保障与安全攻击.ppt
《保障与安全攻击.ppt》由会员分享,可在线阅读,更多相关《保障与安全攻击.ppt(61页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、攻击(攻击(1)一、攻击的基本概念一、攻击的基本概念11、攻击的位置、攻击的位置一、攻击的一些基本概念 简单的入侵一个个人用户的机器,或是使某个大型主机完全瘫痪直至破坏掉所有的数据,都称为攻击。(1)远程攻击:从该子网以外的地方向该子网或者该子网内的系统发动攻击(时间、地点)。(2)本地攻击:通过所在的局域网,向本单位的其他系统发动攻击,在本机上进行非法越权访问也是本地攻击。(3)伪远程攻击:指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象。22、攻击的层次、攻击的层次一、攻击的一些基本概念1)简单拒绝服务(如邮件炸弹攻击).2)本地用
2、户获得非授权读或者写权限3)远程用户获得了非授权的帐号4)远程用户获得了特权文件的读写权限5)远程用户拥有了根(root)权限)33、攻击的目的、攻击的目的一、攻击的一些基本概念1)进程的执行2)获取文件和传输中的数据3)获得超级用户权限4)对系统的非法访问5)进行不许可的操作6)拒绝服务7)涂改信息8)暴露信息9)挑战10)政治意图11)经济利益12)破坏44、攻击的人员、攻击的人员一、攻击的一些基本概念1)黑客:为了挑战和获取访问权限2)间谍:为了政治情报信息3)恐怖主义者:为了政治目的而制造恐怖4)公司雇佣者:为了竞争经济利益5)职业犯罪:为了个人的经济利益6)破坏者:为了实现破坏55、
3、攻击的工具、攻击的工具一、攻击的一些基本概念1)用户命令:攻击者在命令行状态下或者图形用户接口方式输入命令。2)脚本或程序:在用户接口处初始化脚本和程序。3)自治主体:攻击者初始化一个程序或者程序片断,独立地执行操作,挖掘弱点。4)工具箱:攻击者使用软件包(包含开发弱点的脚本、程序、自治主体)。5)分布式工具:攻击者分发攻击工具到多台主机,通过协作方式执行攻击特定的目标。6)电磁泄漏66、攻击的时间、攻击的时间一、攻击的一些基本概念大部分的攻击(或至少是商业攻击时间)一般是服务器所在地的深夜。客观原因。在白天,大多数入侵者要工作或学习,以至没空进行攻击。速度原因。网络正变得越来越拥挤,因此最佳
4、的工作时间是在网络能提供高传输速度的时间速率的时间。保密原因。白天系统管理员一旦发现有异常行为。他们便会跟踪而来。7二、远程攻击的步骤二、远程攻击的步骤81、寻找目标主机并收集目标信息寻找目标主机并收集目标信息二、远程攻击的步骤1)锁定目标 因特网上每一台网络主机都有一个名字,术语称做域名;然而在网上能真正标识主机的是IP地址,域名只是用IP地址指定的主机便于好记而起的名字。利用域名和IP地址都可以顺利找到主机。DNS协议不对转换或信息的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。黑客只需实施一次域转换操作就能得到所有主机的名称以及内部IP地址。91、寻找目标主机并收集目标信息
5、寻找目标主机并收集目标信息二、远程攻击的步骤2)服务分析 用提供不同服务的应用程序试一试就知道了,例如:使用Telnet、FTP等用户软件向目标主机申请服务,如果主机有应答就说明主机提供了这个服务,开放了这个端口的服务。黑客常用一些象PORTSCAN这样的工具软件,对目标主机一定范围的端口进行扫描。这样可全部掌握目标主机的端口情况。HAKTEK是一个非常实用的工具软件,它将许多应用集成在一起的工具,其中包括:Ping、IP地址范围扫描、目标主机端口扫描、邮件炸弹、过滤邮件、Finger主机等是非常实用的工具。101、寻找目标主机并收集目标信息寻找目标主机并收集目标信息二、远程攻击的步骤3)系统
6、分析 目标主机采用的是什么操作系统。黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法。通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。打开WIN95的RUN窗口,然后输入命令:Telnet(目标主机)然后按确定,会出现什么?Digital UNIX()(ttyp1)login:11Telnet,也就是虚终端服务。它允许一台主机上的用户登录进另一台远程主机,并在远程主机中工作,而用户当前所使用的主机好象仅仅是远程主机的一个终端。FTP,即文件传输协议。提供了一个有效的
7、途径,将数据从一台主机传送到另一台主机。文件传输有文本和二进制两种模式。文本模式用来传输文本文件,并实现一些格式转换。SMTP,即电子邮件服务使用缺省的端口25,以电子数据的方式,使用户快速、方便地传送信息。即使相隔大洲、大洋,电子邮件也可以在短短的几分钟内到达接收方的电子信箱。HTTP,即超文本传输协议,用来在WWW服务器上取得用超文本标记语言书写的页面。121、寻找目标主机并收集目标信息寻找目标主机并收集目标信息二、远程攻击的步骤4)获取帐号信息 对于陌生的目标主机可能只知道它有一个ROOT用户,至于其他帐户一无所知,要想登录目标主机我们至少要知道一个普通用户.a.利用目标主机的Finge
