網絡安全-典型網絡攻擊手段課件

參考閱讀反擊黑客（美）EdSkoudis

王綱譯機械工業(yè)出版社2002年EdSkoudis，是有名的信息安全預測專家、克林頓安全辦公室的高級顧問以及網絡安全研究會“

TheHack-CounterHackTrainingCourse”的創(chuàng)始人，是多年來一直從事計算機安全工作。CounterHack:AStep-by-StepGuidetoComputerAttacksandEffectiveDefenses”（中文版譯名為《反擊黑客》），詳細介紹防御各種黑客攻擊的技術與方法。典型網絡攻擊步驟端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務獲取系統(tǒng)一定權限提升為最高權限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途網絡攻擊手段準備階段數(shù)據(jù)傳輸過程中的竊聽IP地址欺騙會話劫持拒絕服務攻擊維護訪問權后門和木馬準備階段獲取目標的一般信息探測目標的薄弱環(huán)節(jié)

戰(zhàn)爭撥號

端口掃描

漏洞掃描Whois數(shù)據(jù)庫查找IP地址、主機是否運行、到要入侵點的路由、主機操作系統(tǒng)與用戶信息等。獲取信息收集主機信息

Ping命令判斷計算機是否開著，或者數(shù)據(jù)包發(fā)送到返回需要多少時間

Tracert/Tracerout命令跟蹤從一臺計算機到另外一臺計算機所走的路徑

Finger和Rusers命令收集用戶信息

Host或者Nslookup命令，結合Whois和Finger命令獲取主機、操作系統(tǒng)和用戶等信息

應用的方法：準備階段

調查和計劃

了解有關攻擊目標的信息

我們的目的:一旦發(fā)現(xiàn)某些行為特征,就可能在攻擊真正開始前阻止

技術手段:查找目標的基本信息（whois數(shù)據(jù)庫）

戰(zhàn)爭撥號，網絡測繪端口掃描針對特定的IP哪些端口開放提供服務哪種操作系統(tǒng)(響應特征)掃描工具–“知道門和窗”

非技術手段:社會工程學—使用社會技巧和人際關系,獲取與安全相關的信息內部的一些地址“建筑物里面有些什么”

偷聽垃圾搜尋通過公告牌與聊天室交換信息(漏洞利用的技術相關目標的信息)利用軟件開發(fā)商的一些文檔了解產品的細節(jié)

通用目標偵察工具SamSpadeping：這個工具將ICMPEcho請求消息發(fā)給目標，看是否它是可達的，并判斷應答的時間。Whois：SamSpade使用默認Whois服務器或通過允許用戶指定使用哪個Whois數(shù)據(jù)庫來查詢Whois。可使用內建的智能將.com、.net和.org的Whois查詢發(fā)送到合適的Whois服務器。IP塊Whois：可以使用這個特性判斷誰擁有一個特定組的IP地址，它使用的ARIN數(shù)據(jù)(AmericanRegistryforInternetNumbers)。Nslookup：這個特性允許查詢DNS服務器，以找到與IP地址映射的域。DNS帶傳輸：這個特性傳輸關于來自合適的名字服務器的一個給定域名的國內的所有信息。Traceroute：這個特性返回源計算機與選擇的目標之間的路由器跳的一個列表。Finger：這個特性支持查詢一個系統(tǒng)，決定它的用戶列表。SMTPVRFY：這個功能用于判斷特定郵件地址在一給定電子郵件服務器上是否合法。它基于簡單的郵件傳輸協(xié)議（SMTP）鑒別命令，是最廣泛使用的電子郵件協(xié)議里的選項，用于檢查郵件地址的合法性。Web瀏覽器：SamSpade的內建的小型

Web瀏覽器使用戶能查看原始HTTP交互，包括所有的HTTP首部。例：經理在她工作處的PC上安裝了調制解調器和pcAnywhere。pcAnywhere是一種簡單的程序，它允許用戶通過調制解調器從遠程位置撥號到一臺PC并與之連接。戰(zhàn)爭撥號通過持續(xù)地撥入來侵入組織的基于調制解調器的系統(tǒng)。戰(zhàn)爭撥號工具

L0pht的TBA

2000年早期，一個名為L0pht的黑客組織發(fā)布了一個名為TBA的非常吸引人的戰(zhàn)爭撥號器。它是一個具有大量標準功能的戰(zhàn)爭撥號器，例如隨機/連續(xù)撥號，載波檢測。

TBA引起人們注意的功能是它的運行平臺：掌上個人數(shù)字助理。你用來存儲日歷和電話號碼的工具現(xiàn)在可以用來進行戰(zhàn)爭撥號攻擊了。THC-Scan2.0

THC-Scan由TheHacker’sChoice團體發(fā)布，能自動檢測調制解調器的速度、數(shù)據(jù)位、校驗位及停止位。此工具也嘗試去判斷被發(fā)現(xiàn)的計算機所使用的操作系統(tǒng)。而且，THC-Scan有能力確認什么時候能再有撥號音，這樣，黑客們便可以不經過你的PBX就可以撥打免費電話。THC-Scan2.0版于1998年圣誕節(jié)推出。戰(zhàn)爭撥號的預防措施審計、監(jiān)控和記錄用于登錄的設備以及其它可能受攻擊的設備。安全性策略是一個良好的開端，但缺少了備份和執(zhí)行就等于浪費時間。遍歷您的安裝。好的遍歷通常能使您找到連接到機器的調制解調器。還有，保存好的文檔和平面圖，以便您知道該查看哪兒。查看您調制解調器上的自動應答配置。這也可以用來保護您的調制解調器。最后，使用與內部PBX號碼范圍完全不同的電話號碼。這是阻止戰(zhàn)爭撥號攻擊的比較有效的方法之一。例如，如果您的號碼是324-1000，請將象765-3000這樣的范圍用于您的帶外管理解決方案。對這些號碼進行保密并將訪問權限制于重要的專職成員。獲取網絡服務的端口作為入侵通道。

端口掃瞄1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段掃瞄5.TCP反向Ident掃瞄 6.FTP代理掃瞄7.UDPICMP不到達掃瞄 7種掃瞄類型：端口掃描類型開放掃描(OpenScanning)需要掃描方通過三次握手過程與目標主機建立完整的TCP連接可靠性高，產生大量審計數(shù)據(jù)，容易被發(fā)現(xiàn)半開放掃描(Half-OpenScanning)掃描方不需要打開一個完全的TCP連接秘密掃描(StealthScanning)不包含標準的TCP三次握手協(xié)議的任何部分隱蔽性好，但這種掃描使用的數(shù)據(jù)包在通過網絡時容易被丟棄從而產生錯誤的探測信息

開放掃描TCPconnect()掃描原理掃描器調用socket的connect()函數(shù)發(fā)起一個正常的連接如果端口是打開的，則連接成功否則，連接失敗優(yōu)點簡單，不需要特殊的權限缺點服務器可以記錄下客戶的連接行為，如果同一個客戶輪流對每一個端口發(fā)起連接，則一定是在掃描Reverse-ident掃描Ident協(xié)議(RFC1413)使得可以發(fā)現(xiàn)任何一個通過TCP連接的進程的所有者的用戶名，即使該進程并沒有發(fā)起該連接只有在TCP全連接之后才有效Ident服務在TCP端口113例如A想知道從B的6191口連入自己TCP23口的用戶名A可以連接B的ident服務，發(fā)送請求6191，23

如果連接存在，B回應6193,23:USERID:UNIX:stjohns

如果連接不存在，回應6195,23:ERROR:NO-USER攻擊示例可以先連接到80端口，然后通過identd來發(fā)現(xiàn)服務器是否在root下運行（可以直接發(fā)現(xiàn)Web服務器是否錯誤的配置成root權限）建議關閉ident服務，或者在防火墻上禁止，除非是為了審計的目的半開放掃描

TCPSYN掃描原理向目標主機的特定端口發(fā)送一個SYN包如果應答包為RST包，則說明該端口是關閉的否則，會收到一個SYN|ACK包。于是，發(fā)送一個RST，停止建立連接由于連接沒有完全建立，所以稱為“半開連接掃描”優(yōu)點很少有系統(tǒng)會記錄這樣的行為缺點在UNIX平臺上，需要root權限才可以建立這樣的SYN數(shù)據(jù)包TCPIdlescan由Antirez首先使用，并在Bugtraq上公布原理：掃描主機通過偽造傀儡主機IP地址向目標主機發(fā)起SYN掃描，并通過觀察傀儡主機IP序列號的增長規(guī)律獲取端口的狀態(tài)。(開放狀態(tài)，對ACK包返回RST包，序號增加；關閉狀態(tài)，直接丟棄RST包，不增加)優(yōu)點不直接掃描目標主機也不直接和它進行連接，隱蔽性較好缺點對傀儡主機的要求較高

秘密掃描TCPFin掃描原理掃描器發(fā)送一個FIN數(shù)據(jù)包如果端口關閉的，則遠程主機丟棄該包，并送回一個RST包否則的話，遠程主機丟棄該包，不回送變種，組合其他的標記優(yōu)點不是TCP建立連接的過程，所以比較隱蔽缺點與SYN掃描類似，也需要構造專門的數(shù)據(jù)包在Windows平臺無效，總是發(fā)送RST包TCPXMAS掃描原理掃描器發(fā)送的TCP包包頭設置所有標志位關閉的端口會響應一個同樣設置所有標志位的包開放的端口則會忽略該包而不作任何響應優(yōu)點比較隱蔽缺點主要用于UNIX/Linux/BSD的TCP/IP的協(xié)議棧不適用于Windows系統(tǒng)其他掃描FTPBounceScan原理用PORT命令讓ftpserver與目標主機建立連接，而且目標主機的端口可以指定如果端口打開，則可以傳輸否則，返回"425Can'tbuilddataconnection:Connectionrefused."Ftp這個缺陷還可以被用來向目標(郵件,新聞)傳送匿名信息優(yōu)點：這種技術可以用來穿透防火墻缺點：慢，有些ftpserver禁止這種特性UDPICMPportunreachablescanning利用UDP協(xié)議原理開放的UDP端口并不需要送回ACK包，而關閉的端口也不要求送回錯誤包，所以利用UDP包進行掃描非常困難有些協(xié)議棧實現(xiàn)的時候，對于關閉的UDP端口，會送回一個ICMPPortUnreach錯誤缺點速度慢，而且UDP包和ICMP包都不是可靠的需要root權限，才能讀取ICMPPortUnreach消息一個應用例子Solaris的rpcbind端口(UDP)位于32770之上，這時可以通過這種技術來探測端口掃描對策設置防火墻過濾規(guī)則，阻止對端口的掃描例如可以設置檢測SYN掃描而忽略FIN掃描使用入侵檢測系統(tǒng)禁止所有不必要的服務，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注釋掉不必要的服務，并在系統(tǒng)啟動腳本中禁止其他不必要的服務Windows中通過Services禁止敏感服務，如IIS常見掃描工具Nmap由Fyodor編寫提供TCP、UDP端口掃描、操作系統(tǒng)指紋識別集成了多種掃描技巧，提供的端口掃描功能比較全面，是目前國外最為流行的端口掃描工具之一。沒有掃描漏洞的功能，無法對目標主機的脆弱性進行深入挖掘。SuperScan

在Windows環(huán)境下的TCP端口掃描程序。它允許靈活的定義目標IP端口列表圖形化的交互界面使得用起來簡單方便。具有以下功能：1）通過Ping來檢驗IP是否在線；2）IP和域名相互轉換；3）檢驗目標計算機提供的服務類別；4）檢驗一定范圍目標計算機的是否在線和端口情況；5）工具自定義列表檢驗目標計算機是否在線和端口情況；6）自定義要檢驗的端口，并可以保存為端口列表文件；7）軟件自帶一個木馬端口列表trojans.lst，通過這個列表我們可以檢測目標計算機是否有木馬；同時，我們也可以自己定義修改這個木馬端口列表.X-Scan由國內“安全焦點”編寫Windows環(huán)境下的能夠掃描漏洞的檢測工具。支持插件功能，提供了圖形界面和命令行兩種操作方式，能夠實現(xiàn)掃描遠程操作系統(tǒng)類型、標準端口、常見漏洞等功能。只能提供一種端口掃描方式，在目標網絡復雜時無法靈活自主的進行選擇配置，從而限制了它的適應性。圖:X-scan操作系統(tǒng)的識別操作系統(tǒng)辨識的動機許多漏洞是系統(tǒng)相關的，而且往往與相應的版本對應從操作系統(tǒng)或者應用系統(tǒng)的具體實現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng)操作系統(tǒng)的信息還可以與其他信息結合起來，比如漏洞庫，或者社會詐騙(社會工程，socialengineering)如何辨識一個操作系統(tǒng)一些端口服務的提示信息，例如，telnet、http、ftp等服務的提示信息TCP/IP棧指紋DNS泄漏出OS系統(tǒng)圖:winfingerprint跟蹤路由技術跟蹤路由的技術來確定組成你的網絡基礎設施的各種路由器和網關。跟蹤路由技術依賴于IP首部中的生存時間（TTL）字段。TTL與時間無關；它與跳有關。利用TTL字段進行網絡測繪TTL工作原理----路由器收到IP數(shù)據(jù)包，將TTL字段的值減去1。如果TTL值是0，則路由器給數(shù)據(jù)包的源站回送一個ICMP超時的消息。通過發(fā)送具有各種TTL值的一系列數(shù)據(jù)包，能夠從已經知道的源站跟蹤所有的路由器，一直到所有目的地。攻擊者能夠再現(xiàn)出你的網絡拓撲結構。Cheops:一個很好的網絡測繪工具

Cheops是由MarkSpence編寫的，運行在Linux系統(tǒng)下，能夠使用ping和跟蹤路由功能并自動完成網絡目錄和拓撲結構的繪制工作。其他的功能允許系統(tǒng)管理員在網絡內方便的自動進行FTP和安全界面連接。支持遠程操作系統(tǒng)標識功能，使用TCP棧指紋技術。資源掃描與查找掃描網絡資源和共享資源，如目標網絡計算機名、域名和共享文件等等；掃描目標系統(tǒng)上合法用戶的用戶名和用戶組名。Windows系統(tǒng)，特別是WindowsNT/2000在這些方面存在著嚴重的漏洞，很容易讓非法入侵者獲取到關于該目標系統(tǒng)的很多有用信息，如共享資源、Netbios名和用戶組等。采用協(xié)議：NetBIOS協(xié)議、CIFS/SMB協(xié)議和空會話常用工具：NetViewNbtstat和NbtscanLegion和ShedNetView

NETVIEW[\\computername[/CACHE]|/DOMAIN[:domainname]]或

NETVIEW/NETWORK:NW[\\computername]

在命令行中輸入“netview/domain”命令，可以獲取網絡上可用的域

/domain[:domainname]指定要查看其可用計算機的域或工作組。如果省略DomainName，/domain將顯示網絡上的所有域或工作組名。

在命令行中輸入“netview/domain：domain_name”命令，可以獲取某一域中的計算機列表，其中domain_name為要列表計算機的域名。

在命令行中輸入“netview\\computer_name”命令，可以獲取網絡某一計算機的共享資源列表，其中computer_name為計算機名。/network:nw顯示NetWare網絡上所有可用的服務器nbtstat和nbtscannbtstat（NetBIOSoverTCP/IP）是WindowsNT/2000內置的命令行工具，利用它可以查詢涉及到NetBIOS信息的網絡機器。另外，它還可以用來消除NetBIOS高速緩存器和預加載LMHOSTS文件等。這個命令在進行安全檢查時非常有用。利用nbtstat查看目標系統(tǒng)NetBIOS列表Nbtstat本身有一些缺陷，如一次只能掃描一臺主機等，nbtscan（http://www.abb.aha.ru/software/nbtscan.html）卻可以對一個網段進行掃描,利用nbtscan對網段進行掃描。

Legion和Shed

在NetBIOS掃描中，很重要的一項就是掃描網絡中的共享資源，以竊取資源信息或植入病毒木馬。Legion和Shed就是其中的典型。Legion的共享資源掃描可以對一個IP或網段進行掃描，它還包含一個共享密碼的蠻力攻擊工具，如“ShowBFTool”按鈕。主要用于Windows2000以前的操作系統(tǒng)中Shed是一個速度很快的共享資源掃描工具，它可以顯示所有的共享資源，包含隱藏的共享?？諘捲砝肳indowsNT/2000對NetBIOS的缺省信賴通過TCP端口139返回主機的大量信息實例如果通過端口掃描獲知TCP端口139已經打開netuse\\30\IPC$""/USER:""在攻擊者和目標主機間建立連接

Windows2000還有另一個SMB端口445預防資源掃描和查找的方法：

防范NetBIOS掃描的最直接方法就是不允許對TCP/UDP135到139端口的訪問，如通過防火墻或路由器的配置等。另外，對單獨的主機，可使用NetBIOSoverTCP/IP項失效或注冊表配置來實現(xiàn)。Windows2000操作系統(tǒng)還要禁止445端口。用戶和用戶組查找利用前面介紹的方法，可以很容易獲取遠程WindowsNT/2000主機的共享資源、NetBIOS名和所處的域信息等。但黑客和非法入侵者更感興趣的是通過NetBIOS掃描，獲取目標主機的用戶名列表。如果知道了系統(tǒng)中的用戶名（即賬號）后，就可以對該賬號對應的口令進行猜測攻擊（有些口令往往很簡單），從而對遠程目標主機進行更深入的控制。在WindowsNT/2000的資源工具箱NTRK中提供了眾多的工具用于顯示遠程主機用戶名和組信息，如前面介紹的nbtstat和nbtscan,另外還有UsrStat等工具UsrStatUsrStat是一個命令行工具，用于顯示一個給定域中的每一個用戶的用戶名、全名和最后的登錄日期與時間，如圖所示，可顯示域中計算機上的用戶信息。發(fā)現(xiàn)操作系統(tǒng)、系統(tǒng)軟件、常見應用軟件、數(shù)據(jù)庫存在的漏洞，提供解決方案。雙刃劍漏洞發(fā)現(xiàn)與掃描瞬時攻擊蠕蟲名稱CodeRedNimdaSQLSlammerBlasterSasser利用漏洞IISIndexServerUnicode漏洞MIME漏洞SQLServer2000Resolution漏洞WindowsRPC漏洞LSASS漏洞微軟公告MS01-033MS00-078MS01-020MS02-039MS03-026MS04-011補丁發(fā)布2001.6.182000.10.202001.03.292002.6.242003.7.162004.4.13攻擊代碼2001.6.212000.10.202002.6.262003.7.242004.4.13蠕蟲出現(xiàn)2001.7.132001.9.182003.1.252003.8.132004.5.1彌補時間3天/25天0天/140天20天/210天8天/27天0天/20天漏洞發(fā)展趨勢1980 19851990 1995 20002002時間（年）高各種攻擊者的綜合威脅程度低對攻擊者技術知識和技巧的要求黑客攻擊越來越容易實現(xiàn)，威脅程度越來越高信息網絡系統(tǒng)的復雜性增加脆弱性程度網絡系統(tǒng)日益復雜，安全隱患急劇增加漏洞發(fā)展動態(tài)時間黑客高手發(fā)現(xiàn)新的弱點黑客開始利用新弱點進行攻擊針對該弱點的粗糙的攻擊工具開始傳播網絡安全廠家獲取相關漏洞信息集成到掃描檢測工具中自動掃描和利用該弱點的攻擊工具的廣泛散布和使用弱點被廣泛的用于攻擊漏洞發(fā)現(xiàn)方式---主機漏洞掃描主機掃描器（本地掃描器）與待檢查系統(tǒng)運行于同一結點，執(zhí)行對自身的檢查。主要功能分析各種系統(tǒng)文件內容，查找可能存在的對系統(tǒng)安全造成威脅的配置錯誤。特點

可以在系統(tǒng)上任意創(chuàng)建進程。為了運行某些程序，檢測緩沖區(qū)溢出攻擊，就要求掃描器做到這一點?？梢詸z查到安全補丁一級，以確保系統(tǒng)安裝了最新的安全補丁。

可以查看本地系統(tǒng)配置文件，檢查系統(tǒng)的配置錯誤。除非能攻入系統(tǒng)并取得超級用戶權限，遠程掃描器很難實現(xiàn)漏洞發(fā)現(xiàn)方式---網絡掃描器網絡掃描器(遠程掃描器)

和待檢查系統(tǒng)運行于不同結點，通過網絡遠程探測目標結點，檢查安全漏洞。通過執(zhí)行一整套綜合的滲透測試程序集(掃描方法集)，發(fā)送精心構造的數(shù)據(jù)包來檢測目標系統(tǒng)是否存在安全隱患。--搜集目標主機上的各種信息，然后與系統(tǒng)的漏洞庫進行匹配，如果滿足匹配條件，則認為安全漏洞存在；--模擬黑客的攻擊手法對目標主機進行攻擊，如果模擬攻擊成功，則認為安全漏洞存在。

掃描器基本模塊用戶界面掃描引擎掃描方法集漏洞數(shù)據(jù)庫掃描輸出報告掃描策略

主機掃描內容---unix(1)系統(tǒng)完整性檢查關鍵系統(tǒng)文件變化檢查用戶賬戶變化檢查黑客入侵標記檢查未知程序版本不常見文件名可疑設備文件

未經授權服務網絡數(shù)據(jù)包截獲攻擊檢測弱口令選擇檢測有安全漏洞程序版本檢測標記可被攻擊程序報告需要安裝的安全補丁檢查系統(tǒng)配置安全性全局信任文件主機掃描內容--unix(2)crontab文件

rc系統(tǒng)啟動文件文件系統(tǒng)mount權限打印服務賬戶配置組配置檢查網絡服務安全性是否允許ip轉發(fā)標記有風險服務

Ftp配置

News服務器配置NFS配置郵件服務器配置

Web服務器配置檢查用戶環(huán)境變量安全性系統(tǒng)文件屬主系統(tǒng)文件權限許可文件屬主及權限許可

shell啟動文件用戶信任文件應用程序配置文件主機掃描內容-Windows

允許建立guest賬戶

guest賬戶無口令口令構造和過時原則弱口令選擇登陸失敗臨界值注冊表權限許可允許遠程注冊訪問

獨立的注冊設置對系統(tǒng)文件和目錄不正確的分配許可權非NT缺省配置的未知服務運行易遭到攻擊的服務，如：運行在Web服務器上的SMB服務等帶有許可訪問控制設置的共享，可能給遠程用戶全部訪問權網絡掃描內容（1）后門類瀏覽器類強力攻擊類

CGI-Bin類守護進程類

DCOM類

DNS協(xié)議類NFS類電子郵件類

Finger類防火墻類

FTP協(xié)議類信息收集類

InstantMessagingLDAP類

NetBIOS類NIS類

NT關鍵問題類

NT組類

NT網絡類

NT口令檢查類

NT口令策略類

NT補丁類

NT策略類

NT注冊表類

NT服務類

NT用戶類協(xié)議欺騙類路由器/交換機類

RPC類共享類

SNMP類

TCP端口掃描

UDP端口掃描

Web掃描

XWindows類網絡掃描內容（2）漏洞掃描系統(tǒng)的性能指標準確性效率掃描方法的關聯(lián)性掃描器自身的安全漏洞的描述升級頻率Nessus目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。超過75,000個機構使用Nessus作為掃描該機構電腦系統(tǒng)的軟件。1998年,創(chuàng)辦人RenaudDeraison展開了一項名為“Nessus”的計劃，其計劃目的是希望能為因特網社群提供一個免費、威力強大、更新頻繁并簡易使用的遠端系統(tǒng)安全掃描程序。經過了數(shù)年的發(fā)展,包括CERT與SANS等著名的網絡安全相關機構皆認同此工具軟件的功能與可用性。2002年時,Renaud與RonGula,JackHuffard創(chuàng)辦了一個名為TenableNetworkSecurity的機構。在第三版的Nessus發(fā)布之時,該機構收回了Nessus的版權與程序源代碼(原本為開放源代碼),并注冊成為該機構的網站。目前此機構位于美國馬里蘭州的哥倫比亞。Nessus對個人用戶是免費的，只需要在官方網站上填郵箱，立馬就能收到注冊號了，對應商業(yè)用戶是收費的。

Exploit

發(fā)現(xiàn)漏洞后利用相應的Exploit獲取控制權有漏洞不一定就有Exploit。有Exploit就肯定有漏洞Metasploit是一個免費的、可下載的框架,H.D.Moore在2003年發(fā)布附帶數(shù)百個已知軟件漏洞的專業(yè)級漏洞攻擊工具?？梢允褂霉艄ぞ邅砉裟切┪创蜻^補丁或者剛剛打過補丁的漏洞。軟件廠商再也不能推遲發(fā)布針對已公布漏洞的補丁了，因為Metasploit團隊一直都在努力開發(fā)各種攻擊工具，并將它們貢獻給所有Metasploit用戶。漏洞發(fā)現(xiàn)和利用-Metasploit網絡攻擊手段準備階段傳輸過程中的竊聽IP地址欺騙會話劫持拒絕服務攻擊維護訪問權后門和木馬傳輸中的威脅—竊聽

電纜

嗅探器sniffer對網卡重新編程自感應技術(從電纜線讀取輻射信號,要求足夠近)

搭接電纜

WAN上的信號截取者還必須能將信號從多路復用信號中分離微波和衛(wèi)星

很容易截獲信號依靠大容量和復雜的多路復用技術,即使獲取了信號也無法將某個特定信號分離光纖

安全性:分接易被發(fā)現(xiàn)沒有電磁輻射無線通信在美國,無線計算機連接車庫開門器本地無線電部分無繩電話短距離無線應用共用頻段—干擾安全問題:

無線信號強度100-200英尺(1英尺=0.3048米)

用調諧天線就可接受無線通信的標準802.11b802.11a802.11g加密標準WEP40位或104位經典流式密鑰(調查顯示,85%無線網絡沒有使用WEP功能)通過集線器進行嗅探：被動嗅探典型工具

Snort和Sniffit通過交換機進行嗅探：主動嗅探攻擊者發(fā)明了很多工具，這些工具向交換型LAN發(fā)送欺騙性數(shù)據(jù)，以達到截獲流量的目的。Dsniff/-dugsong/dsniff

由DugSong編寫，是個工具集，可在LAN中以多種靈活的方式截取信息。用洪泛對付交換機用ARP欺騙信息對付交換機能夠分析大量應用程序的數(shù)據(jù)包發(fā)送假的DNS信息對HTTPS和SSH進行嗅探ARP欺騙過程發(fā)送假的DNS信息進行流量轉向。Dsniff包含一個叫dnsspoof的程序，可讓攻擊者發(fā)送假的DNS回應給受害者，以使攻擊者要訪問其他機器時卻訪問攻擊者的機器。Dsniff對HTTPS和SSH進行嗅探Dsniff利用SSL和SSH對證書以及公鑰的信任，如果Web服務器發(fā)給瀏覽器的證書是由一個瀏覽器不認識的證書機構簽發(fā)的，瀏覽器將問用戶是否接受此不信任的證書，信任的決定權留在了用戶（通常是沒經驗的，一般用戶不在意此）手里，瀏覽器會警告用戶，但它仍允許用戶繼續(xù)建立連接。Dsniff工具集中用于攻擊HTTPS和SSH的工具名是：webmitm和sshmitm。Dsniff對HTTPS和SSH進行嗅探嗅探的防御

將傳輸?shù)臄?shù)據(jù)進行加密。使用交換機。防止ARP欺騙對包含了重要系統(tǒng)和數(shù)據(jù)的網絡，在交換機上進行端口級安全設置，用鏈到端口上的機器的MAC地址來配置此端口，以防止MAC地址洪泛和arpspoof。在極端重要的網絡，如DMZ，在每臺終端機器上使用靜態(tài)ARP表，對LAN上的所有系統(tǒng)進行MAC地址的硬編碼。網絡攻擊手段準備階段傳輸過程中的竊聽IP地址欺騙會話劫持拒絕服務攻擊維護訪問權后門和木馬IP地址欺騙（1）IP地址欺騙

通過改變或偽裝系統(tǒng)的IP地址進行攻擊。

可幫助攻擊者對那些使用IP地址來當作驗證方式和過濾方法的應用程序進行破壞。簡單欺騙型攻擊者很容易改變其IP地址，使用一種工具來產生具有所需IP地址的數(shù)據(jù)包。典型工具Nmap和dsniff都是利用后一種方法來產生欺騙性數(shù)據(jù)包的。如果攻擊者想不讓人知道數(shù)據(jù)包洪泛或DOS攻擊的數(shù)據(jù)包來向，簡單欺騙是個不錯的選擇。但有很大的限制。假冒攻擊存在的問題例：EVE是攻擊者，ALICE是被假裝者，BOB是目標受害者。過程:EVE與BOB打開一個連接，假冒A發(fā)送3次握手的第一個數(shù)據(jù)包TCPSYN（A，ISNa）；然后是3端握手第二步，BOB發(fā)送ACK（A，ISNa）SYN（B，ISNb）給ALICE當ALICE收到此數(shù)據(jù)包時，因為它本身并沒進行3次握手第一步，所以它將發(fā)送RESET信息，斷開連接，從而使EVE不能假裝成ALICE和BOB交互，EVE也就無從截獲數(shù)據(jù)流量。如果EVE和BOB是在同一個LAN上，簡單攻擊能夠以交互方式進行，因為EVE可以從LAN上面截獲BOB發(fā)出給ALICE的回應信息，并利用ARP欺騙來防止ALICE的RESET信息將連接終止。破壞UNIX的r命令型

所謂“UNIX信任”是指當一個UNIX系統(tǒng)信任另一個時，用戶可以登錄到被信任主機，使用r-命令（如rlogin、rsh、rcp）對信任主機進行訪問時無需提供密碼。IP地址欺騙（2）3個終端都使用UNIX系統(tǒng)，而ALICE被BOB系統(tǒng)信任。這樣，攻擊者只要在欺騙攻擊中成功使用了ALICE的地址，他就能在BOB系統(tǒng)上執(zhí)行命令而無需提供密碼。具體步驟：EVE打開到BOB的TCP連接，不斷的發(fā)送TCPSYN數(shù)據(jù)包

可以幫助EVE猜測出BOB的SYN-ACK中的初始序列號隨時間變化的規(guī)律，從而猜測出在第5)步中將會使用的初始序列號，當然如果猜錯，將前功盡EVE對ALICE發(fā)動拒絕服務攻擊，使ALICE在一段時間內變啞，不能發(fā)送RESET數(shù)據(jù)包，于是欺騙性的TCP連接不會斷掉了。EVE使用ALICE的地址同BOB建立連接（極可能使用rsh這類命令），完成3次握手第一步。BOB回應數(shù)據(jù)包給ALICE

由于ALICE受到拒絕服務攻擊，不能發(fā)送RESET數(shù)據(jù)包。EVE向BOB發(fā)送ACK里面的ISNb（直到猜對）是猜的，而且還是使用ALICE的IP地址來進行欺騙。BOB認為ALICE與他建立了一個TCP連接，并使用了r-命令。EVE可以假裝成ALICE發(fā)送命令給BOB，BOB將執(zhí)行這些命令。BOB的所有回應都將被發(fā)送給ALICE，因此，EVE真正并沒有同BOB建立交互連接。EVE只是發(fā)送命令，BOB將執(zhí)行命令并發(fā)送回應給ALICE（仍然啞著），這就建立了一個單向的命令發(fā)送管道，EVE可以重新配置BOB以獲得完全的交互訪問權。比如EVE可以將其IP地址加進/etc/hosts.equiv文件，使得BOB信任EVE，這樣，以后就可以直接使用r-命令登錄BOB，而不用使用欺騙手段了。ISNA的猜測源路由欺騙型源路由發(fā)送數(shù)據(jù)包的源機器可以指定此數(shù)據(jù)包在網絡上要經過的途徑。EVE產生帶有虛假路由的數(shù)據(jù)包

路由為（ALICE→EVE→BOB）。任何在EVE和BOB之間的路由器都會讀取此路由，并將數(shù)據(jù)包轉發(fā)給BOB。BOB將對此數(shù)據(jù)包作出反應。

回應將會將此源路由翻轉過來（BOB→EVE→ALICE）。BOB產生的數(shù)據(jù)包將會被傳到EVE，因為EVE是源路由的一部分，它將截獲這些數(shù)據(jù)包并不再轉發(fā)（否則會導致ALICE發(fā)出RESET）。IP地址欺騙（3）源路由很少通過Internet進行，因為大多數(shù)單位在它們的Internet網關上都封掉了源路由的數(shù)據(jù)包。然而，在許多單位的內部網里，源路由仍是可行的，因此內部人員仍可能使用這種攻擊手段。源路由欺騙IP欺騙的防范方法（1）

必須確保你的TCP堆棧所產生的序列號不容易被猜測。

添加操作系統(tǒng)提供商最新提供的安全補丁。使用Nmap工具對自己的系統(tǒng)進行掃描，以測試其初始序列號的可預測性。對UNIX系統(tǒng)，不要使用脆弱的r-命令，使用安全的方式，如SSH或VPN來代替r-命令。在邊界路由器和防火墻上實施“反欺騙”包過濾。禁止帶有源路由的數(shù)據(jù)包通過網關，對cisco路由器而言，使用noipsourceroute命令就可以使網關將帶有源路由的數(shù)據(jù)包拋棄了。必須注意整個環(huán)境中信任關系。應該杜絕將UNIX和WindowsNT的信任關系通過不被保護的網絡（如通過Internet防火墻）進行擴展。甚至連商業(yè)伙伴之間鏈路上的信任關系也應該被避免，只有在必要的商業(yè)需要時，系統(tǒng)之間的信任關系才應該十分謹慎的在安全的內部網上建立。IP欺騙的防范方法（2）

網絡攻擊手段準備階段傳輸過程中的竊聽IP地址欺騙會話劫持拒絕服務攻擊維護訪問權后門和木馬會話劫持

當用戶和一臺機器建立了一個交互式的登錄會話時，攻擊者可使用會話劫持工具將此會話從用戶那里偷過來。不易被發(fā)現(xiàn)。當用戶發(fā)現(xiàn)會話不見了，大多數(shù)人認為是網絡故障所致，因此會重新登錄，他們并沒有意識到會話并沒有斷掉，而是被偷掉了。會話劫持舉例ALICEBOB建立了一個telnet會話TCP序列號猜測：EVE處于它們之間的網段上，使用嗅探工具看到此會話。仔細檢查數(shù)據(jù)包的TCP序列號。會話劫持的過程：在ALICE和BOB通信的某一時刻，EVE打算劫持此連接，他開始將源地址為ALICE的假冒流量注入網絡中，數(shù)據(jù)包所使用的TCP序列號是正確的。如果劫持成功，BOB將把EVE當作ALICE而執(zhí)行收到的EVE發(fā)出的命令，EVE巧妙的把ALICE手上的會話給偷掉了。會話劫持舉例基于主機的會話劫持在UNIX系統(tǒng)上，如攻擊者在ALICE或BOB上有了root權限，基于主機的會話劫持工具可讓攻擊者與本地終端設備（UNIX系統(tǒng)上的tty，用于telnet和rlogin會話）進行交互。

tty是被多種命令行程序（如telnet和rolgin）用來從用戶鍵盤獲得信息和在屏幕上以ASCII方式顯示信息的軟件工具。

攻擊者就可以直接從受害者的tty上讀取所有的會話信息，甚至向tty里輸入擊鍵符，這樣便對會話有了完全的控制權。當攻擊者沒有ALICE或BOB機器上的賬號時，基于網絡的會話劫持工具十分有用，相反，截獲會話的最簡單方法就是使用基于主機的會話劫持。典型的會話劫持的工具有Hunt、Dsniff的sshmitm工具、IPWatcher、TTYSnoop等。防御會話劫持必須實施在防御欺騙攻擊中所提及的方法使用如SSH這樣的加密方法或VPN以提供安全會話。

對非常重要的系統(tǒng)，如防火墻、路由器和安全系統(tǒng)，即使在穿過內部網時也要使用加密會話。注意到Dsniff可用來劫持SSH連接，因此在使用SSH時應使用版本2的協(xié)議，并密切注意有關服務器公鑰改變的信息，如果服務器公鑰不明不白的改變了，不要進行連接，而是要對其做調查。網絡攻擊手段準備階段傳輸過程中的竊聽IP地址欺騙會話劫持拒絕服務攻擊維護訪問權后門和木馬拒絕服務攻擊DoS一種通過耗盡CPU、內存、帶寬以及磁盤空間等系統(tǒng)資源，來阻止或削弱對網絡、系統(tǒng)或應用程序的授權使用的行為。

基于本地的拒絕服務攻擊基于遠程的拒絕服務攻擊攻擊舉例：2000年大商業(yè)網站Yahoo!,eBay,A,eTrade

綽號MafiaBay15歲加拿大少年，青少年罪犯感化中心服刑8個月2001年，微軟旗下的

遭受DoS,在一天上午和下午的部分時間只能響應2%的合法請求。基于本地的拒絕服務攻擊停止本地服務殺死進程：一個有足夠權限的攻擊者（如系統(tǒng)管理員）可以很容易的在‘DoS’攻擊中殺死本地進程。如服務器進程重新配置系統(tǒng)：擁有足夠權限的攻擊者能重新配置系統(tǒng)，使其不再提供服務或者過濾掉特定的用戶。例如，在一個WindowsNT文件服務器上，攻擊者可以簡單通過網絡設置停止文件共享，以阻止合法用戶遠程訪問此文件服務器有價值的數(shù)據(jù)。使進程崩潰：如果攻擊者沒有超級權限，他們也可以利用系統(tǒng)的弱點使進程崩潰。例如：攻擊者可以通過向本地機任意輸入大量的隨機數(shù)據(jù)使堆棧緩沖區(qū)溢出。由于在溢出攻擊期間入棧的返回指針是隨機的，所以目標繼承很容易崩潰，使系統(tǒng)拒絕用戶訪問消耗本地資源

填充進程表一個攻擊者可能會寫一個程序，使用這種程序，攻擊者就能像系統(tǒng)為用戶啟動進程那樣迅速的建立新進程。最后，計算機的進程表被填滿了，從而阻止了正常用戶開啟進程并拒絕任何的訪問。

填充文件系統(tǒng)通過不斷的給文件系統(tǒng)發(fā)送大量的數(shù)據(jù)，攻擊者能將文件分區(qū)表填滿，阻止其他用戶建立文件，還有可能使系統(tǒng)崩潰。發(fā)送網絡數(shù)據(jù)，阻塞通信鏈路攻擊者寫一個程序，給被攻擊的系統(tǒng)發(fā)送偽造的網絡信息，消耗處理器和連接線路帶寬。如果攻擊者的程序能生成足夠多的數(shù)據(jù)包，合法用戶就不能與系統(tǒng)交換數(shù)據(jù)。

基于遠程的拒絕服務攻擊（1）

遠程終止服務

Land型數(shù)據(jù)包：

發(fā)送一個假的數(shù)據(jù)包，它的源IP地址和端口號均與目標主機相同。目標主機就會收到這樣的數(shù)據(jù)包，來自本主機同一端口且同時到達。舊的TCP/IP棧在這種未知的情況下就會造成混亂，甚至崩潰。

Latierra型數(shù)據(jù)包：與Land型數(shù)據(jù)包類似，但會同時給多個端口發(fā)送多種類型的Land數(shù)據(jù)包。

PingofDeath型數(shù)據(jù)包：

發(fā)送一個超長的數(shù)據(jù)包，當主機收到時，由于舊的TCP/IP棧不能有效處理一個大于64K的Ping包而崩潰。Jolt2型數(shù)據(jù)包：發(fā)送一些數(shù)據(jù)包碎片，長度為零。因此這些空的數(shù)據(jù)包碎片看起來像一串數(shù)據(jù)包的第一個。只要這種數(shù)據(jù)包碎片發(fā)送出去，目標主機會耗盡處理器全部能力來重新組裝這些數(shù)據(jù)包碎片。Teardrop、Newtear、Bonk、Syndrop等類型的數(shù)據(jù)包

：發(fā)送重疊的數(shù)據(jù)包碎片，在數(shù)據(jù)包頭內碎片的長度被設置為不正確的值，所以主機對這些數(shù)據(jù)包碎片組裝時不能對其正確排隊。一些TCP/IP棧就會崩潰。

Winnuke型數(shù)據(jù)包：

向一個Windows主機的開放文件共享系統(tǒng)端口（如TCP端口139）發(fā)送垃圾數(shù)據(jù)，當端口收到這種數(shù)據(jù)時，由于不能用合法的服務器信息塊（SMB）協(xié)議對其進行格式化，導致系統(tǒng)癱瘓。消耗遠程資源遠程占用目標主機的資源，特別是通信鏈路的帶寬。在這種方式的攻擊中，攻擊者會利用數(shù)據(jù)包洪來消耗你所有的網絡處理能力。

SYNFLOOD攻擊

Smurf攻擊

UDP泛洪

基于遠程的拒絕服務攻擊（2）

正常的三段握手圖例SYNFLOOD攻擊利用服務器的連接緩沖區(qū)（BacklogQueue），利用特殊的程序，設置TCP的Header，向服務器端不斷地成倍發(fā)送只有SYN標志的TCP連接請求。當服務器接收的時候，都認為是沒有建立起來的連接請求，于是為這些請求建立會話，排到緩沖區(qū)隊列中。

SYN請求超過了服務器能容納的限度，緩沖區(qū)隊列滿，服務器就不再接收新的請求了。Smurf攻擊Smurf是一種簡單但有效的拒絕服務攻擊技術，它利用了ICMP(Internet控制信息協(xié)議)。Smurf是用一個偷來的帳號安裝到一個計算機上的，然后用一個偽造的源地址連續(xù)ping一個或多個計算機網絡，這個偽造的源地址，實際上就是攻擊的目標，它將被極大數(shù)量的響應信息量所淹沒。attackerICMPechoreqSrc:targetdst:xxx.xxx.xxx.255EchoreplyEchoreplyEchoreplytargetUDP泛洪發(fā)送UDP數(shù)據(jù)包到診斷回送服務（在服務器上默認允許），服務器會回應一個帶出是數(shù)據(jù)內容的UDP數(shù)據(jù)包給源地址，消耗網絡帶寬常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100kpps的UDPFlood經常將線路上的骨干設備例如防火墻打癱，造成整個網段的癱瘓。分布式拒絕服務攻擊（DDoS）

DDoS攻擊分為3層：攻擊者

主控端

代理端發(fā)起DDoS攻擊的步驟尋找Internet上有漏洞的主機，進入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機越多，他的攻擊隊伍就越壯大。在入侵主機上安裝攻擊程序，其中一部分主機充當攻擊的主控端，一部分主機充當攻擊的代理端。在攻擊者的調遣下對攻擊對象發(fā)起攻擊。特點：幕后操縱，不易跟蹤。被DDoS攻擊時的現(xiàn)象被攻擊主機上有大量等待的TCP連接網絡中充斥著大量的無用的數(shù)據(jù)包，源地址為假制造高流量無用數(shù)據(jù)，造成網絡擁塞，使受害主機無法正常和外界通訊利用受害主機提供的服務或傳輸協(xié)議上的缺陷，反復高速的發(fā)出特定的服務請求，使受害主機無法及時處理所有正常請求嚴重時會造成系統(tǒng)死機常用DDoS攻擊工具Trin00

Trin00是復雜的DDoS攻擊程序，它使用“master”

程序對實際實施攻擊的任何數(shù)量的“代理”程序實現(xiàn)自動控制。攻擊過程：攻擊者連接到安裝了master程序的計算機，啟動master程序根據(jù)一個IP地址的列表，由master程序負責啟動所有的代理程序。代理程序用UDP信息包沖擊網絡，從而攻擊目標。條