《计算机安全策略部署浙大讲稿》第二十二章 黑客攻击技术.pptx

陈天洲 信息安全原理 xxaqyl@dlc.zju.edu.cn 33-34 0703037 第二十二章 黑客攻击技术 黑客攻击技术 黑客 网络攻击与防范 利用缓冲区溢出入侵系统例子 黑客 起源 黑客的定义 黑客常用手段 起源 最早的黑客我们大概要从入侵电话技术开使起先，入侵者利用ratshack拨号器。 如今网络还有很多漏洞。随着友好的功能强大的网络应用程序的涌出，网络的飞速发展，漏洞被发现越来越多。 黑客的定义 黑客是那些检查网络系统完整性和完全性的人，他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。 入侵者只不过是那些利用网络漏洞破坏网络的人他们往往住一些重复的工作（如用暴力法破解口令），他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为了。当然还有一种人兼于黑客与入侵者之间。 黑客常用手段 口令入侵法 特洛伊术 监听法 其他技术 Email技术 病毒技术 信息隐藏技术 系统漏洞攻击 网络协议漏洞 黑客攻击技术 黑客 网络攻击与防范 利用缓冲区溢出入侵系统例子 网络攻击与防范 Internet威胁级别层次 网络安全攻击 黑客攻击流程 Internet威胁级别层次 任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。 大多数安全问题可分为3类: 读访问 非根式（non-root）写与执行访问 根式（root）写与执行访问。 在进一步分析潜在漏洞之前，先对安全漏洞进行分类，产生一个分类级别是很有用的。它被称做Internet威胁级别层次（InternetThreatLeverScale）或ITL层次（ITLScale）。 Internet威胁级别层次 0服务拒绝攻击——用户不能访问文件或程序 1本地用户可以读年本地系统上的文件 2本地用户可以对系统中不属于根拥有的文件进行写及和/或执行操作 3本地用户可以对系统中根拥有的文件进行写及和/或执行操作 4同一网络上的远程用户可以读系统上的文件，或通过网络传送 5同一网络上的远程用户可以写及和/或执行系统上非根拥有的文件或通过网络传送 6同一网络上的远程用户可以写及和/或执行系统上根拥有的文件 7跨过防火墙的用户可以读系统上的文件并通过网络传送 8跨过防火墙的用户可以写及和/或执行系统上非根拥有的文件或通过网络传送 9跨过防火墙的用户可以写及和/或执行系统上根拥有的文件 网络安全攻击 网络攻击的来源包括两个： 内部网络 企业外网 网络攻击的一般模式: 黑客攻击流程 收集系统信息 实施 日志清除 安全后门 是入侵者为了不引起管理员的注意发展起来的能躲过日志，使自己重返被入侵系统的技术。后门的设置主要是为了实现如下目的： 保证在管理员改变密码以后，仍然能再次侵入 使再次侵入被发现的可能性减至最低 利用脆弱性，重复攻破机器 黑客攻击技术 黑客 网络攻击与防范 利用缓冲区溢出入侵系统例子 利用缓冲区溢出入侵系统例子 攻击原理：Win2KIIS5.0的打印ISAPI扩展接口建立了.printer扩展名到msw3prt.dll的映射关系，缺省情况下该映射存在。当远程用户提交对.printer的URL请求时，IIS5.0调用msw3prt.dll解释该请求。由于msw3prt.dll缺乏足够的缓冲区边界检查，远程用户可以提交一个精心构造的针对.printer的URL请求，使得在msw3prt.dll中发生典型的缓冲区溢出，潜在允许执行任意代码。通过构造包含适当的ShellCode的脚本，可以以用户的身份，不停地远程通过web执行任何指令。 程序说明：程序的主要部分是一串16进制的数据，放在exploit[]数组中，这些数据便是用以使缓冲区溢出的特殊URL请求。在这段URL中会添加攻击方的hostname和相应的端口，以便在攻击之后用该端口登录对方系统。 代码（略） 作业 入侵网站