计算机网络安全技术第2章黑客常用的攻击方法课件

1第2章黑客常用的攻击方法第2章黑客常用的攻击方法第2章黑客常用的攻击方法12第2章黑客常用的攻击方法能力CAPACITY要求熟悉TCP/IP。了解黑客攻击的常用手段和方法，掌握常用网络安全技术。具有良好的职业道德。能力CAPACITY要求熟悉TCP/IP。了解黑客攻击的常用23第2章黑客常用的攻击方法内容CONTENTS导航常用黑客技术的原理黑客发展的历史黑客攻击的防范常用黑客技术的原理黑客发展的历史黑客攻击的防范34第2章黑客常用的攻击方法一、黑客发展的历史罗伯特莫里斯1988年，莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特莫里斯（22岁）制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机，使之瘫痪。此后，从CIH到美丽杀病毒，从尼姆达到红色代码，病毒、蠕虫的发展愈演愈烈。一、黑客发展的历史罗伯特莫里斯1988年，莫里斯蠕虫病毒震45第2章黑客常用的攻击方法一、黑客发展的历史l凯文米特尼克是美国20世纪最著名的黑客之一，他是社会工程学的创始人l1979年（15岁）他和他的伙伴侵入了“北美空中防务指挥系统”，翻阅了美国所有的核弹头资料，令大人不可置信。l不久破译了美国“太平洋电话公司”某地的改户密码，随意更改用户的电话号码。欺骗的艺术凯文米特尼克一、黑客发展的历史凯文米特尼克是美国20世纪最著名的黑客之56第2章黑客常用的攻击方法一、黑客发展的历史安全威胁发展趋势一、黑客发展的历史安全威胁发展趋势67第2章黑客常用的攻击方法一、黑客发展的历史攻击复杂度与所需入侵知识关系图一、黑客发展的历史攻击复杂度与所需入侵知识关系图78第2章黑客常用的攻击方法一、黑客发展的历史黑客入侵攻击的一般过程目标地址范围确定、名字空间查询对目标系统的监听和评估分析收集足够的信息，得以成功访问目标从对用户级的访问权限到对系统的完全控制信息进一步摄取取一旦目标系统已全部控制，掩踪灭迹不同部位布置陷阱和后门，需要时获得特权访问踩点扫描查点获取访问特权提升偷盗窃取掩踪灭迹创建后门如果入侵不成功，可用漏洞代码来使目标系统瘫痪拒绝服务打开源查询；whois；whois的Web接口；ARINwhios；DNA区域传送Pingsweep；TCP/UDP端口扫描；OS检测列出用户账号；列出共享文件；确定各种应用密码窃听；共享文件的蛮力攻击；攫取密码；文件缓冲区溢出密码破解；利用已知漏洞和脆弱点评估可信系统的坚固度；搜索明文密码清除日志记录；掩藏工具创建“无赖”账号，；安排批处理作业；感染初启动文件；植入远程控制程序；安装监控机制；利用特洛伊木马替换应用SYNflood；ICMP技术；统一scr/dstSYN请求；重叠fragment/offset错误（bugs）；OutofboundsTCPoption（008）；DDoS针对有效用户账号或共享资源，进行更多入侵探询一、黑客发展的历史黑客入侵攻击的一般过程目标地址范围确定、89第2章黑客常用的攻击方法内容CONTENTS导航常用黑客技术的原理黑客发展的历史黑客攻击的防范常用黑客技术的原理黑客发展的历史黑客攻击的防范910第2章黑客常用的攻击方法二、常用黑客技术的原理l网络踩点：收集IP地址范围、域名信息等。l网络扫描：探测系统开放端口、操作系统类型、所运行的网络服务，以及是否存在可利用的安全漏洞等。l网络查点：获得用户账号、网络服务类型和版本号等更细致的信息。常用的网络信息收集技术【实验】whois查询二、常用黑客技术的原理网络踩点：收集IP地址范围、域名信息等1011第2章黑客常用的攻击方法二、常用黑客技术的原理漏洞扫描的内容漏洞扫描1 12 23 34 45 56 6系统开放的服务（端口扫描）各种弱口令漏洞、后门操作系统类型及版本网络设备漏洞应用服务漏洞拒绝服务漏洞等网络扫描器作用探测目标网络结构，获取目标系统的开放端口、操作系统类型、运行的网络服务、存在的安全弱点等信息。