火龍果常見的網(wǎng)絡(luò)攻擊關(guān)鍵技術(shù)原理剖析

第12章常用的網(wǎng)絡(luò)攻擊關(guān)鍵技術(shù)網(wǎng)絡(luò)攻擊是一系列技術(shù)的綜合運用，攻擊者必須掌握各種關(guān)鍵攻擊技術(shù)，理解個各種攻擊技術(shù)的局限性和限制條件，才能夠在攻擊的實戰(zhàn)中靈活運用，做到攻無不克。對防御者要了解攻擊技術(shù)的內(nèi)涵，才會涉及有效的安全策略，建立有效的安全機制，構(gòu)造可靠的安全防御系統(tǒng)，做到堅不可摧。主要內(nèi)容口令破解技術(shù)原理網(wǎng)絡(luò)嗅探技術(shù)原理網(wǎng)絡(luò)端口掃描技術(shù)原理緩沖區(qū)溢出攻擊技術(shù)原理拒絕服務(wù)攻擊技術(shù)原理口令破解技術(shù)原理口令機制是資源訪問控制的第一道屏障。計算機軟件硬件技術(shù)的發(fā)展，使口令攻擊更為有效。CUP速度有了很大的提高網(wǎng)絡(luò)的普及分段攻擊算法的擴展用戶仍然喜歡選用容易記憶的口令口令攻擊的條件和技術(shù)防范條件：高性能的計算機大容量的在線字典或其他字符列表已知的加密算法可讀的口令文件口令以較高的概率包含于攻擊字典中?？诹罟舨襟E：獲取口令文件用各種不同的加密算法對字典或其他字符表中的文字加密，并將結(jié)果與口令文件進行對比常用的口令攻擊技術(shù)暴力破解攻擊者通過窮盡口令空間獲得用戶口令，通常攻擊者根據(jù)口令字的長度、特征、各種字符組合方式選擇某個口令空間進行攻擊。猜測攻擊攻擊者根據(jù)若干知識編寫口令字典，然后根據(jù)該字典通過猜測獲得用戶的口令。UNIX系統(tǒng)口令攻擊UNIX系統(tǒng)用戶的口令保存在一個加密后的文本文件中，一般放在/etc目錄下，文件名為passwd/shadowUNIX系統(tǒng)出于安全需要，防止普通用戶讀取口令文件，將passwd文件一分為二，把與用戶口令相關(guān)的域提出組成另外一個文件，叫shadow，只有超級用戶才能讀取?？诹钗募忻啃写硪粋€用戶條目：Logname:passwd:uid:gid:userinfo:home:shell例如root的條目Root:xydefctrti1.m.y2:0:0:admin:/:/bin/shUNIX系統(tǒng)中，口令文件作了shadow變換，在破解的時候，需要做Unshadow變換，將passwd和shadow文件合二為一。UNIX口令加密算法采用多重DES，理論上破解難度非常大。UNIX口令加密原理UNIX系統(tǒng)使用函數(shù)crypt加密用戶的口令，當(dāng)用戶登錄時，系統(tǒng)并不是去解密已經(jīng)加密的口令，而是將輸入的口令明文字符串傳給加密函數(shù)，將加密函數(shù)的輸出與/etc/passwd文件中該用戶條目的passwd域進行比較，若成功則允許登陸Crypt基于數(shù)據(jù)加密標(biāo)準(zhǔn)des，將用戶輸入的口令作為密鑰，加密一個64位的0/1串，加密的結(jié)果用用戶的口令再次加密；重復(fù)該過程，一共進行25次。最后輸出一個11字節(jié)的字符串，存放在passwd的密碼域?？诹钇平夤ぞ遚rack的工作流程1、下載或自己生成一個字典文件2、取出字典文件中的每一條目，對每個單詞運用一系列規(guī)則：使用幾個單詞和數(shù)字的組合大小寫交替使用把單詞正反拼寫后，接在一起在每個單詞的開頭或結(jié)尾加上一些數(shù)字3、調(diào)用系統(tǒng)的crypt函數(shù)對使用規(guī)則生成的字符串進行加密變換4、再用一組子程序打開口令文件，取出密文口令，與crypt的輸出進行比較。循環(huán)第二步和第三步，直到口令破解成功。網(wǎng)絡(luò)服務(wù)口令攻擊流程建立與目標(biāo)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)連接選取一個用戶列表文件及字典文件在用戶列表文件及字典文件中，選取一組用戶和口令，按網(wǎng)絡(luò)服務(wù)協(xié)議規(guī)定，將用戶名和口令發(fā)送給網(wǎng)絡(luò)服務(wù)端口。檢測遠程服務(wù)返回信息，確定口令嘗試是否成功。再取另一組用戶和口令，重復(fù)循環(huán)測試，直至口令用戶列表文件及字典文件選取完畢。增強口令安全性的方法除口令驗證程序外，使口令文件完全不可讀（包括超級用戶）在用戶選擇密碼時對密碼進行過濾對字典或字符列表進行掃描，提出用戶選擇的弱口令通過口令與智能卡相結(jié)合的方式登錄采用某種機制動態(tài)的生成一次性口令網(wǎng)絡(luò)嗅探技術(shù)原理網(wǎng)絡(luò)嗅探器是一種黑客工具，用于竊聽流經(jīng)網(wǎng)絡(luò)接口的信息，從而獲取用戶會話信息。一般的計算機系統(tǒng)通常只接收目的地址執(zhí)行自己的網(wǎng)絡(luò)包，其他的被忽略。但在很多情況下，一臺計算機的網(wǎng)絡(luò)接口可能受到目的地址并非是自身的網(wǎng)絡(luò)包。在完全廣播子網(wǎng)中，所有涉及局域網(wǎng)中任何一臺主機的網(wǎng)絡(luò)通信內(nèi)容均可被局域網(wǎng)中所有的主機接收到，這就使得網(wǎng)絡(luò)竊聽特別容易。目前網(wǎng)絡(luò)竊聽都是基于以太網(wǎng)的，原因就是以太網(wǎng)廣泛的用于局域網(wǎng)。網(wǎng)絡(luò)嗅探的問題如何使網(wǎng)絡(luò)接口卡接受目的地址不是指向自己的網(wǎng)絡(luò)包如何從數(shù)據(jù)鏈路層獲取這些包（普通的網(wǎng)絡(luò)編程接口不行）以太網(wǎng)提供了雜模式，在該模式下，逐級的網(wǎng)絡(luò)接口接聽所有經(jīng)過的網(wǎng)絡(luò)介質(zhì)的數(shù)據(jù)，包括那些目的地址并不指向該主機的網(wǎng)絡(luò)包不同的UNIX系統(tǒng)提供了不同的數(shù)據(jù)鏈路存取方法。網(wǎng)絡(luò)嗅探器工作流程打開文件描述字，打開網(wǎng)絡(luò)接口、專用設(shè)備或網(wǎng)絡(luò)套接字。得到一個文件描述字，以后所有的控制和讀、寫都針對該描述字設(shè)置雜模式，把以太網(wǎng)絡(luò)接口設(shè)置為雜模式，使之接收所有流經(jīng)網(wǎng)絡(luò)介質(zhì)的信息包設(shè)置緩沖區(qū)。緩沖區(qū)用來存放從內(nèi)核緩沖區(qū)拷貝過來的網(wǎng)絡(luò)包。設(shè)置過濾器。過濾器使得內(nèi)核只抓取那些攻擊者感興趣的數(shù)據(jù)包，而不是所有的流經(jīng)網(wǎng)絡(luò)介質(zhì)的網(wǎng)絡(luò)包，可以減少不必要的拷貝和處理。讀取包。從文件按描述字中讀取數(shù)據(jù)，一般來說，就是數(shù)據(jù)鏈路層的幀。過濾、分析、解釋、輸出：主要是分析以太網(wǎng)包頭和TCP/IP包頭中的信息，選擇出用戶感興趣的網(wǎng)絡(luò)數(shù)據(jù)包，然后對應(yīng)用層協(xié)議及的數(shù)據(jù)解釋，把原始數(shù)據(jù)轉(zhuǎn)化成用戶可理解的方式輸出。常用的網(wǎng)絡(luò)嗅探工具TCPdump：Sniffit:http://reptile.rug.ac.be/Snort:…………網(wǎng)絡(luò)嗅探的防范網(wǎng)絡(luò)嗅探對明文傳遞的網(wǎng)絡(luò)報具有威脅，但是該攻擊要想成功需要一定的條件。一般用于內(nèi)部攻擊，因為內(nèi)部人員可以很方便的訪問網(wǎng)絡(luò)。網(wǎng)絡(luò)端口掃描技術(shù)原理一個端口就是一個潛在的通信通道，就是一個入侵通道。端口掃描通過選用遠程TCP/IP不同的端口服務(wù)，并記錄目標(biāo)給予的回答，就可以搜集到很多關(guān)于目標(biāo)逐級的有用信息。掃描器不是一個直接攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能夠幫助攻擊者發(fā)現(xiàn)目標(biāo)機的內(nèi)在弱點。網(wǎng)絡(luò)端口掃描技術(shù)分析1、完全連接掃描完全掃描連接利用TCP/IP三次握手連接機制，使源主機和目的逐級的某個端口建立一次完成的連接。如果建立成功，則表明該端口開放，否則表明該端口關(guān)閉。2、半連接掃描半連接掃描指在源主機和目的逐級的三次握手連接過程中，只完成前兩次握手，不建立一次完整的連接。