收藏
下载资源

讲座-网络入侵与攻击(1)

上传人:cl****1 文档编号:570008730 上传时间:2024-08-01 格式:PPT 页数:84 大小:1.02MB
返回 下载 相关 举报
讲座-网络入侵与攻击(1)_第1页
第1页 / 共84页
讲座-网络入侵与攻击(1)_第2页
第2页 / 共84页
讲座-网络入侵与攻击(1)_第3页
第3页 / 共84页
讲座-网络入侵与攻击(1)_第4页
第4页 / 共84页
讲座-网络入侵与攻击(1)_第5页
第5页 / 共84页
点击查看更多>>
资源描述

《讲座-网络入侵与攻击(1)》由会员分享,可在线阅读,更多相关《讲座-网络入侵与攻击(1)(84页珍藏版)》请在金锄头文库上搜索。

1、网络入侵与攻击高文宇网络的脆弱性“INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接”开放性的网络环境协议本身的缺陷操作系统的漏洞人为因素Internet的困境一般说来,可以对于信息系统一般说来,可以对于信息系统入侵和攻击手段有下面一些:入侵和攻击手段有下面一些:(1)恶意代码攻击)恶意代码攻击病毒病毒特洛伊木马特洛伊木马蠕虫蠕虫细菌细菌陷门陷门逻辑炸弹等逻辑炸弹等(2)消息收集攻击)消息收集攻击(3)代码漏洞攻击)代码漏洞攻击(4)欺骗和会话劫持攻击)欺骗和会话劫持攻击(5)分布式攻击)分布式攻击(6)其他攻击)其他攻击1 计算机病毒

2、计算机病毒1.1 计算机病毒的特征计算机病毒的特征1. 非授权执行性2. 感染性3. 潜伏性与隐蔽性4. 寄生性6. 破坏性占用或消耗CPU资源以及内存空间干扰系统运行攻击CMOS攻击系统数据区攻击文件干扰外部设备运行破坏网络系统的正常运行5. 可触发性日期/时间触发计数器触发键盘触发启动触发感染触发组合条件触发1.2 计算机病毒分类计算机病毒分类1. 按照所攻击的操作系统分类DOS病毒UNIX/Linux病毒Windows病毒OS/2病毒Macintosh病毒手机病毒。2. 按照寄生方式和传染途径分类(1)引导型病毒 主引导区(master boot record,MBR)病毒 引导区(bo

3、ot record,BR)病毒(2)文件型病毒 可执行文件 文档文件或数据文件 Web文档按照驻留内存的方式,文件型病毒可以分为: 驻留(Resident)病毒 非驻留(Nonrresident)病毒(3)目录型病毒(4)引导兼文件型病毒(5)CMOS病毒3. 按照传播媒介分类(1)单机病毒(2)网络病毒4. 按照计算机病毒的链接方式分类(1)源码型病毒(2)嵌入型病毒(3)外壳(shell)型病毒(4)译码型病毒(5)操作系统型病毒5. 按照破坏能力分类(1)无害型(2)无危险型(3)危险型(4)非常危险型1.3 计算机病毒的基本机制计算机病毒的基本机制1. 潜伏(1)引导 引导过程由三步组

4、成: 驻留内存 窃取控制权 恢复系统功能(2)隐藏(3)捕捉(也称搜索)2. 传染 传染机制的作用是在特定的感染条件下,将病毒代码复制到传染目标上去。所以这个机制由激活传染条件的判断部分和传染功能的实施部分实现。3. 表现 表现机制的作用是在被传染系统上表现出特定现象,主要是产生破坏被传染系统的行为。大部分病毒都是在一定条件下才会被触发而发作表现。1.4 典型计算机病毒分析典型计算机病毒分析 (1)DOS引导型病毒分析DOS引导型病毒是隐藏在磁盘主引导扇区(boot sector)的病毒。主引导扇区位于硬盘的0柱面0磁道1扇区,其结构如图4.2所示,用于存放主引导记录(main boot re

5、cord,MBR)、硬盘主分区表(Disk Partition Table, DPT)和引导扇区标记(boot record ID)。保留分区信息1(16字节)分区信息2(16字节)分区信息3(16字节)分区信息4(16字节)55(1字节)AA(1字节)008A01BD01BE01CD01CE01DD01DE01ED01EE01FD01FE主分区表DPT引导扇区标记主引导记录MBR(446字节)启动字符串主引导记录启动程序0000008B00D900DAD01FF(2)DOS的自举过程系统加电或复位系统自检磁盘驱动器中有磁盘读主引导程序到0000:7C00H,并执行读IO.SYS和MSDOS.

