《系統(tǒng)網(wǎng)絡(luò)安全》

第九章系統(tǒng)網(wǎng)絡(luò)平安續(xù)常用攻擊手段編輯ppt一、攻擊的位置一、攻擊的一些根本概念〔1〕遠(yuǎn)程攻擊：從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動攻擊?！?〕本地攻擊：通過所在的局域網(wǎng)，向本單位的其他系統(tǒng)發(fā)動攻擊，在本機(jī)上進(jìn)行非法越權(quán)訪問也是本地攻擊?！?〕偽遠(yuǎn)程攻擊：指內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標(biāo)的一些必要信息后，攻擊過程從外部遠(yuǎn)程發(fā)起，造成外部入侵的現(xiàn)象。編輯ppt二、攻擊的層次一、攻擊的一些根本概念1〕簡單拒絕效勞〔如郵件炸彈攻擊〕.2〕本地用戶獲得非授權(quán)讀或者寫權(quán)限3〕遠(yuǎn)程用戶獲得了非授權(quán)的帳號4〕遠(yuǎn)程用戶獲得了特權(quán)文件的讀寫權(quán)限5〕遠(yuǎn)程用戶擁有了根〔root〕權(quán)限〕編輯ppt三、攻擊的目的一、攻擊的一些根本概念1〕進(jìn)程的執(zhí)行2〕獲取文件和傳輸中的數(shù)據(jù)3〕獲得超級用戶權(quán)限4〕對系統(tǒng)的非法訪問5〕進(jìn)行不許可的操作6〕拒絕效勞7〕涂改信息8〕暴露信息9〕挑戰(zhàn)10〕政治意圖11〕經(jīng)濟(jì)利益12〕破壞編輯ppt四、攻擊的人員一、攻擊的一些根本概念1〕黑客：為了挑戰(zhàn)和獲取訪問權(quán)限2〕間諜：為了政治情報(bào)信息3〕恐怖主義者：為了政治目的而制造恐怖4〕公司雇傭者：為了競爭經(jīng)濟(jì)利益5〕職業(yè)犯罪：為了個人的經(jīng)濟(jì)利益6〕破壞者：為了實(shí)現(xiàn)破壞編輯ppt五、攻擊的工具1〕用戶命令：攻擊者在命令行狀態(tài)下或者圖形用戶接口方式輸入命令。2〕腳本或程序：在用戶接口處初始化腳本和程序。3〕自治主體：攻擊者初始化一個程序或者程序片斷，獨(dú)立地執(zhí)行操作，挖掘弱點(diǎn)。4〕工具箱：攻擊者使用軟件包〔包含開發(fā)弱點(diǎn)的腳本、程序、自治主體〕。5〕分布式工具：攻擊者分發(fā)攻擊工具到多臺主機(jī)，通過協(xié)作方式執(zhí)行攻擊特定的目標(biāo)。6〕電磁泄漏編輯ppt六、攻擊的時間一、攻擊的一些根本概念大局部的攻擊〔或至少是商業(yè)攻擊時間〕一般是效勞器所在地的深夜?？陀^原因。在白天，大多數(shù)入侵者要工作或?qū)W習(xí)，以至沒空進(jìn)行攻擊。速度原因。網(wǎng)絡(luò)正變得越來越擁擠，因此最正確的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間。保密原因。白天系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為。他們便會跟蹤而來。編輯ppt七、尋找目標(biāo)主機(jī)并收集目標(biāo)信息1〕鎖定目標(biāo)因特網(wǎng)上每一臺網(wǎng)絡(luò)主機(jī)都有一個名字，術(shù)語稱做域名；然而在網(wǎng)上能真正標(biāo)識主機(jī)的是IP地址，域名只是用IP地址指定的主機(jī)便于好記而起的名字。利用域名和IP地址都可以順利找到主機(jī)。DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議被人以一些不同的方式加以利用。黑客只需實(shí)施一次域轉(zhuǎn)換操作就能得到所有主機(jī)的名稱以及內(nèi)部IP地址。編輯ppt2〕效勞分析用提供不同效勞的應(yīng)用程序試一試就知道了，例如：使用Telnet、FTP等用戶軟件向目標(biāo)主機(jī)申請效勞，如果主機(jī)有應(yīng)答就說明主機(jī)提供了這個效勞，開放了這個端口的效勞。黑客常用一些象PORTSCAN這樣的工具軟件，對目標(biāo)主機(jī)一定范圍的端口進(jìn)行掃描。這樣可全部掌握目標(biāo)主機(jī)的端口情況。HAKTEK是一個非常實(shí)用的一個工具軟件，它將許多應(yīng)用集成在一起的工具，其中包括:Ping、IP地址范圍掃描、目標(biāo)主機(jī)端口掃描、郵件炸彈、過濾郵件、Finger主機(jī)等都是非常實(shí)用的工具。編輯ppt二、遠(yuǎn)程攻擊的步驟3〕系統(tǒng)分析目標(biāo)主機(jī)采用的是什么操作系統(tǒng)。黑客使用具有響應(yīng)類型的數(shù)據(jù)庫的自開工具，對來自目標(biāo)主機(jī)的、對壞數(shù)據(jù)包傳送所作出的響應(yīng)進(jìn)行檢查。由于每種操作系統(tǒng)都有其獨(dú)特的響應(yīng)方法。通過將此獨(dú)特的響應(yīng)與數(shù)據(jù)庫中的響應(yīng)進(jìn)行比照，黑客經(jīng)常能夠確定出目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)。