常见网络攻击手段.pptx

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,常用黑客攻击手段介绍,目录,口令攻击,拒绝服务攻击,IP,欺骗,利用简单邮件传输协议（,SMTP）,入侵,利用文件传输协议（,FTP）,进行的入侵,WWW,上的入侵,网络文件系统（,NFS）/,远程过程调用（,RPC）,病毒、木马,缓冲区溢出,信息收集型攻击,一,攻击口令的手段,方法一网络猜测法,黑客攻击目标是常常把破译普通用户的口令,作为攻击的开始。先用“,finger,远端主机名”,或其他方法找出主机上的用户帐号，然后就采用,字典穷举法进行攻击。,原理：,根据网络上的用户常采用的一些英语单词或自,己的姓氏作为口令的实际情况。通过一些程序，,自动地从计算机字典中取出一个单词，作为用户,口令输入给远端的主机，尝试进入系统。若口令错,误，就按序取出下一个单词，进行下一个尝试，并,且一直循环下去，直到找到正确的口令或直到找到,正确的口令或字典的单词试完为止。,利用一些端口，如,Ftp,Telnet,POP3,Rsh,Rlogin,Rexec,等，对已知远端主机的用户进行口令,尝试登录，获取口令或敏感文件。,方法二穷举法,首先夺取目标中存放口令的文件,shadow,或,passwd,现代的,Unix,操作系统中,用户的基本信息存放在,passwd,文件中,而所有的口令则经过,DES,加密方法加密后专门存放在一个叫,shadow(,影子,),的文件中,老版本的,Unix,没有,shadow,文件,它所有的口令都存放在,passwd,文件中,用专解,DES,加密法的程序来解口令,UNIX,口令的计算量,Unix,一共是,0 x000 xff,共,128,个字符,小于,0 x20,的都算是控制符,不能 输入为 口令,0 x7f,为转义符,不能输入,.,那么总共有,128-32-1=95,个字符可作为口令的字符,.,也就是,10(,数字,)+33(,标点符号,)+26*2(,大小写字母,)=95,如果,passwd,取任意,5,个字母,+1,位数字或符号,(,按顺序,),可能性是,:,52*52*52*52*52*43=16,348,773,000(163,亿种,UNIX,口令的计算量,但如果,5,个字母是一个常用词,设常用词,5000,条,从,5000,个常用词中取一个词与任意一个字符组合成口令,即,5000*(2*2*2*2*2)(,大小写,)*43=6,880,000,(688,万种可能性,),注：,1.,实际情况下绝大多数人都只用小写字符,可能性还要小,.,2.,这已经可以用微机进行穷举,UNIX,口令的计算量,在,Pentium 200,上每秒可算,3,4,万次,象这样简单的口令要不了,3,分钟,如果有人用,P200,算上一周,将可进行,200,亿次攻击,所以,6,位口令是很不可靠的,至少要用,7,位,.,hacker,并不需要所有人的口令,他们得到几个用户口令就能获取系统的控制权,所以取口令过于简单是对系统安全的不负责,.,导致服务拒绝,原理：,攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。往某远程主机发大量数据或占用远程主机资源，从而导致主机瘫痪、重启、死机或蓝屏。,UDP,炸弹,UDP,攻击的原理是使两个或两个以上的系统之间产生巨大的,UDP,数据包。首先使这两种,UDP,服务都产生输出，然后让这两种,UDP,服务（例如,chargen,服务,(UDP),和,echo,服务,(UDP),）之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生,UDP,数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪。,用户数据报（,UDP）,炸弹：,发送一个头信息错误的,UDP,包，可使某些计 算机重起，危害很大。,防御：,关掉不必要的,TCP/IP,服务，或者对防火墙进行配置，阻断来自,Internet,的针对这些服务的,UDP,请求。