網(wǎng)絡(luò)攻擊技術(shù)

網(wǎng)絡(luò)攻擊技術(shù)第一頁，共一百五十六頁，編輯于2023年，星期三為什么要研究攻擊技術(shù)知己知彼，百戰(zhàn)不殆中國《孫子》Payattentiontoyourenemies,fortheyarethefirsttodiscoveryourmistakes.Antistthenes,440BC了解網(wǎng)絡(luò)安全的重要手段黑客攻擊技術(shù)網(wǎng)絡(luò)防護的一部分研究網(wǎng)絡(luò)攻擊，是為了更加有效地對網(wǎng)絡(luò)進行防護技術(shù)繁多，沒有明顯的理論指導(dǎo)一些技術(shù)，既是黑客技術(shù)，也是網(wǎng)絡(luò)管理技術(shù)，或者是網(wǎng)絡(luò)防護技術(shù)第二頁，共一百五十六頁，編輯于2023年，星期三EmailWebISP門戶網(wǎng)站E-Commerce電子交易復(fù)雜程度時間Internet變得越來越重要第三頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)安全問題日益突出混合型威脅(RedCode,Nimda)拒絕服務(wù)攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量第四頁，共一百五十六頁，編輯于2023年，星期三攻擊的基本步驟窺探設(shè)施踩點掃描查點列出用戶賬號列出共享文件確定應(yīng)用攻擊系統(tǒng)掃尾工作安裝后門清除入侵痕跡第五頁，共一百五十六頁，編輯于2023年，星期三攻擊技術(shù)一覽攻擊系統(tǒng)中常用的攻擊技術(shù)網(wǎng)絡(luò)探測欺騙會話劫持拒絕服務(wù)攻擊（DoS）緩沖區(qū)溢出口令探測社交工程物理攻擊木馬隱藏蹤跡第六頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)攻擊技術(shù)－欺騙欺騙技術(shù)IP欺騙假冒他人的IP地址發(fā)送信息郵件欺騙假冒他人的郵件地址發(fā)送信息Web欺騙你連到的網(wǎng)站是真的嗎？其他欺騙DNS欺騙非技術(shù)性欺騙第七頁，共一百五十六頁，編輯于2023年，星期三IP欺騙IP欺騙的動機隱藏自己的IP地址，防止被追蹤以IP為授權(quán)依據(jù)穿越防火墻IP欺騙的形式單向IP欺騙雙向IP欺騙更高級的形式：TCP會話劫持IP欺騙成功的要訣IP數(shù)據(jù)包路由原則：根據(jù)目標(biāo)地址進行路由第八頁，共一百五十六頁，編輯于2023年，星期三IP欺騙（一）簡單欺騙改變自己的IP地址問題只能發(fā)送數(shù)據(jù)包無法收到回送的數(shù)據(jù)包防火墻可能阻擋實現(xiàn)手段發(fā)送IP包，包頭填寫上虛假的源IP地址在Unix平臺上，直接用socket就可以需要root權(quán)限在Windows平臺上，需要不能使用winsock可以使用winpcap等工具第九頁，共一百五十六頁，編輯于2023年，星期三IP欺騙（二）雙向欺騙關(guān)鍵技術(shù)－讓回應(yīng)包通過HH和A在同一個子網(wǎng)內(nèi)部使用源路由選項被假冒者A目標(biāo)機器B攻擊者H假冒包：A->B回應(yīng)包：B->AH能看到這個包嗎？第十頁，共一百五十六頁，編輯于2023年，星期三IP欺騙（三）如何避免IP欺騙主機保護保護自己的機器不被用來實施IP欺騙物理防護、保護口令權(quán)限控制，防止其他人隨意修改配置信息注意其他的安全措施保護自己的機器不被成為假冒的對象無能為力網(wǎng)絡(luò)防護路由器上設(shè)置過濾器入口：外來包帶有內(nèi)部IP地址出口：內(nèi)部包帶有外部IP地址防止源路由攻擊路由器上禁止這樣的包第十一頁，共一百五十六頁，編輯于2023年，星期三電子郵件欺騙為什么要進行電子郵件欺騙隱藏發(fā)件人的身份，例如匿名信挑撥離間，唯恐世界不亂騙取敏感信息欺騙的形式使用類似的電子郵件地址修改郵件客戶端軟件的賬號配置直接連到SMTP服務(wù)器上發(fā)信電子郵件欺騙的方法與現(xiàn)實郵局進行比較基本郵件協(xié)議沒有認(rèn)證機制發(fā)信可以要求認(rèn)證第十二頁，共一百五十六頁，編輯于2023年，星期三電子郵件欺騙（一）使用類似的郵件地址發(fā)信人使用被假冒者的名字注冊一個賬號，然后給目標(biāo)發(fā)送一封正常的信他(她)能識別嗎？我是你的上司XX，請把XXX發(fā)送給我我在外面度假，請送到我的個人信箱第十三頁，共一百五十六頁，編輯于2023年，星期三電子郵件欺騙（二）對于類似郵件地址的解決使用數(shù)字簽名修改郵件客戶端軟件的賬號設(shè)置姓名（Name）屬性，會出現(xiàn)在“From”和“Reply-To”字段中，然后顯示在“發(fā)件人”信息中電子郵件地址，會出現(xiàn)在“From”字段中回復(fù)地址，會出現(xiàn)在“Reply-To”字段中，可以不填保護用戶免受修改郵件客戶的攻擊查看完整的電子郵件頭部信息多數(shù)郵件系統(tǒng)允許用戶查看郵件從源地址到目的地址經(jīng)過的所有主機第十四頁，共一百五十六頁，編輯于2023年，星期三電子郵件欺騙（三）直接連到SMTP服務(wù)器上發(fā)信telnet連到SMTP服務(wù)器的25端口，然后發(fā)送命令，常用的命令為：Helo、Mailfrom、Rcptto、Data、Quit保護措施郵件服務(wù)器的驗證Smtp服務(wù)器驗證發(fā)送者的身份，以及發(fā)送的郵件地址是否與郵件服務(wù)器屬于相同的域驗證接收方的域名與郵件服務(wù)器的域名是否相同有的也驗證發(fā)送者的域名是否有效，通過反向DNS解析攻擊者可以運行自己的smtp郵件服務(wù)器不能防止一個內(nèi)部用戶冒充另一個內(nèi)部用戶發(fā)送郵件第十五頁，共一百五十六頁，編輯于2023年，星期三Web欺騙Web是建立在應(yīng)用層上的服務(wù)，直接面向Internet用戶Web欺騙的根源由于Internet的開放性，任何人都可以建立自己的Web站點Web站點名字(DNS域名)可以自由注冊，按先后順序并不是每個用戶都清楚Web的運行規(guī)則Web欺騙的動機商業(yè)利益，商業(yè)競爭政治目的Web欺騙的形式使用相似的域名Cross-SiteScripting第十六頁，共一百五十六頁，編輯于2023年，星期三Web欺騙（一）使用相似的域名注冊一個與目標(biāo)公司或者組織相似的域名，然后建立一個欺騙網(wǎng)站，騙取該公司用戶的信任，以得到這些用戶的信息例如：使用來混淆如果客戶提供了敏感信息，那么這種欺騙可能會帶來更大的危害用戶在假冒的網(wǎng)站上訂購了一些商品，然后出示支付信息。假冒的網(wǎng)站把這些信息記錄下來并分配一個cookie，然后提示：現(xiàn)在網(wǎng)站出現(xiàn)故障，請重試一次。當(dāng)用戶重試的時候，假冒網(wǎng)站發(fā)現(xiàn)這個用戶帶有cookie，就把它的請求轉(zhuǎn)到真正的網(wǎng)站上。對于從事商業(yè)活動的用戶，應(yīng)對這種欺騙提高警惕第十七頁，共一百五十六頁，編輯于2023年，星期三Web欺騙（二）Cross-SiteScripting（跨站腳本攻擊）現(xiàn)在流行的一種攻擊方式絕大多數(shù)交互網(wǎng)站或者服務(wù)提供網(wǎng)站可能存在這種漏洞攻擊產(chǎn)生的根源網(wǎng)站提供交互時可使用HTML代碼，用戶可上傳惡意腳本代碼攻擊方式（以一個論壇網(wǎng)站為例）AntiBoardSQL注入及跨站腳本攻擊漏洞AntiBoard是一款基于PHP的論壇程序。

