网络安全.txt

对黑客的简单介绍从<黑客的基本技能>开始,一直到木马,漏洞,监听,防范,跳板,等等,全手工整理,如果有乱码请换一下unicode字符.

　　解决方案： 

　　1. 以下是修正程序的网址： 

　　ftp://ftp.microsoft.com/bussys/w ... sa/NT40tse/hotfixes postSP4/Flood-fix/ 

　　[注意]：因为行数限制，上面网址请合并为一行。 

　　2. 更详细资料请参考 Microsoft 网站的网址： 

　　http://www.microsoft.com/security/bulletins/ms99-028.asp. 

　　防范拒绝服务攻击 

　　你可以通过以下方法来减小拒绝服务攻击的危害： 

　　· 加强操作系统的补丁等级。 

　　· 如果有雇员建立特定的程序，请特别留意代码的产生过程。 

　　· 只使用稳定版本的服务和程序。 

　　审计非法服务，特洛伊木马和蠕虫 

　　非法服务开启一个秘密的端口，提供未经许可的服务，常见的非法服务包括： 

　　· NetBus 

　　· BackOrifice 和 BackOrifice 2000 

　　· Girlfriend 

　　· 冰河2.X 

　　· 秘密的建立共享的程序 

　　许多程序将不同的非法服务联合起来。例如，BackOrifice2000允许你将HTTP服务配置在任意端口。你可以通过扫描开放端口来审计这类服务，确保你了解为什么这些端口是开放的。如果你不知道这些端口的用途，用包嗅探器和其它程序来了解它的用途。 

　　技术提示：不要混淆非法服务和木马。木马程序通常包含非法服务，而且，木马程序还可以包含击键记录程序，蠕虫或病毒。 

　　特洛伊木马 

　　特洛伊木马是在执行看似正常的程序时还同时运行了未被察觉的有破坏性的程序。木马通常能够将重要的信息传送给攻击者。攻击者可以把任意数量的程序植入木马。例如，他们在一个合法的程序中安放root kit或控制程序。还有一些通常的策略是使用程序来捕获密码和口令的hash值。类似的程序可以通过E-mail把信息发送到任何地方。 

　　审计木马 

　　扫描开放端口是审计木马攻击的途径之一。如果你无法说明一个开放端口用途，你也许就检测到一个问题。所以，尽量在你的系统上只安装有限的软件包，同时跟踪这些程序和服务的漏洞。许多TCP/IP程序动态地使用端口，因此，你不应将所有未知的端口都视为安全漏洞。在建立好网络基线后，你便可以确定哪些端口可能存在问题了。 

　　蠕虫 

　　Melissa病毒向我们展示了TCP/IP网络是如何容易遭受蠕虫攻击的。在你审计系统时，通常需要配置防火墙来排除特殊的活动。防火墙规则的设置超出了本术的范围。但是，作为审计人员，你应当对建议在防火墙上过滤那些从不信任的网络来的数据包和端口有所准备。 

　　蠕虫靠特定的软件传播。例如，在2000年三月发现的Win32/Melting.worm蠕虫只能攻击运行Microsoft Outlook程序的Windows操作系统。这种蠕虫可以自行传播，瘫痪任何种类的Windows系统而且使它持续地运行不稳定。 
 
网络安全知识（3）

结合所有攻击定制审计策略 
　　攻击者有两个共同的特点。首先，他们将好几种不同的方法和策略集中到一次攻击中。其次，他们在一次攻击中利用好几种系统。综合应用攻击策略可以增强攻击的成功率。同时利用好几种系统使他们更不容易被捕获。 

　　例如，在实施IP欺骗时，攻击者通常会先实施拒绝服务攻击以确保被攻击主机不会建立任何连接。大多数使用Man-in-the-middle的攻击者会先捕获SMB的密码，再使用L0phtCrack这样的程序进行暴力破解攻击。 

　　渗透策略 

　　你已经了解到那些网络设备和服务是通常遭受攻击的目标和黑客活动的攻击特征。现在，请参考下列的一些场景。它们将有助于你在审计过程中关注那些设备和服务。请记住，将这些攻击策略结合起来的攻击是最容易成功的。 

　　物理接触 

　　如果攻击者能够物理接触操作系统，他们便可以通过安装和执行程序来使验证机制无效。例如，攻击者可以重启系统，利用其它启动盘控制系统。由于一种文件系统可以被另一种所破坏，所以你可以使用启动盘获得有价值的信息，例如有管理权限的账号。 

　　物理攻击的简单例子包括通过重新启动系统来破坏Windows95或98的屏幕锁定功能。更简单的物理攻击是该系统根本就没有进行屏幕锁定。 

　　操作系统策略 

　　近来，美国白宫的Web站点（http://www.whitehouse.gov）被一个缺乏经验的攻击者黑掉。攻击者侦查出该Web服务器（www1.whitehouse.gov）运行的操作系统是Solaris 7。虽然Solaris 7被成为艺术级的操作系统，但管理员并没有改变系统的缺省设置。虽然该站点的管理员设置了tripwire，但攻击者还是使用phf/ufsrestore命令访问了Web服务器。 

　　较弱的密码策略 

　　上面白宫网站被黑的例子可能是由于该系统管理员使用FTP来升级服务器。虽然使用FTP来更新网站并没有错，但大多数FTP会话使用明文传输密码。很明显，该系统管理员并没有意识到这种安全隐患。又由于大多数系统管理员在不同的服务上使用相同的密码，这使攻击者能够获得系统的访问权。更基本的，你可以保证/etc/passwd文件的安全。 

