信息安全課件-08-09-攻擊與應(yīng)急響應(yīng)

1第8講攻擊與應(yīng)急響應(yīng)2主要內(nèi)容一、攻擊概述二、緩沖區(qū)溢出攻擊三、掃描器四、惡意代碼五、網(wǎng)絡(luò)偵聽(tīng)六、拒絕服務(wù)攻擊七、欺騙技術(shù)八、網(wǎng)絡(luò)應(yīng)急響應(yīng)3網(wǎng)絡(luò)用戶最反感：網(wǎng)絡(luò)病毒彈出式廣告/窗口網(wǎng)絡(luò)入侵/攻擊網(wǎng)上收費(fèi)陷阱網(wǎng)上虛假信息垃圾郵件誘騙/欺詐/網(wǎng)絡(luò)釣魚4一、攻擊概述

（1）遠(yuǎn)程攻擊：從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動(dòng)攻擊。（2）本地攻擊：通過(guò)所在的局域網(wǎng)，向本單位的其他系統(tǒng)發(fā)動(dòng)攻擊，在本機(jī)上進(jìn)行非法越權(quán)訪問(wèn)也是本地攻擊。（3）偽遠(yuǎn)程攻擊：指內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標(biāo)的一些必要信息后，攻擊過(guò)程從外部遠(yuǎn)程發(fā)起，造成外部入侵的現(xiàn)象。1、攻擊的位置52、攻擊的層次①簡(jiǎn)單拒絕服務(wù)（如郵件炸彈攻擊）.②本地用戶獲得非授權(quán)讀訪問(wèn)③本地用戶獲得他們本不應(yīng)擁有的文件寫權(quán)限④遠(yuǎn)程用戶獲得了非授權(quán)的帳號(hào)⑤遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限⑥遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限⑦遠(yuǎn)程用戶擁有了根（root）權(quán)限63、攻擊的人員黑客：闖入計(jì)算機(jī)主要是為了挑戰(zhàn)和獲取訪問(wèn)權(quán)限間諜：闖入計(jì)算機(jī)主要是為了政治情報(bào)信息恐怖主義者：闖入計(jì)算機(jī)主要是為了政治目的而制造恐怖公司雇傭者：闖入計(jì)算機(jī)主要是為了競(jìng)爭(zhēng)經(jīng)濟(jì)利益職業(yè)犯罪：闖入計(jì)算機(jī)主要是為了個(gè)人的經(jīng)濟(jì)利益破壞者：闖入計(jì)算機(jī)主要是為了實(shí)現(xiàn)破壞74、系統(tǒng)的漏洞

漏洞是指硬件、軟件或策略上的缺陷，從而可使攻擊者能夠在未經(jīng)授權(quán)的情況下訪問(wèn)系統(tǒng)。

漏洞涉及的范圍很廣，涉及到網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)、各個(gè)方面，包括：路由器、防火墻、操作系統(tǒng)、客戶和服務(wù)器軟件。比如一臺(tái)提供網(wǎng)上產(chǎn)品搜索的Web服務(wù)器，就需要注意操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、Web服務(wù)軟件及防火墻。

85、軟件錯(cuò)誤

所有的軟件都是有錯(cuò)的。造成軟件出現(xiàn)錯(cuò)誤的原因是多方面的，比如軟件復(fù)雜性、程序設(shè)計(jì)的缺陷、開發(fā)時(shí)間緊迫、軟件開發(fā)工具本身的錯(cuò)誤等。并且無(wú)論經(jīng)過(guò)怎樣的測(cè)試，軟件產(chǎn)品中仍然會(huì)遺留下許多錯(cuò)誤和缺陷。因?yàn)檐浖怯扇藖?lái)完成的，所有由人做的工作都不會(huì)是完美無(wú)缺的。管理人員的惰性。一個(gè)簡(jiǎn)單的例子就是缺省口令。

96、系統(tǒng)配置不當(dāng)默認(rèn)配置的不足：許多系統(tǒng)為了易用，安裝后都有默認(rèn)的安全配置信息。易用意味著易于闖入。管理員的疏忽：系統(tǒng)安裝后保持管理員口令的空值，而且隨后不進(jìn)行修改。臨時(shí)端口：有時(shí)候?yàn)榱藴y(cè)試之用，管理員會(huì)在機(jī)器上打開一個(gè)臨時(shí)端口，但測(cè)試完后卻忘記了禁止它。信任關(guān)系：網(wǎng)絡(luò)間的系統(tǒng)經(jīng)常建立信任關(guān)系以方便資源共享，但這也給入侵者帶來(lái)間接攻擊的可能，例如，只要攻破信任群中的一個(gè)機(jī)器，就有可能進(jìn)一步攻擊其他的機(jī)器。107、時(shí)間性漏洞的時(shí)間性系統(tǒng)發(fā)布——漏洞暴露——發(fā)布補(bǔ)丁——新漏洞出現(xiàn)安全漏洞與系統(tǒng)攻擊之間的關(guān)系漏洞暴露—可能的攻擊—發(fā)布補(bǔ)丁118、攻擊實(shí)例SMBDieV1.0，該軟件對(duì)打了SP3、SP4的計(jì)算機(jī)依然有效，必須打?qū)ｉT的SMB補(bǔ)丁12SMBdie.exe是一款使用簡(jiǎn)單的WinNT/2000/XP/.NETRC1NETBIOS（139）攻擊工具...局域網(wǎng)中效果很好，遠(yuǎn)程站內(nèi)測(cè)試的時(shí)候，可以被防火墻攔截，據(jù)說(shuō)對(duì)打過(guò)WIN2000SP3補(bǔ)丁測(cè)試有效，后果是藍(lán)屏或者重啟。13需要兩個(gè)參數(shù)：對(duì)方的IP地址和對(duì)方的機(jī)器名,然后再點(diǎn)按鈕“Kill”，對(duì)方計(jì)算機(jī)立刻重啟或藍(lán)屏149、遠(yuǎn)程攻擊的步驟收集信息獲取普通用戶的權(quán)限獲取超級(jí)用戶的權(quán)限擦除入侵痕跡安裝后門攻擊其它主機(jī)獲取或修改信息其它非法活動(dòng)15尋找目標(biāo)主機(jī)收集目標(biāo)信息

鎖定目標(biāo)

利用域名和IP地址可以找到目標(biāo)主機(jī)。Tracert/TraceRoute能夠得出到達(dá)目標(biāo)主機(jī)所要經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)和路由器數(shù)。Ping確定一個(gè)指定的主機(jī)的位置并確定其是否可達(dá)。Finger和Rusers命令收集用戶信息Host或者Nslookup命令，結(jié)合Whois和Finger命令獲取主機(jī)、操作系統(tǒng)和用戶等信息攻擊者也可向主機(jī)發(fā)送虛假消息，然后根據(jù)返回"hostunreachable"這一消息特征判斷出哪些主機(jī)是存在的。

16尋找目標(biāo)主機(jī)收集目標(biāo)信息

服務(wù)分析一是使用不同應(yīng)用程序測(cè)試。例如：使用Telnet、FTP等用戶軟件向目標(biāo)主機(jī)申請(qǐng)服務(wù)，如果主機(jī)有應(yīng)答就說(shuō)明主機(jī)提供了這個(gè)服務(wù)，開放了這個(gè)端口的服務(wù)二是使用一些端口掃描工具軟件，對(duì)目標(biāo)主機(jī)一定范圍的端口進(jìn)行掃描。這樣可以全部掌握目標(biāo)主機(jī)的端口情況。

17尋找目標(biāo)主機(jī)收集目標(biāo)信息

系統(tǒng)分析使用具有已知響應(yīng)類型的數(shù)據(jù)庫(kù)的自動(dòng)工具，對(duì)來(lái)自目標(biāo)主機(jī)作出的響應(yīng)進(jìn)行檢查，確定目標(biāo)主機(jī)的操作系統(tǒng)。如打開WIN95的RUN窗口，然后輸入命令：Telnetxx.xx.xx.xx(目標(biāo)主機(jī))然后按“確定”，可以發(fā)現(xiàn)如下響應(yīng)：DigitalUNIX(xx.xx.xx)(ttyp1)login:18可以從公開渠道獲得的信息公司的Web網(wǎng)頁(yè)（或許有網(wǎng)絡(luò)或系統(tǒng)安防配置）相關(guān)組織地理位置細(xì)節(jié)（google地圖）電話號(hào)碼、聯(lián)系人名單、電子郵件地址、詳細(xì)的個(gè)人資料近期重大事件（合并、收購(gòu)、裁員、快速增長(zhǎng)等等）可以表明現(xiàn)有信息安防機(jī)制的隱私/安防策略和技術(shù)細(xì)節(jié)已歸檔的信息（歷史網(wǎng)頁(yè)，搜索引擎快照）心懷不滿的員工搜索引擎、Usenet和個(gè)人簡(jiǎn)歷讓人感興趣的其他信息19由域名得到IP地址ping命令試探

