Ch1-2
1.網絡空間的理解:Cyberspace ,“第五空間”
2.網絡安全的屬性?
除了保密性、完整性和可用性外,
還增加:真實性、不可否認性
3. 網絡安全構成威脅的因素:
l 環境因素,
l 人爲因素和
l 系統自身因素(硬件軟件協議的缺陷與漏洞),
其中人爲因素包括:惡意的(惡意攻擊、違紀、違法和犯罪)和無意的(如工作疏忽造成失誤、配置不當等)
4. 軟件漏洞產生的原因?
(1) 系統基礎設計錯誤導致漏洞
(2) 編碼錯誤導致漏洞
(3) 安全策略實施錯誤導致漏洞
(4) 實施安全策略對象歧義導致漏洞
(5) 系統設計/實施時相關人員刻意留下後門
5. 爲什麼因特網不安全(因特網存在的問題)?
l 資源共享與分組交換
l 認證與可追蹤性
l 盡力而爲
l 匿名與隱私
l 對全球網絡基礎設施的依賴
6. 網絡安全技術發展的幾個階段?
n 入侵阻止、
n 入侵檢測、
n 入侵容忍
7. 攻擊的定義
1、任何企圖破壞、暴露、改變、失能、竊取或者獲得未授權的訪問或者使用資產的行爲。
2、試圖收集、破環、拒絕、降級或者損害信息系統資源或者信息本身的惡意行爲。
8. 攻擊的分類
Hansman 方法,四維度分法
n 攻擊手段
n 攻擊目標
n 漏洞利用
n 攻擊的後果和影響
Icove分類:基於經驗術語分類方法
Stallings :基於攻擊實施手段的網絡攻擊分類
9. 攻擊步驟:
n 踩點(信息收集和探測)、
n 掃描(目標端口掃描、操作系統識別和漏洞掃描)、
n 查點(針對已知弱點的目標進行更充分探查)、
n 權限獲取(可以進行拒絕服務攻擊)、(利用漏洞或者破解特權口令等)
n 權限提升(盜竊敏感信息)、
n 設置後門
n 消滅蹤跡。
Ch3
1. 網絡偵察的內容(1-5點)、
1. 主機的IP地址,網絡的網段號,目標服務器的域名等
2. 各種靜態的聯繫信息:姓名,郵件,地址,電話號碼
3. 網絡拓撲結構,是否由防護牆入侵檢測系統等防禦措施
4. 目標機構的業務
5. 其它一切對攻擊有用的信息
方法(搜索引擎及專用搜索引擎https://www.shodan.io/)
n 搜索引擎
n Whois數據庫
n 域名系統
n 網絡拓撲
n 社交網絡
n 其他:社會工程學、Web網站查詢、情報來源、垃圾搜尋
及常用的偵察工具
查詢網站註冊:信息全球最大的註冊機構是Network Solutions:http://www.networksolutions.com
http://www.uwhois.com/cgi/whois.cgi
http://www.internic.net/whois.html
Nslookup
Traceroute
Ch4網絡掃描
1. 什麼是網絡掃描?其作用有哪些?()
使用網絡掃描軟件對特定目標進行各種試探性通信,以獲取目標信息的行爲。
作用:主機、端口、OS識別和漏洞識別
2. 若防火牆禁止PING 如何掃描主機?
(PING是基於ICMP的,構造一種異常的IP包發送給目標主機,如異常首部的IP包或者超長的IP包,主機或路由器會給出迴應)
3. 如何實現端口掃描?
