網(wǎng)絡(luò)攻擊與防范

第五章網(wǎng)絡(luò)攻擊與防范技術(shù)5.1網(wǎng)絡(luò)攻擊概述與分類(lèi)5.2目標(biāo)探測(cè) 5.3掃描的概念與原理5.4網(wǎng)絡(luò)監(jiān)聽(tīng)5.5緩沖區(qū)溢出攻擊5.6拒絕服務(wù)攻擊5.7 欺騙攻擊與防范1可編輯版5.1網(wǎng)絡(luò)攻擊概述與分類(lèi)網(wǎng)絡(luò)容易受到攻擊的原因—網(wǎng)絡(luò)軟件不完善+協(xié)議本身存在安全缺陷。TCP/IP網(wǎng)絡(luò)協(xié)議存在大量的安全漏洞。TCP/IP是冷戰(zhàn)時(shí)期的產(chǎn)物，目標(biāo)是要保證通達(dá)，保證傳輸?shù)拇謺缧?。通過(guò)來(lái)回確認(rèn)來(lái)保證數(shù)據(jù)的完整性，不確認(rèn)則要重傳。TCP/IP沒(méi)有內(nèi)在的控制機(jī)制來(lái)支持源地址的鑒別。黑客利用TCP/IP的漏洞，可以使用偵聽(tīng)的方式來(lái)截獲數(shù)據(jù)，能對(duì)數(shù)據(jù)進(jìn)行檢查，推測(cè)TCP的系列號(hào)，修改傳輸路由，修改鑒別過(guò)程，插入黑客的數(shù)據(jù)流。莫里斯病毒就是利用這一點(diǎn)，給互聯(lián)網(wǎng)造成巨大的危害。2可編輯版近10年安全漏洞發(fā)布趨勢(shì)年份數(shù)量3可編輯版5.1網(wǎng)絡(luò)攻擊概述與分類(lèi)網(wǎng)絡(luò)攻擊目的炫耀自己的技術(shù)；惡作劇、練功；竊取數(shù)據(jù)；報(bào)復(fù)；抗議或宣示。

4可編輯版5.1網(wǎng)絡(luò)攻擊概述與分類(lèi)常用的攻擊方法竊聽(tīng)欺騙拒絕服務(wù)數(shù)據(jù)驅(qū)動(dòng)攻擊5可編輯版網(wǎng)絡(luò)攻擊的一般流程6可編輯版5.2目標(biāo)探測(cè)目標(biāo)探測(cè)是防范不法黑客攻擊行為的手段之一也是黑客進(jìn)行攻擊的第一步。7可編輯版5.2.1目標(biāo)探測(cè)的內(nèi)容1．外網(wǎng)信息。包括域名、管理員信息、網(wǎng)絡(luò)地址范圍、網(wǎng)絡(luò)位置、網(wǎng)絡(luò)地址分配機(jī)構(gòu)信息、系統(tǒng)提供的各種服務(wù)和網(wǎng)絡(luò)安全配置等。2．內(nèi)網(wǎng)信息。包括內(nèi)部網(wǎng)絡(luò)協(xié)議、拓?fù)浣Y(jié)構(gòu)、系統(tǒng)體系結(jié)構(gòu)和安全配置等。8可編輯版5.2.2目標(biāo)探測(cè)的方法1．確定目標(biāo)范圍

Ping命令Whois查詢(xún)Whois查詢(xún)就是查詢(xún)域名和IP地址的注冊(cè)信息。國(guó)際域名由設(shè)在美國(guó)的Internet信息管理中心（InterNIC）和它設(shè)在世界各地的認(rèn)證注冊(cè)商管理，國(guó)內(nèi)域名由中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）管理。9可編輯版2.分析目標(biāo)網(wǎng)絡(luò)信息使用專(zhuān)用的工具，如VisualRoute等。這些軟件的主要功能：快速分析和辨別Internet連接的來(lái)源，標(biāo)識(shí)某個(gè)IP地址的地理位置等。3.分析目標(biāo)網(wǎng)絡(luò)路由了解信息從一臺(tái)計(jì)算機(jī)到達(dá)互聯(lián)網(wǎng)另一端的另一臺(tái)計(jì)算機(jī)傳播路徑，常見(jiàn)的檢測(cè)工具為T(mén)racert/TraceRoute。10可編輯版5.3掃描概念和原理計(jì)算機(jī)掃描就是對(duì)計(jì)算機(jī)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測(cè)，以找出安全隱患和可被黑客利用的漏洞。掃描技術(shù)分類(lèi)主機(jī)掃描端口掃描漏洞掃描11可編輯版5.3.1主機(jī)掃描技術(shù)簡(jiǎn)單主機(jī)掃描技術(shù)(1)發(fā)送ICMPEchoRequest數(shù)據(jù)包到目標(biāo)主機(jī)；(2)Ping掃描；(3)發(fā)送ICMPEchoRequest到廣播地址或者目標(biāo)網(wǎng)絡(luò)地址。復(fù)雜主機(jī)掃描技術(shù)

