火龍果常見的網(wǎng)絡攻擊關鍵技術原理剖析

第12章常用的網(wǎng)絡攻擊關鍵技術網(wǎng)絡攻擊是一系列技術的綜合運用，攻擊者必須掌握各種關鍵攻擊技術，理解個各種攻擊技術的局限性和限制條件，才能夠在攻擊的實戰(zhàn)中靈活運用，做到攻無不克。對防御者要了解攻擊技術的內涵，才會涉及有效的安全策略，建立有效的安全機制，構造可靠的安全防御系統(tǒng)，做到堅不可摧。主要內容口令破解技術原理網(wǎng)絡嗅探技術原理網(wǎng)絡端口掃描技術原理緩沖區(qū)溢出攻擊技術原理拒絕服務攻擊技術原理口令破解技術原理口令機制是資源訪問控制的第一道屏障。計算機軟件硬件技術的發(fā)展，使口令攻擊更為有效。CUP速度有了很大的提高網(wǎng)絡的普及分段攻擊算法的擴展用戶仍然喜歡選用容易記憶的口令口令攻擊的條件和技術防范條件：高性能的計算機大容量的在線字典或其他字符列表已知的加密算法可讀的口令文件口令以較高的概率包含于攻擊字典中?？诹罟舨襟E：獲取口令文件用各種不同的加密算法對字典或其他字符表中的文字加密，并將結果與口令文件進行對比常用的口令攻擊技術暴力破解攻擊者通過窮盡口令空間獲得用戶口令，通常攻擊者根據(jù)口令字的長度、特征、各種字符組合方式選擇某個口令空間進行攻擊。猜測攻擊攻擊者根據(jù)若干知識編寫口令字典，然后根據(jù)該字典通過猜測獲得用戶的口令。UNIX系統(tǒng)口令攻擊UNIX系統(tǒng)用戶的口令保存在一個加密后的文本文件中，一般放在/etc目錄下，文件名為passwd/shadowUNIX系統(tǒng)出于安全需要，防止普通用戶讀取口令文件，將passwd文件一分為二，把與用戶口令相關的域提出組成另外一個文件，叫shadow，只有超級用戶才能讀取?？诹钗募忻啃写硪粋€用戶條目：Logname:passwd:uid:gid:userinfo:home:shell例如root的條目Root:xydefctrti1.m.y2:0:0:admin:/:/bin/shUNIX系統(tǒng)中，口令文件作了shadow變換，在破解的時候，需要做Unshadow變換，將passwd和shadow文件合二為一。UNIX口令加密算法采用多重DES，理論上破解難度非常大。UNIX口令加密原理UNIX系統(tǒng)使用函數(shù)crypt加密用戶的口令，當用戶登錄時，系統(tǒng)并不是去解密已經(jīng)加密的口令，而是將輸入的口令明文字符串傳給加密函數(shù)，將加密函數(shù)的輸出與/etc/passwd文件中該用戶條目的passwd域進行比較，若成功則允許登陸Crypt基于數(shù)據(jù)加密標準des，將用戶輸入的口令作為密鑰，加密一個64位的0/1串，加密的結果用用戶的口令再次加密；重復該過程，一共進行25次。最后輸出一個11字節(jié)的字符串，存放在passwd的密碼域。口令破解工具crack的工作流程1、下載或自己生成一個字典文件2、取出字典文件中的每一條目，對每個單詞運用一系列規(guī)則：使用幾個單詞和數(shù)字的組合大小寫交替使用把單詞正反拼寫后，接在一起在每個單詞的開頭或結尾加上一些數(shù)字3、調用系統(tǒng)的crypt函數(shù)對使用規(guī)則生成的字符串進行加密變換4、再用一組子程序打開口令文件，取出密文口令，與crypt的輸出進行比較。循環(huán)第二步和第三步，直到口令破解成功。網(wǎng)絡服務口令攻擊流程建立與目標網(wǎng)絡服務的網(wǎng)絡連接選取一個用戶列表文件及字典文件在用戶列表文件及字典文件中，選取一組用戶和口令，按網(wǎng)絡服務協(xié)議規(guī)定，將用戶名和口令發(fā)送給網(wǎng)絡服務端口。