CH02網(wǎng)絡(luò)攻擊行為分析

攻擊信息安全的行為分析第

2章CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第1頁!基本內(nèi)容網(wǎng)絡(luò)信息安全技術(shù)與黑客攻擊技術(shù)都源于同一技術(shù)核心，即網(wǎng)絡(luò)協(xié)議和底層編程技術(shù)，不同的是怎么使用這些技術(shù)。很多軟件或設(shè)備可以為網(wǎng)絡(luò)管理和安全提供保障，但當(dāng)被別有用心的人所利用時，就成了黑客工具，就象刀具，是基本生活用具，又可成為殺人兇器。我們要做到“知己知彼”，才能“百戰(zhàn)不殆”，對黑客的攻擊手段、途徑、方法和工具了解得越多，越有利于保護網(wǎng)絡(luò)和信息的安全。在介紹信息安全技術(shù)以前，本章先來分析與黑客攻擊相關(guān)的知識。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第2頁!2.1安全問題的起源和常見威脅2.1.1信息安全問題的起源信息安全問題是一個系統(tǒng)問題計算機網(wǎng)絡(luò)是目前信息處理的主要環(huán)境和信息傳輸?shù)闹饕d體互聯(lián)網(wǎng)的“無序、無界、匿名”三大基本特征也決定了網(wǎng)絡(luò)信息的不安全CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第3頁!2.1安全問題的起源和常見威脅2.1.2物理安全風(fēng)險計算機本身和外部設(shè)備乃至網(wǎng)絡(luò)和通信線路面臨各種風(fēng)險，如各種自然災(zāi)害、人為破壞、操作失誤、設(shè)備故障、電磁干擾、被盜和各種不同類型的不安全因素所致的物質(zhì)財產(chǎn)損失、數(shù)據(jù)資料損失等。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第4頁!2.1安全問題的起源和常見威脅2.1.3系統(tǒng)風(fēng)險——組件的脆弱性硬件組件：設(shè)計、生產(chǎn)工藝或制造商軟件組件：“后門”、設(shè)計中的疏忽、不必要的功能冗余、邏輯混亂及其他不按信息系統(tǒng)安全等級要求進行設(shè)計的安全隱患網(wǎng)絡(luò)和通信協(xié)議：TCP/IP協(xié)議簇先天不足缺乏對用戶身份的鑒別缺乏對路由協(xié)議的鑒別認(rèn)證TCP/UDP的缺陷CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第5頁!軟件“復(fù)雜性”CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第6頁!2.1安全問題的起源和常見威脅信息源信息目的地正常信息流向信息源信息目的地中斷服務(wù)偵聽信息源信息目的地信息源信息目的地修改信息源信息目的地偽造CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第7頁!計算機網(wǎng)絡(luò)系統(tǒng)所面臨的威脅大體可分為兩種：一是針對網(wǎng)絡(luò)中信息的威脅；二是針對網(wǎng)絡(luò)中設(shè)備的威脅。如果按威脅的對象、性質(zhì)則可以細(xì)分為四類：類是針對硬件實體設(shè)施第二類是針對軟件、數(shù)據(jù)和文檔資料第三類是兼對前兩者的攻擊破壞第四類是計算機犯罪。2.2影響信息安全的人員分析CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第8頁!安全威脅的表現(xiàn)形式偽裝非法連接非授權(quán)訪問拒絕服務(wù)抵賴信息泄露業(yè)務(wù)流分析改動信息流篡改或破壞數(shù)據(jù)推斷或演繹信息非法篡改程序CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第9頁!互聯(lián)網(wǎng)上的黑色產(chǎn)業(yè)鏈CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第10頁!2011年12月，以程序員網(wǎng)站CSDN、天涯社區(qū)、美團網(wǎng)等數(shù)據(jù)庫遭黑客攻擊為代表，網(wǎng)絡(luò)個人信息泄露事件曾集中爆發(fā)，上億用戶的注冊信息被公之于眾其中，廣東省出入境政務(wù)服務(wù)網(wǎng)泄露了包括真實姓名、護照號碼等信息在內(nèi)的約400萬用戶資料CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第11頁!2.3網(wǎng)絡(luò)攻擊的層次網(wǎng)絡(luò)攻擊的途徑針對端口攻擊針對服務(wù)攻擊針對第三方軟件攻擊DoS攻擊針對系統(tǒng)攻擊口令攻擊欺騙CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第12頁!2.4網(wǎng)絡(luò)攻擊的一般步驟（1）隱藏IP（2）踩點掃描（3）獲得系統(tǒng)或管理員權(quán)限（4）種植后門（5）在網(wǎng)絡(luò)中隱身CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第13頁!