2019寒假訓練營第三次做業part1-網絡空間安全概論第五章

第五章 網絡攻防技術

5.1 網路信息收集技術--網絡踩點

• 黑客入侵系統以前，須要瞭解目標系統可能存在的：
  • 管理上的安全缺陷和漏洞
  • 網絡協議安全缺陷與漏洞
  • 系統安全缺陷與漏洞
• 黑客實施入侵過程當中，須要掌握：
  • 目標網絡的內部拓撲結構
  • 目標系統與外部網絡的鏈接方式與鏈路路徑
  • 防火牆的端口過濾與訪問控制配置
  • 使用的身份認證與訪問控制機制
• 網絡踩點：
  • 經過有計劃的信息收集，瞭解攻擊目標的隱私信息、網絡環境和信息安全情況
  • 根據踩點結果，攻擊者尋找出攻擊目標可能存在的薄弱環節，爲進一步的攻擊提供指引
• 網絡踩點經常使用手段
  • Google Hacking
    • 經過網絡搜索引擎查找特色安全漏洞或是私密信息
    • 經常使用的搜索引擎：
      • www.ZoomEye.org
      • www.google.com
      • www.altavista.com
      • www.dogpile.com
    • Google Hacking客戶端軟件：Athena,Wikto,SiteDigger

    • 可否利用搜索引擎在WEB中找到所需信息，關鍵在於可否合理提取搜索關鍵字
      

    • 防範Google Hacking
      • 將敏感信息從公共媒體上刪除
      • 發現存在非預期泄露的敏感信息後，應採起行動進行清楚
      • 發表信息時，儘可能不要出現真實我的信息
      • 作爲網絡管理者，不要輕易在討論組或技術論壇發佈求助技術貼，防止將單位內部網絡拓撲結構或路由器配置泄露給他人
      • 關注中國國家漏洞庫CNNVD等安全漏洞信息庫發佈的技術信息，及時更新軟件或操做系統補丁
  • WhoIs查詢
    • DNS註冊信息WhoIs查詢：查詢特定域名的3R詳細註冊信息
      • 3R:
        • 已註冊域名的註冊人（Registrant）信息，包括域名登記人信息、聯繫方式、域名註冊時間和更新時間、權威DNS IP地址等。
        • 註冊商（Registrar）信息
        • 官方註冊局（Registry）信息
      • 官方註冊局通常會提供註冊商和Referral URL信息，具體註冊信息則位於註冊商數據庫中
      • DNS WhoIs查詢思路
        • ICANN：因特網技術協調機構，負責協調如下因特網標識符的分配工做：
          • 域名、IP地址、網絡通訊協議的參數指標和端口號
          • 位於DNS/IP層次化管理結構的頂層，所以是手動WHOIS查詢的最佳入口點
        • 通常思路
          • 在www.iana.org 獲得某個提供whois查詢服務的機構
          • 進一步查詢域名註冊商
          • 在域名註冊商上查詢註冊信息
    • IP WhoIs查詢：查詢特定的IP地址的詳細註冊信息
      • ICANN的地址管理組織ASO整體負責IP地址分配工做
      • 具體IP網段分配記錄和註冊者信息都儲存於各個洲際互聯網管理局RIR的數據庫中
      • 有時須要到國家/地區互聯網註冊局NIR（中國爲CNNIC）或ISP查詢更細緻信息
      • 查詢過程
        • ARIN的Whois Web服務，告知這段IP由AONIC管轄
        • APNIC的Whois Web服務，給出該網段其餘詳細信息
    • whois查詢安全防範
      • 及時更新管理性事務聯繫人的信息
      • 嘗試使用虛擬的人名來做爲管理性事務聯繫人
      • 使用域名註冊商提供的私密註冊服務，確保敏感信息不被公開
  • DNS查詢
    • DNS：一個提供域名到IP地址的映射或者將IP地址映射成域名的分佈式數據庫系統
    • DNS區域傳送：
      • 輔助DNS服務器使用來自主服務器的數據刷新本身的ZONE數據庫
      • 爲運行中的DNS服務提供必定的冗餘度，防止因主服務器故障而致使域名解析器服務不可用
      • DNS區域傳送通常僅限於輔助DNS服務器才能向主服務器發起請求
    • DNS服務：容許不受信任的因特網用戶執行DNS區域傳送請求，是嚴重的配置錯誤
      • 在錯誤配置時DNS服務器會接受任何一個主機的DNS區域傳送請求
      • 若是沒有使用公用/私用DNS機制分割外部公用DNS信息和內部私用DNS信息，任何攻擊者均可以獲得機構的全部內部主機和IP地址
    • 解決方案：對外的DNS服務器配置爲禁止DNS區域傳送，且該服務器不能包含內部網絡相關主機的敏感信息
      5.2網路信息收集技術--網絡掃描
      --------------------------------------------
• 網絡掃描：攻擊者經過掃描技術找到目標可能的入侵漏洞

• 類型
  

  • 主機掃描：向目標系統發出特定的數據包，並分析目標系統返回的相應結果的行爲
    • 使用ICMP協議
    • 常見掃描技術
      • ICMP Ping掃描
      • 端口掃描
    • 防範
      • 使用例如Snort入侵掃描檢測系統，或者McAfee桌面防火牆工具，來檢測主機掃描活動
      • 根據業務要求，仔細考慮容許哪些類型的ICMP通訊進入網絡
        • 使用訪問控制列表機制ACL
        • 只容許制定的ICMP數據包到達特定主機
  • 端口掃描：攻擊者經過鏈接到目標系統的TCP/UDP端口，已肯定有哪些服務正處於監聽狀態
    • 常見端口掃描技術
      • TCP端口掃描
      • TCP SYN掃描
      • TCP FIN掃描
      • TCP聖誕樹掃描
      • TCP空掃描
      • TCP ACK掃描
      • TCP窗口掃描
      • TCP RPC掃描
      • UDP掃描
  • 防範措施
    • 端口掃描監測
      • 網絡入侵系統如Snort
    • 端口掃描的預防
      • 開啓防火牆
      • 禁用全部沒必要要的服務
      • 類UNIX:/etc/inetd.conf文件中註釋掉沒必要要的服務，修改系統、使用腳本，禁用此類服務
      • win32：在「控制面板/服務」中關閉服務
  • 操做系統/網絡服務辨識
    • 操做系統類型探測技術：TCP/IP協議棧指紋分析
      • 不一樣的操做系統在實現TCP/IP協議棧時都存在着差別
      • RFC中沒有對TCP/IP協議實現給予精確的定義
      • 不一樣的操做系統產生商，在實現TCP/IP協議棧時，也沒有徹底按照RFC所定義的標準來實現
    • 不一樣的網絡服務在實現應用層協議時也存在差別
    • 防範措施
      • 使用端口掃描檢測工具，發現對操做系統的探查活動
      • 部署安全的防火牆以保護目標主機
  • 漏洞掃描
    • 安全漏洞：一般指硬件、軟件或策略上存在的安全缺陷，利用這些安全缺陷，攻擊者可以在未受權的狀況下訪問、控制、甚至破壞目標系統
    • 目的：探測目標網絡的特定操做系統、網絡服務、應用程序中是否存在已公佈安全漏洞
    • 防範措施
      • 在黑客以前掃描漏洞
      • 補丁自動更新和分發，修補漏洞
      • 保證所安裝軟件的來源安全
      • 開啓操做系統和應用軟件的自動更新機制
        5.3網路信息收集技術--網絡查點
        --------------------------------------------
• 查點：對選擇好的攻擊目標，發起主動的鏈接和查詢，針對性的收集發起實際攻擊所需的具體信息內容
• 網絡服務旗標抓取：利用客戶端工具鏈接至遠程網絡服務並觀察輸出以蒐集關鍵信息的技術手段
  • 通用網絡服務查點
    • 通用網絡服務
• Windows平臺網絡服務查點：利用Windows平臺特有的網絡服務協議
  • NETBIOS名字服務查詢
  • SMB會話查詢
  • 目錄查詢
  • MSRPC查點
  • 防範措施：
    • 關閉沒必要要的服務及窗口
    • 關閉打印與共享服務（SMB）
    • 不要讓主機名暴露使用者身份
    • 關閉沒必要要共享，特別是可寫共享
    • 關閉默認共享限制IPC$默認共享的匿名空鏈接等
      5.4Windows系統滲透基礎
      --------------------------------------------
• 控制注入攻擊：
  • 現代計算機系統遵循馮諾依曼體系結構，沒有在內存中嚴格區分計算機程序的數據和指令，使得程序外部的指令數據有可能被看成指令代碼執行。
  • 攻擊者目標：劫持應用程序控制流來執行目標系統上的任意代碼，最終達到遠程控制目標系統的目的
  • 劫持攻擊技術：
    • 緩衝區溢出：
      • 棧溢出
        • 利用方式：符改函數返回地址
      • 堆溢出
    • 格式化字符串漏洞
    • 整數溢出
    • 指針釋放後再次被使用
• Windows系統主要的網絡服務程序：
  • NetBIOS網絡服務
  • SMB網絡服務
  • MSRPC網絡服務
  • RDP遠程桌面服務
    
• 遠程滲透Windows系統的途徑
  • 緩衝區溢出攻擊
  • 認證欺騙
  • 客戶端軟件漏洞利用
  • 設備驅動漏洞利用
• 針對系統滲透攻擊的常見防範措施
  • 及時更新應用軟件、操做系統、硬件設備驅動程序的安全補丁
  • 禁用沒必要要的網絡服務
  • 使用防火牆來限制可能存在漏洞的服務的訪問
  • 強制用戶使用強口令，並按期更換口令
  • 審計與日治
  • 使用掃描軟件主動發現系統是否存在已知安全漏洞，安裝入侵檢測/防護系統
  • 客戶端應用程序儘可能使用受限權限，而非管理員或同等級權限的用戶登陸因特網
  • 運行並及時更新防病毒軟件
  • 禁用以受攻擊的硬件設備
    5.5Internet協議安全問題
    --------------------------------------------
• 終端設備、路由器以及其餘因特網鏈接設備，都要運行一系列協議，這些協議控制因特網中信息的接受和發送，因特網的主要協議成爲TCP/IP協議
• 網絡安全五大屬性（CIA)
  • 機密性
  • 完整性
  • 可用性
  • 真實性
  • 不可抵賴性
• 網絡攻擊基本模式
  • 被動威脅
    • 截獲（竊聽）（破壞機密性）
      • 嗅探
      • 監聽
  • 主動威脅
    • 篡改（破壞完整性）
      • 數據包篡改
    • 中斷（破壞可用性）
      • 拒絕服務
    • 僞造（破壞真實性）
      • 欺騙
        
• 因特網協議棧層次結構
  • 網絡層基礎協議：IP協議、ARP地址協議解析協議、BGP邊界網關協議等動態路由協議
    • IP源地址欺騙攻擊：路由器只根據目標IP地址進行路由轉發，不對源IP地址作驗證，常被利用於發起匿名Dos攻擊

  • 傳輸層協議：UDP和TCP協議
    
    
    
    
    

  • 基於TCP協議安全缺陷引起的TCP RST攻擊（僞造TCP重置報文攻擊）
    

  • TCP會話劫持攻擊
    

  • 應用層協議：目前流行的應用層協議如HTTP、FTP、SMTP/POP三、DNS等均缺少合理的身份驗證機制，加上大多采用銘文傳輸通訊數據，所以廣泛存在被嗅探、欺騙、中間人攻擊等風險。
    • DNS協議
      

- 拒絕式服務攻擊（DoS）：用超出目標處理能力的海量數據包消耗可用系統資源、寬帶資源等，或形成程序緩衝區溢出錯誤，致使其沒法處理合法用戶的正常請求，最終導致網絡服務癱瘓，甚至系統死機。
        - 弱點攻擊
        - 洪泛攻擊

• TCP/IP網絡協議棧攻擊防範措施
  • 網絡接口層，檢測和防護網絡威脅，對網關路由器等關鍵網絡節點設備進行安全防禦，優化網絡結構，加強鏈路層加密強度
  • 網絡層，採用多種過濾和檢測技術來發現和阻斷網絡中欺騙攻擊，加強防火牆、路由器和網關設備的安全策略，關鍵服務器使用靜態綁定IP-MAC映射表、使用IPsec協議加密通信等預防機制
  • 傳輸層加密傳輸和安全控制機制，包括身份認證和訪問
  • 應用層加密，用戶級身份認證，數字簽名技術，受權和訪問控制技術以及審計、入侵檢測

5.6基本的web安全

• 跨站腳本攻擊（XSS)：攻擊者利用網頁開發時留下的漏洞，經過巧妙的方式注入惡意代碼到網頁，使用戶加載網頁時會運行攻擊者惡意製造的代碼，腳本能夠是JavaScript、VBSvript、ActiveX、Flash、HTML。攻擊成功後，攻擊者會獲得敏感信息，以獲取更高用戶權限，以被攻擊者身份執行操做
  • 反射型XSS

- 儲存型XSS
- DOM-XSS

- 防範XSS攻擊
    - 在瀏覽器設置中關閉JavaScript，關閉cookie或設置爲爲只讀，提升瀏覽器的安全等級設置，儘可能使用非IE的安全瀏覽器來下降風險
    - 只信任值得信任的站點或內容，不要輕易點擊不明連接

• SQL注入：利用web應用程序輸入驗證不完善的漏洞，將一段精心構造的SQL命令注入到後臺數據庫引擎執行
  • SQL注入的危害
    • 數據庫中的用戶隱私信息被泄露
    • 對特定網頁進行篡改
    • 經過修改數據庫一些字段的值，嵌入木馬連接，進行掛馬攻擊
    • 數據庫的系統管理員帳戶被修改
    • 服務器被黑客安裝後門進行遠程控制
    • 破壞硬盤數據，癱瘓全系統
      
      
  • SQL注入的主要緣由是web應用程序沒有對用戶輸入進行嚴格的轉義字符過濾和類型檢查
    • 防範：
      • 使用類型安全的參數編碼機制
      • 對來自程序外部的用戶輸入，必須進行完備檢查
      • 將動態SQL語句替換爲存儲過程，預編譯SQL或ADO命令對象
      • 增強SQL數據庫服務器的配置與鏈接，以最小權限配置原則配置web應用程序鏈接數據庫的操做權限，避免將敏感數據明文存放於數據庫中
      • 跨站請求僞造（CSRF)
        
  • csrf其實是利用了web身份驗證的漏洞：基於cookies的身份驗證只能保證請求發自用戶的瀏覽器，卻不能保證請求時用戶自願發出的
    

- 對CSRF攻擊的防護
    - 服務端
    - 客戶端
    - 設備端
- 預防措施
    - 不要點擊未知的連接或圖片
    - 及時退出已登陸帳戶
    - 爲計算機系統安裝安全防禦軟件，及時更新特徵庫和軟件升級
    - 安裝瀏覽器插件擴展防禦

5.7社會工程學攻擊

• 攻擊形式
  • 信息收集
  • 心理誘導
  • 身份僞造
  • 施加影響
• 但願得到的信息
  • 可能直接致使攻擊對象的財產或身份被盜
  • 能力也這些信息獲取目標組織的薄弱環節
  • 向攻擊目標發動更有針對性的攻擊
• 防範
  • 瞭解熟悉社會工程學詐騙
  • 對本身的基礎信息保持足夠的警戒不要經過不安全的方式透露我的、家庭、公司一些看似可有可無的信息
  • 涉及敏感信息，務必覈實對方身份使用防火牆保護我的電腦，同時提升垃圾郵件過濾器的門檻!