第十講-攻擊與應(yīng)急響應(yīng)

第十講攻擊與應(yīng)急響應(yīng)

攻擊概述緩沖區(qū)溢出攻擊掃描器病毒惡意代碼網(wǎng)絡(luò)偵聽

拒絕服務(wù)欺騙技術(shù)網(wǎng)絡(luò)應(yīng)急響應(yīng)10.1攻擊概述10.1.1攻擊的一些基本概念1.攻擊的位置遠(yuǎn)程攻擊：指外部攻擊者通過各種手段，從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動攻擊。本地攻擊：指針對本局域網(wǎng)內(nèi)的其他系統(tǒng)發(fā)送的攻擊，或在本機上進(jìn)行非法越權(quán)訪問。偽遠(yuǎn)程攻擊：指內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標(biāo)的一些必要信息后，攻擊過程從外部遠(yuǎn)程發(fā)起，造成外部入侵的現(xiàn)象，從而使追查者誤以為攻擊者來自外單位。2.攻擊的目的主要包括：進(jìn)程的執(zhí)行、獲取文件和傳輸中的數(shù)據(jù)、獲得超級用戶權(quán)限、對系統(tǒng)的非法訪問、進(jìn)行不許可的操作、拒絕服務(wù)、涂改信息、暴露信息、政治意圖、經(jīng)濟(jì)利益等等。3.攻擊的層次一般來說，攻擊可分為以下幾個層次：簡單拒絕服務(wù)；本地用戶獲得非授權(quán)讀訪問；本地用戶獲得他們本不應(yīng)該擁有的文件寫權(quán)限；遠(yuǎn)程用戶獲得了非授權(quán)的帳號；遠(yuǎn)程用戶獲得了特許文件的讀權(quán)限；遠(yuǎn)程用戶獲得了特許文件的寫權(quán)限；遠(yuǎn)程用戶擁有了根權(quán)限。4.攻擊的工具用戶命令腳本或程序自治主體工具箱分布式工具電磁泄漏5.攻擊的人員黑客與破壞者間諜恐怖主義者公司雇員計算機犯罪內(nèi)部人員10.1.2系統(tǒng)的漏洞漏洞是指硬件軟件或策略上的缺陷。

漏洞類型多種多樣，如軟件錯誤和缺陷、系統(tǒng)配置不當(dāng)、口令失竊、明文通信信息被監(jiān)聽以及TCP/IP初始設(shè)計存在缺陷等各方面。漏洞問題是與時間緊密相關(guān)的。一般要經(jīng)歷如下過程：系統(tǒng)發(fā)布漏洞暴露發(fā)布不定新漏洞出現(xiàn)安全漏洞與系統(tǒng)攻擊之間的關(guān)系是：漏洞暴露（可能的攻擊）發(fā)布補丁1.軟件的Bug

軟件的Bug主要分為以下幾類：緩沖區(qū)溢出意料外的聯(lián)合使用問題不對輸入內(nèi)容進(jìn)行預(yù)期檢查文件操作的順序以及鎖定等問題2.系統(tǒng)配置系統(tǒng)配置不當(dāng)主要有以下幾種：默認(rèn)配置的不足管理員的疏忽臨時端口信任關(guān)系Windows系統(tǒng)中最危險的漏洞

