火龍果常見(jiàn)的網(wǎng)絡(luò)攻擊關(guān)鍵技術(shù)原理剖析

第12章常用的網(wǎng)絡(luò)攻擊關(guān)鍵技術(shù)網(wǎng)絡(luò)攻擊是一系列技術(shù)的綜合運(yùn)用，攻擊者必須掌握各種關(guān)鍵攻擊技術(shù)，理解個(gè)各種攻擊技術(shù)的局限性和限制條件，才能夠在攻擊的實(shí)戰(zhàn)中靈活運(yùn)用，做到攻無(wú)不克。對(duì)防御者要了解攻擊技術(shù)的內(nèi)涵，才會(huì)涉及有效的安全策略，建立有效的安全機(jī)制，構(gòu)造可靠的安全防御系統(tǒng)，做到堅(jiān)不可摧。主要內(nèi)容口令破解技術(shù)原理網(wǎng)絡(luò)嗅探技術(shù)原理網(wǎng)絡(luò)端口掃描技術(shù)原理緩沖區(qū)溢出攻擊技術(shù)原理拒絕服務(wù)攻擊技術(shù)原理口令破解技術(shù)原理口令機(jī)制是資源訪問(wèn)控制的第一道屏障。計(jì)算機(jī)軟件硬件技術(shù)的發(fā)展，使口令攻擊更為有效。CUP速度有了很大的提高網(wǎng)絡(luò)的普及分段攻擊算法的擴(kuò)展用戶仍然喜歡選用容易記憶的口令口令攻擊的條件和技術(shù)防范條件：高性能的計(jì)算機(jī)大容量的在線字典或其他字符列表已知的加密算法可讀的口令文件口令以較高的概率包含于攻擊字典中。口令攻擊步驟：獲取口令文件用各種不同的加密算法對(duì)字典或其他字符表中的文字加密，并將結(jié)果與口令文件進(jìn)行對(duì)比常用的口令攻擊技術(shù)暴力破解攻擊者通過(guò)窮盡口令空間獲得用戶口令，通常攻擊者根據(jù)口令字的長(zhǎng)度、特征、各種字符組合方式選擇某個(gè)口令空間進(jìn)行攻擊。猜測(cè)攻擊攻擊者根據(jù)若干知識(shí)編寫(xiě)口令字典，然后根據(jù)該字典通過(guò)猜測(cè)獲得用戶的口令。UNIX系統(tǒng)口令攻擊UNIX系統(tǒng)用戶的口令保存在一個(gè)加密后的文本文件中，一般放在/etc目錄下，文件名為passwd/shadowUNIX系統(tǒng)出于安全需要，防止普通用戶讀取口令文件，將passwd文件一分為二，把與用戶口令相關(guān)的域提出組成另外一個(gè)文件，叫shadow，只有超級(jí)用戶才能讀取?？诹钗募忻啃写硪粋€(gè)用戶條目：Logname:passwd:uid:gid:userinfo:home:shell例如root的條目Root:xydefctrti1.m.y2:0:0:admin:/:/bin/shUNIX系統(tǒng)中，口令文件作了shadow變換，在破解的時(shí)候，需要做Unshadow變換，將passwd和shadow文件合二為一。UNIX口令加密算法采用多重DES，理論上破解難度非常大。UNIX口令加密原理UNIX系統(tǒng)使用函數(shù)crypt加密用戶的口令，當(dāng)用戶登錄時(shí)，系統(tǒng)并不是去解密已經(jīng)加密的口令，而是將輸入的口令明文字符串傳給加密函數(shù)，將加密函數(shù)的輸出與/etc/passwd文件中該用戶條目的passwd域進(jìn)行比較，若成功則允許登陸Crypt基于數(shù)據(jù)加密標(biāo)準(zhǔn)des，將用戶輸入的口令作為密鑰，加密一個(gè)64位的0/1串，加密的結(jié)果用用戶的口令再次加密；重復(fù)該過(guò)程，一共進(jìn)行25次。最后輸出一個(gè)11字節(jié)的字符串，存放在passwd的密碼域。口令破解工具crack的工作流程1、下載或自己生成一個(gè)字典文件2、取出字典文件中的每一條目，對(duì)每個(gè)單詞運(yùn)用一系列規(guī)則：使用幾個(gè)單詞和數(shù)字的組合大小寫(xiě)交替使用把單詞正反拼寫(xiě)后，接在一起在每個(gè)單詞的開(kāi)頭或結(jié)尾加上一些數(shù)字3、調(diào)用系統(tǒng)的crypt函數(shù)對(duì)使用規(guī)則生成的字符串進(jìn)行加密變換4、再用一組子程序打開(kāi)口令文件，取出密文口令，與crypt的輸出進(jìn)行比較。