pingNslookup命令在提示符“>”后鍵入20由IP地址得到地理位置在線IP地址查詢//21個(gè)人資料在得到電話號(hào)碼之后，可以通過(guò)、或之類的網(wǎng)站查出地理地址?？梢愿鶕?jù)電話號(hào)碼為他們的“密集撥號(hào)”攻擊設(shè)定一個(gè)攻擊范圍或是開展“社交工程”攻擊以獲得更多的信息和/或訪問(wèn)權(quán)限。22網(wǎng)站基本信息查詢商業(yè)網(wǎng)站中都會(huì)有紅盾標(biāo)志，它一般會(huì)在主頁(yè)的最下角，是國(guó)家工商局用來(lái)管理經(jīng)營(yíng)性網(wǎng)站的紅盾標(biāo)志，里面記錄了網(wǎng)站的備案登記信息23網(wǎng)站注冊(cè)信息查詢域名注冊(cè)信息的方法被稱為“WHOIS”。Linux系統(tǒng)中自帶WHOIS命令，而Windows系統(tǒng)可以通過(guò)網(wǎng)站查詢中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（）中國(guó)萬(wàn)網(wǎng)（）24搜索引擎Google：百度：25資源搜索共享資源建立共享的條件：安裝“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”組件，安裝NetBEUI協(xié)議。如果沒(méi)有安裝NetBEUI協(xié)議，那么只能使用IP地址來(lái)互相訪問(wèn)共享資源，如果安裝了NetBEUI協(xié)議，便可以在同一局域網(wǎng)內(nèi)使用主機(jī)名來(lái)互相訪問(wèn)共享資源。使用工具Legion（共享資源掃描器）使用Shed掃描哪些目錄共享Shed是基于NetBIOS的攻擊Windows的軟件。NetBIOS(NetworkBasicInputOutputSystem，網(wǎng)絡(luò)基本輸入輸出系統(tǒng))，是一種應(yīng)用程序接口(API)，作用是為局域網(wǎng)(LAN)添加特殊功能，幾乎所有的局域網(wǎng)電腦都是在NetBIOS基礎(chǔ)上工作的。在我們的Windows95、99、或Me中，NetBIOS是和TCP/IP捆綁在一起的,這是十分危險(xiǎn)的!但當(dāng)我們安裝TCP/IP協(xié)議時(shí)，默認(rèn)情況下NetBIOS和它的文件與打印共享功能也一起被裝進(jìn)了系統(tǒng)。當(dāng)NetBIOS運(yùn)行時(shí)，你的后門打開了:因?yàn)镹etBIOS不光允許局域網(wǎng)內(nèi)的用戶訪問(wèn)你的硬盤資源，Internet上的黑客也能!Shed正是利用了這一點(diǎn)。27使用Lansee局域網(wǎng)查看工具（LanSee）是一款主要用于對(duì)局域網(wǎng)(Internet上也適用)上的各種信息進(jìn)行查看的工具。采用多線程技術(shù)，搜索速度很快。它將局域網(wǎng)上比較實(shí)用的功能完美地融合在一起,比如搜索計(jì)算機(jī)（包括計(jì)算機(jī)名，IP地址，MAC地址，所在工作組，用戶），搜索共享資源(包括HTTP,FTP服務(wù))，搜索共享文件(包括FTP站點(diǎn)中的文件)，多線程復(fù)制文件（支持?jǐn)帱c(diǎn)傳輸），發(fā)短消息，高速端口掃描，數(shù)據(jù)包捕獲,查看本地計(jì)算機(jī)上活動(dòng)的端口,遠(yuǎn)程重啟/關(guān)閉計(jì)算機(jī)等,功能十分強(qiáng)大。該軟件是一款綠色軟件,解壓后直接打開運(yùn)行，無(wú)需安裝。28資源搜索FTP資源掃描使用工具：SFtp來(lái)掃描FTP站點(diǎn)信息29端口掃描掃描端口目的判斷目標(biāo)主機(jī)上開放了哪些服務(wù)判斷目標(biāo)主機(jī)的操作系統(tǒng)工具Nmapsuperscan30漏洞掃描X-Scan流光Fluxay

31結(jié)構(gòu)探測(cè)若要對(duì)一個(gè)網(wǎng)站發(fā)起入侵，入侵者必須首先了解目標(biāo)網(wǎng)絡(luò)的基本結(jié)構(gòu)圖形化的路由跟蹤工具VisualRoute?？梢允褂脤ｉT的VisualRoute軟件，也可以到/vr/使用該網(wǎng)站提供的VisualRoute功能路由跟蹤命令tracert32確定操作系統(tǒng)類型getos33DNS信息查詢Nslookup

在提示符下輸入nslookup命令，然后回車，將顯示本機(jī)所使用的DNS服務(wù)器的域名和IP地址，并進(jìn)入查詢狀態(tài)。343536Whois（他是誰(shuí)）程序

Internic（InternetInformationCenter）是一個(gè)機(jī)構(gòu)，提供關(guān)于Internet上的用戶和主機(jī)的信息。Whois是一個(gè)客戶程序，它與Internic（/whois.html）聯(lián)系，根據(jù)用戶的查詢返回相應(yīng)的信息。

37Whois（他是誰(shuí)）程序

38Whois（他是誰(shuí)）程序

39圖形界面的網(wǎng)絡(luò)工具ShadowScan40圖形界面的網(wǎng)絡(luò)工具IP-Tools41獲取目標(biāo)主機(jī)的一般權(quán)限對(duì)于陌生的目標(biāo)主機(jī)只知道它有一個(gè)ROOT用戶，要想登錄目標(biāo)主機(jī)至少要知道一個(gè)普通用戶。先設(shè)法盜竊帳戶文件，進(jìn)行破解，從中獲取某用戶的帳戶和口令，再尋覓合適時(shí)機(jī)以此身份進(jìn)入主機(jī)。當(dāng)然，也可利用某些工具或系統(tǒng)漏洞登錄主機(jī)。42獲取目標(biāo)主機(jī)的管理權(quán)限獲得管理員權(quán)限的方法有以下幾種：（1）獲得管理員用戶的口令；（2）利用系統(tǒng)管理上的安全漏洞；如錯(cuò)誤的文件訪問(wèn)權(quán)、錯(cuò)誤的系統(tǒng)配置、某些緩沖區(qū)溢出漏洞；（3）使用特洛伊木馬竊取管理員口令。

43隱藏自己的行蹤一般是通過(guò)清除日志、刪除拷貝的文件等手段來(lái)隱藏自己的蹤跡。也可以使用進(jìn)程隱藏、連接隱藏以及改變系統(tǒng)時(shí)間造成日志文件紊亂等方法。44破壞目標(biāo)主機(jī)或以此為跳板攻擊其他主機(jī)不同的黑客有不同的攻擊目的，可能是僅僅只是為了自己的成就感。也有的是為了實(shí)施竊取帳號(hào)密碼、信用卡號(hào)等經(jīng)濟(jì)偷竊。除了破壞系統(tǒng)之外，黑客還可以以目標(biāo)系統(tǒng)為跳板向其他系統(tǒng)發(fā)起攻擊，這樣既可以嫁禍他人，也可以隱藏自己的行蹤。45開辟后門，方便以后入侵一次成功的入侵會(huì)耗費(fèi)黑客大量的時(shí)間和精力，所以一般黑客在退出系統(tǒng)之前會(huì)更改某些系統(tǒng)設(shè)置、在系統(tǒng)中置入特洛伊木馬或其他一些遠(yuǎn)程操縱程序，以便日后可以不被覺(jué)察地再次進(jìn)入系統(tǒng)。46二、緩沖區(qū)溢出攻擊主要內(nèi)容概要緩沖區(qū)溢出攻擊分析檢測(cè)與防御47討厭的Windows又出錯(cuò)了！0x41414141?到底表示什么意思呢？

不知道...常見(jiàn)的情形點(diǎn)確定，關(guān)掉算了！48如何能夠進(jìn)行系統(tǒng)調(diào)用？刻意調(diào)整這個(gè)地址，使它能指向一段系統(tǒng)調(diào)用程序，如CMD.EXE49概念緩沖區(qū)溢出指的是一種系統(tǒng)攻擊的手段，通過(guò)向程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。50原因造成緩沖區(qū)溢出的原因是程序中沒(méi)有仔細(xì)檢查用戶輸入的參數(shù)。緩沖區(qū)溢出就是將一個(gè)超過(guò)緩沖區(qū)長(zhǎng)度的字符串置入緩沖區(qū)的結(jié)果．51后果向一個(gè)有限空間的緩沖區(qū)中置入過(guò)長(zhǎng)的字符串可能會(huì)帶來(lái)兩種后果一是過(guò)長(zhǎng)的字符串覆蓋了相鄰的存儲(chǔ)單元，引起程序運(yùn)行失敗，嚴(yán)重的可導(dǎo)致系統(tǒng)崩潰；另一種后果是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)，由此而引發(fā)了許多種攻擊方法。52堆棧從物理上講，堆棧是就是一段連續(xù)分配的內(nèi)存空間靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開始運(yùn)行的時(shí)候被加載動(dòng)態(tài)的局部變量則分配在堆棧里面從操作上來(lái)講，堆棧是一個(gè)先入后出的隊(duì)列，其生長(zhǎng)方向與內(nèi)存的生長(zhǎng)方向正好相反53規(guī)定內(nèi)存的生長(zhǎng)方向?yàn)橄蛏?，則棧的生長(zhǎng)方向?yàn)橄蛳拢瑝簵５牟僮鱬ush＝ESP-4，出棧的操作是pop=ESP+4在Win32系統(tǒng)中，ESP是堆棧指針寄存器，它指向當(dāng)前堆棧儲(chǔ)存區(qū)域的頂部。EBP是基址寄存器，它指向當(dāng)前堆棧儲(chǔ)存區(qū)的底部。當(dāng)要在堆棧中進(jìn)行搜索時(shí)，常常需要它作用一個(gè)靜態(tài)參考點(diǎn)。除此之外，EIP是指令指針，它指向下一條將要被執(zhí)行的指令。54在一次函數(shù)調(diào)用中，堆棧中將被依次壓入：參數(shù)，返回地址，EBP如果函數(shù)有局部變量，接下來(lái)，就在堆棧中開辟相應(yīng)的空間以構(gòu)造變量函數(shù)執(zhí)行結(jié)束，這些局部變量的內(nèi)容將被丟失。但是不被清除在函數(shù)返回的時(shí)候，彈出EBP，恢復(fù)堆棧到函數(shù)調(diào)用的地址，彈出返回地址到EIP以繼續(xù)執(zhí)行程序