Internet信息服務(wù)（IIS）遠(yuǎn)程數(shù)據(jù)訪問（MDAC）

MicrosoftSQL服務(wù)無保護(hù)的Windows網(wǎng)絡(luò)共享－－NETBIOS

匿名登錄－－空會話

LAN管理認(rèn)證一般的Windows認(rèn)證－－無口令或弱口令帳號

InternetExplorerRemoteRegistryAccessWindowsScriptingHostUNIX系統(tǒng)中最危險的漏洞

遠(yuǎn)程過程調(diào)用（RPC）

ApacheWebServer

安全Shell（SSH）簡單網(wǎng)絡(luò)管理協(xié)議SNMP

文件傳輸協(xié)議FTPR-Services－－可信關(guān)系

LinePrinterDaemon（LPD）

SendmailBind/DNS

一般的Unix認(rèn)證－－無口令或弱口令帳號10.1.3遠(yuǎn)程攻擊的步驟尋找目標(biāo)主機收集目標(biāo)信息：鎖定目標(biāo)；使用不同應(yīng)用程序測試分析；獲取帳號信息；獲得管理員信息。各種相關(guān)工具的準(zhǔn)備：收集各種實際使用的工具。攻擊策略的制定：攻擊策略主要依賴于入侵者所想要達(dá)到的目的。數(shù)據(jù)分析：通過掃描，獲取相關(guān)數(shù)據(jù)并進(jìn)行分析；實施攻擊：或許系統(tǒng)的信任等級；獲取特許訪問權(quán)限；安放探測軟件或后門軟件等，并在攻擊得逞后試圖毀掉攻擊入侵的痕跡。10.2緩沖區(qū)溢出10.2.1緩沖區(qū)溢出的概念及原理緩沖區(qū)溢出指的是一種系統(tǒng)攻擊的手段，通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧。

緩沖區(qū)溢出可能會帶來兩種后果：

過長的字符串覆蓋了相鄰的存儲單元引起程序運行失敗，嚴(yán)重的可導(dǎo)致系統(tǒng)崩潰；

利用這種漏洞可以執(zhí)行任意指令甚至可以取得系統(tǒng)特權(quán)由此引發(fā)許多種攻擊方法。

緩沖區(qū)溢出攻擊的目的在于擾亂具有某些特權(quán)運行的程序的功能，從而讓攻擊者取得系統(tǒng)的控制權(quán)。為做到這一點，必須達(dá)到如下目標(biāo)：在程序的地址空間安排適當(dāng)?shù)拇a：

攻擊方法：

植入法；

利用已經(jīng)存在的代碼通過適當(dāng)?shù)爻跏蓟拇嫫骱痛鎯ζ鳎尦绦蛱D(zhuǎn)到安排好的地址空間執(zhí)行。

攻擊方法：

激活記錄；

函數(shù)指針；

長跳轉(zhuǎn)緩沖區(qū)；#include<stdio.h>Main(){charname[8];

printf(“Pleasetypeyourname:”);

gets(name);

printf(“Hello,%s!”,name);return0;}LocalEBPReturnabcESPEBP堆棧棧頂10.2.2緩沖區(qū)溢出的保護(hù)方法

編寫正確的代碼：是解決緩沖區(qū)溢出漏洞的根本方法；

非執(zhí)行的緩沖區(qū)：通過使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被植入被攻擊程序輸入緩沖區(qū)的代碼；

程序指針完整性檢查：在程序指針被應(yīng)用之前檢測它是否被改變；

安裝安全補丁：[12345678][XXXX][YYYY][Z……]NameEBPRetStackEBPESPEIPHeapESP：ExtendStackPointerEBP:ExtendBasePointerEIP:ExtendInstructionPointer10.3掃描器10.3.1掃描器的概念掃描器是一種自動檢測遠(yuǎn)程或本地系統(tǒng)安全性弱點（漏洞）的程序。掃描器不是一個直接攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能幫助我們測試和評價目標(biāo)的安全性，并及時發(fā)現(xiàn)內(nèi)在的安全漏洞。安全掃描工具通常分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器?；诜?wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞；基于網(wǎng)絡(luò)的掃描器主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機、防火墻等設(shè)備的安全漏洞。最重要的掃描器是端口掃描器。端口掃描器通常通過與目標(biāo)主機TCP/IP端口建立連接和/并請求某些服務(wù)，記錄目標(biāo)主機的應(yīng)答，搜集目標(biāo)主機相關(guān)信息，從而發(fā)現(xiàn)目標(biāo)主機某些內(nèi)在的安全弱點。

通常，端口掃描有如下功能：發(fā)現(xiàn)一個主機或網(wǎng)絡(luò)的能力；識別目標(biāo)系統(tǒng)上正在運行的TCP和UDP服務(wù)；識別目標(biāo)系統(tǒng)的操作系統(tǒng)類型；識別某個應(yīng)用程序或某個特定服務(wù)的版本號；發(fā)現(xiàn)系統(tǒng)的漏洞。10.3.2端口及端口掃描端口就是潛在的通信通道。端口可分為：知名端口：1～255；常見的網(wǎng)絡(luò)服務(wù)都運行于這個端口范圍；受保護(hù)端口：256～1023；常見的系統(tǒng)服務(wù)都運行于這個端口范圍；用戶定義端口(動態(tài)端口)：1024～65535為使系統(tǒng)正常運行，應(yīng)盡量關(guān)閉無用的端口，操作如下：

