攻擊與應急響應Contents網絡監聽拒絕服務攻擊攻擊與應急響應（二）特洛伊木馬典型的木馬攻擊D員工通過瀏覽器漏洞被植入木馬程序，開始向其客戶發送病毒電子郵件。木馬被一個一個的拆開通過網絡發送IDS得到木馬片斷，由于數據片斷不完整，沒有發現任何攻擊特征。到達防火墻后，因為使用25端口的郵件完全符合通過規則，所以數據被成功的發送到了外部。病毒被感染到外部網絡。員工D因為瀏覽的非法網站，電腦被植入木馬，不斷的向他的聯系人發送攜帶病毒的計算機郵件。10.4特洛伊木馬特洛伊木馬是指黑客用來遠程控制目標計算機的特殊程序。凡是非法駐留在目標計算機里，并執行預定的操作，竊取目標的私有信息，都屬于特洛伊木馬。工作方式：C/S模式；服務器端安裝在目標機里，監聽等待攻擊者發出的指令；客戶端是用來控制目標機器的部分，放在攻擊者機器上。木馬“PasswdSender”(口令郵差)可以不需要客戶端。10.4特洛伊木馬木馬的偽裝冒充圖象文件或游戲程序捆綁程序欺騙將木馬程序與正常文件捆綁為一個程序偽裝成應用程序擴展組件木馬名字為dll或ocx類型文件，掛在一個有名的軟件中。后兩種方式的欺騙性更大。10.4特洛伊木馬木馬的特點

隱蔽性強

早期的木馬按“Ctrl＋Alt＋Del”能顯露出來,但現在大多數木馬只能采用內存工具來看內存中是否存在木馬。潛伏能力強表面上的木馬被發現并刪除以后,后備的木馬在一定的條件下會跳出來。非授權性一旦控制端和服務端連接后，控制端將享有服務端的大部分操作權限，包括竊取口令、拷貝或刪除文件、修改注冊表、控制鼠標、鍵盤、重新啟動計算機等。舉例：Glacier(冰河)有兩個服務器程序，掛在注冊表的啟動組中的是C:\Windows\System\Kernel32.exe，表面上的木馬;另一個是C:\Windows\System\Sysexplr.exe,也在注冊表中，它修改文本文件的關聯,當點擊文本文件的時候，會檢查Kernel32.exe是不是存在。當Kernel32.exe被刪除以后,如果點擊了文本文件,那么這個文本文件照樣運行,而Sysexplr.exe被啟動了。Sysexplr.exe會再生成一個Kernel32.exe。木馬服務器存放位置及文件名（1）木馬的服務器程序文件一般位置是在c:\windows和c:\windows\system——原因：windows的一些系統文件在這兩個位置。（2）木馬的文件名總是盡量和windows的系統文件接近。如木馬SubSeven1.7版本的服務器文件名是c:\windows\KERNEL16.DL,而windows有一個系統文件是c:\windows\KERNEL32.DLL,刪除KERNEL32.DLL會讓機器癱瘓。木馬SubSeven1.5版本服務器文件名是c:\windows\window.exe,少一個s10.4特洛伊木馬（2）使用ICMP協議進行數據的發送ICMP報文是由系統內核或進程直接處理而不是通過端口，修改ICMP頭的構造，加入木馬的控制字段，木馬將自己偽裝成一個Ping的進程，系統會將ICMP_ECHOREPLY（Ping回包）的監聽、處理權交給木馬進程，一旦事先約定好的ICMP_ECHOREPLY包出現，木馬就會接受、分析并從報文中解碼出命令和數據。（4）使用基于嗅探原理的原始套接字木馬基本實現：服務器端是一個發包器和嗅探器，將捕獲指定特征的數據包。客戶端發送指定特征的數據包并包括定義的命令以及接收Server的數據。當Server捕獲到該指定特征的數據包時，變成激活狀態，通過分析該數據包，獲得Client發送的命令和Client的IP地址，實現相應的命令，并將執行后的結果發送回Client，Client的嗅探部分則接收相應的數據。如何對付木馬1.使用殺毒軟件；2.提高防范意識,不打開陌生人信中的附件，不隨意下載軟件；3.仔細閱讀readme.txt；4.在刪除木馬之前,需要備份注冊表,備份你認為是木馬的文件。10.4特洛伊木馬如何對付木馬1）端口掃描2）查看連接：netstat–a命令上述兩種方法對驅動程序/動態鏈接木馬無效。3）檢查注冊表4）查找木馬文件：如kernel32.exe，sysexplr.exe等5）文件完整性檢查：開始程序附件系統工具系統信息工具系統文件檢查器。如有損壞可從安裝盤還原。10.4特洛伊木馬10.5網絡監聽1、嗅探器Sniffer

（1）網絡監聽工具（又稱嗅探器Sniffer）是供管理員監視網絡的狀態、數據流動情況以及網絡上傳輸的信息。（2）網絡監聽可以在網上的任何一個位置實施，如局域網中的一臺主機、網關上或遠程網的調制解調器之間等。（3）Sniffer可以是硬件或軟件，用來接收在網絡上傳輸的信息（硬件Sniffer通常稱為協議分析儀）。網絡可以是運行在各種協議之下的。（4）放置Sniffer的目的是使網絡接口處于廣播狀態（或叫混雜模式promiscuousmode），從而可截獲網絡上的內容。2、網絡監聽的原理（1）廣播：網絡上所有的工作站都在傾聽所有傳輸的信息。（2）非廣播狀態：工作站僅僅傾聽那些發給它自己的信息的狀態。（3）攻破網關、路由器、防火墻的情況極為少見，安全管理員安裝一些網絡監控設備，運行專門的監聽軟件，并防止任何非法訪問。然而，一個黑客可能潛入一臺不引人注意的計算機中，悄悄地運行一個監聽程序。（4）Sniffer就是這樣的硬件或軟件，能夠"聽"到在網上傳輸的所有的信息。10.5網絡監聽