網(wǎng)站篡改（占45.91%）垃圾郵件（占28.49%）蠕蟲（占6.31%）網(wǎng)頁惡意代碼（占0.51%）木馬（占4.01%）網(wǎng)絡(luò)仿冒（占4.97%）拒絕服務(wù)攻擊（占0.58%）主機入侵（占1.14%）網(wǎng)絡(luò)主要攻擊手段CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第14頁!緩沖區(qū)溢出Bufferoverflowattack緩沖區(qū)溢出攻擊緩沖區(qū)溢出漏洞大量存在于各種軟件中利用緩沖區(qū)溢出的攻擊，會導(dǎo)致系統(tǒng)當(dāng)機，獲得系統(tǒng)特權(quán)等嚴(yán)重后果。最早的攻擊1988年UNIX下的Morrisworm最近的攻擊Codered利用IIS漏洞SQLServerWorm利用SQLServer漏洞Blaster利用RPC漏洞Sasser利用LSASS漏洞CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第15頁!類似函數(shù)有strcat、sprintf、vsprintf、gets、scanf等一般溢出會造成程序讀/寫或執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā)segmentationfault異常退出.如果在一個suid程序中特意構(gòu)造內(nèi)容，可以有目的的執(zhí)行程序，如/bin/sh，得到root權(quán)限。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第16頁!在進程的地址空間安排適當(dāng)?shù)拇a通過適當(dāng)?shù)某跏蓟拇嫫骱蛢?nèi)存，跳轉(zhuǎn)到以上代碼段執(zhí)行利用進程中存在的代碼傳遞一個適當(dāng)?shù)膮?shù)如程序中有exec(arg)，只要把arg指向“/bin/sh”就可以了植入法把指令序列放到緩沖區(qū)中堆、棧、數(shù)據(jù)段都可以存放攻擊代碼，最常見的是利用棧CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第17頁!典型的拒絕服務(wù)攻擊有如下兩種形式：資源耗盡和資源過載。當(dāng)一個對資源的合理請求大大超過資源的支付能力時就會造成拒絕服務(wù)攻擊（例如，對已經(jīng)滿載的Web服務(wù)器進行過多的請求。）拒絕服務(wù)攻擊還有可能是由于軟件的弱點或者對程序的錯誤配置造成的。區(qū)分惡意的拒絕服務(wù)攻擊和非惡意的服務(wù)超載依賴于請求發(fā)起者對資源的請求是否過份，從而使得其他的用戶無法享用該服務(wù)資源。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第18頁!PingofDeath：發(fā)送長度超過65535字節(jié)的ICMPEchoRequest數(shù)據(jù)包導(dǎo)致目標(biāo)機TCP/IP協(xié)議棧崩潰，系統(tǒng)死機或重啟。Teardrop：發(fā)送特別構(gòu)造的IP數(shù)據(jù)包，導(dǎo)致目標(biāo)機TCP/IP協(xié)議棧崩潰，系統(tǒng)死鎖。Synflooding：發(fā)送大量的SYN包。Land：發(fā)送TCPSYN包，包的SRC/DSTIP相同，SPORT/DPORT相同，導(dǎo)致目標(biāo)機TCP/IP協(xié)議棧崩潰，系統(tǒng)死機或失去響應(yīng)。Winnuke：發(fā)送特別構(gòu)造的TCP包，使得Windows機器藍(lán)屏。Smurf：攻擊者冒充服務(wù)器向一個網(wǎng)段的廣播地址發(fā)送ICMPecho包，整個網(wǎng)段的所有系統(tǒng)都向此服務(wù)器回應(yīng)icmpreply包。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第19頁!DDoS攻擊步驟示意

CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第20頁!DDoS攻擊步驟示意

CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第21頁!破解PDF密碼CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第22頁!破解系統(tǒng)密碼CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第23頁!網(wǎng)絡(luò)嗅探與協(xié)議分析是一種被動的偵察手段，使用嗅探監(jiān)聽軟件，對網(wǎng)絡(luò)中的數(shù)據(jù)進行分析，獲取可用的信息。網(wǎng)絡(luò)監(jiān)聽可以使用專用的協(xié)議分析設(shè)備實現(xiàn)，也可使用SnifferPro4.7、TCPDump等軟件實現(xiàn)。SnifferPro是最常用的嗅探分析軟件，它可以實現(xiàn)數(shù)據(jù)包捕獲、數(shù)據(jù)包統(tǒng)計、過濾數(shù)據(jù)包、數(shù)據(jù)包解碼等功能，功能解碼可以獲取很多有用的信息，如用戶名、密碼及數(shù)據(jù)包內(nèi)容。網(wǎng)絡(luò)入侵技術(shù)----嗅探與協(xié)議分析CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第24頁!社會工程學(xué)（SocialEngineering），是一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法。20世紀(jì)70年代末期，一個叫做斯坦利?馬克?瑞夫金（StanleyMarkRifkin）的年輕人成功地實施了史上最大的銀行劫案。他沒有雇用幫手、沒有使用武器、沒有天衣無縫的行動計劃，“甚至無需計算機的協(xié)助”，僅僅依靠一個進入電匯室的機會并打了三個電話，便成功地將一千零二十萬美元轉(zhuǎn)入自己在國外的個人賬戶。網(wǎng)絡(luò)入侵技術(shù)----社會工程學(xué)攻擊CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第25頁!本章小結(jié)本章從分析影響信息安全的人員入手，總結(jié)出網(wǎng)絡(luò)攻擊途徑，并將攻擊按實現(xiàn)的難易程度分為6個層次；結(jié)合網(wǎng)絡(luò)攻擊的案例，說明網(wǎng)絡(luò)攻擊的一般步驟；最后介紹了目前常見的網(wǎng)絡(luò)入侵技術(shù)，以此提醒網(wǎng)絡(luò)用戶時刻關(guān)注自己的系統(tǒng)安全。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第26頁!電磁泄露)))))))))))CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第27頁!CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第28頁!2.1安全問題的起源和常見威脅2.1.4網(wǎng)絡(luò)與應(yīng)用風(fēng)險——威脅和攻擊對數(shù)據(jù)通信系統(tǒng)的威脅包括：對通信或網(wǎng)絡(luò)資源的破壞對信息的濫用、訛用或篡改信息或網(wǎng)絡(luò)資源的被竊、刪除或丟失信息的泄露服務(wù)的中斷和禁止威脅和攻擊的來源

