黑客攻防技术

完全你的安全
Seamless Security Network
北京天融信公司
Beijing Topsec Co., Ltd.
22:55 22:55 1
http://www.topsec.com.cn
黑客攻防技术
• 网络安全概述
• 黑客主要攻击技术
• 典型攻防工具介绍
• 实际操作
22:55 22:55 2
网络安全概述
※ 黑客
闪客（ Flasher) 、快客（ Creaker)
22:55 22:55 3
安全新动态
• 网络规模愈来愈大
• 网络应用越来越丰富
• 以蠕虫（ Worm ）为主要代表的病毒传播成为热
点
• 以拒服务（ DDOS ）为主要目的网络攻击时时
考验客户的网络
• 以垃圾信息为代表的非法内容浪费着网络的资源
22:55 22:55 4
安全问题
在安全建设中往往需要引入众多的安全技术和产品，因此面临着：
1. 它们之间却缺少信息层互通能力 ;
2. 缺乏全网的集中监控能力。
从而降低了安全系统整体的运作效率，增加了安全事件的发现时间
和响应时间，甚至最终导致安全事故的发生！
Firewall 漏洞扫描
身份认证
Database NTLOG IDS/IPS

应用安全
SYSLOG IDMEF OPSEC
点安全
反病毒 SNMP WMI
安全审计数据加密
22:55 22:55 5
IT 部门的烦恼 --- 技术角度
在过去的安全事故里，蠕虫病毒是我们面对最为头疼的问题
之一；它造成了我们网络带宽的消耗、服务器资源的崩溃，使得
我们的领导不满，甚至对业务生产造成中断，因此我们一直都想
消除或者控制它，但实际安全
我们需要安运维
全闭环中却发现很多技术问题：
我们需要安全闭环
接下来我们将以如何！
处理蠕虫为例来进行分析：
蠕虫攻
击
. 如何调整安全防护防护检测 . 病毒感染源？病毒主
策略应对蠕虫病毒？心机？影响信息系统？
. 如何事先了解安全预警安全响应 . 要清除和防止蠕虫
问题和安全趋势；病毒我们应该怎么做
？
. 如何取证、定位来反制恢复 . 如何恢复被蠕虫攻
规范相关人员和流程击的信息系统？
？
22:55 22:55 6
安全进入体系时代
• 要求建造安全的整体网络
• 从点转变到面的方式考虑安全问题
• 各种整体的解决方案和技术体系被提出
• 天融信：可信网络架构（ TNA ）
• CISCO ：自防御网络（ SDN ）
• 华为：安全渗透网络（ SPN ）
• 锐捷：全局安全网络（ GSN ）
22:55 22:55 7
黑客攻击技术
病毒
扫描
嗅探木马
欺骗攻击
溢出攻击
Internet/Intranet
垃圾邮件
代码攻击
密码破解 DOS/DDOS 渗透
攻击
22:55 22:55 8
黑客入侵的一般流程
探测目标的具体信息，
得到相应的权限，进行目标并控制目标
找到可利用的漏洞和弱点
溢出攻击
便于再次登录目标并完成更多操作
扫描渗透代码攻击木马
密码破解
Dos/Ddos
嗅探
攻击
欺骗
垃圾邮件
病毒
22:55 22:55 9
扫描技术
• 什么是扫描？
实际上是自动检测远程或本地主机（目标）安
全性弱点的程序。
• 常用的扫描技术
TCP 方式（采用三次握手的方式）
SYN 方式（利用半连接的方式）
22:55 22:55 10
扫描技术
• 常用的扫描工具
流光
5.0 、 Xscan3.0 、 Superscan4.0 、 NSS
22:55 22:55 11
扫描技术
22:55 22:55 12
扫描技术
22:55 22:55 13
扫描技术
• 防止方法
安装个人或者网络防火墙、屏蔽相应的应用及端
口
22:55 22:55 14
渗透技术
• 什么是渗透？
利用已知目标的相关漏洞信息，对目标进行试
探性入侵，拿到一点权限并为下一步作准备
• 常用渗透手段
技术手段（代码注入、系统溢出、权限
提升、跳板等）
非技术手段（社会工程学）
22:55 22:55 15
渗透技术
尝试利用 IIS 中知名的 Unicode 漏洞
– 微软 IIS 4.0 和 5.0 都存在利用扩展 UNICODE 字符取代 “ /” 和“＼” 而能利
用“ ../” 目录遍历的漏洞。
未经授权的用户可能利用 IUSR_machinename 账号的上下文空间访问任何
已知的文件。该账号在默认情况下属于 Everyone 和 Users 组的成员，因
此任何与 Web 根目录在同一逻辑驱动器上的能被这些用户组访问的文件都
能被删除，修改或执行，就如同一个用户成功登陆所能完成的一样。
–
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
– Directory of c:\
2001-06-11 03:47p 289 default.asp
2001-06-11 03:47p 289 default.htm
2001-03-09 04:35p DIR> Documents and Settings
2001-06-11 03:47p 289 index.asp
2001-06-11 03:47p 289 index.htm
2001-05-08 05:19a DIR> Inetpub
2001-05-19 10:37p DIR> MSSQL7
2001-03-09 04:22p DIR> Program Files
2001-05-23 06:21p DIR> WINNT
4 File(s) 1,156 bytes
5 Dir(s) 2,461,421,561 bytes free
– 这是已经看到目标主机的 C 盘根目录和文件了。
– http://219.237.xx.xx/yddown/view.asp?id=3
http://219.237.xx.xx/yddown%5cview.asp?id=3
防止方法：
打好相应的补丁程序，并升级到最新版本。
利用 IDS （入侵检测）技术，进行监控记录
22:55 22:55 16
溢出攻击
• 什么是溢出？
利用目标操作系统或者应用软件自身的安全漏
洞进行特别代码请求，使其被迫挂起或者退出，
从而得到一定的操作权限的行为。
• 溢出分类
操作系统溢出 / 应用程序溢出
本地溢出 / 远程溢出
22:55 22:55 17
溢出攻击
• 主要溢出举例
尝试利用 .printer 远程缓冲区溢出漏洞进行攻击
• 由于 IIS 5 的打印扩展接口建立了 .printer 扩展名到 msw3prt.dll 的
映射关系，缺省情况下该映射存在。当远程用户提交对 .printer 的
URL 请求时， IIS 5 调用 msw3prt.dll 解释该请求。由于
msw3prt.dll 缺乏足够的缓冲区边界检查，远程用户可以提交一个
精心构造的针对 .printer 的 URL 请求，其 "Host:" 域包含大约 420
字节的数据，此时在 msw3prt.dll 中发生典型的缓冲区溢出，潜在
允许执行任意代码。
• 缓冲区溢出：向一个有限空间的缓冲区中拷贝了过长的字符串，带