翻開RUN窗口，然后輸入命令：Telnetxx.xx.xx.xx(目標(biāo)主機(jī))然后按"確定"，會出現(xiàn)什么？編輯pptC:>telnet93UsersaccessverificationUesrname:%username:timeoutexpiredUesrname:%username:timeoutexpiredUesrname:%username:timeoutexpired失去了跟主機(jī)的連接C:>telnet00正在連接到00不能翻開到主機(jī)的連接，在端口23：連接失敗編輯ppt二、遠(yuǎn)程攻擊的步驟4〕獲取帳號信息對于陌生的目標(biāo)主機(jī)可能只知道它有一個ROOT用戶，至于其他帳戶一無所知，要想登錄目標(biāo)主機(jī)我們至少要知道一個普通用戶a.利用目標(biāo)主機(jī)的Finger功能對黑客軟件HAKTEK，它的Finger功能可以完全勝任，記錄帳號信息，經(jīng)過一段時間的監(jiān)測，就會積累一定的帳號信息。finger很可能暴露入侵者的行為，為了防止finger查詢產(chǎn)生標(biāo)記，絕大多數(shù)入侵者使用fingergateways〔finger網(wǎng)關(guān)〕。編輯ppt二、遠(yuǎn)程攻擊的步驟b.來源于電子郵件地址有些用戶電子郵件地址〔指@符號前面的局部〕與其取郵件的帳號是一致的c.非常全面的X.500功能有些主機(jī)提供了X.500的目錄查詢效勞。如何知道是否提供X.500的功能，掃描目標(biāo)主機(jī)的端口，如果端口105的狀態(tài)已經(jīng)被"激活"，在自己的機(jī)器上安裝一個X.500的客戶查詢的工具，選擇目標(biāo)主機(jī)，可以獲得意想不到的信息。編輯ppt二、遠(yuǎn)程攻擊的步驟d.習(xí)慣性常用帳號根據(jù)平時的經(jīng)驗(yàn)，一些系統(tǒng)總有一些習(xí)慣性的常用帳號，這些帳號都是系統(tǒng)中因?yàn)槟撤N應(yīng)用而設(shè)置的。例如：制作WWW網(wǎng)站的帳號可能是html、www、web等，安裝ORACLE數(shù)據(jù)庫的可能有oracle的帳號，用戶培訓(xùn)或教學(xué)而設(shè)置的user1、user2、student1、student2、client1、client2等帳戶，一些常用的英文名字也經(jīng)常會使用，例如：tom、john等，因此可以根據(jù)系統(tǒng)所提供的效勞和在其主頁得到的工作人員的名字信息進(jìn)行猜測。編輯ppt二、遠(yuǎn)程攻擊的步驟5〕獲得管理員信息運(yùn)行一個查詢命令，可獲得保存在目標(biāo)域效勞器中的所有信息。編輯ppt6)、攻擊測試二、遠(yuǎn)程攻擊的步驟大局部的入侵者并不想嘗試這種行為，因?yàn)檫@需要一定的費(fèi)用。在此步驟中，首先要建立一個和目標(biāo)一樣的環(huán)境。一旦將此環(huán)境建立起來后，就可對它進(jìn)行一系列的攻擊。在此過程中，有兩件事需要注意：〔l〕從攻擊方來看這些攻擊行為看上去像什么，〔2〕從被攻擊方來看這些攻擊行為看上去像什么。通過檢查攻擊方的日志文件入侵者能大致了解對一個幾乎沒有保護(hù)措施的目標(biāo)進(jìn)行攻擊時攻擊行為著上去像什么編輯ppt八、各種相關(guān)工具的準(zhǔn)備二、遠(yuǎn)程攻擊的步驟緊接著應(yīng)該收集各種實(shí)際使用的工具，最有可能是一些掃描工具，判斷出目標(biāo)網(wǎng)上的所有設(shè)備?；趯Σ僮飨到y(tǒng)的分析需要對工具進(jìn)行評估以判斷有哪些漏洞和區(qū)域它們沒有覆蓋到。在只用一個工具而不用另一個工具就可覆蓋某特定設(shè)備的情況下，最好還是同時使用這兩個工具。這些工具的聯(lián)合使用是否方便主要依賴于這些工具是否能簡易地作為外部模塊附加到一個掃描工具上如SATAN或SAFESuite。在此進(jìn)行測試變得極為有價值，因?yàn)樵诙鄶?shù)情況下附加一個外部模塊非讓它正常地工作并不那么簡單。為了得到這些工具工作確實(shí)切結(jié)果，最好先在某臺機(jī)器上進(jìn)行實(shí)驗(yàn)。編輯ppt九、攻擊策略的制定二、遠(yuǎn)程攻擊的步驟沒有任何理由就實(shí)施入侵是很不明智的。攻擊策略主要依賴于入侵者所想要到達(dá)的目的。需要說明的是掃描時間花得越長，也就是說越多的機(jī)器被涉及在內(nèi)，那么掃描的動作就越有可能被發(fā)現(xiàn)；同時有越多的掃描數(shù)據(jù)需要篩選，因此，掃描的攻擊的時間越短越好。因?yàn)槟闼胍氖且粋€主系統(tǒng)上或者是一個可用的最大網(wǎng)段的根權(quán)限，所以對一個更小、更平安的網(wǎng)絡(luò)進(jìn)行掃描不可能獲得很大的好處。無論如何，一旦你確定了掃描的參數(shù)，就可以開始行動了。編輯ppt十、數(shù)據(jù)分析二、遠(yuǎn)程攻擊的步驟完成掃描后，開始分析數(shù)據(jù)。