網(wǎng)絡安全導論 課件 第四章 常見攻擊方法

1第四章

常見攻擊方法

2摘要1.網(wǎng)絡與信息攻擊的方法可以分為信息的偵察與竊取、信息欺騙和信息封鎖與破壞三個大類.2.本章要求學生對常見攻擊方法的基本原理有個較深入的理解，重點要求能夠描述ARP攻擊、緩沖區(qū)溢出攻擊、拒絕服務和掃描攻擊的基本流程。IT專業(yè)學生應嘗試編寫簡單的“無惡意”攻擊代碼。3攻擊和安全的關系黑客攻擊和網(wǎng)絡安全的是緊密結合在一起的，研究網(wǎng)絡安全不研究黑客攻擊技術簡直是紙上談兵，研究攻擊技術不研究網(wǎng)絡安全就是閉門造車。某種意義上說沒有攻擊就沒有安全，系統(tǒng)管理員可以利用常見的攻擊手段對系統(tǒng)進行檢測，并對相關的漏洞采取措施。網(wǎng)絡攻擊有善意也有惡意的，善意的攻擊可以幫助系統(tǒng)管理員檢查系統(tǒng)漏洞，惡意的攻擊可以包括：為了私人恩怨而攻擊、商業(yè)或個人目的獲得秘密資料、民族仇恨、利用對方的系統(tǒng)資源滿足自己的需求、尋求刺激、給別人幫忙以及一些無目的攻擊。4討論議題4.1攻擊方法概述 4.2信息偵察與竊取的典型方

4.3信息欺騙的典型方法 4.4信息的封鎖與破壞典型方法4.5不容低估的攻擊者 54.1攻擊方法概述6攻擊者隱藏通常有兩種方法實現(xiàn)自己IP的隱藏：第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺電腦（俗稱“肉雞”），利用這臺電腦進行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計算機的IP地址。比如攻擊A國的站點，一般選擇離A國很遠的B國計算機作為“肉雞”或者“代理”，這樣跨國度的攻擊，一般很難被偵破。7攻擊方法分很多網(wǎng)絡信息丟失、篡改、銷毀內部、外部泄密拒絕服務攻擊邏輯炸彈黑客攻擊計算機病毒后門、隱蔽通道蠕蟲特洛伊木馬8攻擊方法分類一般教科書上把信息攻擊分為主動攻擊和被動攻擊兩大類，我們這里把信息攻擊分為信息的偵察與竊取、信息欺騙和信息封鎖與破壞三個大類。9我們的分法偷：信息的偵察與竊取騙：信息欺騙破環(huán)：信息封鎖與破壞10攻擊方法分類偵查與竊取:電話竊聽、電子信息偵察、特洛伊木馬、掃描、網(wǎng)絡嗅探等是信息偵查與竊取常用方法。信息欺騙:通信內容欺騙、IP地址欺騙、新聞媒體欺騙、雷達欺騙、社會工程學攻擊等是常見的信息欺騙方法。信息封鎖與破壞:是指通過一定的手段使敵方無法獲取和利用信息，如拒絕服務攻擊、計算機病毒、電子干擾、電磁脈沖、高能微波、高能粒子束和激光等。入侵方法與手段114.2

信息偵察與竊取的典型方法入侵方法與手段12口令破解帳戶是一種參考上下文，所有的用戶模式代碼在一個用戶帳戶的上下文中運行。即使是那些在任何人都沒有登錄之前就運行的代碼（例如服務）也是運行在一個帳戶（特殊的本地系統(tǒng)賬戶SYSTEM）的上下文中的。如果用戶使用帳戶憑據(jù)（用戶名和口令）成功通過了登錄認證，之后他執(zhí)行的所有命令都具有該用戶的權限?？诹钇平馐谦@得系統(tǒng)最高權限帳戶的最有效的途徑之一。入侵方法與手段13Windows口令文件的格式及安全機制

Windows對用戶帳戶的安全管理使用了安全帳號管理器（SAM,SecurityAccountManager）的機制，口令在SAM中通過單向函數(shù)（One-wayFunction,OWF）形成摘要。C:\Windows\System32\config下SAM,Security，System三個文件。不必刪除，可以拷個沒密碼或者知道密碼的文件覆蓋。入侵方法與手段14Unix口令文件的格式及安全機制

Unix系統(tǒng)中帳戶信息存放在passwd文件中，口令可以使用DES或MD5加密后存放在shadow文件中。passwd使用的是存文本的格式保存信息。UNIX中的passwd文件中每一行都代表一個用戶資料，每一個賬號都有七部分資料，不同資料中使用“:”分割。15口令破解主流方法有兩種：基于字典的分析方法和暴力破解法。一個典型的密碼字典如圖所示首先設置密碼字典，設置完密碼字典以后，將會用密碼字典里的每一個密碼對目標用戶進行測試，如果用戶的密碼在密碼字典中就可以得到該密碼。16口令破解彩虹表礦機入侵方法與手段17典型破解工具工具一：PasswordCrackers

工具二：L0phtCrack

入侵方法與手段18掃描入侵方法與手段19漏洞也稱脆弱性，是指系統(tǒng)安全過程、管理控制及內部控制等存在的缺陷。漏洞只有被攻擊者利用才成為對系統(tǒng)的破壞條件。漏洞的成因：網(wǎng)絡協(xié)議漏洞：協(xié)議本身不安全，如TCP/IP軟件系統(tǒng)漏洞：一些程序收到一些異常或超長的數(shù)據(jù)和參數(shù)就會導致緩沖區(qū)溢出。配置不當引起的漏洞20漏洞掃描掃描器：掃描器是一種通過收集系統(tǒng)的信息來自動監(jiān)測遠程或本地主機安全性弱點的程序，通過使用掃描器，可以發(fā)現(xiàn)遠程服務器的各種TCP端口的分配及提供的服務和它們的軟件版本。這就能讓黑客或管理員間接或直接的了解到遠程主機存在的安全問題。

掃描器有三項功能：1、發(fā)現(xiàn)一個主機或網(wǎng)絡；2、一旦發(fā)現(xiàn)一臺主機，可以發(fā)現(xiàn)有什么服務程序正運行在這臺主機上；3、通過測試這些服務，發(fā)現(xiàn)漏洞。21掃描技術分類?主機掃描：確定在目標網(wǎng)絡上的主機是否可達，主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠程主機開放的端口以及服務。通過端口掃描可以得到許多有用的信息：如目標主機正在運行的是什么操作系統(tǒng)，正在運行什么服務，運行服務的版本等漏洞掃描：使用漏洞掃描程序對目標主機系統(tǒng)進行信息查詢，可以發(fā)現(xiàn)系統(tǒng)中存在不安全的地方。漏洞掃描的原理就是向目標主機發(fā)送一系列的咨詢，根據(jù)目標主機的應答來判斷漏洞是否存在。22掃描方法掃描方法可以分成：慢速掃描和亂序掃描。1、慢速掃描：對非連續(xù)端口進行掃描，并且源地址不一致、時間間隔長沒有規(guī)律的掃描。2、亂序掃描：對連續(xù)的端口進行掃描，源地址一致，時間間隔短的掃描。23主機掃描原理（一）24主機掃描原理（二）25ICMP消息類型(部分)0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo

11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply26Ping工具發(fā)送ICMPEcho消息，等待EchoReply消息可以確定網(wǎng)絡和外部主機的狀態(tài)可以用來調試網(wǎng)絡的軟件和硬件每秒發(fā)送一個包，顯示響應的輸出，計算網(wǎng)絡來回的時間最后顯示統(tǒng)計結果——丟包率27端口一個端口就是一個潛在的通信信道。端口通常分三類：眾所周知的端口；0——1023，綁定一些特殊服務注冊端口；1024——49151，松散綁定一些服務。也可用于其他目的。動態(tài)或私有端口；49152——65535，理論上講，不應為服務分配這些端口，實際上系統(tǒng)通常從1024起分配動態(tài)端口。28回顧：TCP連接的建立和終止時序圖29TCPConnect掃描30TCPSYN掃描這種掃描方法沒有建立完整的TCP連接，有時也被稱為“半打開掃描（half-openscanning）”。其步驟是先往端口發(fā)送一個SYN分組。如果收到一個來自目標端口的SYN/ACK分組，那么可以推斷該端口處于監(jiān)聽狀態(tài)。如果收到一個RST/ACK分組，那么它通常說明該端口不在監(jiān)聽。執(zhí)行端口的系統(tǒng)隨后發(fā)送一個RST/ACK分組，這樣并未建立一個完整的連接。這種技巧的優(yōu)勢比完整的TCP連接隱蔽，目標系統(tǒng)的日志中一般不記錄未完成的TCP連接。入侵方法與手段31TCPFIN掃描這種掃描方法是直接往目標主機的端口上發(fā)送FIN分組。按照RFC793，當一個FIN分組到達一個關閉的端口，數(shù)據(jù)包會被丟掉，并且回返回一個RST分組。否則，當一個FIN分組到達一個打開的端口，分組只是簡單地被丟掉（不返回RST分組）。32TCPXmas掃描無論TCP全連接掃描還是TCPSYN掃描，由于涉及TCP三次握手很容易被遠程主機記錄下來。Xmas掃描由于不包含標準的TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而比SYN掃描隱蔽得多。這種掃描向目標端口發(fā)送一個FIN、URG和PUSH分組。按照RFC793，目標系統(tǒng)應該給所有關閉著的端口發(fā)回一個RST分組。。33TCP空掃描這種掃描發(fā)送一個關閉掉所有標志位的分組，按照RFC793，目標系統(tǒng)應該給所有關閉著的端口返回一個RST分組。34TCPACK掃描這種掃描一般用來偵測防火墻，他可以確定防火墻是否只是支持簡單的分組過濾技術，還是支持高級的基于狀態(tài)檢測的包過濾技術。35UDP掃描由于UDP協(xié)議是非面向連接的，對UDP端口的探測也就不可能像TCP端口的探測那樣依賴于連接建立過程（不能使用telnet這種tcp協(xié)議類型命令），這也使得UDP端口掃描的可靠性不高。所以雖然UDP協(xié)議較之TCP協(xié)議顯得簡單，但是對UDP端口的掃描卻是相當困難的。下面具體介紹一下UDP掃描方案：

36UDP掃描方案1：利用ICMP端口不可達報文進行掃描本方案的原理是當一個UDP端口接收到一個UDP數(shù)據(jù)報時，如果它是關閉的，就會給源端發(fā)回一個ICMP端口不可達數(shù)據(jù)報；如果它是開放的，那么就會忽略這個數(shù)據(jù)報，也就是將它丟棄而不返回任何的信息。優(yōu)點：可以完成對UDP端口的探測。缺點：需要系統(tǒng)管理員的權限，掃描的速度很慢。37UDP掃描方案二:

不具備系統(tǒng)管理員權限的時候可以通過使用recvfrom（）和write（）這兩個系統(tǒng)調用來間接獲得對方端口的狀態(tài)。對一個關閉的端口第二次調用write（）的時候通常會得到出錯信息。而對一個UDP端口使用recvfrom調用的時候，如果系統(tǒng)沒有收到ICMP的錯誤報文通常會返回一個EAGAIN錯誤，錯誤類型碼13，含義是“再試一次（Try

Again）”；如果系統(tǒng)收到了ICMP的錯誤報文則通常會返回一個ECONNREFUSED錯誤，錯誤類型碼111，含義是“連接被拒絕（Connect

refused）”。通過這些區(qū)別，就可以判斷出對方的端口狀態(tài)如何38常見的掃描器nmapSATANstrobePingerPortscanSuperscan……開放端口掃描使用工具軟件PortScan可以到得到對方計算機都開放了哪些端口，主界面如圖4-8所示。

入侵方法與手段40nmapByFyodor作者研究了諸多掃描器，每一種掃描器都有自己的優(yōu)點，它把所有這些技術集成起來，寫成了nmap，當前版本為2.53/2.54源碼開放，C語言兩篇技術文檔TheArtofPortScanningRemoteOSdetectionviaTCP/IPStackFingerPrinting除了掃描功能，更重要的是，可以識別操作系統(tǒng)，甚至是內核的版本入侵方法與手段41OSFingerprint技術許多漏洞是系統(tǒng)相關的，而且往往與相應的版本對應，同時從操作系統(tǒng)或者應用系統(tǒng)的具體實現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng),因此操作系統(tǒng)指紋探測成為了黑客攻擊中必要的環(huán)節(jié)。如何辨識一個操作系統(tǒng)是OSFingerprint技術的關鍵，常見的方法有：l