6、SYS到内存70:00处成功?系统初始化读COMMAND.COM到内存自举完成显示“非系统盘”提示“插入磁盘” 将本来要读入到0000:7C00H处的硬盘主引导程序转移到0000:0600H处。 顺序读入4个分区表的自举标志,以找出自举分区:若找不到,就转向执行INT 18H的BOOT异常,执行异常中断程序。 找到自举分区后,检测该分区标志:如果是32位/16位FAT并支持13号中断的扩展功能,就转向执行13#中断的41#功能调用,进行安装检测。检测成功,就执行42号扩展功能调用,把BOOT程序读入内存0000:7c00H处。读入成功,就执行0000:7c00H处的程序;读入失败,就调用13号

7、中断的读扇区功能,把BOOT程序读入内存0000:7c00H处。(3)引导型病毒的传染过程系统加电或复位进入ROM-BIOS读引导至0000:7C00H并执行自举完成系统复位读COMMAND.COM到内存系统加电或复位bb引导至0000:7C00H,并执行自举完成系统复位读COMMAND.COM到内存引导区病毒并执行病毒程序修改中断向量复制病毒/感染磁盘引导型病毒的感染过程:装入内存+攻击装入过程1 系统开机后,进入系统检测,检测正常后,从0面0道1扇区,即逻辑0扇区读取信息到内存的00007C00处:2 系统开始运行病毒引导部分,将病毒的其他部分读入到内存的某一安全区3 病毒修改INT 13

8、H中断服务处理程序的入口地址,使之指向病毒控制模块并执行。4 病毒程序全部读入后,接着读入正常boot内容到内存0000:7C00H处,进行正常的启动过程。5 病毒程序伺机等待随时感染新的系统盘或非系统盘。攻击过程1 将目标盘的引导扇区读入内存,判断它是否感染了病毒。2 满足感染条件时,将病毒的全部或一部分写入boot区,把正常的磁盘引导区程序写入磁盘特定位置。3 返回正常的INT 13H中断服务处理程序,完成对目标盘的传染过程。2. COM文件型病毒分析 COM型文件是如何执行的; COM型病毒是如何寄生在COM型文件之中的; COM型文件病毒是如何执行的。(1)COM文件的加载与内存结构C

9、OM文件是一种单段执行结构,它被分配在一个64k字节的空间中。这个空间中存放COM文件程序段前缀(program segment prefix,PSP)一个起始堆栈。为了运行COM文件,要还要为它设置多个内部寄存器的初值使4个段寄存器CS、ES、PS、SS均指向PSP+0h;使指令寄存器IP指向PSP+100hCOM文件的第1条指令处。CS=DS=ES=BS中断向量表DOS常驻区程序段前缀PSPCOM文件映像堆栈区程序剩余空间DOS暂驻区0000H40:0HIP:0100HSP:FFFEHRAM最高端最大64k字节生长方向通信区70:0H未初始化数据(2)COM型文件病毒机制 病毒取得控制权的

10、时机 一般说来,当由DOS用Jump指令跳到COM程序的起点时,是一个比较合适的时机。因为这时COM程序还没有执行,病毒的运行也不会干扰宿主程序的运行,便于病毒自己的隐蔽和安全。同时,系统为COM程序分配的内存空间还空闲着,病毒可以自由地使用这些空间。 病毒取得控制权的方法 把被感染的COM文件的最开始(100H偏移处)几个字节,换成跳转到病毒代码的Jump指令; 用Jump指令将流程转到病毒代码,完成感染和破坏过程; 病毒代码执行结束,要先恢复被替换的几个字节,再跳回到100H偏移处,执行宿主程序。(3)已感染病毒的COM型程序的执行大致过程 被感染的COM文件被加载到内存。 系统将控制权交

11、到100H偏移处。 执行100H偏移处的跳转指令,开始执行病毒代码。 内存中的病毒代码开始搜索磁盘,寻找合适的感染目标。 找到合适的感染目标,将病毒自身复制到目标的尾部;将该目标COM文件最开始几个字节读到内存,保存到病毒码所在的某数据区;写一条转向该文件尾部的病毒代码的Jump指令,以便该COM文件被执行时通过它会把控制权交给病毒代码。 病毒把COM文件的最初几个字节写回到原来的100H偏移处; 病毒代码执行一条跳转到100H偏移处的Jump指令,开始执行宿主程序。1.5 计算机病毒防治计算机病毒防治查防杀复1. 计算机病毒的预防(1)对新购置的计算机硬软件系统进行测试。(2)单台计算机系统

12、的安全使用(3)计算机网络的安全使用(4)重要数据文件要有备份)重要数据文件要有备份(5)强化安全管理(6)防范体系与规范建设 2. 计算机病毒检测(1)现象观测法(2)进程监视法(3)比较法(4)特征代码法(5)软件模拟法(6)分析法3. 计算机病毒的清除(1)引导型病毒的清除(2)文件型病毒的清除(3)宏病毒的清除4. 病毒防治软件(1)病毒防治软件的类型病毒扫描型软件:。完整性检查型软件:完行为封锁型软件:(2)病毒防治软件的选择指标 识别率 误报(false positive)率 漏报(false negative)率 检测速度 动态检测(on-the-fly scanning)能力

