Void sub(char *str) { char buf[16]; strcpy(buf,str) return; } Void main() { char large_str[256]; int i; for(i<0;i<255;i++) large_str=‘A’; sub(large_str) }
信息收集技术也是一把双刃剑


– 黑客在攻击之前需要收集信息，才能实施有 效的攻击 – 管理员用信息收集技术来发现系统的弱点
攻击者需要的信息
域名 经过网络可以到达的IP地址 每个主机上运行的TCP和UDP服务 系统体系结构 访问控制机制 系统信息（用户名和用户组名、系统标识、路由 表、SNMP信息等） 其他信息，如模拟/数字电话号码、鉴别机制等 ……

幼虫“Lara”

黑客命名（3）
欲望蜜蜂“Wannabee”

– 处于幼虫的初始阶段的黑客的称呼，他们急于掌握入 侵技术，但由于他们没有经验，因此即使没有恶意也 可能造成很大危险 – 是指由于种种原因放弃黑客的道德信念而恶意攻击的 黑客 – 一个具有多年经验在黑客团体具有世界级声誉的黑客。
黑边黑客（Dark-Side）
第十章 安全脆弱性分析
认识黑客（Hacker)
黑客一词，源于英文Hacker，原指热心于 计算机技术，水平高超的电脑专家，尤其 是程序设计人员。
黑客：通常是试图闯入计算机并试图造成 破坏的人。 黑客：黑客不仅仅是在Internet上找麻烦的 单独的个体，事实上，他们是网上一个活 跃的团体。每个团体的成员有不同的命名。
安全扫描工具的选择
升级 扩充 具有局限性
安全扫描技术
全开扫描 半开扫描 秘密扫描
全开扫描
直接同目标主机建立完整的TCP/IP3次握手 的过程 精确，但是容易被检测到
Client SYN Server SYN|ACK Client ACK 如果端口未开放 Client SYN Server RST|ACK
查电话簿、手册(指南)

通过搜索引擎可以获取到大量的信息

扫描工具
扫描内容
扫描内容包括： 远程服务类型、操作系统类型及版本， 各种弱口令漏洞、后门、应用服务漏洞、 网络设备漏洞、拒绝服务漏洞等二十几个 大类。 对于多数已知漏洞，给出了相应的漏洞描 述、解决方案及详细描述链接
10.1.2 安全威胁分析
假消息攻击
电子邮件欺骗 IP欺骗 Web欺骗 DNS欺骗
在不同的网络环境中可能出现的攻 击行为
在Internet上 在局域网上 本地 离线
在Internet上
协作攻击：Internet允许全世界范围的连接，这 很容易使来自全世界的人们在一个攻击中进行合 作参与。 欺骗：欺骗是一种模仿或采取不是自己身份的行 为。 转播：是攻击者通过第三方的机器转播或反射他 的通信，这样攻击就好象来自第三方的机器而不 是他。 特洛伊木马或病毒：特洛伊木马的常见用途是安 装后门。
下载口令文件 下载加密的文本 复制大量的数据
10.2 安全扫描技术
使用特定的工具对系统脆弱点进行评估， 并且提供安全分析报告 警告存在的漏洞，发现新漏洞
10.2.2 安全扫描的内容
本地扫描器


可在系统上创建任意进程 可以检查安全补丁 察看系统配置文件
远程扫描器


检查网络和分布式系统的安全漏洞，通过发送 专门构造的数据包来检测目标系统 本地扫描和远程扫描相辅相成，综合应用
新闻报道、出版发行物

新闻组或论坛

这样的信息可以合法地获取
非网络技术的探查手段
社会工程

– 通过一些公开的信息，获取支持人员的信任 – 假冒网管人员，骗取员工的信任(安装木马、 修改口令等) – 在信息发达的社会中，只要存在，就没有找 不到的 – 搜索引擎提供的信息的有效性(google)
子程序sub()为字符串 分配了16个字节的内 存空间，而主程序调 用sub的时候却要求将 256个字符赋给buf， 子程序的堆栈将被 AAAAAA…所覆盖。
缓冲区溢出
缓冲区：程序运行期间，在内存中分配的 一个连续的区域，用于保存包括字符数组 在内的各种数据类型 溢出：所填充的数据超出了原有缓冲区的 边界，并非法占据了另一段内存区域。 缓冲区溢出：由于填充数据越界而导致程 序原有流程的改变，黑客借此精心构造填 充数据，让程序转而执行特殊的代码，最 终获得系统的控制权。
信息收集步骤
① 找到初始信息 ② 找到网络的地址范围 ③ 找到活动的机器 ④ 找到开放端口和入口点 ⑤ 弄清操作系统 ⑥ 针对特定应用和服务的漏洞扫描
公开信息
从目标机构的网页入手

