網(wǎng)絡(luò)攻擊技術(shù)

網(wǎng)絡(luò)攻擊技術(shù)第1頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月為什么要研究攻擊技術(shù)知己知彼，百戰(zhàn)不殆中國(guó)《孫子》Payattentiontoyourenemies,fortheyarethefirsttodiscoveryourmistakes.Antistthenes,440BC了解網(wǎng)絡(luò)安全的重要手段黑客攻擊技術(shù)網(wǎng)絡(luò)防護(hù)的一部分研究網(wǎng)絡(luò)攻擊，是為了更加有效地對(duì)網(wǎng)絡(luò)進(jìn)行防護(hù)技術(shù)繁多，沒(méi)有明顯的理論指導(dǎo)一些技術(shù)，既是黑客技術(shù)，也是網(wǎng)絡(luò)管理技術(shù)，或者是網(wǎng)絡(luò)防護(hù)技術(shù)第2頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月EmailWebISP門(mén)戶(hù)網(wǎng)站E-Commerce電子交易復(fù)雜程度時(shí)間Internet變得越來(lái)越重要第3頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)安全問(wèn)題日益突出混合型威脅(RedCode,Nimda)拒絕服務(wù)攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量第4頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月攻擊的基本步驟窺探設(shè)施踩點(diǎn)掃描查點(diǎn)列出用戶(hù)賬號(hào)列出共享文件確定應(yīng)用攻擊系統(tǒng)掃尾工作安裝后門(mén)清除入侵痕跡第5頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月攻擊技術(shù)一覽攻擊系統(tǒng)中常用的攻擊技術(shù)網(wǎng)絡(luò)探測(cè)欺騙會(huì)話(huà)劫持拒絕服務(wù)攻擊（DoS）緩沖區(qū)溢出口令探測(cè)社交工程物理攻擊木馬隱藏蹤跡第6頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)攻擊技術(shù)－欺騙欺騙技術(shù)IP欺騙假冒他人的IP地址發(fā)送信息郵件欺騙假冒他人的郵件地址發(fā)送信息Web欺騙你連到的網(wǎng)站是真的嗎？其他欺騙DNS欺騙非技術(shù)性欺騙第7頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月IP欺騙IP欺騙的動(dòng)機(jī)隱藏自己的IP地址，防止被追蹤以IP為授權(quán)依據(jù)穿越防火墻IP欺騙的形式單向IP欺騙雙向IP欺騙更高級(jí)的形式：TCP會(huì)話(huà)劫持IP欺騙成功的要訣IP數(shù)據(jù)包路由原則：根據(jù)目標(biāo)地址進(jìn)行路由第8頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月IP欺騙（一）簡(jiǎn)單欺騙改變自己的IP地址問(wèn)題只能發(fā)送數(shù)據(jù)包無(wú)法收到回送的數(shù)據(jù)包防火墻可能阻擋實(shí)現(xiàn)手段發(fā)送IP包，包頭填寫(xiě)上虛假的源IP地址在Unix平臺(tái)上，直接用socket就可以需要root權(quán)限在Windows平臺(tái)上，需要不能使用winsock可以使用winpcap等工具第9頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月IP欺騙（二）雙向欺騙關(guān)鍵技術(shù)－讓回應(yīng)包通過(guò)HH和A在同一個(gè)子網(wǎng)內(nèi)部使用源路由選項(xiàng)被假冒者A目標(biāo)機(jī)器B攻擊者H假冒包：A->B回應(yīng)包：B->AH能看到這個(gè)包嗎？第10頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月IP欺騙（三）如何避免IP欺騙主機(jī)保護(hù)保護(hù)自己的機(jī)器不被用來(lái)實(shí)施IP欺騙物理防護(hù)、保護(hù)口令權(quán)限控制，防止其他人隨意修改配置信息注意其他的安全措施保護(hù)自己的機(jī)器不被成為假冒的對(duì)象無(wú)能為力網(wǎng)絡(luò)防護(hù)路由器上設(shè)置過(guò)濾器入口：外來(lái)包帶有內(nèi)部IP地址出口：內(nèi)部包帶有外部IP地址防止源路由攻擊路由器上禁止這樣的包第11頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月電子郵件欺騙為什么要進(jìn)行電子郵件欺騙隱藏發(fā)件人的身份，例如匿名信挑撥離間，唯恐世界不亂騙取敏感信息欺騙的形式使用類(lèi)似的電子郵件地址修改郵件客戶(hù)端軟件的賬號(hào)配置直接連到SMTP服務(wù)器上發(fā)信電子郵件欺騙的方法與現(xiàn)實(shí)郵局進(jìn)行比較基本郵件協(xié)議沒(méi)有認(rèn)證機(jī)制發(fā)信可以要求認(rèn)證第12頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月電子郵件欺騙（一）使用類(lèi)似的郵件地址發(fā)信人使用被假冒者的名字注冊(cè)一個(gè)賬號(hào)，然后給目標(biāo)發(fā)送一封正常的信他(她)能識(shí)別嗎？我是你的上司XX，請(qǐng)把XXX發(fā)送給我我在外面度假，請(qǐng)送到我的個(gè)人信箱第13頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月電子郵件欺騙（二）對(duì)于類(lèi)似郵件地址的解決使用數(shù)字簽名修改郵件客戶(hù)端軟件的賬號(hào)設(shè)置姓名（Name）屬性，會(huì)出現(xiàn)在“From”和“Reply-To”字段中，然后顯示在“發(fā)件人”信息中電子郵件地址，會(huì)出現(xiàn)在“From”字段中回復(fù)地址，會(huì)出現(xiàn)在“Reply-To”字段中，可以不填保護(hù)用戶(hù)免受修改郵件客戶(hù)的攻擊查看完整的電子郵件頭部信息多數(shù)郵件系統(tǒng)允許用戶(hù)查看郵件從源地址到目的地址經(jīng)過(guò)的所有主機(jī)第14頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月電子郵件欺騙（三）直接連到SMTP服務(wù)器上發(fā)信telnet連到SMTP服務(wù)器的25端口，然后發(fā)送命令，常用的命令為：Helo、Mailfrom、Rcptto、Data、Quit保護(hù)措施郵件服務(wù)器的驗(yàn)證Smtp服務(wù)器驗(yàn)證發(fā)送者的身份，以及發(fā)送的郵件地址是否與郵件服務(wù)器屬于相同的域驗(yàn)證接收方的域名與郵件服務(wù)器的域名是否相同有的也驗(yàn)證發(fā)送者的域名是否有效，通過(guò)反向DNS解析攻擊者可以運(yùn)行自己的smtp郵件服務(wù)器不能防止一個(gè)內(nèi)部用戶(hù)冒充另一個(gè)內(nèi)部用戶(hù)發(fā)送郵件第15頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Web欺騙Web是建立在應(yīng)用層上的服務(wù)，直接面向Internet用戶(hù)Web欺騙的根源由于Internet的開(kāi)放性，任何人都可以建立自己的Web站點(diǎn)Web站點(diǎn)名字(DNS域名)可以自由注冊(cè)，按先后順序并不是每個(gè)用戶(hù)都清楚Web的運(yùn)行規(guī)則Web欺騙的動(dòng)機(jī)商業(yè)利益，商業(yè)競(jìng)爭(zhēng)政治目的Web欺騙的形式使用相似的域名Cross-SiteScripting第16頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Web欺騙（一）使用相似的域名注冊(cè)一個(gè)與目標(biāo)公司或者組織相似的域名，然后建立一個(gè)欺騙網(wǎng)站，騙取該公司用戶(hù)的信任，以得到這些用戶(hù)的信息例如：使用來(lái)混淆如果客戶(hù)提供了敏感信息，那么這種欺騙可能會(huì)帶來(lái)更大的危害用戶(hù)在假冒的網(wǎng)站上訂購(gòu)了一些商品，然后出示支付信息。假冒的網(wǎng)站把這些信息記錄下來(lái)并分配一個(gè)cookie，然后提示：現(xiàn)在網(wǎng)站出現(xiàn)故障，請(qǐng)重試一次。當(dāng)用戶(hù)重試的時(shí)候，假冒網(wǎng)站發(fā)現(xiàn)這個(gè)用戶(hù)帶有cookie，就把它的請(qǐng)求轉(zhuǎn)到真正的網(wǎng)站上。對(duì)于從事商業(yè)活動(dòng)的用戶(hù)，應(yīng)對(duì)這種欺騙提高警惕第17頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Web欺騙（二）Cross-SiteScripting（跨站腳本攻擊）現(xiàn)在流行的一種攻擊方式絕大多數(shù)交互網(wǎng)站或者服務(wù)提供網(wǎng)站可能存在這種漏洞攻擊產(chǎn)生的根源網(wǎng)站提供交互時(shí)可使用HTML代碼，用戶(hù)可上傳惡意腳本代碼攻擊方式（以一個(gè)論壇網(wǎng)站為例）AntiBoardSQL注入及跨站腳本攻擊漏洞AntiBoard是一款基于PHP的論壇程序。

AntiBoard對(duì)用戶(hù)提交的參數(shù)缺少充分過(guò)濾，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞獲得敏感信息或更改數(shù)據(jù)庫(kù)。