8、r功能 对黑客软件HAKTEK,它的Finger功能可以完全胜任,记录帐号信息,经过一段时间的监测,就会积累一定的帐号信息。finger很可能暴露入侵者的行为,为了避免finger查询产生标记,绝大多数入侵者使用finger gateways(finger网关)。131、寻找目标主机并收集目标信息寻找目标主机并收集目标信息二、远程攻击的步骤b.来源于电子邮件地址 有些用户电子邮件地址(指符号前面的部分)与其取邮件的帐号是一致的c.非常全面的X.500功能 有些主机提供了X.500的目录查询服务。如何知道是否提供X.500的功能,扫描目标主机的端口,如果端口105的状态已经被激活,在自己的机器上
9、安装一个X.500的客户查询的工具,选择目标主机,可以获得意想不到的信息。141、寻找目标主机并收集目标信息寻找目标主机并收集目标信息二、远程攻击的步骤d.习惯性常用帐号 根据平时的经验,一些系统总有一些习惯性的常用帐号,这些帐号都是系统中因为某种应用而设置的。例如:制作WWW网站的帐号可能是html、www、web等,安装ORACLE数据库的可能有oracle的帐号,用户培训或教学而设置的user1、user2、student1、student2、client1、client2等帐户,一些常用的英文名字也经常会使用,例如:tom、john等,因此可以根据系统所提供的服务和在其主页得到的工作人
10、员的名字信息进行猜测。151、寻找目标主机并收集目标信息寻找目标主机并收集目标信息二、远程攻击的步骤5)获得管理员信息 运行一个查询命令host,可获得保存在目标域服务器中的所有信息。WHOIS查询,可识别出技术管理人员。运行一些Usenet和WEB查询。系统管理员的职责是维护站点的安全,当他们遇到各种问题时,许多管理员会迫不及待地将这些问题发到Usenet或邮件列表上以寻求答案。只要肯花一些时间来寻找此系统管理员的地址(和其他的一些信息)便能彻底地了解他的网络、他的安全概念以及他的个性。因为发出这种邮件的系统管理员总会指明他们的组织结构、网络的拓补结构和他们面临的问题。162、攻击测试、攻击
11、测试二、远程攻击的步骤 大部分的入侵者并不想尝试这种行为,因为这需要一定的费用。在此步骤中,首先要建立一个和目标一样的环境。一旦将此环境建立起来后,就可对它进行一系列的攻击。在此过程中,有两件事需要注意:(l)从攻击方来看这些攻击行为着上去像什么,(2)从被攻击方来看这些攻击行为看上去像什么。通过检查攻击方的日志文件入侵者能大致了解对一个几乎没有保护措施的目标进行攻击时攻击行为看上去像什么。173、各种相关工具的准备、各种相关工具的准备二、远程攻击的步骤 紧接着应该收集各种实际使用的工具,最有可能是一些扫描工具,判断出目标网上的所有设备。基于对操作系统的分析需要对工具进行评估以判断有哪些漏洞和
12、区域它们没有覆盖到。在只用一个工具而不用另一个工具就可覆盖某特定设备的情况下,最好还是同时使用这两个工具。这些工具的联合使用是否方便主要依赖于这些工具是否能简易地作为外部模块附加到一个扫描工具上如 SATAN或 SAFESuite。在此进行测试变得极为有价值,因为在多数情况下附加一个外部模块让它正常地工作并不那么简单。为了得到这些工具工作的确切结果,最好先在某台机器上进行实验。184、攻击策略的制定、攻击策略的制定二、远程攻击的步骤 没有任何理由就实施入侵是很不明智的。攻击策略主要依赖于入侵者所想要达到的目的。需要说明的是扫描时间花得越长,也就是说越多的机器被涉及在内,那么扫描的动作就越有可能
13、被发现;同时有越多的扫描数据需要筛选,因此,扫描的攻击的时间越短越好。因为你所想要的是一个主系统上或者是一个可用的最大网段的根权限,所以对一个更小、更安全的网络进行扫描不可能获得很大的好处。无论如何,一旦你确定了扫描的参数,就可以开始行动了。195、数据分析、数据分析二、远程攻击的步骤 完成扫描后,开始分析数据。首先应考虑通过此方法得到的信息是否可靠(可靠度在某种程度上可通过在类似的环境中进行的扫描实验得到。)然后再进行分析,扫描获得的数据不同则分析过程也不同。在SATAN中的文档中有一些关于漏洞的简短说明,并且直接而富有指导性。如果找到了某个漏洞,就应该重新参考那些通过搜索漏洞和其他可用资源
14、而建立起来的数据库信息。在真正理解了攻击的本质和什么应从攻击中剔除之前,可能要花上数个星期来研究源码、漏洞、某特定操作系统和其他信息,这些是不可逾越的。在攻击中经验和耐心是无法替代的。一个经过很好计划和可怕的远程攻击,需要实施者对TCPIP以及系统等方面的知识有着极深刻的了解。206、实施攻击、实施攻击二、远程攻击的步骤获得了对攻击的目标系统的访问权后,可能有下述多种选择:毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便今后继续访问这个系统。在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的帐号名
15、和口令等等。发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击。如果获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,破坏整个系统的信息。21三、攻击的分类三、攻击的分类22攻击的分类攻击的分类在最高层次,攻击可被分为两类:1、主动攻击 主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息;伪造无效IP地址去连接服务器,使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此,如果要寻找他们是很容易发现的。主动攻击包括拒绝服务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 保障 安全 攻击
限制150内