網絡攻擊技術高平北京理工大學電子工程系信息對抗技術gaoping@20081參考書目教材《信息系統安全與對抗技術實驗教程》北京理工大學出版發行，羅森林、高平編著。書中的源程序代碼可以下載。該書2005年榮獲兵工高校系統教材一等獎。其他可以到圖書館找相關的教材或網絡上查找資料。2一、網絡攻擊的基本要素1、信息戰在海灣戰爭和最近的伊拉克戰爭中，美國大量采用了信息戰的手段在未來的局部戰爭中，信息戰或信息威懾將成為非常重要的非常規戰手段信息戰的范圍不僅僅局限于軍事領域，關系國家國計民生的行業（如政府、金融等）也會成為信息戰的攻擊目標。32、信息時代威脅的主要要素43、攻擊類別類別攻擊舉例V敵國政府、間諜IV商業間諜III罪犯II惡意用戶、內部人員、普通黑客I用戶誤操作5

4、攻擊動機偷取國家機密；商業競爭行為；內部員工對單位的不滿；對企業核心機密的企望；網絡接入帳號、信用卡號等金錢利益的誘惑；利用攻擊網絡站點而出名；對網絡安全技術的挑戰對網絡的好奇心。65、攻擊一般過程預攻擊內容：獲得域名及IP分布獲得拓撲及OS等獲得端口和服務獲得應用系統情況跟蹤新漏洞發布目的：收集信息，進行進一步攻擊決策攻擊內容：獲得遠程權限進入遠程系統提升本地權限進一步擴展權限進行實質性操作目的：進行攻擊，獲得系統的一定權限后攻擊內容：植入后門木馬刪除日志修補明顯的漏洞進一步滲透擴展目的：消除痕跡，長期維持一定的權限76、攻擊種類預攻擊階段端口掃描漏洞掃描操作系統類型鑒別網絡拓撲分析攻擊階段緩沖區溢出攻擊操作系統漏洞應用服務缺陷腳本程序漏洞攻擊口令攻擊錯誤及弱配置攻擊網絡欺騙與劫持攻擊

后攻擊階段后門木馬痕跡擦除其它攻擊種類拒絕服務攻擊嗅探攻擊惡意網頁攻擊社會工程攻擊8二、網絡攻擊實例分析網絡入侵技術趨勢：目前，網絡入侵技術已經有數百種之多，攻擊者并不需要高深的計算機技術，利用網絡現成的攻擊軟件，按照教科書的步驟就可以時時就能夠發起各種攻擊。

9實例攻擊的環境介紹本例當中的入侵發生在一個局域網中，主機A為入侵者使用的主機，運行Windows2000操作系統，IP地址為2；主機B為被入侵主機，同樣運行Windows2000操作系統，IP地址為00。10入侵過程信息收集

