《通信網(wǎng)絡(luò)安全與防護(hù)》 課件 4-2 欺騙型攻擊

通信網(wǎng)絡(luò)安全與防護(hù)第四章網(wǎng)絡(luò)攻擊技術(shù)《通信網(wǎng)絡(luò)安全與防護(hù)》知識回顧網(wǎng)絡(luò)攻擊的基本流程？社會工程學(xué)攻擊利用型攻擊321口令破解緩沖區(qū)溢出知識回顧利用ICMP協(xié)議進(jìn)行掃描時,以下哪一項目標(biāo)主機(jī)信息是可以掃描的?A.漏洞；B.弱口令；C.操作系統(tǒng)版本；D.IP地址；以下哪些是社會工程學(xué)攻擊?A.網(wǎng)絡(luò)釣魚；B.偽造電子郵件；C.打電話請求密碼；D.破解口令；4.1黑客與網(wǎng)絡(luò)攻擊概述4.2欺騙型攻擊4.3利用型攻擊4.4拒絕服務(wù)攻擊4.5APT教學(xué)目標(biāo)(1)掌握木馬的工作原理與工作過程;(2)熟悉SQL注入攻擊的原理與防范方法;(3)掌握DoS攻擊的常用技術(shù)，掌握DDoS的組織過程；(4)了解高級可持續(xù)威脅的基本概念、攻擊過程?？诹钇平饩彌_區(qū)溢出攻擊木馬SQL注入主要內(nèi)容4.3利用型攻擊木馬，全稱為特洛伊木馬（Trojanhorse），源自希臘神話中的木馬屠城記。1.定義RFC1244:ATrojanHorseprogramcanbeaprogramthatdoessomethinguseful,ormerelysomethinginteresting.Italwaysdoessomethingunexpected,likestealpasswordsorcopyfileswithoutyourknowledge。特洛伊木馬是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。TrojanHorse隱藏在其它程序中的破壞安全（security-breaking）的程序，如隱藏在壓縮文件或游戲程序中。－《大英百科全書》三、特洛伊木馬4.3.3特洛伊木馬是兩個網(wǎng)絡(luò)進(jìn)程，一個運行在受害者主機(jī)上，稱為服務(wù)端；另一個運行在攻擊者主機(jī)上，稱為控制端。攻擊者通過控制端與受害者服務(wù)端進(jìn)行網(wǎng)絡(luò)通信，達(dá)到遠(yuǎn)程控制或其它目的。本質(zhì)隱蔽性非授權(quán)性功能特殊性特征2.木馬的本質(zhì)與特征攻擊者（1）配置木馬受害者（2）傳播木馬（4）建立連接（5）信息竊取或遠(yuǎn)程控制絕密（3）運行木馬4.3.3特洛伊木馬3.木馬工作流程木馬程序需要做到以下四點：★有一段程序執(zhí)行特殊功能；★具有某種策略使受害者接受這個程序；★該程序能夠長期運行，且程序的行為方式不會引起用戶的懷疑；★入侵者必須有某種手段回收由木馬發(fā)作而為他帶來的實際利益。－功能機(jī)制－傳播機(jī)制－啟動機(jī)制－連接機(jī)制4.3.3特洛伊木馬4.木馬工作原理木馬功能機(jī)制遠(yuǎn)程控制口令竊取文件發(fā)送特定功能工作已經(jīng)預(yù)置在程序中，不需要控制功能在交互式操作中實現(xiàn)通過Email、ftp、MSN、ICQ等發(fā)送:如試卷大盜:如“僵尸”Bots正向連接：冰河反向連接：灰鴿子4.木馬工作原理4.3.3特洛伊木馬4.木馬工作原理木馬傳播機(jī)制

木馬的主動攻擊傳播

網(wǎng)頁傳播

欺騙式傳播－下載、QQ、郵件附件等

病毒式傳播

文件捆綁式傳播等常見不常見[AutoRun]open=RavMon.exeshell\open=打開(&O)shell\open\Command=RavMon.exeshell\explore=資源管理器(&X)shell\explore\Command="RavMon.exe-e"4.3.3特洛伊木馬受害者WEB服務(wù)器攻擊者h(yuǎn)ttp請求瀏覽頁面木馬程序木馬的網(wǎng)頁傳播JavaScriptActiveXASPPHPXML網(wǎng)頁木馬控制遠(yuǎn)程系統(tǒng)4.木馬工作原理4.3.3特洛伊木馬木馬傳播機(jī)制攻擊者受害者WEB服務(wù)器下載運行用戶警惕性不高時相當(dāng)有效上傳木馬程序提供下載發(fā)送QQ附件或郵件附件偽裝成txt、bmp、html等文件的圖標(biāo)4.木馬工作原理4.3.3特洛伊木馬木馬傳播機(jī)制將木馬捆綁到一個安裝程序上，當(dāng)安裝程序運行的時候，木馬在用戶毫無覺察的情況下，在后臺啟動。ExeScope木馬的捆綁式傳播