二、常用黑客技术的原理漏洞扫描的内容漏洞扫描12341112第2章黑客常用的攻击方法二、常用黑客技术的原理端口扫描器原理预备知识应用层表示层会话层传输层网络层数据链路层物理层应用层应用程序应用程序传输层网络层链路层TCPTCPUDPICMPIPARP硬件接口RARP二、常用黑客技术的原理端口扫描器原理预备知识应用层表示层会1213第2章黑客常用的攻击方法二、常用黑客技术的原理预备知识IP头预备知识TCP头二、常用黑客技术的原理预备知识IP头预备知识TCP头1314第2章黑客常用的攻击方法二、常用黑客技术的原理常用的扫描软件Nmap（端口扫描器）NessusXscan（综合扫描器）ipscanlNmap简介(NetworkMapper)l官方下载及文档地址：http:/insecure.org/nmap/l详细操作步骤参见教材课堂演练一：端口扫描器Nmap二、常用黑客技术的原理常用的扫描软件Nmap（端口扫描器）N1415第2章黑客常用的攻击方法二、常用黑客技术的原理其他扫描方式：案例02OPTION01OPTION03OPTION04OPTIONPing扫描（sP参数）TCPconnect()端口扫描（sT参数）TCP同步（SYN）端口扫描（sS参数）UDP端口扫描（sU参数）02OPTION01OPTION03OPTIONFIN扫描（sF）圣诞树扫描（sX）空扫描（sN）二、常用黑客技术的原理其他扫描方式：案例02OPTION011516第2章黑客常用的攻击方法二、常用黑客技术的原理l全连接扫描TCPconnect()扫描l半连接扫描TCPSYN()扫描二、常用黑客技术的原理全连接扫描TCPconnect(1617第2章黑客常用的攻击方法二、常用黑客技术的原理端口扫描的防范防火墙防火墙是不是能防范所有的端口扫描？提问二、常用黑客技术的原理端口扫描的防范防火墙防火墙是不是能防范1718第2章黑客常用的攻击方法二、常用黑客技术的原理l本部分内容安排学生自己完成l详细操作步骤参见教材课堂演练二：综合扫描器XscanlNessus也是一款典型的综合扫描器，其被认为是目前全世界最多人使用的系统漏洞扫描与分析软件。lNessus软件采用C/S架构：l详细操作步骤参见教材课堂演练三：Nessus二、常用黑客技术的原理本部分内容安排学生自己完成课堂演练二：1819第2章黑客常用的攻击方法二、常用黑客技术的原理口令破解01PRAT02PRAT03PRAT口令破解概述口令破解方法口令破解实验（详细操作步骤参见教材）二、常用黑客技术的原理口令破解01PRAT02PRAT03P1920第2章黑客常用的攻击方法二、常用黑客技术的原理口令破解的防范标题关闭139端口强壮的密码administrator账户重命名设置账户锁定策略口令破解的防范二、常用黑客技术的原理口令破解的防范标题关闭139端口强壮的2021第2章黑客常用的攻击方法二、常用黑客技术的原理lSniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。l采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。网络监听技术Sniffer原理什么是Sniffer?l网络通信监视软件l网络故障诊断分析工具l网络性能优化、管理系统它帮助你迅速隔离和解决网络通讯问题、分析和优化网络性能和规划网络的发展。二、常用黑客技术的原理Sniffer，中文可以翻译为嗅探器,2122第2章黑客常用的攻击方法二、常用黑客技术的原理l梦幻西游在网维大师无盘上容易掉线的问题（备注：123.58.184.241是梦幻西游的服务器）l分析原因产生：1、服务器发现客户端非法，比如有外挂什么的，踢掉了客户机；2、服务器压力大，踢掉了客户机；3、总之不是客户端问题导致的掉线；案例二、常用黑客技术的原理梦幻西游在网维大师无盘上容易掉线的问题2223第2章黑客常用的攻击方法二、常用黑客技术的原理网卡先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。网卡工作原理二、常用黑客技术的原理网卡先接收数据头的目的MAC地址，根据2324第2章黑客常用的攻击方法二、常用黑客技术的原理网卡的工作模式能够接收网络中的广播信息。广播方式在此添加标题组播方式直接方式混杂模式（promiscuous）能够接收组播数据。只有目的网卡才能接收该数据。能够接收到一切通过它的数据。