第八章-網(wǎng)絡(luò)攻擊與防范技術(shù)

第八章網(wǎng)絡(luò)攻擊與防范技術(shù)陳福明災(zāi)害信息工程系主要內(nèi)容網(wǎng)絡(luò)攻擊步驟預(yù)攻擊探測(cè)拒絕服務(wù)攻擊欺騙攻擊一、網(wǎng)絡(luò)攻擊步驟網(wǎng)絡(luò)中存在的安全威脅網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲一、網(wǎng)絡(luò)攻擊步驟攻擊手法vs.入侵者技術(shù)高低19801985199019952000密碼猜測(cè)可自動(dòng)復(fù)制的代碼破解密碼利用已知的漏洞破壞審計(jì)系統(tǒng)后門會(huì)話劫持消除痕跡嗅探IP欺騙GUI遠(yuǎn)程控制自動(dòng)探測(cè)掃描拒絕服務(wù)www攻擊攻擊手法與工具入侵者技術(shù)半開隱蔽掃描控制臺(tái)入侵檢測(cè)網(wǎng)絡(luò)管理DDOS攻擊一、網(wǎng)絡(luò)攻擊步驟典型攻擊步驟預(yù)攻擊探測(cè)收集信息,如OS類型,提供的服務(wù)端口發(fā)現(xiàn)漏洞,采取攻擊行為獲得攻擊目標(biāo)的控制權(quán)系統(tǒng)繼續(xù)滲透網(wǎng)絡(luò),直至獲取機(jī)密數(shù)據(jù)消滅蹤跡破解口令文件,或利用緩存溢出漏洞以此主機(jī)為跳板，尋找其它主機(jī)的漏洞獲得系統(tǒng)帳號(hào)權(quán)限，并提升為root權(quán)限安裝系統(tǒng)后門方便以后使用二、預(yù)攻擊探測(cè)預(yù)攻擊概述端口掃描操作系統(tǒng)識(shí)別資源掃描與查找用戶和用戶組查找二、預(yù)攻擊探測(cè)1.預(yù)攻擊概述Pingsweep

尋找存活主機(jī)Portscan

尋找存活主機(jī)的開放服務(wù)（端口）OSfingerprint

操作系統(tǒng)識(shí)別資源和用戶信息掃描網(wǎng)絡(luò)資源，共享資源，用戶名和用戶組等二、預(yù)攻擊探測(cè)Ping工具操作系統(tǒng)本身的ping工具

Ping:PacketInterNetGroper

判斷遠(yuǎn)程設(shè)備可訪問性最常用的方法。

Ping原理:發(fā)送ICMPEcho消息，等待EchoReply消息。每秒發(fā)送一個(gè)包，顯示響應(yīng)的輸出，計(jì)算網(wǎng)絡(luò)來回的時(shí)間。最后顯示統(tǒng)計(jì)結(jié)果——丟包率。二、預(yù)攻擊探測(cè)二、預(yù)攻擊探測(cè)Windows平臺(tái)Pinger、PingSweep、WS_PingProPack圖:Pinger工具二、預(yù)攻擊探測(cè)圖:PingSweep二、預(yù)攻擊探測(cè)

Ping工具都是通過ICMP協(xié)議來發(fā)送數(shù)據(jù)包，那么針對(duì)這種掃描的預(yù)防措施是:使用可以檢測(cè)并記錄ICMP掃描的工具使用入侵檢測(cè)系統(tǒng)在防火墻或路由器中設(shè)置允許進(jìn)出自己網(wǎng)絡(luò)的ICMP分組類型二、預(yù)攻擊探測(cè)2.端口掃描開放掃描(OpenScanning)需要掃描方通過三次握手過程與目標(biāo)主機(jī)建立完整的TCP連接可靠性高，產(chǎn)生大量審計(jì)數(shù)據(jù)，容易被發(fā)現(xiàn)半開放掃描(Half-OpenScanning)掃描方不需要打開一個(gè)完全的TCP連接秘密掃描(StealthScanning)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分隱蔽性好，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時(shí)容易被丟棄從而產(chǎn)生錯(cuò)誤的探測(cè)信息

二、預(yù)攻擊探測(cè)開放掃描TCPconnect()掃描原理掃描器調(diào)用socket的connect()函數(shù)發(fā)起一個(gè)正常的連接如果端口是打開的，則連接成功否則，連接失敗優(yōu)點(diǎn)簡(jiǎn)單，不需要特殊的權(quán)限缺點(diǎn)服務(wù)器可以記錄下客戶的連接行為，如果同一個(gè)客戶輪流對(duì)每一個(gè)端口發(fā)起連接，則一定是在掃描二、預(yù)攻擊探測(cè)半開放掃描

TCPSYN掃描原理向目標(biāo)主機(jī)的特定端口發(fā)送一個(gè)SYN包如果應(yīng)答包為RST包，則說明該端口是關(guān)閉的否則，會(huì)收到一個(gè)SYN|ACK包。于是，發(fā)送一個(gè)RST，停止建立連接由于連接沒有完全建立，所以稱為“半開連接掃描”優(yōu)點(diǎn)很少有系統(tǒng)會(huì)記錄這樣的行為缺點(diǎn)在UNIX平臺(tái)上，需要root權(quán)限才可以建立這樣的SYN數(shù)據(jù)包二、預(yù)攻擊探測(cè)秘密掃描TCPFin掃描原理掃描器發(fā)送一個(gè)FIN數(shù)據(jù)包如果端口關(guān)閉的，則遠(yuǎn)程主機(jī)丟棄該包，并送回一個(gè)RST包否則的話，遠(yuǎn)程主機(jī)丟棄該包，不回送優(yōu)點(diǎn)不是TCP建立連接的過程，所以比較隱蔽缺點(diǎn)與SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包在Windows平臺(tái)無效，總是發(fā)送RST包二、預(yù)攻擊探測(cè)端口掃描對(duì)策設(shè)置防火墻過濾規(guī)則，阻止對(duì)端口的掃描例如可以設(shè)置檢測(cè)SYN掃描而忽略FIN掃描使用入侵檢測(cè)系統(tǒng)禁止所有不必要的服務(wù)，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注釋掉不必要的服務(wù)，并在系統(tǒng)啟動(dòng)腳本中禁止其他不必要的服務(wù)Windows中通過Services禁止敏感服務(wù)，如IIS二、預(yù)攻擊探測(cè)端口掃描工具圖:NetScanTools二、預(yù)攻擊探測(cè)圖:WinScan二、預(yù)攻擊探測(cè)圖:SuperScan二、預(yù)攻擊探測(cè)圖:Nmap二、預(yù)攻擊探測(cè)圖:X-scan二、預(yù)攻擊探測(cè)3.操作系統(tǒng)的識(shí)別操作系統(tǒng)辨識(shí)的動(dòng)機(jī)許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對(duì)應(yīng)從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實(shí)現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識(shí)系統(tǒng)操作系統(tǒng)的信息還可以與其他信息結(jié)合起來，比如漏洞庫(kù)，或者社會(huì)詐騙(社會(huì)工程)二、預(yù)攻擊探測(cè)圖:winfingerprint二、預(yù)攻擊探測(cè)4.資源掃描與查找

資源掃描：掃描網(wǎng)絡(luò)資源和共享資源，如目標(biāo)網(wǎng)絡(luò)計(jì)算機(jī)名、域名和共享文件等等；

用戶掃描：掃描目標(biāo)系統(tǒng)上合法用戶的用戶名和用戶組名。這些掃描都是攻擊目標(biāo)系統(tǒng)的很有價(jià)值的信息，而Windows系統(tǒng)，特別是WindowsNT/2000在這些方面存在著嚴(yán)重的漏洞，很容易讓非法入侵者獲取到關(guān)于該目標(biāo)系統(tǒng)的很多有用信息，如共享資源、Netbios名和用戶組等。常用工具：NetViewNbtstat和NbtscanLegion和Shed二、預(yù)攻擊探測(cè)NetView

在命令行中輸入“netview/domain”命令，可以獲取網(wǎng)絡(luò)上可用的域二、預(yù)攻擊探測(cè)在命令行中輸入“netview/domain：domain_name”命令，可以獲取某一域中的計(jì)算機(jī)列表，其中domain_name為要列表計(jì)算機(jī)的域名。

在命令行中輸入“netview\\computer_name”命令，可以獲取網(wǎng)絡(luò)某一計(jì)算機(jī)的共享資源列表，其中computer_name為計(jì)算機(jī)名。二、預(yù)攻擊探測(cè)Shed是一個(gè)速度很快的共享資源掃描工具，它可以顯示所有的共享資源，包含隱藏的共享。二、預(yù)攻擊探測(cè)5.用戶和用戶組查找利用前面介紹的方法，可以很容易獲取遠(yuǎn)程WindowsNT/2000主機(jī)的共享資源、NetBIOS名和所處的域信息等。但黑客和非法入侵者更感興趣的是通過NetBIOS掃描，獲取目標(biāo)主機(jī)的用戶名列表。如果知道了系統(tǒng)中的用戶名（即賬號(hào)）后，就可以對(duì)該賬號(hào)對(duì)應(yīng)的口令進(jìn)行猜測(cè)攻擊（有些口令往往很簡(jiǎn)單），從而對(duì)遠(yuǎn)程目標(biāo)主機(jī)進(jìn)行更深入的控制。

二、預(yù)攻擊探測(cè)UsrStat

UsrStat是一個(gè)命令行工具，用于顯示一個(gè)給定域中的每一個(gè)用戶的用戶名、全名和最后的登錄日期與時(shí)間，如圖所示，可顯示域中計(jì)算機(jī)上的用戶信息。三、拒絕服務(wù)攻擊拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊三、拒絕服務(wù)攻擊1.拒絕服務(wù)攻擊

DoS（DenialofService）是一種利用合理的服務(wù)請(qǐng)求占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)響應(yīng)的網(wǎng)絡(luò)攻擊行為。三、拒絕服務(wù)攻擊常見的拒絕服務(wù)攻擊

SYNFlood攻擊是利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。SYNFlood攻擊的過程在TCP協(xié)議中被稱為三次握手(Three-wayHandshake)，而SYNFlood拒絕服務(wù)攻擊就是通過三次握手而實(shí)現(xiàn)的。三、拒絕服務(wù)攻擊SYN-Flooding攻擊演示SYN（我可以和你連接嗎？）

ACK|SYN（可以，請(qǐng)確認(rèn)?。〢CK（確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手建立通訊的過程三、拒絕服務(wù)攻擊攻擊者受害者攻擊者偽造源地址進(jìn)行SYN請(qǐng)求為何還沒回應(yīng)就是讓你白等不能建立正常的連接其它正常用戶得不到響應(yīng)SYN（我可以和你連接嗎？）

ACK|SYN（可以，請(qǐng)確認(rèn)?。?？？？三、拒絕服務(wù)攻擊攻擊者目標(biāo)攻擊者偽造源地址進(jìn)行SYN請(qǐng)求好像不管用了其它正常用戶能夠得到響應(yīng)SYNACK|SYN？？？SYNACKACK|SYNSYN-Flooding攻擊的防范措施三、拒絕服務(wù)攻擊2.分布式拒絕服務(wù)攻擊DDOS

DDOS則是利用多臺(tái)計(jì)算機(jī)，采用了分布式對(duì)單個(gè)或者多個(gè)目標(biāo)同時(shí)發(fā)起DoS攻擊。

其特點(diǎn)：目標(biāo)是“癱瘓敵人”，而不是傳統(tǒng)的破壞和竊密；利用國(guó)際互聯(lián)網(wǎng)遍布全球的計(jì)算機(jī)發(fā)起攻擊，難于追蹤。三、拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)結(jié)構(gòu)圖客戶端客戶端主控端主控端主控端主控端代理端代理端代理端代理端代理端代理端代理端代理端三、拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊步驟不安全的計(jì)算機(jī)掃描程序Hacker攻擊者使用掃描工具探測(cè)掃描大量主機(jī)以尋找潛在入侵目標(biāo)。1Internet三、拒絕服務(wù)攻擊Hacker被控制的計(jì)算機(jī)(代理端)黑客設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)。這些主機(jī)將被用于放置后門、sniffer或守護(hù)程序甚至是客戶程序。2Internet三、拒絕服務(wù)攻擊Hacker

黑客在得到入侵計(jì)算機(jī)清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機(jī)，放置已編譯好的守護(hù)程序，并對(duì)被控制的計(jì)算機(jī)發(fā)送命令。3被控制計(jì)算機(jī)（代理端）MasterServerInternet三、拒絕服務(wù)攻擊Hacker

UsingClientprogram,

黑客發(fā)送控制命令給主機(jī)，準(zhǔn)備啟動(dòng)對(duì)目標(biāo)系統(tǒng)的攻擊4被控制計(jì)算機(jī)（代理端）TargetedSystemMasterServerInternet三、拒絕服務(wù)攻擊InternetHacker