在本地運行netstat命令，判斷哪些端口是打開的；

對系統(tǒng)進(jìn)行外部的端口掃描，列出所有實際在偵聽的端口號；

如兩者得到的結(jié)果不同，應(yīng)分析原因，同時檢查各端口運行的服務(wù)；

記錄最終端口列表，以確定沒有額外的端口出現(xiàn)。常用的端口掃描技術(shù)（1）

TCPconnect()

操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來與目標(biāo)計算機的端口進(jìn)行連接，如端口處于偵聽狀態(tài)，則connect()就能成功，否則返回-1。（2）

TCPSYN掃描掃描程序發(fā)送一個SYN數(shù)據(jù)包，如果一個RST返回，表示端口沒有處于偵聽狀態(tài)。如果收到一個SYN||ACK，表示端口處于偵聽狀態(tài)。（3）

TCPFIN掃描其思想是關(guān)閉的端口會用適當(dāng)?shù)腞ST來回復(fù)FIN數(shù)據(jù)包，而打開的端口則會忽略對FIN數(shù)據(jù)包的回復(fù)。（4）

IP段掃描它并不直接發(fā)送TCP探測數(shù)據(jù)包，而是將數(shù)據(jù)包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個數(shù)據(jù)包，從而過濾器就很難探測到。

TCP反向認(rèn)證掃描；

FTP代理掃描；

UDPICMP端口不能到達(dá)掃描；

ICMPecho掃描。10.3.3主機掃描主機掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機是否可達(dá)。屬信息收集的初級階段。

傳統(tǒng)的掃描手段

ICMPEcho掃描：通過是否有應(yīng)答判斷目標(biāo)是否激活狀態(tài)。

ICMPSweep掃描：并行發(fā)送，同時掃描多個目標(biāo)主機。

BroadcastICMP掃描：向整個局域網(wǎng)發(fā)送ICMPEcho請求。

Non-EchoICMP掃描：用于對主機或網(wǎng)絡(luò)設(shè)備的掃描。

非常規(guī)的掃描手段利用ICMP協(xié)議提供網(wǎng)絡(luò)間傳送錯誤信息的手段，往往可以更有效地到達(dá)目的地，從而突破防火墻和網(wǎng)絡(luò)過濾設(shè)備的封鎖。

異常IP包頭：偽造IP包頭獲取目標(biāo)主機或過濾設(shè)備的信息（如ACL等）。在IP頭中設(shè)置無效的字段值：獲取目標(biāo)主機或過濾設(shè)備的信息。錯誤的數(shù)據(jù)分片：根據(jù)反饋信息獲取如上信息。通過超長包掃描內(nèi)部路由器：獲取目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。反向映射掃描：用于掃描被過濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機，獲取網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)。10.3.4漏洞掃描漏洞掃描是指檢測遠(yuǎn)程或本地系統(tǒng)存在的安全缺陷。該技術(shù)可分為兩類：主機漏洞掃描和網(wǎng)絡(luò)漏洞掃描，前者主要針對系統(tǒng)的配置缺陷以及其他安全規(guī)則相抵觸的對象；而后者則是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。

網(wǎng)絡(luò)漏洞掃描技術(shù)不僅可以檢測平臺的漏洞，也可以對網(wǎng)絡(luò)設(shè)備、整個網(wǎng)段進(jìn)行檢測。

完整的網(wǎng)絡(luò)漏洞掃描過程分為3個階段：發(fā)現(xiàn)目標(biāo)主機或網(wǎng)絡(luò)。進(jìn)一步收集目標(biāo)信息。根據(jù)信息判斷或者進(jìn)一步測試系統(tǒng)是否存在安全漏洞。漏洞檢測技術(shù)是建立在端口掃描技術(shù)的基礎(chǔ)之上。其主要通過以下兩種方法來實現(xiàn)?；诼┒磶斓钠ヅ錂z測方法插件技術(shù)：通過調(diào)用由腳本語言編寫的插件子程序來執(zhí)行掃描。其好處是使掃描軟件的升級和擴(kuò)展變得簡單。10.4病毒10.4.1計算機病毒的定義與特征

