网络攻击与防御期末考试知识点
Ch1-2
1.网络空间的理解:Cyberspace ,“第五空间”
2.网络安全的属性?
除了保密性、完整性和可用性外,
还增加:真实性、不可否认性
3. 网络安全构成威胁的因素:
l 环境因素,
l 人为因素和
l 系统自身因素(硬件软件协议的缺陷与漏洞),
其中人为因素包括:恶意的(恶意攻击、违纪、违法和犯罪)和无意的(如工作疏忽造成失误、配置不当等)
4. 软件漏洞产生的原因?
(1) 系统基础设计错误导致漏洞
(2) 编码错误导致漏洞
(3) 安全策略实施错误导致漏洞
(4) 实施安全策略对象歧义导致漏洞
(5) 系统设计/实施时相关人员刻意留下后门
5. 为什么因特网不安全(因特网存在的问题)?
l 资源共享与分组交换
l 认证与可追踪性
l 尽力而为
l 匿名与隐私
l 对全球网络基础设施的依赖
6. 网络安全技术发展的几个阶段?
n 入侵阻止、
n 入侵检测、
n 入侵容忍
7. 攻击的定义
1、任何企图破坏、暴露、改变、失能、窃取或者获得未授权的访问或者使用资产的行为。
2、试图收集、破环、拒绝、降级或者损害信息系统资源或者信息本身的恶意行为。
8. 攻击的分类
Hansman 方法,四维度分法
n 攻击手段
n 攻击目标
n 漏洞利用
n 攻击的后果和影响
Icove分类:基于经验术语分类方法
Stallings :基于攻击实施手段的网络攻击分类
9. 攻击步骤:
n 踩点(信息收集和探测)、
n 扫描(目标端口扫描、操作系统识别和漏洞扫描)、
n 查点(针对已知弱点的目标进行更充分探查)、
n 权限获取(可以进行拒绝服务攻击)、(利用漏洞或者破解特权口令等)
n 权限提升(盗窃敏感信息)、
n 设置后门
n 消灭踪迹。
Ch3
1. 网络侦察的内容(1-5点)、
1. 主机的IP地址,网络的网段号,目标服务器的域名等
2. 各种静态的联系信息:姓名,邮件,地址,电话号码
3. 网络拓扑结构,是否由防护墙入侵检测系统等防御措施
4. 目标机构的业务
5. 其它一切对攻击有用的信息
方法(搜索引擎及专用搜索引擎https://www.shodan.io/)
n 搜索引擎
n Whois数据库
n 域名系统
n 网络拓扑
n 社交网络
n 其他:社会工程学、Web网站查询、情报来源、垃圾搜寻
及常用的侦察工具
查询网站注册:信息全球最大的注册机构是Network Solutions:http://www.networksolutions.com
http://www.uwhois.com/cgi/whois.cgi
http://www.internic.net/whois.html
Nslookup
Traceroute
Ch4网络扫描
1. 什么是网络扫描?其作用有哪些?()
使用网络扫描软件对特定目标进行各种试探性通信,以获取目标信息的行为。
作用:主机、端口、OS识别和漏洞识别
2. 若防火墙禁止PING 如何扫描主机?
(PING是基于ICMP的,构造一种异常的IP包发送给目标主机,如异常首部的IP包或者超长的IP包,主机或路由器会给出回应)
3. 如何实现端口扫描?
向目标端口发送探测数据包,根据收到的响应来判断端口的状态
(TCP 扫描、FTP代理扫描、UDP扫描)
4. 如何识别操作系统?