首先，利用掃描軟件SSS（ShadowSecurityScanner）來獲取目標的開放端口信息和漏洞信息11利用漏洞獲得對系統訪問的權力

經過上一步的掃描，入侵者已經掌握了目標主機所存在的漏洞情況。其中，目標主機的賬號密碼使用的是“永不過期”方式，對目標主機Administrator賬號的口令進行蠻力破解。入侵者使用NAT（NetBIOSAuditingTool）這一工具進行口令強行破解。12安裝后門程序這里入侵者選擇安裝NetCat作為后門程序。1314信息竊取、破壞系統、使網絡癱瘓15消除入侵痕跡入侵者為了防止入侵被發現和逃避入侵所帶來的責任，還要消除入侵時留下的各種痕跡，如圖所示。16三掃描器簡介掃描器是一種通過收集系統的信息來自動監測遠程或本地主機安全性弱點的程序，通過使用掃描器，可以發現遠程服務器的各種TCP端口的分配及提供的服務和他們的軟件版本。這就能讓黑客或管理員間接的或直觀的了解到遠程主機所存在的安全問題。17掃描器通過選用遠程TCP/IP不同端口的服務，并紀錄目標給與的回答，可以搜集到很多關于目標主機的各種有用的信息。特別強調的是：掃描器僅能幫助黑客發現目標機的某些內在的弱點，幫助攻擊者查找目標主機的漏洞。它是網絡攻擊的第一步。183-1常規掃描器技術1、常規掃描技術調用connect函數直接連接被掃描端口；無須任何特殊權限；速度較慢，易被記錄；2、高級掃描技術利用探測數據包的返回信息（例如RST）來進行間接掃描；較為隱蔽，不易被日志記錄或防火墻發現。193-2掃描器類型1、ping掃描器用法：ping+目標IP地址，通過是否收到對方的ICMPechoreply，來識別目標主機或系統是否處于活動狀態，如果對方防火墻將ICMP包給屏蔽掉，導致其失效，可以采用ICMPechoSweep方法，發送一個畸形數據包，迫使對方回答一個ICMP錯誤數據包，判斷目標主機是否在線。202、操作系統掃描技術主要探測對方運行的操作系統，方法如下：獲取標識信息，通過二進制文件的收集和分析實現。ICMP相應分析，通過發送UDP或ICMP的請求報文，然后分析各種ICMP應答來判斷目標主機操作系統。21TCP分段相應分析，依靠不同操作系統對特定分段的不同反應來區分，如利用TCP和UDP請求發送到遠程目標主機的開放端口，通過接收分析遠程主機相應的有用信息，在較短的時延中得到對方的類型及版本。223、端口掃描器建立在端口掃描基礎之上，支持TCP/IP協議的主機和設備通過開放端口來提供相應服務，其安全漏洞往往通過端口暴露出來。4、漏洞掃描器也是建立在端口掃描基礎之上，針對某一網絡服務，也就是某一特定的端口，其方法如下：23基于漏洞庫的匹配檢測方法：其關鍵在于所使用的漏洞庫，程序設計者對網絡漏洞的分析，設置一套標準的網絡系統漏洞庫，然后在此基礎上構成相應的匹配規則，由掃描器自動進行漏洞掃描共作。基于插件檢測方法：插件用腳本編寫，掃描器可以通過它來執行漏洞掃描。24基本信息探測子模塊（是否在線、IP地址、操作系統）參數設置模塊端口掃描子模塊（端口、服務）FTP弱勢密碼探測子模塊OpenRelay郵件轉發漏洞探測子模塊UnicOde遍歷目錄漏洞探測子模塊POP漏洞掃描子模塊FTP漏洞掃描子模塊SSH漏洞掃描子模塊HTTP漏洞掃描子模塊SMTP漏洞掃描子模塊IMAP漏洞掃描子模塊后門掃描子模塊其它掃描子模塊CGI漏洞掃描子模塊漏洞庫掃描信息分析/漏洞匹配子模塊掃描結果記錄模塊網絡掃描入侵掃描253-3實驗三：端口掃描器設計

（參照教材P169）方法：利用流式套接字完成設計任務1、初始化套接字；2、建立TCP套接字socket;3、建立要連接對方的地址結構體；4、循環，利用connect()函數進行連接；5、如果某端口可以響應，說明開放；6、如果某端口不可以響應，說明關閉7、顯示端口信息；8、關閉套接字，退出。26

Y

建立套接字

設置端口號

用connect與指

定IP地址連接

與端口請求連接

是否連接?

顯示端口開啟

顯示端口關閉

取下一個端口

N

27//加載頭文件和必須的庫文件#include"stdafx.h"#include<stdio.h>#include<string.h>#include<winsock.h>#pragmacomment(lib,"ws2_32.lib")28intmain(intargc,char*argv[]){intsocketid,pcount=0;structsockaddr_inmy_addr;//網絡地址結構體WSADATAwsa;//WSADATA對象WORDSocketVer=MAKEWORD(1,1);if(SocketVer<0){printf("\nSocketVerError!");return-1;}29//初始化Socket和計數器，及判斷Socket版本if(argc<3)//幫助菜單{printf(“Usage:%s[Host][MaxPort]\n”,argv[0]);return-1;}if(WSAStartup(SocketVer,&wsa)){//初始化套接字printf("WinsocketInitilalizationFailed!\n");return-1;}30//判斷參數和初始化Winsocketfor(inti=1;i<atoi(argv[2]);i++){if((socketid=socket(AF_INET,SOCK_STREAM,0))==INVALID_SOCKET){//建立流式套接字printf("CreateSocketerror\n");return-1;}31my_addr.sin_family=AF_INET;//網絡協議my_addr.sin_port=htons(i);//要掃描的端口my_addr.sin_addr.s_addr=inet_addr(argv[1]);if(connect(socketid,(structsockaddr*)&my_addr,sizeof(structsockaddr))==SOCKET_ERROR)closesocket(socketid);//連接else{pcount++;printf(“FindPortis%d\n”,i);//打開的端口}32//設置端口和進行連接}printf("%dPortsOpenonHost-%s\n",pcount,argv[1]);closesocket(socketid);//關閉套接字WSACleanup();return0;}3334實驗五：嗅探器程序設計