首先應(yīng)考慮通過此方法得到的信息是否可靠〔可靠度在某種程度上可通過在類似的環(huán)境中進(jìn)行的掃描實(shí)驗(yàn)得到?！橙缓笤龠M(jìn)行分析，掃描獲得的數(shù)據(jù)不同那么分析過程也不同。在SATAN中的文檔中有一些關(guān)于漏洞的簡短說明，并且真接而富有指導(dǎo)性。如果找到了某個漏洞，就應(yīng)該重新參考那些通過搜索漏洞和其他可用資源而建立起來的數(shù)據(jù)庫信息。在真正理解了攻擊的本質(zhì)和什么應(yīng)從攻擊中剔除之前，可能要花上數(shù)個星期來研究源碼、漏洞、某特定操作系統(tǒng)和其他信息，這些是不可逾越的。在攻擊中經(jīng)驗(yàn)和耐心是無法替代的。一個經(jīng)過很好方案和可怕的遠(yuǎn)程攻擊，需要實(shí)施者對TCP／IP以及系統(tǒng)等方面的知識有著極深刻的了解。編輯ppt十一、實(shí)施攻擊二、遠(yuǎn)程攻擊的步驟獲得了對攻擊的目標(biāo)系統(tǒng)的訪問權(quán)后，可能有下述多種選擇：·毀掉攻擊入侵的痕跡，并在受到損害的系統(tǒng)上建立另外的新的平安漏洞或后門，以便今后繼續(xù)訪問這個系統(tǒng)?！ぴ谀繕?biāo)系統(tǒng)中安裝探測器軟件，包括特洛伊木馬程序，用來窺探所在系統(tǒng)的活動，收集黑客感興趣的一切信息，如Telnet和FTP的帳號名和口令等等。·發(fā)現(xiàn)受損系統(tǒng)在網(wǎng)絡(luò)中的信任等級，這樣黑客就可以通過該系統(tǒng)信任級展開對整個系統(tǒng)的攻擊?！と绻@得了特許訪問權(quán)，那么它就可以讀取郵件，搜索和盜竊私人文件，毀壞重要數(shù)據(jù)，破壞整個系統(tǒng)的信息。編輯ppt1、漏洞的概念三、系統(tǒng)漏洞漏洞的概念漏洞是指硬件、軟件或策略上的缺陷，從而可使攻擊者能夠在未經(jīng)授權(quán)的情況下訪問系統(tǒng)。所有軟件都是有錯的通常情況下99.99%無錯的程序很少會出問題，利用那0.01%的錯誤導(dǎo)致100%的失敗編輯ppt1、漏洞的概念三、系統(tǒng)漏洞出現(xiàn)漏洞的原因當(dāng)今的系統(tǒng)功能越來越強(qiáng)，體積也越做越大。龐大的系統(tǒng)是由小組完成的，不能指望每個人都不犯錯，也不能指望無紕漏的合作。加上人的惰性，不愿意仔細(xì)地進(jìn)行系統(tǒng)的平安配置。這樣一來，本來比較平安的系統(tǒng)也變的不平安了。一個簡單的例子就是缺省口令。編輯ppt1、漏洞的概念三、系統(tǒng)漏洞漏洞的范圍漏洞涉及的范圍很廣，涉及到網(wǎng)絡(luò)的各個環(huán)節(jié)、各個方面，包括：路由器、防火墻、操作系統(tǒng)、客戶和效勞器軟件。比方一臺提供網(wǎng)上產(chǎn)品搜索的Web效勞器，就需要注意操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web效勞軟件及防火墻。編輯ppt1、漏洞的概念三、系統(tǒng)漏洞漏洞的時間性系統(tǒng)發(fā)布——漏洞暴露——發(fā)布補(bǔ)丁——新漏洞出現(xiàn)一個系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來，這些早先被發(fā)現(xiàn)的漏洞也會不斷被系統(tǒng)供給商發(fā)布的補(bǔ)丁軟件修補(bǔ)，或在以后發(fā)布的新版系統(tǒng)中得以糾正。而在新版系統(tǒng)糾正了舊版本中具有漏洞的同時，也會引入一些新的漏洞和錯誤。因而隨著時間的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現(xiàn)。漏洞問題也會長期存在。編輯ppt1、漏洞的概念三、系統(tǒng)漏洞平安漏洞與系統(tǒng)攻擊之間的關(guān)系漏洞暴露—〔可能的攻擊〕—發(fā)布補(bǔ)丁系統(tǒng)攻擊者往往是平安漏洞的發(fā)現(xiàn)者和使用者，要對于一個系統(tǒng)進(jìn)行攻擊，如果不能發(fā)現(xiàn)和使用系統(tǒng)中存在的平安漏洞是不可能成功的。編輯ppt1、漏洞的概念三、系統(tǒng)漏洞漏洞的類型〔1〕管理漏洞-如兩臺效勞器用同一個用戶/密碼，那么入侵了A效勞器后，B效勞器也不能幸免。〔2〕軟件漏洞-很多程序只要接收到一些異?；蛘叱L的數(shù)據(jù)和參數(shù)，就會導(dǎo)致緩沖區(qū)溢出?！?〕結(jié)構(gòu)漏洞-比方在某個重要網(wǎng)段由于交換機(jī)、集線器設(shè)置不合理，造成黑客可以監(jiān)聽網(wǎng)絡(luò)通信流的數(shù)據(jù)；又如防火墻等平安產(chǎn)品部署不合理，有關(guān)平安機(jī)制不能發(fā)揮作用，麻痹技術(shù)管理人員而釀成黑客入侵事故?！?〕信任漏洞-比方本系統(tǒng)過分信任某個外來合作伙伴的機(jī)器，一旦這臺合作伙伴的機(jī)器被黑客入侵，那么本系統(tǒng)的平安受嚴(yán)重威脅。