網(wǎng)絡(luò)對抗技術(shù)

網(wǎng)絡(luò)對抗技術(shù)葉進(jìn)yejin@參考教材網(wǎng)絡(luò)對抗原理胡建偉等編著西安電子科技大學(xué)出版社學(xué)習(xí)計(jì)劃一、課堂講授16學(xué)時(shí)1~4周二、上機(jī)實(shí)踐12學(xué)時(shí)6~8周三、討論及測試4學(xué)時(shí)機(jī)動一、課堂講授1、信息獲取技術(shù)（掃描、截獲）2、代碼漏洞利用（溢出攻擊）3、網(wǎng)絡(luò)攻擊（DoS攻擊和ARP欺騙）4、系統(tǒng)攻擊5、病毒及木馬綜述網(wǎng)絡(luò)對抗：在信息網(wǎng)絡(luò)環(huán)境中，以信息網(wǎng)絡(luò)系統(tǒng)為載體，以計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)為目標(biāo)，圍繞信息偵察、信息干擾、信息欺騙、信息攻擊，為爭奪信息優(yōu)勢而進(jìn)行的活動。是以比特流對抗為著眼點(diǎn)的比知識、比算法的智力戰(zhàn)。黑客技術(shù)：是對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的缺陷和漏洞的發(fā)現(xiàn)，以為圍繞這些缺陷實(shí)施攻擊的技術(shù)。包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和認(rèn)為的失誤。第一部分信息獲取技術(shù)1、踩點(diǎn)（存活性探測）獲取有關(guān)目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)和主機(jī)系統(tǒng)安全態(tài)勢的信息。例如：Tracert

命令2、掃描（查找漏洞）檢測目標(biāo)系統(tǒng)是否同互聯(lián)網(wǎng)連接、所提供的網(wǎng)絡(luò)服務(wù)類型等。例如：ping命令3、查點(diǎn)（獲取權(quán)限）提取系統(tǒng)的有效賬號或者輸出資源名的過程。例如：nbtstat

命令網(wǎng)絡(luò)偵查Traceroute

：跟蹤TCP/IP數(shù)據(jù)包從出發(fā)點(diǎn)到達(dá)目的點(diǎn)所走的路徑。Unix：TracerouteWindows：Tracert例如：Tracert

通過ICMP命令發(fā)送小的探測包掃描技術(shù)1、PING掃描：確定目的IP是否存活（發(fā)送ICMPECHO請求分組）。2、端口掃描：目標(biāo)系統(tǒng)提供什么樣的服務(wù)或哪些端口處于偵聽狀態(tài)。3、不同的服務(wù)偵聽在不同的端口，一個(gè)端口就是一個(gè)入侵通道。端口如何查詢端口：Windows\system32\drives\etc\services(forwell-knowservicesdefinedbyIANA)Dos命令：netstat–an(查詢主機(jī)的端口狀態(tài))掃描技術(shù)掃描的方式：1.正向掃描：一般由管理員完成，相當(dāng)于對網(wǎng)絡(luò)進(jìn)行安全評估，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中有漏洞時(shí)會給出如何彌補(bǔ)這些漏洞的建議。正向掃描軟件：SSS、SuperScan、X-Scan、NMAP、MBSA等。2.反向掃描：一般由黑客完成，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中有漏洞時(shí)會給出如何利用這些漏洞的建議。反向掃描軟件：流光。掃描的建議：盡量使用多種掃描軟件，分時(shí)段、分多次，對對方主機(jī)進(jìn)行掃描。操作系統(tǒng)檢測意義：大多數(shù)安全漏洞都是有操作系統(tǒng)特定的原理：發(fā)送探測分組以確定協(xié)議的獨(dú)有特性。實(shí)現(xiàn)：從TCP的四個(gè)字段入手TTL:操作系統(tǒng)對出站數(shù)據(jù)包設(shè)置的存活時(shí)間（Windows初始為128，Linux為64）WINDOWSSIZE:在發(fā)送FIN數(shù)據(jù)包時(shí)包含的選項(xiàng)（Linux基本維持不變，Windows采用AIMD機(jī)制）DF:是否設(shè)置了不準(zhǔn)分片位TOS:是否設(shè)置了服務(wù)類型信息獲取技術(shù)1、踩點(diǎn)（存活性探測）獲取有關(guān)目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)和主機(jī)系統(tǒng)安全態(tài)勢的信息。例如：Tracert