AntiBoard對用戶提交的參數(shù)缺少充分過濾，遠(yuǎn)程攻擊者可以利用這個漏洞獲得敏感信息或更改數(shù)據(jù)庫。

第十八頁，共一百五十六頁，編輯于2023年，星期三Web欺騙（三）防止Web欺騙－使用相似的域名注意觀察URL地址欄的變化不要信任不可靠的URL信息你是不是相信自己？許多人根據(jù)自己的猜測去在瀏覽器地址欄中寫下要訪問的網(wǎng)址防止Web欺騙－Cross-SiteScripting網(wǎng)站不允許使用HTML語言過于嚴(yán)格，沒有必要網(wǎng)站不允許使用腳本程序?qū)μ厥庾址倪^濾黑客們的對策采用另一種字符表達方式來逃避過濾，例如:改用ASCII碼替換<>如<>第十九頁，共一百五十六頁，編輯于2023年，星期三欺騙技術(shù)總結(jié)我們從上述欺騙技術(shù)可以認(rèn)識到IP協(xié)議本身的缺陷性應(yīng)用層上也缺乏有效的安全措施在攻擊技術(shù)里，欺騙技術(shù)是比較低級的，基本上是針對Internet上不完全的機制發(fā)展起來的技術(shù)含量不高非技術(shù)的欺騙社交工程最有效的攻擊方法避免欺騙的最好辦法增強用戶的安全意識，尤其是網(wǎng)絡(luò)管理人員和軟件開發(fā)人員的安全意識第二十頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)攻擊技術(shù)－會話劫持在現(xiàn)實生活中，例如銀行的一筆交易如果營業(yè)員檢查了顧客的身份證和帳戶卡，抬起頭來，發(fā)現(xiàn)不再是剛才的顧客他會把錢交給外面的顧客嗎？網(wǎng)絡(luò)中的問題在網(wǎng)絡(luò)上，沒有人知道你是一條狗第二十一頁，共一百五十六頁，編輯于2023年，星期三TCP會話劫持欺騙和劫持欺騙是偽裝成合法用戶，以獲得一定的利益劫持是積極主動地使一個在線的用戶下線，或者冒充這個用戶發(fā)送消息，以便達到自己的目的動機Sniffer對于一次性密鑰并沒有用認(rèn)證協(xié)議使得口令不在網(wǎng)絡(luò)上傳輸會話劫持分兩種被動劫持監(jiān)聽網(wǎng)絡(luò)流量，發(fā)現(xiàn)密碼或者其他敏感信息主動劫持找到當(dāng)前會話并接管過來，迫使一方下線，由劫持者取而代之攻擊者接管了一個合法會話后，可以做更多危害性更大的事情第二十二頁，共一百五十六頁，編輯于2023年，星期三TCP會話劫持被劫持者A服務(wù)器B1A遠(yuǎn)程登錄，建立會話，完成認(rèn)證過程攻擊者H2監(jiān)聽流量3劫持會話4迫使A下線第二十三頁，共一百五十六頁，編輯于2023年，星期三會話劫持原理TCP協(xié)議三次握手建立TCP連接（一個

TCP會話）終止一個會話，正常情況需要4條消息如何標(biāo)識一個會話狀態(tài)：源IP:端口+SN<>目標(biāo)IP:端口+SN從TCP會話狀態(tài)入手要了解每一個方向上的SN（數(shù)據(jù)序列號）兩個方向上的序列號是相互獨立的TCP數(shù)據(jù)包，除了第一個

SYN包以外，都有一個ack

標(biāo)志，給出了期待對方發(fā)送數(shù)據(jù)的序列號猜測序列號是成功劫持TCP會話的關(guān)鍵第二十四頁，共一百五十六頁，編輯于2023年，星期三TCP協(xié)議中的序列號（一）在每一個ACK包中，有兩個序列號第一個（SEG_SEQ）是當(dāng)前包中數(shù)據(jù)第一個字節(jié)的序號第二個（SEG_ACK）是期望收到對方數(shù)據(jù)包中第一個字節(jié)的序號假設(shè)客戶（CLT）向服務(wù)器（SVR）發(fā)起一個連接SVR_SEQ：服務(wù)器將要發(fā)送的下一個字節(jié)的序號SVR_ACK：服務(wù)器將要接收的下一個字節(jié)的序號（已經(jīng)收到的最后一個字節(jié)的序號加1）SVR_WIND：服務(wù)器的接收窗口CLT_SEQ：客戶將要發(fā)送的下一個字節(jié)的序號CLT_ACK：客戶將要接收的下一個字節(jié)的序號（已經(jīng)收到的最后一個字節(jié)的序號加1）CLT_WIND：客戶的接收窗口第二十五頁，共一百五十六頁，編輯于2023年，星期三TCP協(xié)議中的序列號（二）關(guān)系CLT_ACK<=SVR_SEQ<=CLT_ACK+CLT_WINDSVR_ACK<=CLT_SEQ<=SVR_ACK+SVR_WIND只有滿足這樣條件的包，對方才能接收否則，拋棄該數(shù)據(jù)包，并且送回一個ACK包（含有期望的序列號）同步狀態(tài)SVR_SEQ＝CLT_ACKCLT_SEQ=SVR_ACK不同步狀態(tài)SVR_SEQ<>CLT_ACKCLT_SEQ<>SVR_ACK第二十六頁，共一百五十六頁，編輯于2023年，星期三TCP協(xié)議中的序列號（三）如果TCP進入不同步狀態(tài)客戶發(fā)送一個包SEG_SEQ＝CLT_SEQSEG_ACK＝CLT_ACK這個包不會被接收，因為CLT_SEQ<>SVR_ACK相反，如果第三方（攻擊者）發(fā)送一個包SEG_SEQ＝SVR_ACKSEG_ACK＝SVR_SEQ這個包可以被服務(wù)器接收如果攻擊者能夠偽造兩邊的包的話，還可以恢復(fù)客戶和服務(wù)器之間的會話，使得回到同步狀態(tài)第二十七頁，共一百五十六頁，編輯于2023年，星期三TCPACKStorm當(dāng)一個主機接收到一個不期望的數(shù)據(jù)包時，它會用自己的序列號發(fā)送ACK，而這個包本身也是不可被接受的。于是，兩邊不停地發(fā)送ACK包，形成ACK包的循環(huán)，稱為ACK風(fēng)暴（ACKStorm）如果有一個ACK包丟掉，則風(fēng)暴停止第二十八頁，共一百五十六頁，編輯于2023年，星期三在建立連接的時候劫持會話當(dāng)攻擊者聽到握手過程第二步的時候，它給服務(wù)器發(fā)送一個RST包，然后發(fā)送用同樣的TCP和端口號構(gòu)造的一個SYN包，但是序列號與前面的SYN包不同服務(wù)器關(guān)閉第一個連接，打開第二個連接，并且送回第二個SYN/ACK給客戶，攻擊者聽到這個包之后，給服務(wù)器送出一個ACK包至此，客戶、服務(wù)器、攻擊者都進入到TCPESTABLISHED狀態(tài)，但是攻擊者和服務(wù)器之間是同步的，而客戶和服務(wù)器之間是不同步的注意，攻擊者選擇的序列號與客戶的序列號一定要不同，否則不能成功第二十九頁，共一百五十六頁，編輯于2023年，星期三給一方發(fā)送空數(shù)據(jù)攻擊者首先觀察會話然后，給服務(wù)器發(fā)送一些無關(guān)緊要的數(shù)據(jù)，這些數(shù)據(jù)會導(dǎo)致服務(wù)器的序列號發(fā)生變化攻擊者給客戶也可以發(fā)送數(shù)據(jù)這種手段成功的要點在于可以發(fā)送一些無關(guān)緊要的數(shù)據(jù)，并且能夠把握發(fā)送的時機第三十頁，共一百五十六頁，編輯于2023年，星期三不在一個子網(wǎng)中的劫持手法有時候也稱作“Blindspoofing”攻擊者發(fā)送一個SYN包然后猜測服務(wù)器的ISN只要能夠猜得到，就可以建立連接但是攻擊者收不到服務(wù)器給客戶的包使用源路由技術(shù)條件真正的客戶不能發(fā)送RST包攻擊者能夠猜測服務(wù)器每個包的大小第三十一頁，共一百五十六頁，編輯于2023年，星期三實施會話劫持的一般性過程發(fā)現(xiàn)目標(biāo)找到什么樣的目標(biāo)，以及可以有什么樣的探查手段，取決于劫持的動機和環(huán)境探查遠(yuǎn)程機器的ISN(初始序列號)規(guī)律可以使用掃描軟件，或者手工發(fā)起多個連接等待或者監(jiān)聽對話最好在流量高峰期間進行，不容易被發(fā)現(xiàn)，而且可以有比較多可供選擇的會話猜測序列號最關(guān)鍵的一步，如果不在一個子網(wǎng)中，難度就非常大使被劫持者下線ACK風(fēng)暴，拒絕服務(wù)接管對話如果在同一子網(wǎng)中，則可以收到響應(yīng)，否則要猜測服務(wù)器的動作第三十二頁，共一百五十六頁，編輯于2023年，星期三KillaConnection攻擊者發(fā)送一個RST包給B，并且假冒A的IP地址觀察A和B之間的數(shù)據(jù)往來，算出A和B的序列號，在適當(dāng)?shù)臅r機插入一個RST包，只要在插入點上，序列號正確，則RST包就會被接受，從而達到目的攻擊者發(fā)送一個FIN包給B，并且假冒A的IP地址同樣，在適當(dāng)?shù)臅r機給B發(fā)送一個FIN包這時候，A怎么辦？AB攻擊者第三十三頁，共一百五十六頁，編輯于2023年，星期三會話劫持過程詳解(一)A向B發(fā)送一個數(shù)據(jù)包

SEQ(hex):XACK(hex):Y

FLAGS:-APWindow:ZZZZ，包大小為:60

B回應(yīng)A一個數(shù)據(jù)包

SEQ(hex):YACK(hex):X+60

FLAGS:-APWindow:ZZZZ，包大小為:50

AB攻擊者第三十四頁，共一百五十六頁，編輯于2023年，星期三會話劫持過程詳解(二)

