常见的网络攻击与防范

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第五章 常见的网络攻击与防范,网络攻击步骤,预攻击探测,漏洞扫描（综合扫描）,木马攻击,拒绝服务攻击,欺骗攻击,蠕虫病毒攻击,其他攻击,一、网络攻击步骤,网络安全威胁国家基础设施,因特网,安全漏洞危害在增大,信息对抗的威胁在增加,电力,交通,通讯,控制,广播,工业,金融,医疗,一、网络攻击步骤,网络中存在的安全威胁,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,一、网络攻击步骤,典型攻击步骤,预攻击探测,收集信息,如,OS,类型,提供的服务端口,发现漏洞,采取攻击行为,获得攻击目标的控制权系统,继续渗透网络,直至获取机密数据,消灭踪迹,破解口令文件,或利用缓存溢出漏洞,以此主机为跳板，寻找其它主机的漏洞,获得系统帐号权限，并提升为,root,权限,安装系统后门,方便以后使用,一、网络攻击步骤,典型攻击步骤图解,一、网络攻击步骤,攻击手法,vs.,入侵者技术,高,低,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,破解密码,利用已知的漏洞,破坏审计系统,后门,会话劫持,消除痕迹,嗅探,IP,欺骗,GUI,远程控制,自动探测扫描,拒绝服务,www,攻击,攻击手法与工具,入侵者技术,半开隐蔽扫描,控制台入侵,检测网络管理,DDOS,攻击,二、预攻击探测,预攻击概述,端口扫描基础,操作系统识别,资源扫描与查找,用户和用户组查找,二、预攻击探测,1.,预攻击概述,Ping sweep,寻找存活主机,Port scan,寻找存活主机的开放服务（端口）,OS fingerprint,操作系统识别,资源和用户信息扫描,网络资源，共享资源，用户名和用户组等,二、预攻击探测,Ping,工具,操作系统本身的,ping,工具,Ping: Packet,InterNet,Groper,用来判断远程设备可访问性最常用的方法,Ping,原理,:,发送,ICMP Echo,消息，等待,Echo Reply,消息,可以确定网络和外部主机的状态,可以用来调试网络的软件和硬件,每秒发送一个包，显示响应的输出，计算网络来回的时间,最后显示统计结果,丢包率,二、预攻击探测,关于,Ping,Ping,有许多命令行参数，可以改变缺省的行为,可以用来发现一台主机是否,active,为什么不能,ping,成功？,没有路由，网关设置？,网卡没有配置正确,增大,timeout,值,被防火墙阻止,“Ping of death”,发送特大,ping,数据包,(65535,字节,),导致机器崩溃,许多老的操作系统都受影响,二、预攻击探测,Windows,平台,Pinger,、,Ping Sweep,、,WS_Ping,ProPack,图:,Pinger,工具,二、预攻击探测,图:Ping Sweep,二、预攻击探测,Ping,工具都是通过,ICMP,协议来发送数据包,那么针对这种扫描的预防措施是,:,使用可以检测并记录,ICMP,扫描的工具,使用入侵检测系统,在防火墙或路由器中设置允许进出自己网络的,ICMP,分组类型,二、预攻击探测,2.,端口扫描基础,开放扫描,(Open Scanning),需要扫描方通过三次握手过程与目标主机建立完整的,TCP,连接,可靠性高，产生大量审计数据，容易被发现,半开放扫描,(Half-Open Scanning),扫描方不需要打开一个完全的,TCP,连接,秘密扫描,(Stealth Scanning),不包含标准的,TCP,三次握手协议的任何部分,隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息,二、预攻击探测,基本的,TCP connect(),扫描（开放）,Reverse-,ident,扫描（开放）,TCP SYN,扫描,(,半开放,),IP ID header aka,“,dump,”,扫描,(,半开放,),TCP Fin,扫描,(,秘密,),TCP XMAS,扫描,(,秘密,),TCP ftp proxy,扫描,(bounce attack),用,IP,分片进行,SYN/FIN,扫描,(,躲开包过滤防火墙,),UDP ICMP,端口不可达扫描,UDP,recvfrom,扫描,二、预攻击探测,二、预攻击探测,开放扫描,TCP connect(),扫描,原理,扫描器调用,socket,的,connect(),函数发起一个正常的连接,如果端口是打开的，则连接成功,否则，连接失败,优点,简单，不需要特殊的权限,缺点,服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描,二、预攻击探测,Reverse-,ident,扫描,Ident,协议,(RFC1413),使得可以发现任何一个通过,TCP,连接的进程的所有者的用户名，即使该进程并没有发起该连接,只有在,TCP,全连接之后才有效,TCP,端口,113,例如,可以先连接到,80,端口，然后通过,identd,来发现服务器是否在,root,下运行,建议关闭,ident,服务，或者在防火墙上禁止，除非是为了审计的目的,二、预攻击探测,半开放扫描,TCP SYN,扫描,原理,向目标主机的特定端口发送一个,SYN,包,如果应答包为,RST,包，则说明该端口是关闭的,否则，会收到一个,SYN|ACK,包。于是，发送一个,RST,，,停止建立连接,由于连接没有完全建立，所以称为“半开连接扫描”,优点,很少有系统会记录这样的行为,缺点,在,UNIX,平台上，需要,root,权限才可以建立这样的,SYN,数据包,二、预攻击探测,IP ID header aka “dump”,扫描,由,Antirez,首先使用，并在,Bugtraq,上公布,原理：,扫描主机通过伪造第三方主机,IP,地址向目标主机发起,SYN,扫描，并通过观察其,IP,序列号的增长规律获取端口的状态,优点,不直接扫描目标主机也不直接和它进行连接，隐蔽性较好,缺点,对第三方主机的要求较高,二、预攻击探测,秘密扫描,TCP Fin,扫描,原理,扫描器发送一个,FIN,数据包,如果端口关闭的，则远程主机丢弃该包，并送回一个,RST,包,否则的话，远程主机丢弃该包，不回送,变种，组合其他的标记,优点,不是,TCP,建立连接的过程，所以比较隐蔽,缺点,与,SYN,扫描类似，也需要构造专门的数据包,在,Windows,平台无效，总是发送,RST,包,二、预攻击探测,TCP XMAS,扫描,原理,扫描器发送的,TCP,包包头设置所有标志位,关闭的端口会响应一个同样设置所有标志位的包,开放的端口则会忽略该包而不作任何响应,优点,比较隐蔽,缺点,主要用于,UNIX/Linux/BSD,的,TCP/IP,的协议栈,不适用于,Windows,系统,二、预攻击探测,其他扫描,TCP ftp proxy,扫描,原理,用,PORT,命令让,ftp server,与目标主机建立连接，而且目标主机的端口可以指定,如果端口打开，则可以传输否则，返回,425 Cant build data connection: Connection refused.,Ftp,这个缺陷还可以被用来向目标,(,邮件,新闻,),传送匿名信息,优点：这种技术可以用来穿透防火墙,缺点：慢，有些,ftp server,禁止这种特性,二、预攻击探测,UDP ICMP,端口不可达扫描,利用,UDP,协议（主机扫描？）,原理,开放的,UDP,端口并不需要送回,ACK,包，而关闭的端口也不要求送回错误包，所以利用,UDP,包进行扫描非常困难,有些协议栈实现的时候，对于关闭的,UDP,端口，会送回一个,ICMP Port,Unreach,错误,缺点,速度慢，而且,UDP,包和,ICMP,包都不是可靠的,需要,root,权限，才能读取,ICMP Port,Unreach,消息,一个应用例子,Solaris,的,rpcbind,端口,(UDP),位于,32770,之上，这时可以通过这种技术来探测,二、预攻击探测,端口扫描对策,设置防火墙过滤规则，阻止对端口的扫描,例如可以设置检测,SYN,扫描而忽略,FIN,扫描,使用入侵检测系统,禁止所有不必要的服务，把自己的暴露程度降到最低,Unix,或,linux,中，在,/etc/,inetd.conf,中注释掉不必要的服务，并在系统启动脚本中禁止其他不必要的服务,Windows,中通过,Services,禁止敏感服务，如,IIS,二、预攻击探测,端口扫描工具,图:,NetScanTools,二、预攻击探测,图:,WinScan,二、预攻击探测,图:,SuperScan,二、预攻击探测,图:,Nmap,二、预攻击探测,图:,X-scan,二、预攻击探测,3.,操作系统的识别,操作系统辨识的动机,许多漏洞是系统相关的，而且往往与相应的版本对应,从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统,操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会诈骗,(,社会工程，,social engineering),如何辨识一个操作系统,一些端口服务的提示信息，例如，,telnet,、,http,、,ftp,等服务的提示信息,TCP/IP,栈指纹,DNS,泄漏出,OS,系统,二、预攻击探测,图:,winfingerprint,二、预攻击探测,4.,资源扫描与查找,资源扫描用户扫描网络资源和共享资源，如目标网络计算机名、域名和共享文件等等；而用户扫描则用户扫描目标系统上合法用户的用户名和用户组名。这些扫描都是攻击目标系统的很有价值的信息，而,Windows,系统，特别是,Windows NT/2000,在这些方面存在着严重的漏洞，很容易让非法入侵者获取到关于该目标系统的很多有用信息，如共享资源、,Netbios,名和用户组等。,采用协议：,NetBIOS,协议、,CIFS/SMB,协议和空会话,常用工具：,Net View,Nbtstat,和,Nbtscan,Legion,和,Shed,二、预攻击探测,Net View,在命令行中输入,“,net view /domain,”,命令，可以获取网络上可用的域,二、预攻击探测,在命令行中输入“,net view /domain,：,domain_name”,命令，可以获取某一域中的计算机列表，其中,domain_name,为要列表计算机的域名。,在命令行中输入,“,net view computer_name,”,命令，可以获取网络某一计算机的共享资源列表，其中,computer_name,为计算机名,。,二、预攻击探测,nbtstat,和,nbtscan,nbtstat,（,NetBIOS over TCP/IP,）是,Windows NT/2000,内置的命令行工具，利用它可以查询涉及到,NetBIOS,信息的网络机器。另外，它还可以用来消除,NetBIOS,高速缓存器和预加载,LMHOSTS,文件等。这个命令在进行安全检查时非常有用。,利用,nbtstat,查看目标,系统,NetBIOS,列表,二、预攻击探测,Nbtstat,本身有一些缺陷，如一次只能扫描一台主机等，,nbtscan,（,http:/,www.abb.aha.ru/software/nbtscan.html,）,却可以对一个网段进行扫描,利用,nbtscan,对网段进行扫描。