1、典型的攻击方式,王世宏,引言,为了进一步讨论安全,你必须理解你有可能遭遇到的攻击的类型,为了进一步防御黑客,你还要了解黑客所采用的技术、工具及程序,所有类型的攻击经常被合在一起使用,一般情况下,攻击被结合起来产生一个具体的后果,例如:一个用户有可能将特洛伊木马程序放置在WEB服务器,因为服务器一执行这个程序,黑客将能在服务器上实施拒绝服务攻击,导致机器重启,一旦机器重启,它将载入木马程序。,攻击的分类,攻击可以分为两大类:意外威胁和故意威胁。意外威胁: 由系统管理员和无知的用户因为没有预先思考或计划而引起的。故意威胁: 是有企图的行为的结果,它是执行计划好的活动。,哄骗,哄骗和伪装都是偷窃身份
2、的形式。通常CIW专家考试安全讨论的哄骗是指IP哄骗(ip spoofing),它是一合机器模仿另台机器的能力正如你所猜想的那样,IP哄骗是利用INTERNET的开放式网络设计和传统的UNIX系统之间建立的信任关系。记住,除非采取防范措施, 否则所有使用IP的服务器,都认定包是由合法的数据源产生的、但是存在各种的应用程序,可以让windows和Linux系统伪造数据源和目标IP地址 哄骗使得明确地确定是谁发送了IP包给网络主机变得非常困难。,黑客使用IP哄骗的好处是可以生成用于发行被伪装的IP包的程序。黑客使用这些程序,并组合建立TCP连接的程序或进程,让 一个系统看上去像另一个系统。然后黑客
3、就可以随意地攻击系统了,因为很难跟踪攻击来源。,中间人攻击,man-in-the-middle attack:是黑客企图对一个网络的主机发送到另一台主机的包进灯操作的攻击。这类攻击相当普遍,因为它包括了当网络数据通过网络传输的所有可能发生的攻击所有这一类攻击的共同八是黑客必须在物理位置上位于两个被攻击的合法主机之河 以下是中间人攻击类型中最常见的几种。包捕获 这类攻击涉及到为获得用户名称和口令信息探测包的攻击方法。任何用明文发送的信息(如电子邮件内容)都可能被捕获。在LAN与INTERNET上此攻击很普遍。但交换机的出现降低了这种攻击的可能性。但像ettercap这类使用ARP抑制策略的应用程
4、序能够在交换网络进行探测。包修改 是使用各仲应用程序编辑被捕获的包。如NetDude这类应用程序就能对包做“烹饪”然后再传输包植入 即包修改之后,把改后的包发给受害服务器以获得黑客的目的,如反复发送一个改后的包。获得被害服务器的访问权。连接劫持 这种类型的攻击包括中途截取和接管正在处理中的连接。恶意的用户可以实际监控一个Telnet或IRc聊大会话,然后植入任何他想要的文本;为捕获网络传输的内容。 也可以让一台主机扮核另台主机的角色。,连接劫持与其他攻击策略的组台,在劫持一个连接时,必然涉及三种独立的攻击方法。首先以劫持攻击开始,然后执行拒绝服务攻击和哄骗IP地址。第一阶段的攻击即劫持发生在以
5、下三次握手的第一次之后。(通常强加密是防止数据劫持的最好手段),例 子,假设合三台主机:主机A、主机B和主机C。当主机A和主机B开始通信时,攻击者主机c找到了一个方法假用主机B的身份。一旦这种情况发生,主机c就扮演主机B并开始接收和传输从主机A发来的数据。在成功的攻击中,合法的主机认为它们彼此间在相互直接通信,实际情况是黑客截获了所有的传输并路由到每个主机。这样,黑客就可以对数据做任何他想做的操作。想劫持连接的攻击者必须对他正扮演的主机执行拒绝服务攻击。例如,如果攻击者假们主机B的身份,则攻击者必须让这台主机从网络上消失。黑客进行IP哄骗攻击需要几种程序,其中有:包探测器中断TCP连接或崩溃整
6、个服务器的应用程序产生TcP连接和哄骗IP包的应用程序有些应用程序如:hunt可以做到所有这三项功能,拒绝服务攻击,在一个拒绝服务攻击中,一个黑客阻止合法用户获得服务。这些服务可以是网络连接,或者任何一个系统提供的服务。 DOS攻击在WINDOWS 服务器上非常流行,击败一个UNIX系统的安全防范是容易的,所有的用户都是善意和有能力的,在拒绝攻击服务有两种目的: 摧毁服务器,使它对于任何人都不能服务。 获取黑客止在摧毁的任何一个服务器的身份,黑客的策略,例如欺骗和 “man-in-the-middle攻击,必须使得他们正在欺骗的主机失效,拒绝服务攻击并不能使黑客拒绝个人的身份,但是可以使得这个
7、合法的个人不能被响应。,DOS攻击常见类型,SYN溢出(SYN flood)是渗透攻击INTERNET服务器中最常用的种。它用一种不同于正常行为的方式建立一个TcP握手。黑客能够建立多个TcP半边接。,以上图示中说明的在DOS攻击中的IP哄骗使攻击更有力量,因为攻击者不用再去回应服务器发回的二次握手信息。而且这样的攻击很难预防,因为防火墙默认不会对SYN溢出做配置。,DOS攻击类型,Smurf攻击和Fraggle攻击 Smurf 涉及操纵网间控制报文协议(ICMP),此协以由Ping程序调用,如图黑客先创建一个包,它看起来好像来源于即将成为受害者的主机。然后,黑客把这个包发送给一个不知情的第三
8、方,它将成为媒介主机。这台主机很自然地对它门己的IcMP回应包做山反应。 因此,在smurf攻击中成为了不知情的同谋者。如果黑客发送了足够的ICMP包,回应将淹没被害人的主机。如果你就是那个不走运的被害者,在你的服务崩溃后,黑客将借你的IP去哄骗别人。以躲避攻击责任。你就是替罪羊。,DOS常见攻击,Frggle攻击与smurf攻击类似,只不过是使用UDP.虽然端口7(回应瑞口)是最典型的,但绝大多数发动此攻击的程序准许你可以指定想要的端口。保护系统免受smurf和Frggle攻击的最好的方法是在防火墙过滤掉IcMP包或不允泞在服务器上使用PING但是,在发生问题时,这些措施会使连通性的测试变得
9、相当困难。泪珠泪珠2 泪珠(Teardorp)系列的攻击是利用没有完全重编译的代码覆盖UDP包的方法。如果windows与linux没有更新补丁,刚会蓝屏。现在一般都有打过补丁后,该攻击主要用来消耗被攻击者的带宽和处理器时间。泪珠攻击被称为Boink,泪珠2攻击被称为Bonk死亡之PING与PING欺骗 攻击者会造出多个PING包,到对端结合成一个超过65535字节的包,让对方缓冲区溢出死机。或者LINUX系统支持的PING f 会短时间发送大量包来阻瑟通信。,分布式拒绝服务(DDoS)攻击,(distributed denial-of-service(DDoS)attack)是指几个远程系统
10、在一起工作并产生网络传输,意在崩溃一个远程主机的方法。这些攻击一股把i大的传输量集中于一台主机,因为负载过重而引起这台主机崩溃。另一种例于是,DDos攻击集中在“网络管道” (例如Tl或T3线路),并用欺骗性的传输填满它。系统也许还能够运行,但没有人能够访问它们的服务了。DDos传输虽然也可以使用uDP和TcP,们一船包含虚假的ICMP包。如下图所示,多台主机被联合起来产生一个数据流用于使受害主机瘫痪。,了解DDOS攻击图示,从DoS和DDoS攻击中恢复,如果DoS和Ddos攻击引起系统崩溃,那么只需要一次简单的重新启动就能恢复。但是,DDos攻击一般要求重新调用交换和路电程序,才能结束这钟可
11、恶的传输:在windows2000系统中你可以檄活IPsec策略,它准许你限制或禁止来自于某些主机的传输,在LINUX可能使用iptables来阻断DDOS 防止DOS与DDOS的办法在于1、升级操作系统2、密切关注企业定制的相关软件带码有没有异样3、不要在生产环境中用试用版软件。,内部攻击,往往来自LAN内部的攻击会被忽略掉。但这也是常见攻击的一种手段,如:内部员工得知了服务器帐号,取得服务器控制权。另外内部攻击还常见于物理攻击。,前门攻击和暴力攻击,前门和暴力攻击它们都试图击败认证过程。在一个前门攻击中一个黑客伪装成一个合法的用户进入系统,因为一个黑客拥有一个合法用户的所有信息,他(她)就
12、能够很简单地从系统的“前门”正当地进入。黑客使用IP哄骗的好处是可以生成用于发行被伪装的IP包的程序。黑客使用这些程序,并组合建六TCP连接的程序或进程,让 一个系统看上去像另一个系统。然后黑客就可以随意地攻击系统了,因为很难跟踪攻击来源。,暴力攻击类似于前门攻击,因为一个黑客试图通过作过一个合法用户获得通过。两者的区别是在暴力攻击中一个黑客使用所有的他认为能够击败认证利获得一个合法用户密码的字母、单词、字符。一个暴力攻击是一个并不精密复杂的企图尝试每一样东西包括字典文件,嗅探器和重复的登陆企图。暴力攻击的一个具体例子是,一个黑客试图使用计算机和信息的结合去破解一个密码。在种情况下一个黑客需要
13、破解段单一的被用RC4算法和非对称密钥加密的信息,为了破解这种算法,一个黑客需要求助于非常精密复杂的方法,它使用120个工作站,两个超级计算机利从三个主要的研究中心获得的信息,即使拥有这种配备,它也将花掉八天的时间去破解加密算法,实际上破解加密过程八天已是非常短暂的时间了。,字典程序攻击,字典攻击是常见的一种暴力攻击。如果一个潜在的黑客试图通过使用传统的暴力攻击的方法去获得密码的话,他(她)将不得不尝试每种可能的字符,包括大小写,数字,通配符。 强壮的密码通过结合大小写字母、数字、通配符来击败字典攻击。黑客也在别的方面上使用字典程序,如一个字典程序能够使得黑客利用多台机器来破解一个ZIP文件的
14、密码。常见程序有NATBIOS,特洛伊,你已经了解了将洛伊(Trojan)是一种表面上行为合法的应用程序、服务或后台运行程序,事实上却具有一种附加的、秘密的功能用来击败身份验证。任何被修改成包含非法文件的文件都被叫作特洛伊。通常以一个正常文件出现但其中包含击键记录程序,病毒,蠕虫等。,ROOT KITS,一个root kit其实就是一个软件包,黑客利用它来提供给自己对你的机器具有root级别的访问权限。一旦这个黑客能够以root的身份访问你的机器,一切都完了。特洛伊的一种。 Root KIT是多种UNIX系统的一个后门,它在控制阶段被引入,并且产生个严重的问题,Roo KIT由一系列的程序构成
15、,这些程序用特洛伊木马取代合法的程序,这种取代叫供给黑客再次进入的后门和特别的分析网络工具,例如sniffer,除此之外这种被修改的工具能够隐藏他们自己的存在和他们的活动,使得侦察无效。,ROOT工具包经常替换的的UNIX命令包括/bin/login 经修改后的此文件可以随意登入黑客身份/bin/ps可隐藏黑客进程/bin/ls可由普通ls命令触发一个黑客进程从而开放某些连接黑客的端口。Su命令,可能截获切换ROOT身份时的密码。,ROOT KITS应用,你能信任你的ps命令吗?找出root kit的首个窍门是运行ps命令。有可能对你来说一切都看来很正常。以下是一个ps命令输出的例子:,真正的
16、问题是,“真的一切都正常吗?”黑客常用的一个诡计就是把ps命令替换掉,而这个替换上的ps将不会显示那些正在你的机器上运行的非法程序。为了测试这个,应该检查你的ps文件的大小,它通常位于/bin/ps。在我们的Linux机器里它大概有60kB。我最近遇到一个被root kit替换的ps程序,这个东西只有大约12kB的大小。另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。你可以通过在shell提
17、示符下敲入history来访问你的历史记录文件。假如你发现自己正在使用history命令,而它并没有出现在之前使用过的命令列表里,你要看一看你的/.bash_history 文件。假如这个文件是空的,就执行一个ls -l /.bash_history命令。在你执行了上述的命令后你将看到类似以下的输出:-rw- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history 又或者,你可能会看到类似以下的输出:lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history - /dev/null 假如你看到的是
18、第二种,就表明这个 .bash_history 文件已经被重定向到/dev/null。这是一个致命的信息,现在就立即把你的机器从Internet上断掉,尽可能备份你的数据,并且开始重新安装系统。,ROOT KITS应用,寻找未知的用户账号在你打算对你的Linux机器做一次检测的时候,首先检查是否有未知的用户账号无疑是明智的。在下一次你登录到你的Linux机器时,敲入以下的命令:grep :x:0: /etc/passwd 只有一行,我再强调一遍,在一个标准的Linux安装里,grep命令应该只返回一行,类似以下:root:x:0:0:root:/root:/bin/bash 假如在敲入之前的g
19、rep命令后你的系统返回的结果不止一行,那可能就有问题了。应该只有一个用户的UID为0,而如果grep命令的返回结果超过一行,那就表示不止一个用户。,ROOT软件如何被装入系统,物理安全如果没有保障是最简单的安装方式 远程安装通常是发现一个内存溢出缺陷后,进入系统安装以获取服务器控制权限。,如何修复被ROOT感染的系统,重装系统。这是CIW考试推荐的方法替换被感染的二进制文件,但我们无法预料有多少文件被感染。有危险性安装Tripwire或windows文件探护(WPF)实用程序。可以密切关注一些已经安装的正常系统组件的修改实时动向。,BUG和后门,一个BUG是一个程序中的错误,它产生一个不注意
20、的通道。很多情况下一个运行在服务器的操作系统或程序包含了这些问题,黑客经常了解这些问题并充分利用它们。一个后门是一个在操作系统上或程序上未被记录的通道。程序设计员有时有意识地在操作系统或程序上设置后门以便他们迅速地对产品进行支持,在这种情形下,大多数的后门并不是怀有恶意的。然而,一些系统管理员并没有意识到他们的操作系统中有后门,但是黑客却意识到了。因此,那些本来被用来作为对系统进行迅速支持的后门却变成个黑客攻击的手段。,信息泄露,很多OS中的服务默认设置会泄露很多系统信息,让黑客可能通过这些“指纹”看到服务器用的什么系统平台,以进一步搜寻该平台的BUG。,缓冲区溢出,目前最流行的一种BUG类攻
21、击就是缓冲区溢出。 为了能够运行所有的应用软件、服务和后台程序都从操作系统中分配一段内存。这段内存被称为缓冲区(buffer)。关于缓冲区好的编程习惯规定保证两件事:第一,接收缓冲区应该始终有足够的空间用于容纳这些即将放人它的信息。第二,在信息被从一个进程传递到另一个进程和放入接收缓冲区之前,应该检验信息的类型。数据必须被校验。在一些例子中,当大量数据流入或一段非正常格式化的数据从内存中程序的存储缓冲区中溢出时,数据实际上已经覆盖了在系统中运行的其他后台程序的缓冲区。这种灾难性事件的结果可能会引起“shell” (也就是一段内存空间)被留下,黑客非常关注这个shell因为它常常接收了那些黑客想
22、要使用的命令。在基于IP的系统中,这个shell可以被链接到某个端口,因此,就为远程攻击打开了系统通道。然后黑客可以利用这个SHELL执行任意代码,如:打开某端口,改动WEB文档主目录中的文件等等。尽管这项攻击的技术要求非常高,但是一旦执行这项攻击的程序被设计出来却是非常简单的,这种简单性对安全专家提山了一个严峻的挑战。这种程序被散布到各大黑客网站,什么也不懂的人,下载下来可能只要动几下MOUSE或几条简单命令,就能拥有一个INTERNET服务器。注意:特别是C或C+语言最易受此攻击威协。主要因为其工作性质不检查是否存在内存而直接调用系统内存。2001年有关程序员发现WIN2000中的IIS5
23、的溢出BUG可在系统中执行任意代码,虽后WIN2000的世界性网站遭到毁灭性打击。,社交工程和非直接攻击,社交工程是使用计谋和假情报去获得密码和其他敏感信息举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。打电话请求密码 伪造Email.一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。,
24、病 毒,计算机病毒是一种恶意的程序,它被设计用来损害网络设备,包括单机。病毒由两部分组成:激活并传播病毒的应用程序和“有效净荷” (病毒对操作系统或文件所进行的修改操作)。下表描述了在现代系统中存在的各种类型的病毒。,大多数病毒本质上有破坏性,例如,它们删除文件或格式化整个硬盘驱动路。病毒通常不会使身份验证失效。,蠕虫,蠕虫(worm)与病毒很相似但蠕虫可以从系统传播到系统,而无需用户干预。2001年9月18日发布的Nimda是一种感染所有未作补丁的IIS服务器的特别强大的蠕虫病毒。它还传播到基于WINDOWS的共享组件中,因此,这种蠕虫病毒具有很短Z的时间内传播自己遍及公LAN的能力,达种蠕虫病毒之所以能够传播的如此之快是因为它一旦危及了一台web服务器的安全后,它就使用这台服务器传播自己。 所有基于蠕虫病毒的攻击都与Robert Morris Jr.发明的蠕虫病毒具有相同的结构。Robert Morris Jr.是Cornell大学计算机科学系的研究生。他的程序Morris被设计用来论证:Internet容易受到攻击并包含很多安全漏洞 1988年ll月2日,蠕虫病毒被发布在INTERNET上,本章小结,了解黑客常见的几种攻击方式及原理,对网络常见危害有了一定认识。,
