网络攻击行为分析课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,44,网络攻击行为分析,第 2 章,网络攻击行为分析第 2 章,基本内容,网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。,很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具，就象刀具，是基本生活用具，又可成为杀人凶器。我们要做到“知己知彼”，才能“百战不殆”，对黑客的攻击手段、途径、方法和工具了解得越多，越有利于保护网络和信息的安全。,在介绍信息安全技术以前，本章先来分析与黑客攻击相关的知识。,基本内容网络信息安全技术与黑客攻击技术都源于同一技术核心，即,网络信息安全技术,与,黑客攻击技术,都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。,很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具。,刀，是基本生活用具，但又是杀人凶,网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议,计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息的威胁；二是针对网络中设备的威胁。,2.1 影响信息安全的人员分析,如果按威胁的对象、性质则可以细分为四类：,第一类是针对硬件实体设施,第二类是针对软件、数据和文档资料,第三类是兼对前两者的攻击破坏,第四类是计算机犯罪。,计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息,安全威胁的来源,不可控制的自然灾害，如地震、雷击,恶意攻击、违纪、违法和计算机犯罪,人为的无意失误和各种各样的误操作,计算机硬件系统的故障,软件的“后门”和漏洞,安全威胁主要来自以下几个方面：,安全威胁的来源不可控制的自然灾害，如地震、雷击安全威胁主要来,安全威胁的表现形式,伪装,非法连接,非授权访问,拒绝服务,抵赖,信息泄露,业务流分析,改动信息流,篡改或破坏数据,推断或演绎信息,非法篡改程序,安全威胁的表现形式 伪装 业务流分析,实施安全威胁的人员,心存不满的员工,软硬件测试人员,技术爱好者,好奇的年青人,黑客（Hacker）,破坏者（Cracker）,以政治或经济利益为目的的间谍,实施安全威胁的人员 心存不满的员工,互联网上的黑色产业链,互联网上的黑色产业链,2.2 网络攻击的层次,网络攻击的途径,针对端口攻击,针对服务攻击,针对第三方软件攻击,DOS攻击,针对系统攻击,口令攻击,欺骗,2.2 网络攻击的层次 网络攻击的途径针对端口攻击,网络攻击的层次,网络攻击的层次,第一层攻击：,第一层攻击基于应用层的操作 ，这些攻击的目的只是为了干扰目标的正常工作。,第二层攻击：,第二层攻击指本地用户获得不应获得的文件(或目录)读权限 。,第三层攻击：,在第二层的基础上发展成为使用户获得不应获得的文件(或目录)写权限。,第四层攻击：,第四层攻击主要指外部用户获得访问内部文件的权利。,第五层攻击：,第五层攻击指非授权用户获得特权文件的写权限。,第六层攻击：,第六层攻击指非授权用户获得系统管理员的权限或根权限。,网络攻击的层次 网络攻击的层次第一层攻击：第一层攻击基于应用,2.3 网络攻击的一般步骤,（1）隐藏IP,（2）踩点扫描,（3）获得系统或管理员权限,（4）种植后门,（5）在网络中隐身,2.3 网络攻击的一般步骤 （1）隐藏IP,2.4 网络入侵技术,任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。,网络攻击实际上是针对安全策略的违规行为、针对授权的滥用行为与针对正常行为特征的异常行为的总和。,2.4 网络入侵技术任何以干扰、破坏网络系统为目的的非授权行,网站篡改（占45.91%）,垃圾邮件（占28.49%）,蠕虫（占6.31%）,网页恶意代码（占0.51%）,木马（占4.01%）,网络仿冒（占4.97%）,拒绝服务攻击（占0.58%）,主机入侵（占1.14%）,网络主要攻击手段,网站篡改（占45.91%）网络主要攻击手段,网络入侵技术-漏洞攻击,漏洞攻击：利用软件或系统存在的缺陷实施攻击。,漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。,缓冲区溢出漏洞攻击 ：通过向程序的缓冲区写入超过其长度的数据，造成溢出，从而破坏程序的堆栈，转而执行其它的指令，达到攻击的目的。,RPC漏洞、SMB漏洞、打印漏洞,网络入侵技术-漏洞攻击漏洞攻击：利用软件或系统存在的缺,缓冲区溢出,Buffer overflow attack 缓冲区溢出攻击,缓冲区溢出漏洞大量存在于各种软件中,利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严重后果。,最早的攻击1988年UNIX下的Morris worm,最近的攻击,Codered 利用IIS漏洞,SQL Server Worm 利用SQL Server漏洞,Blaster 利用RPC漏洞,Sasser利用LSASS漏洞,缓冲区溢出Buffer overflow attack 缓,向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，破坏程序的堆栈，使程序转而执行其他的指令，达到攻击的目的。,原因：程序中缺少错误检测:,void func(char *str) ,char buf16;,strcpy(buf,str);,如果str的内容多于16个非0字符，就会造成buf的溢出，使程序出错。