第8章-常見的網(wǎng)絡(luò)攻擊方法與防護(hù)

學(xué)習(xí)要點(diǎn)本章要點(diǎn)口令攻擊端口掃描網(wǎng)絡(luò)監(jiān)聽緩沖區(qū)溢出拒絕服務(wù)攻擊3/1/202318.1網(wǎng)絡(luò)攻擊概述8.1.1網(wǎng)絡(luò)攻擊分類從攻擊的目的來看，可以有拒絕服務(wù)攻擊(DoS)、獲得系統(tǒng)權(quán)限的攻擊、獲得敏感信息的攻擊；從攻擊的切入點(diǎn)來看，有緩沖區(qū)溢出攻擊、系統(tǒng)設(shè)置漏洞的攻擊等；從攻擊的縱向?qū)嵤┻^程來看，有獲得初級(jí)權(quán)限的攻擊、提升最高權(quán)限的攻擊、后門攻擊、跳板攻擊等；從攻擊的類型來看，包括對(duì)各種操作系統(tǒng)的攻擊、對(duì)網(wǎng)絡(luò)設(shè)備的攻擊、對(duì)特定應(yīng)用系統(tǒng)的攻擊等。常見的攻擊方式有下面四大類：拒絕服務(wù)攻擊、利用型攻擊、信息收集型攻擊、假消息攻擊。3/1/202328.1.2網(wǎng)絡(luò)攻擊步驟1.攻擊的準(zhǔn)備階段1) 確定攻擊的目的2) 信息收集2.攻擊的實(shí)施階段1) 獲得權(quán)限2) 權(quán)限的擴(kuò)大3.攻擊的善后工作1) 隱藏蹤跡2) 后門3/1/202338.2口令攻擊8.2.1原理1．獲得一般用戶帳號(hào)的方法(1) 利用目標(biāo)主機(jī)的Finger功能(2) 利用目標(biāo)主機(jī)的X.500服務(wù)(3) 從電子郵件地址中收集(4) 查看主機(jī)是否有習(xí)慣性的帳號(hào)2．獲得用戶口令的方法(1) 通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令(2) 在知道用戶的帳號(hào)后(如電子郵件@前面的部分)利用一些特地軟件強(qiáng)行破解用戶口令(3) 利用系統(tǒng)管理員的失誤3/1/202348.2.2口令攻擊的類型(1) 社會(huì)工程學(xué)(SocialEngineering)。(2) 揣測(cè)攻擊。(3) 字典攻擊。(4) 窮舉攻擊。(5) 混合攻擊。(6) 干脆破解系統(tǒng)口令文件。(7) 網(wǎng)絡(luò)嗅探(Sniffer)。(8) 鍵盤記錄。(9) 其他攻擊方式。3/1/202358.2.3方法(或工具)1．NT口令破解程序1) L0phtcrack(簡(jiǎn)稱LC5)2) NTSweep3) NTCrack4) PWDump2．UNIX口令破解程序1) Crack2) JohntheRipper3) XIT4) Slurpie3/1/202368.2.4防護(hù)1．好口令是防范口令攻擊的最基本、最有效的方法最好接受字母、數(shù)字、標(biāo)點(diǎn)符號(hào)、特殊字符的組合，同時(shí)有大小寫字母，長(zhǎng)度最好達(dá)到8個(gè)以上，最好簡(jiǎn)潔記憶，不必把口令寫下來，確定不要用自己或親友的生日、手機(jī)號(hào)碼等易于被他人獲知的信息作密碼。2.留意愛護(hù)口令平安不要將口令記在紙上或存儲(chǔ)于計(jì)算機(jī)文件中；最好不要告知?jiǎng)e人你的口令；不要在不同的系統(tǒng)中運(yùn)用相同的口令；在輸入口令時(shí)應(yīng)確保無人在身邊窺視；在公共上網(wǎng)場(chǎng)所，如網(wǎng)吧等處最好先確認(rèn)系統(tǒng)是否平安；定期更改口令，至少6個(gè)月更改一次，這會(huì)使自己遭遇口令攻擊的風(fēng)險(xiǎn)降到最低。3/1/202378.3端口掃描與平安防范端口的概念端口是為了運(yùn)行在計(jì)算機(jī)上的各種服務(wù)供應(yīng)的服務(wù)端口，計(jì)算機(jī)通過端口進(jìn)行通信和供應(yīng)服務(wù)。假如把IP地址比作一間房子，端口就是出入這間房子的門。端口是通過端口號(hào)來標(biāo)記的，端口號(hào)只有整數(shù)，范圍是從0到65535。在計(jì)算機(jī)網(wǎng)絡(luò)中，每個(gè)特定的服務(wù)都在特定的端口偵聽，當(dāng)用戶有數(shù)據(jù)到達(dá)，計(jì)算機(jī)檢查數(shù)據(jù)包中的端口號(hào)再依據(jù)端口號(hào)將它們發(fā)向特定的端口。3/1/202388.3.2端口的分類

