《常见攻击与防范——蘑菇课堂》由会员分享,可在线阅读,更多相关《常见攻击与防范——蘑菇课堂(32页珍藏版)》请在金锄头文库上搜索。
1、黑客攻击类型,非法访问; 窃取和重放攻击; 拒绝服务; 恶意代码。,非法访问,非法访问 对开放资源的越权操作; 对内部网络资源的非法访问。,利用应用程序或操作系统漏洞成为开放资源的超级用户; 非法接入内部网络,或者成为内部网络授权用户,或者利用应用程序或操作系统漏洞成为开放资源的超级用户 。,利用系统漏洞越权操作,利用操作系统和应用程序漏洞非法提升访问权限; 对系统资源越权操作。,窃取和中继攻击,窃取是非法获得信息副本,但不影响信息正常传输; 截获是不仅非法获得信息,且终止或改变信息传输过程; 中继(也称重放)攻击是先截获信息,延迟一段时间后,重新继续信息传输过程。,通过集线器窃取流经关键网段
2、信息,集线器的广播功能使黑客终端窃取流经两个交换机间链路的全部信息。,通过ARP欺骗截获信息,黑客终端通过错误绑定IP A和MAC C,截获原本发送给用户A的信息。,通过篡改路由表截获信息,黑客终端通过发布假的路由消息,截获终端A传输给终端B的全部IP分组,DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击),通过消耗掉主机资源和网络带宽资源使主机或网络无法正常提供服务的攻击手段。 实际上让服务器实现两种效果: 一、迫使服务器的缓冲区满,不接收新的请求; 二、使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。,常见Do
3、S攻击,1SYN 洪水 ( SYN flood ) 2IP 欺骗 DoS 3死亡之 ping (Ping of Death ) 4泪滴( TearDrop) 攻击 5UDP flood攻击 6Land (Land Attack)攻击 7Smurf攻击,DoS与DDoS攻击原理,SYN Flood:是一种利用TCP协议缺陷,通过三次握手发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。,(1) 攻击者向被攻击服务器发送一个包含SYN(Synchronize)同步报文标志的TCP报文,同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时与被攻击服务器建立
4、了第一次握手。 (2) 受害服务器在收到攻击者的SYN报文后,将返回一个SYN+ACK的报文,表示攻击者的请求被接受,同时TCP序号被加一,ACK(Acknowledgment)即确认,这样就同被攻击服务器建立了第二次握手。 (3) 攻击者也返回一个确认报文ACK给受害服务器,同样TCP序列号被加一,到此一个TCP连接完成,三次握手完成。,DoS与DDoS攻击原理,DDoS攻击,拒绝服务攻击的防护,不同的角色有不同的任务: 企业网管理员 SP、ICP管理员 骨干网络运营商 企业网管理员,SYN Flood攻击的防御方法,1主机上的设置 几乎所有的主机平台都有抵御DoS的设置,总结一下,基本的有
5、几种: (1) 关闭不必要的服务 (2) 限制同时打开的Syn半连接数目 (3) 缩短Syn半连接的time out 时间 (4) 及时更新系统补丁和安装防火墙软件,SYN Flood攻击的防御方法,Windows Server 2003下具体实现方法如下: 首先运行“regedit.exe”进入注册表,在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters做以下更改(所涉及的值全为十六进制): 1、 启用SYN攻击保护 新建一个名为SynAttackProtect的数值,数值类型为REG_DWORD。将值设置为:1。
6、 该参数可使 TCP 调整 SYN-ACKS 的重新传输,当SynAttackProtect默认值为0(即不采取任何保护措施), 设置为1时, 可更有效地抵御 SYN 攻击此时,如果系统检测到存在 SYN 攻击,连接响应的超时时间将更短。,SYN Flood攻击的防御方法,2、设置SYN保护阀值 1) 新建一个名为TcpMaxPortsExhausted的数值,数值类型为REG_DWORD ,将值设为5。 该参数指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数的阈值,有效值为 0 65535。 2) 新建一个名为TCPMaxHalfOpen的数值,数值类型为 REG_DWORD
7、,将值设为500。 TCPMaxHalfOpen的数值有效值为100 65535,在启用 SynAttackProtect 后,该值指定处于 SYN_RCVD 状态的 TCP 连接数的阈值。在超过 SynAttackProtect 后,将触发 SYN 洪水攻击保护。 3) 新建一个名为TCPMaxHalfOpenRetried的数值,数值类型为REG_DWORD ,将值设为400。 TCPMaxHalfOpenRetried数值有效值为 80 65535,在启用 SynAttackProtect 后,该值指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值。在超过 S
