網(wǎng)絡(luò)對抗3攻擊引言掃描監(jiān)聽

引言1990年頭網(wǎng)絡(luò)攻擊事務(wù)增多，攻擊目標(biāo)多為國防系統(tǒng)。本世紀(jì)攻擊事務(wù)更多，曼延到政府網(wǎng)站和民用系統(tǒng)，損失巨大。為防范攻擊的投入占網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)的比重很高。網(wǎng)絡(luò)攻擊成為軍事打擊的手段之一。1網(wǎng)絡(luò)進(jìn)攻攻擊的漸進(jìn)步驟掃描、監(jiān)聽密碼和口令破解隱藏-新用戶、程序侵入系統(tǒng)提升權(quán)限破壞或竊取找尋目標(biāo)進(jìn)入目標(biāo)開個后門再次進(jìn)入提升權(quán)限造成損失2網(wǎng)絡(luò)進(jìn)攻保存自己干擾性、破壞性攻擊，單向竊取數(shù)據(jù)，要防止欺瞞（假信息）投鼠忌器，防止波及無辜病毒攻擊，防止肆意擴(kuò)大不行限制病毒攻擊，防止產(chǎn)生不控變種隱藏自己，免遭反擊當(dāng)心陷阱，免遭追蹤3網(wǎng)絡(luò)進(jìn)攻掃描主動行為，有針對性，效率高不隱藏，不能跳過平安防范措施簡潔被發(fā)覺4網(wǎng)絡(luò)進(jìn)攻網(wǎng)絡(luò)掃描的主要功能掃描目標(biāo)主機(jī)識別其工作狀態(tài)（開/關(guān)機(jī)）識別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽/關(guān)閉）識別目標(biāo)主機(jī)系統(tǒng)及服務(wù)程序的類型和版本依據(jù)已知漏洞信息，分析系統(tǒng)脆弱點生成掃描結(jié)果報告5網(wǎng)絡(luò)進(jìn)攻掃描方式單機(jī)掃描網(wǎng)段掃描并行掃描（多端口、多目標(biāo)）分布式掃描6網(wǎng)絡(luò)進(jìn)攻掃描內(nèi)容主機(jī)掃描端口掃描系統(tǒng)掃描漏洞掃描7網(wǎng)絡(luò)進(jìn)攻8網(wǎng)絡(luò)進(jìn)攻主機(jī)掃描－傳統(tǒng)技術(shù)主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。這是信息收集的初級階段，其效果干脆影響到后續(xù)的掃描。常用的傳統(tǒng)掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描9網(wǎng)絡(luò)進(jìn)攻ICMP協(xié)議InternetControlMessageProtocol，是IP的一部分，在IP協(xié)議棧中必需實現(xiàn)。用途：網(wǎng)關(guān)或者目標(biāo)機(jī)器利用ICMP與源通訊當(dāng)出現(xiàn)問題時，供應(yīng)反饋信息用于報告錯誤特點：其限制實力并不用于保證傳輸?shù)睦慰啃运旧硪膊皇抢慰總鬏數(shù)牟⒉挥脕矸从矷CMP報文的傳輸狀況10網(wǎng)絡(luò)進(jìn)攻ICMP協(xié)議ICMP報文類型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply11網(wǎng)絡(luò)進(jìn)攻ICMPecho掃描Ping的實現(xiàn)機(jī)制向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等待回復(fù)的ICMPEchoReply包(type0)。假如能收到，則表明目標(biāo)系統(tǒng)可達(dá)，否則表明目標(biāo)系統(tǒng)已經(jīng)不行達(dá)或發(fā)送的包被對方的設(shè)備過濾掉。優(yōu)點：簡潔，系統(tǒng)支持缺點：很簡潔被防火墻限制可以通過并行發(fā)送，同時探測多個目標(biāo)主機(jī)，以提高探測效率（ICMPSweep掃描）。12網(wǎng)絡(luò)進(jìn)攻BroadcastICMP掃描將ICMP懇求包的目標(biāo)地址設(shè)為廣播地址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個網(wǎng)絡(luò)范圍內(nèi)的主機(jī)。缺點：只適合于UNIX/Linux系統(tǒng)，Windows會忽視這種懇求包；這種掃描方式簡潔引起廣播風(fēng)暴13網(wǎng)絡(luò)進(jìn)攻Non-EchoICMP掃描其它ICMP類型包也可以用于對主機(jī)或網(wǎng)絡(luò)設(shè)備的探測，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)14網(wǎng)絡(luò)進(jìn)攻主機(jī)掃描－高級技術(shù)防火墻和網(wǎng)絡(luò)過濾設(shè)備可以阻斷傳統(tǒng)探測手段特別規(guī)手段：利用ICMP協(xié)議供應(yīng)網(wǎng)絡(luò)間傳送錯誤信息的手段異樣的IP包頭在IP頭中設(shè)置無效的字段值錯誤的數(shù)據(jù)分片通過超長包探測內(nèi)部路由器反向映射探測15網(wǎng)絡(luò)進(jìn)攻異樣的IP包頭向目標(biāo)主機(jī)發(fā)送報頭錯誤的IP包，目標(biāo)主機(jī)或過濾設(shè)備會反饋ICMPParameterProblemError信息。