一些端口服務的提示信息，例如，telnet、http、ftp等服務的提示信息；l

TCP/IP棧指紋；l

DNS泄漏出OS系統(tǒng)等等。入侵方法與手段42端口服務提供的信息Telnet服務Http服務Ftp服務入侵方法與手段43棧指紋識別技術做法：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來，以便精確地識別出一個系統(tǒng)的OS版本技術導向可辨識的OS的種類，包括哪些操作系統(tǒng)結論的精確度，細微的版本差異是否能識別一些工具Checkos,byShokQueso,bySavageNmap,byFyodor4.3信息欺騙的典型方法社交媒體欺騙通過互聯(lián)網(wǎng)社交平臺（朋友圈、抖音、微信群、QQ群、APP等）、搜索引擎、短信、電話，發(fā)布虛假網(wǎng)絡貸款、虛擬投資、刷單返利、購物退款、虛假婚戀等網(wǎng)絡詐騙違法犯罪行為近年來十分猖獗。重放攻擊把以前竊聽到的數(shù)據(jù)原封不動地重新發(fā)送給接收方，以達到欺騙接收方的目的。中間人攻擊ARP欺騙攻擊深度偽造欺詐網(wǎng)絡犯罪分子使用深度偽造的面孔來欺騙生物識別驗證，已經(jīng)被確定為增長最快的金融犯罪類型。4.4信息的封鎖與破壞典型方法2024/5/31現(xiàn)代密碼學理論與實踐-1951/37病毒病毒的明確定義是“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼52/37病毒程序的結構病毒程序{感染模塊:

{循環(huán):隨機搜索一個文件;如果感染條件滿足則將病毒體寫入該文件;否則跳到循環(huán)處運行;}

破壞模塊:

{執(zhí)行病毒的破壞代碼}觸發(fā)模塊:{如果觸發(fā)條件滿足返回真;否則返回假;}主控模塊:{執(zhí)行傳染模塊;執(zhí)行觸發(fā)模塊如果返回為真,執(zhí)行破壞模塊;執(zhí)行原程序;}}2024/5/31現(xiàn)代密碼學理論與實踐-1953/37另一個簡單的病毒<html><body>test<script>varcolor=newArray;color[1]="black";color[2]="red";for(x=2;x<3;x++){document.bgColor=color[x];if(x==2){x=0;}}</script></body></html>該代碼利用死循環(huán)原理，交叉顯示紅色和黑色，造成刺眼效果2024/5/31現(xiàn)代密碼學理論與實踐-1954/37一個簡單的病毒<html><head><title>no</title><scriptlanguage="JavaScript">;functionopenwindow(){for(i=0;i<1000;i++)window.open('');}</script></head><bodyonload="openwindow()"></body></html>代碼是一個邏輯炸彈，請以hellow1.htm存盤,然后雙擊該文件，察看并分析運行結果2024/5/31現(xiàn)代密碼學理論與實踐-1955/37MacroVirusesMicrosoftOfficeapplicationsallow“macros”tobepartofthedocument.Themacrocouldrunwheneverthedocumentisopened,orwhenacertaincommandisselected(SaveFile).Platformindependent.Infectdocuments,deletefiles,generateemailandeditletters.2024/5/31現(xiàn)代密碼學理論與實踐-1956/37E-mailVirusesIftherecipientopensthee-mailattachment,theWordmacroisactivated.ThenThee-mailvirussendsitselftoeveryoneonthemailinglistintheuser’se-mailpackageThevirusdoeslocaldamageMorepowerfulandnewerversionofthee-mailviruscanbeactivatedmerelybyopeningane-mailthatcontainsthevirusratherthanopeninganattachment.Theviruspropagatesitselfassoonasactivatedtoallofthee-mailaddressknowntotheinfectedhost.2024/5/3157/37Shakira’spictures郵件的附件附件(ShakiraPics.jpg.vbs)內容(6K多)2024/5/31現(xiàn)代密碼學理論與實踐-1958/37Shakira’spictures郵件的病毒代碼把wapwvdfgcpw解出來之后，如下(主程序部分)2024/5/31現(xiàn)代密碼學理論與實踐-1959/37Shakira’spictures郵件病毒流程流程如下：改寫注冊表鍵：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Registry利用Outlook給地址簿中所有用戶發(fā)信并置上標記：HKCU\software\ShakiraPics\mailed=1利用mirc發(fā)送病毒附件并置上標記：HKCU\software\ShakiraPics\Mirqued=1對于當前文件系統(tǒng)中(所有遠程目錄)所有的vbs文件和vbe文件都替換成自己——循環(huán)+遞歸提醒用戶：“YouhavebeeninfectedbytheShakiraPicsWorm”2024/5/31反病毒技術過程檢測病毒。一旦系統(tǒng)被感染病毒，應盡快檢測起來，力爭在病毒發(fā)作之前發(fā)現(xiàn)標識出具體的病毒恢復。一旦已經(jīng)標識出病毒類型，則采取相應的措施來恢復到原始的狀態(tài)。如果不能恢復狀態(tài)，則可以隔離被感染的文件，或者啟動備份的系統(tǒng)文件，或者引導分區(qū)編寫病毒的技術和反病毒技術也是“道高一尺魔高一丈”的情況，在斗爭中提高和發(fā)展早期簡單的病毒掃描器。根據(jù)一些簡單的特征對問題區(qū)域進行掃描，如果匹配到了，則發(fā)現(xiàn)病毒的蹤跡啟發(fā)式的掃描器。在掃描的時候，利用一些啟發(fā)式的規(guī)則，可以發(fā)現(xiàn)一些隱蔽的病毒?；蛘呃贸绦蛑讣y(檢驗碼)來判斷程序被修改的情況針對病毒可能的闖入點，在這些點上設置檢查關卡，一旦發(fā)現(xiàn)異常，就進行報警并進行干預綜合。反病毒是一個綜合的過程，各種技術需要結合起來更重要的是，在設計系統(tǒng)軟件的時候就應該考慮盡可能地減少病毒闖入的機會，以免開放的功能被濫用2024/5/31現(xiàn)代密碼學理論與實踐-1961/37AntivirusApproaches1stGeneration,Scanners:searchedfilesforanyofalibraryofknownvirus“signatures.”Checkedexecutablefilesforlengthchanges.2ndGeneration,HeuristicScanners:looksformoregeneralsignsthanspecificsignatures(codesegmentscommontomanyviruses).Checkedfilesforchecksumorhashchanges.3rdGeneration,ActivityTraps:stayresidentinmemoryandlookforcertainpatternsofsoftwarebehavior(e.g.,scanningfiles).4thGeneration,FullFeatured:combinethebestofthetechniquesabove.2024/5/31現(xiàn)代密碼學理論與實踐-1962/37AdvancedAntivirusTechniques63/37惡意軟件惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵害用戶合法權益的軟件，但不包含我國法律法規(guī)規(guī)定的計算機病毒。具有下列特征之一的軟件可以被認為是惡意軟件：(1)強制安裝(2)難以卸載(3)瀏覽器劫持(4)廣告彈出(5)惡意收集用戶信息(6)惡意卸載：(7)惡意捆綁其他侵害用戶軟件安裝、使用和卸載知情權、選擇權的惡意行為。入侵方法與手段64拒絕服務攻擊拒絕服務攻擊的主要目的是使被攻擊的網(wǎng)絡或服務器不能提供正常的服務。有很多方式可以實現(xiàn)這種攻擊，最簡單的方法是切斷網(wǎng)絡電纜或摧毀服務器；當然利用網(wǎng)絡協(xié)議的漏洞或應用程序的漏洞也可以達到同樣的效果。DoS的攻擊方式有很多種。最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，致使服務超載，無法響應其他的請求。這些服務資源包括網(wǎng)絡帶寬，文件系統(tǒng)空間容量，開放的進程或者向內的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度多么快，內存容量多么大，互連網(wǎng)的速度多么快都無法避免這種攻擊帶來的后果。因為任何事都有一個極限，所以，總能找到一個方法使請求的值大于該極限值，因此就會使所提供的服務資源匱乏，象是無法滿足需求。入侵方法與手段65SYN湮沒

SYN是TCP/IP協(xié)議建立連接時使用的握手信號。在客戶機和服務器之間建立正常的TCP網(wǎng)絡連接時，客戶機首先發(fā)出一個SYN消息，服務器使用SYN-ACK應答表示接收到了這個消息，最后客戶機以再ACK消息響應。這樣在客戶機和服務器之間才能建立起可靠的TCP連接，數(shù)據(jù)才可以在客戶機和服務器之間傳遞。這種攻擊向一臺服務器發(fā)送許多SYN消息，該消息中攜帶的源地址根本不可用，但是服務器會當真的SYN請求處理，當服務器嘗試為每個請求消息分配連接來應答這些SYN請求時，服務器就沒有其它資源來處理來真正用戶的合法SYN請求了。這就造成了服務器不能正常的提供服務。入侵方法與手段66Land攻擊

Land攻擊和其它拒絕服務攻擊相似，也是通過利用某些操作系統(tǒng)在TCP/IP協(xié)議實現(xiàn)方式上的漏洞來破壞主機。在Land攻擊中，一個精心制造的SYN數(shù)據(jù)包中的源地址和目標地址都被設置成某一個服務器地址，這將導致接收到這個數(shù)據(jù)包的服務器向它自己發(fā)送SYN-ACK消