网络犯罪侦察技术10
网络安全网络犯罪的技术侦测方法
网络安全网络犯罪的技术侦测方法随着互联网的快速发展和普及,网络犯罪日益猖獗,给人们的生活和财产安全带来了巨大的挑战。
为了保护用户的利益和维护网络的安全稳定,网络安全技术发展迅猛,网络犯罪的技术侦测方法也在不断完善。
本文将围绕网络犯罪的技术侦测方法展开探讨,通过具体例子、相关数据和详细说明来说明各种方法的细节。
首先,针对网络犯罪中的黑客攻击,一种常用的技术侦测方法是入侵检测系统(IDS)。
入侵检测系统是由一系列的传感器和分析引擎组成,能够监测网络流量并识别可能的入侵行为。
例如,当黑客试图通过暴力破解密码来获取用户帐号信息时,IDS可以检测到异常登录尝试的频率和规律,并及时发出警报,提醒管理员采取相应的措施。
根据美国国家计算机安全中心的数据统计,使用IDS系统后,成功阻止黑客攻击的比例提高了30%以上。
其次,为了获取更多的黑客攻击信息和提高网络犯罪技术侦测的准确性,一种被广泛应用的方法是蜜罐技术。
蜜罐是一个特制的无害系统,仿真了真实的网络环境,吸引黑客进入并进行攻击。
与普通的网络系统相比,蜜罐系统具有更高的容错性和监控能力。
例如,当黑客攻击蜜罐系统时,管理员可以详细地记录下进攻者的IP地址、攻击方式和攻击工具等信息,通过对这些信息的分析,可以揭示黑客的攻击手段和技术路径。
著名的网络安全公司安全之神使用蜜罐技术,成功取得了大量黑客攻击的实时数据,为网络安全技术的发展提供了有力的支持。
此外,还有一种被广泛应用的技术侦测方法是数据包分析技术。
数据包分析是网络安全中的一种基础技术,通过对网络数据包的抓取、过滤和分析,可以检测并定位网络犯罪行为。
例如,当黑客通过恶意软件传播病毒时,数据包分析可以通过对网络流量的分析来识别异常病毒传输的特征,及时发现和阻止病毒传播的路径。
根据美国网络犯罪监测机构的统计,使用数据包分析技术识别和拦截病毒传播的成功率达到了90%以上。
此外,还有其他一些技术侦测方法,如行为分析、电子取证等。
网络情报分析技术(十)分析
(一)线索的发现环节(续)
案例:2005年10月29日11时20分许,湖北仙 桃市电信分局局长王先洋(下班步行到沔城 镇电信分局基建工地时,两名身份不明的男 青年持刀将其砍成重伤后逃逸 网监介入调查,假定嫌疑人上网,那么:
嫌疑人特征:在10月29日前几天可能在本地上网, 案发后逃逸 排查方法:凡在10月26日至10月29日之间在当 地登录过而其后的一段时间内未在当地出现过的 QQ号码即是嫌疑数据 原理:这些QQ号码活动特征与嫌疑人的活动特 征一致
相对与现实生活中的线索排查的优势:网络 上的信息留存的希望较大(嫌疑人往往无法
方法二:基于线索关键特征的同一性拓展线索,关 联事件 关键特征:与嫌疑人直接相关的,具有唯一性的 特征 比如DNA、指纹是与嫌疑人直接相关的关键特征, 两个人具有相同的这一关键特征的概率非常小 这是利用DNA开展串案、利用指纹搞“指纹会战” 的基本原理
(一)线索的发现环节(续)
在指挥办理任何案件时,在没有涉网线索 时都应该考虑几个问题:
这些线索是否可能和网络发生关系 利用网络是否能够排查出符合嫌疑人特征的线 索 嫌疑人上网的计算机会不会留下线索 从嫌疑人的关系人入手是否可以排查出涉网线 索
(二)线索(证据)的拓展 (串并)环节 单一的案件线索往往容易因为“断线”而导致无
法进一步核查 侦办配侦案件的第二步是进行扩线工作,以寻找 与犯罪嫌疑人相关的更多的涉网线索,拓展线索 的同时也是发现涉网犯罪事实的过程 拓展线索的基本原理是基于线索之间的“关联性” 将不同的线索串并在一起,同时必须具备认定线 索与嫌疑人关系的条件
