黑客攻击与网络安全.ppt

1、第五讲：黑客攻击与网络安全,黑客简介认识黑客黑客的历史著名黑客介绍黑客技术信息收集技术安全扫描技术网络攻击技术,认识黑客电脑时代的牛仔,在未来的时代里，只有黑客能改变这个世界的所有秩序，无论是经济秩序，还是军事秩序。德国快捷报,巡游五角大楼，登录克里姆林宫，进出全球所有计算机系统，摧跨全球金融秩序和重建新的世界格局，谁也阻挡不了我们的进攻，我们才是未来世界的主宰。美国 凯文米特尼克,最让我束手无策的商业对手便是那些隐藏在网络后面的黑客。比尔盖茨,如何理解黑客（Hacker）,Hack:cut roughly or clumsily,chop 意指砍、劈引申：干了一件漂亮的事Hacker：MIT

2、校园俚语恶作剧 手法巧妙、技术高明的反潮流的恶作剧,黑客：试图闯入计算机并试图造成破坏的人？,飞客、黑客和骇客,黑客（Hacker）：黑客拥有操作系统和编程语言等的丰富知识，他们能发现系统中的漏洞及出现这些漏洞的原因,但不会破坏系统。,骇客（Cracker）：指怀有恶意企图、入侵到远端计算机或者破坏远端系统的完整性的人。,飞客（Phreak）：早期攻击电话网的青少年，研究各种盗打电话而不用付费的技术。,黑客和骇客的区别,Hacker与Cracker的最主要区别：Hacker：创造新东西Cracker：破坏东西对一个黑客来说，学会入侵和破解是必要的，但最主要的还是编程，毕竟，使用工具是体现别人的

3、思路，而程序是自己的想法.一句话-编程实现一切。对于一个骇客来说，他们只追求入侵的快感，不在乎技术，他们不会编程，不知道入侵的具体细节。Eric Raymond（开放原始码计划创始人，著名的hacker）,现在，逐渐用Hacker这个词来形容Cracker，“黑客”渐渐被公众理解成贬义词。,黑客的历史,古典黑客时代：60-70年代：1961年，MIT，人工智能实验室指那些可以随心所欲编写计算机程序实现自己意图的计算机高手。没有任何贬义。在美国的大本营：MIT斯坦福CMU,黑客的历史,现代黑客时代：80年代以后，有些黑客把精力放到寻找各种各样的系统漏洞上,并利用系统漏洞进行网络攻击来表现自我。真

4、正的黑客称他们为“骇客”，具有明显的贬义。特征：集团化、商业化、政治化,著名黑客组织大屠杀2600 http:/绿色兵团 http:/（现绿盟科技）,中国黑客历史,第一次接入因特网：1994年4月20日，中国NCFC工程通过美国Sprint公司连入Internet的64K国际专线开通，实现了与Internet的全功能连接，中国成为直接接入Internet的国家第一起电脑黑客事件：1998年6月16日，上海某信息网的工作人员在例行检查时，发现网络遭到不速之客的袭击。,中国黑客历史,两起著名的黑客战争1998年印尼反华事件中国黑客开始组织起来，以68人为单位，向印尼政府网站的信箱中发送垃圾邮件，用

5、Ping的方式攻击印尼网站。这些很原始的攻击方法造就了中国黑客最初的团结与合作的精神，为后来的中国红客的形成铺垫了基础。2000年美国轰炸南斯拉夫大使馆事件全世界的华人首次团结一致，众多美国网站被攻击，大规模的垃圾邮件也使得美国众多邮件服务器瘫痪失灵现状国内黑客中已是为了谋取暴利而散发木马的“毒客”占主流。中国互联网形成了惊人完善的黑客病毒产业链，制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，分工明确。,早期黑客的贡献,解放计算机“计算机属于人民”播种个人计算机的火种微软建立了INTERNET，促使网络发展涌现了一批信息革命的先驱如 比尔盖茨、保罗艾伦,黑客守则,不恶意破坏系统不修改

