保密技術(shù)概論：第11章 網(wǎng)絡(luò)攻擊技術(shù)

第11章

網(wǎng)絡(luò)攻擊技術(shù)1內(nèi)容提要基本概念網(wǎng)絡(luò)攻擊的基本步驟網(wǎng)絡(luò)攻擊的主要技術(shù)惡意代碼檢測與防護(hù)211.1基本概念311.1.1網(wǎng)絡(luò)攻擊的概念狹義：網(wǎng)絡(luò)攻擊是指任何試圖破壞網(wǎng)絡(luò)安全的行為和方法廣義：多種計(jì)算機(jī)技術(shù)相結(jié)合的產(chǎn)物，是一門綜合性學(xué)問，包含了計(jì)算機(jī)學(xué)科、情報(bào)學(xué)、社會學(xué)以及心理學(xué)等多種學(xué)科的知識11.1基本概念411.1.2網(wǎng)絡(luò)攻擊的分類網(wǎng)絡(luò)攻擊的分類方式有多種根據(jù)攻擊效果和攻擊目的分類破壞型網(wǎng)絡(luò)攻擊拒絕服務(wù)，邏輯炸彈數(shù)據(jù)擾亂，蠕蟲病毒緩沖區(qū)溢出竊密型網(wǎng)絡(luò)攻擊口令竊聽會話攔截特洛伊木馬11.2網(wǎng)絡(luò)攻擊的基本步驟5網(wǎng)絡(luò)攻擊是建立在正確方法論的基礎(chǔ)上網(wǎng)絡(luò)攻擊過程一般包含四個(gè)環(huán)節(jié)漏洞挖掘與利用信息收集與分析網(wǎng)絡(luò)掃描與探測目標(biāo)入侵與控制漏洞挖掘與利用信息收集與分析網(wǎng)絡(luò)掃描與探測目標(biāo)入侵與控制611.2.1漏洞挖掘與利用漏洞：是指系統(tǒng)中存在的一些功能性或安全性的邏輯缺陷，包括導(dǎo)致威脅、損壞計(jì)算機(jī)系統(tǒng)安全性的所有因素，是計(jì)算機(jī)系統(tǒng)在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷和不足。漏洞的存在不可避免！漏洞挖掘漏洞分析漏洞利用漏洞攻擊過程711.2.1漏洞挖掘與利用漏洞挖掘：對未知漏洞的探索常用的漏洞挖掘方法靜態(tài)分析技術(shù)源代碼審核：利用人工或工具閱讀程序的源代碼二進(jìn)制審核：對二進(jìn)制程序進(jìn)行反匯編Fuzzing技術(shù)通過生成各種畸形輸入觸發(fā)程序異常811.2.1漏洞挖掘與利用漏洞分析：對已發(fā)現(xiàn)漏洞的細(xì)節(jié)進(jìn)行深入分析，為漏洞利用、補(bǔ)救等處理措施作鋪墊通常需要調(diào)試二進(jìn)制級別的程序，調(diào)試器，補(bǔ)丁比較器、反匯編工具常用的漏洞分析方法動態(tài)調(diào)試靜態(tài)分析指令追蹤補(bǔ)丁比對911.2.1漏洞挖掘與利用漏洞利用：應(yīng)用于多種主流的操作系統(tǒng)和編譯環(huán)境下，主要利用內(nèi)存漏洞（堆棧溢出）和Web應(yīng)用漏洞（腳本注入）等來進(jìn)行捆綁器ShellcodePayload1011.2.2信息收集與分析信息收集與分析通常位于網(wǎng)絡(luò)攻擊的初始階段Google,百度搜索引擎信息收集的來源個(gè)人信息與機(jī)構(gòu)信息個(gè)人信息收集瀏覽滲透目標(biāo)的招標(biāo)書、技術(shù)刊物等方式，查找有關(guān)人員信息檢索文獻(xiàn)是另一種搜索個(gè)人信息的方式，郵箱1111.2.2信息收集與分析1211.2.2信息收集與分析通過命令行工具，可以看到目標(biāo)服務(wù)器的Banner信息，獲得服務(wù)器版本信息，可對該服務(wù)器的遠(yuǎn)程漏洞進(jìn)行攻擊網(wǎng)站上的聯(lián)系人信息，可用于判斷是否有郵件服務(wù)器，從而獲得其版本，并對其發(fā)動攻擊采購信息，可用于搜索目標(biāo)機(jī)構(gòu)曾經(jīng)購買的設(shè)備信息，通過對該設(shè)備漏洞的收集，可提高攻擊的成功率機(jī)構(gòu)信息與個(gè)人信息的收集與分析方法大同小異1311.2.3網(wǎng)絡(luò)掃描與探測網(wǎng)絡(luò)掃描：為了發(fā)現(xiàn)本地或其他終端的漏洞，從而有目的地進(jìn)行攻擊和防御網(wǎng)絡(luò)探測：在掃描的基礎(chǔ)上，對服務(wù)和系統(tǒng)等信息進(jìn)行判別，從而利用服務(wù)或系統(tǒng)的漏洞來攻擊網(wǎng)絡(luò)掃描和探測的對象端口、服務(wù)、系統(tǒng)設(shè)備、網(wǎng)絡(luò)拓?fù)?、弱口令、系統(tǒng)漏洞…1411.2.3網(wǎng)絡(luò)掃描與探測掃描與探測的方法主機(jī)安全掃描技術(shù)

執(zhí)行腳本，模擬攻擊，記錄反應(yīng)，發(fā)現(xiàn)漏洞網(wǎng)絡(luò)安全掃描技術(shù)對系統(tǒng)中不合適的、設(shè)置脆弱的口令，與安全規(guī)則抵觸的對象進(jìn)行檢查等1511.2.3網(wǎng)絡(luò)掃描與探測掃描與探測的方法完整的網(wǎng)絡(luò)安全掃描分為三個(gè)階段第一階段：發(fā)現(xiàn)目標(biāo)或網(wǎng)絡(luò)第二階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息第三階段：根據(jù)收集到的信息，判斷或者進(jìn)一步測試系統(tǒng)是否存在安全漏洞1611.2.3網(wǎng)絡(luò)掃描與探測掃描與探測的工具基于網(wǎng)絡(luò)的掃描器目標(biāo)1目標(biāo)2目標(biāo)3目標(biāo)4漏洞數(shù)據(jù)庫用戶配置控制臺掃描引擎當(dāng)前活動的掃描知識庫掃描結(jié)果存儲和報(bào)告生成工具1711.2.3網(wǎng)絡(luò)掃描與探測掃描與探測的工具主流工具Nessus：功能強(qiáng)大，應(yīng)用平臺廣，開源X-Scan：支持插件功能，開源Nmap：快速掃描大型和小型網(wǎng)絡(luò)，開源MBSA：適用于Windows和Office，閉源1811.2.4目標(biāo)入侵與控制網(wǎng)絡(luò)滲透的最終目的是達(dá)到對目標(biāo)的入侵和控制針對個(gè)人的入侵：根據(jù)收集的信息不同有不同的入侵方案收集的是郵箱郵件附件滲透攻擊收集的是IP直接滲透攻擊收集的是軟件信息用漏洞掃描軟件掃描，獲得目標(biāo)機(jī)存在的漏洞，選擇相應(yīng)的漏洞攻擊工具去攻擊前期的漏洞挖掘、信息收集階段的工作極其重要！1911.2.4目標(biāo)入侵與控制組織或機(jī)構(gòu)內(nèi)網(wǎng)的入侵關(guān)鍵是要入侵一臺內(nèi)網(wǎng)計(jì)算機(jī)獲取內(nèi)網(wǎng)主機(jī)有三種方法從網(wǎng)站滲透至內(nèi)網(wǎng)發(fā)安全信到內(nèi)網(wǎng)主機(jī)：社會工程學(xué)+漏洞利用取得信任得到內(nèi)網(wǎng)機(jī)器2011.2.4目標(biāo)入侵與控制組織或機(jī)構(gòu)內(nèi)網(wǎng)的入侵獲取到一臺內(nèi)網(wǎng)主機(jī)后，繼續(xù)入侵可采取的入侵手段了解機(jī)器所屬人員通過一些命令獲取機(jī)器及其所在域中的相關(guān)信息通過上述得到的信息，進(jìn)一步獲取信息2111.2.4目標(biāo)入侵與控制組織或機(jī)構(gòu)內(nèi)網(wǎng)的入侵關(guān)鍵是要入侵一臺內(nèi)網(wǎng)計(jì)算機(jī)獲取內(nèi)網(wǎng)主機(jī)有三種方法從網(wǎng)站滲透至內(nèi)網(wǎng)發(fā)安全信到內(nèi)網(wǎng)主機(jī)：社會工程學(xué)+漏洞利用取得信任得到內(nèi)網(wǎng)機(jī)器2211.2.4目標(biāo)入侵與控制遠(yuǎn)程控制技術(shù)：在網(wǎng)絡(luò)上由一臺計(jì)算機(jī)（主控端Remote/客戶端）去控制另一臺計(jì)算機(jī)（被控端Host/服務(wù)器端）的技術(shù)遠(yuǎn)程控制支持網(wǎng)絡(luò)方式：LAN,WAN,撥號方式，互聯(lián)網(wǎng)方式接口：串口、并口、紅外端口協(xié)議：NetBEUI,NetBIOS,IPX/SPX,TCP/IP等協(xié)議利用遠(yuǎn)程控制技術(shù)可對被滲透主機(jī)進(jìn)行遠(yuǎn)程控制遠(yuǎn)程控制往往和隱藏技術(shù)相結(jié)合2311.3.1協(xié)議脆弱性分析與利用邊關(guān)網(wǎng)絡(luò)協(xié)議（BGP）脆弱性及利用域名系統(tǒng)（DNS）協(xié)議脆弱性及利用地址解析協(xié)議（ARP）脆弱性及利用WLAN協(xié)議脆弱性及利用11.3網(wǎng)絡(luò)攻擊的主要技術(shù)2411.3.1漏洞與后門攻擊漏洞：指硬件、軟件或策略上的缺陷，導(dǎo)致非法用戶未經(jīng)授權(quán)而獲得訪問系統(tǒng)的權(quán)限或提高其訪問權(quán)限后門：軟件作者或硬件的開發(fā)者在組件的制作過程中留下的，可以繞過相應(yīng)的安全訪問機(jī)制來修改并改變相應(yīng)組件行為的程序漏洞難以預(yù)計(jì)，不可避免；后門為人為設(shè)置，可避免2511.3.2漏洞與后門攻擊緩沖區(qū)溢出攻擊技術(shù)見11A內(nèi)容2611.3.2漏洞與后門攻擊Web攻擊SQL注入攻擊XSS攻擊一種對瀏覽器解釋器的代碼注入攻擊，能夠通過HTML,JavaScript,VBScript,ActiveX,Flash等其他客戶端語言執(zhí)行，同時(shí)也可能造成用戶信息泄露，配置更改，Cookie竊取等危害，甚至能夠用于對Web服務(wù)器進(jìn)行DOS攻擊2711.3.2漏洞與后門攻擊XSS攻擊XSS攻擊涉及三方：攻擊者、受害者（客戶端）、存在漏洞的Web應(yīng)用程序按利用方式的不同可分為三類本地的XSS(DOM-basedXSS)基于DOM或者為本地跨站腳本的漏洞無存儲的XSS以及存儲式跨站腳本攻擊2811.3.2漏洞與后門攻擊弱口令攻擊通過調(diào)用實(shí)現(xiàn)相關(guān)協(xié)議的口令認(rèn)證模塊，可以循環(huán)測試用戶/密碼組合，以此來破解出口令弱口令攻擊方式一般分為兩種字典猜測同一個(gè)用戶同一口令去猜測多個(gè)用戶字典分類國籍/語言/服務(wù)器/行業(yè)2911.3.2漏洞與后門攻擊后門攻擊后門：即軟件作者、硬件的開發(fā)者在組件的制作過程中留下的、可以繞過相應(yīng)的安全訪問機(jī)制，來修改并改變相應(yīng)組件行為的程序。后門常用來進(jìn)行軟硬件的更新及維護(hù)3011.3.2漏洞與后門攻擊后門例子1：WindowsUpdate黑屏是因?yàn)槲④浽谏壈袑τ脩粜畔⑦M(jìn)行了信息收集和處理3111.3.2漏洞與后門攻擊后門例子2：海灣戰(zhàn)爭中的打印機(jī)病毒通過電腦打印機(jī)侵入到伊拉克軍事指揮中心的主機(jī)3211.3.2漏洞與后門攻擊后門例子3：Sony的BMGRootkit事件后門例子4：上海魯班公司員工編寫惡意代碼函數(shù)3311.3.3惡意代碼攻擊惡意代碼是一種可以中斷、破壞計(jì)算機(jī)及網(wǎng)絡(luò)的程序或代碼惡意代碼可分為病毒、特洛伊“木馬”、蠕蟲、邏輯炸彈、惡作劇程序和流氓軟件等惡意代碼技術(shù)滲透技術(shù)：保證惡意代碼能夠植入到目標(biāo)主機(jī)中滲透方式：感染可執(zhí)行程序、分區(qū)表和數(shù)據(jù)文件，通過移動介質(zhì)，通過人、社會工程方式、借助系統(tǒng)和軟件漏洞，通過電子郵件、Web網(wǎng)頁、P2P文件共享、即時(shí)通信工具和ARP欺騙方式等3411.3.3惡意代碼攻擊惡意代碼技術(shù)自啟動技術(shù)：保證惡意代碼在受害主機(jī)下一次啟動后也被激活自啟動方法：通過服務(wù)啟動、通過添加注冊表啟動項(xiàng)啟動、通過文件關(guān)聯(lián)啟動、通過修改系統(tǒng)配置文件啟動、作為其他程序插件啟動、通過文件捆綁方式啟動等自我保護(hù)技術(shù)：使常用的檢測工具無法檢測到惡意代碼的存在，或者即使檢測到也無法對代碼進(jìn)行分析和清除自我保護(hù)技術(shù)分類：反靜態(tài)技術(shù)、反動態(tài)跟蹤以及動態(tài)端口技術(shù)3511.3.3惡意代碼攻擊惡意代碼技術(shù)反制：惡意代碼首先對反惡意代碼軟件系統(tǒng)進(jìn)行攻擊，使反惡意代碼軟件無法正常運(yùn)行或使其特征庫無法更新，達(dá)到免殺隱蔽通信：遠(yuǎn)程控制最關(guān)鍵的問題是隱蔽通信隱蔽通信的實(shí)現(xiàn)方式：直接適用套接字進(jìn)行通訊控制、建立一條隱蔽的通信信道、ICMP隧道、使用第三方交互服務(wù)進(jìn)行通訊以及網(wǎng)絡(luò)代理“木馬”欺騙方式攻擊技術(shù)：一切試圖跨越系統(tǒng)安全邊界、危害受害主機(jī)的可用性、可靠性、數(shù)據(jù)完整性，消耗受害主機(jī)的系統(tǒng)資源以及利用受害主機(jī)危害他人的所有行為表現(xiàn)形式：拒絕服務(wù)攻擊、信息竊取、數(shù)據(jù)破壞、修改系統(tǒng)配置3611.4.1計(jì)算機(jī)病毒與蠕蟲檢測比較法：原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較加總比對法搜索法：掃描檢測對象中是否有特定字符串分析法：由防、殺計(jì)算機(jī)病毒技術(shù)人員使用有沒有？是哪種？結(jié)構(gòu)是什么？怎么防殺？人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)軟件仿真掃描法：用來對付多態(tài)變形計(jì)算機(jī)病毒11.4惡意代碼檢測與防護(hù)3711.4.1計(jì)算機(jī)病毒與蠕蟲檢測先知掃描法將專業(yè)人員用來判斷程序是否存在計(jì)算機(jī)病毒代碼的方法，分析歸納成專家系統(tǒng)和知識庫，再利用軟件模擬技術(shù)偽執(zhí)行新的計(jì)算機(jī)病毒，超前分析出新計(jì)算機(jī)病毒代碼，對付以后的計(jì)算機(jī)病毒蜜罐檢測技術(shù)故意設(shè)計(jì)一個(gè)有缺陷的系統(tǒng)，吸引攻擊者、收集攻擊信息以及輔助進(jìn)行深度分析11.4惡意代碼檢測與防護(hù)3811.4.2計(jì)算機(jī)“木馬”檢測木馬一種基于遠(yuǎn)程控制的黑客工具，以尋找后門、竊取密碼和重要文件為主，還可以對計(jì)算機(jī)進(jìn)行監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性木馬的傳播方式Email軟件下載會話軟件11.4惡意代碼檢測與防護(hù)3911.4.2計(jì)算機(jī)“木馬”檢測木馬的檢測方法查看開放端口查看和恢復(fù)win.ini和system.ini系統(tǒng)配置文件，查看和恢復(fù)win.ini和system.ini文件是否被修改查看啟動程序并刪除可以的啟動程序查看系統(tǒng)