来了两种后果，一是过长的字符串覆盖了相临的存储单元而造成程
序瘫痪，甚至造成当机、系统或进程重启等；二是利用漏洞可以让
攻击者运行恶意代码，执行任意指令，甚至获得超级权限等。
22:55 22:55 18
• RPC 溢出、 webdav 、 Ser_U 6.0 以上版本、 RealServer8.0 、 ida
溢出攻击
• 防止方法
升级到最新版本，并打好相关的补丁程序。运
用 IDS （入侵检测）技术或者日志审计，进行监
控记录
22:55 22:55 19
代码攻击
• 什么是代码攻击？
利用网站或者应用系统后台程序代码漏洞
或者数据库调用程序不规范进行入侵的行为
• 代码攻击类型
ASP 注入
PHP 注入
Java/ASP.net
22:55 22:55 20
代码攻击
• 代码攻击主要工具
NBSI2.0 （ ASP ）
HDSI3.0 （ ASP 、 PHP ）
啊 D_Tools
• 应对方法
严谨后台编程手法，规范数据库调用方法
利用 IDS （入侵检测）技术，进行监控和记
录
22:55 22:55 21
嗅探
• 什么是嗅探？
在以太网或其他共享传输介质的网络上，用来
截获网络上传输的信息
• 嗅探方式（协议还原和密码截取）
内网嗅探（利用内部网 HUB 环境或者交换
机镜像口）
外网接线嗅探（利用中转路由或者交换设
备镜像）
22:55 22:55 22
嗅探
• 嗅探典型工具
Sniffer （协议和管理）
Iris （协议）
Cain 2.5 （密码）
• 防止方法
内网采用交换机接入设为管理策略
对于外网可采用应用层加密协议或者第三方加
密设备
22:55 22:55 23
口令破解
• 口令破解
是指破解口令或屏蔽口令保护
• 口令破解方式
字典暴破（字典组合）
防真对比（利用用户日常常用字符）
屏蔽技术（利用程序或者流程漏洞）
22:55 22:55 24
口令破解
• 常用破解工具
MD5_Creaker
Cain5.0
• 防止方法
设置高强度密码
规范操作流程和个人操作习惯（定期改变
口令）
打相应的漏洞补丁
22:55 22:55 25
口令破解
• 破解成功！对方 administrator 的密码为 1234

