安全攻防實踐.ppt

安全攻防實踐 穆顯亮 課程內容 2 安全攻防 知識體 知識域 安全攻防基礎 安全攻防實踐 知識子域 信息安全漏洞 知識域 安全攻防基礎 知識子域 網(wǎng)絡攻擊基本概念術語了解網(wǎng)絡攻擊的基本常識了解黑客攻擊的常用術語知識子域 網(wǎng)絡攻擊基本流程了解網(wǎng)絡攻擊的基本步驟了解網(wǎng)絡攻擊各個階段常用的攻擊手段和工具 3 網(wǎng)絡攻擊基本概念及術語 網(wǎng)絡攻擊的方式主動攻擊 掃描 滲透 拒絕服務 被動攻擊 嗅探 釣魚 一些術語后門 RootKit0 day提權社會工程學BotNet 僵尸網(wǎng)絡 B S Browser Server 4 攻擊的過程 5 信息收集分析目標實施攻擊方便再次進入清理入侵記錄 踩點 信息收集 6 具體見后面介紹 為什么要收集信息獲取攻擊目標大概信息網(wǎng)絡信息主機信息應用部署信息 指導下一步攻擊行為信息收集的方式社會工程學媒體 如搜索引擎 廣告介紹等 網(wǎng)絡工具的探測 定位 分析目標 為什么需要分析目標確定收集信息的準確性更準確的判斷 例如 index ycs是java開發(fā) 開發(fā)人員修改了腳本后綴以迷惑攻擊者 攻擊方式及工具路徑的選擇分析目標的方法掃描漏洞庫論壇等交互應用 7 入侵 多種多樣的入侵方式 針對配置錯誤的攻擊 IPC 的攻擊針對應用漏洞的攻擊 unicode緩沖區(qū)溢出攻擊 idq緩沖區(qū)溢出電子欺騙攻擊 ARP欺騙拒絕服務攻擊 synflood針對弱口令的攻擊 口令破解利用服務的漏洞 本地輸入法漏洞利用應用腳本開發(fā)的漏洞 SQL注入利用人的心理 社會工程學攻擊 8 后門可以作什么方便下次直接進入監(jiān)視用戶所有行為 隱私完全控制用戶主機后門放置方式如果已經(jīng)入侵簡單 如果尚未入侵手動放置利用系統(tǒng)漏洞 遠程植入利用系統(tǒng)漏洞 誘騙執(zhí)行 后門 方便下次進入 9 特洛伊木馬隨系統(tǒng)自啟動修改注冊表服務Ini文件RootKit設備驅動腳本后門難以查找隱藏賬號考驗管理人員耐心與細心 后門 方式 10 改寫訪問日志例如 IIS訪問日志位置 WinDir System32 LogFiles W3SVC1 exyymmdd log改寫日志的技巧修改系統(tǒng)日期刪除中間文件刪除創(chuàng)建的用戶 抹去痕跡 11 信息收集與密碼破解 知識子域 攻擊目標信息收集了解目標系統(tǒng)網(wǎng)絡地址 軟件版本等信息獲取方式了解網(wǎng)絡設備 系統(tǒng)軟件 應用軟件掃描攻擊的常用工具知識子域 密碼破解原理與實例了解密碼破解技術原理和口令安全基本知識了解密碼破解常用工具及密碼字典概念 12 信息收集技術 公開信息的合理利用及分析IP及域名信息收集主機及系統(tǒng)信息收集系統(tǒng)服務信息的收集系統(tǒng) 服務及應用漏洞信息收集 13 信息收集技術 公開信息的分析 公開信息的合理利用和分析 信息后面能反饋出什么 從著名的 照片泄密 案件到 如何用google入侵網(wǎng)站 1964年 中國畫報 封面衣著判斷 北緯46度至48度的區(qū)域 齊齊哈爾與哈爾濱之間所握手柄的架式 油井的直徑鉆井與背后油田間的距離和井架密度 儲量和產量因此設計出適合中國大慶的設備 一舉中標 14 信息收集技術 搜索引擎 網(wǎng)站信息舉例 某網(wǎng)絡提供商在其網(wǎng)站上宣傳 特惠服務器租用 RedHatLinux8 0支持MYSQL PHP采用性能優(yōu)異的Apache1 3 XXWeb服務器 搜索引擎Google搜索例 某Web服務器存在致命錯誤腳本 5sf67 jsp 攻擊者可通過搜索引擎查找存在該錯誤腳本的網(wǎng)站 15 信息收集技術 域名與IP查詢 16 域名與IP信息收集 WhoisWhois是一個標準服務 