常見網(wǎng)絡(luò)攻擊與防御

網(wǎng)絡(luò)攻擊與防御1網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)網(wǎng)絡(luò)安全信息安全關(guān)鍵技術(shù)安全威脅及分類威脅來源網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。它涉及的領(lǐng)域相當(dāng)廣泛，這是因?yàn)樵谀壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。確保網(wǎng)絡(luò)系統(tǒng)的信息安全是網(wǎng)絡(luò)安全的目標(biāo)，信息安全包括兩個(gè)方面：信息的存儲(chǔ)安全和信息的傳輸安全。信息的存儲(chǔ)安全是指信息在靜態(tài)存放狀態(tài)下的安全，如信息是否會(huì)被非授權(quán)調(diào)用等。信息的傳輸安全是指信息在動(dòng)態(tài)傳輸過程中安全，如信息是否被篡改、重放等。1.1網(wǎng)絡(luò)安全&信息安全1.2信息安全的概念信息安全是指確保以電磁信號(hào)為主要形式的、在計(jì)算機(jī)網(wǎng)絡(luò)化（開放互連）系統(tǒng)中進(jìn)行自動(dòng)通信、處理和利用的信息內(nèi)容，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳輸介質(zhì)中，處于動(dòng)態(tài)和靜態(tài)過程中的機(jī)密性、完整性、可用性、可審查性和抗抵賴性，與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。人指信息系統(tǒng)的主題，包括各類用戶、支持人員，以及技術(shù)管理和行政管理人員。網(wǎng)絡(luò)則指以計(jì)算機(jī)、網(wǎng)絡(luò)互連設(shè)備、傳輸介質(zhì)、信息內(nèi)容及其操作系統(tǒng)、通信協(xié)議和應(yīng)用程序所構(gòu)成的物理的與邏輯的完整體系。環(huán)境則是系統(tǒng)穩(wěn)定和可靠運(yùn)行所需要的保障體系，包括建筑物、機(jī)房、動(dòng)力保障與備份，以及應(yīng)急與恢復(fù)體系。信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名1.3關(guān)鍵技術(shù)1.4安全威脅

拒絕服務(wù)攻擊內(nèi)部、外部泄密邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲Internet信息丟失信息戰(zhàn)內(nèi)部泄密外部泄密自然災(zāi)害、意外事故計(jì)算機(jī)犯罪網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的缺陷電子諜報(bào)，比如信息流量分析、信息竊取等人為行為，比如使用不當(dāng)，安全意識(shí)差等“黑客”行為，比如非法訪問、非法連接主要分類：內(nèi)部人員（包括信息系統(tǒng)的管理者、使用者和決策者）準(zhǔn)內(nèi)部人員（包括信息系統(tǒng)的開發(fā)者、維護(hù)者等）特殊身份人員（具有特殊身份的人，比如，審計(jì)人員、稽查人員、記者等）外部黑客或小組競爭對(duì)手網(wǎng)絡(luò)恐怖組織軍事組織或國家組織等

1.5安全威脅的主要來源2遠(yuǎn)程攻擊基礎(chǔ)A．攻擊的位置（1）遠(yuǎn)程攻擊（2）本地攻擊（3）偽遠(yuǎn)程攻擊B.攻擊的層次簡單拒絕服務(wù)；本地用戶獲得非授權(quán)讀權(quán)限；本地用戶獲得非授權(quán)寫權(quán)限；遠(yuǎn)程用戶獲得非授權(quán)帳號(hào)信息；遠(yuǎn)程用戶獲得特權(quán)文件的讀權(quán)限；遠(yuǎn)程用戶獲得特權(quán)文件的寫權(quán)限；遠(yuǎn)程用戶擁有了系統(tǒng)管理員權(quán)限。C.攻擊分類在最高層次，攻擊被分為兩類：主動(dòng)攻擊：包含攻擊者訪問他所需要信息的故意行為。主動(dòng)攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用、欺騙等攻擊方法。

被動(dòng)攻擊：主要是收集信息而不是進(jìn)行訪問，數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一點(diǎn)也不會(huì)覺察到。被動(dòng)攻擊包括嗅探、信息收集等攻擊方法。圖1、攻擊分類就目前常見的攻擊，大致可以分為幾大類（參見圖1）：竊聽：指攻擊者通過非法手段對(duì)系統(tǒng)活動(dòng)的監(jiān)視從而獲得一些安全關(guān)鍵信息。目前屬于竊聽技術(shù)的常用攻擊方法有：鍵擊記錄：是植入操作系統(tǒng)內(nèi)核的隱蔽軟件，通常實(shí)現(xiàn)為一個(gè)鍵盤設(shè)備驅(qū)動(dòng)程序，能夠把每次鍵擊都記錄下來，存放到攻擊者指定的隱藏的本地文件中。如Win32平臺(tái)下適用的IKS等。網(wǎng)絡(luò)監(jiān)聽：是攻擊者一旦在目標(biāo)網(wǎng)絡(luò)上獲得一個(gè)立足點(diǎn)之后刺探網(wǎng)絡(luò)情報(bào)的最有效方法，通過設(shè)置網(wǎng)卡的混雜模式獲得網(wǎng)絡(luò)上所有的數(shù)據(jù)包，并從中抽取安全關(guān)鍵信息，如明文方式傳輸?shù)目诹?。如Win32平臺(tái)下的sniffer等免費(fèi)工具，Unix平臺(tái)下的libpcap網(wǎng)絡(luò)監(jiān)聽工具庫。非法訪問數(shù)據(jù)：是攻擊者或內(nèi)部人員違反安全策略對(duì)其訪問權(quán)限之外的數(shù)據(jù)進(jìn)行非法訪問。獲取密碼文件：攻擊者進(jìn)行口令破解獲取特權(quán)用戶或其他用戶口令的必要前提。欺騙：指攻擊者通過冒充正常用戶以獲取對(duì)攻擊目標(biāo)訪問權(quán)或獲取關(guān)鍵信息的攻擊方法，屬于此類攻擊的方法有：獲取口令：通過缺省口令、口令猜測和口令破解三種途徑。針對(duì)一些弱口令進(jìn)行猜測。也可以使用專門的口令猜測工具進(jìn)行口令破解，如遍歷字典或高頻密碼列表從而找到正確的口令。如Win32平臺(tái)的LOphtcrack等。惡意代碼：包括特洛伊木馬應(yīng)用程序、郵件病毒、網(wǎng)頁病毒等，通常冒充成有用的軟件工具、重要的信息等，誘導(dǎo)用戶下載運(yùn)行或利用郵件客戶端和瀏覽器的自動(dòng)運(yùn)行機(jī)制，在啟動(dòng)后悄悄安裝惡意程序，通常為攻擊者給出能夠完全控制該主機(jī)的遠(yuǎn)程連接。網(wǎng)絡(luò)欺騙：攻擊者通過向攻擊目標(biāo)發(fā)送冒充其信任主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包，達(dá)到獲取訪問權(quán)或執(zhí)行命令的攻擊方法。具體的有IP欺騙、會(huì)話劫持、ARP重定向和RIP路由欺騙等。拒絕服務(wù)：指終端或者完全拒絕對(duì)合法用戶、網(wǎng)絡(luò)、系統(tǒng)和其他資源的服務(wù)的攻擊方法，其意圖就是徹底破壞，這也是比較容易實(shí)現(xiàn)的攻擊方法。特別是分布式拒絕服務(wù)攻擊對(duì)目前的互聯(lián)網(wǎng)構(gòu)成了嚴(yán)重的威脅，造成的經(jīng)濟(jì)損失也極為龐大。拒絕服務(wù)攻擊的類型按其攻擊形式分為：導(dǎo)致異常型：利用軟硬件實(shí)現(xiàn)上的編程缺陷，導(dǎo)致其出現(xiàn)異常，從而使其拒絕服務(wù)。如PingofDeath攻擊等。資源耗盡型：通過大量消耗資源使得攻擊目標(biāo)由于資源耗盡不能提供正常的服務(wù)。視資源類型的不同可分為帶寬耗盡和系統(tǒng)資源耗盡兩類。帶寬耗盡攻擊的本質(zhì)是攻擊著通過放大等技巧消耗掉目標(biāo)網(wǎng)絡(luò)的所有帶寬，如Smurf攻擊等。系統(tǒng)資源耗盡型攻擊指對(duì)系統(tǒng)內(nèi)存、CPU或程序中的其他資源進(jìn)行消耗，使其無法滿足正常提供服務(wù)的需求。如SynFlood攻擊等。欺騙型數(shù)據(jù)驅(qū)動(dòng)攻擊：通過向某個(gè)程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問目標(biāo)系統(tǒng)的權(quán)限，大致可分為：緩沖區(qū)溢出：通過往程序的緩沖區(qū)寫入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊者打開遠(yuǎn)程連接的ShellCode，以達(dá)到攻擊目標(biāo)。如Windows平臺(tái)下的Code-Red、Blaster、Sasser等都是通過緩沖區(qū)溢出攻擊獲得系統(tǒng)管理員權(quán)限后進(jìn)行傳播。格式化字符串攻擊：主要是利用由于格式化函數(shù)的微妙程序設(shè)計(jì)錯(cuò)誤造成的安全漏洞，通過傳遞精心編制的含有格式化指令的文本字符串，以使目標(biāo)程序執(zhí)行任意命令。輸入驗(yàn)證攻擊：針對(duì)程序未能對(duì)輸入進(jìn)行有效的驗(yàn)證的安全漏洞，使得攻擊者能夠讓程序執(zhí)行指令的命令。最著名的是1996年的PHF攻擊。同步漏洞攻擊：利用程序在處理同步操作時(shí)的缺陷，如競爭狀態(tài)、信號(hào)處理等問題，以獲得更高權(quán)限的訪問。信任漏洞攻擊：利用程序?yàn)E設(shè)的信任關(guān)系獲取訪問權(quán)的一種方法，如Win32平臺(tái)下互為映象的本地和域Administrator憑證、LSA密碼等。3信息收集信息收集分類工具介紹3.1信息收集分類分為三種：使用各種掃描工具對(duì)入侵目標(biāo)進(jìn)行大規(guī)模掃描，得到系統(tǒng)信息和運(yùn)行的服務(wù)信息。利用第三方資源對(duì)目標(biāo)進(jìn)行信息收集,比如我們常見的收索引擎利用各種查詢手段得到與被入侵目標(biāo)相關(guān)的一些信息，如社會(huì)工程學(xué)。 社會(huì)工程學(xué)（SocialEngineering）：通常是利用大眾的疏于防范的詭計(jì)，讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式，從合法用戶中套取敏感的信息。Ping、fping、pingsweepARP探測FingerWhoisDNS/nslookup搜索引擎（google、百度）telnet3.2信息收集的工具軟件ping作用和特點(diǎn)用來判斷目標(biāo)是否活動(dòng)；最常用；最簡單的探測手段；Ping程序一般是直接實(shí)現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個(gè)用戶進(jìn)程。原理Type=8Type=0ping類型為8，表示“回響請(qǐng)求”類型為0，表示“回響應(yīng)答”主機(jī)在線情況主機(jī)不應(yīng)答情況1）主機(jī)不在線2）防火墻阻斷ICMP探測ping表示5機(jī)器不在線。舉例1：Replyfrom0:bytes=32time<1msTTL=32Replyfrom0表示回應(yīng)ping的ip地址是0。bytes=32表示回應(yīng)報(bào)文的大小，這里是32字節(jié)。time<1ms表示回應(yīng)所花費(fèi)的時(shí)間，小于1毫秒。TTL=32，TTL是生存時(shí)間，報(bào)文經(jīng)過一個(gè)路由器就減一，如果減到0就會(huì)被拋棄。這里是32。舉例2：Pingwar2.0——群ping.ARP探測

能探測同一局域網(wǎng)內(nèi)的主機(jī)，因?yàn)榉阑饓Σ荒茏钄郃RP請(qǐng)求。finger作用和特點(diǎn)網(wǎng)絡(luò)服務(wù)服務(wù)端口：tcp79服務(wù)端程序fingerd,客戶端程序finger不需要認(rèn)證就提供用戶信息姓名電話最后登錄時(shí)間fingerwhois作用和特點(diǎn)網(wǎng)絡(luò)服務(wù)服務(wù)端口：tcp43服務(wù)端程序whoisd,客戶端程序finger提供目標(biāo)系統(tǒng)的地址信息參考網(wǎng)站1參考網(wǎng)站2http:///

常規(guī)信息收集網(wǎng)絡(luò)域名網(wǎng)絡(luò)Ip地址分配使用單位地址DNS作用和特點(diǎn)網(wǎng)絡(luò)服務(wù)服務(wù)端口：udp53服務(wù)端程序bind,客戶端程序nslookup提供目標(biāo)系統(tǒng)域名與地址的轉(zhuǎn)換DNStelnet作用和特點(diǎn)網(wǎng)絡(luò)服務(wù)服務(wù)端口：任意服務(wù)端程序任意,客戶端程序telnet提供目標(biāo)系統(tǒng)服務(wù)的版本信息瑞士軍刀NC4端口掃描掃描基礎(chǔ)掃描分類掃描工具介紹4.1掃描基礎(chǔ)TCP數(shù)據(jù)報(bào)首部標(biāo)志域TCP連接的建立過程TCP連接的釋放過程TCP/IP實(shí)現(xiàn)遵循的原則TCP數(shù)據(jù)報(bào)首部標(biāo)志域URG：緊急數(shù)據(jù)標(biāo)志，指明數(shù)據(jù)流中已經(jīng)放置緊急數(shù)據(jù)，緊急指針有效；ACK：確認(rèn)標(biāo)志，用于對(duì)報(bào)文的確認(rèn)；PSH：推標(biāo)志，通知接收端盡可能的將數(shù)據(jù)傳遞給應(yīng)用層，在telnet登陸時(shí)，會(huì)使用到這個(gè)標(biāo)志；RST：復(fù)位標(biāo)志，用于復(fù)位TCP連接；SYN：同步標(biāo)志，用于三次握手的建立，提示接收TCP連接的服務(wù)端檢查序號(hào)；FIN：結(jié)束標(biāo)志，表示發(fā)送端已經(jīng)沒有數(shù)據(jù)再傳輸了，希望釋放連接，但接收端仍然可以繼續(xù)發(fā)送數(shù)據(jù)。

TCP連接的建立過程TCP連接的釋放過程TCP/IP實(shí)現(xiàn)遵循的原則原則1：當(dāng)一個(gè)SYN或者FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉了的端口，服務(wù)器丟棄該數(shù)據(jù)包，并返回一個(gè)RST數(shù)據(jù)包；

TCP/IP實(shí)現(xiàn)遵循的原則原則2：當(dāng)一個(gè)RST數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽端口或者關(guān)閉的端口，RST數(shù)據(jù)包都會(huì)服務(wù)器被丟棄。

TCP/IP實(shí)現(xiàn)遵循的原則原則3：當(dāng)一個(gè)ACK數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽的端口，服務(wù)器會(huì)丟棄這個(gè)數(shù)據(jù)包，并回應(yīng)一個(gè)RST數(shù)據(jù)包。

TCP/IP實(shí)現(xiàn)遵循的原則原則4：當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽端口時(shí)，數(shù)據(jù)包將會(huì)被丟棄。

4.2端口掃描分類技術(shù)端口掃描分類掃描技術(shù)分析掃描分類TCP全連接開放掃描半開放掃描TCP反向ident掃描IP頭信息dumb掃描SYN掃描FIN掃描隱蔽掃描TCP分段ACK掃描XMAS掃描空掃描掃射掃描SYN/ACK掃描ping掃射其它掃描UDP/ICMP不可達(dá)FTP彈跳UDP掃射UDPrecvfrom/write掃描ACK掃射SYN掃射ICMP掃射掃描技術(shù)分析完全連接掃描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開放端口關(guān)閉掃描技術(shù)分析半連接SYN掃描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開放端口關(guān)閉*立即切斷連接掃描技術(shù)分析隱蔽掃描：SYN/ACKClientSYN/ACKServerRSTClientSYNServer--端口開放端口關(guān)閉掃描技術(shù)分析隱蔽掃描：FINClientFINServerRSTClientFINServer--端口開放端口關(guān)閉掃描技術(shù)分析隱蔽掃描：ACKClientFINServer(TTL<64)Server(WIN>0)ClientFINServer(TTL>64)Server(WIN=0)端口開放端口關(guān)閉掃描技術(shù)分析其它掃描：ICMP*《ICMPUsageinScanning》4.3端口掃描工具NmapXscanSuperScanShadowSecurityScannerMS06040ScannerNmap——探測工具王功能 NMAP是探測網(wǎng)絡(luò)主機(jī)和開放服務(wù)的佼佼者。是Linux下使用者的最愛，現(xiàn)在已經(jīng)有Windows的版本。NMAP支持多種協(xié)議的掃描如UDP，TCPconnect,TCPSYN,ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null掃描。還提供一些實(shí)用功能，比如通過tcp/ip來甄別操作系統(tǒng)類型；秘密掃描、動(dòng)態(tài)延遲和重發(fā)；欺騙掃描、端口過濾探測、分布掃描等。-sTTCPConnect()掃描 這是對(duì)TCP的最基本形式的偵測。對(duì)目標(biāo)主機(jī)端口進(jìn)行試探，如果該端口開放，則連接成功，否則代表這個(gè)端口沒有開放。-sSTCPSYN掃描 就是我們介紹的‘半開’式的掃描，速度會(huì)比connect掃描快。-sF-sX–sN StealthFIN,XmasTree或者Null掃描模式。-sPPing掃描 對(duì)指定的IP發(fā)送ICMP，如果對(duì)方屏蔽了echorequest，nmap還能發(fā)送一個(gè)TCPack包到80端口探測。-sUUDP掃描 確定某個(gè)UDP端口是否打開。xscan選擇‘無條件掃描’，才可以突破防火墻屏蔽ping，進(jìn)行端口掃描。Superscan——速度之王

MS06040Scanner——專用的漏洞掃描器用于檢測目標(biāo)系統(tǒng)是否存在MS06040漏洞。MS06040Scanner的工作原理是首先是通過端口掃描和操作系統(tǒng)掃描獲取操作系統(tǒng)類型和開放的端口，如果是windows2000系統(tǒng)，開放了TCP139或者TCP445端口，并且返回的數(shù)據(jù)包跟漏洞庫里的定義相匹配，則說明該主機(jī)可能可能存在MS06040漏洞，我們就可以使用MS06040漏洞利用程序?qū)ζ溥M(jìn)行遠(yuǎn)程溢出攻擊。5腳本攻擊與防御SQL注入攻擊SQL注入防御Cookie注入攻擊5.1SQL注入攻擊什么是SQL注入攻擊？ SQL注入即是指攻擊者通過在應(yīng)用程序中預(yù)先定義好的查詢語句結(jié)尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢。分析一個(gè)經(jīng)典的SQL注入漏洞dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用戶名或密碼不正確！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothing一個(gè)經(jīng)典的SQL注入漏洞分析在用戶名和密碼那里都填入‘OR‘’=’，SQL語句被構(gòu)造成 select*fromadminwhereadmin=‘'OR‘'=‘'

and

password=‘'OR‘'=‘‘意思是當(dāng)admin為空或者空等于空，password為空或者空等于空的時(shí)候整個(gè)查詢語句就為真。如何來修補(bǔ)漏洞？過濾掉其中的特殊字符。這里我們就過濾掉其中的“'”，即是把程序的頭兩行改為：admin1=replace(trim(request("admin")),"'","")password1=replace(trim(request("password")),"'","")5.2防止SQL注入四種方法：(1)在服務(wù)端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)行檢查；(2)封裝客戶端提交信息；(3)替換或刪除敏感字符/字符串；(4)屏蔽出錯(cuò)信息。第一種方法DimTc_Post,Tc_Get,Tc_In,Tc_Inf,Tc_Xh '定義需要過濾的字串Tc_In="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master||or|char|declare"Tc_Inf=split(Tc_In,"|")'處理post數(shù)據(jù)IfRequest.Form<>""ThenForEachTc_PostInRequest.FormForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.Form(Tc_Post)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('請(qǐng)不要在參數(shù)中包含非法字符嘗試注入！');</Script>"'處理get數(shù)據(jù)IfRequest.QueryString<>""ThenForEachTc_GetInRequest.QueryStringForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.QueryString(Tc_Get)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('請(qǐng)不要在參數(shù)中包