第十講-攻擊與應(yīng)急響應(yīng)

第十講攻擊與應(yīng)急響應(yīng)

攻擊概述緩沖區(qū)溢出攻擊掃描器病毒惡意代碼網(wǎng)絡(luò)偵聽

拒絕服務(wù)欺騙技術(shù)網(wǎng)絡(luò)應(yīng)急響應(yīng)10.1攻擊概述10.1.1攻擊的一些基本概念1.攻擊的位置遠(yuǎn)程攻擊：指外部攻擊者通過(guò)各種手段，從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動(dòng)攻擊。本地攻擊：指針對(duì)本局域網(wǎng)內(nèi)的其他系統(tǒng)發(fā)送的攻擊，或在本機(jī)上進(jìn)行非法越權(quán)訪問(wèn)。偽遠(yuǎn)程攻擊：指內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標(biāo)的一些必要信息后，攻擊過(guò)程從外部遠(yuǎn)程發(fā)起，造成外部入侵的現(xiàn)象，從而使追查者誤以為攻擊者來(lái)自外單位。2.攻擊的目的主要包括：進(jìn)程的執(zhí)行、獲取文件和傳輸中的數(shù)據(jù)、獲得超級(jí)用戶權(quán)限、對(duì)系統(tǒng)的非法訪問(wèn)、進(jìn)行不許可的操作、拒絕服務(wù)、涂改信息、暴露信息、政治意圖、經(jīng)濟(jì)利益等等。3.攻擊的層次一般來(lái)說(shuō)，攻擊可分為以下幾個(gè)層次：簡(jiǎn)單拒絕服務(wù)；本地用戶獲得非授權(quán)讀訪問(wèn)；本地用戶獲得他們本不應(yīng)該擁有的文件寫權(quán)限；遠(yuǎn)程用戶獲得了非授權(quán)的帳號(hào)；遠(yuǎn)程用戶獲得了特許文件的讀權(quán)限；遠(yuǎn)程用戶獲得了特許文件的寫權(quán)限；遠(yuǎn)程用戶擁有了根權(quán)限。4.攻擊的工具用戶命令腳本或程序自治主體工具箱分布式工具電磁泄漏5.攻擊的人員黑客與破壞者間諜恐怖主義者公司雇員計(jì)算機(jī)犯罪內(nèi)部人員10.1.2系統(tǒng)的漏洞漏洞是指硬件軟件或策略上的缺陷。

漏洞類型多種多樣，如軟件錯(cuò)誤和缺陷、系統(tǒng)配置不當(dāng)、口令失竊、明文通信信息被監(jiān)聽以及TCP/IP初始設(shè)計(jì)存在缺陷等各方面。漏洞問(wèn)題是與時(shí)間緊密相關(guān)的。一般要經(jīng)歷如下過(guò)程：系統(tǒng)發(fā)布漏洞暴露發(fā)布不定新漏洞出現(xiàn)安全漏洞與系統(tǒng)攻擊之間的關(guān)系是：漏洞暴露（可能的攻擊）發(fā)布補(bǔ)丁1.軟件的Bug

軟件的Bug主要分為以下幾類：緩沖區(qū)溢出意料外的聯(lián)合使用問(wèn)題不對(duì)輸入內(nèi)容進(jìn)行預(yù)期檢查文件操作的順序以及鎖定等問(wèn)題2.系統(tǒng)配置系統(tǒng)配置不當(dāng)主要有以下幾種：默認(rèn)配置的不足管理員的疏忽臨時(shí)端口信任關(guān)系Windows系統(tǒng)中最危險(xiǎn)的漏洞

Internet信息服務(wù)（IIS）遠(yuǎn)程數(shù)據(jù)訪問(wèn)（MDAC）

MicrosoftSQL服務(wù)無(wú)保護(hù)的Windows網(wǎng)絡(luò)共享－－NETBIOS

匿名登錄－－空會(huì)話

LAN管理認(rèn)證一般的Windows認(rèn)證－－無(wú)口令或弱口令帳號(hào)

InternetExplorerRemoteRegistryAccessWindowsScriptingHostUNIX系統(tǒng)中最危險(xiǎn)的漏洞

遠(yuǎn)程過(guò)程調(diào)用（RPC）

ApacheWebServer

安全Shell（SSH）簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP

文件傳輸協(xié)議FTPR-Services－－可信關(guān)系

LinePrinterDaemon（LPD）

SendmailBind/DNS

一般的Unix認(rèn)證－－無(wú)口令或弱口令帳號(hào)10.1.3遠(yuǎn)程攻擊的步驟尋找目標(biāo)主機(jī)收集目標(biāo)信息：鎖定目標(biāo)；使用不同應(yīng)用程序測(cè)試分析；獲取帳號(hào)信息；獲得管理員信息。各種相關(guān)工具的準(zhǔn)備：收集各種實(shí)際使用的工具。攻擊策略的制定：攻擊策略主要依賴于入侵者所想要達(dá)到的目的。數(shù)據(jù)分析：通過(guò)掃描，獲取相關(guān)數(shù)據(jù)并進(jìn)行分析；實(shí)施攻擊：或許系統(tǒng)的信任等級(jí)；獲取特許訪問(wèn)權(quán)限；安放探測(cè)軟件或后門軟件等，并在攻擊得逞后試圖毀掉攻擊入侵的痕跡。10.2緩沖區(qū)溢出10.2.1緩沖區(qū)溢出的概念及原理緩沖區(qū)溢出指的是一種系統(tǒng)攻擊的手段，通過(guò)向程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧。

