05-網(wǎng)絡入侵技術(shù)-3nd-short解析

網(wǎng)絡入侵技術(shù)1入侵的一般過程預攻擊內(nèi)容：獲得域名及IP分布獲得拓撲及OS等獲得端口和服務獲得應用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進行進一步攻擊決策攻擊內(nèi)容：獲得遠程權(quán)限進入遠程系統(tǒng)提升本地權(quán)限進一步擴展權(quán)限進行實質(zhì)性操作目的：進行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：植入后門木馬刪除日志修補明顯的漏洞進一步滲透擴展目的：消除痕跡，長期維持一定的權(quán)限2入侵攻擊的種類預攻擊階段端口掃描漏洞掃描操作系統(tǒng)類型鑒別網(wǎng)絡拓撲分析攻擊階段緩沖區(qū)溢出攻擊操作系統(tǒng)漏洞應用效勞缺陷腳本程序漏洞攻擊口令攻擊錯誤及弱配置攻擊網(wǎng)絡哄騙與劫持攻擊后攻擊階段后門木馬痕跡擦除其它攻擊種類拒絕效勞攻擊嗅探攻擊惡意網(wǎng)頁攻擊社會工程攻擊3信息收集—非技術(shù)手段合法途徑從目標機構(gòu)的網(wǎng)站獵取新聞報道，出版物新聞組或論壇社會工程手段假冒他人，獵取第三方的信任搜尋引擎4社會工程學攻擊

社交工程是使用計策和假情報去獲得密碼和其他敏感信息的科學，爭論一個站點的策略其中之一就是盡可能多的了解這個組織的個體，因此黑客不斷試圖查找更加精妙的方法從他們希望滲透的組織那里獲得信息。例：一組高中學生曾經(jīng)想要進入一個當?shù)氐墓镜挠嬎銠C網(wǎng)絡，他們擬定了一個表格，調(diào)查看上去顯得是無害的個人信息，例如全部秘書和行政人員和他們的配偶、孩子的名字，這些從學生轉(zhuǎn)變成的黑客說這種簡潔的調(diào)查是他們社會爭論工作的一局部。利用這份表格這些學生能夠快速的進入系統(tǒng)，由于網(wǎng)絡上的大多數(shù)人是使用寵物和他們配偶名字作為密碼。5社會工程學攻擊

目前社會工程學攻擊主要包括兩種方式：打懇求密碼和偽造Email打懇求密碼盡管不像前面爭論的策略那樣聰明，打?qū)柮艽a也常常奏效。在社會工程中那些黑客冒充失去密碼的合法雇員，常常通過這種簡潔的方法重新獲得密碼。偽造Email使用telnet一個黑客可以截取任何一個身份證發(fā)送Email的全部信息，這樣的Email消息是真的，由于它發(fā)自于一個合法的用戶。一個冒充系統(tǒng)治理員或經(jīng)理的黑客就能較為輕松的獲得大量的信息，黑客就能實施他們的惡意陰謀。6信息收集—技術(shù)手段PingTracert/TracerouteRusers/FingerHost/nslookup7端口掃描目的推斷目標主機開啟了哪些端口及其對應的效勞常規(guī)掃描技術(shù)調(diào)用connect函數(shù)直接連接被掃描端口無須任何特殊權(quán)限速度較慢，易被記錄高級掃描技術(shù)利用探測數(shù)據(jù)包的返回信息〔例如RST〕來進展間接掃描較為隱蔽，不易被日志記錄或防火墻覺察8TCPSYN掃描也叫半開式掃描利用TCP連接三次握手的第一次進展掃描被掃描主機開放的端口不提供服務的端口防火墻過濾的端口