– 也许会泄露一些信息：机构的位置、联系人电话姓名 和电子邮件地址、所用安全机制及策略、网络拓扑结 构 – 例如：XX公司采用XX系统，… – XX公司发生安全事件（多次） – 管理人员在新闻组或者论坛上的求助信息也会泄漏信 息
威胁来源—(外部)



自然灾害,意外事故 计算机病毒 使用不当 黑客的行为 外部\内部泄密 电子谍报 信息战
威胁来源—(内部)


操作系统本身的缺陷 数据库管理系统本身存在的安全脆弱性 管理员击分类
口令攻击

第一道防线
拒绝服务攻击
在局域网上
嗅探流量：观察网络上所有流量的被动攻 击。 广播：攻击者发送一个信息包到广播地址， 以达到产生大量流量的目的。 文件访问：通过找到用户标识和口令，可 以对文件进行访问。 远程控制：通过安装木马实现对机器的远 程控制。
本地
旁侧偷看 未上锁的终端 被写下的口令 拔掉机器电源 本地登录
离线
黑客命名（1）
飞客“phreak”

– 早期攻击电话网的青少年，研究各种盗打电话而不用 付费的技术。
黑客“Hacker”

– 一个给予喜欢发现和解决技术挑战、攻击计算机网络 系统的精通计算机技能的人的称号，与闯入计算机网 络系统目的在于破坏和偷窃信息的骇客不同。
– 一个闯入计算机系统和网络试图破坏和偷窃个人信息 的个体，与没有兴趣做破坏只是对技术上的挑战感兴 趣的黑客相对应。
行为特征：

网络入侵与攻击
网络入侵

– 以窃用网络资源为主要目的，更多的还含有 黑客的虚荣心成分。 – 以干扰破坏网络服务为主要目的。
网络攻击

界限不明显，从技术上看网络入侵是网络 攻击的一种。
10.1 安全威胁分析
何时算入侵和攻击?

广义 狭义 善意 恶意
目的

入侵的目的
执行进程 获取文件和数据 获取超级用户权限 进行非授权操作 破坏系统可用性 篡改信息 披露信息
骇客“Cracker”

黑客命名（2）
快客“Whacker”

– 从事黑客活动但没有黑客技能的人， whacker是穿透系统的人中，在技术和能力上 最不复杂的一类。 – 被他人雇佣的帮助他人提高网络安全的黑客， 武士通常被公司付给薪金来攻击网络。 – 一个崇拜真正黑客的初级黑客
武士“Samurai”

半仙“Ddmigod”

黑客道德准则和行为特征
美国学者史蒂夫· 利维在《黑客电脑史》中指出的 “黑客道德准则”

（1）通往电脑的路不止一条 （2）所有的信息都应当是免费和共享的 （3）一定要打破电脑集权 （4）在电脑上创造的是艺术和美 （5）计算机将使生活更加美好 – 热衷挑战、崇尚自由、主张信息共享、反叛精神、破 坏心理

– 直接利用ping工具，发送超大的ping数据包 – 打补丁：现在所有的标准TCP/IP实现都已实现对付 超大尺寸的包，并且大多数防火墙能够自动过滤这些 攻击 – 防火墙阻止这样的ping包
防止措施


利用型攻击


特洛伊木马:有客户端和服务器端两个执行程序, 服务器端程序植入被攻击系统,黑客操纵客户端 缓冲区溢出



定义：通过某些手段使得目标系统或者网络不 能提供正常的服务 DoS攻击主要是利用了TCP/IP 协议中存在的设 计缺陷和操作系统及网络设备的网络协议栈存 在的实现缺陷。 难以防范，有些DoS可以通过管理的手段防止
Ping of Death
原理：直接利用ping包，即ICMP Echo包， 有些系统在收到大量比最大包还要长的数 据包，会挂起或者死机 受影响的系统：许多操作系统受影响 攻击做法
① 网络传输和协议的漏洞

攻击者利用网络传输时对协议的信任以及网络传输的 漏洞进入系统。 攻击者可以利用系统内部或服务进程的BUG和配置错 误进行攻击。 攻击者可以利用各种方式从系统管理员和用户那里诱 骗或套取可用于非法进入的系统信息，包括口令、用 户名等。
② 系统的漏洞

③ 管理的漏洞

信息收集
半开扫描
Client SYN Server SYN|ACK Client RST 如果端口未开放 Client SYN Server RST|ACK
可以绕开基本的检测，但是需要权限
秘密扫描
Client SYN|ACK Server RST
根据server是否有应答，来猜测server的短 口是否打开，误报高
网络攻击的步骤
1 信息收集，获取目标系统的信息，操作系 统的类型和版本，主要提供的服务和服务 进程的类型和版本，网络拓扑结构 2 获得对系统的访问权力 3 获得系统超级用户的权力。利用（2）的 权力和系统的漏洞，可以修改文件，运行 任何程序，留下下次入侵的缺口，或破坏 整个系统 4 消除入侵痕迹
入侵者可利用的弱点