13、按需检测(on-demand scanning)能力 多平台可用性 可靠性(3)病毒防治软件产品 国外防病毒产品及查询网站 国外防病毒产品及查询网站5. 计算机病毒侵害系统的恢复(1)首先必须对系统破坏程度有详细而全面的了解,并根据破坏的程度来决定采用对应的有效清除方法和对策:(2)修复前,尽可能再次备份重要数据文件。(3)启动防杀计算机病毒软件并对整个硬盘进行扫描。(4)利用防杀计算机病毒软件清除文件中的计算机病毒。如果可执行文件中的计算机病毒不能被清除,应将其删除后重新安装相应的应用程序。(5)杀毒完成后,重启计算机,再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒,并确定被感染破坏

14、的数据确实被完全恢复。(6)对于杀毒软件无法杀除的计算机病毒,应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心,以供详细分析。2 蠕虫蠕虫2.1 蠕虫的特征及其传播过程蠕虫的特征及其传播过程 1. 蠕虫的特征(1)存在的独立性(2)攻击的对象是计算机(计算机病毒的攻击对象是文件系统)(3)传染的反复性(与病毒相同)。但是,病毒与蠕虫的传染机制有三点不同: 病毒传染是一个将病毒代码嵌入到宿主程序的过程,而蠕虫的传染是自身的拷贝; 病毒的传染目标针对本地程序(文件),而蠕虫是针对网络上的其他计算机; 病毒是在宿主程序运行时被触发进行传染,而蠕虫是通过系统漏洞进行传染。(4)攻击的主动性(5)

15、破坏的严重性(6)行踪的隐蔽性 2. 蠕虫传播的基本过程2.2 蠕虫的重要机制和功能结构蠕虫的重要机制和功能结构1. 蠕虫的扫描机制扫描策略改进的原则是,尽量减少重复的扫描,使扫描发送的数据包尽量少,并保证扫描覆盖尽量大的范围。按照这一原则,可以有如下一些策略:(1)在网段的选择上,可以主要对当前主机所在网段进行扫描,对外网段随机选择几个小的IP地址段进行扫描。(2)对扫描次数进行限制。(3)将扫描分布在不同的时间段进行,不集中在某一时间内。(4)针对不同的漏洞设计不同的探测包,提高扫描效率。2. 蠕虫的隐藏手法(1)修改蠕虫在系统中的进程号和进程名称,掩盖蠕虫启动的时间记录。(2)将蠕虫拷贝

16、到一个目录下,并更换文件名为已经运行的服务名称,使任务管理器不能终止蠕虫运行。这时要参考ADV API32.DLL中的OpnSCManagerA和CreateServiceA.API函数。(3)删除自己: 在Windows95系统中,可以采用DeleteFile API函数。 在Windows 98/NT/2000中,只能在系统下次启动时删除自己。3. 蠕虫程序的功能结构(1)传播模块传播模块由扫描子模块、攻击子模块和复制子模块组成。 扫描模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就会得到一个可传播的对象。 攻击模块按照漏洞攻击步骤自动攻击已经找到的

17、攻击对象,获得一个shell。获得一个shell,就拥有了对整个系统的控制权。对Win 2x来说,就是cmd.exe。 复制模块通过原主机和新主机的交互,将蠕虫程序复制到新主机并启动,实际上是一个文件传输过程。(2)隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。 (3)目的模块:实现对计算机的控制、监视或破坏等功能。 2.3 蠕虫举例蠕虫举例1. I_WORM.Blebla.B网络蠕虫 2. I_WORM/EMANUEL网络蠕虫3. I-Worm.Magistr网络蠕虫4. SQL蠕虫王5. 震荡波3 特洛伊木马特洛伊木马3.1 特洛伊木马及其类型特洛伊木马及其类型古希腊诗人荷马(Hom

18、er)在其史诗依利雅得(The Iliad)中,描述了一个故事:希腊王的王妃海伦被特洛伊(Troy)的王子掠走,希腊王在攻打Troy城时,使用了木马计(the stratagem of Trojan horse),在巨大的木马内装满了士兵,然后假装撤退,把木马留下。特洛伊人把木马当作战利品拉回特洛伊城内。到了夜间,木马内的士兵,钻出来作为内应,打开城门。希腊王得以攻下特洛伊城。此后,人们就把特洛伊木马(Trojan horse)作为伪装的内部颠覆者的代名词。基于动作的木马程序类型(1)远程控制型 远程控制就是在计算机间通过某种协议(如TCP/IP协议)建立起一个数据通道。通道的一端发送命令,另