（參照教材P180）基礎類要求：掌握常見嗅探器軟件的使用方法，如：NetXRay、Sniffer、SnifferPro等軟件，分析所獲得的數據，通過信息來找到攻擊的缺口與路徑或從獲取的數據來分析計算機網絡的漏洞，找出加固系統的方案。提高類要求：利用C++設計簡單的嗅探器。35嗅探器（sniffer）可以完成協議分析、捕獲網絡數據包進行網絡流量分析外，確定計算機的源IP地址和目標IP地址、報文發送時間、報文發送間隔；還可以發現網絡潛在的問題，獲取用戶口令、機密或敏感數據，所以說網絡嗅探器無論是在網絡安全還是在黑客攻擊方面均扮演了很重要的角色。4-1嗅探器概念36374-2數據包結構分析由于這些數據經過了網絡層和傳輸層的打包，因此需要根據其附加的幀頭對數據包進行分析。38IP數據包格式一個IP數據報由首部和數據兩部分組成。首部的前一部分是固定長度，共20字節，是所有IP數據報必須具有的。在首部的固定部分的后面是一些可選字段，其長度是可變的。3940版本：占4bit，指IP協議的版本，版本號為4。首部長度：占4bit，因此IP的首部長度的最大值是60字節。服務類型：占8bit，獲得更好的服務，一直沒有使用。總長度：占16bit，指首部和數據之和的長度，單位為字節，因此數據報的最大長度為65535字節。總長度必須不超過最大傳送單元MTU。標識(identification)：占16bit，它是一個計數器，用來產生數據報的標識。41生存時間：(8bit)記為TTL(TimeToLive)，數據報在網絡中的壽命，其單位為秒。協議：(8bit)字段指出此數據報攜帶的數據使用何種協議以便目的主機的IP層將數據部分上交給哪個處理過程。首部檢驗和：(16bit)字段只檢驗數據報的首部，不包括數據部分。這里不采用CRC檢驗碼而采用簡單的計算方法。4243TCP協議格式源端口和目的端口字段：各占2字節。端口是運輸層與應用層的服務接口。序號字段：占4字節。TCP連接中傳送的數據流中的每一個字節都編上一個序號。序號字段的值則指的是本報文段所發送的數據的第一個字節的序號。確認號字段：占4字節，是期望收到對方的下一個報文段的數據的第一個字節的序號。44454-3嗅探器程序設計46利用底層協議套接字設計，步驟如下：1、首先手工將網卡設置為混雜模式：2、定義IP和TCP數據包頭結構;3、定義socket結構和IP、TCP結構變量；4、socket,建立SOCK_RAW底層套接字；5、循環，recv()接收網絡數據；6、顯示信息；7、關閉套接字。4748定義頭函數#include<stdio.h>#include<string.h>#include<Winsock2.h>#include"mstcpip.h"#pragmacomment(lib,"ws2_32.lib")#defineMAX_PACK_LEN65535//數據緩沖區長度

49structiphdr//定義IP數據包頭信息{unsignedcharh_lenver;//4位首部長度+4位IP版本號unsignedchartos;//8位服務類型TOSunsignedinttotal_len;//16位總長度（字節）unsignedshortident;//16位標識unsignedshortfrag_and_flags;//3位標志位unsignedcharttl;//8位生存時間TTLunsignedcharproto;//8位協議(TCP,UDP或其他unsignedshortchecksum;//16位IP首部校驗和unsignedintsourceIP;//32位源IP地址unsignedintdestIP;//32位目的IP地址};50structtcphdr//定義TCP首部{unsignedcharth_sport;//16位源端口unsignedcharth_dport;//16位目的端口unsignedintth_seq;unsignedintth_ack;unsignedcharth_lenres;