命令2、掃描（查找漏洞）檢測目標(biāo)系統(tǒng)是否同互聯(lián)網(wǎng)連接、所提供的網(wǎng)絡(luò)服務(wù)類型等。例如：ping命令3、查點(diǎn)（獲取權(quán)限）提取系統(tǒng)的有效賬號或者輸出資源名的過程。例如：nbtstat

命令Windows查點(diǎn)技術(shù)netBIOS：網(wǎng)絡(luò)基本輸入/輸出系統(tǒng),敵定義了一個(gè)軟件接口，提供標(biāo)準(zhǔn)方法用于使用各種網(wǎng)絡(luò)服務(wù)。查點(diǎn)步驟：1、獲得所有主機(jī)信息：nbtstat2、獲取用戶名信息：net3、遠(yuǎn)程共享：netused1、給出自己機(jī)器所在的拓?fù)?、下載并使用一種掃描軟件3、學(xué)會探測激活的端口4、嘗試非法入侵第二部分代碼漏洞利用“安全漏洞”：字典的定義：任何會引起系統(tǒng)的安全性受到破壞的事物，包括不恰當(dāng)?shù)牟僮髦笇?dǎo)、病毒、沒有被正確配置的系統(tǒng)、弱密碼或者寫在紙條上的密碼等。領(lǐng)域的定義：即使使用者在合理配置了產(chǎn)品的條件下，由于產(chǎn)品自身存在的缺陷，產(chǎn)品的運(yùn)行可能被改變以產(chǎn)生非設(shè)計(jì)者預(yù)期的后果，并可最終導(dǎo)致安全性被破壞的問題，包括使用者系統(tǒng)被非法侵占、數(shù)據(jù)被非法訪問并泄露，或系統(tǒng)拒絕服務(wù)等。我們將這些缺陷稱為安全漏洞。http://安全漏洞產(chǎn)品：產(chǎn)品中的缺陷可以導(dǎo)致安全漏洞。但是，因?yàn)樽駨牟话踩?，但是被廣泛接受的標(biāo)準(zhǔn)而導(dǎo)致的缺陷，不屬于安全漏洞。

例子：當(dāng)使用瀏覽器連接至FTP站點(diǎn)時(shí)，其連接會話是明文的，這不是安全漏洞，因?yàn)镕TP協(xié)議標(biāo)準(zhǔn)中規(guī)定使用明文會話。但是，如果瀏覽器在SSL會話中使用了明文通信，這就產(chǎn)生了一個(gè)安全漏洞，因?yàn)镾SL標(biāo)準(zhǔn)中規(guī)定了會話必須加密。

缺陷：安全漏洞可能是由于設(shè)計(jì)者或開發(fā)者的不慎而造成的產(chǎn)品缺陷。但并不是所有的產(chǎn)品缺陷都是安全漏洞。

例子：盡管在產(chǎn)品中使用一個(gè)40比特的密碼可能會由于保護(hù)強(qiáng)度弱而產(chǎn)生安全隱患，但這并不屬于安全漏洞。相反，如果一個(gè)設(shè)計(jì)者由于疏忽在一個(gè)128比特的密碼中只使用了64比特，那么這一缺陷屬于安全漏洞。

緩存溢出攻擊緩沖區(qū)溢出漏洞是一種軟件中邊境條件、函數(shù)指針等設(shè)計(jì)不當(dāng)?shù)脑斐傻刂房臻g錯(cuò)誤。原理：向一個(gè)有限空間的緩沖區(qū)中拷貝了過長的字符串，帶來了兩種后果：一是過長的字符串覆蓋了相臨的存儲單元而造成程序癱瘓，甚至造成宕機(jī)、系統(tǒng)或進(jìn)程重啟等；二是利用漏洞可以讓攻擊者運(yùn)行惡意代碼，執(zhí)行任意指令，甚至獲得超級權(quán)限等。緩存溢出攻擊#include“String.h”VoidMycopy（Char*str）{charbuffer[256];

strcpy(buffer,str);}intmain(){intI;Charbuffer[512];For(i=0;i<511;i++)

buffer[i]=‘C’;myCopy(buffer);Return0;}堆棧1.棧是用來存儲臨時(shí)變量，函數(shù)傳遞的中間結(jié)果。2.操作系統(tǒng)維護(hù)的，對于程序員是透明的。棧的原理：voidfun(void){printf("helloworld")；}void