定義：計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。計算機病毒的主要特征：

破壞性；

傳染性；

自我復(fù)制能力；

隱蔽性；

潛伏性及可觸發(fā)性10.4.2計算機病毒的分類與傳播計算機病毒一般包含三個部分：引導(dǎo)部分、傳染部分、表現(xiàn)部分引導(dǎo)型病毒：攻擊系統(tǒng)引導(dǎo)扇區(qū)文件型病毒：依附型、覆蓋型混合型病毒：既可嵌入到磁盤引導(dǎo)區(qū)中又可嵌入到可執(zhí)行程序中宏病毒：主要攻擊支持宏的軟件，主要特點：制作方便、傳播快、跨平臺、兼容性差10.4.3計算機病毒的防止與檢測

防止：計算機病毒的防治要從防毒、查毒、解毒三方面來進(jìn)行。系統(tǒng)對于計算機病毒的實際防治能力和效果也要從這三個方面來評判。防毒是指預(yù)防病毒入侵的能力查毒是指發(fā)現(xiàn)和追蹤病毒的能力解毒是指從感染對象中清除病毒、恢復(fù)被感染前的原始信息的能力

檢測：計算機病毒的的檢測方法很多，典型的方法包括以下幾種：

直接檢查法：通過直接觀察來判斷系統(tǒng)是否感染病毒。

特征代碼法：

準(zhǔn)確快速、誤報率低；

不能檢測未知病毒

校驗和法：

能發(fā)現(xiàn)未知病毒；

不能識別病毒名，對隱蔽性病毒無效

行為監(jiān)測法：

具備發(fā)現(xiàn)未知病毒的能力；

可能誤報，實現(xiàn)較困難

軟件模擬法：用軟件方法模擬和分析程序的運行，能檢測多態(tài)性病毒。10.4.4計算機病毒預(yù)防選用正版的系統(tǒng)及軟件并及時更新升級安裝殺毒軟件并定期掃描實施合理的安全配置養(yǎng)成良好的操作習(xí)慣定期檢查您的系統(tǒng)隨時保持警惕常用殺毒軟件

KV3000

瑞星金山諾頓卡巴斯基

Symantec10.5惡意代碼

惡意代碼又稱惡意軟件，是一種具有在信息系統(tǒng)上執(zhí)行非授權(quán)進(jìn)程能力的代碼。惡意代碼本身是程序，并且通過執(zhí)行來發(fā)生作用。早期的惡意代碼主要是指病毒，但目前其它形式的惡意代碼如蠕蟲、惡意網(wǎng)頁、木馬、邏輯炸彈、后門等正日益泛濫，并且有逐漸融合的趨勢。

不必要代碼是指內(nèi)有作用卻會帶來危險的代碼，一個最安全的定義是把所有不必要的代碼均看作是惡意代碼。惡意代碼的傳播途徑主要包括如下：感染本地文件、局域網(wǎng)共享目錄中的文件或者復(fù)制副本到對方目錄；尋找E-mail地址，大量發(fā)送垃圾郵件；通過共享網(wǎng)絡(luò)軟件進(jìn)行傳播；建立后門程序，通過后門進(jìn)行傳播；通過即時通信軟件傳播；通過U盤等存儲介質(zhì)進(jìn)行傳播；利用系統(tǒng)軟件的漏洞進(jìn)行傳播；通過短信傳播10.5.1蠕蟲蠕蟲和病毒類似，也可進(jìn)行自我復(fù)制。它能夠利用網(wǎng)絡(luò)漏洞來擴(kuò)酸并且創(chuàng)建新的副本。蠕蟲并不總是有害的，它可作為以太網(wǎng)網(wǎng)絡(luò)設(shè)備的一種診斷工具，用以快速有效地檢測網(wǎng)絡(luò)。蠕蟲的基本程序結(jié)構(gòu)包括：傳播模塊、隱藏模塊、目的功能模塊。其中傳播模塊又可分為3個基本模塊：掃描模塊、攻擊模塊和復(fù)制模塊。1.蠕蟲的分類根據(jù)工作原理分為：主機蠕蟲和網(wǎng)絡(luò)蠕蟲

主機蠕蟲完全包含在他們運行的計算機中，并且使用網(wǎng)絡(luò)的連接僅將其自身復(fù)制到其他的計算機中。復(fù)制完成后就會終止自身。因此任意時刻只有一個蠕蟲的副本運行。

