1、第10章 网络攻击,10.1,信息收集,10.2,网络攻击综述,10,拒绝服务攻击,10.3,10.4,网络欺骗,10.5,口令攻击,特洛伊木马,10.6,网络史上第一宗黑客入侵: 1988年,美国康乃尔大学一位叫作Robert-Morris的研究生设计出的一套网络安全性测试程序出了差错,结果包括NASA、美国国家实验室、犹他州立大学等等在内,超过6000台的网络主机遭到破坏而瘫痪。净损失一千多万美元。,2001年是网络安全的大灾年,具有代表性的是2月7日,Yahoo!网站遭受黑客入侵,网络服务被迫停顿近3小时,造成数百万美元损失及恶劣影响。根据美国金融时报2001年报道,平均每20秒就发生一
2、次入侵计算机互联网的事件; 互联网的防火墙,超过1/3被攻破。在643家接受调查的公司中,有42%的公司表示曾因安全问题遭受过财务损失,这些损失包括服务器故障导致的直接收入损失及系统修复费用,共计2.65亿美元,平均每家接近100万美元,而且实际数目恐怕远不止此,不排除有部分公司因担心产生负面影响而未将实情公之于众。,最新的2002年FBI/CSI(计算机安全机构)调查报告指出,90的企业在一年当中曾侦测计算机遭受恶意攻击。调查结果显示,计算机攻击事件正在以每年64%的速度增加。公共企业最易遭受攻击,其中在电力及能源行业有70%的企业深受计算机攻击之苦,比2001年下半年增长了13。而来自美国
3、、德国、韩国、中国、法国、加拿大、意大利、英国、日本等国家的网络攻击占据了全球总量的近80,同2001年下半年相比增长了10。,网络攻击综述,10.1,网络攻击:网络攻击者利用目前网络通信协议(如TCP/IP协议)自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等,通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件,非法进入本地或远程用户主机系统,非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息(如特洛伊木马)等一系列过程的总称。,攻击:试图绕过安全控制的破坏活动。 利用网络当中存
4、在的安全漏洞和缺陷,对系统进行网络攻击。,信息安全受到的威胁,攻击复杂度与所需入侵知识关系图,网络攻击的一般步骤,1.准备阶段 2.实施阶段 3.善后阶段,图 攻击步骤,准备阶段,明确攻击目的破坏型攻击破坏攻击目标,使其不能正常工作。主要手段有拒绝服务攻击和网络炸弹。入侵型攻击.获得一定的权限达到控制目标的目的。这种攻击比破坏型攻击更普遍。,收集信息技术信息操作系统及版本提供的服务服务器程序的类型及版本社会信息服务器所属公司的名称、规模网络管理员的生活习惯、电话号码、名字、生日等,收集方式 手工 工具(扫描器),实施阶段,破坏型攻击 利用工具进行攻击即可。 入侵型攻击 利用收集到的信息,寻找目
5、标系统的漏洞,获取系统权限,最终获取系统的最高权限。 系统漏洞包括系统软件设计的漏洞和安全管理上的漏洞,主要原因是软件设计上存在安全缺陷,例如缓冲区溢出漏洞。 漏洞可以被分为本地漏洞和远程漏洞。,善后阶段,清除入侵痕迹,网络攻击技术趋势,趋势一:自动化程度和攻击速度提高 扫描:目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。 漏洞:以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。 传播:目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。
6、攻击工具的协调管理:随着分布式攻击工具的出现,攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。目前,分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。,趋势二:攻击工具越来越复杂 攻击工具具有三个特点:反侦破,攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;动态行为,自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为;攻击工具的成熟性,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻
7、击工具。 此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议,从入侵者那里向受攻击的计算机发送数据或命令,使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。,趋势三:发现安全漏洞越来越快 新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。,趋势四:防火墙渗透率越来越高 防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙,例如,IPP(Internet打印协议)和WebDAV(基于
