資源描述:
《網(wǎng)絡(luò)攻擊技術(shù)研究》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、網(wǎng)絡(luò)攻擊技術(shù)研究網(wǎng)絡(luò)攻擊技術(shù)研究李德全中科院,軟件所信息安全國家重點實驗室認識黑客HackerHacker起源Hack:(1)cutroughlyorclumsily,chop(砍辟)(2)horsemaybehired(3)personpaidtodohardanduninterestingworkasawriter;引伸義:干了一件漂亮的事;Hacker:也指惡作?。籋ackerdiffersfromCracker黑客守則1)不惡意破壞系統(tǒng)2)不修改系統(tǒng)文檔3)不在bbs上談?wù)撊肭质马?)不把要侵入的站點告訴不信任的朋友5)在post文
2、章時不用真名6)入侵時不隨意離開用戶主機7)不入侵政府機關(guān)系統(tǒng)8)不在電話中談入侵事項9)將筆記保管好10)要成功就要實踐11)不刪除或涂改已入侵主機的帳號12)不與朋友分享已破解的帳號網(wǎng)絡(luò)攻擊的分類1、特權(quán)提升攻擊2、拒絕服務(wù)攻擊3、病毒蠕蟲的攻擊(惡意代碼攻擊)1、特權(quán)提升攻擊1.1口令攻擊1.2竊聽1.3掃描1.4木馬攻擊1.5緩沖區(qū)溢出攻擊1.6社交工程1.1口令攻擊恢復(fù)或重現(xiàn)存入系統(tǒng)的口令強力破解破解加密的口令文件擊鍵記錄從擊鍵記錄中查找可能的口令恢復(fù)或重現(xiàn)存入系統(tǒng)的口令在向系統(tǒng)輸入口令時,為了避免輸入的口令被旁邊的人看到,系統(tǒng)通
3、常不會顯示你鍵入的口令字符,而是以星號“*”代替字符顯示。當(dāng)把口令存入機器以后,下次登錄時系統(tǒng)會自動從存儲在口令文件中取出相應(yīng)的口令進行登錄,這時候,需要輸入帳號、口令的界面仍然會顯示出來,而口令一欄則仍以幾個“*”代替。采用口令恢復(fù)軟件可以把“*”還原顯示為原來的口令字符?;謴?fù)或重現(xiàn)存入系統(tǒng)的口令用iOpusPasswordRecoveryXP軟件顯示出口令為“uhf”由于我們用的是試用模式,因此,只顯示了口令的前3位強力破解口令如果沒有采用很強的口令策略(如口令的嘗試次數(shù)的限制)時,強力攻擊還是很有效的。強力攻擊可以通過字典加速找到不安
4、全的口令。一些常用的不安全口令:password、secret、sex、money、love、computer、football、hello、morning、ibm、work、office、online、terminal、internet選擇口令的要點是:長度要足夠,數(shù)字、字母、符號都要有,字母要大小寫都有,不能使用有意義的單詞等等。破解加密的口令文件在系統(tǒng)上,通常都有加密的口令文件,當(dāng)用戶輸入帳號和口令時,系統(tǒng)將口令加密與口令文件中的對應(yīng)項比較,如果一致,什么口令正確,驗證通過。如果攻擊者獲得了此口令文件,其通過口令破解軟件如JohnTh
5、eRipper、L0phtCrack、Ntcrack、CrackerJack、DictionaryMaker等從預(yù)先準(zhǔn)備好的字典中取出一個,進行加密,然后與口令文件中的口令(一般會有很多)比較,看看與哪個一致,如果匹配成功,則攻擊者就獲得了對應(yīng)帳號的口令,此口令即為匹配前進行加密的那個。1.2竊聽網(wǎng)絡(luò)竊聽(遠程)本地竊聽網(wǎng)絡(luò)竊聽在一個共享式網(wǎng)絡(luò),可以聽取所有的流量是一把雙刃劍管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況黑客可以用來刺探網(wǎng)絡(luò)情報目前有大量商業(yè)的、免費的監(jiān)聽工具,俗稱嗅探器(sniffer)以太網(wǎng)卡
6、的工作模式網(wǎng)卡的MAC地址(48位)通過ARP來解析MAC與IP地址的轉(zhuǎn)換用ipconfig/ifconfig可以查看MAC地址正常情況下,網(wǎng)卡應(yīng)該只接收這樣的包MAC地址與自己相匹配的數(shù)據(jù)幀廣播包網(wǎng)卡完成收發(fā)數(shù)據(jù)包的工作,兩種接收模式混雜模式:不管數(shù)據(jù)幀中的目的地址是否與自己的地址匹配,都接收下來非混雜模式:只接收目的地址相匹配的數(shù)據(jù)幀,以及廣播數(shù)據(jù)包(和組播數(shù)據(jù)包)為了監(jiān)聽網(wǎng)絡(luò)上的流量,必須設(shè)置為混雜模式共享網(wǎng)絡(luò)和交換網(wǎng)絡(luò)共享式網(wǎng)絡(luò)通過網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個主機最常見的是通過HUB連接起來的子網(wǎng)交換式網(wǎng)絡(luò)通過交換機連接網(wǎng)絡(luò)由交換機構(gòu)
7、造一個“MAC地址-端口”映射表發(fā)送包的時候,只發(fā)到特定的端口上共享式網(wǎng)絡(luò)示意圖在交換式網(wǎng)絡(luò)上監(jiān)聽數(shù)據(jù)包ARP重定向攻擊AB1B打開IP轉(zhuǎn)發(fā)功能2B發(fā)送假冒的arp包給A,聲稱自己是C的IP地址3A給C發(fā)送數(shù)據(jù),而實際上數(shù)據(jù)傳到了B的MAC地址,于是B竊聽了A給C的消息做法:利用dsniff中的arpredirect工具AC應(yīng)用程序抓包的技術(shù)UNIX系統(tǒng)提供了標(biāo)準(zhǔn)的API支持PacketsocketBPFWindows平臺上通過驅(qū)動程序來獲取數(shù)據(jù)包驅(qū)動程序WinPcap通過取包工具竊聽帳號口令第73個數(shù)據(jù)包給出的是pop3帳號的用戶名,第7
8、5個數(shù)據(jù)包給出口令注意,這里只是示意,這里的口令是不安全的!本地竊聽軟件的:木馬、Keylogger(http://www.keylogger.net/)硬件的:擊鍵記錄器(Ke