a) 通过获取旗标信息:客户端向服务器端提出连接请求时服务器端所返回的欢迎信息
b) 利用端口信息:不同操作系统通常会有一些默认开放的服务,这些服务使用特定的端口进行网络监听。
c) 通过TCP/IP协议栈指纹:根据OS在TCP/IP协议栈实现上的不同特点,通过其对各种探测的响应规律形成识别指纹,进而识别目标主机运行的操作系统。数据包的不同特征:TCP Window-size、 IP TTL、IP TOS、DF位等参数进行分析,来识别操作系统。
5. 漏洞扫描
方法
向探测目标发送特定报文,根据响应判断是否存在漏洞
CGI漏洞扫描流程
l 连接目标WEBSERVER
l 发送一个特殊的请求
l 接收目标服务器返回数据
l 根据返回数据判断目标服务器是否有此CGI漏洞
CH5 网络监听
1.什么是网络监听?其作用
网络监听( Network Listening):是指在计算机网络接口处截获网上计算机之间通信的数据,也称网络嗅探(Network Sniffing)。
协助网络管理员监测网络传输数据,排除网络故障;(正面)
被黑客利用来截获网络上的敏感信息,给网络安全带来极大危害。(负面)
2. 如何实现网络监听?
要实施网络监听,主要解决两个问题:
l 一是网络流量劫持,即使监听目标的网络流量经过攻击者控制的监听点(主机),主要通过各种地址欺骗或流量定向的方法来实现
l 二是在监听点上采集并分析网络数据,主要涉及网卡的工作原理、协议分析技术,如果通信流量加密了,则还需要进行解密处理。
3. .如何实现网络流量劫持?
与网络环境有关:
Ø 共享式网络监听的原理:广播特性的总线:主机发送的物理信号能被物理连接在一起的所有主机接收到,但只有目标MAC地址对的才能接收到数据包。除非网卡处于混杂模式:接收所有的数据帧。
Ø 交换网络监听原理:存储转发实现了无碰撞地传输数据,即先将接收到的包存储,然后依据CAM(Content Addressable Memory内容可寻址存储器)查询向哪个端口转发。,
端口镜像:是把交换机一个或多个端口的数据镜像到某个端口的方法。管理员为了部署网络分析仪等设备,通过配置交换机端口镜像功能来实现对网络的监听。
除此以外,还可以通过MAC洪泛、ARP欺骗(跨网段时采用网关ARP欺骗)和端口盗用
4. 如何实现数据采集:
5. 网卡工作原理:
网卡的地址是MAC地址(出厂时设定,具有唯一性,也称为物理地址
网卡可以有如下几种工作方式:
Ø单播(Unicast):网卡在工作时接收目的地址是本机硬件地址的数据帧;
Ø 广播(Broadcast):接收所有类型为广播报文的数据帧;
Ø 多播(Multicast):接收特定的组播报
Ø 混杂模式(Promiscuous):是指对报文中的目的硬件地址不加任何检查,全部接收的工作模式。
6. 如何防范监控?
采用加密通信如HTTPS/SSL/SSH,采用VPN等产品
要防止ARP缓存改写,对敏感网络中所有主机的ARP缓存表进行硬编码,这些主机包括在线网站、DNS和Mail服务器、防火墙和DMZ路由器等
Ch6 缓冲区溢出攻击
1.缓冲区溢出攻击:(
一般情况下,缓冲区溢出引起程序运行错误,但是在攻击者的设计下)向程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令,以达到攻击的目的。溢出的根源在于编程:如果缓冲区被写满,而程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲区溢出就会发生。发生缓冲区溢出后,可能会:
Ø 覆盖紧邻的其他程序变量,若此变量整好是作为条件转移语句使用的,就导致改变程序执行流程与结果;
Ø 覆盖栈中发回函数地址,修改为攻击者指定的地址。但函数返回时将跳转到攻击者指定地址,从而执行攻击者的恶意代码
2.如何防止缓冲区溢出?
系统管理上的防御策略
Ø 关闭不需要的特权程序
Ø 及时给程序漏洞打补丁
程序开发中的防御策略
Ø 编写正确的代码
Ø 非执行的缓冲区
Ø 数组边界检查
Ø 程序指针完整性检查
其它方法:改进标准库;分割控制(指令)和数据堆栈;
CH6拒绝服务攻击
1. 什么是拒绝服务攻击?
攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需服务或者使服务质量降低.
