安全培訓(xùn)-網(wǎng)絡(luò)攻擊

1、網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)入侵的步驟w (簡(jiǎn)單服務(wù)失效攻擊)w 獲取目標(biāo)系統(tǒng)信息w 從遠(yuǎn)程獲取系統(tǒng)的部分權(quán)利w 從遠(yuǎn)程獲取系統(tǒng)的特權(quán)w 清除痕跡w 留后門w 破壞系統(tǒng)常見(jiàn)網(wǎng)絡(luò)攻擊DoS常見(jiàn)網(wǎng)絡(luò)攻擊 DoSw 消耗有限資源網(wǎng)絡(luò)鏈接帶寬消耗其他資源 處理時(shí)間 磁盤空間 賬號(hào)封鎖w 配置信息的改變DoS分類w Syn floodw 其他flood（smurf等）w 分布式DoS(DDoS)Syn flood 攻擊原理w 攻擊TCP協(xié)議的實(shí)現(xiàn)攻擊者不完成TCP的三次握手服務(wù)器顯示TCP半開(kāi)狀態(tài)的數(shù)目w 與帶寬無(wú)關(guān)w 通常使用假冒的源地址給追查帶來(lái)很大的困難TCP Three-Way HandshakeSYNClie

2、nt wishes to establish connectionSYN-ACKServer agrees to connection requestACKClient finishes handshakeClient initiates requestConnection is now half-openClient connection EstablishedServer connection EstablishedClient connecting to a TCP portSYN Flood IllustratedClient spoofs requesthalf-openShalf-

3、openShalf-openSQueue filledSQueue filledSQueue filledSSASASAClient SYN FloodSyn flood攻擊實(shí)例w 服務(wù)器很容易遭到該種攻擊w 教育網(wǎng)內(nèi)某著名站點(diǎn)曾遭受該攻擊的困擾SYN Flood Protectionw Cisco routersTCP 截取 截取SYN報(bào)文，轉(zhuǎn)發(fā)到server 建鏈成功后在恢復(fù)client與server的聯(lián)系w Checkpoint Firewall-1SYN Defender 與Cisco 路由器的工作原理累死w 攻擊者依然可以成功耗盡路由器或者防火墻的資源TCP Intercept Il

4、lustratedRequest connectionAnswers for serverSSAFinishes handshakeARequest connectionServer answersSSAFinishes handshakeAKnit half connectionsSYN Flood Preventionw 增加監(jiān)聽(tīng)隊(duì)列長(zhǎng)度依賴與操作系統(tǒng)的實(shí)現(xiàn)w 將超時(shí)設(shè)短半開(kāi)鏈接能快速被淘汰有可能影響正常使用w 采用對(duì)該攻擊不敏感的操作系統(tǒng)BSDWindowsSmurf 攻擊原理w 一些操作系統(tǒng)的實(shí)現(xiàn)會(huì)對(duì)目的地址是本地網(wǎng)絡(luò)地址的ICMP應(yīng)答請(qǐng)求報(bào)文作出答復(fù)。w 以網(wǎng)絡(luò)地址為目標(biāo)地址發(fā)送IC

5、MO應(yīng)答請(qǐng)求報(bào)文，其中很多主機(jī)會(huì)作出應(yīng)答。w 攻擊者將ICMP報(bào)文源地址填成受害主機(jī)，那么應(yīng)答報(bào)文會(huì)到達(dá)受害主機(jī)處，造成網(wǎng)絡(luò)擁塞。Smurf Attack IllustratedICMP Echo RequestSrc: targetDest: 10.255.255.25510.1.1.1Attacker spoofs address10.1.1.210.1.1.310.1.1.4Amplifier:Every host repliesSmurf攻擊的預(yù)防w 關(guān)閉外部路由器或防火墻的廣播地址特性；防止目標(biāo)地址為廣播地址的ICMP報(bào)文穿入。w 成為smurf攻擊的目標(biāo)，需要在上級(jí)網(wǎng)絡(luò)設(shè)備上做報(bào)文

6、過(guò)濾。分布式DoS(Distributed DOS)w 從多個(gè)源點(diǎn)發(fā)起攻擊堵塞一個(gè)源點(diǎn)不影響攻擊的發(fā)生w 采用攻擊二級(jí)結(jié)構(gòu)攻擊控制用的稱為 handlers發(fā)起攻擊用的 agents攻擊目標(biāo)為targetsDDOS IllustratedClientAgentHandlerAgentAgentHandlerAgentAgentAgentDDoS攻擊w 目前沒(méi)有 很好的預(yù)防方法w DDoS攻擊開(kāi)銷巨大w 但是一般主機(jī)不可能成為DDoS的目標(biāo)Yahoo曾經(jīng)遭受過(guò)DDoS攻擊Sadmind/unicode蠕蟲(chóng)為DDoS做準(zhǔn)備針對(duì)主機(jī)的攻擊w 緩沖區(qū)溢出w 后門和木馬w 蠕蟲(chóng)、病毒緩沖區(qū)溢出w 程序收

