常見的入侵攻擊方法與手段演示文稿

常見的入侵攻擊方法與手段演示文稿目前一頁\總數六十頁\編于十五點版權所有，盜版必糾常見的入侵攻擊方法與手段目前二頁\總數六十頁\編于十五點目錄2.1信息系統的漏洞2.2信息系統的威脅2.3攻擊概述2.4典型的攻擊技術與方法目前三頁\總數六十頁\編于十五點常見的入侵攻擊方法與手段

據CNCERT/CC統計，2007年上半年，CNCERT/CC共發(fā)現8361個境外控制服務器對我國大陸地區(qū)的主機進行控制。美國計算機應急響應小組(CERT)發(fā)布的數據顯示，2006年安全研究人員共發(fā)現了8064個軟件漏洞，與2005年相比增加2074個。各種攻擊行為是當前信息系統面臨的主要安全威脅。具不完全統計，全球目前大約有26萬個網站在介紹入侵與攻擊的方法。目前四頁\總數六十頁\編于十五點2.1信息系統的漏洞2.1.1漏洞的概念信息系統本身的漏洞(Vulnerability)或脆弱性是誘發(fā)入侵攻擊的主要原因，也是信息系統入侵攻擊產生和發(fā)展不可回避的根源性原因之一。漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，它可以使攻擊者能夠在未授權的情況下訪問或破壞系統。具體舉例來說，比如在IntelPentium芯片中存在的邏輯錯誤，在Sendmail早期版本中的編程錯誤，在NFS協議中認證方式上的弱點，在Unix系統管理員設置匿名Ftp服務時配置不當的問題，這些都可能被攻擊者使用，威脅到系統的安全。因而這些都可以認為是系統中存在的安全漏洞。目前五頁\總數六十頁\編于十五點漏洞的具體表現

漏洞具體而言表現在以下幾個方面：1.存儲介質不安全數據或者說信息的存儲密度高，在一張磁盤或者一條磁帶上可以存儲大量信息，而此種存儲介質極易被攜帶出去，并且容易被有意或者無意的損壞，不管哪種情況，都將造成大量信息的丟失。2.數據的可訪問性數據可以很容易地被拷貝下來而不留任何痕跡。一臺遠程終端用戶可以訪問到系統中的所有數據，并可以按他的需要將其拷貝、刪改或者破壞掉。目前六頁\總數六十頁\編于十五點漏洞的具體表現

3.信息的聚生性當信息以分離的少量形式出現時，它的價值往往不大，但當將大量信息聚集在一起時，則顯示出它的可比較性和重要性。而信息系統的根本特點之一，就是能將大量信息收集在一起，進行自動、高效的處理，并進而產生有價值的結果?？梢哉f，計算機信息系統內部信息的這種聚生性特點導致了其被竊取的可能性大為增加。4.保密的困難性由于計算機系統內的數據都是可用的，盡管可以利用許多方法在軟件內設置一些關卡，但是對一個熟悉的人或者擁有更高水平的人來說，下些功夫就可以突破這些關卡，因此要想徹底保密是非常困難的。目前七頁\總數六十頁\編于十五點漏洞的具體表現

5.介質的剩磁效應存儲介質中的信息有時是擦除不干凈或者說是不能完全擦除的，會留下可讀信息的痕跡，一旦被利用就會泄密。另外在大多數信息系統中，刪除文件僅僅是將文件的文件名刪除，并相應地釋放存儲空間，而文件的真正內容還原封不動地保留在存儲介質上。利用這一特性竊取機密信息的案件已有發(fā)生。6.電磁的泄露性計算機設備工作時能夠輻射出電磁波，任何人都可以借助儀器在一定的范圍內收到它，尤其是利用高靈敏度儀器可以清晰地看到計算機正在處理的機密信息。目前八頁\總數六十頁\編于十五點漏洞的具體表現

