网络信息安全-第3章 网络信息安全威胁.ppt

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,北京邮电大学信息安全中心,*,单击此处编辑母版标题样式,北京邮电大学,朱洪亮,网络信息安全威胁,北京邮电大学信息安全中心,本节主要内容,网络安全威胁分类,1,网络信息收集技术,2,拒绝服务攻击,3,有害程序,-,病毒,4,北京邮电大学信息安全中心,本节主要内容,有害程序,-,蠕虫,5,有害程序,-,木马,6,网络系统缺陷,7,网络欺骗,8,北京邮电大学信息安全中心,安全威胁分类,威胁对象,威胁动机,威胁起因,网络拓扑安全,信息收集型,网络信息收集,网络协议安全,消息伪造攻击,拒绝服务攻击,网络软件安全,拒绝服务攻击,有害程序,网络设备安全,利用型攻击,网络系统缺陷,网络欺骗,北京邮电大学信息安全中心,安全威胁分类,-,威胁对象,网络协议安全,：,协议设计缺陷、实现缺陷；脆弱的认证机制、易受欺骗等,对象,网络拓扑安全,：,1,、总线型：故障诊断、隔离困难，终端智能,2,、星形：电缆长度安装、扩展困难，中间节点依赖性大,3,、环形：节点引起全网故障；诊断困难、访问协议考虑,4,、树形：对根节点依赖性大,网络软件安全,：,操作系统漏洞、数据库安全、网络应用缺陷等,网络设备安全,：,Hub,、网桥、交换机、路由器等安全隐患,北京邮电大学信息安全中心,安全威胁分类,-,威胁动机,消息伪造攻击,：,DNS,高速缓存污染、电子邮件伪造等,动机,信息收集型,：,包括扫描技术、体系结构刺探、利用信息服务等,拒绝服务攻击,：,耗尽攻击对象的资源、网络带宽等，使系统不可用,利用型攻击,：,控制机器的攻击，如口令猜测、木马、缓冲区溢出等,北京邮电大学信息安全中心,安全威胁分类,-,威胁起因,网络信息收集,：,包括扫描技术、体系结构刺探、利用信息服务等,有害程序,：,对计算机有负面影响的可执行程序，包括病毒、蠕虫、木马、流氓软件等,网络欺骗,：,缺乏安全认证导致网络通信协议缺陷和欺骗,起因,拒绝服务攻击,：,耗尽攻击对象的资源、网络带宽等，使系统不可用,网络系统缺陷,：,网络各组件系统在设计和实现中的缺陷,本章节以威胁起因为主线讲解,北京邮电大学信息安全中心,网络攻击流程,网络攻击的一般步骤,攻击过程可以归纳为：,信息收集、实施攻击、隐藏攻击行为、创建后门和消除攻击痕迹,五个步骤,1,、信息收集,通过各种方式获取所需要的信息，比如目标系统使用的操作系统、管理员账号等,信息收集属于攻击前的准备阶段,也称之为踩点。,确定攻击目的和收集攻击目标信息,目标信息类型：系统一般信息、系统管理和配置信息、系统口令的安全性、提供的服务,收集方式：使用扫描攻击进行大规模扫描、利用第三方资源进行信息收集、使用查询手段进行信息收集。,北京邮电大学信息安全中心,网络攻击流程,2,、实施攻击,获取系统权限，进行破坏性或其它攻击,3,、隐藏攻击行为,获取系统权限，进行破坏性或其它攻击,攻击者在获得系统最高管理员权限之后，可以随意修改系统上的文件。然而一旦入侵系统，就必然会留下痕迹；所以在入侵系统之后，攻击者大多都会采取隐藏技术来消隐自己的攻击行为。,（,1,）隐藏连接：删除或修改日志文件,（,2,）隐藏进程：系统程序替换,（,3,）隐蔽文件：利用字符的相似性麻痹系统管理员，或采用其他手段隐瞒攻击时产生的信息。,北京邮电大学信息安全中心,网络攻击流程,4,、创建后门,一次成功的入侵往往要耗费攻击者的大量时间与精力，为了长期保持对已攻系统的访问权，在退出之前攻击者常在系统中创建一些后门，以便下次入侵。木马就是创建后门的一个典型范例。,创建后门的常见方法：放宽文件许可权、重新开放不安全的服务、修改系统配置、替换系统共享库文件、修改系统源代码、安装嗅探器、建立隐蔽信道。,5,、清除攻击痕迹,攻击者为了隐蔽自身，一般在入侵后要做善后工作，避免系统管理员发现其攻击行为。,方法：修改日志文件中的审计信息、改变系统事件造成日志文件数据文件紊乱、删除或停止审计服务进程、干扰入侵检测系统正常工作、修改完整性标签。,北京邮电大学信息安全中心,网络攻击流程,网络攻击的一般流程,北京邮电大学信息安全中心,网络信息收集,网络安全扫描,北京邮电大学信息安全中心,网络信息收集,网络安全扫描的基本原理,通过向远程或本地主机发送探测数据包，获取主机的响应，并根据反馈的数据包，进行解包、分析，从而发现网络或主机的配置信息、,TCP/UDP,端口的分配、提供的网络服务、服务器的具体信息等。