,*,Finger,炸弹：,Finger,允许把,Finger,重定向到远程节点，可用命令,Finger username hostAhostB,Finger,先通过主机,A，,再到主机,B，,可使入侵者覆盖,他们的痕迹，因为主机,A,将注意到,Finger,来自主机,B,而不是原来的设备。当入侵者输入如下命令时，,会使主机拒绝服务：,Finger username ,.hostA,重复的将导致,Finger,命令不断,Finger,到同一台主机，,直到内存和交换空间满，从而导致系统瘫痪或速度降,至极低。,*,Ping/ICMP,炸弹,连续的以延迟会话方式,Ping,一个主机，发过,量的,ICMP,包，可使主机重起或挂起。,1.,如：,UNIX,下，键入如下命令：,Ping-t 66510 IP,后果：,未打补丁的,Win95/98,的机器就会瘫痪,2.TFN2K,更会产生大量的进程，每个进程都不停地发送,PING,包，从而导致被攻击目标的无法正常工作。,*数据洪流（,Data flood）,大量数据轰击一个指定端口，使端口提供的服务无效。,*日志洪流（,Log flood）,日志容量有限，向端口,syslog,发大量的数据包可使主机瘫痪。,*,E_mail,炸弹,发送大量邮件，使邮箱占满，冲掉正常邮件，同时占用了大量的网络资源，导致网络阻塞。,*带外炸弹（,out of band crash）,向,Windows NT，Windows 95,的139端口送0字节 数据导致系统死机。,ICMP/SMURF,攻击,ICMP/SMURF,攻击利用的是网络广播的原理来发送大量的地址，而包的源地址就是要攻击的机器本身的地址。因而所有接收到此包的主机都将给发包的地址发送一个,ICMP,回复包。,现在,A,主机要发动对,B,主机的,SMURF,攻击。,A,通过向某个网络的广播地址发送,ICMP ECHO,包，这些,ICMP,包的源地址即被伪造为,B,主机的,IP,地址。当这个广播地址的网段上的所有活动主机接收到该,ICMP,包时，将回送,ICMP ECHO REPLAY,包。,由于,ICMP ECHO,包的源地址为,B,主机，所以如果能收到该广播包的机器有,500,台，则,B,主机会接收到,500,个,ICMP ECHO REPLY,包！,IP,堆栈攻击,基本原理是发送,TCP/UDP/ICMP,的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不规范数据包，便会使其,TCP/IP,堆栈出现崩溃，从而导致无法继续响应网络请求（即拒绝服务）。,DDoS,攻击原理剖析,分布式拒绝服务攻击,攻击者利用因特网上成百上千的,“,Zombie,”,(,僵尸,)-,即被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。,攻击者的身份很难确认。,正常访问,通过普通的网络连线，使用者传送信息要求服务器予以确定。服务器于是回复用户。用户被确定后，就可登入服务器。,“拒绝服务”（,DoS,）的攻击方式,“拒绝服务”的攻击方式为：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器处于瘫痪状态,Trin00/TFN,具体攻击过程,Master,Master,Master,Broadcast,Broadcast,Broadcast,Broadcast,Broadcast,Broadcast,攻击目标,攻击者,Master,Master,Master,Zombie,Zombie,Zombie,Zombie,Zombie,Zombie,Master,Master,Master,DDoS,攻击过程,扫描程序,非安全主机,黑客,黑客利用工具扫描,Internet，,发现存在漏洞的主机,1,Internet,黑客,Zombies,黑客在非安全主机上安装类似“后门”的代理程序,2,Internet,DDoS,攻击过程,黑客,黑客选择主控主机，用来向“僵尸”发送命令,3,Zombies,主控主机,Internet,DDoS,攻击过程,Hacker,通过客户端程序，黑客发送命令给主控端，并通过主控主机启动 “僵尸”程序对目标系统发动攻击,4,Zombies,Targeted,目标,System,Master,Server,Internet,DDoS,攻击过程,目标系统,System,Hacker,主控端向“僵尸”发送攻击信号，对目标发动攻击,5,Master,Server,Internet,Zombies,DDoS,攻击过程,目标,黑客,目标主机被“淹没”，无法提供正常服务，甚至系统崩溃,6,主控主机,合法用户,服务请求被拒绝,Internet,僵尸,DDoS,攻击过程,为什么,DDos,会有效？