掃描器SYNSYNSYNSYN+ACK握手RST重置沒有回應或者其他9端口掃描工具Nmap簡介被稱為“掃描器之王”有forUnix和forWin的兩種版本需要Libpcap庫和Winpcap庫的支持能夠進展一般掃描、各種高級掃描和操作系統(tǒng)類型鑒別等使用-sS：半開式掃描-sT:一般connect掃描-sU：udp端口掃描-O：操作系統(tǒng)鑒別-P0：強行掃描〔無論是否能夠ping通目標〕-p：指定端口范圍-v：具體模式10NmapWin11端口掃描工具SuperScan簡介基于Windows平臺速度快，圖形化界面最新版本為4.0使用傻瓜化12漏洞掃描依據(jù)目標主機開放的不同應用和效勞來掃描和推斷是否存在或可能存在某些漏洞樂觀意義進展網(wǎng)絡安全評估為網(wǎng)絡系統(tǒng)的加固供給先期預備消極意義被網(wǎng)絡攻擊者加以利用來攻陷目標系統(tǒng)或獵取重要的數(shù)據(jù)信息13漏洞掃描的種類系統(tǒng)漏洞掃描特定效勞的漏洞掃描WEB效勞數(shù)據(jù)庫效勞FTP效勞Mail效勞信息泄漏漏洞掃描用戶信息共享信息人為治理漏洞掃描弱口令錯誤配置網(wǎng)絡及治理設備漏洞掃描路由器、交換機SNMP設備14漏洞掃描工具Nessus構(gòu)架效勞器端：基于Unix系統(tǒng)客戶端：有GTK、Java和Win系統(tǒng)支持運作客戶端連接效勞器端，并下載插件和掃描策略真正的掃描由效勞器端發(fā)起兩者之間的通信通過加密認證優(yōu)勢：具有強大的插件功能完全免費，升級快速特殊適合作為網(wǎng)絡安全評估工具鏈接：15漏洞掃描工具X-Scan國人自主開發(fā)完全免費16安全漏洞掃描器安全漏洞掃描器的種類網(wǎng)絡型安全漏洞掃描器主機型安全漏洞掃描器數(shù)據(jù)庫安全漏洞掃描器安全漏洞掃描器的選用ISS〔InternetSecurityScanner〕：SSS〔ShadowSecurityScanner〕：RetinaNetworkSecurityScanner：LANguardNetworkSecurityScannerCyberCopScanner：NAI17SSS〔ShadowSecurityScanner〕18RetinaNetworkSecurityScanner19LANguardNetworkSecurityScanner20操作系統(tǒng)類型鑒別主要依據(jù)利用不同操作系統(tǒng)對各種連接懇求的不同反響和特征來推斷遠程主機操作系統(tǒng)的類型當使用足夠多的不同特征來進展推斷，操作系統(tǒng)的探測精度就能有很大保證21間接鑒別操作系統(tǒng)說明不直接進展掃描利用網(wǎng)絡應用效勞使用過程中的信息來推斷和分析操作系統(tǒng)類型，并得到其他有用信息如Telnet80端口查看WEB效勞器類型從而初步推斷操作系統(tǒng)類型這種方法難以被覺察防范對策修改效勞器上應用效勞的banner信息，到達迷惑攻擊者的目的22直接鑒別操作系統(tǒng)類型TCP/IP棧指紋探測技術(shù)各個操作系統(tǒng)在實現(xiàn)TCP/IP棧的時候有微小的不同，可以通過下面一些方法來進展判定TTL值Windows窗口值ToS類型DF標志位初始序列號〔ISN〕采樣MSS〔最大分段大小〕其他23TTL=4TTL=5TTL=6TTL=7TTL=8TTL=9TTL=3TTL=2destinationsourceTTL=10TTL〔TimeToLive〕24UNIX及類UNIX操作系統(tǒng) 255

CompaqTru645.0 64

微軟WindowsNT/2K 128

微軟Windows95 32

LINUXKernel2.2.x&2.4.xICMP 64

FreeBSD4.1,4.0,3.4;

SunSolaris2.5.1,2.6,2.7,2.8;

OpenBSD2.6,2.7,

NetBSD

HPUX10.20

ICMP回顯應答的TTL字段值為255TTL〔TimeToLive〕25目標主機操作系統(tǒng)識別技術(shù)

依據(jù)之前提到的高級掃描方式，直接進展的端口掃描，能夠賜予我們繞過防火墻的力氣，而且可以盡可能地隱蔽自己等等，但是，我們能夠得到的信息也是有限的，或許對是否開放一個端口并不是那么直接地感興趣，比方一個21端口，我們真正感興趣的是這個端口被用來作什么了，運行什么版本的程序，而不是僅僅翻開一個21端口就滿足了。也就是說，我們對下面得到地這個東西更感興趣〔關(guān)系到IP的地方，用X代替〕

C:\>ftpXXX.XXX.XXX.XXX

ConnectedtoXXX.XXX.XXX.XXX.