向目標端口發送探測數據包,根據收到的響應來判斷端口的狀態
(TCP 掃描、FTP代理掃描、UDP掃描)
4. 如何識別操作系統?
a) 通過獲取旗標信息:客戶端向服務器端提出連接請求時服務器端所返回的歡迎信息
b) 利用端口信息:不同操作系統通常會有一些默認開放的服務,這些服務使用特定的端口進行網絡監聽。
c) 通過TCP/IP協議棧指紋:根據OS在TCP/IP協議棧實現上的不同特點,通過其對各種探測的響應規律形成識別指紋,進而識別目標主機運行的操作系統。數據包的不同特徵:TCP Window-size、 IP TTL、IP TOS、DF位等參數進行分析,來識別操作系統。
5. 漏洞掃描
方法
向探測目標發送特定報文,根據響應判斷是否存在漏洞
CGI漏洞掃描流程
l 連接目標WEBSERVER
l 發送一個特殊的請求
l 接收目標服務器返回數據
l 根據返回數據判斷目標服務器是否有此CGI漏洞
CH5 網絡監聽
1.什麼是網絡監聽?其作用
網絡監聽( Network Listening):是指在計算機網絡接口處截獲網上計算機之間通信的數據,也稱網絡嗅探(Network Sniffing)。
協助網絡管理員監測網絡傳輸數據,排除網絡故障;(正面)
被黑客利用來截獲網絡上的敏感信息,給網絡安全帶來極大危害。(負面)
2. 如何實現網絡監聽?
要實施網絡監聽,主要解決兩個問題:
l 一是網絡流量劫持,即使監聽目標的網絡流量經過攻擊者控制的監聽點(主機),主要通過各種地址欺騙或流量定向的方法來實現
l 二是在監聽點上採集並分析網絡數據,主要涉及網卡的工作原理、協議分析技術,如果通信流量加密了,則還需要進行解密處理。
3. .如何實現網絡流量劫持?
與網絡環境有關:
Ø 共享式網絡監聽的原理:廣播特性的總線:主機發送的物理信號能被物理連接在一起的所有主機接收到,但只有目標MAC地址對的才能接收到數據包。除非網卡處於混雜模式:接收所有的數據幀。
Ø 交換網絡監聽原理:存儲轉發實現了無碰撞地傳輸數據,即先將接收到的包存儲,然後依據CAM(Content Addressable Memory內容可尋址存儲器)查詢向哪個端口轉發。,
端口鏡像:是把交換機一個或多個端口的數據鏡像到某個端口的方法。管理員爲了部署網絡分析儀等設備,通過配置交換機端口鏡像功能來實現對網絡的監聽。
除此以外,還可以通過MAC洪泛、ARP欺騙(跨網段時採用網關ARP欺騙)和端口盜用
4. 如何實現數據採集:
5. 網卡工作原理:
網卡的地址是MAC地址(出廠時設定,具有唯一性,也稱爲物理地址
網卡可以有如下幾種工作方式:
Ø單播(Unicast):網卡在工作時接收目的地址是本機硬件地址的數據幀;
Ø 廣播(Broadcast):接收所有類型爲廣播報文的數據幀;
Ø 多播(Multicast):接收特定的組播報
Ø 混雜模式(Promiscuous):是指對報文中的目的硬件地址不加任何檢查,全部接收的工作模式。
6. 如何防範監控?
採用加密通信如HTTPS/SSL/SSH,採用VPN等產品
要防止ARP緩存改寫,對敏感網絡中所有主機的ARP緩存表進行硬編碼,這些主機包括在線網站、DNS和Mail服務器、防火牆和DMZ路由器等
Ch6 緩衝區溢出攻擊
1.緩衝區溢出攻擊:(
一般情況下,緩衝區溢出引起程序運行錯誤,但是在攻擊者的設計下)向程序的緩衝區寫入超出其長度的內容,造成緩衝區的溢出,從而破壞程序的堆棧,使程序轉而執行其他的指令,以達到攻擊的目的。溢出的根源在於編程:如果緩衝區被寫滿,而程序沒有去檢查緩衝區邊界,也沒有停止接收數據,這時緩衝區溢出就會發生。發生緩衝區溢出後,可能會:
Ø 覆蓋緊鄰的其他程序變量,若此變量整好是作爲條件轉移語句使用的,就導致改變程序執行流程與結果;
Ø 覆蓋棧中發回函數地址,修改爲攻擊者指定的地址。但函數返回時將跳轉到攻擊者指定地址,從而執行攻擊者的惡意代碼
2.如何防止緩衝區溢出?