循環(huán)第二步和第三步，直到口令破解成功。網(wǎng)絡(luò)服務(wù)口令攻擊流程建立與目標(biāo)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)連接選取一個(gè)用戶列表文件及字典文件在用戶列表文件及字典文件中，選取一組用戶和口令，按網(wǎng)絡(luò)服務(wù)協(xié)議規(guī)定，將用戶名和口令發(fā)送給網(wǎng)絡(luò)服務(wù)端口。檢測(cè)遠(yuǎn)程服務(wù)返回信息，確定口令嘗試是否成功。再取另一組用戶和口令，重復(fù)循環(huán)測(cè)試，直至口令用戶列表文件及字典文件選取完畢。增強(qiáng)口令安全性的方法除口令驗(yàn)證程序外，使口令文件完全不可讀（包括超級(jí)用戶）在用戶選擇密碼時(shí)對(duì)密碼進(jìn)行過(guò)濾對(duì)字典或字符列表進(jìn)行掃描，提出用戶選擇的弱口令通過(guò)口令與智能卡相結(jié)合的方式登錄采用某種機(jī)制動(dòng)態(tài)的生成一次性口令網(wǎng)絡(luò)嗅探技術(shù)原理網(wǎng)絡(luò)嗅探器是一種黑客工具，用于竊聽(tīng)流經(jīng)網(wǎng)絡(luò)接口的信息，從而獲取用戶會(huì)話信息。一般的計(jì)算機(jī)系統(tǒng)通常只接收目的地址執(zhí)行自己的網(wǎng)絡(luò)包，其他的被忽略。但在很多情況下，一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)接口可能受到目的地址并非是自身的網(wǎng)絡(luò)包。在完全廣播子網(wǎng)中，所有涉及局域網(wǎng)中任何一臺(tái)主機(jī)的網(wǎng)絡(luò)通信內(nèi)容均可被局域網(wǎng)中所有的主機(jī)接收到，這就使得網(wǎng)絡(luò)竊聽(tīng)特別容易。目前網(wǎng)絡(luò)竊聽(tīng)都是基于以太網(wǎng)的，原因就是以太網(wǎng)廣泛的用于局域網(wǎng)。網(wǎng)絡(luò)嗅探的問(wèn)題如何使網(wǎng)絡(luò)接口卡接受目的地址不是指向自己的網(wǎng)絡(luò)包如何從數(shù)據(jù)鏈路層獲取這些包（普通的網(wǎng)絡(luò)編程接口不行）以太網(wǎng)提供了雜模式，在該模式下，逐級(jí)的網(wǎng)絡(luò)接口接聽(tīng)所有經(jīng)過(guò)的網(wǎng)絡(luò)介質(zhì)的數(shù)據(jù)，包括那些目的地址并不指向該主機(jī)的網(wǎng)絡(luò)包不同的UNIX系統(tǒng)提供了不同的數(shù)據(jù)鏈路存取方法。網(wǎng)絡(luò)嗅探器工作流程打開(kāi)文件描述字，打開(kāi)網(wǎng)絡(luò)接口、專(zhuān)用設(shè)備或網(wǎng)絡(luò)套接字。得到一個(gè)文件描述字，以后所有的控制和讀、寫(xiě)都針對(duì)該描述字設(shè)置雜模式，把以太網(wǎng)絡(luò)接口設(shè)置為雜模式，使之接收所有流經(jīng)網(wǎng)絡(luò)介質(zhì)的信息包設(shè)置緩沖區(qū)。緩沖區(qū)用來(lái)存放從內(nèi)核緩沖區(qū)拷貝過(guò)來(lái)的網(wǎng)絡(luò)包。設(shè)置過(guò)濾器。過(guò)濾器使得內(nèi)核只抓取那些攻擊者感興趣的數(shù)據(jù)包，而不是所有的流經(jīng)網(wǎng)絡(luò)介質(zhì)的網(wǎng)絡(luò)包，可以減少不必要的拷貝和處理。讀取包。從文件按描述字中讀取數(shù)據(jù)，一般來(lái)說(shuō)，就是數(shù)據(jù)鏈路層的幀。