A向B回應(yīng)一個數(shù)據(jù)包

SEQ(hex):X+60ACK(hex):Y+50

FLAGS:-APWindow:ZZZZ，包大小為:40

B向A回應(yīng)一個數(shù)據(jù)包

SEQ(hex):Y+50ACK(hex):X+100

FLAGS:-APWindow:ZZZZ，包大小為:30

攻擊者BA第三十五頁，共一百五十六頁，編輯于2023年，星期三會話劫持過程詳解(三)

攻擊者C冒充主機A給主機B發(fā)送一個數(shù)據(jù)包

SEQ(hex):X+100ACK(hex):Y+80

FLAGS:-APWindow:ZZZZ，包大小為:20

B向A回應(yīng)一個數(shù)據(jù)包

SEQ(hex):Y+80ACK(hex):X+120

FLAGS:-APWindow:ZZZZ，包大小為:10

A攻擊者B第三十六頁，共一百五十六頁，編輯于2023年，星期三會話劫持過程詳解(四)主機B執(zhí)行了攻擊者C冒充主機A發(fā)送過來的命令，并且返回給主機A一個數(shù)據(jù)包；但是，主機A并不能識別主機B發(fā)送過來的數(shù)據(jù)包，所以主機A會以期望的序列號返回給主機B一個數(shù)據(jù)包，隨即形成ACK風(fēng)暴。如果成功的解決了ACK風(fēng)暴（例如ARP欺騙），就可以成功進行會話劫持了。