8、Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。,趋势五:威胁越来越不对称 Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁的将继续增加。,趋势六:对基础设施将形成的威胁越来越大基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务,基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、
9、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。,信息收集,一方面,信息收集是防范不法黑客攻击行为的手段之一,另一方面也是黑客进行攻击的第一步。,10.2,为什么要信息收集,信息收集技术也是一把双刃剑 黑客在攻击之前需要收集信息,才能实施有效的攻击 管理员用信息收集技术来发现系统的弱点,攻击工具 攻击命令,攻击机制,目标网络,目标系统,攻击者,漏洞扫描 评估 加固,攻击过程,实时 入侵 检测,知己知彼,百战不殆,信息收集过程,信息收集是一个综合过程 从一些社会信息入手 找到网络地址范围 找到关键的机器地址 找到开放端口和入口点 找到系统的制造商和版本 ,社会信息,D
10、NS域名 网络实名 管理人员在新闻组或者论坛上的求助信息也会泄漏信息 网站的网页中 新闻报道 例如:XX公司采用XX系统, 这样的信息可以合法地获取,例:来自网站的公开信息,非网络技术的探查手段,社会工程 通过一些公开的信息,获取支持人员的信任 假冒网管人员,骗取员工的信任(安装木马、修改口令等) 查电话簿、XX手册(指南) 在信息发达的社会中,只要存在,就没有找不到的,是这样吗? 通过搜索引擎可以获取到大量的信息 搜索引擎提供的信息的有效性?,技术手段,目标探测主要利用了以下4种检测技术。1基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。2基于主机的检测技
11、术。它采用被动的、非破坏性的办法对系统进行检测。3基于目标漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库和注册号等。4基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击。,Ping & Traceroute,Ping: Packet InterNet Groper 用来判断远程设备可访问性最常用的方法 原理:发送ICMP Echo消息,然后等待ICMP Reply消息 Traceroute 用来发现实际的路由路径 原理:给目标的一个无效端口发送一系列UDP,其TTL依次增一,中间路由器返回一个ICMP Time Exceeded消息,Ping
12、工具,发送ICMP Echo消息,等待Echo Reply消息 可以确定网络和外部主机的状态 可以用来调试网络的软件和硬件 每秒发送一个包,显示响应的输出,计算网络来回的时间 最后显示统计结果丢包率,关于Ping,Ping有许多命令行参数,可以改变缺省的行为 可以用来发现一台主机是否active 为什么不能ping成功? 没有路由,网关设置? 网卡没有配置正确 增大timeout值 防火墙阻止掉了 “Ping of death” 发送特大ping数据包(65535字节)导致机器崩溃 许多老的操作系统都受影响,traceroute,发送一系列UDP包(缺省大小为38字节),其TTL字段从1开始递
13、增,然后监听来自路径上网关发回来的ICMP Time Exceeded应答消息 UDP包的端口设置为一个不太可能用到的值(缺省为33434),因此,目标会送回一个ICMP Destination Unreachable消息,指示端口不可达,关于traceroute,traceroute有一些命令行参数,可以改变缺省的行为 可以用来发现到一台主机的路径,为勾画出网络拓扑图提供最基本的依据 Windows平台上为“tracert” Traceroute允许指定宽松的源路由选项。 不过,许多防火墙是禁止带源路由的包的,指定源路由示例,网络扫描,网络扫描是入侵者搜集信息的常用手法,通过网络扫描,能够判