22:55 22:55 26
木马技术
• 什么是木马
是指任何提供了隐藏的、用户不希望的功能程
序
• 木马类型
1 、按连接方式
主动 / 被动
2 、管理方式
B/S 、 C/S
22:56 22:56 27
木马技术
• 常用木马工具
冰河
灰鸽子 2005
Serven Door
• 防止方法
安装防火墙和防病毒软件，时常监视相关进
程
22:56 22:56 28
病毒
• 什么是病毒？
计算机病毒是指能够通过某种途径潜
伏在计算机的存储介质或程序中，当满
足某种条件后即被激活，且对计算机资
源具有破坏作用的一种程序或指令的集
合。
22:56 22:56 29
病毒的演化趋势
物理介质邮件邮件 / 互联网
Brain CIH Melissa Love Code Redfunlove SQL 冲击波
Letter Nimda Klez Slammer 震荡波
1969 1986 1998 1999 2000 2001 2002 2003 2004
攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战
22:56 22:56 IDC, 2004 30

Int erne t 成为主要传播途径
 据 ICSA 病毒流行性调查结果，电子邮件和 Internet 互联网已成为

病毒传播的绝对主要途径。
 99% 的病毒都是通过 SMTP 、 HTTP 和 FTP 协议进入用户的计

算机。
企业所面监的问题
 用户防病毒的意识薄弱
 缺乏安全技术培训
 防病毒实施强制力不够
 网络中漏洞普遍存在
22:56 22:56 31
病毒典型案例
被感染被感染
未修补漏洞的系统
不被感染被感染
已修补漏洞的系统
随机攻击
随机攻击不被感染
不被感染
WORM_SASSER.A
染毒电脑
随机攻击
22:56 22:56 32
病毒
• 防止方法
安装杀病毒软件并升级病毒库
安装个人防火墙
打好相应的补丁
新的防护技术
网关型防病毒产品（病毒过滤网关）
22:56 22:56 33
防病毒网关介绍
22:56 22:56 34
全面的协议保护
• 支持 SMTP 、 POP3 、 IMAP4 、 HTTP 和 FTP 协

议
• 实际应用中， HTTP 协议开启后系统工作正常
• 支持 HTTPS 协议，主要用在电子商务方面
22:56 22:56 35
病毒从 Internet
即插即用的 Internet 入侵
Http 过滤
Firewall
透明接入方式 Ftp 过滤
STOP!
邮件过滤
采用流扫描技
术
内部局域网
22:56 22:56 36
随机存取的扫描算法（传统的解决方案）
22:56 22:56 37
流扫描技术
22:56 22:56 38
DOS/DDOS 攻击
• 什么是 DOS/DDOS 攻击？
Denial of Service (DoS) 拒绝服务攻
击,
– 攻击者利用大量的数据包“淹没”目标主机，耗
尽可用资源乃至系统崩溃，而无法对合法用户
作出响应。
Distributed Denial of Service
(DDoS) 分布式拒绝服务攻击 ,
– 攻击者利用因特网上成百上千
的“ Zombie”( 僵尸 )- 即被利用主机，对攻击
目标发动威力巨大的拒绝服务攻击。
22:56 22:56 39
– 攻击者的身份很难确认。
正常访问
通过普通的网络连线，使用者传送信息
要求服务器予以确定。服务器于是回复
用户。用户被确定后，就可登入服务器
。
22:56 22:56 TCP 三次握手方式 40