,雅虎网站曾被每秒,1000,兆的垃圾信息攻击。在如此大流量的攻击下，攻击的力度被提升了几千倍，远远超过了现有网络安全设计的负荷。也就是说在网络安全设计的过程中一定要考虑未来可能承受的攻击力度。,不过这种攻击并不是一般黑客所能做到的。据,MSNBC,报道，在对雅虎的攻击过程中，黑客在同一时间动用了,3500,台,Unix,机器和巨大的带宽资源。,预防分布式拒绝服务攻击的安全策略,消除,FUD,心态,可能会成为拒绝服务攻击目标的公司或主机只是极少数，而且多数是一些著名站点，如搜索引擎、门户站点、大型电子商务和证券公司、,IRC,服务器和新闻杂志等,要求与,ISP,协助和合作,分布式拒绝服务（,DDoS,）攻击主要是耗用带宽，单凭自己管理网络是无法对付这些攻击的。,与,ISP,协商，确保他们同意帮助实施正确的路由访问控制策略以保护带宽和内部网络。,最理想的情况是当发生攻击时，,ISP,愿意监视或允许你访问他们的路由器。,优化路由和网络结构,如果管理的不仅仅是一台主机，而是网络，就需要调整路由表以将拒绝服务攻击的影响减到最小。,为了防止,SYN flood,攻击，应设置,TCP,侦听功能。详细资料可以参阅相关路由器技术文档。,禁止网络不需要的,UDP,和,ICMP,包通过，尤其是不应该允许出站,ICMP“,不可到达”消息。,优化对外开放访问的主机,对所有可能成为目标的主机都进行优化。,禁止所有不必要的服务。,多,IP,主机也会增加攻击者的难度。,正在受到攻击时，必须立刻应用对应策略,尽可能迅速地阻止攻击数据包是非常重要的，同时如果发现这些数据包来自某些,ISP,时应尽快和他们取得联系。千万不要依赖数据包中的源地址，因为它们在,DoS,攻击中往往都是随机选择的。,是否能迅速准确地确定伪造来源将取决于你的响应动作是否迅速，因为路由器中的记录可能会在攻击中止后很快就被清除。,对于已被或可能被入侵和安装,DDoS,代理端程序的主机，应该采取措施,现在的拒绝服务攻击服务器都只被安装到,Linux,和,Solaris,系统中。,虽然可能会被移植到*,BSD*,或其它系统中，但只要这些系统的安全得到足够重视，系统被入侵的可能性不大。,确保主机不被入侵和是安全的,互联网上有许多旧的和新的漏洞攻击程序。系统管理员应检查漏洞数据库，如,或,或,，以确保服务器版本不受这些漏洞影响。,入侵者总是利用已存在的漏洞进入系统和安装攻击程序。,系统管理员应该经常检查服务器配置和安全问题，运行最新升级的软件版本，最重要的一点就是只运行必要的服务。,周期性审核系统,要对自己管理的系统负责。,应该充分了解系统和服务器软件是如何工作的，经常检查系统配置和安全策略。,要时刻留意安全站点公布的与自己管理的操作系统及软件有关的最新安全漏洞和问题。,检查文件完整性,当确定系统未曾被入侵时，应该尽快将所有二进制程序和其它重要的系统文件产生文件签名，并且周期性地与这些文件比较以确保不被非法修改。,另外，推荐将文件检验和保存到另一台主机或可移动介质中。,文件,/,目录完整性检查的免费工具（如,tripwire,等）可以在许多,FTP,站点上下载。也可以选择购买商业软件包。,发现正在实施攻击时，必须立刻关闭系统并进行调查,如果监测到（或被通知）网络或主机正实施攻击，应该立刻关闭系统，或者至少切断与网络的连接。,因为这些攻击同时也意味着入侵者已几乎完全控制了该主机，所以应该进行研究分析和重新安装系统。,三,IP,欺骗,原理：,伪造,TCP,序列号或源主机,IP,地址，使数据包看,起来来自于被信任的计算机而非正确的源计算,机，从而达到隐藏源主机地址的目的。,IP,欺骗,会危及象,Rsh、Rlogin,此类的服务。,（因为,Rsh,和,Rlogin,服务的认证是建立在,IP,地址,之上的）,IP,欺骗还可以被用于 穿透防火墙。,同步风暴攻击方法也用到,IP,欺骗,流程图：,（1）攻击主机,SYN（,伪造的自己的地址）,被攻击主机,（2）伪造的地址,SYN-ACK,被攻击主机,（3）被攻击主机等待伪造端的回答,四 利用简单邮件传输协议（,SMTP,）,入侵,SendMail,的主要功能是转发邮件。它解释SMTP,协议，作为客户和服务器的应用软件。SendMail在系统,启动时作为一个守护进程启动，作为SMTP的服务器监听,SMTP端口，等待邮件的到来。,目前，决大多数,UNIX,系统下的邮件服务器都采用,SendMail。,Windows NT 系统下,邮件服务器,有一部分采用SendMail，,也有一部分采用 Microsoft 的 Exchange Server等其他软件。,入侵者可以利用,SendMail 的漏洞入侵系统。,SendMail,的漏洞：,过期（,Outdated）：,旧版本的,SendMail存在不同,程度的漏洞。,VRFY：,列出用户名及用户邮箱。,EXPN：,提供用户全名信息。,后门：入侵者可通过后门程序访问到主机。,它是程序员、设计者为了调试方便而留,的漏洞，但是却没有清除。,五 利用文件传输协议（,FTP）,进行的入侵,利用的漏洞：,匿名,FTP：,任何人都可访问到主机,FTP,可写：,FTP,下的目录可写，有潜在的隐患,FTP CD root login：,回上一级目录可访问到根权限,Site Exec（,老版本的,FTP）：,允许任何远程或本地用户获得根访问,六,WWW,上的入侵,入侵者可利用,Web,服务器上存在的一些弱点和漏洞，,篡改主页，窃取保密信息。有4种重叠的风险类型：,（1）存放于,Web,服务器文件系统上的私人或保密的文件,被非法用户窃取,（2）由远程用户发送给,Web,服务器的私人或保密信息,（如信用卡密码）被截获。,（3）有关,Web,服务器主机的详细信息泄露出去，使入侵者,分析、找出漏洞并闯入系统。,（4）服务器存在允许外来者在服务器主机上执行命令的漏,洞，使他们得以改动或破坏系统。,（,CGI Script：,脚本语言，实现,HTML,主页与其它,Web,服务器上程序的接口函数）,CGI Script,是,WWW,安全漏洞的,主要来源,，漏洞在于两个,方面：,（1）无意间泄露主机系统的信息，帮助黑客侵入。,（2）处理远程用户输入的，如表格的内容或,“,搜索索引,”,命,令的,Script，,可能容易被远程用户攻击而执行命令。,典型的,IIS,漏洞,RDS,HTR,畸形,header,PWS,文件访问,CGI,圈套,PHP3,元字符,PHPmlog.html,读文件,七 网络文件系统（,NFS）/,远程过程调用（,RPC）,NFS,服务器通过对外输出（,export）,一个目录，提供,共享资源。,NFS,鉴别一个写文件的请求时是鉴别发出这个请求的,机器，而不是用户，因而，在基于,NFS,的文件系统中运行,SU,命令而成为某个文件的拥有者并不是一件困难的事情。,入侵者可利用的漏洞：,目录可被任何人安装,主机可写,主机可通过,CD,.,访问到上级目录等,远程过程调用（,RPC）：,客户把自己的程序在远程服务器上运行，此时需,启动一些进程。一些,RPC,进程为入侵者提供了诸如系,统信息，口令文件，用户名等信息，有些进程会导致,安全漏洞。,存在安全隐患的,RPC服务进程：,RPC Statd,BootParameter,Netstat,Admin,Rexd,八 病毒,病毒是一个程序，有时是有破坏性的，可自我复制，,能以替换、插入等形式附着在操作系统或可执行文件上，,这些行为在用户毫无觉察之中进行。他还可通过网络传,播，发作时有危害。,蠕虫,特洛伊木马（如,NetBus,）,BO（Back Orifice）,CIH,W97M/Thus(,感染 word 文件),九 缓冲区溢出（,buffer flow,）,原理：,缓冲区溢出指的是一种系统攻击手段，通过往程序的,缓冲区写入超出其长度的内容，造成缓冲区的溢出，,从而破坏程序的堆栈，使程序转而执行其他命令，以,达到攻击的目的。据统计，通过缓冲区溢出进行的攻,击占所有系统攻击总数的80%以上。,.缓冲区溢出例子：,Void sub(char*str),char buf,1,6;,strcpy(buf,str),Void main(),char large_ str 256,int i;,for(i=0;i255;i+),large_ str i=,A,;,sub(large_ str),堆栈结,构：,1,6 4 4 4,buf ebp ret large_ str,十、信息收集型攻击,信息收集型攻击,并,不,对目标,本,身,造,成危,害，,顾,名,思,义，,这,类攻击,被,用来为进一,步,入侵提供,有,用的信息，主要包括：,.,扫描技术,.体系结构刺探,.利用信息服务,黑客常用攻击工具,口令攻击工具,John The Ripper 1.4,这个软件由著名的黑客组织,-UCF,出的,它支持,Unix,Dos,Windows,速度超快,可以说是目前同类中最杰出的作品,.,对于老式的,passwd(,就是没,shadow,任何人都可以把,passwd,密文存下,),John,可以直接读取并用字典穷举击破,.,对于现代的,passwd+shadow,的方式,John,提供了,UNSHADOW,程序直接把两者合成出老式,passwd,文件,.,影子扫描器,Shadow Security Scaner,Shadow Security Scaner,是一个功能非常强大的黑客工具。,由俄罗斯著名程序员,Redshadow,和,Melcosoft,合作编写。,包括端口探测、端口,banner,探测、,CGI/ASP,弱点探测、,Unicode/Decode/.printer,探测、*,nix,弱点探测、,(pop3/ftp),密码破解、拒绝服务探测、操作系统探测、,NT,共享,/,用户探测,而且对于探测出的漏洞，有详细的说明和攻击方法。,Nmap,指纹技术,Nmap,是在免费软件基金会的,GNU General Public License(GPL),下发布的，可从,www.inSecure.org/nmap,站点上免费下载。,隐蔽扫描：,nmap,-sS,-O,192.168.*.*TCP,扫描：,nmap,-sT,-O,192.168.7.12 UDP,扫描：,nmap,-sU,-O,192.168.7.12,DDos,的常用工具,1,、,Trinoo,Trinoo,的攻击方法是向被攻击目标主机的随机端口发出全零的,4,字节,UDP,包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对,IP,地址不做假，采用的通讯端口是：,攻击者主机到主控端主机：,27665/TCP,主控端主机到代理端主机：,27444/UDP,代理端主机到主服务器主机：,31335/UDP,2.TFN,TFN,由主控端程序和代理端程序两部分组成,它主要采取的攻击方法为：,SYN,风暴、,Ping,风暴、,UDP,炸弹和,SMURF,，具有伪造数据包的能力。,3.TFN2K,TFN2K,是由,TFN,发展而来的，在,TFN,所具有的特性上，,TFN2K,又新增一些特性。,它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而,TFN,对,ICMP,的通讯没有加密。攻击方法增加了,Mix,和,Targa3,。并且,TFN2K,可配置的代理端进程端口。,4.Stacheldraht,Stacheldraht,也是从,TFN,派生出来的，因此它具有,TFN,的特性。,它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的,RFC2267,过滤。,Stacheldrah,中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。,安全站点,计算机紧急响应小组：,WWW.CERT.ORG,网络安全系统：,WWW.ISS.NET,事件反应和安全性小组：,WWW.FIRST.ORG/TEAM_INFO/FIRST,WWW.SECURITYFOCUS.COM,