將木馬捆綁到一個word文檔上，當(dāng)打開word文檔時執(zhí)行宏運行木馬。D:>copy/btest.doc+tro.exenew.doc4.木馬工作原理4.3.3特洛伊木馬木馬傳播機(jī)制攻擊者受害者木馬的主動攻擊傳播控制遠(yuǎn)程系統(tǒng)計劃任務(wù)注冊表獲得上傳文件權(quán)限上傳木馬程序木馬傳播機(jī)制4.木馬工作原理4.3.3特洛伊木馬開始菜單的啟動項。在Winstart.bat中啟動。在Autoexec.bat和Config.sys中加載運行。win.ini/system.ini：部分木馬采用，不太隱蔽。注冊表：隱蔽性強(qiáng)，多數(shù)木馬采用。注冊服務(wù)：隱蔽性強(qiáng)，多數(shù)木馬采用。修改文件關(guān)聯(lián)：只見于國產(chǎn)木馬。木馬啟動機(jī)制4.木馬工作原理4.3.3特洛伊木馬？？？？木馬種植者（牧馬人）如何回收木馬為他帶來的利益呢4.木馬工作原理4.3.3特洛伊木馬Web服務(wù)器Ftp服務(wù)器HostofFriend18YourHost8IE瀏覽器迅雷QQ網(wǎng)絡(luò)通信原理端口（Port）:

運輸層服務(wù)訪問點SAP，標(biāo)識應(yīng)用進(jìn)程Socket（套接字、插口）基本術(shù)語源IP地址:源端口＜＝＞目的IP地址:目的端口

監(jiān)聽端口：標(biāo)識守護(hù)進(jìn)程

連接端口：標(biāo)識用戶應(yīng)用進(jìn)程如何建立起連接呢？打電話10086，總會接通，為什么？提供服務(wù)的一方要有人始終處于被動監(jiān)聽狀態(tài)。網(wǎng)絡(luò)通信原理Web服務(wù)器Ftp服務(wù)器HostofFriend18YourHost880號端口www守護(hù)進(jìn)程21號端口ftp守護(hù)進(jìn)程網(wǎng)絡(luò)通信原理(1)正向連接－－傳統(tǒng)木馬

(2)反向連接－－反彈式木馬

(3)無連接－－特殊功能木馬，SpyWare木馬連接機(jī)制4.木馬工作原理4.3.3特洛伊木馬(1)正向連接攻擊者掃描整個或特定網(wǎng)絡(luò)；找到打開特定端口的主機(jī)；通過木馬控制端與木馬服務(wù)端建立連接，遠(yuǎn)程控制；木馬連接機(jī)制？？？木馬服務(wù)端程序打開一個特定監(jiān)聽端口，作為守護(hù)進(jìn)程等待連接。4.木馬工作原理4.3.3特洛伊木馬木馬連接機(jī)制攻擊者受害者連接請求拒絕連接http連接請求攻擊者受害者防火墻對自己主動向外的連接防范不嚴(yán)正向連接面對防火墻無能為力4.木馬工作原理4.3.3特洛伊木馬？？(2)反向連接木馬控制端程序打開一個特定監(jiān)聽端口，作為守護(hù)進(jìn)程等待受害者連接。