A攻擊者B第三十七頁，共一百五十六頁，編輯于2023年，星期三如何防止會話劫持部署共享式網(wǎng)絡(luò)，用交換機代替集線器無法進行監(jiān)聽TCP會話加密防火墻配置限制盡可能少量的外部許可連接的IP地址檢測ACK包的數(shù)量明顯增加第三十八頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)攻擊技術(shù)－拒絕服務(wù)攻擊（DoS）DoS(DenialofService)信息安全的三個概念保密性、完整性、可用性針對可用性進行攻擊定義：通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù)特點：技術(shù)原理簡單，工具化難以防范，有限D(zhuǎn)oS可以通過管理的手段防止DoS的動機無法攻入系統(tǒng)的報復(fù)強行重啟對方機器惡意破壞或者報復(fù)網(wǎng)絡(luò)恐怖主義第三十九頁，共一百五十六頁，編輯于2023年，星期三DoS的危害使得正常的服務(wù)不能提供案例：1996年9月，一家ISP(PublicAccessNetworks)公司遭受拒絕服務(wù)達一周一上，拒絕對約6000多人和1000家公司提供Internet服務(wù)政府網(wǎng)站美國白宮的網(wǎng)站曾經(jīng)遭受拒絕服務(wù)攻擊分布式拒絕服務(wù)－DDoS2000年2月，一批商業(yè)性質(zhì)的Web站點收到了DDoS的攻擊Yahoo、eBuy、CNN等著名網(wǎng)站都受到過分布式拒絕服務(wù)攻擊第四十頁，共一百五十六頁，編輯于2023年，星期三DoS的形式粗略來看，分為三種形式消耗有限的物理資源網(wǎng)絡(luò)資源帶寬資源其他資源衰竭，如磁盤空間、進程數(shù)合法用戶可登錄嘗試的次數(shù)有限，攻擊者可以用掉這些嘗試次數(shù)修改配置信息造成DoS比如，修改路由器信息，造成不能訪問網(wǎng)絡(luò)；修改NT注冊表，也可以關(guān)掉某些功能物理部件的移除，或破壞第四十一頁，共一百五十六頁，編輯于2023年，星期三DoS的技術(shù)分類從表現(xiàn)形式來看帶寬消耗用足夠的資源消耗掉有限的資源利用網(wǎng)絡(luò)上的其他資源(惡意利用Internet共享資源)，達到消耗目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的目的系統(tǒng)資源消耗，針對操作系統(tǒng)中有限的資源，如進程數(shù)、磁盤、CPU、內(nèi)存、文件句柄，等等程序?qū)崿F(xiàn)上的缺陷，異常行為處理不正確，比如PingofDeath修改(篡改)系統(tǒng)策略，使得它不能提供正常的服務(wù)從攻擊原理來看通用類型的DoS攻擊，這類攻擊往往是與具體系統(tǒng)無關(guān)的，比如針對協(xié)議設(shè)計上的缺陷的攻擊系統(tǒng)相關(guān)的攻擊，這類攻擊往往與具體的實現(xiàn)有關(guān)說明：最終，所有的攻擊都是系統(tǒng)相關(guān)的，因為有些系統(tǒng)可以針對協(xié)議的缺陷提供一些補救措施，從而免受此類攻擊第四十二頁，共一百五十六頁，編輯于2023年，星期三DoS的技術(shù)歷史早期的Internet蠕蟲病毒RobertMorris的RTM蠕蟲消耗網(wǎng)絡(luò)資源分片裝配，非法的TCP標(biāo)志，SYNFlood，等利用系統(tǒng)實現(xiàn)上的缺陷，點對點形式PingofDeath,IP分片重疊分布式DoS(DDoS)攻擊最著名的smurf攻擊第四十三頁，共一百五十六頁，編輯于2023年，星期三一些典型的DoS攻擊（一）PingOfDeath原理：直接利用ping包，即ICMPEcho包，有些系統(tǒng)在收到大量比最大包還要長的數(shù)據(jù)包，會掛起或者死機受影響的系統(tǒng)：許多操作系統(tǒng)受影響著名的windows藍屏工具攻擊做法直接利用ping工具，發(fā)送超大的ping數(shù)據(jù)包利用特制的工具，例如：IPHacker防止措施打補丁防火墻阻止這樣的ping包第四十四頁，共一百五十六頁，編輯于2023年，星期三一些典型的DoS攻擊（二）TearDrop原理：利用IP包的分片裝配過程中，由于分片重疊，計算過程中出現(xiàn)長度為負(fù)值，在執(zhí)行memcpy的時候?qū)е孪到y(tǒng)崩潰受影響的系統(tǒng)：Linux/WindowsNT/95，97年發(fā)現(xiàn)攻擊特征攻擊非常簡單，發(fā)送一些IP分片異常的數(shù)據(jù)包防止措施加入條件判斷，對這種異常的包特殊處理打補丁SSPing碎片ICMP數(shù)據(jù)包產(chǎn)生DoS影響Windows95和NT系統(tǒng)以及老版本的MAC系統(tǒng)第四十五頁，共一百五十六頁，編輯于2023年，星期三一些典型的DoS攻擊（三）SYNFlood原理：每個機器都需要為半開連接分配一定的資源這種半開連接的數(shù)量是有限制共計方利用TCP連接三次握手過程，打開大量的半開TCP連接目標(biāo)機器不能進一步接受TCP連接。機器就不再接受進來的連接請求。受影響的系統(tǒng)：大多數(shù)操作系統(tǒng)攻擊細(xì)節(jié)連接請求是正常的，但是，源IP地址往往是偽造的，并且是一臺不可達的機器的IP地址，否則，被偽造地址的機器會重置這些半開連接一般，半開連接超時之后，會自動被清除，所以，攻擊者的系統(tǒng)發(fā)出SYN包的速度要比目標(biāo)機器清除半開連接的速度要快任何連接到Internet上并提供基于TCP的網(wǎng)絡(luò)服務(wù)，都有可能成為攻擊的目標(biāo)這樣的攻擊很難跟蹤，因為源地址往往不可信，而且不在線第四十六頁，共一百五十六頁，編輯于2023年，星期三一些典型的DoS攻擊（四）SYNFlood攻擊特征目標(biāo)主機的網(wǎng)絡(luò)上出現(xiàn)大量的SYN包，而沒有相應(yīng)的應(yīng)答包SYN包的源地址可能是偽造的，甚至無規(guī)律可循防止措施針對網(wǎng)絡(luò)防火墻或者路由器可以在給定時間內(nèi)只允許有限數(shù)量的半開連接入侵檢測，可以發(fā)現(xiàn)這樣的DoS攻擊行為打補丁Linux和Solaris使用了一種被稱為SYNcookie的技術(shù)來解決SYNFlood攻擊：在半開連接隊列之外另設(shè)置了一套機制，使得合法連接得以正常繼續(xù)第四十七頁，共一百五十六頁，編輯于2023年，星期三一些典型的DoS攻擊（五）Smurf原理：攻擊者向一個廣播地址發(fā)送ICMPEcho請求，并且用受害者的IP地址作為源地址廣播地址網(wǎng)絡(luò)上的每臺機器響應(yīng)這些Echo請求，同時向受害者主機發(fā)送ICMPEcho-Reply應(yīng)答受害者主機會被這些大量的應(yīng)答包淹沒受影響的系統(tǒng)：大多數(shù)操作系統(tǒng)和路由器變種：fraggle，使用UDP包，或稱為udpsmurf比如，7號端口(echo)，如果目標(biāo)機器的端口開著，則送回應(yīng)答UDP數(shù)據(jù)包，否則，產(chǎn)生ICMP端口不可達消息技術(shù)細(xì)節(jié)兩個主要的特點：使用偽造的數(shù)據(jù)包，使用廣播地址。不僅被偽造地址的機器受害，目標(biāo)網(wǎng)絡(luò)本身也是受害者，它們要發(fā)送大量的應(yīng)答數(shù)據(jù)包第四十八頁，共一百五十六頁，編輯于2023年，星期三一些典型的DoS攻擊（六）第四十九頁，共一百五十六頁，編輯于2023年，星期三一些典型的DoS攻擊（七）攻擊特征涉及到三方：攻擊者，中間目標(biāo)網(wǎng)絡(luò)，受害者以較小的網(wǎng)絡(luò)帶寬資源，通過放大作用，吃掉較大帶寬的受害者系統(tǒng)Smurf放大器Smurf放大器網(wǎng)絡(luò)：不僅允許ICMPEcho請求發(fā)給網(wǎng)絡(luò)的廣播地址，并且允許ICMPEcho-Reply發(fā)送回去這樣的公司越多，對Internet的危害就越大實施Smurf攻擊需要長期的準(zhǔn)備，首先找到足夠多的中間網(wǎng)絡(luò)集中向這些中間網(wǎng)絡(luò)發(fā)出ICMPEcho包第五十頁，共一百五十六頁，編輯于2023年，星期三一些典型的DoS攻擊（八）Smurf攻擊的防護針對最終受害者沒有直接的方法可以阻止自己接收ICMPEchoReply消息在路由器上阻止這樣的應(yīng)答消息，但是，結(jié)果是，路由器本身遭受了DoS攻擊與中間目標(biāo)網(wǎng)絡(luò)聯(lián)系針對中間網(wǎng)絡(luò)關(guān)閉外來的IP廣播消息，但是，如果攻擊者從內(nèi)部機器發(fā)起攻擊，仍然不能阻止smurf攻擊配置操作系統(tǒng)