1、 攻击源 攻击对象 攻击方式 安全漏洞 攻击后果1网络攻击的属性特征 信息收集 攻击工具研发 攻击工具投放 脆弱性利用 后门安装 命令与控制 攻击目标达成2网络攻击典型过程 踩点(踩点(footprintingfootprinting):信息收集过程(开源情报,Open Source Intelligence,OSINT)被动侦查阶段,从公开渠道查出目标使用的域名、网络地址块、IP地址以及与信息安防现状有关的其他细节等网络环境网络环境需要确认的信息需要确认的信息因特网域名;网络地址块可以直接从因特网进行访问的各个系统的具体IP地址已被发现的各个系统上运行的TCP和UDP服务系统体系结构(例如S
2、PARC或X86)访问控制机制和相关的访问控制表(access control list,ACL)入侵检测系统(intrusion detection system,IDS)各有关系统的细节信息(用户名和用户组名、系统旗标、路由表、SNMP信息等等)DNS主机名3通过踩点主要收集以下可用信息:通过踩点主要收集以下可用信息:网络域名:网络域名:就是(就是(DNS-Domain Name System)DNS-Domain Name System)域名系统、网络地址范围、关键系域名系统、网络地址范围、关键系统(如名字服务器、电子邮件服务器、网关等)的具体位置。统(如名字服务器、电子邮件服务器、网关
3、等)的具体位置。内部网络:内部网络:基本上跟外网比较相似,但是进入内网以后主要是靠工具和扫描来完基本上跟外网比较相似,但是进入内网以后主要是靠工具和扫描来完成踩点成踩点外部网络:外部网络:目标站点的一些社会信息,包括企业的内部专用网,一般以目标站点的一些社会信息,包括企业的内部专用网,一般以或或 或或 google,baidubaidu,sohusohu ,yahooyahoo等)来获得目标站点里面的用户邮件列表、即时消息,新闻消息,等)来获得目标站点里面的用户邮件列表、即时消息,新闻消息,员工的个人资料。员工的个人资料。踩点可以了解目标主机和网络的一些基本的安全信息主要有;踩点可以了解目标主
4、机和网络的一些基本的安全信息主要有;1 1,管理员联系信息,电话号,传真号;,管理员联系信息,电话号,传真号;2 2,IP IP地址范围;地址范围;3 3,DNSDNS服务器;服务器;4 4,邮件服务器。,邮件服务器。攻击步骤之踩点踩点的两种方式p被动方式被动方式:嗅探网络数据包、窃听等;p主动方式主动方式:从 arin和whois数据库获得数据,查看网站源代码,社会工程学角度等。1、Web信息搜索与挖掘l Google Hackingl 对目标组织和个人的大量公开或意外泄漏的Web信 息进行挖掘2、DNS与IP查询l 公开的一些因特网基础信息服务l 目标组织域名、IP以及地理位置之间的映射关
5、系,以及注册的详细信息3、网络拓扑侦察l 网络的网络拓扑结构和可能存在的网络访问路径 公开渠道获取信息公开渠道获取信息WHOIS查询查询DNS查询查询网络侦查网络侦查7踩点的途径不与目标网络产生直接的交互 公司的Web网页 相关组织 地理位置细节 电话号码、联系人名单、电子邮件地址、详细的个人资料 近期重大事件(合并、收购、裁员、快速增长等等)可以表明现有信息安防机制的隐私/安防策略和技术细节 已归档的信息 心怀不满的员工 搜索引擎、个人简历 让人感兴趣的其他信息公开渠道获取信息公开渠道获取信息8例:公司的Web网页1.Web站点会提供大量有用信息(缺乏安防意识的组织毫不掩饰地把网络或系统安防
6、配置细节列在Web服务器上)2.HTML源代码里的注释/*这是注释*/:JAVASCRIPT的注释3.目标组织是否还建有其他站点(如www1、www2等)4.VPN网(试着访问“http:/”或“http:/ google为例 空格或大写的空格或大写的ANDAND:“与”;-:“非”;大写的“OROR”:“或”sitesite:搜寻结果局限在某个具体网站(site: 计算机)linklink:返回所有链接到某个URL地址的网页 inurlinurl:返回的网页链接中包含第一个关键词,后面的关键词则出现在链接中或者网页文档中 allinurlallinurl:返回的网页链接中包含所有查询关键词
7、allintitleallintitle&intitleintitle:类似allinurl和inurl,对网页的标题栏进行查询 relatedrelated(相似页面),cachecache(缓存页面,网页快照),infoinfo(相关信息)12Google Hacking/搜索引擎hacking利用 index of index of 来查找开放目录浏览的站点搜索 intitle:”index of”intitle:”index of”passwdpasswd,打开其中一个链接passlist.txt中存放的就是所有的账号和密码,点击即可以打开浏览。而admin.mdb也可以下载13 al