/*function_call.c考察堆棧在函數(shù)調(diào)用中的變化*/voidfun(int);intmain(void){……

fun(1);……return0;}voidfun(intpara){charbuffer_a[8];charbuffer_b[8];……}動(dòng)作堆棧第一步：main函數(shù)壓入?yún)?shù)１第二步：main函數(shù)調(diào)用fun函數(shù)，系統(tǒng)壓入返回到main的地址第三步：fun函數(shù)將main函數(shù)的基址指針值壓入堆棧，同時(shí)將ＥＢＰ指向ＥＳＰ第四步：fun函數(shù)壓入它的局部變量para=1

para=1返回地址

para=1返回地址老的基址指針值

para=1返回地址老的基址指針值buffer_abuffer_b56在C語(yǔ)言程序中，參數(shù)的壓棧順序是反向的：比如func（a,b,c)。在參數(shù)入棧的時(shí)候，是先壓c，再壓b，最后壓a在取參數(shù)的時(shí)候，由于棧的先入后出，先取棧頂?shù)腶，再取b，最后取c57看一段小程序#include<stdio.h>

intmain()

{

charname[8];

printf("Pleasetypeyourname:");

gets(name);

printf("Hello,s!",name);

return0;

}

編譯并且執(zhí)行，我們輸入ipxodi,就會(huì)輸出Hello,ipxodi!。我們用gcc-S來(lái)獲得匯編語(yǔ)言輸出，可以看到main函數(shù)的開頭部分對(duì)應(yīng)如下語(yǔ)句：

pushl%ebpmovl%esp,%ebpsubl$8,%esp首先把EBP保存下來(lái)，然后EBP等于現(xiàn)在的ESP，這樣EBP就可以用來(lái)訪問(wèn)本函數(shù)的局部變量之后ESP減8，就是堆棧向上增長(zhǎng)8個(gè)字節(jié)，用來(lái)存放name[]數(shù)組?，F(xiàn)在堆棧的布局如下：59運(yùn)行時(shí)的堆棧分配

內(nèi)存底部

內(nèi)存頂部

name

EBP

ret

<

[

][

][

]

^;name

堆棧頂部

堆棧底部

60執(zhí)行完gets(name)之后

內(nèi)存底部

內(nèi)存頂部

name

EBP

ret

<[ipxodi\0][

][

]

^;name

堆棧頂部

堆棧底部

61堆棧溢出

再執(zhí)行一次，輸入ipxodiAAAAAAAAAAAAAAA,執(zhí)行完

gets（name）之后內(nèi)存底部

內(nèi)存頂部

name

EBP

ret

<[ipxodiAA][AAAA][AAAA]

^;name

堆棧頂部

堆棧底部

由于我們輸入的name字符串太長(zhǎng)，name數(shù)組容納不下，只好向內(nèi)存頂部繼續(xù)寫‘A’

由于堆棧的生長(zhǎng)方向與內(nèi)存的生長(zhǎng)方向相反，這些‘A’覆蓋了堆棧的老的元素EBP，ret都已經(jīng)被‘A’覆蓋了在main返回的時(shí)候，就會(huì)把‘

AAAA’

的ASCII碼：0x41414141作為返回地址，CPU會(huì)試圖執(zhí)行0x41414141處的指令，結(jié)果出現(xiàn)錯(cuò)誤，這就是一次堆棧溢出63攻擊成功發(fā)生必須同時(shí)滿足三個(gè)條件將攻擊代碼注入內(nèi)存將函數(shù)返回地址指針指向已注入攻擊代碼的內(nèi)存地址執(zhí)行攻擊代碼64阻止緩沖區(qū)溢出這種方法的關(guān)鍵是要能禁止惡意代碼的注入。最根本的辦法是采用安全的C語(yǔ)言庫(kù)函數(shù)的最新版本，或者由程序員編程時(shí)手工加入用以檢查數(shù)組與指針等的上界的代碼，對(duì)下列經(jīng)常使用又容易被攻擊者利用的函數(shù)更需特別重視。strcpy(),strcat(),sprintf(),vsprintf(),gets().scanf(),以及在循環(huán)內(nèi)的getc(),fgetc(),getchar()等65允許緩沖區(qū)溢出但不允許改變控制流這種方法允許注入外部代碼，但禁止未經(jīng)授權(quán)控制流的改變，因而攻擊者可以將其攻擊代碼注入內(nèi)存并能改變部分地址段內(nèi)容，但控制流不會(huì)被指向攻擊代碼，從而攻擊代碼不會(huì)被執(zhí)行。66允許改變控制流但禁止敏感代碼的執(zhí)行這種方法中，可以注入攻擊代碼、并能改變返回地址，但攻擊代碼不能完全執(zhí)行。比如可以禁止諸如exec()等系統(tǒng)調(diào)用函數(shù)的非法使用，在Unix中，當(dāng)程序使用系統(tǒng)調(diào)用函數(shù)時(shí)，其返回地址將被保存在系統(tǒng)內(nèi)核堆棧中，而不是普通堆棧中。這樣，通過(guò)檢查系統(tǒng)調(diào)用的地址是否來(lái)自系統(tǒng)內(nèi)核堆棧就可知道它是否合法。67安裝安全補(bǔ)丁及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并及時(shí)升級(jí)、打補(bǔ)丁68主要內(nèi)容一、攻擊概述二、緩沖區(qū)溢出攻擊三、掃描器四、惡意代碼五、網(wǎng)絡(luò)偵聽(tīng)六、拒絕服務(wù)攻擊七、欺騙技術(shù)八、網(wǎng)絡(luò)應(yīng)急響應(yīng)69什么是網(wǎng)絡(luò)掃描器掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地系統(tǒng)安全性弱點(diǎn)（漏洞）的程序。安全評(píng)估工具

系統(tǒng)管理員保障系統(tǒng)安全的有效工具，目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等各種對(duì)象。網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵者收集信息的重要手段70為什么需要網(wǎng)絡(luò)掃描器由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模迅猛增長(zhǎng)和計(jì)算機(jī)系統(tǒng)日益復(fù)雜，導(dǎo)致新的系統(tǒng)漏洞層出不窮由于系統(tǒng)管理員的疏忽或缺乏經(jīng)驗(yàn)，導(dǎo)致舊有的漏洞依然存在許多人出于好奇或別有用心，不停的窺視網(wǎng)上資源71網(wǎng)絡(luò)掃描器的主要功能掃描目標(biāo)主機(jī)識(shí)別其工作狀態(tài)（開/關(guān)機(jī)）識(shí)別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽(tīng)/關(guān)閉）識(shí)別目標(biāo)主機(jī)系統(tǒng)及服務(wù)程序的類型和版本根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點(diǎn)生成掃描結(jié)果報(bào)告72掃描器的工作原理TCP協(xié)議ICMP協(xié)議掃描器的基本工作原理73TCP協(xié)議（一）TCP是一種面向連接的，可靠的傳輸層協(xié)議。一次正常的TCP傳輸需要通過(guò)在客戶端和服務(wù)器之間建立特定的虛電路連接來(lái)完成，該過(guò)程通常被稱為“三次握手”。TCP通過(guò)數(shù)據(jù)分段中的序列號(hào)保證所有傳輸?shù)臄?shù)據(jù)可以在遠(yuǎn)端按照正常的次序進(jìn)行重組，而且通過(guò)確認(rèn)保證數(shù)據(jù)傳輸?shù)耐暾浴?4來(lái)源端口（2字節(jié)）目的端口（2字節(jié)）窗口大?。?字節(jié)）確認(rèn)序號(hào)（4字節(jié)）序號(hào)（4字節(jié)）保留（6位）TCP協(xié)議（二）75TCP協(xié)議（三）TCP控制位CTLACK： 確認(rèn)標(biāo)志RST： 復(fù)位標(biāo)志URG：緊急標(biāo)志SYN： 建立連接標(biāo)志PSH： 推標(biāo)志FIN： 結(jié)束標(biāo)志76TCP協(xié)議（四）TCP連接建立示意圖77ICMP協(xié)議（一）InternetControlMessageProtocol，是IP的一部分，在IP協(xié)議棧中必須實(shí)現(xiàn)。用途：網(wǎng)關(guān)或者目標(biāo)機(jī)器利用ICMP與源通訊當(dāng)出現(xiàn)問(wèn)題時(shí)，提供反饋信息用于報(bào)告錯(cuò)誤特點(diǎn)：其控制能力并不用于保證傳輸?shù)目煽啃运旧硪膊皇强煽總鬏數(shù)牟⒉挥脕?lái)反映ICMP報(bào)文的傳輸情況78ICMP協(xié)議（二）ICMP報(bào)文類型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply79掃描器的基本工作原理80安全掃描工具

基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)?；诰W(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機(jī)、訪問(wèn)服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測(cè)試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍（IP地址或路由器跳數(shù)）。