主機(jī)發(fā)送攻擊信號(hào)給被控制計(jì)算機(jī)開始對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。5MasterServerTargetedSystem被控制計(jì)算機(jī)（代理端）三、拒絕服務(wù)攻擊TargetedSystemHacker目標(biāo)系統(tǒng)被無數(shù)的偽造的請(qǐng)求所淹沒，從而無法對(duì)合法用戶進(jìn)行響應(yīng)，DDOS攻擊成功。6MasterServerUserRequestDeniedInternet被控制計(jì)算機(jī)（代理端）三、拒絕服務(wù)攻擊MasterMasterMasterFloodingFloodingFloodingFloodingFloodingFlooding攻擊目標(biāo)攻擊者M(jìn)asterMasterMaster三、拒絕服務(wù)攻擊對(duì)付DDOS攻擊的方法定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)，清查可能存在的安全漏洞。對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。骨干節(jié)點(diǎn)的計(jì)算機(jī)因?yàn)榫哂休^高的帶寬，是黑客利用最佳位置，因此對(duì)這些主機(jī)本身加強(qiáng)主機(jī)安全是非常重要的。在骨干節(jié)點(diǎn)上的防火墻的配置至關(guān)重要。防火墻本身能抵御DDOS攻擊和其它一些攻擊。在發(fā)現(xiàn)受到攻擊的時(shí)候，可以將攻擊導(dǎo)向一些犧牲主機(jī)，這樣保護(hù)真正的主機(jī)不被癱瘓。三、拒絕服務(wù)攻擊用足夠的機(jī)器承受黑客攻擊。這是一種較為理想的應(yīng)對(duì)策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時(shí)，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒。

三、拒絕服務(wù)攻擊充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負(fù)載均衡設(shè)備，它們可將網(wǎng)絡(luò)有效地保護(hù)起來。當(dāng)網(wǎng)絡(luò)被攻擊時(shí)最先死掉的是路由器，但其他機(jī)器沒有死。死掉的路由器經(jīng)重啟后會(huì)恢復(fù)正常，而且啟動(dòng)起來還很快，沒有什么損失。若其他服務(wù)器死掉，其中的數(shù)據(jù)會(huì)丟失，而且重啟服務(wù)器又是一個(gè)漫長(zhǎng)的過程。三、拒絕服務(wù)攻擊限制SYN/ICMP流量。用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時(shí)，說明不是正常的網(wǎng)絡(luò)訪問，而是有黑客入侵。四、欺騙攻擊欺騙攻擊的主要類型：ARP欺騙IP欺騙攻擊Web欺騙攻擊DNS欺騙攻擊四、欺騙攻擊1.ARP欺騙攻擊ABHacker當(dāng)A與B需要通訊時(shí)：A發(fā)送ARPRequest詢問B的MAC地址

B發(fā)送ARPReply告訴A自己的MAC地址四、欺騙攻擊Meet-in-Middle:Hacker發(fā)送偽裝的ARPReply告訴A，計(jì)算機(jī)B的MAC地址是Hacker計(jì)算機(jī)的MAC地址。Hacker發(fā)送偽裝的ARPReply告訴B，計(jì)算機(jī)A的MAC地址是Hacker計(jì)算機(jī)的MAC地址。這樣A與B之間的通訊都將先經(jīng)過Hacker，然后由Hacker進(jìn)行轉(zhuǎn)發(fā)。于是Hacker可以捕獲到所有A與B之間的數(shù)據(jù)傳輸（如用戶名和密碼）。這是一種典型的中間人攻擊方法。四、欺騙攻擊

Hi,我就是A啊

Hi,我就是B啊ABHacker四、欺騙攻擊針對(duì)ARP欺騙攻擊的預(yù)防措施安裝入侵檢測(cè)系統(tǒng)，檢測(cè)ARP欺騙攻擊MAC地址與IP地址綁定arp–sIPMAC下載并安裝Anti

ARP

Sniffer

等專殺工具在主機(jī)上安裝諾頓等正版網(wǎng)絡(luò)殺毒軟件，并經(jīng)常更新病毒庫(kù)及時(shí)給系統(tǒng)、IE、交換設(shè)備打補(bǔ)丁四、欺騙攻擊2.IP欺騙

IP欺騙技術(shù)就是偽造某臺(tái)主機(jī)的IP地址。通過IP地址的偽裝使得某臺(tái)主機(jī)能夠偽裝成另外一臺(tái)主機(jī)，而這臺(tái)主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任。四、欺騙攻擊IP欺騙原理：理論依據(jù)(TCP/IP建立連接之前的三次握手)第一步：B----------SYN1---------A第二步：B-------SYN2+ACK1-------A第三步：B----------ACK2---------ASYN（數(shù)據(jù)序列）

