《网络攻击技术》由会员分享,可在线阅读,更多相关《网络攻击技术(101页珍藏版)》请在金锄头文库上搜索。
1、网络攻击技术北京大学软件学院网络攻击小组目录 b网络攻击技术简介b分布式拒绝服务攻击的实施及预防措施b利用缓冲区溢出进行攻击的技巧及防御 方法 b一个基于Netbios的攻击实例 b提供攻击工具的网站及攻击工具 网络攻击技术简介b攻击分类b攻击步骤与方法b入侵攻击b欺骗攻击b会话劫持攻击b缓冲区溢出攻击b保留访问权限 b隐藏踪迹攻击分类在最高层次,攻击可被分为两类: b主动攻击 主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口 25找出公司运行的邮件服务器的信息;伪造无效IP地址去连接服务器,使接受到错 误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些
2、不利于你 或你的公司系统的事情。正因为如此,如果要寻找他们是很容易发现的。主动攻击 包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。b被动攻击 被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。 攻击步骤与方法 b搜集信息 b实施入侵 b上传程序、下载数据 b利用一些方法来保持访问,如后门、特 洛伊木马 b隐藏踪迹 入侵攻击b拒绝服务攻击 严格来说,拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的 结果,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚 至导致物理上的瘫痪或崩溃。b分布式拒绝服
3、务攻击 高速广泛连接的网络也为DDoS攻击创造了极为有利的条件。在低速网络时代时 ,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。 b口令攻击 攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或 者确定用户的口令,他就能获得机器或者网络的访问权,并能访问到用户能访问到的任何资源。 欺骗攻击bIP欺骗公司使用其他计算机的IP地址来获得信息或者得到特权。 b电子信件欺骗 电子信件的发送方地址的欺骗。比如说,电子信件看上去是来自TOM,但事实上 TOM没有发信,是冒充TOM的人发的信。 bWEB欺骗 越来越多的电子商务使用互连网。
4、为了利用网站做电子商务,人们不得 不被鉴别并被授权来得到信任。在任何实体必须被信任的时候,欺骗的 机会出现了。 b非技术类欺骗 这些类型的攻击是把精力集中在攻击攻击的人力因素上。它需要通过社 会工程技术来实现。 会话劫持攻击会话劫持(Session Hijack)是一种结合了嗅探以及欺骗技术在内的 攻击手段。广义上说,会话劫持就是在一次正常的通信过程中 ,黑客作为第三方参与到其中,或者是在数据流(例如基于TCP 的会话)里注射额外的信息,或者是将双方的通信模式暗中改 变,即从直接联系变成 有黑客联系。 会话劫持利用了TCP/IP工作原理来设计攻击。 TCP会话劫持的攻击方式可以对基于TCP的任
5、何应用发起攻击,如HTTP、FTP、Telnet等。 缓冲区溢出攻击 几十年来,缓冲区溢出一直引起许多严重的 安全性问题。其中最著名的例子是:1988 年, 因特网蠕虫程序在 finger 中利用缓冲区溢出感 染了因特网中的数万台机器。 引起缓冲区溢出问题的根本原因是 C(与其后 代 C+)本质就是不安全的,没有边界来检查 数组和指针的引用,也就是开发人员必须检查 边界(而这一行为往往会被忽视),否则会冒 遇到问题的风险。标准 C 库中还存在许多非安 全字符串操作,包括:strcpy() 、sprintf() 、 gets() 等。 保留访问权限在大多数情况下, 攻击者入侵一个系统后, 他可能