,Ping,扫描,ping,扫描是判断主机是否“活动”的有效方式，目的就是确认目标主机的,IP,地址，即扫描的,IP,地址是否分配给了主机。,端口扫描,向目标主机的,TCP/UDP,服务端口发送探测数据包，并记录目标主机的响应，通过响应分析判断服务端口处于打开,/,关闭状态，以获取端口提供的服务。分为,TCP,扫描和,UDP,扫描。,北京邮电大学信息安全中心,网络信息收集,TCP,扫描,TCP,全链接扫描：也称为,TCP connect,扫描，实现原理：扫描主机通过,TCP/IP,协议的三次握手机制与目标主机的制定端口建立一次完整性的,TCP,连接，这样目的主机的,log,文件中会产生记录，连接由系统调用,connect,开始，如果目标端口开放，则会响应扫描主机,SYN/ACK,连接请求并建立连接，如目标端口关闭，则目标主机会向扫描主机发送,RST,响应。优点：用户不需要任何权限。,TCP,半连接扫描：半连接扫描是指扫描主机和目标主机的制定端口建立连接时只完成前两次握手，在第三次握手时扫描主机中断本次连接，使得连接不能建立。如,TCP SYN,扫描。,TCP,隐蔽性扫描：能够绕过,IDS,、防火墙和监视系统等安全机制取得目标端口信息的扫描技术。例如,TCP FIN,扫描，,FIN,包一般能通过防火墙，一般关闭的端口会回应,RST,。有些系统无论是否关闭都回应,RST,就不适用。,北京邮电大学信息安全中心,网络信息收集,UDP,扫描,为了发现正在使用的,UDP,端口，通常构造一个内容为空的,UDP,数据包发送到目的端口，如果目的端口上游服务正在等待，则目的端口返回错误信息，如果目的端口关闭，则返回,ICMP,端口不可到达信息。,操作系统辨识,辨识操作系统,(OS),是非常必要的，因为许多安全漏洞与操作系统有关。,可分为主动栈指纹识别技术和被动栈指纹识别技术,基本原理是：寻找不同操作系统在处理网络数据包上的差异,主动栈指纹技术有：对开放端口发,FIN,包的回应不同；,TCP,连接初始序列号的变化规律；,TCP,初始窗口，有些系统使用固定窗口；利用,ICMP,协议的错误消息的限制；,TCP,连接数限制，一些系统只能处理,8,个包等。,被动栈指纹技术：与主动类似，区别是只被动监测网络数据,北京邮电大学信息安全中心,网络信息收集,漏洞扫描,漏洞扫描绝大多数都是针对特定操作系统所提供的特定网络服务，也就是针对操作系统中某一个特定端口的。,两类基本的方法：漏洞特征库匹配和模拟攻击方法,漏洞特征库匹配,：在端口扫描后得知目标主机开启端口和端口上提供的服务，将这些信息与网络漏洞扫描系统提供的漏洞信息库进行匹配，查看是否有漏洞存在。如,FTP,漏洞扫描、,HTTP,漏洞扫描、,CGI,漏洞扫描等,模拟攻击方法,：通过模拟黑客的攻击方法，对目标主机系统进行攻击性漏洞扫描，如果模拟成功，则表示系统存在漏洞，主要是攻击者经验的直接体现，如,Unicode,遍历目录漏洞探测、,FTP,弱势密码探测等。,北京邮电大学信息安全中心,网络信息收集,常见扫描工具,漏洞扫描及分析工具：,Nessus,网络漏洞扫描工具：,SuperScan,网络主机扫描工具：,Nmap,系统用户扫描工具：,GetNTUser,漏洞扫描工具：,X-Scan,北京邮电大学信息安全中心,拒绝服务攻击（,DoS,）,拒绝服务攻击原理,拒绝服务即,Denial of Service,（,DoS,）。它是指攻击者利用系统的缺陷，通过一些恶意的操作使得合法的系统用户不能及时得到应得的服务或系统资源，如,CPU,处理时间、存储器、网络带宽等。,DoS,攻击分类,DoS,攻击可分为三类：简单拒绝服务攻击、反射式拒绝服务攻击和分布式拒绝服务攻击（,DDoS,）。,DoS,攻击特点,难确认性：难以辨别受到攻击还是系统故障；隐蔽性；资源有限性；软件复杂性：可以利用软件缺陷进行,DoS,攻击。,北京邮电大学信息安全中心,拒绝服务攻击（,DoS,）,简单拒绝服务攻击,Ping,flooding,某一时刻，多台主机对目标主机使用,ping,程序，耗尽目标主机的网络带宽和处理能力,如果一网站一秒钟收到数万个,ICMP,回应请求报文，就可能因过度繁忙而无法提供正常服务。,SYN,flooding,攻击主机向特定,TCP,端口发送大量,SYN,包,服务器每个,TCP,端口支持的半连接数目是有限的，一旦超过限制，服务器会拒绝后续连接请求。