過(guò)濾、分析、解釋、輸出：主要是分析以太網(wǎng)包頭和TCP/IP包頭中的信息，選擇出用戶感興趣的網(wǎng)絡(luò)數(shù)據(jù)包，然后對(duì)應(yīng)用層協(xié)議及的數(shù)據(jù)解釋?zhuān)言紨?shù)據(jù)轉(zhuǎn)化成用戶可理解的方式輸出。常用的網(wǎng)絡(luò)嗅探工具TCPdump：Sniffit:http://reptile.rug.ac.be/Snort:…………網(wǎng)絡(luò)嗅探的防范網(wǎng)絡(luò)嗅探對(duì)明文傳遞的網(wǎng)絡(luò)報(bào)具有威脅，但是該攻擊要想成功需要一定的條件。一般用于內(nèi)部攻擊，因?yàn)閮?nèi)部人員可以很方便的訪問(wèn)網(wǎng)絡(luò)。網(wǎng)絡(luò)端口掃描技術(shù)原理一個(gè)端口就是一個(gè)潛在的通信通道，就是一個(gè)入侵通道。端口掃描通過(guò)選用遠(yuǎn)程TCP/IP不同的端口服務(wù)，并記錄目標(biāo)給予的回答，就可以搜集到很多關(guān)于目標(biāo)逐級(jí)的有用信息。掃描器不是一個(gè)直接攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能夠幫助攻擊者發(fā)現(xiàn)目標(biāo)機(jī)的內(nèi)在弱點(diǎn)。網(wǎng)絡(luò)端口掃描技術(shù)分析1、完全連接掃描完全掃描連接利用TCP/IP三次握手連接機(jī)制，使源主機(jī)和目的逐級(jí)的某個(gè)端口建立一次完成的連接。如果建立成功，則表明該端口開(kāi)放，否則表明該端口關(guān)閉。2、半連接掃描半連接掃描指在源主機(jī)和目的逐級(jí)的三次握手連接過(guò)程中，只完成前兩次握手，不建立一次完整的連接。3、SYN掃描首先向目標(biāo)主機(jī)發(fā)送連接請(qǐng)求，當(dāng)目標(biāo)逐級(jí)返回響應(yīng)后，立即切斷連接過(guò)程，并察看相應(yīng)情況。如果目標(biāo)逐級(jí)返回rst信息，表明該端口沒(méi)有開(kāi)放。4、ID頭信息掃描此種掃描方法需要用一臺(tái)第三方機(jī)器配合掃描，并且這臺(tái)機(jī)器的網(wǎng)絡(luò)通信量要非常的少，即dump主機(jī)，首先由源主機(jī)A向dump主機(jī)B發(fā)出連續(xù)的ping數(shù)據(jù)包，并且查看B返回的數(shù)據(jù)包的ID頭信息。一般而言，每個(gè)順序數(shù)據(jù)包的ID頭的值會(huì)順序增加1，然后由源主機(jī)A假冒主機(jī)B向目的主機(jī)C的任意端口發(fā)送SYN數(shù)據(jù)包。這時(shí)主機(jī)C向B發(fā)送的數(shù)據(jù)包有兩種可能的結(jié)果：1、syn|ack，表示該端口處于監(jiān)聽(tīng)狀態(tài)2、rst|ack，表示該端口處于非監(jiān)聽(tīng)狀態(tài)5、隱蔽掃描隱蔽掃描是指能夠成功繞過(guò)IDS、防火墻和監(jiān)視系統(tǒng)等安全機(jī)制，缺的目標(biāo)主機(jī)端口信息的掃描方式。6、SYN|ACK掃描由源主機(jī)向目標(biāo)主機(jī)的某個(gè)端口直接發(fā)送syn|ack數(shù)據(jù)包，而不是先發(fā)送syn數(shù)據(jù)包。由于這種方法不發(fā)送syn數(shù)據(jù)包，目標(biāo)主機(jī)會(huì)認(rèn)為這是一次錯(cuò)誤的連接，從而會(huì)報(bào)錯(cuò)。如果目標(biāo)逐級(jí)的該端口沒(méi)有開(kāi)放，則會(huì)返回rst信息。如果目標(biāo)主機(jī)的該端口處于開(kāi)放狀態(tài)，則不會(huì)返回任何信息，而直接將這個(gè)數(shù)據(jù)包拋棄掉。