220XXXXXX2WS_FTPServer1.0.5(1327846197)

User(XXX.XXX.XXX.XXX:(none)):26目標主機操作系統(tǒng)識別技術(shù)

這就是一種最簡潔和最直接的判別方式，獲得程序版本變相地也讓我們能夠估量到目標的操作系統(tǒng)類別。我們可以對每個翻開的端口進展相應的連接，通常這些效勞程序就會特殊歡快地顯示自己的“banner”，也就讓我們能夠直接得到它是什么版本了。甚至，我們能夠得到更好的東西：

這讓我們對操作系統(tǒng)版本一覽無余了。正像這些只對80端口感興趣的“黑客”一樣，通過對80端口的連接，我們也能得到足夠多的信息。C:\>telnetXXX.XXX.XXX.XXX

RedHatLinuxrelease7.1(Seawolf)

Kernel2.4.2-2onani686

login:27目標主機操作系統(tǒng)識別技術(shù)

C:\>telnetXXX.XXX.XXX.XXX80

HEAD/HTTP/1.1

HTTP/1.1200OK

Via:1.1ADSL2023

Content-Length:97

Date:Thu,24Jan202313:46:56GMT

Content-Type:text/html

Server:Apache/1.3.20(Unix)PHP/4.0.6

Last-Modified:Wed,26Dec202309:22:54GMT

ETag:“8715f-61-3c2996ee“

Accept-Ranges:bytes

Keep-Alive:timeout=15,max=100可以留意到：，這里很明白地“奉獻”出WEB效勞器的軟件版本。

這樣直接的連接探測方式，對于這些banner開放的系統(tǒng)是特殊簡潔的。固然，負責的治理員也會屏蔽或者修改掉這些BANNER。

28目標主機操作系統(tǒng)識別技術(shù)

還有一種粗劣而且簡潔的判別主機操作系統(tǒng)類型的方法就是通過Ping，然后分析得到的TTL值，略微準確點可以同時再協(xié)作Tracert來確定主機原始的TTL值，不過，這種方法很簡潔被哄騙，比方，在WINDOWS系統(tǒng)中，對注冊表的修改：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Key:DefaultTTL

通過對DefaultTTL的修改，比方：修改成為255，偽裝成為一臺UNIX主機，就能夠造成探測者的錯誤推斷。29目標主機操作系統(tǒng)識別技術(shù)

對主機使用端口的分析，同樣也能夠進展操作系統(tǒng)識別，一些操作系統(tǒng)使用特殊的端口，比方：WINDOWS的137、139，WIN2K的445，而且一些網(wǎng)絡設備比方入侵檢測系統(tǒng)、防火墻等等也都有廠商自己的端口開放。30緩沖區(qū)溢出攻擊危害性據(jù)統(tǒng)計，緩沖區(qū)溢出攻擊占全部網(wǎng)絡攻擊總數(shù)的80%以上溢出成功后大都能直接拿到目標系統(tǒng)的最高權(quán)限身邊的例子RPCDCOM溢出IIS.ida/idq溢出IIS.printer溢出IISWebDav溢出Wu-ftpd溢出31緩沖區(qū)溢出原理通過往程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以到達攻擊的目的緩沖區(qū)溢出攻擊的對象在于那些具有某些特權(quán)〔如root或本地治理器〕運行的程序，這樣可以使得攻擊者取得該程序的把握權(quán)，假設該程序具有足夠的權(quán)限，那么整個主機就被把握了32緩沖區(qū)溢出原理voidfunction(char*szPara1){ charbuff[16]; strcpy(buffer,szPara1);}程序中利用strcpy函數(shù)將szPara1中的內(nèi)容拷貝到buff中，只要szPara1的長度大于16，就會造成緩沖區(qū)溢出。存在strcpy函數(shù)這樣問題的C語言函數(shù)還有：strcat、gets、scanf等33緩沖區(qū)溢出原理任憑往緩沖區(qū)填寫數(shù)據(jù)使它溢出一般只會消逝“分段錯誤”，而不能到達攻擊的目的。最常見的手段是通過制造緩沖區(qū)溢出訪程序運行一個用戶shell，再通過shell執(zhí)行其他命令，假設該shell有治理員權(quán)限，就可以對系統(tǒng)進展任意操作。34緩沖區(qū)溢出示意圖字符串變量數(shù)組函數(shù)返回點n字節(jié)輸入數(shù)據(jù)>n字節(jié),尾部為跳轉(zhuǎn)的地址緩沖區(qū)用戶輸入正常流程溢出改變流程字符串變量數(shù)組函數(shù)返回點n字節(jié)輸入數(shù)據(jù)<n字節(jié)緩沖區(qū)用戶輸入正常流程35程序溢出時的表現(xiàn)SegmentationFault(coredumped)36緩沖區(qū)溢出——RPC漏洞溢出