,伪造的源,IP,需可路由但不可达,北京邮电大学信息安全中心,拒绝服务攻击（,DoS,）,UDP,flooding,UNIX,系统通常开发一些测试端口，如,echo,（,UDP,端口,7,）、,chargen,端口（,UDP,端口,19,），,echo,服务会把客户端送去的每个字符回送给客户端，遇到回车符整行回送；,chargen,服务会在收到每个数据包时随机反馈一些字符。,如果目标主机打开了,echo,和,chargen,端口。攻击者可以构造源,IP,和目的,IP,都是目标主机,IP,的,UDP,数据包，源端口为,chargen,端口，目的端口为,echo,端口。,这样它们间的数据包越来越多，最终淹没目标主机。,电子邮件炸弹,用伪造的,IP,地址或电子邮件地址向同一信箱发送数以千计的垃圾邮件，导致受害人邮箱或电子邮件服务器瘫痪。,北京邮电大学信息安全中心,拒绝服务攻击（,DoS,）,泪滴攻击,(Tear Drop),IP,数据包在网络中传输时，由于沿途各个链路的最大传输单元不同，路由器常常会对,IP,数据包进行分组，使得,IP,分段足够小，以能够通过沿途狭窄的链路。,IP,包重组依赖于偏移量字段。在,IP,包被分解成不同的,IP,分段在网络传输时，通过加入过多或不必要的偏移量字段，使主机系统重组错乱，就可产生泪滴攻击。,如数据包中第二片,IP,包的偏移量小于第一片结束的位移，而且算上第二片,IP,包的,Data,，也未超过第一片的尾部，这就是重叠现象,这种对,Windows,系统可能导致蓝屏死机。,WindowsNT/95,在接收到,1050,个,teardrop,分片时会崩溃。,北京邮电大学信息安全中心,拒绝服务攻击（,DoS,）,反射式拒绝服务攻击,Smurf,攻击,攻击者伪造源地址为受害者主机的地址、目标地址是反弹网络的广播地址的,ICMP,回应请求数据包。,反弹网络的所有主机返回的,ICMP,回应应答数据包将淹没受害主机。,Land,攻击,向目标主机发送特别伪造的,SYN,数据包，源,IP,地址和目标,IP,地址都设置为目标主机的,IP,地址,导致目标主机向自身发送,SYN-ACK,消息，自身又发回,ACK,消息，创建一个空连接，每个这样的连接都将保留到超时。,不同系统对,Land,攻击反应不同，许多,Unix,系统将崩溃，,WinNT,系统会变得极其缓慢。,北京邮电大学信息安全中心,拒绝服务攻击（,DoS,）,分布式拒绝服务攻击,（,DDoS,）,基本原理,DDoS,指借助于客户机,/,服务器作用模式，将多个计算机联合起来作为攻击平台，对一个或多个目标从远程遥控进行,DoS,攻击。成倍提升,DoS,攻击威力。,北京邮电大学信息安全中心,拒绝服务攻击（,DoS,）,DDoS,攻击层次,攻击者,攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，也可以是一个便携机。攻击者操纵整个攻击过程，向主控端发送攻击命令。,主控端,主控端是指攻击者非法侵入并控制的一些主机，这些主机还可以控制大量的代理主机。主控端主机上安装了特定的程序，它们可以接受攻击者发送的指令，并且可以把这些指令发送到代理主机上。,代理端,代理端也是攻击者侵入并控制的一些主机，它们运行攻击程序，接收、运行主控端发来的指令。代理端主机是攻击的执行者，由它向攻击目标主机实际发起攻击,北京邮电大学信息安全中心,拒绝服务攻击（,DoS,）,DDoS,攻击过程,1,、获取主机权限,首先寻找互联网上有漏洞的主机，通过一些典型而有效的远程溢出攻击程序获得系统控制权；然后在主机上安装并运行后门程序。,2,、安装主控端和代理端,在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分充当攻击的代理端。攻击者通过主控端和代理端发布实施命令。,受控制和感染的主机称为“僵尸网络”,3,、实施,DoS,攻击,在攻击者的调遣下对攻击目标发起攻击,攻击者在幕后控制操作，所以攻击时不会受到监控系统的跟踪。,北京邮电大学信息安全中心,拒绝服务攻击（,DoS,）,常见的,DDoS,攻击,Trinoo,攻击,基于,UDP flooding,，是典型的拒绝服务攻击，运行环境为,UNIX,或,NT,系统，通过向攻击目标主机的随机端口发送全,0,的,4,字节,UDP,数据包。致使目标主机大量消耗带宽，直到不能提供正常服务或崩溃。,TFN,与,TFN2K,攻击,由德国黑客,Mixter,于,1999,年,8,月末编写，运行于,Linux,平台下的,DDoS,攻击程序。,一个完整的,TFN,包括控制端程序和发起攻击端程序，控制端程序名称为,TFN,，发起,DDoS,攻击的程序名称为,TF,，此程序分布在多台计算机上。可实施,ICMPflood,、,SYNflood,、,UDPflood,和,Smurf,等多种拒绝服务的分布式拒绝服务攻击。,TFN2K,是,TFN,的升级版本,北京邮电大学信息安全中心,有害程序,-,病毒,计算机病毒定义,生物学概念,病毒指侵入动植物体等有机生命体中的具有感染性、潜伏性、破坏性的微生物，不同的病毒具有不同的诱发因素。,中华人民共和国计算机安全保护条例,定义,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码,广义的定义,计算机病毒是一种人为制造、能自我复制的、具有对计算机资源破坏作用的一组程序或指令集合（摘自,计算机病毒与反病毒技术,）,能够引起计算机故障，破坏计算机数据的程序统称计算机病毒。目前流行的蠕虫，木马都有广义特征，属广义病毒。,寄生,传染,北京邮电大学信息安全中心,有害程序,-,病毒,计算机病毒特征,可执行性,即程序性，计算机病毒是一段代码（可执行程序），该特征决定了计算机病毒的可防治性、可清除性。,传染性,即病毒具有把自身复制到其他程序的能力,隐蔽性,计算机病毒具有隐蔽能力，其传染过程也具有隐蔽能力。,潜伏性,计算机病毒往往感染系统后首先进入潜伏期，等待触发时机。,可触发性,在触发条件满足时会自动从潜伏期进入活动阶段，如“黑色星期五”会在某月,13,日的星期五发作,北京邮电大学信息安全中心,有害程序,-,病毒,破坏性,计算机病毒大都具有破坏性，如：占用系统资源（内存、硬盘、,CPU,），破坏数据等。如,CIH,不仅破坏硬盘引导区和分区表，还破坏,flashBIOS,芯片中的系统程序，导致主板损坏，是发现的首例直接破坏计算机系统硬件的病毒。,寄生性,计算机病毒嵌入到宿主程序中，依赖于宿主程序而生存,衍生性,计算机病毒可以衍生出与原版本不同的变种。,诱骗性,有些病毒通过一些特殊的方式，诱骗用户触发、激活病毒。如,VBS.LoveLetter,（别名,I LOVE YOU,，我爱你，爱虫，情书）病毒是一个用,VBS,编写的蠕虫病毒，该病毒通过电子邮件及,IRC,传播，通过诱惑用户点击进行激活。,北京邮电大学信息安全中心,有害程序,-,病毒,计算机病毒分类,按计算机病毒攻击的机型分类,攻击微型机的病毒,攻击小型计算机的病毒,攻击工作站的病毒,攻击中、大型计算机的病毒,按传输媒介分类,单机病毒：通常以磁盘、,U,盘、光盘等存储设备为载体,网络病毒：通过网络协议或电子邮件进行传播，如：,QQ,、,FTP,、,Web,等,北京邮电大学信息安全中心,有害程序,-,病毒,计算机病毒分类,按计算机病毒攻击的操作系统分类,攻击,DOS,系统的病毒；,1995,年后发展缓慢,攻击,Windows,系统的病毒；,1995,年后成为病毒主要攻击对象,攻击,UNIX,或,OS/2,系统的病毒；,UNIX,与,LINUX,应用广泛，也是病毒攻击主要对象,攻击,Macintosh,系统的病毒,其他操作系统，如嵌入式操作系统（主要是智能手机及,PDA,使用的操作系统）,2001,年,4,月，出现了首例,Windows,和,Linux,下都能传播的,Win32.Winux,病毒，主要感染,Windows PE,和,Linux ELF,文件,北京邮电大学信息安全中心,有害程序,-,病毒,计算机病毒分类,按计算机病毒的链接方式分类,源码型病毒：攻击用高级语言编写的程序，在编译前将病毒代码插入源程序中；,入侵型病毒：病毒将自身嵌入到已有程序中，把计算机病毒的主体程序与其他攻击对象以插入方式链接，并代替其中部分不常用的功能模块或堆栈区,外壳型病毒：通过附着在宿主程序的首部或尾部，相当于给宿主程序加了个“外壳”,译码型病毒：隐藏在如,Office,、,HTML,等文档中，如常见的宏病毒、脚本病毒等；,操作系统型病毒：加入或取代部分操作系统功能进行工作，具有很强的破坏性。,北京邮电大学信息安全中心,有害程序,-,病毒,计算机病毒分类,按病毒的表现（破坏）情况分类,良性病毒：不包含对计算机系统产生直接破坏作用的代码，主要是表现其存在，只是不停的传播并占用资源；包括无危害性病毒和无危险型病毒,恶性病毒：代码中包括损伤和破坏计算机系统的操作、传染或发作时对系统产生直接破坏作用,按病毒寄生方式分类,引导型病毒：病毒程序占据操作系统引导区；如小球病毒,文件型病毒：主要感染一些可执行文件，如,.COM,、,.EXE,，是主流的病毒，如目录病毒、宏病毒。