編輯ppt20個最危險的平安漏洞2002年5月發(fā)布〔〕三類平安漏洞：1〕影響所有系統(tǒng)的七個漏洞〔G1~G7〕2〕影響Windows系統(tǒng)的六個漏洞〔W1~W6)3〕影響Unix系統(tǒng)的七個漏洞〔U1~U7〕編輯pptG1-操作系統(tǒng)和應(yīng)用軟件的缺省安裝三、系統(tǒng)漏洞軟件開發(fā)商的邏輯是最好先激活還不需要的功能，而不是讓用戶在需要時再去安裝額外的組件。這種方法盡管對用戶很方便，但卻產(chǎn)生了很多危險的平安漏洞，因?yàn)橛脩舨粫鲃拥慕o他們不使用的軟件組件打補(bǔ)丁。而且很多用戶根本不知道實(shí)際安裝了什么，很多系統(tǒng)中留有平安漏洞就是因?yàn)橛脩舾静恢腊惭b了這些程序。大多數(shù)操作系統(tǒng)和應(yīng)用程序。應(yīng)該對任何連到Internet上的系統(tǒng)進(jìn)行端口掃描和漏洞掃描。卸載不必要的軟件，關(guān)掉不需要的效勞和額外的端口。這會是一個枯燥而且消耗時間的工作。編輯pptG2-沒有口令或使用弱口令的帳號三、系統(tǒng)漏洞易猜的口令或缺省口令是個嚴(yán)重的問題，更嚴(yán)重的是有的帳號根本沒有口令。應(yīng)進(jìn)行以下操作：1．審計(jì)你系統(tǒng)上的帳號，建立一個使用者列表。2．制定管理制度，標(biāo)準(zhǔn)增加帳號的操作，及時移走不再使用的帳號。3．經(jīng)常檢查確認(rèn)有沒有增加新的帳號，不使用的帳號是否已被刪除。當(dāng)雇員或承包人離開公司時，或當(dāng)帳號不再需要時，應(yīng)有嚴(yán)格的制度保證刪除這些帳號。4．對所有的帳號運(yùn)行口令破解工具，以尋找弱口令或沒有口令的帳號。編輯pptG3-沒有備份或者備份不完整三、系統(tǒng)漏洞從事故中恢復(fù)要求及時的備份和可靠的數(shù)據(jù)存儲方式。應(yīng)列出一份緊要系統(tǒng)的列表。制定備份方式和策略。重要問題：1． 系統(tǒng)是否有備份？2． 備份間隔是可接受的嗎？3． 系統(tǒng)是按規(guī)定進(jìn)行備份的嗎？4． 是否確認(rèn)備份介質(zhì)正確的保存了數(shù)據(jù)？5． 備份介質(zhì)是否在室內(nèi)得到了正確的保護(hù)？6． 是否在另一處還有操作系統(tǒng)和存儲設(shè)施的備份？〔包括必要的licensekey〕7． 存儲過程是否被測試及確認(rèn)？編輯pptG4-大量翻開的端口三、系統(tǒng)漏洞合法的用戶和攻擊者都通過開放端口連接系統(tǒng)。端口開得越多，進(jìn)入系統(tǒng)的途徑就越多。netstat命令可以在本地運(yùn)行以判斷哪些端口是翻開的,但更保險的方法是對你的系統(tǒng)進(jìn)行外部的端口掃描.在眾多的端口掃描器中，最流行的是nmap。一旦你確定了哪些端口是翻開的，接下來的任務(wù)是確定所必須翻開的端口的最小集合-關(guān)閉其他端口，找到這些端口對應(yīng)的效勞，并關(guān)閉/移走它們。編輯pptG5-沒有過濾地址不正確的包三、系統(tǒng)漏洞IP地址欺詐。例如smurf攻擊。對流進(jìn)和流出你網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過濾。1．任何進(jìn)入你網(wǎng)絡(luò)的數(shù)據(jù)包不能把你網(wǎng)絡(luò)內(nèi)部的地址作為源地址；必須把你網(wǎng)絡(luò)內(nèi)部的地址作為目的地址。任何離開你網(wǎng)絡(luò)的數(shù)據(jù)包必須把你網(wǎng)絡(luò)內(nèi)部的地址作為源地址；不能把你網(wǎng)絡(luò)內(nèi)部的地址作為目的地址。3．任何進(jìn)入或離開你網(wǎng)絡(luò)的數(shù)據(jù)包不能把一個私有地址〔privateaddress〕或在RFC1918中列出的屬于保存空間〔包括10.x.x.x/8,172.16.x.x/12或192.168.x.x/16和網(wǎng)絡(luò)回送地址/8.〕的地址作為源或目的地址。編輯pptG6-不存在或不完整的日志三、系統(tǒng)漏洞平安領(lǐng)域的一句名言是："預(yù)防是理想的，但檢測是必須的"。一旦被攻擊，沒有日志，你會很難發(fā)現(xiàn)攻擊者都作了什么。在所有重要的系統(tǒng)上應(yīng)定期做日志，而且日志應(yīng)被定期保存和備份，因?yàn)槟悴恢螘r會需要它。查看每一個主要系統(tǒng)的日志，如果你沒有日志或它們不能確定被保存了下來，你是易被攻擊的。所有系統(tǒng)都應(yīng)在本地記錄日志，并把日志發(fā)到一個遠(yuǎn)端系統(tǒng)保存。這提供了冗余和一個額外的平安保護(hù)層。不管何時，用一次性寫入的媒質(zhì)記錄日志。編輯pptG7-易被攻擊的CGI程序三、系統(tǒng)漏洞大多數(shù)的web效勞器，都支持CGI程序。1．從你的web效勞器上移走所有CGI示范程序。