可以用來查詢域名是否被注冊以及注冊的詳細資料Whois可以查詢到的信息域名所有者域名及IP地址對應信息聯(lián)系方式域名到期日期域名注冊日期域名所使用的DNSServers 信息收集技術 域名與IP查詢 17 域名與IP查詢 nslookup操作系統(tǒng)自帶命令 主要是用來查詢域名名稱和IP之間的對應關系 網(wǎng)絡狀況查詢 Ping系統(tǒng)自帶命令 測試與遠端電腦或網(wǎng)絡設備的連接狀況網(wǎng)絡路徑狀況查詢 tracert系統(tǒng)自帶命令 測試與遠端電腦或網(wǎng)絡設備之間的路徑 信息收集技術 系統(tǒng)鑒別 1 DNS的hinfo紀錄2 Bannergrab3 二進制文件法4 TCP IP協(xié)議棧檢測法5 ICMP堆棧指紋技術 18 系統(tǒng)鑒別 DNS的hinfo記錄 獲取方法 dig hinfowwwINHINFO SparcUltra5 Solaris2 6 非常老的方法 現(xiàn)在一般沒有管理員在dns記錄里面添加hinfo紀錄 19 系統(tǒng)鑒別 服務旗標檢測 服務旗標檢測法 root pooh telnet192 168 1 13DebianGNU Ltargetlogin Redhat etc issue etc bsd etc motdSolaris etc motd缺陷 不準確 負責任的管理員一般都修改這個文件 20 系統(tǒng)鑒別 二進制文件分析法 得到遠程系統(tǒng)的一個二進制文件例如1 webserver目錄下產生的core文件2 配置不當?shù)膄tpserver下的二進制文件 利用file readelf命令等來鑒別 21 系統(tǒng)鑒別 TCP IP協(xié)議棧檢測法 其原理是不同廠家的IP協(xié)議棧實現(xiàn)之間存在許多細微的差別 通過這些差別就能對目標系統(tǒng)的操作系統(tǒng)加以猜測 主動檢測被動檢測 22 系統(tǒng)鑒別 ICMP堆棧指紋技術 23 通過端口掃描確定主機開放的端口 不同的端口對應運行著的不同的網(wǎng)絡服務 端口測試數(shù)據(jù)包 測試響應數(shù)據(jù)包 信息收集技術 端口掃描 我知道主機上開放的端口了 24 端口掃描類型 常規(guī)掃描 tcpconnectscan 半打開掃描 tcpsynscan 隱秘掃描 StealthScan SYN ACKscan 發(fā)送一個SYN ACK分組 測知防火墻的規(guī)則設計 它可確定防火墻是否只是簡單的分組過濾 只允許已建立好的連接 還是一個基于狀態(tài)的防火墻 可執(zhí)行高級的分組過濾 FINscan 發(fā)送FIN分組 目標系統(tǒng)應給所有關閉著的端口發(fā)回一個RST分組 這種技巧通常只工作在基于UNIX的TCP IP協(xié)議上 Xmasscan 這一技巧是往目標端口發(fā)送一個FIN URG PUSH置位的分組 如果目標端口關閉 則返回一個RST分組 Nullscan 發(fā)送所有標識位復位的TCP分組 UDP掃描 25 端口掃描 常規(guī)掃描 26 掃描的方法 TCPConnectScan主要是利用TCP三次握手 Three wayhandshaking 的連接方式來達到掃描的目的 A B 1 SYN 2 SYN ACK 3 ACK 三次握手 使用Nmap做TCPConnectScan 端口掃描 半打開掃描 27 掃描的方法 TCPSYNScan沒有完成三次握手如左上圖 當主機A收到主機B的回應后 並不會回傳ACK數(shù)據(jù)包給主機B TCPSYNScan的優(yōu)缺點優(yōu)點 由于沒有完成TCP三次握手 所以不會在目標主機上留下記錄 缺點 需有管理者的權限才可執(zhí)行TCPSYNScan 以左上圖為例 必需要有主機A的管理者權限 A B 1 SYN 2 SYN ACK 3 ACK 三次握手 使用Nmap做TCPSYNScan 端口掃描 UDP掃描 28 