81網(wǎng)絡(luò)掃描的主要技術(shù)主機(jī)掃描技術(shù)端口掃描技術(shù)82主機(jī)掃描技術(shù)－傳統(tǒng)技術(shù)主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息收集的初級(jí)階段，其效果直接影響到后續(xù)的掃描。常用的傳統(tǒng)掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描83ICMPecho掃描實(shí)現(xiàn)原理：Ping的實(shí)現(xiàn)機(jī)制，在判斷在一個(gè)網(wǎng)絡(luò)上主機(jī)是否開機(jī)時(shí)非常有用。向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等待回復(fù)的ICMPEchoReply包(type0)。如果能收到，則表明目標(biāo)系統(tǒng)可達(dá)，否則表明目標(biāo)系統(tǒng)已經(jīng)不可達(dá)或發(fā)送的包被對(duì)方的設(shè)備過(guò)濾掉。優(yōu)點(diǎn)：簡(jiǎn)單，系統(tǒng)支持缺點(diǎn)：很容易被防火墻限制可以通過(guò)并行發(fā)送，同時(shí)探測(cè)多個(gè)目標(biāo)主機(jī)，以提高探測(cè)效率（ICMPSweep掃描）。84BroadcastICMP掃描實(shí)現(xiàn)原理：將ICMPECHOrequest包的目標(biāo)地址設(shè)為廣播地址或網(wǎng)絡(luò)地址，則可以探測(cè)廣播域或整個(gè)網(wǎng)絡(luò)范圍內(nèi)的主機(jī)。缺點(diǎn)：只適合于UNIX/Linux系統(tǒng)，Windows會(huì)忽略這種請(qǐng)求包；這種掃描方式容易引起廣播風(fēng)暴85Non-EchoICMP掃描一些其它ICMP類型包也可以用于對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備的探測(cè)，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)86主機(jī)掃描技術(shù)－高級(jí)技術(shù)防火墻和網(wǎng)絡(luò)過(guò)濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測(cè)手段變得無(wú)效。為了突破這種限制，必須采用一些非常規(guī)的手段，利用ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯(cuò)誤信息的手段，往往可以更有效的達(dá)到目的：異常的IP包頭在IP頭中設(shè)置無(wú)效的字段值錯(cuò)誤的數(shù)據(jù)分片通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器反向映射探測(cè)87異常的IP包頭向目標(biāo)主機(jī)發(fā)送包頭錯(cuò)誤的IP包，目標(biāo)主機(jī)或過(guò)濾設(shè)備會(huì)反饋ICMPParameterProblemError信息。常見(jiàn)的偽造錯(cuò)誤字段為HeaderLengthField和IPOptionsField。根據(jù)RFC1122的規(guī)定，主機(jī)應(yīng)該檢測(cè)IP包的VersionNumber、Checksum字段,路由器應(yīng)該檢測(cè)IP包的Checksum字段。不同廠家的路由器和操作系統(tǒng)對(duì)這些錯(cuò)誤的處理方式不同，返回的結(jié)果也各異。如果結(jié)合其它手段，可以初步判斷目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)過(guò)濾設(shè)備的訪問(wèn)列表ACL。88在IP頭中設(shè)置無(wú)效的字段值向目標(biāo)主機(jī)發(fā)送的IP包中填充錯(cuò)誤的字段值，目標(biāo)主機(jī)或過(guò)濾設(shè)備會(huì)反饋ICMPDestinationUnreachable信息。這種方法同樣可以探測(cè)目標(biāo)主機(jī)和網(wǎng)絡(luò)設(shè)備以及其ACL。89錯(cuò)誤的數(shù)據(jù)分片當(dāng)目標(biāo)主機(jī)接收到錯(cuò)誤的數(shù)據(jù)分片（如某些分片丟失），并且在規(guī)定的時(shí)間間隔內(nèi)得不到更正時(shí)，將丟棄這些錯(cuò)誤數(shù)據(jù)包，并向發(fā)送主機(jī)反饋ICMPFragmentReassemblyTimeExceeded錯(cuò)誤報(bào)文。利用這種方法同樣可以檢測(cè)到目標(biāo)主機(jī)和網(wǎng)絡(luò)過(guò)濾設(shè)備及其ACL。90通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長(zhǎng)度超過(guò)目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標(biāo)志,該路由器會(huì)反饋FragmentationNeededandDon’tFragmentBitwasSet差錯(cuò)報(bào)文，從而獲取目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。91反向映射探測(cè)該技術(shù)用于探測(cè)被過(guò)濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機(jī)。通常這些系統(tǒng)無(wú)法從外部直接到達(dá)。當(dāng)我們想探測(cè)某個(gè)未知網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)時(shí)，可以構(gòu)造可能的內(nèi)部IP地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當(dāng)對(duì)方路由器接收到這些數(shù)據(jù)包時(shí)，會(huì)進(jìn)行IP識(shí)別并路由，對(duì)不在其服務(wù)的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯(cuò)誤報(bào)文，沒(méi)有接收到相應(yīng)錯(cuò)誤報(bào)文的IP地址會(huì)可被認(rèn)為在該網(wǎng)絡(luò)中。當(dāng)然，這種方法也會(huì)受到過(guò)濾設(shè)備的影響。92端口掃描技術(shù)當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽(tīng)的端口。端口掃描技術(shù)主要包括以下三類：開放掃描（TCPConnect掃描）會(huì)產(chǎn)生大量審計(jì)數(shù)據(jù)，易被對(duì)方發(fā)現(xiàn)，但其可靠性高隱蔽掃描（TCPFIN掃描、分段掃描）能有效的避免對(duì)方入侵檢測(cè)系統(tǒng)和防火墻的檢測(cè)，但這種掃描使用的數(shù)據(jù)包在通過(guò)網(wǎng)絡(luò)時(shí)容易被丟棄從而產(chǎn)生錯(cuò)誤的探測(cè)信息；半開放掃描（TCPSYN掃描）隱蔽性和可靠性介于前兩者之間。93開放掃描TCPConnect掃描實(shí)現(xiàn)原理：通過(guò)調(diào)用socket函數(shù)connect()連接到目標(biāo)計(jì)算機(jī)上，完成一次完整的三次握手過(guò)程。如果端口處于偵聽(tīng)狀態(tài)，那么connect()就能成功返回。否則，這個(gè)端口不可用，即沒(méi)有提供服務(wù)。優(yōu)點(diǎn)：穩(wěn)定可靠，不需要特殊的權(quán)限缺點(diǎn)：掃描方式不隱蔽，服務(wù)器日志會(huì)記錄下大量密集的連接和錯(cuò)誤記錄，并容易被防火墻發(fā)現(xiàn)和屏蔽94開放掃描TCPConnect掃描SYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)?。〢CK（確認(rèn)連接）發(fā)起方應(yīng)答方95半開放掃描TCPSYN掃描實(shí)現(xiàn)原理：掃描器向目標(biāo)主機(jī)端口發(fā)送SYN包。如果應(yīng)答是RST包，那么說(shuō)明端口是關(guān)閉的；如果應(yīng)答中包含SYN和ACK包，說(shuō)明目標(biāo)端口處于監(jiān)聽(tīng)狀態(tài)，再傳送一個(gè)RST包給目標(biāo)機(jī)從而停止建立連接。在SYN掃描時(shí)，全連接尚未建立，所以這種技術(shù)通常被稱為半連接掃描優(yōu)點(diǎn)：隱蔽性較全連接掃描好，一般系統(tǒng)對(duì)這種半掃描很少記錄缺點(diǎn)：通常構(gòu)造SYN數(shù)據(jù)包需要超級(jí)用戶或者授權(quán)用戶訪問(wèn)專門的系統(tǒng)調(diào)用96隱蔽掃描技術(shù)TCPFIN掃描分段掃描97TCPFIN掃描實(shí)現(xiàn)原理：掃描器向目標(biāo)主機(jī)端口發(fā)送FIN包。當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，數(shù)據(jù)包會(huì)被丟掉，并且返回一個(gè)RST數(shù)據(jù)包。否則，若是打開的端口，數(shù)據(jù)包只是簡(jiǎn)單的丟掉（不返回RST）。優(yōu)點(diǎn)：由于這種技術(shù)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，所以無(wú)法被記錄下來(lái)，從而必SYN掃描隱蔽得多，F(xiàn)IN數(shù)據(jù)包能夠通過(guò)只監(jiān)測(cè)SYN包的包過(guò)濾器。缺點(diǎn)：跟SYN掃描類似，需要自己構(gòu)造數(shù)據(jù)包，要求由超級(jí)用戶或者授權(quán)用戶訪問(wèn)專門的系統(tǒng)調(diào)用；通常適用于UNIX目標(biāo)主機(jī)。但在Windows95/NT環(huán)境下，該方法無(wú)效，因?yàn)椴徽撃繕?biāo)端口是否打開，操作系統(tǒng)都返回RST包。98分段掃描實(shí)現(xiàn)原理：并不直接發(fā)送TCP探測(cè)數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個(gè)較小的IP段。這樣就將一個(gè)TCP頭分成好幾個(gè)數(shù)據(jù)包，從而包過(guò)濾器就很難探測(cè)到。優(yōu)點(diǎn)：隱蔽性好，可穿越防火墻缺點(diǎn)：可能被丟棄；某些程序在處理這些小數(shù)據(jù)包時(shí)會(huì)出現(xiàn)異常。99UDP端口掃描UDP是無(wú)連接的向某個(gè)端口發(fā)送UDP數(shù)據(jù)如果該端口關(guān)閉，會(huì)觸發(fā)ICMPportunreachable缺點(diǎn)有的系統(tǒng)限制了ICMP的發(fā)送速率100nmap掃描器NMap，也就是NetworkMapper探測(cè)一組主機(jī)是否在線掃描主機(jī)端口，嗅探所提供的網(wǎng)絡(luò)服務(wù)推斷主機(jī)所用的操作系統(tǒng)獲取Nmap幫助，命令行下運(yùn)行不帶參數(shù)的nmap101Nmap用法nmap[ScanType(s)][Options]{targetspecification}目標(biāo)主機(jī)Ex:,/24,;10.0.0-255.1-254目標(biāo)端口Ex:-p22;-p1-65535;-pU:53,111,137,T:21-25,80,139,8080掃描技術(shù)-sS/sT/sA/sW/sM:TCPSYN/Connect()/ACK/Window/Maimonscans-sN/sF/sX:TCPNull,FIN,andXmasscans102開放掃描TCPConnect掃描nmap

-sT

28在使用nmap的同時(shí)，在另一個(gè)terminal中用tcpdump察看nmap發(fā)送和接收的數(shù)據(jù)包windump-D列出當(dāng)前系統(tǒng)中所有的網(wǎng)絡(luò)設(shè)備接口WinDump.exe-i3監(jiān)聽(tīng)第三個(gè)網(wǎng)絡(luò)接口設(shè)備103ICMPSweep掃描nmap-sP/24104半開放掃描TCPSYN掃描nmap