//4位首部長度/6位保留字unsignedinttcp_resl:4,tcp_hlen:4,tcp_fin:1,tcp_syn:1,tcp_rst:1,tcp_psh:1,tcp_ack:1,tcp_urg:1,tcp_res:2;51unsignedshortth_win;//16位窗口大小unsignedshortth_sum;//16位校驗和unsignedshortth_urp;//16位緊急數據偏移量};52intmain(){intiErrorCode;//出錯變量charRecvBuf[MAX_PACK_LEN]={0};structiphdr*iphdr;//IP頭指針structtcphdr*tcphdr;//TCP頭指針SOCKETSockRaw;//套接字變量intbytes_recieved;//接收信息變量WSADATAwsaData;//WSADATA對象iErrorCode=WSAStartup(MAKEWORD(2,1),&wsaData);//初始化SOCKET53SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);//建立底層套接字SOCKADDR_INsa;//套接字結構地址對象sasa.sin_family=AF_INET;//連接協議sa.sin_port=htons(6000);//端口6000iErrorCode=bind(SockRaw,(PSOCKADDR)&sa,sizeof(sa));//將SockRaw與SOCKADDR_IN綁定DWORDdwBufferLen[10];DWORDdwBufferInLen=1;DWORDdwBytesReturned=0;54iErrorCode=WSAIoctl(SockRaw,SIO_RCVALL,&dwBufferInLen,sizeof(dwBufferInLen),&dwBufferLen,sizeof(dwBufferLen),&dwBytesReturned,NULL,NULL);//偵聽IP報文while(1){memset(RecvBuf,0,sizeof(RecvBuf));bytes_recieved=recv(SockRaw,RecvBuf,sizeof(RecvBuf),0);//接收printf("\nreceived::%5d\n",bytes_recieved);55printf("sourceaddress::%s\n",inet_ntoa(sa.sin_addr));iphdr=(structiphdr*)RecvBuf;printf("IPheaderlength::%d\n",iphdr->total_len);printf("Protocol::%d\n",iphdr->proto);tcphdr=(structtcphdr*)(RecvBuf+(4*iphdr->total_len));printf("Sourceport::%d\n",ntohs(tcphdr->th_sport));printf("Destport::%d\n",ntohs(tcphdr->th_dport));}return1;}5657五拒絕服務攻擊基礎類要求：掌握常見拒絕服務軟件的使用方法，如：UDPFlooder、DDoSPing等軟件，分析如何有效地實施攻擊，達到消耗網絡帶寬或系統資源，導致系統癱瘓，并同時找出解決和防護的辦法與加固系統的方案。提高類要求：利用C++設計簡單的Synflood程序。58DoS(DenialofService)攻擊的中文含義是拒絕服務攻擊。DDoS(DistributedDenialofService)攻擊的中文含義是分布式拒絕服務攻擊。5-1DoSDDoS概念595-2DoS與DDoS攻擊設計思想發送大量的無用請求，致使目標網絡系統整體的網絡性能大大降低，喪失與外界通信的能力。利用網絡服務以及網絡協議的某些特性，發送超出目標主機處理能力的服務請求，導致目標主機喪失對其他正常服務請求的相應能力。利用系統或應用軟件上的漏洞或缺陷，發送經過特殊構造的數據包，導致目標的癱瘓（稱之為nuke)。605-3拒絕服務攻擊類型1、Synflood:該攻擊以多個隨機的源主機地址向目的主機發送SYN包，而在收到目的主機的SYNACK后并不回應，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。612、Smurf：該攻擊向一個子網的廣播地址發一個帶有特定請求(如ICMP回應請求)的包，并且將源地址偽裝成想要攻擊的主機地址。子網上所有主機都回應廣播包請求而向被攻擊主機發包，使該主機受到攻擊。623、Land-based：攻擊者將一個包的源地址和目的地址都設置為目標主機的地址，然后將該包通過IP欺騙的方式發送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環，從而很大程度地降低了系統性能。634、PingofDeath：根據TCP/IP的規范，一個包的長度最大為65536字節。盡管一個包的長度不能超過65536字節，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于65536字節的包時，就是受到了PingofDeath攻擊，該攻擊會造成主機的宕機。645、Teardrop：IP數據包在網絡傳遞時，數據包可以分成更小的片段。攻擊者可以通過發送兩段(或者更多)數據包來實現TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數據段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統資源的缺乏甚至機器的重新啟動。656、PingSweep：使用ICMPEcho輪詢多個主機。7、Pingflood:該攻擊在短時間內向目的主機發送大量ping包，造成網絡堵塞或主機資源耗盡。665-4實驗三：SYNflood攻擊設計正是利用了TCP連接的這樣一個漏洞來實現的，當惡意的用戶端構造出大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內存不足）的攻擊方式。問題就出在TCP連接的三次握手中，假設一個用戶向服務器發送了SYN報文后突然死機或掉線，那么服務器在發出SYN+ACK應答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成）。67正常情況下用三次握手建立TCP連接