遠程過程調(diào)用RPC〔RemoteProcedureCall)，是操作系統(tǒng)的一種消息傳遞功能，允許應用程序呼叫網(wǎng)絡上的計算機。當系統(tǒng)啟動的時候，自動加載RPC效勞。可以在效勞列表中看到系統(tǒng)的RPC效勞，如圖37緩沖區(qū)溢出——RPC漏洞溢出

遠程過程調(diào)用RPC〔RemoteProcedureCall)，是操作系統(tǒng)的一種消息傳遞功能，允許應用程序呼叫網(wǎng)絡上的計算機。當系統(tǒng)啟動的時候，自動加載RPC效勞?？梢栽谛诹斜碇锌吹较到y(tǒng)的RPC效勞。RPC效勞不能手動停頓，在Windows操作系統(tǒng)中可以利用工具停頓該效勞，停頓該效勞以后，最明顯的特征是當復制文件時，鼠標右鍵菜單項“粘貼”總是禁用的。38緩沖區(qū)溢出——利用RPC漏洞建立超級用戶

RPC溢出漏洞，對SP4也適用，必需打?qū)Ｓ醚a丁。利用工具scanms.exe文件檢測RPC漏洞，該工具是ISS安全公司2023年7月30日公布的，運行在命令行下用來檢測指定IP地址范圍內(nèi)機器是否已經(jīng)安裝了“DCOMRPC接口遠程緩沖區(qū)溢出漏洞〔823980-MS03-026〕”補丁程序。假設沒有安裝補丁程序，該IP地址就會顯示出“[VULN]”。首先拷貝該文件到C盤根名目，現(xiàn)在要檢查地址段到的主機，執(zhí)行命令 scanms.exe39緩沖區(qū)溢出——檢查緩沖區(qū)溢出漏洞40利用工具軟件attack.exe對進展攻擊。攻擊的結(jié)果將在對方計算機上建立一個具有治理員權(quán)限的用戶，并終止了對方的RPC效勞。新建用戶的用戶名和密碼都是qing10，這樣就可以登錄對方計算機了，RPC效勞停頓操作系統(tǒng)將有很多功能不能使用，特殊簡潔被治理員覺察，使用工具軟件OpenRpcSs.exe來給對方重啟RPC效勞。攻擊的全過程如以以下圖。緩沖區(qū)溢出——檢查緩沖區(qū)溢出漏洞41緩沖區(qū)溢出——攻擊的全過程

