北邮 计算机学院 崔宝江
信息安全技术认知实习
崔宝江 副教授
北京邮电大学计算机学院
cui_bj@sina.com.cn
13611330827
北邮 计算机学院 崔宝江
目录
一. 前沿热点技术认知实习内容
网络诱骗式攻击技术
二. 动手操作类认知实习内容
端口扫描
木马配置与清除
三. 总结
北邮 计算机学院 崔宝江
一. 前沿热点技术认知实习内容
诱骗式攻击
--诱骗式攻击是通过诱使用户点击或执行某些
操作,从而植入恶意程序的攻击方式
网站挂马
--在网页中写入iframe等盗链脚本,实现打
开网页触发漏洞获得权限植入恶意代码的目的
演示:少林武校网站
演示: 利用操作系统缓冲区溢出漏洞实施网页挂马
北邮 计算机学院 崔宝江
一. 前沿热点技术认知实习内容
诱骗式攻击
--诱骗式攻击是通过诱使用户点击或执行某些
操作,从而植入恶意程序的攻击方式
网站挂马
--在网页中写入iframe等盗链脚本,实现打
开网页触发漏洞获得权限植入恶意代码的目的
演示:少林武校网站
演示: 利用操作系统缓冲区溢出漏洞实施网页挂马
北邮 计算机学院 崔宝江
一. 前沿热点技术认知实习内容
诱骗式攻击
文件附加恶意代码
--通过将恶意代码和文件进行捆绑,或者将恶
意代码写入文件体内,实现打开文件就被植入
恶意代码。
演示:捆绑并释放演示
演示:利用文件缓冲区溢出漏洞植入恶意代码
北邮 计算机学院 崔宝江
一. 前沿热点技术认知实习内容
诱骗式攻击
Email口令窃取原理及演示
--偷取cookie后,骗取口令
演示:利用邮件服务器漏洞,窃取cookie和口令
XSS攻击原理及演示
--网站过滤不严格,攻击者将恶意脚本写入网页
中,用户通过浏览器访问时,脚本将被解释执行
演示:某网站的XSS反射式攻击
北邮 计算机学院 崔宝江
目录
一. 前沿热点技术认知实习内容
网络诱骗式攻击技术
二. 动手操作类认知实习内容
端口扫描
木马配置与清除
三. 总结
北邮 计算机学院 崔宝江
TCP三次握手机制
SYN received
主机A:客户端 主机 B:服务端
发送TCP SYN分段
(seq=100 ctl=SYN)1
发送TCP SYN&ACK分段
(seq=300 ack=101 ctl=syn,ack)SYN received
2
Established
(seq=101 ack=301 ctl=ack)3
北邮 计算机学院 崔宝江
TCP
首部
20 字节的
固定首部
目 的 端 口
数据
偏移
检 验 和
选 项 (长 度 可 变)
源 端 口
序 号
紧 急 指 针
窗 口
确 认 号
保 留 FI
N
32 bit
S
Y
N
R
S
T
P
S
H
A
C
K
U
R
G
比特 0 8 16 24 31
填 充
TCP 数据部分TCP 首部TCP 报文段
IP 数据部分IP 首部
发送在前
北邮 计算机学院 崔宝江
TCP 的正常的连接建立和关闭
SYN, SEQ = x
客户进程 服务器进程
LISTEN(被动打开)
(主动打开) SYN_SENT SYN_RCVD
ESTABLISHED
ESTABLISHED
(主动关闭) FIN_WAIT_1 CLOSE_WAIT ( 被动关闭)
FIN_WAIT_2
LAST_ACKTIME_WAIT
CLOSED
(全双工数据传送阶段)
SYN, ACK, SEQ = y, ACK = x + 1
ACK, SEQ = x + 1, ACK = y + 1
FIN, SEQ = u
ACK, SEQ = v, ACK = u + 1
FIN, ACK, SEQ = v, ACK = u + 1
ACK, SEQ = u + 1, ACK = v + 1
TIME_WAIT
CLOSE_WAIT
SYN_RCVD
ESTABLISHED
北邮 计算机学院 崔宝江
端口扫描基础
北邮 计算机学院 崔宝江
端口扫描基础
扫描原理
1)全TCP连接
2)SYN扫描(半打开式扫描)
发送SYN,远端端口开放,则回应SYN=1,ACK=1,本地发送RST给远端,
拒绝连接
发送SYN,远端端口未开放,回应RST
北邮 计算机学院 崔宝江
TCP三次握手机制
SYN received
主机A:客户端 主机 B:服务端
发送TCP SYN分段
(seq=100 ctl=SYN)1
发送TCP SYN&ACK分段
(seq=300 ack=101 ctl=syn,ack)SYN received
2
Established
(seq=101 ack=301 ctl=ack)3
北邮 计算机学院 崔宝江
全TCP连接
长期以来TCP端口扫描的基础
扫描主机尝试(使用三次握手)与目的机指定端口建
立建立正规的连接
连接由系统调用connect()开始
对于每一个监听端口,connect()会获得成功,否则返
回-1,表示端口不可访问
很容易被检测出来
Courtney,Gabriel和TCP Wrapper监测程序通常用来进
行监测。另外,TCP Wrapper可以对连接请求进行控
制,所以它可以用来阻止来自不明主机的全连接扫描
北邮 计算机学院 崔宝江
TCP SYN扫描
TCP SYNTCP SYN分段,指向某端口分段,指向某端口
??