DoS(Denial of Service):任何对服务的干涉如果使得其可用性降低或者失去可用性称为拒绝服务.攻击方式:消耗系统或网络资源; 阻断访问路径;更改系统配置,是服务无法访问。
DDoS(DistributedDenial of Service):如果处于不同位置的多个攻击者同时向一个或多个目标发起拒绝服务攻击,或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施拒绝服务攻击.特点: 攻击来源的分散性、协同性,攻击力度的汇聚性
2. DDoS为什么能成功?
(1) TCP/IP协议存在漏洞,可以被攻击者利用
(2) 网络提供Best-Effort服务,不区分数据流量是否是攻击流量
(3) 网络带宽和系统资源是有限的
3. 如何防御DoS?
检测:
l 依据DDoS攻击工具的特征进行检测
l 统计监测
l 主机网络连接特征检测
l 根据异常流量来检测
响应:到目前为止,对付风暴型DDoS攻击的方案主要有四种
l 通过丢弃恶意分组的方法保护网络;
l 在源端控制DDoS攻击;
l 追溯 (Traceback)攻击的源端, 然后阻止它发起新的攻击;
l 路由器动态检测流量并进行控制。
最有效的对抗风暴型的DDOS的方法是:流量清洗
防范:
l 限制带宽
l 终端防御
l 入口过滤
4. 举一个说明能实现拒绝服务攻击的例子?
CH7 WEB应用攻击
1. 说明WEB应用体系结构,以及存在的潜在的弱点
l Web客户端:活动内容执行,客户端软件漏洞的利用,交互站点脚本的错误;
l 传输:偷听客户-服务器通信,SSL重定向;
l Web服务器:Web发布服务器软件漏洞;
l Web应用程序:攻击授权、认证、站点结构、输入验证,以及应用程序逻辑;
l 数据库:通过数据库查询运行优先权命令,查询操纵返回额外的数据集
2. 最常见的web应用攻击有哪些?
跨站点脚本攻击
注入攻击
恶意文件执行
不安全的直接对象引用
跨站请求仿冒
信息泄露和不当的错误处理
会话(session)管理
不安全的加密存储
不安全的通信
URL访问缺少限制
3. 如何防御Web应用中的SQL注入漏洞?
4. 试述跨站点脚本XSS攻击的原理和防御方法?跨站点脚本攻击XSS攻击有哪些类型?
原理
在输入中插入包含有JavaScript或其它恶意脚本的HTML标签代码。
防御
l 对Web应用程序的所有输入进行过滤,对危险的HTML字符进行编码:
‘<’ , ‘>’ ‘<’ , ‘>’
‘(‘ , ‘)’ ‘(’ , ‘)’
‘#‘ , ‘&’ ‘#’ , ‘&‘
l 对用户进行培训,告知小心使用电子邮件消息或即时消息中的链接;
l 防止访问已知的恶意网站;
l 执行手工或自动化代码扫描,确定并消除潜在的XSS漏洞。
三种类型
n 基于存储型XSS漏洞
n 基于反射型XSS漏洞
n 基于DOM的XSS漏洞
CH8 恶意软件攻击:
1. 恶意代码的定义?
是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。
2. 恶意代码的种类?
类型 |
定义 |
特性 |
计算机病毒 |
在计算机程序中插入的破坏计算机功能并能自我复制的一组程序代码。 |
潜伏、传染、破坏 |
计算机蠕虫 |
通过计算机网络自我复制,消耗系统资源和网络资源的程序。 |
扫描、攻击、扩散 |
特洛伊木马 |
指一种与远程计算机建立连接,使远程计算机能够通过网络控制本地计算机的程序。 |
欺骗、隐蔽、信息窃取 |
逻辑炸弹 |
通过特殊的数据或时间作为条件触发,试图完成一定破坏功能的程序。 |
潜伏、破坏 |
RootKit |
指通过替代或者修改系统功能模块,实现隐藏踪迹和保留root访问权限的工具。 |
隐蔽,潜伏 |
后门程序 |
后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序。 |
隐蔽、开发者预留 |
3.远程控制木马进行网络入侵的过程:
1. 配置木马
2. 传播木马
3. 运行木马
4. 信息反馈
5. 建立连接
6. 远程控制
4. 木马程序的植入方式有哪些?
木马的植入是指让木马的服务端在目标系统内运行起来的过程。方式有直接植入和间接植入。
(1) 所谓直接植入,是指攻击者直接将木马服务端送达到目标系统内并使之运行起来的过程。该方式的特点是,攻击者主动参与,而目标用户未参与不知情。其原理通常是,攻击目标系统中存在的远程网络安全漏洞,使得攻击者可以在远程目标系统上执行任意代码,从而植入木马。目标系统的远程网络安全漏洞主要包括三种类型:系统漏洞、web系统漏洞、网络配置漏洞。
(2) 间接植入:间接植入主要是指,攻击者没有明确的目标,没有与目标用户接触,没有直接将木马服务端或恶意代码发送到目标系统,而是存放在第三方服务器上,用户访问时由于不知情或浏览器存在漏洞,在自己的操作中使木马服务端或恶意代码得到运行,完成了木马的植入。
5. 木马程序隐藏的方式有哪些?
木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。
木马隐藏的技术
(1)程序隐藏:
程序捆绑:
程序捆绑方式是将多个exe 程序链接在一起组合成一个exe 文件,当运行该exe 文件时,多个程序同时运行。程序捆绑有多种方式,如将多个exe 文件以资源形式组合到一个exe 文件中或者利用专用的安装打包工具将多个exe 文件进行组合,这也是许多程序捆绑流氓软件的做法。
因此,木马程序可以利用程序捆绑的方式,将自己和正常的exe文件进行捆绑。当双击运行捆绑后的程序时,正常的exe 文件运行了,而木马程序也在后台悄悄地运行。
程序隐藏只能达到从表面上无法识别木马程序的目的,但是可以通过任务管理器中发现木马程序的踪迹,这就需要木马程序实现进程隐藏。
(2)进程隐藏:
隐藏木马程序的进程显示能防止用户通过任务管理器查看到木马程序的进程,从而提高木马程序的隐蔽性。目前,隐藏木马进程主要有如下两种方式:
API拦截:API拦截技术属于进程伪隐藏方式。它通过利用Hook技术监控并截获系统中某些程序对进程显示的API 函数调用,然后修改函数返回的进程信息,将自己从结果中删除,导致任务管理器等工具无法显示该木马进程。具体实现过程是,木马程序建立一个后台的系统钩子(Hook),拦截PSAPI的EnumProcessModules等相关函数的调用,当检测到结果为该木马程序的进程ID(PID)的时候直接跳过,这样进程信息中就不会包含该木马程序的进程,从而达到了隐藏木马进程的目的。
远程线程注入:远程线程注入属于进程真隐藏方式。它主要是利用CreateRemoteThread函数在某一个目标进程中创建远程线程,共享目标进程的地址空间,并获得目标进程的相关权限,从而修改目标进程内部数据和启动DLL 木马。通过这种方式启动的DLL 木马占用的是目标进程的地址空间,而且自身是作为目标进程的一个线程,所以它不会出现在进程列表中。
(3)通信隐藏:
进程隐藏可以进一步加强其隐蔽性。但是仍然可以从通信连接的状况中发现木马程序的踪迹。因此,很有必要实现木马程序的通信隐藏。
6.后门程序:
后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序。后门程序就是留在计算机系统中,供某位特殊使用者通过某种特殊方式控制计算机系统的途径。
CH9 入侵检测
1. 什么是入侵检测?
入侵检测:通过从计算机系统或网络的关键点收集信息并进行分析,从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统IDS:Intrusion Detection System
A combination of hardware andsoftware that monitors and collects system and network information and analyzesit to determine if an attack or an intrusion has occurred. Some IDS systems canautomatically respond to an intrusion.