掃描的方法 UDPPortScan由掃描主機發(fā)出UDP數(shù)據(jù)包給目標主機的UDPPort 並等待目標主機Port送回ICMPUnreachable信息 若收到目標主機Port傳回的ICMPUnreachable信息 則表示該Port處于關閉的狀態(tài) 若沒有收到目標主機Port傳回的ICMPUnreachable信息 則表示該Port可能處于Listen狀態(tài) UDPPortScan的缺點UDP協(xié)議不可靠可能被防火墻過濾掉 使用Nmap做udpScan 端口掃描策略 隨機端口掃描慢掃描碎片掃描欺騙掃描 29 信息收集技術 漏洞掃描 根據(jù)目標主機開放的不同應用和服務來掃描和判斷是否存在或可能存在某些漏洞意義進行網(wǎng)絡安全評估為網(wǎng)絡系統(tǒng)的加固提供先期準備被網(wǎng)絡攻擊者加以利用來獲取重要的數(shù)據(jù)信息 30 對一個信息系統(tǒng)來說 它的安全性不在于它是否采用了最新的加密算法或最先進的設備 而是由系統(tǒng)本身最薄弱之處 即漏洞所決定的 只要這個漏洞被發(fā)現(xiàn) 系統(tǒng)就有可能成為網(wǎng)絡攻擊的犧牲品 信息安全的 木桶理論 31 信息收集技術 漏洞掃描工具 網(wǎng)絡設備漏洞掃描器CiscoAuditingTools集成化的漏洞掃描器NessusShadowSecurityScannereEye的RetinaInternetSecurityScannerGFILANguard專業(yè)web掃描軟件IBMappscanAcunetixWebVulnerability數(shù)據(jù)庫漏洞掃描器ISSDatabaseScanneroscannerOracle數(shù)據(jù)庫掃描器Metacoretex數(shù)據(jù)安全審計工具 工具介紹 端口掃描 Nmap簡介被稱為 掃描器之王 有forUnix和forWin的兩種版本需要Libpcap庫和Winpcap庫的支持能夠進行普通掃描 各種高級掃描和操作系統(tǒng)類型鑒別等使用 sS 半開式掃描 sT 普通connect 掃描 sU udp端口掃描 O 操作系統(tǒng)鑒別 P0 強行掃描 無論是否能夠ping通目標 p 指定端口范圍 v 詳細模式 32 工具介紹 端口掃描 SuperScan簡介基于Windows平臺速度快 圖形化界面使用傻瓜化 33 工具介紹 漏洞掃描 Nessus構架服務器端 基于Unix系統(tǒng)客戶端 有GTK Java和Win系統(tǒng)支持運作客戶端連接服務器端 并下載插件和掃描策略真正的掃描由服務器端發(fā)起兩者之間的通信通過加密認證優(yōu)勢 具有強大的插件功能完全免費 升級快速非常適合作為網(wǎng)絡安全評估工具 34 工具介紹 漏洞掃描 X Scan國產自主開發(fā)完全免費比較古老 缺乏維護 35 工具介紹 web安全掃描 IBMAppScan 36 AcunetixWebVulnerabilityScanner 優(yōu)秀的Web安全測試軟件 37 密碼破解 利用人性懶惰 38 密碼破解方法密碼窮舉暴力破解密碼工具密碼暴力破解工具密碼字典生成工具 密碼破解 密碼窮舉 39 已知密碼加密算法及密文情況下的破解方法 ID cisppsw 123456 Ok youcanloginin ID cisppsw No youcannotloginin 1 12 123 1234 12345 123456 OK youcanloginin No youcannotloginin No youcannotloginin No youcannotloginin No youcannotloginin 密碼破解 口令暴力猜解 40 破解工具 JohntheRipperL0Phtcrack 41 根據(jù)用戶規(guī)則快速生成各類密碼字典提高密碼破解效率密碼破解知識的具體體現(xiàn)攻擊者常用的工具 