第四章 基于系统的攻击与防御.ppt

第四章 基于操作系统的攻击与防御 1.windows系统口令攻击 口令攻击主要采用以下几种方法： 猜测攻击 字典攻击 穷举攻击 混合攻击 直接破解系统口令文件 网络嗅探(sniffer) 键盘记录 中间人攻击 社会工程学 1.1 Windows操作系统的口令破解技术 1.输入法漏洞 windows2000 sp2之前的版本。 2.暴力破解SAM文件，一般使用工具LC4.0 1.2 设置系统策略保护口令 连接策略 问题： 默认情况下系统没有设置登录的失败次数限制，导致可以被无限制地尝试连接系统管理的共享资源。 解决方法： 设置用户的访问策略，定义用户登录失败达到一定次数时锁定帐号，并限制管理员远程访问。 如何实现？ 在 “管理工具”中，选择本地安全策略。 在本地安全策略中选择“帐户安全策略”，其中的“密码策略”可以对密码的长度、密码的存留时间等方面进行设置。比如：在“密码必须符合复杂性要求”的选项中，系统默认是停用该功能，但推荐用户在使用时将该功能开启。 点击“帐户锁定策略”，可以看到三个被选项，这里可以对帐户的时间和帐户无效访问的次数进行设置。此处，我们点击“用户锁定阈值”点右键，选择“安全性”，此处就可以对用户无效访问次数进行限制。 由于Administrator帐号的特殊性，Administrator帐号无法设置帐号锁定，即使登录失败的次数达到设置时，该帐号也不可能被锁住。因此除了系统默认创建的Administrator帐号，还应该创建至少一个具有管理员特权的帐号，并且，把默认帐号Administrator改成另外一个名字。 2.SMB/NetBIOS协议攻击 2.1 SMB/NetBIOS原理 SMB（Server Message Block，服务器消息块）是一种通过网络在共享文件、设备、命名管道和邮槽之间操作数据的协议。CIFS（Common Internet File System）是SMB的一个公共版本。在SMB中有两种安全模式：共享级安全模式和用户级安全模式。 共享级安全模式：把一个网络上的共享资源同一个口令关联起来，用户通过这个正确的口令来访问网络资源； 用户级安全模式：是对共享级模式的增强，它把一对用户名/口令同共享资源关联起来 NetBIOS（Network Basic Input Output System，网络基本输入输出系统）是一种应用程序接口（API），作用就是为局域网（LAN）添加特殊功能，几乎所有的局域网电脑都是在NetBIOS基础上工作的。 2.2 空会话（Null Session）攻击 1). 用扫描软件搜寻存在若口令的主机，比如流光，SSS，X-scan等，然后锁定目标，如果扫到了管理员权限的口令，假设现在得到了administrator的密码为空 2). 然后，我们先建立起ipc$连接 C:\net use \\192.168.1.9\ipc$ /user:administrator 3). 查看远程主机开了什么共享 C:\net view \\192.168.1.9 在 \\192.168.1.9的共享资源 资源共享名 类型 用途 注释 ----------------------------------------------------------- C Disk D Disk 命令成功完成。 注释：我们看到对方共享了C,D两个盘，下面就可以向任意一个盘复制文件了。声明用net view命令无法看到默认共享，因此通过上面返回的结果，并不能判断对方是否开启了默认共享。 4).查看远程主机的时间 net time \\192.168.1.9 \\192.168.1.9的当前时间是 2007/2/22 上午 11:00 命令成功完成 5). 得到远程主机的用户名列表 nbtstat -A 192.168.1.9 以下是一些常见的导致ipc$连接失败的原因： 1 IPC连接是Windows NT及以上系统中特有的功能，由于其需要用到Windows NT中很多DLL函数，所以不能在Windows 9.x/Me系统中运行，也就是说只有nt/2000/xp才可以相互建立ipc$连接，98/me是不能建立ipc$连接的； 2 如果想成功的建立一个ipc$连接，就需要对方开启ipc$共享，即使是空连接也是这样，如果对方关闭了ipc$共享，你将会建立失败； 3 你未启动Lanmanworkstation服务，它提供网络链结和通讯，没有它你无法发起连接请求（显示名为：Workstation）； 4 对方未启动Lanmanserver服务，它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依赖于此服务，没