“ 拒绝服务” （ DoS ）的攻击
方式
“ 拒绝服务 ”的攻击方式为：用户传送众多要求确认的信息到服务器
，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚
假地址，以至于当服务器试图回传时，却无法找到用户。服务器于
是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接
时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最
终导致服务器处于瘫痪状态
22:56 22:56 41
DDoS 攻击过程
黑客
1 黑客利用工具扫描非安全主机
Internet ，发现存
在漏洞的主机
Internet
扫描程序
22:56 22:56 42
DDoS 攻击过程
黑客
Zombies
2
黑客在非安全主机上安装
类似“ 后门”的代理程序 Internet
22:56 22:56 43
DDoS 攻击过程
黑客
Zombies
主控主机
3 Internet
黑客选择主控主机，用
来向“ 僵尸”发送命令
22:56 22:56 44
DDoS 攻击过程
Hacker
Zombies
Master
Server
4 Internet
通过客户端程序，黑客发送命
令给主控端，并通过主控主机
Targeted
启动 “ 僵尸”程序对目标系目标 System
统发动攻击
22:56 22:56 45
DDoS 攻击过程
Hacker
Zombies
Master
Server
5 Internet
主控端向“僵尸” 发送
攻击信号，对目标发动
目标系统
攻击
System
22:56 22:56 46
DDoS 攻击过程
黑客
僵尸
主控主机
6 目标主机被“淹没
”，无法提供正常服务 Internet
，甚至系统崩溃
合法用户
目标
服务请求被拒绝
22:56 22:56 47
DOS/DDOS 攻击
传统防止方法
设置路由器 ACL
牺牲正常流量、防护种类有限
传统思想：防火墙
性能低下：一般 <10M 优秀的 <30M
提高服务器自身能力
硬件和软件可调空间有限
负载均衡
高层攻击防御能力有限，面向用户能力弱
22:56 22:56 48
DOS/DDOS 攻击
采用第三方专用设备
多层防护体系
特征库匹配
统计学归纳技术
动态识别
生物学分析区分
逆向验证技术
Syn-Proxy 技术
22:56 22:56 49
多层防护体系
双向反馈
环
统计学分
析
生物学计
动态判定自学习特征多重验证算二次整体分
库析
22:56 22:56 50
部署实现
网桥模式串连接入系统
一分钟完成部署
22:56 22:56 51
垃圾邮件
22:56 22:56 52
垃圾邮件的影响
 蠕虫病毒通过邮件传播  网络带宽浪费
 邮件欺骗导致银行  邮件系统瘫痪
信息等的泄露
 用户时间花费
 反动、色情、暴力等邮
件影响用户身心健康
公安部、教育部、信息产业部及国务院新闻
办联合发出通知，于 2004 年上半年开展互
22:56 22:56 联网垃圾电子邮件专项治理工作 53
全球垃圾邮件的现状
垃圾邮件的发展速度和趋势
数据来源： Radicati ， 2004.6

22:56 22:56 54
全球垃圾邮件分布情况
据 Commtouch 调查
，目前 71% 的垃圾
邮件的 URL 是指向
中国的服务器，美
国以 22% 排名第二
。
22:56 22:56 55
中国垃圾邮件的现状
22:56 22:56 56
中国垃圾邮件的现状
据中国互联网中心统计，现
在，我国用户平均每周受到
的垃圾邮件数超过邮件总数
的 60% ，部分企业每年为
此投入上百万元的设备和人
力，垃圾邮件泛滥造成严重
后果
它不但阻塞网络 ,
降低系统效率和生产力 ,
同时有些邮件还包括色情
和反动的内容
22:56 22:56 57
反垃圾邮件技术的技术演进
行为识别技术第三代
智能内容过滤 (Bayes) 、 RBL 第二代
IP 过滤、关键字过滤邮件 ( 附件 ) 大小
控制、 SMTP 连接时间频率控制
第一代
22:56 22:56 58
前两代技术的缺陷
IP 封禁和 RBL