按安排方式分，端口分為公認(rèn)端口、注冊(cè)端口及動(dòng)態(tài)（私有）端口。公認(rèn)端口：端口號(hào)從0到1023，這些端口緊密綁定于一些服務(wù)。其中80端口安排給WWW服務(wù)，25端口安排給SMTP服務(wù)等，通常這些端口的通訊明確表明白某種服務(wù)的協(xié)議。注冊(cè)端口：端口號(hào)從1024到49151，這些端口松散地綁定于一些服務(wù)。動(dòng)態(tài)端口：又稱私有端口，端口號(hào)從49152到65535。3/1/202398.3.3端口掃描

端口掃描就是利用某種程序自動(dòng)依次檢測(cè)目標(biāo)計(jì)算機(jī)上全部的端口，依據(jù)端口的響應(yīng)狀況推斷端口上運(yùn)行的服務(wù)。通過端口掃描，可以得到很多有用的信息，從而發(fā)覺系統(tǒng)的平安漏洞。

3/1/2023108.3.3端口掃描

端口掃描原理:嘗試與目標(biāo)主機(jī)的某些端口建立連接,假如目標(biāo)主機(jī)該端口有回復(fù),則說明該端口開放,即為”活動(dòng)端口”掃描原理分類全TCP連接半打開式掃描（SYN掃描）FIN掃描第三方掃描3/1/2023118.3.3端口掃描

掃描的方法很多，可以是手工進(jìn)行掃描，也可以用端口掃描軟件進(jìn)行3/1/2023128.3.3端口掃描手工掃描－系統(tǒng)內(nèi)置的吩咐:netstat此吩咐可以顯示出你的計(jì)算機(jī)當(dāng)前開放的全部端口，其中包括TCP端口和UDP端口。有閱歷的管理員會(huì)常常地運(yùn)用它，以此來查看計(jì)算機(jī)的系統(tǒng)服務(wù)是否正常，是否被“黑客”留下后門、木馬等。運(yùn)行一下netstat-a看看系統(tǒng)開放了什么端口，并記錄下來，以便以后作為參考運(yùn)用，當(dāng)發(fā)覺有不明的端口時(shí)就可以剛好的做出對(duì)策。3/1/2023138.3.3端口掃描利用掃描軟件掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)平安性弱點(diǎn)的程序，通過運(yùn)用掃描器，可以不留痕跡地發(fā)覺遠(yuǎn)程服務(wù)器的各種端口的安排、供應(yīng)的服務(wù)以及他們運(yùn)用的軟件版本，這樣能間接或干脆地了解到遠(yuǎn)程主機(jī)所存在的問題。3/1/2023148.3.3端口掃描X-ScanV3.0.2，它不僅是一個(gè)端口掃描軟件，同時(shí)還是一個(gè)漏洞掃描器，其主要功能有：接受多線程方式對(duì)指定IP地址段(或單機(jī))進(jìn)行平安漏洞檢測(cè)，支持插件功能，供應(yīng)了圖形界面和吩咐行兩種操作方式，掃描內(nèi)容包括：遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個(gè)大類。3/1/2023158.3.4端口掃描的平安防范平安防范的措施有很多，例如我們可以安裝一個(gè)防火墻，它可以剛好發(fā)覺黑客的掃描活動(dòng)，具體運(yùn)用方法在以前的章節(jié)中已經(jīng)介紹。另外還可以安裝一個(gè)掃描監(jiān)測(cè)工具――ProtectX，ProtectX可以在你連接上網(wǎng)絡(luò)時(shí)愛護(hù)電腦，防止黑客入侵，假如任何人嘗試入侵連接到你的電腦，ProtectX即會(huì)發(fā)出聲音警告并將入侵者的IP地址記錄下來。3/1/2023168.4拒絕服務(wù)攻擊的概念