-sS

28105UDP端口掃描UDP掃描發(fā)送空的(沒(méi)有數(shù)據(jù))UDP報(bào)頭到每個(gè)目標(biāo)端口nmap

-sU

28106確定目標(biāo)機(jī)支持哪些IP協(xié)議(TCP，ICMP，IGMP等)nmap

-sO

28107探測(cè)目標(biāo)主機(jī)的操作系統(tǒng)nmap

-O

28nmap

-A

28108主要內(nèi)容一、攻擊概述二、緩沖區(qū)溢出攻擊三、掃描器四、惡意代碼五、網(wǎng)絡(luò)偵聽(tīng)六、拒絕服務(wù)攻擊七、欺騙技術(shù)八、網(wǎng)絡(luò)應(yīng)急響應(yīng)109惡意代碼從廣義上定義，惡意代碼指具有在信息系統(tǒng)上執(zhí)行非授權(quán)進(jìn)程能力的代碼。通常惡意代碼具有各種各樣的形態(tài)，能夠引起計(jì)算機(jī)不同程度的故障，破壞計(jì)算機(jī)正常運(yùn)行。早期的惡意代碼主要是指計(jì)算機(jī)病毒（Virus），但目前，蠕蟲(Worm)、惡意網(wǎng)頁(yè)（maliciouswebpage）、特洛伊木馬（TrojanHorse）、邏輯炸彈（Logicbombs）以及后門（backdoor）等其他形式的惡意代碼日益興盛。

110惡意代碼危害的例子用于DDoS攻擊破壞用戶數(shù)據(jù)泄漏用戶秘密更改手機(jī)設(shè)置即時(shí)通信中插入惡意的圖片和聲音文件彈出廣告更改IE設(shè)置……

111惡意代碼的簡(jiǎn)單比較Internet蠕蟲病毒郵件文件系統(tǒng)病毒網(wǎng)頁(yè)腳本木馬傳播速度極快快一般慢慢傳播方式自動(dòng)半自動(dòng)半自動(dòng)人工人工影響對(duì)象網(wǎng)絡(luò)網(wǎng)絡(luò)主機(jī)主機(jī)主機(jī)防治難度難難易易一般經(jīng)濟(jì)損失嚴(yán)重較大較大一般一般112各種惡意代碼的融合趨勢(shì)病毒、蠕蟲、木馬之間的界限已經(jīng)不再明顯；綜合使用多種攻擊手段：傳播：計(jì)算機(jī)系統(tǒng)的漏洞、電子郵件、文件共享、Web瀏覽、即時(shí)通訊工具等社會(huì)工程（socialengineering)113惡意代碼的分類計(jì)算機(jī)病毒：一組能夠進(jìn)行自我傳播、需要用戶干預(yù)來(lái)觸發(fā)執(zhí)行的破壞性程序或代碼。如CIH、愛(ài)蟲、新歡樂(lè)時(shí)光、求職信、惡鷹、rose…網(wǎng)絡(luò)蠕蟲:一組能夠進(jìn)行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼。其通過(guò)不斷搜索和侵入具有漏洞的主機(jī)來(lái)自動(dòng)傳播。如紅色代碼、SQL蠕蟲王、沖擊波、震蕩波、極速波…特洛伊木馬：是指一類看起來(lái)具有正常功能，但實(shí)際上隱藏著很多用戶不希望功能的程序。通常由控制端和被控制端兩端組成。如冰河、網(wǎng)絡(luò)神偷、灰鴿子……114惡意代碼的分類（續(xù)）后門：使得攻擊者可以對(duì)系統(tǒng)進(jìn)行非授權(quán)訪問(wèn)的一類程序。如Bits、WinEggDrop、Tini…RootKit：通過(guò)修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問(wèn)權(quán)并隱藏在計(jì)算機(jī)中的程序。如RootKit、Hkdef、ByShell…拒絕服務(wù)程序，黑客工具，廣告軟件，間諜軟件，惡意網(wǎng)頁(yè)……115病毒發(fā)展史（續(xù)1）引導(dǎo)區(qū)病毒臺(tái)式電腦第1代第2代第3代第4代臺(tái)式電腦臺(tái)式電腦臺(tái)式電腦臺(tái)式電腦LAN服務(wù)器基于文件的病毒郵件群發(fā)病毒互聯(lián)網(wǎng)防毒墻電子郵件

服務(wù)器墻臺(tái)式電腦筆記本電腦網(wǎng)絡(luò)病毒互聯(lián)網(wǎng)防毒墻服務(wù)器服務(wù)器服務(wù)器服務(wù)器臺(tái)式電腦臺(tái)式電腦臺(tái)式電腦筆記本電腦已打補(bǔ)丁的機(jī)器網(wǎng)絡(luò)擁堵116什么是計(jì)算機(jī)蠕蟲計(jì)算機(jī)蠕蟲是指通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播的病毒，泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞甚至癱瘓。第一個(gè)Internet蠕蟲是出現(xiàn)于1988年的Morris病毒MORRIS的作者是一名康奈爾大學(xué)的研究生，而他的父親當(dāng)時(shí)是美國(guó)政府頂級(jí)計(jì)算機(jī)安全專家。MORRIS共感染了連接到互聯(lián)網(wǎng)上的6000臺(tái)大學(xué)和軍用計(jì)算機(jī)，盡管在此之前已經(jīng)出現(xiàn)了互聯(lián)網(wǎng)病毒，但傳播范圍卻沒(méi)有如此廣泛。MORRIS作者最初的目的并不是癱瘓其它計(jì)算機(jī)，而是寫出可以自我復(fù)制的軟件。但是，由于程序的循環(huán)沒(méi)有處理好，計(jì)算機(jī)會(huì)不停地執(zhí)行、復(fù)制MORRIS，最終導(dǎo)致死機(jī)。

117蠕蟲病毒的特點(diǎn)傳播途徑是網(wǎng)絡(luò)傳播速度快傳播面積廣可能造成的危害程度高118蠕蟲特點(diǎn)——傳播快紅色代碼病毒（CodeRed）爆發(fā)15分鐘內(nèi)，受害計(jì)算機(jī)遍布全球爆發(fā)9小時(shí)內(nèi)感染了超過(guò)250,000臺(tái)計(jì)算機(jī)沒(méi)有文件實(shí)體可以傳播復(fù)制的電子信號(hào)網(wǎng)絡(luò)幽靈119蠕蟲特點(diǎn)——傳播廣120蠕蟲特點(diǎn)——危害高網(wǎng)絡(luò)擁擠

2004年初，I-Worm/Netsky、I-Worm/BBEagle、I-Worm/MyDoom三大蠕蟲病毒一齊爆發(fā)，蠶食25%網(wǎng)絡(luò)帶寬。DoS（DenialofService）攻擊

I-Worm/MyDoom.a蠕蟲定于爆發(fā)后1星期對(duì)發(fā)動(dòng)DoS攻擊。sco網(wǎng)站雖積極備戰(zhàn)，但由于感染點(diǎn)過(guò)多，在遭受攻擊當(dāng)天即陷入癱瘓。經(jīng)濟(jì)損失巨大

I-Worm/CodeRed:20億美元 I-Worm/Sobig:26億美元……121計(jì)算機(jī)蠕蟲的類型系統(tǒng)漏洞型群發(fā)郵件型共享型寄生型混合型…………122系統(tǒng)漏洞型病毒紅色代碼(IIS-Worm/CodeRed)尼姆達(dá)(I-Worm/Nimda)求職信(I-Worm/Klez)沖擊波(I-Worm/Blaster)震蕩波(I-Worm/Sasser)安哥(Backdoor/Agobot)……123系統(tǒng)漏洞型病毒特點(diǎn)：利用系統(tǒng)設(shè)計(jì)漏洞主動(dòng)感染傳播軟件系統(tǒng)漏洞曝光數(shù)量逐年增加，漏洞型病毒滋生環(huán)境越來(lái)越好軟件系統(tǒng)漏洞曝光表124Internet攻擊模式WORM_SASSER.A染毒電腦未修補(bǔ)漏洞的系統(tǒng)已修補(bǔ)漏洞的系統(tǒng)隨機(jī)攻擊隨機(jī)攻擊隨機(jī)攻擊被感染不被感染不被感染被感染被感染不被感染不被感染125群發(fā)郵件型蠕蟲特點(diǎn)：種類、變種眾多，是最常見(jiàn)的一類蠕蟲病毒求職信(I-Worm/Klez)大無(wú)極(I-Worm/Sobig)網(wǎng)絡(luò)天空(I-Worm/Netsky)雛鷹(I-Worm/BBEagle)挪威客(I-Worm/MyDoom)126共享型蠕蟲利用局域網(wǎng)共享或P2P共享軟件傳播的蠕蟲通常將自身復(fù)制到局域網(wǎng)共享文件夾或P2P軟件的共享目錄復(fù)本文件名通常很有誘惑力，引誘其他用戶下載執(zhí)行127寄生型蠕蟲利用已泛濫病毒做平臺(tái)傳播，達(dá)到迅速傳播的目的震蕩波(I-Worm/Sasser)利用Windows系統(tǒng)漏洞傳播但震蕩波病毒本身的設(shè)計(jì)也有漏洞匕首病毒(I-Worm/Dabber)利用震蕩波病毒程序的漏洞傳播128混合型蠕蟲同時(shí)具有漏洞型、郵件型、共享型和寄生型的某些或全部特征傳播能力和危害最大求職信(I-Worm/Klez)超級(jí)密碼殺手(愛(ài)情后門，I-Worm/Supkp)網(wǎng)絡(luò)天空(I-Worm/Netsky)雛鷹(I-Worm/BBEagle)……129蠕蟲的爆發(fā)周期越來(lái)越短…漏洞發(fā)現(xiàn)攻擊代碼蠕蟲爆發(fā)控制清除越來(lái)越短越來(lái)越長(zhǎng)，越來(lái)越難漏洞公布和蠕蟲爆發(fā)的間隔越來(lái)越短最佳時(shí)機(jī)及時(shí)太晚了130