網(wǎng)絡(luò)蠕蟲由許多部分組成。且每個部分運行在不同的激起上并且使用網(wǎng)絡(luò)來達(dá)到一些通信的目的。根據(jù)攻擊對象可分為：針對網(wǎng)絡(luò)和針對個人

針對企業(yè)和局域網(wǎng)的蠕蟲通過利用系統(tǒng)的漏洞，主動攻擊，往往造成整個局域網(wǎng)癱瘓（如紅色代碼、尼姆達(dá)等）。

針對個人的蠕蟲往往借助于網(wǎng)絡(luò)或網(wǎng)絡(luò)工具進(jìn)行傳播（如求職信病毒等）10.5.2惡意網(wǎng)頁惡意網(wǎng)頁通過插在網(wǎng)頁中的惡意代碼來修改瀏覽者的注冊表，從而起到破壞作用。如禁止使用計算機、格式化硬盤、自動下載運行木馬、禁止某些功能或菜單項、修改IE、以及不斷彈出對話框等等惡意現(xiàn)象。遭遇到上述現(xiàn)象后應(yīng)立即采取一些強制措施，如通過電腦的任務(wù)管理器強制關(guān)閉正在運行的惡意網(wǎng)頁，并及時修復(fù)注冊表和升級殺毒軟件、瀏覽器等。以免造成不必要的損失和麻煩。2.蠕蟲與病毒的比較

一般認(rèn)為，蠕蟲是一種通過網(wǎng)絡(luò)傳播的病毒，它具有病毒的一些共性（如傳播性、隱蔽性、破壞性等）。但它和普通病毒的工作方式存在不同，主要表現(xiàn)在以下方面：普通病毒蠕蟲存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)上的計算機10.5.3特洛伊木馬特洛伊木馬本質(zhì)上只是一種遠(yuǎn)程管理工具，它本身不帶傷害性，也沒有傳染性。特洛伊木馬具有隱蔽性和非授權(quán)性的特點。

隱蔽性是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱蔽木馬；

非授權(quán)性是指這個未經(jīng)授權(quán)的程序提供了一些用戶不知道的功能。木馬的隱蔽性通常通過偽裝的方式來實現(xiàn)，主要包括以下方式：

冒充為圖像文件；

合并（捆綁）程序欺騙；

偽裝成應(yīng)用程序擴(kuò)展組件1.木馬的工作原理

特洛伊木馬屬于客戶/服務(wù)工作模式。它分為兩部分：客戶端和服務(wù)器。其原理是一臺主機提供服務(wù)（服務(wù)器、被控制端），另一臺主機接受服務(wù)（客戶機、控制端）。作為服務(wù)器的主機一般會打開一個默認(rèn)的端口進(jìn)行偵聽。1.1木馬自動加載運行技術(shù)

常見的木馬加載技術(shù)如下：

在Win.ini中啟動；

在System.ini中啟動；

利用注冊表加載運行；

在Autoexec.bat和Config.sys中加載運行；

在Winstart.bat中啟動；

在啟動組啟動；

在*.ini中啟動；

修改文件關(guān)聯(lián)；

捆綁文件；

反彈端口型木馬的主動連接等1.2木馬程序建立連接技術(shù)木馬程序的數(shù)據(jù)傳遞通常采用TCP/UDP協(xié)議，利用Winsock與目標(biāo)機的指定端口建立起連接，使用send和recv等API進(jìn)行數(shù)據(jù)的傳遞。合并端口木馬：在一個端口同時綁定兩個TCP或者UDP連接，通過把木馬端口綁定于特定的服務(wù)端口之上，從而達(dá)到隱蔽端口的目的。利用ICMP協(xié)議進(jìn)行數(shù)據(jù)的發(fā)送：通過修改ICMP頭的構(gòu)造，加入木馬的控制字段，將自己偽裝成一個Ping的進(jìn)程，系統(tǒng)就會將ICMP_ECHOREPLY的監(jiān)聽、處理權(quán)交給木馬進(jìn)程。反彈端口型木馬：服務(wù)器端（被控制端）使用主動端口，客戶端（控制端）使用被動端口，木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即主動連接。使用基于嗅探原理的原始Sock木馬：服務(wù)器端是一個發(fā)包器和嗅探器，它將捕獲制定特征的數(shù)據(jù)包。2.木馬的防范

