攻击与网络取证手段课件.ppt

EICE南京森林公安高等专科学校信息技术系南京森林公安高等专科学校信息技术系计算机犯罪现场勘查计算机犯罪现场勘查第三章第三章 攻击与网络取证手段攻击与网络取证手段第一节第一节 攻击手段攻击手段第三章第三章 攻击与网络取证手段攻击与网络取证手段攻击与网络取证手段一、攻击的步骤一、攻击的步骤收集目标系统信息；探测分析目标系统弱点；实施入侵活动；攻击与网络取证手段二、常见的几种攻击手段二、常见的几种攻击手段端口扫描；电子欺骗；分布式拒绝服务拒绝服务攻击；电子邮件攻击；网络监听；木马攻击；口令攻击；后门攻击；电磁泄露；WEB欺骗；内存空间窥探；香肠术；逻辑炸弹；攻击与网络取证手段三、分布式拒绝服务攻击三、分布式拒绝服务攻击(DDOS)拒拒绝绝服服务务：：就是用超超出出被被攻攻击击目目标标处处理理能能力力的的海海量量数数据据包包消消耗耗可可用用系系统统，，带带宽宽源源，致使网络服务瘫痪的一种攻击手段一般分为两种：§一是利用多多个个点点向向攻攻击击对对象象发送巨大的数数据据包包，造成对方的带宽用尽，使网站无法登陆，这种攻击是持持续续的，前提是攻击点的带宽必须要大带宽必须要大攻击与网络取证手段三、分布式拒绝服务攻击三、分布式拒绝服务攻击(DDOS)§二是利用多多点点同同时时向向攻攻击击对对象象持持续续发送数数据据处处理理请请求求，造成被攻击方服务器系统资源占尽以至死机，这种方式主要针对论坛BBS，攻击点多。

§英国已通过一项法律，将发动拒绝服务(DoS)攻击确定为一种犯罪行为   视频案例四（攻击）攻击与网络取证手段§据了解，英国出台的新法律条款规定，影响计算机系统运行是一种犯罪行为其他条款禁止阻止或妨碍对计算机上软件或数据的访问，或者影响计算机上数据或软件的运行这类犯罪活动的最长刑期也由5年提高到了10年攻击与网络取证手段四、意大利香肠术四、意大利香肠术    “意大利香肠”出自这样一个典故：在意大利，一个乞讨者想得到某人手中的一根香肠，但对方不给，这位乞讨者就寻求对方可怜他，给他切一薄片，对方认为这个要求可以，于是就答应他了第二天，乞讨者又去寻求切一片，第三天又是如此，最后，这根香肠全被乞讨者得到了 攻击与网络取证手段四、意大利香肠术四、意大利香肠术           后来这一手法被用到计算机上成为一种新的犯罪手段这种计算机犯罪是采用他人不易觉察的手段，使对方自动做出一连串的细小让步，最后达到犯罪的目的   典典型型案案例例：：美国的一个银行职员在处理数百万份客户的存取账目时，每次结算都截留一个四舍五入的利息尾数零头，然后将这笔钱转到一个虚设的账号上，经过日积月累，积少成多，盗窃了上亿美元。

这种截留是通过计算机程序控制自动进行的攻击与网络取证手段五、逻辑炸弹五、逻辑炸弹§“逻辑炸弹”就是在计算机操作系统中有有意意设设置置并并插插入入某某些些程程序序的的编编码码，这些编码只有在特定时间或是特定的条件下才自动激活执行程序而起到破坏作用逻辑炸弹”是对系统的潜在威胁和隐患，它有可能抹除数据文卷，或破坏系统功能，使整个系统瘫痪攻击与网络取证手段五、逻辑炸弹五、逻辑炸弹§典型案例：典型案例：   美国某公司负责工资表格的程序员在文件中事先秘密放置了一段程序，当他本人被公司解雇或他的名字从工资表中消失3个月后，该程序就破坏系统的文件库攻击与网络取证手段六、计算机职业道德六、计算机职业道德      增强职业道德规范是计算机信息安全中的人员安全的一个重要内容，是法律行为规范的补充，是非强制性的自律要求，其目的是用来规范各类信息的使用美国计算机伦理协会总结了“十戒”供大家参考：　（1）不应该用计算机去伤害他人    （2）不应该影响他人的计算机工作    （3）不应该到他人的计算机里去窥探    （4）不应该用计算机去偷窃 　（5）不应该用计算机去做假证明　　攻击与网络取证手段   （6） 不应该复制或利用没有购买的软件。

7） 不应该未经他人许可的情况下使用他人的计算机资源   （8） 不应该剽窃他人的精神作品   （9） 应该注意你正在编写的程序和你正在设计系统的社会效应   （10） 应该始终注意，你使用计算机是在进一步加强你对同胞的理解和尊敬六、计算机职业道德六、计算机职业道德攻击与网络取证手段第二节第二节 网络犯罪取证网络犯罪取证第三章第三章 攻击与网络取证手段攻击与网络取证手段攻击与网络取证手段应用举例应用举例----网络监听网络监听   网络监听原理网络监听原理: 从发送角度：从发送角度： 在TCP/IP over Ethernet中，当网络中的一台主机同其它IP子网的主机通信时，源主机将写有目的主机IP地址的数据包发向网关数据包从TCP/IP协议的IPIP层层交交给给不不会会识识别别IPIP地地址址的的网网络络接接口口对于作为网网关关的主机，由于它连接了多个网络，也就同时具备多个IP地址，在每个网络中它都有一个           攻击与网络取证手段 从接收角度： 当连接在同一条电缆或集线器上的主机被逻辑地分为几个被逻辑地分为几个IPIP子网子网的时候，要是有一的时候，要是有一台主机处于台主机处于监听模式监听模式，，它还可以接收到发向与自己不在同一个不在同一个IPIP子网子网的数据包。