沖擊波2003年8月11日補(bǔ)?。篗S03-0262003年7月16日補(bǔ)丁：

MS02-0392002年7月24日蠕蟲王2003年1月25日時(shí)間間隔26天185天336天尼姆達(dá)補(bǔ)?。?/p>

MS00-0782000年10月17日2001年9月18日震蕩波2004年5月1日補(bǔ)丁：MS04-011

2004年4月13日18

天131蠕蟲功能結(jié)構(gòu)模型132腳本病毒更甚于宏病毒－腳本病毒腳本語(yǔ)言的廣泛應(yīng)用“愛(ài)蟲”（LoveLetter）新的“歡樂(lè)時(shí)光”（VBS.KJ）“中文求職信”（donghe）133網(wǎng)頁(yè)病毒利用IE的ActiveX漏洞的病毒修改用戶的IE設(shè)置、注冊(cè)表選項(xiàng)下載木馬、惡意程序或病毒格式化用戶硬盤或刪除用戶的文件不具有傳染性，更重主動(dòng)攻擊性惡意網(wǎng)站（“愛(ài)情森林”）134特點(diǎn)和趨勢(shì)以網(wǎng)絡(luò)環(huán)境傳播為主，帶有主動(dòng)傳播的特征網(wǎng)絡(luò)蠕蟲將成為最主要和破壞性最大的病毒

“網(wǎng)頁(yè)病毒”將成為重要的破壞手段技術(shù)上具有混合型特征（A、綜合多種已有技術(shù)，B、蠕蟲、木馬、黑客程序相互結(jié)合）對(duì)自身進(jìn)行不斷完善，形成家族病毒依賴于系統(tǒng)，利用系統(tǒng)漏洞和內(nèi)核高級(jí)語(yǔ)言編寫，更易于制造135特洛伊木馬一個(gè)特洛伊程序是：一種未經(jīng)授權(quán)的程序，它包含在一段正常的程序當(dāng)中。這個(gè)未經(jīng)授權(quán)的程序提供了一些用戶不知道的（也可能是不希望實(shí)現(xiàn)的）功能。136特洛伊木馬啟動(dòng)方式自動(dòng)啟動(dòng)：木馬一般會(huì)存在三個(gè)地方:注冊(cè)表、win.ini、system.ini,因?yàn)殡娔X啟動(dòng)的時(shí)候,需要裝載這三個(gè)文件,大部分木馬是使用這三種方式啟動(dòng)的。捆綁方式啟動(dòng)：可以捆綁到一般的常用程序上。非捆綁方式的木馬因?yàn)闀?huì)在注冊(cè)表等位置留下痕跡,所以,很容易被發(fā)現(xiàn),而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬有很強(qiáng)的隱蔽性。137加載方式開始菜單的啟動(dòng)項(xiàng)，基本上沒(méi)有木馬會(huì)用這種方式。在Winstart.bat中啟動(dòng)。在Autoexec.bat和Config.sys中加載運(yùn)行。win.ini/system.ini：有部分木馬采用，不太隱蔽。注冊(cè)表：隱蔽性強(qiáng)，多數(shù)木馬采用。服務(wù)：隱蔽性強(qiáng)，多數(shù)木馬采用。修改文件關(guān)聯(lián)。138加載方式－啟動(dòng)文件

Win.ini:[Windows]

run=c:\windows\file.exe

load=c:\windows\file.exeSystem.ini：

[boot]shell=explorer.exefile.exe139加載方式－注冊(cè)表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run140加載方式－服務(wù)141加載方式－修改文件關(guān)聯(lián)正常情況下TXT文件的打開方式是啟動(dòng)Notepad.EXE來(lái)打開TXT文件。關(guān)聯(lián)木馬通過(guò)修改關(guān)聯(lián)方式來(lái)加載木馬，則TXT文件打開方式就會(huì)被修改為用木馬程序打開：

HKEY_CLASSES_ROOT\txtfile\shell\open\command

%SystemRoot%\system32\NOTEPAD.EXE%1

%path%這樣，當(dāng)雙擊一個(gè)TXT文件，原本應(yīng)用Notepad.EXE打開的TXT文件，現(xiàn)在卻變成啟動(dòng)木馬程序。142存放位置及文件名木馬的服務(wù)器程序文件一般位置是在c:\windows和c:\windows\system中,因?yàn)閣indows的一些系統(tǒng)文件在這兩個(gè)位置。木馬的文件名總是盡量和windows的系統(tǒng)文件接近,比如木馬SubSeven1.7版本的服務(wù)器文件名是c:\windows\KERNEL16.DL,而windows由一個(gè)系統(tǒng)文件是c:\windows\KERNEL32.DLL,刪除KERNEL32.DLL會(huì)讓機(jī)器癱瘓。木馬SubSeven1.5版本服務(wù)器文件名是c:\windows\window.exe,少一個(gè)s143特洛伊木馬隱蔽性隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段來(lái)隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定木馬的具體位置，也就沒(méi)有辦法刪掉。首先應(yīng)該明確的是受害者的機(jī)器上運(yùn)行的木馬程序我們稱之為服務(wù)端，控制者機(jī)器上運(yùn)行的我們稱之為客戶端144特洛伊木馬隱蔽性使用TCP協(xié)議，服務(wù)端偵聽(tīng)，客戶端連接。這是最簡(jiǎn)單，最早，最廣泛使用的一種通訊方案。使用工具可以很容易的發(fā)現(xiàn)在某一端口上偵聽(tīng)的進(jìn)程，以及進(jìn)程對(duì)應(yīng)的可執(zhí)行文件。如果服務(wù)端裝有防火墻，那么客戶端發(fā)起的連接就會(huì)被防火墻攔截。如果局域網(wǎng)內(nèi)通過(guò)代理上網(wǎng)的電腦，因?yàn)楸緳C(jī)沒(méi)有獨(dú)立的IP地址(只有局域網(wǎng)的IP地址)，所以也不能正常使用。145特洛伊木馬隱蔽性使用TCP協(xié)議，客戶端偵聽(tīng)，服務(wù)端連接。這就是所謂的反向連接技術(shù)了。防火墻對(duì)于連入的連接往往會(huì)進(jìn)行非常嚴(yán)格的過(guò)濾，但是對(duì)于連出的連接卻疏于防范。于是，出現(xiàn)了反彈式（主動(dòng)式）木馬，即：服務(wù)端(被控制端)主動(dòng)連接客戶端(控制端)，而不是被動(dòng)的等待客戶端發(fā)送命令。為了隱蔽起見(jiàn)，客戶端的監(jiān)聽(tīng)端口一般開在80(提供HTTP服務(wù)的端口)，這樣，即使用戶使用端口掃描軟件檢查自己的端口，會(huì)以為是自己在瀏覽網(wǎng)頁(yè)(防火墻也會(huì)這么認(rèn)為的)。146特洛伊木馬隱蔽性連接請(qǐng)求連接請(qǐng)求80147特洛伊木馬隱蔽性這種反向連接技術(shù)要解決的一個(gè)問(wèn)題是，服務(wù)端如何找到客戶端。方法是客戶端通過(guò)一個(gè)有固定IP或者固定域名的第三方發(fā)布自己的IP，比如通過(guò)一個(gè)公共的郵箱，通過(guò)一個(gè)個(gè)人主頁(yè)。當(dāng)客戶端想與服務(wù)端建立連接時(shí)，它首先登錄某個(gè)WEB服務(wù)器，把信息寫到主頁(yè)上面的一個(gè)文件，并打開端口監(jiān)聽(tīng)，等待服務(wù)端的連接；服務(wù)端則定期的用HTTP協(xié)議讀取這個(gè)文件的內(nèi)容，當(dāng)發(fā)現(xiàn)是客戶端讓自己開始連接時(shí)，就主動(dòng)連接，如此就可完成連接工作。如網(wǎng)絡(luò)神偷。

148網(wǎng)絡(luò)神偷

“網(wǎng)絡(luò)神偷（Trojan.Nethief.46）”病毒：警惕程度★★★，木馬病毒，通過(guò)網(wǎng)絡(luò)傳播，依賴系統(tǒng):WIN9X/NT/2000/XP。

病毒會(huì)將自己拷貝到系統(tǒng)目錄下命名為：Iexplorer.exe，然后在注冊(cè)表的自啟動(dòng)項(xiàng)中添加“InternetExplorer”的病毒鍵值。運(yùn)行時(shí)會(huì)每隔一分鐘就連接一次病毒網(wǎng)站，并與病毒作者進(jìn)行溝通，企圖控制用戶的電腦，給用戶帶來(lái)?yè)p失。

反病毒專家建議：建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站；關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)；很多病毒利用漏洞傳播，一定要及時(shí)給系統(tǒng)打補(bǔ)?。话惭b專業(yè)的防毒軟件進(jìn)行實(shí)時(shí)監(jiān)控，平時(shí)上網(wǎng)的時(shí)候一定要打開防病毒軟件的實(shí)時(shí)監(jiān)控功能。149特洛伊木馬隱蔽性使用UDP協(xié)議，服務(wù)端偵聽(tīng)，客戶端連接；客戶端偵聽(tīng)，服務(wù)端連接。方法和安全性與使用TCP協(xié)議差不多。需要注意的是UDP不是一個(gè)可靠的協(xié)議，所以，必須在UDP協(xié)議的基礎(chǔ)上設(shè)計(jì)一個(gè)自己的可靠的報(bào)文傳遞協(xié)議。