2．審核剩余的CGI腳本，移走不平安的局部。3．保證所有的CGI程序員在編寫程序時，都進(jìn)行輸入緩沖區(qū)長度檢查。4．為所有不能除去的漏洞打上補(bǔ)丁。5．保證你的CGIbin目錄下不包括任何的編譯器或解釋器。6．從CGIbin目錄下刪除"view-source"腳本。7．不要以administrator或root權(quán)限運(yùn)行你的web效勞器。大多數(shù)的web效勞器可以配置成較低的權(quán)限，例如"nobody."8．不要在不需要CGI的web效勞器上配置CGI支持。編輯pptW1-Unicode漏洞三、系統(tǒng)漏洞不管何種平臺，何種程序，何種語言，Unicode為每一個字符提供了一個獨(dú)一無二的序號。通過向IIS效勞器發(fā)出一個包括非法UnicodeUTF-8序列的URL,攻擊者可以迫使效勞器逐字"進(jìn)入或退出"目錄并執(zhí)行任意(程序)(script-腳本)，這種攻擊被稱為目錄轉(zhuǎn)換攻擊。Unicode用%2f和%5c分別代表/和\。但你也可以用所謂的"超長"序列來代表這些字符。"超長"序列是非法的Unicode表示符，它們比實(shí)際代表這些字符的序列要長。/和\均可以用一個字節(jié)來表示。超長的表示法，例如用%c0%af代表/用了兩個字節(jié)。IIS不對超長序列進(jìn)行檢查。這樣在URL中參加一個超長的Unicode序列，就可以繞過Microsoft的平安檢查。如果你在運(yùn)行一個未打補(bǔ)丁的IIS，那么你是易受到攻擊的。最好的判斷方法是運(yùn)行hfnetchk。編輯pptW2-ISAPI緩沖區(qū)擴(kuò)展溢出三、系統(tǒng)漏洞安裝IIS后，就自動安裝了多個ISAPIextensions。ISAPI，代表InternetServicesApplicationProgrammingInterface，允許開發(fā)人員使用DLL擴(kuò)展IIS效勞器的性能。一些動態(tài)連接庫，例如idq.dll，有編程錯誤，使得他們做不正確的邊界檢查。特別是，它們不阻塞超長字符串。攻擊者可以利用這一點(diǎn)向DLL發(fā)送數(shù)據(jù)，造成緩沖區(qū)溢出，進(jìn)而控制IIS效勞器。安裝最新的Microsoft的補(bǔ)丁。該漏洞不影響WindowsXP.同時，管理員應(yīng)檢查并取消所有不需要的ISAPI擴(kuò)展。經(jīng)常檢查這些擴(kuò)展沒有被恢復(fù)。請記住最小權(quán)限規(guī)那么，你的系統(tǒng)應(yīng)運(yùn)行系統(tǒng)正常工作所需的最少效勞。編輯pptW3-IISRDS的使用(MicrosoftRemoteDataServices)三、系統(tǒng)漏洞黑客可以利用IIS'sRemoteDataServices(RDS)中的漏洞以administrator權(quán)限在遠(yuǎn)端運(yùn)行命令。如果你在運(yùn)行一個未打補(bǔ)丁的系統(tǒng)，你是易被攻擊的。編輯pptW4-NETBIOS-未保護(hù)的Windows網(wǎng)絡(luò)共享三、系統(tǒng)漏洞ServerMessageBlock(SMB)協(xié)議，也稱為CommonInternetFileSystem(CIFS),允許網(wǎng)絡(luò)間的文件共享。不正確的配置可能會導(dǎo)致系統(tǒng)文件的暴露，或給予黑客完全的系統(tǒng)訪問權(quán)。在Windows的主機(jī)上允許文件共享使得它們?nèi)菀资艿叫畔⒏`賊和某種快速移動的病毒的攻擊。編輯ppt三、系統(tǒng)漏洞1．在共享數(shù)據(jù)時，確保只共享所需目錄。2．為增加平安性，只對特定IP地址進(jìn)行共享，因?yàn)镈NS名可以欺詐。3．對Windows系統(tǒng)(NT,2000)，只允許特定用戶訪問共享文件夾。4．對Windows系統(tǒng)，禁止通過"空對話"連接對用戶，組，系統(tǒng)配置和注冊密鑰進(jìn)行匿名列舉。在W5中有更詳盡的信息。5．對主機(jī)或路由器上的NetBIOS會話效勞(tcp139),MicrosoftCIFS(TCP/UDP445)禁止不綁定的連接。6．考慮在獨(dú)立或彼此不信任的環(huán)境下，在連接Internet的主機(jī)上部署RestrictAnonymousregistrykey。編輯pptW5-通過空對話連接造成的信息泄露空對話連接(nullsession)，也稱為匿名登錄，是一種允許匿名用戶獲取信息〔例如用戶名或共享文件〕，或不需認(rèn)證進(jìn)行連接的機(jī)制。explorer.exe利用它來列舉遠(yuǎn)程效勞器上的共享文件。在WindowsNT和Windows2000系統(tǒng)下，許多本地效勞是在SYSTEM帳號下運(yùn)行的，又稱為Windows2000的LocalSystem。很多操作系統(tǒng)都使用SYSTEM帳號。當(dāng)一臺主機(jī)需要從另一臺主機(jī)上獲取系統(tǒng)信息時，SYSTEM帳號會為另一臺主機(jī)建立一個空對話。