19、一端解释并执行该命令,并通过该通道返回信息。(2)信息窃取型 这种木马一般不需要客户端,运行时不会监听端口,只悄悄地在后台运行,一边收集敏感信息,一边不断检测系统的状态。一旦发现系统已经连接到Internet上,就在受害者不知情的情形下将收集的信息通过一些常用的传输方式(如电子邮件、ICQ、FTP)把它们发送到指定的地方。(3)键盘记录型 键盘记录型木马只做一件事情,就是记录受害者的键盘敲击,并完整地记录在LOG文件中。(4)毁坏型 毁坏型木马以毁坏并删除文件(如受害者计算机上的.dll、.ini或.exe)为主要目的。3.2 特洛伊木马的特征特洛伊木马的特征(1)非授权性与自动运行性。一旦控

20、制端与服务端建立连接后,控制端将窃取用户密码,获取大部分操作权限,如修改文件、修改注册表、重启或关闭服务端操作系统、断开网络连接、控制服务端鼠标和键盘、监视服务端桌面操作、查看服务端进程等。这些权限不是用户授权的,而是木马自己窃取的。(2)隐藏性和欺骗性。隐藏是一切恶意代码的存在之本。而木马为了获得非授权的服务,还要通过欺骗进行隐藏。(3)可预置性。木马程序可以在系统软件和应用软件的文件传播中被人置入,也可以在系统或软件设计是被故意放置进来。例如微软曾在其操作系统设计时故意放置了一个木马程序,可以将客户的相关信息发回到其总部。(4)非自繁殖性与非自动感染性。一般说来,病毒具有极强的传染性,而木

21、马虽然可以传播,当本身不具备繁殖性和自动感染的功能。3.3 特洛伊木马的传播形式特洛伊木马的传播形式(1)手工放置:手工放置比较简单,是最常见的做法。手工放置分本地放置和远程放置两种。本地安装就是直接在计算机上进行安装。远程安装就是通过常规攻击手段使获得目标主机的上传权限后,将木马上传到目标计算机上,然后通过其他方法使木马程序运行起来。(2)以邮件附件的形式传播:控制端将木马改头换面后,然后将木马程序添加到附件中,发送给收件人。(3)通过OICQ对话,利用文件传送功能发送伪装了的木马程序。(4)将木马程序捆绑在软件安装程序上,通过提供软件下载的网站(Web/FTP/BBS)传播。(5)通过病毒

22、或蠕虫程序传播。(6)通过磁盘或光盘传播。3.4 特洛伊木马的基本技术特洛伊木马的基本技术1. 木马的隐藏与欺骗技术(1)进程隐蔽(2)伪装成图像文件。即将木马图标修改成图像文件图标。(3)伪装成应用程序扩展组件。(4)错觉欺骗。利用人的错觉,例如故意混淆文件名中的1(数字)与l(L的小写)、0(数字)与o(字母)或O(字母)。(5)合并程序欺骗。2. 程序的自加载运行技术3. 木马程序建立连接的隐藏技术 木马程序的数据传递方法有很多种,通常是靠TCP、UDP传输数据。4. 发送数据的组织方法为了避免被发现,木马程序必须很好地控制数据传输量,例如把屏幕画面切分为了多个部分,并将画面存储为JPG

23、格式,使压缩率变高,使数据变得十分小,甚至在屏幕没有改变的情况下,传送的数据量为0。4 陷门陷门4.1 陷门及其特特征陷门及其特特征陷门(trap doors)也称“后门”, 是一种利用系统脆弱性进行重复攻击的技术,通常是一段非法的操作系统程序,通过它可以在一个程序模块中留下未被登记的秘密入口,使用户可以不按正常的访问步骤获得访问权。陷门一般有如下一些技术或功能特征:(1)陷门通常寄生于某些程序(有宿主),但无自我复制功能。(2)它们可以在系统管理员采取了增强系统安全措施(如改变所有密码)的情况下,照样进入系统。(3)它们可以使攻击者以最短的时间再次进入系统,而不是重新挖掘漏洞。(4)许多陷门

24、可以饶过注册直接进入系统或者帮助攻击者隐藏其在系统中一举一动。(5)陷门可以把再次入侵被发现的可能性降至最低。4.2 常见陷门举例常见陷门举例1. 账号与注册陷门(1)Login 陷门 (2)密码破解陷门(3)超级账号陷门 (4)rhosts+陷门2网络通信陷门(1)TCP Shell陷门(2)UDP Shell陷门(3)ICMF Shell 陷门3. 隐匿陷门(1)隐匿进程陷门(2)文件系统陷门(3)共享库陷门(4)Cronjob 陷门(5)内核陷门(6) Boot块陷门5 电子欺骗攻击电子欺骗攻击电子欺骗(spoofing)就是在两台建立了信任关系的计算机之间,冒充其中一台,对另一台进行欺