,二、预攻击探测,Legion,和,Shed,在,NetBIOS,扫描中，很重要的一项就是扫描网络中的共享资源，以窃取资源信息或植入病毒木马。,Legion,和,Shed,就是其中的典型。,Legion,的共享资源扫描可以对一个,IP,或网段进行扫描，它还包含一个共享密码的蛮力攻击工具，如 “,Show BF Tool”,按钮,。,主要用于,Windows 2000,以前的操作系统中,二、预攻击探测,Shed,是一个速度很快的共享资源扫描工具，它可以显示所有的共享资源，包含隐藏的共享。,二、预攻击探测,空会话,原理,利用,Windows NT/2000,对,NetBIOS,的缺省信赖,通过,TCP,端口,139,返回主机的大量信息,实例,如果通过端口扫描获知,TCP,端口,139,已经打开,net use 192.168.102.230IPC$ /USER: ,在攻击者和目标主机间建立连接,Windows 2000,还有另一个,SMB,端口,445,预防资源扫描和查找的方法：,防范,NetBIOS,扫描的最直接方法就是不允许对,TCP/UDP 135,到,139,端口的访问，如通过防火墙或路由器的配置等。另外，对单独的主机，可使用,NetBIOS over TCP/IP,项失效或注册表配置来实现。,Windows 2000,操作系统还要禁止,445,端口。,二、预攻击探测,5.,用户和用户组查找,利用前面介绍的方法，可以很容易获取远程,Windows NT/2000,主机的共享资源、,NetBIOS,名和所处的域信息等。但黑客和非法入侵者更感兴趣的是通过,NetBIOS,扫描，获取目标主机的用户名列表。如果知道了系统中的用户名（即账号）后，就可以对该账号对应的口令进行猜测攻击（有些口令往往很简单），从而对远程目标主机进行更深入的控制。,在,Windows NT/2000,的资源工具箱,NTRK,中提供了众多的工具用于显示远程主机用户名和组信息，如前面介绍的,nbtstat,和,nbtscan,另外还有,UsrStat,等工具,二、预攻击探测,UsrStat,UsrStat,是一个命令行工具，用于显示一个给定域中的每一个用户的用户名、全名和最后的登录日期与时间，如图所示，可显示域中计算机上的用户信息。,三、漏洞扫描,口令破解,网络嗅探,漏洞攻击,综合扫描,三、漏洞扫描,漏洞扫描是一种最常见的攻击模式，用于探测系统和网络漏洞，如获取系统和应用口令，嗅探敏感信息，利用缓存区溢出直接攻击等。,针对某一类型的漏洞，都有专门的攻击攻击。另外，也有一些功能强大综合扫描工具，针对系统进行全面探测和漏洞扫描，如流光等。,三、漏洞扫描,1.,口令破解,系统漏洞,利用系统漏洞直接提取口令,暴力穷举,完全取决于机器的运算速度,字典破解,大大减少运算的次数，提高成功率,三、漏洞扫描,图：,NT/2000,密码,-,LC3,工具,三、漏洞扫描,针对口令破解攻击的防范措施,安装入侵检测系统，检测口令破解行为,安装安全评估系统，先于入侵者进行模拟口令破解，以便及早发现弱口令并解决,提高安全意识，避免弱口令,三、漏洞扫描,2.,网络嗅探,网络嗅探是主机的一种工作模式，在这种模式下，主机可以接收到共享式网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如,Sniffer,Pro,NetXray,，,tcpdump,，,Dsniff,等就可以轻而易举地截取包括口令、帐号等敏感信息。,共享信道,广播型以太网,协议不加密,口令明文传输,混杂模式,处于这种模式的网卡接受网络中所有数据包,三、漏洞扫描,针对口令破解攻击的防范措施,安装,VPN,网关，防止对网间网信道进行嗅探,对内部网络通信采取加密处理,采用交换设备进行网络分段,采取技术手段发现处于混杂模式的主机，发掘“鼹鼠”,三、漏洞扫描,3.,漏洞攻击,漏洞即某个程序,(,包括操作系统,),在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。,漏洞的产生大致有三个原因 ：,编程人员的人为因素，在程序编写过程，为实现不可告人的目的，在程序代码的隐蔽处保留后门。,受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。,由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现,三、漏洞扫描,Vulnerability,Windows Vulnerability Scanner,是一个系统漏洞维护工具,弱点、漏洞。任何系统都存在漏洞。,exploit,针对漏洞开发的应用程序。,exploit,就是利用一切可以利用的工具、采用一切可以采用的方法、找到一切可以找到的漏洞，并且通过对漏洞资料的分析研究，从而达到获取网站用户资料文档、添加自定义用户、甚至侵入网站获得管理员权限控制整个网站的最终目的 。,三、漏洞扫描,常见漏洞攻击实例,Unicode,漏洞,Unicode,漏洞编码在中文,Windows NT,中为：,%c1%1c,（,代表,(0xc1- 0xc0)*0x40+0x1c=0x5c=,/,）,和,%c0%2f,（,代表,(0xc0-0xcx)*0x40+0x2f=0x2f=,）,在英文版中为,%c0%af,（但,%c1%pc,、,%c0%9v,、,%c0%qf,、,%c1%8s,等几个编码也可能有效）。,通过这几个编码我们可以通过在浏览器上获得有,Unicode,漏洞的机器的文件控制权。