內(nèi)部操作不當(dāng)內(nèi)部管理不嚴(yán)造成系統(tǒng)安全管理失控來自外部的威脅和犯罪CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第29頁!2.1安全問題的起源和常見威脅2.1.5管理風(fēng)險安全大師BruceSchneier：“安全是一個過程(Process），而不是一個產(chǎn)品（Product）”。單純依靠安全設(shè)備是不夠的，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、人以及他們之間的相互關(guān)系和接口的系統(tǒng)。網(wǎng)絡(luò)與信息系統(tǒng)的實施主體是人，安全設(shè)備與安全策略最終要依靠人才能應(yīng)用與貫徹。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第30頁!安全威脅的來源不可控制的自然災(zāi)害，如地震、雷擊惡意攻擊、違紀(jì)、違法和計算機犯罪人為的無意失誤和各種各樣的誤操作計算機硬件系統(tǒng)的故障軟件的“后門”和漏洞安全威脅主要來自以下幾個方面：CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第31頁!實施安全威脅的人員心存不滿的員工軟硬件測試人員技術(shù)愛好者好奇的年青人黑客（Hacker）破壞者（Cracker）以政治或經(jīng)濟利益為目的的間諜CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第32頁!個人信息泄露：人人都在“裸奔”白領(lǐng)名錄股民信息豪車車主名單老板手機號碼家長信息新生兒信息房東信息電信機構(gòu)需要注冊的網(wǎng)站銀行保險公司各類中介教育機構(gòu)政府部門醫(yī)院你的職業(yè)和單位地址、教育背景、銀行存款、機動車登記信息，甚至消費習(xí)慣、指紋、血型、病史……

CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第33頁!181512963181512963MelissaLoveletterKournikovaCodeRedNimdaGonerKlezWhat’sNext感染一萬臺所需小時布置對抗措施所需時間CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第34頁!網(wǎng)絡(luò)攻擊的層次網(wǎng)絡(luò)攻擊的層次層攻擊：層攻擊基于應(yīng)用層的操作，這些攻擊的目的只是為了干擾目標(biāo)的正常工作。第二層攻擊：第二層攻擊指本地用戶獲得不應(yīng)獲得的文件(或目錄)讀權(quán)限。第三層攻擊：在第二層的基礎(chǔ)上發(fā)展成為使用戶獲得不應(yīng)獲得的文件(或目錄)寫權(quán)限。第四層攻擊：第四層攻擊主要指外部用戶獲得訪問內(nèi)部文件的權(quán)利。第五層攻擊：第五層攻擊指非授權(quán)用戶獲得特權(quán)文件的寫權(quán)限。第六層攻擊：第六層攻擊指非授權(quán)用戶獲得系統(tǒng)管理員的權(quán)限或根權(quán)限。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第35頁!2.5網(wǎng)絡(luò)入侵技術(shù)任何以干擾、破壞網(wǎng)絡(luò)系統(tǒng)為目的的非授權(quán)行為都稱之為網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊實際上是針對安全策略的違規(guī)行為、針對授權(quán)的濫用行為與針對正常行為特征的異常行為的總和。網(wǎng)絡(luò)主要攻擊手段CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第36頁!網(wǎng)絡(luò)入侵技術(shù)----漏洞攻擊漏洞攻擊：利用軟件或系統(tǒng)存在的缺陷實施攻擊。漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。

緩沖區(qū)溢出漏洞攻擊：通過向程序的緩沖區(qū)寫入超過其長度的數(shù)據(jù)，造成溢出，從而破壞程序的堆棧，轉(zhuǎn)而執(zhí)行其它的指令，達到攻擊的目的。RPC漏洞、SMB漏洞、打印漏洞MS05-027:SMB中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼2005年6月MS07-063：SMBv2中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼發(fā)布日期：十二月11,2007

MicrosoftSecurityBulletinMS08-063–ImportantVulnerabilityinSMBCouldAllowRemoteCodeExecution(957095)Microsoft安全公告MS09-001-嚴(yán)重SMB中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼(958687)發(fā)布日期：一月13,2009MS10-006:SMB客戶端中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼發(fā)布日期：