(1)異常的IP包頭；(2)IP頭中設(shè)置無(wú)效的字段值；(3)錯(cuò)誤的數(shù)據(jù)分片；(4)反向映射探測(cè)。

12可編輯版5.3.2端口掃描技術(shù)1．TCPconnect掃描最基本的TCP掃描，操作系統(tǒng)提供的connect（）系統(tǒng)調(diào)用，用來(lái)與每一個(gè)目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于偵聽(tīng)狀態(tài)，那么connect（）就能成功。否則，該端口是不能用的，即沒(méi)有提供服務(wù)。優(yōu)勢(shì)：沒(méi)有權(quán)限限制速度快缺陷：容易暴露13可編輯版2．TCPSYN掃描3．TCPFIN掃描

14可編輯版4．TCPXmas掃描5．TCPNULL掃描

15可編輯版5．UDP掃描UDP掃描并不可靠。1)目標(biāo)主機(jī)可以禁止任何UDP包通過(guò)；2)UDP本身不是可靠的傳輸協(xié)議，數(shù)據(jù)傳輸?shù)耐暾圆荒艿玫奖ＷC；3)系統(tǒng)在協(xié)議棧的實(shí)現(xiàn)上有差異，對(duì)一個(gè)關(guān)閉的UDP端口，可能不會(huì)返回任何信息，而只是簡(jiǎn)單的丟棄。6．FTP返回掃描

16可編輯版FTP代理掃描是用一個(gè)代理的FTP服務(wù)器來(lái)掃描TCP端口。假設(shè)S是掃描機(jī)，T是掃描目標(biāo)，F(xiàn)是一個(gè)支持代理選項(xiàng)的FTP服務(wù)器，能夠跟S和T建立連接，F(xiàn)TP端口掃描步驟如下：（1）S與F建立一個(gè)FTP會(huì)話，使用PORT命令聲明一個(gè)選擇的端口p-T作為代理傳輸所需要的被動(dòng)端口；（2）然后S使用一個(gè)LIST命令嘗試啟動(dòng)一個(gè)到p-T的數(shù)據(jù)傳輸；

（3）如果端口p-T確實(shí)在監(jiān)聽(tīng)，傳輸就會(huì)成功，返回碼150和226被發(fā)送回給S。否則S會(huì)收到“425Canbuilddataconnection:Connectionrefused”的應(yīng)答;（4）S持續(xù)使用PORT和LIST命令，直到對(duì)T上所有的選擇端口掃描完畢為止。這種方法的優(yōu)點(diǎn)是難以跟蹤，能穿過(guò)防火墻。主要缺點(diǎn)是速度很慢，有的FTP服務(wù)器最終還是能得到一些線索，關(guān)閉代理功能。17可編輯版防止端口掃描防止端口掃描：(1)關(guān)閉閑置和有潛在危險(xiǎn)的端口。(2)利用網(wǎng)絡(luò)防火墻軟件。18可編輯版5.3.3漏洞掃描漏洞掃描是對(duì)目標(biāo)網(wǎng)絡(luò)或者目標(biāo)主機(jī)進(jìn)行安全漏洞檢測(cè)與分析，發(fā)現(xiàn)可能被攻擊者利用的漏洞。通用漏洞掃描器構(gòu)成：控制臺(tái)模塊掃描活動(dòng)處理模塊掃描引擎模塊結(jié)果處理模塊和漏洞庫(kù)。Nmap、X-Scan、SuperScan、ShadowSecurityScanner、MS06040Scanner19可編輯版5.4網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)是提供給網(wǎng)絡(luò)安全管理人員進(jìn)行網(wǎng)絡(luò)管理的工具，用來(lái)監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?，黑客也可以利用網(wǎng)絡(luò)監(jiān)聽(tīng)來(lái)截取主機(jī)口令等。20可編輯版5.4.1網(wǎng)絡(luò)監(jiān)聽(tīng)原理 以太網(wǎng)（Ethernet）協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)，只有與數(shù)據(jù)包中目的地址一致的那臺(tái)主機(jī)才能接收到信息包。 當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下時(shí)，無(wú)論數(shù)據(jù)包中的目標(biāo)地址是什么，主機(jī)都將接收，這就是實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽(tīng)的基礎(chǔ)。21可編輯版5.4.2網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)與防范1．網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)(1)反應(yīng)時(shí)間(2)觀測(cè)DNS(3)ping模式進(jìn)行監(jiān)測(cè)(4)arp數(shù)據(jù)包進(jìn)行監(jiān)測(cè)22可編輯版2．網(wǎng)絡(luò)監(jiān)聽(tīng)的防范（1）采用加密手段進(jìn)行信息傳輸也是一個(gè)很好的辦法（2）以交換式集線器代替共享式集線器。交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽(tīng)。（3）使用Kerberos。23可編輯版5.5緩沖區(qū)溢出攻擊5.5.1緩沖區(qū)溢出原理