ACK（確認(rèn)標(biāo)識(shí)）

ISN（連接初始值）

ACK1=SYN1+1SYN2=ISN2ACK2=SYN2+1四、欺騙攻擊IP欺騙過程ABZ互相信任DoS攻擊探測(cè)ISN規(guī)律SYN(我是B，可以連接嗎？)SYN|ACKACK(我是B，確認(rèn)連接)四、欺騙攻擊攻擊描述：屏蔽主機(jī)B。方法：Dos攻擊，如Land攻擊、SYN洪水攻擊序列號(hào)采樣和猜測(cè)。猜測(cè)ISN的基值和增加規(guī)律將源地址偽裝成被信任主機(jī)，發(fā)送SYN數(shù)據(jù)請(qǐng)求建立連接等待目標(biāo)主機(jī)發(fā)送SYN+ACK，黑客看不到該數(shù)據(jù)包再次偽裝成被信任主機(jī)發(fā)送ACK，并帶有預(yù)測(cè)的目標(biāo)機(jī)的ISN+1建立連接，通過其它已知漏洞獲得Root權(quán)限，安裝后門并清除Log五、其他攻擊嗅探攻擊會(huì)話劫持攻擊社會(huì)工程攻擊

八、其他攻擊1.嗅探攻擊

通過特殊的設(shè)備（嗅探器，有硬件和軟件兩種）捕獲網(wǎng)絡(luò)中傳輸網(wǎng)絡(luò)數(shù)據(jù)的報(bào)文。嗅探攻擊

一是針對(duì)簡(jiǎn)單地采用集線器（Hub）連接的局域網(wǎng)，黑客只要能把嗅探器安裝到這個(gè)網(wǎng)絡(luò)中的任何一臺(tái)計(jì)算機(jī)上就可以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的偵聽，這是因?yàn)楣蚕鞨ub獲得一個(gè)子網(wǎng)內(nèi)需要接收的數(shù)據(jù)時(shí)，并不是直接發(fā)送到指定主機(jī)，而是通過廣播方式發(fā)送到每個(gè)電腦。一是針對(duì)交換網(wǎng)絡(luò)的，由于交換網(wǎng)絡(luò)的數(shù)據(jù)是從一臺(tái)計(jì)算機(jī)發(fā)出到預(yù)定的計(jì)算機(jī)，而不是廣播的，所以黑客必須將嗅探器放到像網(wǎng)關(guān)服務(wù)器、路由器這樣的設(shè)備上才能監(jiān)聽到網(wǎng)絡(luò)上的數(shù)據(jù)，當(dāng)然這比較困難，但由于一旦成功就能夠獲得整個(gè)網(wǎng)段的所有用戶賬號(hào)和口令，所以黑客還是會(huì)通過其他種種攻擊手段來實(shí)現(xiàn)它，如通過木馬方式將嗅探器發(fā)給某個(gè)網(wǎng)絡(luò)管理員，使其不自覺地為攻擊者進(jìn)行了安裝。五、其他攻擊防護(hù)措施：檢測(cè)嗅探器：對(duì)本地主機(jī)的檢測(cè)由于嗅探器需要將網(wǎng)絡(luò)中入侵的網(wǎng)卡設(shè)置為混雜模式才能工作，所以可以通過查看你的網(wǎng)卡是否處于混雜模式來簡(jiǎn)單地確定你的計(jì)算機(jī)是否有嗅探器。對(duì)網(wǎng)絡(luò)上的主機(jī)的檢測(cè)：首先可以通過一些網(wǎng)管軟件查看網(wǎng)絡(luò)通訊情況，但丟包率非常高，那就有可能有人在監(jiān)聽；其次還可以查看網(wǎng)絡(luò)帶寬情況來判斷，通過某些帶寬控制器可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)機(jī)器就有可能在監(jiān)聽。加密數(shù)據(jù)五、其他攻擊2.會(huì)話劫持攻擊概述某黑客在暗地里等待著某位合法用戶通過Telnet遠(yuǎn)程登錄到一臺(tái)服務(wù)器上，當(dāng)這位用戶成功地提交密碼后，這個(gè)黑客就開始接管該用戶當(dāng)前的會(huì)話并搖身變成了這個(gè)用戶。是一種結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段會(huì)話劫持攻擊避開了被攻擊主機(jī)對(duì)訪問者的身份驗(yàn)證和安全認(rèn)證，從而使黑客能直接進(jìn)入對(duì)被攻擊主機(jī)的的訪問狀態(tài)，對(duì)系統(tǒng)安全構(gòu)成的威脅比較嚴(yán)重。網(wǎng)上流行著對(duì)WindowsNT的SMB會(huì)話劫持攻擊。五、其他攻擊防護(hù)措施應(yīng)該盡量