將控制端地址、端口信息寫入服務(wù)端；

通過在第三方網(wǎng)站上存儲一個配置文件實現(xiàn)；木馬連接機(jī)制4.木馬工作原理4.3.3特洛伊木馬(3)無連接？？？攻擊者從相應(yīng)位置將信息取回。木馬服務(wù)端程序?qū)⑺阉鞯降拿舾形募?、口令等發(fā)送到指定郵箱或上載到指定服務(wù)器。木馬連接機(jī)制4.木馬工作原理4.3.3特洛伊木馬SQL-StructuredQueryLanguage,結(jié)構(gòu)化查詢語言SQL注入即是指攻擊者通過在應(yīng)用程序中預(yù)先定義好的查詢語句結(jié)尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢。4.3利用型攻擊四、SQL注入攻擊dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用戶名或密碼不正確！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothing一個經(jīng)典的SQL注入漏洞4.3.4SQL注入攻擊分析在用戶名和密碼那里都填入‘OR‘’=’，SQL語句被構(gòu)造成

select*fromadminwhereadmin=‘’OR‘’=‘’andpassword=‘’OR‘’=‘’意思是當(dāng)admin為空或者空等于空，password為空或者空等于空的時候整個查詢語句就為真。4.3.4SQL注入攻擊如何修補(bǔ)漏洞？過濾掉其中的特殊字符。這里我們就過濾掉其中的“'”，即是把程序的頭兩行改為：admin1=replace(trim(request("admin")),“’”,"")password1=replace(trim(request("password")),“’”,"")4.3.4SQL注入攻擊防止SQL注入四種方法(1)在服務(wù)端正式處理之前對提交數(shù)據(jù)的合法性進(jìn)行檢查；(2)封裝客戶端提交信息；(3)替換或刪除敏感字符/字符串；(4)屏蔽出錯信息。4.3.4SQL注入攻擊拒絕服務(wù)攻擊DoS（DenialofService），凡是造成目標(biāo)計算機(jī)拒絕提供服務(wù)的攻擊都稱為DoS攻擊，其目的是使目標(biāo)計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。拒絕服務(wù)是一種簡單的破壞性攻擊，最本質(zhì)的特征是延長正常的應(yīng)用服務(wù)的等待時間。拒絕服務(wù)有時不需要目標(biāo)主機(jī)存在任何的漏洞就可以實施，因此是網(wǎng)絡(luò)攻擊中最難以抵御的攻擊方法。4.4DoS與DDoS一、Dos攻擊技術(shù)按照DoS攻擊工作機(jī)理，DoS攻擊分為四類：☆帶寬耗用☆資源衰竭☆漏洞利用☆路由和DNS攻擊4.4.1DoS攻擊技術(shù)死亡之Ping（PingofDeath）死亡之Ping利用Ping命令向目標(biāo)主機(jī)發(fā)送超過64K的ICMP報文實現(xiàn)DOS攻擊。可以直接造成安裝早期操作系統(tǒng)的主機(jī)藍(lán)屏死機(jī)。ping–L65538<destnationIPaddress>1.早期DoS攻擊手段4.4.1DoS攻擊技術(shù)SMB（SessionMessageBlock，會話消息塊協(xié)議）又叫做NetBIOS或LanManager協(xié)議，用于不同計算機(jī)之間文件、打印機(jī)、串口通訊的共享。SMB致命攻擊是利用SMB存在的漏洞一種DoS攻擊方法。SMB致命攻擊軟件的主界面被攻擊的計算機(jī)藍(lán)屏界面1.早期DoS攻擊手段4.4.1DoS攻擊技術(shù)在發(fā)送的IP分組包指定非法的片偏移值，會造成某些協(xié)議軟件出現(xiàn)緩沖區(qū)覆蓋，導(dǎo)致系統(tǒng)崩潰。淚滴攻擊（Teardrop）1.早期DoS攻擊手段4.4.1DoS攻擊技術(shù)偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的數(shù)據(jù)報數(shù)據(jù)報片1首部數(shù)據(jù)部分共3800字節(jié)首部1首部2首部3字節(jié)0數(shù)據(jù)報片2數(shù)據(jù)報片314002800字節(jié)0IP包的分片與組裝

Land攻擊Email炸彈DNS攻擊1.早期DoS攻擊手段4.4.1DoS攻擊技術(shù)

