計算機(jī)網(wǎng)絡(luò)安全與管理：第十一講 網(wǎng)絡(luò)攻擊

計算機(jī)網(wǎng)絡(luò)安全與管理

第十一講網(wǎng)絡(luò)攻擊本講內(nèi)容惡意軟件本地攻擊口令攻擊拒絕服務(wù)攻擊

參看圖2.1與圖2.2，（見書）我們可以看到：當(dāng)系統(tǒng)未聯(lián)網(wǎng)時若對財務(wù)系統(tǒng)進(jìn)行攻擊需要設(shè)法進(jìn)入財務(wù)室設(shè)法獲得機(jī)器口令設(shè)法看到文件內(nèi)容當(dāng)聯(lián)網(wǎng)時對財務(wù)系統(tǒng)的攻擊可以通過內(nèi)部網(wǎng)絡(luò)設(shè)法進(jìn)入財務(wù)室通過互聯(lián)網(wǎng)進(jìn)入系統(tǒng)計算機(jī)攻擊者的基本步驟偵查，了解目標(biāo)相關(guān)信息選擇目標(biāo)，使用合適的手段進(jìn)行攻擊入侵系統(tǒng)擦除入侵痕跡所需的基本知識C，C++，匯編，Perl等語言了解網(wǎng)絡(luò)原理（特別是TCP/IP)了解操作系統(tǒng)對加密算法有所了解本地攻擊攻擊除了按照攻擊手段可以分為主動被動還可依照攻擊者身份分為本地攻擊（內(nèi)部攻擊）與外部攻擊就是指內(nèi)部人員，利用其有利條件，直接操作被攻擊系統(tǒng)，達(dá)到攻擊目的。本地網(wǎng)絡(luò)不一定是基于網(wǎng)絡(luò)的Windows與Unix的本地攻擊Windows：許多安全性問題來源于其用戶友好性。本地攻擊比較容易Unix：具有良好的開放性，學(xué)術(shù)性Unix復(fù)習(xí)Shell，文件權(quán)限，用戶權(quán)限等Unix下的攻擊舉例配置文件/etc/passwd單用戶模式更改權(quán)限如（.）,suid,網(wǎng)絡(luò)文件系統(tǒng)nfs等通過前面的舉例，我們可以看到，入侵者的目標(biāo)就是獲得一個系統(tǒng)的訪問權(quán)，或者提高一個系統(tǒng)上訪問權(quán)的范圍。一般來說，這需要入侵者得到原本應(yīng)該受到保護(hù)的信息口令攻擊比較典型的情況下，系統(tǒng)需要維護(hù)將用戶與口令聯(lián)系起來的文件口令文件可以采用兩種方法進(jìn)行保護(hù)單向加密：系統(tǒng)存儲加密形式的用戶口令（通過單向變換實現(xiàn)）。當(dāng)用戶提供口令時，系統(tǒng)對口令進(jìn)行加密然后將它與存儲的值進(jìn)行比較。訪問控制：將口令文件的訪問權(quán)限限制為只有一個或非常少的賬戶常見的用戶口令獲取方法觀察木馬程序口令猜測：比如用戶相關(guān)信息來自不同詞典中的單詞嘗試上一種的不同形式：大小寫，0與o等來自第二步但在第三種沒包括的流量監(jiān)聽口令選擇策略用戶教育計算機(jī)生成口令反應(yīng)的口令檢查預(yù)先的口令檢查簡單約束系統(tǒng)編譯一個可能的壞口令字典偵查偵查是網(wǎng)絡(luò)攻擊的初始步驟通過偵查，攻擊者可以了解被攻擊目標(biāo)的各種信息，比如，網(wǎng)絡(luò)的拓?fù)?。IP地址、對外提供的服務(wù)，電話號碼，操作系統(tǒng)類型，版本等等偵查的分類公開信息的收集搜索引擎地址，相關(guān)報道等等基本的網(wǎng)絡(luò)信息收集通過查詢域名注冊機(jī)構(gòu)，即whois服務(wù)器具體網(wǎng)絡(luò)信息收集Nslookup，ping，traceroute/tracert,nmap,fping、gping偵查的分類主機(jī)信息收集通常通過掃描工具實現(xiàn)系統(tǒng)資源收集Unix：共享網(wǎng)絡(luò)獲取，用戶，組權(quán)限獲得，應(yīng)用程序信息獲取Windows：共享網(wǎng)絡(luò)資源獲取，用戶，組帳號獲取，應(yīng)用程序信息獲取軟件漏洞攻擊緩沖溢出輸入處理競爭條件系統(tǒng)配置設(shè)計漏洞緩沖溢出是一種非常常見的攻擊，針對緩沖溢出的漏洞進(jìn)行攻擊相關(guān)的應(yīng)對方法已知仍舊被關(guān)注老的有問題的代碼粗心問題，有問題的函數(shù)如strcpy和strcat等緩沖區(qū)溢出緩沖就是一段存放數(shù)據(jù)的連續(xù)內(nèi)存，如數(shù)組。進(jìn)程在運行的時候，其在內(nèi)存中的存儲被分為三個區(qū)域：代碼段，數(shù)據(jù)段，堆棧段。堆棧是一種簡單的數(shù)據(jù)結(jié)構(gòu)，是一種只允許在其一端進(jìn)行插入或刪除的線性表。