方法一:基于事件的同一性拓展线索 原理:在同一个事件中发现的线索通常属 于同一嫌疑人或作案团伙 一个入屋抢劫杀人事件中:入屋留下的指 纹、掉下的头发的DNA、杀人用的枪支特 征、案发时门口的监控录像留下的人像特 征
网络犯罪侦查技巧与防范策略
加强国际合作和信息共享
加强与其他国家和地区的合作和信息共享, 共同打击跨国网络犯罪,维护网络安全和稳 定。
THANK YOU
感谢观看
随着大数据、云计算等技术的广泛应 用,数据安全和隐私保护将成为重要 议题。需要加强相关法律法规的制定 和执行,保障公众的个人信息安全和 隐私权益。
持续改进方向和目标设定
加强技术研发和创新
继续加强网络犯罪侦查技术和手段的研发和 创新,提高技术水平和应用能力,为打击网 络犯罪提供有力支持。
完善法律法规和监管机制
防火墙技术
通过配置防火墙,限制非法访问和攻击,保护内部网络安全。
虚拟专用网络(VPN)
建立安全的加密通道,确保远程访问的安全性。
安全套接层(SSL)技术
通过SSL技术对数据传输进行加密,保证数据传输的安全性。
漏洞扫描与修复措施
漏洞扫描
安全配置
定期使用漏洞扫描工具对系统和应用 进行扫描,发现潜在的安全隐患。
轨迹。
数据恢复与取证技术
数据恢复
运用数据恢复技术,对涉 案设备中的删除、格式化 等数据进行恢复,获取关 键证据。
取证分析
对恢复的数据进行取证分 析,提取与犯罪相关的证 据和信息。
数据保全
采用数据保全技术,确保 电子证据的完整性和真实 性,为后续的起诉和审判 提供支持。
跨境合作与协调机制
01
02
03
加强执法队伍建设
1 2
建立专门的网络警察队伍
组建专业的网络警察队伍,负责网络犯罪的侦查 、打击和预防工作。
提高执法人员素质
加强执法人员的培训和教育,提高其网络技术和 法律知识水平,增强打击网络犯罪的能力。
反侦察技术及应用
反侦察技术及应用反侦察技术是指通过各种手段来阻止敌对情报机构和间谍对我国安全的侦察和监听行为,以防止敌人获取敏感信息和数据,维护国家安全、经济安全和社会稳定。
反侦察技术在当今信息化时代具有重要意义,其应用范围涉及国防、政治、经济、科技和社会各个领域。
一、电子反侦察技术电子反侦察技术是指利用电子信息技术手段来抵抗和遏制敌对情报机构的监控和监听行为。
电子反侦察技术主要包括电子干扰技术和电子隐身技术。
1. 电子干扰技术电子干扰技术是通过对敌对情报机构的监控设备进行电磁干扰,干扰其监听和侦察设备的正常工作,达到阻止敌方侦察行为的目的。
电子干扰技术可以采用频率跳变、频谱扩展、干扰信号发射等手段,对敌方的无线电信号进行干扰和破坏,从而使敌方无法获取我方的敏感信息。
2. 电子隐身技术电子隐身技术是通过技术手段对通信设备和网络进行加密和伪装,使其不易被敌方侦察设备探测和监听,从而有效地保护我方的敏感信息和数据不被窃取。
电子隐身技术可以采用密码编码、频谱扩展、抗干扰等手段,对通信信号进行加密和隐蔽,从而在一定程度上保护通信安全。
二、光学反侦察技术光学反侦察技术是指利用光学信息技术手段抵抗和遏制敌对情报机构的监控和监听行为。
光学反侦察技术主要包括红外反侦察技术和激光反侦察技术。
1. 红外反侦察技术红外反侦察技术是利用红外传感器和探测技术来对抗敌方的红外侦察设备,通过屏蔽、干扰和掩护等手段,使敌方无法对我方的红外信号进行侦察和监听。
红外反侦察技术可以采用高温伪装、红外屏蔽、红外干扰等手段,有效地保护红外信息的安全。
2. 激光反侦察技术激光反侦察技术是利用激光传感器和激光技术手段来对抗敌方的激光侦察设备,通过干扰、对抗和反制等手段,使敌方无法对我方的激光信号进行侦察和监听。
激光反侦察技术可以采用激光干扰、激光干扰、激光对抗等手段,有效地保护激光信息的安全。
三、网络反侦察技术网络反侦察技术是指利用网络信息技术手段抵抗和遏制敌对情报机构的监控和监听行为。
公安学中的网络犯罪侦查与打击技术
公安学中的网络犯罪侦查与打击技术网络犯罪已成为当代社会不可忽视的问题。
随着互联网的普及和发展,网络犯罪手法不断翻新,给社会治安带来了巨大的挑战。
在公安学中,网络犯罪侦查与打击技术成为了一项重要内容。
本文将探讨公安学中的网络犯罪侦查与打击技术,并介绍相关的案例和技术手段。
一、网络犯罪侦查技术的意义网络犯罪侦查技术在公安学中的意义重大。
首先,通过网络犯罪的侦查,公安机关可以及时发现和捕获犯罪分子,提高了犯罪打击的效果。
其次,网络犯罪侦查技术可以有效打击网络犯罪活动,维护网络空间的安全和秩序。
网络犯罪不仅仅是一种个体行为,更是对社会公共利益的侵害。
公安机关通过网络犯罪侦查技术,才能够打破犯罪分子的隐匿性和匿名性,保障了网络空间的正常运行。
二、网络犯罪侦查的常用技术1. 网络监控技术网络监控技术是网络犯罪侦查中常用的技术手段之一。
公安机关通过在网络中设置监控节点,对网络通信进行实时监控和记录,可以获取到网络犯罪活动的关键信息。
例如,通过监控犯罪分子的上网记录和通信内容,可以追踪到犯罪分子的身份和活动轨迹,为进一步侦破案件提供了重要线索。
2. 数据挖掘技术数据挖掘技术在网络犯罪侦查中具有重要的作用。
公安机关通过大数据分析和挖掘,可以从各种数据中发现隐藏的模式和规律,为犯罪侦查提供有力的支持。
例如,通过分析大量的网络数据,可以发现犯罪分子的交流模式、行为特征等,从而对犯罪活动进行更准确的定性和定量分析。
3. 数字取证技术数字取证技术是网络犯罪侦查中不可或缺的技术手段。
公安机关通过对电子设备、存储介质等进行取证,可以获取到犯罪嫌疑人的电子痕迹和证据。
数字取证技术不仅包括传统的取证方式,如数据恢复和数据镜像,还包括对加密数据和隐蔽数据的解密和提取。
这些技术手段为网络犯罪侦查提供了全面和深入的证据来源。
三、网络犯罪打击技术的发展趋势随着技术的不断发展和创新,网络犯罪打击技术也在不断改进和完善。
未来的网络犯罪打击技术将主要体现在以下几个方面:1. 人工智能技术的应用人工智能技术作为一种新兴的技术手段,将对网络犯罪打击产生巨大的影响。
网络追踪在调查犯罪中的应用(十)
网络追踪在调查犯罪中的应用随着互联网的普及和信息技术的发展,网络追踪作为一种调查犯罪的方法,正发挥着越来越重要的作用。
本文将探讨网络追踪在调查犯罪中的应用,并分析其优势和局限性。
一、网络追踪技术的发展及应用范围在传统的犯罪调查中,警方往往依赖于证人口供、物证和视频等线索来追踪犯罪嫌疑人。
然而,随着犯罪活动的数字化,网络追踪成为了一种必不可少的调查手段。
网络追踪是指通过监视和分析网络活动,追踪犯罪嫌疑人的行踪和行为。
网络追踪技术的应用范围广泛。
在侵犯个人隐私、网络欺诈、恶意软件和网络犯罪等领域,网络追踪都起到了关键作用。
例如,在刑事犯罪侦查中,警方可以通过追踪犯罪嫌疑人在社交媒体上的言行,掌握其思想和动向;在网络欺诈案件中,通过追踪犯罪分子的IP地址和电子邮件,可以确定其真实身份,进而侦破案件。
二、网络追踪的工作原理与技术手段网络追踪的工作原理可以简单地概括为“找到主机,追踪IP”。
在进行网络追踪时,调查人员需要通过一系列技术手段获取目标主机的IP地址,并进行进一步的分析与监视。
最常见的技术手段包括IP 追踪、数据包分析和网络监控。
IP追踪是通过查找和记录目标主机的IP地址,追踪犯罪嫌疑人的网络活动。
调查人员可以通过追踪目标主机的IP地址来确定其所在地理位置,进而锁定嫌疑人的行踪轨迹。
数据包分析是通过对网络数据包的拦截和解析,来获取有关犯罪嫌疑人的关键信息。