7.通信網絡的脆弱性連接信息系統的通信網絡有不少弱點：通過未受保護的外部線路可以從外界訪問到系統內部的數據；通信線路和網絡可能被搭線竊聽或者破壞等

8.軟件的漏洞在編寫許多計算機軟件的時候難免會出現一些漏洞等，特別是一些大型軟件，如Windows操作系統。經常需要對Windows操作系統進行打補丁，以減少漏洞。目前九頁\總數六十頁\編于十五點漏洞的分類

1.按漏洞可能對系統造成的直接威脅可以大致分成以下幾類，事實上一個系統漏洞對安全造成的威脅遠不限于它的直接可能性，如果攻擊者獲得了對系統的一般用戶訪問權限，他就極有可能再通過利用本地漏洞把自己升級為管理員權限：(1)遠程管理員權限攻擊者無須一個賬號登錄到本地直接獲得遠程系統的管理員權限，通常通過攻擊以root身份執(zhí)行的有缺陷的系統守護進程來完成。漏洞的絕大部分來源于緩沖區(qū)溢出，少部分來自守護進程本身的邏輯缺陷。目前十頁\總數六十頁\編于十五點漏洞的分類

(2)本地管理員權限攻擊者在已有一個本地賬號能夠登錄到系統的情況下，通過攻擊本地某些有缺陷的SUID程序，競爭條件等手段，得到系統的管理員權限。目前十一頁\總數六十頁\編于十五點漏洞的分類

(3)普通用戶訪問權限攻擊者利用服務器的漏洞，取得系統的普通用戶存取權限，對UNIX類系統通常是shell訪問權限，對Windows系統通常是cmd.exe的訪問權限，能夠以一般用戶的身份執(zhí)行程序，存取文件。攻擊者通常攻擊以非root身份運行的守護進程，有缺陷的cgi程序等手段獲得這種訪問權限。目前十二頁\總數六十頁\編于十五點漏洞的分類

(4)權限提升攻擊者在本地通過攻擊某些有缺陷的SGID程序，把自己的權限提升到某個非root用戶的水平。獲得管理員權限可以看作是一種特殊的權限提升，只是因為威脅的大小不同而把它獨立出來。目前十三頁\總數六十頁\編于十五點漏洞的分類

(5)讀取受限文件攻擊者通過利用某些漏洞，讀取系統中他應該沒有權限的文件，這些文件通常是安全相關的。這些漏洞的存在可能是文件設置權限不正確，或者是特權進程對文件的不正確處理和意外dumpcore使受限文件的一部份dump到了core文件中。目前十四頁\總數六十頁\編于十五點漏洞的分類

(6)遠程拒絕服務攻擊者利用這類漏洞，無須登錄即可對系統發(fā)起拒絕服務攻擊，使系統或相關的應用程序崩潰或失去響應能力。這類漏洞通常是系統本身或其守護進程有缺陷或設置不正確造成的。目前十五頁\總數六十頁\編于十五點漏洞的分類

(7)本地拒絕服務在攻擊者登錄到系統后，利用這類漏洞，可以使系統本身或應用程序崩潰。這種漏洞主要因為是程序對意外情況的處理失誤，如寫臨時文件之前不檢查文件是否存在，盲目跟隨鏈接等。目前十六頁\總數六十頁\編于十五點漏洞的分類

(8)遠程非授權文件存取利用這類漏洞，攻擊可以不經授權地從遠程存取系統的某些文件。這類漏洞主要是由一些有缺陷的cgi程序引起的，它們對用戶輸入沒有做適當的合法性檢查，使攻擊者通過構造特別的輸入獲得對文件存取。目前十七頁\總數六十頁\編于十五點漏洞的分類

(9)口令恢復因為采用了很弱的口令加密方式，使攻擊者可以很容易的分析出口令的加密方法，從而使攻擊者通過某種方法得到密碼后還原出明文來。目前十八頁\總數六十頁\編于十五點漏洞的分類