7、FIN掃描源主機(jī)向目標(biāo)逐級(jí)發(fā)送fin數(shù)據(jù)報(bào)，然后查看反饋信息，如果端口返回rst信息，則說(shuō)明該端口關(guān)閉。如果沒(méi)有任何返回信息，則說(shuō)明該端口開(kāi)放。8、ACK掃描首先由主機(jī)A向主機(jī)B發(fā)送Fin數(shù)據(jù)包，然后查看反饋數(shù)據(jù)包的TTL值和WIN值。開(kāi)放端口所返回的數(shù)據(jù)包的TTL值一般小于64，而關(guān)閉端口的返回值一般大于64。開(kāi)放端口所返回?cái)?shù)據(jù)包的Win值一般大于0，而關(guān)閉端口的返回值一般等于0。9、NULL掃描將源主機(jī)發(fā)送的數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標(biāo)志為全部置空。如果目標(biāo)主機(jī)沒(méi)有返回任何信息，則表明該端口是開(kāi)放的。如果返回RST信息，則端口是關(guān)閉的。10、XMAS掃描XMAS掃描的原理和NULL掃描相同，只是將要發(fā)送的數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標(biāo)志為全部置成1，如果目標(biāo)主機(jī)沒(méi)有返回任何信息，則表明該端口是開(kāi)放的。如果返回RST信息，則端口是關(guān)閉的。緩沖區(qū)溢出攻擊技術(shù)原理在網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展歷程中，緩沖區(qū)溢出攻擊逐漸成為最有效的一種攻擊技術(shù)。原因是緩沖區(qū)溢出漏洞給予攻擊者控制程序執(zhí)行流程的機(jī)會(huì)。攻擊者將特意構(gòu)造的攻擊代碼植入到有緩沖區(qū)溢出漏洞的程序之中，改變程序的執(zhí)行過(guò)程，就可以得到被攻擊逐級(jí)的控制權(quán)。緩沖區(qū)溢出攻擊技術(shù)分析緩沖區(qū)溢出攻擊的目的在于擾亂具有某些特權(quán)運(yùn)行的程序的功能，這樣可以使攻擊者取得程序的控制權(quán)。需要解決兩個(gè)問(wèn)題：在緩沖區(qū)溢出程序的地址空間里安排適當(dāng)?shù)拇a通過(guò)適當(dāng)初始化寄存器和存儲(chǔ)器，令程序跳轉(zhuǎn)到攻擊者所安排的地址空間執(zhí)行攻擊代碼。第一個(gè)問(wèn)題有兩種方法可以解決：植入法和程序運(yùn)行控制法第二個(gè)問(wèn)題的解決方法為：激活記錄函數(shù)指針長(zhǎng)跳轉(zhuǎn)緩沖區(qū)緩沖區(qū)溢出攻擊的防范1、完善程序，對(duì)程序中定義的緩沖區(qū)設(shè)置嚴(yán)格的邊界檢查。2、對(duì)于在操作系統(tǒng)中已經(jīng)出現(xiàn)的緩沖區(qū)溢出漏洞，應(yīng)當(dāng)盡快查找并安裝補(bǔ)漏程序。3、應(yīng)急方法，將存在緩沖去溢出漏洞的程序設(shè)置用戶權(quán)限暫時(shí)去掉：Chmodu-s文件名拒絕服務(wù)攻擊技術(shù)原理拒絕服務(wù)攻擊是指攻擊者利用系統(tǒng)的缺陷，通過(guò)執(zhí)行一些惡意的操作使得合法的系統(tǒng)用戶不能及時(shí)得到應(yīng)得的服務(wù)或系統(tǒng)資源。拒絕服務(wù)具有難確認(rèn)性、隱蔽性、復(fù)雜性等特點(diǎn)。拒絕服務(wù)攻擊技術(shù)分析1、資源消耗前面講述過(guò)。2、配置修改計(jì)算機(jī)系統(tǒng)配置不當(dāng)可能造成系統(tǒng)運(yùn)行不正常，甚至根部不能運(yùn)行。攻擊者通過(guò)改變或者破壞系統(tǒng)的配置信息，阻止其他合法用戶使用計(jì)算機(jī)網(wǎng)絡(luò)提供的服務(wù)。這種攻擊主要有：改變路由信息；修改WindowsNT注冊(cè)表；修改UNIX系統(tǒng)的各種配置文件等。