05-網(wǎng)絡入侵技術-3nd-short解析

網(wǎng)絡入侵技術1入侵的一般過程預攻擊內容：獲得域名及IP分布獲得拓撲及OS等獲得端口和服務獲得應用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進行進一步攻擊決策攻擊內容：獲得遠程權限進入遠程系統(tǒng)提升本地權限進一步擴展權限進行實質性操作目的：進行攻擊，獲得系統(tǒng)的一定權限后攻擊內容：植入后門木馬刪除日志修補明顯的漏洞進一步滲透擴展目的：消除痕跡，長期維持一定的權限2入侵攻擊的種類預攻擊階段端口掃描漏洞掃描操作系統(tǒng)類型鑒別網(wǎng)絡拓撲分析攻擊階段緩沖區(qū)溢出攻擊操作系統(tǒng)漏洞應用服務缺陷腳本程序漏洞攻擊口令攻擊錯誤及弱配置攻擊網(wǎng)絡欺瞞與劫持攻擊后攻擊階段后門木馬痕跡擦除其它攻擊種類拒絕服務攻擊嗅探攻擊惡意網(wǎng)頁攻擊社會工程攻擊3信息收集—非技術手段合法途徑從目標機構的網(wǎng)站獲得新聞報道，出版物新聞組或論壇社會工程手段假冒他人，獲得第三方的信任搜尋引擎4社會工程學攻擊

社交工程是運用計謀和假情報去獲得密碼和其他敏感信息的科學，探討一個站點的策略其中之一就是盡可能多的了解這個組織的個體，因此黑客不斷試圖找尋更加精妙的方法從他們希望滲透的組織那里獲得信息。例：一組中學學生曾經(jīng)想要進入一個當?shù)氐墓镜挠嬎銠C網(wǎng)絡，他們擬定了一個表格，調查看上去顯得是無害的個人信息，例如全部秘書和行政人員和他們的配偶、孩子的名字，這些從學生轉變成的黑客說這種簡潔的調查是他們社會探討工作的一部分。利用這份表格這些學生能夠快速的進入系統(tǒng)，因為網(wǎng)絡上的大多數(shù)人是運用寵物和他們配偶名字作為密碼。5社會工程學攻擊

目前社會工程學攻擊主要包括兩種方式：打電話懇求密碼和偽造Email打電話懇求密碼盡管不像前面探討的策略那樣聰慧，打電話尋問密碼也常常奏效。在社會工程中那些黑客冒充失去密碼的合法雇員，常常通過這種簡潔的方法重新獲得密碼。偽造Email運用telnet一個黑客可以截取任何一個身份證發(fā)送Email的全部信息，這樣的Email消息是真的，因為它發(fā)自于一個合法的用戶。一個冒充系統(tǒng)管理員或經(jīng)理的黑客就能較為輕松的獲得大量的信息，黑客就能實施他們的惡意陰謀。6信息收集—技術手段PingTracert/TracerouteRusers/FingerHost/nslookup7端口掃描目的推斷目標主機開啟了哪些端口及其對應的服務常規(guī)掃描技術調用connect函數(shù)干脆連接被掃描端口無須任何特殊權限速度較慢，易被記錄高級掃描技術利用探測數(shù)據(jù)包的返回信息（例如RST）來進行間接掃描較為隱藏，不易被日志記錄或防火墻發(fā)覺8TCPSYN掃描也叫半開式掃描利用TCP連接三次握手的第一次進行掃描被掃描主機開放的端口不提供服務的端口防火墻過濾的端口

掃描器SYNSYNSYNSYN+ACK握手RST重置沒有回應或者其他9端口掃描工具Nmap簡介被稱為“掃描器之王”有forUnix和forWin的兩種版本須要Libpcap庫和Winpcap庫的支持能夠進行一般掃描、各種高級掃描和操作系統(tǒng)類型鑒別等運用-sS：半開式掃描-sT:一般connect()掃描-sU：udp端口掃描-O：操作系統(tǒng)鑒別-P0：強行掃描（無論是否能夠ping通目標）-p：指定端口范圍-v：具體模式10NmapWinv1.3.011端口掃描工具SuperScan簡介基于Windows平臺速度快，圖形化界面最新版本為4.0運用傻瓜化12漏洞掃描依據(jù)目標主機開放的不同應用和服務來掃描和推斷是否存在或可能存在某些漏洞主動意義進行網(wǎng)絡平安評估為網(wǎng)絡系統(tǒng)的加固供應先期準備消極意義被網(wǎng)絡攻擊者加以利用來攻陷目標系統(tǒng)或獲得重要的數(shù)據(jù)信息13漏洞掃描的種類系統(tǒng)漏洞掃描特定服務的漏洞掃描WEB服務數(shù)據(jù)庫服務FTP服務Mail服務信息泄漏漏洞掃描用戶信息共享信息人為管理漏洞掃描弱口令錯誤配置網(wǎng)絡及管理設備漏洞掃描路由器、交換機SNMP設備14漏洞掃描工具Nessus構架服務器端：基于Unix系統(tǒng)客戶端：有GTK、Java和Win系統(tǒng)支持運作客戶端連接服務器端，并下載插件和掃描策略真正的掃描由服務器端發(fā)起兩者之間的通信通過加密認證優(yōu)勢：具有強大的插件功能完全免費，升級快速特殊適合作為網(wǎng)絡平安評估工具鏈接：15漏洞掃描工具X-Scan國人自主開發(fā)完全免費16平安漏洞掃描器平安漏洞掃描器的種類網(wǎng)絡型平安漏洞掃描器主機型平安漏洞掃描器數(shù)據(jù)庫平安漏洞掃描器平安漏洞掃描器的選用ISS（InternetSecurityScanner）：SSS（ShadowSecurityScanner）：RetinaNetworkSecurityScanner：LANguardNetworkSecurityScannerCyberCopScanner：NAI17SSS（ShadowSecurityScanner）18RetinaNetworkSecurityScanner19LANguardNetworkSecurityScanner20操作系統(tǒng)類型鑒別主要依據(jù)利用不同操作系統(tǒng)對各種連接懇求的不同反應和特征來推斷遠程主機操作系統(tǒng)的類型當運用足夠多的不同特征來進行推斷，操作系統(tǒng)的探測精度就能有很大保證21間接鑒別操作系統(tǒng)說明不干脆進行掃描利用網(wǎng)絡應用服務運用過程中的信息來推斷和分析操作系統(tǒng)類型，并得到其他有用信息如Telnet80端口查看WEB服務器類型從而初步推斷操作系統(tǒng)類型這種方法難以被發(fā)覺防衛(wèi)對策修改服務器上應用服務的banner信息，達到迷惑攻擊者的目的22干脆鑒別操作系統(tǒng)類型TCP/IP棧指紋探測技術各個操作系統(tǒng)在實現(xiàn)TCP/IP棧的時候有微小的不同，可以通過下面一些方法來進行判定TTL值Windows窗口值ToS類型DF標記位初始序列號（ISN）采樣MSS（最大分段大小）其他23TTL=4TTL=5TTL=6TTL=7TTL=8TTL=9TTL=3TTL=2destinationsourceTTL=10TTL（TimeToLive）24UNIX及類UNIX操作系統(tǒng) 255

CompaqTru645.0 64

微軟WindowsNT/2K 128

微軟Windows95 32

LINUXKernel2.2.x&2.4.xICMP 64

FreeBSD4.1,4.0,3.4;

SunSolaris2.5.1,2.6,2.7,2.8;

OpenBSD2.6,2.7,

NetBSD

HPUX10.20

ICMP回顯應答的TTL字段值為255TTL（TimeToLive）25目標主機操作系統(tǒng)識別技術

依據(jù)之前提到的高級掃描方式，干脆進行的端口掃描，能夠賜予我們繞過防火墻的實力，而且可以盡可能地隱藏自己等等，但是，我們能夠得到的信息也是有限的，或許對是否開放一個端口并不是那么干脆地感愛好，比如一個21端口，我們真正感愛好的是這個端口被用來作什么了，運行什么版本的程序，而不是僅僅打開一個21端口就滿足了。也就是說，我們對下面得到地這個東西更感愛好（關系到IP的地方，用X代替）

C:\>ftpXXX.XXX.XXX.XXX

ConnectedtoXXX.XXX.XXX.XXX.

220XXXXXX2WS_FTPServer1.0.5(1327846197)

User(XXX.XXX.XXX.XXX:(none)):26目標主機操作系統(tǒng)識別技術

這就是一種最簡潔和最干脆的判別方式，獲得程序版本變相地也讓我們能夠估計到目標的操作系統(tǒng)類別。我們可以對每個打開的端口進行相應的連接，通常這些服務程序就會特殊興奮地顯示自己的“banner”，也就讓我們能夠干脆得到它是什么版本了。甚至，我們能夠得到更好的東西：

這讓我們對操作系統(tǒng)版本一覽無余了。正像這些只對80端口感愛好的“黑客”一樣，通過對80端口的連接，我們也能得到足夠多的信息。C:\>telnetXXX.XXX.XXX.XXX

RedHatLinuxrelease7.1(Seawolf)

Kernel2.4.2-2onani686

login:27目標主機操作系統(tǒng)識別技術

C:\>telnetXXX.XXX.XXX.XXX80

HEAD/HTTP/1.1

HTTP/1.1200OK

Via:1.1ADSL2000

Content-Length:97

Date:Thu,24Jan200213:46:56GMT

Content-Type:text/html

Server:Apache/1.3.20(Unix)PHP/4.0.6

Last-Modified:Wed,26Dec200109:22:54GMT

ETag:"8715f-61-3c2996ee"

Accept-Ranges:bytes

Keep-Alive:timeout=15,max=100可以留意到：Server:Apache/1.3.20(Unix)PHP/4.0.6，這里很明白地“貢獻”出WEB服務器的軟件版本。

這樣干脆的連接探測方式，對于這些banner開放的系統(tǒng)是特殊簡潔的。當然，負責的管理員也會屏蔽或者修改掉這些BANNER。

28目標主機操作系統(tǒng)識別技術

還有一種粗劣而且簡潔的判別主機操作系統(tǒng)類型的方法就是通過Ping，然后分析得到的TTL值，略微精確點可以同時再協(xié)作Tracert來確定主機原始的TTL值，不過，這種方法很簡潔被欺瞞，比如，在WINDOWS系統(tǒng)中，對注冊表的修改：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Key:DefaultTTL

通過對DefaultTTL的修改，比如：修改成為255，偽裝成為一臺UNIX主機，就能夠造成探測者的錯誤推斷。29目標主機操作系統(tǒng)識別技術

對主機運用端口的分析，同樣也能夠進行操作系統(tǒng)識別，一些操作系統(tǒng)運用特殊的端口，比如：WINDOWS的137、139，WIN2K的445，而且一些網(wǎng)絡設備比如入侵檢測系統(tǒng)、防火墻等等也都有廠商自己的端口開放。30緩沖區(qū)溢出攻擊危害性據(jù)統(tǒng)計，緩沖區(qū)溢出攻擊占全部網(wǎng)絡攻擊總數(shù)的80%以上溢出成功后大都能干脆拿到目標系統(tǒng)的最高權限身邊的例子RPCDCOM溢出IIS.ida/idq溢出IIS.printer溢出IISWebDav溢出Wu-ftpd溢出31緩沖區(qū)溢出原理通過往程序的緩沖區(qū)寫入超出其長度的內容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉而執(zhí)行其它指令，以達到攻擊的目的緩沖區(qū)溢出攻擊的對象在于那些具有某些特權（如root或本地管理器）運行的程序，這樣可以使得攻擊者取得該程序的限制權，假如該程序具有足夠的權限，那么整個主機就被限制了32緩沖區(qū)溢出原理voidfunction(char*szPara1){ charbuff[16]; strcpy(buffer,szPara1);}程序中利用strcpy函數(shù)將szPara1中的內容拷貝到buff中，只要szPara1的長度大于16，就會造成緩沖區(qū)溢出。存在strcpy函數(shù)這樣問題的C語言函數(shù)還有：strcat()、gets()、scanf()等33緩沖區(qū)溢出原理隨意往緩沖區(qū)填寫數(shù)據(jù)使它溢出一般只會出現(xiàn)“分段錯誤”，而不能達到攻擊的目的。最常見的手段是通過制造緩沖區(qū)溢出訪程序運行一個用戶shell，再通過shell執(zhí)行其他叮囑，假如該shell有管理員權限，就可以對系統(tǒng)進行隨意操作。34緩沖區(qū)溢出示意圖字符串變量數(shù)組函數(shù)返回點n字節(jié)輸入數(shù)據(jù)>n字節(jié),尾部為跳轉的地址緩沖區(qū)用戶輸入正常流程溢出改變流程字符串變量數(shù)組函數(shù)返回點n字節(jié)輸入數(shù)據(jù)<n字節(jié)緩沖區(qū)用戶輸入正常流程35程序溢出時的表現(xiàn)SegmentationFault(coredumped)36緩沖區(qū)溢出——RPC漏洞溢出

遠程過程調用RPC（RemoteProcedureCall)，是操作系統(tǒng)的一種消息傳遞功能，允許應用程序呼叫網(wǎng)絡上的計算機。當系統(tǒng)啟動的時候，自動加載RPC服務?？梢栽诜樟斜碇锌吹较到y(tǒng)的RPC服務，如圖37緩沖區(qū)溢出——RPC漏洞溢出

遠程過程調用RPC（RemoteProcedureCall)，是操作系統(tǒng)的一種消息傳遞功能，允許應用程序呼叫網(wǎng)絡上的計算機。當系統(tǒng)啟動的時候，自動加載RPC服務?？梢栽诜樟斜碇锌吹较到y(tǒng)的RPC服務。RPC服務不能手動停止，在Windows操作系統(tǒng)中可以利用工具停止該服務，停止該服務以后，最明顯的特征是當復制文件時，鼠標右鍵菜單項“粘貼”總是禁用的。38緩沖區(qū)溢出——利用RPC漏洞建立超級用戶

RPC溢出漏洞，對SP4也適用，必需打專用補丁。利用工具scanms.exe文件檢測RPC漏洞，該工具是ISS平安公司2003年7月30日發(fā)布的，運行在叮囑行下用來檢測指定IP地址范圍內機器是否已經(jīng)安裝了“DCOMRPC接口遠程緩沖區(qū)溢出漏洞（823980-MS03-026）”補丁程序。假如沒有安裝補丁程序，該IP地址就會顯示出“[VULN]”。首先拷貝該文件到C盤根書目，現(xiàn)在要檢查地址段09到10的主機，執(zhí)行叮囑 scanms.exe09-1039緩沖區(qū)溢出——檢查緩沖區(qū)溢出漏洞40利用工具軟件attack.exe對09進行攻擊。攻擊的結果將在對方計算機上建立一個具有管理員權限的用戶，并終止了對方的RPC服務。新建用戶的用戶名和密碼都是qing10，這樣就可以登錄對方計算機了，RPC服務停止操作系統(tǒng)將有很多功能不能運用，特殊簡潔被管理員發(fā)覺，運用工具軟件OpenRpcSs.exe來給對方重啟RPC服務。攻擊的全過程如圖所示。緩沖區(qū)溢出——檢查緩沖區(qū)溢出漏洞41緩沖區(qū)溢出——攻擊的全過程

42利用OpenRpcSs.exe重啟對方RPC服務之后，可以不引起管理員的留意，但是卻在對方主機中建立了一個具有管理員權限的帳號qing10，之后就可以利用這個賬戶進行遠程登錄，獲得信息。緩沖區(qū)溢出——檢查緩沖區(qū)溢出漏洞43在輸入登錄賬戶和口令后，可以接著獲得對方主機信息。緩沖區(qū)溢出——檢查緩沖區(qū)溢出漏洞44遠程限制技術概念危害性發(fā)展歷程技術類型45特洛伊木馬的來歷希臘人攻打特洛伊城十年，始終未獲成功，后來建立了一個大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當作是獻給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應外合毀滅了特洛伊城。后來我們把進入敵人內部攻破防線的手段叫做木馬計，木馬計中運用的里應外合的工具叫做特洛伊木馬來源于希臘神話中的特洛伊斗爭46遠程限制技術遠程限制事實上是包含有服務器端和客戶端的一套程序服務器端程序駐留在目標計算機里，隨著系統(tǒng)啟動而自行啟動。此外，運用傳統(tǒng)技術的程序會在某端口進行監(jiān)聽，若接收到數(shù)據(jù)就對其進行識別，然后依據(jù)識別后的叮囑在目標計算機上執(zhí)行一些操作（比如竊取口令，拷貝或刪除文件，或重啟計算機等）攻擊者一般在入侵成功后，將服務端程序拷貝到目標計算機中，并設法使其運行，從而留下后門。日后，攻擊者就能夠通過運行客戶端程序，來對目標計算機進行操作47遠程限制技術的發(fā)展歷程第一代功能簡潔、技術單一，如簡潔的密碼竊取和發(fā)送等其次代在技術上有了很大的進步，如國外的BO2000，國內的冰河等第三代為了躲避防火墻而在數(shù)據(jù)傳遞技術上做了不小的改進，比如利用ICMP協(xié)議以及接受反彈端口的連接模式第四代探討操作系統(tǒng)底層，在進程隱藏方面有了很大的突破48傳統(tǒng)的遠程限制步驟49如何遠程植入程序干脆攻擊電子郵件文件下載閱讀網(wǎng)頁+合并文件經(jīng)過偽裝的木馬被植入目標機器50遠程受控端程序的自啟動Windows啟動書目注冊表啟動Run(RunOnce/RunOnceEx/RunServices）KnownDLLs修改文件關聯(lián)方式系統(tǒng)配置文件啟動Win.iniSystem.ini服務啟動其他啟動51遠程受控端程序的隱藏在任務欄（包括任務管理器）中隱藏自己初步隱藏注冊為系統(tǒng)服務不適用于Win2k/NT啟動時會先通過窗口名來確定是否已經(jīng)在運行，假如是則不再啟動防止過多的占用資源進程隱藏遠程線程插入其他進程（不適用于Win9X）Hook技術52遠程限制數(shù)據(jù)傳輸方式ICMP協(xié)議傳送反彈端口+HTTP隧道技術53反彈端口連接模式>1024反彈式的遠程控制程序防火墻IP數(shù)據(jù)包過濾目標主機Windows系統(tǒng)騙取系統(tǒng)IE進程木馬線程正常線程進入合法應用程序正常線程…InternetExplorer瀏覽網(wǎng)頁端口監(jiān)聽端口傳統(tǒng)遠程控制程序54遠程限制的防衛(wèi)遠程端口掃描本地進程—端口察看Fport/VisionAntiyPortsAPorts本地進程察看PslistListdlls注冊表監(jiān)控Regmon文件監(jiān)控Filemon運用專用的查殺工具加強運用者的平安意識55Vision56AntiyPorts57運用“冰河”進行遠程限制“冰河”包含兩個程序文件，一個是服務器端，另一個是客戶端?！氨?.2”的文件列表如圖所示58運用“冰河”進行遠程限制win32.exe文件是服務器端程序，Y_Client.exe文件為客戶端程序。將win32.exe文件在遠程得計算機上執(zhí)行以后，通過Y_Client.exe文件來限制遠程得服務器，客戶端的主界面如圖59運用“冰河”進行遠程限制將服務器程序種到對方主機之前須要對服務器程序做一些設置，比如連接端口，連接密碼等。選擇菜單欄“設置”下的菜單項“配置服務器程序”，如圖60運用“冰河”進行遠程限制在出現(xiàn)的對話框中選擇服務器端程序win32.exe進行配置，并填寫訪問服務器端程序的口令，這里設置為“1234567890”，如圖61運用“冰河”進行遠程限制點擊按鈕“確定”以后，就將“冰河”的服務器種到某一臺主機上了。執(zhí)行完win32.exe文件以后，系統(tǒng)沒有任何反應，其實已經(jīng)更改了注冊表，并將服務器端程序和文本文件進行了關聯(lián)，當用戶雙擊一個擴展名為txt的文件的時候，就會自動執(zhí)行冰河服務器端程序。當計算機感染了“冰河”以后，查看被修改后的注冊表，如圖62運用“冰河”進行遠程限制沒有中冰河的狀況下，該注冊表項應當是運用notepad.exe文件來打開txt文件，而圖中的“SYSEXPLR.EXE”其實就是“冰河”的服務器端程序。63運用“冰河”進行遠程限制目標主機中了冰河了，可以利用客戶端程序來連接服務器端程序。在客戶端添加主機的地址信息，這里的密碼是就是剛才設置的密碼“1234567890”。如圖64運用“冰河”進行遠程限制點擊按鈕“確定”以后，查看對方計算機的基本信息了，對方計算機的書目列表如圖65運用“冰河”進行遠程限制從圖中可以看出，可以在對方計算機上進行隨意的操作。除此以外還可以查看并限制對方的屏幕等等，如圖66DoS與DDoS攻擊DoS(DenialofService)攻擊的中文含義是拒絕服務攻擊DDoS(DistributedDenialofService)攻擊的中文含義是分布式拒絕服務攻擊67拒絕服務攻擊的種類發(fā)送大量的無用懇求，致使目標網(wǎng)絡系統(tǒng)整體的網(wǎng)絡性能大大降低，丟失與外界通信的實力。利用網(wǎng)絡服務以及網(wǎng)絡協(xié)議的某些特性，發(fā)送超出目標主機處理實力的服務懇求，導致目標主機丟失對其他正常服務懇求的響應實力。利用系統(tǒng)或應用軟件上的漏洞或缺陷，發(fā)送經(jīng)過特殊構造的數(shù)據(jù)包，導致目標的癱瘓（稱之為nuke)68拒絕服務攻擊典型舉例SynFloodSmurfPingFloodUDPFlooder69拒絕服務攻擊—SynFlood1996年9月以來，很多Internet站點遭遇了一種稱為SYN風暴（SYNFlood）的拒絕服務攻擊。它是通過創(chuàng)建大量“半連接”來進行攻擊，任何連接到Internet上并供應基于TCP的網(wǎng)絡服務（如WWW服務、FTP服務、郵件服務等）的主機都可能遭遇這種攻擊。70拒絕服務攻擊—SynFlood正常的TCP/IP三次握手SynFlood攻擊服務器

客戶端SYNSYN+ACKACK握手完成，開始傳送數(shù)據(jù)，系統(tǒng)消耗很少被攻擊主機攻擊主機偽造源地址不存在的主機不斷重試及等待，消耗系統(tǒng)資源不響應SYNSYN+ACK71拒絕服務攻擊—SynFlood針對不同的系統(tǒng)，攻擊的結果可能不同，但是攻擊的根本都是利用這些系統(tǒng)中的TCP/IP協(xié)議族的設計弱點和缺陷。只有對現(xiàn)有TCP/IP協(xié)議族進行重大變更才能修正這些缺陷。目前還沒有一個完整的解決方案，但是可以實行一些措施盡量降低這種攻擊發(fā)生的可能性，減小損失。72SynFlood的防衛(wèi)對策2-1優(yōu)化系統(tǒng)配置： 縮短超時時間，使得無效的半連接能夠盡快釋放；增加TCP監(jiān)聽套接字半連接隊列的最大長度，使得系統(tǒng)能夠同時處理更多的半連接優(yōu)化路由配置： 配置路由器的外網(wǎng)卡，丟棄那些來自外部網(wǎng)而源IP地址具有內部網(wǎng)絡地址的包；配置路由器的內網(wǎng)卡，丟棄那些即將發(fā)到外部網(wǎng)而源IP地址不具有內部網(wǎng)絡地址的包。這種方法不能完全杜絕SYN風暴攻擊，但是能夠有效地削減攻擊的可能。73SynFlood的防衛(wèi)對策2-2完善基礎設施： 現(xiàn)有網(wǎng)絡體系結構沒有對源IP地址進行檢查的機制，同時也不具備追蹤網(wǎng)絡包的物理傳輸路徑的機制，使得發(fā)覺并懲治作惡者也很難。而且很多攻擊手段都是利用現(xiàn)有網(wǎng)絡協(xié)議的缺陷，因此，對整個網(wǎng)絡體系結構的再改造特殊重要。運用防火墻： 實現(xiàn)半透亮網(wǎng)關技術的防火墻能夠有效地防范SYN風暴攻擊主動監(jiān)視： 監(jiān)視TCP/IP流量74Smurf攻擊是以最初發(fā)動這種攻擊的程序名Smurf來叮囑的。這種攻擊方法結合運用了IP欺瞞和帶有廣播地址的ICMP懇求－響應方法使大量網(wǎng)絡傳輸充斥目標系統(tǒng)，引起目標系統(tǒng)拒絕為正常系統(tǒng)進行服務，屬于間接、借力攻擊方式。任何連接到互聯(lián)網(wǎng)上的主機或其他支持ICMP懇求－響應的網(wǎng)絡設備都可能成為這種攻擊的目標。拒絕服務攻擊—Smurf攻擊75拒絕服務攻擊—Smurf攻擊攻擊者目標受害者目標機器會接收很多來自中間脆弱網(wǎng)絡的懇求中間脆弱網(wǎng)絡broadcastechorequest源地址被欺瞞為被攻擊主機地址76Smurf的防衛(wèi)對策3-1針對中間網(wǎng)絡： 在路由器的每個端口關閉IP廣播包的轉發(fā)設置； 可能的狀況下，在網(wǎng)絡邊界處運用訪問限制列表ACL，過濾掉全部目標地址為本網(wǎng)絡廣播地址的包； 對于不供應穿透服務的網(wǎng)絡，可以在出口路由器上過濾掉全部源地址不是本網(wǎng)絡的數(shù)據(jù)包； 配置主機的操作系統(tǒng)，使其不響應帶有廣播地址的ICMP包77Smurf的防衛(wèi)對策3-2針對目標受害者： 沒有什么簡潔的解決方法能夠幫助受害主機，當攻擊發(fā)生時，應盡快重新配置其所在的網(wǎng)絡的路由器，以堵塞這些ICMP響應包。但是受害主機的路由器和受害主機ISP之間的擁塞不行避開。同時，也可以通知中間網(wǎng)絡的管理者協(xié)同解決攻擊事務。78Smurf的防衛(wèi)對策3-3針對發(fā)起攻擊的主機及其網(wǎng)絡： Smurf攻擊通常會運用欺瞞性源地址發(fā)送echo懇求，因此在路由器上配置其過濾規(guī)則，丟棄那些即將發(fā)到外部網(wǎng)絡而源IP地址不具有內部網(wǎng)絡地址的包。這種方法盡管不能殲滅IP欺瞞的包，卻能有效降低攻擊發(fā)生的可能性。79其它拒絕服務攻擊Fraggle（Smurf攻擊的變種）PingofDeathLandTearDropIP欺瞞80其它拒絕服務攻擊Fraggle攻擊Fraggle攻擊事實上就是對Smurf攻擊作了簡潔的修改，運用的是UDP應答消息而非ICMP。81其它拒絕服務攻擊PingofDeath攻擊 攻擊者有意創(chuàng)建一個長度大于65535（IP協(xié)議中規(guī)定最大的IP包長為65535個字節(jié)）ping包，并將該包發(fā)送到目標受害主機，由于目標主機的服務程序無法處理過大的包，而引起系統(tǒng)崩潰、掛起或重啟。 這種攻擊已經(jīng)不適用了，目前全部的操作系統(tǒng)開發(fā)商都對此進行了修補或升級。82其它拒絕服務攻擊Land攻擊（LandAttack） Land也是一個特殊有效的攻擊工具，它對當前流行的大部分操作系統(tǒng)及一部分路由器都具有相當?shù)墓魧嵙Α９粽呃媚繕耸芎ο到y(tǒng)的自身資源實現(xiàn)攻擊意圖。由于目標受害系統(tǒng)具有漏洞和通信協(xié)議的弱點，這樣就給攻擊者供應了攻擊的機會。 如：攻擊者不斷地向被攻擊的計算機發(fā)送具有源IP地址和目的IP地址完全一樣，TCP源端口和目的端口也完全一樣的的偽造TCPSYN包，導致該計算機系統(tǒng)向自己發(fā)送響應信息，最終被攻擊的計算機系統(tǒng)將會無法承受過多的流量而癱瘓或重啟。83其它拒絕服務攻擊Teardrop攻擊 一個IP分組在網(wǎng)絡中傳播的時候，由于沿途各個鏈路的最大傳輸單元不同，路由器常常會對IP包進行分組，即將一個包分成一些片段，使每段都足夠小，以便通過這個狹窄的鏈路。每個片段將具有自己完整的IP包頭，其大部分內容和最初的包頭相同。Teardrop攻擊就是利用IP包的分段/重組技術在系統(tǒng)實現(xiàn)的一個的錯誤。84其它拒絕服務攻擊Teardrop攻擊（cont.）攻擊特征：向被攻擊者發(fā)送多個分片的IP包（IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個數(shù)據(jù)包，以及在數(shù)據(jù)包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。利用包重組時重疊偏移（假設數(shù)據(jù)包中其次片IP包的偏移量小于第一片結束的位移，而且算上其次片IP包的Data，也未超過第一片的尾部，這就是重疊現(xiàn)象）的漏洞對系統(tǒng)主機發(fā)動拒絕服務攻擊，最終導致主機菪掉；對于Windows系統(tǒng)會導致藍屏死機，并顯示STOP0x0000000A錯誤。檢測方法：對接收到的分片數(shù)據(jù)包進行分析，計算數(shù)據(jù)包的片偏移量（Offset）是否有誤。反攻擊方法：添加系統(tǒng)補丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進行審計。85IP欺瞞這種攻擊利用RST位來實現(xiàn)。假設現(xiàn)在有一個合法用戶(0)已經(jīng)同服務器建立了正常的連接，攻擊者構造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為0，并向服務器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務器接收到這樣的數(shù)據(jù)后，認為從0發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，假如合法用戶0再發(fā)送合法數(shù)據(jù)，服務器就已經(jīng)沒有這樣的連接了，該用戶就必需從新起先建立連接。攻擊時，攻擊者會偽造大量的IP地址，向目標發(fā)送RST數(shù)據(jù)，使服務器不對合法用戶服務，從而實現(xiàn)了對受害服務器的拒絕服務攻擊。其它拒絕服務攻擊86分布式拒絕服務攻擊DDoS是DoS攻擊的延長，威力巨大，具體攻擊方式多種多樣。分布式拒絕服務攻擊就是利用一些自動化或半自動化的程序限制很多分布在各個地方的主機同時拒絕服務攻擊同一目標。攻擊一般會接受IP地址欺瞞技術，隱藏自己的IP地址，所以很難追查。87分布式拒絕服務攻擊示意圖88分布式拒絕服務攻擊步驟探測掃描大量主機以找尋可入侵的目標；入侵有平安漏洞的主機并獲得限制權，在每臺入侵主機中安裝DDoS代理端/分布端；構造浩大的、分布式攻擊網(wǎng)絡；通過主控端和代理端/分布端，在同一時刻，由分布的成千上萬臺主機向同一目標地址發(fā)出攻擊，目標系統(tǒng)全線崩潰。89DoS與DDoS的區(qū)分被攻擊者

90分布式拒絕服務攻擊

防衛(wèi)對策2-1對于分布式攻擊，目前仍無特殊有效的方法來防衛(wèi)基本的防衛(wèi)對策剛好地給系統(tǒng)打補丁，設置正確的平安策略定期檢查系統(tǒng)平安：檢查是否被安裝了DDoS攻擊程序，是否存在后門等建立資源支配模型，設置閾值，統(tǒng)計敏感資源的運用狀況運用DNS來跟蹤匿名攻擊對于重要的WEB服務器，為一個域名建立多個鏡像主機91分布式拒絕服務攻擊

防衛(wèi)對策2-2基本的防衛(wèi)對策優(yōu)化路由器配置，包括：配置路由器的外網(wǎng)卡，丟棄那些來自外部網(wǎng)而源IP地址具有內部網(wǎng)絡地址的包；配置路由器的內網(wǎng)卡，丟棄那些即將發(fā)到外部網(wǎng)絡而源IP地址不具有內部網(wǎng)絡地址的包；設置TCP攔截；限制TCP連接超時閾值；禁止IP廣播包流入內部網(wǎng)絡；禁止外出的ICMP不行達信息。由于攻擊者掩蓋行蹤的手段不斷加強，很難在系統(tǒng)級的日志文件中找尋到蛛絲馬跡。因此，第三方的日志分析系統(tǒng)能夠防止管理員更簡潔地保留線索92網(wǎng)絡監(jiān)聽攻擊源目的sniffer加密解密Password$%@&)*=-~`^,{93網(wǎng)絡監(jiān)聽攻擊的環(huán)境基于共享（HUB）環(huán)境的監(jiān)聽比較普遍實現(xiàn)較為簡潔基于交換（Switch）環(huán)境的監(jiān)聽基礎是ARP欺瞞技術94基于共享環(huán)境的監(jiān)聽共享以太網(wǎng)環(huán)境中，全部物理信號都會被傳送到每一個主機節(jié)點上去如將系統(tǒng)的網(wǎng)絡接口設定為混雜模式(Promiscuous)，則就能接受到一切監(jiān)聽到的數(shù)據(jù)幀，而不管其目的MAC地址是什么95共享環(huán)境監(jiān)聽的意義主動意義：便利網(wǎng)絡管理員進行管理和網(wǎng)絡故障分析消極意義：常被用來竊聽在網(wǎng)絡上以明文方式傳輸?shù)目诹詈唾~號密碼POP3郵件口令Ftp登錄口令Telnet登錄口令96共享環(huán)境監(jiān)聽的檢測基于主機的檢測簡潔的ifconfig叮囑，包括各種UNIX系統(tǒng)基于網(wǎng)絡的檢測針對系統(tǒng)硬件過濾和軟件過濾的檢測針對DNS反向域名解析的檢測針對網(wǎng)絡和主機響應時間的檢測運用專業(yè)的檢測工具AntiSniff（有forwin和forunix的版本）Promiscan97AntiSniff（LOpht）98口令入侵口令入侵是指運用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動獲得口令的途徑有：網(wǎng)絡監(jiān)聽口令揣測，暴力破解利用系統(tǒng)管理員的失誤99口令揣測攻擊口令揣測攻擊原理現(xiàn)行很多加密算法都單向不行逆攻擊者每次從攻擊字典中取出一個條目作為口令，運用相同的加密算