,简单的检测办法是在浏览器里面输入：,http:/xxx.xxx.xxx.xxx/scripts/.%c1%1c./,winnt/system32/cmd.exe?/c+dir,，,如果显示：,Directory of D:,Inetpub,scripts,01-05-02 02:32a,.,01-05-02 02:32a,.,00-12-18 05:50p,samples,说明网站存在漏洞，如果不显示该页面，也可能是因为,Scripts,目录改名了，我们可以试 着输入：,http:/xxx.xxx.xxx.xxx/msabc/.%c1%1c./.%c1%1c./.%c1%1c./winnt/system32/,cmd.exe?/c+dir,，,如果显示像上面一样的目录，表明存在漏洞。（例子中,xxx.xxx.xxx.xxx,为 服务器的,IP,地址，在,DOS,窗口用,ping,命令即可获得）,如果还是没有显示该页面，可用上述其他代码：如,%c0%af,代替,%c1%1c,试试。,三、漏洞扫描,Unicode,漏洞攻击,通过,Unicode,漏洞就可以使攻击者在浏览器执行,DOS,命令，如：,http:/xxx.xxx.xxx.xxx/scripts/.,./winnt/system32/cmd.exe?/c+dir+c,这条命令将使服务器列出,C,盘所有目录文件。,http:/xxx.xxx.xxx.xxx/scripts/.,./winnt/system32/cmd.exe?+copy+c:,winntrapair|sam._+c:inetpubwwwroot,这将使服务器执行一个复制,C,盘,WinNT,目录下,sam,._,到,wwwroot,文件夹的命令,(,sam,.,保存了经过加密的,Windows NT,系统密码文件，如果攻击者下载这一文件，可以在本机用工具解得用户密码,),。,利用,Echo,命令即可通过浏览器直接更改网站的主页，如想修改,c:inetpubwwwrootindex.asp,，,攻击者可以通过在浏览器的地址栏输入：,http:/xxx.xxx.xxx.xxx/scripts/.,./winnt/system32/cmd.exe?/,c+echo+Your+Site+Has+Been+Hacked+ ,c:inetpubwwwrootindex.asp,攻击者还可以利用,FTP,、,TFTP,上载木马程序及提升管理权限的程序到被攻击的服务器上,也可以通过建立一个,BAT,或,ASP,文件直接获得系统权限从而控制整个系统。,三、漏洞扫描,如何防范,Unicode,编码攻击,Unicode,编码漏洞最好的修补方式是下载安装微软提供的补丁,IIS4.0,补丁和,IIS5.0,补丁,可以通过查看,winntsystem32logfiles,下的,W3SVC1,目录的,log,文件，确定是否有人利用,Unicode,漏洞攻击你的主机（根据设置不同也可能是在,W3SVC2,或者,W3SVC3,目录下，黑客们攻击网站后记住删除这个目录下的文件啊！）,Unicode,漏洞给网络安全管理员配置系统的几个启示：,在安装,WindowsNT,系统的时候，不要按照系统的默认目录把,Wwindows,安装在,WinNT,目录下，把,WinNT,目录改名将使攻击者难于猜 中命令执行目录；,应该把,/WinNT/System32,目录下的,cmd.exe,和,net.exe,改名或者删除，这 样攻击者就无法找到执行命令的文件；,应该把,WEB,服务器所有的默认安装的执行目录删除， 包括,Samples,、,Scripts,及,Cgi,bin,，,这些目录如果被上传可执行文件，即可能对系统造成重大威 胁，如果需要可执行目录，则自己建一个不与默认执行目录同名的目录；,网络管理员应该 把系统日记文件目录移到一个更隐蔽的地方，这样攻击者就不容易找到系统记录文件加以清除了。,三、漏洞扫描,针对漏洞扫描的预防措施,安装防火墙，禁止访问不该访问的服务端口，使用,NAT,隐藏内部网络结构,安装入侵检测系统，检测漏洞扫描行为,安装安全评估系统，先于入侵者进行漏洞扫描，以便及早发现问题并解决,提高安全意识，经常给操作系统和应用软件打补丁,*,windows 2000/XP,漏洞攻击参见“,windows,漏洞”,三、漏洞扫描,4.,综合扫描,安全扫描审计,分类,网络安全扫描,系统安全扫描,优点,较全面检测流行漏洞,降低安全审计人员的劳动强度,防止最严重的安全问题,缺点,无法跟上安全技术的发展速度,只能提供报告，无法实际解决,可能出现漏报和误报,三、漏洞扫描,市场部,工程部,router,开发部,Internet,Servers,Firewall,图：综合扫描应用,三、漏洞扫描,对系统进行安全评估,为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估,:,从企业外部进行评估,:,考察企业计算机基础设施中的防火墙,;,从企业内部进行评估,:,考察内部网络系统中的计算机；,从应用系统进行评估,:,考察每台硬件设备上运行的操作系统。,综合扫描工具,流光,X-Scanner,CIS,扫描器,四、木马攻击,木马概述,木马的组成,木马分类,木马常用的欺骗方法,针对木马攻击的防范措施,四、木马与后门攻击,1.,木马概述,特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机，危害极大。,Windows,下：,Netbus,、,subseven,、,BO2000,、,冰河、网络神偷,UNIX,下：,Rhost,+,、,Login,后门、,rootkit,等,四、木马与后门攻击,2.,木马的组成,对木马程序而言，它一般包括两个部分：客户端和服务器端。,服务器端安装在被控制的计算机中，它一般通过电子邮件或其他手段让用户在其计算机中运行，以达到控制该用户计算机的目的。,客户端程序是控制者所使用的，用于对受控的计算机进行控制。,服务器端程序和客户端程序建立起连接就可以实现对远程计算机的控制了。木马运行时，首先服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现对本地计算机的控制了。,备注：,木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序。服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖性和自动感染的功能。,四、木马与后门攻击,3.,木马分类,远程访问型木马：,是现在最广泛的特洛伊木马，它可以访问受害人的硬盘，并对其进行控制。这种木马用起来非常简单，只要某用户运行一下服务端程序，并获取该用户的,IP,地址，就可以访问该用户的计算机。这种木马可以使远程控制者在本地机器上做任意的事情，比如键盘记录、上传和下载功能、截取屏幕等等。这种类型的木马有著名的,BO,（,Back Office,）,和国产的冰河等。,密码发送型木马：,其目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的,Windows,重启时重启，而且它们大多数使用,25,端口发送,E-mail,。,四、木马与后门攻击,键盘记录型木马：,其非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在,LOG,文件里做完整的记录。这种特洛伊木马随着,Windows,的启动而启动，知道受害者在线并且记录每一件事。,毁坏型木马：,其唯一功能是毁坏并且删除文件。这使它们非常简单，并且很容易被使用。它们可以自动地删除用户计算机上的所有的,.DLL,、,INI,或,EXE,文件。,FTP,型木马：,其打开用户计算机的,21,端口（,FTP,所使用的默认端口），,使每一个人都可以用一个,FTP,客户端程序来不用密码连接到该计算机，并且可以进行最高权限的上传下载,四、木马与后门攻击,捆绑欺骗：,如把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人 ；,危险下载点：,攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载 ；或直接将木马改名上载到,FTP,网站上，等待别人下载；,文件夹惯性点击：,把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹；,zip,伪装：,将一个木马和一个损坏的,zip,包捆绑在一起，然后指定捆绑后的文件为,zip,图标；,网页木马,四、木马与后门攻击,4.,木马常用的欺骗方法,木马隐藏方式：,在任务栏中隐藏 ；,在任务管理器中隐形 ；,悄没声息地启动 ：如启动组、,win.ini,、,system.ini,、,注册表等；,注意自己的端口；,伪装成驱动程序及动态链接库：如,Kernl32.dll,，,sysexlpr.exe,等。,四、木马与后门攻击,一般情况下，木马在运行后，都会修改系统，以便下一次系统启动时自动运行该木马程序。修改系统的方法有下面几种：,利用,Autoexec.bat,和,Config.sys,进行加载,;,修改注册表,;,修改,win.ini,文件,;,感染,Windows,系统文件,以便进行自动启动并达到自动隐藏的目的,.,四、木马与后门攻击,5.,冰河演示,国内黑客组织编写；,分为服务器端和客户端：,G_Server.exe,和,G_Client.exe,功能齐全：,跟踪屏幕变化；,记录各种口令；,获取系统信息；,控制系统；,注册表操作；,文件操作；,点对点通信,缺省使用,7626,端口,四、木马与后门攻击,四、木马与后门攻击,四、木马与后门攻击,5.,针对木马攻击的预防措施,安装防火墙，禁止访问不该访问的服务端口，使用,NAT,隐藏内部网络结构,安装防病毒软件,提高安全意识，尽量避免使用来历不明的软件,防范：,端口扫描；,查看连接；,检查注册表 ；,查找文件 ；,杀病毒软件或木马清除软件。,五、拒绝服务攻击,拒绝服务攻击,分布式拒绝服务攻击,五、拒绝服务攻击,1.,拒绝服务攻击,DoS,（,Denial of Service,）,是一种利用合理的服务请求占用过多的服务资源，从而使合法用户无法得到服务响应的网络攻击行为。,被,DoS,攻击时的现象大致有：,*,被攻击主机上有大量等待的,TCP,连接；,*,被攻击主机的系统资源被大量占用，造成系统停顿；,*,网络中充斥着大量的无用的数据包，源地址为假地址；,*,高流量无用数据使得网络拥塞，受害主机无法正常与外界通讯；,*,利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求；,*,严重时会造成系统死机。,五、拒绝服务攻击,常见的拒绝服务攻击,SYN,Foold,攻击,是利用,TCP,协议缺陷，发送大量伪造的,TCP,连接请求，使被攻击方资源耗尽,(CPU,满负荷或内存不足,),的攻击方式。,SYN Flood,攻击的过程在,TCP,协议中被称为三次握手,(Three-way Handshake),，而,SYN Flood,拒绝服务攻击就是通过三次握手而实现的。,三次握手简介：,首先，请求端（客户端）发送一个包含,SYN,标志的,TCP,报文，,SYN,即同步（,Synchronize,），,同步报文会指明客户端使用的端口以及,TCP,连接的初始序号。