【學(xué)習(xí)課件】第十章攻擊與應(yīng)急響應(yīng)

1、第十章 攻擊與應(yīng)急響應(yīng)10.1 攻擊概述 攻擊的位置(1)遠(yuǎn)程攻擊：外部攻擊者通過各種手段，從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動攻擊。(2)本地攻擊：本單位的內(nèi)部人員，通過所在的局域網(wǎng)，向本單位的其他系統(tǒng)發(fā)動攻擊，在本機(jī)上進(jìn)行非法越權(quán)訪問。(3)偽遠(yuǎn)程攻擊：內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標(biāo)的一些必要信息后，攻擊過程從外部遠(yuǎn)程發(fā)起，造成外部入侵的現(xiàn)象，從而使追查者誤以為攻擊者來自外單位。 攻擊的層次簡單拒絕服務(wù)本地用戶獲得非授權(quán)讀訪問本地用戶獲得他們本不應(yīng)擁有的文件寫權(quán)限遠(yuǎn)程用戶獲得了非授權(quán)的帳號遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限遠(yuǎn)程供用戶獲得了特權(quán)文件的寫權(quán)限遠(yuǎn)程用戶擁有了

2、根（root）權(quán)限 攻擊的目的進(jìn)程的執(zhí)行；獲取文件和傳輸中的數(shù)據(jù)；獲得超級用戶權(quán)限；對系統(tǒng)的非法訪問；進(jìn)行不許可的操作；拒絕服務(wù)；涂改信息；暴露信息；挑戰(zhàn)；政治意圖；經(jīng)濟(jì)利益；破壞 攻擊的人員黑客與破壞者：為了挑戰(zhàn)、自負(fù)、反叛等目的，獲取訪問權(quán)限間諜：為了政治等情報信息恐怖主義者：為了勒索、破壞、復(fù)仇、宣傳等政治與經(jīng)濟(jì)目的，制造恐怖公司雇員：為了競爭經(jīng)濟(jì)利益計算機(jī)犯罪：為了個人的經(jīng)濟(jì)利益內(nèi)部人員：因為好奇、挑戰(zhàn)、報復(fù)、經(jīng)濟(jì)利益。攻擊的工具用戶命令：在命令行狀態(tài)下或者圖形用戶接口方式輸入命令腳本或程序：攻擊者在用戶接口處初始化腳本和程序挖掘弱點(diǎn)自治主體：攻擊者初始化一個程序或者程序片斷，獨(dú)立地執(zhí)

3、行操作挖掘弱點(diǎn)工具箱：使用軟件包（包含開發(fā)弱點(diǎn)的腳本、程序、自治主體）分布式工具：分發(fā)攻擊工具到多臺主機(jī)，通過協(xié)作方式執(zhí)行攻擊特定的目標(biāo)電磁泄漏。攻擊的一些基本概念系統(tǒng)的漏洞 漏洞與時間的關(guān)系系統(tǒng)發(fā)布漏洞暴露發(fā)布補(bǔ)丁新漏洞出現(xiàn) 安全漏洞與系統(tǒng)攻擊的關(guān)系漏洞暴露可能的攻擊發(fā)布補(bǔ)丁軟件漏洞 緩沖區(qū)溢出 意料外的聯(lián)合使用問題 不對輸入內(nèi)容進(jìn)行預(yù)期檢查 文件操作的順序以及鎖定等問題系統(tǒng)配置 默認(rèn)配置的不足 管理員的疏忽 臨時端口 信任關(guān)系遠(yuǎn)程攻擊的步驟黑客攻擊流程圖Step1：尋找目標(biāo)，收集信息 (1) 鎖定目標(biāo)利用下列的公開協(xié)議或工具，收集你的相關(guān)信息。SNMP協(xié)議：用來查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，

4、從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其內(nèi)部細(xì)節(jié)。TraceRoute程序：能夠用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù)。Ping實用程序：可以用來確定一個指定的主機(jī)的位置。DNS服務(wù)器：該服務(wù)器提供了系統(tǒng)中可以訪問的主機(jī)的IP地址表和它們所對應(yīng)的主機(jī)名。(2) 服務(wù)分析使用Telnet、FTP等軟件試探；使用端口掃描工具軟件，如x-scan,namp等。(3) 系統(tǒng)分析(4) 獲取帳號信息利用目標(biāo)主機(jī)的Finger功能：用來獲取一個指定主機(jī)上的所有用戶的詳細(xì)信息(如注冊名、電話號碼、最后注冊時間以及他們有沒有讀郵件等等）。利用電子郵件地址；利用目錄服務(wù)；習(xí)慣性常用帳號； (5) 獲得

5、管理員信息使用查詢命令host：可獲得保存在目標(biāo)域服務(wù)器中的所有信息。Whois協(xié)議：該協(xié)議的服務(wù)信息能提供所有有關(guān)的DNS域和相關(guān)的管理參數(shù)。ie:/whois/index.php使用搜索引擎查詢Usenet和Web。踩點(diǎn)掃描查點(diǎn)獲取訪問權(quán)拒絕服務(wù)攻擊權(quán)限提升竊取掩蓋蹤跡創(chuàng)建后門使用Whois、DNS、Google收集目標(biāo)信息利用踩點(diǎn)結(jié)果，查看目標(biāo)系統(tǒng)在哪些通道使用哪些服務(wù)以及使用的是什么操作系統(tǒng)等根據(jù)掃描，使用與特定操作系統(tǒng)/服務(wù)相關(guān)的技術(shù)，收集用戶帳號、共享資源及export等信息發(fā)起攻擊試圖成為超級用戶改變、添加、刪除及復(fù)制用戶數(shù)據(jù)修改/刪除系統(tǒng)日志為以后在此入侵做準(zhǔn)備黑客攻擊流程圖S

6、tep2：安全漏洞的挖掘和分析掃描尋找安全漏洞，可以用下列方式：自編程序：利用產(chǎn)品或操作系統(tǒng)的補(bǔ)丁程序發(fā)現(xiàn)系統(tǒng)的漏洞，利用自編程序進(jìn)入未打“補(bǔ)丁”的系統(tǒng)。利用公開的工具：像Internet的電子安全掃描程序ISS （ Internet Security Scanner）、審計網(wǎng)絡(luò)用的安全分析工具SATAN （ Security Analysis Tool for Auditing Network）等。黑客可以利用這些工具，收集目標(biāo)系統(tǒng)的信息，獲取攻擊目標(biāo)系統(tǒng)的非法訪問權(quán)。Step3：獲得目標(biāo)使用權(quán)限用戶的ID和口令是進(jìn)入系統(tǒng)的第一道屏障，可以采用finger命令來探測目標(biāo)主機(jī)是否連通，以及目標(biāo)

7、主機(jī)上用戶的情況。然后可以采用專門的口令獲取工具，得到用戶的口令。Step4：隱藏攻擊活動 連接隱藏：修改環(huán)境變量、修改日志文件等； 進(jìn)程隱藏：使用重定向技術(shù)減少給出的信息量，用特洛依木馬代替程序等； 文件隱藏：用相似的字符串麻痹管理員，或隱藏文件。Step5：實施攻擊活動 建立另外的新的安全漏洞或后門，以便在先前的攻擊點(diǎn)被發(fā)現(xiàn)之后，繼續(xù)訪問這個系統(tǒng)。 安裝探測軟件，包括木馬 可能會利用被攻擊主機(jī)作為對整個網(wǎng)絡(luò)展開攻擊的大本營，成為一臺“肉雞”。Step6：攻擊痕跡清除為了避免系統(tǒng)安全管理員追蹤，攻擊后會消除攻擊痕跡，如：刪除或替換系統(tǒng)的日志文件；干擾IDS正常運(yùn)行和修改完整性檢測標(biāo)簽。10.

8、2 緩沖區(qū)溢出攻擊 原理向一個有限空間的緩沖區(qū)中拷貝過長的字符串，它會帶來兩種后果： 過長的字符串覆蓋了相鄰的存儲單元，引起程序運(yùn)行失敗，嚴(yán)重的可引起宕機(jī)、系統(tǒng)重新啟動等后果； 利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)。 一個典型的例子返回地址：0 x40404040利用緩沖區(qū)溢出進(jìn)行的系統(tǒng)攻擊(Windows)參考Jason先生的Windows NT Buffer Overflows From Start to Finish.調(diào)試、測試環(huán)境： Microsoft Visual C+ 6.0 Microsoft Windows 2000 Server 調(diào)試、測試過程 首先，寫一個存在

9、緩沖區(qū)溢出漏洞的應(yīng)用程序。該程序可讀取文件的內(nèi)容，這樣我們就能通過修改被讀取文件的內(nèi)容來使程序溢出。在Visual C+開發(fā)環(huán)境中創(chuàng)建一個新的控制臺應(yīng)用程序，選擇”An Application that supports MFC”并單擊”Finish”。向這個應(yīng)用程序中添加一些必要的代碼，如下： CWinApp theApp; using namespace std; void overflow(char* buff); void overflow(char* buff) CFile file; CFileException er; if(!file.Open(_T(overflow.txt)

10、,CFile:modeRead,&er) er.ReportError(); return; int x = file.GetLength(); file.Read(buff,x); int _tmain(int argc, TCHAR* argv, TCHAR* envp) int nRetCode = 0; if (!AfxWinInit(:GetModuleHandle(NULL), NULL, :GetCommandLine(), 0) cerr _T(Fatal Error: MFC initialization failed) endl; nRetCode = 1; else ch

11、ar buff10; overflow(buff); return nRetCode; Windows NT/2000的內(nèi)存結(jié)構(gòu)： 0 x000000000 x0000FFFF：為NULL指針分配而保留的，訪問該區(qū)域內(nèi)存將導(dǎo)致“非法訪問”錯誤。0 x000100000 x7FFEFFFF：用戶進(jìn)程空間。EXE文件的映像被加載到其中（起始地址0 x00400000），DLL（動態(tài)鏈接庫）也被加載到這部份空間。如果DLL或EXE的代碼被裝入到該范圍的某些地址，就能夠被執(zhí)行。訪問該區(qū)域中沒有代碼裝入的地址將導(dǎo)致“非法訪問”錯誤。 0 x7FFF00000 x7FFFFFFF是保留區(qū)域，對此區(qū)域的任何

12、訪問都將導(dǎo)致“非法訪問”錯誤。 0 x800000000 xFFFFFFFF僅供操作系統(tǒng)使用。用于加載設(shè)備驅(qū)動程序和其它核心級代碼。從用戶級應(yīng)用程序（ring 3）訪問此區(qū)域?qū)?dǎo)致“非法訪問”錯誤。 源碼解析：1、在overflow.txt中填寫“a”，不斷嘗試增加其長度，當(dāng)字符串長度為18時，運(yùn)行程序彈出下面的提示框，說明程序崩潰了。此時ESP指向地址的內(nèi)容為：0012FF78 01 00 00 00 00 1B 42 .B意思就是說返回地址沒有被改變。2、當(dāng)字符串長度增加到24時，運(yùn)行程序并觀察彈出的對話框信息：“0 x61616161”指令引用的”0 x61616161”內(nèi)存。該內(nèi)存不能

13、為”written”。仔細(xì)分析代碼的運(yùn)行。首先，把斷點(diǎn)設(shè)在main函數(shù)的最后一行代碼，程序正確運(yùn)行到該處的時候，查看反匯編后的代碼，見下頁。匯編代碼：0040155B pop edi0040155C pop esi0040155D pop ebx0040155E add esp,50h00401561 cmp ebp,esp00401563 call _chkesp (004015e6)00401568 mov esp,ebp0040156A pop ebp0040156B ret然后，單步執(zhí)行到pop ebp指令時，看寄存器的狀態(tài)：EIP = 0040156B ESP = 0012FF74

14、EBP = 61616161執(zhí)行ret后，此時寄存器的狀態(tài)為：EIP = 61616161 ESP = 0012FF78 EBP = 61616161內(nèi)存為：0012FF78 01 00 00 00 00 1B 42 .B3、當(dāng)長度增加到28時，執(zhí)行ret后，此時寄存器的狀態(tài)為：EIP = 61616161 ESP = 0012FF78 EBP = 61616161內(nèi)存為：0012FF78 61 61 61 61 00 1B 42 aaaa.B 防止緩沖區(qū)溢出的方法編寫正確的代碼對數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對數(shù)組的操作在正確的范圍內(nèi)。通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者殖入攻擊

15、代碼 這種方法有效地阻止了很多緩沖區(qū)溢出的攻擊，但是攻擊者并不一定要殖入攻擊代碼來實現(xiàn)緩沖區(qū)溢出的攻擊，所以這種方法還是存在很多弱點(diǎn)的。 利用編譯器的邊界檢查來實現(xiàn)緩沖區(qū)的保護(hù) 這個方法使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅，但是相對而言代價比較大。 在程序指針失效前進(jìn)行完整性檢查 這樣雖然這種方法不能使得所有的緩沖區(qū)溢出失效，但它的確確阻止了絕大多數(shù)的緩沖區(qū)溢出攻擊，而能夠逃脫這種方法保護(hù)的緩沖區(qū)溢出也很難實現(xiàn)。10.3 安全掃描基本原理采用模擬黑客攻擊的形式對目標(biāo)可能存在的已知的安全漏洞進(jìn)行逐項檢查，然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為網(wǎng)絡(luò)安全的整

16、體水平產(chǎn)生重要的依據(jù)?；谥鳈C(jī)的安全掃描基于網(wǎng)絡(luò)的安全掃描主要用途發(fā)現(xiàn)漏洞。即通過對漏洞掃描來準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)中哪些主機(jī)或設(shè)備存在哪些漏洞。獲得可用的報表。即通過對掃描發(fā)現(xiàn)的漏洞進(jìn)行統(tǒng)計分析，產(chǎn)生有意義的報表，其中包括漏洞的詳細(xì)描述和修補(bǔ)方法。展示資產(chǎn)漏洞情況。通過掃描來了解到網(wǎng)絡(luò)中各主機(jī)當(dāng)前的漏洞情況及修補(bǔ)情況。系統(tǒng)安全掃描的工作原理安全管理員基于網(wǎng)絡(luò)的安全掃描采用積極的、非破壞性的辦法來檢測系統(tǒng)是否有可能被攻擊崩潰，利用一系列的腳本模擬對系統(tǒng)進(jìn)行攻擊的行為，然后對結(jié)果進(jìn)行分析。通過網(wǎng)絡(luò)遠(yuǎn)程探測其他主機(jī)的安全風(fēng)險漏洞，安裝在整個網(wǎng)絡(luò)環(huán)境中的某一臺機(jī)器上。包含網(wǎng)絡(luò)映射（Network Mappi

17、ng）和端口掃描功能。 以Nessus為例?；诰W(wǎng)絡(luò)的漏洞掃描器體系結(jié)構(gòu)漏洞數(shù)據(jù)庫模塊：漏洞數(shù)據(jù)庫包含了各種操作系統(tǒng)的各種漏洞信息，以及如何檢測漏洞的指令。由于新的漏洞會不斷出現(xiàn)，該數(shù)據(jù)庫需要經(jīng)常更新，以便能夠檢測到新發(fā)現(xiàn)的漏洞。用戶配置控制臺模塊：用戶配置控制臺與安全管理員進(jìn)行交互，用來設(shè)置要掃描的目標(biāo)系統(tǒng)，以及掃描哪些漏洞。掃描引擎模塊：掃描引擎是掃描器的主要部件。根據(jù)用戶配置控制臺部分的相關(guān)設(shè)置，掃描引擎組裝好相應(yīng)的數(shù)據(jù)包，發(fā)送到目標(biāo)系統(tǒng)，將接收到的目標(biāo)系統(tǒng)的應(yīng)答數(shù)據(jù)包，與漏洞數(shù)據(jù)庫中的漏洞特征進(jìn)行比較，來判斷所選擇的漏洞是否存在。當(dāng)前活動的掃描知識庫模塊：通過查看內(nèi)存中的配置信息，該模

18、塊監(jiān)控當(dāng)前活動的掃描，將要掃描的漏洞的相關(guān)信息提供給掃描引擎，同時還接收掃描引擎返回的掃描結(jié)果。結(jié)果存儲器和報告生成工具：報告生成工具，利用當(dāng)前活動掃描知識庫中存儲的掃描結(jié)果，生成掃描報告。掃描報告將告訴用戶配置控制臺設(shè)置了哪些選項，根據(jù)這些設(shè)置，掃描結(jié)束后，在哪些目標(biāo)系統(tǒng)上發(fā)現(xiàn)了哪些漏洞。 基于主機(jī)的安全掃描針對操作系統(tǒng)的掃描檢測，采用被動的，非破壞性的辦法對系統(tǒng)進(jìn)行檢測。通常在目標(biāo)系統(tǒng)上安裝了一個代理(Agent)或者是服務(wù)(Services)，以便能夠訪問所有的文件與進(jìn)程，這也使的基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。 以Symantec的Enterprise Security Man

19、ager（ESM）為例。工作原理ESM是個基于主機(jī)的Client/Server三層體系結(jié)構(gòu)的漏洞掃描工具。這三層分別為：ESM控制臺、ESM管理器和ESM代理。 基于主機(jī)的掃描器體系結(jié)構(gòu)解釋ESM控制臺安裝在一臺計算機(jī)中；ESM管理器安裝在企業(yè)網(wǎng)絡(luò)中；所有的目標(biāo)系統(tǒng)都需要安裝ESM代理。ESM代理安裝完后，需要向ESM管理器注冊。 掃描器常用的端口掃描技術(shù)TCP connect()掃描TCP SYN掃描TCP FIN掃描IP段掃描TCP反向認(rèn)證掃描FTP代理掃描UDP ICMP端口不可到達(dá)掃描ICMP echo掃描10.4 特洛依木馬 概念源于古希臘戰(zhàn)爭。屬于客戶/服務(wù)模式。 客戶端：主控端，

20、向服務(wù)器發(fā)送連接請求。 服務(wù)端：被控端，提供服務(wù)，一般會打開一個默認(rèn)端口進(jìn)行監(jiān)聽，當(dāng)偵聽到客戶端的連接請求，便自動運(yùn)行相應(yīng)程序。 特點(diǎn) 隱蔽性：即使服務(wù)端被發(fā)現(xiàn)，也不容易確定客戶端的位置。非授權(quán)性：用戶在不知情的情況下被安裝了服務(wù)端，伴隨系統(tǒng)啟動而自動運(yùn)行，監(jiān)聽客戶端的連接請求。一旦建立連接之后，客戶端將享有服務(wù)端的大部分操作權(quán)限。 木馬偽裝的方式 冒充圖像文件首先改變文件名。如把.exe改變成.jpg.exe。其次更改文件圖標(biāo)。一般木馬本身沒有圖標(biāo)，系統(tǒng)會顯示一個windows預(yù)設(shè)的圖標(biāo)。合并程序欺騙將木馬與一個正常的文件捆綁為一個文件。例如WinRAR可實現(xiàn)。偽裝成應(yīng)用程序擴(kuò)展組件此類屬于

21、最難識別的木馬。如偽裝成.dll，.ocx等，掛在一個知名的軟件中。 木馬的工作原理木馬隱藏技術(shù)a、在任務(wù)管理器中隱藏：一般會把木馬進(jìn)程設(shè)為“系統(tǒng)服務(wù)”，在任務(wù)管理器中便看不到了。或者把木馬做成其他應(yīng)用程序的一個線程，把木馬注入其他應(yīng)用程序的地址空間。b、在任務(wù)欄里隱藏c、在端口中隱藏d、在通信中隱藏：客戶端和服務(wù)端通過直接或間接的途徑通信。f、在加載文件中隱藏g、修改虛擬設(shè)備驅(qū)動程序（.vxd）或修改動態(tài)鏈接庫（.dll）來加載木馬，改變了原有采用監(jiān)聽端口的模式。木馬建立連接技術(shù)利用winsock，服務(wù)端和客戶端在制定端口建立連接，使用send和recv等API進(jìn)行數(shù)據(jù)的傳遞。早期的木馬一般

22、采用TCP、UDP連接，易被發(fā)現(xiàn)，用netstat命令。下面介紹幾種典型的木馬。（1）合并端口木馬這是最新的隱藏方式。修改虛擬設(shè)備驅(qū)動程序（vxd）或修改動態(tài)鏈接庫（dll），在一個端口上同時綁定兩個TCP或者UDP連接，如木馬端口與http的80端口綁定，達(dá)到隱藏端口的目的。工作原理：木馬會將修改后的dll替代系統(tǒng)原有的dll，并對所有的函數(shù)調(diào)用進(jìn)行過濾，對于常用的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)到系統(tǒng)原有的dll。木馬只使用dll進(jìn)行監(jiān)聽，一旦發(fā)現(xiàn)客戶端的連接請求就激活自身，綁在一個進(jìn)程上進(jìn)行正常的木馬操作。優(yōu)點(diǎn)：擺脫了原有的監(jiān)聽端口模式，采用替代系統(tǒng)功能的方法。沒有新增文件，沒有打開新的端口，沒

23、有新的進(jìn)程。（2）使用ICMP協(xié)議進(jìn)行數(shù)據(jù)的發(fā)送由于ICMP由內(nèi)核或進(jìn)程直接處理而不需要通過端口?？梢孕薷腎CMP頭的構(gòu)造，加入木馬的控制字段，木馬將自己偽裝成一個Ping的進(jìn)程，系統(tǒng)就會將ICMP_ECHOREPLY的監(jiān)聽、處理權(quán)交給木馬進(jìn)程。優(yōu)點(diǎn)： ICMP_ECHOREPLY包對防火墻和網(wǎng)關(guān)有穿透能力，因為一旦不允許ICMP_ECHOREPLY報文通過就意味著主機(jī)沒有辦法對外進(jìn)行ping操作。（3）反彈端口型木馬服務(wù)端使用主動端口，客戶端使用被動端口，木馬定時監(jiān)測客戶端的存在，發(fā)現(xiàn)客戶端上線立即彈出端口主動連接客戶端打開的主動端口，一般客戶端的主動端口設(shè)為80。而客戶端的IP則一般使用固

24、定IP的第三方存儲設(shè)備來進(jìn)行傳遞，如一個固定的網(wǎng)址。（4）使用基于嗅探原理的原始套接字木馬服務(wù)端是一個發(fā)包器和嗅探器，它將捕獲指定特征的數(shù)據(jù)包。優(yōu)點(diǎn)：完全基于非連接狀態(tài)，使用原始包進(jìn)行通信，可使用任意協(xié)議，可采用任意制定的數(shù)據(jù)包形式，可實現(xiàn)部分的隱藏地址，可實現(xiàn)無連接反向通信，可突破一些防火墻的監(jiān)視。木馬啟動方式在Win.ini中啟動查看win.ini文件中指定的自動執(zhí)行程序，其路徑和文件名是否異常。 WINDOWS load= run=在System.ini中啟動可能被加載木馬的地方：查看system.ini文件 BOOT shell= 正常時該行為 shell=explorer.exe如果

25、該行為：Shell=explorer.exe 程序名，則后面的程序可能是木馬程序。386Enh字段中“driver=路徑程序名”。micdriversdrivers32利用注冊表加載運(yùn)行在Autoexec.bat和Config.sys中加載運(yùn)行在Winstart.bat中啟動批處理文件，能被windows加載運(yùn)行。在多數(shù)情況下為應(yīng)用程序及windows自動生成，在執(zhí)行了windows自動生成，以及在執(zhí)行了并加載了多數(shù)驅(qū)動程序之后開始執(zhí)行。在啟動組中加載感染了冰河木馬后的啟動組在.ini文件中加載這是應(yīng)用程序的啟動配置文件?？梢詫⒅谱骱玫膸в心抉R啟動命令的同名文件上傳到服務(wù)器端覆蓋這些同名文件，

26、這樣就可以啟動木馬了。只啟動一次的方式在winint.ini中。修改文件關(guān)聯(lián)如冰河木馬，采用TxtFile文件關(guān)聯(lián)的方式，一旦雙擊一個txt文件，原本應(yīng)用notepad程序打開該文件，現(xiàn)在就變成啟動木馬程序了。捆綁文件如果控制端（客戶端）和服務(wù)端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋源文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬也會安裝上去。如捆綁到系統(tǒng)文件，那么每一次windows啟動均會啟動木馬。反彈端口型木馬的主動連接方式與一般木馬相反，很難防范。如網(wǎng)絡(luò)神偷。此類木馬可以采用查找注冊表的變化來監(jiān)測是否中木馬。

27、木馬的防范端口掃描：對于驅(qū)動程序/動態(tài)鏈接木馬不起作用。查看連接：netstat a查看TCP/UDP連接，但無法查出驅(qū)動程序/動態(tài)鏈接木馬。檢查注冊表查找文件10.5 網(wǎng)絡(luò)監(jiān)聽1. 什么是網(wǎng)絡(luò)監(jiān)聽？網(wǎng)絡(luò)監(jiān)聽就是利用工具監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。網(wǎng)絡(luò)監(jiān)聽是一把雙刃劍: 管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況 開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況 黑客可以用來刺探網(wǎng)絡(luò)情報在各種操作系統(tǒng)上都有網(wǎng)絡(luò)監(jiān)聽工具 Linux-tcpdump NT-Network Monitor2. 監(jiān)聽目的1）網(wǎng)絡(luò)管理員：進(jìn)行網(wǎng)絡(luò)管理。 2）黑客：捕獲口令、截獲機(jī)密或?qū)Ｓ行畔?. 監(jiān)聽位置 1）網(wǎng)關(guān)

28、、路由器設(shè)備： 監(jiān)聽效果最好。 通常由系統(tǒng)管理員進(jìn)行。 2）任何一臺上網(wǎng)主機(jī)： 黑客常用。 以太網(wǎng)監(jiān)聽原理1. 以太網(wǎng)組成網(wǎng)絡(luò)結(jié)構(gòu)由如下部分組成：1）工作站?？梢允且慌_功能較強(qiáng)的微機(jī)系統(tǒng)，或磁盤服務(wù)器、磁帶機(jī)或其它外部設(shè)備。2）網(wǎng)絡(luò)控制和接口部分。指控制器、接口和收發(fā)器。通常被制作在一塊插件板上，稱為網(wǎng)絡(luò)接口板。3）總線Ether。指通信介質(zhì)。以太網(wǎng)是一種總線式局域網(wǎng)絡(luò)。網(wǎng)絡(luò)中各計算機(jī)共享公共信道。2.以太網(wǎng)訪問控制模式1）正常情況當(dāng)數(shù)字信號到達(dá)一臺主機(jī)的網(wǎng)絡(luò)接口時，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，進(jìn)行檢查。如果數(shù)據(jù)幀中攜帶的物理地址是自己的，或者是廣播地址，將數(shù)據(jù)幀交給上層協(xié)議軟件，否則將這個幀丟棄。因

29、此，只有與數(shù)據(jù)包目標(biāo)地址一致的主機(jī)才能接收數(shù)據(jù)包。2）監(jiān)聽模式將以太網(wǎng)卡設(shè)置為雜湊模式后，該網(wǎng)卡能夠接收網(wǎng)絡(luò)上的所有數(shù)據(jù)包，即所有數(shù)據(jù)幀都被上交給上層協(xié)議軟件。因此，無論數(shù)據(jù)包中的目標(biāo)地址是什么，主機(jī)都將接收。數(shù)據(jù)鏈路監(jiān)聽可能性說明Ethernet高任意兩臺主機(jī)的所有網(wǎng)絡(luò)數(shù)據(jù)包都在總線上傳送，總線上的任何一臺主機(jī)都能夠偵聽到數(shù)據(jù)包。FDDI Token-ring低令牌網(wǎng)不是廣播型網(wǎng)絡(luò)。電話線中等電話線能夠被搭線接聽微波和無線電高無線電是廣播型的傳輸媒介。任何有無線電接收機(jī)的人都可以截獲傳輸?shù)男畔?。注意?在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?，但不能監(jiān)聽不在同一網(wǎng)段的計算機(jī)傳輸?shù)男畔ⅰ?/p>

30、 不是同一網(wǎng)段的數(shù)據(jù)包，在網(wǎng)關(guān)就被過濾掉，傳不到該網(wǎng)段來。 當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個子網(wǎng)時，主機(jī)也可以監(jiān)聽來自不在同一子網(wǎng)的主機(jī)的信息包。10.6 拒絕服務(wù)攻擊拒絕服務(wù)攻擊通過使計算機(jī)功能或性能崩潰來阻止提供服務(wù)，是常見的攻擊行為。拒絕服務(wù)攻擊可以在沒有獲得主機(jī)賬號的情況下進(jìn)行，只要主機(jī)連接在網(wǎng)絡(luò)上就可能受到攻擊。當(dāng)對一個資源的合理請求大大超過系統(tǒng)的處理能力時就會造成拒絕服務(wù)攻擊。拒絕服務(wù)攻擊主要包括: 死ping(ping of death) 淚滴(teardrop) SYN 洪水(SYN flood) Land 攻擊 Smurf 攻擊 分布式攻擊 電子郵件炸彈死p

31、ing（ping of death）概覽：在許多操作系統(tǒng)的早期版本中，對網(wǎng)絡(luò)數(shù)據(jù)包的最大尺寸有限制，對TCP/IP棧的實現(xiàn)在ICMP包上規(guī)定為64KB。在讀取包的報頭后，要根據(jù)該報頭里包含的信息來為有效載荷生成緩沖區(qū)。當(dāng)發(fā)送ping請求的數(shù)據(jù)包聲稱自己的尺寸超過ICMP上限，也就是加載的尺寸超過64K上限時，就會使ping請求接收方出現(xiàn)內(nèi)存分配錯誤導(dǎo)致TCP/IP堆棧崩潰，致使接受方死機(jī)。防御：現(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP實現(xiàn)都已實現(xiàn)對付超大尺寸的包，并且大多數(shù)防火墻能夠自動過濾這些攻擊，包括：從windows98之后的windows，Windows NT(service pack 3之后)，l

32、inux Solaris 和Mac OS都具有抵抗一般ping of death攻擊的能力。此外，對防火墻進(jìn)行配置，阻斷ICMP以及任何未知協(xié)議，都將防止此類攻擊。 淚滴（teardrop）攻擊概覽：淚滴攻擊利用那些在TCP/IP堆棧中實現(xiàn)IP包的標(biāo)題頭所包含的信息來實現(xiàn)攻擊。操作系統(tǒng)需要將分片的IP包組合成一個完整的IP包。IP分片含有指示該分段包含的是原包的哪一段的信息。攻擊者向目標(biāo)主機(jī)發(fā)送兩個分片的IP包。第一個IP包的數(shù)據(jù)偏移(offset)設(shè)為0，有效數(shù)據(jù)長度為N。第二個IP包的數(shù)據(jù)偏移設(shè)為K(KN)，有效數(shù)據(jù)長度為S(K+S=N時沒有重復(fù)）。需要調(diào)整第二個包的offset和len：

33、調(diào)整后offset=N ，len=(K+S)-N，從而第二個包的長度len0，可以正常處理。Teardrop攻擊情況：len1= NOffset1=0Len2= SOffset2=K第二個IP分片的len0，系統(tǒng)將崩潰。 TCP SYN洪水（TCP SYN flood）概覽：在網(wǎng)絡(luò)中建立TCP連接時，需要客戶機(jī)和服務(wù)器之間的三次包交換。客戶機(jī)發(fā)送SYN包，服務(wù)器收到后必須回應(yīng)一個SYN/ACK包，然后等待該客戶機(jī)回應(yīng)一個ACK包來確認(rèn)，才真正建立連接。如果客戶機(jī)只發(fā)送初始化的SYN包，而不向服務(wù)器發(fā)送確認(rèn)的ACK包，會導(dǎo)致服務(wù)器一直等待到ACK包直到超時為止。由于服務(wù)器在有限的時間內(nèi)只能響應(yīng)有

34、限數(shù)量的連接，這會導(dǎo)致服務(wù)器一直等待回應(yīng)而無法響應(yīng)其它機(jī)器的連接請求。防御：在防火墻上過濾來自同一主機(jī)的后續(xù)連接。 TCP SYN洪水威脅很大，由于釋放洪流的主機(jī)并不尋求響應(yīng)，所以無法從一個高容量的傳輸中鑒別出來。 Land攻擊概覽：在Land攻擊中，將一個SYN包的原地址和目標(biāo)地址都設(shè)置成同一服務(wù)器地址，導(dǎo)致服務(wù)器向自己的地址發(fā)送SYN/ACK包，然后這個地址又發(fā)回ACK包并建立空連接。每一個空連接都將保留直到超時。對Land攻擊反應(yīng)不同，許多UNIX實現(xiàn)將崩潰，NT則變得極其緩慢（大約持續(xù)五分鐘）。防御：打最新的補(bǔ)丁，或者在防火墻進(jìn)行配置，將那些在外部接口上入站的含有內(nèi)部源地址濾掉。 Smurf攻擊概覽：簡單的Smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求ping 數(shù)據(jù)包來淹沒受害主機(jī)的方式進(jìn)行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，它比ping of death洪水的流量高一或兩個數(shù)量級。更復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方雪崩。防御：為了防止黑客利用你的網(wǎng)絡(luò)攻擊他人，關(guān)閉外部路由器或防火墻的廣播地址特性。為防止被攻擊，在防火墻上設(shè)置規(guī)則，丟棄掉ICMP包。廣播信息可