常見的偽造錯誤字段為HeaderLengthField和IPOptionsField。依據(jù)RFC1122的規(guī)定，主機(jī)應(yīng)當(dāng)檢測IP包的VersionNumber、Checksum字段,路由器應(yīng)當(dāng)檢測IP包的Checksum字段。不同廠家的路由器和操作系統(tǒng)對這些錯誤的處理方式不同，返回的結(jié)果也各異。16網(wǎng)絡(luò)進(jìn)攻在IP頭中設(shè)置無效的字段值向目標(biāo)主機(jī)發(fā)送的IP包中填充錯誤的字段值，目標(biāo)主機(jī)或過濾設(shè)備會反饋ICMPDestinationUnreachable信息。17網(wǎng)絡(luò)進(jìn)攻錯誤的數(shù)據(jù)分段當(dāng)目標(biāo)主機(jī)接收到錯誤的數(shù)據(jù)分段（如某些分段丟失），并且在規(guī)定的時間間隔內(nèi)得不到更正時，將丟棄這些有錯數(shù)據(jù)包，并向發(fā)送主機(jī)反饋ICMPFragmentReassemblyTimeExceeded錯誤報文。18網(wǎng)絡(luò)進(jìn)攻超長包探測內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長度超過目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分段標(biāo)記,該路由器會反饋FragmentationNeededandDon’tFragmentBitwasSet差錯報文。19網(wǎng)絡(luò)進(jìn)攻反向映射探測用于探測被過濾設(shè)備或防火墻愛護(hù)的網(wǎng)絡(luò)和主機(jī)。目標(biāo)主機(jī)無法從外部干脆到達(dá)，接受反向映射技術(shù)，通過目標(biāo)系統(tǒng)的路由設(shè)備進(jìn)行探測。想探測某個未知網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)時，可以推想可能的內(nèi)部IP地址（列表），并向這些地址發(fā)送數(shù)據(jù)包。目標(biāo)網(wǎng)絡(luò)的路由器收到這些數(shù)據(jù)包時，會進(jìn)行IP識別并轉(zhuǎn)發(fā)，對不在其服務(wù)范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯誤報文。沒有接收到錯誤報文的IP地址可認(rèn)為在該網(wǎng)絡(luò)中。這種方法也會受過濾設(shè)備的影響。20網(wǎng)絡(luò)進(jìn)攻端口掃描當(dāng)確定了目標(biāo)主機(jī)可達(dá)后，就可以運用端口掃描技術(shù)，發(fā)覺目標(biāo)主機(jī)的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。端口掃描技術(shù)主要包括以下三類：開放掃描會產(chǎn)生大量的審計數(shù)據(jù)，簡潔被對方發(fā)覺，但其牢靠性高；隱藏掃描能有效的避開對方入侵檢測系統(tǒng)和防火墻的檢測，但這種掃描運用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時簡潔被丟棄從而產(chǎn)生錯誤的探測信息；半開放掃描隱藏性和牢靠性介于前兩者之間。21網(wǎng)絡(luò)進(jìn)攻端口掃描向各種端口發(fā)送特殊報文，檢測響應(yīng)，以發(fā)覺目標(biāo)開放的端口（服務(wù)），找到未知的后門已知端口掃描，如80、25，發(fā)覺服務(wù)未知端口掃描，發(fā)覺后門，如313837（BO木馬設(shè)置的后門）多線程掃描，加速22網(wǎng)絡(luò)進(jìn)攻TCP數(shù)據(jù)包格式端口掃描-TCP23網(wǎng)絡(luò)進(jìn)攻TCP標(biāo)記位ACK： 確認(rèn)標(biāo)記RST： 復(fù)位標(biāo)記URG：緊急標(biāo)記SYN： 建立連接標(biāo)記PSH： 推標(biāo)記FIN： 結(jié)束標(biāo)記端口掃描-TCP24網(wǎng)絡(luò)進(jìn)攻TCP連接建立示意圖端口掃描-TCP25網(wǎng)絡(luò)進(jìn)攻開放掃描技術(shù)TCPConnect掃描TCP反向ident掃描26網(wǎng)絡(luò)進(jìn)攻TCPConnect掃描實現(xiàn)原理：通過調(diào)用socket函數(shù)connect()連接到目標(biāo)計算機(jī)上，完成一次完整的三次握手過程。