25、骗性连接,而后对其发起攻击。 5.1 IP欺骗欺骗IP欺骗就是伪造别的机器的IP地址用于欺骗第三者。 假定有两台主机S(设IP地址为201.15.192.01)和T(设IP地址为201.15.192.02),并且它们之间已经建立了信任关系。入侵者X要对T进行IP欺骗攻击,就可以假冒S与T进行通信。 IP欺骗的过程 确认攻击目标使要冒充的主机无法响应目标主机会话猜测序列号冒充受信主机连接到目标主机实施会话攻击用猜测到的序列号回应目标主机说 明 (1)(1)确认攻击目标 施行IP欺骗的第一步是确认攻击目标。下面是容易受到电子欺骗攻击的服务类型: 运行Sun RPC(Sun Remote Proce

26、dure Call,Sun远程过程调用)的网络设备; 基于IP地址认证的任何网络服务; 提供R系列服务的机器,如提供rlogin、rsh、rcp等服务的机器。 其他没有这类服务的系统所受到的IP欺骗攻击虽然有,但要少得多。(2)使计划要冒充的主机无法响应目标主机的会话说 明 (2)(2)使计划要冒充的主机无法响应目标主机的会话。基本方法是对S实施拒绝服务攻击。(3)精确地猜测来自目标请求的正确序列数方法是根据TCP序列号的编排规律:初始的TCP序列号是由tcp_init函数确定的,是一个随机数,并且它每秒钟增加128 000。这表明,在没有连接的情况下,TCP的序列号每9.32小时会复位一次。

27、而有连接时,每次连接把TCP序列号增加64 000。随机的初始序列号的产生也是有一定规律的。在Berkeley系统中,初始序列号由一个常量每秒钟加1产生。同时,攻击者还需要估计他的服务器与可信服务器之间的往返时间(RTT)。RTT一般是通过多次统计平均计算出来的。在没有连接的情况下,TCP序列号为128 000*RTT;如果目标服务器刚刚建立过一个连接,就还要加上64 000。2. IP欺骗的防范(1)放弃基于IP地址的信任策略(2)使用随机化的初始序列号(3)在路由器中加上一些附加条件(4)配置服务器,降低IP欺骗的可能(5)使用防火墙和其他抗IP欺骗的产品。5.2 TCP会话劫持会话劫持基

28、于网络通信中的如下规律进行的:(1)以太网使用广播方式进行通信,在同一网段中,每一太监听设备都可以接收到其他站点发送的分组。(2)在以太网中,主之间进行通信,并不检测MAC地址,因此主机不能发现连接中的MAC地址改变。(3)在TCP连接中,只是刚开始连接时进行一次IP地址的验证,在连接过程中TCP应用程序只跟踪序列号,而不进行IP地址验证。因此,一旦同一网段上的入侵者获悉目标主机的序列号规律,就可以假冒该目标主机的受信机与该目标主机进行通信,把原来目标主机与其受信机之间的会话劫持过去。5.3 ARP欺骗欺骗ARP(Address Resolution Protocol,地址解析协议)一种将32

29、位IP地址转化成48位MAC地址的协议。其工作过程是:当某台主机要发送或转发来自网络层的数据时,首先要广播一个ARP请求,询问哪台主机拥有这个IP地址。而该IP地址的拥有者则用含有该IP地址和相应MAC地址的帧进行应答。这样,发送者就会将之存入自己的高速缓存,并根据这种对应关系发送数据。但是,ARP的特点是无状态,即在没有请求时也可以发送应答的包。入侵者可以利用这一点,向网络上发送自己定制的包,包中包括源IP地址、目的IP地址以及硬件地址,不过它们都是伪造的。这些伪造的数据,会修改网络上主机中的ARP高速缓存。ARP欺骗过程B(入侵者)AC201.15.192.01AA:AA 201.15.1

30、92.03是BB:BB201.15.192.02BB:BB201.15.192.03CC:CC 201.15.192.01是DD:DD 发送数据报文到5.4 DNS欺骗欺骗DNS工作原理B(DNS服务器)AC201.15.192.01 请求的IP地址201.15.192.02 结果(201.15.192.03) (201.15.192.03) 向其他DNS请求其他DNS服务器 结果(201.15.192.03) 向C发出连接请求2. DNS欺骗原理DNS有两个重要特性:DNS对于自己无法解析的域名,会自动向其他DNS服务器查询。为提高效率,DNS会将所有已经查询到的结果存入缓存(Cache)。

31、 正是这两个特点,使得DNS欺骗(DNS Spoofing)成为可能。实施DNS欺骗的基本思路是:让DNS服务器的缓存中存有错误的IP地址,即在DNS缓存中放一个伪造的缓存记录。为此,攻击者需要做两件事:先伪造一个用户的DNS请求。再伪造一个查询应答。实施DNS欺骗的基本思路是:3. DNS欺骗原理1 入侵者先向B(DNS服务器)提交查询的IP地址的请求。2 B向外递交查询请求。3 入侵者立即伪造一个应答包,告诉的IP地址是201.15.192.04(往往是入侵者的IP地址)。4 查询应答被B(DNS服务器)记录到缓存中。5 当A向B提交查询的IP地址请求时,B将201.15.192.04告诉