系統管理上的防禦策略
Ø 關閉不需要的特權程序
Ø 及時給程序漏洞打補丁
程序開發中的防禦策略
Ø 編寫正確的代碼
Ø 非執行的緩衝區
Ø 數組邊界檢查
Ø 程序指針完整性檢查
其它方法:改進標準庫;分割控制(指令)和數據堆棧;
CH6拒絕服務攻擊
1. 什麼是拒絕服務攻擊?
攻擊者通過某種手段,有意地造成計算機或網絡不能正常運轉從而不能向合法用戶提供所需服務或者使服務質量降低.
DoS(Denial of Service):任何對服務的干涉如果使得其可用性降低或者失去可用性稱爲拒絕服務.攻擊方式:消耗系統或網絡資源; 阻斷訪問路徑;更改系統配置,是服務無法訪問。
DDoS(DistributedDenial of Service):如果處於不同位置的多個攻擊者同時向一個或多個目標發起拒絕服務攻擊,或者一個或多個攻擊者控制了位於不同位置的多臺機器並利用這些機器對受害者同時實施拒絕服務攻擊.特點: 攻擊來源的分散性、協同性,攻擊力度的匯聚性
2. DDoS爲什麼能成功?
(1) TCP/IP協議存在漏洞,可以被攻擊者利用
(2) 網絡提供Best-Effort服務,不區分數據流量是否是攻擊流量
(3) 網絡帶寬和系統資源是有限的
3. 如何防禦DoS?
檢測:
l 依據DDoS攻擊工具的特徵進行檢測
l 統計監測
l 主機網絡連接特徵檢測
l 根據異常流量來檢測
響應:到目前爲止,對付風暴型DDoS攻擊的方案主要有四種
l 通過丟棄惡意分組的方法保護網絡;
l 在源端控制DDoS攻擊;
l 追溯 (Traceback)攻擊的源端, 然後阻止它發起新的攻擊;
l 路由器動態檢測流量並進行控制。
最有效的對抗風暴型的DDOS的方法是:流量清洗
防範:
l 限制帶寬
l 終端防禦
l 入口過濾
4. 舉一個說明能實現拒絕服務攻擊的例子?
CH7 WEB應用攻擊
1. 說明WEB應用體系結構,以及存在的潛在的弱點
l Web客戶端:活動內容執行,客戶端軟件漏洞的利用,交互站點腳本的錯誤;
l 傳輸:偷聽客戶-服務器通信,SSL重定向;
l Web服務器:Web發佈服務器軟件漏洞;
l Web應用程序:攻擊授權、認證、站點結構、輸入驗證,以及應用程序邏輯;
l 數據庫:通過數據庫查詢運行優先權命令,查詢操縱返回額外的數據集
2. 最常見的web應用攻擊有哪些?
跨站點腳本攻擊
注入攻擊
惡意文件執行
不安全的直接對象引用
跨站請求仿冒
信息泄露和不當的錯誤處理
會話(session)管理
不安全的加密存儲
不安全的通信
URL訪問缺少限制
3. 如何防禦Web應用中的SQL注入漏洞?
4. 試述跨站點腳本XSS攻擊的原理和防禦方法?跨站點腳本攻擊XSS攻擊有哪些類型?
原理
在輸入中插入包含有JavaScript或其它惡意腳本的HTML標籤代碼。
防禦
l 對Web應用程序的所有輸入進行過濾,對危險的HTML字符進行編碼:
‘<’ , ‘>’ ‘<’ , ‘>’
‘(‘ , ‘)’ ‘(’ , ‘)’
‘#‘ , ‘&’ ‘#’ , ‘&‘
l 對用戶進行培訓,告知小心使用電子郵件消息或即時消息中的鏈接;
l 防止訪問已知的惡意網站;
l 執行手工或自動化代碼掃描,確定並消除潛在的XSS漏洞。
三種類型
n 基於存儲型XSS漏洞
n 基於反射型XSS漏洞
n 基於DOM的XSS漏洞
CH8 惡意軟件攻擊:
1. 惡意代碼的定義?