二、常用黑客技术的原理网卡的工作模式能够接收网络中的广播信息2425第2章黑客常用的攻击方法二、常用黑客技术的原理HUB工作原理二、常用黑客技术的原理HUB工作原理2526第2章黑客常用的攻击方法二、常用黑客技术的原理交换环境下的SNIFF二、常用黑客技术的原理交换环境下的SNIFF2627第2章黑客常用的攻击方法二、常用黑客技术的原理一个sniffer需要作的：网络监听原理123把网卡置于混杂模式捕获数据包分析数据包123二、常用黑客技术的原理一个sniffer需要作的：网络监听原2728第2章黑客常用的攻击方法二、常用黑客技术的原理常用的SNIFFwindows环境下UNUX环境下图形界面的SNIFF、netxray、snifferproUNUX环境下的sniff可以说是百花齐放，他们都有一个好处就是发布源代码，当然也都是免费的。如sniffit、snoop、tcpdump、dsniff1、SnifferPro2、WireShark（06年夏天前称为Ethereal）3、Netmonitor4、EffTechHTTPSniffer5、Iris二、常用黑客技术的原理常用的SNIFFwindows环境下2829第2章黑客常用的攻击方法二、常用黑客技术的原理lWireshark的使用lWireshark的语法Sniffer演示实验二、常用黑客技术的原理Wireshark的使用Sniffe2930第2章黑客常用的攻击方法二、常用黑客技术的原理捕捉过滤器可以使用6种比较运算符：逻辑运算符（Logicalexpressions）:二、常用黑客技术的原理捕捉过滤器可以使用6种比较运算符：逻辑3031第2章黑客常用的攻击方法二、常用黑客技术的原理1.tcpdstport80/捕捉目的TCP端口为80的封包。问题：怎么捕捉DNS包？2.host10.1.248.248/捕捉目的或来源IP地址为10.1.248.248的封包。3.ipsrchost10.3.40.*/捕捉来源IP地址为10.3.40.*的封包。4.etherhoste005c544b13c/捕捉目的或来源MAC地址为e005c544b13c的封包。5.srcportrange20002500/捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封包。6.（srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange20010000anddstnet10.0.0.0/8/捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。练习二、常用黑客技术的原理1.tcpdstport803132第2章黑客常用的攻击方法二、常用黑客技术的原理练习1.ip.addr=10.1.1.1/显示来源或目的IP地址为10.1.1.1的封包。2.ip.src!=10.1.2.3orip.dst!=10.4.5.6/显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。3.tcp.port=80/显示来源或目的TCP端口号为80的封包。4.tcp.dstport=25/显示目的TCP端口号为25的封包。显示过滤器二、常用黑客技术的原理练习显示过滤器3233第2章黑客常用的攻击方法二、常用黑客技术的原理l【例1】嗅探FTP过程l【例2】嗅探HTTP登录邮箱的过程l【例3】嗅探POP邮箱密码的过程详细操作步骤参见教材课堂演练l使用WireShark分析TCP/IP建立连接的三次握手过程的数据包l使用WireShark分析nmap各种扫描方式的数据包综合演练二、常用黑客技术的原理【例1】嗅探FTP过程课堂演练使用W3334第2章黑客常用的攻击方法内容CONTENTS导航常用黑客技术的原理黑客发展的历史黑客攻击的防范常用黑客技术的原理黑客发展的历史黑客攻击的防范3435第2章黑客常用的攻击方法三、黑客攻击的防范l进行合理的网络分段。l用SSH/SSL建立加密连接，保证数据传输安全。lSniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。l防止内部攻击。lAntiSniff工具用于检测局域网中是否有机器处于混杂模式（不是免费的）。如何防止SNIFF三、黑客攻击的防范进行合理的网络分段。