拒絕服務(wù)攻擊，即DoS（DenialofService），造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法供應(yīng)正常的服務(wù)。這種攻擊行為通常是攻擊者利用TCP/IP協(xié)議的弱點(diǎn)或系統(tǒng)存在的漏洞，對(duì)網(wǎng)絡(luò)服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)的帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不輸贏荷以致癱瘓而停止供應(yīng)正常的網(wǎng)絡(luò)服務(wù)。3/1/2023178.4拒絕服務(wù)攻擊與防范最基本的DoS攻擊就是利用合理的服務(wù)懇求來占用過多的服務(wù)資源，致使服務(wù)超載，無法響應(yīng)其他的懇求。幾種Dos攻擊方法：1）SYNflood2）Ping攻擊3）Land攻擊4）Smurf攻擊5）電子郵件炸彈3/1/2023188.4.1拒絕服務(wù)攻擊的概念DoS攻擊的基本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的懇求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器始終等不到回傳的消息，安排給這次懇求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待確定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批懇求，在這種反復(fù)發(fā)送偽地址懇求的狀況下，服務(wù)器資源最終會(huì)被耗盡。3/1/2023198.4.2分布式拒絕服務(wù)攻擊－DDOS

分布式拒絕服務(wù)攻擊概念：（DistributedDenialOfService）是一種基于DoS的分布、協(xié)作的大規(guī)模特殊形式的拒絕服務(wù)攻擊，就是攻擊者在客戶端限制大量的攻擊源，并且同時(shí)向攻擊目標(biāo)發(fā)起的一種拒絕服務(wù)攻擊。3/1/2023208.4.2分布式拒絕服務(wù)攻擊－DDOS分布式拒絕服務(wù)攻擊主要以下部分組成：客戶端：用于通過發(fā)動(dòng)攻擊的應(yīng)用程序，攻擊者通過它來發(fā)送各種吩咐。主控端：被攻擊者限制的主機(jī),并運(yùn)行了DDOS主控端程序,客戶端一般通過遠(yuǎn)程登錄限制主控端。代理端：每個(gè)代理端也是一臺(tái)已被入侵并運(yùn)行特定程序的主機(jī),主控端限制多個(gè)代理,為保證隱藏性,主控端只是單向發(fā)送吩咐到代理,并且運(yùn)用了假冒的IP地址,主控端發(fā)送到代理端的吩咐往往經(jīng)過了加密,每個(gè)響應(yīng)攻擊吩咐的代理端會(huì)向被攻擊目標(biāo)主機(jī)發(fā)送拒絕服務(wù)攻擊的數(shù)據(jù)包.目標(biāo)主機(jī)：DDos攻擊的主機(jī)或網(wǎng)絡(luò)。3/1/2023218.4.2分布式拒絕服務(wù)攻擊－DDOS黑客主控端代理端目標(biāo)主機(jī)圖8－5分布式拒絕服務(wù)攻擊3/1/2023228.4.3拒絕服務(wù)攻擊的防范

用戶應(yīng)隨時(shí)留意自己網(wǎng)絡(luò)的通信量。平常我們應(yīng)健全設(shè)備的防范機(jī)制配置防火墻，阻擋任何實(shí)際不須要的端口上的通信。要求ISP幫助和合作。必需周期性的審核系統(tǒng)。對(duì)全部可能成為目標(biāo)的主機(jī)進(jìn)行優(yōu)化，禁止全部不必要的服務(wù)。3/1/2023238.5網(wǎng)絡(luò)監(jiān)聽與防范

8.5.1網(wǎng)絡(luò)監(jiān)聽的工作原理

網(wǎng)絡(luò)監(jiān)聽是攻擊者最常用的一種方法，當(dāng)信息在網(wǎng)絡(luò)中進(jìn)行傳播的時(shí)候，攻擊者可以利用一種工具，將網(wǎng)絡(luò)接口設(shè)置成為監(jiān)聽的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進(jìn)行攻擊。