字典生成器 42 系統(tǒng)及應用安全策略對抗密碼限制密碼嘗試次數(shù)限制必須提供安全的密碼密碼有效期等好的密碼特征自己容易記住 別人不好猜 密碼破解安全防御 43 欺騙攻擊與拒絕服務攻擊 44 知識子域 欺騙攻擊原理與實例理解IP欺騙 ARP欺騙 DNS欺騙的原理和危害了解防范欺騙攻擊的基本方法知識子域 拒絕服務工具原理與實例理解SYNFlood UDPFlood Land攻擊 TearDrop攻擊等典型DoS攻擊的原理及危害理解DDoS攻擊的原理了解防范DoS DDoS攻擊的基本方法 欺騙攻擊定義 B A C Hello I mB 欺騙攻擊 Spoofing 是指通過偽造源于可信任地址的數(shù)據(jù)包以使一臺機器認證另一臺機器的復雜技術 45 欺騙攻擊的主要方式 IP欺騙 IPSpoof DNS欺騙ARP欺騙TCP會話劫持路由欺騙 46 客戶 服務器 Synsend 連接請求 回應 ISN Syn ack 確認 ISN 1 會話過程 47 IP欺騙基礎知識 三次握手 IP欺騙實現(xiàn)步驟 IP欺騙攻擊方法中包括了一系列攻擊步驟 48 IP欺騙實例講解 B A C 同步flood攻擊 連接請求 偽造B進行系列會話 A的序數(shù)規(guī)則 49 防止IP欺騙 50 嚴格設置路由策略 拒絕來自網(wǎng)上 且聲明源于本地地址的包使用最新的系統(tǒng)和軟件 避免會話序號被猜出使用抗IP欺騙功能的產品嚴密監(jiān)視網(wǎng)絡 對攻擊進行報警 ARP欺騙基礎 Arp協(xié)議工作過程 bb bb bb bb bb cc cc cc cc cc aa aa aa aa aa 192 168 1 1 192 168 1 2 MACaa aa aa aa is192 168 1 1 Isee Iwillcache 192 168 1 3 51 ARP欺騙實現(xiàn) bb bb bb bb bb cc cc cc cc cc aa aa aa aa aa 192 168 1 1 192 168 1 2 MACcc cc cc cc ccis192 168 1 1 Isee Iwillcache 192 168 1 3 MACdf df df df dfis192 168 1 2 Icouldn tfind192 168 1 2 52 Internet地址物理地址192 168 1 1cc cc cc cc cc ARP欺騙防御 53 使用靜態(tài)ARP緩存IP與MAC地址綁定ARP防御工具 DNS欺騙基礎 DNS協(xié)議工作過程 其他DNS 1 1 1 1 Iwillcache Idon tknow Iwillaskother 1 1 1 1 It sinmycache 1 1 1 1 54 DNS服務器 客戶機 客戶機 DNS服務器 DNS欺騙實現(xiàn) Idon tknow Iwillaskother OtherDNS is2 2 2 2 Iwillcache It sinmycache is2 2 2 2 is1 1 1 1 55 攻擊者 DNS服務器 DNS服務器 客戶機 DNS欺騙防御 56 安裝最新版本的DNS軟件安全設置對抗DNS欺騙關閉DNS服務遞歸功能限制域名服務器作出響應的地址限制域名服務器作出響應的遞歸請求地址限制發(fā)出請求的地址 其他欺騙攻擊 路由欺騙 ICMP重定向報文欺騙RIP路由欺騙源徑路由欺騙 57 拒絕服務攻擊定義 拒絕服務式攻擊 DenialofService 顧名思義就是讓被攻擊的系統(tǒng)無法正常進行服務的攻擊方式 拒絕服務攻擊方式利用大量數(shù)據(jù)擠占網(wǎng)絡帶寬利用大量請求消耗系統(tǒng)性能利用協(xié)議實現(xiàn)缺陷利用系統(tǒng)處理方式缺陷 58 典型的拒絕服務攻擊方式 SYNFloodUDPFloodTeardropLANDSmurf 59 syn