是指故意編制或設置的、對網絡或系統會產生威脅或潛在威脅的計算機代碼。最常見的惡意代碼有計算機病毒(簡稱病毒)、特洛伊木馬(簡稱木馬)、計算機蠕蟲(簡稱蠕蟲)、後門、邏輯炸彈等。
2. 惡意代碼的種類?
類型 | 定義 | 特性 |
計算機病毒 | 在計算機程序中插入的破壞計算機功能並能自我複製的一組程序代碼。 | 潛伏、傳染、破壞 |
計算機蠕蟲 | 通過計算機網絡自我複製,消耗系統資源和網絡資源的程序。 | 掃描、攻擊、擴散 |
特洛伊木馬 | 指一種與遠程計算機建立連接,使遠程計算機能夠通過網絡控制本地計算機的程序。 | 欺騙、隱蔽、信息竊取 |
邏輯炸彈 | 通過特殊的數據或時間作爲條件觸發,試圖完成一定破壞功能的程序。 | 潛伏、破壞 |
RootKit | 指通過替代或者修改系統功能模塊,實現隱藏蹤跡和保留root訪問權限的工具。 | 隱蔽,潛伏 |
後門程序 | 後門程序一般是指那些繞過安全性控制而獲取對程序或系統訪問權的程序。 | 隱蔽、開發者預留 |
3.遠程控制木馬進行網絡入侵的過程:
1. 配置木馬
2. 傳播木馬
3. 運行木馬
4. 信息反饋
5. 建立連接
6. 遠程控制
4. 木馬程序的植入方式有哪些?
木馬的植入是指讓木馬的服務端在目標系統內運行起來的過程。方式有直接植入和間接植入。
(1) 所謂直接植入,是指攻擊者直接將木馬服務端送達到目標系統內並使之運行起來的過程。該方式的特點是,攻擊者主動參與,而目標用戶未參與不知情。其原理通常是,攻擊目標系統中存在的遠程網絡安全漏洞,使得攻擊者可以在遠程目標系統上執行任意代碼,從而植入木馬。目標系統的遠程網絡安全漏洞主要包括三種類型:系統漏洞、web系統漏洞、網絡配置漏洞。
(2) 間接植入:間接植入主要是指,攻擊者沒有明確的目標,沒有與目標用戶接觸,沒有直接將木馬服務端或惡意代碼發送到目標系統,而是存放在第三方服務器上,用戶訪問時由於不知情或瀏覽器存在漏洞,在自己的操作中使木馬服務端或惡意代碼得到運行,完成了木馬的植入。
5. 木馬程序隱藏的方式有哪些?
木馬程序隱藏通常指利用各種手段僞裝木馬程序,讓一般用戶無法從表面上直接識別出木馬程序。
木馬隱藏的技術
(1)程序隱藏:
程序捆綁:
程序捆綁方式是將多個exe 程序鏈接在一起組合成一個exe 文件,當運行該exe 文件時,多個程序同時運行。程序捆綁有多種方式,如將多個exe 文件以資源形式組合到一個exe 文件中或者利用專用的安裝打包工具將多個exe 文件進行組合,這也是許多程序捆綁流氓軟件的做法。
因此,木馬程序可以利用程序捆綁的方式,將自己和正常的exe文件進行捆綁。當雙擊運行捆綁後的程序時,正常的exe 文件運行了,而木馬程序也在後臺悄悄地運行。
程序隱藏只能達到從表面上無法識別木馬程序的目的,但是可以通過任務管理器中發現木馬程序的蹤跡,這就需要木馬程序實現進程隱藏。
(2)進程隱藏:
隱藏木馬程序的進程顯示能防止用戶通過任務管理器查看到木馬程序的進程,從而提高木馬程序的隱蔽性。目前,隱藏木馬進程主要有如下兩種方式:
API攔截:API攔截技術屬於進程僞隱藏方式。它通過利用Hook技術監控並截獲系統中某些程序對進程顯示的API 函數調用,然後修改函數返回的進程信息,將自己從結果中刪除,導致任務管理器等工具無法顯示該木馬進程。具體實現過程是,木馬程序建立一個後臺的系統鉤子(Hook),攔截PSAPI的EnumProcessModules等相關函數的調用,當檢測到結果爲該木馬程序的進程ID(PID)的時候直接跳過,這樣進程信息中就不會包含該木馬程序的進程,從而達到了隱藏木馬進程的目的。
遠程線程注入:遠程線程注入屬於進程真隱藏方式。它主要是利用CreateRemoteThread函數在某一個目標進程中創建遠程線程,共享目標進程的地址空間,並獲得目標進程的相關權限,從而修改目標進程內部數據和啓動DLL 木馬。通過這種方式啓動的DLL 木馬佔用的是目標進程的地址空間,而且自身是作爲目標進程的一個線程,所以它不會出現在進程列表中。