如何防止SNIFF3536第2章黑客常用的攻击方法三、黑客攻击的防范lARP欺骗的工作原理ARP欺骗攻击三、黑客攻击的防范ARP欺骗的工作原理ARP欺骗攻击3637第2章黑客常用的攻击方法三、黑客攻击的防范交换环境下的ARP欺骗攻击及其嗅探演示实验l实验拓扑：lARP欺骗工具：SwitchSnifferl详细步骤参见教材三、黑客攻击的防范交换环境下的ARP欺骗攻击及其嗅探演示实验3738第2章黑客常用的攻击方法三、黑客攻击的防范lARP命令静态绑定网关lARP防火墙l通过加密传输数据、使用VLAN技术细分网络拓扑等方法，以降低ARP欺骗攻击的危害后果ARP欺骗的防御三、黑客攻击的防范ARP命令静态绑定网关ARP欺骗的防御3839第2章黑客常用的攻击方法三、黑客攻击的防范l木马是一种基于远程控制的黑客工具l隐蔽性l潜伏性l危害性l非授权性木马（Trojanhorse）三、黑客攻击的防范木马是一种基于远程控制的黑客工具木马（Tr3940第2章黑客常用的攻击方法三、黑客攻击的防范木马与病毒、远程控制的区别40213病毒程序是以自发性的败坏为目的木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。木马和一般的远程控制软件的区别在于其隐蔽、非授权性。三、黑客攻击的防范木马与病毒、远程控制的区别40213病毒程41第2章黑客常用的攻击方法三、黑客攻击的防范木马的工作原理实际就是一个C/S模式的程序（里应外合）操作系统被植入木马的PC（server程序）TCP/IP协议端口控制木马的PC（client程序）操作系统TCP/IP协议端口控制端端口处于监听状态三、黑客攻击的防范木马的工作原理实际就是一个C/S模式的程序4142第2章黑客常用的攻击方法三、黑客攻击的防范木马的分类代理型FTP型下载型木马远程访问型键盘记录型密码发送型破坏型三、黑客攻击的防范木马的分类代理型FTP型下载型木马远程访问4243第2章黑客常用的攻击方法三、黑客攻击的防范木马实施攻击的步骤木马伪装信息反馈配置木马启动木马远程控制传播木马建立连接0102030405三、黑客攻击的防范木马实施攻击的步骤木马伪装配置木马启动木马4344第2章黑客常用的攻击方法三、黑客攻击的防范l服务器端程序：Gserver.exel客户端程序：Gclient.exe详细步骤参见教材课堂演练一：冰河木马的使用l反弹端口类型的木马l服务器的配置l服务器的工作方式l远程控制l如何清除？课堂演练二：灰鸽子的使用三、黑客攻击的防范服务器端程序：Gserver.exe课堂4445第2章黑客常用的攻击方法三、黑客攻击的防范木马文件的隐藏和伪装文件的属性捆绑到其他文件上文件的名字文件的位置文件的扩展名文件的图标三、黑客攻击的防范木马文件的隐藏和伪装文件的属性捆绑4546第2章黑客常用的攻击方法三、黑客攻击的防范木马运行时伪装方法123在任务栏里隐藏在任务管理器里隐藏隐藏端口三、黑客攻击的防范木马运行时伪装方法123在任务栏里隐藏在任4647第2章黑客常用的攻击方法三、黑客攻击的防范木马的启动方式win.inisystem.ini启动组注册表捆绑方式启动伪装在普通文件中设置在超级连接中三、黑客攻击的防范木马的启动方式win.inisystem4748第2章黑客常用的攻击方法三、黑客攻击的防范l查看端口l检查注册表l检查DLL木马l检查配置文件木马的检测l发现木马：检查系统文件、注册表、端口l不要轻易使用来历不明的软件l不熟悉的EMAIL不打开l常用杀毒软件并及时升级l合理使用防火墙木马的防御三、黑客攻击的防范查看端口木马的检测发现木马：检查系统文件、4849第2章黑客常用的攻击方法三、黑客攻击的防范流行木马简介流行木马backorificeSubseven网络公牛(Netbull)网络神偷(Nethief)广外男生（是广外女生的一个变种）Netspy(网络精灵)冰河三、黑客攻击的防范流行木马简介流行木马backorific4950第2章黑客常用的攻击方法三、黑客攻击的防范DoSDenialofService：现在一般指导致服务器不能正常提供服务的攻击。拒绝服务攻击(DoS)1232002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。2009年5月19日，由于暴风影音软件而导致“暴风门”全国断网事件。