(10)欺騙利用這類漏洞，攻擊者可以對目標系統實施某種形式的欺騙。這通常是由于系統的實現上存在某些缺陷。目前十九頁\總數六十頁\編于十五點漏洞的分類

(11)服務器信息泄露利用這類漏洞，攻擊者可以收集到對于進一步攻擊系統有用的信息。這類漏洞的產生主要是因為系統程序有缺陷，一般是對錯誤的不正確處理。(12)其它雖然以上的幾種分類包括了絕大多數的漏洞情況，可還是有可能存在一些上面幾種類型無法描述的的漏洞，把它們歸到這里。目前二十頁\總數六十頁\編于十五點漏洞的分類

按漏洞的成因

(1)輸入驗證錯誤大多數的緩沖區(qū)溢出漏洞和CGI類漏洞都是由于未對用戶提供的輸入數據的合法性作適當的檢查。(2)訪問驗證錯誤漏洞的產生是由于程序的訪問驗證部分存在某些可利用的邏輯錯誤，使繞過這種訪問控制成為可能。上面提到的那個早期AIX的rlogin漏洞就是這種典型。(3)競爭條件漏洞的產生在于程序處理文件等實體時在時序和同步方面存在問題，這處理的過程中可能存在一個機會窗口使攻擊者能夠施以外來的影響。目前二十一頁\總數六十頁\編于十五點漏洞的分類

(4)意外情況處置錯誤漏洞的產生在于程序在它的實現邏輯中沒有考慮到一些意外情況，而這些意外情況是應該被考慮到的。(5)設計錯誤這個類別是非?；\統的，嚴格來說，大多數的漏洞的存在都是設計錯誤，因此所有暫時無法放入到其他類別的漏洞，先放在這。(6)配置錯誤漏洞的產生在于系統和應用的配置有誤，或是軟件安裝在錯誤的地方，或是錯誤的配置參數，或是錯誤的訪問權限，策略錯誤。(7)環(huán)境錯誤由一些環(huán)境變量的錯誤或惡意設置造成的漏洞。如攻擊者可能通過重置shell的內部分界符IFS，shell的轉義字符，或其它環(huán)境變量，導致有問題的特權程序去執(zhí)行攻擊者指定的程序。上面提到的RedHatLinux的dump程序漏洞就是這種類型。目前二十二頁\總數六十頁\編于十五點漏洞的分類

(9)口令恢復因為采用了很弱的口令加密方式，使攻擊者可以很容易的分析出口令的加密方法，從而使攻擊者通過某種方法得到密碼后還原出明文來。(10)欺騙利用這類漏洞，攻擊者可以對目標系統實施某種形式的欺騙。這通常是由于系統的實現上存在某些缺陷。(11)服務器信息泄露利用這類漏洞，攻擊者可以收集到對于進一步攻擊系統有用的信息。這類漏洞的產生主要是因為系統程序有缺陷，一般是對錯誤的不正確處理。(12)其它雖然以上的幾種分類包括了絕大多數的漏洞情況，可還是有可能存在一些上面幾種類型無法描述的的漏洞，把它們歸到這里。目前二十三頁\總數六十頁\編于十五點漏洞的分類