使用防火墻和反黑客軟件；

端口掃描；

查看連接；

檢查注冊表；

查找文件。10.5.4邏輯炸彈邏輯炸彈是一種只有當(dāng)滿足特定邏輯條件時才進(jìn)行破壞的程序。

與病毒相比：邏輯炸彈強調(diào)破壞作用本身，而事實破壞的程序不會傳播。

與典型木馬相比：邏輯炸彈一般是隱含在具有正常功能的軟件中。

案例：江民殺毒軟件KV300.10.5.5后門入侵者可以通過端口、串/并口、無線設(shè)備連接等后門方式入侵計算機。如果一個程序僅僅提供遠(yuǎn)程訪問，那么它只是一個后門。如果攻擊者將這些后門偽裝成某些其他良性程序，那么就變成了木馬。后門產(chǎn)生的必要條件：必須以某種方式與其他終端結(jié)點相連目標(biāo)機默認(rèn)開放的可供外界訪問的端口必須在一個以上目標(biāo)計算機存在程序設(shè)計或認(rèn)為疏忽。后門工作機制：后門程序也是通過操作系統(tǒng)漏洞、程序漏洞、協(xié)議漏洞等方式傳播，不同的是后門程序多了一個入侵者入侵后預(yù)留通道（如添加超級用戶帳號等）。后門程序可以看作木馬程序的一種，但它更專注于遠(yuǎn)程控制/訪問。10.5.6流氓軟件流氓軟件是介于病毒和正規(guī)軟件之間的軟件。流氓軟件沒有準(zhǔn)確的定義，但通常既有如下一些特征：強制安裝、難以卸載或惡意卸載、惡意捆綁、瀏覽器劫持、廣告彈出、惡意收集用戶信息等。流氓軟件的類型：廣告軟件：未經(jīng)用戶允許下載并安裝到用戶計算機上、或與其它軟件捆綁。間諜軟件：是一種后門軟件，用以收集用戶的信息。瀏覽器劫持軟件：通過各種手段對瀏覽器篡改，使瀏覽器配置不正?；虿荒苷９ぷ鳌＿h(yuǎn)行為記錄軟件：用以記錄用戶的計算機使用習(xí)慣、網(wǎng)絡(luò)瀏覽習(xí)慣等。以此收集信息進(jìn)行相應(yīng)的廣告推廣和商業(yè)活動。惡意共享軟件：是指某些共享軟件為了獲取利益，采用誘騙手段、陷阱等方式強迫用戶注冊，或在合法軟件體內(nèi)捆綁各類惡意插件。10.6網(wǎng)絡(luò)偵聽10.6.1Sniffer工作原理嗅探（Sniffer）是在網(wǎng)絡(luò)中通過偵聽的方式對通信數(shù)據(jù)包進(jìn)行監(jiān)聽、采集與分析的技術(shù)手段。嗅探器則是用于實現(xiàn)網(wǎng)絡(luò)嗅探的程序或工具。嗅探器成功的關(guān)鍵在于以太網(wǎng)的通信機制和網(wǎng)卡的工作模式。網(wǎng)絡(luò)嗅探須考慮網(wǎng)絡(luò)拓?fù)洵h(huán)境。當(dāng)前主要有兩種：共享式網(wǎng)絡(luò)和交換式網(wǎng)絡(luò)。前者的互聯(lián)設(shè)備是集線器，后者則是交換機。前者采用廣播方式，后者則通過交換機在其內(nèi)部的不同端口間存儲轉(zhuǎn)發(fā)類完成數(shù)據(jù)傳送。網(wǎng)絡(luò)偵聽的主要用途是觀測分析實時經(jīng)由的數(shù)據(jù)包，從而快速地進(jìn)行網(wǎng)絡(luò)故障定位。被偵聽的網(wǎng)絡(luò)通常包括以下幾種：以太網(wǎng)、交換網(wǎng)、FDDI和令牌環(huán)網(wǎng)、其他網(wǎng)絡(luò)（如有線電視、無線等）。

Sniffer通常運行在路由器或具有路由功能的主機上，可能截獲在同一條物理信道上傳輸?shù)乃械男畔?，包括用戶ID和口令等。即邏輯上的子網(wǎng)劃分并不能阻止嗅探器攻擊。10.6.3Sniffer預(yù)防和檢測1.預(yù)防確保以太網(wǎng)的整體安全使用加密傳輸敏感數(shù)據(jù)使用安全拓?fù)浣Y(jié)構(gòu)2.檢測反應(yīng)時間利用Ping模式進(jìn)行檢測使用ARP數(shù)據(jù)包進(jìn)行檢測10.6.2交換網(wǎng)嗅探交換網(wǎng)絡(luò)結(jié)構(gòu)能在一定程度上抵御嗅探攻擊。但無法阻止。對交換網(wǎng)數(shù)據(jù)包進(jìn)行嗅探的方法包括：

MAC洪水包：通過發(fā)送大量虛假MAC地址和IP地址的IP包使交換機進(jìn)入所謂的“打開失效”模式，此時交換機的工作方式與集線器類似。從而實現(xiàn)攻擊目的。利用交換機的鏡像功能：端口鏡像就是把交換機一個或多個端口（VLAN）的數(shù)據(jù)鏡像到一個或多個端口的方法。通過在鏡像端口上使用嗅探器即可嗅探到被鏡像端口的數(shù)據(jù)通信。利用ARP欺騙實現(xiàn)嗅探：網(wǎng)絡(luò)設(shè)備為減少廣播量，通常會通過ARP表在緩存中保存IP與MAC地址的映射關(guān)系，且ARP表使用老化機制，這給了嗅探器假冒攻擊的機會。10.7拒絕服務(wù)拒絕服務(wù)（DoS）是網(wǎng)絡(luò)信息系統(tǒng)由于某種原因不能為授權(quán)用戶提供正常的服務(wù)。它通常分為針對網(wǎng)絡(luò)的和針對主機的DoS攻擊。最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使服務(wù)超載，從而無法處理常規(guī)的任務(wù)。攻擊者面臨的主要問題是網(wǎng)絡(luò)帶寬。

產(chǎn)生拒絕服務(wù)的原因：

資源毀壞；

資源耗盡或過載；

配置錯誤；

軟件弱點。常見的DoS攻擊方式：1.TCPSYNFlooing

利用TCP協(xié)議的三次握手原理實施攻擊。預(yù)防措施：在防火墻上過濾來自同一主機的后續(xù)連接?？蛻艨蛻舴?wù)器服務(wù)器(1)TCPSYN(1)TCPSYN(2)SYNACK(2)SYNACK(3)TCPACK分配資源等待回復(fù)等待等待超時分配資源等待回復(fù)連接2.Smurf攻擊利用ICMP技術(shù)進(jìn)行攻擊。預(yù)防措施：為防止入侵者利用網(wǎng)絡(luò)攻擊他人，應(yīng)關(guān)閉外部路由器或防火墻的廣播地址特性；為防止被攻擊，應(yīng)在防火墻上設(shè)置規(guī)則，丟棄掉ICMP包。3.Fraggle攻擊其基本概念及做法像Smurf，但它是采用UDPecho訊息。預(yù)防措施：可以通過在防火墻上過濾掉UDP應(yīng)答消息來防范。Internet攻擊機器被攻擊機器路由器4.分布式拒絕服務(wù)攻擊DDoS

DDoS是攻擊者控制一些數(shù)量的PC機或路由器，用這些PC機或路由器發(fā)動DoS攻擊。攻擊者通常采取IP地址欺騙技術(shù)。預(yù)防措施：采用IDS技術(shù)。DDoS攻擊過程如下：探測掃描大量主機以尋找可入侵主機目標(biāo)；通過一些典型而有效的遠(yuǎn)程溢出漏洞攻擊程序，獲取其系統(tǒng)控制權(quán)；在每臺入侵主機中安裝攻擊程序；利用已入侵主機繼續(xù)進(jìn)行掃描和入侵。被攻擊機器主控端分布端客戶端10.8欺騙技術(shù)10.8.1IP欺騙

IP欺騙技術(shù)就是偽造某臺主機IP地址的技術(shù)。IP地址欺騙的發(fā)生主要是因為通信雙方基于地址驗證的認(rèn)證策略造成的。如果通信雙方實施應(yīng)用層認(rèn)證則能有效防止這類攻擊。