假如端口處于偵聽狀態(tài)，那么connect()就能成功返回。否則，這個端口不行用，即沒有供應(yīng)服務(wù)。優(yōu)點：穩(wěn)定牢靠，不須要特殊的權(quán)限缺點：掃描方式不隱藏，服務(wù)器日志會記錄下大量密集的連接和錯誤記錄，并簡潔被防火墻發(fā)覺和屏蔽27網(wǎng)絡(luò)進(jìn)攻TCP反向ident掃描ident協(xié)議允許看到通過TCP連接的任何進(jìn)程的擁有者的用戶名，即使這個連接不是由這個進(jìn)程發(fā)起的。比如，連接到端口，然后用identd來發(fā)覺服務(wù)器是否正在以root權(quán)限運行。缺點：這種方法只能在和目標(biāo)端口建立了一個完整的TCP連接后才能看到。28網(wǎng)絡(luò)進(jìn)攻半開放掃描技術(shù)TCPSYN掃描TCP間接掃描29網(wǎng)絡(luò)進(jìn)攻端口掃描-TCPSYN掃描向端口發(fā)送TCP連接懇求報文（TCP-SYN）檢測響應(yīng)SYN/ACK：端口開放供應(yīng)服務(wù)RST：端口不開放給出RST、ACK、或不理不給RST簡潔被發(fā)覺30網(wǎng)絡(luò)進(jìn)攻在SYN掃描時，全連接尚未建立，所以這種技術(shù)通常被稱為半連接掃描優(yōu)點：隱藏性較全連接掃描好，一般系統(tǒng)對這種半掃描很少記錄缺點：通常構(gòu)造SYN數(shù)據(jù)包須要超級用戶或者授權(quán)用戶訪問特地的系統(tǒng)調(diào)用31網(wǎng)絡(luò)進(jìn)攻TCP間接掃描利用第三方的IP（欺瞞主機(jī)）來隱藏真正掃描者的IP。掃描主機(jī)偽造第三方主機(jī)IP地址向目標(biāo)主機(jī)發(fā)起SYN掃描。被掃描主機(jī)會對欺瞞主機(jī)發(fā)送連接回應(yīng)信息，必需監(jiān)測欺瞞主機(jī)的IP行為，獲得掃描結(jié)果。優(yōu)點：隱藏性好缺點：對第三方主機(jī)的要求較高32網(wǎng)絡(luò)進(jìn)攻前面部分2004-04-02已經(jīng)講授33網(wǎng)絡(luò)進(jìn)攻隱藏掃描技術(shù)TCPFIN掃描TCPXmas掃描TCPNull掃描TCPftpproxy掃描分段掃描34網(wǎng)絡(luò)進(jìn)攻掃描器向目標(biāo)主機(jī)端口發(fā)送FIN包。FIN數(shù)據(jù)包到達(dá)一個已關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且返回一個RST數(shù)據(jù)包。若是打開的端口，數(shù)據(jù)包只是簡潔的丟掉（不返回RST）。優(yōu)點：由于這種技術(shù)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而比SYN掃描隱藏得多，F(xiàn)IN數(shù)據(jù)包能夠通過只監(jiān)測SYN包的包過濾器。缺點：跟SYN掃描類似，須要自己構(gòu)造數(shù)據(jù)包，要求由超級用戶或者授權(quán)用戶訪問特地的系統(tǒng)調(diào)用；通常適用于UNIX目標(biāo)主機(jī)，除過少量的應(yīng)當(dāng)丟棄數(shù)據(jù)包卻發(fā)送RST包的操作系統(tǒng)（包括CISCO，HP/UX，MVS和IRIX）。但在Windows95/NT環(huán)境下，該方法無效，因為不論目標(biāo)端口是否打開，操作系統(tǒng)都返回RST包。端口掃描-TCPFIN掃描35網(wǎng)絡(luò)進(jìn)攻TCPXmas和TCPNull掃描TCPXmas和Null掃描是FIN掃描的兩個變種。Xmas掃描打開FIN、URG和PUSH標(biāo)記而Null掃描關(guān)閉全部標(biāo)記。組合的目的是為了通過對FIN標(biāo)記數(shù)據(jù)包的過濾。這種數(shù)據(jù)包到達(dá)一個關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且返回一個RST數(shù)據(jù)包。若是打開的端口，數(shù)據(jù)包只是簡潔的丟掉（不返回RST）。優(yōu)點：隱藏性好；缺點：須要自己構(gòu)造數(shù)據(jù)包，要求由超級用戶或者授權(quán)用戶權(quán)限；通常適用于UNIX目標(biāo)主機(jī)，而Windows系統(tǒng)不支持。