，對于廣播地址的ICMP包不響應(yīng)在每個路由節(jié)點上都記錄log，以備查流量大的路由節(jié)點上能夠記錄所有的流量嗎第五十一頁，共一百五十六頁，編輯于2023年，星期三DDoS的一般模型第五十二頁，共一百五十六頁，編輯于2023年，星期三DoS的防護措施對于網(wǎng)絡(luò)路由器和防火墻配置得當(dāng)，可以減少受DoS攻擊的危險比如，禁止IP欺騙可以避免許多DoS攻擊入侵檢測系統(tǒng)，檢測異常行為對于系統(tǒng)升級系統(tǒng)內(nèi)核，打上必要的補丁，特別是一些簡單的DoS攻擊，例如SYNFlooding關(guān)掉不必要的服務(wù)和網(wǎng)絡(luò)組件如果有配額功能的話，正確地設(shè)置這些配額監(jiān)視系統(tǒng)的運行，避免降低到基線以下檢測系統(tǒng)配置信息的變化情況保證物理安全建立備份和恢復(fù)機制第五十三頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)攻擊技術(shù)－緩沖區(qū)溢出緩存區(qū)溢出歷史1988年的Morris蠕蟲病毒，成功攻擊了6000多臺機器：利用UNIX服務(wù)finger中的緩沖區(qū)溢出漏洞來獲得訪問權(quán)限，得到一個shell1996年前后，開始出現(xiàn)大量的BufferOverflow攻擊，因此引起人們的廣泛關(guān)注源碼開放的操作系統(tǒng)首當(dāng)其沖隨后，Windows系統(tǒng)下的BufferOverflows也相繼被發(fā)掘出來已經(jīng)有一些非常經(jīng)典細(xì)致的文章來介紹與Bufferoverflows有關(guān)的技術(shù)第五十四頁，共一百五十六頁，編輯于2023年，星期三緩沖區(qū)溢出的基本介紹基本的思想通過修改某些內(nèi)存區(qū)域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當(dāng)前進程被非法利用(執(zhí)行這段惡意的代碼)危害性在UNIX平臺上，通過發(fā)掘BufferOverflow,可以獲得一個交互式的shell在Windows平臺上，可以上載并執(zhí)行任何的代碼溢出漏洞發(fā)掘起來需要較高的技巧和知識背景，但是，一旦有人編寫出溢出代碼，則用起來非常簡單與其他的攻擊類型相比，緩沖區(qū)溢出攻擊不需要太多的先決條件殺傷力很強技術(shù)性強在BufferOverflows攻擊面前，防火墻往往顯得很無奈第五十五頁，共一百五十六頁，編輯于2023年，星期三讀取或?qū)懭氤^緩沖區(qū)的末尾時，會導(dǎo)致許多不同（并且通常是不可預(yù)料的）行為：1)程序的執(zhí)行很奇怪2)程序完全失敗3)程序可以繼續(xù)，而且在執(zhí)行中沒有任何明顯不同存在緩沖區(qū)溢出的程序的不確定行為使得對它們的調(diào)試非常困難。程序可能正發(fā)生緩沖區(qū)溢出，但根本沒有任何副作用的跡象。因此，緩沖區(qū)溢出問題常常在標(biāo)準(zhǔn)測試期間是發(fā)現(xiàn)不了的。認(rèn)識緩沖區(qū)溢出的重要一點是：在發(fā)生溢出時，會潛在地修改碰巧分配在緩沖區(qū)附近的任何數(shù)據(jù)。第五十六頁，共一百五十六頁，編輯于2023年，星期三“SQLSlammer”蠕蟲王的發(fā)作原理，就是利用未及時更新補丁的MSSQLServer數(shù)據(jù)庫緩沖溢出漏洞。采用不正確的方式將數(shù)據(jù)發(fā)到MSSqlServer的監(jiān)聽端口，這個錯誤可以引起緩沖溢出攻擊。目前新出現(xiàn)的MSBLAST病毒正是利用了微軟關(guān)于RPC接口中遠(yuǎn)程任意可執(zhí)行代碼漏洞，“中招”的機器會反復(fù)重啟，或者拷貝、粘貼功能不工作等現(xiàn)象。僅去年緩沖區(qū)溢出就占使CERT/CC提出建議的所有重大安全性錯誤的百分之五十以上。并且數(shù)據(jù)顯示這一問題正在擴大，而不是在縮減。第五十七頁，共一百五十六頁，編輯于2023年，星期三緩沖區(qū)溢出的保護方法編寫正確的代碼最簡單的方法就是用grep來搜索源代碼中容易產(chǎn)生漏洞的庫的調(diào)用為了對付這些問題，人們已經(jīng)開發(fā)了一些高級的查錯工具，如faultinjection等。這些工具的目的在于通過人為隨機地產(chǎn)生一些緩沖區(qū)溢出來尋找代碼的安全漏洞。非執(zhí)行的緩沖區(qū)通過使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被植入被攻擊程序輸入緩沖區(qū)的代碼，這種技術(shù)被稱為非執(zhí)行的緩沖區(qū)技術(shù)。事實上，很多老的Unix系統(tǒng)都是這樣設(shè)計的，但是近來的Unix和MSWindows系統(tǒng)為實現(xiàn)更好的性能和功能，往往在數(shù)據(jù)段中動態(tài)地放人可執(zhí)行的代碼。所以為了保持程序的兼容性不可能使得所有程序的數(shù)據(jù)段不可執(zhí)行。但是我們可以設(shè)定堆棧數(shù)據(jù)段不可執(zhí)行，這樣就可以最大限度地保證了程序的兼容性。第五十八頁，共一百五十六頁，編輯于2023年，星期三緩沖區(qū)溢出的保護方法數(shù)組邊界檢查程序指針完整性檢查第五十九頁，共一百五十六頁，編輯于2023年，星期三緩沖區(qū)溢出技術(shù)基礎(chǔ)（一）進程的內(nèi)存空間示意圖StackHeapBssDataText第六十頁，共一百五十六頁，編輯于2023年，星期三緩沖區(qū)溢出技術(shù)基礎(chǔ)（二）相關(guān)的匯編知識段式結(jié)構(gòu)從段式結(jié)構(gòu)->線性結(jié)構(gòu)內(nèi)存區(qū)域的訪問控制段描述符指令流的控制ECS:EIPJmp指令(及其他跳轉(zhuǎn)指令)Call指令/ret棧段ESS兩個指針：ESP(動態(tài)),EBP(靜態(tài))Call/ret指令Push/pop/pusha/popa第六十一頁，共一百五十六頁，編輯于2023年，星期三緩沖區(qū)溢出技術(shù)基礎(chǔ)（三）函數(shù)調(diào)用函數(shù)：intfunc(inta,intb){intretVal=a+b;returnretVal;}intmain(intargc,char*argv[]){ intresult=func(1,2); printf("HelloWorld!\n"); return0;}EIP、EBP、ESP指針21Ret-addebpretVal……Stackframe第六十二頁，共一百五十六頁，編輯于2023年，星期三緩沖區(qū)溢出技術(shù)基礎(chǔ)（四）產(chǎn)生緩沖區(qū)溢出的原因在C語言中，指針和數(shù)組越界不保護是Bufferoverflow的根源，而且，在C語言標(biāo)準(zhǔn)庫中就有許多能提供溢出的函數(shù)，如strcat(),strcpy(),sprintf(),vsprintf(),bcopy(),gets()和scanf()通過指針填充數(shù)據(jù)不好的編程習(xí)慣溢出類型棧溢出堆溢出第六十三頁，共一百五十六頁，編輯于2023年，星期三棧溢出#include<stdio.h>#include<string.h>charshellcode[]="\xeb\x1f\x……";charlarge_string[128];intmain(intargc,char**argv){charbuffer[96];inti;long*long_ptr=(long*)large_string;

for(i=0;i<32;i++)*(long_ptr+i)=(int)buffer;for(i=0;i<(int)strlen(shellcode);i++)large_string[i]=shellcode[i];

strcpy(buffer,large_string);return0;}para1para2ReturnaddBuffer(96bytes)ilong_ptr高地址低地址shellcode第六十四頁，共一百五十六頁，編輯于2023年，星期三堆溢出（一）內(nèi)存中的一些數(shù)據(jù)區(qū).text包含進程的代碼.data包含已經(jīng)初始化的數(shù)據(jù)(全局的，或者static的、并且已經(jīng)初始化的數(shù)據(jù)).bss包含未經(jīng)初始化的數(shù)據(jù)(全局的，或者static的、并且未經(jīng)初始化的數(shù)據(jù))heap運行時刻動態(tài)分配的數(shù)據(jù)區(qū)還有一些其他的數(shù)據(jù)區(qū)在.data、.bss和heap中溢出的情形，都稱為heapoverflow，這些數(shù)據(jù)區(qū)的特點是：