68SYNflood攻擊狀態69Synflood惡意地不完成3次握手，這種情況下，服務器一般會重試（再次發送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度稱SYNTimeout，一般來說，這個時間是分鐘的數量級（大約30秒-2分鐘），一個用戶發送這樣的請求并不是大問題，但是如果有大量的模擬這樣的情況，服務器就要花很大的開銷來維護這些半連接，即使是簡單的保存并遍歷也會消耗非常多的cpu時間和內存，如果服務器的tcp/ip堆棧不夠大，往往會發生堆棧溢出崩潰。707172源程序參照實驗教材P218。要求：1、編寫完整的洪水攻擊程序，運行正確；2、對程序進行分析和注解；3、加流程圖73六特洛伊木馬攻擊基礎類要求：掌握常見特洛伊馬軟件的使用方法，如：BO2K、廣外女生、網絡神偷、網絡公牛、冰河等軟件，分析如何使用程序有效地實施攻擊，達到控制對方的系統，獲取對方的資源。并同時找出解決和防護的辦法與加固系統的方案。提高類要求：利用C++設計簡單的木馬程序。74希臘人攻打特洛伊城十年，始終未獲成功，后來建造了一個大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當作是獻給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應外合毀滅了特洛伊城。后來我們把進入敵人內部攻破防線的手段叫做木馬計，木馬計中使用的里應外合的工具叫做特洛伊木馬。6-1木馬概念75遠程控制實際上是包含有服務器端和客戶端的一套程序服務器端程序駐留在目標計算機里，隨著系統啟動而自行啟動。此外，使用傳統技術的程序會在某端口進行監聽，若接收到數據就對其進行識別，然后按照識別后的命令在目標計算機上執行一些操作（比如竊取口令，拷貝或刪除文件，或重啟計算機等）。6-2木馬原理76攻擊者一般在入侵成功后，將服務端程序拷貝到目標計算機中，并設法使其運行，從而留下后門。日后，攻擊者就能夠通過運行客戶端程序，來對目標計算機進行操作。77786-3木馬程序的分類木馬程序技術發展至今，已經經歷了4代，第一代，即是簡單的密碼竊取，發送等，沒有什么特別之處。第二代木馬，在技術上有了很大的進步，冰河可以說為是國內木馬的典型代表之一。第三代木馬在數據傳遞技術上，又做了不小的改進，出現了ICMP等類型的木馬，利用畸形報文傳遞數據，增加了查殺的難度。第四代木馬在進程隱藏方面，做了大的改動，采用了內核插入式的嵌入方式，利用遠程插入線程技術，嵌入DLL線程。或者掛接PSAPI,實現木馬程序的隱藏，甚至在WindowsXP/2003下，都達到了良好的隱藏效果。796-4木馬程序的隱藏技術

木馬程序的服務器端，為了避免被發現，多數都要進行隱藏處理。主要隱藏木馬的服務器端，可以偽隱藏，也可以是真隱藏。偽隱藏，就是指程序的進程仍然存在，只不過是讓他消失在進程列表里。真隱藏則是讓程序徹底的消失，不以一個進程或者服務的方式工作。806-5后門技術后門是一種可以繞過安全性控制而獲得對程序或系統訪問權的隱蔽程序或方法。利用來建立隱蔽通道，甚至植入隱蔽的惡意程序，達到非法訪問或竊取、篡改、偽造、破壞數據等目的。現在后門多指系統被入侵后被安裝的具有控制系統權限的程序，通過它黑客可以遠程控制系統。81后門是將目標電腦作為服務器，通過網絡Telnet命令連接后門端口，在服務端開創一個并得到cmd.exe進程，將攻擊方的輸入輸出和cmd.exe的輸入輸出聯系到一起，建立遠程shell，實現對其控制與攻擊。主要完成如下工作：1.開創cmd.exe進程；2.把cmd.exe進程與客戶端的輸入聯系起來。826-6木馬的自動啟動模塊分析Windows在啟動時，會自動執行系統盤符下的“DocumentsandSettings\<用戶名字>\[開始]菜單\程序\啟動”中的文件，其中<用戶名字>是當前要登錄的用戶帳戶名稱，這里為當前用戶專用的啟動文件夾，許多應用軟件自動啟動的常用位置。836-7建立秘密帳號功能模塊WinExec（）執行外部程序。UINTWinExec(LPCSTRlpCmdLine,UINTuCmdShow)參數說明：lpCmdLine：字符串中包含將要執行的應用程序的命令行（文件名加上可選參數）。uCmdShow：定義Windows應用程序的窗口顯示方式，如：通常，將其設置為SW_SHOW；但木馬操作為了隱藏窗口，應設置為SW_HIDE。84WinExec("netuserxxdkgao/add",SW_HIDE);用WinExec（）函數執行netuserxxdkgao/add網絡命令，其功能建立秘密帳號“xxdk”密碼為“gao”，窗體為SW_HIDE隱藏形式。netuser