃描。工具nmap。例如：nmap–sF。12.分布式掃描。工具dps、dscan。13.快掃描。工具nmap。例如：nmap–F

端口掃描14.Ack掃描，檢查是否是狀態(tài)FW。nmap–sA。15.Windows掃描，nmap–sW。16.RPC掃描，nmap–sR17.反向ident掃描，nmap–I。18.Idle掃描。nmap-P0-sI中間主機19.掃描。idlescanIdle掃描(端口開放)1目標機攻擊者3Syn:80跳板主機ID=0Idle掃描(端口開放)2目標機攻擊者3Syn/ack跳板主機ID=1Idle掃描(端口開放)3目標機攻擊者跳板主機ID=1Synsrc=Dst=Idle掃描(端口開放)4目標機攻擊者Syn/Acksrc=Dst=跳板主機ID=1Idle掃描(端口開放)5目標機攻擊者Rstsrc==Dst=跳板主機ID=2Idle掃描(端口開放)6目標機攻擊者Syn:80跳板主機ID=2Idle掃描(端口開放)7目標機攻擊者Syn:80Syn/ack跳板主機ID=3Idle掃描(端口關(guān)閉)1目標機攻擊者3Syn:80跳板主機ID=0Idle掃描(端口關(guān)閉)2目標機攻擊者3Syn/ack跳板主機ID=1Idle掃描(端口關(guān)閉)3目標機攻擊者跳板主機ID=1Synsrc=Dst=Idle掃描(端口關(guān)閉)4目標機攻擊者Rstsrc=Dst=跳板主機ID=1Idle掃描(端口關(guān)閉)5目標機攻擊者Syn:80跳板主機ID=1Idle掃描(端口關(guān)閉)6目標機攻擊者Syn:80Syn/ack跳板主機ID=2掃描目標機攻擊者nmap–P0–sT–b原理telnet21

useranonymous

pass

port192,168,0,173,23,23

200PORTcommandsuccessful.

nlst

425Can'tbuilddataconnection:Connectionrefused.

port192,168,0,173,12,234

200PORTcommandsuccessful.

nlst

150ASCIIdataconnectionfor/bin/ls(73,3306)(0bytes).

226ASCIITransfercomplete.

quit

遠程操作系統(tǒng)識別技術(shù)1．DNS的hinfo紀錄2．Bannergrab3.二進制文件法3．Snmpgetsysdescr4．Tcp堆棧指紋技術(shù)5．Icmp堆棧指紋技術(shù)DNS的hinfo紀錄HINFO“SparcUltra5”“Solaris2.6”獲取方法：dig@hinfo非常老的方法，現(xiàn)在一般沒有管理員在dns記錄里面添加hinfo紀錄。BannergrabRedhat:/etc/issue、/etc/bsd:/etc/motdSolaris:/etc/motd缺陷：不準確，負責(zé)任的管理員一般都修改這個文件通過webserver得到操作系統(tǒng)類型lynx–head–dump二進制文件分析法得到遠程系統(tǒng)的一個二進制文件例如1.webserver目錄下產(chǎn)生的core文件2.配置不當(dāng)?shù)南碌亩M制文件……利用file、readelf等來鑒別Snmpgetsysdescr$snmputilget24public...0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1$snmputilget24public.ernet.mgmt.mib-2.system.sysDescr.0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1Snmpgetnextmib-2$snmputilgetnext24public..2.1Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1$snmputilgetnext24public.ernet.mgmt.mib-2.0Variable=system.sysDescr.0Value=StringSunSNMPAgent,Ultra-1TCPSegmentFormat01631源端口目的端口sequencenumberacknowledgementnumber頭長度4保留6UAPRSFwindowsizeTCPchecksum緊急指針Tcp操作(長度可變，最大40個字節(jié))數(shù)據(jù)20bytesTcp堆棧指紋技術(shù)nmap–OTEST1: 向目標開放端口發(fā)包

send_tcp_raw_decoys(rawsd,&target->host,current_port,openport,sequence_base,0,TH_BOGUS|TH_SYN,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);Nmap用于系統(tǒng)識別的包（1）TH_BOGUS=64=0x40=1000000TH_SYN=0x02=000010BOGUS標記探測器

–在syn包的tcp頭里設(shè)置一個未定義的TCP"標記"（64）。版本號2.0.35之前的linux內(nèi)核在回應(yīng)中保持這個標記。有些操作系統(tǒng)在收到這種包是會復(fù)位連接。

\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000是tcp選項，解釋如下：\003\003\012：窗口擴大因子

kind=3,len=3,移位數(shù)=\012=10\001：無操作：kind=1\002\004\001\011：最大報文段長度

kind=2,len=4,長度=\001\011=265\010\012：時間戳 kind=8,len=10\077\077\077\077：時間戳值 1061109567\000\000\000\000：時間戳響應(yīng)\000：選項結(jié)束 kind=0\000：填充位Nmap用于系統(tǒng)識別的包（2）TEST2：向目標開放端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+1,openport,sequence_base,0,0,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+1，6個標志位都為0，ip選項同TEST1。