入侵防御系统IPS:Intrusion Protection System
预先对入侵活动和攻击性网络流量进行阻止和拦截,避免对目标系统造成损失。
注意IDS和IPS的区别:主动防御还是被动响应。
2. 入侵检测系统的分类:
根据检测方法来分:
基于特征的入侵检测
基于异常的入侵检测
混合的入侵检测
根据数据源来分:
基于应用的入侵检测系统(Application-based IDS)
基于主机的入侵检测系统(Host-based IDS)
基于网络的入侵检测系统(Network-based IDS)
混合的入侵检测系统(Hybrid IDS)
3. 检测方法:
(1)特征检测
定义:收集非正常操作的行为特征(signature),建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。特征:
静态特征:如 signature analysis which is theinterpretation of a series of packets (or a piece of data contained in thosepackets) that are determined, inadvance, to represent a known pattern of attack
动态特征:如网络统计数据、计算机或应用系统中的审计记录、日志、文件的异常变化、硬盘、内存大小的变化
特征描述:描述语言
针对的是已知攻击!
检测率取决于:攻击特征库的正确性与完备性
算法:
模式匹配
法专家系统
(2)异常检测(误用检测)
首先总结出正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。具体说来,需要一组能够标识用户特征、网络特征或者系统特征的测量参数,如CPU利用率、内存利用率、网络流量等等。基于这组测量参数建立被监控对象的行为模式并检测对象的行为变化。
两个关键问题:
选择的各项测量参数能否反映被监控对象的行为模式(正常行为轮廓的建立)。
如何界定正常和异常(阈值的选择)。
算法:
统计分析法
神经网络法
聚类分析法
人工免疫
比较异常检测与特征检测的区别
n 检测的攻击类型:已知与未知
n 特 征:已知攻击特征与已知正常行为特征
n 性 能:误报率(rate of false positive)与漏报率(rateof false negative)
对每种方法,各在何种情况下发生误报、漏报?
5.SNORT的使用
CH10 防火墙
1. 防火墙的定义:
防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组安全系统。它是一种计算机硬件和软件系统集合,是实现网络安全策略的有效工具之一。
2. 防火墙的分类:
按照软、硬件形式划分
n 软件防火墙:运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
n 硬件防火墙:基于PC架构,这些PC架构计算机上运行一些经过裁剪和简化的操作系统。至少应具备三个端口,分别接内网,外网和DMZ区。
n 芯片级防火墙:基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
从防火墙技术分
n 包过滤(Packet filtering)型:工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
n 应用代理(Application Proxy)型:工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
从防火墙的结构分
n 单一主机防火墙:与一台计算机结构差不多。需要连接一个以上的内、外部网络。用硬盘来存储防火墙所用的基本程序,如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。
n 路由器集成防火墙:许多中、高档的路由器中已集成了防火墙功能。
n 分布式防火墙:防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统。不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。
3. 防火墙技术发展经历了:
(1)第一代防火墙:1983年第一代防火墙技术出现,它几乎是与路由器同时问世的。它采用了包过滤(Packet filter)技术,可称为简单包过滤(静态包过滤)防火墙。
(2)第二代防火墙:1991年,贝尔实验室提出了第二代防火墙——应用型防火墙(代理防火墙)的初步结构。
(3)第三代防火墙:1992年,USC信息科学院开发出了基于动态包过滤(Dynamic packet filter)技术的第三代防火墙,后来演变为目前所说的状态检测(Stateful inspection)防火墙。1994年,以色列的CheckPoint公司开发出了第一个采用状态检测技术的商业化产品。