緩沖區(qū)是內(nèi)存中存放計(jì)算機(jī)正在處理數(shù)據(jù)的地方。當(dāng)數(shù)據(jù)量超出緩沖區(qū)的長(zhǎng)度時(shí)，多出來(lái)的數(shù)據(jù)就會(huì)破壞堆棧中的數(shù)據(jù)，導(dǎo)致應(yīng)用程序或整個(gè)系統(tǒng)的崩潰等故障；攻擊者在溢出數(shù)據(jù)中加上精心設(shè)計(jì)的機(jī)器代碼，當(dāng)這些代碼溢出到緩沖區(qū)以外時(shí)會(huì)被執(zhí)行，能達(dá)到破壞計(jì)算機(jī)系統(tǒng)目的，即緩沖區(qū)溢出攻擊。24可編輯版

緩沖區(qū)溢出1．通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，使系統(tǒng)崩潰。例：#include<string.h>voidmain(intargc,char*argv[]){charbuffer[10];strcpy(buffer,argv[1]);}執(zhí)行該程序，輸入字符串長(zhǎng)度小于10時(shí)，程序正常運(yùn)行，否則系統(tǒng)崩潰。25可編輯版26可編輯版2．通過(guò)向程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊目的。例如下面程序：#include<iostream.h>#include<string.h>voidfunction(inta){ charbuffer[5]; char*ret; ret=buffer+12; *ret+=8;}27可編輯版voidmain(){ intx; x=10; function(7); x=1; cout<<x<<endl;}程序的運(yùn)行結(jié)果是？28可編輯版程序的實(shí)際運(yùn)行結(jié)果是10，而不是1。

上段程序的執(zhí)行過(guò)程：依次為形式參數(shù)a、RET、EBP分配4字節(jié)的內(nèi)存，為語(yǔ)句charbuffer[5]分配內(nèi)存時(shí)，需要5字節(jié)的內(nèi)存。對(duì)于32位存儲(chǔ)器，內(nèi)存的分配是以4個(gè)字節(jié)為單位來(lái)進(jìn)行的，所以為buffer分配的內(nèi)存一共需要8個(gè)字節(jié)。29可編輯版voidmain(){ intx; x=10; function(7); x=1; cout<<x<<endl;}為參數(shù)賦值返回地址壓棧執(zhí)行被調(diào)用函數(shù)調(diào)用結(jié)束后返回返回處30可編輯版執(zhí)行ret=buffer+12后，ret指向RET(buffer地址和RET地址相差12個(gè)字節(jié))。RET的值是函數(shù)function(7)的返回地址，即“x=1”的首地址，執(zhí)行*ret+=8語(yǔ)句后就將RET的值加上了8個(gè)字節(jié)，而x=1這條語(yǔ)句占有8個(gè)字節(jié)。31可編輯版5.5.2緩沖區(qū)溢出攻擊方法1．在程序的地址空間里安排適當(dāng)?shù)拇a（1）植入法。（2）利用已經(jīng)存在的代碼。