6、系统文档，除非有绝对的必要不在bbs上谈论入侵事项发表文章时不用真名入侵期间，不要随意离开你的电脑。不入侵政府机关系统不删除或修改已入侵主机的帐号不将破解的信息与人分享,黑客的必备技能,学习程序设计对操作系统有深入的研究熟悉网络协议收集相关系统漏洞，对已知漏洞的分析能帮助发现新漏洞和提高防护能力,著名黑客介绍,罗伯特莫里斯（Robert Morris）蠕虫之父凯文米特尼克（Kevin Mitnick）世界头号黑客朱利安阿桑奇（Julian Assange）黑客罗宾汉,著名黑客之罗伯特莫里斯,1988年11月3日，美国六千多台计算机（占整个互联网十分之一）被WORM病毒感染。美国政府立即作出反应

7、，美国国防部成立了计算机应急行动小组。这次病毒事件，计算机系统直接经济损失高达上百亿美元。,著名黑客之罗伯特莫里斯,Robert Morris（罗伯特莫里斯），是康奈尔(Cornell)大学一个23岁的研究生。罗伯特莫里斯成了入侵ARPANET网的最大的电子入侵者。此后，“Hacker”一词开始在英语中被赋予了特定的含义。莫里斯的父亲是美国国家安全局的首席科学家，曾参与设计早期ARPANET网的设计。,著名黑客之罗伯特莫里斯,莫里斯编的这个程序叫Worm（蠕虫），只有99行莫里斯被判3年缓刑，罚款1万美元，以及400小时的社区义务服务。纽约时报头版头条,那一年，美国总统里根因此而签署了计算机安

8、全法令,著名黑客之米特尼克,Kevin Mitnick 世界头号黑客小学时就因为使用学校计算机闯入其他学校的网络而退学。14岁闯入北美空中防务指挥系统的电脑主机，翻遍了美国指向苏联及其盟国的所有核弹头的数据资料。15岁闯入联邦调查局的电脑网络，发现特工们正调查一名电脑黑客（正是他自己！）。进了少管所 成了世界上第一位电脑网络少年犯,著名黑客之米特尼克,假释后，连续闯入美国五家大公司的网络。1988年他再次被逮捕，DEC（数字设备公司）指控他从公司网络上盗取了价值100万美元的软件，并造成了该公司400万美元的损失。米特尼克被判一年徒刑。出狱后，联邦政府认为他是对社会的一个威胁，因此仍处于严密监

9、视下。,著名黑客之米特尼克,1993年，联邦调查局收买了一个黑客同伙，诱使米特尼克重操故技，非法侵入了一家电话网。1994年再次发动攻击包括对美国最出色的电脑安全专家、日籍计算机专家下村勉。同年，成为时代杂志的封面人物下村勉协助联邦调查局将米特尼克缉拿归案。1995年2月，米特尼克再次被送上了法庭，被指控盗窃2万个信用卡号码。,著名黑客之米特尼克,被囚禁到1999年3月，最后被判监禁5年。于2000年1月获释。未得到警官批准，在2003年以前不得使用电脑以及一切与电脑有关的电子设备。2002年，推出了一本畅销书欺骗的艺术必读反恐教材。更多了解逃亡者游戏，乔纳森利特曼（Jonatnan Litt

10、man），1996,“维基解密”的创始人维基泄密”是一个以揭秘为职业的网站，致力于揭露政府、企业腐败行为，每天贴出30份以上机密文件童年时，由于阿桑奇的父母开办了一个流动演出公司，阿桑奇从小就过着吉普赛人式的流浪生活。他在中小学阶段一共上过37个学校，还上过6个大学,著名黑客之阿桑奇,16岁时，孤独的朱利安成为了一名网络黑客。20岁时，朱利安与黑客好友们闯入加拿大一家电信公司的网络终端，随后他被逮捕并承认了25项指控。法官最终以“智能好奇”为理由只判决他支付小额的赔偿金。2006年，朱利安决定创建“维基解密”，在他看来，信息的透明和自由交流会有效的阻止非法治理。,著名黑客之阿桑奇,“维基解密”