2014年6月20日起，香港公投网站PopVote遭遇超大规模的DDoS攻击DoS攻击的事件3三、黑客攻击的防范DoSDenialofServic5051第2章黑客常用的攻击方法三、黑客攻击的防范DoS攻击的分类01010202以消耗目标主机的可用资源为目的（例如：死亡之ping、SYN攻击、Land攻击、泪珠攻击等）以消耗服务器链路的有效带宽为目的（例如：蠕虫）三、黑客攻击的防范DoS攻击的分类0102以消耗目标主机的5152第2章黑客常用的攻击方法三、黑客攻击的防范SYN攻击的原理（1）目标主机SYNSYN/ACKACK等待应答SYN：同步SYN/ACK:同步/确认ACK：确认三、黑客攻击的防范SYN攻击的原理（1）目标主机SYNSYN5253第2章黑客常用的攻击方法三、黑客攻击的防范SYN攻击的原理（2）.SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK.等待ACK应答.不应答不应答重新发送三、黑客攻击的防范SYN攻击的原理（2）.SYN/AC5354第2章黑客常用的攻击方法三、黑客攻击的防范以windows为例SYN攻击花费时间（秒）累计花费时间（秒）第一次，失败33尝试第1次，失败69尝试第2次，失败1221尝试第3次，失败2445尝试第4次，失败4893尝试第5次，失败96189三、黑客攻击的防范以windows为例SYN攻击花费时间（5455第2章黑客常用的攻击方法三、黑客攻击的防范lsynkiller（图形界面工具）lsyn等（DOS界面工具）【攻击效果】可通过抓包和查看CPU的利用率来观看攻击效果思考题扫描器中的半连接扫描是不是也构成SYN攻击？课堂演练SYN攻击三、黑客攻击的防范synkiller（图形界面工具）课堂演5556第2章黑客常用的攻击方法三、黑客攻击的防范行行色色的DOS攻击DOS攻击1234SYN Flood泪珠（Teardrop）攻击 死亡之ping Land攻击三、黑客攻击的防范行行色色的DOS攻击DOS攻击1234SY5657第2章黑客常用的攻击方法三、黑客攻击的防范DDoS攻击案例案例1 12012年2月巴西银行成为了分布式拒绝服务攻击的目标。巴西汇丰银行、巴西银行、Itau Unibanco Multiplo SA 银行和布拉德斯科银行都遭到了大规模攻击。攻击中，黑客利用的正是DDoS。2015年某网络游戏进行上线公测，公测前10分钟，主力机房遭遇DDoS攻击，带宽瞬间被占满，上游路由节点被打瘫，游戏发行商被迫宣布停止公测。案例2 2三、黑客攻击的防范DDoS攻击案例案例12012年2月巴西5758第2章黑客常用的攻击方法三、黑客攻击的防范DDOS攻击的威力2015年DDoS阿里云云盾防御的最大攻击峰值流量为477Gbps。20152015预测2016年整个互联网可能会发生流量在800Gbps1TGbps之间的攻击事件。20162016三、黑客攻击的防范DDOS攻击的威力2015年DDoS阿里云5859第2章黑客常用的攻击方法三、黑客攻击的防范DDoS(分布式拒绝服务)攻击攻击者各种客户主机目标系统安置代理代理程序1、攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。2、攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。攻击准备：三、黑客攻击的防范DDoS(分布式拒绝服务)攻击攻击者各种5960第2章黑客常用的攻击方法三、黑客攻击的防范DDoS(分布式拒绝服务)攻击目标系统攻击者指令攻击的代理程序虚假的连接请求3、攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。发起攻击：4、包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。三、黑客攻击的防范DDoS(分布式拒绝服务)攻击目标系统攻6061第2章黑客常用的攻击方法三、黑客攻击的防范l实验拓扑：详细步骤参见教材TFN分布式拒绝服务攻击实验三、黑客攻击的防范TFN分布式拒绝服务攻击实验6162第2章黑客常用的攻击方法三、黑客攻击的防范详细步骤参见教材冰盾防火墙的演示实验三、黑客攻击的防范详细步骤参见教材冰盾防火墙的演示实验6263第2章黑客常用的攻击方法三、黑客攻击的防范DNS反射攻击的原理中小贷款攻击者/僵尸主机伪造受害者发起大量DNS查询请求开放DNS递归服务器DNS服务器回应大量查询响应1M的流量发出大量模拟被攻击者的DNS请求被攻击者100M的流量100M的流量1M的流量发出大量模拟被攻击者的DNS请求三、黑客攻击的防范DNS反射攻击的原理中小贷款攻击者/僵6364第2章黑客常用的攻击方法三、黑客攻击的防范l针对应用程序2013年25%的DDOS攻击将是基于应用程序。