　　NetBIOS Authentication Tool（NAT） 

　　当攻击者以WindowsNT为目标时，他们通常会使用NetBIOS Authentication Tool（NAT）来测试弱的口令。这个程序可以实施字典攻击。当然它也有命令行界面，这种界面的攻击痕迹很小。而且命令行界面的程序也很好安装和使用。在使用NAT时，你必须指定三个文本文件和IP地址的范围。当然，你也可以指定一个地址。NAT使用两个文本文件来实施攻击而第三个来存储攻击结果。第一个文本文件包含一个用户列表，第二个文件中是你输入的猜测密码。 

　　当使用命令行版本时，语法格式为： 

　　 nat –u username.txt –p passwordlist.txt –o outputfile.txt 

　　即使服务器设置了密码的过期策略和锁定，攻击者还是可以利用NAT反复尝试登录来骚扰管理员。通过简单地锁定所有已知的账号，攻击者会极大地影响服务器的访问，这也是一些系统管理员不强行锁定账号的原因。 

　　较弱的系统策略 

　　到此为止，你已经学习了一些外部攻击。然而，对于管理员来说最紧迫的是大多数公司都存在不好的安全策略。如果安全策略很弱或干脆没有安全策略，通常会导致弱的密码和系统策略。通常，公司并不采取简单的预防措施，比如需要非空的或有最小长度要求的密码。忽略这些限制会给攻击者留下很大的活动空间。 

　　审计文件系统漏洞 

　　不论你的操作系统采取何种文件系统（FAT，NTFS或NFS），每种系统都有它的缺陷。例如，缺省情况下NTFS在文件夹和共享创建之初everyone组可完全控制。由于它是操作系统的组成部分（Windows NT），因此也成为许多攻击的目标。NFS文件系统可以共享被远程系统挂接，因此这也是攻击者入侵系统的途径之一。 

　　IP欺骗和劫持：实例 

　　IP欺骗是使验证无效的攻击手段之一，也是如何组合攻击策略攻击网络的典型实例。IP欺骗利用了Internet开放式的网络设计和传统的建立在UNIX操作系统之间信任关系。主要的问题是使用TCP/IP协议的主机假设所有从合法IP地址发来的数据包都是有效的。攻击者可以利用这一缺陷，通过程序来发送虚假的IP包，从而建立TCP连接，攻击者可以使一个系统看起来象另一个系统。 

　　许多UNIX操作系统通过rhosts和rlogin在非信任的网络上（如Internet）建立信任的连接。这种传统的技术是流行的管理工具并减轻了管理负担。通常，这种系统由于把UNIX的验证机制和IP地址使用相结合从而提供了适当的安全。然而，这种验证机制是如此的独立于IP地址不会被伪造的假设，以至于很容易被击破。 

　　Non-blind spoofing 和Blind spoofing 

　　Non-blind spoofing是指攻击者在同一物理网段上操纵连接。Blind spoofing是指攻击者在不同的物理网段操纵连接。后者在实施上更困难，但也时常发生。 

　　进行IP欺骗的攻击者需要一些程序，包括： 

　　· 一个包嗅探器 

　　· 一个能够同时终止TCP连接、产生另一个TCP连接、进行IP 伪装的程序 

　　IP欺骗涉及了三台主机。像先前分析的那样，使用验证的服务器必须信任和它建立连接的主机。如果缺乏天生的安全特性，欺骗是非常容易的。 

　　思考下列的场景，有三台主机分别是A,B和C。A使用TCP SYN连接与合法用户B初始一个连接。但是B并没有真正参与到这次连接中，因为C已经对B实施了拒绝服务攻击。所以，虽然A认为是在与B对话，但实际上是与C对话。IP欺骗实际上组合了几种攻击手法包括对系统实施了拒绝服务攻击，还包括利用验证技术。 

　　作为审计人员，你不应该说服管理员终止这种信任关系，相反，你应当建议使用防火墙规则来检测有问题的包。 
TCP/IP序列号生成方法 

　　TCP的Initial Sequence Number(ISN)的预测 


(图1) 

　　正常的TCP连接基于一个三次握手(3-way handshake)，一个客户端(Client)向服务器(Server)发送一个初始化序列号ISNc， 随后，服务器相应这个客户端ACK(ISNc),并且发送自己的初始化序列号ISNs，接着，客户端响应这个ISNs（如下图），三次握手完成。 

　　 C ---〉S: (ISNc) 

　　 S ---〉C: ACK(ISNc)+ ISNs 

　　 C ---〉S: ACK(ISNs) 

　　 C ---〉S: data 

　　 and / or 

　　 S ---〉C: data 

　　下面，我以Windows2000 Advanced Server为例，来说一下两台主机是如何进行三次握手。 


(图2) 


(图3) 

　　我们可以看到： 

　　1) Smartboy首先发送一个seq:32468329的包给服务器202.116.128.6。 

　　2) 然后, 202.116.128.6响应主机Smartboy, 它送给Smartboy自己的 

　　 seq:3333416325 而且响应Smartboy的ack:3240689240。 

　　3) Smartboy再响应服务器202.116.128.6, seq:3240689240, ack:3333416326。