3、SYN掃描首先向目標(biāo)主機發(fā)送連接請求，當(dāng)目標(biāo)逐級返回響應(yīng)后，立即切斷連接過程，并察看相應(yīng)情況。如果目標(biāo)逐級返回rst信息，表明該端口沒有開放。4、ID頭信息掃描此種掃描方法需要用一臺第三方機器配合掃描，并且這臺機器的網(wǎng)絡(luò)通信量要非常的少，即dump主機，首先由源主機A向dump主機B發(fā)出連續(xù)的ping數(shù)據(jù)包，并且查看B返回的數(shù)據(jù)包的ID頭信息。一般而言，每個順序數(shù)據(jù)包的ID頭的值會順序增加1，然后由源主機A假冒主機B向目的主機C的任意端口發(fā)送SYN數(shù)據(jù)包。這時主機C向B發(fā)送的數(shù)據(jù)包有兩種可能的結(jié)果：1、syn|ack，表示該端口處于監(jiān)聽狀態(tài)2、rst|ack，表示該端口處于非監(jiān)聽狀態(tài)5、隱蔽掃描隱蔽掃描是指能夠成功繞過IDS、防火墻和監(jiān)視系統(tǒng)等安全機制，缺的目標(biāo)主機端口信息的掃描方式。6、SYN|ACK掃描由源主機向目標(biāo)主機的某個端口直接發(fā)送syn|ack數(shù)據(jù)包，而不是先發(fā)送syn數(shù)據(jù)包。由于這種方法不發(fā)送syn數(shù)據(jù)包，目標(biāo)主機會認(rèn)為這是一次錯誤的連接，從而會報錯。如果目標(biāo)逐級的該端口沒有開放，則會返回rst信息。如果目標(biāo)主機的該端口處于開放狀態(tài)，則不會返回任何信息，而直接將這個數(shù)據(jù)包拋棄掉。7、FIN掃描源主機向目標(biāo)逐級發(fā)送fin數(shù)據(jù)報，然后查看反饋信息，如果端口返回rst信息，則說明該端口關(guān)閉。如果沒有任何返回信息，則說明該端口開放。8、ACK掃描首先由主機A向主機B發(fā)送Fin數(shù)據(jù)包，然后查看反饋數(shù)據(jù)包的TTL值和WIN值。開放端口所返回的數(shù)據(jù)包的TTL值一般小于64，而關(guān)閉端口的返回值一般大于64。開放端口所返回數(shù)據(jù)包的Win值一般大于0，而關(guān)閉端口的返回值一般等于0。9、NULL掃描將源主機發(fā)送的數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標(biāo)志為全部置空。如果目標(biāo)主機沒有返回任何信息，則表明該端口是開放的。如果返回RST信息，則端口是關(guān)閉的。10、XMAS掃描XMAS掃描的原理和NULL掃描相同，只是將要發(fā)送的數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標(biāo)志為全部置成1，如果目標(biāo)主機沒有返回任何信息，則表明該端口是開放的。如果返回RST信息，則端口是關(guān)閉的。緩沖區(qū)溢出攻擊技術(shù)原理在網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展歷程中，緩沖區(qū)溢出攻擊逐漸成為最有效的一種攻擊技術(shù)。原因是緩沖區(qū)溢出漏洞給予攻擊者控制程序執(zhí)行流程的機會。攻擊者將特意構(gòu)造的攻擊代碼植入到有緩沖區(qū)溢出漏洞的程序之中，改變程序的執(zhí)行過程，就可以得到被攻擊逐級的控制權(quán)。緩沖區(qū)溢出攻擊技術(shù)分析緩沖區(qū)溢出攻擊的目的在于擾亂具有某些特權(quán)運行的程序的功能，這樣可以使攻擊者取得程序的控制權(quán)。需要解決兩個問題：在緩沖區(qū)溢出程序的地址空間里安排適當(dāng)?shù)拇a通過適當(dāng)初始化寄存器和存儲器，令程序跳轉(zhuǎn)到攻擊者所安排的地址空間執(zhí)行攻擊代碼。第一個問題有兩種方法可以解決：植入法和程序運行控制法第二個問題的解決方法為：激活記錄函數(shù)指針長跳轉(zhuǎn)緩沖區(qū)緩沖區(qū)溢出攻擊的防范1、完善程序，對程序中定義的緩沖區(qū)設(shè)置嚴(yán)格的邊界檢查。2、對于在操作系統(tǒng)中已經(jīng)出現(xiàn)的緩沖區(qū)溢出漏洞，應(yīng)當(dāng)盡快查找并安裝補漏程序。