11、通过各种渠道搜集信息，它也成为美国及其它一些政府的“眼中钉”。此次驻阿美军作战记录的泄密令美国政府震怒2010年39岁的澳大利亚人阿桑奇被指涉嫌性骚扰和强奸。2010年12月16日，阿桑奇在英国高等法院的庭审后获得保释,著名黑客之阿桑奇,黑客和黑客技术,如何理解hackerHacker的定义？Hacker代表了数字时代的一种文化强盗和侠客如何界定？警察和匪徒如何界定？从道德和技术两方面来看道德：服从人民大众的利益技术：过硬还需要强烈的热忱和坚持不懈的毅力黑客技术防护技术的一部分发展黑客技术，也是为了更加有效地实施系统防护技术繁多，没有明显的理论指导,黑客技术,黑客技术是防护技术的一部分发展黑客

12、技术，也是为了更加有效地实施系统防护,从一个攻击过程来看待黑客技术攻击过程中涉及到的技术都可以看成黑客技术有时候，一种技术既是黑客技术，也是网络管理技术，或者网络防护技术,黑客技术,粗分类信息收集技术：入侵之前的准备入侵技术：拒绝服务、欺骗、溢出、病毒邮件，信息获取：入侵之后的增值服务，如木马、破解口令等藏匿：希望自己被发现吗？其他：比如针对cookie或者一些协议、机制的攻击,黑客攻击的三部曲,踩点-扫描-攻击,踩点信息收集，攻击之前的准备，利用whois、nslookup、ping、tracert等获取信息；扫描安全侦测，利用自制或专用扫描工具；攻击实施攻击，建立帐户、获取特权、安装木马、

13、全面攻击、系统入侵等等。,系统入侵的一般步骤,信息收集技术（踩点）,信息收集技术是一把双刃剑黑客在攻击之前需要收集信息，才能实施有效的攻击管理员用信息收集技术来发现系统的弱点,攻击工具攻击命令,攻击机制,目标网络,目标系统,黑客,漏洞扫描评估,攻击过程,实时入侵检测,信息收集过程,信息收集是一个综合过程从一些社会信息入手找到网络地址范围找到关键的机器地址找到开放端口和入口点找到系统的制造商和版本,社会信息,DNS域名网络实名管理人员在新闻组或者论坛上的求助信息也会泄漏信息网站的网页新闻报道例如：XX公司采用XX系统，搜索引擎 这样的信息可以合法地获取,网络实名,例如：某校园网的公开信息,非网络

14、技术的信息收集手段,社交工程（Social Engineering）指欺骗、操纵或控制人们提供有关某公司、组织或个人的隐私信息。如假冒网管人员，骗取员工的口令等；垃圾搜集垃圾箱里或许能提供重要的信息，如IP地址、口令等；身份伪装黑客有时伪装成重要人物，利用职务之便获取信息；查电话簿、XX手册(指南)在信息时代，只要存在，就没有找不到的。,信息收集：whois,Whois为Internet提供目录服务，包括名字、通讯地址、电话号码、电子邮箱、IP地址等信息Client/Server结构Client端发出请求，接受结果，并按格式显示到客户屏幕上Server端建立数据库，接受注册请求提供在线查询服务

15、客户程序whois查询工具直接通过Web查询如:http:/,一些Whois工具,WEB上的Whois工具,WEB上的Whois工具,信息收集：nslookup,nslookupnslookup是一个功能强大的客户程序,可以用来查询DNS(Domain Name Server,域名服务器用于把域名翻译成电脑能识别的IP地址)中的各种数据，例如域名对应的IP地址等熟悉nslookup，就可以把DNS数据库中的信息挖掘出来客户程序nslookup命令nslookup查询工具,Nslookup交互环境中常用命令,Nslookup domain name DNSSet q=XXX，设定查询类型，有mx