42利用OpenRpcSs.exe重啟對方RPC效勞之后，可以不引起治理員的留意，但是卻在對方主機中建立了一個具有治理員權(quán)限的帳號qing10，之后就可以利用這個賬戶進展遠程登錄，獵取信息。緩沖區(qū)溢出——檢查緩沖區(qū)溢出漏洞43在輸入登錄賬戶和口令后，可以連續(xù)獲得對方主機信息。緩沖區(qū)溢出——檢查緩沖區(qū)溢出漏洞44遠程把握技術(shù)概念危害性進展歷程技術(shù)類型45特洛伊木馬的來歷希臘人攻打特洛伊城十年，始終未獲成功，后來建筑了一個大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當作是獻給雅典娜的禮物搬入城中。晚上，木馬中隱蔽的希臘將士沖出來翻開城門，希臘將士里應外合消滅了特洛伊城。后來我們把進入敵人內(nèi)部攻破防線的手段叫做木馬計，木馬計中使用的里應外合的工具叫做特洛伊木馬來源于希臘神話中的特洛伊戰(zhàn)斗46遠程把握技術(shù)遠程把握實際上是包含有效勞器端和客戶端的一套程序效勞器端程序駐留在目標計算機里，隨著系統(tǒng)啟動而自行啟動。此外，使用傳統(tǒng)技術(shù)的程序會在某端口進展監(jiān)聽，假設接收到數(shù)據(jù)就對其進展識別，然后依據(jù)識別后的命令在目標計算機上執(zhí)行一些操作〔比方竊取口令，拷貝或刪除文件，或重啟計算機等〕攻擊者一般在入侵成功后，將效勞端程序拷貝到目標計算機中，并設法使其運行，從而留下后門。日后，攻擊者就能夠通過運行客戶端程序，來對目標計算機進展操作47遠程把握技術(shù)的進展歷程第一代功能簡潔、技術(shù)單一，如簡潔的密碼竊取和發(fā)送等其次代在技術(shù)上有了很大的進步，如國外的BO2023，國內(nèi)的冰河等第三代為了躲避防火墻而在數(shù)據(jù)傳遞技術(shù)上做了不小的改進，比方利用ICMP協(xié)議以及承受反彈端口的連接模式第四代爭論操作系統(tǒng)底層，在進程隱蔽方面有了很大的突破48傳統(tǒng)的遠程把握步驟49如何遠程植入程序直接攻擊電子郵件文件下載掃瞄網(wǎng)頁+合并文件經(jīng)過偽裝的木馬被植入目標機器50遠程受控端程序的自啟動Windows啟動名目注冊表啟動Run(RunOnce/RunOnceEx/RunServices〕KnownDLLs修改文件關(guān)聯(lián)方式系統(tǒng)配置文件啟動Win.iniSystem.ini效勞啟動其他啟動51遠程受控端程序的隱蔽在任務欄〔包括任務治理器〕中隱蔽自己初步隱蔽注冊為系統(tǒng)效勞不適用于Win2k/NT啟動時會先通過窗口名來確定是否已經(jīng)在運行，假設是則不再啟動防止過多的占用資源進程隱蔽遠程線程插入其他進程〔不適用于Win9X〕Hook技術(shù)52遠程把握數(shù)據(jù)傳輸方式ICMP協(xié)議傳送反彈端口+HTTP隧道技術(shù)53反彈端口連接模式>1024反彈式的遠程控制程序防火墻IP數(shù)據(jù)包過濾目標主機Windows系統(tǒng)騙取系統(tǒng)IE進程木馬線程正常線程進入合法應用程序正常線程…InternetExplorer瀏覽網(wǎng)頁端口監(jiān)聽端口傳統(tǒng)遠程控制程序54遠程把握的防范遠程端口掃描本地進程—端口觀看Fport/VisionAntiyPortsAPorts本地進程觀看PslistListdlls注冊表監(jiān)控Regmon文件監(jiān)控Filemon使用專用的查殺工具加強使用者的安全意識55Vision56AntiyPorts57使用“冰河”進展遠程把握“冰河”包含兩個程序文件，一個是效勞器端，另一個是客戶端?！氨?.2”的文件列表如以以下圖58使用“冰河”進展遠程把握win32.exe文件是效勞器端程序，Y_Client.exe文件為客戶端程序。將win32.exe文件在遠程得計算機上執(zhí)行以后，通過Y_Client.exe文件來把握遠程得效勞器，客戶端的主界面如圖59使用“冰河”進展遠程把握將效勞器程序種到對方主機之前需要對效勞器程序做一些設置，比方連接端口，連接密碼等。選擇菜單欄“設置”下的菜單項“配置效勞器程序”，如圖60使用“冰河”進展遠程把握在消逝的對話框中選擇效勞器端程序win32.exe進展配置，并填寫訪問效勞器端程序的口令，這里設置為“1234567890”，如圖61使用“冰河”進展遠程把握點擊按鈕“確定”以后，就將“冰河”的效勞器種到某一臺主機上了。執(zhí)行完win32.exe文件以后，系統(tǒng)沒有任何反響，其實已經(jīng)更改了注冊表，并將效勞器端程序和文本文件進展了關(guān)聯(lián)，當用戶雙擊一個擴展名為txt的文件的時候，就會自動執(zhí)行冰河效勞器端程序。當計算機感染了“冰河”以后，查看被修改后的注冊表，如圖62使用“冰河”進展遠程把握沒有中冰河的狀況下，該注冊表項應當是使用notepad.exe文件來翻開txt文件，而圖中的“SYSEXPLR.EXE”其實就是“冰河”的效勞器端程序。63使用“冰河”進展遠程把握目標主機中了冰河了，可以利用客戶端程序來連接效勞器端程序。在客戶端添加主機的地址信息，這里的密碼是就是剛剛設置的密碼“1234567890”。如圖64使用“冰河”進展遠程把握點擊按鈕“確定”以后，查看對方計算機的根本信息了，對方計算機的名目列表如圖65使用“冰河”進展遠程把握從圖中可以看出，可以在對方計算機上進展任意的操作。除此以外還可以查看并把握對方的屏幕等等，如圖66DoS與DDoS攻擊DoS(DenialofService)攻擊的中文含義是拒絕效勞攻擊DDoS(DistributedDenialofService)攻擊的中文含義是分布式拒絕效勞攻擊67拒絕效勞攻擊的種類發(fā)送大量的無用懇求，致使目標網(wǎng)絡系統(tǒng)整體的網(wǎng)絡性能大大降低，喪失與外界通信的力氣。利用網(wǎng)絡效勞以及網(wǎng)絡協(xié)議的某些特性，發(fā)送超出目標主機處理力氣的效勞懇求，導致目標主機喪失對其他正常效勞懇求的響應力氣。利用系統(tǒng)或應用軟件上的漏洞或缺陷，發(fā)送經(jīng)過特殊構(gòu)造的數(shù)據(jù)包，導致目標的癱瘓〔稱之為nuke)68拒絕效勞攻擊典型舉例SynFloodSmurfPingFloodUDPFlooder69拒絕效勞攻擊—SynFlood1996年9月以來，很多Internet站點患病了一種稱為SYN風暴〔SYNFlood〕的拒絕效勞攻擊。它是通過創(chuàng)立大量“半連接”來進展攻擊，任何連接到Internet上并供給基于TCP的網(wǎng)絡效勞〔如WWW效勞、FTP效勞、郵件效勞等〕的主機都可能患病這種攻擊。70拒絕效勞攻擊—SynFlood正常的TCP/IP三次握手SynFlood攻擊服務器