14、断出目标主机开放了哪些服务、运行那种操作系统,为下一步入侵做好准备。 扫描器是一种自动检测远程或本地主机安全性的程序。,一个网络扫描器至少应该具备如下三项功能:(1)发现一个主机和网络;(2)发现主机后,扫描它正在运行的操作系统和各项服务;(3)测试这些服务中是否存在漏洞。,扫描器的重要性,扫描器能够暴露网络上潜在的脆弱性 无论扫描器被管理员利用,或者被黑客利用,都有助于加强系统的安全性 它能使得漏洞被及早发现,而漏洞迟早会被发现的 扫描器除了能扫描端口,往往还能够 发现系统存活情况,以及哪些服务在运行 用已知的漏洞测试这些系统 对一批机器进行测试,简单的迭代过程 有进一步的功能,包括操作系统
15、辨识、应用系统识别,常用扫描技术,(1)TCP connect()扫描 这是最基本的TCP扫描,操作系统提供的connect()系统调用,用来与每一个目标计算机的端口进行连接。如果端口处于侦听状态,那么connect( )就能成功。否则,这个端口是不能用的,即没有提供服务。优点:简单,不需要特殊的权限缺点:服务器可以记录下客户的连接行为,如果同一个客户轮流对每一个端口发起连接,则一定是在扫描,(2)TCP SYN扫描 扫描程序发送的一个SYN数据包,当接收到一个SYN|ACK信息时,表示目标端口处于侦听状态。 由于连接没有完全建立,所以称为“半开连接扫描”。优点:很少有系统会记录这样的行为缺点
16、:在UNIX平台上,需要root权限才可以建立这样的SYN数据包,(3)TCP FIN 扫描 这种扫描方法是关闭端口时会用适当的RST来回复FIN数据包,打开端口时会忽略对FIN数据包的回复。FIN 扫描通常适用于Unix目标主机,而对WindowsNT无效,所以这种方法可以用来区分目标主机使用的操作系统。 优点:不是TCP建立连接的过程,所以比较隐蔽 缺点:与SYN扫描类似,需要构造专门的数据包,(4)分片扫描 本身并不是一种新的扫描方法,而是其他扫描技术的变种,特别是SYN扫描和FIN扫描 思想是,把TCP包分成很小的分片,从而让它们能够通过包过滤防火墙 注意:有些防火墙会丢弃太小的包;而
17、有些服务程序在处理这样的包的时候会出现异常,或者性能下降,或者出现错误,防止端口扫描,1.关闭闲置和有潜在危险的端口 2.利用网络防火墙软件,端口扫描工具,Nmap X scan Super Scan Shadow Security Scanner MS06040 Scanner,Nmap探测工具王,功能NMAP是探测网络主机和开放服务的佼佼者。是Linux下使用者的最爱,现在已经有Windows的版本。NMAP支持多种协议的扫描如UDP,TCP connect,TCP SYN, ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep
18、), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。还提供一些实用功能,比如通过tcp/ip来甄别操作系统类型;秘密扫描、动态延迟和重发;欺骗扫描、端口过滤探测、分布扫描等。,-sT TCP Connect()扫描这是对TCP的最基本形式的侦测。对目标主机端口进行试探,如果该端口开放,则连接成功,否则代表这个端口没有开放。 -sS TCP SYN扫描就是我们介绍的半开式的扫描,速度会比connect扫描快。 -sF -sX sNStealth FIN,Xmas Tree 或者Null扫描模式。 -sP Ping扫描对指定的IP发送ICMP,如果对方屏
19、蔽了echo request,nmap还能发送一个TCP ack包到80端口探测。 -sU UDP扫描确定某个UDP端口是否打开。,xscan,选择无条件扫描,才可以突破防火墙屏蔽ping,进行端口扫描。,Superscan速度之王,MS06040Scanner专用的漏洞扫描器,用于检测目标系统是否存在MS06040漏洞。,MS06040Scanner的工作原理是首先是通过端口扫描和操作系统扫描获取操作系统类型和开放的端口,如果是windows2000系统,开放了TCP 139 或者TCP 445端口,并且返回的数据包跟漏洞库里的定义相匹配,则说明该主机可能可能存在MS06040漏洞,我们就可
20、以使用MS06040漏洞利用程序对其进行远程溢出攻击。,拒绝服务攻击,拒绝服务攻击(DoS Denial of Service):目的是使目标主机停止服务或系统崩溃。 原理:目标系统资源的有限性,当对目标资源的请求大大超过系统的处理能力时,就会造成拒绝服务攻击。,10.3,拒绝服务攻击形式,网络连接 带宽资源 其他资源,如磁盘空间、进程数,分布式拒绝服务攻击,拒绝服务攻击采用的是一对一的形式。 缺陷:攻击能力弱;易被发现。 由供给者控制大量的傀儡机统一对攻击目标进行攻击。 优点:隐蔽性强;攻击能力强。,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。,拒绝服务攻击的过程,搜集了解目标情况 占领傀儡机 实施攻击,搜集了解目标情况,攻击目标的主机数量和地址情况 目标主机的配置和性能 目标主机的网络带宽,占领傀儡机,链路状态好的主机 性能好的主机 安全管理水平差的主机,