(目前二十四頁\總數六十頁\編于十五點2.2信息系統的威脅總結起來，大致有下面幾種主要威脅：1．非人為、自然力造成的數據丟失、設備失效、線路阻斷；2．人為但屬于操作人員無意的失誤造成的數據丟失；3．來自外部和內部人員的惡意攻擊和入侵。目前二十五頁\總數六十頁\編于十五點2.2信息系統的威脅具體來說，信息系統的安全主要面臨以下威脅：1.計算機病毒伴隨著計算機技術的推廣普及，計算機病毒也在不斷地發(fā)展演變，其危害越來越大。目前的特點是：流行廣泛、種類繁多、潛伏期長、破壞力大，對計算機信息系統的安全構成了長期與現實的威脅。2.黑客入侵通過技術手段，非法侵入計算機信息系統，獲取秘密信息或有選擇地破壞信息的有效性與完整性。這是當前計算機信息系統所面臨的最大威脅，敵方攻擊和計算機犯罪主要采取這一類手法。3.信號截取通過截收的手段，監(jiān)聽計算機、網絡設備的電磁信號和聲像外露信號來獲取秘密信息。目前二十六頁\總數六十頁\編于十五點2.2信息系統的威脅4.介質失密通過竊取信息存儲介質(如涉密的軟盤、硬盤、光盤、筆記本電腦等)來獲取秘密信息。5.系統漏洞利用計算機操作系統、信息管理系統、網絡系統等的安全漏洞，進行竊密與破壞活動。各類軟件系統總是存在一些缺陷或漏洞，有些是疏忽造成的，有些則是軟件公司為了自便而設置的，這些漏洞或“后門”一般不為人知，但一旦洞開，后果將不堪設想。目前二十七頁\總數六十頁\編于十五點2.2信息系統的威脅6.非法訪問外部人員利用非法手段進入安全保密措施不強的計算機信息系統，對系統內的信息進行修改、破壞和竊取。7.人為因素個別人員利用合法身份與國外的網絡非法鏈接，造成失泄密。8.遙控設備敵方可以利用對方信息系統中某些設備里暗藏的遙控器材或芯片，刺探其計算機信息系統中的秘密信息，或擾亂系統的正常工作。目前二十八頁\總數六十頁\編于十五點2.3攻擊概述2.3.1黑客 根據我國現行法律的有關規(guī)定，對黑客可以給出兩個定義：一是廣義的黑客，是指利用計算機技術，非法侵入或者擅自操作他人(包括國家機關、社會組織和個人，下同)計算機信息系統，對電子信息交流安全具有不同程度的威脅性和危害性的人；二是狹義的黑客，是指利用計算機技術，非法侵入并擅自操作他人計算機信息系統，對系統功能、數據或者程序進行干擾、破壞，或者非法侵入計算機信息系統并擅自利用系統資源，實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的人。狹義的黑客包括在廣義的黑客之中，前者基本上是計算機犯罪的主體，后者的行為不一定都構成犯罪。目前二十九頁\總數六十頁\編于十五點攻擊的概念與分類

一種是主動攻擊，主動攻擊會造成網絡系統狀態(tài)和服務的改變。它以各種方式有選擇地破壞信息的有效性和完整性，這就是純粹的信息破壞，這樣的網絡侵犯者被稱為積極侵犯者，積極侵犯者截取網上的信息包，并對其進行更改使它失效，或者故意添加一些有利于自己的信息，起到信息誤導的作用，或者登錄進入系統使用并占用大量網絡資源，造成資源的消耗，損害合法用戶的利益，積極侵犯者的破壞作用最大。目前三十頁\總數六十頁\編于十五點攻擊的概念與分類

另一種是被動攻擊，被動攻擊不直接改變網絡狀態(tài)和服務。它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息，這種僅竊聽而不破壞網絡中傳輸信息的侵犯者被稱為消極侵犯者。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏目前三十一頁\總數六十頁\編于十五點攻擊的一般流程

1.隱藏自己常見的攻擊者隱藏自身的方式有以下幾種： 從已經取得控制權的主機上通過telnet或rsh跳躍。 從windows主機上通過wingates等服務進行跳躍。 利用配置不當的代理服務器進行跳躍。 利用電話交換技術先通過撥號找尋并連入某臺主機，然后通過這臺主機再連入internet來跳躍。目前三十二頁\總數六十頁\編于十五點攻擊的一般流程

2.踩點或預攻擊探測這步的主要任務是收集有關要攻擊目標的有用的信息。這些信息包括目標計算機的硬件信息、目標計算機的用戶信息、存在的漏洞等。3.采取攻擊行為在攻擊探測中如果攻擊者發(fā)現目標機器系統有可以被利用的漏洞或弱點，則立即采取攻擊行為。在此過程中具體采用的攻擊行為要視目標機器系統而定，目前較流行的手段有暴力破解、緩沖區(qū)益出、跨站腳本、拒絕服務、欺騙等。目前三十三頁\總數六十頁\編于十五點攻擊的一般流程