客戶端SYNSYN+ACKACK握手完成，開始傳送數(shù)據(jù)，系統(tǒng)消耗很少被攻擊主機攻擊主機偽造源地址不存在的主機不斷重試及等待，消耗系統(tǒng)資源不響應SYNSYN+ACK71拒絕效勞攻擊—SynFlood針對不同的系統(tǒng)，攻擊的結(jié)果可能不同，但是攻擊的根本都是利用這些系統(tǒng)中的TCP/IP協(xié)議族的設計弱點和缺陷。只有對現(xiàn)有TCP/IP協(xié)議族進展重大轉(zhuǎn)變才能修正這些缺陷。目前還沒有一個完整的解決方案，但是可以實行一些措施盡量降低這種攻擊發(fā)生的可能性，減小損失。72SynFlood的防范對策2-1優(yōu)化系統(tǒng)配置： 縮短超時時間，使得無效的半連接能夠盡快釋放；增加TCP監(jiān)聽套接字半連接隊列的最大長度，使得系統(tǒng)能夠同時處理更多的半連接優(yōu)化路由配置： 配置路由器的外網(wǎng)卡，丟棄那些來自外部網(wǎng)而源IP地址具有內(nèi)部網(wǎng)絡地址的包；配置路由器的內(nèi)網(wǎng)卡，丟棄那些馬上發(fā)到外部網(wǎng)而源IP地址不具有內(nèi)部網(wǎng)絡地址的包。這種方法不能完全杜絕SYN風暴攻擊，但是能夠有效地削減攻擊的可能。73SynFlood的防范對策2-2完善根底設施： 現(xiàn)有網(wǎng)絡體系構(gòu)造沒有對源IP地址進展檢查的機制，同時也不具備追蹤網(wǎng)絡包的物理傳輸路徑的機制，使得覺察并懲治作惡者也很難。而且很多攻擊手段都是利用現(xiàn)有網(wǎng)絡協(xié)議的缺陷，因此，對整個網(wǎng)絡體系構(gòu)造的再改造特殊重要。使用防火墻： 實現(xiàn)半透亮網(wǎng)關(guān)技術(shù)的防火墻能夠有效地防范SYN風暴攻擊主動監(jiān)視： 監(jiān)視TCP/IP流量74Smurf攻擊是以最初發(fā)動這種攻擊的程序名Smurf來命令的。這種攻擊方法結(jié)合使用了IP哄騙和帶有播送地址的ICMP懇求－響應方法使大量網(wǎng)絡傳輸布滿目標系統(tǒng)，引起目標系統(tǒng)拒絕為正常系統(tǒng)進展效勞，屬于間接、借力攻擊方式。任何連接到互聯(lián)網(wǎng)上的主機或其他支持ICMP懇求－響應的網(wǎng)絡設備都可能成為這種攻擊的目標。拒絕效勞攻擊—Smurf攻擊75拒絕效勞攻擊—Smurf攻擊攻擊者目標受害者目標機器會接收很多來自中間脆弱網(wǎng)絡的懇求中間脆弱網(wǎng)絡broadcastechorequest源地址被哄騙為被攻擊主機地址76Smurf的防范對策3-1針對中間網(wǎng)絡： 在路由器的每個端口關(guān)閉IP播送包的轉(zhuǎn)發(fā)設置； 可能的狀況下，在網(wǎng)絡邊界處使用訪問把握列表ACL，過濾掉全部目標地址為本網(wǎng)絡播送地址的包； 對于不供給穿透效勞的網(wǎng)絡，可以在出口路由器上過濾掉全部源地址不是本網(wǎng)絡的數(shù)據(jù)包； 配置主機的操作系統(tǒng)，使其不響應帶有播送地址的ICMP包77Smurf的防范對策3-2針對目標受害者： 沒有什么簡潔的解決方法能夠幫助受害主機，當攻擊發(fā)生時，應盡快重新配置其所在的網(wǎng)絡的路由器，以堵塞這些ICMP響應包。但是受害主機的路由器和受害主機ISP之間的擁塞不行避開。同時，也可以通知中間網(wǎng)絡的治理者協(xié)同解決攻擊大事。78Smurf的防范對策3-3針對發(fā)起攻擊的主機及其網(wǎng)絡： Smurf攻擊通常會使用哄騙性源地址發(fā)送echo懇求，因此在路由器上配置其過濾規(guī)章，丟棄那些馬上發(fā)到外部網(wǎng)絡而源IP地址不具有內(nèi)部網(wǎng)絡地址的包。這種方法盡管不能消滅IP哄騙的包，卻能有效降低攻擊發(fā)生的可能性。79其它拒絕效勞攻擊Fraggle〔Smurf攻擊的變種〕PingofDeathLandTearDropIP哄騙80其它拒絕效勞攻擊Fraggle攻擊Fraggle攻擊實際上就是對Smurf攻擊作了簡潔的修改，使用的是UDP應答消息而非ICMP。