main(void){fun()

printf("函數(shù)調(diào)用結(jié)束");}特點(diǎn)：FIFO函數(shù)調(diào)用:壓棧，函數(shù)返回：出棧

堆棧棧幀：1.EIP寄存器：存儲的是CPU下次要執(zhí)行的指令的地址。

也就是調(diào)用完fun函數(shù)后，讓CPU知道應(yīng)該執(zhí)行main函數(shù)中的printf（“函數(shù)調(diào)用結(jié)束”）語句了。2.EBP寄存器：存儲的是是棧的棧底指針，通常叫?；?，這個(gè)是一開始進(jìn)行fun()函數(shù)調(diào)用之前，由ESP傳遞給EBP的。（在函數(shù)調(diào)用前你可以這么理解：ESP存儲的是棧頂?shù)刂?，也是棧底地址。?.ESP寄存器：存儲的是在調(diào)用函數(shù)fun()之后，棧的棧頂。并且始終指向棧頂。緩存溢出攻擊#include“String.h”VoidMycopy（Char*str）{charbuffer[256];

strcpy(buffer,str);}intmain(){intI;Charbuffer[512];For(i=0;i<511;i++)

buffer[i]=‘C’;myCopy(buffer);Return0;}通過反匯編和匯編去完成！緩存溢出攻擊

shellcode:是一段代碼（也可以是填充數(shù)據(jù)），是用來發(fā)送到服務(wù)器利用特定漏洞的代碼，一般可以獲取權(quán)限。Shellcode一般是作為數(shù)據(jù)發(fā)送給受攻擊服務(wù)的。

#include“String.h”VoidMycopy（Char*str）{charbuffer[256];

strcpy(buffer,str);}intmain(){intI;Charbuffer[512];For(i=0;i<511;i++)

buffer[i]=‘C’;myCopy(buffer);Return0;}緩存溢出攻擊緩存溢出攻擊

Shellcode本質(zhì)上可以使用任何編程語言，但由于需要的是提取其中的機(jī)器碼，使用匯編語言編寫是最具可控性的，因?yàn)榭梢酝ㄟ^指令控制代碼生成。C語言編寫較為省力，但Shellcode提取較為復(fù)雜。

不同版本的操作系統(tǒng)，DLL導(dǎo)出函數(shù)的入口地址，指令地址有所不同。緩存溢出攻擊早在1988年，美國康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生，23歲的莫里斯（Morris）利用了UNIXfingered程序不限制輸入長度的漏洞使緩沖器溢出。Morris又寫了一段程序使他的惡意程序能以root（根）身份執(zhí)行，并傳播到其他機(jī)器上，結(jié)果造成6000臺Internet上的服務(wù)器癱瘓，占當(dāng)時(shí)總數(shù)的10%。緩存溢出攻擊“SQLSlammer”蠕蟲王的發(fā)作原理，就是利用未及時(shí)更新補(bǔ)丁的MSSQLServer數(shù)據(jù)庫緩沖溢出漏洞。采用不正確的方式將數(shù)據(jù)發(fā)到MSSqlServer的監(jiān)聽端口，這個(gè)錯(cuò)誤可以引起緩沖溢出攻擊。緩存溢出攻擊目前新出現(xiàn)的MSBLAST病毒正是利用了微軟關(guān)于RPC接口中遠(yuǎn)程任意可執(zhí)行代碼漏洞，“中招”的機(jī)器會反復(fù)重啟，或者拷貝、粘貼功能不工作等現(xiàn)象。事實(shí)上，如果成功利用緩沖漏洞，攻擊者就有可能獲得對遠(yuǎn)程計(jì)算機(jī)的完全控制，并以本地系統(tǒng)權(quán)限執(zhí)行任意指令，如安裝程序、查看或更改、刪除數(shù)據(jù)、格式化硬盤等。作業(yè)了解和熟悉一些反匯編工具網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)協(xié)議攻擊攻擊WWW分布式攻擊TCP/IP協(xié)議ARP攻擊ARP