數(shù)據(jù)的增長由低地址向高地址第六十五頁，共一百五十六頁，編輯于2023年，星期三堆溢出（二）比較少引起人們的關(guān)注，原因在于比棧溢出難度更大需要結(jié)合其他的技術(shù)，比如函數(shù)指針改寫Vtable改寫Malloc庫本身的漏洞對于內(nèi)存中變量的組織方式有一定的要求第六十六頁，共一百五十六頁，編輯于2023年，星期三堆溢出（三）指針改寫要求：先定義一個buffer，再定義一個指針溢出情形當(dāng)對buffer填充數(shù)據(jù)的時候，如果不進行邊界判斷和控制的話，自然就會溢出到指針的內(nèi)存區(qū)，從而改變指針的值第六十七頁，共一百五十六頁，編輯于2023年，星期三堆溢出（四）vtable函數(shù)指針改寫函數(shù)指針與函數(shù)體的綁定Earlybinding,在編譯過程中綁定Latebinding,在運行過程中綁定C++的虛函數(shù)機制編譯器為每一個包含虛函數(shù)的class建立起vtable，vtable中存放的是虛函數(shù)的地址編譯器也在每個class對象的內(nèi)存區(qū)放入一個指向vtable的指針(稱為vptr)，vptr的位置隨編譯器的不同而不同，VC放在對象的起始處，gcc放在對象的末尾Overflow設(shè)法改寫vptr，讓它指向另一段代碼第六十八頁，共一百五十六頁，編輯于2023年，星期三緩沖區(qū)溢出成功后的行為溢出之后，讓程序執(zhí)行我們指定的代碼我們自己提供的一段代碼系統(tǒng)現(xiàn)有的調(diào)用由于這段代碼往往不能太長，所以需要精心設(shè)計，并且充分利用系統(tǒng)中現(xiàn)有的函數(shù)和指令對于不同的操作系統(tǒng)Linux/Unix，盡可能地得到一個shell(最好是rootshell)Windows，一個可以遠(yuǎn)程建立連接的telnet會話通用的模式找到具有漏洞的程序(vulnerableprogram)編寫出shellcode，然后編寫把shellcode送到漏洞程序的程序(稱為exploit)第六十九頁，共一百五十六頁，編輯于2023年，星期三Windows系統(tǒng)的緩沖區(qū)溢出過程發(fā)現(xiàn)目標(biāo)找到有漏洞的程序，如果在輸入非正常字符串的時候，出現(xiàn)右圖的情形或者從程序中找漏洞，用好的反匯編工具，加上耐心以一個特定的字符串作為線索，跟蹤到strcpy這樣的函數(shù)，看是否有邊界檢查編寫shellcode編寫exploit程序，并試驗，直到成功第七十頁，共一百五十六頁，編輯于2023年，星期三ShellCode代碼的特點本地shellcode：最簡單的做法是調(diào)用CreateProcess創(chuàng)建一個進程，執(zhí)行cmd.exe遠(yuǎn)程shellcode：在遠(yuǎn)程機器上執(zhí)行一個網(wǎng)絡(luò)服務(wù)程序，打開一個socket端口，等待客戶程序來連接。當(dāng)客戶程序連接上之后，為客戶建立一個cmd.exe進程，并且把客戶的輸入輸出與cmd.exe的輸入輸出聯(lián)系起來，于是客戶就有了一個遠(yuǎn)程shell如何把輸入輸出聯(lián)系起來呢？可以通過管道(pipe)來實現(xiàn)。第七十一頁，共一百五十六頁，編輯于2023年，星期三避免緩沖區(qū)溢出（一）很難寫出完全不會受到緩沖區(qū)溢出攻擊的安全代碼編程的問題都可以在開發(fā)階段防止，事實上，并沒有這么簡單有些開發(fā)人員沒有意識到問題的存在有些開發(fā)人員不愿意使用邊界檢查，因為會影響效率和性能另一方面，許多遺留下來的代碼還很多在開發(fā)過程中，盡量使用帶有邊界檢查的函數(shù)版本，或者自己進行越界檢查第七十二頁，共一百五十六頁，編輯于2023年，星期三避免緩沖區(qū)溢出（二）保護自己的代碼不可執(zhí)行的緩沖區(qū)適用于堆棧(stack)中的buffer，基本上不影響兼容性數(shù)組越界保護每一次引用一個數(shù)組元素的時候，都執(zhí)行檢查缺點：效率低，并且用指針也可以引用數(shù)組元素指針保護在指針被引用之前，檢測到它的變化最根本的解決辦法編寫正確的代碼第七十三頁，共一百五十六頁，編輯于2023年，星期三避免緩沖區(qū)溢出（三）作為用戶，應(yīng)該怎么做來避免緩沖區(qū)溢出？關(guān)閉端口或服務(wù)。管理員應(yīng)該知道自己的系統(tǒng)上安裝了什么，并且哪些服務(wù)正在運行安裝軟件廠商的補丁漏洞一公布，大的廠商就會及時提供補丁在防火墻上過濾特殊的流量無法阻止內(nèi)部人員的溢出攻擊自己檢查關(guān)鍵的服務(wù)程序，看看是否有可怕的漏洞以所需要的最小權(quán)限運行軟件第七十四頁，共一百五十六頁，編輯于2023年，星期三著名的緩沖區(qū)溢出介紹（一）NetMeeting緩沖區(qū)溢出攻擊者的代碼可以在客戶端執(zhí)行惡意的網(wǎng)頁作者連接到NetMeeting的SpeedDial入口，導(dǎo)致NeetMeeting停止響應(yīng)或者掛起停止響應(yīng)后，攻擊者的代碼將在受害者的計算機中執(zhí)行Outlook緩沖區(qū)溢出Outlook處理電子郵件的方法有一個漏洞攻擊者發(fā)送一個帶有畸形頭信息的電子郵件使受害計算機癱瘓或者在上面運行任意代碼，建立后門攻擊使在郵件頭信息里放入過量信息很難被檢測第七十五頁，共一百五十六頁，編輯于2023年，星期三著名的緩沖區(qū)溢出介紹（二）Linuxconf緩沖區(qū)溢出帶有GUI界面的管理員工具運行在98端口，允許通過Web遠(yuǎn)程訪問意味著程序必須處理頭信息來獲得需要的信息在HTTP頭信息中插入過量的信息，導(dǎo)致計算機緩沖區(qū)溢出不允許遠(yuǎn)程訪問98端口IIS緩沖區(qū)溢出IIS：windows系統(tǒng)上最不安全的服務(wù)ISAPI提供對管理腳本(.ida文件)和Inernet數(shù)據(jù)(.idq)查詢的支持向idq.dll發(fā)送一個過量的變量GET/null.ida?[buffer]=XHTTP/1.1Host:[任意值]一些具體的攻擊方法沒有公開CodeRed蠕蟲利用了這一漏洞第七十六頁，共一百五十六頁，編輯于2023年，星期三著名的緩沖區(qū)溢出介紹（三）WindowsXPUPNP緩沖區(qū)溢出通用即插即用功能，打開5000端口，HTTP格式緩沖區(qū)溢出有兩種形式DoS取得一個系統(tǒng)級ShellSSL-Too-Open影響現(xiàn)存大多數(shù)未升級的Linux系統(tǒng)當(dāng)系統(tǒng)打開HTTP服務(wù)和SSL服務(wù)時通過SSL溢出一個和啟動HTTP服務(wù)器帳號權(quán)限相等的Shell用戶可能使用root帳號啟動WEB服務(wù)攻擊者取得root權(quán)限或者使用其他本地溢出來獲得最高權(quán)限第七十七頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)攻擊技術(shù)－口令探測如果別人知道了口令，那么有什么安全可言？口令是一些系統(tǒng)中驗證用戶身份的唯一標(biāo)識建議：如果我們使用物理設(shè)備驗證…口令探測廣泛應(yīng)用的攻擊手段入門者也能使用的技術(shù)涉及方面廣泛操作系統(tǒng)普通軟件、加密信息口令探測的內(nèi)容網(wǎng)絡(luò)監(jiān)聽暴力破解在其他攻擊得手后得到密碼利用用戶的疏忽第七十八頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)監(jiān)聽登錄電子信箱或者其他Telnet、FTP服務(wù)密碼通過明文傳輸如果黑客在網(wǎng)絡(luò)上監(jiān)聽，就可以得到用戶的密碼使用監(jiān)聽工具L0phtcrack監(jiān)聽windows帳戶密碼可以捕獲win2000服務(wù)器與其低版本客戶機之間發(fā)送的消息如果連接一端不支持Kerberos，認(rèn)證自動降到NTLML0phtcrack可以破解NTLM密碼WindowsXP的遠(yuǎn)程登錄桌面在用戶登錄時帳號和密碼用明文傳輸現(xiàn)在已經(jīng)修復(fù)這個錯誤第七十九頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)監(jiān)聽的對策使用安全的連接方式使用SecureShell來取代TelnetHTTP的安全連接現(xiàn)有一些論文也在討論其他一些協(xié)議安全認(rèn)證部分的添加不允許用戶使用最高權(quán)限帳戶遠(yuǎn)程登錄系統(tǒng)UNIX系統(tǒng)下不能使用root帳戶遠(yuǎn)程登錄登錄后使用su命令切換用戶使用SSL加密連接可以直接root登錄對L0phtcrack的防范使用交換網(wǎng)絡(luò)升級系統(tǒng)，使用Kerberos認(rèn)證第八十頁，共一百五十六頁，編輯于2023年，星期三暴力破解兩種方式的破解在線破解在線登錄目標(biāo)主機，通過程序循環(huán)輸入密碼嘗試正確的密碼輸入可能會在日志里留下記錄，很容易被探測出來離線破解取得目標(biāo)主機的密碼文件，然后在本地破解花費時間較長，一般時攻擊系統(tǒng)取得一定權(quán)限后使用暴力破解的手段字典攻擊強行攻擊組合攻擊第八十一頁，共一百五十六頁，編輯于2023年，星期三在線破解Windows系統(tǒng)使用NAT(NetBIOSAuditingTool)進行探測在NetBIOS開放138，139端口提供SMB服務(wù)，允許用戶遠(yuǎn)程訪問文件系統(tǒng)Windows2000缺省共享所有驅(qū)動器和admin$訪問文件系統(tǒng)時需要用戶身份驗證NAT可以猜測用戶口令，從而取得目標(biāo)機器的控制權(quán)NAT用法：nat[-ofilename][-uuserlist][-ppasslist]addressLinux系統(tǒng)一般在telnet三次錯誤后，系統(tǒng)會斷開連接在線破解的軟件較少其他應(yīng)用系統(tǒng)上的在線破解第八十二頁，共一百五十六頁，編輯于2023年，星期三離線破解得到用戶的密碼文件，然后在本地破解Windows系統(tǒng)用戶密碼存放在%systemroot%\system32\config\和%systemroot%\repair\中得到這個文件后可以使用L0phtcrack進行本地破解Linux系統(tǒng)用戶名和密碼存儲在/etc/passwd中會被很多用戶看到該文件為了加強安全性，將密碼存儲在etc/shadow中只能由root存取著名的破解工具：JohntheRipper因為Linux在線破解困難，所以離線破解比較常見很多管理員現(xiàn)在沒有使用shadow文件第八十三頁，共一百五十六頁，編輯于2023年，星期三字典攻擊字典：一些單詞或者字母和數(shù)字的組合使用字典的好處比較快速的得到用戶密碼，只需要在字典中進行查找前提條件絕大多數(shù)用戶選擇密碼總是有一定規(guī)律的姓名：自己、父母、愛人、孩子生日電話號碼，身份證號碼，學(xué)號英文單詞上述組合打開錢包，我就能知道你的密碼設(shè)計一個好的字典是非常有必要的防止字典攻擊的方法使用帶有特殊字符的密碼密碼不是有規(guī)律的英語單詞第八十四頁，共一百五十六頁，編輯于2023年，星期三強行攻擊在選定的字母或者數(shù)字序列里生成所有包含這些字母的口令密碼生成器，只要用戶指定字母和數(shù)字和密碼的位數(shù)，就能生成字典特點密碼較多，所需時間較長分布式攻擊多臺計算機共同運算適用于對用戶信息不夠了解的情況對策使用長的密碼攻擊者需要構(gòu)造出很大的字典，加大攻擊難度經(jīng)常更換密碼需要在方便和安全中作出抉擇第八十五頁，共一百五十六頁，編輯于2023年，星期三組合攻擊綜合前兩種攻擊的優(yōu)點字典攻擊：速度較快強行攻擊：發(fā)現(xiàn)所有的口令根據(jù)掌握的用戶的不同信息，進行口令組合姓名縮寫和生日的組合在字母組合后面加上一些數(shù)字攻擊速度破解口令數(shù)量字典攻擊快所有字典單詞強行攻擊慢所有口令組合攻擊中等以字典為基礎(chǔ)的單詞第八十六頁，共一百五十六頁，編輯于2023年，星期三其他攻擊方式社會工程非常有用的方法，比技術(shù)更加快速給系統(tǒng)管理員打電話提高用戶的安全意識偷窺輸入密碼的時候，是不是有人在背后？