(4)第四代防火墙:1998年,NAI公司推出了一种自适应代理(Adaptive proxy)防火墙技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理服务器防火墙赋予了全新的意义。具有应用代理的安全性,但不采用应用代理的数据传送方式,而采用包过滤的传送方式,由此取得安全和效率的一个折中。
包过滤防火墙从数据包中提取收发IP地址,TCP端口等信息,按预先设置的规则过滤。滤除不符合规定的IP包。
状态检测防火墙又称动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包,抽取出与应用层状态有关的信息,并以此作为依据决定对该数据包是接受还是拒绝。状态检测防火墙又称动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包,抽取出与应用层状态有关的信息,并以此作为依据决定对该数据包是接受还是拒绝。
4. 防火墙的主要功能
n 保护脆弱和有缺陷的网络服务
n 集中化的安全管理
n 加强对网络系统的访问控制
n 加强隐私
n 对网络存取和访问进行监控审计
CH11口令攻击
1.口令分静态口令和动态口令
静态口令面临的安全威胁:
口令监听
截取/重放
简单口令猜测
字典攻击
穷举攻击
伪造服务器攻击
口令泄露
直接破解口令文件
3. 口令的攻击方法:
n 弱口令扫描:最简单的方法,入侵者通过扫描大量主机,从中找出一两个存在弱口令的主机。
n 口令监听:通过嗅探器软件来监听网络中的数据包来获得密码。对付明文密码特别有效,如果获取的数据包是加密的,还要涉及解密算法解密。
n 社会工程学:通过欺诈手段或人际关系获取密码。
n 暴力破解:尝试所有字符的组合方式。获取密码只是时间问题,是密码的终结者。
n 简单口令猜解:很多人使用自己或家人的生日、电话号码、房间号码、简单数字或者身份证号码中的几位;也有的人使用自己、孩子、配偶或宠物的名字,这样黑客可以很容易通过猜想得到密码。
n 字典攻击:利用程序尝试字典中的单词的每种可能。字典可以是一个英语词典或其他语言的词典,也可以附加各类字典数据库,比如名字和常用的口令。
n 其它破解方式:安装木马或键盘记录程序等。
4. **所谓的词典,实际上是一个单词列表文件,是根据人们设置自己账号口令的习惯总结出来的常用口令列表文件。这些单词有的纯粹来自于普通词典中的英文单词,有的则是根据用户的各种信息建立起来的,如用户名字、生日、街道名字、喜欢的动物等。
**“暴力”即计算机的强大计算能力,如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合,将最终能破解所有的口令。这种攻击方式叫做强行攻击(也叫做暴力破解)。如一个由大小写字母、数字和标点组成的6位口令,可能的组合达4千亿种。如果每秒钟可以试100万种组合,可以在5天内破解。
**分布式暴力破解:把一个大的破解任务分解成许多小任务,然后利用互联网上的计算机资源来完成这些小任务,加快口令破解的进程。
**组合攻击:是在使用词典单词的基础上在单词的后面串接几个字母和数字进行攻击的攻击方式。
5. 主要攻击方法比较:
|
字典攻击 |
强行攻击 |
组合攻击 |
攻击速度 |
快 |
慢 |
中等 |
破解口令数量 |
找到所有词典单词
|
找到所有口令 |
只找到以词典为基础的口令 |
6. 其它的攻击方式:
社会工程学
偷窥
搜索垃圾箱
口令蠕虫
特洛伊木马
网络监听
重放
**社会工程学:是一种让人们顺从你的意愿、满足你的欲望的一门艺术与学问,并不直接运用技术手段,而是一种利用人性的弱点、结合心理学知识,通过对人性的理解和人的心理的了解来获得目标系统敏感信息的技术。简单来说,就是欺骗人们去获得本来无法访问的信息。
7. 动态口令:
也称为一次性口令,其基本原理:在用户登录过程中,基于用户口令加入不确定因子,对用户口令和不确定因子进行单向散列函数变换,所得的结果作为认证数据提交给认证服务器。认证服务器接收到用户的认证数据后,把用户的认证数据和自己用同样的散列算法计算出的数值进行比对,从而实现对用户身份的认证。
动态口令按生成原理可分为非同步和同步两种认证技术。
. 非同步认证技术生成的动态口令主要是依据挑战-响应原理来实现。
. 同步认证技术包括与时间有关的时钟同步认证技术和与时间无关的事件同步认证技术。
8. 动态口令的安全性问题
动态口令是安全的,有效地抵御了网络监听攻击,有效地阻止了重放攻击。
9. 口令破解:
(1) Windows系统下SAM文件的解密(PWDUMP.EXE和CAIN)
(2) UNIX系统下etc/passwd文件中与用户口令相关的域提取出来,组织成文件shadow(该文件只为root超级用户)对于老式的passwd文档(没有shadow),John可以直接读取并用字典穷举破解。
对于现代UNIX/Linux的passwd+shadow的方式,John提供了unshadow程序可以直接把两者合成出老式的passwd文件。
10.
CH12 实验