緩沖區(qū)溢出可能會(huì)帶來(lái)兩種后果：

過(guò)長(zhǎng)的字符串覆蓋了相鄰的存儲(chǔ)單元引起程序運(yùn)行失敗，嚴(yán)重的可導(dǎo)致系統(tǒng)崩潰；

利用這種漏洞可以執(zhí)行任意指令甚至可以取得系統(tǒng)特權(quán)由此引發(fā)許多種攻擊方法。

緩沖區(qū)溢出攻擊的目的在于擾亂具有某些特權(quán)運(yùn)行的程序的功能，從而讓攻擊者取得系統(tǒng)的控制權(quán)。為做到這一點(diǎn)，必須達(dá)到如下目標(biāo)：在程序的地址空間安排適當(dāng)?shù)拇a：

攻擊方法：

植入法；

利用已經(jīng)存在的代碼通過(guò)適當(dāng)?shù)爻跏蓟拇嫫骱痛鎯?chǔ)器，讓程序跳轉(zhuǎn)到安排好的地址空間執(zhí)行。

攻擊方法：

激活記錄；

函數(shù)指針；

長(zhǎng)跳轉(zhuǎn)緩沖區(qū)；#include<stdio.h>Main(){charname[8];

printf(“Pleasetypeyourname:”);

gets(name);

printf(“Hello,%s!”,name);return0;}LocalEBPReturnabcESPEBP堆棧棧頂10.2.2緩沖區(qū)溢出的保護(hù)方法

編寫正確的代碼：是解決緩沖區(qū)溢出漏洞的根本方法；

非執(zhí)行的緩沖區(qū)：通過(guò)使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被植入被攻擊程序輸入緩沖區(qū)的代碼；

程序指針完整性檢查：在程序指針被應(yīng)用之前檢測(cè)它是否被改變；

安裝安全補(bǔ)?。篬12345678][XXXX][YYYY][Z……]NameEBPRetStackEBPESPEIPHeapESP：ExtendStackPointerEBP:ExtendBasePointerEIP:ExtendInstructionPointer10.3掃描器10.3.1掃描器的概念掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地系統(tǒng)安全性弱點(diǎn)（漏洞）的程序。掃描器不是一個(gè)直接攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能幫助我們測(cè)試和評(píng)價(jià)目標(biāo)的安全性，并及時(shí)發(fā)現(xiàn)內(nèi)在的安全漏洞。安全掃描工具通常分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器?；诜?wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞；基于網(wǎng)絡(luò)的掃描器主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機(jī)、防火墻等設(shè)備的安全漏洞。最重要的掃描器是端口掃描器。端口掃描器通常通過(guò)與目標(biāo)主機(jī)TCP/IP端口建立連接和/并請(qǐng)求某些服務(wù)，記錄目標(biāo)主機(jī)的應(yīng)答，搜集目標(biāo)主機(jī)相關(guān)信息，從而發(fā)現(xiàn)目標(biāo)主機(jī)某些內(nèi)在的安全弱點(diǎn)。

通常，端口掃描有如下功能：發(fā)現(xiàn)一個(gè)主機(jī)或網(wǎng)絡(luò)的能力；識(shí)別目標(biāo)系統(tǒng)上正在運(yùn)行的TCP和UDP服務(wù)；識(shí)別目標(biāo)系統(tǒng)的操作系統(tǒng)類型；識(shí)別某個(gè)應(yīng)用程序或某個(gè)特定服務(wù)的版本號(hào)；發(fā)現(xiàn)系統(tǒng)的漏洞。10.3.2端口及端口掃描端口就是潛在的通信通道。端口可分為：知名端口：1～255；常見(jiàn)的網(wǎng)絡(luò)服務(wù)都運(yùn)行于這個(gè)端口范圍；受保護(hù)端口：256～1023；常見(jiàn)的系統(tǒng)服務(wù)都運(yùn)行于這個(gè)端口范圍；用戶定義端口(動(dòng)態(tài)端口)：1024～65535為使系統(tǒng)正常運(yùn)行，應(yīng)盡量關(guān)閉無(wú)用的端口，操作如下：