32、A。5.5 Web欺骗欺骗(1)基本的网站欺骗由于目前注册一个域名没有任何要求,利用这一点,攻击者会抢先或特别设计注册一个有欺骗性的站点。当有用户浏览了这个假冒地址并与之进行了了一些信息交流(如填写了一些表单)后,站点会给出一些响应的提示和回答,同时记录下用户的信息,并给这个用户一个cookie,以便能随时跟踪这个用户。典型的例子是假冒金融机构偷盗客户的信用卡信息。(2)URL重写通过在URL重写,攻击者能够把网络流量转到攻击者控制的一个站点上。具体办法是攻击者将自已的Web地址加在所有URL地址的前面。这样,当用户与站点进行安全链接时,就会毫不防备地进入攻击者的服务器,于是用户所有信息便处于

33、攻击者的监视之中。Web欺骗的技巧(1)表单欺骗(2)设计攻击的导火索把错误的Web链接到一个热门Web站点上;如果受攻击者使用基于Web的邮件,可以将它指向错误的Web;创建错误的Web索引,指示给搜索引擎。(3)完善攻击(4)状态信息当鼠标放置在Web链接上时,连接状态显示链接所指的URL地址;当Web连接成功时,连接状态将显示所连接的服务器名称。6 信息获取攻击信息获取攻击(1)踩点(footprinting)标机的类型、IP地址、所在网络的类型;操作系统的类型、版本;系统管理人员的名字、邮件地址;。(2)扫描(scanning) 所谓扫描,是在踩点获得的信息的基础上,进一步发现漏洞,获

34、取目标系统的可攻击点。扫描包含了非破坏性原则,即不对网络造成任何破坏。在实施策略上可以采用被动式和主动式两种策略。(3)查点(enumeration)。 6.1 口令攻击口令攻击 1. 口令破解的基本技术(1)口令字典猜测破解法(2)穷举破解法(3)组合破解法(4)其他破解类型社会工程学:通过对目标系统的人员进行游说、欺骗、利诱,获得口令或部分。偷窥:观察别人敲口令。搜索垃圾箱。6.2 Sniffer(1)在共享网络中的嗅觉器MAC地址类型产生中断,通知CPU接收数据包查看数据包MA地址C本地接口地址或广播地址其他硬件地址接口配置模式不处理,丢弃混杂模式非混杂模式(2)交换式网络上的Sniff

35、er交换式网络不是共享网络,交换式设备可以准确地将数据报文发给目的主机。这时,Sniffer攻击的一个简单的方法,就是将安装有Sniffer软件的计算机伪装成为网关。由于一个局域网上发往其他网络的数据帧的目标地址都是指向网关的,Sniffer就能嗅到本地网中的数据。6.3 扫描器扫描器1. 扫描策略(1)被动式扫描策略基于主机的扫描技术,主要涉及系统的内核、文件的属性、操作系统的补丁等,能把一些简单的口令解密和剔除,能非常准确地定位系统存在的问题,发现漏洞。基于目标的扫描技术,其基本原理是基于消息加密算法和哈希函数,因此输入有一点变化,输出就会发生很大变化。可以感知文件和数据流的细微变化,通常

36、用于检测系统属性和文件属性,如数据库、注册号等。基于应用的扫描技术,这种技术主要用于检查应用软件包的设置和安全漏洞。(2)主动式扫描策略主动式扫描策略是基于网络的扫描技术,主要通过一些脚本文件对系统进行攻击,记录系统的反应,从中发现漏洞。2. 扫描对象(1)地址扫描地址扫描就是判断某个IP地址上有无活动主机或某台主机是否在线。最简单的地址扫描方法是使用ping命令,用ping命令向目标主机发送ICMP回显请求报文,并等待ICMP回显应答。如果ping不到某台主机,就表明它不在线。(2)端口扫描在TCP/IP网络中,端口号是主机上提供的服务的标识。例如,FTP服务的端口号为21、Telnet服务

37、的端口号为23、DNS服务的端口号为53、Http服务的端口号为53等。入侵者知道了被攻击主机的地址后,还需要知道通信程序的端口号;只要扫描到相应的端口被打开着,就知道目标主机上运行着什么服务,以便采取针对这些服务的攻击手段。(3)漏洞扫描漏洞是系统所存在的安全缺陷或薄弱环节。入侵者通过扫描可以发现可以利用的漏洞,并进一步通过漏洞收集有用信息或直接对系统实施威胁。管理人员可以通过扫描对所管理的系统和网络进行安全审计,检测系统中的安全脆弱环节。常用的扫描工具有Xscan等。3. 基本扫描技术(1)半开放扫描TCP连接通过三次握手(three-way handshake)建立。下图中,若主机B运行