6、还想在适当的时候再次进入系统。比如 说,如果攻击者入侵了一个站点,将它作为一 个对其他系统进行攻击的平台或者是跳板,他 就会想在适当的时候登录到这个站点取回他以 前存放在系统里面的工具进行新的攻击。很容 易想到的方法就是在这个已经被入侵的系统中 留一个后门。但是,非常关键的是,不但要留 下下次进入的通道,而且还要对自己所做的一 切加以隐藏,如果建立起的后门马上就被管理 员发现就没有任何用处了。 保留访问权限(续)b后门和特洛伊木马 简单地说,后门(backdoor)就是攻击 者再次进入网络或者是系统而不被发现 的隐蔽通道。最简单的方法就是打开一 个被端口监听代理所监听的代理,有很 多软件可以做
7、到这一点。 隐藏踪迹当黑客成功获取了存取权限且完成了自己的预定目标后,他还有 最后一个工作要完成-隐藏攻击踪迹。这其中包括重新进入系统 ,将所有能够表明他曾经来过的证据隐藏起来。为达到这个目的 ,有四个方面的工作要做: b日志文件 大多数系统都是通过记录日志文件来检测是谁进入过系统并且停 留了多长时间。根据日志文件所设置的级别不同,还可以发现他 们做了些什么,对哪些文件进行了操作。 b文件信息 为了获得系统的存取权限和在系统中建立后门,攻击者通常必须 对某些系统文件进行修改。当他们这样做后,文件的一些信息, 比如说修改时间和文件长度就会发生变化,通过这些也可以确定 系统是否曾经遭受过攻击。 隐
8、藏踪迹(续) b另外的信息在很多情况下,黑客为了达到进入系统获取权限目的,必须另外上传或者安装一 些文件。这些用来隐藏踪迹或者用来对别的站点进行新攻击的文件通常会占用一 定的磁盘空间。系统管理员可以通过磁盘空余空间的检查来确定是否发生过攻击。 b网络通信流量 当黑客对某个系统进行攻击时,大多数情况下是通过网络进行的 。这也意味着攻击者必须对自己在网络上留下的痕迹进行清除。 由于网络系统都运行着IDS(入侵检测系统),任何可疑的网络 通信都会被打上标记。而要抹去IDS上的记录是非常困难的,因 为它是实时监测的。 目录 b网络攻击技术简介b分布式拒绝服务攻击的实施及预防措施b利用缓冲区溢出进行攻击
9、的技巧及防御 方法 b一个基于Netbios的攻击实例 b提供攻击工具的网站及攻击工具 分布式拒绝服务攻击的实施及预防措施攻击b1.分布式拒绝服务攻击(DDoS)的概念以及它与拒绝服务 攻击的区别。b2.DDoS攻击的过程和攻击网络结构。b3.DDoS攻击所利用的协议漏洞b4.DDoS的几种攻击方式b5.一种新的DDoS攻击方式反弹攻击 防御b1.DDoS攻击的防范原理。b2.DDoS攻击发生时网络出现的异常情况。b3.防范中的软硬件使用b4.拒绝服务监控系统的设计DDoS的诞生b1999年8月以来,出现了一种新的网络 攻击方法,这就是分布式拒绝攻击( DDoS)。之后这种攻击方法开始大行其
10、道,成为黑客攻击的主流手段。Yahoo、 eBay、CNN等众多知站点相继被身份不 明的黑客在短短几天内连续破坏,系统 瘫痪达几个小时甚至几十个小时之久。拒绝服务攻击b拒绝服务攻击(Denial of Service) 是一种个人或多人利用Internet协议的某 些漏洞,拒绝其他用户对系统和信息的 合法访问的攻击。b这类攻击使服务器充斥大量要求恢复的 非法用户的信息和请求,消耗网络带宽 或系统资源,导致网络或系统不胜负荷 以至瘫痪而停止提供正常的网络服务。 分布式拒绝服务攻击 b分布式拒绝服务攻击(Distributed Denial of Service)是对拒绝服务攻击的发展。b攻击者控
11、制大量的攻击源,然后同时向 攻击目标发起的一种拒绝服务攻击。海 量的信息会使得攻击目标带宽迅速消失 殆尽。b相对于一般的拒绝服务攻击,分布式拒 绝服务攻击有以下两个特点:分布式拒绝服务攻击特点b由于集中了成百上千台机器同时进行攻击,其 攻击力是十分巨大的。即使像Yahoo,Sina等 应用了可以将负荷分摊到每个服务器的集群服 务器(cluster server)技术,也难以抵挡这种 攻击。b多层攻击网络结构使被攻击主机很难发现攻击 者,而且大部分装有主控进程和守护进程的机 器的合法用户并不知道自己是整个拒绝服务攻 击网络中的一部分,即使被攻击主机监测到也 无济于事。DDoS攻击过程攻击过程主要