调查人员可以分析网络数据包中的源地址、目的地址和传输协议等信息,了解嫌疑人的网络行为。
网络监控是指通过监视和记录目标主机的网络活动,获取有关犯罪嫌疑人的线索。
调查人员可以通过实时监控目标主机的Web浏览记录、通信记录和社交媒体信息等,了解嫌疑人的个人信息和犯罪活动。
三、网络追踪的优势与局限性网络追踪在调查犯罪中具有一定的优势。
首先,网络追踪可以实现全天候、全程监控,不受时间和空间的限制。
调查人员可以通过追踪目标主机的网络活动,对嫌疑人的行踪和行为进行实时跟踪和记录。
网络犯罪侦查技术研究
网络犯罪侦查技术研究随着现代科技的迅速发展,网络犯罪已成为一个日益严重的问题。
网络犯罪的普及给社会带来了巨大的挑战,对于维护网络安全与社会秩序提出了更高的要求。
为了保护社会和个人免受网络犯罪的侵害,研究网络犯罪侦查技术显得尤为重要。
网络犯罪侦查技术是一种综合利用计算机科学、信息安全和犯罪学等领域技术的手段,旨在收集、分析和保护网络犯罪相关的信息,并对嫌犯展开调查与追踪的技术体系。
网络犯罪侦查技术包括信息采集、数据分析、威胁情报、交互式挖掘等多个方面。
下面将对这些方面进行具体探讨。
首先,信息采集是网络犯罪侦查的第一步,其目标是从网络上收集到可供分析和归类的大量数据。
信息采集可以通过网络爬虫、数据抓取和网络监管等手段实现。
这些技术可以帮助警方迅速获得大量关于犯罪行为的数据,包括可疑的关键词、网络论坛上的聊天记录、攻击模式等。
同时,信息采集技术也能帮助警方找到网络犯罪分子正在使用的具体工具和平台。
其次,数据分析是网络犯罪侦查技术的核心内容之一,目的是在收集到的大数据中发现犯罪线索。
数据分析技术可以将大量数据进行归纳、整理和分析,从而揭示出犯罪者的行为模式和相关信息。
此外,数据分析技术也能帮助警方建立犯罪分子的网络画像,挖掘出其可能的犯罪动机和网络活动的特征。
通过数据分析技术,警方可以更好地了解犯罪分子的犯罪行为,从而制定相应的侦破计划。
威胁情报是网络犯罪侦查的重要组成部分,其目的是预测和分析网络犯罪者的攻击威胁。
威胁情报技术能够收集、分析和评估网络犯罪活动中的风险和威胁。
通过收集犯罪分子的行为数据和模式,威胁情报技术能够预测犯罪活动的发生概率,并在可能的攻击发生前采取相应的防范措施。
这些技术还可以为国家和组织提供战略决策的支持,保护网络安全与社会的稳定。
最后,交互式挖掘是网络犯罪侦查技术的一个新兴领域,旨在通过数据可视化和交互式查询等手段,使用户能够更加直观地理解和分析网络犯罪数据。
交互式挖掘技术能够从大数据中实时发现和分析网络犯罪线索,提升侦破效率和准确性。
网络违法犯罪的调查方法
一、网络违法犯罪的调查方法由于网络犯罪的特殊性,要侦破网络犯罪案件,关键就在于提取网络犯罪分子遗留的电子证据。
而电子证据具有易删除、易篡改、易丢失等特性,为确保电子证据的原始性、真实性、合法性,在电子证据的收集时应采用专业的数据复制备份设备将电子证据文件复制备份,要求数据复制设备需具备只读设计以及自动校准等功能。
目前国内的电子证据取证设备不少,包括DataCopy King多功能复制擦除检测一体机(简称DCK硬盘复制机)、DataCompass数据指南针(简称DC)、网警计算机犯罪取证勘察箱等。
其中由国家高新技术企业效率源历时三年研发的DCK硬盘复制机不仅硬盘复制速度达到创记录的7GB/min,遥遥领先于其他计算机取证设备,同时该硬盘复制机还具备8GB/min 的数据销毁功能,以及硬盘检测、Log日志记录生成、只读口设计等,可自动发现解锁HPA、DCO隐藏数据区,在将嫌疑硬盘中的数据完整复制到目标硬盘的同时,确保取证数据的全面客观。
二、网络犯罪的构成1、犯罪主体犯罪主体是指实施危害社会的行为、依法应当负刑事责任的自然人和单位。