4.清除痕跡攻擊者清除攻擊痕跡的方法主要是清除系統和服務日志。有些工具可以清除日志，如THC提供的cleara.c。cleara.c可以清除utmp/utmpx，wtmp/wtmpx，修復lastlog讓其仍然顯示該用戶的上次登陸信息。有時攻擊者會自己對日志文件進行修改，不同的unix版本的日志存儲位置不同。目前三十四頁\總數六十頁\編于十五點攻擊的一般流程

1目前三十五頁\總數六十頁\編于十五點2.4典型的攻擊技術與方法2.4.1預攻擊掃描探測 預攻擊探測技術主要可以分為Ping掃描、操作系統識別掃描、端口掃描以及漏洞掃描等。Ping掃描用于發(fā)現攻擊目標；操作系統識別掃描就是對目標主機運行的操作系統進行識別；而端口掃描用于查看攻擊目標處于監(jiān)聽或運行狀態(tài)的服務；漏洞掃描就是掃描對方系統有什么漏洞可以利用。目前三十六頁\總數六十頁\編于十五點2.4典型的攻擊技術與方法1.Ping掃描Ping是一個DOS命令，它的用途就是用來檢測網絡的連通情況和分析網絡速度的。作為一個生活在網絡上的管理員或者黑客來說，Ping命令是第一個必須掌握的DOS命令，它所利用的原理是這樣的：網絡上的機器都有唯一確定的IP地址，給目標IP地址發(fā)送一個數據包，對方就要返回一個同樣大小的數據包，根據返回的數據包就可以確定目標主機的存在，可以初步判斷目標主機的操作系統、可以知道與對方計算機聯接的速度等。目前三十七頁\總數六十頁\編于十五點2.4典型的攻擊技術與方法1.Ping掃描。目前三十八頁\總數六十頁\編于十五點2.4典型的攻擊技術與方法Ping命令使用的是網絡層的ICMP協議，現在Windows下的Ping工具很多，比如Pinger、PingSweep、WS_PingProPack等。如圖2.8所示為采用Pinger工具來對一個網段進行探測的界面。目前三十九頁\總數六十頁\編于十五點2.4典型的攻擊技術與方法2.端口掃描端口掃描是一個用來查找網絡主機開放端口的軟件，正確使用它，能夠起到防止端口攻擊的作用。管理員們可用它來執(zhí)行端口掃描測試。對一臺主機進行端口掃描也就意味著在目標主機上掃描各種各樣的監(jiān)聽端口。它也是黑客的常用的方法。目前四十頁\總數六十頁\編于十五點2.4典型的攻擊技術與方法常用的端口掃描工具有很多，WinScan，SuperScan等。如圖所示為使用SuperScan進行端口掃描。目前四十一頁\總數六十頁\編于十五點2.4典型的攻擊技術與方法3.操作系統識別掃描黑客入侵中比較關鍵的環(huán)節(jié)就是操作系統的識別與掃描。識別出操作系統的類型后，就有得黑客實施針對性的攻擊。操作系統掃描的工具和方法有很多，如圖2.10所示為采用工具Winfingerprint掃描工具來掃描操作系統類型。目前四十二頁\總數六十頁\編于十五點2.4典型的攻擊技術與方法4.漏洞掃描 漏洞掃描主要是掃描出操作系統或網絡當中存在什么樣的漏洞，并給出詳細漏洞報告,引導用戶到相關站點下載最新系統漏洞補丁程序，確保系統永遠的處在最安全的狀態(tài)下，以減少攻擊的可能性。 現在有許多漏洞掃描工具可用，比如流光，Nessus、SSS(ShadowSecurityScanner)等。下面以SSS掃描工具為例介紹預攻擊探測技術。目前四十三頁\總數六十頁\編于十五點2.4典型的攻擊技術與方法4.漏洞掃描

目前四十四頁\總數六十頁\編于十五點密碼破解攻擊

密碼破解是用以描述在使用或不使用工具的情況下滲透網絡、系統或資源以解鎖用密碼保護的資源的一個術語。一般的密碼破解不一定涉及復雜的技術手段。有人甚至這樣形象地說過：“密碼破解與找一張寫有密碼的貼紙一樣簡單，而這張紙就貼在顯示器上或者藏在鍵盤底下?！备鶕煌闆r運用不同的方法和一些小工具，密碼就可以迎刃而解。

