網(wǎng)絡(luò)安全原理與應(yīng)用（第三版）課件 第7章 網(wǎng)絡(luò)攻擊與防范

1網(wǎng)絡(luò)安全原理與應(yīng)用(第三版)第八章網(wǎng)絡(luò)攻擊和防范8.1網(wǎng)絡(luò)攻擊概述系統(tǒng)攻擊或入侵是指利用系統(tǒng)安全漏洞，非授權(quán)進(jìn)入他人系統(tǒng)（主機(jī)或網(wǎng)絡(luò)）的行為。了解自己系統(tǒng)的漏洞及入侵者的攻擊手段，才能更好的保護(hù)自己的系統(tǒng)。8.1.1黑客與入侵者源于1961年麻省理工學(xué)院(MIT)的技術(shù)模型鐵路俱樂部80年代是黑客歷史的分水嶺，因為它標(biāo)志著完備的個人計算機(jī)被引入了公眾視野,引爆了黑客的快速增長。1986年，黑客相關(guān)的首部立法《聯(lián)邦計算機(jī)詐騙和濫用法案》出臺90年代是黑客污名化的起點，被入侵者群體盜用；凱文·米特尼克、凱文·鮑爾森、羅伯特·莫里斯和弗拉基米爾·勒文00年代，入侵者和發(fā)起的攻擊頻頻見諸報端，道德黑客無奈繼續(xù)見證自己的良好聲譽(yù)被拖入泥潭10年代，黑客社區(qū)變得更加高端復(fù)雜；為應(yīng)對激進(jìn)黑客和網(wǎng)絡(luò)罪犯，政府實體和大公司競相改善安全。8.1.2系統(tǒng)攻擊的三個階段（1）收集信息收集要攻擊的目標(biāo)系統(tǒng)的信息，包括目標(biāo)系統(tǒng)的位置、路由、目標(biāo)系統(tǒng)的結(jié)構(gòu)及技術(shù)細(xì)節(jié)等。（2）探測系統(tǒng)安全弱點

利用“補(bǔ)丁”找到突破口；利用掃描器發(fā)現(xiàn)安全漏洞（3）實施攻擊掩蓋行跡，預(yù)留后門安裝探測程序取得特權(quán)，擴(kuò)大攻擊范圍信息收集工具Ping程序：用于測試一個主機(jī)是否處于活動狀態(tài)及主機(jī)響應(yīng)所需要的時間等。Tracert程序：可以用該程序來獲取到達(dá)某一主機(jī)經(jīng)過的網(wǎng)絡(luò)及路由器的列表。Finger協(xié)議：用于取得某一主機(jī)上所有用戶詳細(xì)信息DNS服務(wù)器：該服務(wù)器提供系統(tǒng)中可以訪問的主機(jī)的IP地址和主機(jī)名列表。SNMP協(xié)議：可以查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其他內(nèi)部細(xì)節(jié)。Whois協(xié)議：該協(xié)議的服務(wù)信息能提供所有有關(guān)的DNS域和相關(guān)的管理參數(shù)。探測系統(tǒng)的安全弱點的主要方法（1）利用“補(bǔ)丁”找到突破口。但許多用戶沒有及時地使用“補(bǔ)丁”程序，這就給攻擊者以可趁之機(jī)。攻擊者通過分析“補(bǔ)丁”程序的接口，自己編寫程序通過該接口入侵目標(biāo)系統(tǒng)。（2）利用掃描器發(fā)現(xiàn)安全漏洞。掃描器是一種常用的網(wǎng)絡(luò)分析工具。這類工具可以對整個網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描，尋找安全漏洞。掃描器的使用價值具有兩面性，系統(tǒng)管理員使用掃描器可以及時發(fā)現(xiàn)系統(tǒng)存在的安全隱患，從而完善系統(tǒng)的安全防御體系；而攻擊者使用此類工具，用于發(fā)現(xiàn)系統(tǒng)漏洞，則會給系統(tǒng)帶來巨大的安全隱患。目前比較流行的開源掃描器有Nmap、ZAP、OSV-Scanner、CloudSploit等。攻擊行為表現(xiàn)（1）掩蓋行跡，預(yù)留后門。攻擊者潛入系統(tǒng)后，會盡量銷毀可能留下的痕跡，并在受損害系統(tǒng)中找到新的漏洞或留下后門，以備下次光顧時使用。（2）安裝探測程序。攻擊者可能在系統(tǒng)中安裝探測軟件，即使攻擊者退出去以后，探測軟件仍可以窺探所在系統(tǒng)的活動，收集攻擊者感興趣的信息，如用戶名、賬號、口令等，并源源不斷地把這些秘密傳給幕后的攻擊者。（3）取得特權(quán)，擴(kuò)大攻擊范圍。攻擊者可能進(jìn)一步發(fā)現(xiàn)受損害系統(tǒng)在網(wǎng)絡(luò)中的信任等級，然后利用該信任等級所具有的權(quán)限，對整個系統(tǒng)展開攻擊。如果攻擊者獲得根用戶或管理員的權(quán)限，后果將不堪設(shè)想。8.1.3網(wǎng)絡(luò)入侵的對象固有的安全漏洞