TCP建立連接時需要進(jìn)行三次握手，攻擊者向目標(biāo)主機(jī)發(fā)送大量的SYN請求，但惡意的不完成三次握手，從而使目標(biāo)主機(jī)緩沖區(qū)資源衰竭，達(dá)到拒絕服務(wù)攻擊的目的。2.SYNFlood4.4.1DoS攻擊技術(shù)TCP三次握手過程SynFlood惡意地不完成三次握手3.Smurf攻擊4.4.1DoS攻擊技術(shù)攻擊者攻擊目標(biāo)反射網(wǎng)絡(luò)互聯(lián)網(wǎng)上一些服務(wù)器默認(rèn)開放著一些有可能被惡意利用的UDP服務(wù)，因此攻擊者可以通過向目標(biāo)主機(jī)發(fā)送大量UDP報文達(dá)到拒絕服務(wù)攻擊的目的。4.UDPFlood4.4.1DoS攻擊技術(shù)隨著計算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了。針對服務(wù)器的性能提升，分布式的拒絕服務(wù)攻擊手段（DDoS）應(yīng)運而生。DDoS采取的仍然是DOS技術(shù)，只不過增加了攻擊主機(jī)。4.4.2DDoS攻擊技術(shù)4.4.2DDoS攻擊技術(shù)掃描程序不安全的計算機(jī)攻擊者攻擊者使用掃描工具探測掃描大量主機(jī)以尋找潛在入侵目標(biāo)。1Internet4.4.2DDoS攻擊技術(shù)攻擊者被控制的計算機(jī)(代理端)設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)，安裝后門程序。2Internet4.4.2DDoS攻擊技術(shù)攻擊者

選取滿足建立網(wǎng)絡(luò)所需要的主機(jī)，做為主控端，放置守護(hù)程序。3被控制計算機(jī)（代理端）主控端Internet4.4.2DDoS攻擊技術(shù)攻擊者

攻擊者發(fā)送控制命令給主控端，準(zhǔn)備啟動對目標(biāo)系統(tǒng)的攻擊4被控制計算機(jī)（代理端）目標(biāo)系統(tǒng)主控制端Internet4.4.2DDoS攻擊技術(shù)目標(biāo)系統(tǒng)攻擊者

主控端發(fā)送攻擊信號給代理端開始對目標(biāo)系統(tǒng)發(fā)起攻擊。5主控端Internet被控制計算機(jī)（代理端）4.4.2DDoS攻擊技術(shù)目標(biāo)系統(tǒng)攻擊者目標(biāo)系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合法用戶進(jìn)行響應(yīng)。6主控端UserRequestDeniedInternet被控制計算機(jī)（代理端）4.4.2DDoS攻擊技術(shù)2014年DDoS攻擊事件2014年3月17日，克里米亞公投網(wǎng)站當(dāng)天凌晨遭到黑客發(fā)起的DDoS攻擊。北約數(shù)家網(wǎng)站遭烏克蘭黑客DDoS攻擊。2014年12月20日-21日，阿里云遭遇了全球互聯(lián)網(wǎng)史上最大的一次DDoS攻擊。共持續(xù)了14個小時，攻擊峰值流量達(dá)到每秒453.8G。2014年6月19日，下午4點，facebook所有服務(wù)大規(guī)模當(dāng)機(jī)，疑似遭到大規(guī)模DDoS攻擊，直到25分鐘后，才恢復(fù)正常。2014年2月27日，群組社交網(wǎng)站Meetup因拒絕支付300萬美金遭到大規(guī)模DDoS攻擊，并導(dǎo)致網(wǎng)站停擺。4.4.2DDoS攻擊技術(shù)確保主機(jī)不被入侵且是安全的；周期性審核系統(tǒng)；檢查文件完整性；優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)；優(yōu)化對外開放訪問的主機(jī)；在網(wǎng)絡(luò)上建立一個過濾器或偵測器在攻擊信息到達(dá)網(wǎng)站服務(wù)器之前阻擋攻擊信息。DDoS攻擊的預(yù)防4.4.2DDoS攻擊技術(shù)高級持續(xù)性威脅(Advanced

Persistent

Threat，APT)，APT（高級持續(xù)性滲透攻擊）是一種以商業(yè)和政治為目的的網(wǎng)絡(luò)犯罪類別，通常使用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性的網(wǎng)絡(luò)攻擊。

具有長期策劃與經(jīng)營、高度隱蔽等特性。APT攻擊不會追求短期的收益或單純的破壞，而是以步步為營的滲透入侵策略，低調(diào)隱蔽的攻擊每一個特定目標(biāo)，不做其他多余的活動來打草驚蛇。一、什么是APT4.5APT攻擊技術(shù)上的高級

