《常见网络攻击手段PPT课件》由会员分享,可在线阅读,更多相关《常见网络攻击手段PPT课件(74页珍藏版)》请在金锄头文库上搜索。
1、常用黑客攻击手段介绍常用黑客攻击手段介绍目录口令攻击拒绝服务攻击IP欺骗利用简单邮件传输协议(SMTP)入侵利用文件传输协议(FTP)进行的入侵WWW上的入侵网络文件系统(NFS)/远程过程调用(RPC)病毒、木马缓冲区溢出信息收集型攻击 一 攻击口令的手段方法一网络猜测法 黑客攻击目标是常常把破译普通用户的口令 作为攻击的开始。先用 “ finger 远端主机名” 或其他方法找出主机上的用户帐号,然后就采用 字典穷举法进行攻击。原理: 根据网络上的用户常采用的一些英语单词或自 己的姓氏作为口令的实际情况。通过一些程序, 自动地从计算机字典中取出一个单词,作为用户 口令输入给远端的主机,尝试进
2、入系统。若口令错 误,就按序取出下一个单词,进行下一个尝试,并 且一直循环下去,直到找到正确的口令或直到找到 正确的口令或字典的单词试完为止。利用一些端口,如 Ftp Telnet POP3 Rsh Rlogin Rexec 等,对已知远端主机的用户进行口令尝试登录,获取口令或敏感文件。方法二穷举法首先夺取目标中存放口令的文件shadow或passwd现代的Unix操作系统中,用户的基本信息存放在passwd文件中,而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow(影子)的文件中老版本的Unix没有shadow文件,它所有的口令都存放在passwd文件中用专解DES加密法的程
3、序来解口令UNIX口令的计算量Unix一共是 0x000xff共128个字符,小于 0x20 的都算是控制符, 不能 输入为 口令, 0x7f 为转义符, 不能输入.那么总共有128 - 32 - 1 = 95 个字符可作为口令的字符. 也就是 10(数字)+33(标点符号)+26*2(大小写字母)=95如果passwd取任意5个字母+1位数字或符号(按顺序)可能性是:52*52*52*52*52*43=16,348,773,000(163亿种UNIX口令的计算量但如果5个字母是一个常用词,设常用词5000条,从5000个常用词中取一个词与任意一个字符组合成口令,即5000*(2*2*2*2*
4、2)(大小写)*43=6,880,000 (688万种可能性)注:1.实际情况下绝大多数人都只用小写字符,可能性还要小. 2.这已经可以用微机进行穷举UNIX口令的计算量在Pentium 200上每秒可算3,4万次, 象这样简单的口令要不了3分钟如果有人用P200算上一周,将可进行200亿次攻击,所以6位口令是很不可靠的,至少要用7位. hacker并不需要所有人的口令,他们得到几个用户口令就能获取系统的控制权,所以取口令过于简单是对系统安全的不负责. 二导致服务拒绝原理:攻击者利用大量的数据包“淹没”目标主机,耗尽可用资源乃至系统崩溃,而无法对合法用户作出响应。往某远程主机发大量数据或占用远
5、程主机资源,从而导致主机瘫痪、重启、死机或蓝屏。 UDP炸弹UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出,然后让这两种UDP服务(例如chargen服务(UDP)和echo服务(UDP))之间互相通信,使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时,最终将导致整个网络瘫痪。如果涉及的主机数目少,那么只有这几台主机会瘫痪。 用户数据报(UDP)炸弹: 发送一个头信息错误的UDP包,可使某些计 算机重起,危害很大。防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置,阻断来自Internet的
6、针对这些服务的UDP请求。* Finger炸弹: Finger 允许把Finger 重定向到远程节点,可用命令 Finger username hostAhostB Finger 先通过主机A,再到主机B,可使入侵者覆盖 他们的痕迹,因为主机A将注意到Finger 来自主机B 而不是原来的设备。当入侵者输入如下命令时, 会使主机拒绝服务: Finger username .hostA 重复的将导致Finger命令不断Finger到同一台主机, 直到内存和交换空间满,从而导致系统瘫痪或速度降 至极低。* Ping/ICMP 炸弹 连续的以延迟会话方式Ping 一个主机,发过 量的ICMP包,可使
7、主机重起或挂起。1. 如:UNIX下,键入如下命令:Ping -t 66510 IP 后果:未打补丁的Win95/98的机器就会瘫痪2. TFN2K更会产生大量的进程,每个进程都不停地发送PING包,从而导致被攻击目标的无法正常工作。 *数据洪流(Data flood) 大量数据轰击一个指定端口,使端口提供的服务无效。*日志洪流(Log flood) 日志容量有限,向端口syslog 发大量的数据包可使主机瘫痪。* E_mail 炸弹 发送大量邮件,使邮箱占满,冲掉正常邮件,同时占用了大量的网络资源,导致网络阻塞。* 带外炸弹(out of band crash) 向 Windows NT,W
8、indows 95 的139端口送0字节 数据导致系统死机。ICMP/SMURF 攻击 ICMP/SMURF攻击利用的是网络广播的原理来发送大量的地址,而包的源地址就是要攻击的机器本身的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包。 现在A主机要发动对B主机的SMURF攻击。A通过向某个网络的广播地址发送ICMP ECHO包,这些ICMP包的源地址即被伪造为B主机的IP地址。当这个广播地址的网段上的所有活动主机接收到该ICMP包时,将回送ICMP ECHO REPLAY包。由于ICMP ECHO包的源地址为B主机,所以如果能收到该广播包的机器有500台,则B主机会接收到
9、500个ICMP ECHO REPLY包! IP 堆栈攻击 基本原理是发送TCP/UDP/ICMP的碎片包,其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不规范数据包,便会使其TCP/IP堆栈出现崩溃,从而导致无法继续响应网络请求(即拒绝服务)。 DDoS攻击原理剖析攻击原理剖析分布式拒绝服务攻击,攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机,对攻击目标发动威力巨大的拒绝服务攻击。攻击者的身份很难确认。正常访问通过普通的网络连线,使用者传送信息要求服通过普通的网络连线,使用者传送信息要求服务器予以确定。服务器于是回复用户。用户被务器予以确定
10、。服务器于是回复用户。用户被确定后,就可登入服务器。确定后,就可登入服务器。“拒绝服务拒绝服务”(DoS)的攻击方式)的攻击方式“拒绝服务拒绝服务”的攻击方式为:用户传送众多要的攻击方式为:用户传送众多要求确认的信息到服务器,使服务器里充斥着这求确认的信息到服务器,使服务器里充斥着这种无用的信息。种无用的信息。 所有的信息都有需回复的虚假所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找地址,以至于当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分到用户。服务器于是暂时等候,有时超过一分钟,然后再切断连接。服务器切断连接时,黑钟,然后再切断连接。服务器切断连接
11、时,黑客再度传送新一批需要确认的信息,这个过程客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器处于瘫痪状态周而复始,最终导致服务器处于瘫痪状态Trin00/TFN具体攻击过程MasterMasterMasterBroadcastBroadcastBroadcastBroadcastBroadcastBroadcast攻击目标攻击者MasterMasterMasterZombieZombieZombieZombieZombieZombieMasterMasterMasterDDoS攻击过程扫描程序扫描程序非安全主机非安全主机非安全主机非安全主机黑客黑客 黑客利用工具扫描黑客利用工
12、具扫描 Internet, ,发现存在漏洞发现存在漏洞的主机的主机1Internet黑客黑客Zombies 黑客在非安全主机上安装类黑客在非安全主机上安装类黑客在非安全主机上安装类黑客在非安全主机上安装类似似似似“ “后门后门后门后门” ”的代理程序的代理程序的代理程序的代理程序2InternetDDoS攻击过程黑客黑客 黑客选择主控主机,用来黑客选择主控主机,用来向向“僵尸僵尸”发送命令发送命令3Zombies主控主机主控主机InternetDDoS攻击过程Hacker 通过客户端程序,黑客发送命令通过客户端程序,黑客发送命令通过客户端程序,黑客发送命令通过客户端程序,黑客发送命令给主控端,
13、并通过主控主机启动给主控端,并通过主控主机启动给主控端,并通过主控主机启动给主控端,并通过主控主机启动 “ “僵尸僵尸僵尸僵尸” ”程序对目标系统发动攻程序对目标系统发动攻程序对目标系统发动攻程序对目标系统发动攻击击击击4ZombiesTargeted目标目标SystemMasterServerInternetDDoS攻击过程目标系统目标系统SystemHacker 主控端向主控端向“僵尸僵尸”发送攻发送攻击信号,对目标发动攻击击信号,对目标发动攻击5MasterServerInternetZombiesDDoS攻击过程目标目标黑客黑客 目标主机被目标主机被“淹没淹没”,无法提供正常服务,甚,
14、无法提供正常服务,甚至系统崩溃至系统崩溃6主控主机主控主机合法用户合法用户服务请求被拒绝服务请求被拒绝Internet僵尸僵尸DDoS攻击过程为什么DDos会有效?雅虎网站曾被每秒1000兆的垃圾信息攻击。在如此大流量的攻击下,攻击的力度被提升了几千倍,远远超过了现有网络安全设计的负荷。也就是说在网络安全设计的过程中一定要考虑未来可能承受的攻击力度。不过这种攻击并不是一般黑客所能做到的。据MSNBC报道,在对雅虎的攻击过程中,黑客在同一时间动用了3500台Unix机器和巨大的带宽资源。 预防分布式拒绝服务攻击的安全策略 消除FUD心态 可能会成为拒绝服务攻击目标的公司或主机只是极少数,而且多数
15、是一些著名站点,如搜索引擎、门户站点、大型电子商务和证券公司、IRC服务器和新闻杂志等要求与ISP协助和合作 分布式拒绝服务(DDoS)攻击主要是耗用带宽,单凭自己管理网络是无法对付这些攻击的。与ISP协商,确保他们同意帮助实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时,ISP愿意监视或允许你访问他们的路由器。 优化路由和网络结构 如果管理的不仅仅是一台主机,而是网络,就需要调整路由表以将拒绝服务攻击的影响减到最小。为了防止SYN flood攻击,应设置TCP侦听功能。详细资料可以参阅相关路由器技术文档。禁止网络不需要的UDP和ICMP包通过,尤其是不应该允许出站I
16、CMP“不可到达”消息。优化对外开放访问的主机 对所有可能成为目标的主机都进行优化。禁止所有不必要的服务。多IP主机也会增加攻击者的难度。正在受到攻击时,必须立刻应用对应策略尽可能迅速地阻止攻击数据包是非常重要的,同时如果发现这些数据包来自某些ISP时应尽快和他们取得联系。千万不要依赖数据包中的源地址,因为它们在DoS攻击中往往都是随机选择的。是否能迅速准确地确定伪造来源将取决于你的响应动作是否迅速,因为路由器中的记录可能会在攻击中止后很快就被清除。 对于已被或可能被入侵和安装DDoS代理端程序的主机,应该采取措施现在的拒绝服务攻击服务器都只被安装到Linux和Solaris系统中。虽然可能会
17、被移植到*BSD*或其它系统中,但只要这些系统的安全得到足够重视,系统被入侵的可能性不大。确保主机不被入侵和是安全的 互联网上有许多旧的和新的漏洞攻击程序。系统管理员应检查漏洞数据库,如或或,以确保服务器版本不受这些漏洞影响。入侵者总是利用已存在的漏洞进入系统和安装攻击程序。系统管理员应该经常检查服务器配置和安全问题,运行最新升级的软件版本,最重要的一点就是只运行必要的服务。周期性审核系统要对自己管理的系统负责。应该充分了解系统和服务器软件是如何工作的,经常检查系统配置和安全策略。要时刻留意安全站点公布的与自己管理的操作系统及软件有关的最新安全漏洞和问题。 检查文件完整性 当确定系统未曾被入侵