3/1/2023248.5網(wǎng)絡(luò)監(jiān)聽8.5.1原理通常，在計(jì)算機(jī)網(wǎng)絡(luò)上交換的數(shù)據(jù)結(jié)構(gòu)單位是數(shù)據(jù)包，而在以太網(wǎng)(Ethernet)中則稱為幀。以太網(wǎng)協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的全部主機(jī)。通常只有與數(shù)據(jù)包中目標(biāo)地址一樣的那臺(tái)主機(jī)才能接收到信息包。網(wǎng)絡(luò)接口不會(huì)識(shí)別IP地址。在網(wǎng)絡(luò)接口由IP層來的帶有IP地址的數(shù)據(jù)包又增加了一部分以太幀的幀頭信息。在幀頭中，有兩個(gè)域分別為只有網(wǎng)絡(luò)接口才能識(shí)別的源主機(jī)和目的主機(jī)的物理地址，這是一個(gè)48位的地址，這個(gè)48位的地址是與IP地址相對(duì)應(yīng)的，即一個(gè)IP地址對(duì)應(yīng)一個(gè)物理地址。3/1/2023258.5.1原理在Ethernet中填寫了物理地址的幀從網(wǎng)絡(luò)接口(即網(wǎng)卡中)發(fā)送出去，并傳送到物理線路上。假如局域網(wǎng)是由粗纜(10Base5)或細(xì)纜(10Base2)連接的共享式以太網(wǎng)絡(luò)，那么數(shù)字信號(hào)在電纜上傳輸時(shí)就能夠到達(dá)線路上的每臺(tái)主機(jī)。當(dāng)連接在同一條電纜或交換機(jī)上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)的時(shí)候，假如有一臺(tái)主機(jī)處于監(jiān)聽模式，它還可以接收到發(fā)向與自己不在同一個(gè)子網(wǎng)(運(yùn)用了不同的掩碼、IP地址和網(wǎng)關(guān))的主機(jī)的數(shù)據(jù)包，在同一個(gè)物理信道上傳輸?shù)娜啃畔⒍伎梢员唤邮盏健Ｔ谕ǔ５木W(wǎng)絡(luò)環(huán)境下，用戶的信息(包括口令)都是以明文的方式在網(wǎng)上傳輸?shù)?，因此進(jìn)行網(wǎng)絡(luò)監(jiān)聽從而獲得用戶信息并不難，只要駕馭初步的TCP/IP協(xié)議學(xué)問即可以輕松地監(jiān)聽到所需信息。3/1/2023268.5.2方法(或工具)在Windows環(huán)境下，常用的網(wǎng)絡(luò)監(jiān)聽工具有Netxray和Snifferpro。在UNIX環(huán)境下，常用的監(jiān)聽工具有Sniffit、Snoop、Tcpdump、Dsniff等。下面介紹一下Snifferpro的運(yùn)用。在進(jìn)行流量捕獲之前首先選擇網(wǎng)絡(luò)適配器，確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。具體操作是選擇文件菜單→選定設(shè)置，彈出如圖所示的“當(dāng)前設(shè)置”對(duì)話框，選擇網(wǎng)絡(luò)適配器。3/1/2023278.5.2方法(或工具)報(bào)文捕獲功能可以在報(bào)文捕獲面板中進(jìn)行完成，捕獲面板如左圖所示。在捕獲過程中可以通過查看如圖3-11所示面板查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率，單擊Capture菜單，選擇capturepanel吩咐，可以打開右圖所示面板。3/1/2023288.5.2方法(或工具)Sniffer軟件供應(yīng)了強(qiáng)大的分析實(shí)力和解碼功能。如圖所示3/1/2023298.5.2方法(或工具)1．基本捕獲條件基本捕獲條件有下列兩種(如圖8-13所示)。3/1/2023308.5.2方法(或工具)2．高級(jí)捕獲條件在Advanced選項(xiàng)卡中，你可以編輯你的協(xié)議捕獲條件，如圖3-14所示。3/1/2023318.5.2方法(或工具)3．隨意捕獲條件在DataPattern選項(xiàng)卡，可以編輯隨意捕獲條件，如圖8-15所示。3/1/2023328.5.3檢測(cè)和防護(hù)1.對(duì)可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測(cè)(1) 對(duì)于被懷疑正在運(yùn)行監(jiān)聽程序的計(jì)算機(jī)，用正確的IP地址和錯(cuò)誤的物理地址ping，運(yùn)行監(jiān)聽程序的計(jì)算機(jī)就會(huì)有響應(yīng)。(2) 向網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會(huì)占用很多的CPU資源，這將導(dǎo)致性能下降，通過比較前后該計(jì)算機(jī)性能就加以推斷。(3) 運(yùn)用反監(jiān)聽工具如antisniffer等進(jìn)行檢測(cè)。3/1/2023338.5.3檢測(cè)和防護(hù)2.