3、應(yīng)急方法，將存在緩沖去溢出漏洞的程序設(shè)置用戶權(quán)限暫時去掉：Chmodu-s文件名拒絕服務(wù)攻擊技術(shù)原理拒絕服務(wù)攻擊是指攻擊者利用系統(tǒng)的缺陷，通過執(zhí)行一些惡意的操作使得合法的系統(tǒng)用戶不能及時得到應(yīng)得的服務(wù)或系統(tǒng)資源。拒絕服務(wù)具有難確認(rèn)性、隱蔽性、復(fù)雜性等特點。拒絕服務(wù)攻擊技術(shù)分析1、資源消耗前面講述過。2、配置修改計算機系統(tǒng)配置不當(dāng)可能造成系統(tǒng)運行不正常，甚至根部不能運行。攻擊者通過改變或者破壞系統(tǒng)的配置信息，阻止其他合法用戶使用計算機網(wǎng)絡(luò)提供的服務(wù)。這種攻擊主要有：改變路由信息；修改WindowsNT注冊表；修改UNIX系統(tǒng)的各種配置文件等。3、基于系統(tǒng)缺陷攻擊者利用目標(biāo)系統(tǒng)和通信協(xié)議的漏洞實現(xiàn)拒絕服務(wù)攻擊。例如，一些系統(tǒng)出于安全考慮，限制用戶試探口令次數(shù)和注冊等待時間。當(dāng)用戶口令輸入次數(shù)超過若干次，或者注冊等待時間超過某個時間值，系統(tǒng)就會停止該用戶的帳號使用權(quán)。攻擊者利用系統(tǒng)這個安全特點，有意輸錯口令導(dǎo)致系統(tǒng)鎖定該用戶帳號，致使該用戶得不到應(yīng)有的服務(wù)。4、物理實體破壞這種拒絕服務(wù)攻擊針對物理設(shè)備，攻擊者通過破壞或改變網(wǎng)絡(luò)部件實現(xiàn)拒絕服務(wù)攻擊，其攻擊的目標(biāo)包括：計算機、路由器、網(wǎng)絡(luò)配線室，網(wǎng)絡(luò)主干段，電源、冷卻設(shè)備等。拒絕服務(wù)攻擊實例SYNflood攻擊者假造源網(wǎng)址送多個同步數(shù)據(jù)包（SynPacket）給服務(wù)器，服務(wù)器因無法收到確認(rèn)數(shù)據(jù)包，使TCP/IP協(xié)議的三次握手無法順利完成，因而無法建立連接。其原理是發(fā)送大量半聯(lián)結(jié)狀態(tài)的服務(wù)請求，使得服務(wù)器主機無法處理正常的連接請求，因而影響正常運作。UDP風(fēng)暴利用簡單的TCP/IP服務(wù)，如用chargen和echo傳送毫無用處的數(shù)據(jù)占滿帶寬。通過偽造與某一主機的chargen服務(wù)之間的一次UDP連接，回復(fù)地址指向開放echo服務(wù)的一臺主機，生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流。Smurf攻擊一種簡單的Smurf攻擊是，將回復(fù)地址設(shè)置成目標(biāo)網(wǎng)絡(luò)廣播地址的ICMP應(yīng)答請求數(shù)據(jù)包，使該網(wǎng)絡(luò)的所有主機都對此ICMP應(yīng)答請求做出應(yīng)答，導(dǎo)致網(wǎng)絡(luò)阻塞，比死亡之ping洪水的流量剛出一個或兩個數(shù)量級。更加復(fù)雜的Smurf攻擊將源地址改為第三方的目標(biāo)網(wǎng)絡(luò)，最終導(dǎo)致第三方網(wǎng)絡(luò)阻塞。垃圾郵件攻擊者利用郵件系統(tǒng)制造垃圾信息，甚至通過專門的郵件炸彈程序給受害用戶的信箱發(fā)送垃圾信息，耗盡用戶信箱的磁盤空間，使用戶無法應(yīng)用這個信箱。消耗CPU和內(nèi)存資源的拒絕服務(wù)攻擊比如“紅色代碼”和NIMDA病毒Pingofdeath（死亡之ping）早期路由器對包的最大尺寸都有限制，許多操作系統(tǒng)在實現(xiàn)TCP/IP堆棧時，規(guī)定ICMP包小于等于64KB，并且在對包的標(biāo)題頭進行讀取之后，要根據(jù)該標(biāo)題頭中包含的信息為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形的、尺寸超過ICMP上限的寶，即加載的尺寸超過64KB上限時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，使對方停機。