檢測遠程服務返回信息，確定口令嘗試是否成功。再取另一組用戶和口令，重復循環(huán)測試，直至口令用戶列表文件及字典文件選取完畢。增強口令安全性的方法除口令驗證程序外，使口令文件完全不可讀（包括超級用戶）在用戶選擇密碼時對密碼進行過濾對字典或字符列表進行掃描，提出用戶選擇的弱口令通過口令與智能卡相結合的方式登錄采用某種機制動態(tài)的生成一次性口令網(wǎng)絡嗅探技術原理網(wǎng)絡嗅探器是一種黑客工具，用于竊聽流經(jīng)網(wǎng)絡接口的信息，從而獲取用戶會話信息。一般的計算機系統(tǒng)通常只接收目的地址執(zhí)行自己的網(wǎng)絡包，其他的被忽略。但在很多情況下，一臺計算機的網(wǎng)絡接口可能受到目的地址并非是自身的網(wǎng)絡包。在完全廣播子網(wǎng)中，所有涉及局域網(wǎng)中任何一臺主機的網(wǎng)絡通信內容均可被局域網(wǎng)中所有的主機接收到，這就使得網(wǎng)絡竊聽特別容易。目前網(wǎng)絡竊聽都是基于以太網(wǎng)的，原因就是以太網(wǎng)廣泛的用于局域網(wǎng)。網(wǎng)絡嗅探的問題如何使網(wǎng)絡接口卡接受目的地址不是指向自己的網(wǎng)絡包如何從數(shù)據(jù)鏈路層獲取這些包（普通的網(wǎng)絡編程接口不行）以太網(wǎng)提供了雜模式，在該模式下，逐級的網(wǎng)絡接口接聽所有經(jīng)過的網(wǎng)絡介質的數(shù)據(jù)，包括那些目的地址并不指向該主機的網(wǎng)絡包不同的UNIX系統(tǒng)提供了不同的數(shù)據(jù)鏈路存取方法。網(wǎng)絡嗅探器工作流程打開文件描述字，打開網(wǎng)絡接口、專用設備或網(wǎng)絡套接字。得到一個文件描述字，以后所有的控制和讀、寫都針對該描述字設置雜模式，把以太網(wǎng)絡接口設置為雜模式，使之接收所有流經(jīng)網(wǎng)絡介質的信息包設置緩沖區(qū)。緩沖區(qū)用來存放從內核緩沖區(qū)拷貝過來的網(wǎng)絡包。設置過濾器。過濾器使得內核只抓取那些攻擊者感興趣的數(shù)據(jù)包，而不是所有的流經(jīng)網(wǎng)絡介質的網(wǎng)絡包，可以減少不必要的拷貝和處理。讀取包。從文件按描述字中讀取數(shù)據(jù)，一般來說，就是數(shù)據(jù)鏈路層的幀。過濾、分析、解釋、輸出：主要是分析以太網(wǎng)包頭和TCP/IP包頭中的信息，選擇出用戶感興趣的網(wǎng)絡數(shù)據(jù)包，然后對應用層協(xié)議及的數(shù)據(jù)解釋，把原始數(shù)據(jù)轉化成用戶可理解的方式輸出。常用的網(wǎng)絡嗅探工具TCPdump：Sniffit:http://reptile.rug.ac.be/Snort:…………網(wǎng)絡嗅探的防范網(wǎng)絡嗅探對明文傳遞的網(wǎng)絡報具有威脅，但是該攻擊要想成功需要一定的條件。一般用于內部攻擊，因為內部人員可以很方便的訪問網(wǎng)絡。網(wǎng)絡端口掃描技術原理一個端口就是一個潛在的通信通道，就是一個入侵通道。端口掃描通過選用遠程TCP/IP不同的端口服務，并記錄目標給予的回答，就可以搜集到很多關于目標逐級的有用信息。掃描器不是一個直接攻擊網(wǎng)絡漏洞的程序，它僅僅能夠幫助攻擊者發(fā)現(xiàn)目標機的內在弱點。網(wǎng)絡端口掃描技術分析1、完全連接掃描完全掃描連接利用TCP/IP三次握手連接機制，使源主機和目的逐級的某個端口建立一次完成的連接。如果建立成功，則表明該端口開放，否則表明該端口關閉。