 应用举例应用举例----网络监听网络监听攻击与网络取证手段 从权限角度：         在UNIX系统中，当拥拥有有超超级级权权限限的用户要想使自己所控制的主机进进入入监监听听模模式式，只需要向网络接口（Interface）发送I/O控控制制命命令令，就可以使主机设置成监听模式了          在Windows系统中，不论用户是否有权限，都将可以通过直接运行监听工具通过直接运行监听工具进入监听模式应用举例应用举例----网络监听网络监听攻击与网络取证手段共享式总线网络简图共享式总线网络简图攻击与网络取证手段Server基于基于HUBHUB连接网络的数据流向连接网络的数据流向HUB攻击与网络取证手段交换矩阵简图交换矩阵简图攻击与网络取证手段Server基于交换机连接网络的数据流向基于交换机连接网络的数据流向Switchboard攻击与网络取证手段Server基于交换机连接网络实现端口镜像后基于交换机连接网络实现端口镜像后ClientSnifer镜像端口被镜像端口Switchboard攻击与网络取证手段Server基于交换机无端口镜像功能实现取证的方法基于交换机无端口镜像功能实现取证的方法ClientSniferHUBSwitchboard攻击与网络取证手段   Windows　NetXRay　DECUnix/Linux　Tcpdump　　Solaris　Nfswatch　　　SunOS　Etherfind　    著名监听程序网址攻击与网络取证手段网络监听的作用网络监听的作用           网络监听网络监听是为了系统管理员系统管理员管理网络，监视网络状态和数据流动情况监视网络状态和数据流动情况而设计的。

           由于它有着截获网络数据的功能截获网络数据的功能，所以也是黑客所惯用的伎俩之一 攻击与网络取证手段 案件追记案件追记---典型案例典型案例           2005年1月6日,湖南省公安厅网监处接到省国税局网络部的报案，称其正在运行的电子报税系统“ABC3000”遭到不明网络攻击           攻击者采用不停发送电子数据包的方式，对省国税局新投入运行的电子报税系统进行网络干扰，严重影响了该运行系统的功能，致使湖南省几千个一般纳税户的申报税工作不能正常完成，对湖南省的税收申报工作和政府形象造成了极其严重的影响攻击与网络取证手段          当运行监听程序的主机在监听的过程中只只是是被被动动的的接接收收在在网网络络中中传传输输的的信信息息时时，它是不不会会跟跟其其它它主主机机交交换换信信息息的，也不不能能修修改改在网络中传输的信息包           这就给网络监听的检测带来了麻烦 案件技术侦察案件技术侦察攻击与网络取证手段网络监听状态分析网络监听状态分析 在网络监听时,常常要保保存存大大量量的的信信息息，，并将对收集的信息进行整整理理，这样就会使正在监听的机器对其它用户的请求响响应应变变的的很很慢慢。

同时监听程序在运行的时候需要消消耗耗大大量量的的处处理理器器时时间间（（资源）,如果在这个时候详细的分析包中的内容，会有许多包包因来来不不及及接接收收而被漏走漏走 所以监听程序常常会将监听得到的数据包存放在文件中等待以后分析 攻击与网络取证手段技侦方式方法技侦方式方法        在Unix中可以通过ps–aun或ps–augx命令产生一个包包括括所所有有进进程程的的清清单单：记录着进程的属属主主和这些进程占用的处理器时间时间及内存内存等        这些都以标标准准表表的形式输出在STDOUT上如果某一个进程正在运行，那么它将会列在这张清单之中，从而发现可疑进程发现可疑进程  攻击与网络取证手段技侦难点及技术对策技侦难点及技术对策   难难点点:  犯罪嫌疑人(黑客) 在运行监听程序的时候将ps或其它运行中的程序修改成TrojanHorse程序      对对策策: 在Unix上获得当前进程的清清单单上上作比对作比对 攻击与网络取证手段侦察中的技术对策侦察中的技术对策   现现象象:  犯罪嫌疑人(黑客)所用的监听程序大都是免费在网上得到的非专业软件免费在网上得到的非专业软件 。

   对对策策: 用Unix搜索监听程序加以检检测测识识别别，侦听可疑线程的网络连接侦听可疑线程的网络连接攻击与网络取证手段技侦综合结论技侦综合结论                   1.软件定性            犯罪嫌疑人编制了一个针对湖南省国家税务局电子税务申报系统进行每秒一次自动非法访问的攻击程序，该程序一经启动，会自动地每秒用非法随机帐号和密码对该系统进行登录访问，致使报税系统阻塞，无法正常使用攻击与网络取证手段技侦综合结论技侦综合结论                  2.罪证鉴定依据           经过网络侦听截获: 2005年1月6日至1月10日之间，犯罪分子多次启动自编的非法软件对省国税局电子报税系统进行网络非法攻击，共计27回29852次，后果十分严重，构成犯罪 攻击与网络取证手段技侦对策应用的思考技侦对策应用的思考           现代网络中，SSH作为一种在应用环境中提供保密通信的协议一直都被沿用，SSH所使用的端口是22，它它排排除除了了在在不不安安全全信信道道上上通通信信的的信信息息被被监监听听的的可可能能性性，，使使用用到到了了RAS算算法法，，在在授授权权过过程程结结束束后后，，所所有有的的传传输输都都用用IDEA技技术术加密。

加密              但但SSH并不就是完全安全的并不就是完全安全的攻击与网络取证手段§网络监听功能为我们网络警察提供哪些有利方面和不利的方面？思     考     题攻击与网络取证手段攻击与网络取证手段。