第十章 網(wǎng)絡攻防及入侵檢測

1、第十章第十章 網(wǎng)絡攻防和入侵檢測網(wǎng)絡攻防和入侵檢測pIPIP只是發(fā)送數(shù)據(jù)并保證數(shù)據(jù)的完整性，不保持任何連接狀只是發(fā)送數(shù)據(jù)并保證數(shù)據(jù)的完整性，不保持任何連接狀態(tài)的信息，每個態(tài)的信息，每個IPIP數(shù)據(jù)報文被發(fā)送出去，不關心前后數(shù)據(jù)報數(shù)據(jù)報文被發(fā)送出去，不關心前后數(shù)據(jù)報文的情況，所以可以修改文的情況，所以可以修改IPIP堆棧，在源地址和目的地址中放堆棧，在源地址和目的地址中放入任何滿足要求的入任何滿足要求的IPIP地址，即提供虛假的地址，即提供虛假的IPIP地址。地址。p突破防火墻系統(tǒng)最常用的方法是就突破防火墻系統(tǒng)最常用的方法是就IPIP地址欺騙，它同時也地址欺騙，它同時也是其他一系列攻擊方法的基礎

2、。黑客或入侵者利用偽造的是其他一系列攻擊方法的基礎。黑客或入侵者利用偽造的IPIP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組，喬裝成來自內部站的分組過發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組，喬裝成來自內部站的分組過濾器，這種類型的攻擊是非常危險的。關于涉及到的分組真濾器，這種類型的攻擊是非常危險的。關于涉及到的分組真正是內部的還是外部的分組被包裝得看起來象內部的種種跡正是內部的還是外部的分組被包裝得看起來象內部的種種跡象都已喪失殆盡。只要系統(tǒng)發(fā)現(xiàn)發(fā)送地址在其自己的范圍之象都已喪失殆盡。只要系統(tǒng)發(fā)現(xiàn)發(fā)送地址在其自己的范圍之內，則它就把該分組按內部通信對待并讓其通過。內，則它就把該分組按內部通信對待并讓其通過。 假定入侵者知

3、道主機假定入侵者知道主機和和已經(jīng)建立了信任關系，已經(jīng)建立了信任關系，入侵者打算欺騙的是主機入侵者打算欺騙的是主機。 入侵者要對入侵者要對實施欺騙，他必須假扮實施欺騙，他必須假扮，所有，所有就必須讓就必須讓的主機無法響應任何請求。的主機無法響應任何請求。 進行一次進行一次IPIP欺騙需要經(jīng)過以下步驟：欺騙需要經(jīng)過以下步驟：確定攻擊目標確

4、定攻擊目標使得計劃要冒充的主機無法響應目標主機的會話使得計劃要冒充的主機無法響應目標主機的會話猜出來自目標主機的正確序列號猜出來自目標主機的正確序列號冒充連接到目標主機冒充連接到目標主機根據(jù)猜出的正確序列號向目標主機發(fā)送回應根據(jù)猜出的正確序列號向目標主機發(fā)送回應IPIP包包進行系列會話進行系列會話(1)(1)拋棄基于地址的信任策略拋棄基于地址的信任策略 (2)(2)進行包過濾進行包過濾 (3)(3)使用加密方法使用加密方法 (4)(4)使用隨機化的初始序列號使用隨機化的初始序列號淚滴淚滴(Teardrop)(Teardrop)攻擊（攻擊（IPIP碎片攻擊）碎片攻擊） 鏈路層具有鏈路層具有最大傳

5、輸單元最大傳輸單元MTUMTU這個特性，它限制了數(shù)據(jù)幀這個特性，它限制了數(shù)據(jù)幀的最大長度，不同的網(wǎng)絡類型都有一個的最大長度，不同的網(wǎng)絡類型都有一個上限值上限值。以太網(wǎng)的。以太網(wǎng)的MTUMTU是是15001500。 如果如果IPIP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長度超過了層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長度超過了MTUMTU，那么那么IPIP層就要對數(shù)據(jù)包進行層就要對數(shù)據(jù)包進行分片分片（fragmentationfragmentation）操作，）操作，使每一片的長度都小于或等于使每一片的長度都小于或等于MTUMTU。每一。每一IPIP分片都分片都各自路由各自路由，到達目的主機后在到達目的主機后在IP

6、IP層重組，首部中的數(shù)據(jù)能夠正確完成分層重組，首部中的數(shù)據(jù)能夠正確完成分片的重組。片的重組。 若在若在IPIP分組中指定一個分組中指定一個非法的片偏移值非法的片偏移值，將可能造成某，將可能造成某些協(xié)議軟件出現(xiàn)些協(xié)議軟件出現(xiàn)緩沖區(qū)覆蓋緩沖區(qū)覆蓋，導致系統(tǒng)崩潰。，導致系統(tǒng)崩潰。國際互聯(lián)網(wǎng)絡服務器服務器防火墻其它網(wǎng)絡廣域網(wǎng)電話網(wǎng)企業(yè)網(wǎng)內域網(wǎng)國際互聯(lián)網(wǎng)服務器服務器防火墻其它網(wǎng)絡廣域網(wǎng)電話網(wǎng)企業(yè)網(wǎng)內域網(wǎng)服務器服務器防火墻其它網(wǎng)絡電話網(wǎng)廣域網(wǎng)國際互聯(lián)網(wǎng)絡內域網(wǎng)企業(yè)網(wǎng)服務器服務器防火墻企業(yè)網(wǎng)其它網(wǎng)絡電話網(wǎng)廣域網(wǎng)國際互聯(lián)網(wǎng)絡內域網(wǎng)ICMPICMP洪水洪水(PING flooding)(PING floodin

7、g)攻擊攻擊 正常情況下，為了對網(wǎng)絡進行診斷，一些診斷正常情況下，為了對網(wǎng)絡進行診斷，一些診斷程序，比如程序，比如pingping等，會發(fā)出等，會發(fā)出icmpicmp響應請求報文響應請求報文(icmp echo)(icmp echo)，接收計算機接收到，接收計算機接收到icmp echoicmp echo后，會后，會回應一個回應一個icmp echo replyicmp echo reply報文。而這個過程是需報文。而這個過程是需要要cpucpu處理的，有的情況下還可能消耗掉大量的資處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時候。這樣如果攻擊者向目標源，比如處理分片的時候。這樣如

8、果攻擊者向目標計算機發(fā)送大量的計算機發(fā)送大量的icmp echoicmp echo報文報文( (產(chǎn)生產(chǎn)生icmpicmp洪水洪水) )，則目標計算機會忙于處理這些則目標計算機會忙于處理這些echoecho報文，而無法繼報文，而無法繼續(xù)處理其它的網(wǎng)絡數(shù)據(jù)報文，這也是一種拒絕服務續(xù)處理其它的網(wǎng)絡數(shù)據(jù)報文，這也是一種拒絕服務攻擊攻擊(dos)(dos)。SmurfSmurf攻擊攻擊攻擊者偽造來自目標網(wǎng)絡的計算機數(shù)據(jù)包，IP目標地址廣播地址廣播域內的每臺計算機給目標機發(fā)送錯誤消息，因此攻擊效果同廣播域內的機器數(shù)目成正比，結果形成拒絕服務攻擊UDP FRAGGLEUDP FRAGGLE攻擊攻擊FRAGG

9、LEFRAGGLE攻擊對攻擊對smurfsmurf作了簡單的修改，使用的是作了簡單的修改，使用的是UDPUDP應答消息而非應答消息而非ICMPICMP。 1.1.阻塞阻塞SmurfSmurf攻擊的源頭攻擊的源頭 SmurfSmurf攻擊依靠的是發(fā)送源地址假冒的攻擊依靠的是發(fā)送源地址假冒的echoecho請求。用戶可以使用路由器的訪問控制請求。用戶可以使用路由器的訪問控制保證內部網(wǎng)絡中發(fā)出的所有傳輸信息都具有保證內部網(wǎng)絡中發(fā)出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。這樣可以合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點。使欺騙性分組無法找到反彈站點。SmurfSmu

10、rf攻擊的防止措施攻擊的防止措施SmurfSmurf攻擊的防止措施攻擊的防止措施2.2.阻塞阻塞SmurfSmurf的反彈站點的反彈站點 用戶可以有兩種選擇以阻塞用戶可以有兩種選擇以阻塞SmurfSmurf攻擊的反彈站點。第一種方攻擊的反彈站點。第一種方法可以簡單地阻塞所有入站法可以簡單地阻塞所有入站echoecho請求，這樣可以防止這些分組到請求，這樣可以防止這些分組到達自己的網(wǎng)絡。達自己的網(wǎng)絡。 如果不能阻塞所有入站如果不能阻塞所有入站echoecho請求，用戶就需要配置自己的路請求，用戶就需要配置自己的路由器把網(wǎng)絡廣播地址映射成為由器把網(wǎng)絡廣播地址映射成為LANLAN廣播地址。制止了這個

11、映射過程，廣播地址。制止了這個映射過程，自己的系統(tǒng)就不會再收到這些自己的系統(tǒng)就不會再收到這些echoecho請求。請求。 如果使用如果使用CiscoCisco路由器，則制止網(wǎng)絡廣播映射成為路由器，則制止網(wǎng)絡廣播映射成為LANLAN廣播的廣播的方法是在方法是在LANLAN接口的配置模式中輸入命令：接口的配置模式中輸入命令： no ip directed-broadcastno ip directed-broadcast。路由欺騙路由欺騙InterfaceInterfaceRAMROMFlashNVRAMInterfaceCPUInterfaceconsole路由欺騙路由欺騙n只讀存儲器（ROM）

12、q只讀存儲器，存放引導程序和IOS的一個最小子集，相當于PC的BIOS。n閃存（Flash）q包含壓縮的IOS和微代碼，是一種可擦寫、可編程的ROM，系統(tǒng)掉電時數(shù)據(jù)不會丟失。nNVRAM（No-Voliate RAM）q存放路由器的配置文件，系統(tǒng)掉電時數(shù)據(jù)不會丟失。路由欺騙路由欺騙nRAMRAMq動態(tài)內存，系統(tǒng)掉電，內容丟失動態(tài)內存，系統(tǒng)掉電，內容丟失q操作系統(tǒng)運行的空間操作系統(tǒng)運行的空間命令命令解釋器解釋器操作系統(tǒng)操作系統(tǒng)進程進程活動配置文件活動配置文件路由表路由表緩沖區(qū)緩沖區(qū)路由欺騙路由欺騙PPP、CHAPMD5認證認證 利用了利用了RIPRIP協(xié)議基于無連接的協(xié)議基于無連接的UDP,RI

13、PvlUDP,RIPvl沒有沒有身份認證機制身份認證機制, ,而而RIPv2RIPv2的認證形式采用的認證形式采用1616宇節(jié)的宇節(jié)的明文密碼明文密碼. .攻擊者很容易將分組發(fā)給攻擊者很容易將分組發(fā)給RIPRIP路由器路由器, ,要要求它將分組發(fā)給未授權網(wǎng)絡或系統(tǒng)而不是真正的求它將分組發(fā)給未授權網(wǎng)絡或系統(tǒng)而不是真正的系統(tǒng)系統(tǒng) 。路由欺騙路由欺騙RAkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 0

14、52 ip rip authentication key-chain kal ip rip authentication key-chain kal router rip version 2 network network RBkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 52 ip rip authentication key-chain kal ip

15、 rip authentication key-chain kal clockrate 64000 ! router rip version 2 network network 將將TCPTCP包的包的源地址源地址和和目的地址目的地址，源端口源端口和和目的端口目的端口都設置成相同即可。其中，地址都設置成相同即可。其中，地址字段都設置為字段都設置為目標機器的目標機器的IPIP地址地址。需要注意。需要注意的是，對應的端口所提供的服務必須是的是，對應的端口所提供的服務必須是激活激活的。的。LANDLAND攻擊可以非常有效地使目標機器重攻擊可以非常有效地使目標

16、機器重新啟動或者死機。新啟動或者死機。 解決方案：過濾源地址和目標地址相同解決方案：過濾源地址和目標地址相同的的IPIP數(shù)據(jù)包；給系統(tǒng)升級或打補丁。數(shù)據(jù)包；給系統(tǒng)升級或打補丁。LANDLAND攻擊攻擊SYN floodingSYN flooding攻擊攻擊 利用利用TCPTCP連接三次握手過程，打開大量的半連接三次握手過程，打開大量的半開開TCPTCP連接，使得目標機器不能進一步接受連接，使得目標機器不能進一步接受TCPTCP連連接。每個機器都需要為這種半開連接分配一定的接。每個機器都需要為這種半開連接分配一定的資源，并且，這種半開連接的數(shù)量是有限制的，資源，并且，這種半開連接的數(shù)量是有限制的

17、，達到最大數(shù)量時，機器就不再接受進來的連接請達到最大數(shù)量時，機器就不再接受進來的連接請求，從而不能夠提供相應的服務。求，從而不能夠提供相應的服務。p連接請求是正常的，但是，源連接請求是正常的，但是，源IPIP地址往往是偽造的，地址往往是偽造的，并且是一臺不可達的機器的并且是一臺不可達的機器的IPIP地址，否則，被偽造地址地址，否則，被偽造地址的機器會重置這些半開連接。的機器會重置這些半開連接。p一般，半開連接超時之后，會自動被清除，所以，攻一般，半開連接超時之后，會自動被清除，所以，攻擊者的系統(tǒng)發(fā)出擊者的系統(tǒng)發(fā)出SYNSYN包的速度要比目標機器清除半開連包的速度要比目標機器清除半開連接的速度要

18、快。接的速度要快。p任何連接到任何連接到InternetInternet上并提供基于上并提供基于TCPTCP的網(wǎng)絡服務，都的網(wǎng)絡服務，都有可能成為攻擊的目標。有可能成為攻擊的目標。p這樣的攻擊很難跟蹤，因為源地址往往不可信，而且這樣的攻擊很難跟蹤，因為源地址往往不可信，而且不在線。不在線。SYN floodingSYN flooding攻擊攻擊SYN floodingSYN flooding攻擊攻擊SYN floodingSYN flooding攻擊防止措施攻擊防止措施p縮短縮短SYN Timeout(SYN Timeout(連接等待超時連接等待超時) )時間時間p根據(jù)源根據(jù)源IPIP記錄記錄

19、SYNSYN連接連接p負反饋策略負反饋策略p容忍策略容忍策略p利用利用DNSDNS進行負載均衡進行負載均衡p利用防火墻技術利用防火墻技術 在神話傳說中，特洛伊木馬表面上是在神話傳說中，特洛伊木馬表面上是“禮禮物物”，但實際卻藏匿了大量襲擊特洛伊城的希臘，但實際卻藏匿了大量襲擊特洛伊城的希臘士兵。現(xiàn)在，特洛伊木馬是一些表面有用的軟件士兵。現(xiàn)在，特洛伊木馬是一些表面有用的軟件程序，實際目的是危害計算機安全性并破壞計算程序，實際目的是危害計算機安全性并破壞計算機。黑客的特洛伊木馬程序事先已經(jīng)以某種方式機。黑客的特洛伊木馬程序事先已經(jīng)以某種方式潛入你的機器，并在適當?shù)臅r候激活，潛伏在后潛入你的機器，并

20、在適當?shù)臅r候激活，潛伏在后臺監(jiān)視系統(tǒng)的運行，它同一般程序一樣，能實現(xiàn)臺監(jiān)視系統(tǒng)的運行，它同一般程序一樣，能實現(xiàn)任何軟件的任何功能。任何軟件的任何功能。1.修改圖標修改圖標 木馬服務端所用的圖標也是有講究的，木木馬服務端所用的圖標也是有講究的，木馬經(jīng)常故意偽裝成了馬經(jīng)常故意偽裝成了XT.HTMLXT.HTML等你可能認為對系等你可能認為對系統(tǒng)沒有多少危害的文件圖標，這樣很容易誘惑你統(tǒng)沒有多少危害的文件圖標，這樣很容易誘惑你把它打開。把它打開。 木馬采用的偽裝方法木馬采用的偽裝方法2.2.捆綁文件捆綁文件這種偽裝手段是將木馬捆綁到一個安裝程序這種偽裝手段是將木馬捆綁到一個安裝程序上，當安裝程序運行

21、時，木馬在用戶毫無察覺的上，當安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷地進入了系統(tǒng)。被捆綁的文件一般情況下，偷偷地進入了系統(tǒng)。被捆綁的文件一般是可執(zhí)行文件是可執(zhí)行文件 ( (即即EXEEXE、COMCOM一類的文件一類的文件) )。 木馬采用的偽裝方法木馬采用的偽裝方法3.3.出錯顯示出錯顯示如果打開一個文件，沒有任何反應，這很可如果打開一個文件，沒有任何反應，這很可能就是個木馬程序。木馬提供了一個叫做出錯顯能就是個木馬程序。木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時，會彈示的功能。當服務端用戶打開木馬程序時，會彈出一個錯誤提示框出一個錯誤提示框 ( (這當然是假的這

22、當然是假的) )，錯誤內容，錯誤內容可自由定義，大多會定制成一些諸如可自由定義，大多會定制成一些諸如 文件已破文件已破壞，無法打開壞，無法打開!之類的信息，當服務端用戶信以之類的信息，當服務端用戶信以為真時，木馬卻悄悄侵人了系統(tǒng)。為真時，木馬卻悄悄侵人了系統(tǒng)。 木馬采用的偽裝方法木馬采用的偽裝方法4.4.自我銷毀自我銷毀 木馬的自我銷毀功能是指安裝完木馬后，木馬的自我銷毀功能是指安裝完木馬后，源木馬文件自動銷毀，這樣服務端用戶就很難源木馬文件自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助找到木馬的來源，在沒有查殺木馬的工具幫助下。就很難刪除木馬了。下。就很難刪除木馬了。

23、 木馬采用的偽裝方法木馬采用的偽裝方法5.5.木馬更名木馬更名木馬的命名也是千奇百怪，不過大多是改為木馬的命名也是千奇百怪，不過大多是改為和系統(tǒng)文件名差不多的名字，如果你對系統(tǒng)文件和系統(tǒng)文件名差不多的名字，如果你對系統(tǒng)文件不夠了解，那可就危險了。例如有的木馬把名字不夠了解，那可就危險了。例如有的木馬把名字改為改為window.exewindow.exe，如果不告訴你這是木馬的話，如果不告訴你這是木馬的話，該文件不會被你輕易刪除，還有就是更改一些后該文件不會被你輕易刪除，還有就是更改一些后綴名，比如把綴名，比如把dlldll改為改為dldl等，如果你不仔細看，等，如果你不仔細看，也很難發(fā)現(xiàn)。也很

24、難發(fā)現(xiàn)。木馬采用的偽裝方法木馬采用的偽裝方法6.6.在任務欄里隱藏在任務欄里隱藏如果在如果在windowswindows的任務欄里出現(xiàn)一個莫名其的任務欄里出現(xiàn)一個莫名其妙的圖標，木馬就很容易暴露了。因此木馬程序妙的圖標，木馬就很容易暴露了。因此木馬程序總是把自己在任務欄中隱藏起來。這在編程時是總是把自己在任務欄中隱藏起來。這在編程時是很容易實現(xiàn)的。以很容易實現(xiàn)的。以VBVB為例，只要把為例，只要把formform的的VisibleVisible屬性設置為屬性設置為False, ShowInTaskBarFalse, ShowInTaskBar設為設為FalseFalse程序就不會出現(xiàn)在任務欄里

25、了。程序就不會出現(xiàn)在任務欄里了。木馬采用的偽裝方法木馬采用的偽裝方法7.7.在任務管理器里隱藏在任務管理器里隱藏查看正在運行的進程最簡單的方法就是按下查看正在運行的進程最簡單的方法就是按下Ctrl+Alt+DelCtrl+Alt+Del時出現(xiàn)的任務管理器。木馬會千時出現(xiàn)的任務管理器。木馬會千方百計地偽裝自己，使自己不出現(xiàn)在任務管理器方百計地偽裝自己，使自己不出現(xiàn)在任務管理器里。木馬發(fā)現(xiàn)把自己設為里。木馬發(fā)現(xiàn)把自己設為 系統(tǒng)服務系統(tǒng)服務“就可以輕就可以輕松地騙過去。松地騙過去。木馬采用的偽裝方法木馬采用的偽裝方法8.8.隱藏通訊隱藏通訊任何木馬運行后都要和攻擊者進行通訊連接，任何木馬運行后都要和

26、攻擊者進行通訊連接，或者通過即時連接，如攻擊者通過客戶端直接接或者通過即時連接，如攻擊者通過客戶端直接接人被植人木馬的主機人被植人木馬的主機; ;或者通過間接通訊?，F(xiàn)在或者通過間接通訊。現(xiàn)在大部分木馬一般在占領主機后會在大部分木馬一般在占領主機后會在10241024以上不易以上不易發(fā)現(xiàn)的高端口上駐留發(fā)現(xiàn)的高端口上駐留; ;有一些木馬會選擇一些常有一些木馬會選擇一些常用的端口，如用的端口，如8080、23,23,特別是有一種木馬還可以特別是有一種木馬還可以做到收到正常的做到收到正常的HTTPHTTP請求仍然把它交與請求仍然把它交與WebWeb服務服務器處理，收到特殊約定的數(shù)據(jù)包后，才調用木馬器處

27、理，收到特殊約定的數(shù)據(jù)包后，才調用木馬程序。程序。 木馬采用的偽裝方法木馬采用的偽裝方法9.9.隱藏隱加載方式隱藏隱加載方式通過修改虛擬設備驅動程序通過修改虛擬設備驅動程序(VXD)(VXD)或修改動或修改動態(tài)遵掇庫態(tài)遵掇庫 (DLL)(DLL)來加載木馬。它采用替代系統(tǒng)功來加載木馬。它采用替代系統(tǒng)功能的方法能的方法( (改寫改寫vxdvxd或或DLLDLL文件文件) )，木馬會將修改，木馬會將修改后的后的DLLDLL替換系統(tǒng)已知的替換系統(tǒng)已知的DLLDLL，并對所有的函數(shù)調，并對所有的函數(shù)調用進行過濾。對于常用的調用，使用函數(shù)轉發(fā)器用進行過濾。對于常用的調用，使用函數(shù)轉發(fā)器直接轉發(fā)給被替換的

28、系統(tǒng)直接轉發(fā)給被替換的系統(tǒng)DLLDLL。一旦發(fā)現(xiàn)控制端。一旦發(fā)現(xiàn)控制端的請求就會激活自身，綁在一個進程上進行正常的請求就會激活自身，綁在一個進程上進行正常的木馬操作。這樣做的好處是沒有增加新的文件，的木馬操作。這樣做的好處是沒有增加新的文件，不需要打開新的端口，沒有新的進程，使用常規(guī)不需要打開新的端口，沒有新的進程，使用常規(guī)的方法監(jiān)測不到它。的方法監(jiān)測不到它。木馬采用的偽裝方法木馬采用的偽裝方法 1.1.在在Win.iniWin.ini中啟動中啟動在在Win.iniWin.ini的的windowswindows字段中有啟動命字段中有啟動命令令“l(fā)oadload”和和“runrun”，在一般情況

29、下，在一般情況下 “”后面是空白的，如果有后跟程序，比方后面是空白的，如果有后跟程序，比方說是這個樣子：說是這個樣子：run=c:windowsfile.exe run=c:windowsfile.exe load=c:windowsfile.exeload=c:windowsfile.exe木馬的啟動木馬的啟動2.2.在在System.iniSystem.ini中啟動中啟動System.iniSystem.ini位于位于WindowsWindows的安裝目錄下，其的安裝目錄下，其bootboot字段的字段的shell=Explorer.exeshell=Explorer.exe是木馬喜歡的隱

30、是木馬喜歡的隱藏加載之所，木馬通常的做法是將該何變?yōu)檫@藏加載之所，木馬通常的做法是將該何變?yōu)檫@樣樣:shell=Explorer.exefile.exe:shell=Explorer.exefile.exe。注意這里的。注意這里的file.exefile.exe就是木馬服務端程序就是木馬服務端程序! !另外，在另外，在SystemSystem中的中的386Enh386Enh字段，要注意檢字段，要注意檢查在此段內的查在此段內的“driverdriver路徑路徑 程序名程序名”這里也有這里也有可能被木馬所利用。再有，在可能被木馬所利用。再有，在System.iniSystem.ini中的中的mic

31、mic、driversdrivers、drivers32drivers32這這3 3個字段也要注個字段也要注意。意。木馬的啟動木馬的啟動3.3.注冊表注冊表p HKEY_LOCAL_MACHINESoftwareMicrosoftHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWindowsCurrentVersion下的五個以下的五個以RunRun和和RunServicesRunServices主鍵主鍵, , 其中可能有啟動木馬的鍵值。其中可能有啟動木馬的鍵值。p HKEY_CLASSES_ROOTHKEY_CLASSES_RO

32、OT文件類型文件類型shellopen shellopen commandcommand主鍵主鍵, ,查看其鍵值。國產(chǎn)木馬查看其鍵值。國產(chǎn)木馬“冰河冰河”就是就是修改修改HKEY_CLASSES_ROOTtxtfileshell open HKEY_CLASSES_ROOTtxtfileshell open commandcommand下的鍵值下的鍵值, ,將將“C:WINDOWSNOTEPAD.EXE C:WINDOWSNOTEPAD.EXE %1”%1”改為改為“ “ C:WINDOWSSYSTEMSYXXXPLR.EXE C:WINDOWSSYSTEMSYXXXPLR.EXE %1” %

33、1” ，這時你雙擊一個，這時你雙擊一個TXTTXT文件后，原本應用文件后，原本應用NOTEPADNOTEPAD打開文件的，現(xiàn)在卻變成啟動木馬程序了。打開文件的，現(xiàn)在卻變成啟動木馬程序了。 木馬的啟動木馬的啟動4.4.在在Autoexec.batAutoexec.bat和和Config.sysConfig.sys中加載運行中加載運行在在C C盤根目錄下的這兩個文件也可以啟動木盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服馬。但這種加載方式一般都需要控制端用戶與服務端建立連接后，將己添加木馬啟動命令的同名務端建立連接后，將己添加木馬啟動命令的同名文件上傳到服務端覆蓋這

34、兩個文件才行，而且采文件上傳到服務端覆蓋這兩個文件才行，而且采用這種方式不是很隱蔽。容易被發(fā)現(xiàn)，所以在用這種方式不是很隱蔽。容易被發(fā)現(xiàn)，所以在Autoexec.batAutoexec.bat和和ConfingsConfings中加載木馬程序的并中加載木馬程序的并不多見，但也不能因此而掉以輕心。不多見，但也不能因此而掉以輕心。 木馬的啟動木馬的啟動p端口掃描端口掃描p檢查注冊表檢查注冊表p查找文件查找文件p殺病毒軟件殺病毒軟件木馬的破解木馬的破解拒絕服務攻擊拒絕服務攻擊 DoSDoS是是Denial of ServiceDenial of Service的簡稱，即拒絕服務。造的簡稱，即拒絕服務。

35、造成成DoSDoS的攻擊行為被稱為的攻擊行為被稱為DoSDoS攻擊攻擊。 拒絕服務攻擊是指一個用戶占據(jù)了目標主機拒絕服務攻擊是指一個用戶占據(jù)了目標主機大量的大量的共享資源共享資源，使目標主機沒有，使目標主機沒有剩余的資源剩余的資源給其它用戶提供給其它用戶提供服務的一種攻擊方式。服務的一種攻擊方式。 拒絕服務攻擊的結果可以拒絕服務攻擊的結果可以降低系統(tǒng)資源的可用性降低系統(tǒng)資源的可用性，這些資源可以是網(wǎng)絡帶寬、這些資源可以是網(wǎng)絡帶寬、CPUCPU時間、磁盤空間、打印機、時間、磁盤空間、打印機、甚至是系統(tǒng)管理員的時間。甚至是系統(tǒng)管理員的時間。 拒絕服務攻擊究其原因是因為這是由于拒絕服務攻擊究其原因是

36、因為這是由于網(wǎng)絡協(xié)議本網(wǎng)絡協(xié)議本身的安全缺陷身的安全缺陷造成的，從而拒絕服務攻擊也成為了攻擊造成的，從而拒絕服務攻擊也成為了攻擊者的終極手法。者的終極手法。 最常見的DoS攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。 帶寬攻擊指以極大的通信量沖擊網(wǎng)絡，使得所有可用網(wǎng)絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。 連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。遭受遭受DoSDoS攻擊時的現(xiàn)象攻擊時的現(xiàn)象 ： 1.1.被攻擊主機上有大量等待的被攻擊主機上有大量等待的TCPTCP連接連接 2.2.網(wǎng)絡中充斥著大量的無用的數(shù)據(jù)包，

37、源地網(wǎng)絡中充斥著大量的無用的數(shù)據(jù)包，源地址為假址為假 3.3.制造高流量無用數(shù)據(jù)，造成網(wǎng)絡擁塞，使制造高流量無用數(shù)據(jù)，造成網(wǎng)絡擁塞，使受害主機無法正常和外界通訊受害主機無法正常和外界通訊 4.4.利用受害主機提供的利用受害主機提供的服務服務或或傳輸協(xié)議傳輸協(xié)議上的上的缺陷，反復高速的發(fā)出特定的服務請求，使受害缺陷，反復高速的發(fā)出特定的服務請求，使受害主機無法及時處理所有正常請求主機無法及時處理所有正常請求 5.5.嚴重時會造成系統(tǒng)死機嚴重時會造成系統(tǒng)死機 netstat -an | grep SYN 83.9 9.1801 0 0 24656 0 SYN

38、_RCVD 83.13 9.1801 0 0 24656 0 SYN_RCVD 83.19 9.1801 0 0 24656 0 SYN_RCVD 83.21 9.1801 0 0 24656 0 SYN_RCVD 83.22 9.1801 0 0 24656 0 SYN_RCVD 83.23 9.1801 0 0 24656 0 SYN_RCVD 83.25 127.0.0

39、.79.1801 0 0 24656 0 SYN_RCVD 83.37 9.1801 0 0 24656 0 SYN_RCVD 83.53 9.1801 0 0 24656 0 SYN_RCVD # netstat -an | grep SYN | wc -l 5273 # netstat -an | grep SYN | wc -l 5154 # netstat -an | grep SYN | wc -l 5267 共有五千多個共有五千多個SynSyn的半連接存儲在內存中。這的半連接存儲在內存中。這時候被攻擊機

40、已經(jīng)不能響應新的服務請求了，系統(tǒng)時候被攻擊機已經(jīng)不能響應新的服務請求了，系統(tǒng)運行非常慢，也無法運行非常慢，也無法pingping通。通。 這是在攻擊發(fā)起后僅僅這是在攻擊發(fā)起后僅僅7070秒鐘左右時的情況。秒鐘左右時的情況。. .防火墻防火墻 p禁止對主機的非開放服務的訪問禁止對主機的非開放服務的訪問 p限制同時打開的限制同時打開的SYNSYN最大連接數(shù)最大連接數(shù) p限制特定限制特定IPIP地址的訪問地址的訪問 p啟用防火墻的防啟用防火墻的防DDoSDDoS的屬性的屬性 p嚴格限制對外開放的服務器的向外訪問嚴格限制對外開放的服務器的向外訪問 . .路由器路由器 以以CiscoCisco路由器為例

41、路由器為例 pCisco Express ForwardingCisco Express Forwarding（CEFCEF） p使用使用 unicast reverse-path unicast reverse-path p訪問控制列表（訪問控制列表（ACLACL）過濾）過濾 p設置設置SYNSYN數(shù)據(jù)包流量速率數(shù)據(jù)包流量速率 p升級版本過低的升級版本過低的ISO ISO p為路由器建立為路由器建立log serverlog server 3.3.主機上的設置主機上的設置 p關閉不必要的服務關閉不必要的服務 p限制同時打開的限制同時打開的SynSyn半連接數(shù)目半連接數(shù)目 p縮短縮短SynSy

42、n半連接的半連接的time outtime out時間時間 p及時更新系統(tǒng)補丁及時更新系統(tǒng)補丁 p優(yōu)化路由和網(wǎng)絡結構，調整路由表以將拒絕服務優(yōu)化路由和網(wǎng)絡結構，調整路由表以將拒絕服務攻擊的影響減到最小；攻擊的影響減到最??；p應用路由器的帶寬分配技術；應用路由器的帶寬分配技術；p優(yōu)化可能成為攻擊目標的主機，禁止所有不必要優(yōu)化可能成為攻擊目標的主機，禁止所有不必要的服務；的服務；p定期使用漏洞掃描軟件全面檢查網(wǎng)絡中的現(xiàn)有的定期使用漏洞掃描軟件全面檢查網(wǎng)絡中的現(xiàn)有的和潛在的漏洞，及時安裝補丁程序，并注意定期升和潛在的漏洞，及時安裝補丁程序，并注意定期升級系統(tǒng)軟件，有效提高系統(tǒng)安全性；級系統(tǒng)軟件，有效

43、提高系統(tǒng)安全性；p當檢測到拒絕服務攻擊時，若發(fā)現(xiàn)攻擊數(shù)據(jù)包來當檢測到拒絕服務攻擊時，若發(fā)現(xiàn)攻擊數(shù)據(jù)包來自某些自某些ISPISP時應盡快和他們取得聯(lián)系；可以使用負載時應盡快和他們取得聯(lián)系；可以使用負載均衡技術和蜜罐技術抵御此類攻擊。均衡技術和蜜罐技術抵御此類攻擊。 u對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源的機密性、完整性和可用性。的機密性、完整性和可用性。u進行入侵檢測的軟件與硬件的組合便是入侵檢進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。測系統(tǒng)。uIDS : Intru

44、sion Detection SystemIDS : Intrusion Detection System 入侵檢測的定義入侵檢測的定義動態(tài)安全模型動態(tài)安全模型P2DRP2DR入侵檢測的起源入侵檢測的起源u19801980年年4 4月，月，James P. Anderson :James P. Anderson :Computer Computer Security Threat Monitoring and SurveillanceSecurity Threat Monitoring and Surveillance（計算機安全威脅監(jiān)控與監(jiān)視）的技術報告，第一次（計算機安全威脅監(jiān)控與監(jiān)視）的

45、技術報告，第一次詳細闡述了入侵檢測的概念。詳細闡述了入侵檢測的概念。u他提出了一種對計算機系統(tǒng)風險和威脅的分類方法，他提出了一種對計算機系統(tǒng)風險和威脅的分類方法，并將威脅分為外部滲透、內部滲透和不法行為三種。并將威脅分為外部滲透、內部滲透和不法行為三種。u還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作。份報告被公認為是入侵檢測的開山之作。入侵檢測的起源入侵檢測的起源 從從19841984年到年到19861986年，喬治敦大學的年，喬治敦大學的Dorothy DenningDorothy Denning和和SRI/C

46、SLSRI/CSL的的Peter NeumannPeter Neumann研究出了一個實時入侵檢測系統(tǒng)研究出了一個實時入侵檢測系統(tǒng)模型，取名為模型，取名為IDESIDES（入侵檢測專家系統(tǒng)）。（入侵檢測專家系統(tǒng)）。入侵檢測的起源入侵檢測的起源u19901990，加州大學戴維斯分校的，加州大學戴維斯分校的L. T. HeberleinL. T. Heberlein等人等人開發(fā)出了開發(fā)出了NSMNSM（Network Security MonitorNetwork Security Monitor）。）。u該系統(tǒng)第一次直接將網(wǎng)絡流作為審計數(shù)據(jù)來源，因該系統(tǒng)第一次直接將網(wǎng)絡流作為審計數(shù)據(jù)來源，因而可

47、以在不將審計數(shù)據(jù)轉換成統(tǒng)一格式的情況下監(jiān)而可以在不將審計數(shù)據(jù)轉換成統(tǒng)一格式的情況下監(jiān)控異種主機?？禺惙N主機。u入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡的式形成：基于網(wǎng)絡的IDSIDS和基于主機的和基于主機的IDSIDS。 入侵檢測組成入侵檢測組成 輸出：反應或事件 輸出：高級中斷事件 輸出：事件的存儲信息 輸出：原始或低級事件 輸入：原始事件源 事件產(chǎn)生器 響應單元 事件數(shù)據(jù)庫 事件分析器 入侵檢測功能入侵檢測功能u監(jiān)控、分析用戶的和系統(tǒng)的活動監(jiān)控、分析用戶的和系統(tǒng)的活動u發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象發(fā)現(xiàn)入侵企圖或異常現(xiàn)象u記錄、報警和

48、響應記錄、報警和響應入侵檢測的分類依據(jù)數(shù)據(jù)來源分類入侵檢測的分類依據(jù)數(shù)據(jù)來源分類u基于主機：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所基于主機：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主在的主機，保護的目標也是系統(tǒng)運行所在的主機。機。u基于網(wǎng)絡：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)基于網(wǎng)絡：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡的運行。包，保護的是網(wǎng)絡的運行。u混合型混合型入侵檢測的分類依據(jù)檢測原理分類入侵檢測的分類依據(jù)檢測原理分類u異常檢測模型（異常檢測模型（Anomaly Detection ):Anomaly Detection ):首先首先總結正常操作應該具有的特征（

49、用戶輪廓），總結正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為當用戶活動與正常行為有重大偏離時即被認為是入侵。是入侵。 u誤用檢測模型（誤用檢測模型（Misuse Detection)Misuse Detection)：收集：收集非正常操作的行為特征，建立相關的特征庫，非正常操作的行為特征，建立相關的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。時，系統(tǒng)就認為這種行為是入侵。入侵檢測異常檢測入侵檢測異常檢測1.1.前提：入侵是異?；顒拥淖蛹疤幔喝肭质钱惓；顒拥淖蛹?2.2.用戶輪廓用戶輪廓(

50、Profile): (Profile): 通常定義為各種行為參數(shù)及其閥通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍值的集合，用于描述正常行為范圍3.3.過程過程 監(jiān)控監(jiān)控 量化量化 比較比較 判定判定 修正修正4.4.指標指標: :漏報漏報( (false positivefalse positive) ), ,錯報錯報( (false negativefalse negative) )入侵檢測異常檢測入侵檢測異常檢測u如果系統(tǒng)錯誤地將異?；顒佣x為入侵，稱為如果系統(tǒng)錯誤地將異常活動定義為入侵，稱為誤誤報報(false positive)(false positive) ；如果系

51、統(tǒng)未能檢測出真正；如果系統(tǒng)未能檢測出真正的入侵行為則稱為的入侵行為則稱為漏報漏報(false negative)(false negative)。 u特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。因為不需要對每種入侵行為備性和監(jiān)控的頻率。因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵。同時系進行定義，因此能有效檢測未知的入侵。同時系統(tǒng)能針對用戶行為的改變進行自我調整和優(yōu)化，統(tǒng)能針對用戶行為的改變進行自我調整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。多的系統(tǒng)資源。

52、activity measuresprobable intrusion入侵檢測異常檢測入侵檢測異常檢測入侵檢測誤用檢測入侵檢測誤用檢測1.1.前提：所有的入侵行為都有可被檢測到的特征前提：所有的入侵行為都有可被檢測到的特征 2.2.攻擊特征庫攻擊特征庫: : 當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵相匹配時，系統(tǒng)就認為這種行為是入侵 3.3.過程過程 監(jiān)控監(jiān)控 特征提取特征提取 匹配匹配 判定判定 4.4.指標指標 錯報低錯報低 漏報高漏報高 入侵檢測誤用檢測入侵檢測誤用檢測u如果入侵特征與正常的用戶行能匹配，則系統(tǒng)會如果入侵特征與

53、正常的用戶行能匹配，則系統(tǒng)會發(fā)生發(fā)生誤報誤報；如果沒有特征能與某種新的攻擊行；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生為匹配，則系統(tǒng)會發(fā)生漏報漏報。u特點：特點：采用特征匹配，濫用模式能明顯降低錯采用特征匹配，濫用模式能明顯降低錯報率，但漏報率隨之增加。攻擊特征的細微變報率，但漏報率隨之增加。攻擊特征的細微變化，會使得濫用檢測無能為力?；?，會使得濫用檢測無能為力。入侵檢測誤用檢測入侵檢測誤用檢測Intrusion Patternsactivitiespattern matchingintrusionExample: if (src_ip = dst_ip) then “l(fā)and at

54、tack”Cant detect new attacks入侵檢測的分類依據(jù)體系結構分類入侵檢測的分類依據(jù)體系結構分類u集中式：系統(tǒng)的各個模塊包括數(shù)據(jù)的收集集中式：系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一臺主機上運行。分析集中在一臺主機上運行。u分布式：系統(tǒng)的各個模塊分布在不同的計分布式：系統(tǒng)的各個模塊分布在不同的計算機和設備上。算機和設備上。入侵檢測集中式入侵檢測集中式u優(yōu)點：優(yōu)點：q不會降低目標機的性能不會降低目標機的性能q統(tǒng)計行為信息統(tǒng)計行為信息q多主機標志、用于支持起訴的原始數(shù)據(jù)多主機標志、用于支持起訴的原始數(shù)據(jù)u缺點：缺點：q不能進行實時檢測不能進行實時檢測q不能實時響應不能實時響應q

55、影響網(wǎng)絡通信量影響網(wǎng)絡通信量入侵檢測分布式入侵檢測分布式u優(yōu)點：優(yōu)點：q實時告警實時告警q實時響應實時響應u缺點：缺點：q降低目標機的性能降低目標機的性能q沒有統(tǒng)計行為信息沒有統(tǒng)計行為信息q沒有多主機標志沒有多主機標志q沒有用于支持起訴的原始數(shù)據(jù)沒有用于支持起訴的原始數(shù)據(jù)q降低了數(shù)據(jù)的辨析能力降低了數(shù)據(jù)的辨析能力q系統(tǒng)離線時不能分析數(shù)據(jù)系統(tǒng)離線時不能分析數(shù)據(jù)入侵檢測的分類依據(jù)工作方式分類入侵檢測的分類依據(jù)工作方式分類u脫機分析：行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進脫機分析：行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析行分析u聯(lián)機分析：在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改聯(lián)機分析：在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進行分析變時進行

56、分析相關術語相關術語 Alert（警報）（警報） u當一個入侵正在發(fā)生或者試圖發(fā)生時，當一個入侵正在發(fā)生或者試圖發(fā)生時，IDSIDS系統(tǒng)將發(fā)系統(tǒng)將發(fā)布一個布一個alertalert信息通知系統(tǒng)管理員信息通知系統(tǒng)管理員u如果控制臺與如果控制臺與IDSIDS系統(tǒng)同在一臺機器，系統(tǒng)同在一臺機器，alertalert信息將信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示顯示在監(jiān)視器上，也可能伴隨著聲音提示u如果是遠程控制臺，那么如果是遠程控制臺，那么alertalert將通過將通過IDSIDS系統(tǒng)內置系統(tǒng)內置方法（通常是加密的）、方法（通常是加密的）、SNMPSNMP（簡單網(wǎng)絡管理協(xié)議，（簡單網(wǎng)絡管理協(xié)議，通常不加密）、通常不加密）、emailemail、SMSSMS（短信息）或者以上幾（短信息）或者以上幾種方法的混合方式傳遞給管理員種方法的混合方式傳遞給管理員相關術語相關術語 Anomaly（異常）（異常） u當有某個事件與一個已知攻擊的信號相匹配時，當有某個事件與一個已知攻擊的信號相匹配時，多數(shù)多數(shù)IDSIDS都會告警都會告警u一個基于一個基于anomalyanomaly（異常）的（異常）的IDSIDS會構造一個當時會構造一個當時活動的主機