该端口开放么?该端口开放么?开放开放
TCP SYN&ACKTCP SYN&ACK分段分段
不开放不开放
TCP RSTTCP RST分段分段
收到什么分段?收到什么分段?
??
TCP RSTTCP RSTTCP SYN&ACKTCP SYN&ACK
北邮 计算机学院 崔宝江
TCP 的正常的连接建立和关闭
SYN, SEQ = x
客户进程 服务器进程
LISTEN(被动打开)
(主动打开) SYN_SENT SYN_RCVD
ESTABLISHED
ESTABLISHED
(主动关闭) FIN_WAIT_1 CLOSE_WAIT ( 被动关闭)
FIN_WAIT_2
LAST_ACKTIME_WAIT
CLOSED
(全双工数据传送阶段)
SYN, ACK, SEQ = y, ACK = x + 1
ACK, SEQ = x + 1, ACK = y + 1
FIN, SEQ = u
ACK, SEQ = v, ACK = u + 1
FIN, ACK, SEQ = v, ACK = u + 1
ACK, SEQ = u + 1, ACK = v + 1
TIME_WAIT
CLOSE_WAIT
SYN_RCVD
ESTABLISHED
北邮 计算机学院 崔宝江
端口扫描基础
向系统发送各种特殊的包,根据系统对
包回应的差别,推断出对方开放的端口
端口扫描程序利用的部分特征
ICMP错误信息抑制
服务类型值(TOS)
TCP/IP选项
对SYN FLOOD的抵抗力
TCP初始窗口
北邮 计算机学院 崔宝江
端口扫描工具(Windows 平台)
¾SuperScan
¾Nmap
北邮 计算机学院 崔宝江
端口扫描工具:SuperScan
北邮 计算机学院 崔宝江
针对端口扫描的防范
措施
《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施
•安装防火墙或相关工具软件,禁
止访问不该访问的服务端口
北邮 计算机学院 崔宝江
目录
一. 前沿热点技术认知实习内容
网络诱骗式攻击技术
二. 动手操作类认知实习内容
端口扫描
木马配置与清除
三. 总结
北邮 计算机学院 崔宝江
• 对木马程序而言,它一般包括两个部分:客户端和服务器
端。
• 服务器端安装在被控制的计算机中,它一般通过电子邮件
或其他手段让用户在其计算机中运行,以达到控制该用户
计算机的目的。
• 客户端程序是控制者所使用的,用于对受控的计算机进行
控制。服务器端程序和客户端程序建立起连接就可以实现
对远程计算机的控制了。
• 木马运行时,首先服务器端程序获得本地计算机的最高操
作权限,当本地计算机连入网络后,客户端程序可以与服
务器端程序直接建立起连接,并可以向服务器端程序发送
各种基本的操作请求,并由服务器端程序完成这些请求,
也就实现对本地计算机的控制了。
• 木马本身不具备繁殖性和自动感染的功能。
木马组成
北邮 计算机学院 崔宝江
第二代木马
冰河、广外女生
第三代木马
灰鸽子
反弹端口技术
第四代木马
广外幽灵、广外男生
线程插入
第五代木马
进程、端口、文件、注册表隐藏
木马分类
北邮 计算机学院 崔宝江
连接请求
http
第3代木马-反弹端口木马1
攻击者攻击者
Client
黑客
Server
用户
北邮 计算机学院 崔宝江
第4代木马-线程插入
系统/应用程序 gwboy.dll
北邮 计算机学院 崔宝江
不要随便执行文件
不要随便打开陌生的电子邮件
不要连接到未知网站
不要随意打开未知的URL
密码不要太简单
关闭文件共享
安装防病毒软件,并经常更新
定期更新系统补丁
三. 总结
北邮 计算机学院 崔宝江
实习说明
1 信息安全技术操作类认知实习地点和时间
地点
主楼1112
时间:从10点开始,每个班40分钟
上午:
07401:10:00-10:40
07402:10:40-11:20
07403:11:20-12:00
北邮 计算机学院 崔宝江
实习说明
时间:从13点开始,每个班40分钟
下午:
07404:13:00-13:40
07405:13:40-14:20
07406:14:20-15:00
07407:15:00-15:40
07408:15:40-16:20
北邮 计算机学院 崔宝江
实习说明
实习成绩和实习报告要求
实习成绩由出勤和实习总结两个部分组合而
成,各占一半。每个实习题目的满分为20分,
按时到场者,出勤成绩为满分10分。迟到/早退
超过10分钟者视为缺席。每个班实习时点名。
每个班在实习结束后的三天内将自己的实习总
结通过学习委员收齐后统一交到主楼11楼1112
《北京邮电大学实习报告》表内的总结部分必
须要求学生手写。
北邮 计算机学院 崔宝江
Q & A
信息安全技术认知实习
目录
一. 前沿热点技术认知实习内容
一. 前沿热点技术认知实习内容
一. 前沿热点技术认知实习内容
一. 前沿热点技术认知实习内容
目录
TCP三次握手机制
TCP 的正常的连接建立和关闭
端口扫描基础
TCP三次握手机制
全TCP连接
TCP SYN扫描
TCP 的正常的连接建立和关闭
端口扫描基础
目录
木马分类
第3代木马-反弹端口木马1
第4代木马-线程插入
实习说明
实习说明
实习说明