,服务器在收到客户端的,SYN,报文后，将返回一个,SYN+ACK,的报文，表示客户端的请求被接受，同时,TCP,序号被加一，,ACK,即确认（,Acknowledgement,）。,最后，客户端也返回一个确认报文,ACK,给服务器端，同样,TCP,序列号被加,1,，到此一个,TCP,连接完成。,五、拒绝服务攻击,SYN-Flooding,攻击演示,SYN （,我可以和你连接吗？）,ACK | SYN（,可以，请确认！）,ACK （,确认连接）,发起方,应答方,正常的三次握手建立通讯的过程,五、拒绝服务攻击,攻击者,受害者,攻击者伪造源地址进行,SYN,请求,为何还没回应,就是让你白等,不能建立正常的连接,其它正常用户得不到响应,SYN （,我可以和你连接吗？）,ACK | SYN（,可以，请确认！）,？,五、拒绝服务攻击,攻击者,目标,攻击者伪造源地址进行,SYN,请求,好像不管用了,其它正常用户能够得到响应,SYN,ACK | SYN,？,SYN,ACK,ACK | SYN,SYN-Flooding,攻击的防范措施,五、拒绝服务攻击,UDP-Flood,攻击,原理：,攻击者利用简单的,TCP/IP,服务，如,Chargen,和,Echo,来传送毫无用处的占满带宽的数据。,通过伪造与某一主机的,Chargen,服务之间的一次的,UDP,连接，回复地址指向开着,Echo,服务的一台主机，这样就生成在两台主机之间存在很多的无用数据流，这些无用数据流就会导致带宽的服务攻击。,*,chargen,:,字符产生的缩写，输出一个可打印字符的旋转序列，用于测试字符终端设备*,五、拒绝服务攻击,UDP Flooder,演示,五、拒绝服务攻击,杜绝,UDP,攻击的方法,关掉不必要的,TCP/IP,服务,;,配置防火墙以阻断来自,Internet,的,UDP,服务请求,不过这可能会阻断一些正常的,UDP,服务请求。,五、拒绝服务攻击,SMURF,攻击,原理：,Smurf,是一种具有放大效果的,DoS,攻击，具有很大的危害性。这种攻击形式利用了,TCP/IP,中的定向广播的特性，共有三个参与角色：受害者、帮凶（放大网络，即具有广播特性的网络）和攻击者。攻击者向放大网络中的广播地址发送源地址（假冒）为受害者系统的,ICMP,回射请求，由于广播的原因，放大网络上的所有系统都会向受害者系统做出回应，从而导致受害者不堪重负而崩溃,。,五、拒绝服务攻击,五、拒绝服务攻击,检测：,如果在网络内检测到目标地址为广播地址的,ICMP,包。证明内部有人发起了这种攻击（或者是被用作攻击，或者是内部人员所为）；如果,ICMP,包的数量在短时间内上升许多,(,正常的,ping,程序每隔一秒发一个,ICMP echo,请求,),，证明有人在利用这种方法攻击系统。,预防,Smurf,攻击,为了防止成为,DoS,的帮凶，最好关闭外部路由器或防火墙的广播地址特性；,为了防止被攻击，在防火墙上过滤掉,ICMP,报文，或者在服务器上禁止,Ping,，,并且只在必要时才打开,ping,服务。,Smurf,还有一个变种为,Fraggle,攻击，它利用,UDP,来代替,ICMP,包。,五、拒绝服务攻击,眼泪攻击,原理：,利用在,TCP/IP,堆栈中实现信任,IP,碎片中的包的标题头所包含的信息来实现自己的攻击。,IP,分段含有指明该分段所包含的是原包的哪一段的信息，某些,TCP/IP(,包括,servicepack,4,以前的,NT),在收到含有重叠偏移的伪造分段时将崩溃。,防御泪滴攻击的最好办法,升级服务包软件，如下载操作系统补丁或升级操作系统等,;,在设置防火墙时对分组进行重组，而不进行转发，这样也可以防止这种攻击。,五、拒绝服务攻击,Land,攻击,原理：,用一个特别打造的,SYN,包，它的源地址和目标地址都被设置成某一个服务器地址。此举将导致接收服务器向它自己的地址发送,SYN+ACK,消息，结果这个地址又发回,ACK,消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时，对,Land,攻击反应不同，许多,UNIX,实现将崩溃，,NT,变的极其缓慢,(,大约持续,5,分钟,),。,LAND,攻击预防,:,预防,LAND,攻击最好的办法是配置防火墙，对哪些在外部接口入站的含有内部源地址的数据包过滤。,五、拒绝服务攻击,针对拒绝服务攻击的防范措施,安装防火墙，禁止访问不该访问的服务端口，过滤不正常的畸形数据包，使用,NAT,隐藏内部网络结构,安装入侵检测系统，检测拒绝服务攻击行为,安装安全评估系统，先于入侵者进行模拟攻击，以便及早发现问题并解决,提高安全意识，经常给操作系统和应用软件打补丁,五、拒绝服务攻击,2.,分布式,拒绝服务攻击,DDOS,DDOS,则是利用多台计算机，采用了分布式对单个或者多个目标同时发起,DoS,攻击。其特点是,:,目标是,“,瘫痪敌人,”,，而不是传统的破坏和窃密,;,利用国际互联网遍布全球的计算机发起攻击，难于追踪。,DDoS,攻击,由三部分组成,客户端程序（黑客主机）,控制点（,Master,）,代理程序（,Zombie,），,或者称为攻击点（,daemon,）,五、拒绝服务攻击,DDOS,攻击分类,带宽耗尽型,是堵塞目标网络的出口，导致带宽消耗不能提供正常的上网服务。例如常见的,Smurf,攻击、,UDP Flood,攻击、,MStream,Flood,攻击等。,针对此类攻击一般采取的措施就是,QoS,，,在路由器或防火墙上针对此类数据流限制流量，从而保证正常带宽的使用。单纯带宽耗尽型攻击较易被识别，并被丢弃。,资源耗尽型,攻击者利用服务器处理缺陷，消耗目标服务器的关键资源，例如,CPU,、,内存等，导致无法提供正常服务。