3、基于系統(tǒng)缺陷攻擊者利用目標(biāo)系統(tǒng)和通信協(xié)議的漏洞實(shí)現(xiàn)拒絕服務(wù)攻擊。例如，一些系統(tǒng)出于安全考慮，限制用戶試探口令次數(shù)和注冊(cè)等待時(shí)間。當(dāng)用戶口令輸入次數(shù)超過(guò)若干次，或者注冊(cè)等待時(shí)間超過(guò)某個(gè)時(shí)間值，系統(tǒng)就會(huì)停止該用戶的帳號(hào)使用權(quán)。攻擊者利用系統(tǒng)這個(gè)安全特點(diǎn)，有意輸錯(cuò)口令導(dǎo)致系統(tǒng)鎖定該用戶帳號(hào)，致使該用戶得不到應(yīng)有的服務(wù)。4、物理實(shí)體破壞這種拒絕服務(wù)攻擊針對(duì)物理設(shè)備，攻擊者通過(guò)破壞或改變網(wǎng)絡(luò)部件實(shí)現(xiàn)拒絕服務(wù)攻擊，其攻擊的目標(biāo)包括：計(jì)算機(jī)、路由器、網(wǎng)絡(luò)配線室，網(wǎng)絡(luò)主干段，電源、冷卻設(shè)備等。拒絕服務(wù)攻擊實(shí)例SYNflood攻擊者假造源網(wǎng)址送多個(gè)同步數(shù)據(jù)包（SynPacket）給服務(wù)器，服務(wù)器因無(wú)法收到確認(rèn)數(shù)據(jù)包，使TCP/IP協(xié)議的三次握手無(wú)法順利完成，因而無(wú)法建立連接。其原理是發(fā)送大量半聯(lián)結(jié)狀態(tài)的服務(wù)請(qǐng)求，使得服務(wù)器主機(jī)無(wú)法處理正常的連接請(qǐng)求，因而影響正常運(yùn)作。UDP風(fēng)暴利用簡(jiǎn)單的TCP/IP服務(wù)，如用chargen和echo傳送毫無(wú)用處的數(shù)據(jù)占滿帶寬。通過(guò)偽造與某一主機(jī)的chargen服務(wù)之間的一次UDP連接，回復(fù)地址指向開(kāi)放echo服務(wù)的一臺(tái)主機(jī)，生成在兩臺(tái)主機(jī)之間的足夠多的無(wú)用數(shù)據(jù)流。Smurf攻擊一種簡(jiǎn)單的Smurf攻擊是，將回復(fù)地址設(shè)置成目標(biāo)網(wǎng)絡(luò)廣播地址的ICMP應(yīng)答請(qǐng)求數(shù)據(jù)包，使該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求做出應(yīng)答，導(dǎo)致網(wǎng)絡(luò)阻塞，比死亡之ping洪水的流量剛出一個(gè)或兩個(gè)數(shù)量級(jí)。更加復(fù)雜的Smurf攻擊將源地址改為第三方的目標(biāo)網(wǎng)絡(luò)，最終導(dǎo)致第三方網(wǎng)絡(luò)阻塞。垃圾郵件攻擊者利用郵件系統(tǒng)制造垃圾信息，甚至通過(guò)專(zhuān)門(mén)的郵件炸彈程序給受害用戶的信箱發(fā)送垃圾信息，耗盡用戶信箱的磁盤(pán)空間，使用戶無(wú)法應(yīng)用這個(gè)信箱。消耗CPU和內(nèi)存資源的拒絕服務(wù)攻擊比如“紅色代碼”和NIMDA病毒Pingofdeath（死亡之ping）早期路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)在實(shí)現(xiàn)TCP/IP堆棧時(shí)，規(guī)定ICMP包小于等于64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭中包含的信息為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形的、尺寸超過(guò)ICMP上限的寶，即加載的尺寸超過(guò)64KB上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，使對(duì)方停機(jī)。