l利用高速带宽在2012年下半年美国银行遭受到一类新的破坏性DDoS攻击，有时高达70Gbps的网络流量冲击了银行自有互联网管道。个性化攻击三、黑客攻击的防范针对应用程序2013年25%的DDO6465第2章黑客常用的攻击方法三、黑客攻击的防范缓冲区溢出（bufferoverflow)从一个对话框说起三、黑客攻击的防范缓冲区溢出（bufferoverflow6566第2章黑客常用的攻击方法三、黑客攻击的防范【引例】把1升的水注入容量为0.5升的容量中认识缓冲区溢出l第一次大规模的缓冲区溢出攻击是发生在1988年的Morris蠕虫，它造成了6000多台机器被瘫痪，损失在$100000至$10000000之间，利用的攻击方法之一就是fingerd的缓冲区溢出。l缓冲区溢出攻击已经占了网络攻击的绝大多数，据统计，大约80%的安全事件与缓冲区溢出攻击有关。三、黑客攻击的防范【引例】把1升的水注入容量为0.5升的容量6667第2章黑客常用的攻击方法三、黑客攻击的防范缓冲区溢出原理Windows系统的内存结构三、黑客攻击的防范缓冲区溢出原理Windows系统的内存结构6768第2章黑客常用的攻击方法三、黑客攻击的防范计算机运行时，系统将内存划分为3个段，分别是代码段、数据段和堆栈段。Windows系统的内存结构数据只读，可执行。在代码段一切数据不允许更改。在代码段中的数据是在编译时生成的2进制机器代码，可供CPU执行。放置程序运行时动态的局部变量，即局部变量的空间被分配在堆栈里面。可读、写。静态全局变量是位于数据段并且在程序开始运行的时候被加载。可读、写。代码段堆栈段数据段三、黑客攻击的防范计算机运行时，系统将内存划分为3个段，分别6869第2章黑客常用的攻击方法三、黑客攻击的防范l缓冲区溢出源于程序执行时需要存放数据的空间，也即我们所说的缓冲区。l缓冲区的大小是程序执行时固定申请的。然而，某些时候，在缓冲区内装载的数据大小是用户输入的数据决定的。程序开发人员偶尔疏忽了对用户输入的这些数据作长度检查，由于用户非法操作或者错误操作，输入的数据占满了缓冲区的所有空间，且超越了缓冲区边界延伸到缓冲区以外的空间。我们称这个动作为缓冲区溢出。缓冲区溢出的基本原理（1）l缓冲区溢出是由于系统和软件本身存在脆弱点所导致的。l例如目前被广泛使用的C和C+，这些语言在编译的时候没有做内存检查，即数组的边界检查和指针的引用检查，也就是开发人员必须做这些检查，可是这些事情往往被开发人员忽略了；标准C库中还存在许多不安全的字符串操作函数，包括：strcpy()，sprintf()，gets()等等，从而带来了很多脆弱点，这些脆弱点也便成了缓冲区溢出漏洞。缓冲区溢出的基本原理（2）三、黑客攻击的防范缓冲区溢出源于程序执行时需要存放数据的空间6970第2章黑客常用的攻击方法三、黑客攻击的防范/*文件名：overflow.cpp*功能：演示Windows缓冲区溢出的机制*/#include#includecharbigbuff=“aaaaaaaaaa;/10个avoidmain()charsmallbuff5;/只分配了5字节的空间strcpy(smallbuff,bigbuff);Windows缓冲区溢出实例分析利用OllyDbg调试工具加载overflow.exe文件三、黑客攻击的防范/*Windows缓冲区溢出实例分析利用7071第2章黑客常用的攻击方法三、黑客攻击的防范调用strcpy()函数时堆栈的填充情况三、黑客攻击的防范调用strcpy()函数时堆栈的填充情况7172第2章黑客常用的攻击方法三、黑客攻击的防范执行strcpy()函数的过程溢出结果三、黑客攻击的防范执行strcpy()函数的过程溢出结果7273第2章黑客常用的攻击方法三、黑客攻击的防范l可以导致程序运行失败、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。