36網(wǎng)絡(luò)進(jìn)攻TCPftpproxy掃描FTP代理選項允許一個客戶端同時跟兩個FTP服務(wù)器建立連接，然后在服務(wù)器之間干脆傳輸數(shù)據(jù)。然而，在大部分實現(xiàn)中，事實上能夠使得FTP服務(wù)器發(fā)送文件到Internet的任何地方。該方法正是利用了這個缺陷掃描步驟：1：假定S是掃描機(jī)，T是掃描目標(biāo)（ftp服務(wù)器），F(xiàn)是一個ftp服務(wù)器，這個服務(wù)器支持代理選項，能夠跟S和T建立連接。2：S與F建立一個ftp會話，運用PORT吩咐聲明一個選擇的端口（稱之為p－T）作為代理傳輸所須要的被動端口。3：然后S運用一個LIST吩咐嘗試啟動一個到p－T的數(shù)據(jù)傳輸。4：假如端口p－T的確在監(jiān)聽，傳輸就會成功（返回碼150和226被發(fā)送回給S），否則S回收到"425無法打開數(shù)據(jù)連接"的應(yīng)答。5：S持續(xù)運用PORT和LIST吩咐，直到T上全部的選擇端口掃描完畢。優(yōu)點：FTP代理掃描不但難以跟蹤，而且可以穿越防火墻缺點：一些ftpserver禁止這種特性37網(wǎng)絡(luò)進(jìn)攻端口掃描-多IP報文段掃描將TCP連接限制報文分成多個短IP報文段傳送隱藏性好，可穿越防火墻，躲避平安檢測缺點：可能被丟棄；某些程序在處理這些小數(shù)據(jù)包時會出現(xiàn)異樣。38網(wǎng)絡(luò)進(jìn)攻系統(tǒng)掃描——棧指紋OS識別依據(jù)OS在TCP/IP協(xié)議棧實現(xiàn)上的不同特點，通過其對各種探測的響應(yīng)規(guī)律形成識別指紋，進(jìn)而識別目標(biāo)主機(jī)運行的操作系統(tǒng)。向開放的端口發(fā)送服務(wù)懇求，確定端口供應(yīng)的服務(wù)類型不同操作系統(tǒng)的TCP/IP協(xié)議有不同的響應(yīng)特征，據(jù)此可以推斷OS類型FIN響應(yīng)特征BOGUS響應(yīng)特征（未定義的TCP標(biāo)記）TCPISN初始化特征（序號起始值）TCP連接初始化窗口大小……（書）39網(wǎng)絡(luò)進(jìn)攻依據(jù)采集指紋信息的方式，又可以分為主動掃描和被動掃描兩種方式。40網(wǎng)絡(luò)進(jìn)攻被動掃描通過監(jiān)聽工具收集數(shù)據(jù)包，再對數(shù)據(jù)包的不同特征（TCPWindow-size、IPTTL、IPTOS、DF位等參數(shù)）進(jìn)行分析，來識別操作系統(tǒng)。被動掃描基本不具備攻擊特征，具有很好的隱藏性，但其實現(xiàn)嚴(yán)格依靠掃描主機(jī)所處的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；和主動探測相比較，具有速度慢、牢靠性不高等缺點。41網(wǎng)絡(luò)進(jìn)攻主動掃描接受向目標(biāo)系統(tǒng)發(fā)送構(gòu)造的特殊包并監(jiān)控其應(yīng)答的方式來識別操作系統(tǒng)類型。主動掃描具有速度快、牢靠性高等優(yōu)點，但同樣嚴(yán)峻依靠于目標(biāo)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和過濾規(guī)則。42網(wǎng)絡(luò)進(jìn)攻主動掃描－識別技術(shù)（一）FIN探測：發(fā)送一個FIN包給一個打開的端口，一般的行為是不響應(yīng)，但某些實現(xiàn)例如MSWindows,BSDI,CISCO,HP/UX,MVS,和IRIX發(fā)回一個RESET。BOGUS標(biāo)記探測：設(shè)置一個未定義的TCP"標(biāo)記"（64或128）在SYN包的TCP頭里。Linux機(jī)器到2.0.35之前在回應(yīng)中保持這個標(biāo)記。TCPISN取樣：找出當(dāng)響應(yīng)一個連接懇求時由TCP實現(xiàn)所選擇的初始化序列數(shù)式樣。這可分為很多組例如傳統(tǒng)的64K（很多老UNIX機(jī)器），隨機(jī)增量（新版本的Solaris，IRIX，F(xiàn)reeBSD，DigitalUNIX，Cray，等），真“隨機(jī)”（Linux2.0.*，OpenVMS,新的AIX,等），Windows機(jī)器（和一些其他的）用一個“時間相關(guān)”模型，每過一段時間ISN就被加上一個小的固定數(shù)。43網(wǎng)絡(luò)進(jìn)攻系統(tǒng)掃描——主動掃描不分段指示位：很多操作系統(tǒng)起先在送出的一些包中設(shè)置IP的"Don'tFragment"位。TCP初始化窗口值：檢查返回包的窗口大小。如queso和nmap保持對窗口的精確跟蹤因為它對于特定OS基本是常數(shù)。ACK值：不同實現(xiàn)中一些狀況下ACK域的值是不同的。例如，假如你送了一個FIN|PSH|URG到一個關(guān)閉的TCP端口。