對(duì)網(wǎng)絡(luò)監(jiān)聽的防范措施1) 從邏輯或物理上對(duì)網(wǎng)絡(luò)分段2) 以交換式集線器代替共享式集線器3) 運(yùn)用加密技術(shù)4) 劃分VLAN3/1/2023348.6緩沖區(qū)溢出8.6.1原理緩沖區(qū)是內(nèi)存中存放數(shù)據(jù)的地方。緩沖區(qū)是程序運(yùn)行的時(shí)候計(jì)算機(jī)內(nèi)存中的一個(gè)連續(xù)塊，它保存了給定類型的數(shù)據(jù)，隨著動(dòng)態(tài)安排變量會(huì)出現(xiàn)問題。大多數(shù)時(shí)候?yàn)榱瞬徽加锰嗟膬?nèi)存，一個(gè)有動(dòng)態(tài)安排變量的程序在運(yùn)行時(shí)才確定給它安排多少內(nèi)存。一個(gè)緩沖區(qū)溢出程序運(yùn)用這個(gè)溢出的數(shù)據(jù)將匯編語言代碼放到計(jì)算機(jī)的內(nèi)存里，通常是產(chǎn)生管理員權(quán)限的地方。造成緩沖區(qū)溢出的緣由是程序中沒有細(xì)致檢查用戶輸入的參數(shù)。3/1/2023358.6.2攻擊方式緩沖區(qū)溢出漏洞可以使任何一個(gè)有黑客技術(shù)的人取得計(jì)算機(jī)的限制權(quán)甚至是最高權(quán)限。黑客要達(dá)到目的通常要完成兩個(gè)任務(wù)：一是在程序的地址空間里支配適當(dāng)?shù)拇a；二是通過適當(dāng)?shù)某跏蓟拇嫫骱痛鎯?chǔ)器，讓程序跳轉(zhuǎn)到支配好的地址空間執(zhí)行。1.在程序的地址空間里支配適當(dāng)?shù)拇a2．限制程序轉(zhuǎn)移到攻擊代碼的形式3．植入綜合代碼和流程限制3/1/2023368.6.3檢測(cè)和防護(hù)目前有四種基本的方法愛護(hù)緩沖區(qū)免受緩沖區(qū)溢出的攻擊和影響。1．強(qiáng)制寫正確的代碼的方法2．通過操作系統(tǒng)使得緩沖區(qū)不行執(zhí)行，從而阻擋攻擊者植入攻擊代碼3．利用編譯器的邊界檢查來實(shí)現(xiàn)緩沖區(qū)的愛護(hù)4．在程序指針失效前進(jìn)行完整性檢查3/1/2023378.7木馬與平安防范8.7.1木馬的概念在計(jì)算機(jī)網(wǎng)絡(luò)平安中，木馬程序是指一種基于遠(yuǎn)程限制的黑客工具，由兩個(gè)部份組成：一個(gè)是服務(wù)器程序，一個(gè)是限制器程序。服務(wù)器程序駐留在目標(biāo)計(jì)算機(jī)中，在目標(biāo)計(jì)算機(jī)系統(tǒng)啟動(dòng)的時(shí)候自動(dòng)運(yùn)行，然后這個(gè)服務(wù)程序就會(huì)在目標(biāo)計(jì)算機(jī)上的某一端口進(jìn)行偵聽，為攻擊者的限制程序供應(yīng)服務(wù)。若你的電腦被安裝了服務(wù)器程序，則擁有限制器程序的人就可以通過網(wǎng)絡(luò)限制你的電腦，為所欲為，這時(shí)你電腦上的各種文件、程序，以及在你電腦上運(yùn)用的帳號(hào)、密碼就沒有平安可言了。3/1/2023388.7.1木馬的概念木馬程序往往具備以下特點(diǎn)：1）隱藏性2）自動(dòng)復(fù)原功能3）功能的特殊性3/1/2023398.7.2木馬的種類

1）遠(yuǎn)程限制型木馬2）密碼發(fā)送型木馬3）破壞型木馬4）FTP型木馬3/1/2023408.7.3木馬工具－冰河

冰河可以實(shí)現(xiàn)以下主要功能：1）在局域網(wǎng)中能夠自動(dòng)跟蹤目標(biāo)計(jì)算機(jī)屏幕的變更，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變更的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕。2）能夠獲得系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示辨別率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。3）記錄各種口令信息：包括開機(jī)口令、屏幕愛護(hù)口令、各種共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過的口令信息。4）注冊(cè)表操作：包括對(duì)主鍵的閱讀、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等全部注冊(cè)表操作功能。5）遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或書目、文件壓縮、快速閱讀文本文件、遠(yuǎn)程打開文件等多項(xiàng)文件操作功能。6）限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。3/1/2023418.7.4木馬的防范

運(yùn)用網(wǎng)絡(luò)的時(shí)候防范木馬侵入計(jì)算機(jī)的幾種方法：1）由于殺毒軟件一般都能夠查殺出現(xiàn)在比較流行木馬，所以我們最重要的一件事就是在計(jì)