l而缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到shell，然后为所欲为。缓冲区溢出的危害三、黑客攻击的防范可以导致程序运行失败、重新启动等后果。更为7374第2章黑客常用的攻击方法三、黑客攻击的防范l2000年1月，Cerberus安全小组发布了微软的IIS4/5存在的一个缓冲区溢出漏洞。攻击该漏洞，可以使Web服务器崩溃，甚至获取超级权限执行任意的代码。目前，微软的IIS4/5是一种主流的Web服务器程序；因而，该缓冲区溢出漏洞对于网站的安全构成了极大的威胁；它的描述如下：l浏览器向IIS提出一个HTTP请求，在域名（或IP地址）后，加上一个文件名，该文件名以“.htr”做后缀。于是IIS认为客户端正在请求一个“.htr”文件，“.htr”扩展文件被映像成ISAPI（InternetServiceAPI）应用程序，IIS会复位向所有针对“.htr”资源的请求到ISM.DLL程序，ISM.DLL打开这个文件并执行之。l浏览器提交的请求中包含的文件名存储在局部变量缓冲区中，若它很长，超过600个字符时，会导致局部变量缓冲区溢出，覆盖返回地址空间，使IIS崩溃。缓冲区溢出攻击的实验分析三、黑客攻击的防范2000年1月，Cerberus安全小组7475第2章黑客常用的攻击方法三、黑客攻击的防范l上述的缓冲区溢出例子中，只是出现了一般的拒绝服务的效果。但是，实际情况往往并不是这么简单。当黑客精心设计这一EIP，使得程序发生溢出之后改变正常流程，转而去执行他们设计好的一段代码（也即ShellCode），攻击者就能获取对系统的控制，利用ShellCode实现各种功能，比如，监听一个端口，添加一个用户，等等。这也正是缓冲区溢出攻击的基本原理。l目前流行的缓冲区溢出病毒，如冲击波蠕虫、震荡波蠕虫等，就都是采用同样的缓冲区溢出攻击方法对用户的计算机进行攻击的。缓冲区溢出攻击三、黑客攻击的防范上述的缓冲区溢出例子中，只是出现了一般的拒7576第2章黑客常用的攻击方法三、黑客攻击的防范流行的缓冲区溢出攻击病毒利用漏洞：RPC缓冲区溢出135/TCP冲击波在此添加标题震荡波极速波高波利用漏洞：LSASS漏洞1025/TCP利用漏洞：UPNP漏洞445/TCP利用多种漏洞,非常危险三、黑客攻击的防范流行的缓冲区溢出攻击病毒利用漏洞：RPC缓7677第2章黑客常用的攻击方法三、黑客攻击的防范防范缓冲区溢出攻击的有效措施强制程序开发人员书写正确的、安全的代码。目前，可以借助grep、FaultInjection、PurifyPlus等工具帮助开发人员发现程序中的安全漏洞。通过对数组的读写操作进行边界检查来实现缓冲区的保护，使得缓冲区溢出不可能出现，从而完全消除了缓冲区溢出的威胁。常见的对数组操作进行检查的工具有CompaqC编译器，RichardJones和PaulKelly开发的gcc补丁等。三、黑客攻击的防范防范缓冲区溢出攻击的有效措施强制程序开发7778第2章黑客常用的攻击方法三、黑客攻击的防范通过操作系统设置缓冲区的堆栈段为不可执行，从而阻止攻击者向其中植入攻击代码。微软的DEP（数据执行保护）技术微软的DEP（数据执行保护）技术（WindowsXPSP2、WindowsServer2003SP1及其更高版本的Windows操作系统中）三、黑客攻击的防范通过操作系统设置缓冲区的堆栈段为不可执行，7879第2章黑客常用的攻击方法三、黑客攻击的防范经典溢出流程启用DEP后流程三、黑客攻击的防范经典溢出流程启用DEP后流程7980第2章黑客常用的攻击方法三、黑客攻击的防范TCP会话劫持的工作原理：TCP会话劫持实验拓扑：三、黑客攻击的防范TCP会话劫持的工作原理：TCP会话劫持实8081第2章黑客常用的攻击方法三、黑客攻击的防范l检测：查看网络中是否存在ACK风暴TCP会话劫持攻击的检测和防范l防范：采用加密机制加密客户端和服务器之间的通信过程：例如使用SSH代替Telnet、使用SSL代替HTTP，使用IPSec/VPN避免攻击者成为客户端和服务器通信双方的中间人：采用静态绑定MAC地址方法以防范ARP欺骗；过滤ICMP路由重定向报文以防范ICMP路由重定向攻击三、黑客攻击的防范检测：TCP会话劫持攻击的检测和防范防范：8182第2章黑客常用的攻击方法THANKSTHANKS82