3、Sniffer的危害與預防Sniffer

危害：能截獲口令或機密信息；能攻擊相鄰的網絡。Sniffer的預防：使用加密傳輸敏感數據。使用安全拓撲結構。一個網段僅由互相信任的計算機組成：每臺機器通過硬連接線接到Hub，Hub再接到交換機上。10.5網絡監聽4、檢測網絡監聽的方法（1）反應時間向可疑網絡發送大量物理地址不存在的包，處于監聽模式的機器回應時間延遲。（2）觀測DNS監聽軟件往往會嘗試進行反向地址解析，查看DNS上是否地址解析請求明顯增多。（3）利用Ping模式監測混雜模式的主機對錯誤地址的ICMP包會有回應。（4）利用arp數據包監測向局域網內的主機發送非廣播式的arp包來檢測。10.5網絡監聽10.6拒絕服務攻擊一、什么是拒絕服務的攻擊1、拒絕服務（1）拒絕服務：網絡信息系統由于某種原因不能為授權用戶提供正常服務。（2）拒絕服務的攻擊是指一個用戶占據了大量的共享資源，使系統沒有剩余的資源給其他用戶可用的一種攻擊方式。（3）拒絕服務的攻擊降低了資源的可用性，這些資源可以是處理器、磁盤空間、CPU使用的時間、打印機、調制解調器，甚至是系統管理員的時間，攻擊的結果是減少或失去服務。2、拒絕服務來源的原因：（1）資源毀壞（2）資源耗盡和資源過載（3）配置錯誤（4）軟件弱點10.6拒絕服務攻擊2）SYNFlooding攻擊

對WindowsNT攻擊很有效利用IP欺騙技術。例：WindowsNT3.5和4.0中缺省設置為可重復發送SYN－ACK答復5次。要等待3+6+12+24+48+96=189秒之后，才釋放資源。10.6拒絕服務攻擊SYN-Flooding攻擊示意圖3)Land攻擊特別打造一個SYN包，其源地址和目標地址都被設置成某一個服務器地址；導致接收服務器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息并創建一個空連接；每一個這樣的連接都將保留直到超時；許多UNIX將崩潰，NT變的極其緩慢（大約持續五分鐘）。10.6拒絕服務攻擊Smurf攻擊示意圖

5）Fraggle攻擊Fraggle攻擊與Smurf攻擊類似，但它使用的不是ICMP，而是UDPEcho。防范：在防火墻上過濾UDP應答消息10.6拒絕服務攻擊6）炸彈攻擊基本原理是利用工具軟件，集中在一段時間內，向目標機發送大量垃圾信息，或是發送超出系統接收范圍的信息，使對方出現負載過重、網絡堵塞等狀況，從而造成目標的系統崩潰及拒絕服務。常見的炸彈攻擊有郵件炸彈、聊天室炸彈等。防御：對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息。10.6拒絕服務攻擊二、拒絕服務攻擊的類型1）破壞或者毀壞資源，使得無人可以使用這個資源。如：刪除文件、格式化磁盤或切斷電源。2）有意或無意地過載一些系統服務或者消耗盡資源。例如：填滿一個磁盤分區，讓用戶和系統程序無法再生成新的文件。3）用戶犯的錯誤或者程序失控也可導致拒絕服務攻擊。10.6拒絕服務攻擊三、針對網絡的拒絕服務攻擊1、服務過載當大量的服務請求發向一臺計算機中的服務守護進程時，就會發生服務過載。計算機忙碌地處理不斷到來的服務請求，以至于無法處理常規的任務。同時，許多新到來的請求被丟棄。如果攻擊的是一個基于TCP協議的服務，那么這些請求的包還會被重發，結果更加重了網絡的負擔。10.6拒絕服務攻擊2、"粘住"攻擊可以使用TCP的半連接耗盡資源。如果攻擊者發出多個連接請求。初步建立了連接，但又沒有完成其后的連接步驟，接收者便會保留許多這種半連接，占據有限的資源。通常這些連接請求使用的是偽造的源地址表明連接來自于一臺不存在的主機或者一臺無法訪問的主機。10.6拒絕服務攻擊四、分布式拒絕服務攻擊DDOS10.6拒絕服務攻擊DDOS是攻擊者控制一些數量的PC機或路由器，用這些PC機或路由器發動DOS攻擊。五、用工具軟件實現DDos攻擊攻擊的流向是這樣的'攻擊者--master---分布端---目標主機。從分布端向受害者目標主機發送的DDos都是UDP報文，每一個包含4個空字符，這些報文都從一個端口發出，但隨機襲擊目標主機上的不同端口。目標主機對每一個報文回復一個ICMPPortUnreachable的信息，大量不同主機發來的這些洪水般的報文源源不斷目標主機將很快慢下來，直至剩余帶寬變為0。10.6拒