信息安全实习s

北邮 计算机学院 崔宝江 信息安全技术认知实习 崔宝江 副教授 北京邮电大学计算机学院 cui_bj@sina.com.cn 13611330827 北邮 计算机学院 崔宝江 目录 一. 前沿热点技术认知实习内容 ˆ网络诱骗式攻击技术 二. 动手操作类认知实习内容 ˆ端口扫描 ˆ木马配置与清除 三. 总结 北邮 计算机学院 崔宝江 一. 前沿热点技术认知实习内容 诱骗式攻击 －－诱骗式攻击是通过诱使用户点击或执行某些 操作，从而植入恶意程序的攻击方式 ˆ网站挂马 －－在网页中写入iframe等盗链脚本，实现打 开网页触发漏洞获得权限植入恶意代码的目的 €演示：少林武校网站 €演示： 利用操作系统缓冲区溢出漏洞实施网页挂马 北邮 计算机学院 崔宝江 一. 前沿热点技术认知实习内容 诱骗式攻击 －－诱骗式攻击是通过诱使用户点击或执行某些 操作，从而植入恶意程序的攻击方式 ˆ网站挂马 －－在网页中写入iframe等盗链脚本，实现打 开网页触发漏洞获得权限植入恶意代码的目的 €演示：少林武校网站 €演示： 利用操作系统缓冲区溢出漏洞实施网页挂马 北邮 计算机学院 崔宝江 一. 前沿热点技术认知实习内容 诱骗式攻击 ˆ文件附加恶意代码 －－通过将恶意代码和文件进行捆绑，或者将恶 意代码写入文件体内，实现打开文件就被植入 恶意代码。 €演示：捆绑并释放演示 €演示：利用文件缓冲区溢出漏洞植入恶意代码 北邮 计算机学院 崔宝江 一. 前沿热点技术认知实习内容 诱骗式攻击 ˆEmail口令窃取原理及演示 －－偷取cookie后，骗取口令 €演示：利用邮件服务器漏洞，窃取cookie和口令 ˆXSS攻击原理及演示 －－网站过滤不严格，攻击者将恶意脚本写入网页 中，用户通过浏览器访问时，脚本将被解释执行 €演示：某网站的XSS反射式攻击 北邮 计算机学院 崔宝江 目录 一. 前沿热点技术认知实习内容 ˆ网络诱骗式攻击技术 二. 动手操作类认知实习内容 ˆ端口扫描 ˆ木马配置与清除 三. 总结 北邮 计算机学院 崔宝江 TCP三次握手机制 SYN received 主机A：客户端 主机 B：服务端 发送TCP SYN分段 (seq=100 ctl=SYN)1 发送TCP SYN&ACK分段 (seq=300 ack=101 ctl=syn,ack)SYN received 2 Established (seq=101 ack=301 ctl=ack)3 北邮 计算机学院 崔宝江 TCP 首部 20 字节的 固定首部 目 的 端 口 数据 偏移 检 验 和 选 项 （长 度 可 变） 源 端 口 序 号 紧 急 指 针 窗 口 确 认 号 保 留 FI N 32 bit S Y N R S T P S H A C K U R G 比特 0 8 16 24 31 填 充 TCP 数据部分TCP 首部TCP 报文段 IP 数据部分IP 首部 发送在前 北邮 计算机学院 崔宝江 TCP 的正常的连接建立和关闭 SYN, SEQ = x 客户进程 服务器进程 LISTEN（被动打开） (主动打开) SYN_SENT SYN_RCVD ESTABLISHED ESTABLISHED (主动关闭) FIN_WAIT_1 CLOSE_WAIT ( 被动关闭) FIN_WAIT_2 LAST_ACKTIME_WAIT CLOSED （全双工数据传送阶段） SYN, ACK, SEQ = y, ACK = x + 1 ACK, SEQ = x + 1, ACK = y + 1 FIN, SEQ = u ACK, SEQ = v, ACK = u + 1 FIN, ACK, SEQ = v, ACK = u + 1 ACK, SEQ = u + 1, ACK = v + 1 TIME_WAIT CLOSE_WAIT SYN_RCVD ESTABLISHED 北邮 计算机学院 崔宝江 端口扫描基础 北邮 计算机学院 崔宝江 端口扫描基础 扫描原理 ˆ 1）全TCP连接 ˆ 2）SYN扫描（半打开式扫描） €发送SYN,远端端口开放，则回应SYN=1,ACK=1,本地发送RST给远端， 拒绝连接 €发送SYN,远端端口未开放，回应RST 北邮 计算机学院 崔宝江 TCP三次握手机制 SYN received 主机A：客户端 主机 B：服务端 发送TCP SYN分段 (seq=100 ctl=SYN)1 发送TCP SYN&ACK分段 (seq=300 ack=101 ctl=syn,ack)SYN received 2 Established (seq=101 ack=301 ctl=ack)3 北邮 计算机学院 崔宝江 全TCP连接 长期以来TCP端口扫描的基础 ˆ扫描主机尝试（使用三次握手）与目的机指定端口建 立建立正规的连接 连接由系统调用connect()开始 ˆ对于每一个监听端口，connect()会获得成功，否则返 回－1，表示端口不可访问 很容易被检测出来 ˆCourtney,Gabriel和TCP Wrapper监测程序通常用来进 行监测。另外，TCP Wrapper可以对连接请求进行控 制，所以它可以用来阻止来自不明主机的全连接扫描 北邮 计算机学院 崔宝江 TCP SYN扫描 TCP SYNTCP SYN分段，指向某端口分段，指向某端口 ？？ 