缺点：“杀伤性”太强，只能作为辅助手段
SMTP 连接时间和频率控制
缺点 : 无法防范 Ddos 方式的 Email 攻击
邮件 ( 附件 ) 大小控制
缺点：缺乏实用性
 内容过滤 (Bayes)
缺点 : 需要匹配全部邮件内容，效率低，误判断率
高，与语言相关性太大，非常高的升级频率
22:56 22:56 59
新一代反垃圾邮件技术
 采用 “行为识别”反垃圾新技术
 经过大量的统计分析计算，归纳出了垃圾邮件发送行为识
别模型。这一模型在理论计算上有着较高的垃圾邮件区分
度（ >99% ）
 垃圾邮件行为特征是垃圾邮件的固有特性
 主要检查邮件头，无须接受全部邮件内容，判别速度快
 语言无关性，对全世界垃圾邮件都有明显效果
 一般无须升级，一个成熟的模型可以在一定时间抵御所有
的已知和未知垃圾邮件
22:56 22:56 60
行为识别模型
动态 IP 频度正常行为邮件
外来邮件 SMTP 会话
发信地址
行为模式
服务器特征
SMTP 路由识别模型
邮件服务器
内容特征攻击特征
时间特征
垃圾邮件
可疑邮件
构成一个多指标的发信“行为特征”模式识别智能
模型
22:56 22:56 61
邮件三层安全防护模型
恶意攻击、垃圾邮件、病毒
“ 行为识别”
病毒过滤
防止 DDos 反垃圾邮件
集成
邮件攻击引擎
CA 引擎
>99%
邮件服务器
22:56 22:56 62
识别的典型行为特征
 伪造发信人和发信服务器
 不断变化 IP 地址发信
 不断变化的发信人地址
 以目录攻击的方式群发
 发信的频度异常
 发信的时间规律
 虚假的 SMTP 路由信息
 等等
22:56 22:56 63
反垃圾技术特点
行为识别技术
全方位的邮件过滤解决方案
集成防病毒引擎
详细的日志报告
22:56 22:56 64
谢谢！
王超电话： 13871320744
22:56 22:56
E_mail ： wang_chao@topsec.com.cn 65

黑客攻防技术

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

黑客攻防技术

Uploaded by

Copyright:

Available Formats

完全你的安全

Seamless Security Network

闪客（ Flasher) 、快客（ Creaker)

Database NTLOG IDS/IPS

• 缓冲区溢出：向一个有限空间的缓冲区中拷贝了过长的字符串，带

• 破解成功！对方 administrator 的密码为 1234

1969 1986 1998 1999 2000 2001 2002 2003 2004

攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战

22:56 22:56 IDC, 2004 30

 据 ICSA 病毒流行性调查结果，电子邮件和 Internet 互联网已成为

 99% 的病毒都是通过 SMTP 、 HTTP 和 FTP 协议进入用户的计

• 支持 SMTP 、 POP3 、 IMAP4 、 HTTP 和 FTP 协

22:56 22:56 TCP 三次握手方式 40

垃圾邮件的发展速度和趋势

数据来源： Radicati ， 2004.6

智能内容过滤 (Bayes) 、 RBL 第二代

IP 封禁和 RBL

恶意攻击、垃圾邮件、病毒

You might also like

黑客攻防技术

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

黑客攻防技术

Uploaded by

Copyright:

Available Formats

完全你的安全

Seamless Security Network

闪客（ Flasher) 、快客 （ Creaker)

Database NTLOG IDS/IPS

• 缓冲区 溢出 ：向 一个有 限空 间的缓 冲区中 拷贝 了过长 的字 符串， 带

• 破解成 功！对方 administrator 的密码 为 1234

1969 1986 1998 1999 2000 2001 2002 2003 2004

攻击和 威胁转移 到服务器和 网关，对防毒 体系提出新 的挑战

22:56 22:56 IDC, 2004 30

 据 ICSA 病毒流行性调查结果，电子邮件和 Internet 互联网已成为

 99% 的病毒都是通过 SMTP 、 HTTP 和 FTP 协议进入用户的计

• 支持 SMTP 、 POP3 、 IMAP4 、 HTTP 和 FTP 协

22:56 22:56 TCP 三次握手方式 40

垃圾邮 件的发 展速 度和趋 势

数据来源： Radicati ， 2004.6

智能内容过滤 (Bayes) 、 RBL 第二代

IP 封禁和 RBL

恶意攻击 、垃圾 邮件 、病毒

You might also like

闪客（ Flasher) 、快客（ Creaker)

• 缓冲区溢出：向一个有限空间的缓冲区中拷贝了过长的字符串，带

• 破解成功！对方 administrator 的密码为 1234

攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战

垃圾邮件的发展速度和趋势

恶意攻击、垃圾邮件、病毒