笔者认为网络犯罪的主体应是一般主体,既可以是自然人,也可以是法人。
从网络犯罪的具体表现来看,犯罪主体具有多样性,各种年龄、各种职业的人都可以进行网络犯罪,对社会所造成的危害都相差不大。
一般来讲,进行网络犯罪的主体必须是具有一定计算机专业知识水平的行为人,但是不能认为具有计算机专业知识的人就是特殊的主体。
按照我国刑法学界通行的主张,所谓主体的特殊身份,是指刑法所规定的行为人刑事责任的行为人人身方面的资格、地位或者状态。
通常将具有特定职务、从事特定业务、具有特定地位以及具有特定人身关系的人视为特殊主体。
我国虽然将具有计算机专业知识的人授予工程师的职称,发放各种计算机等级合格证书等,但是从网络犯罪的案例来看,有相当一部分人水平高超却没有证书或者职称。
同时,应当看到在计算机即网络的今天,对所谓具有计算机专业知识的人的要求将会越来越高,网络犯罪却将越来越普遍,用具有计算机专业知识这样的标准是不确切的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
linying@
5
10.2 弱点挖掘的基本过程
目标网络系统弱点挖掘的基本过程
linying@
6
10.3 常用的弱点挖掘原理与方法
一、软件弱点 这类弱点是网络攻击中利用的最多的。 这类弱点是网络攻击中利用的最多的。网络 上有很多探测此类弱点的扫描器和相应的攻击程 序和软件。 序和软件。 1.操作系统弱点 . 操作系统作为管理计算机资源的系统程序, 操作系统作为管理计算机资源的系统程序, 是整个网络系统安全的基础。 是整个网络系统安全的基础。没有操作系统的安 也就不可能有数据库, 全,也就不可能有数据库,网络和其他软件的安 全。
linying@ 13
获取信息的最简单方法
通过以上信息,我们可以判定 通过以上信息 我们可以判定 1)该网站后台使用 数据库。 )该网站后台使用Access数据库。 数据库 2)存在 )存在/iisHelp/common/500-100.asp这个 文件, 这个 文件, 并且这个程序有错误。 并且这个程序有错误。
网络犯罪侦察技术
林英.信息安全 林英 信息安全
linying@1源自第十章 弱点挖掘与检测技术
Outline 弱点挖掘概述 弱点挖掘的基本过程 常用的弱点挖掘原理与方法 弱点数据库
linying@
2
10.1 弱点挖掘概述
网络系统中弱点的存在是网络攻击成功的必 要条件之一。 要条件之一。网络攻击主要利用了系统提供的 网络服务中的脆弱性。 网络服务中的脆弱性。内部网络攻击人员作案 利用了系统内部服务及其配置上的弱点; 利用了系统内部服务及其配置上的弱点;而拒 绝服务攻击主要是利用资源有限性的特点, 绝服务攻击主要是利用资源有限性的特点,或 者是利用服务处理中的弱点,使该服务崩溃。 者是利用服务处理中的弱点,使该服务崩溃。 目前已知的网络攻击方法就有数百种之多, 目前已知的网络攻击方法就有数百种之多, 比如利用系统的缓冲区漏洞取得系统控制权或 进行拒绝服务攻击和蠕虫病毒攻击, 进行拒绝服务攻击和蠕虫病毒攻击,对网络进 行嗅探监听以获取各种账号和密码, 行嗅探监听以获取各种账号和密码,口令破解 攻击, 地址欺骗等 地址欺骗等。 攻击,IP地址欺骗等。大部分的攻击在正式开 始之前,都要先进行网络系统弱点的探测。 始之前,都要先进行网络系统弱点的探测。
linying@ 3
一般地, 一般地,一次成功的网络攻击行为由以下 几个步骤构成:攻击者身份隐藏, 几个步骤构成:攻击者身份隐藏,目标系统信 息收集,网络系统弱点探测, 息收集,网络系统弱点探测,利用弱点实施攻 成功后开辟后门和日志清除。 击,成功后开辟后门和日志清除。在这个过程 中,目标系统信息收集和网络系统弱点探测往 往是同时进行的,可以借助已有的工具, 往是同时进行的,可以借助已有的工具,但有 时更需要根据已有信息进行分析和弱点挖掘。 时更需要根据已有信息进行分析和弱点挖掘。