,混合型病毒：集引导性和文件型病毒特征于一体,北京邮电大学信息安全中心,有害程序,-,病毒,计算机病毒的常见症状,键盘、打印、显示有异常现象,运行速度突然减慢,计算机系统出现异常死机或死机频繁,文件长度内容、属性、日期无故改变,丢失文件、丢失数据,系统引导过程变慢,存储容量异常减少或有不明常驻程序,系统不认识磁盘或硬盘不能开机,整个目录编程一堆乱码,计算机系统蜂鸣器出现异常声响,没做写操作时出现“磁盘写保护”信息,程序运行出现异常现象或不合理的结果,北京邮电大学信息安全中心,有害程序,-,病毒,计算机病毒的生命周期,1,、开发期,：即病毒的编写调试期,2,、传染期,：即病毒的发布期，通过各种途径传播病毒,3,、潜伏期,：病毒休眠或隐藏,4,、发作期,：即表现期，即病毒的表现形式或破坏能力,5,、发现期,：病毒被检测、发现、隔离并被通报研究,6,、消化期,：反病毒技术人员修改软件来检测和消除病毒,7,、消亡期,：由于用户的防护，病毒难以生存和传播,北京邮电大学信息安全中心,有害程序,-,病毒,计算机病毒的结构,从目前已出现的病毒来看，病毒都具有相同的逻辑程序结构，一般包含三大模块：引导模块、感染模块和表现（破坏）模块。,北京邮电大学信息安全中心,有害程序,-,蠕虫,网络蠕虫的定义,Spaford,定义,蠕虫可以独立运行，并且自动复制自身并传播到另一台主机。,Kienzle,和,Elde,定义,网络蠕虫是通过网络传播，无需用户干预能够独立地或者依赖文件共享主动攻击的恶意代码。强调了破坏性、网络传播、主动攻击和独立性等,4,个方面。,扩展定义,网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过网络从一个节点传播到另一个节点。,北京邮电大学信息安全中心,有害程序,-,蠕虫,蠕虫与病毒的联系和区别,蠕虫和病毒都具有传染性和复制功能，两者区别如表。,北京邮电大学信息安全中心,有害程序,-,蠕虫,网络蠕虫的行为特征,主动攻击,本质上，网络蠕虫是黑客入侵的自动化工具，当蠕虫被释放后，先搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个过程都是由蠕虫自身主动完成的，这是蠕虫和病毒的最大区别。,行踪隐藏,蠕虫不像计算机病毒那样，不需要计算机使用者的辅助工作（如执行文件，打开文件，浏览网页等），在传播过程中计算机使用者基本察觉不到。,利用漏洞,计算机系统存在漏洞是蠕虫传播的前提，利用这些漏洞，蠕虫获得计算机系统的一定权限，继而完成后续的复制和传播过程。,北京邮电大学信息安全中心,有害程序,-,蠕虫,网络蠕虫的行为特征,造成网络拥塞,蠕虫传播的第一步是大面积搜索网络上的主机，找到有漏洞的目标主机。搜索探测动作 包括判断主机是否存在、特定服务是否存在，漏洞是否存在，这些动作不可避免会增加网络流量。后续蠕虫在不同主机间传递或发出攻击都不可避免的产生大量网络流量，导致整个网络瘫痪。,产生安全隐患,大部分蠕虫有搜索、扩散、窃取系统敏感信息等功能，并在系统中留下后门，这些会造成未来的系统安全隐患。,北京邮电大学信息安全中心,有害程序,-,蠕虫,网络蠕虫的工作流程,网络蠕虫的工作流程可分为,扫描、攻击、现场处理、复制,四部分流程,当扫描到有漏洞的计算机系统后，进行攻击，攻击部分完成蠕虫主题的迁移工作。,进入感染的系统后，要做现场处理工作。处理流程包括隐藏、信息搜集等等,生成多个副本后，重复上述流程。,每个具体的蠕虫在实现这四个部分时有不同侧重。,北京邮电大学信息安全中心,有害程序,-,蠕虫,网络蠕虫的功能结构,网络蠕虫可包括基本功能模块和扩展功能模块。,北京邮电大学信息安全中心,有害程序,-,蠕虫,网络蠕虫的功能模块,搜索模块,功能是寻找下一台要感染的机器，可以采用一系列的扫描算法，大多采用随机扫描方式。,攻击模块,利用目标存在的漏洞，从被感染机器到攻击目标建立传输通道。,传输模块,很多蠕虫获取系统权限后利用,tftp,完成蠕虫副本传递。,信息搜集模块,利用本机搜集到的信息如网络信息、本机信息、系统信息、邮件列表等确定新攻击目标。,繁殖模块,建立自身的多个副本，包括实体副本建立和进程副本建立。