(3)通信隱藏:
進程隱藏可以進一步加強其隱蔽性。但是仍然可以從通信連接的狀況中發現木馬程序的蹤跡。因此,很有必要實現木馬程序的通信隱藏。
6.後門程序:
後門程序一般是指那些繞過安全性控制而獲取對程序或系統訪問權的程序。後門程序就是留在計算機系統中,供某位特殊使用者通過某種特殊方式控制計算機系統的途徑。
CH9 入侵檢測
1. 什麼是入侵檢測?
入侵檢測:通過從計算機系統或網絡的關鍵點收集信息並進行分析,從中發現系統或網絡中是否有違反安全策略的行爲和被攻擊的跡象。
入侵檢測系統IDS:Intrusion Detection System
A combination of hardware andsoftware that monitors and collects system and network information and analyzesit to determine if an attack or an intrusion has occurred. Some IDS systems canautomatically respond to an intrusion.
入侵防禦系統IPS:Intrusion Protection System
預先對入侵活動和攻擊性網絡流量進行阻止和攔截,避免對目標系統造成損失。
注意IDS和IPS的區別:主動防禦還是被動響應。
2. 入侵檢測系統的分類:
根據檢測方法來分:
基於特徵的入侵檢測
基於異常的入侵檢測
混合的入侵檢測
根據數據源來分:
基於應用的入侵檢測系統(Application-based IDS)
基於主機的入侵檢測系統(Host-based IDS)
基於網絡的入侵檢測系統(Network-based IDS)
混合的入侵檢測系統(Hybrid IDS)
3. 檢測方法:
(1)特徵檢測
定義:收集非正常操作的行爲特徵(signature),建立相關的特徵庫,當監測的用戶或系統行爲與庫中的記錄相匹配時,系統就認爲這種行爲是入侵。特徵:
靜態特徵:如 signature analysis which is theinterpretation of a series of packets (or a piece of data contained in thosepackets) that are determined, inadvance, to represent a known pattern of attack
動態特徵:如網絡統計數據、計算機或應用系統中的審計記錄、日誌、文件的異常變化、硬盤、內存大小的變化
特徵描述:描述語言
針對的是已知攻擊!
檢測率取決於:攻擊特徵庫的正確性與完備性
算法:
模式匹配
法專家系統
(2)異常檢測(誤用檢測)
首先總結出正常操作應該具有的特徵(用戶輪廓),當用戶活動與正常行爲有重大偏離時即被認爲是入侵。具體說來,需要一組能夠標識用戶特徵、網絡特徵或者系統特徵的測量參數,如CPU利用率、內存利用率、網絡流量等等。基於這組測量參數建立被監控對象的行爲模式並檢測對象的行爲變化。
兩個關鍵問題:
選擇的各項測量參數能否反映被監控對象的行爲模式(正常行爲輪廓的建立)。
如何界定正常和異常(閾值的選擇)。
算法:
統計分析法
神經網絡法
聚類分析法
人工免疫
比較異常檢測與特徵檢測的區別
n 檢測的攻擊類型:已知與未知
n 特 徵:已知攻擊特徵與已知正常行爲特徵
n 性 能:誤報率(rate of false positive)與漏報率(rateof false negative)
對每種方法,各在何種情況下發生誤報、漏報?