,向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，破坏程序的,类似函数有strcat、sprintf、vsprintf、gets、scanf等,一般溢出会造成程序读/写或执行非法内存的数据，引发segmentation fault异常退出.,如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。,类似函数有strcat、sprintf、vsprintf、g,类似函数有strcat、sprintf、vsprintf、gets、scanf等,一般溢出会造成程序读/写或执行非法内存的数据，引发segmentation fault异常退出.,如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。,类似函数有strcat、sprintf、vsprintf、g,在进程的地址空间安排适当的代码,通过适当的初始化寄存器和内存，跳转到以上代码段执行,利用进程中存在的代码,传递一个适当的参数,如程序中有exec(arg)，只要把arg指向“/bin/sh”就可以了,植入法,把指令序列放到缓冲区中,堆、栈、数据段都可以存放攻击代码，最常见的是利用栈,在进程的地址空间安排适当的代码利用进程中存在的代码,拒绝服务攻击（DoS）：通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。,分布式拒绝服务攻击：DDoS，攻击规模更大，危害更严重。,实例：SYN-Flood洪水攻击，Land攻击，Smurf攻击 ，UDP-Flood攻击，WinNuke攻击（139）等。,网络入侵技术-拒绝服务攻击,拒绝服务攻击（DoS）：通过各种手段来消耗网络带宽和系统资源,典型的拒绝服务攻击有如下两种形式：资源耗尽和资源过载。,当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击,（例如，对已经满载的Web服务器进行过多的请求。）拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。,区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份，从而使得其他的用户无法享用该服务资源。,典型的拒绝服务攻击有如下两种形式：资源耗尽和资源过载。,以下的两种情况最容易导致拒绝服务攻击：,由于,程序员对程序错误的编制，导致系统不停的建立进程，最终耗尽资源,，只能重新启动机器。不同的系统平台都会采取某些方法可以防止一些特殊的用户来占用过多的系统资源，我们也建议尽量采用资源管理的方式来减轻这种安全威胁。,还有一种情况是,由磁盘存储空间引起,的。假如一个用户有权利存储大量的文件的话，他就有可能只为系统留下很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯，会给系统带来隐患。这种情况下应该对系统配额作出考虑。,网络攻击行为分析课件,Ping of Death：发送长度超过65535字节的ICMP Echo Request 数据包导致目标机TCP/IP协议栈崩溃，系统死机或重启。,Teardrop：发送特别构造的IP 数据包，导致目标机TCP/IP协议栈崩溃，系统死锁。,Syn flooding：发送大量的SYN包。,Land：发送TCP SYN包，包的SRC/DST IP相同，SPORT/DPORT相同，导致目标机TCP/IP协议栈崩溃，系统死机或失去响应。,Winnuke：发送特别构造的TCP包，使得Windows机器蓝屏。,Smurf：攻击者冒充服务器向一个网段的广播地址发送ICMP echo包，整个网段的所有系统都向此服务器回应icmp reply包。,Ping of Death：发送长度超过65535字节的IC,拒绝服务攻击方式,七、拒绝服务攻击,1)死亡之ping （ping of death）,由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方宕机。,拒绝服务攻击方式 七、拒绝服务攻击1)死亡之ping （pi,拒绝服务攻击方式,七、拒绝服务攻击,2）SYN Flooding攻击,对Windows NT攻击很有效,使用一个伪装的地址向目标计算机发送连接请求叫做IP欺骗技术。当目标计算机收到这样的请求后，就会使用一些资源来为新的连接提供服务，接着回复请求一个肯定答复（叫做SYNACK）。由于SYNACK是返回到一个伪装的地址，没有任何响应。于是目标计算机将继续设法发送SYNACK。一些系统都有缺省的回复次数和超时时间，只有回复一定的次量、或者超时时，占用的资源才会释放。例：Windows NT3.5和4 0中缺省设置为可重复发送SYNACK答复5次。要等待3+6+12+24+48+96=189秒之后，才释放资源。,拒绝服务攻击方式七、拒绝服务攻击2）SYN Flooding,SYN-Flooding,攻击,示意图,SYN-Flooding攻击示意图,拒绝服务攻击方式,七、拒绝服务攻击,3)Land攻击,在Land攻击中，一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址，此举将导致接收服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。,拒绝服务攻击方式七、拒绝服务攻击3)Land攻击,拒绝服务攻击方式,七、拒绝服务攻击,4)Smurf攻击,smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（Ping）数据包来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。