150特洛伊木馬隱蔽性解決防火墻問(wèn)題，無(wú)論是服務(wù)端被動(dòng)偵聽(tīng)，還是服務(wù)端主動(dòng)連接，在服務(wù)端和客戶端試圖建立連接時(shí)都會(huì)引起防火墻得報(bào)警。一種方法是代碼注入，服務(wù)端將自己注入到一個(gè)可以合法的與外界進(jìn)行網(wǎng)絡(luò)通訊的進(jìn)程(比如IE，ICQ，IIS等）的地址空間中，然后或者可以以一個(gè)新線程的形式運(yùn)行，或者只是修改宿主進(jìn)程，截獲宿主進(jìn)程的網(wǎng)絡(luò)系統(tǒng)調(diào)用(WinSock)。如果是以新線程的形式運(yùn)行，那么然后或者可以被動(dòng)偵聽(tīng)，或者可以主動(dòng)連接。151特洛伊木馬隱蔽性用ICMP來(lái)通訊。使用TCP/IP協(xié)議族中的ICMP協(xié)議而非TCP/UDP來(lái)進(jìn)行通訊，從而瞞過(guò)Netstat和端口掃描軟件。ICMP是IP協(xié)議的附屬協(xié)議，它是由內(nèi)核或進(jìn)程直接處理而不需要通過(guò)端口。一般的ICMP木馬會(huì)監(jiān)聽(tīng)I(yíng)CMP報(bào)文，當(dāng)出現(xiàn)特殊的報(bào)文時(shí)（比如特殊大小的包、特殊的報(bào)文結(jié)構(gòu)等）它就會(huì)打開TCP端口等待控制端的連接.一個(gè)真正意義上的ICMP木馬則會(huì)嚴(yán)格地使用ICMP協(xié)議來(lái)進(jìn)行數(shù)據(jù)和控制命令的傳遞（數(shù)據(jù)放在ICMP的報(bào)文中）。152特洛伊木馬隱蔽性進(jìn)程隱藏就是指把木馬寫入到驅(qū)動(dòng)和內(nèi)核的級(jí)別，通過(guò)攔截系統(tǒng)調(diào)用的服務(wù)，用替代系統(tǒng)功能（改寫驅(qū)動(dòng)程序或動(dòng)態(tài)鏈接庫(kù)）或者說(shuō)是嵌入式的方法，例如，如果系統(tǒng)運(yùn)行windows.exe，實(shí)際上同時(shí)運(yùn)行了木馬和windows.exe。而木馬則嵌入在windows.exe中，能看到，但沒(méi)法刪除，因?yàn)閣indows.exe是系統(tǒng)進(jìn)程，不允許刪除。這樣，就相當(dāng)于隱藏了木馬進(jìn)程。153特洛伊木馬潛伏性木馬還具有很強(qiáng)的潛伏能力,表面上的木馬被發(fā)現(xiàn)并刪除以后,后備的木馬在一定的條件下會(huì)跳出來(lái)。Glacier有兩個(gè)服務(wù)器程序,C:\Windows\System\Kernel32.exe掛在注冊(cè)表的啟動(dòng)組中,當(dāng)電腦啟動(dòng)的時(shí)候,會(huì)裝入內(nèi)存,這是表面上的木馬;另一個(gè)是C:\Windows\System\Sysexplr.exe,也在注冊(cè)表中,它修改了文本文件的關(guān)聯(lián),當(dāng)點(diǎn)擊文本文件的時(shí)候,它就啟動(dòng)了。154如何對(duì)付木馬1.必須提高防范意識(shí),不要打開陌生人信中的附件。

2.多讀readme.txt。許多人出于研究目的下載了一些特洛伊木馬程序的軟件包,往往錯(cuò)誤地執(zhí)行了服務(wù)器端程序3.使用殺毒軟件。4.立即掛斷。155如何對(duì)付木馬5.觀察目錄。普通用戶應(yīng)當(dāng)經(jīng)常觀察位于c：\、c：\windows、c：\windows\system這三個(gè)目錄下的文件。用“記事本”逐一打開c：\下的非執(zhí)行類文件（除exe、bat、com以外的文件）,查看是否發(fā)現(xiàn)特洛伊木馬、擊鍵程序的記錄文件,在c：\Windows或c：\Windows\system下如果有光有文件名沒(méi)有圖標(biāo)的可執(zhí)行程序,你應(yīng)該把它們刪除,然后再用殺毒軟件進(jìn)行認(rèn)真的清理。6.在刪除木馬之前,最最重要的一項(xiàng)工作是備份,需要備份注冊(cè)表,備份你認(rèn)為是木馬的文件。

156木馬檢測(cè)工具-Prcview157木馬查殺演示－灰鴿子手工查殺步驟：使用prcview工具查看可疑的進(jìn)程。查看服務(wù)，查找可疑的服務(wù)。使用netstat、sport工具查看端口和程序的關(guān)聯(lián)，尋找可疑的程序。查看注冊(cè)表中的啟動(dòng)項(xiàng)。確認(rèn)木馬文件，在資源管理器中定位木馬文件。158木馬查殺演示－灰鴿子使用prcview工具終止木馬進(jìn)程。刪除木馬文件，如果在Windows下刪除不了，在DOS環(huán)境下刪除木馬文件。刪除注冊(cè)表中的木馬啟動(dòng)項(xiàng)。對(duì)系統(tǒng)進(jìn)行安全加固。159冰河冰河是一款用戶遠(yuǎn)程監(jiān)控的木馬工具，可以運(yùn)行在Windows98/NT之下。相對(duì)而言，它的最大優(yōu)點(diǎn)就是它完全是國(guó)產(chǎn)軟件，全中文的界面讓國(guó)內(nèi)的用戶倍感方便。160冰河的主要功能

1．自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)；2．記錄各種口令信息：包括開機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過(guò)的口令信息，且1.2以上的版本中允許用戶對(duì)該功能自行擴(kuò)充，2.0以上版本還同時(shí)提供了擊鍵記錄功能；161冰河的主要功能

3．獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)；4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制；5．遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件等多項(xiàng)文件操作功能；162冰河的主要功能6．注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作功能；7．發(fā)送信息：向被控端發(fā)送簡(jiǎn)短信息；8．點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。

163冰河的客戶端界面164冰河的主要組成文件冰河2.2正式版共有4個(gè)文件，它們是：G-client.exe 冰河客戶端程序G-server.exe 服務(wù)器端程序Readme.txt 自述文件Operate.ini 配置文件165冰河的主要功能:連接服務(wù)器首先當(dāng)然是連接目標(biāo)服務(wù)器，從菜單中選擇文件->添加主機(jī)。需要填寫：顯示名稱：顯示在程序中的名稱，只用于方便區(qū)別、記憶。主機(jī)地址：可以填入IP地址或域名。訪問(wèn)口令：配置服務(wù)器程序時(shí)輸入的口令。監(jiān)聽(tīng)端口：配置服務(wù)器程序時(shí)確定的端口號(hào)

166冰河的主要功能:文件操作我們可以看到，在主程序左邊有兩個(gè)選項(xiàng)卡：文件管理器命令控制臺(tái)文件管理器用來(lái)做有關(guān)文件的操作，而命令控制臺(tái)顧名思義是用來(lái)向目標(biāo)計(jì)算機(jī)發(fā)送命令的。

167冰河的主要功能:遠(yuǎn)程控制通過(guò)命令控制臺(tái)我們可以向目標(biāo)計(jì)算機(jī)發(fā)送各種命令,這也是冰河最強(qiáng)的功能。

168冰河的主要功能:包含的命令冰河2.2版包含的命令有：口令類命令1）系統(tǒng)信息及口令：可以獲得包括系統(tǒng)信息（計(jì)算機(jī)名、用戶名等），開機(jī)口令，緩存口令及其它口令在內(nèi)的資料。2）歷史口令：從啟動(dòng)開始的歷史口令。3）擊鍵記錄：記錄目標(biāo)機(jī)器上的擊鍵。169冰河的主要功能:包含的命令控制類命令1）捕獲屏幕得到目標(biāo)機(jī)器當(dāng)前的屏幕圖象。屏幕控制。冰河除了把目標(biāo)機(jī)器的屏幕圖象顯示到你的屏幕上之外，你還可以把它看作一個(gè)真正的屏幕。這么說(shuō)吧：如果屏幕上顯示對(duì)方開著一個(gè)IE窗口，你就可以點(diǎn)擊它的關(guān)閉按鈕，那么它在目標(biāo)機(jī)器上就真被關(guān)閉了。

170冰河的主要功能:包含的命令2）發(fā)送消息向目標(biāo)計(jì)算機(jī)發(fā)送消息。目標(biāo)計(jì)算機(jī)會(huì)彈出一個(gè)消息框，這個(gè)消息框的類型和內(nèi)容都可以由你來(lái)設(shè)置171冰河的主要功能:包含的命令3）

進(jìn)程管理在這里，可以對(duì)目標(biāo)主機(jī)的進(jìn)程加以控制。有兩個(gè)命令可以使用：查看進(jìn)程、結(jié)束進(jìn)程。點(diǎn)擊查看進(jìn)程按鈕,就可以在按鈕上方的列表框中看到目標(biāo)機(jī)器上的所有進(jìn)程。如果想終止某個(gè)進(jìn)程，只要先選中某進(jìn)程，再執(zhí)行結(jié)束進(jìn)程命令即可。

172冰河的主要功能:包含的命令4）窗口控制對(duì)目標(biāo)計(jì)算機(jī)上的程序窗口進(jìn)行遠(yuǎn)程控制。

173冰河的主要功能:包含的命令5）系統(tǒng)控制系統(tǒng)控制包括下列功能：遠(yuǎn)程關(guān)機(jī)計(jì)算機(jī)、重起計(jì)算機(jī)，重新加載冰河，卸載（uninstall）冰河。6)鼠標(biāo)控制這里可以隨意鎖定目標(biāo)計(jì)算機(jī)上的鼠標(biāo)，使其動(dòng)彈不得。在你玩夠之后，你也可以再解除鎖定。174冰河的主要功能:包含的命令7)其它控制175冰河的主要功能:包含的命令網(wǎng)絡(luò)類命令1)創(chuàng)建共享2)刪除共享3)網(wǎng)絡(luò)信息網(wǎng)絡(luò)信息包括共享信息和連接信息。共享信息用來(lái)查看目標(biāo)計(jì)算機(jī)上的共享資源。連接信息用來(lái)顯示目標(biāo)計(jì)算機(jī)的網(wǎng)絡(luò)連接狀況：包括與其連接的計(jì)算機(jī)名、用戶名、通訊協(xié)議、當(dāng)前狀態(tài)等。176冰河的主要功能:包含的命令文件類命令這里的命令其實(shí)與文件管理器中的功能類似。這里不再解釋它們的用法。這些命令有：1)