Nmap用于系統(tǒng)識別的包（3）TEST3：向目標開放端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+2,openport,sequence_base,0,TH_SYN|TH_FIN|TH_URG|TH_PUSH,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+2，設(shè)置標志位TH_SYN(0x02)，TH_FIN(0x01)，TH_URG(0x20)，TH_PUSH(0x08)。Ip選項同TEST1。Nmap用于系統(tǒng)識別的包（4）TEST4：向目標開放端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+3,openport,sequence_base,0,TH_ACK,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+3，設(shè)置標志位TH_ACK，ip選項同TEST1。

Nmap用于系統(tǒng)識別的包（5）TEST5：向目標關(guān)閉端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+4,closedport,sequence_base,0,TH_SYN,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+4，標志位TH_SYN，ip選項同TEST1。Nmap用于系統(tǒng)識別的包（6）TEST6：向目標關(guān)閉端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+5,closedport,sequence_base,0,TH_ACK,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);源端口+5，標志位TH_ACK，ip選項同TEST1。Nmap用于系統(tǒng)識別的包（7）TEST7：向目標關(guān)閉端口發(fā)包send_tcp_raw_decoys(rawsd,&target->host,current_port+6,closedport,sequence_base,0,TH_FIN|TH_PUSH|TH_URG,0,"\003\003\012\001\002\004\001\011\010\012\077\077\077\077\000\000\000\000\000\000",20,NULL,0);

源端口+6，標志位TH_FIN，TH_PUSH，TH_URG，ip選項同TEST1。Nmap用于系統(tǒng)識別的包（8）TEST8：向目標關(guān)閉端口發(fā)包send_closedudp_probe(rawsd,&target->host,o.magic_port,closedport);

向目標關(guān)閉端口發(fā)送udp包一個指紋結(jié)構(gòu)TSeq(Class=RI%gcd=<6%SI=<57A26&>DF1)T1(DF=Y%W=2297|2788|4431|8371|8F4D|ABCD|FFF7|FFFF|2297|212%ACK=S++%Flags=AS%Ops=NNTNWME)T2(DF=N%W=0%ACK=O%Flags=R%Ops=WNMETL)T3(Resp=N)T4(DF=Y|N%W=0%ACK=O%Flags=R%Ops=|WNMETL)T5(DF=Y%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=Y|N%W=0%ACK=O|S%Flags=AR|R%Ops=|WNMETL)T7(DF=Y|N%W=0%ACK=S|O%Flags=AR|R%Ops=|WNMETL)PU(DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPCK=E|F%UCK=E|F|F|E%ULEN=134%DAT=E)FingerprintSolaris2.6-2.7 Solaris2.6–2.7的指紋Icmp堆棧指紋技術(shù)OfirArkin提出ICMP包格式081631typecodechecksum依type和code域的不同而不同081631typecodechecksumidentifiersequencenumber例子：echorequest/reply(ping/pong)

optionaldata

通常格式ICMP協(xié)議msg# description0

echoreply3

destinationunreachable4 sourcequench5 redirect8

echorequest9 routeradvertisement10 routersolicitation11

timeexceededmsg# description12 parameterproblem13 timestamprequest14 timestampreply15 informationrequest16 informationreply17 addressmaskrequest18 addressmaskreplyICMP信息請求針對廣播地址的non-echoicmp請求利用tos位檢測windows系統(tǒng)識別windowsXprobe 作者CAttackerSYN|ACKfromhostAsrcport23withadvertisedwindow0x4000,DFbiton&ttlof64SYNtoport23A操作系統(tǒng)被動察覺通告的窗口值、是否設(shè)置DF位、缺省TTL。被動操作系統(tǒng)識別OSFingerprints:4000:ON:64=FreeBSD被動操作系統(tǒng)識別工具1.siphon2.P0fHack攻擊進入系統(tǒng)1.

掃描目標主機。

2.

檢查開放的端口，獲得服務(wù)軟件及版本。

3.

檢查服務(wù)是否存在漏洞，如果是，利用該漏洞遠程進入系統(tǒng)。

4.

檢查服務(wù)軟件是否存在脆弱帳號或密碼，如果是，利用該帳號或密碼系統(tǒng)。

5.

利用服務(wù)軟件是否可以獲取有效帳號或密碼，如果是，利用該帳號或密碼進入系統(tǒng)。

6.

服務(wù)軟件是否泄露系統(tǒng)敏感信息，如果是，檢查能否利用。

7.

掃描相同子網(wǎng)主機，重復(fù)以上步驟，直到進入目標主機或放棄。

Hack攻擊提升權(quán)限1.

檢查目標主機上的SUID和GUID程序是否存在漏洞，如果是，利用該漏洞提升權(quán)限(unix)。

2.

檢查本地服務(wù)是否存在漏洞，如果是，利用該漏洞提升權(quán)限。

3.

檢查本地服務(wù)是否存在脆弱帳號或密碼，如果是，利用該帳號或密碼提升權(quán)限。

4.

檢查重要文件的權(quán)限是否設(shè)置錯誤，如果是，利用該漏洞提升權(quán)限。

5.

檢查配置目錄中是否存在敏感信息可以利用。

6.

檢查用戶目錄中是否存在敏感信息可以利用。

7.

檢查其它目錄是否存在可以利用的敏感信息。

8.

重復(fù)以上步驟，直到獲得root權(quán)限或放棄。

Hack攻擊善后處理第三步：放置后門

最好自己寫后門程序，用別人的程序總是相對容易被發(fā)現(xiàn)。

第四步：清理日志

刪除本次攻擊的相關(guān)日志，不要清空日志。Hack攻擊入侵檢測1.掃描系統(tǒng)2.根據(jù)結(jié)果打補丁，修補系統(tǒng)3.檢測系統(tǒng)中是否有后門程序Hack攻擊檢測后門A.察看端口

unix：lsof lsof–itcp–n：察看所有打開的tcp端口

windows：fport fport/pHack攻擊檢測后門B.察看進程

unix：ps psex：察看所有運行的進程

windows：pslistC.殺掉進程

unix：kill windows：pskillHack攻擊檢測后門D：檢查suid、guid程序(對于unix系統(tǒng)) find/-userroot-perm-4000–print find/-userroot-perm-2000-printE：對軟件包進行校驗(對于某些linux系統(tǒng)) whichlogin rpm–qf/bin/login rpm–Vutil-linuxHack攻擊檢測后門F：檢測/etc/passwd文件(unix) 1.陌生用戶

2.口令為空的用戶

3.uid或gid為0的用戶G：檢測是否由sniffer程序在運行(unix) ifconfigHack攻擊檢測后門H：檢測系統(tǒng)中的隱藏文件(unix) find/-name".*"-printI：檢測系統(tǒng)中的LKM后門

chkrootkit(unix) kstat(linux) ksec(bsd)黑客技術(shù)1.口令破解Unix口令破解工具：johntheripper

Windowsnt、2000口令破解工具：L0phtCrack

黑客技術(shù)2.端口掃描與遠程操作系統(tǒng)識別Nmap:最好的端口掃描器和遠程操作系統(tǒng)識別工具

Xprobe:icmp遠程操作系統(tǒng)識別工具

只需要發(fā)4個包就可以識別遠程操作系統(tǒng)黑客技術(shù)3.sniffer技術(shù)dsniff:多種協(xié)議的口令監(jiān)聽工具

FTP,Telnet,SMTP,HTTP,POP,poppass,NNTP,IMAP,SNMP,LDAP,Rlogin,RIP,OSPF,PPTPMS-CHAP,NFS,VRRP,YP/NIS,SOCKS,X11,CVS,IRC,AIM,ICQ,Napster,PostgreSQL,MeetingMaker,Citrix,ICA,SymantecpcAnywhere,NAISniffer,MicrosoftSMB,OracleSQL*Net,SybaseandMicrosoftSQLprotocols等等。黑客技術(shù)4.Hijack,tcp劫持技術(shù)hunt:tcp連接劫持工具

綜合利用sniffer技術(shù)和arp欺騙技術(shù)黑客技術(shù)5.遠程漏洞掃描技術(shù)—通用漏洞掃描工具nessus:開源遠程漏洞掃描工具

Securityassess:中科網(wǎng)威火眼網(wǎng)絡(luò)安全評估分析系統(tǒng)

黑客技術(shù)6.遠程漏洞掃描技術(shù)—web漏洞掃描工具whisker:

t:

黑客技術(shù)—緩沖溢出緩沖區(qū)返回地址開始向緩沖區(qū)寫數(shù)據(jù)攻擊者輸入的數(shù)據(jù)返回地址被攻擊者覆蓋返回地址黑客技術(shù)—hackiis黑客技術(shù)—hackmssqlserver黑客技術(shù)—hackmssqlserverWindows2000系統(tǒng)如何打補丁1.執(zhí)行wupdmgr.exe，單擊產(chǎn)品更新，更新系統(tǒng)中軟件到最新版本2.然后下載HFNetChk3.執(zhí)行hfnetchk-v4.依照提示提示從

下載最新的安全補丁。

黑客技術(shù)：Smurf攻擊攻擊者被攻擊者Ping廣播地址源地址被設(shè)置為被攻擊者的ip被利用網(wǎng)絡(luò)黑客技術(shù)：Pingo’Death攻擊攻擊者產(chǎn)生碎片被攻擊者收到碎片重組碎片Internet最后一個碎片太大導(dǎo)致緩存溢出buffer65535bytes第