SYSTEM帳號實(shí)際擁有無限的權(quán)利，而且沒有密碼，所以你不能以SYSTEM的方式登錄。SYSTEM有時需要獲取其它主機(jī)上的一些信息，例如可獲取的共享資源和用戶名等典型的網(wǎng)上鄰居功能。由于它不能以用戶名和口令進(jìn)入，所以它使用空對話連接進(jìn)入，不幸的是攻擊者也可以相同的方式進(jìn)入。編輯pptW6-WeakhashinginSAM(LMhash)盡管Windows的大多數(shù)用戶不需要LANManager的支持，微軟還是在WindowsNT和2000系統(tǒng)里缺省安裝了LANManager口令散列。由于LANManager使用的加密機(jī)制比微軟現(xiàn)在的方法脆弱，LANManager的口令能在很短的時間內(nèi)被破解。LANManager散列的主要脆弱性在于：長的口令被截成14個字符短的口令被填補(bǔ)空格變成14個字符口令中所有的字符被轉(zhuǎn)換成大寫口令被分割成兩個7個字符的片斷另外，LANManager容易被偵聽口令散列。偵聽可以為攻擊者提供用戶的口令。編輯pptU1-RPC效勞緩沖區(qū)溢出三、系統(tǒng)漏洞遠(yuǎn)程請求〔RemoteProcedureCalls〕允許一臺機(jī)器上的程序執(zhí)行另一臺機(jī)器上的程序。用來提供網(wǎng)絡(luò)效勞如NFS文件共享。由于RPC缺陷導(dǎo)致的弱點(diǎn)正被廣泛的利用著。有證據(jù)顯示，1999年到2000年間的大局部分布式拒絕效勞型攻擊都是在那些通過RPC漏洞被劫持的機(jī)器上執(zhí)行的。按照下面步驟保護(hù)你的系統(tǒng)防止該攻擊：1.只要允許，在可以從Internet直接訪問的機(jī)器上關(guān)閉或刪除這些效勞2.在你必須運(yùn)行該效勞的地方，安裝最新的補(bǔ)?。?.定期搜索供給商的補(bǔ)丁庫查找最新的補(bǔ)丁并立刻安裝。4.在路由或防火墻關(guān)閉RPC端口(port111)。5.關(guān)閉RPC"loopback"端口,32770-32789(TCPandUDP)編輯pptU2-Sendmail漏洞三、系統(tǒng)漏洞Sendmail是在UNIX和Linux上用的最多的發(fā)送，接收和轉(zhuǎn)發(fā)電子郵件的程序。Sendmail在Internet上的廣泛應(yīng)用使它成為攻擊者的主要目標(biāo)。過去的幾年里發(fā)現(xiàn)了假設(shè)干個缺陷。事實(shí)上，第一個建議是CERT/CC在1988年提出的，指出了Sendmail中一個易受攻擊的脆弱性。其中最為常用的是攻擊者可以發(fā)送一封特別的郵件消息給運(yùn)行Sendmail的機(jī)器，Sendmail會根據(jù)這條消息要求受劫持的機(jī)器把它的口令文件發(fā)給攻擊者的機(jī)器〔或者另一臺受劫持的機(jī)器〕，這樣口令就會被破解掉。Sendmail有很多的易受攻擊的弱點(diǎn)，必須定期的更新和打補(bǔ)丁。編輯pptU3-Bind脆弱性三、系統(tǒng)漏洞BerkeleyInternetNameDomain(BIND)是域名效勞DNS(DomainNameService)用的最多的軟件包。DNS非常重要，我們利用它在Internet上通過機(jī)器的名字〔例如〕找到機(jī)器而不必知道機(jī)器的IP地址。這使它成為攻擊者鐘愛的目標(biāo)。不幸的是，根據(jù)1999年中期的調(diào)查，連接在Internet上的50％的DNS效勞器運(yùn)行的都是易受攻擊的版本。在一個典型的BIND攻擊的例子里，入侵者刪除了系統(tǒng)日志并安裝了工具來獲取管理員的權(quán)限。然后他們編輯安裝了IRC工具和網(wǎng)絡(luò)掃描工具，掃描了12個B類網(wǎng)來尋找更多的易受攻擊的BIND。在一分鐘左右的時間里，他們就使用已經(jīng)控制的機(jī)器攻擊了幾百臺遠(yuǎn)程的機(jī)器，并找到了更多的可以控制的機(jī)器。編輯pptU4-R命令三、系統(tǒng)漏洞在UNIX世界里，相互信任關(guān)系到處存在，特別是在系統(tǒng)管理方面。公司里經(jīng)常指定一個管理員管理幾十個區(qū)域或者甚至上百臺機(jī)器。管理員經(jīng)常使用信任關(guān)系和UNIX的r命令從一個系統(tǒng)方便的切換到另一個系統(tǒng)。R命令允許一個人登錄遠(yuǎn)程機(jī)器而不必提供口令。取代詢問用戶名和口令，遠(yuǎn)程機(jī)器認(rèn)可來自可信賴IP地址的任何人。如果攻擊者獲得了可信任網(wǎng)絡(luò)里的任何一臺的機(jī)器，他〔她〕就能登錄任何信任該IP的任何機(jī)器。下面命令經(jīng)常用到：1. rlogin-remotelogin，遠(yuǎn)程登錄2. rsh-remoteshell，遠(yuǎn)程shell3. rcp-remotecopy,遠(yuǎn)程拷貝編輯pptU5-LPD(remoteprintprotocoldaemon)三、系統(tǒng)漏洞Unix里，in.lpd為用戶提供了與本地打印機(jī)交互的效勞。