Hello I mhere syn ack I mready I mwaiting SYNFlood syn Hello I mhere I mwaiting syn Hello I mhere I mwaiting I mwaiting I mwaiting UDPFLOOD UDPFlood1 大量UDP小包沖擊應用服務器 DNS Radius認證等 2 利用系統(tǒng)服務形成流量 Echochargen 3 利用正常UDP服務發(fā)送大流量形成網(wǎng)絡擁塞 61 LAND攻擊 運用IPSpoofing技術送出一連串SYN數(shù)據(jù)包給目標主機 讓目標主機系統(tǒng)誤以為這些數(shù)據(jù)包是由自己發(fā)送的 由于目標主機在處理這些數(shù)據(jù)包的時候 它自己并無法回應給自己SYN ACK數(shù)據(jù)包 因而造成系統(tǒng)當機 62 11 11 11 11 SYN hello I m11 11 11 11 SYN SYN ACK ACK PSH1 1025 PSH1025 2049 PSH2049 3073 FIN ACK PSH1 1025 PSH1000 2049 PSH2049 3073 試圖重組時主機崩潰 TearDrop 分片攻擊 63 Smurf攻擊 黑客偽裝受害者IP 中間網(wǎng)站 目標子網(wǎng)絡主機 目標子網(wǎng)絡主機 目標子網(wǎng)絡主機 攻擊信息 大量ICMP封包 Layer3 子網(wǎng)絡主機 子網(wǎng)絡主機 子網(wǎng)絡主機 目標網(wǎng)站 大量廣播 Layer2 64 拒絕服務攻擊的危害 消耗帶寬癱瘓服務器DNS網(wǎng)頁電子郵件阻塞網(wǎng)絡路由器交換器 65 DDoS攻擊原理 66 工具介紹 TFN2KTrinoo 67 3133527665 27444 udp master client 主機列表 telnet betaalmostdone 攻擊指令 目標主機 nc 拒絕服務攻擊防御 定期掃描過濾不必要的端口與服務節(jié)點配置防火墻 DDOS設備過濾IP地址限制SYN ICMP流量檢查來源 68 緩沖區(qū)溢出與網(wǎng)頁腳本安全 69 知識子域 緩沖區(qū)溢出原理與實例理解緩沖區(qū)溢出的原理和危害了解防范緩沖區(qū)溢出的基本方法知識子域 網(wǎng)頁腳本原理與實例理解SQL注入攻擊的原理和危害了解防范SQL注入攻擊的基本方法理解跨站腳本攻擊的原理和危害了解防范跨站腳本攻擊的基本方法 緩沖區(qū)溢出 緩沖區(qū)溢出原理緩沖區(qū)溢出簡單示例緩沖區(qū)溢出防御 70 緩沖區(qū)溢出 71 原理緩沖區(qū)溢出攻擊利用編寫不夠嚴謹?shù)某绦?通過向程序的緩存區(qū)寫入超過預定長度的數(shù)據(jù) 造成緩存的溢出 從而破壞程序的堆棧 導致程序執(zhí)行流程的改變 基礎知識堆棧寄存器指針 緩沖區(qū)溢出基礎 堆棧及指針 堆棧概念一段連續(xù)分配的內存空間堆棧特點后進先出堆棧生長方向與內存地址方向相反指針指針是指向內存單元的地址寄存器有限存貯容量的高速存貯部件 它們可用來暫存指令 數(shù)據(jù)和位址 堆棧 72 棧底 棧底 簡單示例 Buffer c includeintmain charname 8 printf Pleaseinputyourname gets name printf younameis s name return0 73 程序作用 將用戶輸入的內容打印在屏幕上 簡單示例 74 簡單示例 由于返回地址已經(jīng)被覆蓋 函數(shù)執(zhí)行返回地址時會將覆蓋內容當作返回地址 然后試圖執(zhí)行相應地址的指令 從而產生錯誤 75 當我們全部輸入a時 錯誤指令地址為0 x616161 0 x61是a的ASCII編碼 76 內存底部內存頂部 nameEBPret cispcisp 