18、时,应该尽快将所有二进制程序和其它重要的系统文件产生文件签名,并且周期性地与这些文件比较以确保不被非法修改。另外,推荐将文件检验和保存到另一台主机或可移动介质中。文件/目录完整性检查的免费工具(如tripwire等)可以在许多FTP站点上下载。也可以选择购买商业软件包。 发现正在实施攻击时,必须立刻关闭系统并进行调查 如果监测到(或被通知)网络或主机正实施攻击,应该立刻关闭系统,或者至少切断与网络的连接。因为这些攻击同时也意味着入侵者已几乎完全控制了该主机,所以应该进行研究分析和重新安装系统。三 IP欺骗 原理: 伪造TCP序列号或源主机IP地址,使数据包看 起来来自于被信任的计算机而非正确的
19、源计算 机,从而达到隐藏源主机地址的目的。IP欺骗 会危及象 Rsh、Rlogin 此类的服务。 ( 因为Rsh和Rlogin 服务的认证是建立在IP地址 之上的) IP欺骗还可以被用于 穿透防火墙。同步风暴攻击方法也用到IP欺骗 流程图: (1)攻击主机SYN(伪造的自己的地址) 被攻击主机 (2)伪造的地址SYN-ACK被攻击主机 (3)被攻击主机等待伪造端的回答四 利用简单邮件传输协议(SMTP)入侵 SendMail 的主要功能是转发邮件。它解释SMTP 协议,作为客户和服务器的应用软件。 SendMail在系统 启动时作为一个守护进程启动,作为SMTP的服务器监听 SMTP端口,等待
20、邮件的到来。 目前,决大多数UNIX系统下的邮件服务器都采用SendMail。 Windows NT 系统下邮件服务器有一部分采用SendMail, 也有一部分采用 Microsoft 的 Exchange Server等其他软件。 入侵者可以利用 SendMail 的漏洞入侵系统。SendMail的漏洞: 过期(Outdated):旧版本的SendMail存在不同 程度的漏洞。 VRFY:列出用户名及用户邮箱。 EXPN:提供用户全名信息。 后门: 入侵者可通过后门程序访问到主机。 它是程序员、设计者为了调试方便而留 的漏洞,但是却没有清除。五 利用文件传输协议(FTP)进行的入侵 利用的漏
21、洞: 匿名 FTP:任何人都可访问到主机 FTP 可写:FTP下的目录可写,有潜在的隐患 FTP CD root login:回上一级目录可访问到根权限 Site Exec(老版本的FTP): 允许任何远程或本地用户获得根访问六 WWW上的入侵 入侵者可利用Web服务器上存在的一些弱点和漏洞, 篡改主页,窃取保密信息。有4种重叠的风险类型: (1)存放于Web服务器文件系统上的私人或保密的文件 被非法用户窃取 (2)由远程用户发送给Web服务器的私人或保密信息 (如信用卡密码)被截获。(3)有关Web服务器主机的详细信息泄露出去,使入侵者 分析、找出漏洞并闯入系统。(4)服务器存在允许外来者在
22、服务器主机上执行命令的漏 洞,使他们得以改动或破坏系统。(CGI Script :脚本语言,实现HTML主页与其它Web 服务器上程序的接口函数) CGI Script 是WWW安全漏洞的主要来源,漏洞在于两个 方面: (1)无意间泄露主机系统的信息,帮助黑客侵入。 (2)处理远程用户输入的,如表格的内容或“搜索索引”命 令的Script ,可能容易被远程用户攻击而执行命令。典型的IIS漏洞RDSHTR畸形headerPWS文件访问CGI圈套PHP3元字符PHPmlog.html读文件 七 网络文件系统(NFS)/远程过程调用(RPC) NFS服务器通过对外输出(export)一个目录,提供
23、共享资源。 NFS鉴别一个写文件的请求时是鉴别发出这个请求的 机器,而不是用户,因而,在基于NFS的文件系统中运行 SU命令而成为某个文件的拥有者并不是一件困难的事情。 入侵者可利用的漏洞: 目录可被任何人安装 主机可写 主机可通过 CD . 访问到上级目录等远程过程调用(RPC): 客户把自己的程序在远程服务器上运行,此时需 启动一些进程。一些RPC进程为入侵者提供了诸如系 统信息,口令文件,用户名等信息,有些进程会导致 安全漏洞。 存在安全隐患的RPC服务进程: RPC Statd BootParameter Netstat Admin Rexd八 病毒 病毒是一个程序,有时是有破坏性的,