第18頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Web欺騙（三）防止Web欺騙－使用相似的域名注意觀察URL地址欄的變化不要信任不可靠的URL信息你是不是相信自己？許多人根據(jù)自己的猜測(cè)去在瀏覽器地址欄中寫(xiě)下要訪問(wèn)的網(wǎng)址防止Web欺騙－Cross-SiteScripting網(wǎng)站不允許使用HTML語(yǔ)言過(guò)于嚴(yán)格，沒(méi)有必要網(wǎng)站不允許使用腳本程序?qū)μ厥庾址倪^(guò)濾黑客們的對(duì)策采用另一種字符表達(dá)方式來(lái)逃避過(guò)濾，例如:改用ASCII碼替換<>如<>第19頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月欺騙技術(shù)總結(jié)我們從上述欺騙技術(shù)可以認(rèn)識(shí)到IP協(xié)議本身的缺陷性應(yīng)用層上也缺乏有效的安全措施在攻擊技術(shù)里，欺騙技術(shù)是比較低級(jí)的，基本上是針對(duì)Internet上不完全的機(jī)制發(fā)展起來(lái)的技術(shù)含量不高非技術(shù)的欺騙社交工程最有效的攻擊方法避免欺騙的最好辦法增強(qiáng)用戶(hù)的安全意識(shí)，尤其是網(wǎng)絡(luò)管理人員和軟件開(kāi)發(fā)人員的安全意識(shí)第20頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)攻擊技術(shù)－會(huì)話(huà)劫持在現(xiàn)實(shí)生活中，例如銀行的一筆交易如果營(yíng)業(yè)員檢查了顧客的身份證和帳戶(hù)卡，抬起頭來(lái)，發(fā)現(xiàn)不再是剛才的顧客他會(huì)把錢(qián)交給外面的顧客嗎？網(wǎng)絡(luò)中的問(wèn)題在網(wǎng)絡(luò)上，沒(méi)有人知道你是一條狗第21頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月TCP會(huì)話(huà)劫持欺騙和劫持欺騙是偽裝成合法用戶(hù)，以獲得一定的利益劫持是積極主動(dòng)地使一個(gè)在線(xiàn)的用戶(hù)下線(xiàn)，或者冒充這個(gè)用戶(hù)發(fā)送消息，以便達(dá)到自己的目的動(dòng)機(jī)Sniffer對(duì)于一次性密鑰并沒(méi)有用認(rèn)證協(xié)議使得口令不在網(wǎng)絡(luò)上傳輸會(huì)話(huà)劫持分兩種被動(dòng)劫持監(jiān)聽(tīng)網(wǎng)絡(luò)流量，發(fā)現(xiàn)密碼或者其他敏感信息主動(dòng)劫持找到當(dāng)前會(huì)話(huà)并接管過(guò)來(lái)，迫使一方下線(xiàn)，由劫持者取而代之攻擊者接管了一個(gè)合法會(huì)話(huà)后，可以做更多危害性更大的事情第22頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月TCP會(huì)話(huà)劫持被劫持者A服務(wù)器B1A遠(yuǎn)程登錄，建立會(huì)話(huà)，完成認(rèn)證過(guò)程攻擊者H2監(jiān)聽(tīng)流量3劫持會(huì)話(huà)4迫使A下線(xiàn)第23頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月會(huì)話(huà)劫持原理TCP協(xié)議三次握手建立TCP連接（一個(gè)

TCP會(huì)話(huà)）終止一個(gè)會(huì)話(huà)，正常情況需要4條消息如何標(biāo)識(shí)一個(gè)會(huì)話(huà)狀態(tài)：源IP:端口+SN<>目標(biāo)IP:端口+SN從TCP會(huì)話(huà)狀態(tài)入手要了解每一個(gè)方向上的SN（數(shù)據(jù)序列號(hào)）兩個(gè)方向上的序列號(hào)是相互獨(dú)立的TCP數(shù)據(jù)包，除了第一個(gè)

SYN包以外，都有一個(gè)ack

標(biāo)志，給出了期待對(duì)方發(fā)送數(shù)據(jù)的序列號(hào)猜測(cè)序列號(hào)是成功劫持TCP會(huì)話(huà)的關(guān)鍵第24頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月TCP協(xié)議中的序列號(hào)（一）在每一個(gè)ACK包中，有兩個(gè)序列號(hào)第一個(gè)（SEG_SEQ）是當(dāng)前包中數(shù)據(jù)第一個(gè)字節(jié)的序號(hào)第二個(gè)（SEG_ACK）是期望收到對(duì)方數(shù)據(jù)包中第一個(gè)字節(jié)的序號(hào)假設(shè)客戶(hù)（CLT）向服務(wù)器（SVR）發(fā)起一個(gè)連接SVR_SEQ：服務(wù)器將要發(fā)送的下一個(gè)字節(jié)的序號(hào)SVR_ACK：服務(wù)器將要接收的下一個(gè)字節(jié)的序號(hào)（已經(jīng)收到的最后一個(gè)字節(jié)的序號(hào)加1）SVR_WIND：服務(wù)器的接收窗口CLT_SEQ：客戶(hù)將要發(fā)送的下一個(gè)字節(jié)的序號(hào)CLT_ACK：客戶(hù)將要接收的下一個(gè)字節(jié)的序號(hào)（已經(jīng)收到的最后一個(gè)字節(jié)的序號(hào)加1）CLT_WIND：客戶(hù)的接收窗口第25頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月TCP協(xié)議中的序列號(hào)（二）關(guān)系CLT_ACK<=SVR_SEQ<=CLT_ACK+CLT_WINDSVR_ACK<=CLT_SEQ<=SVR_ACK+SVR_WIND只有滿(mǎn)足這樣條件的包，對(duì)方才能接收否則，拋棄該數(shù)據(jù)包，并且送回一個(gè)ACK包（含有期望的序列號(hào)）同步狀態(tài)SVR_SEQ＝CLT_ACKCLT_SEQ=SVR_ACK不同步狀態(tài)SVR_SEQ<>CLT_ACKCLT_SEQ<>SVR_ACK第26頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月TCP協(xié)議中的序列號(hào)（三）如果TCP進(jìn)入不同步狀態(tài)客戶(hù)發(fā)送一個(gè)包SEG_SEQ＝CLT_SEQSEG_ACK＝CLT_ACK這個(gè)包不會(huì)被接收，因?yàn)镃LT_SEQ<>SVR_ACK相反，如果第三方（攻擊者）發(fā)送一個(gè)包SEG_SEQ＝SVR_ACKSEG_ACK＝SVR_SEQ這個(gè)包可以被服務(wù)器接收如果攻擊者能夠偽造兩邊的包的話(huà)，還可以恢復(fù)客戶(hù)和服務(wù)器之間的會(huì)話(huà)，使得回到同步狀態(tài)第27頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月TCPACKStorm當(dāng)一個(gè)主機(jī)接收到一個(gè)不期望的數(shù)據(jù)包時(shí)，它會(huì)用自己的序列號(hào)發(fā)送ACK，而這個(gè)包本身也是不可被接受的。于是，兩邊不停地發(fā)送ACK包，形成ACK包的循環(huán)，稱(chēng)為ACK風(fēng)暴（ACKStorm）如果有一個(gè)ACK包丟掉，則風(fēng)暴停止第28頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月在建立連接的時(shí)候劫持會(huì)話(huà)當(dāng)攻擊者聽(tīng)到握手過(guò)程第二步的時(shí)候，它給服務(wù)器發(fā)送一個(gè)RST包，然后發(fā)送用同樣的TCP和端口號(hào)構(gòu)造的一個(gè)SYN包，但是序列號(hào)與前面的SYN包不同服務(wù)器關(guān)閉第一個(gè)連接，打開(kāi)第二個(gè)連接，并且送回第二個(gè)SYN/ACK給客戶(hù)，攻擊者聽(tīng)到這個(gè)包之后，給服務(wù)器送出一個(gè)ACK包至此，客戶(hù)、服務(wù)器、攻擊者都進(jìn)入到TCPESTABLISHED狀態(tài)，但是攻擊者和服務(wù)器之間是同步的，而客戶(hù)和服務(wù)器之間是不同步的注意，攻擊者選擇的序列號(hào)與客戶(hù)的序列號(hào)一定要不同，否則不能成功第29頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月給一方發(fā)送空數(shù)據(jù)攻擊者首先觀察會(huì)話(huà)然后，給服務(wù)器發(fā)送一些無(wú)關(guān)緊要的數(shù)據(jù)，這些數(shù)據(jù)會(huì)導(dǎo)致服務(wù)器的序列號(hào)發(fā)生變化攻擊者給客戶(hù)也可以發(fā)送數(shù)據(jù)這種手段成功的要點(diǎn)在于可以發(fā)送一些無(wú)關(guān)緊要的數(shù)據(jù)，并且能夠把握發(fā)送的時(shí)機(jī)第30頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月不在一個(gè)子網(wǎng)中的劫持手法有時(shí)候也稱(chēng)作“Blindspoofing”攻擊者發(fā)送一個(gè)SYN包然后猜測(cè)服務(wù)器的ISN只要能夠猜得到，就可以建立連接但是攻擊者收不到服務(wù)器給客戶(hù)的包使用源路由技術(shù)條件真正的客戶(hù)不能發(fā)送RST包攻擊者能夠猜測(cè)服務(wù)器每個(gè)包的大小第31頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月實(shí)施會(huì)話(huà)劫持的一般性過(guò)程發(fā)現(xiàn)目標(biāo)找到什么樣的目標(biāo)，以及可以有什么樣的探查手段，取決于劫持的動(dòng)機(jī)和環(huán)境探查遠(yuǎn)程機(jī)器的ISN(初始序列號(hào))規(guī)律可以使用掃描軟件，或者手工發(fā)起多個(gè)連接等待或者監(jiān)聽(tīng)對(duì)話(huà)最好在流量高峰期間進(jìn)行，不容易被發(fā)現(xiàn)，而且可以有比較多可供選擇的會(huì)話(huà)猜測(cè)序列號(hào)最關(guān)鍵的一步，如果不在一個(gè)子網(wǎng)中，難度就非常大使被劫持者下線(xiàn)ACK風(fēng)暴，拒絕服務(wù)接管對(duì)話(huà)如果在同一子網(wǎng)中，則可以收到響應(yīng)，否則要猜測(cè)服務(wù)器的動(dòng)作第32頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月KillaConnection攻擊者發(fā)送一個(gè)RST包給B，并且假冒A的IP地址觀察A和B之間的數(shù)據(jù)往來(lái)，算出A和B的序列號(hào)，在適當(dāng)?shù)臅r(shí)機(jī)插入一個(gè)RST包，只要在插入點(diǎn)上，序列號(hào)正確，則RST包就會(huì)被接受，從而達(dá)到目的攻擊者發(fā)送一個(gè)FIN包給B，并且假冒A的IP地址同樣，在適當(dāng)?shù)臅r(shí)機(jī)給B發(fā)送一個(gè)FIN包這時(shí)候，A怎么辦？AB攻擊者第33頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月會(huì)話(huà)劫持過(guò)程詳解(一)A向B發(fā)送一個(gè)數(shù)據(jù)包

SEQ(hex):XACK(hex):Y

FLAGS:-APWindow:ZZZZ，包大小為:60

B回應(yīng)A一個(gè)數(shù)據(jù)包

SEQ(hex):YACK(hex):X+60

FLAGS:-APWindow:ZZZZ，包大小為:50

AB攻擊者第34頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月會(huì)話(huà)劫持過(guò)程詳解(二)

A向B回應(yīng)一個(gè)數(shù)據(jù)包

SEQ(hex):X+60ACK(hex):Y+50

FLAGS:-APWindow:ZZZZ，包大小為:40

B向A回應(yīng)一個(gè)數(shù)據(jù)包

SEQ(hex):Y+50ACK(hex):X+100

FLAGS:-APWindow:ZZZZ，包大小為:30

攻擊者BA第35頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月會(huì)話(huà)劫持過(guò)程詳解(三)

攻擊者C冒充主機(jī)A給主機(jī)B發(fā)送一個(gè)數(shù)據(jù)包

SEQ(hex):X+100ACK(hex):Y+80

FLAGS:-APWindow:ZZZZ，包大小為:20

B向A回應(yīng)一個(gè)數(shù)據(jù)包

SEQ(hex):Y+80ACK(hex):X+120

FLAGS:-APWindow:ZZZZ，包大小為:10

A攻擊者B第36頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月會(huì)話(huà)劫持過(guò)程詳解(四)主機(jī)B執(zhí)行了攻擊者C冒充主機(jī)A發(fā)送過(guò)來(lái)的命令，并且返回給主機(jī)A一個(gè)數(shù)據(jù)包；但是，主機(jī)A并不能識(shí)別主機(jī)B發(fā)送過(guò)來(lái)的數(shù)據(jù)包，所以主機(jī)A會(huì)以期望的序列號(hào)返回給主機(jī)B一個(gè)數(shù)據(jù)包，隨即形成ACK風(fēng)暴。如果成功的解決了ACK風(fēng)暴（例如ARP欺騙），就可以成功進(jìn)行會(huì)話(huà)劫持了。

A攻擊者B第37頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月如何防止會(huì)話(huà)劫持部署共享式網(wǎng)絡(luò)，用交換機(jī)代替集線(xiàn)器無(wú)法進(jìn)行監(jiān)聽(tīng)TCP會(huì)話(huà)加密防火墻配置限制盡可能少量的外部許可連接的IP地址檢測(cè)ACK包的數(shù)量明顯增加第38頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)攻擊技術(shù)－拒絕服務(wù)攻擊（DoS）DoS(DenialofService)信息安全的三個(gè)概念保密性、完整性、可用性針對(duì)可用性進(jìn)行攻擊定義：通過(guò)某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù)特點(diǎn)：技術(shù)原理簡(jiǎn)單，工具化難以防范，有限D(zhuǎn)oS可以通過(guò)管理的手段防止DoS的動(dòng)機(jī)無(wú)法攻入系統(tǒng)的報(bào)復(fù)強(qiáng)行重啟對(duì)方機(jī)器惡意破壞或者報(bào)復(fù)網(wǎng)絡(luò)恐怖主義第39頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月DoS的危害使得正常的服務(wù)不能提供案例：1996年9月，一家ISP(PublicAccessNetworks)公司遭受拒絕服務(wù)達(dá)一周一上，拒絕對(duì)約6000多人和1000家公司提供Internet服務(wù)政府網(wǎng)站美國(guó)白宮的網(wǎng)站曾經(jīng)遭受拒絕服務(wù)攻擊分布式拒絕服務(wù)－DDoS2000年2月，一批商業(yè)性質(zhì)的Web站點(diǎn)收到了DDoS的攻擊Yahoo、eBuy、CNN等著名網(wǎng)站都受到過(guò)分布式拒絕服務(wù)攻擊第40頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月DoS的形式粗略來(lái)看，分為三種形式消耗有限的物理資源網(wǎng)絡(luò)資源帶寬資源其他資源衰竭，如磁盤(pán)空間、進(jìn)程數(shù)合法用戶(hù)可登錄嘗試的次數(shù)有限，攻擊者可以用掉這些嘗試次數(shù)修改配置信息造成DoS比如，修改路由器信息，造成不能訪問(wèn)網(wǎng)絡(luò)；修改NT注冊(cè)表，也可以關(guān)掉某些功能物理部件的移除，或破壞第41頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月DoS的技術(shù)分類(lèi)從表現(xiàn)形式來(lái)看帶寬消耗用足夠的資源消耗掉有限的資源利用網(wǎng)絡(luò)上的其他資源(惡意利用Internet共享資源)，達(dá)到消耗目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的目的系統(tǒng)資源消耗，針對(duì)操作系統(tǒng)中有限的資源，如進(jìn)程數(shù)、磁盤(pán)、CPU、內(nèi)存、文件句柄，等等程序?qū)崿F(xiàn)上的缺陷，異常行為處理不正確，比如PingofDeath修改(篡改)系統(tǒng)策略，使得它不能提供正常的服務(wù)從攻擊原理來(lái)看通用類(lèi)型的DoS攻擊，這類(lèi)攻擊往往是與具體系統(tǒng)無(wú)關(guān)的，比如針對(duì)協(xié)議設(shè)計(jì)上的缺陷的攻擊系統(tǒng)相關(guān)的攻擊，這類(lèi)攻擊往往與具體的實(shí)現(xiàn)有關(guān)說(shuō)明：最終，所有的攻擊都是系統(tǒng)相關(guān)的，因?yàn)橛行┫到y(tǒng)可以針對(duì)協(xié)議的缺陷提供一些補(bǔ)救措施，從而免受此類(lèi)攻擊第42頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月DoS的技術(shù)歷史早期的Internet蠕蟲(chóng)病毒RobertMorris的RTM蠕蟲(chóng)消耗網(wǎng)絡(luò)資源分片裝配，非法的TCP標(biāo)志，SYNFlood，等利用系統(tǒng)實(shí)現(xiàn)上的缺陷，點(diǎn)對(duì)點(diǎn)形式PingofDeath,IP分片重疊分布式DoS(DDoS)攻擊最著名的smurf攻擊第43頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月一些典型的DoS攻擊（一）PingOfDeath原理：直接利用ping包，即ICMPEcho包，有些系統(tǒng)在收到大量比最大包還要長(zhǎng)的數(shù)據(jù)包，會(huì)掛起或者死機(jī)受影響的系統(tǒng)：許多操作系統(tǒng)受影響著名的windows藍(lán)屏工具攻擊做法直接利用ping工具，發(fā)送超大的ping數(shù)據(jù)包利用特制的工具，例如：IPHacker防止措施打補(bǔ)丁防火墻阻止這樣的ping包第44頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月一些典型的DoS攻擊（二）TearDrop原理：利用IP包的分片裝配過(guò)程中，由于分片重疊，計(jì)算過(guò)程中出現(xiàn)長(zhǎng)度為負(fù)值，在執(zhí)行memcpy的時(shí)候?qū)е孪到y(tǒng)崩潰受影響的系統(tǒng)：Linux/WindowsNT/95，97年發(fā)現(xiàn)攻擊特征攻擊非常簡(jiǎn)單，發(fā)送一些IP分片異常的數(shù)據(jù)包防止措施加入條件判斷，對(duì)這種異常的包特殊處理打補(bǔ)丁SSPing碎片ICMP數(shù)據(jù)包產(chǎn)生DoS影響Windows95和NT系統(tǒng)以及老版本的MAC系統(tǒng)第45頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月一些典型的DoS攻擊（三）SYNFlood原理：每個(gè)機(jī)器都需要為半開(kāi)連接分配一定的資源這種半開(kāi)連接的數(shù)量是有限制共計(jì)方利用TCP連接三次握手過(guò)程，打開(kāi)大量的半開(kāi)TCP連接目標(biāo)機(jī)器不能進(jìn)一步接受TCP連接。機(jī)器就不再接受進(jìn)來(lái)的連接請(qǐng)求。受影響的系統(tǒng)：大多數(shù)操作系統(tǒng)攻擊細(xì)節(jié)連接請(qǐng)求是正常的，但是，源IP地址往往是偽造的，并且是一臺(tái)不可達(dá)的機(jī)器的IP地址，否則，被偽造地址的機(jī)器會(huì)重置這些半開(kāi)連接一般，半開(kāi)連接超時(shí)之后，會(huì)自動(dòng)被清除，所以，攻擊者的系統(tǒng)發(fā)出SYN包的速度要比目標(biāo)機(jī)器清除半開(kāi)連接的速度要快任何連接到Internet上并提供基于TCP的網(wǎng)絡(luò)服務(wù)，都有可能成為攻擊的目標(biāo)這樣的攻擊很難跟蹤，因?yàn)樵吹刂吠豢尚牛也辉诰€(xiàn)第46頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月一些典型的DoS攻擊（四）SYNFlood攻擊特征目標(biāo)主機(jī)的網(wǎng)絡(luò)上出現(xiàn)大量的SYN包，而沒(méi)有相應(yīng)的應(yīng)答包SYN包的源地址可能是偽造的，甚至無(wú)規(guī)律可循防止措施針對(duì)網(wǎng)絡(luò)防火墻或者路由器可以在給定時(shí)間內(nèi)只允許有限數(shù)量的半開(kāi)連接入侵檢測(cè)，可以發(fā)現(xiàn)這樣的DoS攻擊行為打補(bǔ)丁Linux和Solaris使用了一種被稱(chēng)為SYNcookie的技術(shù)來(lái)解決SYNFlood攻擊：在半開(kāi)連接隊(duì)列之外另設(shè)置了一套機(jī)制，使得合法連接得以正常繼續(xù)第47頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月一些典型的DoS攻擊（五）Smurf原理：攻擊者向一個(gè)廣播地址發(fā)送ICMPEcho請(qǐng)求，并且用受害者的IP地址作為源地址廣播地址網(wǎng)絡(luò)上的每臺(tái)機(jī)器響應(yīng)這些Echo請(qǐng)求，同時(shí)向受害者主機(jī)發(fā)送ICMPEcho-Reply應(yīng)答受害者主機(jī)會(huì)被這些大量的應(yīng)答包淹沒(méi)受影響的系統(tǒng)：大多數(shù)操作系統(tǒng)和路由器變種：fraggle，使用UDP包，或稱(chēng)為udpsmurf比如，7號(hào)端口(echo)，如果目標(biāo)機(jī)器的端口開(kāi)著，則送回應(yīng)答UDP數(shù)據(jù)包，否則，產(chǎn)生ICMP端口不可達(dá)消息技術(shù)細(xì)節(jié)兩個(gè)主要的特點(diǎn)：使用偽造的數(shù)據(jù)包，使用廣播地址。不僅被偽造地址的機(jī)器受害，目標(biāo)網(wǎng)絡(luò)本身也是受害者，它們要發(fā)送大量的應(yīng)答數(shù)據(jù)包第48頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月一些典型的DoS攻擊（六）第49頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月一些典型的DoS攻擊（七）攻擊特征涉及到三方：攻擊者，中間目標(biāo)網(wǎng)絡(luò)，受害者以較小的網(wǎng)絡(luò)帶寬資源，通過(guò)放大作用，吃掉較大帶寬的受害者系統(tǒng)Smurf放大器Smurf放大器網(wǎng)絡(luò)：不僅允許ICMPEcho請(qǐng)求發(fā)給網(wǎng)絡(luò)的廣播地址，并且允許ICMPEcho-Reply發(fā)送回去這樣的公司越多，對(duì)Internet的危害就越大實(shí)施Smurf攻擊需要長(zhǎng)期的準(zhǔn)備，首先找到足夠多的中間網(wǎng)絡(luò)集中向這些中間網(wǎng)絡(luò)發(fā)出ICMPEcho包第50頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月一些典型的DoS攻擊（八）Smurf攻擊的防護(hù)針對(duì)最終受害者沒(méi)有直接的方法可以阻止自己接收ICMPEchoReply消息在路由器上阻止這樣的應(yīng)答消息，但是，結(jié)果是，路由器本身遭受了DoS攻擊與中間目標(biāo)網(wǎng)絡(luò)聯(lián)系針對(duì)中間網(wǎng)絡(luò)關(guān)閉外來(lái)的IP廣播消息，但是，如果攻擊者從內(nèi)部機(jī)器發(fā)起攻擊，仍然不能阻止smurf攻擊配置操作系統(tǒng)，對(duì)于廣播地址的ICMP包不響應(yīng)在每個(gè)路由節(jié)點(diǎn)上都記錄log，以備查流量大的路由節(jié)點(diǎn)上能夠記錄所有的流量嗎第51頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月DDoS的一般模型第52頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月DoS的防護(hù)措施對(duì)于網(wǎng)絡(luò)路由器和防火墻配置得當(dāng)，可以減少受DoS攻擊的危險(xiǎn)比如，禁止IP欺騙可以避免許多DoS攻擊入侵檢測(cè)系統(tǒng)，檢測(cè)異常行為對(duì)于系統(tǒng)升級(jí)系統(tǒng)內(nèi)核，打上必要的補(bǔ)丁，特別是一些簡(jiǎn)單的DoS攻擊，例如SYNFlooding關(guān)掉不必要的服務(wù)和網(wǎng)絡(luò)組件如果有配額功能的話(huà)，正確地設(shè)置這些配額監(jiān)視系統(tǒng)的運(yùn)行，避免降低到基線(xiàn)以下檢測(cè)系統(tǒng)配置信息的變化情況保證物理安全建立備份和恢復(fù)機(jī)制第53頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)攻擊技術(shù)－緩沖區(qū)溢出緩存區(qū)溢出歷史1988年的Morris蠕蟲(chóng)病毒，成功攻擊了6000多臺(tái)機(jī)器：利用UNIX服務(wù)finger中的緩沖區(qū)溢出漏洞來(lái)獲得訪問(wèn)權(quán)限，得到一個(gè)shell1996年前后，開(kāi)始出現(xiàn)大量的BufferOverflow攻擊，因此引起人們的廣泛關(guān)注源碼開(kāi)放的操作系統(tǒng)首當(dāng)其沖隨后，Windows系統(tǒng)下的BufferOverflows也相繼被發(fā)掘出來(lái)已經(jīng)有一些非常經(jīng)典細(xì)致的文章來(lái)介紹與Bufferoverflows有關(guān)的技術(shù)第54頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月緩沖區(qū)溢出的基本介紹基本的思想通過(guò)修改某些內(nèi)存區(qū)域，把一段惡意代碼存儲(chǔ)到一個(gè)buffer中，并且使這個(gè)buffer被溢出，以便當(dāng)前進(jìn)程被非法利用(執(zhí)行這段惡意的代碼)危害性在UNIX平臺(tái)上，通過(guò)發(fā)掘BufferOverflow,可以獲得一個(gè)交互式的shell在Windows平臺(tái)上，可以上載并執(zhí)行任何的代碼溢出漏洞發(fā)掘起來(lái)需要較高的技巧和知識(shí)背景，但是，一旦有人編寫(xiě)出溢出代碼，則用起來(lái)非常簡(jiǎn)單與其他的攻擊類(lèi)型相比，緩沖區(qū)溢出攻擊不需要太多的先決條件殺傷力很強(qiáng)技術(shù)性強(qiáng)在BufferOverflows攻擊面前，防火墻往往顯得很無(wú)奈第55頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月讀取或?qū)懭氤^(guò)緩沖區(qū)的末尾時(shí)，會(huì)導(dǎo)致許多不同（并且通常是不可預(yù)料的）行為：1)程序的執(zhí)行很奇怪2)程序完全失敗3)程序可以繼續(xù)，而且在執(zhí)行中沒(méi)有任何明顯不同存在緩沖區(qū)溢出的程序的不確定行為使得對(duì)它們的調(diào)試非常困難。程序可能正發(fā)生緩沖區(qū)溢出，但根本沒(méi)有任何副作用的跡象。因此，緩沖區(qū)溢出問(wèn)題常常在標(biāo)準(zhǔn)測(cè)試期間是發(fā)現(xiàn)不了的。認(rèn)識(shí)緩沖區(qū)溢出的重要一點(diǎn)是：在發(fā)生溢出時(shí)，會(huì)潛在地修改碰巧分配在緩沖區(qū)附近的任何數(shù)據(jù)。第56頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月“SQLSlammer”蠕蟲(chóng)王的發(fā)作原理，就是利用未及時(shí)更新補(bǔ)丁的MSSQLServer數(shù)據(jù)庫(kù)緩沖溢出漏洞。采用不正確的方式將數(shù)據(jù)發(fā)到MSSqlServer的監(jiān)聽(tīng)端口，這個(gè)錯(cuò)誤可以引起緩沖溢出攻擊。目前新出現(xiàn)的MSBLAST病毒正是利用了微軟關(guān)于RPC接口中遠(yuǎn)程任意可執(zhí)行代碼漏洞，“中招”的機(jī)器會(huì)反復(fù)重啟，或者拷貝、粘貼功能不工作等現(xiàn)象。僅去年緩沖區(qū)溢出就占使CERT/CC提出建議的所有重大安全性錯(cuò)誤的百分之五十以上。并且數(shù)據(jù)顯示這一問(wèn)題正在擴(kuò)大，而不是在縮減。第57頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月緩沖區(qū)溢出的保護(hù)方法編寫(xiě)正確的代碼最簡(jiǎn)單的方法就是用grep來(lái)搜索源代碼中容易產(chǎn)生漏洞的庫(kù)的調(diào)用為了對(duì)付這些問(wèn)題，人們已經(jīng)開(kāi)發(fā)了一些高級(jí)的查錯(cuò)工具，如faultinjection等。這些工具的目的在于通過(guò)人為隨機(jī)地產(chǎn)生一些緩沖區(qū)溢出來(lái)尋找代碼的安全漏洞。非執(zhí)行的緩沖區(qū)通過(guò)使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被植入被攻擊程序輸入緩沖區(qū)的代碼，這種技術(shù)被稱(chēng)為非執(zhí)行的緩沖區(qū)技術(shù)。事實(shí)上，很多老的Unix系統(tǒng)都是這樣設(shè)計(jì)的，但是近來(lái)的Unix和MSWindows系統(tǒng)為實(shí)現(xiàn)更好的性能和功能，往往在數(shù)據(jù)段中動(dòng)態(tài)地放人可執(zhí)行的代碼。所以為了保持程序的兼容性不可能使得所有程序的數(shù)據(jù)段不可執(zhí)行。但是我們可以設(shè)定堆棧數(shù)據(jù)段不可執(zhí)行，這樣就可以最大限度地保證了程序的兼容性。第58頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月緩沖區(qū)溢出的保護(hù)方法數(shù)組邊界檢查程序指針完整性檢查第59頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月緩沖區(qū)溢出技術(shù)基礎(chǔ)（一）進(jìn)程的內(nèi)存空間示意圖StackHeapBssDataText第60頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月緩沖區(qū)溢出技術(shù)基礎(chǔ)（二）相關(guān)的匯編知識(shí)段式結(jié)構(gòu)從段式結(jié)構(gòu)->線(xiàn)性結(jié)構(gòu)內(nèi)存區(qū)域的訪問(wèn)控制段描述符指令流的控制ECS:EIPJmp指令(及其他跳轉(zhuǎn)指令)Call指令/ret棧段ESS兩個(gè)指針：ESP(動(dòng)態(tài)),EBP(靜態(tài))Call/ret指令Push/pop/pusha/popa第61頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月緩沖區(qū)溢出技術(shù)基礎(chǔ)（三）函數(shù)調(diào)用函數(shù)：intfunc(inta,intb){intretVal=a+b;returnretVal;}intmain(intargc,char*argv[]){ intresult=func(1,2); printf("HelloWorld!\n"); return0;}EIP、EBP、ESP指針21Ret-addebpretVal……Stackframe第62頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月緩沖區(qū)溢出技術(shù)基礎(chǔ)（四）產(chǎn)生緩沖區(qū)溢出的原因在C語(yǔ)言中，指針和數(shù)組越界不保護(hù)是Bufferoverflow的根源，而且，在C語(yǔ)言標(biāo)準(zhǔn)庫(kù)中就有許多能提供溢出的函數(shù)，如strcat(),strcpy(),sprintf(),vsprintf(),bcopy(),gets()和scanf()通過(guò)指針填充數(shù)據(jù)不好的編程習(xí)慣溢出類(lèi)型棧溢出堆溢出第63頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月棧溢出#include<stdio.h>#include<string.h>charshellcode[]="\xeb\x1f\x……";charlarge_string[128];intmain(intargc,char**argv){charbuffer[96];inti;long*long_ptr=(long*)large_string;

for(i=0;i<32;i++)*(long_ptr+i)=(int)buffer;for(i=0;i<(int)strlen(shellcode);i++)large_string[i]=shellcode[i];

strcpy(buffer,large_string);return0;}para1para2ReturnaddBuffer(96bytes)ilong_ptr高地址低地址shellcode第64頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月堆溢出（一）內(nèi)存中的一些數(shù)據(jù)區(qū).text包含進(jìn)程的代碼.data包含已經(jīng)初始化的數(shù)據(jù)(全局的，或者static的、并且已經(jīng)初始化的數(shù)據(jù)).bss包含未經(jīng)初始化的數(shù)據(jù)(全局的，或者static的、并且未經(jīng)初始化的數(shù)據(jù))heap運(yùn)行時(shí)刻動(dòng)態(tài)分配的數(shù)據(jù)區(qū)還有一些其他的數(shù)據(jù)區(qū)在.data、.bss和heap中溢出的情形，都稱(chēng)為heapoverflow，這些數(shù)據(jù)區(qū)的特點(diǎn)是：

數(shù)據(jù)的增長(zhǎng)由低地址向高地址第65頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月堆溢出（二）比較少引起人們的關(guān)注，原因在于比棧溢出難度更大需要結(jié)合其他的技術(shù)，比如函數(shù)指針改寫(xiě)Vtable改寫(xiě)Malloc庫(kù)本身的漏洞對(duì)于內(nèi)存中變量的組織方式有一定的要求第66頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月堆溢出（三）指針改寫(xiě)要求：先定義一個(gè)buffer，再定義一個(gè)指針溢出情形當(dāng)對(duì)buffer填充數(shù)據(jù)的時(shí)候，如果不進(jìn)行邊界判斷和控制的話(huà)，自然就會(huì)溢出到指針的內(nèi)存區(qū)，從而改變指針的值第67頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月堆溢出（四）vtable函數(shù)指針改寫(xiě)函數(shù)指針與函數(shù)體的綁定Earlybinding,在編譯過(guò)程中綁定Latebinding,在運(yùn)行過(guò)程中綁定C++的虛函數(shù)機(jī)制編譯器為每一個(gè)包含虛函數(shù)的class建立起vtable，vtable中存放的是虛函數(shù)的地址編譯器也在每個(gè)class對(duì)象的內(nèi)存區(qū)放入一個(gè)指向vtable的指針(稱(chēng)為vptr)，vptr的位置隨編譯器的不同而不同，VC放在對(duì)象的起始處，gcc放在對(duì)象的末尾Overflow設(shè)法改寫(xiě)vptr，讓它指向另一段代碼第68頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月緩沖區(qū)溢出成功后的行為溢出之后，讓程序執(zhí)行我們指定的代碼我們自己提供的一段代碼系統(tǒng)現(xiàn)有的調(diào)用由于這段代碼往往不能太長(zhǎng)，所以需要精心設(shè)計(jì)，并且充分利用系統(tǒng)中現(xiàn)有的函數(shù)和指令對(duì)于不同的操作系統(tǒng)Linux/Unix，盡可能地得到一個(gè)shell(最好是rootshell)Windows，一個(gè)可以遠(yuǎn)程建立連接的telnet會(huì)話(huà)通用的模式找到具有漏洞的程序(vulnerableprogram)編寫(xiě)出shellcode，然后編寫(xiě)把shellcode送到漏洞程序的程序(稱(chēng)為exploit)第69頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Windows系統(tǒng)的緩沖區(qū)溢出過(guò)程發(fā)現(xiàn)目標(biāo)找到有漏洞的程序，如果在輸入非正常字符串的時(shí)候，出現(xiàn)右圖的情形或者從程序中找漏洞，用好的反匯編工具，加上耐心以一個(gè)特定的字符串作為線(xiàn)索，跟蹤到strcpy這樣的函數(shù)，看是否有邊界檢查編寫(xiě)shellcode編寫(xiě)exploit程序，并試驗(yàn)，直到成功第70頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月ShellCode代碼的特點(diǎn)本地shellcode：最簡(jiǎn)單的做法是調(diào)用CreateProcess創(chuàng)建一個(gè)進(jìn)程，執(zhí)行cmd.exe遠(yuǎn)程shellcode：在遠(yuǎn)程機(jī)器上執(zhí)行一個(gè)網(wǎng)絡(luò)服務(wù)程序，打開(kāi)一個(gè)socket端口，等待客戶(hù)程序來(lái)連接。當(dāng)客戶(hù)程序連接上之后，為客戶(hù)建立一個(gè)cmd.exe進(jìn)程，并且把客戶(hù)的輸入輸出與cmd.exe的輸入輸出聯(lián)系起來(lái)，于是客戶(hù)就有了一個(gè)遠(yuǎn)程shell如何把輸入輸出聯(lián)系起來(lái)呢？可以通過(guò)管道(pipe)來(lái)實(shí)現(xiàn)。第71頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月避免緩沖區(qū)溢出（一）很難寫(xiě)出完全不會(huì)受到緩沖區(qū)溢出攻擊的安全代碼編程的問(wèn)題都可以在開(kāi)發(fā)階段防止，事實(shí)上，并沒(méi)有這么簡(jiǎn)單有些開(kāi)發(fā)人員沒(méi)有意識(shí)到問(wèn)題的存在有些開(kāi)發(fā)人員不愿意使用邊界檢查，因?yàn)闀?huì)影響效率和性能另一方面，許多遺留下來(lái)的代碼還很多在開(kāi)發(fā)過(guò)程中，盡量使用帶有邊界檢查的函數(shù)版本，或者自己進(jìn)行越界檢查第72頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月避免緩沖區(qū)溢出（二）保護(hù)自己的代碼不可執(zhí)行的緩沖區(qū)適用于堆棧(stack)中的buffer，基本上不影響兼容性數(shù)組越界保護(hù)每一次引用一個(gè)數(shù)組元素的時(shí)候，都執(zhí)行檢查缺點(diǎn)：效率低，并且用指針也可以引用數(shù)組元素指針保護(hù)在指針被引用之前，檢測(cè)到它的變化最根本的解決辦法編寫(xiě)正確的代碼第73頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月避免緩沖區(qū)溢出（三）作為用戶(hù)，應(yīng)該怎么做來(lái)避免緩沖區(qū)溢出？關(guān)閉端口或服務(wù)。管理員應(yīng)該知道自己的系統(tǒng)上安裝了什么，并且哪些服務(wù)正在運(yùn)行安裝軟件廠商的補(bǔ)丁漏洞一公布，大的廠商就會(huì)及時(shí)提供補(bǔ)丁在防火墻上過(guò)濾特殊的流量無(wú)法阻止內(nèi)部人員的溢出攻擊自己檢查關(guān)鍵的服務(wù)程序，看看是否有可怕的漏洞以所需要的最小權(quán)限運(yùn)行軟件第74頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月著名的緩沖區(qū)溢出介紹（一）NetMeeting緩沖區(qū)溢出攻擊者的代碼可以在客戶(hù)端執(zhí)行惡意的網(wǎng)頁(yè)作者連接到NetMeeting的SpeedDial入口，導(dǎo)致NeetMeeting停止響應(yīng)或者掛起停止響應(yīng)后，攻擊者的代碼將在受害者的計(jì)算機(jī)中執(zhí)行Outlook緩沖區(qū)溢出Outlook處理電子郵件的方法有一個(gè)漏洞攻擊者發(fā)送一個(gè)帶有畸形頭信息的電子郵件使受害計(jì)算機(jī)癱瘓或者在上面運(yùn)行任意代碼，建立后門(mén)攻擊使在郵件頭信息里放入過(guò)量信息很難被檢測(cè)第75頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月著名的緩沖區(qū)溢出介紹（二）Linuxconf緩沖區(qū)溢出帶有GUI界面的管理員工具運(yùn)行在98端口，允許通過(guò)Web遠(yuǎn)程訪問(wèn)意味著程序必須處理頭信息來(lái)獲得需要的信息在HTTP頭信息中插入過(guò)量的信息，導(dǎo)致計(jì)算機(jī)緩沖區(qū)溢出不允許遠(yuǎn)程訪問(wèn)98端口IIS緩沖區(qū)溢出IIS：windows系統(tǒng)上最不安全的服務(wù)ISAPI提供對(duì)管理腳本(.ida文件)和Inernet數(shù)據(jù)(.idq)查詢(xún)的支持向idq.dll發(fā)送一個(gè)過(guò)量的變量GET/null.ida?[buffer]=XHTTP/1.1Host:[任意值]一些具體的攻擊方法沒(méi)有公開(kāi)CodeRed蠕蟲(chóng)利用了這一漏洞第76頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月著名的緩沖區(qū)溢出介紹（三）WindowsXPUPNP緩沖區(qū)溢出通用即插即用功能，打開(kāi)5000端口，HTTP格式緩沖區(qū)溢出有兩種形式DoS取得一個(gè)系統(tǒng)級(jí)ShellSSL-Too-Open影響現(xiàn)存大多數(shù)未升級(jí)的Linux系統(tǒng)當(dāng)系統(tǒng)打開(kāi)HTTP服務(wù)和SSL服務(wù)時(shí)通過(guò)SSL溢出一個(gè)和啟動(dòng)HTTP服務(wù)器帳號(hào)權(quán)限相等的Shell用戶(hù)可能使用root帳號(hào)啟動(dòng)WEB服務(wù)攻擊者取得root權(quán)限或者使用其他本地溢出來(lái)獲得最高權(quán)限第77頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)攻擊技術(shù)－口令探測(cè)如果別人知道了口令，那么有什么安全可言？口令是一些系統(tǒng)中驗(yàn)證用戶(hù)身份的唯一標(biāo)識(shí)建議：如果我們使用物理設(shè)備驗(yàn)證…口令探測(cè)廣泛應(yīng)用的攻擊手段入門(mén)者也能使用的技術(shù)涉及方面廣泛操作系統(tǒng)普通軟件、加密信息口令探測(cè)的內(nèi)容網(wǎng)絡(luò)監(jiān)聽(tīng)暴力破解在其他攻擊得手后得到密碼利用用戶(hù)的疏忽第78頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)監(jiān)聽(tīng)登錄電子信箱或者其他Telnet、FTP服務(wù)密碼通過(guò)明文傳輸如果黑客在網(wǎng)絡(luò)上監(jiān)聽(tīng)，就可以得到用戶(hù)的密碼使用監(jiān)聽(tīng)工具L0phtcrack監(jiān)聽(tīng)windows帳戶(hù)密碼可以捕獲win2000服務(wù)器與其低版本客戶(hù)機(jī)之間發(fā)送的消息如果連接一端不支持Kerberos，認(rèn)證自動(dòng)降到NTLML0phtcrack可以破解NTLM密碼WindowsXP的遠(yuǎn)程登錄桌面在用戶(hù)登錄時(shí)帳號(hào)和密碼用明文傳輸現(xiàn)在已經(jīng)修復(fù)這個(gè)錯(cuò)誤第79頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)監(jiān)聽(tīng)的對(duì)策使用安全的連接方式使用SecureShell來(lái)取代TelnetHTTP的安全連接現(xiàn)有一些論文也在討論其他一些協(xié)議安全認(rèn)證部分的添加不允許用戶(hù)使用最高權(quán)限帳戶(hù)遠(yuǎn)程登錄系統(tǒng)UNIX系統(tǒng)下不能使用root帳戶(hù)遠(yuǎn)程登錄登錄后使用su命令切換用戶(hù)使用SSL加密連接可以直接root登錄對(duì)L0phtcrack的防范使用交換網(wǎng)絡(luò)升級(jí)系統(tǒng)，使用Kerberos認(rèn)證第80頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月暴力破解兩種方式的破解在線(xiàn)破解在線(xiàn)登錄目標(biāo)主機(jī)，通過(guò)程序循環(huán)輸入密碼嘗試正確的密碼輸入可能會(huì)在日志里留下記錄，很容易被探測(cè)出來(lái)離線(xiàn)破解取得目標(biāo)主機(jī)的密碼文件，然后在本地破解花費(fèi)時(shí)間較長(zhǎng)，一般時(shí)攻擊系統(tǒng)取得一定權(quán)限后使用暴力破解的手段字典攻擊強(qiáng)行攻擊組合攻擊第81頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月在線(xiàn)破解Windows系統(tǒng)使用NAT(NetBIOSAuditingTool)進(jìn)行探測(cè)在NetBIOS開(kāi)放138，139端口提供SMB服務(wù)，允許用戶(hù)遠(yuǎn)程訪問(wèn)文件系統(tǒng)Windows2000缺省共享所有驅(qū)動(dòng)器和admin$訪問(wèn)文件系統(tǒng)時(shí)需要用戶(hù)身份驗(yàn)證NAT可以猜測(cè)用戶(hù)口令，從而取得目標(biāo)機(jī)器的控制權(quán)NAT用法：nat[-ofilename][-uuserlist][-ppasslist]addressLinux系統(tǒng)一般在telnet三次錯(cuò)誤后，系統(tǒng)會(huì)斷開(kāi)連接在線(xiàn)破解的軟件較少其他應(yīng)用系統(tǒng)上的在線(xiàn)破解第82頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月離線(xiàn)破解得到用戶(hù)的密碼文件，然后在本地破解Windows系統(tǒng)用戶(hù)密碼存放在%systemroot%\system32\config\和%systemroot%\repair\中得到這個(gè)文件后可以使用L0phtcrack進(jìn)行本地破解Linux系統(tǒng)用戶(hù)名和密碼存儲(chǔ)在/etc/passwd中會(huì)被很多用戶(hù)看到該文件為了加強(qiáng)安全性，將密碼存儲(chǔ)在etc/shadow中只能由root存取著名的破解工具：JohntheRipper因?yàn)長(zhǎng)inux在線(xiàn)破解困難，所以離線(xiàn)破解比較常見(jiàn)很多管理員現(xiàn)在沒(méi)有使用shadow文件第83頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月字典攻擊字典：一些單詞或者字母和數(shù)字的組合使用字典的好處比較快速的得到用戶(hù)密碼，只需要在字典中進(jìn)行查找前提條件絕大多數(shù)用戶(hù)選擇密碼總是有一定規(guī)律的姓名：自己、父母、愛(ài)人、孩子生日電話(huà)號(hào)碼，身份證號(hào)碼，學(xué)號(hào)英文單詞上述組合打開(kāi)錢(qián)包，我就能知道你的密碼設(shè)計(jì)一個(gè)好的字典是非常有必要的防止字典攻擊的方法使用帶有特殊字符的密碼密碼不是有規(guī)律的英語(yǔ)單詞第84頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月強(qiáng)行攻擊在選定的字母或者數(shù)字序列里生成所有包含這些字母的口令密碼生成器，只要用戶(hù)指定字母和數(shù)字和密碼的位數(shù)，就能生成字典特點(diǎn)密碼較多，所需時(shí)間較長(zhǎng)分布式攻擊多臺(tái)計(jì)算機(jī)共同運(yùn)算適用于對(duì)用戶(hù)信息不夠了解的情況對(duì)策使用長(zhǎng)的密碼攻擊者需要構(gòu)造出很大的字典，加大攻擊難度經(jīng)常更換密碼需要在方便和安全中作出抉擇第85頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月組合攻擊綜合前兩種攻擊的優(yōu)點(diǎn)字典攻擊：速度較快強(qiáng)行攻擊：發(fā)現(xiàn)所有的口令根據(jù)掌握的用戶(hù)的不同信息，進(jìn)行口令組合姓名縮寫(xiě)和生日的組合在字母組合后面加上一些數(shù)字攻擊速度破解口令數(shù)量字典攻擊快所有字典單詞強(qiáng)行攻擊慢所有口令組合攻擊中等以字典為基礎(chǔ)的單詞第86頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月其他攻擊方式社會(huì)工程非常有用的方法，比技術(shù)更加快速給系統(tǒng)管理員打電話(huà)提高用戶(hù)的安全意識(shí)偷窺輸入密碼的時(shí)候，是不是有人在背后？當(dāng)你把密碼寫(xiě)在電腦桌邊，別人也可以看到…搜索垃圾箱用戶(hù)會(huì)把帶有密碼的廢紙扔到垃圾桶即使沒(méi)有密碼，也許會(huì)有提示密碼的重要信息使用碎紙機(jī)第87頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)攻擊技術(shù)－社交工程黑客們最常用的一種攻擊手段能得到使用技術(shù)手段不能得到的好處防火墻和IDS對(duì)這種攻擊不起作用需要高超的人際交往技術(shù)常用方式電話(huà)電子商務(wù)社交工程種類(lèi)假冒權(quán)威假扮同情個(gè)人利益改善自我感覺(jué)不引人注意的職業(yè)獎(jiǎng)賞第88頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月社交工程（SocialEngineering）假冒權(quán)威黑客冒充公司的領(lǐng)導(dǎo)人員在大公司中，不認(rèn)識(shí)所有上司的情況非常普通在Internet上，黑客可以通過(guò)郵件列表發(fā)出入侵的安全警告，并提供解決問(wèn)題的指令，指令被設(shè)計(jì)成能使黑客訪問(wèn)系統(tǒng)。足夠顯眼的標(biāo)題和時(shí)髦的行話(huà)假扮電話(huà)、電子郵件、聊天室和短消息里假扮你的熟人如果你是新來(lái)的職員，冒充你的同事同情如果一個(gè)人打電話(huà)來(lái)，講述他的困難，你不幫助他嗎？個(gè)人利益假冒來(lái)自財(cái)務(wù)部門(mén)的員工，訪問(wèn)系統(tǒng)管理員第89頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月社交工程（續(xù)）改善自我感覺(jué)自我感覺(jué)良好的人易于被欺騙黑客進(jìn)入熱情的經(jīng)理房間，表明自己是來(lái)自市場(chǎng)部的新員工，會(huì)得到詳細(xì)的介紹不引人注意的職業(yè)來(lái)自天然氣、電力公司或者電話(huà)公司的員工請(qǐng)求撥號(hào)等上機(jī)操作人們會(huì)單獨(dú)把黑客放在房間里獎(jiǎng)賞提供某種形式的獎(jiǎng)賞會(huì)引誘人泄露信息口令比賽－贏大獎(jiǎng)、展示創(chuàng)造性，請(qǐng)列出密碼第90頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月避免受到社交工程攻擊極度警惕Donottrustanystranger即使是很友好的人懷疑一切聲稱(chēng)并不代表他有權(quán)這樣做詢(xún)問(wèn)他們的權(quán)限絕大多數(shù)社交工程在高度警惕下破產(chǎn)驗(yàn)證出處當(dāng)某人電子郵件要求時(shí)，要求來(lái)電話(huà)確證對(duì)于電話(huà)里的請(qǐng)求，要求回電號(hào)碼并確證員工號(hào)碼或者身份證第91頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月避免受到社交工程攻擊（續(xù)）說(shuō)不對(duì)于逾越日常行為準(zhǔn)則的要求，要拒絕要求按照正常程序和規(guī)定書(shū)面報(bào)告和授權(quán)信息用戶(hù)培訓(xùn)培訓(xùn)員工，提高安全意識(shí)第92頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)攻擊技術(shù)－物理攻擊例子：MissionImpossibleI多種保護(hù)措施未聯(lián)網(wǎng)的CIA中央電腦如果你希望一臺(tái)計(jì)算機(jī)安全，最好把它鎖起來(lái)物理接觸到計(jì)算機(jī)，這臺(tái)計(jì)算機(jī)就沒(méi)有任何安全可言甚至是其他資源，也可能會(huì)影響到安全寫(xiě)有口令的提示條網(wǎng)絡(luò)組織結(jié)構(gòu)圖軟盤(pán)、光盤(pán)、筆記本公司的物理結(jié)構(gòu)、組織圖標(biāo)、安全策略告示、內(nèi)部專(zhuān)用手冊(cè)信紙和備忘錄常常和社交工程共同使用第93頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月物理攻擊（一）計(jì)算機(jī)的安全密碼將失去效用開(kāi)機(jī)密碼BIOS放電、DEBUG程序、通用密碼Windows系統(tǒng)密碼軟盤(pán)啟動(dòng)，刪除SAM將硬盤(pán)掛到其他機(jī)器上Linux系統(tǒng)密碼使用單用戶(hù)模式啟動(dòng)系統(tǒng)如果使用LILO，輸入Linuxsingle對(duì)于GRUB密碼啟動(dòng)，使用軟盤(pán)啟動(dòng)或者拆卸硬盤(pán)第94頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月物理攻擊（二）計(jì)算機(jī)安全用戶(hù)離開(kāi)時(shí)黑客會(huì)在用戶(hù)的機(jī)器上安裝木馬解決方法：使用帶密碼的屏保程序道高一尺，魔高一丈使用一張放入光驅(qū)后自動(dòng)運(yùn)行的光盤(pán)，自動(dòng)運(yùn)行殺掉屏保程序進(jìn)程的程序得到用戶(hù)的IP，并把另一臺(tái)機(jī)器設(shè)置為這個(gè)目標(biāo)機(jī)器的IP更好的解決辦法－鎖定計(jì)算機(jī)第95頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月物理攻擊（三）其他方面的防御措施禁止非特權(quán)用戶(hù)接觸到網(wǎng)絡(luò)信息機(jī)房應(yīng)該不是人人都能進(jìn)入的地方對(duì)于機(jī)密文件和手冊(cè)，一定要徹底粉碎，使其不可恢復(fù)1980年伊朗曾經(jīng)把美國(guó)粉碎的文件重新編織起來(lái)不要把口令或者ID記錄在其他人可以看到的地方筆記本電腦的安全措施注意筆記本電腦的防盜措施一旦筆記本電腦被盜，盜竊者最終必定能夠訪問(wèn)其中的文件備份不要留在筆記本上，保存在安全的地方旅行中注意筆記本的安全辦公場(chǎng)所要求任何人離開(kāi)都要進(jìn)行筆記本電腦檢查，電腦對(duì)應(yīng)標(biāo)簽第96頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月物理攻擊（四）防止用戶(hù)修改機(jī)器設(shè)置保護(hù)BIOS機(jī)器放到安全房間攝像頭機(jī)箱上加鎖設(shè)置啟動(dòng)順序?yàn)橛脖P(pán)優(yōu)先如果是軟盤(pán)或者光盤(pán)的話(huà)，黑客很容易使用自己的設(shè)備啟動(dòng)保護(hù)啟動(dòng)設(shè)備去掉光驅(qū)或者軟驅(qū)對(duì)光驅(qū)和軟驅(qū)加鎖，不能隨便使用對(duì)于Linux系統(tǒng)，使用GRUB啟動(dòng)并且加密對(duì)于Windows系統(tǒng)，設(shè)置安全的密碼第97頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月安裝后門(mén)攻擊者在攻擊成功后，為了能夠下次進(jìn)入系統(tǒng)，需要留下后門(mén)－迅速重新獲取訪問(wèn)權(quán)的機(jī)制后門(mén)種類(lèi)創(chuàng)建帳號(hào)不易被人察覺(jué)的帳號(hào)啟動(dòng)文件在系統(tǒng)啟動(dòng)的時(shí)候運(yùn)行程序利用設(shè)備驅(qū)動(dòng)程序創(chuàng)建后門(mén)受調(diào)度的作業(yè)將后門(mén)放到調(diào)度作業(yè)隊(duì)列中遠(yuǎn)程控制安裝木馬第98頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)攻擊技術(shù)－木馬既是攻擊系統(tǒng)得到系統(tǒng)權(quán)限的方法，又是攻擊得手后留下后門(mén)的手段曾在網(wǎng)絡(luò)上成為主要的攻擊手段尤其在Windows系統(tǒng)下極為流行在校園網(wǎng)，有50%以上的機(jī)器帶有木馬木馬的原理兩個(gè)部分：外殼程序和內(nèi)核程序內(nèi)核程序啟動(dòng)后在后臺(tái)運(yùn)行，打開(kāi)端口，開(kāi)啟后門(mén)黑客連接到木馬打開(kāi)的端口，向木馬下達(dá)命令一種C/S結(jié)構(gòu)隨著反木馬技術(shù)的發(fā)展，木馬也越來(lái)越隱蔽第99頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月特洛伊木馬（一）Windows系統(tǒng)下的木馬一般將木馬寫(xiě)到注冊(cè)表中或者啟動(dòng)組中注冊(cè)表位置：HKLM\Software\Microsoft\Windows\CurrentVersion\Run或者HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices容易被查殺木馬的對(duì)策設(shè)計(jì)成一個(gè)DLL，將自己寫(xiě)到其他程序的運(yùn)行空間中但是還是要打開(kāi)端口用戶(hù)對(duì)策防火墻，切斷木馬的對(duì)外連接查看打開(kāi)端口的程序名稱(chēng)，從而查找木馬第100頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月特洛伊木馬（二）特洛伊木馬技術(shù)的發(fā)展反向端口技術(shù)不需要打開(kāi)端口，而是監(jiān)聽(tīng)端口防火墻一般不會(huì)阻塞掉內(nèi)部訪問(wèn)外部80端口的數(shù)據(jù)包木馬定期向黑客指定的機(jī)器80端口發(fā)送數(shù)據(jù)包，機(jī)器接收后，就可以知道哪臺(tái)機(jī)器中了木馬，從而對(duì)它進(jìn)行控制木馬更加隱蔽，難以發(fā)現(xiàn)GINA木馬攻擊得手后使用或者物理接觸到機(jī)器GINA是用戶(hù)和Windows認(rèn)證系統(tǒng)間的中間人，允許用戶(hù)自己編寫(xiě)黑客將自己寫(xiě)的GINAdll程序加入到注冊(cè)表中，可以捕獲用戶(hù)和密碼第101頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月特洛伊木馬（三）用戶(hù)對(duì)木馬的對(duì)策不要運(yùn)行不明的EXE程序即便是熟人的郵件附件，也許是郵件欺騙使用可升級(jí)的反病毒軟件現(xiàn)在一般的反病毒軟件都可以查殺木馬只能針對(duì)已經(jīng)被知道的木馬加強(qiáng)系統(tǒng)管理注意系統(tǒng)中用戶(hù)的合理權(quán)限注冊(cè)表的安全性堡壘總是從內(nèi)部攻破防火墻軟件至少在木馬已經(jīng)種植成功后無(wú)法和黑客進(jìn)行通信第102頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月特洛伊木馬（四）Linux下的木馬簡(jiǎn)介在登錄界面做文章在自己的帳號(hào)下面做一個(gè)程序，運(yùn)行后顯示登錄界面其他用戶(hù)在登錄時(shí)輸入密碼和帳號(hào)記錄密碼和帳號(hào)，然后提示用戶(hù)輸入錯(cuò)誤，請(qǐng)重試退出自己程序，進(jìn)入到真正的登錄界面在PATH中包含“.”的壞習(xí)慣多數(shù)用戶(hù)習(xí)慣于在路徑中包含“.”在/tmp下建立ls文件如果root在環(huán)境變量中包含了“.”，并且位置先于ls所在的系統(tǒng)命令，root在/tmp下執(zhí)行l(wèi)s就會(huì)執(zhí)行黑客設(shè)置的程序?qū)ⅰ?”放在路徑最后也會(huì)出現(xiàn)某些問(wèn)題第103頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月特洛伊木馬（五）Linux下的木馬替換一些可執(zhí)行文件（文件級(jí)Rootkit）LoginLsPsWho防范對(duì)文件進(jìn)行Hash編碼，比較新文件和保存的編碼將Rootkit掛在內(nèi)核上執(zhí)行不修改文件，很難被發(fā)現(xiàn)工作效率高防范系統(tǒng)運(yùn)行在最小權(quán)限運(yùn)行單內(nèi)核系統(tǒng)，其他任何可加載模塊都省去第104頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月木馬的發(fā)展趨勢(shì)跨平臺(tái)性主要是針對(duì)Windows系統(tǒng)而言，木馬可以在Windows98/Me下使用，也可以在WindowsNT/2000/Xp下使用。在Windows9x系統(tǒng)中，木馬程序很容易隱藏，也很容易控制計(jì)算機(jī)。但WindowsNT和Windows2000/Xp都具有了權(quán)限的概念，這和Windows9x不同，需要木馬程序采用更高級(jí)的手段，如控制進(jìn)程等，現(xiàn)在的一些木馬程序也的確做到了這點(diǎn)。模塊化設(shè)計(jì)模塊化設(shè)計(jì)是軟件開(kāi)發(fā)的一種潮流，現(xiàn)在的木馬程序也有了模塊化設(shè)計(jì)的概念。例如，BO，NetBus，Sub7等經(jīng)典木馬都有一些優(yōu)秀的插件在紛紛問(wèn)世，就是一個(gè)很好的說(shuō)明。木馬程序在開(kāi)始運(yùn)行時(shí)可以只有基本的功能，但在控制過(guò)程中，可以從控制端傳送某些復(fù)雜模塊庫(kù)到被控制端，達(dá)到自我升級(jí)的目的。第105頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月即時(shí)通知木馬的控制端如何知道被控端在哪里運(yùn)行了呢？如果被控主機(jī)使用固定IP地址，還比較容易檢查，但如果是動(dòng)態(tài)IP，就比較麻煩?，F(xiàn)在的木馬程序已經(jīng)有了通過(guò)IRC、ICQ通知等，但仍需進(jìn)一步完善。第106頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)攻擊技術(shù)－隱藏蹤跡隱藏蹤跡的動(dòng)機(jī)不需要再進(jìn)入為了使建立的后門(mén)不易被發(fā)現(xiàn)防止系統(tǒng)管理員發(fā)現(xiàn)攻擊者從另一方面講，用戶(hù)如果對(duì)攻擊者隱藏攻擊蹤跡的方法很了解，可以準(zhǔn)確地確定自己的系統(tǒng)是否遭到過(guò)攻擊隱藏攻擊蹤跡的方法日志文件文件信息修改系統(tǒng)文件另外的信息上傳或者安裝一些文件網(wǎng)絡(luò)通信流量需要在網(wǎng)絡(luò)上留下的痕跡去掉抹去IDS的記錄是困難的第107頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月日志文件（一）日志詳細(xì)記錄系統(tǒng)中任何人所作的任何事情管理員需要將系統(tǒng)日志功能打開(kāi)對(duì)日志文件內(nèi)容詳細(xì)閱讀攻擊者的做法將全部日志刪除數(shù)量很大的日志被刪除時(shí)會(huì)通知管理員對(duì)日志進(jìn)行修改，僅刪除有關(guān)攻擊的日志需要對(duì)不同系統(tǒng)的日志格式很熟悉難度較高第108頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月日志文件（二）Linux日志文件五個(gè)最重要的日志文件/var/run/utmp－關(guān)于用戶(hù)登錄系統(tǒng)的記錄只記錄在線(xiàn)用戶(hù)/var/log/wtmp－關(guān)于用戶(hù)登錄和離開(kāi)系統(tǒng)的記錄所有曾經(jīng)登錄和正在系統(tǒng)上用戶(hù)的消息/var/log/btmp－失敗的登錄系統(tǒng)記錄/var/log/messages－從syslog工具中獲得的信息標(biāo)準(zhǔn)日志記錄工具存放很多記錄，包括程序啟動(dòng)、用戶(hù)執(zhí)行的動(dòng)作等/var/log/secure－存取和授權(quán)信息的記錄所有本系統(tǒng)進(jìn)行連接和從何處到達(dá)的記錄第109頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月日志文件（三）Windows日志產(chǎn)生的日志有緩沖區(qū)文件和evt文件緩沖區(qū)文件定時(shí)寫(xiě)入evt文件中System.logSecurity.logApplication.logSysevent.evtSeceventv.evtAppevent.evt系統(tǒng)允許刪除log文件，但是無(wú)法刪除evt文件如果黑客具有物理訪問(wèn)設(shè)備的能力，可以通過(guò)其他系統(tǒng)刪除日志第110頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月日志文件（四）保護(hù)日志文件設(shè)置正確權(quán)限只有root才能讀寫(xiě)使用單獨(dú)的服務(wù)器對(duì)日志文件經(jīng)常進(jìn)行備份使用一次性可寫(xiě)設(shè)備黑客手段：進(jìn)入后馬上關(guān)掉日志功能加密日志文件關(guān)鍵：保護(hù)密鑰安全定時(shí)查看日志以查看不正常情況最主要的問(wèn)題第111頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月文件信息黑客需要把后門(mén)程序植入系統(tǒng)修改一些系統(tǒng)文件隱藏修改的痕跡修改文件修改日期用戶(hù)對(duì)策對(duì)重點(diǎn)文件計(jì)算Hash序列并保存使用其他工具Windows下的sysdiff，系統(tǒng)快照，報(bào)告修改消息Linux下的diff，對(duì)兩個(gè)文件進(jìn)行字節(jié)的比較第112頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月另外的文件信息攻擊者入侵的目的獲取計(jì)算機(jī)資源大量的磁盤(pán)空間快速的網(wǎng)絡(luò)和高性能工作站為攻擊其他系統(tǒng)而用上傳大量文件攻擊者的手段設(shè)置隱藏屬性一般用戶(hù)總是顯示不隱藏的文件重命名偽裝文件為系統(tǒng)文件建立隱藏目錄改變磁盤(pán)空間的工具上傳木馬在管理員查看硬盤(pán)空間時(shí)進(jìn)行欺騙第113頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月另外的文件信息（續(xù)）用戶(hù)的防范辦法了解系統(tǒng)里的文件定期檢查磁盤(pán)空間定期查看日志隱藏網(wǎng)絡(luò)上的蹤跡將自己的通信信息隱藏到其他信息里一般是放到通信協(xié)議頭部的未用到部分中攻擊者發(fā)送的包使用常用端口攻擊者本地是高端端口被攻擊者使用80端口沒(méi)有太好的預(yù)防措施第114頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月蠕蟲(chóng)－另一種攻擊方式蠕蟲(chóng)－不得不說(shuō)的故事每一種“成功”的蠕蟲(chóng)都引起了全網(wǎng)絡(luò)的恐慌1988年Morris蠕蟲(chóng)是始作俑者2001年全球安全報(bào)告里排名前三的都是蠕蟲(chóng)惹的禍NimdaRedCodeRedCodeII2003年一月的蠕蟲(chóng)再次席卷全球蠕蟲(chóng)特點(diǎn)編寫(xiě)不簡(jiǎn)單技術(shù)難度較高關(guān)鍵是好的構(gòu)思和創(chuàng)意通常利用一些系統(tǒng)漏洞傳播非常迅速具有病毒的某些特征感染文件可能帶有破壞系統(tǒng)的代碼第115頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Morris蠕蟲(chóng)（一）1988年11月2日出現(xiàn)影響到當(dāng)時(shí)的Arpanet大部分計(jì)算機(jī)和上千萬(wàn)的經(jīng)濟(jì)損失第一個(gè)廣泛傳播的蠕蟲(chóng)第一個(gè)成功使用緩沖區(qū)溢出引出的攻擊引起系統(tǒng)的過(guò)度負(fù)載，尤其是郵件提交的延遲促進(jìn)了CERT的誕生代碼短小，僅99行由于程序中的一個(gè)錯(cuò)誤，引發(fā)了大規(guī)模的蠕蟲(chóng)侵襲第116頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Morris蠕蟲(chóng)（二）通過(guò)三種方式感染系統(tǒng)SendmailFingerdRsh/RexecSendmail攻擊連接目標(biāo)機(jī)器的sendmail的25端口，啟用debug模式發(fā)送RCPTTO來(lái)傳遞數(shù)據(jù)一個(gè)shell腳本和一個(gè)40行的c文件會(huì)在目標(biāo)機(jī)器上建立編譯C文件，攻擊者機(jī)器上的機(jī)器上取得兩個(gè)目標(biāo)文件，分析系統(tǒng)類(lèi)型，并鏈接正確的目標(biāo)文件創(chuàng)建一個(gè)可執(zhí)行文件/usr/tmp/sh，類(lèi)似Bourneshell第117頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Morris蠕蟲(chóng)（三）Fingerd攻擊通過(guò)fingred的一個(gè)漏洞進(jìn)行攻擊最容易成功的方式緩沖區(qū)溢出不檢查輸入的字符數(shù)如果超出512個(gè)字節(jié)，出現(xiàn)溢出內(nèi)存中棧下是可執(zhí)行命令/usr/ucb/finger在VAX系統(tǒng)上，知道內(nèi)存中/usr/ucb/finger的位置，替換為/bin/sh溢出后，一個(gè)shell開(kāi)始執(zhí)行Shell運(yùn)行在finger的deamon上下文中，標(biāo)準(zhǔn)輸入和輸出都是連接socket蠕蟲(chóng)需要的文件通過(guò)shell傳送第118頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Morris蠕蟲(chóng)（四）Rsh/Rexec攻擊檢查.rhosts和/etc/hosts.equiv查找信任的主機(jī)地址需要得到用戶(hù)的帳號(hào)和密碼才能訪問(wèn)這些文件檢查/etc/passwd文件，嘗試破譯密碼組合用戶(hù)名、姓、名、昵稱(chēng)等解決：使用/etc/shadow密碼列表－420多個(gè)常用密碼RTM從他父親得到的常用密碼使用/usr/dict/words中的每一個(gè)單詞得到單詞后，查找rhost文件，傳遞蠕蟲(chóng)文件，開(kāi)始新一輪攻擊使用rsh和rexec命令執(zhí)行第119頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Morris蠕蟲(chóng)（五）蠕蟲(chóng)的自我保護(hù)因?yàn)閟h是蠕蟲(chóng)，在用戶(hù)輸入ps時(shí)過(guò)濾蠕蟲(chóng)進(jìn)程唯一目的：復(fù)制自身在使用文件之后，刪除它們?yōu)榱双@取地址，蠕蟲(chóng)讀取系統(tǒng)文件并調(diào)用工具程序如netstat來(lái)提供關(guān)于網(wǎng)絡(luò)接口的信息。系統(tǒng)重啟或者當(dāng)機(jī)后，/tmp和/usr/tmp下面的文件被清空，消滅蠕蟲(chóng)入侵證據(jù)Sendmail日志會(huì)保存信息1/15的概率向某端口發(fā)送消息，可能是某種監(jiān)控機(jī)制第120頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Nimda蠕蟲(chóng)（一）2001年9月18日發(fā)現(xiàn)之后，迅速傳播開(kāi)來(lái)受影響的操作系統(tǒng)Windows9x/Me/Nt/2000感染途徑：文件感染、電子郵件附件、Web服務(wù)器攻擊，以及局域網(wǎng)上的共享文件功能服務(wù)器：沒(méi)打補(bǔ)丁的IISWebServer客戶(hù)：沒(méi)打補(bǔ)丁的IE5.01/5.5，以及使用到IE功能的郵件客戶(hù)軟件，包括Outlook,OutlookExpress等危害性受到感染的一臺(tái)機(jī)器會(huì)影響到其他的機(jī)器系統(tǒng)文件和文檔文件會(huì)受損網(wǎng)絡(luò)資源會(huì)被擁塞住解決方案為所用的軟件及時(shí)地打上補(bǔ)丁第121頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Nimda蠕蟲(chóng)（二）第122頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Nimda蠕蟲(chóng)（三）文件感染感染EXE文件，不是把自己插入到EXE文件的頭或者尾部，而是把原來(lái)的EXE文件插進(jìn)來(lái)，再改名為EXE的文件名運(yùn)行的時(shí)候，先運(yùn)行病毒，再提取出EXE并運(yùn)行Email感染病毒從你的地址簿、收件箱以及Webcache頁(yè)面中抽取出email地址，然后構(gòu)造一封郵件，內(nèi)含一個(gè)附件readme.exe，送出去。一旦收到郵件的人打開(kāi)附件，則馬上被感染。有些郵件客戶(hù)會(huì)自動(dòng)瀏覽附件，則自動(dòng)被感染。WebServer攻擊掃描并攻擊WebServer，一旦成功，則把病毒代碼附到Web頁(yè)面的最后，未打補(bǔ)丁的IE瀏覽到這樣的頁(yè)面的時(shí)候，也會(huì)自動(dòng)被感染LAN共享攻擊打開(kāi)一個(gè)共享系統(tǒng)，在administrators加入一帳戶(hù)，并打開(kāi)C盤(pán)共享把一個(gè)受感染的email和一個(gè)受感染的riched20.dll寫(xiě)到每一個(gè)共享可寫(xiě)目錄中，如果共享目錄的系統(tǒng)打開(kāi)這個(gè)email或者目錄中的Word、Wordpad或Outlook文檔，則此系統(tǒng)也會(huì)被感染第123頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Nimda蠕蟲(chóng)（四）為什么郵件附件被自動(dòng)執(zhí)行？頁(yè)面會(huì)自動(dòng)瀏覽？利用了IE5（或者說(shuō)OE5）的一個(gè)漏洞html格式的郵件中圖片和多媒體文件都是自動(dòng)打開(kāi)的，而可執(zhí)行文件不是如果把可執(zhí)行文件指定為多媒體類(lèi)型，也會(huì)自動(dòng)下載打開(kāi)Content-Type:audio/x-wav;

name="readme.exe"

Content-Transfer-Encoding:base64

Content-ID:<EA4DMGBP9p>另外，如果文件夾是“按web頁(yè)查看”，那么即使只是用鼠標(biāo)單擊選中readme.eml，也會(huì)導(dǎo)致蠕蟲(chóng)的執(zhí)行，如果把擴(kuò)展名改為mht也是可以的，但改為htm就不行。第124頁(yè)，課件共156頁(yè)，創(chuàng)作于2023年2月Nimda蠕蟲(chóng)（五）對(duì)系統(tǒng)的影響把自己復(fù)制到windows系統(tǒng)文件夾里命名為riched20.dll把自己復(fù)制到windows系統(tǒng)文件夾里命名為load.exe修改system.ini把shell=explorer.ex