在本地運(yùn)行netstat命令，判斷哪些端口是打開的；

對(duì)系統(tǒng)進(jìn)行外部的端口掃描，列出所有實(shí)際在偵聽的端口號(hào)；

如兩者得到的結(jié)果不同，應(yīng)分析原因，同時(shí)檢查各端口運(yùn)行的服務(wù)；

記錄最終端口列表，以確定沒(méi)有額外的端口出現(xiàn)。常用的端口掃描技術(shù)（1）

TCPconnect()

操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來(lái)與目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接，如端口處于偵聽狀態(tài)，則connect()就能成功，否則返回-1。（2）

TCPSYN掃描掃描程序發(fā)送一個(gè)SYN數(shù)據(jù)包，如果一個(gè)RST返回，表示端口沒(méi)有處于偵聽狀態(tài)。如果收到一個(gè)SYN||ACK，表示端口處于偵聽狀態(tài)。（3）

TCPFIN掃描其思想是關(guān)閉的端口會(huì)用適當(dāng)?shù)腞ST來(lái)回復(fù)FIN數(shù)據(jù)包，而打開的端口則會(huì)忽略對(duì)FIN數(shù)據(jù)包的回復(fù)。（4）

IP段掃描它并不直接發(fā)送TCP探測(cè)數(shù)據(jù)包，而是將數(shù)據(jù)包分成兩個(gè)較小的IP段。這樣就將一個(gè)TCP頭分成好幾個(gè)數(shù)據(jù)包，從而過(guò)濾器就很難探測(cè)到。

TCP反向認(rèn)證掃描；

FTP代理掃描；

UDPICMP端口不能到達(dá)掃描；

ICMPecho掃描。10.3.3主機(jī)掃描主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)。屬信息收集的初級(jí)階段。

傳統(tǒng)的掃描手段

ICMPEcho掃描：通過(guò)是否有應(yīng)答判斷目標(biāo)是否激活狀態(tài)。

ICMPSweep掃描：并行發(fā)送，同時(shí)掃描多個(gè)目標(biāo)主機(jī)。

BroadcastICMP掃描：向整個(gè)局域網(wǎng)發(fā)送ICMPEcho請(qǐng)求。

Non-EchoICMP掃描：用于對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備的掃描。

非常規(guī)的掃描手段利用ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯(cuò)誤信息的手段，往往可以更有效地到達(dá)目的地，從而突破防火墻和網(wǎng)絡(luò)過(guò)濾設(shè)備的封鎖。

異常IP包頭：偽造IP包頭獲取目標(biāo)主機(jī)或過(guò)濾設(shè)備的信息（如ACL等）。在IP頭中設(shè)置無(wú)效的字段值：獲取目標(biāo)主機(jī)或過(guò)濾設(shè)備的信息。錯(cuò)誤的數(shù)據(jù)分片：根據(jù)反饋信息獲取如上信息。通過(guò)超長(zhǎng)包掃描內(nèi)部路由器：獲取目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。反向映射掃描：用于掃描被過(guò)濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機(jī)，獲取網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)。10.3.4漏洞掃描漏洞掃描是指檢測(cè)遠(yuǎn)程或本地系統(tǒng)存在的安全缺陷。該技術(shù)可分為兩類：主機(jī)漏洞掃描和網(wǎng)絡(luò)漏洞掃描，前者主要針對(duì)系統(tǒng)的配置缺陷以及其他安全規(guī)則相抵觸的對(duì)象；而后者則是通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。

網(wǎng)絡(luò)漏洞掃描技術(shù)不僅可以檢測(cè)平臺(tái)的漏洞，也可以對(duì)網(wǎng)絡(luò)設(shè)備、整個(gè)網(wǎng)段進(jìn)行檢測(cè)。

完整的網(wǎng)絡(luò)漏洞掃描過(guò)程分為3個(gè)階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)。進(jìn)一步收集目標(biāo)信息。根據(jù)信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞。漏洞檢測(cè)技術(shù)是建立在端口掃描技術(shù)的基礎(chǔ)之上。其主要通過(guò)以下兩種方法來(lái)實(shí)現(xiàn)?；诼┒磶?kù)的匹配檢測(cè)方法插件技術(shù)：通過(guò)調(diào)用由腳本語(yǔ)言編寫的插件子程序來(lái)執(zhí)行掃描。其好處是使掃描軟件的升級(jí)和擴(kuò)展變得簡(jiǎn)單。10.4病毒10.4.1計(jì)算機(jī)病毒的定義與特征

定義：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒的主要特征：

破壞性；

傳染性；

自我復(fù)制能力；

隱蔽性；

潛伏性及可觸發(fā)性10.4.2計(jì)算機(jī)病毒的分類與傳播計(jì)算機(jī)病毒一般包含三個(gè)部分：引導(dǎo)部分、傳染部分、表現(xiàn)部分引導(dǎo)型病毒：攻擊系統(tǒng)引導(dǎo)扇區(qū)文件型病毒：依附型、覆蓋型混合型病毒：既可嵌入到磁盤引導(dǎo)區(qū)中又可嵌入到可執(zhí)行程序中宏病毒：主要攻擊支持宏的軟件，主要特點(diǎn)：制作方便、傳播快、跨平臺(tái)、兼容性差10.4.3計(jì)算機(jī)病毒的防止與檢測(cè)

防止：計(jì)算機(jī)病毒的防治要從防毒、查毒、解毒三方面來(lái)進(jìn)行。系統(tǒng)對(duì)于計(jì)算機(jī)病毒的實(shí)際防治能力和效果也要從這三個(gè)方面來(lái)評(píng)判。防毒是指預(yù)防病毒入侵的能力查毒是指發(fā)現(xiàn)和追蹤病毒的能力解毒是指從感染對(duì)象中清除病毒、恢復(fù)被感染前的原始信息的能力

檢測(cè)：計(jì)算機(jī)病毒的的檢測(cè)方法很多，典型的方法包括以下幾種：

直接檢查法：通過(guò)直接觀察來(lái)判斷系統(tǒng)是否感染病毒。

特征代碼法：

準(zhǔn)確快速、誤報(bào)率低；

不能檢測(cè)未知病毒

校驗(yàn)和法：

能發(fā)現(xiàn)未知病毒；

不能識(shí)別病毒名，對(duì)隱蔽性病毒無(wú)效

行為監(jiān)測(cè)法：

具備發(fā)現(xiàn)未知病毒的能力；

可能誤報(bào)，實(shí)現(xiàn)較困難

軟件模擬法：用軟件方法模擬和分析程序的運(yùn)行，能檢測(cè)多態(tài)性病毒。10.4.4計(jì)算機(jī)病毒預(yù)防選用正版的系統(tǒng)及軟件并及時(shí)更新升級(jí)安裝殺毒軟件并定期掃描實(shí)施合理的安全配置養(yǎng)成良好的操作習(xí)慣定期檢查您的系統(tǒng)隨時(shí)保持警惕常用殺毒軟件

KV3000

瑞星金山諾頓卡巴斯基

Symantec10.5惡意代碼

惡意代碼又稱惡意軟件，是一種具有在信息系統(tǒng)上執(zhí)行非授權(quán)進(jìn)程能力的代碼。惡意代碼本身是程序，并且通過(guò)執(zhí)行來(lái)發(fā)生作用。早期的惡意代碼主要是指病毒，但目前其它形式的惡意代碼如蠕蟲、惡意網(wǎng)頁(yè)、木馬、邏輯炸彈、后門等正日益泛濫，并且有逐漸融合的趨勢(shì)。

不必要代碼是指內(nèi)有作用卻會(huì)帶來(lái)危險(xiǎn)的代碼，一個(gè)最安全的定義是把所有不必要的代碼均看作是惡意代碼。惡意代碼的傳播途徑主要包括如下：感染本地文件、局域網(wǎng)共享目錄中的文件或者復(fù)制副本到對(duì)方目錄；尋找E-mail地址，大量發(fā)送垃圾郵件；通過(guò)共享網(wǎng)絡(luò)軟件進(jìn)行傳播；建立后門程序，通過(guò)后門進(jìn)行傳播；通過(guò)即時(shí)通信軟件傳播；通過(guò)U盤等存儲(chǔ)介質(zhì)進(jìn)行傳播；利用系統(tǒng)軟件的漏洞進(jìn)行傳播；通過(guò)短信傳播10.5.1蠕蟲蠕蟲和病毒類似，也可進(jìn)行自我復(fù)制。它能夠利用網(wǎng)絡(luò)漏洞來(lái)擴(kuò)酸并且創(chuàng)建新的副本。蠕蟲并不總是有害的，它可作為以太網(wǎng)網(wǎng)絡(luò)設(shè)備的一種診斷工具，用以快速有效地檢測(cè)網(wǎng)絡(luò)。蠕蟲的基本程序結(jié)構(gòu)包括：傳播模塊、隱藏模塊、目的功能模塊。其中傳播模塊又可分為3個(gè)基本模塊：掃描模塊、攻擊模塊和復(fù)制模塊。1.蠕蟲的分類根據(jù)工作原理分為：主機(jī)蠕蟲和網(wǎng)絡(luò)蠕蟲

主機(jī)蠕蟲完全包含在他們運(yùn)行的計(jì)算機(jī)中，并且使用網(wǎng)絡(luò)的連接僅將其自身復(fù)制到其他的計(jì)算機(jī)中。復(fù)制完成后就會(huì)終止自身。因此任意時(shí)刻只有一個(gè)蠕蟲的副本運(yùn)行。

網(wǎng)絡(luò)蠕蟲由許多部分組成。且每個(gè)部分運(yùn)行在不同的激起上并且使用網(wǎng)絡(luò)來(lái)達(dá)到一些通信的目的。根據(jù)攻擊對(duì)象可分為：針對(duì)網(wǎng)絡(luò)和針對(duì)個(gè)人

針對(duì)企業(yè)和局域網(wǎng)的蠕蟲通過(guò)利用系統(tǒng)的漏洞，主動(dòng)攻擊，往往造成整個(gè)局域網(wǎng)癱瘓（如紅色代碼、尼姆達(dá)等）。

針對(duì)個(gè)人的蠕蟲往往借助于網(wǎng)絡(luò)或網(wǎng)絡(luò)工具進(jìn)行傳播（如求職信病毒等）10.5.2惡意網(wǎng)頁(yè)惡意網(wǎng)頁(yè)通過(guò)插在網(wǎng)頁(yè)中的惡意代碼來(lái)修改瀏覽者的注冊(cè)表，從而起到破壞作用。如禁止使用計(jì)算機(jī)、格式化硬盤、自動(dòng)下載運(yùn)行木馬、禁止某些功能或菜單項(xiàng)、修改IE、以及不斷彈出對(duì)話框等等惡意現(xiàn)象。遭遇到上述現(xiàn)象后應(yīng)立即采取一些強(qiáng)制措施，如通過(guò)電腦的任務(wù)管理器強(qiáng)制關(guān)閉正在運(yùn)行的惡意網(wǎng)頁(yè)，并及時(shí)修復(fù)注冊(cè)表和升級(jí)殺毒軟件、瀏覽器等。以免造成不必要的損失和麻煩。2.蠕蟲與病毒的比較

一般認(rèn)為，蠕蟲是一種通過(guò)網(wǎng)絡(luò)傳播的病毒，它具有病毒的一些共性（如傳播性、隱蔽性、破壞性等）。但它和普通病毒的工作方式存在不同，主要表現(xiàn)在以下方面：普通病毒蠕蟲存在形式寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)上的計(jì)算機(jī)10.5.3特洛伊木馬特洛伊木馬本質(zhì)上只是一種遠(yuǎn)程管理工具，它本身不帶傷害性，也沒(méi)有傳染性。特洛伊木馬具有隱蔽性和非授權(quán)性的特點(diǎn)。

隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱蔽木馬；

非授權(quán)性是指這個(gè)未經(jīng)授權(quán)的程序提供了一些用戶不知道的功能。木馬的隱蔽性通常通過(guò)偽裝的方式來(lái)實(shí)現(xiàn)，主要包括以下方式：

冒充為圖像文件；

合并（捆綁）程序欺騙；

偽裝成應(yīng)用程序擴(kuò)展組件1.木馬的工作原理

特洛伊木馬屬于客戶/服務(wù)工作模式。它分為兩部分：客戶端和服務(wù)器。其原理是一臺(tái)主機(jī)提供服務(wù)（服務(wù)器、被控制端），另一臺(tái)主機(jī)接受服務(wù)（客戶機(jī)、控制端）。作為服務(wù)器的主機(jī)一般會(huì)打開一個(gè)默認(rèn)的端口進(jìn)行偵聽。1.1木馬自動(dòng)加載運(yùn)行技術(shù)

常見(jiàn)的木馬加載技術(shù)如下：

在Win.ini中啟動(dòng)；

在System.ini中啟動(dòng)；

利用注冊(cè)表加載運(yùn)行；

在Autoexec.bat和Config.sys中加載運(yùn)行；

在Winstart.bat中啟動(dòng)；

在啟動(dòng)組啟動(dòng)；

在*.ini中啟動(dòng)；

修改文件關(guān)聯(lián)；

捆綁文件；

反彈端口型木馬的主動(dòng)連接等1.2木馬程序建立連接技術(shù)木馬程序的數(shù)據(jù)傳遞通常采用TCP/UDP協(xié)議，利用Winsock與目標(biāo)機(jī)的指定端口建立起連接，使用send和recv等API進(jìn)行數(shù)據(jù)的傳遞。合并端口木馬：在一個(gè)端口同時(shí)綁定兩個(gè)TCP或者UDP連接，通過(guò)把木馬端口綁定于特定的服務(wù)端口之上，從而達(dá)到隱蔽端口的目的。利用ICMP協(xié)議進(jìn)行數(shù)據(jù)的發(fā)送：通過(guò)修改ICMP頭的構(gòu)造，加入木馬的控制字段，將自己偽裝成一個(gè)Ping的進(jìn)程，系統(tǒng)就會(huì)將ICMP_ECHOREPLY的監(jiān)聽、處理權(quán)交給木馬進(jìn)程。反彈端口型木馬：服務(wù)器端（被控制端）使用主動(dòng)端口，客戶端（控制端）使用被動(dòng)端口，木馬定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控制端上線立即主動(dòng)連接。使用基于嗅探原理的原始Sock木馬：服務(wù)器端是一個(gè)發(fā)包器和嗅探器，它將捕獲制定特征的數(shù)據(jù)包。2.木馬的防范

使用防火墻和反黑客軟件；

端口掃描；

查看連接；

檢查注冊(cè)表；

查找文件。10.5.4邏輯炸彈邏輯炸彈是一種只有當(dāng)滿足特定邏輯條件時(shí)才進(jìn)行破壞的程序。

與病毒相比：邏輯炸彈強(qiáng)調(diào)破壞作用本身，而事實(shí)破壞的程序不會(huì)傳播。

與典型木馬相比：邏輯炸彈一般是隱含在具有正常功能的軟件中。

案例：江民殺毒軟件KV300.10.5.5后門入侵者可以通過(guò)端口、串/并口、無(wú)線設(shè)備連接等后門方式入侵計(jì)算機(jī)。如果一個(gè)程序僅僅提供遠(yuǎn)程訪問(wèn)，那么它只是一個(gè)后門。如果攻擊者將這些后門偽裝成某些其他良性程序，那么就變成了木馬。后門產(chǎn)生的必要條件：必須以某種方式與其他終端結(jié)點(diǎn)相連目標(biāo)機(jī)默認(rèn)開放的可供外界訪問(wèn)的端口必須在一個(gè)以上目標(biāo)計(jì)算機(jī)存在程序設(shè)計(jì)或認(rèn)為疏忽。后門工作機(jī)制：后門程序也是通過(guò)操作系統(tǒng)漏洞、程序漏洞、協(xié)議漏洞等方式傳播，不同的是后門程序多了一個(gè)入侵者入侵后預(yù)留通道（如添加超級(jí)用戶帳號(hào)等）。后門程序可以看作木馬程序的一種，但它更專注于遠(yuǎn)程控制/訪問(wèn)。10.5.6流氓軟件流氓軟件是介于病毒和正規(guī)軟件之間的軟件。流氓軟件沒(méi)有準(zhǔn)確的定義，但通常既有如下一些特征：強(qiáng)制安裝、難以卸載或惡意卸載、惡意捆綁、瀏覽器劫持、廣告彈出、惡意收集用戶信息等。流氓軟件的類型：廣告軟件：未經(jīng)用戶允許下載并安裝到用戶計(jì)算機(jī)上、或與其它軟件捆綁。間諜軟件：是一種后門軟件，用以收集用戶的信息。瀏覽器劫持軟件：通過(guò)各種手段對(duì)瀏覽器篡改，使瀏覽器配置不正?；虿荒苷９ぷ鳌＿h(yuǎn)行為記錄軟件：用以記錄用戶的計(jì)算機(jī)使用習(xí)慣、網(wǎng)絡(luò)瀏覽習(xí)慣等。以此收集信息進(jìn)行相應(yīng)的廣告推廣和商業(yè)活動(dòng)。惡意共享軟件：是指某些共享軟件為了獲取利益，采用誘騙手段、陷阱等方式強(qiáng)迫用戶注冊(cè)，或在合法軟件體內(nèi)捆綁各類惡意插件。10.6網(wǎng)絡(luò)偵聽10.6.1Sniffer工作原理嗅探（Sniffer）是在網(wǎng)絡(luò)中通過(guò)偵聽的方式對(duì)通信數(shù)據(jù)包進(jìn)行監(jiān)聽、采集與分析的技術(shù)手段。嗅探器則是用于實(shí)現(xiàn)網(wǎng)絡(luò)嗅探的程序或工具。嗅探器成功的關(guān)鍵在于以太網(wǎng)的通信機(jī)制和網(wǎng)卡的工作模式。網(wǎng)絡(luò)嗅探須考慮網(wǎng)絡(luò)拓?fù)洵h(huán)境。當(dāng)前主要有兩種：共享式網(wǎng)絡(luò)和交換式網(wǎng)絡(luò)。前者的互聯(lián)設(shè)備是集線器，后者則是交換機(jī)。前者采用廣播方式，后者則通過(guò)交換機(jī)在其內(nèi)部的不同端口間存儲(chǔ)轉(zhuǎn)發(fā)類完成數(shù)據(jù)傳送。網(wǎng)絡(luò)偵聽的主要用途是觀測(cè)分析實(shí)時(shí)經(jīng)由的數(shù)據(jù)包，從而快速地進(jìn)行網(wǎng)絡(luò)故障定位。被偵聽的網(wǎng)絡(luò)通常包括以下幾種：以太網(wǎng)、交換網(wǎng)、FDDI和令牌環(huán)網(wǎng)、其他網(wǎng)絡(luò)（如有線電視、無(wú)線等）。

Sniffer通常運(yùn)行在路由器或具有路由功能的主機(jī)上，可能截獲在同一條物理信道上傳輸?shù)乃械男畔?，包括用戶ID和口令等。即邏輯上的子網(wǎng)劃分并不能阻止嗅探器攻擊。10.6.3Sniffer預(yù)防和檢測(cè)1.預(yù)防確保以太網(wǎng)的整體安全使用加密傳輸敏感數(shù)據(jù)使用安全拓?fù)浣Y(jié)構(gòu)2.檢測(cè)反應(yīng)時(shí)間利用Ping模式進(jìn)行檢測(cè)使用ARP數(shù)據(jù)包進(jìn)行檢測(cè)10.6.2交換網(wǎng)嗅探交換網(wǎng)絡(luò)結(jié)構(gòu)能在一定程度上抵御嗅探攻擊。但無(wú)法阻止。對(duì)交換網(wǎng)數(shù)據(jù)包進(jìn)行嗅探的方法包括：

MAC洪水包：通過(guò)發(fā)送大量虛假M(fèi)AC地址和IP地址的IP包使交換機(jī)進(jìn)入所謂的“打開失效”模式，此時(shí)交換機(jī)的工作方式與集線器類似。從而實(shí)現(xiàn)攻擊目的。利用交換機(jī)的鏡像功能：端口鏡像就是把交換機(jī)一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口的方法。通過(guò)在鏡像端口上使用嗅探器即可嗅探到被鏡像端口的數(shù)據(jù)通信。利用ARP欺騙實(shí)現(xiàn)嗅探：網(wǎng)絡(luò)設(shè)備為減少?gòu)V播量，通常會(huì)通過(guò)ARP表在緩存中保存IP與MAC地址的映射關(guān)系，且ARP表使用老化機(jī)制，這給了嗅探器假冒攻擊的機(jī)會(huì)。10.7拒絕服務(wù)拒絕服務(wù)（DoS）是網(wǎng)絡(luò)信息系統(tǒng)由于某種原因不能為授權(quán)用戶提供正常的服務(wù)。它通常分為針對(duì)網(wǎng)絡(luò)的和針對(duì)主機(jī)的DoS攻擊。最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，致使服務(wù)超載，從而無(wú)法處理常規(guī)的任務(wù)。攻擊者面臨的主要問(wèn)題是網(wǎng)絡(luò)帶寬。

產(chǎn)生拒絕服務(wù)的原因：

資源毀壞；

資源耗盡或過(guò)載；

配置錯(cuò)誤；

軟件弱點(diǎn)。常見(jiàn)的DoS攻擊方式：1.TCPSYNFlooing

利用TCP協(xié)議的三次握手原理實(shí)施攻擊。預(yù)防措施：在防火墻上過(guò)濾來(lái)自同一主機(jī)的后續(xù)連接?？蛻艨蛻舴?wù)器服務(wù)器(1)TCPSYN(1)TCPSYN(2)SYNACK(2)SYNACK(3)TCPACK分配資源等待回復(fù)等待等待超時(shí)分配資源等待回復(fù)連接2.Smurf攻擊利用ICMP技術(shù)進(jìn)行攻擊。預(yù)防措施：為防止入侵者利用網(wǎng)絡(luò)攻擊他人，應(yīng)關(guān)閉外部路由器或防火墻的廣播地址特性；為防止被攻擊，應(yīng)在防火墻上設(shè)置規(guī)則，丟棄掉ICMP包。3.Fraggle攻擊其基本概念及做法像Smurf，但它是采用UDPecho訊息。預(yù)防措施：可以通過(guò)在防火墻上過(guò)濾掉UDP應(yīng)答消息來(lái)防范。Internet攻擊機(jī)器被攻擊機(jī)器路由器4.分布式拒絕服務(wù)攻擊DDoS

DDoS是攻擊者控制一些數(shù)量的PC機(jī)或路由器，用這些PC機(jī)或路由器發(fā)動(dòng)DoS攻擊。攻擊者通常采取IP地址欺騙技術(shù)。預(yù)防措施：采用IDS技術(shù)。DDoS攻擊過(guò)程如下：探測(cè)掃描大量主機(jī)以尋找可入侵主機(jī)目標(biāo)；通過(guò)一些典型而有效的遠(yuǎn)程溢出漏洞攻擊程序，獲取其系統(tǒng)控制權(quán)；在每臺(tái)入侵主機(jī)中安裝攻擊程序；利用已入侵主機(jī)繼續(xù)進(jìn)行掃描和入侵。被攻擊機(jī)器主控端分布端客戶端10.8欺騙技術(shù)10.8.1IP欺騙

IP欺騙技術(shù)就是偽造某臺(tái)主機(jī)IP地址的技術(shù)。IP地址欺騙的發(fā)生主要是因?yàn)橥ㄐ烹p方基于地址驗(yàn)證的認(rèn)證策略造成的。如果通信雙方實(shí)施應(yīng)用層認(rèn)證則能有效防止這類攻擊。

TCP提供可靠傳輸是因?yàn)樗鼈魉统龅乃凶止?jié)都分配有序列號(hào)。TCP的序列號(hào)可以看作是32位的計(jì)數(shù)器，其范圍為0～232-1。而數(shù)據(jù)包的ACK對(duì)所收到的數(shù)據(jù)進(jìn)行確認(rèn)，并指出下一個(gè)期待接收的數(shù)據(jù)序列號(hào)。由于TCP通過(guò)滑動(dòng)窗口的概念進(jìn)行流量控制，而窗口由16位bit所定義，谷接收端TCP能最大提供65535個(gè)字節(jié)的緩沖，故利用窗口大小和第一個(gè)數(shù)據(jù)的序列號(hào)可計(jì)算出最大可接收的數(shù)據(jù)序列號(hào)。初始學(xué)列號(hào)（ISN）由tcp_init()函數(shù)確定。ISN每秒增加128000，如果有連接將把計(jì)數(shù)器的數(shù)值增加64000。從而使得用于ISN的32位計(jì)數(shù)器在沒(méi)有連接的情況下每9.32小時(shí)復(fù)位一次。在Berkeley系統(tǒng)，最初的序列號(hào)變量由一個(gè)常數(shù)每秒加一產(chǎn)生，等到這個(gè)常數(shù)一半時(shí)就開始一次連接。故如果開始了一個(gè)合法的連接，并觀察到一個(gè)ISNS在用，便可以計(jì)算有很高可信度的ISNS用在下一個(gè)連接企圖。IP欺騙步驟和防止

假定：

目標(biāo)主機(jī)已選定；

信任模式已發(fā)現(xiàn)。則工作過(guò)程如下：

使得被信任的主機(jī)喪失工作能力，同時(shí)采樣目標(biāo)主機(jī)發(fā)出的TCP序列號(hào)，猜測(cè)出它的數(shù)據(jù)序列號(hào)。偽裝成被信任的主機(jī)，同時(shí)建立起與目標(biāo)主機(jī)基于地址驗(yàn)證的應(yīng)用連接；如果成功，則放置后門，以進(jìn)行非授權(quán)操作。

IP欺騙步驟（A）及會(huì)話的劫持過(guò)程（B）如下：1.遠(yuǎn)程登錄，建立會(huì)話，完成認(rèn)證過(guò)程1.監(jiān)聽流量3.劫持會(huì)話4.迫使A下線ABZ（B）（A）ZAB時(shí)刻1時(shí)刻2時(shí)刻4時(shí)刻3

防止：

拋棄基于地址的信任策略；

進(jìn)行包過(guò)濾；

使用加密方法傳輸；

使用隨機(jī)化的初始序列號(hào)10.8.2電子郵件欺騙

1.電子郵件攻擊電子郵件攻擊主要表現(xiàn)為：電子郵件轟炸和電子郵件欺騙。前者主要是通過(guò)向同一信箱發(fā)送大量的垃圾郵件來(lái)轟炸所在的郵件服務(wù)器；而后者則主要是一種冒充行為（如冒充管理員）。

2.電子郵件欺騙方法執(zhí)行電子郵件欺騙有三種基本方法：相似的電子郵件地址冒充回復(fù)地址利用電子郵件附件遠(yuǎn)程聯(lián)系，登錄到端口25

欺騙者遠(yuǎn)程登錄到SMTP服務(wù)器的端口25，郵件服務(wù)器使用它在互聯(lián)網(wǎng)上發(fā)送郵件。攻擊者通過(guò)所在的郵件服務(wù)器與目標(biāo)服務(wù)器聯(lián)系，在25端口發(fā)送消息，從而實(shí)現(xiàn)消息轉(zhuǎn)移，然后用戶的郵件服務(wù)器把該消息發(fā)送給用戶。這種攻擊行為欺騙性較強(qiáng)。10.8.3Web欺騙

Web欺騙是攻擊者偽造某個(gè)WWW站點(diǎn)的鏡像副本，使該鏡像站點(diǎn)的入口進(jìn)入到攻擊者的Web服務(wù)器，并經(jīng)過(guò)攻擊者計(jì)算機(jī)的過(guò)濾，從而達(dá)到攻擊者監(jiān)視目標(biāo)的任何活動(dòng)以獲取有用信息的目的。

Web欺騙成功的關(guān)鍵是要在受攻擊者和其他Web服務(wù)器之間建立攻擊者的Web服務(wù)器。其欺騙產(chǎn)生的根源在于Internet的開放性，即任何人都可以建立自己的Web站點(diǎn)，域名可以自由注冊(cè)，而清楚Web的運(yùn)行規(guī)則的人卻是少數(shù)。Web欺騙的手段與方法如下：基本的Web欺騙：如注冊(cè)非常有欺騙性的域名等；

DNS域名重定向：通過(guò)改變DNS服務(wù)器的數(shù)據(jù)庫(kù)，從而把網(wǎng)站域名重定向到另一個(gè)網(wǎng)站上，從而實(shí)現(xiàn)劫持。

URL重寫：攻擊者把自己的信息插入到通信流中。通常是通過(guò)把網(wǎng)絡(luò)流量轉(zhuǎn)移到攻