常見的密碼破解有三種方式，即：字典攻擊、混合攻擊和暴力攻擊。常見的碼破解有賬戶密碼破解、文件密碼破解、郵箱密碼破解、通信信息密碼破解等。密碼破解工具也有許多，如LC5賬號破解、黑雨郵箱破解器、網絡嗅探器等。下面分別對這三種典型密碼破解工具做簡單介紹。目前四十五頁\總數六十頁\編于十五點密碼破解攻擊

1.LC5賬號密碼破解

目前四十六頁\總數六十頁\編于十五點密碼破解攻擊

2.黑雨郵箱破解器破解郵箱密碼目前四十七頁\總數六十頁\編于十五點密碼破解攻擊

3.網絡嗅探器

Sniffer軟件是NAI公司推出的功能強大的協議分析軟件，使用這類網絡嗅探器軟件可以嗅探到通過網絡上傳播的一些密碼。如圖2.14所示為使用Sniffer軟件嗅探到的網絡上的密碼。目前四十八頁\總數六十頁\編于十五點緩沖區(qū)溢出攻擊導致內存緩沖區(qū)溢出問題的原因有很多，比如：(1)使用非類型安全(non-type-safe)的語言如C/C++等。(2)以不可靠的方式存取或者復制內存緩沖區(qū)。(3)編譯器設置的內存緩沖區(qū)太靠近關鍵數據結構。目前四十九頁\總數六十頁\編于十五點欺騙攻擊

1.IP欺騙攻擊IP欺騙技術就是通過偽造某臺主機的IP地址騙取特權從而進行攻擊的技術。許多應用程序認為如果數據包能夠使其自身沿著路由到達目的地，而且應答包也可以回到源地，那么源IP地址一定是有效的，而這正是使源IP地址欺騙攻擊成為可能的前提。目前五十頁\總數六十頁\編于十五點欺騙攻擊

2.ARP欺騙攻擊 地址解析協議（ARP，AddressResolutionProtocol）是在僅知道主機的IP地址時確定其物理地址的一種協議。因IPv4和以太網的廣泛應用，其主要用作將IP地址翻譯為以太網的MAC地址，但其也能在ATM和FDDIIP網絡中使用。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（IP層，也就是相當于OSI的第三層）地址解析為數據連接層（MAC層，也就是相當于OSI的第二層）的MAC地址。目前五十一頁\總數六十頁\編于十五點拒絕服務攻擊

1.拒絕服務攻擊概述拒絕服務(DoS，DenialofService)攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問，是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內存、進程甚至網絡帶寬，從而阻止正常用戶的訪問。目前五十二頁\總數六十頁\編于十五點拒絕服務攻擊

2.拒絕服務攻擊原理(1)SYNFoold攻擊SYNFlood是當前最流行的DoS與DDoS(DistributedDenialOfService分布式拒絕服務攻擊)的方式之一，這是一種利用TCP協議缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。目前五十三頁\總數六十頁\編于十五點拒絕服務攻擊

(2)IP欺騙DOS攻擊這種攻擊利用RST位來實現。假設現在有一個合法用戶(1)已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為1，并向服務器發(fā)送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后，認為從1發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，如果合法用戶1再發(fā)送合法數據，服務器就已經沒有這樣的連接了，該用戶就必須從新開始建立連接。攻擊時，攻擊者會偽造大量的IP地址，向目標發(fā)送RST數據，使服務器不對合法用戶服務，從而實現了對受害服務器的拒絕服務攻擊。目前五十四頁\總數六十頁\編于十五點拒絕服務攻擊

(3)UDP洪水攻擊攻擊者利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一臺主機，這樣就生成在兩臺主機之間存在很多的無用數據流，這些無用數據流就會導致帶寬的服務攻擊。目前五十五頁\總數六十頁\編于十五點拒絕服務攻擊

(