24、可自我复制, 能以替换、插入等形式附着在操作系统或可执行文件上, 这些行为在用户毫无觉察之中进行。他还可通过网络传 播,发作时有危害。 蠕虫 特洛伊木马(如 NetBus) BO(Back Orifice) CIH W97M/Thus (感染 word 文件)九 缓冲区溢出(buffer flow) 原理: 缓冲区溢出指的是一种系统攻击手段,通过往程序的 缓冲区写入超出其长度的内容,造成缓冲区的溢出, 从而破坏程序的堆栈,使程序转而执行其他命令,以 达到攻击的目的。据统计,通过缓冲区溢出进行的攻 击占所有系统攻击总数的80%以上。.缓冲区溢出例子:Void sub(char * str )ch
25、ar buf 16;strcpy (buf ,str )Void main() char large_ str 256int i;for(i=0;i255;i+) large_ str i= =A;sub(large_ str )堆栈结构:16 4 4 4buf ebp ret large_ str 十、信息收集型攻击信息收集型攻击并不对目标本身造成危害,顾名思义,这类攻击被用来为进一步入侵提供有用的信息,主要包括:.扫描技术.体系结构刺探.利用信息服务黑客常用攻击工具口令攻击工具John The Ripper 1.4 这个软件由著名的黑客组织-UCF出的,它支持Unix,Dos,Window
26、s,速度超快,可以说是目前同类中最杰出的作品.对于老式的passwd(就是没shadow,任何人都可以把 passwd密文存下),John可以直接读取并用字典穷举击破. 对于现代的passwd+shadow的方式,John提供了UNSHADOW程序直接把两者合成出老式passwd文件. 影子扫描器Shadow Security ScanerShadow Security Scaner是一个功能非常强大的黑客工具。由俄罗斯著名程序员Redshadow和Melcosoft合作编写。包括端口探测、端口banner探测、CGI/ASP弱点探测、Unicode/Decode/.printer探测、*ni
27、x弱点探测、(pop3/ftp)密码破解、拒绝服务探测、操作系统探测、NT共享/用户探测而且对于探测出的漏洞,有详细的说明和攻击方法。Nmap指纹技术Nmap是在免费软件基金会的GNU General Public License (GPL)下发布的,可从站点上免费下载。隐蔽扫描:nmap-sS-O192.168.*.* TCP扫描:nmap-sT-O192.168.7.12 UDP扫描:nmap-sU-O192.168.7.12 DDos的常用工具1、TrinooTrinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包,在处理这些超出其处理能力的垃圾数据包的过程中,被攻击主
28、机的网络性能不断下降,直到不能提供正常服务,乃至崩溃。它对IP地址不做假,采用的通讯端口是:攻击者主机到主控端主机:27665/TCP主控端主机到代理端主机:27444/UDP代理端主机到主服务器主机:31335/UDP2.TFN TFN由主控端程序和代理端程序两部分组成 它主要采取的攻击方法为:SYN风暴、Ping风暴、UDP炸弹和SMURF,具有伪造数据包的能力。3.TFN2K TFN2K是由TFN发展而来的,在TFN所具有的特性上,TFN2K又新增一些特性。它的主控端和代理端的网络通讯是经过加密的,中间还可能混杂了许多虚假数据包,而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。4.Stacheldraht Stacheldraht也是从TFN派生出来的,因此它具有TFN的特性。它增加了主控端与代理端的加密通讯能力,它对命令源作假,可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块,可以自动下载并安装最新的代理程序。安全站点 计算机紧急响应小组: 网络安全系统: 事件反应和安全性小组:
