网络攻击及防御技术.doc-道客多多

资源描述

1、本文由 y9cum7kedp 贡献ppt 文档可能在 WAP 端浏览体验不佳。建议您优先选择 TXT，或下载源文件到本机查看。网络攻击及防御技术主讲薛质内容网络攻击案例网络攻击及防御技术1、严峻的信息安全问题2000 年 2 月 6 日前后，美国年月日前后美国 YAHOO 等 8 家大日前后，等家大型网站接连遭受黑客的攻击，型网站接连遭受黑客的攻击，直接经济损失约为 12 亿美元（网上拍卖“电子港湾 ”网站、约为亿美元（网上拍卖“电子港湾”网站、亚马逊网站、亚马逊网站、AOL ））此次安全事故具有以下的特点：此次安全事故具有以下的特点：攻击直接针对商业应

2、用攻击造成的损失巨大信息网络安全关系到全社会2、急需解决的若干安全问题信息安全与高技术犯罪1999 年上海 XX 证券部电脑主机被入侵 1999 年，上海 XX 证券部电脑主机被入侵 2000 年 2000 年 2 月 14 日，中国选择网（上海）受到黑客攻 14 日中国选择网（上海）造成客户端机器崩溃，击，造成客户端机器崩溃，并采用类似攻击 YAHOO 的手法通过攻击服务器端口， YAHOO 的手法，通过攻击服务器端口，造成内存的手法，耗尽和服务器崩溃我国约有 64%的公司信息系统受到攻击的公司信息系统受到攻击，我国约有 64%的公司信息系统受到攻击，其中金融业占总

3、数的 57% 业占总数的 57% 不受欢迎的垃圾邮件的现象愈演愈烈 1999 年 1999 年 4 月 26 日，CIH 病毒“世纪风暴” 26 日 CIH病毒世纪风暴” 病毒“ 媒体内容的安全性凯文米特尼克凯文?米特尼克是美国凯文米特尼克是美国 20 米特尼克是美国世纪最著名的黑客之一，世纪最著名的黑客之一，他是“社会工程学” 他是“社会工程学”的创始人 1979 年他和他的伙伴侵年他和他的伙伴侵入了北美空防指挥部 1983 年的电影战争游年的电影年的电影演绎了同样的故事，戏演绎了同样的故事，在片中，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战莫里

4、斯蠕虫（Morris Worm） Worm）时间1988 年 1988 年肇事者-Robert T. Morris , 美国康奈尔大学学生，学学生，其父是美国国家安全局安全专家机理-利用 sendmail, finger 等服务的漏利用 sendmail, 消耗 CPU 资源资源，洞，消耗 CPU 资源，拒绝服务影响-Internet 上大约 6000 台计算机感染， Internet 上大约上大约 6000 台计算机感染台计算机感染，占当时 Internet 联网主机总数的 10%，占当时Internet 联网主机总数的 10%，造成 9600 万美元的损失造成 96

5、00 万美元的损失CERT/CC 的诞生的诞生-DARPA 成立 CERT（Computer DARPA 成立成立 CERT Emergency Response Team），以应 Team），付类似“ Worm）付类似“蠕虫（Morris Worm） ”事件94 年末，俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的年末，俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的年末一家小软件公司的联网计算机上，向美国 CITYBANK 银行发动一家小软件公司的联网计算机上，向美国银行发动了一连串攻击，通过电子转帐方式，了一连串攻击，通过电子转帐方式，从 CITYBANK 银行在

6、纽约银行在纽约的计算机主机里窃取 1100万美元的计算机主机里窃取万美元 96 年 8 月 17 日，美国司法部的网络服务器遭到黑客入侵，并将年月日美国司法部的网络服务器遭到黑客入侵，美国司法部” 的主页改为 “ 美国不公正部” “ 美国司法部” 的主页改为“ 美国不公正部” ，将司法部部长的照片换成了阿道夫希特勒希特勒，长的照片换成了阿道夫希特勒，将司法部徽章换成了纳粹党并加上一幅色情女郎的图片作为所谓司法部部长的助手。徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字 96 年 9 月18 日，黑客光顾美国中央情报局

7、的网络服务器，将其年月日黑客光顾美国中央情报局的网络服务器，主页由“ 中央情报局 ” 改为“ 中央愚蠢局” 主页由“ 中央情报局” 改为“ 中央愚蠢局” 96 年 12 月 29 日，黑客侵入美国空军的全球网网址并将其主页年月日肆意改动，其中有关空军介绍、肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他 80 多个军方网址美国国防部一度关闭了其他多个军方网址98 年 2 月 25 日，美国国防部四个海军系统和七个空军系统的电年月

8、日脑网页遭侵入 98 年 5 月底，印度原子研究中心的主页月底，年月底印度原子研究中心的主页(www.barc.ernet.in)遭遭侵入 98 年 8 月 31 日，澳大利亚主要政党和政府官员的网站遭黑客袭年月日击，网址被篡改 98 年 9 月 13日纽约时报站点（） 98 年 9 月 13 日，纽约时报站点（）遭黑客袭击 2000 年 2 月，著名的年月著名的Yahoo、eBay 等高利润站点遭到持续两、等高利润站点遭到持续两天的拒绝服务攻击，天的拒绝服务攻击，商业损失巨大 2002 年 3 月底，美国华盛顿著名艺术家月底，年月底美国华盛顿

9、著名艺术家 Gloria Geary 在 eBay 拍在拍卖网站的帐户，卖网站的帐户，被黑客利用来拍卖 Intel Pentium 芯片芯片 2002 年 6 月，日本年月日本 2002 年世界杯组委会的官方网站由于黑客成年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭中美五一黑客大战2001 年 5 月 1 日是国际劳动节，5 月 4 日是中国的青年年月日是国际劳动节日是国际劳动节，月日是中国的青年节，而 5 月 7 日则是中国在南斯拉夫的大使馆被炸两月日则是中国在南斯拉夫的大使馆被炸两周年的纪念日。周年的纪念日。中国黑客在

10、这几个重大的纪念日期间对美国网站发起了大规模的攻击美国部分被黑网站美国加利福尼亚能源部日美社会文化交流会白宫历史协会 UPI 新闻服务网 UPI 新闻服务网华盛顿海军通信站军事网站 2%网络服务 6%其它 12%政府网站 5%教育网站 4%机构网站 6%商业网站 65%国内网站遭攻击的分布红色代码2001 年 7 月 19 日，全球的入侵检测系统年月日全球的入侵检测系统(IDS)几乎同时报几乎同时报告遭到不名蠕虫攻击在红色代码首次爆发的短短小时内，以迅雷不及掩耳在红色代码首次爆发的短短 9 小时内在红色代码首次爆发的短短小时内，之势迅速感染了 250,000

11、台服务器之势迅速感染了台服务器最初发现的红色代码蠕虫只是篡改英文站点主页，显示最初发现的红色代码蠕虫只是篡改英文站点主页，最初发现的红色代码蠕虫只是篡改英文站点主页 “Welcome to http:/! Hacked by Chinese!” 随后的红色代码蠕虫便如同洪水般在互联网上泛滥，发随后的红色代码蠕虫便如同洪水般在互联网上泛滥，随后的红色代码蠕虫便如同洪水般在互联网上泛滥动拒绝服务(DoS)攻击以及格式化目标系统硬盘，并会在攻击以及格式化目标系统硬盘，动拒绝服务攻击以及格式化目标系统硬盘每月 20 日日对白宫的 WWW 站点的地址发动站点的 IP 地址发

12、动每月日28 日对白宫的日对白宫的站点的地址发动 DoS 攻攻使白宫的 WWW 站点不得不全部更改自己的地址。站点不得不全部更改自己的 IP 地址击，使白宫的站点不得不全部更改自己的地址。“红色代码”的蔓延速度红色代码”尼姆达（尼姆达（Nimda））恐怖袭击整整一个星期后出现的，尼姆达是在 911 恐怖袭击整整一个星期后出现的，当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒尼姆达是在早上 9:08 发现的，明显比红色代码更快、更具有摧毁功发现的，明显比红色代码更快、尼姆达是在早上发现的半小时之内就传遍了整个世界。随后在全球

13、各地侵袭了 830 万部能，半小时之内就传遍了整个世界。随后在全球各地侵袭了万部电脑，总共造成将近 10 亿美元的经济损失电脑，总共造成将近亿美元的经济损失传播方式包括：电子邮件、网络临近共享文件、IE 浏览器的内嵌传播方式包括：电子邮件、网络临近共享文件、浏览器的内嵌 MIME 类型自动执行漏洞、IIS 服务器文件目录遍历漏洞、CodeRedII 类型自动执行漏洞、服务器文件目录遍历漏洞服务器文件目录遍历漏洞、类型自动执行漏洞和 Sadmind/IIS 蠕虫留下的后门等蠕虫留下的后门等SQL Slammer 蠕虫蠕虫Slammer 的传播数度比“红色代码”快两个数

14、量级的传播数度比“红色代码” 的传播数度比在头一分钟之内，感染主机数量每 8.5 秒增长一倍秒增长一倍；在头一分钟之内，感染主机数量每秒增长一倍； 3 分钟后该病毒的传播速度达到峰值（每秒钟进行分钟后该病毒的传播速度达到峰值（万次扫描）；分钟后该病毒的传播速度达到峰值每秒钟进行 5500 万次扫描）；万次扫描接下来，接下来，其传播速度由于自身挤占了绝大部分网络带宽而开始下降；10 分钟后，易受攻击的主机基本上已经被感染殆尽分钟后，分钟后30 分钟后分钟后在全球的感染面积RPC DCOM 蠕虫蠕虫2003 年 8 月 11 日首先被发现，然后迅速扩散，这时候

15、距离被利年月日首先被发现然后迅速扩散，日首先被发现，用漏洞的发布日期还不到 1 个月用漏洞的发布日期还不到个月该蠕虫病毒针对的系统类型范围相当广泛（包括 Windows 该蠕虫病毒针对的系统类型范围相当广泛（包括 NT/2000/XP））截至 8 月日国内被感染主机的数目为 25100 万台截至月 24 日，国内被感染主机的数目为万台全球直接经济损失几十亿美金3、网络威胁恶意代码及黑客攻击手段的三大特点：传播速度惊人受害面惊人穿透深度惊人传播速度“大型推土机”技术(Mass rooter)，是新一代 rooter)，大型推土机”技术( 规模性恶意代码具

16、备的显著功能。规模性恶意代码具备的显著功能。这些恶意代码不仅能实现自我复制，这些恶意代码不仅能实现自我复制，还能自动攻击内外网上的其它主机，击内外网上的其它主机，并以受害者为攻击源继续攻击其它网络和主机。续攻击其它网络和主机。以这些代码设计的多线程和繁殖速度，以这些代码设计的多线程和繁殖速度，一个新蠕虫在一夜之间就可以传播到互联网的各个角落。虫在一夜之间就可以传播到互联网的各个角落。受害面许多国家的能源、交通、金融、化工、军事、科许多国家的能源、交通、金融、化工、军事、技和政府部门等关键领域的信息化程度逐年提高，技和政府部门等关键领域的信息化程度逐年提高，这些领域

17、的用户单位的计算机网络，这些领域的用户单位的计算机网络，直接或间接地与 Internet 有所联系。地与 Internet 有所联系。有所联系各种病毒、蠕虫等恶意代码，和各种黑客攻击，各种病毒、蠕虫等恶意代码，和各种黑客攻击，通过 Internet 为主线为主线，通过 Internet 为主线，对全球各行业的计算机网络用户都造成了严重的影响。络用户都造成了严重的影响。穿透深度蠕虫和黑客越来越不满足于攻击在线的网站，蠕虫和黑客越来越不满足于攻击在线的网站，各种致力于突破各种边界防线的攻击方式层出不穷。致力于突破各种边界防线的攻击方式层出不穷。一个新的攻击手段，第一批受

18、害对象是那些 24 小一个新的攻击手段，第一批受害对象是那些 24 小时在线的网站主机和各种网络的边界主机；时在线的网站主机和各种网络的边界主机；第二批受害对象是与 Internet 联网的联网的，第二批受害对象是与 Internet 联网的，经常收发邮件的个人用户；件的个人用户；第三批受害对象是 OA 网或其它二线内网的工作站网或其它二线内网的工作站；第三批受害对象是OA 网或其它二线内网的工作站；终极的受害对象可能会波及到生产网络和关键资产主机。主机。信息战在海湾战争和最近的伊拉克战争中，在海湾战争和最近的伊拉克战争中，美国大量采用了信息战的手段在未来的局

19、部战争中，在未来的局部战争中，信息战或信息威慑将成为非常重要的非常规战手段信息战的范围不仅仅局限于军事领域，信息战的范围不仅仅局限于军事领域，关系国家国计民生的行业（如政府、金融等）计民生的行业（如政府、金融等）也会成为信息战的攻击目标信息时代威胁图国家安全威胁共同工业间谍威胁犯罪团伙局部威胁社会型黑客娱乐型黑客施行报复，实现经济目的，破坏制度攫取金钱，恐吓，挑战，获取声望以吓人为乐，喜欢挑战掠夺竞争优势，恐吓信息战士情报机构恐怖分子减小美国决策空间、战略优势，制造混乱，进行目标破坏搜集政治、军事，经济信息破坏公共秩序，制造混乱，发动

20、政变类别 V IV III II I攻击举例敌国政府、敌国政府、间谍商业间谍罪犯恶意用户、内部人员、恶意用户、内部人员、普通黑客用户误操作网络攻击的动机偷取国家机密商业竞争行为内部员工对单位的不满对企业核心机密的企望网络接入帐号、网络接入帐号、信用卡号等金钱利益的诱惑利用攻击网络站点而出名对网络安全技术的挑战对网络的好奇心攻击的一般过程预攻击目的：目的：收集信息，收集信息，进行进一步攻击决策攻击目的：目的：进行攻击，进行攻击，获得系统的一定权限后攻击目的：目的：消除痕迹，消除痕迹，长期维持一定的权限内容：内容：获得域名及 IP 分布获得域名及

21、 IP 分布 IP 获得拓扑及 OS 等获得拓扑及OS 等 OS 获得端口和服务获得应用系统情况跟踪新漏洞发布内容：内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作内容：内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展攻击的种类预攻击阶段端口扫描漏洞扫描操作系统类型鉴别网络拓扑分析后攻击阶段后门木马痕迹擦除其它攻击种类拒绝服务攻击嗅探攻击恶意网页攻击社会工程攻击攻击阶段缓冲区溢出攻击操作系统漏洞应用服务缺陷脚本程序漏洞攻击口令攻击错误及弱配置攻击网络欺骗与劫持攻击信息收集信息收集非技术手段合法途径从目标机构的网站获取

22、新闻报道，新闻报道，出版物新闻组或论坛社会工程手段假冒他人，假冒他人，获取第三方的信任搜索引擎信息收集信息收集技术手段Ping Tracert / Traceroute Rusers / Finger Host / nslookup端口扫描目的判断目标主机开启了哪些端口及其对应的服务常规扫描技术调用 connect 函数直接连接被扫描端口调用 connect 函数直接连接被扫描端口无须任何特殊权限速度较慢，速度较慢，易被记录高级扫描技术利用探测数据包的返回信息（例如 RST）来进行利用探测数据包的返回信息（例如 RST）间接扫描较为隐蔽，较为隐蔽，不易被日志记录或防火墙

23、发现TCP SYN 扫描也叫半开式扫描利用 TCP 连接三次握手的第一次进行扫描利用连接三次握手的第一次进行扫描扫描器SYN SYN+ACK 握手 SYN RST 重置 SYN被开放的端口扫描主机不提供服务的端口防火墙过滤的端口没有回应或者其他端口扫描工具Nmap简介被称为“扫描器之王” 被称为“扫描器之王” 有 for Unix 和 for Win 的两种版本需要 Libpcap 库和 Winpcap 库的支持能够进行普通扫描、各种高级扫描和操作系统类型鉴能够进行普通扫描、别等使用-sS：半开式扫描 -sT:普通 connect()扫描 -sU：udp 端口扫描 -O

24、：操作系统鉴别 -P0：强行扫描（无论是否能够 ping 通目标）强行扫描（通目标） -p：指定端口范围 -v：详细模式NmapWin v1.3.0端口扫描工具SuperScan简介基于 Windows 平台速度快，图形化界面速度快，最新版本为 4.0使用傻瓜化漏洞扫描根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能存在某些漏洞积极意义进行网络安全评估为网络系统的加固提供先期准备消极意义被网络攻击者加以利用来攻陷目标系统或获取重要的数据信息漏洞扫描的种类系统漏洞扫描特定服务的漏洞扫描WEB 服务 WEB 服务数据库服务 FTP 服务 FTP 服务 Mail 服务

25、 Mail 服务网络及管理设备漏洞扫描路由器、交换机路由器、 SNMP 设备 SNMP 设备信息泄漏漏洞扫描用户信息共享信息人为管理漏洞扫描弱口令错误配置漏洞扫描工具Nessus构架服务器端：基于 Unix 系统服务器端：客户端：有 GTK、Java 和 Win 系统支持客户端：运作客户端连接服务器端，并下载插件和扫描策略客户端连接服务器端，真正的扫描由服务器端发起两者之间的通信通过加密认证优势：优势：具有强大的插件功能完全免费，升级快速完全免费，非常适合作为网络安全评估工具链接：www.nessus.org 链接：Nessus 工作流程ClientServerTa

26、rgets漏洞扫描工具X-Scan国人自主开发完全免费X-Scan 使用使用扫描开始安全漏洞扫描器安全漏洞扫描器的种类网络型安全漏洞扫描器主机型安全漏洞扫描器数据库安全漏洞扫描器安全漏洞扫描器的选用ISS （Internet Security Scanner）：安氏 Scanner）：）：安氏 SSS（ SSS（Shadow Security Scanner）：俄罗斯 Scanner）：）：俄罗斯黑客 Retina Network Security Scanner：eEye Scanner： LANguard Network Security Scanner CyberCop S

27、canner：NAI Scanner：SSS（Shadow Security Scanner）Retina Network Security ScannerLANguard Network Security Scanner操作系统类型鉴别主要依据利用不同操作系统对各种连接请求的不同反应和特征来判断远程主机操作系统的类型当使用足够多的不同特征来进行判断，当使用足够多的不同特征来进行判断，操作系统的探测精度就能有很大保证间接鉴别操作系统说明不直接进行扫描利用网络应用服务使用过程中的信息来推断和分析操作系统类型，析操作系统类型，并得到其他有用信息 80 端口查看端口查看WEB 服务器

28、类型从而初步如 Telnet 80 端口查看 WEB 服务器类型从而初步判断操作系统类型这种方法难以被发现防御对策修改服务器上应用服务的 banner 信息修改服务器上应用服务的 banner 信息，达到迷惑信息，攻击者的目的直接鉴别操作系统类型TCP/IP 栈指纹探测技术栈指纹探测技术各个操作系统在实现 TCP/IP 栈的时候有细微的不各个操作系统在实现TCP/IP 栈的时候有细微的不同，可以通过下面一些方法来进行判定TTL 值 Windows 窗口值 ToS 类型 DF 标志位初始序列号（ISN）采样初始序列号（ MSS（最大分段大小）最大分段大小）其他TTL（ T

29、TL（Time To Live ） Live）sourceTTL = 4 TTL = 8 TTL = 5 TTL = 3 TTL = 7 TTL = 6 TTL = 2destinationTTL = 9 TTL = 10缓冲区溢出攻击危害性据统计，缓冲区溢出攻击占所有网络攻击总数的据统计， 80%以上 80%以上溢出成功后大都能直接拿到目标系统的最高权限身边的例子RPC DCOM 溢出 DCOM 溢出 IIS .ida/idq 溢出 .ida/idq 溢出 IIS .printer 溢出 .printer 溢出 IIS WebDav 溢出 WebDav 溢出 Wu-ftpd 溢出 Wu-

30、ftpd 溢出缓冲区溢出原理通过往程序的缓冲区写入超出其长度的内容，通过往程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，使程序转而执行其它指令，以达到攻击的目的缓冲区溢出攻击的对象在于那些具有某些特权(如 root 或本地管理器 )运行的程序，这样或本地管理器)运行的程序，或本地管理器可以使得攻击者取得该程序的控制权，可以使得攻击者取得该程序的控制权，如果该程序具有足够的权限，该程序具有足够的权限，那么整个主机就被控制了缓冲区溢出示意图n 字节字节缓冲区正常流程函数返回点字

31、符串变量数组用户输入输入数据字节, 输入数据n 字节,尾部为跳转的地址溢出改变流程程序溢出时的表现Segmentation Fault (coredumped)以特权身份运行的程序网络服务程序HTTP Server FTP Server Mail Server RPC Daemon suid/sgid 程序程序Root 溢出 Root 溢出Remote root exploit通过网络，无需认证即可获得远程主机的 root 权限通过网络，需认证即可获得远程主机的 root 权限Local root exploit本地普通用户，利用系统程序的漏洞获得 root 权限本地普通用户，利用系

32、统程序的漏洞获得 root 权限远程控制技术概念危害性发展历程技术类型特洛伊木马的来历来源于希腊神话中的特洛伊战争希腊人攻打特洛伊城十年，希腊人攻打特洛伊城十年，始终未获成功，始终未获成功，后来建造了一个大木马，并假装撤退，一个大木马，并假装撤退，希腊将士却暗藏于马腹中。希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，打开城门，希腊将士里应外合毁灭了特洛伊城。合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，

33、的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马远程控制技术远程控制实际上是包含有服务器端和客户端的一套程序服务器端程序驻留在目标计算机里，服务器端程序驻留在目标计算机里，随着系统启动而自行启动。此外，自行启动。此外，使用传统技术的程序会在某端口进行监听，若接收到数据就对其进行识别，行监听，若接收到数据就对其进行识别，然后按照识别后的命令在目标计算机上执行一些操作（别后的命令在目标计算机上执行一些操作（比如窃取口令，拷贝或删除文件，或重启计算机等）口令，拷贝或删除文件，或重启计算机等）攻击者一般在入侵成功后，攻击者一般在入侵成功后，将服务端程序拷贝到

34、目标计算机中，并设法使其运行，从而留下后门。日后，计算机中，并设法使其运行，从而留下后门。日后，攻击者就能够通过运行客户端程序，攻击者就能够通过运行客户端程序，来对目标计算机进行操作远程控制技术的发展历程第一代功能简单、技术单一，功能简单、技术单一，如简单的密码窃取和发送等第二代在技术上有了很大的进步，如国外的 BO2000，在技术上有了很大的进步，如国外的 BO2000，国内的冰河等第三代为了躲避防火墙而在数据传递技术上做了不小的改进，比为了躲避防火墙而在数据传递技术上做了不小的改进，如利用 ICMP 协议以及采用反弹端口的连接模式如利用 ICMP 协议以及采用反弹端口

35、的连接模式第四代研究操作系统底层，在进程隐藏方面有了很大的突破研究操作系统底层，传统的远程控制步骤如何远程植入程序直接攻击电子邮件经过伪装的木马被植入目标机器文件下载浏览网页合并文件+远程受控端程序的自启动Windows 启动目录启动目录注册表启动Run(RunOnce/RunOnceEx/RunServices） Run(RunOnce/RunOnceEx/RunServices） KnownDLLs修改文件关联方式系统配置文件启动Win.ini System.ini服务启动其他启动远程受控端程序的隐藏在任务栏（包括任务管理器）在任务栏（包括任务管理器）中隐藏自己初步隐藏注册为

36、系统服务不适用于 Win2k/NT 不适用于 Win2k/NT启动时会先通过窗口名来确定是否已经在运行，如果是则不再启动防止过多的占用资源进程隐藏远程线程插入其他进程（不适用于 Win9X） Win9X）远程线程插入其他进程（不适用于 Win9X Hook 技术 Hook 技术远程控制数据传输方式ICMP 协议传送协议传送反弹端口 + HTTP 隧道技术隧道技术反弹端口连接模式Internet Explore r 浏览网页防火墙端口 1024目标主机木马线程 IE 正常线程进正常线程程 Windows系统监听端口反弹式的远程控制程序传统远程控制程序传统远程控制程序IP 数据

37、包过滤远程控制的防御远程端口扫描本地进程端口察看本地进程端口察看Fport / Vision AntiyPorts APorts注册表监控Regmon文件监控Filemon本地进程察看Pslist Listdlls使用专用的查杀工具加强使用者的安全意识VisionAntiyPortsDoS 与 DDoS 攻击 DoS 与 DDoS 攻击DoS (Denial of Service)攻击的中文含义是攻击的中文含义是拒绝服务攻击 DDoS (Distributed Denial of Service)攻击攻击的中文含义是分布式拒绝服务攻击拒绝服务攻击的种类发送大量的无用请求，发送

38、大量的无用请求，致使目标网络系统整体的网络性能大大降低，体的网络性能大大降低，丧失与外界通信的能力。能力。利用网络服务以及网络协议的某些特性，利用网络服务以及网络协议的某些特性，发送超出目标主机处理能力的服务请求，送超出目标主机处理能力的服务请求，导致目标主机丧失对其他正常服务请求的相应能力。利用系统或应用软件上的漏洞或缺陷，发送利用系统或应用软件上的漏洞或缺陷，经过特殊构造的数据包，经过特殊构造的数据包，导致目标的瘫痪称之为 nuke) ) （称之为拒绝服务攻击典型举例SynFlood Smurf PingFlood UDP Flooder拒绝服务攻击拒绝服务攻

39、击SynFlood正常的 TCP/IP 三次握手客户端SYN+ACK ACK SYNSynFlood 攻击攻击主机伪造源地址 SYN被攻击主机服务器不存在的主机不响应 SYN+ACK 不断重试及等待，等待，消耗系统资源握手完成，握手完成，开始传送数据，系统消耗很少SynFlood 的防御对策重新设置一些 TCP/IP 协议参数协议参数重新设置一些增加 TCP 监听套解字未完成连接队列的最大长度增加 TCP 监听套解字未完成连接队列的最大长度减少未完成连接队列的超时等待时间类似于 SYN Cookies 的特殊措施类似于 SYN Cook

40、ies 的特殊措施选择高性能的防火墙SYN Threshold 类 Threshold 类 SYN Defender 类 Defender 类 SYN Proxy类 Proxy 类拒绝服务攻击拒绝服务攻击Smurf 攻击Attacker broadcast echo request 源地址被欺骗为被攻击主机地址中介网络放大器目标机器会接收很多来自中介网络的请求 Target其它拒绝服务攻击Fraggle Ping of Death UdpFlood TearDrop 电子邮件炸弹Nuke 类拒绝服务攻击 Nuke 类拒绝服务攻击Win Nuke RPC Nuke SMB Die分布式拒

41、绝服务攻击DDoS 是 DoS 攻击的延伸，威力巨大，具体是攻击的延伸，攻击的延伸威力巨大，攻击方式多种多样。攻击方式多种多样。分布式拒绝服务攻击就是利用一些自动化或分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标。攻击一般会采用 IP 地址欺骗技术地址欺骗技术，攻击一般会采用地址欺骗技术，隐藏自己地址，的 IP 地址，所以很难追查。地址所以很难追查。分布式拒绝服务攻击示意图分布式拒绝服务攻击步骤探测扫描大量主机以寻找可入侵的目标；探测扫描大量主机以寻找可入侵的目标；入侵有安全漏洞的主机并获取控制

42、权，入侵有安全漏洞的主机并获取控制权，在每台入侵主机中安装攻击程序；台入侵主机中安装攻击程序；构造庞大的、分布式攻击网络；构造庞大的、分布式攻击网络；在同一时刻，在同一时刻，由分布的成千上万台主机向同一目标地址发出攻击，目标系统全线崩溃；一目标地址发出攻击，目标系统全线崩溃；典型的分布式拒绝服务攻击工具Trinoo TFN Stacheldraht TFN2K分布式拒绝服务攻击防御对策对于分布式攻击，对于分布式攻击，目前仍无非常有效的方法来防御基本的防御对策做好各种基本的拒绝服务攻击防御措施，打好补做好各种基本的拒绝服务攻击防御措施，丁；联系 ISP 对主干路由器进

43、行限流措施对主干路由器进行限流措施；联系 ISP 对主干路由器进行限流措施；利用各种安全防御系统进行辅助记录工作。利用各种安全防御系统进行辅助记录工作。使用软件来帮助管理员搜索 ddos 客户端使用软件来帮助管理员搜索 ddos 客户端find_ddos ZombieZapper ddosping网络监听攻击sniffer 源目的加密 passwd$%&)*=$%&)*=-,解密网络监听攻击的环境基于共享（基于共享（HUB）环境的监听）比较普遍实现较为简单基于交换（基于交换（Switch）环境的监听）基础是 ARP 欺骗技术基础是 ARP 欺骗技术基于共享环境的监听共