16、、ns等Ls,列出记录,Nslookup命令演示,IP-TOOLS工具的nslookup查询结果,DNS&nslookup,通过nslookup可以做什么？区域传送：可以列出DNS节点中所有的配置信息这是为了主DNS和辅DNS之间同步复制才使用的查看一个域名，根据域名找到该域的域名服务器反向解析，根据IP地址得到域名名称从一台域名服务器可以得到哪些信息？如果支持区域传送，不用客气，拿下来看一看否则的话，至少可以发现以下信息邮件服务器的信息，在实用环境中，邮件服务器往往在防火墙附近，甚至就在同一台机器上其他，比如ns、www、ftp等，这些机器可能被托管给ISP,其他信息收集方法,ping 用来

17、判断远程设备可访问性最常用的方法。检测网络连通情况分析网络速度 ping t-n a IP地址tracert用来发现实际的路由路径。tracert IP地址,黑客攻击与网络安全,黑客技术信息收集技术安全扫描技术网络攻击技术,信息收集：扫描技术,端口扫描（Port scanning）:找出网络中开放的服务端口扫描可以确认各种配置的正确性，避免遭受不必要的攻击端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器,安全扫描技术,扫描器（Scanner）扫描器是检测远程或本地系统安全脆弱性的软件，通过与目标主机TCP/IP端口建立连接并请求某些服务，记录目标主机的应答，搜集目标主机相关信息，从

18、而发现目标主机存在的安全漏洞。,扫描技术双刃剑安全评估工具：管理员用来确保系统的安全性黑客攻击工具：黑客用来探查系统的入侵点,扫描器的历史,早期80年代，网络没有普及，上网的好奇心驱使许多年轻人通过Modem拨号进入到UNIX系统中于是，出现了war dialer（战争拨号器）自动扫描，并记录下扫描的结果War dialer因黑客电影War Games成名，1983,扫描器的历史,ISS：Internet Security Scanner1992年，由Chris Klaus编写，该工具可以远程探测UNIX系统的各种漏洞ISS是Internet上用来进行远程安全评估扫描的最早的工具之一，它能识别

19、出几十种常见的安全漏洞。,Chris Klaus后来创办了著名的网络安全公司ISS（Internet Security Systems）,扫描器的历史,SATAN:Security Administrators Tool for Analyzing Networks 1995年4月发布，引起了新闻界的轰动 时代界面上的突破，从命令行走向图形界面(使用HTML界面)两位作者(Dan Farmer写过网络安全检查工具COPS，另一位Weitse Venema是TCP_Wrapper的作者),自ISS和SATAN问世以来，扫描器的基本理论和基本概念没有改变多少,扫描器的历史,Nmap作者Fyodor

20、，研究了诸多扫描器，每一种扫描器都有自己的优点，作者把所有这些技术集成起来，写成了Nmap，因此技术上Nmap是最先进的扫描技术大集成源码开放，C语言两篇技术文档The Art of Port ScanningRemote OS detection via TCP/IP Stack FingerPrinting除了扫描功能，更重要的是，结合了功能强大的通过栈指纹来识别操作系统的众多技术,甚至识别内核的版本,安全扫描技术,扫描器的基本工作原理 扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。扫描器测试TCP/IP端口和服务，并记录目标的回答。通过这种方法，可以搜集到关于目标主机

21、的有用信息。,扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助我们发现目标机的某些存在的弱点。但它不会提供进入一个系统的详细步骤。,安全扫描技术,扫描器的分类数据库安全扫描器操作系统安全扫描器网络安全扫描器扫描器的扫描技术端口扫描（port scanning）漏洞扫描(vulnerability scanning),安全扫描技术,扫描器的构成 漏洞数据：内部的漏洞信息数据库；扫描机制：要求能正确识别出对应的服务、子系统以及漏洞；报告机制：要求能清晰的报告扫描结果。,安全扫描技术,扫描器的功能 发现一个主机和网络的能力发现系统运行的服务的能力通过测试这些服务，发现漏洞的能力 进一步的功能：