,拒绝服务攻击方式七、拒绝服务攻击4)Smurf攻击,Smurf,攻击示意图,Smurf攻击示意图,拒绝服务攻击方式,七、拒绝服务攻击,5）Fraggle攻击,Fraggle攻击与Smurf攻击类似，但它使用的不是ICMP，而是 UDP Echo。,可以在防火墙上过滤掉UDP应答消息来防范,。,拒绝服务攻击方式七、拒绝服务攻击5）Fraggle攻击,入侵者常常采用下面几种方法获取用户的密码口令：,弱口令扫描,Sniffer密码嗅探,暴力破解,社会工程学（即通过欺诈手段获取）,木马程序或键盘记录程序,。,网络入侵技术-口令攻击,入侵者常常采用下面几种方法获取用户的密码口令：网络入侵技术-,破解PDF密码,破解PDF密码,破解OF密码,破解OF密码,破解系统密码,破解系统密码,一个开放的网络端口就是一条与计算机进行通信的信道，对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息，从而为下一步的入侵做好准备。,扫描是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。,典型的扫描工具包括安全焦点的X-Scan、小榕的流光软件，简单的还有IpScan、SuperScan等，商业化的产品如启明星辰的天镜系统具有更完整的功能 。,网络入侵技术-扫描攻击,一个开放的网络端口就是一条与计算机进行通信的信道，对网络端口,网络嗅探与协议分析是一种被动的侦察手段，使用嗅探监听软件，对网络中的数据进行分析，获取可用的信息。,网络监听可以使用专用的协议分析设备实现，也可使用Sniffer Pro 4.7、TCPDump等软件实现。SnifferPro是最常用的嗅探分析软件，它可以实现数据包捕获、数据包统计、过滤数据包、数据包解码等功能，功能解码可以获取很多有用的信息，如用户名、密码及数据包内容。,网络入侵技术-嗅探与协议分析,网络嗅探与协议分析是一种被动的侦察手段，使用嗅探监听软件，对,协议欺骗攻击就是假冒通过认证骗取对方信任，从而获取所需信息，进而实现入侵的攻击行为。,常见的协议欺骗有以下几种方式：,IP,欺骗：对抗基于IP地址的验证。,ARP欺骗：它是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。ARP欺骗通过伪造ARP与IP的信息或对应关系实现。NC软件就能实现ARP欺骗。,TCP会话劫持：与IP欺骗类似，通过嗅探并向网络注入额外的信息实现TCP连接参与。如IP watcher就是一种有效的会话劫持工具,。,网络入侵技术-协议欺骗攻击,协议欺骗攻击就是假冒通过认证骗取对方信任，从而获取所需信息，,IP欺骗,定义：利用主机之间的正常信任关系发动的攻击。,信任关系：,在Unix系统中，rlogin,rsh,rcp等远程调用命令的信任基础是IP地址，若地址验证通过，则无须口令验证就能远程登录。,修改$HOME/.rhosts文件内容，可建立两台机器之间的信任关系。当/etc/hosts.equiv中出现一个“+”或$HOME/.rhosts中出现“+”时，表明任意地址的主机无须口令可直接用r命令登录此主机,。,IP欺骗定义：利用主机之间的正常信任关系发动的攻击。,IP欺骗过程,1）发现攻击目标A和B具有伙伴信任关系。,假设黑客想冒充B去和A对话。,2）要使目标B瘫痪（如用拒绝服务攻击），避免露馅,3）采样A发出的TCP序列号，反复尝试猜测它的初始序列号ISN。ISN为32位计数器，无连接时9.32小时复位一次。预测ISN考虑因素：,ISN每秒增加128000；每次连接增加64000；A和B之间的往返时间；,IP欺骗过程1）发现攻击目标A和B具有伙伴信任关系。,IP欺骗过程,4)将源地址伪装成B机地址，发送带有SYN标志的数据段请求连接。,5）然后等待A发送SYN+ACK给瘫痪的B，因为这时黑客看不到这个包。,6）再次伪装成B向A发送ACK，此时发送的数据段带有预测目标机A的ISN+1。,7）连接建立，发送命令。,IP欺骗过程4)将源地址伪装成B机地址，发送带有SYN标志的,IP欺骗示意图,IP,欺骗的步骤,会话劫持示意图,IP欺骗示意图 IP欺骗的步骤会话劫持示意图,社会工程学（Social Engineering），是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。,20世纪70年代末期，一个叫做斯坦利马克瑞夫金（Stanley Mark Rifkin）的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划，“甚至无需计算机的协助”，仅仅依靠一个进入电汇室的机会并打了三个电话，便成功地将一千零二十万美元转入自己在国外的个人账户。,网络入侵技术-社会工程学攻击,社会工程学（Social Engineering），是一种通,2.5 网络防御与信息安全保障,针对网络入侵和密码破译等攻击行为，本书在以后的章节中，在ISO安全体系结构的指导下，通过内容安全技术和网络安全技术两大部分来介绍网络信息安全的实现方法，并通过若干实验项目来验证、巩固相关技术，当然，技术实施要由人来完成，人才是最关键的。,2.5 网络防御与信息安全保障针对网络入侵和密码破译等攻击,本章小结,本章从分析影响信息安全的人员入手，总结出网络攻击途径，并将攻击按实现的难易程度分为6个层次；结合网络攻击的案例，说明网络攻击的一般步骤；最后介绍了目前常见的网络入侵技术，以此提醒网络用户时刻关注自己的系统安全。,本章小结本章从分析影响信息安全的人员入手，总结出网络攻击途径,