81其它拒絕效勞攻擊PingofDeath攻擊 攻擊者有意創(chuàng)立一個長度大于65535〔IP協(xié)議中規(guī)定最大的IP包長為65535個字節(jié)〕ping包，并將該包發(fā)送到目標受害主機，由于目標主機的效勞程序無法處理過大的包，而引起系統(tǒng)崩潰、掛起或重啟。 這種攻擊已經(jīng)不適用了，目前全部的操作系統(tǒng)開發(fā)商都對此進展了修補或升級。82其它拒絕效勞攻擊Land攻擊〔LandAttack〕 Land也是一個特殊有效的攻擊工具，它對當前流行的大局部操作系統(tǒng)及一局部路由器都具有相當?shù)墓袅?。攻擊者利用目標受害系統(tǒng)的自身資源實現(xiàn)攻擊意圖。由于目標受害系統(tǒng)具有漏洞和通信協(xié)議的弱點，這樣就給攻擊者供給了攻擊的時機。 如：攻擊者不斷地向被攻擊的計算機發(fā)送具有源IP地址和目的IP地址完全一樣，TCP源端口和目的端口也完全一樣的的偽造TCPSYN包，導致該計算機系統(tǒng)向自己發(fā)送響應信息，最終被攻擊的計算機系統(tǒng)將會無法承受過多的流量而癱瘓或重啟。83其它拒絕效勞攻擊Teardrop攻擊 一個IP分組在網(wǎng)絡中傳播的時候，由于沿途各個鏈路的最大傳輸單元不同，路由器常常會對IP包進展分組，馬上一個包分成一些片段，使每段都足夠小，以便通過這個狹窄的鏈路。每個片段將具有自己完整的IP包頭，其大局部內(nèi)容和最初的包頭一樣。Teardrop攻擊就是利用IP包的分段/重組技術(shù)在系統(tǒng)實現(xiàn)的一個的錯誤。84其它拒絕效勞攻擊Teardrop攻擊〔cont.〕攻擊特征：向被攻擊者發(fā)送多個分片的IP包〔IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個數(shù)據(jù)包，以及在數(shù)據(jù)包中的位置等信息〕，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會消逝系統(tǒng)崩潰、重啟等現(xiàn)象。利用包重組時重疊偏移〔假設數(shù)據(jù)包中其次片IP包的偏移量小于第一片完畢的位移，而且算上其次片IP包的Data，也未超過第一片的尾部，這就是重疊現(xiàn)象〕的漏洞對系統(tǒng)主機發(fā)動拒絕效勞攻擊，最終導致主機菪掉；對于Windows系統(tǒng)會導致藍屏死機，并顯示STOP0x0000000A錯誤。檢測方法：對接收到的分片數(shù)據(jù)包進展分析，計算數(shù)據(jù)包的片偏移量〔Offset〕是否有誤。反攻擊方法：添加系統(tǒng)補丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進展審計。85IP哄騙這種攻擊利用RST位來實現(xiàn)。假設現(xiàn)在有一個合法用戶(0)已經(jīng)同效勞器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為0，并向效勞器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。效勞器接收到這樣的數(shù)據(jù)后，認為從發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，假設合法用戶再發(fā)送合法數(shù)據(jù)，效勞器就已經(jīng)沒有這樣的連接了，該用戶就必需從新開頭建立連接。攻擊時，攻擊者會偽造大量的IP地址，向目標發(fā)送RST數(shù)據(jù)，使效勞器不對合法用戶效勞，從而實現(xiàn)了對受害效勞器的拒絕效勞攻擊。其它拒絕效勞攻擊86分布式拒絕效勞攻擊DDoS是DoS攻擊的延長，威力巨大，具體攻擊方式多種多樣。分布式拒絕效勞攻擊就是利用一些自動化或半自動化的程序把握很多分布在各個地方的主機同時拒絕效勞攻擊同一目標。攻擊一般會承受IP地址哄騙技術(shù)，隱蔽自己的IP地址，所以很難追查。87分布式拒絕效勞攻擊示意圖88分布式拒絕效勞攻擊步驟探測掃描大量主機以查找可入侵的目標；入侵有安全漏洞的主機并獵取把握權(quán)，在每臺入侵主機中安裝DDoS代理端/分布端；構(gòu)造浩大的、分布式攻擊網(wǎng)絡；通過主控端和代理端/分布端，在同一時刻，由分布的成千上萬臺主機向同一目標地址發(fā)出攻擊，目標系統(tǒng)全線崩潰。89DoS與DDoS的區(qū)分被攻擊者