该端口开放么？该端口开放么？开放开放 TCP SYN&ACKTCP SYN&ACK分段分段 不开放不开放 TCP RSTTCP RST分段分段 收到什么分段？收到什么分段？ ？？ TCP RSTTCP RSTTCP SYN&ACKTCP SYN&ACK 北邮 计算机学院 崔宝江 TCP 的正常的连接建立和关闭 SYN, SEQ = x 客户进程 服务器进程 LISTEN（被动打开） (主动打开) SYN_SENT SYN_RCVD ESTABLISHED ESTABLISHED (主动关闭) FIN_WAIT_1 CLOSE_WAIT ( 被动关闭) FIN_WAIT_2 LAST_ACKTIME_WAIT CLOSED （全双工数据传送阶段） SYN, ACK, SEQ = y, ACK = x + 1 ACK, SEQ = x + 1, ACK = y + 1 FIN, SEQ = u ACK, SEQ = v, ACK = u + 1 FIN, ACK, SEQ = v, ACK = u + 1 ACK, SEQ = u + 1, ACK = v + 1 TIME_WAIT CLOSE_WAIT SYN_RCVD ESTABLISHED 北邮 计算机学院 崔宝江 端口扫描基础 ˆ向系统发送各种特殊的包，根据系统对 包回应的差别，推断出对方开放的端口 ˆ端口扫描程序利用的部分特征 €ICMP错误信息抑制 €服务类型值(TOS) €TCP/IP选项 €对SYN FLOOD的抵抗力 €TCP初始窗口 北邮 计算机学院 崔宝江 端口扫描工具（Windows 平台） ¾SuperScan ¾Nmap 北邮 计算机学院 崔宝江 端口扫描工具：SuperScan 北邮 计算机学院 崔宝江 针对端口扫描的防范 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 •安装防火墙或相关工具软件，禁 止访问不该访问的服务端口 北邮 计算机学院 崔宝江 目录 一. 前沿热点技术认知实习内容 ˆ网络诱骗式攻击技术 二. 动手操作类认知实习内容 ˆ端口扫描 ˆ木马配置与清除 三. 总结 北邮 计算机学院 崔宝江 • 对木马程序而言，它一般包括两个部分：客户端和服务器 端。 • 服务器端安装在被控制的计算机中，它一般通过电子邮件 或其他手段让用户在其计算机中运行，以达到控制该用户 计算机的目的。 • 客户端程序是控制者所使用的，用于对受控的计算机进行 控制。服务器端程序和客户端程序建立起连接就可以实现 对远程计算机的控制了。 • 木马运行时，首先服务器端程序获得本地计算机的最高操 作权限，当本地计算机连入网络后，客户端程序可以与服 务器端程序直接建立起连接，并可以向服务器端程序发送 各种基本的操作请求，并由服务器端程序完成这些请求， 也就实现对本地计算机的控制了。 • 木马本身不具备繁殖性和自动感染的功能。 木马组成 北邮 计算机学院 崔宝江 第二代木马 ˆ冰河、广外女生 第三代木马 ˆ灰鸽子 €反弹端口技术 第四代木马 ˆ广外幽灵、广外男生 €线程插入 第五代木马 ˆ进程、端口、文件、注册表隐藏 木马分类 北邮 计算机学院 崔宝江 连接请求 http 第3代木马－反弹端口木马1 攻击者攻击者 Client 黑客 Server 用户 北邮 计算机学院 崔宝江 第4代木马－线程插入 系统/应用程序 gwboy.dll 北邮 计算机学院 崔宝江 ˆ不要随便执行文件 ˆ不要随便打开陌生的电子邮件 ˆ不要连接到未知网站 ˆ不要随意打开未知的URL ˆ密码不要太简单 ˆ关闭文件共享 ˆ安装防病毒软件，并经常更新 ˆ定期更新系统补丁 三. 总结 北邮 计算机学院 崔宝江 实习说明 1 信息安全技术操作类认知实习地点和时间 地点 ˆ主楼1112 时间：从10点开始，每个班40分钟 ˆ上午： ˆ07401：10：00－10：40 ˆ07402：10：40－11：20 ˆ07403：11：20－12：00 北邮 计算机学院 崔宝江 实习说明 时间：从13点开始，每个班40分钟 ˆ下午： ˆ07404：13：00－13：40 ˆ07405：13：40－14：20 ˆ07406：14：20－15：00 ˆ07407：15：00－15：40 ˆ07408：15：40－16：20 北邮 计算机学院 崔宝江 实习说明 实习成绩和实习报告要求 ˆ实习成绩由出勤和实习总结两个部分组合而 成，各占一半。每个实习题目的满分为20分， 按时到场者，出勤成绩为满分10分。迟到/早退 超过10分钟者视为缺席。每个班实习时点名。 ˆ每个班在实习结束后的三天内将自己的实习总 结通过学习委员收齐后统一交到主楼11楼1112 ˆ《北京邮电大学实习报告》表内的总结部分必 须要求学生手写。 北邮 计算机学院 崔宝江 Q & A 信息安全技术认知实习 目录 一. 前沿热点技术认知实习内容 一. 前沿热点技术认知实习内容 一. 前沿热点技术认知实习内容 一. 前沿热点技术认知实习内容 目录 TCP三次握手机制 TCP 的正常的连接建立和关闭 端口扫描基础 TCP三次握手机制 全TCP连接 TCP SYN扫描 TCP 的正常的连接建立和关闭 端口扫描基础 目录 木马分类 第3代木马－反弹端口木马1 第4代木马－线程插入 实习说明 实习说明 实习说明