8、ynAttackProtect 后,将触发 SYN 洪水攻击保护。,SYN Flood攻击的防御方法,3、其它参数设置 1) 新建一个名为EnableDeadGWDetect的数值,数值类型为REG_DWORD ,将值设为0 (即False状态) EnableDeadGWDetect数值有效值为:0或1(即False或True)。当值为1时,将允许 TCP 执行失效网关检测,启用失效网关检测时,如果多个连接出现困难,TCP 可能会要求 Internet 协议 (IP) 切换到备份网关,攻击者可以利用此状态可能会强制服务器切换网关,而切换到的新网关可能并不是您打算使用的网关。所以将值设为0可以避
9、免上述现象的发生。 2) 新建一个名为EnablePMTUDiscovery的数值,数值类型为REG_DWORD ,将值设为0 (即False状态)。,EnablePMTUDiscovery的有效值为:0或1(即False或True)。设置为 1 时,TCP 将尝试发现经由远程主机的路径传输的最大传输单位 (MTU) 或最大数据包大小。通过发现路径的 MTU 并将 TCP 段限制到这一大小,TCP 可以沿着连接具有不同 MTU 的网络的路径删除路由器上的碎片,消除碎片对网络带来的负担。但是,同时攻击者也可以利用强制将 MTU 值设置非常小来的办法,使得堆栈的负荷过大。设置为0是比较好选择。实际
10、上,这样的设置是用降低TCP/IP 性能和吞吐量来换取堆栈的安全。,SYN Flood攻击的防御方法,3) 建一个名为KeepAliveTime的数值,数值类型为REG_DWORD ,默认值:7,200,000(两个小时),将值设为300,000。 KeepAliveTime的有效范围1-0xFFFFFFFF(单位为毫秒)。该值控制 TCP 通过发送“保持活动”的数据包来验证空闲连接仍然完好无损的频率。如果仍能连接到远程计算机,该计算机就会对“保持活动”的数据包作出应答。默认情况下,不发送“保持活动”的数据包。这里我们将其设置为300,000(即5分钟)。,SYN Flood攻击的防御方法,4
11、) 建一个名为NoNameReleaseOnDemand 的数值,数值类型为REG_DWORD ,默认值:0,将值设为1。 NoNameReleaseOnDemand有效值为0或1(即False或True)。该值确定计算机在收到名称释放请求时是否释放其 NetBIOS 名称。添加该值的目的是让服务器能够保护计算机免受恶意的名称释放攻击,如果有其它防护产品的保护功能,可以忽略此项。以上数值汇总如表1所示。 上述数值除逻辑判断外,其余各值需要根据网络使用的实际状况进行测试和调整,可以在推荐值基础上的倍数修改。设置值过小可能导致正常连接用户被忽略,影响网络正常工作。修改注册表之前,请做好注册表的备份
12、。,SYN Flood攻击的防御方法,2网络设备上的设置 企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防DoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对你来说是否值得。 (1) 防火墙 禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问,SYN Flood攻击的防御方法,(2) 路由器 以Cisco路由器为例 Cisco Express Forwarding(CEF) 使用 unicast reverse-path 访问控制列表(ACL)过滤 设置
13、SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server,SYN Flood攻击的防御方法,Smurf攻击,黑客终端利用定向广播的放大效能,将几个以被攻击终端IP地址为源地址的ICMP ECHO请求报文放大为成千上万个以被攻击终端IP地址为目的地址的ICMP ECHO响应报文。,恶意代码,独立程序或是寄生于某个程序中; 自动复制(传染)或是不能传染。,病毒传播过程,通过移动介质传播; 通过Web站点传播; 通过电子邮件传播; 自动传播(蠕虫特征)。,2.2 黑客攻击过程,黑客攻击过程分为三步: 收集信息; 侦察; 攻击。,2.3 黑客攻击实例,由于内部网络中存在无线局域网,
14、除非采用802.11i,黑客非法接入这样的内部网络易如反掌。,网络结构,非法接入过程,接入无线局域网需要: 获得SSID; 通过身份认证。,获得SSID,黑客终端通过侦听合法终端和AP交换的信息,获得SSID。,通过共享密钥认证,两端一次性密钥K取决于明文IV。 Y=PK,很容易根据Y和P推出K= PY= P PK=K。 IV不变,AP根据IV推出的一次性密钥K不变,如果Y=P K,AP认定黑客终端拥有共享密钥GK。,展开拒绝服务攻击,黑客终端利用LAN1的放大功能,用单个ICMP ECHO请求报文,产生大量以Web服务器为目的终端的ICMP ECHO响应报文。,非法访问内部网络资源,利用Web服务器的漏洞获取可执行脚本; 利用缓冲器溢出提升访问权限。,