22、如操作系统辨识、应用系统识别,人工测试单台主机的脆弱点是一项极其繁琐的工作，而扫描器能轻易的解决这些问题。,安全扫描技术,扫描器的重要性扫描器能够检测网络和系统潜在的脆弱性无论扫描器被管理员利用，或者被黑客利用，都有助于加强系统的安全性它能使得漏洞被及早发现，而漏洞迟早会被发现,扫描器的重要性完整性、时间性、准确性,扫描是否合法未经授权对目标网络进行扫描是违法的！,完整性这些产品多数都能扫描出很多已知的漏洞，但没有一种能够识别出所有的漏洞时间性这些产品多数都是每个季度更新一次，如果某个漏洞于一月份公布，扫描器可能要到三月份才能检测到这种漏洞，期间两个月的时间得由用户自己检查有关的安全问题。准确

23、性多数现代的扫描器都简单地采用标志提取技术来识别各种服务版本。这种技术在多数环境下是可行的，但有时也会产生错误的结果。,扫描器的缺陷,安全扫描技术操作系统识别,操作系统识别的动机许多漏洞是系统相关的，而且往往与相应的版本对应从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识操作系统操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会工程,安全扫描技术操作系统识别,如何识别一个操作系统一些端口服务的提示信息例如，telnet、http、ftp等服务的提示信息TCP/IP栈指纹DNS泄漏出OS信息,端口服务提供的信息,Telnet服务Http服务Ftp服务,某大学的ftp进站页

24、面,技术导向可辨识的OS的种类，包括哪些操作系统结论的精确度，细微的版本差异是否能识别,操作系统识别栈指纹技术,定义 利用TCP/IP协议栈实现的特点来辨识操作系统,方法 寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确地识别出一个系统的OS版本,工具Nmap技术上，是最先进的扫描技术大集成结合了功能强大的栈指纹识别等先进技术http:/www.insecure.org/nmap/,操作系统识别栈指纹技术,产生报表,扫描漏洞,收集服务类型/版本,端口扫描,检验操作系统,扫描网络,Solaris 2.6,10.10.10.X,Windows 2000,IIS 5

25、.0,HP 10.20,SMTP,Telnet,WWW,Apache 3.0,Sendmail 8.9.3,扫描模块,各扫描模块共享扫描结果,数据库,IP地址并发扫描,输入:扫描目标对象,输出:系统漏洞列表,Alive,Alive,Alive,扫描器的典型扫描过程,安全扫描技术,SANS公布的TOP20安全漏洞SANS协会（SysAdmin,Audit,Network,Security）是一个由政府，企业和学术专家组成的安全研究和教育机构。The Twenty Most Critical Internet Security Vulnerabilities http:/www.sans.org/

26、top20/index.php,扫描器举例,SSS（Shadow Security Scanner）俄罗斯安全界非常专业的安全漏洞扫描软件，具有安全扫描，口令检查，操作系统检查等强大功能。RETINA Network Security Scanner 美国著名网络安全公司eEye公司的网络安全扫描产品，曾在国外的安全评估软件评测中名列第一。,黑客攻击与网络安全,黑客技术信息收集技术安全扫描技术网络攻击技术,黑客攻击的三部曲,踩点-扫描-攻击,踩点信息收集，攻击之前的准备，利用whois、nslookup、ping、tracert等获取信息；扫描安全侦测，利用自制或专用扫描工具；攻击实施攻击，建

27、立帐户、获取特权、安装木马、全面攻击、系统入侵等等。,黑客攻击技术,按照攻击的性质及其手段，可将通常的网络攻击分为以下四个类型：口令攻击拒绝服务攻击利用型攻击假消息攻击,口令攻击,口令识别是应用最为广泛的身份认证技术,口令识别的脆弱点：网络窃听 重放攻击 字典攻击 暴力攻击,口令攻击,口令攻击是指通过猜测破解或获取口令文件等方式获得系统认证口令从而进入系统,攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源,字典攻击（Dictionary Attack）,字典攻击指将人们可能用作口令的英文单词