漏洞主要來源于程序設(shè)計等方面的錯誤和疏忽，如協(xié)議的安全漏洞、弱口令、緩沖區(qū)溢出等系統(tǒng)維護(hù)措施不完善的系統(tǒng)

當(dāng)發(fā)現(xiàn)漏洞時，管理人員需要仔細(xì)分析危險程序，并采取補(bǔ)救措施。3．缺乏良好安全體系的系統(tǒng)在設(shè)計時沒有建立有效的、多層次的防御體系，這樣的系統(tǒng)不能防御復(fù)雜的攻擊。缺乏足夠的檢測能力也是很嚴(yán)重的問題。8.1.4主要的攻擊方法1．獲取口令2．放置特洛伊木馬3．WWW欺騙技術(shù)4．電子郵件攻擊5．網(wǎng)絡(luò)監(jiān)聽6.尋找系統(tǒng)漏洞1．獲取口令一般方法一是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大，監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令，對局域網(wǎng)安全威脅巨大;二是在知道用戶的賬號后，利用一些專門軟件強(qiáng)行破解用戶口令，這種方法不受網(wǎng)段限制，但黑客要有足夠的耐心和時間；三是在獲得一個服務(wù)器上的用戶口令文件后，用暴力破解程序破解用戶口令，該方法的使用前提是黑客獲得口令的Shadow文件。2.放置特洛伊木馬特洛伊木馬程序是一種遠(yuǎn)程控制工具，可以直接侵入用戶的計算機(jī)并進(jìn)行破壞，它常偽裝成有用的程序或者游戲，誘使用戶下載。一旦用戶打開這些郵件的附件或者執(zhí)行這些程序，木馬程序就會留在電腦中。木馬程序就會通知黑客，泄露用戶的IP地址以及預(yù)先設(shè)定的端口。黑客在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改用戶計算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視整個硬盤中的內(nèi)容等，從而達(dá)到控制用戶計算機(jī)的目的。3．WWW的欺騙技術(shù)訪問的網(wǎng)頁已經(jīng)被黑客篡改過，網(wǎng)頁上的信息是虛假的。例如，攻擊者將用戶要瀏覽的網(wǎng)頁的URL改寫為指向攻擊者自己的服務(wù)器，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時候，實際上是向攻擊者的服務(wù)器發(fā)出請求。此時攻擊者可以監(jiān)控受攻擊者的任何活動，包括賬戶和口令。4.電子郵件攻擊主要表現(xiàn)為兩種方式：一是通常所說的郵件炸彈，是指用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計、萬計甚至無窮多次的內(nèi)容相同的垃圾郵件，致使受害人的郵箱被“炸”，嚴(yán)重者可能會給電子郵件服務(wù)器操作系統(tǒng)帶來危險，甚至使其癱瘓；二是電子郵件欺騙，攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），給用戶發(fā)送郵件，要求用戶修改口令（口令可能為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。5．網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是指將網(wǎng)卡置于一種雜亂（promiscuous）的工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接受方是誰。如果兩臺主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具（如Wireshark、Sniffer等）就可以輕而易舉地截獲包括口令和賬號在內(nèi)的信息資料。6．尋找系統(tǒng)漏洞許多系統(tǒng)都有這樣那樣的安全漏洞（bugs），其中某些是操作系統(tǒng)或應(yīng)用軟件本身具有的，微軟發(fā)布的2023年11月份安全更新共包括67個漏洞的補(bǔ)丁程序，其中超危漏洞3個，高危漏洞33個，中危漏洞31個，微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響。這些漏洞在補(bǔ)丁未被開發(fā)出來之前一般很難防御黑客的破壞，除非將網(wǎng)線拔掉；還有一些漏洞是由于系統(tǒng)管理員配置錯誤引起的，如在網(wǎng)絡(luò)文件系統(tǒng)中，允許將目錄和文件以可寫的方式調(diào)出，允許未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下，這都會給攻擊者帶來可乘之機(jī)，應(yīng)及時加以修正。8.1.5攻擊的新趨勢

1.利用AI的網(wǎng)絡(luò)攻擊愈演愈烈2.云平臺安全挑戰(zhàn)加劇3.物聯(lián)網(wǎng)安全問題凸顯4.數(shù)字供應(yīng)鏈攻擊增多1.利用AI的網(wǎng)絡(luò)攻擊愈演愈烈網(wǎng)絡(luò)犯罪分子不斷研發(fā)新的工具和攻擊方式，以擴(kuò)大受害范圍、提升攻擊規(guī)模和速度、增強(qiáng)攻擊效果，并提升攻擊的隱蔽性。新興的網(wǎng)絡(luò)和AI工具的激增與普及，將為攻擊者提供更為便捷的途徑深度造假是快速增長的威脅之一。創(chuàng)建具有高度音視頻可信度的逼真人物形象，用于合成身份，實施欺詐、勒索攻擊、竊取數(shù)據(jù)和知識產(chǎn)權(quán)。2.云平臺安全挑戰(zhàn)加劇云平臺幫助我們實現(xiàn)了數(shù)字化空間擴(kuò)展、遠(yuǎn)程辦公、多元化終端接入的同時，也使網(wǎng)絡(luò)接入的系統(tǒng)、位置和時間更分散。多元化運(yùn)維終端接入云平臺，接入設(shè)備和系統(tǒng)安全措施難以統(tǒng)一，可控性降低；判斷用戶身份和行為合法性難度增加。一旦入侵某人的賬戶，竊取該賬戶內(nèi)各類敏感數(shù)據(jù)；展開釣魚攻擊，傳播負(fù)面輿論，云平臺管理者難以進(jìn)行溯源和避免云資源被攻擊者利用。有效的加密方法，降低未經(jīng)授權(quán)的數(shù)據(jù)訪問和數(shù)據(jù)泄密相關(guān)的風(fēng)險；新一代云安全解決方案，SOAR技術(shù)，零信任策略。3.物聯(lián)網(wǎng)安全問題凸顯物聯(lián)網(wǎng)設(shè)備使我們的日常生活變得更加便捷和高效，帶來了網(wǎng)絡(luò)安全方面的挑戰(zhàn)。從2018年至2022年，全球物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊數(shù)量增長了243%以上物聯(lián)網(wǎng)安全的特點：大規(guī)模部署：物聯(lián)網(wǎng)涉及數(shù)十億臺設(shè)備的大規(guī)模部署，其中許多設(shè)備是不安全的，容易受到攻擊；資源受限：多數(shù)物聯(lián)網(wǎng)設(shè)備具有有限的計算和存儲資源，因此無法運(yùn)行復(fù)雜的安全軟件；多樣性：物聯(lián)網(wǎng)設(shè)備的類型和制造商繁多，安全標(biāo)準(zhǔn)和協(xié)議的不一致性增加了管理和保護(hù)的復(fù)雜性。持續(xù)運(yùn)行：很多物聯(lián)網(wǎng)設(shè)備需要長期持續(xù)運(yùn)行，因此需要持續(xù)的安全更新和維護(hù)。通過修復(fù)漏洞、加強(qiáng)安全功能（如加密和雙因素身份驗證）以及定期進(jìn)行代碼審計等措施，更有效抵御針對物聯(lián)網(wǎng)設(shè)備和智能家居的網(wǎng)絡(luò)攻擊。4.數(shù)字供應(yīng)鏈攻擊增多數(shù)字化供應(yīng)鏈：對供應(yīng)鏈全業(yè)務(wù)流程進(jìn)行計劃、執(zhí)行、控制和優(yōu)化，對實物流、信息流、資金鏈進(jìn)行整體規(guī)劃的數(shù)據(jù)融通、資源共享、業(yè)務(wù)協(xié)同的網(wǎng)狀供應(yīng)鏈體系。供應(yīng)鏈作為商業(yè)界的支柱，成為網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo)。近年來供應(yīng)鏈攻擊的發(fā)生頻率呈明顯增長趨勢攻擊者利用供應(yīng)鏈網(wǎng)絡(luò)固有的復(fù)雜性和互聯(lián)性，通過惡意軟件植入、代碼篡改、供應(yīng)鏈流程破壞等方式，實現(xiàn)對目標(biāo)組織的深度滲透和控制。未來供應(yīng)鏈攻擊將繼續(xù)增加，并可能變得更加復(fù)雜和難以應(yīng)對。8.2口令攻擊

8.2.1口令攻擊8.2.2．設(shè)置安全的口令8.2.3．一次性口令8.2.1口令攻擊（1）是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令攻擊者利用數(shù)據(jù)包截取工具便可以很容易收集到用戶的賬號和口令（2）口令的窮舉攻擊字典窮舉法（3）利用系統(tǒng)管理員的失誤獲取口令文件后，就可以用專門的破解工具進(jìn)行破解8.2.2設(shè)置安全的口令（1）口令的選擇：字母數(shù)字及標(biāo)點的組合，如：Ha,Pp@y!和w/(X,y)*;使用一句話的開頭字母做口令，如：由Afoxjumpsoveralazydog!產(chǎn)生口令：AfJoAld!。（2）口令的保存：記住、放到安全的地方，加密最好。（3）口令的使用：輸入口令不要讓別人看到；不要在不同的系統(tǒng)上使用同一口令；定期改變口令。8.2.3．一次性口令（OTP）一次性口令就是一個口令僅使用一次，能有效地抵制重放攻擊，這樣竊取系統(tǒng)的口令文件、竊聽網(wǎng)絡(luò)通信獲取口令及窮舉攻擊猜測口令等攻擊方式都不能生效。OTP的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中的生成的口令不相同。使用一次性口令的系統(tǒng)中，用戶可以得到一個口令列表，每次登錄使用完一個口令后就將它從列表明中刪除；用戶也可以使用IC卡或其他的硬件卡來存儲用戶的秘密信息，這些信息再與隨機(jī)數(shù)、系統(tǒng)時間等參數(shù)一起通過散列得到一個一次性口令。

8.3掃描器

8.3.1端口與服務(wù)

（1）公認(rèn)端口（WellKnownPorts）：從0到1023，它們緊密綁定于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實際上總是HTTP通訊。（2）注冊端口（RegisteredPorts）：從1024到49151。它們松散地綁定于一些服務(wù)。（3）動態(tài)和/或私有端口（Dynamicand/orPrivatePorts）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。8.3.2端口掃描

一個端口就是一個潛在的通信通道，也就是一個入侵通道。對目標(biāo)計算機(jī)進(jìn)行端口掃描，能得到許多有用的信息。

端口掃描也廣泛被入侵者用來尋找攻擊線索和攻擊入口。掃描器的種類掃描器是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的軟件漏洞掃描器：這類掃描器專注于識別目標(biāo)系統(tǒng)中存在的已知安全漏洞。網(wǎng)絡(luò)掃描器（NetworkScanners）：這種掃描器用于識別目標(biāo)網(wǎng)絡(luò)中的活躍主機(jī)、開放端口以及網(wǎng)絡(luò)服務(wù)Web應(yīng)用程序掃描器：專門用于檢測Web應(yīng)用程序中的安全問題和漏洞。這包括尋找潛在的SQL注入、跨站腳本（XSS）和其他與Web應(yīng)用程序安全相關(guān)的問題。惡意軟件掃描器（MalwareScanners）：這類掃描器致力于檢測系統(tǒng)中的惡意軟件，包括病毒、蠕蟲、特洛伊木馬等。它們通過掃描文件、內(nèi)存和注冊表等途徑來發(fā)現(xiàn)潛在的惡意活動。掃描器的種類無線網(wǎng)絡(luò)掃描器（WirelessScanners）：主要用于評估和確保無線網(wǎng)絡(luò)的安全性。這些掃描器可以識別無線網(wǎng)絡(luò)中的安全漏洞，例如未加密的連接或弱密碼。主機(jī)掃描器（HostScanners）：這種掃描器關(guān)注于目標(biāo)主機(jī)上的安全問題，包括開放端口、運(yùn)行的服務(wù)以及系統(tǒng)配置方面的漏洞。端口掃描器（PortScanners）：專門用于檢測目標(biāo)系統(tǒng)上的開放端口，幫助管理員了解系統(tǒng)上哪些服務(wù)是活躍的。代碼掃描器（CodeScanners）：用于檢測軟件源代碼中的安全漏洞和編程錯誤，幫助開發(fā)人員提高其應(yīng)用程序的安全性。掃描器用途及危害掃描器通過對掃描對象的脆弱性進(jìn)行深入了解,檢測其是否存在已知的漏洞；能給掃描時發(fā)現(xiàn)的問題提供一個良好的解決方案。掃描器在進(jìn)行掃描時會造成大量數(shù)據(jù)的傳送，也會加重服務(wù)器的負(fù)擔(dān)，甚至?xí)o某些服務(wù)帶來危害。不要輕易使用掃描工具隨意掃描主機(jī)，更不要違背國家法律法規(guī)和道德準(zhǔn)則使用掃描工具做危害網(wǎng)絡(luò)安全的活動。8.3.3常用的掃描技術(shù)

（1）TCPconnect（）掃描（2）TCPSYN掃描（3）TCPFIN掃描（4）IP段掃描

(5）TCP反向ident掃描（6）FTP返回攻擊（7）UDPICMP端口不能到達(dá)掃描（8）ICMPecho掃描8.3.3一個簡單的掃描程序分析1．Socket介紹Socket在網(wǎng)絡(luò)編程中是指運(yùn)行在網(wǎng)絡(luò)上的兩個程序間雙向通訊連接的末端，它提供客戶端和服務(wù)器端的連接通道。

從連接的建立到連接的結(jié)束基本步驟：（1）服務(wù)器端socket綁定于特定端口，服務(wù)器偵聽socket等待連接請求；（2）客戶端向服務(wù)器和特定端口提交連接請求；（3）服務(wù)器接受連接產(chǎn)生一個新的socket，綁定到另一端口，處理和客戶端的交互，服務(wù)器繼續(xù)偵其他客戶端的連接請求；（4）連接成功后客戶端也產(chǎn)生一socket與服務(wù)器端通訊；（5）服務(wù)器端和客戶端就通過讀取和寫入各自的socket來進(jìn)行通訊。2．代碼分析

實現(xiàn)掃描的部分代碼：target_addr.sin_family=AF_INET;target_addr.sin_port=htons（i）;target_addr.sin_addr.s_addr=inet_addr（argv[1]）;cout<<"正在掃描端口:"<<i<<endl;if（connect（testsocket,（structsockaddr*）&target_addr,sizeof（structsockaddr））==SOCKET_ERROR）cout<<"端口"<<i<<"關(guān)閉!"<<endl;else{iopenedport++;cout<<"端口"<<i<<"開放\n"<<endl;}}8.4網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?，是一種監(jiān)視和管理網(wǎng)絡(luò)的一種方法。網(wǎng)絡(luò)監(jiān)聽工具也常是黑客們經(jīng)常使用的工具，當(dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可以將網(wǎng)上傳輸?shù)男畔⒔孬@。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置實施，如局域網(wǎng)中的主機(jī)、網(wǎng)關(guān)或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是截獲用戶的口令。

以太網(wǎng)協(xié)議的工作方式為將要發(fā)送的數(shù)據(jù)幀發(fā)往物理連接在一起的所有主機(jī)。在幀頭中包含著應(yīng)該接收數(shù)據(jù)包的主機(jī)的地址。數(shù)據(jù)幀到達(dá)一臺主機(jī)的網(wǎng)絡(luò)接口時，在正常情況下，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，并檢查數(shù)據(jù)幀幀頭中的地址字段，如果數(shù)據(jù)幀中攜帶的物理地址是自己的，或者物理地址是廣播地址，則將數(shù)據(jù)幀交給上層協(xié)議軟件，否則就將這個幀丟棄。對于每一個到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀，都要進(jìn)行這個過程。然而，當(dāng)主機(jī)工作在監(jiān)聽模式下，不管數(shù)據(jù)幀的目的地址是什么，所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。8.4.1網(wǎng)絡(luò)監(jiān)聽的原理8.4.2網(wǎng)絡(luò)監(jiān)聽工具及其作用嗅探器（sniffer）就是一種網(wǎng)絡(luò)監(jiān)聽工具。sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層，它會攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局,Sniffer實施的是一種消極的安全攻擊，它們極其安靜地躲在某個主機(jī)上偷聽別人的通信，具有極好隱蔽性。網(wǎng)絡(luò)監(jiān)聽對系統(tǒng)管理員是很重要的，系統(tǒng)管理員通過監(jiān)聽可以診斷出大量的不可見問題，這些問題有些涉及兩臺或多臺計算機(jī)之間的異常通訊，有些牽涉到各種協(xié)議的漏洞和缺陷。8.4.3如何發(fā)現(xiàn)sniffer通過下面的方法可以分析出網(wǎng)絡(luò)上是否存在sniffer進(jìn)行分析。網(wǎng)絡(luò)通訊掉包率反常的高。網(wǎng)絡(luò)帶寬將出現(xiàn)異常。對于懷疑運(yùn)行監(jiān)聽程序的主機(jī)，用正確的IP地址和錯誤的物理地址去PING，正常的機(jī)器不接受錯誤的物理地址，處于監(jiān)聽狀態(tài)的機(jī)器能接受，這種方法依賴系統(tǒng)的IPSTACK，對有些系統(tǒng)可能行不通。往網(wǎng)上發(fā)大量包含著不存在的物理地址的包,由于監(jiān)聽程序?qū)⑻幚磉@些包，將導(dǎo)致性能下降，通過比較前后該機(jī)器性能（icmpechodelay等方法）加以判斷。8.5IP欺騙TCP握手過程8.5.1．IP欺騙的工作原理使被信任主機(jī)喪失工作能力例如，利用TCPSYN-Flood使主機(jī)喪失能力：t1:Z（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞B……………t2:X＜－－－SYN/ACK－－－BX＜－－－SYN/ACK－－－B……………t3:X＜－－－RST－－－B假設(shè)服務(wù)器A信任B,Z是攻擊者X是不可達(dá)主機(jī)2.序列號猜測序列號的猜測方法如下：攻擊者先與被攻擊主機(jī)的一個端口（如：SMTP）建立起正常的連接。通常，這個過程被重復(fù)若干次，并將目標(biāo)主機(jī)最后所發(fā)送的ISN（初始序列號）存儲起來。攻擊者還需要估計他的主機(jī)與被信任主機(jī)之間的RTT（往返時間），這個RTT時間是通過多次統(tǒng)計平均求出的。RTT對于估計下一個ISN是非常重要的。一般每秒鐘ISN增加128000，每次連接增加64000?，F(xiàn)在就不難估計出ISN的大小了，它是128000乘以RTT的一半，如果此時目標(biāo)主機(jī)剛剛建立過一個連接，那么再加上一個64000。

3.實施欺騙Z偽裝成A信任的主機(jī)B攻擊目標(biāo)A的過程如下：t1:Z（B）－－SYN－－－>At2:B＜－－－SYN/ACK－－－At3:Z（B）－－－ACK－－－＞At4:Z（B）－－－PSH－－－＞A8.5.2IP欺騙的防止（1）拋棄基于地址的信任策略（2）進(jìn)行包過濾，過濾掉所有來自于外部、希望與內(nèi)部建立連接的請求（3）使用加密方法進(jìn)行身份驗證（4）使用隨機(jī)化的初始序列號8.6拒絕服務(wù)8.6.1什么是拒絕服務(wù)DoS是DenialofService的簡稱，即拒絕服務(wù)。拒絕服務(wù)攻擊是指一個用戶占據(jù)了大量的共享資源，使系統(tǒng)沒有剩余的資源給其它用戶提供服務(wù)的一種攻擊方式。拒絕服務(wù)攻擊的結(jié)果可以降低系統(tǒng)資源的可用性，這些資源可以是網(wǎng)絡(luò)帶寬、CPU時間、磁盤空間、打印機(jī)、甚至是系統(tǒng)管理員的時間。最常見的DoS攻擊有計算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機(jī)無法再處理合法用戶的請求。DoS攻擊的基本過程

首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送一批新的請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對TCP/IP棧的實現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)；聲稱自己的ICMP包超過64K上限時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方宕機(jī)。DoS攻擊-死亡之pingDoS攻擊——SYNFlooding攻擊對WindowsNT攻擊很有效使用一個偽裝的源地址向目標(biāo)計算機(jī)發(fā)送連接請求；當(dāng)目標(biāo)計算機(jī)收到這樣的請求后，就會使用一些資源來為新的連接提供服務(wù)，接著回復(fù)一個肯定答復(fù)（叫做SYN－ACK）；由于SYN－ACK是返回到一個偽裝的地址，沒有任何響應(yīng)。于是目標(biāo)計算機(jī)將繼續(xù)設(shè)法發(fā)送SYN－ACK。一些系統(tǒng)都有缺省的回復(fù)次數(shù)和超時時間，只有回復(fù)一定的次數(shù)、或者超時間，占用的資源才會釋放。NT設(shè)為可回復(fù)5次，每次等待時間加倍：則：3+6+12+24+48+96=189S8.6.2分布式拒絕服務(wù)DDoS（分布式拒絕服務(wù)）是一種分布、協(xié)作的大規(guī)模攻擊方式，一個比較完善的DDoS攻擊體系分成三層。（1）攻擊者：攻擊者所用的計算機(jī)是攻擊主控臺，攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。（2）主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。（3）代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，由它向受害者主機(jī)實際發(fā)起攻擊。

圖6-4DDoS攻擊體系

拒絕服務(wù)攻擊方式Smurf攻擊基于互聯(lián)網(wǎng)控制信息包（ICMP）的Smurf攻擊是一種強(qiáng)力的拒絕服務(wù)攻擊方法，主要利用的是IP協(xié)議的直接廣播特性。Smurf攻擊對被攻擊的網(wǎng)絡(luò)，以及被利用來做擴(kuò)散器的網(wǎng)絡(luò)都具有破壞性。在這種拒絕服務(wù)攻擊中，主要的角色有：攻擊者

中間代理（也就是所說的擴(kuò)散器）犧牲品（目標(biāo)主機(jī)）

8.6.3DDoS的主要攻擊方式及防范Smurf攻擊示意圖Smurf攻擊是一種利用IP路由漏洞的攻擊方法。攻擊通常分為以下五步：鎖定目標(biāo)：一個被攻擊的主機(jī)（通常是一些Web服務(wù)）；尋找中間代理的站點：用來對攻擊實施放大（通常會選擇多個，以便更好地隱藏自己，偽裝攻）；

發(fā)送偽造ICMP包：黑客給中間代理站點的廣播地址發(fā)送大量的ICMP包（主要是指Pingecho包）。這些數(shù)據(jù)包全都以被攻擊的主機(jī)的IP地址做為IP包的源地址；

中間代理向子網(wǎng)廣播：中間代理向其所在的子網(wǎng)上的所有主機(jī)發(fā)送源IP地址欺騙的數(shù)據(jù)包；

響應(yīng)包全都回應(yīng)到攻擊目標(biāo)上去

Smurf攻擊的過程1.過濾廣播地址：在網(wǎng)絡(luò)的出口路由器上配置過濾規(guī)則，禁止廣播地址的流量通過、阻止攻擊者的EchoRequest報文進(jìn)入目標(biāo)網(wǎng)絡(luò)。2.啟用反向路徑過濾(ReversePathFiltering)：通過驗證數(shù)據(jù)包的源IP地址是否為網(wǎng)絡(luò)出口合法的路徑返回地址，來過濾掉源IP地址偽造的報文。3.使用流量限制措施:通過使用防火墻和入侵檢測系統(tǒng)(IDS)等技術(shù)，對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和管理,及時發(fā)現(xiàn)并限制異常流量。

防止你的網(wǎng)絡(luò)遭受Smurf攻擊2.Trinoo攻擊：使用“主控”程序?qū)嶋H實施攻擊的任何數(shù)量的“代理”程序?qū)崿F(xiàn)自動控制。攻擊者連接到安裝了master程序的計算機(jī)，啟動master程序，然后根據(jù)一個IP地址的列表，由master程序負(fù)責(zé)啟動所有的代理程序。代理程序用UDP信息包攻擊網(wǎng)絡(luò)，從而攻擊目標(biāo)。在攻擊之前，侵入者為了安裝軟件，已經(jīng)控制了裝有master程序的計算機(jī)和所有裝有代理程序的計算機(jī)。8.6.3DDoS的主要攻擊方式及防范2.Trinoo攻擊8.6.3DDoS的主要攻擊方式及防范Trinoo攻擊防御：（1）trinoo都使用了UDP協(xié)議。入侵檢測軟件能夠?qū)ふ沂褂肬DP協(xié)議的數(shù)據(jù)流（類型17）。（2）trinoomaster程序的監(jiān)聽端口是27655，入侵檢測軟件能夠搜索到使用TCP（類型6）并連接到端口27655的數(shù)據(jù)流。（3）檢測到UDP端口27444的連接，如果有包含字符串“l(fā)44”的信息包被發(fā)送過去，那么接受這個信息包的計算機(jī)可能就是DDoS代理。（4）“嗅探”master和代理之間的通口令。使用這個口令以及來自DaveDittrich的trinot腳本，驗證出trinoo代理的存在是很有可能的。/nipc/trinoo.htm檢測和根除trinoo的自動程序8.6.3DDoS的主要攻擊方式及防范3.TFN攻擊者要訪問master程序并向它發(fā)送一個或多個目標(biāo)IPTFNmaster程序讀取一個IP地址列表，其中包含代理程序的位置。master程序與所有代理程序通信，指示它們發(fā)動攻擊。通信使用ICMP回音應(yīng)答信息包。通過配置路由器或入侵檢測系統(tǒng)，不允許所有的ICMP回音或回音應(yīng)答信息包進(jìn)入網(wǎng)絡(luò)，就可以達(dá)到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程序，比如ping。8.7緩沖區(qū)溢出8.7.1緩沖區(qū)溢出原理8.7.2緩沖區(qū)溢出漏洞攻擊的分析8.7.3緩沖區(qū)溢出的保護(hù)8.7.1緩沖區(qū)溢出原理緩沖區(qū)是指內(nèi)存中存放數(shù)據(jù)的地方。在程序試圖將數(shù)據(jù)放到機(jī)器內(nèi)存中的某一個位置的時候，如果沒有足夠的空間就會發(fā)生緩沖區(qū)溢出。