,北京邮电大学信息安全中心,有害程序,-,木马,木马的定义,木马来源,希腊人攻打特洛伊城建造了大木马，希腊将士藏于马腹，后经特洛伊人运入城中后，里应外合攻占了特洛伊城。进入敌人内部攻破防线的手段叫木马计，使用的工具即木马。,RFC1244,节点安全手册定义,特洛伊木马程序是这样一种程序，它提供一些有用的，或仅仅是有意思的功能。但是通常要做一些用户不希望的事，诸如在你不了解的情况下拷贝文件或窃取你的密码。,北京邮电大学信息安全中心,有害程序,-,木马,木马的定义,木马程序一般有,客户端,和,服务端,组成,服务端是黑客植入到目标机器的独立的木马模块，等待接受客户端的各种命令操作。,客户端是控制端，被使用木马的黑客操控，享有客户端各种操作的最大权限。,北京邮电大学信息安全中心,有害程序,-,木马,木马相关术语,入侵者,又称木马使用者，是指使用木马对其他电脑进行攻击的黑客。,目标机器,我们常说的中了木马的电脑，被植入了木马服务端的电脑,肉鸡,被入侵者控制的目标机器，通常入侵者通过在目标机器上植入后门程序，从而获得该主机的部分甚至全部使用权限。,跳板,植入了后门程序的电脑，被入侵者用来攻击其他电脑或网络服务器。,北京邮电大学信息安全中心,有害程序,-,木马,病毒、蠕虫和木马的区别,特性,病毒,蠕虫,木马,传染性,强,强,很少,传播能力,强,极强,一般,感染对象,文件,进程,进程,主要传播方式,文件,网络,网络,破坏性,强,强,很少,隐蔽性,强,强,极强,顽固性,较强,较强,极强,欺骗性,一般,一般,强,主要攻击目的,破坏数据和信息,耗尽计算机资源,窃取信息、提供后门,北京邮电大学信息安全中心,有害程序,-,木马,木马的特性,程序性,木马是一段执行特殊功能的非授权性程序，进行一些用户不希望的操作，如窃取密码、盗取文件和提供后门等。,隐藏性,指木马服务端能躲避杀毒软件的扫描，不会轻易被发现。,木马服务端长期潜伏在用户电脑内的前提就是要隐藏自己，功能实现往往次之，隐藏性是木马的最大特性,有效性,木马与其控制端建立有效的通信联系，能接受控制端的命令信息，并将搜集的信息返回给入侵者。如果入侵者和木马的通信途径被切断，植入的木马对入侵者来说也不具备任何意义。,北京邮电大学信息安全中心,有害程序,-,木马,木马的特性,顽固性,顽固性指有效清除木马的难易程度，体现了木马对反木马操作的免疫性。,一些常用的反清除技术有多实例法，将木马程序（多份）分别放于目标主机不同的目录下，这些木马实例互相监督，以防止某个木马实例被查杀。多实例可以采用多线程或进程来实现,易植入性,易植入性是木马有效性的先决条件，木马要发挥作用必须先进入目标主机,木马植入常见途径：常用端口入侵；网页链接或电子邮件夹带；软件漏洞；软件捆绑,北京邮电大学信息安全中心,有害程序,-,木马,木马的分类,按功能分类,密码发送型：用于搜集用户的各种密码，在用户不知道的情况下，通过邮件或及时通信方式发给制定目标。如,Email,邮箱，,QQ,盗号木马等。,按键记录型：用于监测用户的键盘敲击动作，并将敲击内容记录下来发送出去,屏幕截取型：可以抓取用户当前电脑屏幕的图像,文件控制型：用于对受害者主机进行各种非法操作，如文件复制、文件删除，偷取信件，更改或删除注册表项等。,后门型：通过打开目标机器的一个端口或接入互联网，将目标机器暴露给入侵者。入侵者可获取目标主机的部分或全部权限，通过控制端进行远程控制。如,FTP,型木马。,现在的木马多为多功能综合型木马，实现上述多项或全部功能,北京邮电大学信息安全中心,有害程序,-,木马,按隐藏技术分类,EXE,伪装型：有文件伪装和进程伪装。文件伪装主要有以下几种：将文件属性改为隐藏，采用类似于系统文件的文件名，将木马文件的创建时间设定为与系统文件相同的时间；进程伪装主要是将木马自己的进程名设为与系统进程类似的名称，在任务栏中隐藏，一般用户对系统了解不足，以为是系统进程而不敢轻易删除。,传统,DLLVxD,型：传统,DLLVxD,木马是一种使用,DLL,技术进行隐藏的木马。此类木马本身是一个,DLL,文件，它本身不能自己运行，在系统启动时或其他程序启动时一并被载入执行，也可通过,Rundll32.exe,被载入执行。在任务管理器中并不能看到它的踪迹，此类木马躲藏在当前载入的,DLLVxD,模块列表中。,北京邮电大学信息安全中心,有害程序,-,木马,按隐藏技术分类,DLL,关联型：,DLL,关联型木马采用与已知,DLL,相关联的机理实现木马功能。