當(dāng)你把密碼寫在電腦桌邊，別人也可以看到…搜索垃圾箱用戶會把帶有密碼的廢紙扔到垃圾桶即使沒有密碼，也許會有提示密碼的重要信息使用碎紙機第八十七頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)攻擊技術(shù)－社交工程黑客們最常用的一種攻擊手段能得到使用技術(shù)手段不能得到的好處防火墻和IDS對這種攻擊不起作用需要高超的人際交往技術(shù)常用方式電話電子商務(wù)社交工程種類假冒權(quán)威假扮同情個人利益改善自我感覺不引人注意的職業(yè)獎賞第八十八頁，共一百五十六頁，編輯于2023年，星期三社交工程（SocialEngineering）假冒權(quán)威黑客冒充公司的領(lǐng)導(dǎo)人員在大公司中，不認(rèn)識所有上司的情況非常普通在Internet上，黑客可以通過郵件列表發(fā)出入侵的安全警告，并提供解決問題的指令，指令被設(shè)計成能使黑客訪問系統(tǒng)。足夠顯眼的標(biāo)題和時髦的行話假扮電話、電子郵件、聊天室和短消息里假扮你的熟人如果你是新來的職員，冒充你的同事同情如果一個人打電話來，講述他的困難，你不幫助他嗎？個人利益假冒來自財務(wù)部門的員工，訪問系統(tǒng)管理員第八十九頁，共一百五十六頁，編輯于2023年，星期三社交工程（續(xù)）改善自我感覺自我感覺良好的人易于被欺騙黑客進入熱情的經(jīng)理房間，表明自己是來自市場部的新員工，會得到詳細(xì)的介紹不引人注意的職業(yè)來自天然氣、電力公司或者電話公司的員工請求撥號等上機操作人們會單獨把黑客放在房間里獎賞提供某種形式的獎賞會引誘人泄露信息口令比賽－贏大獎、展示創(chuàng)造性，請列出密碼第九十頁，共一百五十六頁，編輯于2023年，星期三避免受到社交工程攻擊極度警惕Donottrustanystranger即使是很友好的人懷疑一切聲稱并不代表他有權(quán)這樣做詢問他們的權(quán)限絕大多數(shù)社交工程在高度警惕下破產(chǎn)驗證出處當(dāng)某人電子郵件要求時，要求來電話確證對于電話里的請求，要求回電號碼并確證員工號碼或者身份證第九十一頁，共一百五十六頁，編輯于2023年，星期三避免受到社交工程攻擊（續(xù)）說不對于逾越日常行為準(zhǔn)則的要求，要拒絕要求按照正常程序和規(guī)定書面報告和授權(quán)信息用戶培訓(xùn)培訓(xùn)員工，提高安全意識第九十二頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)攻擊技術(shù)－物理攻擊例子：MissionImpossibleI多種保護措施未聯(lián)網(wǎng)的CIA中央電腦如果你希望一臺計算機安全，最好把它鎖起來物理接觸到計算機，這臺計算機就沒有任何安全可言甚至是其他資源，也可能會影響到安全寫有口令的提示條網(wǎng)絡(luò)組織結(jié)構(gòu)圖軟盤、光盤、筆記本公司的物理結(jié)構(gòu)、組織圖標(biāo)、安全策略告示、內(nèi)部專用手冊信紙和備忘錄常常和社交工程共同使用第九十三頁，共一百五十六頁，編輯于2023年，星期三物理攻擊（一）計算機的安全密碼將失去效用開機密碼BIOS放電、DEBUG程序、通用密碼Windows系統(tǒng)密碼軟盤啟動，刪除SAM將硬盤掛到其他機器上Linux系統(tǒng)密碼使用單用戶模式啟動系統(tǒng)如果使用LILO，輸入Linuxsingle對于GRUB密碼啟動，使用軟盤啟動或者拆卸硬盤第九十四頁，共一百五十六頁，編輯于2023年，星期三物理攻擊（二）計算機安全用戶離開時黑客會在用戶的機器上安裝木馬解決方法：使用帶密碼的屏保程序道高一尺，魔高一丈使用一張放入光驅(qū)后自動運行的光盤，自動運行殺掉屏保程序進程的程序得到用戶的IP，并把另一臺機器設(shè)置為這個目標(biāo)機器的IP更好的解決辦法－鎖定計算機第九十五頁，共一百五十六頁，編輯于2023年，星期三物理攻擊（三）其他方面的防御措施禁止非特權(quán)用戶接觸到網(wǎng)絡(luò)信息機房應(yīng)該不是人人都能進入的地方對于機密文件和手冊，一定要徹底粉碎，使其不可恢復(fù)1980年伊朗曾經(jīng)把美國粉碎的文件重新編織起來不要把口令或者ID記錄在其他人可以看到的地方筆記本電腦的安全措施注意筆記本電腦的防盜措施一旦筆記本電腦被盜，盜竊者最終必定能夠訪問其中的文件備份不要留在筆記本上，保存在安全的地方旅行中注意筆記本的安全辦公場所要求任何人離開都要進行筆記本電腦檢查，電腦對應(yīng)標(biāo)簽第九十六頁，共一百五十六頁，編輯于2023年，星期三物理攻擊（四）防止用戶修改機器設(shè)置保護BIOS機器放到安全房間攝像頭機箱上加鎖設(shè)置啟動順序為硬盤優(yōu)先如果是軟盤或者光盤的話，黑客很容易使用自己的設(shè)備啟動保護啟動設(shè)備去掉光驅(qū)或者軟驅(qū)對光驅(qū)和軟驅(qū)加鎖，不能隨便使用對于Linux系統(tǒng)，使用GRUB啟動并且加密對于Windows系統(tǒng)，設(shè)置安全的密碼第九十七頁，共一百五十六頁，編輯于2023年，星期三安裝后門攻擊者在攻擊成功后，為了能夠下次進入系統(tǒng)，需要留下后門－迅速重新獲取訪問權(quán)的機制后門種類創(chuàng)建帳號不易被人察覺的帳號啟動文件在系統(tǒng)啟動的時候運行程序利用設(shè)備驅(qū)動程序創(chuàng)建后門受調(diào)度的作業(yè)將后門放到調(diào)度作業(yè)隊列中遠(yuǎn)程控制安裝木馬第九十八頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)攻擊技術(shù)－木馬既是攻擊系統(tǒng)得到系統(tǒng)權(quán)限的方法，又是攻擊得手后留下后門的手段曾在網(wǎng)絡(luò)上成為主要的攻擊手段尤其在Windows系統(tǒng)下極為流行在校園網(wǎng)，有50%以上的機器帶有木馬木馬的原理兩個部分：外殼程序和內(nèi)核程序內(nèi)核程序啟動后在后臺運行，打開端口，開啟后門黑客連接到木馬打開的端口，向木馬下達命令一種C/S結(jié)構(gòu)隨著反木馬技術(shù)的發(fā)展，木馬也越來越隱蔽第九十九頁，共一百五十六頁，編輯于2023年，星期三特洛伊木馬（一）Windows系統(tǒng)下的木馬一般將木馬寫到注冊表中或者啟動組中注冊表位置：HKLM\Software\Microsoft\Windows\CurrentVersion\Run或者HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices容易被查殺木馬的對策設(shè)計成一個DLL，將自己寫到其他程序的運行空間中但是還是要打開端口用戶對策防火墻，切斷木馬的對外連接查看打開端口的程序名稱，從而查找木馬第一百頁，共一百五十六頁，編輯于2023年，星期三特洛伊木馬（二）特洛伊木馬技術(shù)的發(fā)展反向端口技術(shù)不需要打開端口，而是監(jiān)聽端口防火墻一般不會阻塞掉內(nèi)部訪問外部80端口的數(shù)據(jù)包木馬定期向黑客指定的機器80端口發(fā)送數(shù)據(jù)包，機器接收后，就可以知道哪臺機器中了木馬，從而對它進行控制木馬更加隱蔽，難以發(fā)現(xiàn)GINA木馬攻擊得手后使用或者物理接觸到機器GINA是用戶和Windows認(rèn)證系統(tǒng)間的中間人，允許用戶自己編寫黑客將自己寫的GINAdll程序加入到注冊表中，可以捕獲用戶和密碼第一百零一頁，共一百五十六頁，編輯于2023年，星期三特洛伊木馬（三）用戶對木馬的對策不要運行不明的EXE程序即便是熟人的郵件附件，也許是郵件欺騙使用可升級的反病毒軟件現(xiàn)在一般的反病毒軟件都可以查殺木馬只能針對已經(jīng)被知道的木馬加強系統(tǒng)管理注意系統(tǒng)中用戶的合理權(quán)限注冊表的安全性堡壘總是從內(nèi)部攻破防火墻軟件至少在木馬已經(jīng)種植成功后無法和黑客進行通信第一百零二頁，共一百五十六頁，編輯于2023年，星期三特洛伊木馬（四）Linux下的木馬簡介在登錄界面做文章在自己的帳號下面做一個程序，運行后顯示登錄界面其他用戶在登錄時輸入密碼和帳號記錄密碼和帳號，然后提示用戶輸入錯誤，請重試退出自己程序，進入到真正的登錄界面在PATH中包含“.”的壞習(xí)慣多數(shù)用戶習(xí)慣于在路徑中包含“.”在/tmp下建立ls文件如果root在環(huán)境變量中包含了“.”，并且位置先于ls所在的系統(tǒng)命令，root在/tmp下執(zhí)行l(wèi)s就會執(zhí)行黑客設(shè)置的程序?qū)ⅰ?”放在路徑最后也會出現(xiàn)某些問題第一百零三頁，共一百五十六頁，編輯于2023年，星期三特洛伊木馬（五）Linux下的木馬替換一些可執(zhí)行文件（文件級Rootkit）LoginLsPsWho防范對文件進行Hash編碼，比較新文件和保存的編碼將Rootkit掛在內(nèi)核上執(zhí)行不修改文件，很難被發(fā)現(xiàn)工作效率高防范系統(tǒng)運行在最小權(quán)限運行單內(nèi)核系統(tǒng)，其他任何可加載模塊都省去第一百零四頁，共一百五十六頁，編輯于2023年，星期三木馬的發(fā)展趨勢跨平臺性主要是針對Windows系統(tǒng)而言，木馬可以在Windows98/Me下使用，也可以在WindowsNT/2000/Xp下使用。在Windows9x系統(tǒng)中，木馬程序很容易隱藏，也很容易控制計算機。但WindowsNT和Windows2000/Xp都具有了權(quán)限的概念，這和Windows9x不同，需要木馬程序采用更高級的手段，如控制進程等，現(xiàn)在的一些木馬程序也的確做到了這點。模塊化設(shè)計模塊化設(shè)計是軟件開發(fā)的一種潮流，現(xiàn)在的木馬程序也有了模塊化設(shè)計的概念。例如，BO，NetBus，Sub7等經(jīng)典木馬都有一些優(yōu)秀的插件在紛紛問世，就是一個很好的說明。木馬程序在開始運行時可以只有基本的功能，但在控制過程中，可以從控制端傳送某些復(fù)雜模塊庫到被控制端，達到自我升級的目的。第一百零五頁，共一百五十六頁，編輯于2023年，星期三即時通知木馬的控制端如何知道被控端在哪里運行了呢？如果被控主機使用固定IP地址，還比較容易檢查，但如果是動態(tài)IP，就比較麻煩?，F(xiàn)在的木馬程序已經(jīng)有了通過IRC、ICQ通知等，但仍需進一步完善。第一百零六頁，共一百五十六頁，編輯于2023年，星期三網(wǎng)絡(luò)攻擊技術(shù)－隱藏蹤跡隱藏蹤跡的動機不需要再進入為了使建立的后門不易被發(fā)現(xiàn)防止系統(tǒng)管理員發(fā)現(xiàn)攻擊者從另一方面講，用戶如果對攻擊者隱藏攻擊蹤跡的方法很了解，可以準(zhǔn)確地確定自己的系統(tǒng)是否遭到過攻擊隱藏攻擊蹤跡的方法日志文件文件信息修改系統(tǒng)文件另外的信息上傳或者安裝一些文件網(wǎng)絡(luò)通信流量需要在網(wǎng)絡(luò)上留下的痕跡去掉抹去IDS的記錄是困難的第一百零七頁，共一百五十六頁，編輯于2023年，星期三日志文件（一）日志詳細(xì)記錄系統(tǒng)中任何人所作的任何事情管理員需要將系統(tǒng)日志功能打開對日志文件內(nèi)容詳細(xì)閱讀攻擊者的做法將全部日志刪除數(shù)量很大的日志被刪除時會通知管理員對日志進行修改，僅刪除有關(guān)攻擊的日志需要對不同系統(tǒng)的日志格式很熟悉難度較高第一百零八頁，共一百五十六頁，編輯于2023年，星期三日志文件（二）Linux日志文件五個最重要的日志文件/var/run/utmp－關(guān)于用戶登錄系統(tǒng)的記錄只記錄在線用戶/var/log/wtmp－關(guān)于用戶登錄和離開系統(tǒng)的記錄所有曾經(jīng)登錄和正在系統(tǒng)上用戶的消息/var/log/btmp－失敗的登錄系統(tǒng)記錄/var/log/messages－從syslog工具中獲得的信息標(biāo)準(zhǔn)日志記錄工具存放很多記錄，包括程序啟動、用戶執(zhí)行的動作等/var/log/secure－存取和授權(quán)信息的記錄所有本系統(tǒng)進行連接和從何處到達的記錄第一百零九頁，共一百五十六頁，編輯于2023年，星期三日志文件（三）Windows日志產(chǎn)生的日志有緩沖區(qū)文件和evt文件緩沖區(qū)文件定時寫入evt文件中System.logSecurity.logApplication.logSysevent.evtSeceventv.evtAppevent.evt系統(tǒng)允許刪除log文件，但是無法刪除evt文件如果黑客具有物理訪問設(shè)備的能力，可以通過其他系統(tǒng)刪除日志第一百一十頁，共一百五十六頁，編輯于2023年，星期三日志文件（四）保護日志文件設(shè)置正確權(quán)限只有root才能讀寫使用單獨的服務(wù)器對日志文件經(jīng)常進行備份使用一次性可寫設(shè)備黑客手段：進入后馬上關(guān)掉日志功能加密日志文件關(guān)鍵：保護密鑰安全定時查看日志以查看不正常情況最主要的問題第一百一十一頁，共一百五十六頁，編輯于2023年，星期三文件信息黑客需要把后門程序植入系統(tǒng)修改一些系統(tǒng)文件隱藏修改的痕跡修改文件修改日期用戶對策對重點文件計算Hash序列并保存使用其他工具Windows下的sysdiff，系統(tǒng)快照，報告修改消息Linux下的diff，對兩個文件進行字節(jié)的比較第一百一十二頁，共一百五十六頁，編輯于2023年，星期三另外的文件信息攻擊者入侵的目的獲取計算機資源大量的磁盤空間快速的網(wǎng)絡(luò)和高性能工作站為攻擊其他系統(tǒng)而用上傳大量文件攻擊者的手段設(shè)置隱藏屬性一般用戶總是顯示不隱藏的文件重命名偽裝文件為系統(tǒng)文件建立隱藏目錄改變磁盤空間的工具上傳木馬在管理員查看硬盤空間時進行欺騙第一百一十三頁，共一百五十六頁，編輯于2023年，星期三另外的文件信息（續(xù)）用戶的防范辦法了解系統(tǒng)里的文件定期檢查磁盤空間定期查看日志隱藏網(wǎng)絡(luò)上的蹤跡將自己的通信信息隱藏到其他信息里一般是放到通信協(xié)議頭部的未用到部分中攻擊者發(fā)送的包使用常用端口攻擊者本地是高端端口被攻擊者使用80端口沒有太好的預(yù)防措施第一百一十四頁，共一百五十六頁，編輯于2023年，星期三蠕蟲－另一種攻擊方式蠕蟲－不得不說的故事每一種“成功”的蠕蟲都引起了全網(wǎng)絡(luò)的恐慌1988年Morris蠕蟲是始作俑者2001年全球安全報告里排名前三的都是蠕蟲惹的禍NimdaRedCodeRedCodeII2003年一月的蠕蟲再次席卷全球蠕蟲特點編寫不簡單技術(shù)難度較高關(guān)鍵是好的構(gòu)思和創(chuàng)意通常利用一些系統(tǒng)漏洞傳播非常迅速具有病毒的某些特征感染文件可能帶有破壞系統(tǒng)的代碼第一百一十五頁，共一百五十六頁，編輯于2023年，星期三Morris蠕蟲（一）1988年11月2日出現(xiàn)影響到當(dāng)時的Arpanet大部分計算機和上千萬的經(jīng)濟損失第一個廣泛傳播的蠕蟲第一個成功使用緩沖區(qū)溢出引出的攻擊引起系統(tǒng)的過度負(fù)載，尤其是郵件提交的延遲促進了CERT的誕生代碼短小，僅99行由于程序中的一個錯誤，引發(fā)了大規(guī)模的蠕蟲侵襲第一百一十六頁，共一百五十六頁，編輯于2023年，星期三Morris蠕蟲（二）通過三種方式感染系統(tǒng)SendmailFingerdRsh/RexecSendmail攻擊連接目標(biāo)機器的sendmail的25端口，啟用debug模式發(fā)送RCPTTO來傳遞數(shù)據(jù)一個shell腳本和一個40行的c文件會在目標(biāo)機器上建立編譯C文件，攻擊者機器上的機器上取得兩個目標(biāo)文件，分析系統(tǒng)類型，并鏈接正確的目標(biāo)文件創(chuàng)建一個可執(zhí)行文件/usr/tmp/sh，類似Bourneshell第一百一十七頁，共一百五十六頁，編輯于2023年，星期三Morris蠕蟲（三）Fingerd攻擊通過fingred的一個漏洞進行攻擊最容易成功的方式緩沖區(qū)溢出不檢查輸入的字符數(shù)如果超出512個字節(jié)，出現(xiàn)溢出內(nèi)存中棧下是可執(zhí)行命令/usr/ucb/finger在VAX系統(tǒng)上，知道內(nèi)存中/usr/ucb/finger的位置，替換為/bin/sh溢出后，一個shell開始執(zhí)行Shell運行在finger的deamon上下文中，標(biāo)準(zhǔn)輸入和輸出都是連接socket蠕蟲需要的文件通過shell傳送第一百一十八頁，共一百五十六頁，編輯于2023年，星期三Morris蠕蟲（四）Rsh/Rexec攻擊檢查.rhosts和/etc/hosts.equiv查找信任的主機地址需要得到用戶的帳號和密碼才能訪問這些文件檢查/etc/passwd文件，嘗試破譯密碼組合用戶名、姓、名、昵稱等解決：使用/etc/shadow密碼列表－420多個常用密碼RTM從他父親得到的常用密碼使用/usr/dict/words中的每一個單詞得到單詞后，查找rhost文件，傳遞蠕蟲文件，開始新一輪攻擊使用rsh和rexec命令執(zhí)行第一百一十九頁，共一百五十六頁，編輯于2023年，星期三Morris蠕蟲（五）蠕蟲的自我保護因為sh是蠕蟲，在用戶輸入ps時過濾蠕蟲進程唯一目的：復(fù)制自身在使用文件之后，刪除它們?yōu)榱双@取地址，蠕蟲讀取系統(tǒng)文件并調(diào)用工具程序如netstat來提供關(guān)于網(wǎng)絡(luò)接口的信息。系統(tǒng)重啟或者當(dāng)機后，/tmp和/usr/tmp下面的文件被清空，消滅蠕蟲入侵證據(jù)Sendmail日志會保存信息1/15的概率向某端口發(fā)送消息，可能是某種監(jiān)控機制第一百二十頁，共一百五十六頁，編輯于2023年，星期三Nimda蠕蟲（一）2001年9月18日發(fā)現(xiàn)之后，迅速傳播開來受影響的操作系統(tǒng)Windows9x/Me/Nt/2000感染途徑：文件感染、電子郵件附件、Web服務(wù)器攻擊，以及局域網(wǎng)上的共享文件功能服務(wù)器：沒打補丁的IISWebServer客戶：沒打補丁的IE5.01/5.5，以及使用到IE功能的郵件客戶軟件，包括Outlook,OutlookExpress等危害性受到感染的一臺機器會影響到其他的機器系統(tǒng)文件和文檔文件會受損網(wǎng)絡(luò)資源會被擁塞住解決方案為所用的軟件及時地打上補丁第一百二十一頁，共一百五十六頁，編輯于2023年，星期三Nimda蠕蟲（二）第一百二十二頁，共一百五十六頁，編輯于2023年，星期三Nimda蠕蟲（三）文件感染感染EXE文件，不是把自己插入到EXE文件的頭或者尾部，而是把原來的EXE文件插進來，再改名為EXE的文件名運行的時候，先運行病毒，再提取出EXE并運行Email感染病毒從你的地址簿、收件箱以及Webcache頁面中抽取出email地址，然后構(gòu)造一封郵件，內(nèi)含一個附件readme.exe，送出去。一旦收到郵件的人打開附件，則馬上被感染。有些郵件客戶會自動瀏覽附件，則自動被感染。WebServer攻擊掃描并攻擊WebServer，一旦成功，則把病毒代碼附到Web頁面的最后，未打補丁的IE瀏覽到這樣的頁面的時候，也會自動被感染LAN共享攻擊打開一個共享系統(tǒng)，在administrators加入一帳戶，并打開C盤共享把一個受感染的email和一個受感染的riched20.dll寫到每一個共享可寫目錄中，如果共享目錄的系統(tǒng)打開這個email或者目錄中的Word、Wordpad或Outlook文檔，則此系統(tǒng)也會被感染第一百二十三頁，共一百五十六頁，編輯于2023年，星期三Nimda蠕蟲（四）為什么郵件附件被自動執(zhí)行？頁面會自動瀏覽？利用了IE5（或者說OE5）的一個漏洞html格式的郵件中圖片和多媒體文件都是自動打開的，而可執(zhí)行文件不是如果把可執(zhí)行文件指定為多媒體類型，