：AddressResolutionProtocolIP地址和MAC地址ARP攻擊ARP緩存表：IP地址與MAC對應(yīng)的關(guān)系A(chǔ)RP請求：發(fā)送報(bào)文前，在ARP緩存表中查找MAC地址，如果沒有，就發(fā)送一個(gè)目的為廣播地址的ARP請求包。ARP攻擊ARP請求：ARP攻擊ARP響應(yīng)：ARP攻擊ARP欺騙：用錯(cuò)誤的IP-MAC映射刷新主機(jī)的ARP緩存。ARP攻擊域網(wǎng)內(nèi)一旦有ARP的攻擊存在，會欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過ARP攻擊者控制的主機(jī)。其他用戶原來直接通過網(wǎng)關(guān)上網(wǎng)，現(xiàn)在卻轉(zhuǎn)由通過被控主機(jī)轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機(jī)性能和程序性能的影響，這種轉(zhuǎn)發(fā)并不會非常流暢，因此就會導(dǎo)致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙需要不停地發(fā)送ARP應(yīng)答包，會造成網(wǎng)絡(luò)擁塞。ARP攻擊檢測抓包工具來抓包，如果發(fā)現(xiàn)網(wǎng)內(nèi)存在大量ARP應(yīng)答包，并且將所有的IP地址都指向同一個(gè)MAC地址，那么就說明存在ARP欺騙攻擊。到路由器或者網(wǎng)關(guān)交換機(jī)上查看IP地址與MAC地址的對應(yīng)表，如果發(fā)現(xiàn)某一個(gè)MAC對應(yīng)了大量的IP地址，那么也說明存在ARP欺騙攻擊。

ARP攻擊防范（1）在客戶端使用arp命令綁定網(wǎng)關(guān)的真實(shí)MAC地址命令如下：arp

(先清除錯(cuò)誤的ARP表)arp03-03-03-03-03-03（靜態(tài)指定網(wǎng)關(guān)的MAC地址）（2）在交換機(jī)上做端口與MAC地址的靜態(tài)綁定。（3）在路由器上做IP地址與MAC地址的靜態(tài)綁定。（4）使用“ARPSERVER”按一定的時(shí)間間隔廣播網(wǎng)段內(nèi)所有主機(jī)的正確IP-MAC映射表網(wǎng)絡(luò)層協(xié)議攻擊Smurf攻擊：攻擊者想一個(gè)具有大量主機(jī)和因特網(wǎng)的廣播地址發(fā)送一個(gè)欺騙性Ping分組，其源地址就是希望攻擊的目標(biāo)系統(tǒng)。目標(biāo)主機(jī)被大量的Echo信息淹沒，從而拒絕正常服務(wù)。源代碼P101網(wǎng)絡(luò)協(xié)議攻擊鏈路層攻擊：ARP欺騙：用錯(cuò)誤的IP-MAC映射刷新ARP緩存網(wǎng)絡(luò)層攻擊：Smurf攻擊：向一個(gè)有大量主機(jī)和因特連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個(gè)欺騙PING分組傳輸層攻擊：SYNflood攻擊、TCP會話劫持應(yīng)用層攻擊：DNS欺騙、WWW攻擊SYNFlood攻擊原理：偽造大量的TCP連接，從而使被攻擊放資源耗盡。DoS攻擊:DenialofServeiceDDoS攻擊:DistributionDoS用三次握手建立TCP連接SYN,SEQ=x主機(jī)BSYN,ACK,SEQ=y,ACK=x