lpd偵聽TCP515端口的請求。程序員在寫代碼時犯了一點(diǎn)錯誤，使得當(dāng)打印工作從一臺機(jī)器傳到另一臺機(jī)器時會導(dǎo)致緩沖區(qū)溢出的漏洞。如果在較短的時間里接受了太多的任務(wù)，后臺程序就會崩潰或者以更高的權(quán)限運(yùn)行任意的代碼。編輯pptU6-sadmindandmountd三、系統(tǒng)漏洞Sadmind允許遠(yuǎn)程登錄到Solaris系統(tǒng)進(jìn)行管理，并提供了一個系統(tǒng)管理功能的圖形用戶接口。Mountd控制和判斷到安裝在UNIX主機(jī)上的NFS的連接。由于軟件開發(fā)人員的錯誤導(dǎo)致的這些應(yīng)用的緩沖區(qū)溢出漏洞能被攻擊者利用獲取root的存取權(quán)限。編輯pptU7-缺省SNMP字串三、系統(tǒng)漏洞SNMP(SimpleNetworkManagementProtocol,簡單網(wǎng)絡(luò)管理協(xié)議)是管理員廣泛使用的協(xié)議，用來管理和監(jiān)視各種各樣與網(wǎng)絡(luò)連接的設(shè)備，從路由器到打印機(jī)到計(jì)算機(jī)。SNMP使用沒有加密的公共字符串作為唯一的認(rèn)證機(jī)制。沒有加密已經(jīng)夠糟了，不僅如此，絕大局部SNMP設(shè)備使用的公共字符串還是"public"，只有少局部"聰明"的設(shè)備供給商為了保護(hù)敏感信息把字符串改為"private"。攻擊者可以利用這個SNMP中的漏洞遠(yuǎn)程重新配置或關(guān)閉你的設(shè)備。被監(jiān)聽的SNMP通訊能泄漏很多關(guān)于網(wǎng)絡(luò)結(jié)構(gòu)的信息，以及連接在網(wǎng)絡(luò)上的設(shè)備。入侵者可以使用這些信息找出目標(biāo)和謀劃他們的攻擊。編輯ppt1、掃描技術(shù)四、掃描器掃描技術(shù)是主要的一種信息收集型攻擊。地址掃描：運(yùn)用ping這樣的程序探測目標(biāo)地址端口掃描：向大范圍的主機(jī)連接一系列的TCP端口，掃描軟件報(bào)告它成功的建立了連接的主機(jī)所開的端口。反響映射：黑客向主機(jī)發(fā)送虛假消息，然后根據(jù)返回"hostunreachable"這一消息特征判斷出哪些主機(jī)是存在的。慢速掃描：由于一般掃描偵測器的實(shí)現(xiàn)是通過監(jiān)視某個時間里一臺特定主機(jī)發(fā)起的連接的數(shù)目〔例如每秒10次〕來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟件進(jìn)行掃描。編輯ppt2、什么是掃描器

四、掃描器掃描器是一種自動檢測遠(yuǎn)程或本地主機(jī)平安性弱點(diǎn)的程序。通過使用掃描器可不留痕跡的發(fā)現(xiàn)遠(yuǎn)程效勞器的各種TCP端口的分配、提供的效勞、使用的軟件版本！這就能間接的或直觀的了解到遠(yuǎn)程主機(jī)所存在的平安問題。編輯ppt四、掃描器平安掃描工具分類基于效勞器和基于網(wǎng)絡(luò)的掃描器?；谛谄鞯膾呙杵髦饕獟呙栊谄飨嚓P(guān)的平安漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感效勞，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決方法建議。通常與相應(yīng)的效勞器操作系統(tǒng)緊密相關(guān)?；诰W(wǎng)絡(luò)的平安掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的效勞器、路由器、網(wǎng)橋、交換機(jī)、訪問效勞器、防火墻等設(shè)備的平安漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數(shù))。編輯ppt掃描器分類端口掃描器(如：NMAP，PORTSCAN)掃描目標(biāo)機(jī)開放的效勞端口及其有關(guān)信息漏洞掃描器(如：ISS、NESSUS、SATAN等)對于重視平安的網(wǎng)站進(jìn)行漏洞掃描，可能一無所獲，因?yàn)榱餍械穆┒丛缫汛蜓a(bǔ)丁了。因此端口掃描器對黑客或許更有用。編輯ppt四、掃描器網(wǎng)絡(luò)平安掃描的主要性能：(1)速度。在網(wǎng)絡(luò)內(nèi)進(jìn)行平安掃描非常耗時。(2)網(wǎng)絡(luò)拓?fù)洹Ｍㄟ^GUI的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。(3)能夠發(fā)現(xiàn)的漏洞數(shù)量。(4)是否支持可定制的攻擊方法。因?yàn)榫W(wǎng)絡(luò)內(nèi)效勞器及其它設(shè)備對相同協(xié)議的實(shí)現(xiàn)存在差異，所以預(yù)制的掃描方法肯定不能滿足客戶的需求。(5)報(bào)告，掃描器應(yīng)該能夠給出清楚的平安漏洞報(bào)告。