文本瀏覽2)

文件查找3)

文件壓縮4)

文件復(fù)制5)

文件刪除6)

文件打開7)

目錄增刪8)

目錄復(fù)制、注冊(cè)表讀寫177主要內(nèi)容一、攻擊概述二、緩沖區(qū)溢出攻擊三、掃描器四、惡意代碼五、網(wǎng)絡(luò)偵聽(tīng)六、拒絕服務(wù)攻擊七、欺騙技術(shù)八、網(wǎng)絡(luò)應(yīng)急響應(yīng)178主要內(nèi)容Sniffer概述共享局域網(wǎng)的嗅探CuteSniffer嗅探實(shí)例交換局域網(wǎng)的嗅探交換局域網(wǎng)嗅探實(shí)例179什么是Sniffer

網(wǎng)絡(luò)監(jiān)聽(tīng)的作用：監(jiān)視網(wǎng)絡(luò)的流量、狀態(tài)、數(shù)據(jù)等信息，分析數(shù)據(jù)包，獲得有價(jià)值的信息。網(wǎng)絡(luò)監(jiān)聽(tīng)工具：Sniffer(嗅探器)，有硬件和軟件兩種類型。一把雙刃劍管理員的管理工具，主要是進(jìn)行數(shù)據(jù)包分析，通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)軟件，觀測(cè)分析實(shí)時(shí)經(jīng)由的數(shù)據(jù)包，從而進(jìn)行網(wǎng)絡(luò)故障定位攻擊者們常用的收集信息的工具

180Sniffer的網(wǎng)絡(luò)環(huán)境共享式網(wǎng)絡(luò)通過(guò)網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個(gè)主機(jī)最常見(jiàn)的是通過(guò)HUB連接起來(lái)的子網(wǎng)交換式網(wǎng)絡(luò)通過(guò)交換機(jī)連接網(wǎng)絡(luò)由交換機(jī)構(gòu)造一個(gè)“MAC地址-端口”映射表發(fā)送包的時(shí)候，只發(fā)到特定的端口上181被監(jiān)聽(tīng)的網(wǎng)絡(luò)以太網(wǎng)FDDI、Token-ring使用電話線通過(guò)有線電視信道微波和無(wú)線電182截獲的信息

口令金融帳號(hào)偷窺機(jī)密或敏感的信息數(shù)據(jù)（如e-mail內(nèi)容）窺探低級(jí)的協(xié)議信息（如用于IP欺騙）

183網(wǎng)絡(luò)監(jiān)聽(tīng)原理網(wǎng)卡工作在數(shù)據(jù)鏈路層，數(shù)據(jù)以幀為單位進(jìn)行傳輸，在幀頭部分含有數(shù)據(jù)的目的MAC地址和源MAC地址。普通模式下，網(wǎng)卡只接收與自己MAC地址相同的數(shù)據(jù)包，并將其傳遞給操作系統(tǒng)。在“混雜”模式下，網(wǎng)卡將所有經(jīng)過(guò)的數(shù)據(jù)包都傳遞給操作系統(tǒng)。184網(wǎng)絡(luò)監(jiān)聽(tīng)原理共享式集線器（HUB）連接將網(wǎng)卡置于混雜模式實(shí)現(xiàn)監(jiān)聽(tīng)185Sniffer軟件WiresharkNetxRaySnifferProCuteSniffer(小巧，功能較全)186CuteSniffer187設(shè)置過(guò)濾器過(guò)濾器。Options->Programoptions...

[not]primitive[and|or[not]primitive...]

類型（Type）-host,netandport.如,`hostfoo',`net128.3',`port20'.方向（dir）-src,dst,srcordst,srcanddst.如,`srcfoo',`dstnet128.3',`srcordstportftp-data'.協(xié)議（proto）-ether,fddi,tr,ip,ip6,arp,rarp,decnet,tcpandudp.如,,`ethersrcfoo',`arpnet128.3',`tcpport21'.188設(shè)置過(guò)濾器1.捕捉特定主機(jī)的ftp流:tcpport21andhost2.捕捉特定主機(jī)流出的包:srchost3.捕捉80端口發(fā)出的包:srcport80189設(shè)置過(guò)濾器190設(shè)置規(guī)則從文本文件rules.ini

讀規(guī)則header(option1;option2;...)

規(guī)則頭包括協(xié)議、源IP地址、源端口、方向、目的IP地址、目的端口規(guī)則選項(xiàng)191設(shè)置規(guī)則192設(shè)置規(guī)則例子rules.initcpanyany->anyany(flags:S+;msg:"SYNpacket";symbol:"SYN";)tcpanyany->anyany(flags:F+;msg:"FINpacket";symbol:"FIN";)tcpanyany->any143(content:"|90C8C0FFFFFF|/bin/sh";msg:"IMAPbufferoverflow!";)tcpanyany->any80(content:"cgi-bin/phf";offset:3;depth:22;msg:"CGI-PHFaccess";)tcpanyany->any21(msg:"FTPPassword";content:"PASS";nocase;symbol:"PASS";)tcpanyany->any110(msg:"E-mailPassword";content:"PASS";nocase;symbol:"PASS";)193捕捉礦大郵箱口令194捕捉礦大郵箱口令查看源文件，輸入的口令名字為Password195捕捉礦大郵箱口令設(shè)置過(guò)濾器為Dsthost7或者Dsthost196捕捉礦大郵箱口令查找捕捉的包197捕捉礦大郵箱口令幀頭198捕捉礦大郵箱口令包頭199捕捉礦大郵箱口令TCP頭200捕捉SINA郵箱口令201捕捉SINA郵箱口令202捕捉POP3郵箱口令設(shè)置過(guò)濾器（礦大POP3郵件服務(wù)器地址）203捕捉POP3郵箱口令在登錄前啟動(dòng)捕捉204捕捉POP3郵箱口令捕捉結(jié)果205捕捉POP3郵箱口令206捕捉POP3郵箱口令207捕捉FTP口令這是一個(gè)FTP站點(diǎn)208捕捉FTP口令準(zhǔn)備登錄209捕捉FTP口令啟動(dòng)捕捉，輸入用戶名與密碼210捕捉FTP口令捕捉的內(nèi)容211捕捉FTP口令212捕捉FTP口令213捕捉BBS口令這個(gè)是北大BBS站點(diǎn)214捕捉BBS口令搜索pw215捕捉Telnet口令可以通過(guò)Telnet登錄BBS開始－運(yùn)行－cmd－telnet216捕捉Telnet口令217捕捉Telnet口令設(shè)置過(guò)濾器的兩種方式218捕捉Telnet口令219捕捉Telnet口令口令的第一個(gè)字母是1220捕捉Telnet口令口令的第二個(gè)字母是2221捕捉Telnet口令口令的第三個(gè)字母是3222捕捉畢業(yè)設(shè)計(jì)管理系統(tǒng)的口令223自動(dòng)捕捉口令A(yù)cePasswordSniffer，能監(jiān)聽(tīng)LAN，取得密碼。包括：FTP、POP3、HTTP、SMTP、Telnet密碼。224自動(dòng)捕捉口令密碼監(jiān)聽(tīng)器。225交換局域網(wǎng)嗅探交換機(jī)在正常模式下按MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)包，此時(shí)只能監(jiān)聽(tīng)廣播數(shù)據(jù)包。交換網(wǎng)絡(luò)嗅探的關(guān)鍵：如何使不應(yīng)到達(dá)的數(shù)據(jù)包到達(dá)本地MAC洪水包利用交換機(jī)的鏡像功能利用ARP欺騙226MAC洪水包向交換機(jī)發(fā)送大量含有虛構(gòu)MAC地址和IP地址的IP包，使交換機(jī)無(wú)法處理如此多的信息，致使交換機(jī)就進(jìn)入了所謂的"打開失效"模式，也就是開始了類似于集線器的工作方式，向網(wǎng)絡(luò)上所有的機(jī)器廣播數(shù)據(jù)包227利用交換機(jī)的鏡像功能利用交換機(jī)的鏡像功能228利用ARP欺騙首先介紹以太數(shù)據(jù)包格式

目的MAC地址源MAC地址類型數(shù)據(jù)66246~1500類型0800：IP數(shù)據(jù)包

類型0806：ARP數(shù)據(jù)包229然后介紹ARP數(shù)據(jù)包格式

目的端MAC地址源MAC地址0806硬件類型協(xié)議類型硬件地址長(zhǎng)度協(xié)議地址長(zhǎng)度ARP包類型發(fā)送端MAC地址發(fā)送端IP地址目的端MAC地址目的端IP地址662221126464

<以太網(wǎng)首部>

<26字節(jié)ARP請(qǐng)求/應(yīng)答>230交換局域網(wǎng)嗅探在VICTIM運(yùn)行ARP–A，有如下輸出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType00-00-00-00-00-01dynamic00-00-00-00-00-03dynamic231交換局域網(wǎng)嗅探在ATTACKER上構(gòu)建并發(fā)送表一所示的包，其中目的mac為00-00-00-00-00-02，目的IPaddress為，發(fā)送者M(jìn)AC為00-00-00-00-00-01，發(fā)送者IP為（假冒IP）。在VICTIM上運(yùn)行ARP–A，有如下的輸出：Int