0DAY漏洞

0DAY特馬通道加密投入上的高級

全面信息的收集與獲取針對的目標(biāo)和工作分工多種手段的結(jié)合：社工+物理Advance了解對方使用軟件和環(huán)境有針對性的尋找只有攻擊者知道的漏洞繞過現(xiàn)有的保護(hù)體系實現(xiàn)利用新型特殊木馬繞過現(xiàn)有防護(hù)了解環(huán)境下使用專門的對抗關(guān)閉防護(hù)繞過防護(hù)合法逃逸模擬合法用戶行為協(xié)議與軟件端口配合用戶行為同步使用加密通道常見必開的協(xié)議如DNS合法加密的協(xié)議如HTTPS針對人的薄弱環(huán)節(jié)與信任體系攻擊人的終端，利用人的權(quán)限獲取常見人的信息流通道的深度檢測缺乏，如郵件、WEB訪問、IM等4.5.2APT分析

APT攻擊6個階段:情報搜集首次突破防線幕后操縱通訊橫向移動資產(chǎn)/資料發(fā)掘資料外傳APT攻擊階段劃分4.5.2APT分析黑客透過一些公開的數(shù)據(jù)源(如Facebook)搜尋和鎖定特定人員并加以研究，然后開發(fā)出定制化攻擊。這個階段是黑客信息收集階段，其可以通過搜索引擎，配合諸如爬網(wǎng)系統(tǒng)，在網(wǎng)上搜索需要的信息，并通過過濾方式篩選自己所需要的信息。信息的來源很多，包括社交網(wǎng)站，博客，公司網(wǎng)站，甚至通過一些渠道購買相關(guān)信息（如公司通訊錄等）情報收集4.5.2APT分析黑客在確定好攻擊目標(biāo)后，將會通過各種方式來試圖突破攻擊目標(biāo)的防線。常見的滲透突破的方法包括：首次突破防線4.5.2APT分析社會工程學(xué)：發(fā)送電子郵件或即時通訊附件，欺騙企業(yè)內(nèi)部員工下載或執(zhí)行包含零日漏洞的惡意軟件，軟件運行之后即建立了后門，等待黑客下一步操作；水坑攻擊：網(wǎng)站掛馬。黑客在感染或控制一定數(shù)量的計算機(jī)之后，為了保證程序能夠不被安全軟件檢測和查殺，會建立命令、控制及更新服務(wù)器（C&C服務(wù)器），對自身的惡意軟件進(jìn)行版本升級，以達(dá)到免殺效果；同時一旦時機(jī)成熟，還可以通過這些服務(wù)器，下達(dá)指令。幕后操縱通訊4.5.2APT分析采用http/https標(biāo)準(zhǔn)協(xié)議來建立溝通，突破防火墻等安全設(shè)備；定期對程序進(jìn)行檢查，確認(rèn)是否免殺，只有當(dāng)程序被安全軟件檢測到時，才會進(jìn)行版本更新，降低被IDS/IPS發(fā)現(xiàn)的概率。黑客入侵之后，會嘗試通過各種手段進(jìn)一步入侵企業(yè)內(nèi)部的其他計算機(jī)，同時盡量提高自己的權(quán)限。橫向移動4.5.2APT分析黑客入侵主要利用系統(tǒng)漏洞方式進(jìn)行；企業(yè)在部署漏洞防御補(bǔ)丁過程存在時差，甚至部分系統(tǒng)由于穩(wěn)定性考慮，無法部署相關(guān)漏洞補(bǔ)丁在入侵進(jìn)行到一定程度后，黑客就可以接觸到一些敏感信息，可通過C&C服務(wù)器下發(fā)資料發(fā)掘指令：資產(chǎn)/資料發(fā)掘4.5.2APT分析采用端口掃描方式獲取有價值的服務(wù)器或設(shè)備；通過列表命令，獲取計算機(jī)上的文檔列表或程序列表；一旦搜集到敏感信息，這些數(shù)據(jù)就會匯集到內(nèi)部的一個暫存服務(wù)器，然后整理、壓縮，通常并經(jīng)過加密后外傳。資料外傳4.5.2APT分析資料外傳采用標(biāo)準(zhǔn)協(xié)議(http/https，SMTP等）信息泄露后黑客再根據(jù)信息進(jìn)行分析識別，來判斷是否可以進(jìn)行交易或者破壞。對企業(yè)和國家造成較大影響。情報收集：伊朗核電站是一個物理隔離的網(wǎng)絡(luò)，攻擊者首先獲得了一些核電站工作人員和其家庭成員的信息，針對這些家庭成員的主機(jī)發(fā)起攻擊，成功控制這些家庭用的主機(jī)。首次突破防線：利用4個WINDOWS的0DAY漏洞，感染所有接