(6)更新周期。提供該項(xiàng)產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應(yīng)的改進(jìn)建議。編輯ppt3、掃描器的工作原理四、掃描器掃描器通過選用遠(yuǎn)程TCP/IP不同的端口的效勞，并記錄目標(biāo)給予的答復(fù)，通過這種方法，可以搜集到很多關(guān)于目標(biāo)主機(jī)的各種有用的信息掃描器能夠發(fā)現(xiàn)目標(biāo)主機(jī)某些內(nèi)在的弱點(diǎn)，這些弱點(diǎn)可能是破壞目標(biāo)主機(jī)平安性的關(guān)鍵性因素。但是，要做到這一點(diǎn)，必須了解如何識別漏洞。掃描器對于Internet平安性之所以重要，是因?yàn)樗鼈兡馨l(fā)現(xiàn)網(wǎng)絡(luò)的弱點(diǎn)。編輯ppt4、掃描器的功能四、掃描器掃描器并不是一個直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能幫助我們發(fā)現(xiàn)目標(biāo)機(jī)的某些內(nèi)在的弱點(diǎn)。一個好的掃描器能對它得到的數(shù)據(jù)進(jìn)行分析，幫助我們查找目標(biāo)主機(jī)的漏洞。但它不會提供進(jìn)入一個系統(tǒng)的詳細(xì)步驟。掃描器應(yīng)該有三項(xiàng)功能：1〕發(fā)現(xiàn)一個主機(jī)或網(wǎng)絡(luò)的能力；2〕一旦發(fā)現(xiàn)一臺主機(jī)，有發(fā)現(xiàn)什么效勞正運(yùn)行在這臺主機(jī)上的能力；3〕通過測試這些效勞，發(fā)現(xiàn)漏洞的能力。編輯ppt5、常用的端口掃描技術(shù)四、掃描器TCPconnect()掃描這是最根本的TCP掃描。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來與目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功。否那么，這個端口是不能用的，即沒有提供效勞。不需要任何權(quán)限。系統(tǒng)中的任何用戶都有權(quán)利使用這個調(diào)用。另一個好處就是速度。如果對每個目標(biāo)端口以線性的方式，使用單獨(dú)的connect()調(diào)用，那么將會花費(fèi)相當(dāng)長的時間，你可以通過同時翻開多個套接字，從而加速掃描。這種方法的缺點(diǎn)是容易被覺察，并且被過濾掉。目標(biāo)計(jì)算機(jī)的logs文件會顯示一連串的連接和連接是出錯的效勞消息，并且能很快的使它關(guān)閉。編輯ppt5、常用的端口掃描技術(shù)四、掃描器TCPSYN掃描“半開放〞掃描，這是因?yàn)閽呙璩绦虿槐匾_一個完全的TCP連接。掃描程序發(fā)送的是一個SYN數(shù)據(jù)包，好象準(zhǔn)備翻開一個實(shí)際的連接并等待反響一樣〔參考TCP的三次握手建立一個TCP連接的過程〕。一個SYN|ACK的返回信息表示端口處于偵聽狀態(tài)。一個RST返回，表示端口沒有處于偵聽?wèi)B(tài)。如果收到一個SYN|ACK，那么掃描程序必須再發(fā)送一個RST信號，來關(guān)閉這個連接過程。這種掃描技術(shù)的優(yōu)點(diǎn)在于一般不會在目標(biāo)計(jì)算機(jī)上留下記錄。但這種方法的一個缺點(diǎn)是，必須要有root權(quán)限才能建立自己的SYN數(shù)據(jù)包。編輯ppt5、常用的端口掃描技術(shù)四、掃描器TCPFIN掃描〔發(fā)送者無數(shù)據(jù)〕有的時候有可能SYN掃描都不夠秘密。一些防火墻和包過濾器會對一些指定的端口進(jìn)行監(jiān)視，有的程序能檢測到這些掃描。相反，F(xiàn)IN數(shù)據(jù)包可能會沒有任何麻煩的通過。這種掃描方法的思想是關(guān)閉的端口會用適當(dāng)?shù)腞ST來回復(fù)FIN數(shù)據(jù)包。另一方面，翻開的端口會忽略對FIN數(shù)據(jù)包的回復(fù)。這種方法和系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系。有的系統(tǒng)不管端口是否翻開，都回復(fù)RST，如NT.這樣，這種掃描方法就不適用了。并且這種方法在區(qū)分Unix和NT時，是十分有用的。編輯ppt5、常用的端口掃描技術(shù)四、掃描器UDPICMP端口不能到達(dá)掃描這種方法與以上方法的區(qū)別是使用UDP協(xié)議。由于這個協(xié)議很簡單，所以掃描變得相比照較困難。這是由于翻開的端口對掃描探測并不發(fā)送一個確認(rèn)，關(guān)閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包。幸運(yùn)的是，許多主機(jī)在你向一個未翻開的UDP端口發(fā)送一個數(shù)據(jù)包時，會返回一個ICMP_