TCP提供可靠傳輸是因為它傳送出的所有字節(jié)都分配有序列號。TCP的序列號可以看作是32位的計數(shù)器，其范圍為0～232-1。而數(shù)據(jù)包的ACK對所收到的數(shù)據(jù)進(jìn)行確認(rèn)，并指出下一個期待接收的數(shù)據(jù)序列號。由于TCP通過滑動窗口的概念進(jìn)行流量控制，而窗口由16位bit所定義，谷接收端TCP能最大提供65535個字節(jié)的緩沖，故利用窗口大小和第一個數(shù)據(jù)的序列號可計算出最大可接收的數(shù)據(jù)序列號。初始學(xué)列號（ISN）由tcp_init()函數(shù)確定。ISN每秒增加128000，如果有連接將把計數(shù)器的數(shù)值增加64000。從而使得用于ISN的32位計數(shù)器在沒有連接的情況下每9.32小時復(fù)位一次。在Berkeley系統(tǒng)，最初的序列號變量由一個常數(shù)每秒加一產(chǎn)生，等到這個常數(shù)一半時就開始一次連接。故如果開始了一個合法的連接，并觀察到一個ISNS在用，便可以計算有很高可信度的ISNS用在下一個連接企圖。IP欺騙步驟和防止

假定：

目標(biāo)主機已選定；

信任模式已發(fā)現(xiàn)。則工作過程如下：

使得被信任的主機喪失工作能力，同時采樣目標(biāo)主機發(fā)出的TCP序列號，猜測出它的數(shù)據(jù)序列號。偽裝成被信任的主機，同時建立起與目標(biāo)主機基于地址驗證的應(yīng)用連接；如果成功，則放置后門，以進(jìn)行非授權(quán)操作。

IP欺騙步驟（A）及會話的劫持過程（B）如下：1.遠(yuǎn)程登錄，建立會話，完成認(rèn)證過程1.監(jiān)聽流量3.劫持會話4.迫使A下線ABZ（B）（A）ZAB時刻1時刻2時刻4時刻3

防止：

拋棄基于地址的信任策略；

進(jìn)行包過濾；

使用加密方法傳輸；

使用隨機化的初始序列號10.8.2電子郵件欺騙

1.電子郵件攻擊電子郵件攻擊主要表現(xiàn)為：電子郵件轟炸和電子郵件欺騙。前者主要是通過向同一信箱發(fā)送大量的垃圾郵件來轟炸所在的郵件服務(wù)器；而后者則主要是一種冒充行為（如冒充管理員）。

2.電子郵件欺騙方法執(zhí)行電子郵件欺騙有三種基本方法：相似的電子郵件地址冒充回復(fù)地址利用電子郵件附件遠(yuǎn)程聯(lián)系，登錄到端口25

欺騙者遠(yuǎn)程登錄到SMTP服務(wù)器的端口25，郵件服務(wù)器使用它在互聯(lián)網(wǎng)上發(fā)送郵件。攻擊者通過所在的郵件服務(wù)器與目標(biāo)服務(wù)器聯(lián)系，在25端口發(fā)送消息，從而實現(xiàn)消息轉(zhuǎn)移，然后用戶的郵件服務(wù)器把該消息發(fā)送給用戶。這種攻擊行為欺騙性較強。10.8.3Web欺騙

Web欺騙是攻擊者偽造某個WWW站點的鏡像副本，使該鏡像站點的入口進(jìn)入到攻擊者的Web服務(wù)器，并經(jīng)過攻擊者計算機的過濾，從而達(dá)到攻擊者監(jiān)視目標(biāo)的任何活動以獲取有用信息的目的。

Web欺騙成功的關(guān)鍵是要在受攻擊者和其他Web服務(wù)器之間建立攻擊者的Web服務(wù)器。其欺騙產(chǎn)生的根源在于Internet的開放性，即任何人都可以建立自己的Web站點，域名可以自由注冊，而清楚Web的運行規(guī)則的人卻是少數(shù)。Web欺騙的手段與方法如下：基本的Web欺騙：如注冊非常有欺騙性的域名等；

DNS域名重定向：通過改變DNS服務(wù)器的數(shù)據(jù)庫，從而把網(wǎng)站域名重定向到另一個網(wǎng)站上，從而實現(xiàn)劫持。

URL重寫：攻擊者把自己的信息插入到通信流中。通常是通過把網(wǎng)絡(luò)流量轉(zhuǎn)移到攻