38、一个服务器进程,则它要首先发出一个被动打开命令,要求它的TCP准备接收客户进程的连接请求,然后服务器进程就处于“听”状态,不断检测有无客户进程发起连接的请求。SYN=1,ACK=0,SEQ=y,ACK=x+1 器 TCPB 主机B 主机A TCPASYN=1,ACK=1,SEQ=xSYN=1,ACK=1, SEQ=x+1,ACK=y+1 连接请求 确认 确认(2)FIN扫描FIN是释放连接的数据报文,表明发送方已经没有数据要发送了。很多日志不记录这类报文。“TCP FIN扫描”的原理是向目标端口发送FIN报文,如果收到了RST的回复,表明该端口没有开放;反之(没有回复),该端口是开放的,因为打

39、开的端口往往忽略对FIN的回复。(3)反向扫描反向扫描是一种地址扫描技术,主要用于获得可到达网络和主机的地址列表,借以推断出一个网络的结构分布图。其基本原理是利用了多数路由器只对报文中的地址进行检查,而不分析报文的内容。具体方法是使用可以穿过防火墙的RST数据报文对网络地址进行扫描。向一个网络中的所有地址发送RST报文后,路由器会对这些报文进行检查:当目标地址不可到达时,就送回ICMP差错报文;没有返回的ICMP差错报文的,就是主机在线。根据不在线的主机,进行求逆可以获得在线主机列表。(4)慢速扫描慢速扫描就是使用非连续性端口进行时间间隔长且无定率的扫描,并使用不一致的源地址,使这些扫描记录无

40、规律地分布在大量的日志中,被淹没,给日志分析造成困难。(5)乱序扫描乱序扫描就是对扫描的端口号集合,随机地产生扫描顺序,并且每次的扫描顺序不同。这就给对入侵检测系统的发觉带来困难。7 代码漏洞攻击代码漏洞攻击信息系统的漏洞是普遍存在的,在许多的方面都会使非授权用户进入系统,或使合法用户在系统中进行非法操作。 缓冲区溢出攻击缓冲区溢出攻击常见的缓冲区溢出来自C语言(以及其后代C+)本质的不安全性:没有边界来检查数组和指针的引用;标准C 库中还存在许多非安全字符串操作,如strcpy() 、sprintf() 、gets() 等。缓冲区溢出(Buffer Overflow)2003年“冲击波”病毒

41、,利用了微软Windows操作系统的RPC部分再通过TCP/IP处理信息交换时,存在多个远程堆栈缓冲区溢出问题引起的,溢出后可执行任意可执行代码。1988年11月2日,罗伯特.莫里写的蠕虫病毒利用了fingerd程序的缓冲区溢出漏洞操作系统等一些系统软件存在着大量的缓冲区溢出漏洞,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上缓冲区溢出原理缓冲区溢出是一种系统攻击手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。缓冲区溢出程序实例void function(

42、char *str) char buffer16; /buffer字符数组的最大长度为16 strcpy(buffer,str); void main() char large_string256; int i; for( i = 0; i 255; i+) large_stringi = A; function(large_string); /将长为256的字符串复制到长度仅为16的字符串中缓冲区溢出原理图示缓冲区溢出攻击过程(1)将需要执行的代码放到目标系统的内存。下面是两种常用方法:植入法:通过主机,将需要执行的代码(目标平台上可执行的),直接放到缓冲区。利用已经有的代码:只要修改传入参

43、数。(2)修改返回地址。(3)控制程序跳转,改变程序流程。下面是3种常用方法。修改程序返回地址:将预先设定好的地址替换程序原来的返回地址。在缓冲区附近放一个函数指针,指向入侵者定义的指令。使用longjmp:C语言的setjmp/longjmp是一个检验/恢复系统,可以在检验点设定setjmp(buffer),用longjmp(buffer)恢复检验点。入侵者可以利用longjmp(buffer)跳转到预定代码。缓冲区溢出防御措施(1)安装安全补丁(2)编写安全的代码(3)基于一定的安全策略设置系统(4)保护堆栈加入函数建立和销毁代码。前者在函数返回地址后增加一些附加字节,返回时要检查这些字节

44、有无被改动。使堆栈不可执行非执行缓冲区技术,使入侵者无法利用缓冲区溢出漏洞。8 拒绝服务攻击拒绝服务攻击(1)基于错误配置、系统漏洞或软件缺陷,如利用传输协议缺陷,发送畸形数据包,以耗尽目标主机资源,使之无法提供服务。利用主机服务程序漏洞,发送特殊格式数据,导致服务处理出错而无法提供服务 。(2)通过攻击合理的服务请求,消耗系统资源,使服务超载,无法响应其他请求。例如制造高流量数据流,造成网络拥塞,使受害主机无法与外界通信。在许多情况下要使用上面两种方法的组合。8.1 拒绝服务攻击典型举例拒绝服务攻击典型举例1. 死亡之Ping(Ping of Death)ICMP是一种差错报告机制,它为路由