5.SNORT的使用
CH10 防火牆
1. 防火牆的定義:
防火牆(Firewall)是在兩個網絡之間執行訪問控制策略的一個或一組安全系統。它是一種計算機硬件和軟件系統集合,是實現網絡安全策略的有效工具之一。
2. 防火牆的分類:
按照軟、硬件形式劃分
n 軟件防火牆:運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這臺計算機就是整個網絡的網關。
n 硬件防火牆:基於PC架構,這些PC架構計算機上運行一些經過裁剪和簡化的操作系統。至少應具備三個端口,分別接內網,外網和DMZ區。
n 芯片級防火牆:基於專門的硬件平臺,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。
從防火牆技術分
n 包過濾(Packet filtering)型:工作在OSI網絡參考模型的網絡層和傳輸層,它根據數據包頭源地址,目的地址、端口號和協議類型等標誌確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地,其餘數據包則被從數據流中丟棄。
n 應用代理(Application Proxy)型:工作在OSI的最高層,即應用層。其特點是完全"阻隔"了網絡通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。
從防火牆的結構分
n 單一主機防火牆:與一臺計算機結構差不多。需要連接一個以上的內、外部網絡。用硬盤來存儲防火牆所用的基本程序,如包過濾程序和代理服務器程序等,有的防火牆還把日誌記錄也記錄在此硬盤上。
n 路由器集成防火牆:許多中、高檔的路由器中已集成了防火牆功能。
n 分佈式防火牆:防火牆已不再是一個獨立的硬件實體,而是由多個軟、硬件組成的系統。不是隻是位於網絡邊界,而是滲透於網絡的每一臺主機,對整個內部網絡的主機實施保護。
3. 防火牆技術發展經歷了:
(1)第一代防火牆:1983年第一代防火牆技術出現,它幾乎是與路由器同時問世的。它採用了包過濾(Packet filter)技術,可稱爲簡單包過濾(靜態包過濾)防火牆。
(2)第二代防火牆:1991年,貝爾實驗室提出了第二代防火牆——應用型防火牆(代理防火牆)的初步結構。
(3)第三代防火牆:1992年,USC信息科學院開發出了基於動態包過濾(Dynamic packet filter)技術的第三代防火牆,後來演變爲目前所說的狀態檢測(Stateful inspection)防火牆。1994年,以色列的CheckPoint公司開發出了第一個採用狀態檢測技術的商業化產品。
(4)第四代防火牆:1998年,NAI公司推出了一種自適應代理(Adaptive proxy)防火牆技術,並在其產品Gauntlet Firewall for NT中得以實現,給代理服務器防火牆賦予了全新的意義。具有應用代理的安全性,但不採用應用代理的數據傳送方式,而採用包過濾的傳送方式,由此取得安全和效率的一個折中。
包過濾防火牆從數據包中提取收發IP地址,TCP端口等信息,按預先設置的規則過濾。濾除不符合規定的IP包。
狀態檢測防火牆又稱動態包過濾防火牆。狀態檢測防火牆在網絡層由一個檢查引擎截獲數據包,抽取出與應用層狀態有關的信息,並以此作爲依據決定對該數據包是接受還是拒絕。狀態檢測防火牆又稱動態包過濾防火牆。狀態檢測防火牆在網絡層由一個檢查引擎截獲數據包,抽取出與應用層狀態有關的信息,並以此作爲依據決定對該數據包是接受還是拒絕。
4. 防火牆的主要功能
n 保護脆弱和有缺陷的網絡服務
n 集中化的安全管理
n 加強對網絡系統的訪問控制
n 加強隱私
n 對網絡存取和訪問進行監控審計
CH11口令攻擊
1.口令分靜態口令和動態口令