7、到的參數(shù)比預(yù)計(jì)的長(zhǎng)程序的棧結(jié)構(gòu)產(chǎn)生混亂w 任意輸入會(huì)導(dǎo)致服務(wù)器不能正常工作w 精心設(shè)計(jì)的輸入會(huì)導(dǎo)致服務(wù)器程序執(zhí)行任意指令Buffer Overflow Illustratedmain() show (“THIS IS MORE THAN 24 CHARACTERS!”);show(char*p) strbuff24; strcpy(strbuf,p);Stackmain() datamain() returnSaved registerShow() dataStrbuf24 bytesstrcpy() returnE R S ! T H I S. I S . M O R E. T H AN .

8、 2 4. C H AR A C T Return address corrupt緩沖區(qū)溢出的預(yù)防w 聯(lián)系供應(yīng)商下載和安裝相關(guān)的補(bǔ)丁程序w 如果有源代碼自己修改源代碼，編譯安裝后門和木馬w 應(yīng)用背景：攻入系統(tǒng)之后，為以后方便、隱蔽的進(jìn)入系統(tǒng)，有時(shí)候攻擊者會(huì)在系統(tǒng)預(yù)留后門。w Trojan horse: A program that appears to serve one purpose, but it reality performs an unrelated (and often malicious) task.What is back door?w Back door: hole in

9、the security of a system deliberately left in place by designers or maintainersn 應(yīng)用背景：攻入系統(tǒng)之后，為以后方便、隱蔽的進(jìn)入系統(tǒng)，有時(shí)候攻擊者會(huì)在系統(tǒng)預(yù)留后門。常用后門技術(shù)獲得系統(tǒng)控制權(quán)之后，可以做什么？w 修改系統(tǒng)配置w 修改文件系統(tǒng)w 添加系統(tǒng)服務(wù)后門技術(shù)通常采用以上的手段或其組合。后門技術(shù)w 后門一般是在進(jìn)入系統(tǒng)之后，為方便以后控制系統(tǒng)而做的對(duì)系統(tǒng)的修改。w 通過(guò)改動(dòng)系統(tǒng)配置、修改文件系統(tǒng)、啟動(dòng)系統(tǒng)服務(wù)達(dá)到留后門的效果w 后門通常具有一定的隱蔽性后門隱藏技術(shù)后門技術(shù)(UNIX)w 嵌入內(nèi)核w 修改系統(tǒng)配置

10、w 啟動(dòng)服務(wù)Rc.dCroninetd后門技術(shù)(Windows)w 注冊(cè)表HKEY_LOCAL_MACHINE.RunHKEY_LOCAL_MACHINE.RunServicesw *.INI文件（系統(tǒng)啟動(dòng)配置文件）w Autoexec.bat和Config.sysw 系統(tǒng)boot區(qū)后門、木馬的檢測(cè)和預(yù)防w MD5 基線給干凈系統(tǒng)文件做MD5校驗(yàn)定時(shí)做當(dāng)前系統(tǒng)的MD5校驗(yàn)，并做比對(duì)w 入侵檢測(cè)系統(tǒng)后門活動(dòng)有一定的規(guī)律安裝入侵檢測(cè)系統(tǒng)，一定程度上能夠發(fā)現(xiàn)后門w 從CD-ROM啟動(dòng)防止后門隱藏在引導(dǎo)區(qū)中UNIX上的木馬w Trojan和Backdoor往往結(jié)合在一起w Trojan技術(shù)替換文件隱藏進(jìn)程w DDoS，WormWindows上的木馬 傳播方式w Email附件 嵌入HTML的腳本 指向惡意代碼的鏈接 w 物理訪問(wèn)軟盤啟動(dòng)啟動(dòng)文件壓縮文件自動(dòng)運(yùn)行的CD-ROMWindows上的木馬 傳播方式（續(xù)上）w Web Sites跟合法軟件捆綁在一起嵌入HTML頁(yè)面本身 鏈接到其他惡意站點(diǎn)賀卡站點(diǎn)w Chat RoomsIRC, ICQ, AIM, ISP Chat Rooms Windows上的木馬 偽裝方式w 修改圖標(biāo)w 捆綁文件 w 出錯(cuò)顯示w 定制端口w 自我銷毀Windows上的木馬w 與wind