2．控制程序轉(zhuǎn)移到攻擊代碼

（1）激活記錄。（2）函數(shù)指針。（3）長(zhǎng)跳轉(zhuǎn)緩沖區(qū)。32可編輯版5.5.3防范緩沖區(qū)溢出1．編寫(xiě)正確的代碼編寫(xiě)安全代碼是防止緩沖區(qū)溢出的最有效辦法：charstr[10]…while（gets（str）!=NULL）{puts（str）;memset（str,0,sizeof（str））;}由于沒(méi)有嚴(yán)格規(guī)定輸入到str中的字符長(zhǎng)度，很容易產(chǎn)生緩沖區(qū)溢出漏洞。正確的方式是使用fgets（chars,intsize,FILE*stream）。charstr[10]…while（fgets(str,sizeof(str),stdin)!=NULL）{puts（str）;memset（str,0,sizeof（str））;}33可編輯版2．及時(shí)安裝漏洞補(bǔ)丁3.借助防火墻阻止緩沖區(qū)溢出。5.5.3防范緩沖區(qū)溢出34可編輯版5.6拒絕服務(wù)攻擊DoS（DenialofService）通過(guò)堵塞網(wǎng)絡(luò)、占用系統(tǒng)資源等方法，拒絕用戶的服務(wù)訪問(wèn)，破壞系統(tǒng)的正常運(yùn)行。DoS攻擊的基本原理:35可編輯版5.6.1IP碎片攻擊pingofdeath攻擊者發(fā)送一個(gè)長(zhǎng)度超過(guò)65535的EchoRequest數(shù)據(jù)包，造成系統(tǒng)崩潰或掛起。jolt2攻擊在一個(gè)死循環(huán)中不停地發(fā)送一個(gè)ICMP/UDP的IP碎片，可以使Windows系統(tǒng)的機(jī)器死鎖。Teardrop發(fā)送一些IP分片異常的數(shù)據(jù)包，在IP包的分片裝配過(guò)程中，由于分片重疊，計(jì)算過(guò)程中出現(xiàn)長(zhǎng)度為負(fù)值，在執(zhí)行memcpy的時(shí)候?qū)е孪到y(tǒng)崩潰。36可編輯版5.6.2UDP洪泛通過(guò)偽造與某一主機(jī)的Chargen服務(wù)之間的一次UDP連接，回復(fù)地址指向開(kāi)放Echo服務(wù)的一臺(tái)主機(jī)，這樣就在兩臺(tái)主機(jī)之間生成足夠多的無(wú)用數(shù)據(jù)流，導(dǎo)致帶寬耗盡的拒絕服務(wù)攻擊。37可編輯版5.6.3SYN洪泛38可編輯版5.6.4Smurf攻擊39可編輯版5.6.5分布式拒絕服務(wù)攻擊40可編輯版DDoS攻擊的步驟1.搜集攻擊目標(biāo)了解被攻擊目標(biāo)主機(jī)數(shù)目、地址情況，目標(biāo)主機(jī)的配置、性能、目標(biāo)的帶寬等。2．占領(lǐng)傀儡機(jī)黑客通過(guò)掃描工具等，發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機(jī)器，隨后就是嘗試攻擊。攻擊成功后，就可以占領(lǐng)和控制被攻擊的主機(jī)，即傀儡機(jī)。3.實(shí)際攻擊黑客登錄到作為控制臺(tái)的攻擊機(jī)，向所有傀儡機(jī)發(fā)出命令，這時(shí)候埋伏在傀儡機(jī)中的DDoS攻擊程序就會(huì)響應(yīng)控制臺(tái)的命令，一起向受害主機(jī)以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致受害主機(jī)死機(jī)或是無(wú)法響應(yīng)正常的請(qǐng)求。41可編輯版防范DDoS攻擊的策略1．及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。2．要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。3．充分利用防火墻等網(wǎng)絡(luò)安全設(shè)備，配置好它們的安全規(guī)則，過(guò)濾掉所有可能偽造的數(shù)據(jù)包。

42可編輯版5.7欺騙攻擊與防范攻擊者針對(duì)認(rèn)證機(jī)制的缺陷，將自己偽裝成可信任方，從而與受害者進(jìn)行交流，最終竊取信息或是展開(kāi)進(jìn)一步的攻擊。IP欺騙DNS欺騙ARP欺騙43可編輯版IP欺騙的原理44可編輯版ARP欺騙攻擊與防范