90分布式拒絕效勞攻擊

防范對策2-1對于分布式攻擊，目前仍無特殊有效的方法來防范根本的防范對策準時地給系統(tǒng)打補丁，設置正確的安全策略定期檢查系統(tǒng)安全：檢查是否被安裝了DDoS攻擊程序，是否存在后門等建立資源安排模型，設置閾值，統(tǒng)計敏感資源的使用狀況使用DNS來跟蹤匿名攻擊對于重要的WEB效勞器，為一個域名建立多個鏡像主機91分布式拒絕效勞攻擊

防范對策2-2根本的防范對策優(yōu)化路由器配置，包括：配置路由器的外網(wǎng)卡，丟棄那些來自外部網(wǎng)而源IP地址具有內(nèi)部網(wǎng)絡地址的包；配置路由器的內(nèi)網(wǎng)卡，丟棄那些馬上發(fā)到外部網(wǎng)絡而源IP地址不具有內(nèi)部網(wǎng)絡地址的包；設置TCP攔截；限制TCP連接超時閾值；制止IP播送包流入內(nèi)部網(wǎng)絡；制止外出的ICMP不行達信息。由于攻擊者掩蓋行蹤的手段不斷加強，很難在系統(tǒng)級的日志文件中查找到蛛絲馬跡。因此，第三方的日志分析系統(tǒng)能夠防止治理員更簡潔地保存線索92網(wǎng)絡監(jiān)聽攻擊源目的sniffer加密解密Password$%@&)*=-~`^,{93網(wǎng)絡監(jiān)聽攻擊的環(huán)境基于共享〔HUB〕環(huán)境的監(jiān)聽比較普遍實現(xiàn)較為簡潔基于交換〔Switch〕環(huán)境的監(jiān)聽根底是ARP哄騙技術(shù)94基于共享環(huán)境的監(jiān)聽共享以太網(wǎng)環(huán)境中，全部物理信號都會被傳送到每一個主機節(jié)點上去如將系統(tǒng)的網(wǎng)絡接口設定為混雜模式(Promiscuous)，則就能承受到一切監(jiān)聽到的數(shù)據(jù)幀，而不管其目的MAC地址是什么95共享環(huán)境監(jiān)聽的意義樂觀意義：便利網(wǎng)絡治理員進展治理和網(wǎng)絡故障分析消極意義：常被用來竊聽在網(wǎng)絡上以明文方式傳輸?shù)目诹詈唾~號密碼POP3郵件口令Ftp登錄口令Telnet登錄口令96共享環(huán)境監(jiān)聽的檢測基于主機的檢測簡潔的ifconfig命令，包括各種UNIX系統(tǒng)基于網(wǎng)絡的檢測針對系統(tǒng)硬件過濾和軟件過濾的檢測針對DNS反向域名解析的檢測針對網(wǎng)絡和主機響應時間的檢測使用專業(yè)的檢測工具AntiSniff〔有forwin和forunix的版本〕Promiscan97AntiSniff〔LOpht〕98口令入侵口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動獵取口令的途徑有：網(wǎng)絡監(jiān)聽口令猜測，暴力破解利用系統(tǒng)治理員的失誤99口令猜測攻擊口令猜測攻擊原理現(xiàn)行很多加密算法都單向不行逆攻擊者每次從攻擊字典中取出一個條目作為口令，使用一樣的加密算法進展加密，然后同密文進展比對