如设计一个,DLL,替换已知的系统,DLL,或潜入其内部，并对所有的函数调用进行过滤转发，对于正常的调用直接转发给被替换的系统,DLL,。,由于微软对,Win2000,及之后的系统文件采用了数字认证技术，每次运行前会首先判断系统,DLL,是否原来的文件，如果不是就从,Windows,系统文件夹下的,System32dllcache,中将备份的文件复制过来进行替换，使对系统,DLL,文件的关联收到阻碍。但仍然可以对一些未进行数字认证保护的,DLL,进行函数调用的劫持操作。,DLL,注入型：将木马的,DLL,文件注入到某个进程的地址空间，然后潜伏在其中并完成木马的工作。,DLL,注入的方法较有效的是远程缓冲区溢出技术和远程线程技术。,北京邮电大学信息安全中心,有害程序,-,木马,按通信技术分类,传统,C/S,通信型：该类型木马服务端打开某个端口监听来自控制端的连接消息，以便与控制端进行通信交流。这是一般的,C/S,模式采用的通信方式。但防火墙一般会阻断来自外部的连接请求，使得该模式的通信受到限制。,端口寄生型：利用目标机器上一个已经打开的端口进行监听，遇到来自控制端的特殊格式指令就进行解释执行。由于没有另开端口，因此不会在系统端口扫描时被发现。,端口反弹型：采用服务端主动向控制端发起连接的方式进行通信。一般防火墙对由内向外的连接请求通常不加限制，这样使得反弹端口模式的木马能躲避一般防火墙的阻截。如将控制端主机监听端口设为,80,，伪装成,Web,服务器；或伪装成,FTP,服务器，将通信伪装成合法化。,北京邮电大学信息安全中心,有害程序,-,木马,按通信技术分类,ICMP,型：采用,ICMP,协议进行通信交流，由于不需要建立连接，可有效避免端口扫描工具发现。服务端通过在协议数据包中加入特殊格式的信息，实现与控制端通信。类似的，,ARP,有时也用于木马通信。,电子邮件型：该类型木马的服务端将搜集的信息以邮件的方式发到木马使用者的邮箱内。与端口反弹型木马相比，电子邮件型木马通信效率相对较低，但它具有不暴露木马使用者,IP,的强大优势，同时比较容易绕过防火墙，应用较广泛。,网卡或,Modem,直接编程型：这类木马与控制端进行通信时不利用套接字，而采用直接对网卡或,Modem,进行编程，可以防止杀毒软件的套接字检测扫描。,北京邮电大学信息安全中心,网络系统缺陷,-,协议实现缺陷,网络层协议实现缺陷,IP,包碎片攻击,TearDrop,攻击：在,DoS,攻击中已介绍，利用协议实现缺陷，造成,DoS,效果。,类似地，,Jolt2,攻击：发送相同的分片包，且包的偏移量与长度之和超出了单个,IP,包的长度限制。如构造,IP,包，分片标志位,MF=0,，表明最后一个分片，偏移量为,0 x1FFE,，报文总长度为,29,，则计算重组后的长度为,6554965535,。,Linux,受到攻击后每,5s,打印一条信息，,Windows95/8CPU,占用达到,100%,。,IGMP Nuke,攻击,某些系统不能很好处理过大的,IGMP,数据包。向,Win98,发送多个超过,65535,字节的,IGMP,包，会导致,Win98,蓝屏。这就是常说的,Win98,蓝屏炸弹。,北京邮电大学信息安全中心,网络系统缺陷,-,协议实现缺陷,网络层协议实现缺陷,Ping of Death,攻击,早期路由器对通过的数据包有最大尺寸限制，所以操作系统对,TCP/IP,协议栈实现也有相应限制，如,ICMP,包长度限制为,64KB,。,通过设定特定的,ICMP,包，如声称自己的尺寸超过,ICMP,上限 的数据包，系统内存分配会出现异常，导致崩溃。,Winnuke,攻击,利用,NetBIOS,协议中一个,OOB(Out of Band),的漏洞，即所谓的带外数据漏洞进行的，它的原理是通过,TCP/IP,协议一个,Urgent,紧急数据到计算机的,137,、,138,或,139,端口，当,Win95/NT,收到该数据包就会瞬间死机或蓝屏。,带外数据优先级高于一般数据，不按通常次序进入,TCP,缓冲区，可立即被进程读取或使用,SIGURG,信号通知进程。,北京邮电大学信息安全中心,网络系统缺陷,-,协议实现缺陷,应用层协议实现缺陷,不同的应用协议有不同的缺陷,如利用,HTTP,协议，,SIP,协议，,H.323,协议等,微软,IIS,服务的,Unicode,漏洞实例,微软,IIS,服务负责对外提供,Web,服务，为方便浏览器用户使用，设置了虚拟目录，实质上就是把真实服务器上的目录用另一名字代替，如输入,192.168.1.2/scripts,对应服务器上的“,d:inetpubscripts,”。