2、半連接掃描半連接掃描指在源主機和目的逐級的三次握手連接過程中，只完成前兩次握手，不建立一次完整的連接。3、SYN掃描首先向目標主機發(fā)送連接請求，當目標逐級返回響應后，立即切斷連接過程，并察看相應情況。如果目標逐級返回rst信息，表明該端口沒有開放。4、ID頭信息掃描此種掃描方法需要用一臺第三方機器配合掃描，并且這臺機器的網(wǎng)絡通信量要非常的少，即dump主機，首先由源主機A向dump主機B發(fā)出連續(xù)的ping數(shù)據(jù)包，并且查看B返回的數(shù)據(jù)包的ID頭信息。一般而言，每個順序數(shù)據(jù)包的ID頭的值會順序增加1，然后由源主機A假冒主機B向目的主機C的任意端口發(fā)送SYN數(shù)據(jù)包。這時主機C向B發(fā)送的數(shù)據(jù)包有兩種可能的結果：1、syn|ack，表示該端口處于監(jiān)聽狀態(tài)2、rst|ack，表示該端口處于非監(jiān)聽狀態(tài)5、隱蔽掃描隱蔽掃描是指能夠成功繞過IDS、防火墻和監(jiān)視系統(tǒng)等安全機制，缺的目標主機端口信息的掃描方式。6、SYN|ACK掃描由源主機向目標主機的某個端口直接發(fā)送syn|ack數(shù)據(jù)包，而不是先發(fā)送syn數(shù)據(jù)包。由于這種方法不發(fā)送syn數(shù)據(jù)包，目標主機會認為這是一次錯誤的連接，從而會報錯。如果目標逐級的該端口沒有開放，則會返回rst信息。如果目標主機的該端口處于開放狀態(tài)，則不會返回任何信息，而直接將這個數(shù)據(jù)包拋棄掉。7、FIN掃描源主機向目標逐級發(fā)送fin數(shù)據(jù)報，然后查看反饋信息，如果端口返回rst信息，則說明該端口關閉。如果沒有任何返回信息，則說明該端口開放。8、ACK掃描首先由主機A向主機B發(fā)送Fin數(shù)據(jù)包，然后查看反饋數(shù)據(jù)包的TTL值和WIN值。開放端口所返回的數(shù)據(jù)包的TTL值一般小于64，而關閉端口的返回值一般大于64。開放端口所返回數(shù)據(jù)包的Win值一般大于0，而關閉端口的返回值一般等于0。9、NULL掃描將源主機發(fā)送的數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標志為全部置空。如果目標主機沒有返回任何信息，則表明該端口是開放的。如果返回RST信息，則端口是關閉的。10、XMAS掃描XMAS掃描的原理和NULL掃描相同，只是將要發(fā)送的數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標志為全部置成1，如果目標主機沒有返回任何信息，則表明該端口是開放的。如果返回RST信息，則端口是關閉的。緩沖區(qū)溢出攻擊技術原理在網(wǎng)絡攻擊技術的發(fā)展歷程中，緩沖區(qū)溢出攻擊逐漸成為最有效的一種攻擊技術。原因是緩沖區(qū)溢出漏洞給予攻擊者控制程序執(zhí)行流程的機會。攻擊者將特意構造的攻擊代碼植入到有緩沖區(qū)溢出漏洞的程序之中，改變程序的執(zhí)行過程，就可以得到被攻擊逐級的控制權。緩沖區(qū)溢出攻擊技術分析緩沖區(qū)溢出攻擊的目的在于擾亂具有某些特權運行的程序的功能，這樣可以使攻擊者取得程序的控制權。需要解決兩個問題：在緩沖區(qū)溢出程序的地址空間里安排適當?shù)拇a通過適當初始化寄存器和存儲器，令程序跳轉到攻擊者所安排的地址空間執(zhí)行攻擊代碼。第一個問題有兩種方法可以解決：植入法和程序運行控制法第二個問題的解決方法為：激活記錄函數(shù)指針長跳轉緩沖區(qū)緩沖區(qū)溢出攻擊的防范1、完善程序，對程序中定義的緩沖區(qū)設置嚴格的邊界檢查。2、對于在操作系統(tǒng)中已經(jīng)出現(xiàn)的緩沖區(qū)溢出漏洞，應當盡快查找并安裝補漏程序。3、應急方法，將存在緩沖去溢出漏洞的程序設置用戶權限暫時去掉：Chmodu-s文件名拒絕服務攻擊技術原理拒絕服務攻擊是指攻擊者利用系統(tǒng)的缺陷，通過執(zhí)行一些惡意的操作使得合法的系統(tǒng)用戶不能及時得到應得的服務或系統(tǒng)資源。拒絕服務具有難確認性、隱蔽性、復雜性等特點。拒絕服務攻擊技術分析1、資源消耗前面講述過。2、配置修改計算機系統(tǒng)配置不當可能造成系統(tǒng)運行不正常，甚至根部不能運行。攻擊者通過改變或者破壞系統(tǒng)的配置信息，阻止其他合法用戶使用計算機網(wǎng)絡提供的服務。這種攻擊主要有：改變路由信息；修改WindowsNT注冊表；修改UNIX系統(tǒng)的各種配置文件等。3、基于系統(tǒng)缺陷攻擊者利用目標系統(tǒng)和通信協(xié)議的漏洞實現(xiàn)拒絕服務攻擊。例如，一些系統(tǒng)出于安全考慮，限制用戶試探口令次數(shù)和注冊等待時間。當用戶口令輸入次數(shù)超過若干次，或者注冊等待時間超過某個時間值，系統(tǒng)就會停止該用戶的帳號使用權。攻擊者利用系統(tǒng)這個安全特點，有意輸錯口令導致系統(tǒng)鎖定該用戶帳號，致使該用戶得不到應有的服務。4、物理實體破壞這種拒絕服務攻擊針對物理設備，攻擊者通過破壞或改變網(wǎng)絡部件實現(xiàn)拒絕服務攻擊，其攻擊的目標包括：計算機、路由器、網(wǎng)絡配線室，網(wǎng)絡主干段，電源、冷卻設備等。拒絕服務攻擊實例SYNflood攻擊者假造源網(wǎng)址送多個同步數(shù)據(jù)包（SynPacket）給服務器，服務器因無法收到確認數(shù)據(jù)包，使TCP/IP協(xié)議的三次握手無法順利完成，因而無法建立連接。其原理是發(fā)送大量半聯(lián)結狀態(tài)的服務請求，使得服務器主機無法處理正常的連接請求，因而影響正常運作。UDP風暴利用簡單的TCP/IP服務，如用chargen和echo傳送毫無用處的數(shù)據(jù)占滿帶寬。通過偽造與某一主機的chargen服務之間的一次UDP連接，回復地址指向開放echo服務的一臺主機，生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流。Smurf攻擊一種簡單的Smurf攻擊是，將回復地址設置成目標網(wǎng)絡廣播地址的ICMP應答請求數(shù)據(jù)包，使該網(wǎng)絡的所有主機都對此ICMP應答請求做出應答，導致網(wǎng)絡阻塞，比死亡之ping洪水的流量剛出一個或兩個數(shù)量級。更加復雜的Smurf攻擊將源地址改為第三方的目標網(wǎng)絡，最終導致第三方網(wǎng)絡阻塞。垃圾郵件攻擊者利用郵件系統(tǒng)制造垃圾信息，甚至通過專門的郵件炸彈程序給受害用戶的信箱發(fā)送垃圾信息，耗盡用戶信箱的磁盤空間，使用戶無法應用這個信箱。消耗CPU和內存資源的拒絕服務攻擊比如“紅色代碼”和NIMDA病毒Pingofdeath（死亡之ping）早期路由器對包的最大尺寸都有限制，許多操作系統(tǒng)在實現(xiàn)TCP/IP堆棧時，規(guī)定ICMP包小于等于64KB，并且在對包的標題頭進行讀取之后，要根據(jù)該標題頭中包含的信息為有效載荷生成緩沖區(qū)。當產(chǎn)生畸形的、尺寸超過ICMP上限的寶，即加載的尺寸超過64KB上限時，就會出現(xiàn)內存分配錯誤，導致TCP/IP堆棧崩潰，使對方停機。