第四章 基于系统的攻击与防御.ppt

  1. 1、本文档共28页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第四章 基于操作系统的攻击与防御 1.windows系统口令攻击 口令攻击主要采用以下几种方法: 猜测攻击 字典攻击 穷举攻击 混合攻击 直接破解系统口令文件 网络嗅探(sniffer) 键盘记录 中间人攻击 社会工程学 1.1 Windows操作系统的口令破解技术 1.输入法漏洞 windows2000 sp2之前的版本。 2.暴力破解SAM文件,一般使用工具LC4.0 1.2 设置系统策略保护口令 连接策略 问题: 默认情况下系统没有设置登录的失败次数限制,导致可以被无限制地尝试连接系统管理的共享资源。 解决方法: 设置用户的访问策略,定义用户登录失败达到一定次数时锁定帐号,并限制管理员远程访问。 如何实现? 在 “管理工具”中,选择本地安全策略。 在本地安全策略中选择“帐户安全策略”,其中的“密码策略”可以对密码的长度、密码的存留时间等方面进行设置。比如:在“密码必须符合复杂性要求”的选项中,系统默认是停用该功能,但推荐用户在使用时将该功能开启。 点击“帐户锁定策略”,可以看到三个被选项,这里可以对帐户的时间和帐户无效访问的次数进行设置。此处,我们点击“用户锁定阈值”点右键,选择“安全性”,此处就可以对用户无效访问次数进行限制。 由于Administrator帐号的特殊性,Administrator帐号无法设置帐号锁定,即使登录失败的次数达到设置时,该帐号也不可能被锁住。因此除了系统默认创建的Administrator帐号,还应该创建至少一个具有管理员特权的帐号,并且,把默认帐号Administrator改成另外一个名字。 2.SMB/NetBIOS协议攻击 2.1 SMB/NetBIOS原理 SMB(Server Message Block,服务器消息块)是一种通过网络在共享文件、设备、命名管道和邮槽之间操作数据的协议。CIFS(Common Internet File System)是SMB的一个公共版本。在SMB中有两种安全模式:共享级安全模式和用户级安全模式。 共享级安全模式:把一个网络上的共享资源同一个口令关联起来,用户通过这个正确的口令来访问网络资源; 用户级安全模式:是对共享级模式的增强,它把一对用户名/口令同共享资源关联起来 NetBIOS(Network Basic Input Output System,网络基本输入输出系统)是一种应用程序接口(API),作用就是为局域网(LAN)添加特殊功能,几乎所有的局域网电脑都是在NetBIOS基础上工作的。 2.2 空会话(Null Session)攻击 1). 用扫描软件搜寻存在若口令的主机,比如流光,SSS,X-scan等,然后锁定目标,如果扫到了管理员权限的口令,假设现在得到了administrator的密码为空 2). 然后,我们先建立起ipc$连接 C:\net use \\192.168.1.9\ipc$ /user:administrator 3). 查看远程主机开了什么共享 C:\net view \\192.168.1.9 在 \\192.168.1.9的共享资源 资源共享名 类型 用途 注释 ----------------------------------------------------------- C Disk D Disk 命令成功完成。 注释:我们看到对方共享了C,D两个盘,下面就可以向任意一个盘复制文件了。声明用net view命令无法看到默认共享,因此通过上面返回的结果,并不能判断对方是否开启了默认共享。 4).查看远程主机的时间 net time \\192.168.1.9 \\192.168.1.9的当前时间是 2007/2/22 上午 11:00 命令成功完成 5). 得到远程主机的用户名列表 nbtstat -A 192.168.1.9 以下是一些常见的导致ipc$连接失败的原因: 1 IPC连接是Windows NT及以上系统中特有的功能,由于其需要用到Windows NT中很多DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有nt/2000/xp才可以相互建立ipc$连接,98/me是不能建立ipc$连接的; 2 如果想成功的建立一个ipc$连接,就需要对方开启ipc$共享,即使是空连接也是这样,如果对方关闭了ipc$共享,你将会建立失败; 3 你未启动Lanmanworkstation服务,它提供网络链结和通讯,没有它你无法发起连接请求(显示名为:Workstation); 4 对方未启动Lanmanserver服务,它提供了 RPC 支持、文件、打印以及命名管道共享,ipc$依赖于此服务,没

文档评论(0)

awang118 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档