堆棧頂部堆棧底部 堆棧情況 nameEBPret aaaaaaaa aaaa aaaa 由于輸入的name超過了定義變量的長度 8位 堆棧中預計的位置無法容納 只好向內存頂部繼續(xù)寫 a 由于堆棧的生長方向與內存的生長方向相反 用戶輸入的 a 覆蓋了堆棧底部EBP和ret 程序在返回時 將EBP中的 aaaa 的ASCII碼 0 x61616161作為返回地址 試圖執(zhí)行0 x61616161處指令 導致錯誤 形成一次堆棧溢出 77 緩沖區(qū)溢出危害 危害 如果可精確控制內存跳轉地址 就可以執(zhí)行指定代碼 獲得權限或破壞系統(tǒng) 78 緩沖區(qū)溢出其他知識 緩沖區(qū)溢出分類堆溢出棧溢出Shellcode一段用于溢出并獲取權限的代碼 緩沖區(qū)溢出防御 編寫安全代碼最根本的解決方法 對輸入數(shù)據(jù)進行驗證緩沖區(qū)不可執(zhí)行技術使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行 從而使攻擊者不可能執(zhí)行輸入緩沖區(qū)的代碼指針完整性檢查數(shù)組越界保護 79 網(wǎng)頁腳本安全 腳本安全的概念SQL注入原理及危害跨站腳本原理及危害 80 概念 腳本攻擊是針對Web應用的攻擊腳本攻擊主要是針對動態(tài)網(wǎng)站進行的攻擊 其原因是在建立動態(tài)網(wǎng)頁的過程中沒有對用戶的輸入輸出進行有效的合法性驗證動態(tài)網(wǎng)站交互性 即網(wǎng)頁會根據(jù)用戶的要求和選擇而動態(tài)改變和響應 將瀏覽器作為客戶端界面自動更新 即無須手動地更新HTML文檔 便會自動生成新的頁面 可以大大節(jié)省工作量因時因人而變 即當不同的時間 不同的人訪問同一網(wǎng)址時會產生不同的頁面 81 腳本分類 靜態(tài)腳本HTML動態(tài)腳本 82 SQL注入 SQL注入 SQLInjection 程序員在編寫代碼的時候 沒有對用戶輸入數(shù)據(jù)的合法性進行判斷 使應用程序存在安全隱患 用戶可以提交一段數(shù)據(jù)庫查詢代碼 根據(jù)程序返回的結果 獲得某些他想得知的數(shù)據(jù)或進行數(shù)據(jù)庫操作 83 SQL注入基礎知識 SQL StructuredQueryLanguage 結構化的查詢語言 是關系型數(shù)據(jù)庫通訊的標準語言 查詢 Selectstatementfromtablewherecondition刪除記錄 deletefromtablewherecondition更新記錄 updatetablesetfield valuewherecondtion添加記錄 insertintotablefieldvalues values 常用函數(shù)Count Asc nchar unicode nchar mid str n1 n2 substring str n1 n2 84 SQL注入簡單示例 Select fromtablewhereuser admin andpwd SdfG 345 admin SdfG 345 85 Select fromtablewhereuser admin andpwd 123 or 1 1 admin 123 or 1 1 由于密碼的輸入方式 使得查詢語句返回值永遠為True 因此通過驗證 SQL注入范例 收集信息 86 http xx xxx xx xx playnews asp id 772 and 1 1MicrosoftOLEDBProviderforODBCDrivers錯誤 80040e14 Microsoft ODBCMicrosoftAccessDriver 字符串的語法錯誤在查詢表達式 id 772 中 displaynews asp 行31說明 數(shù)據(jù)庫為Access程序沒有對于id進行過濾數(shù)據(jù)庫表中有