,在,DOS,或,Windows,目录结构中，通过“,.,”可以访问到上级目录，用它突破目录限制，可执行服务器的其他程序。,不过,IIS,服务器出于安全性考虑，会自动过滤掉这类字符串,但对这些字符用,Unicode,编码传输就可以绕过,IIS,的路径检查去执行或打开任意文件。,北京邮电大学信息安全中心,网络系统缺陷,-,缓冲区溢出,缓冲区溢出特点,很多攻击或多或少最终与缓冲区溢出有关,缓冲区溢出后果,程序运行失败,系统死机重启,执行非授权指令或取得系统特权等,何谓缓冲区溢出,缓冲区是程序运行期间，在内存中分配的一个连续的存储空间，用于存放各种类型的数据。,所谓缓冲区溢出是指向固定长度的缓冲区写入超出预先分配长度的内容，造成缓冲区数据溢出，而覆盖了缓冲区相邻的内存空间。,北京邮电大学信息安全中心,网络系统缺陷,-,缓冲区溢出,缓冲区溢出实例,一个典型的具有缓冲区溢出的,C+,语言程序代码示例如下：,#include,#include,void stackover(char*ptr),char buffer8;,strcpy(buffer,ptr);,printf(String=%sn,buffer);,main(int argc,char*argv),if(argc=2),stackover(argv1);,else,printf(Usage,：,%s n,argv0);,造成缓冲区越界的根本原因是由于在,C,和,C+,语言中，程序将数据读入或者复制到缓冲区时，所用到的函数缺乏边界检查机制。,北京邮电大学信息安全中心,网络系统缺陷,-,缓冲区溢出,缓冲区溢出相关概念,内存分配,运行一个编译好的程序时，计算机会在内存中开辟一段连续的内存块即缓冲区。缓冲区通常分为,3,个区域，从内存的低地址向高地址，分别是代码段、数据段（初始化数据段、未初始化数据段）和堆栈（堆段、栈段），它们在内存中的位置如图所示。,北京邮电大学信息安全中心,网络系统缺陷,-,缓冲区溢出,代码段,用于存放程序的机器码和只读数据。,数据段,用于存放被初始化和未经初始化的全局数据和静态数据,堆,用于存储程序运行过程中请求操作系统分配给自己的内存段，通常由实时内存分配函数动态分配。大小不固定，动态变化；分配和撤销都占用时间，堆的使用效率比较低。,栈,用于存储函数调用所传递的参数、函数的返回地址、函数的局部变量等。栈的大小也不固定，但它的增长方向与堆相反，由存储器的高地址向低地址增长，而堆由低地址向高地址增长。,采用先进后出原则，常说的堆栈是指栈,北京邮电大学信息安全中心,网络系统缺陷,-,缓冲区溢出,缓冲区溢出攻击分类,按溢出位置分类,栈溢出,堆溢出,BSS,段溢出,按攻击目的分类,在程序的地址空间中植入适当的代码,通过适当的初始化寄存器和存储器从而控制程序转移到攻击者安排的地址空间去执行,按攻击目标分类,攻击栈中的返回地址,攻击栈中保存的旧框架指针,攻击堆或,BSS,段中的局部变量或参数,攻击堆或,BSS,段中的长跳转缓冲区,北京邮电大学信息安全中心,网络系统缺陷,-,缓冲区溢出,缓冲区溢出攻击原理,栈溢出,栈是一种只允许在一端进行插入和删除的线性表，允许插入和删除操作的一端叫栈顶，另一端叫栈底。,出栈和入栈：数据的插入和删除,栈顶指针和栈底指针,函数调用时栈的存储结构：逆序进栈,基于栈的缓冲区溢出：缺乏对缓冲区容量的检查,北京邮电大学信息安全中心,网络系统缺陷,-,缓冲区溢出,缓冲区溢出攻击原理,堆溢出,与栈溢出类似，堆是程序动态分配的内存块，程序数据分配按照从低向高的方向增长，因此可以将溢出理解为将超长的数据复制到动态分配的内存块，超越边界，从而导致覆盖内存块间的结构和内容。,堆的缓冲区溢出是最危险的一种溢出,北京邮电大学信息安全中心,网络系统缺陷,-,缓冲区溢出,缓冲区溢出攻击原理,BSS,溢出,BSS,用于存放全局或静态的未初始化的变量，分配时变量之间是连续的，没有保留空间。,基于,BSS,的缓冲区溢出是通过改写,BSS,的指针或函数指针等改变程序的执行过程，使指针跳到特定内存而执行攻击者指定的操作。,BSS,溢出改写的对象位置不固定，因此攻击时要确定指针的位置比较困难。,北京邮电大学信息安全中心,网络系统缺陷,-,缓冲区溢出,缓冲区溢出代码构造,无论是哪一种溢出攻击，前提条件都必须存在一个有漏洞的缓冲区，通过溢出该缓冲区，改写其相邻