大多數(shù)實現(xiàn)會設(shè)置ACK為你的初始序列數(shù)，而Windows會送給你序列數(shù)加1。ICMP錯誤信息終結(jié)：一些操作系統(tǒng)限制各種錯誤信息的發(fā)送率。例如，Linux內(nèi)核限制目的不行達(dá)消息的生成每4秒鐘最多80個。測試的一種方法是發(fā)一串包到一些隨機(jī)的高UDP端口并計數(shù)收到的不行達(dá)消息。44網(wǎng)絡(luò)進(jìn)攻系統(tǒng)掃描——主動掃描ICMP消息引用：ICMP錯誤消息中可以引用一部分引起錯誤的源消息。對一個端口不行達(dá)消息，幾乎全部實現(xiàn)只送回IP懇求頭外加8個字節(jié)。然而，Solaris送回的稍多，而Linux更多。SYN洪泛限度：假如收到過多的偽造SYN數(shù)據(jù)包，一些操作系統(tǒng)會停止新的連接嘗試。很多操作系統(tǒng)只能處理8個包。45網(wǎng)絡(luò)進(jìn)攻漏洞掃描服務(wù)程序的缺陷、配置運用不當(dāng)對已知漏洞進(jìn)行摸索允許匿名服務(wù)的Telnet、FTPDaytime服務(wù)TCP連接初始化窗口大小……（書）46網(wǎng)絡(luò)進(jìn)攻實例：CGI漏洞掃描漏洞掃描流程連接目標(biāo)WEBSERVER發(fā)送一個特殊的懇求接收目標(biāo)服務(wù)器返回數(shù)據(jù)依據(jù)返回數(shù)據(jù)推斷目標(biāo)服務(wù)器是否有此CGI漏洞。47網(wǎng)絡(luò)進(jìn)攻CGI漏洞掃描（一）比如識別出Web服務(wù)器為IIS，則向其發(fā)出Http懇求："GET/iissamples/exair/howitworks/codebrws.asp","GET/iissamples/sdk/asp/docs/codebrws.asp","GET/iissamples/exair/howitworks/code.asp","GET/msadc/samples/selector/showcode.asp","GET/scripts/tools/newdsn.exe”假如返回“200OK”的Http應(yīng)答，則表明存在”IISsamples“漏洞，須要提示用戶進(jìn)行修改。48網(wǎng)絡(luò)進(jìn)攻CGI漏洞掃描（二）假如向IIS服務(wù)器發(fā)Http懇求，“GET/NULL.printer“其返回信息為"50013\r\nServer:Microsoft-IIS/5.0"則目標(biāo)系統(tǒng)存在”IIS5NULL.printer”漏洞。49網(wǎng)絡(luò)進(jìn)攻監(jiān)聽數(shù)據(jù)采集同入侵檢測接收流經(jīng)的數(shù)據(jù)進(jìn)行分析過濾被動監(jiān)測數(shù)據(jù)處理量大隱藏共享網(wǎng)段限制50網(wǎng)絡(luò)進(jìn)攻監(jiān)聽方式本機(jī)監(jiān)聽網(wǎng)段監(jiān)聽密文嗅探51網(wǎng)絡(luò)進(jìn)攻監(jiān)聽目的截獲數(shù)據(jù)獲得傳輸內(nèi)容獲得在通信的IP地址獲得在服務(wù)的網(wǎng)絡(luò)端口截獲信息搜羅用戶名/口令52網(wǎng)絡(luò)進(jìn)攻嗅探器監(jiān)聽工具snifferNetXRaySnifferPro53網(wǎng)絡(luò)進(jìn)攻7.2網(wǎng)絡(luò)攻擊技術(shù)54網(wǎng)絡(luò)進(jìn)攻9.2.1服務(wù)失效通過電子郵件和FTP將服務(wù)器硬盤填滿；用無效的報文將信道塞滿；用無用的進(jìn)程將CPU時間占滿；用ICMP報文去修改路由器或主機(jī)的配置，干繞正常工作。郵包炸彈（E-mailBombing)和郵包罐頭(E-mailSpamming)郵包炸彈是指攻擊者不斷重復(fù)的向特定地址發(fā)送特定的E-mail信息。郵件包袱是指把郵件發(fā)送給千百計的用戶。55網(wǎng)絡(luò)進(jìn)攻2.廣播風(fēng)暴由于UDP沒有流量限制，所以會被利用作為服務(wù)失效攻擊的手段，UDP風(fēng)暴會引起網(wǎng)絡(luò)擁塞和主機(jī)性能下降。UDP風(fēng)暴是指攻擊者向某個UDP服務(wù)器發(fā)送大量的UDP報文。以太網(wǎng)的廣播傳輸特性也可以被攻擊者利用，通過形成廣播風(fēng)暴進(jìn)行服務(wù)失效攻擊。例如：攻擊者可以廣播報文一個不存在的IP地址，這時全部的路由都會試圖轉(zhuǎn)發(fā)該報文，這就產(chǎn)生了很多無效流量。各個路由器還會運用ARP試圖獲得目標(biāo)的IP地址，假如攻擊者回答說廣播地址是該目標(biāo)IP地址，就會引發(fā)更大的廣播風(fēng)暴。56網(wǎng)絡(luò)進(jìn)攻3.TCP同步攻擊4.LandLand時1997年末到1998年初出現(xiàn)的針對Windows系列的著名服務(wù)失效攻擊。land原理是：攻擊者發(fā)送一個TCP連接懇求報文，但是這個報文的源地址等于目的地址，當(dāng)被攻擊的主機(jī)接收到該報文就會陷入循環(huán)而死機(jī)。該攻擊除了對于windows系統(tǒng)有效外，還對包括Solaris、HP、NETBSD、CISCO路由器在內(nèi)的很多其它平臺有作用。5.Teardrop57網(wǎng)絡(luò)進(jìn)攻teardrop攻擊是和land攻擊同時的另一個著名服務(wù)失效攻擊，該攻擊主要針對Windows系列的系統(tǒng)，但是對Linuxredhat5.1,Kernel2.0.34，該攻擊利用IP分段報文重組的以下漏洞。即分段/合段方法的漏洞。系統(tǒng)在重組數(shù)據(jù)報文時，運行于一個循環(huán)，將數(shù)據(jù)報片中的有效負(fù)荷部分拷貝在一個緩沖區(qū)中。其原理如下：58網(wǎng)絡(luò)進(jìn)攻Fp=qp->fragmemts;While(fp!=NULL){if(count+fp->len>skb->len{Error_too_big;}memcpy((ptr+fp->offset),fp->ptr,fp->len);Count+=fp->len;Fp=fp->next;}6.smurf攻擊Smurf攻擊是一種特殊的Pingtodeath。它主要是發(fā)送大量的ICMPECHO報文的攻擊方式。59網(wǎng)絡(luò)進(jìn)攻其原理是：攻擊者發(fā)送一個ping報文(ICMPECHO報文)到目標(biāo)主機(jī)的網(wǎng)絡(luò)，且把接收者設(shè)置成整個網(wǎng)絡(luò)的廣播地址，因此整個目標(biāo)網(wǎng)絡(luò)的每一個主機(jī)都會試圖回答這個懇求，因此目標(biāo)主機(jī)就會收到整個網(wǎng)絡(luò)的回答。假如攻擊者同時發(fā)送大量的ping報文，經(jīng)目標(biāo)網(wǎng)絡(luò)的放大作用，目標(biāo)主機(jī)就會收到特別多的ping報文，從而導(dǎo)致網(wǎng)絡(luò)擁塞。7.ARP攻擊由于ARP協(xié)議執(zhí)行的實際效果是一個物理地址聲明，自己為某一IP地址，因此偽造的ARP報文會導(dǎo)致大量的IP地址沖突。如現(xiàn)在很多網(wǎng)站上可以找到Ipman程序。60網(wǎng)絡(luò)進(jìn)攻8.分布式服務(wù)失效攻擊一般的分布失效攻擊都表現(xiàn)為攻擊者運用一個工具向被攻擊者發(fā)送報文，使其不能正常工作或被重新啟動。而且攻擊的地址是假冒的不能干脆用于追蹤。攻擊者通常運用代理來發(fā)起攻擊。攻擊者在被入侵的主機(jī)中靜靜的運行并從一個預(yù)定的端口監(jiān)聽限制吩咐。攻擊代理將向制定的一個或多個目標(biāo)發(fā)出多達(dá)2000秒的Udp的洪泛攻擊，這些攻擊者的參數(shù)可以重新設(shè)置，因此可多次運用。61網(wǎng)絡(luò)進(jìn)攻代理中預(yù)制有限制主機(jī)表，可以從一個限制主機(jī)接收限制吩咐，所以要消退全部的代理攻擊須要花費很大的功夫。在運用ICMP的echoreplies作為控吩咐，不同的標(biāo)值表示不同的吩咐，如“345”表示啟動SYN攻擊。9.2.2欺瞞攻擊平安相關(guān)確定；上下文指用戶在做出平安相關(guān)確定時所依的環(huán)境。1.郵件欺瞞（MailSpoofing)62網(wǎng)絡(luò)進(jìn)攻2.IP欺瞞3.路由欺瞞源路由欺瞞是一種通過向網(wǎng)絡(luò)中注入虛假報文來干擾正常傳輸?shù)墓舴绞?。SNMP協(xié)議包含的路由協(xié)議，就是一個最簡潔攻擊的工具。4.WWW服務(wù)欺瞞該攻擊可能產(chǎn)生可能產(chǎn)生的后果有：監(jiān)視：攻擊者可以監(jiān)視用戶和整正服務(wù)器之間的全部流量信息，獲得用戶口令等關(guān)鍵信息。偽造：攻擊者偽造客戶給服務(wù)器的數(shù)據(jù)；假冒整個站點：63網(wǎng)絡(luò)進(jìn)攻該攻擊的一個關(guān)鍵技術(shù)是：重寫URL如WWW.attack假冒netscape就可以把從netscape獲得的URL://attack均改寫為：://WWW.attack第一次欺瞞可以接受DNS欺瞞、IP欺瞞等來實現(xiàn)。9.2.3TCP協(xié)議的平安威逼1.運用IP欺瞞的TCP序列號攻擊攻擊的前提是：攻擊者構(gòu)造自己的TCP報文，因此它可以構(gòu)造任何IP源地址的端口64網(wǎng)絡(luò)進(jìn)攻假如A攻擊B,A冒充C:A向B的特定端口發(fā)送整正的連接，A不須要完成連接指須要獲得響應(yīng)序列號即可。然后A向B發(fā)送偽造為C的懇求，并且在預(yù)定的時間回答，運用的序列號為上一次獲得的整正序列號加64，當(dāng)B接收到回答后就進(jìn)入建立狀態(tài)，因此A可以發(fā)送吩咐要求B執(zhí)行。這種攻擊的難點在于B回答的SYN報文會送到整正的C，而不是A，于是C會發(fā)覺該報文來自一個不存在的虛電路，因此會回答一個RST報文，從而導(dǎo)致A和B之間的虛假的虛電路斷開。65網(wǎng)絡(luò)進(jìn)攻為了克服上述困難，A須要將源端口假冒一個存在的端口，并且事先發(fā)送大量的SYN報文到C的端口，導(dǎo)致該端口的隊列溢出（TCP同步攻擊），迫使C不對B的SYN報文作出回答。，從而完成完整的序列號攻擊。假定A攻擊B,A冒充C。