8、linurl:tsweb/default.htm 查找开放着 remote desktop Web Connection 服务的Microsoft windows 服务器14 ZoomEye(知道创宇,https:/www.zoomeye.org/,钟馗之眼)2024-4- Shodan(https:/www.shodan.io/):“黑客专用黑客专用”搜索引擎搜索引擎16用来搜索网络空间中在线设备域名、域名、IP IP 地址查询地址查询 存储在全球各地的 WHOIS WHOIS 服务器服务器上 出于防范垃圾邮件制造者、黑客和资源过载问题的考虑,许多注册服务商会限制某些查询.mil 和.gov
9、 域完全不允许普通大众查询(国家安全)域信息()和 IP 信息(如 IP 地址块、BGP自主系统号码等)需要分别向两个机构注册17WHOIS 查询域注册信息查询:域注册信息查询:TLD(top-level domain,顶级域)的官方注册局(http:/whois.iana.org)目标组织是向哪家注册商进行注册从注册商那里查出查找的目标组织的域名注册细节2024-4-18黑客攻击的流程踩点许多网站可以自动完成许多网站可以自动完成whois查询查询19 Whois:获得域名和IP地址的注册信息2024-4- 尝试确定网络的拓扑结构和可能存在的网络访问路径 traceroute(tracerou
10、te(tracerttracert):路由追踪网络侦查网络侦查21 通过向目标发送不同生存时间(TTL)的ICMP回应数据包 Tracert首先发送TTL=1的数据包,随后每次发送将TTL递增1CDN扫描22确定目标系统是否真实存在确定目标系统是否真实存在确定目标系统上哪些服务正在运行或监听确定目标系统上哪些服务正在运行或监听探查操作系统探查操作系统23基本方法:基本方法:ping ping 扫描扫描l(传统意义上传统意义上)pingping:向目标发ICMP ECHO(类型8)数据包,如返回 ICMP ECHO_REPLY数据包(类型0),说明目标系统真实存在 ping nmap sP:适用
11、于Linux/windows,图形化版本为Zenmapl(现在的)(现在的)ping ping:可利用 ICMP,TCP,UDP确定目标系统是否真实存在确定目标系统是否真实存在24 查点(查点(enumerationenumeration):对识别出来的服务进行更为充分的探查;寻找的信息包括:用户账号名(用于随后的口令猜测攻击)错误配置的共享资源(如不安全的文件共享)具有已知安全性漏洞的旧版本软件(如存在远程缓冲区溢出的web服务器)#1:一旦漏洞被查点出来,那么入侵者即使不能完全控制系统,也可以在某种程度上威胁到系统的安全,这仅仅是时间问题#2:查点通常与具体的系统平台息息相关25查点攻击的
12、实施 破坏性攻击:破坏性攻击:利用工具发动攻击 入侵性攻击:入侵性攻击:利用收集到的信息,找到其系统漏洞,然后利用漏洞获取尽可能高的权限 攻击的主要阶段包括:攻击的主要阶段包括:预攻击探测预攻击探测:为进一步入侵提供有用信息 口令破解与提升权限口令破解与提升权限 实施攻击实施攻击:缓冲区溢出、拒绝服务、后门、木马、病毒26攻击的善后阶段 入侵成功后,攻击者为了能长时间地保留和巩固对系统的控制权,一般会留下后门后门 攻击者为了自身的隐蔽性,须隐藏踪迹隐藏踪迹:获得系统最高管理员权限后就可以任意修改文件,最简单的方法最简单的方法就是删除日志文件删除日志文件明确告诉管理员系统已经被入侵 更常用的办法
13、更常用的办法是只对日志文件中有关自己的部分作修改是只对日志文件中有关自己的部分作修改,修改方法根据不同的操作系统有所区别 更高级的方法更高级的方法:替换系统程序(用来替换正常系统程序的黑客程:替换系统程序(用来替换正常系统程序的黑客程序称为序称为rootkitrootkit)如如Linux-Linux-RootKitRootKit:可以替换系统的:可以替换系统的ls ls,psps,netstatnetstat,inetdinetd等系统程序等系统程序27攻击步骤之安装后门w 为了自己下次登陆本肉鸡方便而留下的后门。n灰鸽子nRadminn隐藏帐户n攻击步骤之清除日志w 销毁自己的入侵痕迹n事件日志n系统日志n数据库日志n第三方日志记录软件