靜態口令面臨的安全威脅:
口令監聽
截取/重放
簡單口令猜測
字典攻擊
窮舉攻擊
僞造服務器攻擊
口令泄露
直接破解口令文件
3. 口令的攻擊方法:
n 弱口令掃描:最簡單的方法,入侵者通過掃描大量主機,從中找出一兩個存在弱口令的主機。
n 口令監聽:通過嗅探器軟件來監聽網絡中的數據包來獲得密碼。對付明文密碼特別有效,如果獲取的數據包是加密的,還要涉及解密算法解密。
n 社會工程學:通過欺詐手段或人際關係獲取密碼。
n 暴力破解:嘗試所有字符的組合方式。獲取密碼只是時間問題,是密碼的終結者。
n 簡單口令猜解:很多人使用自己或家人的生日、電話號碼、房間號碼、簡單數字或者身份證號碼中的幾位;也有的人使用自己、孩子、配偶或寵物的名字,這樣黑客可以很容易通過猜想得到密碼。
n 字典攻擊:利用程序嘗試字典中的單詞的每種可能。字典可以是一個英語詞典或其他語言的詞典,也可以附加各類字典數據庫,比如名字和常用的口令。
n 其它破解方式:安裝木馬或鍵盤記錄程序等。
4. **所謂的詞典,實際上是一個單詞列表文件,是根據人們設置自己賬號口令的習慣總結出來的常用口令列表文件。這些單詞有的純粹來自於普通詞典中的英文單詞,有的則是根據用戶的各種信息建立起來的,如用戶名字、生日、街道名字、喜歡的動物等。
**“暴力”即計算機的強大計算能力,如果有速度足夠快的計算機能嘗試字母、數字、特殊字符所有的組合,將最終能破解所有的口令。這種攻擊方式叫做強行攻擊(也叫做暴力破解)。如一個由大小寫字母、數字和標點組成的6位口令,可能的組合達4千億種。如果每秒鐘可以試100萬種組合,可以在5天內破解。
**分佈式暴力破解:把一個大的破解任務分解成許多小任務,然後利用互聯網上的計算機資源來完成這些小任務,加快口令破解的進程。
**組合攻擊:是在使用詞典單詞的基礎上在單詞的後面串接幾個字母和數字進行攻擊的攻擊方式。
5. 主要攻擊方法比較:
| 字典攻擊 | 強行攻擊 | 組合攻擊 |
攻擊速度 | 快 | 慢 | 中等 |
破解口令數量 | 找到所有詞典單詞
| 找到所有口令 | 只找到以詞典爲基礎的口令 |
6. 其它的攻擊方式:
社會工程學
偷窺
搜索垃圾箱
口令蠕蟲
特洛伊木馬
網絡監聽
重放
**社會工程學:是一種讓人們順從你的意願、滿足你的慾望的一門藝術與學問,並不直接運用技術手段,而是一種利用人性的弱點、結合心理學知識,通過對人性的理解和人的心理的瞭解來獲得目標系統敏感信息的技術。簡單來說,就是欺騙人們去獲得本來無法訪問的信息。
7. 動態口令:
也稱爲一次性口令,其基本原理:在用戶登錄過程中,基於用戶口令加入不確定因子,對用戶口令和不確定因子進行單向散列函數變換,所得的結果作爲認證數據提交給認證服務器。認證服務器接收到用戶的認證數據後,把用戶的認證數據和自己用同樣的散列算法計算出的數值進行比對,從而實現對用戶身份的認證。
動態口令按生成原理可分爲非同步和同步兩種認證技術。
. 非同步認證技術生成的動態口令主要是依據挑戰-響應原理來實現。
. 同步認證技術包括與時間有關的時鐘同步認證技術和與時間無關的事件同步認證技術。
8. 動態口令的安全性問題
動態口令是安全的,有效地抵禦了網絡監聽攻擊,有效地阻止了重放攻擊。
9. 口令破解:
(1) Windows系統下SAM文件的解密(PWDUMP.EXE和CAIN)
(2) UNIX系統下etc/passwd文件中與用戶口令相關的域提取出來,組織成文件shadow(該文件只爲root超級用戶)對於老式的passwd文檔(沒有shadow),John可以直接讀取並用字典窮舉破解。
對於現代UNIX/Linux的passwd+shadow的方式,John提供了unshadow程序可以直接把兩者合成出老式的passwd文件。
10.
CH12 實驗