网络安全黑客攻击和防范技术1-网络安全每日说

网络与主机的漏洞扫描和攻击;
诱骗式攻击
诱骗式攻击是通过诱使用户点击或执行某些操作,从而植入恶意程序的攻击方式
网站挂马
在网页中写入iframe等盗链脚本,实现打开网页触发漏洞获得权限植入恶意代码的目的;
http://www.shaolinkungfu.edu.cn
?http://q.94saomm.com/js.js
? www.duohaochi.com/nn/rs.htm
? iis.swf
?http://www.duohaochi.com/cao/b.css
?orz.exe (病毒)
? Iis.swf文件, 2009年5月11日,病毒被识别为
Exploit.SWF.Downloader.nj
? 网页取代网络成“网页挂马”已经成为黑客传播病毒的主要手段。
? 目前90%以上的木马病毒通过“挂马”方式传播
? ARP欺骗、 IM工具自动发送病毒链接等传播手段,往往也通过网页挂马最终侵入用在网页代码中加入隐蔽的框架框架的代码如下:
<iframe data-echo= 地址 width=0 height=0></iframe>
其中“地址”就是木马所在的远程地址, “width=0
height=0”意味着该框架为不可视的,用户就很难发现木马的运行。
文件附加恶意代码
通过将恶意代码和文件进行捆绑,或者将恶意代码写入文件体内,实现打开文件就被植入恶意代码。
捆绑
传统的捆绑器A文件附加到B文件的末尾
资源更新捆绑器:将PE文件的资源更新后加入其它恶意程序
XSS攻击原理
网站等服务器过滤不严格,攻击者将恶意脚本写入网页等链接中,用户通过访问时,脚本将被解释执行XSS又叫CSS (Cross Site Script) 跨站脚本攻击
它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
web用户针对XSS的防范
1.在电子邮件或者即时通讯软件中点击链接
时需要格外小心:留心可疑的过长链接,尤其是它们看上去包含了HTML代码。
2.对于XSS漏洞,可以安装一些浏览器插件:比如Firefox的NoScript或者Netcraft工具条。
3. 尽量避免访问有问题的站点:比如提供hack信息和工具、破解软件、成人照片的网站姜桂成
主动定点攻击步骤
预攻击探测
收集信息,如OS类型,提供的服务端口
发现漏洞,采取攻击行为
获得攻击目标的控制权系统
继续渗透网络,直至获取机密数据
消灭踪迹
破解口令文件,或利用缓存溢出漏洞
以此主机为跳板,寻找其它主机的漏洞
获得系统帐号权限,并提升为root权限
安装系统后门
方便以后使用
消除所有入侵脚印,以免被管理员发觉
黑客常见攻击方法和防范措施
1. 网络与主机的漏洞扫描和攻击
2. 缓冲区溢出攻击
3. SQL注入攻击
4. 口令破解和嗅探
5. 拒绝服务攻击
6. ARP欺骗
端口扫描基础
扫描原理
1)全TCP连接
2) SYN扫描(半打开式扫描)发送SYN,远端端口开放,则回应SYN=1,ACK=1,本地发送RST给远端,拒绝连接发送SYN,远端端口未开放,回应RST
3) FIN扫描(秘密扫描)本地发送FIN=1,远端端口开放,丢弃此包,不回应本地发送FIN=1,远端端口未开放,返回一个RST包
TCP三次握手机制

全TCP连接
? 长期以来TCP端口扫描的基础
扫描主机尝试(使用三次握手)与目的机指定端口建立建立正规的连接
? 连接由系统调用connect()开始
对于每一个监听端口, connect()会获得成功,否则返回-1,表示端口不可访问
? 很容易被检测出来
Courtney,Gabriel和TCP Wrapper监测程序通常用来进行监测。另外, TCP Wrapper可以对连接请求进行控制,所以它可以用来阻止来自不明主机的全连接 扫描
TCP SYN扫描

TCP FIN 扫描

端口扫描基础
? 利用TCP/IP来识别不同的操作系统和服务
? 向系统发送各种特殊的包,根据系统对包回应的差别,推断出操作系统的种类
? 端口扫描程序利用的部分特征
ICMP错误信息抑制
服务类型值(TOS)
TCP/IP选项
对SYN FLOOD的抵抗力
TCP初始窗口
高级扫描技术-慢速扫描
如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话,这些扫描的记录就会淹没在其他众多杂乱的日志内容中使用慢速扫描的目的就是骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长,但是这是一种较难发现的扫描
高级扫描技术-乱序扫描
普通的扫描器在扫描远程系统的端口时,对端口扫描的顺序是有序的,这种按照一定的顺序扫描端口的方式很容易被入侵检测系统发觉。乱序扫描的端口号的顺序是随机生产的,这种方式能有效的欺骗某些入侵检测系统而不会被入侵检测系统发觉
针对预攻击探测的防范措施
?Ping sweep
安装防火墙或相关工具软件,禁止某些ICMP ping,使用NAT隐藏内部网络结构
Port scan
安装防火墙或相关工具软件,禁止访问不该访问的服务端口OS fingerprint安装防火墙或相关工具软件,只允许访问少量服务端口,由于攻击者缺乏必要的信息,无法判断OS类型资源和用户扫描防范NetBIOS扫描的最直接方法就是不允许对TCP/UDP 135
到139端口的访问,如通过防火墙或路由器的配置等。另外,对单独的主机,可使用NetBIOS over TCP/IP项失效或注册表配置来实现。
漏洞扫描和攻击概述
漏洞扫描是一种最常见的攻击模式,用于探测系统和网络漏洞,如获取系统和应用口令,星象仪中文版嗅探敏感信息,利用缓存区溢出直接攻击等。针对某一类型的漏洞,都有专门的攻击工具。另外,也有一些功能强大综合扫描工具,针对系统进行全面探测和漏洞扫描,如流光等。
综合扫描
安全扫描审计
分类
网络安全扫描
系统安全扫描
优点
较全面检测流行漏洞
降低安全审计人员的劳动强度
防止最严重的安全问题
缺点
无法跟上安全技术的发展速度
只能提供报告,无法实际解决
可能出现漏报和误报
漏洞利用周期图表

从哪些方面对系统进行安全评估
为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评 估:
? 从企业外部进行评估:考察企业计算机基础设施中的防火墙;
? 从企业内部进行评估:考察内部网络系统中的计算机;
? 从应用系统进行评估:考察每台硬件设备上运行的操作系统。
漏洞攻击的防范措施
?安装防火墙,禁止访问不该访问的服务端口,使用NAT隐藏内部网络结构
?安装入侵检测系统,检测漏洞攻击行为
?安装安全评估系统,先于入侵者进行模拟漏洞攻击,以便及早发现漏洞并解决
?提高安全意识,经常给操作系统和应用软件打补丁。