例如常见的,Syn,Flood,攻击、,NAPTHA,攻击等。,资源耗尽型攻击利用系统对正常网络协议处理的缺陷，使系统难于分辨正常流和攻击流，导致防范难度较大，是目前业界最关注的焦点问题，例如方正,SynGate,产品就是专门防范此类的产品。,五、拒绝服务攻击,被,DDoS,攻击时的现象：,*,被攻击主机上有大量等待的,TCP,连接,*,网络中充斥着大量的无用的数据包，源地址为假,*,制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯,*,利用受害主机提供的服务或传输,协议,上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求,*,严重时会造成系统死机,五、拒绝服务攻击,分布式拒绝服务攻击网络结构图,客户端,客户端,主控端,主控端,主控端,主控端,代理端,代理端,代理端,代理端,代理端,代理端,代理端,代理端,五、拒绝服务攻击,分布式拒绝服务攻击步骤,不安全的计算机,扫描程序,Hacker,攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。,1,Internet,五、拒绝服务攻击,Hacker,被控制的计算机,(,代理端,),黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、,sniffer,或守护程序甚至是客户程序。,2,Internet,五、拒绝服务攻击,Hacker,黑客,在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被,控制的计算机发送命令。,3,被控制计算机（代理端）,Master,Server,Internet,五、拒绝服务攻击,Hacker,Using Client program,黑客发送控制命令给主机，准备启动对目标系统的攻击,4,被控制计算机（代理端）,Targeted,System,Master,Server,Internet,五、拒绝服务攻击,Internet,Hacker,主机发送攻击信号给被控制计算机开始对目标系统发起攻击。,5,Master,Server,Targeted,System,被控制计算机（代理端）,五、拒绝服务攻击,Targeted,System,Hacker,目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，,DDOS,攻击成功。,6,Master,Server,User,Request Denied,Internet,被控制计算机（代理端）,五、拒绝服务攻击,Master,Master,Master,Flooding,Flooding,Flooding,Flooding,Flooding,Flooding,攻击目标,攻击者,Master,Master,Master,五、拒绝服务攻击,预防,DDOS,攻击的措施,确保主机不被入侵且是安全的；,周期性审核系统；,检查文件完整性；,优化路由和网络结构；,优化对外开放访问的主机；,在网络上建立一个过滤器（,filter,）,或侦测器（,sniffer,），,在攻击信息到达网站服务器之前阻挡攻击信息。,五、拒绝服务攻击,对付,DDOS,的攻击的方法,定期扫描现有的网络主节点，清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用最佳位置，因此对这些主机本身加强主机安全是非常重要的。,在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御,DDOS,攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。,用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。,使用,Inexpress,、,Express Forwarding,过滤不必要的服务和端口，即在路由器上过滤假,IP,。,比如,Cisco,公司的,CEF,（,Cisco Express Forwarding,）,可以针对封包,Source IP,和,Routing Table,做比较，并加以过滤。,五、拒绝服务攻击,充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。,使用,Unicast,Reverse Path Forwarding,检查访问者的来源。它通过反向路由表查询的方法检查访问者的,IP,地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假,IP,地址方式迷惑用户，很难查出它来自何处，因此，利用,Unicast,Reverse Path Forwarding,可减少假,IP,地址的出现，有助于提高网络安全性。,限制,SYN/ICMP,流量。用户应在路由器上配置,SYN/ICMP,的最大流量来限制,SYN/ICMP,封包所能占有的最高频宽，这样，当出现大量的超过所限定的,SYN/ICMP,流量时，说明不是正常的网络访问，而是有黑客入侵。,五、拒绝服务攻击,怎样对付正在进行的,DDOS,攻击？,如果用户正在遭受攻击，他所能做的抵御工作非常有限。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能用户在还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。,首先，检查攻击来源，通常黑客会通过很多假的,IP,地址发起攻击，此时，用户若能够分辨出哪些是真,IP,地址，哪些是假,IP,地址，然后了解这些,IP,来自哪些网段，再找网段管理员把机器关掉，即可消除攻击。,其次，找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以狙击入侵。,最后一种比较折衷的方法是在路由器上滤掉,ICMP,。,六、,欺骗攻击,什么是欺骗攻击,ARP,欺骗攻击,IP,欺骗攻击,Web,欺骗攻击,DNS,欺骗攻击,六、,欺骗攻击,1.,什么是欺骗攻击,纯技术性,利用了,TCP/IP,协议的缺陷,不涉及系统漏洞,较为罕见,1994.12.25,，凯文,.,米特尼克利用,IP,欺骗技术攻破了,San Diego,计算中心,1999,年，,RSA Security,公司网站遭受,DNS,欺骗攻击,1998,年，台湾某电子商务网站遭受,Web,欺骗攻击，造成大量客户的信用卡密码泄漏,欺骗攻击的主要类型：,ARP,欺骗,IP,欺骗攻击,Web,欺骗攻击,DNS,欺骗攻击,六、,欺骗攻击,2.ARP,欺骗攻击,A,B,Hacker,当,A,与,B,需要通讯时：,A,发送,ARP Request,询问,B,的,MAC,地址,B,发送,ARP Reply,告诉,A,自己的,MAC,地址,六、,欺骗攻击,Meet-in-Middle:,Hacker,发送伪装的,ARP Reply,告诉,A,，,计算机,B,的,MAC,地址是,Hacker,计算机的,MAC,地址。,Hacker,发送伪装的,ARP Reply,告诉,B,，,计算机,A,的,MAC,地址是,Hacker,计算机的,MAC,地址。,这样,A,与,B,之间的通讯都将先经过,Hacker,，,然后由,Hacker,进行转发。于是,Hacker,可以捕获到所有,A,与,B,之间的数据传输（如用户名和密码）。,这是一种典型的,中间人攻击,方法。,六、,欺骗攻击,Hi,我就是,A,啊,Hi,我就是,B,啊,A,B,Hacker,六、,欺骗攻击,针对,ARP,欺骗攻击的预防措施,安装入侵检测系统，检测,ARP,欺骗,攻击,MAC,地址与,IP,地址绑定,arp,s IP MAC,下载并安装,AntiARP,Sniffer,等专杀工具,在主机上安装诺顿等正版网络杀毒软件，并经常更新病毒库,及时给系统、交换设备打补丁,内网用户设置强健的密码，不要随便共享文件，即使要共享文件也要设置好权限和密码，不要随便的点击、中发来链接，不要使用游戏的外挂程序，不要随便点击、下载邮件的附件,安装使用网络防火墙,关闭不必要的服务和共享,六、,欺骗攻击,3.IP,欺骗,.,IP,欺骗技术就是伪造某台主机的,IP,地址的技术。通过,IP,地址的伪装使得某台主机能够伪装另外的一台主机，而这台主机往往具有某种特权或者被另外的主机所信任。,IP,欺骗原理：,理论依据,(TCP/IP,建立连接之前的三次握手,),第一步：,B-SYN1-,A,第二步：,B,-SYN2+ACK1-A,第三步：,B-ACK2-A,SYN,（,数据序列）,ACK,（,确认标识）,ISN,（,连接初始值）,ACK1=SYN1+1,SYN2=ISN2,ACK2=SYN2+1,六、,欺骗攻击,IP,欺骗过程,A,B,Z,互相信任,DoS,攻击,探测,ISN,规律,SYN (,我是,B，,可以连接吗？),SYN|ACK,ACK (,我是,B，,确认连接),六、,欺骗攻击,攻击描述：,屏蔽主机,B,。,方法：,Dos,攻击，如,Land,攻击、,SYN,洪水攻击,序列号采样和猜测。猜测,ISN,的基值和增加规律,将源地址伪装成被信任主机，发送,SYN,数据请求建立连接,等待目标主机发送,SYN+ACK,，,黑客看不到该数据包,再次伪装成被信任主机发送,ACK,，,并带有预测的目标机的,ISN+1,建立连接，通过其它已知漏洞获得,Root,权限，安装后门并清除,Log,六、,欺骗攻击,针对,IP,欺骗攻击的预防措施,安装,VPN,网关，实现加密和身份认证；,实施,PKI CA,实现身份认证；,通信加密：是在通信时要求加密传输和通信和验证；,抛弃基于地址的信任策略：是放弃以地址为基础的验证。不允许,R*,类远程调用命令的使用；删除,rhosts,文件；清空,/etc/hosts equiv,文件。,六、,欺骗攻击,4.Web,欺骗攻击,何谓,Web,欺骗？,创造一个,Web,站点的映像，使得用户的连接被接入到,Hacker,的服务器，达到欺骗网络用户的目的。,为什么会受到,Web,欺骗？,监控网络用户；,窃取帐户信息；,损坏网站形象；,失效,SSL,连接。,六、,欺骗攻击,Web,欺骗的预防：,浏览器状态显示连接为,；,鼠标连接目标提示；,攻击者可以凭借,Java Script,或,VB Script,修改以上信息；但可以通过禁止执行,Script,功能来揭露其面目；,Source code,可以完全泄漏攻击者的信息,六、,欺骗攻击,5.,DNS,欺骗攻击,当一个,DNS,服务器掉入陷阱，使用了来自一个恶意,DNS,服务器的错误信息，那么该,DNS,服务器就被欺骗了。,DNS,攻击途径：,缓存感染：,将数据放入一个没有设防的,DNS,服务器的缓存当中。,这些缓存信息会在客户进行,DNS,访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的,Web,服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。,六、,欺骗攻击,DNS,信息劫持,入侵者通过监听客户端和,DNS,服务器的对话，通过猜测服务器响应给客户端