44、享以太网环境中，共享以太网环境中，所有物理信号都会被传送到每一个主机节点上去如将系统的网络接口设定为混杂模式 (Promiscuous)，则就能接受到一切监听到的数据帧，而不管其目的 MAC 地址是什么数据帧，而不管其目的地址是什么共享环境监听的意义积极意义：积极意义：方便网络管理员进行管理和网络故障分析消极意义：消极意义：常被用来窃听在网络上以明文方式传输的口令和账号密码POP3 邮件口令 POP3 邮件口令 Ftp 登录口令 Ftp 登录口令 Telnet 登录口令 Telnet 登录口令共享环境监听的检测基于主机的检测简单的 ifconfig 命令，包括各种 UNI

45、X 系统简单的 ifconfig 命令，包括各种 UNIX 系统命令基于网络的检测针对系统硬件过滤和软件过滤的检测针对 DNS 反向域名解析的检测针对DNS 反向域名解析的检测针对网络和主机响应时间的检测使用专业的检测工具AntiSniff（ AntiSniff（有 for win 和 for unix 的版本） win 和 unix 的版本的版本） PromiscanAntiSniff（LOpht）口令入侵口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，令登录到目的主机，然后再实施攻击活动获取口令的途径有：获取口令的途径有：网络监听口令猜测，口令猜测，暴力破解

46、利用系统管理员的失误口令猜测攻击口令猜测攻击原理现行很多加密算法都单向不可逆攻击者每次从攻击字典中取出一个条目作为口令，攻击者每次从攻击字典中取出一个条目作为口令，使用相同的加密算法进行加密，使用相同的加密算法进行加密，然后同密文进行比对，如不同则继续下一次尝试，比对，如不同则继续下一次尝试，否则则猜测成功。口令猜测可分为远程口令破解本地口令破解远程口令破解许多网络服务，都是通过账号口令来认证需许多网络服务，都是通过账号/口令来认证需要访问该服务的用户POP3 Netbios Telnet FTP HTTP 等 HTTP 等可以远程进行穷举字典的方式来猜解口令破解效率

47、很低，破解效率很低，而且容易被记录本地口令猜解各种操作系统以自己各自的方式存放密码文而大多数的加密算法都比较脆弱，件，而大多数的加密算法都比较脆弱，容易被猜解本地破解速度非常快，本地破解速度非常快，具体的速度取决于系统的配置在协同工作越来越发达的今天，在协同工作越来越发达的今天，本地口令破解可以说是“百发百中”解可以说是“百发百中”Windows 口令破解技术简介系统中，在 WinNT/2K 系统中，使用一套较老的加密系统中算法LAN Manager 算法 LM 散列算法存在着致命缺陷散列算法存在着致命缺陷用户密码缩短到 14 个字符，若不足则用 0x00 填用户密

48、码缩短到 14 个字符，若不足则用 0x00 填个字符补个字节由用户密码的前 7 前 8 个字节由用户密码的前 7 个字符推导而来后续 8 个字节由密码的 8 14 个字符得来后续 8个字节由密码的 8-14 个字符得来Windows 口令破解技术简介Windows 系统以系统以 sam 文件格式存放密码文件，文件格式存放密码文件，系统以文件格式存放密码文件有多种方式可以获得%SystemRoot%system32configsam SystemRoot%system32config %SystemRoot%repair %SystemRoot%repairsam._ 使用

49、 pwdump3 远程从注册表中导出使用 pwdump3 远程从注册表中导出嗅探网络中 SMB 报文包含的口令散列值嗅探网络中 SMB 报文包含的口令散列值破解工具stake 的 L0phcrack stake 的stake L0phcrackUnix 系统的口令破解Unix 系统的口令密文存放在系统的口令密文存放在 /etc/passwd 或系统的口令密文存放在或 /etc/shadow 文件中文件中加密算法传统加密沿用最多的是 DES 算法的口令加密机制传统加密沿用最多的是DES 算法的口令加密机制为了增强 DES 的加密强度引入了被称作 Salt 的的加密强度，为了增强 DES 的加密强度，引入了被称作 Salt 的附加手段猜测工具John The Ripper候选口令产生器口令加密口令比较输出匹配的口令字典口令文件口令破解防御对策制定正确的密码策略，制定正确的密码策略，并贯彻实施密码长度，密码长度，强度足够定期更换密码禁用类似 12345678 computer这样的简单密 12345678、禁用类似 12345678、computer 这样的简单密码

展开阅读全文