28、或者字符组合制作成一个字典，利用逐个试探的方式进行破解。字典攻击的特点字典是破解的基础，它是一个单词明码正文表字典攻击成功的概率和字典字库的大小成正比,暴力攻击（Brute Force Attack）,暴力攻击是指利用穷举搜索法在所有的组合方式中试探口令的攻击方式，通常需要将指定的字母、数字、特殊符号集合中所有符号的排列组合进行穷举试探。暴力攻击的特点最全面的攻击形式可灵活设定暴力攻击的搜索范围 通常需要较长的时间破解,混合攻击（Hybrid Attack）,混合攻击是指将数字和符号添加到单词的前缀或后缀组成口令来试探密码，例如“admin1”、“user123”等混合攻击是字典攻击和暴力攻击

29、的结合半字典半暴力攻击（Directionary/Brute Force Attack）混合攻击的特点大大缩小排列组合的空间 破解速度比暴力攻击要快,口令攻击,常见的不安全口令无口令、默认口令使用用户名（账号）作为口令 使用用户名（账号）的变换形式作为口令 使用自己或者亲友的生日作为口令 使用学号、身份证号等作为口令 使用常用的英文单词作为口令,口令攻击,安全口令的建议口令长度至少要有8位 口令应包括大小写字母、数字、控制符等 不要将口令写在电脑上或纸条上要养成定期更换口令的习惯尽量不要在电脑上保存口令,口令破解工具,最著名的口令破解工具是 John the Ripper和L0pht Crac

30、k,John the Ripper用来破解Unix系统口令 最新版本1.7.9http:/,L0pht Crack用来破解Windows 2000/NT口令最新版本LC6http:/,口令破解工具,TScrack远程密码破解：针对Win2000终端服务的一个密码破解程序。这个程序被微软推荐给用户使用，来检查终端服务密码的强壮性。程序可在本地虚拟远程终端连接窗口，通过密码字典进行破解。可以指定多种参数,使用比较灵活,破解速度视攻击主机与被攻击主机网络带宽而变化。,口令破解工具TScrack图示,拒绝服务攻击,拒绝服务攻击（DoS，Denial of Service）通过使计算机功能或性能崩溃来阻

31、止对方提供服务，例如使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。拒绝服务攻击的目的是破坏计算机或网络的正常运行，使之无法提供正常的服务。,拒绝服务攻击,拒绝服务的攻击方式消耗带宽：指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。侵占资源：指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。使系统和应用崩溃：指利用程序本身的漏洞使系统崩溃。,拒绝服务攻击,著名的拒绝服务攻击事件：1988年11月，Morris Worm 蠕虫病

32、毒 2000年2月，“电子珍珠港”事件 2002年10月，攻击互联网DNS根服务器 2003年1月25日，“2003蠕虫王”病毒,拒绝服务攻击,常见的拒绝服务攻击：死亡之ping（ping of death）泪滴攻击（teardrop）Land攻击 Smurf攻击 Fraggle攻击 SYN洪水攻击（SYN flood）,分布式拒绝服务（DDoS）,分布式拒绝服务攻击（DDoS，Distributed Denial of Servie）DDoS攻击的方法：DDoS是在传统的DoS攻击基础之上产生的一类攻击方式。DDoS使用与普通的拒绝服务攻击同样的方法,但是发起攻击的源是多个，利用多台计算机同

33、时向目标网站发送大量信息从而达到使对方拒绝服务的目的。,分布式拒绝服务攻击图示,分布式拒绝服务攻击图示,DDOS攻击方法及防范,攻击的两阶段：第一阶段控制大量主机利用系统的漏洞获得大量主机系统的控制权，并安装DDoS工具；第二个阶段发起攻击向目标发送大量的TCP/UDP/ICMP包，导致系统资源耗尽或网络拥塞，从而使目标系统或网络不能响应正常请求。DDoS防范：很难防范网络中所有的系统都要安全的配置，不使之成为DDoS的源；路由器/防火墙配置：过滤伪造源地址的IP包,分布式拒绝服务（DDoS）,DDoS常用工具：Trinoo TFN/TFN2K（Tribal Flood Network）Stacheldraht,利用型攻击,利用型攻击 利用型攻击是一类试图直接对主机进行控制的攻击。常见的利用型攻击：特洛伊木马缓冲区溢出,利用型攻击,特洛伊木马（Trojan Horse）由来：源于希腊对特洛