二月

9,

2010MS10-012:SMB服務(wù)器中可能允許遠(yuǎn)程執(zhí)行代碼漏洞2010-02-10SMB簡介SMB是ServerMessageBlock的簡寫，這個協(xié)議用于共享文件，共享打印機，共享串口等用途。我們之所以能夠在windows的網(wǎng)絡(luò)鄰居下訪問一個域內(nèi)的其他機器，就是通過這個協(xié)議實現(xiàn)的。SMB協(xié)議是一個很重要的協(xié)議，目前絕大多數(shù)的PC上都在運行這一協(xié)議，windows系統(tǒng)都充當(dāng)著SMB協(xié)議的客戶端和服務(wù)器，所以SMB是一個遵循客戶機服務(wù)器模式的協(xié)議。SMB服務(wù)器負(fù)責(zé)通過網(wǎng)絡(luò)提供可用的共享資源給SMB客戶機，服務(wù)器和客戶機之間通過TCP/IP協(xié)議、或者IPX協(xié)議、或者是NetBEUI進行連接。一旦服務(wù)器和客戶機之間建立了一個連接，客戶機就可以通過向服務(wù)器發(fā)送命令完成共享操作，比如讀，寫，檢索等。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第37頁!向緩沖區(qū)寫入超過緩沖區(qū)長度的內(nèi)容，造成緩沖區(qū)溢出，破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，達到攻擊的目的。原因：程序中缺少錯誤檢測:voidfunc(char*str){ charbuf[16];strcpy(buf,str);}如果str的內(nèi)容多于16個非0字符，就會造成buf的溢出，使程序出錯。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第38頁!類似函數(shù)有strcat、sprintf、vsprintf、gets、scanf等一般溢出會造成程序讀/寫或執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā)segmentationfault異常退出.如果在一個suid程序中特意構(gòu)造內(nèi)容，可以有目的的執(zhí)行程序，如/bin/sh，得到root權(quán)限。CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第39頁!拒絕服務(wù)攻擊（DoS）：通過各種手段來消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源，或者攻擊系統(tǒng)缺陷，使系統(tǒng)的正常服務(wù)陷于癱瘓狀態(tài)，不能對正常用戶進行服務(wù)，從而實現(xiàn)拒絕正常用戶的服務(wù)訪問。分布式拒絕服務(wù)攻擊：DDoS，攻擊規(guī)模更大，危害更嚴(yán)重。實例：SYN-Flood洪水攻擊，Land攻擊，Smurf攻擊，UDP-Flood攻擊，WinNuke攻擊（139）等。網(wǎng)絡(luò)入侵技術(shù)----拒絕服務(wù)攻擊CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第40頁!以下的兩種情況最容易導(dǎo)致拒絕服務(wù)攻擊：由于程序員對程序錯誤的編制，導(dǎo)致系統(tǒng)不停的建立進程，最終耗盡資源，只能重新啟動機器。不同的系統(tǒng)平臺都會采取某些方法可以防止一些特殊的用戶來占用過多的系統(tǒng)資源，我們也建議盡量采用資源管理的方式來減輕這種安全威脅。還有一種情況是由磁盤存儲空間引起的。假如一個用戶有權(quán)利存儲大量的文件的話，他就有可能只為系統(tǒng)留下很小的空間用來存儲日志文件等系統(tǒng)信息。這是一種不良的操作習(xí)慣，會給系統(tǒng)帶來隱患。這種情況下應(yīng)該對系統(tǒng)配額作出考慮。

CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第41頁!DDoS攻擊步驟示意

CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第42頁!DDoS攻擊步驟示意

CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第43頁!入侵者常常采用下面幾種方法獲取用戶的密碼口令：弱口令掃描Sniffer密碼嗅探暴力破解社會工程學(xué)（即通過欺詐手段獲取）木馬程序或鍵盤記錄程序。。。。。。網(wǎng)絡(luò)入侵技術(shù)----口令攻擊CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第44頁!破解OF密碼CH02網(wǎng)絡(luò)攻擊行為分析共49頁，您現(xiàn)在瀏覽的是第45頁!一個開放的網(wǎng)絡(luò)端口就是一條與計算機進行通信的信道，對網(wǎng)絡(luò)端口的掃描可以得到目標(biāo)計算機開放的服務(wù)程序、運行的系統(tǒng)版本信息，從而為下一步的入侵做好準(zhǔn)備。掃描是采取模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞逐