CH03 駭客手法研究-基礎篇.

Slides:



Advertisements
Similar presentations
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
Advertisements

第三章 駭客入侵流程解析.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
校園網路管理實電務 電子計算機中心 謝進利.
第一章 網路攻防概述.
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
计算机系统安全 第10章 常用攻击手段.
徐馨 淮海工学院计算机工程学院 网络攻防技术 第一讲 网络攻击技术概述 徐馨 淮海工学院计算机工程学院.
網路基本概念與設定方法 林文宗 資管系助理教授
教学目的:通过本章的学习大家要掌握端口 教学重点:端口的分类的两大类,静态端口 教学难点:几种常见的端口.
网络与信息安全 第一章 网络安全概述 1 沈超 刘烃 自动化-系统所 西安交通大学电信学院
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
網路概論.
SNMP -以MRTG實作 A 魏兆言 2008/06/20.
David liang 数据通信安全教程 防火墙技术及应用 David liang
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
臺東縣中小學資訊教育校園網路管理暨資訊安全防護計畫研習
TCP協定 (傳輸層).
Q101 在701 SDX Linux上的標準安裝與使用程序v2
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
JDK 安裝教學 (for Win7) Soochow University
網路服務 家庭和小型企業網路 – 第六章.
第二章 Linux基本指令與工具操作 LINUX 按圖施工手冊.
Working with Databases (II) 靜宜大學資管系 楊子青
HiNet 光世代非固定制 用戶端IPv6設定方式說明
第 2 章 TCP / IP 簡介.
R教學 安裝RStudio 羅琪老師.
ASP.NET基本設計與操作 建國科技大學 資管系 饒瑞佶 2007年.
安裝JDK 安裝Eclipse Eclipse 中文化
Echo Server/Client Speaker:Fang.
網路安全管理 期末報告 分散式阻斷服務攻擊 - DDoS 指導教授:梁明章 教授 學生:陳皓昕 A
無線路由器(AP)管理.
OpenID與WordPress使用說明
Unit 04 虛擬機器建構實驗 M. S. Jian Department of Computer Science and Information Engineering National Formosa University Yunlin, Taiwan, ROC.
雲端運算的基石(2) 虛擬化技術實作(XP篇─上)
系統設定 IE8相容性檢視
NetST®防火墙培训教程 清华得实® 保留所有权利.
FTP檔案上傳下載 實務與運用.
DHCP for W2K.
電腦攻擊與防禦 使用電腦教室VMware軟體說明.
網路安全技術期末報告 Proxy Server
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
第7章 传输层协议——TCP与UDP 任课教师 卢豫开.
本院使用建教合作之輔仁大學 圖書館資料庫 設定方式說明
Linux作業系統 電腦教室Linux使用說明.
Network Application Programming(3rd Edition)
Firewall-pfsense Mars Su
講師:陳永芳 網際網路資源運用 講師:陳永芳
網頁資料知多少? 事 實 ? 謠言?.
Google協作平台+檔案分享(FileZilla+網路芳鄰)
緩衝區溢位攻擊 學生:A 羅以豪 教授:梁明章
個人網路空間 資訊教育.
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
探測工具:NetCat.
FTP使用教學 簡介: 軟體名稱:FileZilla 軟體性質:Freeware 版本: 繁體中文版
Visible Body- Human Anatomy Atlas 2017
取得與安裝TIDE 從TIBBO網站取得TIDE
編輯網頁可用那些應用程式? 記事本 Word FrontPage Dreamweaver.
基本指令.
Dreamweaver 進階網頁製作 B 許天彰.
1. 查詢個人電腦版本 1.進入控制台 2.點選“所有控制台項目” 3.點選“系統”.
國立屏東大學宿舍網路連線 設定說明 104/08/12.
Cloud Operating System - Unit 03: 雲端平台建構實驗
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
ARP攻擊 A 吳峻誠.
網路安全技術期末報告 ICMP協定 學生 : A 黃昱儒.
電腦網絡與教學.
Chapter 4 Multi-Threads (多執行緒).
Visible Body Human Anatomy Atlas
Presentation transcript:

CH03 駭客手法研究-基礎篇

駭客 稱呼網路上進行攻擊行為的人 Hacker Cracker 某人喜歡學習電腦系統的細節,且知道如何展現其 能力

駭客的分類 黑帽駭客 (Black Hats) 白帽駭客 (White Hats) 指惡意攻擊電腦系統及網路的人 Cracker 宣稱具有關於黑帽行為的相關知識,具有專業的駭 客技術,用於正面的行為 可能是一個人或一群人,諸如安全顧問公司或安全 分析師 (Security Analysts) 也可能是前任的黑帽,即改過自新的駭客 (Reformed Crackers) 3

駭客的分類 (Cont.) 灰帽駭客 (Gray Hats) 自殺駭客 (Suicide Hackers) 道德駭客 (Ethical Hacker) 指將資訊安全的專業駭客 技巧應用在防禦上 灰帽駭客 (Gray Hats) 指大多不違法,又遊走法律邊緣,常以類似駭客手 法便宜行事的人 在不同的時間,有時候當黑帽,有時候當白帽 自殺駭客 (Suicide Hackers) 為某些理由癱瘓重要的架構,無視其行為將有數十 年牢獄之災

道德駭客 不是一般從事破壞行為的駭客 好的道德駭客必備條件 首先應自問的問題 精通寫程式與電腦網路技能 熟悉弱點研究 能掌握不同的入侵技術 遵守嚴格的行為規範 首先應自問的問題 哪些目標需要保護 對抗誰的入侵 可以獲得什麼資源的擴充

惡意駭客入侵步驟

惡意駭客入侵步驟 (Cont.) 偵查 (Reconnaissance) 掃瞄 (Scan) 被動式偵查 (Passive Reconnaissance) 搜尋訊息不需要與目標進行直接互動與接觸 使用監聽程式監聽網路 主動式偵查 (Active Reconnaissance) 用任何方法與目標直接互動與接觸 使用工具探索或掃描該組織有哪些主機、IP、或服務 掃瞄 (Scan) 攻擊發起前的階段 利用偵查時期獲得的資訊為基礎,核對網路與系統 此時駭客通常已找到單點的入侵目標

惡意駭客入侵步驟 (Cont.) 獲得存取權限 (Gaining Access) 掃描方式與工具包括電話撥號 (Dialers)、Port 掃描器、 Network 對應圖、弱點掃描器等 獲得存取權限 (Gaining Access) 屬於滲透階段,為駭客真正入侵的時期 入侵的行為可以透過區域網路,網際網路或欺騙 入侵手法包括緩衝區溢位、阻斷服務、攔截及密碼 破解…等 駭客可以獲取作業系統等級 (Operating System Level)、 應用程式等級 (Application Level) 或網路等級 (Network Level) 的權限

惡意駭客入侵步驟 (Cont.) 維護存取 (Maintaining Access) 在此階段,駭客已經取得系統的權限,並且使用此 系統的資源 可以在這個系統上進行下列的任一項行為,包括上 傳 (Uploading)、變更 (Altering)、下載 (Downloading) 程式或資料 也可以利用這台電腦當跳板,入侵其他電腦主機

惡意駭客入侵步驟 (Cont.) 清除軌跡 (Clearing Tracks) 許多主機對於連線的行為都會進行記錄,因此駭客 會設法覆蓋或刪除入侵的軌跡,以隱藏活動的訊息 ,避免被發現 清除軌跡方法包括偽裝(Steganography)、建立通道 (Tunneling) 以及改變 Log 檔

足跡 Footprinting 蒐集有關組織或目標所有資訊的過程,這些收 集到的資訊可以在進行後續的入侵行動時使用 以特定的方法,描繪出一個組織的安全架構概 況與藍圖 攻擊發起前 (Pre-Attack Phase) 三階段的其中之 一,另外兩個為掃瞄 (Scanning) 及列舉 (Enumeration)

足跡 (Cont.) 一個攻擊者可能花費 90% 以上的時間,進行資 料蒐集,只用 10% 的時間進行攻擊 一個攻擊者可能花費 90% 以上的時間,進行資 料蒐集,只用 10% 的時間進行攻擊 主要目的為描繪及關注一個單一組織的網路及 其所用的各式資訊系統

資訊收集 7 步驟 資訊收集 7 步驟 攻擊發起前三階段 發掘初始資訊 足跡 找出網路的範圍 探知活動中的機器 掃描及列舉 探索開啟的 Port 或存取點 偵測作業系統 揭露 Port 上的服務 繪製網路地圖

資訊收集 7 步驟 (Cont.) 發掘初始資訊 找出網路的範圍 發掘該組織的背景基本資料 領域名稱或 URL 查詢 : 尋找與該組織相關的領域名 稱與 URL 位置 : 尋找該組織的地理位置,包含週邊道路位置 接洽 (Telephone /Mail) : 該組織服務台或服務部門的 電話或郵件帳號 找出網路的範圍 使用工具,尋找該組織的 IP 範圍及遮罩…等資訊

資訊收集 7 步驟 (Cont.) 探索開啟的 Port 或存取點 偵測作業系統 探知活動中的機器 使用工具,在該組織的 IP 範圍內,掃描是否有經常 存活 (開機) 的電腦 探索開啟的 Port 或存取點 使用工具,針對存活的機器,逐一掃瞄探索哪些 Port 已經開啟 偵測作業系統 使用工具偵測該主機使用哪種作業系統,以及這個 作業系統已做哪些更新

資訊收集 7 步驟 (Cont.) 揭露 Port 上的服務 繪製網路地圖 不同的 Port 上會有不同的服務 某些服務不見得是在原先預設的 Port 上,諸如 HTTP 有可能出現在 Port 8080 上 繪製網路地圖 將前述得到的資訊繪製成網路關連地圖

URL 查詢 Whois Sam Spade 可以得到目標網站及接洽管理的資訊 全球 WHOIS 查詢 who.is Whois 的一種 http://www.whois365.com/tw who.is http://www.who.is Sam Spade Whois 的一種 網頁版- http://samspade.org 單機版- http://majorgeeks.com/Sam_Spade_d594.html

URL 查詢 (Cont.) ARIN SpiderFoot http://www.arin.net 允許搜尋 whois 資料庫,找出某個網路匿名系統 (只 有 IP) 的位置在哪裡 SpiderFoot 一個免費的「足跡」工具程式,能在 Google、 Netcraft、Whois 及 DNS 中,將目標網站的相關訊息 綜合,包括次領域,網頁伺服器的版本,使用者, 郵件位址,網路區塊等 http://www.binarypool.com/spiderfoot/

URL 查詢 (Cont.) nslookup 指令 可以用來查詢網路領域名稱伺服器 也可以用來診斷 DNS 的架構 如果知道 DNS 的名稱,可以幫助尋找額外的 IP 位址

網路路徑描繪 traceroute 指令 3D Traceroute VisualRoute Lite 可以找出主機的來源及路徑資訊 利用 ICMP 的特性工作 3D Traceroute 很好用的節點追蹤工具,能夠將追蹤的結果以 3D 立體圖表繪製 http://www.d3tr.de/ VisualRoute Lite 可以監測網路上某個輸入的網站要經過多少個節點 ,及其連線速度的分析工具軟體 http://www.visualroute.com/lite.html

砍站軟體 HTTrack WebSite Copier http://www.httrack.com/ 一套相當容易使用的網站映射軟體 (俗稱砍站軟體) ,使用上相當方便,而且免費

Google Earth 技術 Google Earth YouGetSignal.com http://earth.google.com/ http://www.yougetsignal.com/ 「 Network Location Tool」 可以查出某個IP的使用位 置,並可以利用Google Maps來顯示該地址的地圖

足跡主要執行動作與步驟 尋找公司內部使用及對外公開的 URL 執行 whois 尋找個人的細節資訊 取得 DNS 及 IP 等相關的資訊 鏡射 (Mirror) 整個網站及尋找人名 (英文) 抽取網頁的重點

足跡主要執行動作與步驟 (Cont.) 使用 Google 搜尋公司的內部的各種新聞及資訊 搜尋僱員的個人資訊 使用工具追蹤伺服器的實體位置 了解公司架構細節 追蹤郵件資訊

掃描 Scanning 攻擊者攻擊前,蒐集相關資訊 有助於攻擊者決定入侵一個系統時,採用何種入侵 方式 目的地範圍內特定的 IP,尤其是活著的主機 IP 目的主機的作業系統 系統架構及每一台電腦上執行的服務 該主機上安裝的應用程式 有助於攻擊者決定入侵一個系統時,採用何種入侵 方式

掃描的類型 網路的掃描 (Network Scanning) Port 的掃瞄 (Port Scanning) 掃描各主機所使用的作業系統 檢測即掃描網路上有哪些主機活著,揭露其 IP Port 的掃瞄 (Port Scanning) 看哪些 Port 打開,並且有服務在執行 掃描範圍包括 Well-Known Port 及 未知的 Port 掃描各主機所使用的作業系統

掃描的類型 (Cont.) 弱點的掃瞄 (Vulnerability Scanning) 利用特殊工具 (弱點掃描程式) 與方法,檢查網路上 的主機所呈現的弱點 先辨識目標系統的作業系統、版本、套件更新狀況 ,接著依據資料庫中的樣本,進行弱點的探索與偵 測

掃描的步驟 檢查活著的系統 檢查開啟的 Port 服務識別 作業系統的足跡 (標誌抓取) 弱點掃瞄 弱點主機的網路圖 準備代理伺服器 攻擊

檢查活著的系統 檢查主機是否活著,最常用的方法為使用 ICMP ICMP 會送出需求封包,並等待目的地主機回應 ICMP 可以同時進行多個主機是否存活的測試, 稱為 Ping-Sweep 如果目的主機或網路上有開啟防火牆,並且設 定不接收 ICMP 偵測,掃描工作會失敗 通常搭配 Port 的掃描,以確定主機是否真的活 著

檢查活著的系統 (Cont.) 使用工具 Ping 指令 Angry IP Scanner ping -t [IP or Domain Name] 缺點為一次只能針對一個主機 (IP) 進行測試 Angry IP Scanner http://www.angryip.org/w/Home Windows 版的 IP 掃描器 可掃描一整段的 IP 範圍 及指定的 Port 範圍,看是否有主 機活著 可提供有關 NETBIOS 的資訊

檢查開啟的 Port TCP (傳輸層) 在通訊時,在 TCP 的封包表頭中 有多個旗標 (Flag),這些 Flag 的用途為識別及 控制的用途,每個 Flag 在封包中其實只佔用1 bit 因為先天流程上的缺陷,駭客可以利用這些 Flag 及不完整的程序,進行主機或 Port 的掃瞄 ,不容易被目的地發覺

檢查開啟的 Port (Cont.) 比較常見的 TCP Flag Synchronize (SYN):用來初始化主機間的連接 Acknowledgement (ACK):用來確認主機間的連接 PUSH (PSH):立即送出緩衝的資料 Urgent (URG):封包中的資料必須立即被處理 Finish (FIN):通知遠端系統傳輸結束 Reset (RST):重新啟動連線 網路伺服器開啟的服務在某一個特定的 TCP Port 上傾聽 (Listen),以等待使用者的連結 HTTP Server 在 Port 80 上傾聽

檢查開啟的 Port (Cont.) 任何一個程式在某一個特定的 Port 上傾聽,等 待使用者的連結,稱這個 Port 的狀態為 Open ,反之則稱這個 Port 的狀態為 Close 三向握手協定

檢查開啟的 Port (Cont.) 如果一個 Port 的狀態為 Open,目的地主機會 傳回一個 SYN/ACK 的封包 如果該 Port 的狀態為 Close,目的地會傳回一 個 RST 的封包 利用不完整的握手程序達到掃瞄目的的方法 SYN Stealth Xmas Scan FIN Scan NULL Scan IDLE Scan TCP Connect RPC Scan

SYN Stealth Half Open Scan (半開掃描) 不會開啟一個完整的 TCP 連線

Xmas Scan 適用於使用 RFC 793 實作的系統 目前的 Windows 系統不適用 RFC 793 規定若一個關閉的 Port 收到諸如 FIN 、X-mas、Null Scan 的封包,必須回應一個 RST 封包,若是開放的 Port,會忽略這些封包

Xmas Scan (Cont.)

FIN Scan 與 Xmas Scan 類似

Null Scan 類似 Xmas Scan

IDLE Scan 一種非常難以察覺的 Port Scanning 的方法 攻擊者完全不需使用真實的 IP 傳送封包給被攻 擊的目標主機,而 IDS (Intrusion Detection System) 會誤以為無辜的僵屍電腦為攻擊來源 殭屍電腦 (Zombie Computer) 簡稱殭屍 (Zombie) ,有些人稱為肉雞 指一部已經被駭客、電腦病毒、或木馬入侵的電腦 ,通常都連上網際網路

IDLE Scan (Cont.) 每一個 IP 封包都有一個 IPID 欄位,大部分的 作業系統針對這個欄位只是循序編號 任何電腦若只收到 SYN/ACK 將會回覆一個 RST (因為沒發出SYN),同時這封包會包含這 台主機的 IPID,而每次的 SYN/ACK 連線都會 讓 IPID 會加 1

IDLE Scan (Cont.) IDLE Scan 掃描步驟 攻擊者的主機 A 先選擇一台殭屍電腦 Z,同時送出 一個 SYN/ACK 封包,這時送回來的 RST 封包會包 含 IPID,假設為 31337

IDLE Scan (Cont.) 接下來攻擊者送出一個 SYN 封包給目標主機,來源 IP 偽造成 Z 的 IP,若目標主機有回應,將會回應給 Z 目標主機的 Port 如果開啟,會回應一個 SYN/ACK 給 Z, Z 收到該 SYN/ACK ,會將 IPID 加 1 成為 31338,並且送 回一個包含 IPID 的 RST 給目標主機 目標主機的 Port 如果關閉,目標主機會回應一個 RST 給 Z

IDLE Scan (Cont.) 主機 A 再送出一個 SYN/ACK 給 Z,如果前面的偵 測中目標主機的 Port 開啟,主機 Z 回應的應該是 31338 加 1 的結果,即 31339 如果主機 A 收到的是 31338,代表這個 Port 在之前 的測試中沒有被加 1,即沒有開啟

TCP Connect Full Open Scan 最精確及最可靠的 TCP 掃描 使用系統提供的呼叫 connect() 容易被偵測

RPC Scan 混合使用其他 Port Scan 的方法 掃描所有的 TCP/UDP Port,且用 SunRPC 程式 的 Null 命令嘗試是否為 RPC Port,如果為是, 再判斷哪個版本及使用哪個程式

Port Scan 工具程式 NMAP 一個開放程式碼的工具,目前有 UNIX (Linux) 版及 Windows 版 (稱為 Zenmap GUI) 此工具程式被設計用來快速掃瞄大範圍的網路主機 ,並且可以使用特殊方法進行偵測,大多為讓目標 主機無法察覺曾經被掃瞄過 http://nmap.org/

Port Scan 工具程式 (Cont.) 參數 型態 -sT TCP Connect -sA ACK Scan -sS SYN Scan -sW Window Scan -sF Fin Scan -sR RPC Scan -sX Xmas Scan -sL List/DNS Scan -sN Null Scan -PT TCP Ping -sU UDP Scan -PS SYN Ping -sI Idle Scan -PI ICMP Ping -sO Protocol Scan

Port Scan 工具程式 (Cont.) SuperScan 透過 Ping 檢驗 IP 是否在線上 IP 和領域名稱相互轉換 檢驗目標電腦提供的服務 不需安裝,下載解壓縮後即可執行 http://www.snapfiles.com/get/superscan.html

服務識別 檢視在某個 Port 上所執行的服務 通常執行完 Port 掃描後,接著會進行服務識別 http://www.xuanya.com.tw/cubekm/images/port1.htm

標誌抓取 使用方法擷取目標系統的指紋 (Fingerprinting) ,以判斷目標主機使用哪種作業系統 通常有價值的目標才會進行此步驟 開啟一個連線到目的地主機的服務,通常服務 會對某些連些進行回應 telnet xxx.xxx.xxx.xxx 110 或 telnet xxx.xxx.xxx.xxx 25 藉由回應判斷該主機的作業系統或服務所使用 的軟體

標誌抓取 (Cont.) 系統指紋獲得方法 主動式:若作業系統不同,其系統中實作的 TCP 堆 疊形態也不同;只要取得 TCP 堆疊形態,再與資料 庫進行比對,即可判定目標主機是哪一種作業系統 被動式:使用監聽 (Sniffing) 技術取代掃描技術,較 不精確

標誌抓取工具網站 Netcraft Website 此網頁可被動式的識別某台主機不同時期使用的作 業系統 http://news.netcraft.com/

標誌抓取對策 關閉該服務的標誌 (Banner) 訊息 Apache Server 2.x IIS Server 修改httpd.conf檔案,加入Header set Server“Banner 的名稱” IIS Server 使用工具程式 IIS Lockdown Tool 或 ServerMask

弱點掃描 Nessus 弱點掃描器,能檢查系統或軟體的 Bug 或漏洞 管理者非常有用的工具程式 駭客可以拿來危害安全 有 Windows 及 Linux 兩種版本,採用 Plug-in 架構及 NASL 同時可以測試無限制的主機數,使用 Client-Server架 構及即時更新的資料庫

弱點掃描 (Cont.) 下載網址:http://www.nessus.org/nessus/ 下載 Windows 版的 Nessus;安裝過程中,同 時安裝 Server 及 Client

弱點主機的網路圖 如果目標往較複雜,可以使用工具會製成拓樸 圖 Friendly Pinger http://www.kilievich.com 唯一需要付費的軟體,有 30 天試用版可以使用 圖形化的網路監督與管理工具,可以利用外部的命 令同時 Ping 所有定義的裝置,並且以圖形化直覺的 方式顯示

準備代理伺服器 攻擊前的最後一個步驟,攻擊者通常不會用自 己的主機直接攻擊目標,而會利用代理伺服器 (Proxy Server) 代理伺服器通常用於以下之目的 當做 Firewall (防火牆) 當做 IP 位址的多工器 可以過濾掉不想要的內容

準備代理伺服器 (Cont.) 攻擊者手上只要有曾經入侵成功的電腦,即可 以安裝代理伺服器,再進行攻擊 攻擊者可以透過單一的代理伺服器進行攻擊 攻擊者也可以建立一串的代理伺服器,這樣將 會讓追蹤更困難

準備代理伺服器 (Cont.)

代理伺服器工具程式 SocksChain HTTPort http://www.ufasoft.com/socks/ 一支能讓任何的網際網路服務透過一串的 SOCKS 或 HTTP 代理伺服器以隱藏真實的 IP HTTPort http://download.cnet.com/HTTPort/3000-2155_4- 10037133.html HTTPort (Client) 及 HTTHost (Server) 為免費的工具 ,可以用來將任何的 TCP 流量透過 HTTP 協定建立 通道 (Tunnel)

HTTP 通道技術 許多公司或單位會使用防火牆或路由器將大部 分的 Port 關閉,只留下 HTTP (Port 80) 及 HTTPS (Port 443) 如果想要使用遠端伺服器上的其他的服務,諸 如 FTP,可以使用 HTTP 通道技術,將資料由 HTTP 協定送出 HTTP Tunnel 可建立雙向的虛擬連線,使用者 若被限制在防火牆後面,仍然可以突破

防止掃描的對策 適當的安全架構,諸如裝設防火牆、IDS 或 IPS 只開啟有必要的 Port,其他的 Port 都關閉 敏感資訊不要揭露於網路上,想辦法不顯示 加強組織成員在系統使用的教育訓練

入侵系統的過程 列舉使用者名稱、機器名稱或 SNMP…等資訊 破解密碼 升高權限 執行應用程式 破解使用者密碼及進入系統 獲得管理者的層級 在電腦主機上置入鍵盤側錄、間諜程式、木馬等

入侵系統的過程 (Cont.) 隱藏檔案 隱藏入侵工具及程式碼 覆蓋蹤跡 刪除蹤跡以免被逮

列舉 Enumeration 抽取出使用者名稱與群組、電腦名稱、網路資 源、網路分享與服務等資訊 屬於 Intranet 環境的技術

列舉的技術 使用系統提供的工具進行列舉 獲取 SNMP 的使用者名稱 獲得目標的預設密碼 獲取 E-mail 的使用者名稱 使用暴力法 (Brute Force)

NetBIOS Null Sessions 使用 CIFS/SMB (Common Internet File System/ Server Messaging Block) 進行運作 主機必須安裝 NetBIOS 才能運作 攻擊者可以建立一個 Null Session 的連線到一 個 Windows (200/XP) 主機上,並藉由Null User Name 及 Password 登入

NetBIOS Null Sessions (Cont.) Users 及 Groups 的列表 主機的列表 「分享」的列表 UIDs 及 SIDs (Security Identifiers) 任何使用 NetBIOS 連接到目標電腦的連線,都 可能輕易的取得完整的列表,包括使用者名稱 、群組、分享、權限、政策與服務

NetBIOS Null Sessions (Cont.) 從Windows 2000/XP 的 TCP Port 139 獲得與該 台電腦的充足資訊 使用內建的匿名使用者 (/u:””) 與 Null Password (“”) 假設目標的 IP 位址為 192.34.34.2 C:\> net use \\192.34.34.2\IPC$ “” /u:””

系統工具列舉工具 SuperScan4 使用時請點選「Windows Enumeration」頁籤,可以 看到左邊的「Enumeration Type」中列出許多可以列 舉的項目,包括 NULL Session 接著輸入目標主機的名稱或 IP,最後再按下「 Enumerate」

系統工具列舉工具 (Cont.) GetAcct http://www.securityfriday.com/tools/GetAcct.html 可以獲得在 Windows 2000/XP/2003 電腦上的帳號資 訊 輸入目標電腦的 IP 位址或 NetBIOS 名稱於「 Remote Computer」欄位上,接著輸入 1000 以上的 數字於「End of ID」欄位,最後按下「Get Account 」按鈕 RID 為當使用者建立時,作業系統給使用者的識別 號 預設值為 2000,即檢查 1000 個帳號

Null Session 對策 Null Session 會去存取 TCP Port 139 與 TCP Port 445,若不使用這兩個 Port 可以將其關閉 從 Windows 操作介面上關閉 WINS Client TCP/IP,即可以關掉 SMB 服務 編輯機碼 (Registry) 以限制匿名使用者 (Anonymous User)登入 輸入「regedt32」 尋找 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Control\LSA\restrictanonymous 選擇「修改」,Data Type: DWORD,Value: 2

SNMP 列舉 SNMP 為簡單網路管理協定 (Simple Network Management Protocol),管理者只要送出需求 (Requests) 給某個設備 (Agent),該 Agent 會將 回應送回 需求的封包中包含一些變數及設定的數值, Agent 會依據變數中的數值傳回相對的回應 Traps 為由 Agent 主動送回的訊息,可以讓管 理者知道有特殊的事件發生在 Agent 上

SNMP 列舉 (Cont.) MIB (Management Information Base) 為 SNMP 的管理資訊庫,提供 SNMP Agent 各種資訊的 基本表現方式,為SNMP網路管理基本的元件 MIB-II 為標準 MIB 的更新版本 MIB 系統有一個稱為 Community String 的變數 ,許多設備預設值為「public」且為「唯讀」 屬性,可能造成該設備的某些資訊外洩

SNMP 列舉工具程式 Getif SNScan http://www.wtcs.org/snmp4tpc/getif.htm 一個可以透過 SNMP 獲取有關 Agent 各項數值與設 定的程式 SNScan http://www.foundstone.com/us/resources/proddesc/snsc an.htm Windows-based SNMP Scanner 可以檢測網路上開啟 SNMP 的裝置,即可以掃描特 定的 SNMP Ports,亦可使用 Public 及使用者自定的 Community Names

SNMP 列舉工具程式 (Cont.) Winfingerprint http://sourceforge.net/projects/winfingerprint/ 視窗下圖形介面的工具程式,可掃描單一個主 機或在連續的網路區塊同時進行列舉的動作

SNMP 列舉對策 最簡單的防治方法為移除 SNMP Agent 或關閉 SNMP 服務 如果不能關閉 SNMP ,最好把預設為「Public 」的 Community 字串改掉,或在 Group Policy Security 選項裡選用「Additional Restrictions for Anonymous Connections」 ,即限制匿名存取 如果一定要使用 SNMP 而且設備也支援,可以 使用 SNMP v3,會更安全

預設帳號及密碼列舉 許多的裝置都會使用預設帳號及密碼,諸如交 換器,路由器,分享器等 列舉時可以嘗試使用預設帳號及密碼

執行列舉的步驟 在主機上使用 Null Session 獲得資訊 使用 Super Scan4 等工具執行 Windows Enumeration 使用 GetAcct 等工具得到 Users Accounts 用 Getif、SNScan 等工具執行 SNMP Port 掃描 使用 http://www.defaultpassword.com/ 列舉預設 的帳號與密碼

嗅探 Sniffing 指一個程式或裝置 (Sniffer) 在特定的網路上, 擷取網路流量中需要的資訊 一種在網路上竊聽的技術

嗅探 (Cont.) 監聽的目的為竊取有關以下的資訊 攔截密碼 攔截文字內容 將檔案攔截

監聽的架構

監聽的架構 (Cont.) 駭客會想盡辦法在來源與目的之間擷取及記錄 封包,駭客電腦的網卡通常會開啟「混雜模式 」,再利用工具程式將資料或密碼還原,最後 再利用這些資料直接侵入受害者系統或者受害 者使用的伺服器

容易被偷聽及破解的協定 Telnet 及 Rlogin HTTP POP FTP IMAP 傳輸時,密碼及資料都以明文 (Clear Text) 進 行傳送

監聽的技術與工具 嗅探器可以監聽 OSI 第二層的訊框 (Frame), 也可以監聽 OSI 第三層的封包 (Packet) 有的工具在操作與顯示時,以文字模式進行 ( 以 Linux 系統為主),有的則以圖形介面顯示結 果 (以 Windows 系統為主) 某些工具程式甚至可以將封包串流重組回原樣

監聽的類型 被動監聽 (Passive Sniffing) 代表駭客不需要送出訊息,即可獲得被害者的資料 被動監聽模式下,駭客的監聽行為很難被察覺,可 以透過 Hub 進行監聽

監聽的類型 (Cont.) 主動監聽 (Active Sniffing) 駭客必須主動送出一些會造成錯亂的訊息,才能監聽 到資料 不需要變更硬體環境,只要透過現有的交換器即可監 聽,但較容易被追蹤 攻擊者會試著藉著送出偽造 (Bogus) 的 MAC 毒害交 換器 此類的技術有 ARP Spoofing 與 MAC Flooding