45、器或目标主机提供了一种方法,使它们能把遇到的差错报告给源主机。如图4.25所示,ICMP报文始终包含IP首部和产生ICMP差错报文的IP数据报的前8个字节(64KB)。由于这一特点,早期的许多操作系统在处理ICMP协议(如接收ICMP数据报文)时,只开辟64KB的的缓存区。在这种情况下,一旦处理的数据报的实际长度超过64KB,操作系统将会产生一个缓冲溢出,引起内存分配错误,最终导致TCP/IP协议堆栈的崩溃,造成主机死机。2. “泪滴”(Teardrop) “泪滴”攻击就是入侵者伪造数据报文,向目标机发送含有重叠偏移的畸形数据分片。当这样的畸形分片传送到目的主机后,在堆栈中重组时,就会导致重组

46、出错,引起协议栈的崩溃。PSH 1:1024PSH 1000:2048(1024)PSH 2049:3072目标主机入侵者重装出错3. UDP“洪水”(UDP Flood) 当入侵者假冒一台主机向另一台主机的服务端口发送数据时,ECHO服务或CHARGEN服务就会自动回复。两台机器之间的互相回送,会形成大量数据包。当多台主机之间相互产生回送数据包,最终会导致系统瘫痪。4. SYN“洪水”(SYN Flood)与Land这是两个利用TCP连接中三次握手过程的缺陷的拒绝服务攻击。 5. MAC地址攻击假如攻击者生成大量源地址各不相同的数据包,这些MAC地址就会充满交换机的交换地址映射表空间,则正常

47、的数据包到达时都被洪泛出去,致使交换机的查表速度严重下降,不能继续工作。8.2 分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

48、1. DDoS攻击原理(1)Smurf与Fraggle将一个目的地址设置成广播地址(以太网地址为FF:FF:FF:FF:FF:FF:FF)后,将会被网络中所有主机接收并处理。显然,如果攻击者假冒目标主机的地址发出广播信息,则所有主机都会向目标主机回复一个应答使目标主机淹没在大量信息中,无法提供新的服务。 (2)trinoo(3)Tribal Flood Network和TFN2KTFN可以并行发动数不胜数的DoS攻击,类型多种多样(如UDP攻击、TCP SYN 攻击、ICMP回音请求攻击以及ICMP 广播),而且还可建立带有伪装源IP地址的信息包。 (4)stacheldraht Stache

49、ldraht也是基于TFN的,它采用和trinoo一样的客户机/服务器模式,其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时,侵入者与master程序进行连接。Stacheldraht增加了以下新功能:攻击者与master程序之间的通讯是加密的,以及使用rcp (remote copy,远程复制)技术对代理程序进行更新。2. DDoS系统的一般结构3. 组织一次DDoS攻击的过程(1)搜集了解目标的情况下列情况是黑客非常关心的情报: 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽(2)占领傀儡机黑客最感兴趣的是有下列情况的主机: 链路状态好的主机 性能好的主机

50、安全管理水平差的主机(3)实际攻击4. DDoS的监测(1)根据异常情况分析异常情况包括:网络的通讯量突然急剧增长,超过平常的极限值时;网站的某一特定服务总是失败;发现有特大型的ICP和UDP数据包通过或数据包内容可疑。(2)使用DDoS检测工具5. DDoS攻击的防御策略(1)及早发现系统存在的攻击漏洞,及时安装系统补丁程序。对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权帐号(例如管理员帐号)的密码设置要谨慎。(2)在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。(3)利用网络安全设备(如防火墙)来加固网络的

51、安全性,配置好它们的安全规则,过滤掉所有的可能的伪造数据包。(4)与网络服务提供商协调工作,让他们帮助实现路由的访问控制和对带宽总量的限制。(5)当发现自己正在遭受DDoS攻击时,应当立即启动应急策略,尽可能快的追踪攻击包,并且要及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点,从而阻挡从已知攻击节点的流量。(6) 发现自己的计算机被攻击者用做主控端和代理端时,不能因为自己的系统暂时没有受到损害而掉以轻心,因为攻击者已发现你系统的漏洞,这是一个很大的潜在威胁。同时一旦发现系统中存在DDoS攻击的工具软件要及时把它清除,以免留下后患。恶意代码恶意代码可感染(可自我复制)不感染(不自我复制)独立性寄生性蠕 虫细 菌病 毒特洛伊木马逻 辑 炸 弹陷 门黑客攻击的一般流程踩 点扫 描查 点模拟攻击获取成功拒绝访问攻击权限提升窃取掩盖踪迹创建后门获取访问权实施攻击再见再见

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号