允許插入或刪除操作的一端稱為棧頂，另一端稱為棧底，對堆棧的插入和刪除操作被稱入棧和出棧。

有一組CPU指令可以實現(xiàn)對進(jìn)程的內(nèi)存實現(xiàn)堆棧訪問。其中，POP指令實現(xiàn)出棧操作，PUSH指令實現(xiàn)入棧操作。

CPU的ESP寄存器存放當(dāng)前線程的棧頂指針，

EBP寄存器中保存當(dāng)前線程的棧底指針。

CPU的EIP寄存器存放下一個CPU指令存放的內(nèi)存地址，當(dāng)CPU執(zhí)行完當(dāng)前的指令后，從EIP寄存器中讀取下一條指令的內(nèi)存地址，然后繼續(xù)執(zhí)行。惡意程序（1）探尋系統(tǒng)弱點的程序被稱為惡意程序需要宿主機(jī)的陷門，邏輯炸彈，病毒，等獨立的可被操作系統(tǒng)調(diào)度和運行的自包含程序蠕蟲，細(xì)菌，病毒等惡意程序病毒蠕蟲邏輯炸彈特洛伊木馬后門移動代碼Auto-rooterKitSpammerandFlooder程序RootkitZombie陷門陷門使進(jìn)入程序的秘密入口，它使得知道陷門的人可以不經(jīng)過通常的安全訪問過程進(jìn)行訪問邏輯炸彈在病毒和蠕蟲之間最古老的程序威脅之一嵌入某個合法程序中的一段代碼，當(dāng)滿足一定條件是會“爆炸”特洛伊木馬特洛伊木馬是一個有用的，或表面上有用的程序或命令過程，包含了一段隱藏的，激活時進(jìn)行某種不想要的或有害功能的代碼完成非授權(quán)用戶不能完成的功能破壞、獲取陷門蠕蟲網(wǎng)絡(luò)蠕蟲使用網(wǎng)絡(luò)連接從一個系統(tǒng)傳播到另一個系統(tǒng)。繁殖期一般執(zhí)行下面功能通過檢查主機(jī)表或類似的存儲中遠(yuǎn)程系統(tǒng)地址來搜索遙感染的其他系統(tǒng)。建立與遠(yuǎn)程的連接復(fù)制自身并執(zhí)行細(xì)菌細(xì)菌使一些不明顯破壞文件的程序，他們的唯一目的就是繁殖自己典型的例子：多道程序系統(tǒng)中同時執(zhí)行自己的兩個副本，或者可能創(chuàng)建兩個新的文件外，每個都是細(xì)菌原始源文件的復(fù)制品。通過指數(shù)級復(fù)制，最終耗盡所有的處理機(jī)能力、存儲器或磁盤空間病毒感染程序的“軟件片”使程序包含其當(dāng)宿主程序運行時運行與操作系統(tǒng)與硬件有關(guān)標(biāo)準(zhǔn)的病毒的通過下面的步驟潛伏（靜止）繁殖觸發(fā)（啟動）執(zhí)行病毒結(jié)構(gòu)組成：感染機(jī)制觸發(fā)器載荷prepended/postpended/embedded當(dāng)被感染程序運行時先執(zhí)行病毒代碼在執(zhí)行原程序代碼阻止初始感染（困難）組織傳播（訪問控制）病毒結(jié)構(gòu)壓縮病毒病毒分類由感染位置分類引導(dǎo)區(qū)病毒寄生病毒宏病毒由隱藏方式隱形病毒：反病毒軟件檢測時隱藏多形病毒：能夠更改簽名變形病毒：迭代更改宏病毒自90年代中期很普遍平臺無關(guān)感染文檔而不是代碼可執(zhí)行部分易于傳播Office的宏功能嵌入doc的可執(zhí)行代碼常用basic編寫新的后繼版本增加了保護(hù)很多防病毒軟件也能識別郵件病毒更新的病毒e.g.Melissa利用附件中的宏附件打開，宏激發(fā)發(fā)郵件給所有列表中用戶本地破壞反病毒預(yù)防：很難實現(xiàn)相對好的解決方法：檢測標(biāo)識清除當(dāng)探測到但卻不能識別或清除時應(yīng)能丟棄，提代被感染程序反病毒的進(jìn)化簡單的掃描程序不依賴專門的簽名。采用：啟發(fā)式的規(guī)則；完整性檢查是一些存儲器駐留程序，通過病毒動作而不是通過其在被感染程序中的結(jié)構(gòu)來識別有不同聯(lián)合適用的反病毒技術(shù)組成的反病毒包類屬解密GenericDecryption通過GD掃描器來運行可執(zhí)行程序CPU模擬器：基于軟件的虛擬計算機(jī)病毒簽名掃描器：模擬控制模塊：控制代碼運行每次模擬的開始執(zhí)行目標(biāo)代碼的指令，病毒完成了暴漏自身。目標(biāo)代碼不產(chǎn)生實際破壞困難在于一次運行多長時間數(shù)字免疫系統(tǒng)行為阻止軟件蠕蟲通過網(wǎng)絡(luò)傳播email,遠(yuǎn)程exec,遠(yuǎn)程login與病毒有相同的階段:睡眠,傳播,觸發(fā),執(zhí)行傳播階段:尋找目標(biāo)，連接，復(fù)制執(zhí)行偽裝成系統(tǒng)軟件概念來自Brunner’s“TheShockwaveRider”實現(xiàn)于XeroxPaloAltolabsin1980’sMorrisWorm已知的最好病毒之一RobertMorris1988多樣的攻擊UNIX系統(tǒng)破解password文件執(zhí)行l(wèi)ogin/password來logon到其他系統(tǒng)搜索fingerprotocol漏洞搜索sendmail漏洞如果成功獲得遠(yuǎn)程Shell權(quán)限發(fā)送引導(dǎo)程序拷貝病毒最近的蠕蟲攻擊CodeRedJuly2001exploitingMSIISbug嘗試隨機(jī)ip地址消耗網(wǎng)絡(luò)容量CodeRedII變種包括后門SQLSlammerearly2003,攻擊MSSQLServer非常緊湊傳播快速Mydoommass-mailinge-mailwormthatappearedin2004安裝后門蠕蟲技術(shù)multiplatformmulti-exploitultrafastspreadingpolymorphicmetamorphictransportvehicleszero-dayexploit蠕蟲對策多次重疊使用反病毒機(jī)制oncewormonsystemA/Vcandetect蠕蟲導(dǎo)致一場網(wǎng)絡(luò)行為蠕蟲防御包括基于簽名的蠕蟲過濾基于過濾器的蠕蟲圍堵基于有效載荷分類的蠕蟲防御thresholdrandomwalkscandetection速率限制ProactiveWormContainmentNetwork