linying@
4
保护计算机网络系统免遭安全危害的重点 也就在于:检测网络中存在的隐患, 也就在于:检测网络中存在的隐患,然后设法 消除隐患或限制隐患产生的环境条件。反之, 消除隐患或限制隐患产生的环境条件。反之, 网络攻击成功就是尽快地发现目标系统中的弱 发现得越早,攻击成功的概率就越大。 点,发现得越早,攻击成功的概率就越大。网 络攻击者通常不断地运行弱点检测程序, 络攻击者通常不断地运行弱点检测程序,及时 发现目标系统中可能存在的弱点, 发现目标系统中可能存在的弱点,进而实施相 应的网络攻击。 应的网络攻击。网络安全管理员也想抢先发现 系统中的弱点,以便消除弱点。 系统中的弱点,以便消除弱点。
linying@ 19
一个有安全漏洞的CGI程序实例
#define BAD “/;[]<>&\t” char *query() { char *user_data,*cp; user_data = getenv(“QUERY_STRING”); for (cp = user_data ; *(cp+=strcspn(cp,BAD));) *cp=‘_’; return user_data; } //strcspn统计 中从头开始直到第一个“来自 中的字符” 统计s1中从头开始直到第一个 中的字符” 统计 中从头开始直到第一个“来自s2中的字符 出现的长度 //strspn统计 中从头开始直到第一个“不来自 中的字符”出 统计s1中从头开始直到第一个 中的字符” 统计 中从头开始直到第一个“不来自s2中的字符 现的长度
12
获取信息的最简单方法
如果访问某网站出现如下错误: 如果访问某网站出现如下错误: Microsoft VBScript 编译错误 错 误’800a03f6 缺少’ 缺少’End’ /iisHelp/common/500- 100.asp,行242 行 Microsoft OLE DB Provider for ODBC Drivers 错误’80004005’ 错误’ [Microsoft][ODBC Microsoft Access Driver] 操作必须使用一个可更新的查询 /bbs/article.asp 行14
linying@
14
获取信息的最简单方法
Internet上有些站点信息查询服务器,例如: 上有些站点信息查询服务器,例如: 上有些站点信息查询服务器 输入网址可以显示出网站构建信息
linying@
15
(3)默认的用户名和口令或使用简单的口令 ) 这可能导致攻击者通过使用口令猜解软件 轻易地获得系统的一般访问权, 轻易地获得系统的一般访问权,为其获取系统 最高权限提供基础。 最高权限提供基础。 (4)隐蔽通道,特洛伊木马 )隐蔽通道, 这些可能是厂商或其他攻击者留下的后门。 这些可能是厂商或其他攻击者留下的后门。
(1)www服务弱点 ) 服务弱点 www服务是网络中使用最多的服务之一。许 服务是网络中使用最多的服务之一。 服务是网络中使用最多的服务之一 多电子商务网站,网络银行, 多电子商务网站,网络银行,政府机关和企业网 站都提供该服务。 站都提供该服务。 非安全的CGI程序和使用 程序和使用ASP,PHP等编程 非安全的 程序和使用 , 等编程 语言造成的漏洞。许多攻击者喜欢利用CGI漏洞 语言造成的漏洞。许多攻击者喜欢利用 漏洞 进行攻击,既简单又可以达到攻击目的。 进行攻击,既简单又可以达到攻击目的。攻击者 可以利用CGI程序的漏洞获取系统中的用户名列 可以利用 程序的漏洞获取系统中的用户名列 取得系统信息或访问权, 表,取得系统信息或访问权,还可以进行拒绝范 服务攻击。 服务攻击。www服务用户的弱口令也对整个系统 服务用户的弱口令也对整个系统 的安全构成了威胁。 的安全构成了威胁。