66網(wǎng)絡(luò)進(jìn)攻完整的序列號攻擊為：（1）運用大量的連接懇求使C的21端口（C正在運用的端口）堵塞。（2）向B創(chuàng)建整正的C連接，記錄序列號。（3）建立IPSocket，修改IP地址為C，并且構(gòu)造懇求報文。（4）向B的514端口發(fā)送源地址為C端口為21的偽造報文；（5）向B發(fā)送型應(yīng)報文，運用序列號是第（2）步獲得的序列號加64；（6）向B的514端口發(fā)送偽造的吩咐報文；（7）假如全部步驟均正確，B將執(zhí)行該吩咐。67網(wǎng)絡(luò)進(jìn)攻2.運用IP欺瞞的TCP攻擊假如一個服務(wù)運用的鑒別機(jī)制僅僅依靠于IP地址，則可以通過IP地址欺瞞進(jìn)行攻擊。假如一個服務(wù)運用的鑒別機(jī)制僅僅依靠于TCP連接則可以通過TCP攻擊加IP欺瞞進(jìn)行攻擊。在正常的TCP連接建立過程中，當(dāng)連接已建立且處于SILENCE狀態(tài)的狀況下有：68網(wǎng)絡(luò)進(jìn)攻CLT_SEQ=SVR_ACKSVR_SEQ=CLT_ACK則稱為同步狀態(tài)，假如有：SVR_SEQ<>CLT_ACKCLT_SEQ<>SVR_ACK則稱為不同步狀態(tài)，于此可能互導(dǎo)致很多問題。相互之間無法得到對方的信息，而假如讓攻擊者知道了雙方具體的SVR_SEQ，CLT_ACK，CLT_SE Q和SVR_ACK，則它可以向連接的雙方發(fā)送任何信息。同時，假如攻擊者運用嗅包器獲得服務(wù)器和客戶整正發(fā)送的信息內(nèi)容，則可以轉(zhuǎn)發(fā)信息69網(wǎng)絡(luò)進(jìn)攻是兩端督察絕不到。假如服務(wù)器和客戶處于不同步狀態(tài)，還會導(dǎo)致TCPACK風(fēng)暴。當(dāng)發(fā)送信息的序列號為SVR_SEQ時，由于SVR_SEQ<>CLT_ACK，客戶會給出失敗的ACK報文，該報文的序列號為CLT_SEQ;同樣CLT_SEQ<>SVR_ACK，服務(wù)器也會給出失敗的ACK報文，……..因此就形成了無限循環(huán)，直到這個連接由于某種緣由而中斷。TCP連接的兩端之間在正常的工作交互狀況下是不會出現(xiàn)不同步現(xiàn)象的，但攻擊者處于子的須要可設(shè)法讓這兩端出現(xiàn)不同步。70網(wǎng)絡(luò)進(jìn)攻攻擊者為服務(wù)器和客戶建立不同步狀態(tài)的方法有幾種，比較典型的有兩種：早期不同步（Earlydesynchronization)和空數(shù)局不同步（Nulldatadesynchronization。早期不同步攻擊在TCP連接建立的早期舅父為服務(wù)器狀態(tài)，然后建立一個新的不同的序列號的連接。具體是：（1）攻擊者監(jiān)聽TCP連接建立的報文；（2）攻擊者監(jiān)聽TCP三次握手的其次次時，向服務(wù)器發(fā)送RST報文和一個具有相同參數(shù)和不同序列號的SYN報文；71網(wǎng)絡(luò)進(jìn)攻（3）服務(wù)器在接收到RST報文后關(guān)閉第一個連接，然后在接收到SYN報文時建立其次個連接；（4）在感知服務(wù)器發(fā)送響應(yīng)攻擊者的SYN報文后，構(gòu)造正確的響應(yīng)SYN,使服務(wù)器狀態(tài)達(dá)到建立狀態(tài)。9.2.4競爭條件再多用戶系統(tǒng)中，通常運用分時的方法實現(xiàn)多個進(jìn)程的并行運行，因此，存在這樣一種可能性：一個進(jìn)程在運行是試圖干擾另一個進(jìn)程的執(zhí)行，以期獲得某種利益，這種利用執(zhí)行時對CPU的競爭來影響并行的方法稱作競爭。72網(wǎng)絡(luò)進(jìn)攻在Solaris2.4系統(tǒng)中，檢查系統(tǒng)內(nèi)現(xiàn)有進(jìn)程的系統(tǒng)吩咐PS是一個SUID程序，他把一個暫存文件的全部者改造成超級用戶，而且這個暫存文件有可以被任何人刪除（放在/tmp書目下）。這樣入侵者可以拷貝一個ksh并且將其權(quán)限改稱4777（SUID），然后不斷運行程序ps，同時用一個并行的程序在一旁監(jiān)視，不斷地試圖把暫存文件連接到自己的shell。假如成功則自己的ksh就成為一個SUID為root的shell。這樣只要運行這個shell就可以獲得超級用戶。9.2.5棧瓦解

73網(wǎng)絡(luò)進(jìn)攻棧瓦解(stacksmash)的通常方法是棧溢出（stackoverflow）。棧溢出是一個較為經(jīng)典的問題，從1988年的蠕蟲事務(wù)起先就常常運用。由于c語言編譯器通常都不對棧的運用作邊界判定，所以攻擊者可以通過細(xì)心設(shè)計程序調(diào)用來調(diào)用棧溢出，以覆蓋返回地址，使程序的限制轉(zhuǎn)移到入侵者所期望的位置，執(zhí)行隨意的吩咐，這就是棧瓦解的含義。一般說來，在函數(shù)調(diào)用棧中保存的有：函數(shù)的參數(shù)、函數(shù)的返回地址，老的調(diào)用棧返回指針、局部變量等。74網(wǎng)絡(luò)進(jìn)攻局部變量中常常有數(shù)組變量，這些變量又會從函數(shù)參數(shù)中賦值，那么假如傳給一個國大的參數(shù)，就可能會覆蓋掉函數(shù)的返回地址。如：75網(wǎng)絡(luò)進(jìn)攻

voidfunction(char*str){Charbuffer[16];Strcpy（buffer,str);}Voidmain(){Charlarge_string[256]IntI;For(I=0;I<255;I++)Large_string[I]=‘a(chǎn)’Function(large_string);76網(wǎng)絡(luò)進(jìn)攻9.2.6堆溢出堆溢出（HeapOverflow）是對堆（靜態(tài)數(shù)據(jù)區(qū)）進(jìn)行溢出攻擊，以其獲得利益的攻擊方式。堆溢出有以下特點：棧溢出在堆棧段溢出無法執(zhí)行代碼的平臺會失效，而堆溢出側(cè)不受限制。有人建議為了防止棧溢出將局部變量改為靜態(tài)變量，從而變成了堆。堆是編譯的重要概念：堆是自低地址向高地址生長的數(shù)據(jù)區(qū)，在編譯時被初始化，在程序執(zhí)行時被動態(tài)安排。下面說明堆溢出的機(jī)制：

77網(wǎng)絡(luò)進(jìn)攻#Include<stdio.h>#Include<stdlib.h>#Include<unistd.h>#Include<string>#defineBUFSIZE16#defineOVERSIZE8Intmain(){longdiff;Char*buf1=(char*)malloc(BUFSIZE),*buf2=(char*)malloc(BUFSIZE);78網(wǎng)絡(luò)進(jìn)攻Diff=(long)buf2-(long)buf1Printf(“buf1=%p,buf2=%p,diff=ox%xbytes\n”,buf1,buf2.diff);Memset(buf2,’A’,BUFSIZE-1),buf2[BUFSIZE-1]=‘\0’;Printf(“beforeoverflow:buf2=%s\n”,buf2）Memset(buf1,’B’,(int)(diff+OVERSIZE));Printf(“afteroverfolw:buf2=%s\n”,buf2)Return0;}79網(wǎng)絡(luò)進(jìn)攻運行結(jié)果為：Buf1=0x804e000,buf2=0x804eff0,diff=0xff0Beforeoverflow:buf2=AAAAAAAAAAAAAfteroverflow:buf2=BBBBBBAAAAAA80網(wǎng)絡(luò)進(jìn)攻7.1.2通過漏洞進(jìn)入系統(tǒng)1.登錄服務(wù)登錄服務(wù)主要有telnet和rlogin.rlogin等Unix的-R系列服務(wù)存在信任的概念，允許被信任的用戶不須要口令也可以進(jìn)入系統(tǒng)，因此可以運用IP欺瞞等技術(shù)闖入系統(tǒng)。在滿足RFC1408/1572的telnet服務(wù)中，允許telnet連接變更環(huán)境變量，因此只要攻擊者對系統(tǒng)有寫權(quán)，就可以防止偽造的共享庫，并且修改環(huán)境變量到共享庫，從而使自己以后可以繞過系統(tǒng)的鑒別。81網(wǎng)絡(luò)進(jìn)攻2.Mail和sendmail的平安問題SMTP協(xié)議對于發(fā)送方?jīng)]有任何鑒別，所以任何人都可以發(fā)送郵件，并且申明發(fā)送者為另一個用戶，甚至可以申明自己的主機(jī)為另一主機(jī)，而且這種申明都是SMTP協(xié)議中的基本吩咐，這就是mail欺瞞的由來。SMTP協(xié)議的另一個問題是，該協(xié)議可以轉(zhuǎn)發(fā)郵件，因此有的攻擊者把收信地址寫成另一個Mail地址，導(dǎo)致受攻擊的mail服務(wù)器轉(zhuǎn)發(fā)該郵件。這種攻擊主要有兩種目的：82網(wǎng)絡(luò)進(jìn)攻躲避付費；Mai