1ACK,SEQ=x+1,ACK=y

1被動打開主動打開確認(rèn)確認(rèn)主機(jī)A連接請求SYNFlood攻擊SYN,SEQ=x主機(jī)BSYN,ACK,SEQ=y,ACK=x

1ACK,SEQ=x+1,ACK=y

1被動打開主動打開確認(rèn)確認(rèn)主機(jī)A連接請求WhatBshoulddo?RetransmittinguntilTimeout

.SYNFlood攻擊SYN,SEQ=x主機(jī)BSYN,ACK,SEQ=y,ACK=x

1被動打開主動打開確認(rèn)主機(jī)A連接請求SYN,ACK,SEQ=y,ACK=x

1SYN,ACK,SEQ=y,ACK=x

1Flood…TCP會話劫持原理：攻擊者重定向客戶和服務(wù)器之間的數(shù)據(jù)流，使之經(jīng)過攻擊者的機(jī)器，從而截獲他們之間的通信。過程：1、與服務(wù)器建立連接2、截獲客戶端的數(shù)據(jù)包實(shí)施IP欺騙3、用正常范圍的序列號偽造客戶端發(fā)包4、獲得服務(wù)器的應(yīng)答并發(fā)回ACK5、正?？蛻舳撕雎苑?wù)器的響應(yīng)TCP會話劫持原理：攻擊者重定向客戶和服務(wù)器之間的數(shù)據(jù)流，使之經(jīng)過攻擊者的機(jī)器，從而截獲他們之間的通信。過程：1、與服務(wù)器建立連接2、截獲客戶端的數(shù)據(jù)包實(shí)施IP欺騙3、用正常范圍的序列號偽造客戶端發(fā)包4、獲得服務(wù)器的應(yīng)答并發(fā)回ACK5、正?？蛻舳撕雎苑?wù)器的響應(yīng)猜測序列號收到確認(rèn)即可前移1002003004005006007008009001012013014015016017018011發(fā)送窗口可發(fā)送不可發(fā)送指針發(fā)送端要發(fā)送900字節(jié)長的數(shù)據(jù)，劃分為9個(gè)100字節(jié)長的報(bào)文段，而發(fā)送窗口確定為500字節(jié)。發(fā)送端只要收到了對方的確認(rèn)，發(fā)送窗口就可前移。發(fā)送TCP要維護(hù)一個(gè)指針。每發(fā)送一個(gè)報(bào)文段，指針就向前移動一個(gè)報(bào)文段的距離。收到確認(rèn)即可前移1002003004005006007008009001012013014015016017018011可發(fā)送不可發(fā)送指針1002003004005006007008009001012013014015016017018011發(fā)送窗口可發(fā)送不可發(fā)送指針發(fā)送窗口前移發(fā)送端已發(fā)送了400字節(jié)的數(shù)據(jù)，但只收到對前200字節(jié)數(shù)據(jù)的確認(rèn)，同時(shí)窗口大小不變?，F(xiàn)在發(fā)送端還可發(fā)送300字節(jié)。已發(fā)送并被確認(rèn)已發(fā)送但未被確認(rèn)TCPTransmissionPolicyWindowmanagementinTCP.TCP序列號S_SEQ：將要發(fā)送的下一個(gè)字節(jié)的序號

S_ACK：將要接收的下一個(gè)字節(jié)的序號

S_WIND：接收窗口

C_SEQ：將要發(fā)送的下一個(gè)字節(jié)的序號

C_ACK：將要接收的下一個(gè)字節(jié)的序號

C_WIND：接收窗口服務(wù)器（Server）客戶端（Client）C_ACK<=C_SEQ<=C_ACK+C_WIND

S_ACK<=S_SEQ<=S_ACK+S_WIND

正常關(guān)系：TCP會話劫持客戶端的正常包：服務(wù)器進(jìn)行響應(yīng)客戶端作出應(yīng)答攻擊者偽造包：服務(wù)器進(jìn)行響應(yīng)客戶端忽略應(yīng)答TCP會話劫持進(jìn)行會話劫持的工具：Juggernaut，可以進(jìn)行TCP會話劫持的網(wǎng)絡(luò)TTYWatcher，針對單一主機(jī)上的連接進(jìn)行會話劫持Dsniff，Hunt。。。網(wǎng)絡(luò)協(xié)議攻擊鏈路層攻擊：ARP欺騙：用錯(cuò)誤的IP-MAC映射刷新ARP緩存網(wǎng)絡(luò)層攻擊：Smurf攻擊：向一個(gè)有大量主機(jī)和因特連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個(gè)欺騙PING分組傳輸層攻擊：SYNflood攻擊、TCP會話劫持應(yīng)用層攻擊：DNS欺騙、WWW攻擊DNS攻擊DNS：域名系統(tǒng)(DomainNameSystem)域名解析：

與01之間的轉(zhuǎn)換DNS服務(wù)器：域名解析需要由專門的域名解析服務(wù)器來完成，DNS就是進(jìn)行域名解析的服務(wù)器。

Figure7-1.AportionoftheInternetdomainnamespace.●DNS大致工作過程1，應(yīng)用調(diào)用解析器(resolver)；2，解析器作為客戶，向NameServer發(fā)出查詢報(bào)文（封裝在UDP段中）；3，NameServer返回響應(yīng)報(bào)文(name/ip)。applicationresolver1:request