linying@
20
上面这个程序只能检查变量QUERY_STRING 上面这个程序只能检查变量 已知的威胁字符, 已知的威胁字符,但是无法检测未知的威胁字符 因而存在安全隐患。 串,因而存在安全隐患。 下面给出安全的CGI程序代码 程序代码, 下面给出安全的CGI程序代码,在程序中事 先指明无威胁字符,其他字符则一律过滤掉。 先指明无威胁字符,其他字符则一律过滤掉。
9
运行了编译好的exploit程序,出现了#提示符 程序,出现了 提示符 运行了编译好的 程序 表明已经取得root权限。本例中通过系统的一个 权限。 ,表明已经取得 权限 默认账号和口令,取得了系统的一般访问权, 默认账号和口令,取得了系统的一般访问权,然后 通过编译运行一个缓冲区溢出攻击程序获得了系统 最高权限即root权限。 权限。 最高权限即 权限 对此类漏洞, 对此类漏洞,可以经常浏览一些公布缓冲区溢 出漏洞的网站,及时下载补丁。 出漏洞的网站,及时下载补丁。此外还要对系统进 行不断升级, 行不断升级,因为高版本的操作系统在安全性上往 往要优于低版本, 往要优于低版本,版本较高其漏洞和相应的攻击程 序也相对较少。 序也相对较少。
linying@
8
现举一攻击实例: 现举一攻击实例:
Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\>telnet 202.xxx.xxx.144 SunOS 5.8 login: sybase Password: sybase No directory! Logging in with home=/ Last login: Wed May 12 08:31:07 from 218.2.xxx.xxx Sun Microsystems Inc. SunOS 5.8 Generic Patch October 2001 $ cd /tmp $ touch exploit.c $ vi exploit.c …… $ gcc exploit.c –o exploit $ ./exploit linying@ #
linying@
21
#define OK “abcdefghjiklmnopqrstuvwxyz\ABCDEFGHI JKLMNOPQRSTUVWXYZ\1234567890_-.@”; char *query() { char *user_data,*cp; user_data=getenv(“QUERY_STRING”); for (cp=user_data;*(cp+=strspn(cp,OK));) *cp=‘_’; return user_data; }
linying@
16
对上述弱点,要加强口令安全, 对上述弱点,要加强口令安全,建立安全 策略, 策略,不要轻易地泄露操作系统的版本信息和 其他重要的系统信息, 其他重要的系统信息,可以用虚假信息来迷惑 攻击者, 攻击者,定期或不定期地检查系统是否存在木 马或异常。 马或异常。
linying@
linying@ 10
(2)轻易泄露操作系统信息 ) 在上例中, 在上例中,攻击者即使没有得到一个合法 账号,通过使用telnet命令,仍可以知道操作 命令, 账号,通过使用 命令 系统的版本为SunOS 5.8,那么他就可以查找 系统的版本为 , 该版本操作系统的漏洞库, 该版本操作系统的漏洞库,并寻找相应的远程 攻击程序。 攻击程序。