12、有两个步骤:攻占代理主机和 向目标发起攻击。具体说来可分为以下几个步 骤:1探测扫描大量主机以寻找可入侵主机;2入侵有安全漏洞的主机并获取控制权;3在每台被入侵主机中安装攻击所用的客户进 程或守护进程;4向安装有客户进程的主控端主机发出命令, 由它们来控制代理主机上的守护进程进行协同 入侵。DDoS攻击的网络结构 攻击端:攻击者在此操纵攻击过程 主控端客户进程:被攻击者控制的主机,并运行了DDoS主控端程序。 代理端守护进程:响应主控端攻击命令,向攻击目标发送拒绝服务攻击数据包。DDoS所利用的协议漏洞1)利用 IP源路由信息的攻击由于 TCP/ IP体系中对 IP数据包的源地址不进 行验证,
13、所以攻击者可以控制其众多代理端用 捏造的IP地址发出攻击报文,并指明到达目标 站点的传送路由,产生数据包溢出。 2)利用 RIP协议的攻击 RIP是应用最广泛的路由协议,采用 RIP的路 由器会定时广播本地路由表到邻接的路由器, 以刷新路由信息。通常站点接收到新路由时直 接采纳,这使攻击者有机可乘。 DDoS所利用的协议漏洞(续).3)利用 ICMP的攻击绝大多数监视工具不显示ICMP包的数据部分 ,或不解析ICMP类型字段,所以 ICMP数据包 往往能直接通过防火墙。例如,从攻击软件 TFN (Tribe flood network)客户端到守护程序端 的通讯可直接通过 ICMP- ECHO
14、REPLY (Type0 )数 据包完成。可直接用于发起攻击的 ICMP报文还有: ICMP重定向报文 ( Type5 )、ICMP目的站点不可 达报文 ( Type3 )、数据包超时报文 ( Type11)。 DDoS攻击的五种常用方式至今为止,攻击者最常使用的分布式拒绝 服务攻击程序主要包括 4种:Trinoo、TFN、 TFN2K和Stacheldraht。1) Trinoo(Tribe Flood Network)攻击Trinoo是一种用UDP包进行攻击的工具软件 。与针对某特定端口的一般UDP flood攻击相比 ,Trinoo攻击随机指向目标端的各个UDP端口 ,产生大量ICMP不
15、可到达报文,严重增加目 标主机负担并占用带宽,使对目标主机的正常 访问无法进行。DDoS攻击的五种常用方式2)TFN攻击TFN是利用ICMP给主控端或分布端下命 令 ,其来源可以做假。它可以发动SYN flood 、UDP flood 、ICMP flood及Smurf(利 用多台服务器发出海量数据包,实施 DoS攻击 )等攻击。3)TFN2K攻击 TFN2K是TFN的增强版,它增加了许多 新功能: DDoS攻击的五种常用方式a.单向的对Master的控制通道,Master无 法发现Attacker地址。b.针对脆弱路由器的攻击手段。c.更强的加密功能,基于Base64编码,AES 加密。d.
16、随机选择目的端口。 4)Stacheldraht攻击Stacheldraht结合了Trinoo和TFN的特点, DDoS攻击的五种常用方式并且它将attacker和master间的通信加密,增加 了master端的自动更新功能,即能够自动更新 daemon主机列表。 5) SHAFT是一种独立发展起来的DDoS攻击方法, 独特之处在于:首先,在攻击过程中,受控主机之间可以交 换对分布端的控制和端口,这使得入侵检测工 具难以奏效。其次,SHAFT采用了“ticket”机制进行攻击,使 其攻击命令有一定秘密性。第三,SHAFT采用了独特的包统计方法使其攻 击得以顺利完成。 DDoS攻击新技术反弹技术b反弹技术就是利用反弹服务器实现攻击 的技术。b所谓反弹服务器(Reflector)是指当收 到一个请求数据报后就会产生一个回应 数据报的主机。例如,所有的Web服务 器、DNS服务器和路由服务器都是反弹 服务器。攻击者可以利用这些回应的数 据报对目标机器发动DDoS攻击。反弹技术原理b反弹服务器攻击过程和传统的DDoS攻击 过程相似,如前