voidSayHello（char*name）{chartmpName[80];strcpy（tmpNname,name）;printf（"Hello%s\n",tmpName）;}

intmain（intargc,char**argv）{if（argc!=2）{printf（"Usage:hello<name>.\n"）;return1;}SayHello（argv[1]）;return0;}利用緩沖區(qū)溢出漏洞攻擊系統(tǒng)，通常要完成兩個任務(wù):一是在程序的地址空間里安排適當(dāng)?shù)拇a二是通過適當(dāng)?shù)某跏蓟拇嫫骱痛鎯ζ?，讓程序跳轉(zhuǎn)到安排好的地址空間執(zhí)行

（a）main函數(shù)棧幀

（b）SayHello棧幀圖8-7函數(shù)的內(nèi)存分配情況（a）正確的輸入

（b）緩沖區(qū)溢出圖8-8程序執(zhí)行后的內(nèi)存情況注入攻擊代碼。跳轉(zhuǎn)到攻擊代碼。執(zhí)行攻擊代碼。緩沖區(qū)溢出攻擊的三個步驟8-9函數(shù)返回到一個預(yù)先植入的代碼上去8.7.2緩沖區(qū)溢出漏洞攻擊的分析

（1）代碼放置的方法有兩種在被攻擊程序地址空間放置代碼的方法：植入法和利用已存在的代碼。植入法：攻擊者向被攻擊的程序輸入一個字符串，程序會把這個字符串放到緩沖區(qū)里。攻擊者在這個字符串中包含進(jìn)可以在這個被攻擊的硬件平臺上運(yùn)行的指令序列。利用已存在代碼：有時攻擊者想要的代碼已經(jīng)在被攻擊的程序中，攻擊者所要做的只是對代碼傳遞一些參數(shù)，然后使用程序跳轉(zhuǎn)到選定的目標(biāo)。（2）控制程序轉(zhuǎn)移的方法最基本的方法就是溢出一個沒有邊界檢查或者其他弱點的緩沖區(qū)，這樣就擾亂了程序的正常的執(zhí)行順序。許多的緩沖區(qū)溢出是用暴力的方法改寫程序的指針，可以分成以下幾類：激活記錄包含了函數(shù)結(jié)束時的返回地址。攻擊者通過溢出這些自動變量，使這個返回地址指向攻擊代碼。函數(shù)指針變量可以用來定位任何地址空間，所以攻擊者只需在函數(shù)指針附近找到一個能夠溢出緩沖區(qū)，然后溢出這個緩沖區(qū)來改變函數(shù)指針，使之指向了攻擊代碼。在C語言中包含了一個簡單的檢驗/恢復(fù)系統(tǒng)，稱為setjmp/longjmp。可以用setjmp（buffer）來設(shè)定檢驗點，而用longjmp（buffer）來恢復(fù)到檢驗點。如果攻擊者能夠進(jìn)入緩沖區(qū)空間，那么longjmp實際上是跳轉(zhuǎn)到攻擊者的代碼上面。目前有四種基本的方法保護(hù)緩沖區(qū)免受緩沖區(qū)溢出的攻擊和影響：一是強(qiáng)制編寫正確代碼的方法；二是通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者植入攻擊代碼；三是利用編譯器的邊界檢查來實現(xiàn)緩沖區(qū)的保護(hù)。四是一種間接的方法，該方法在程序指針失效前進(jìn)行完整性檢查。雖然這種方法不能使所有的緩沖區(qū)溢出失效，但它可以阻止絕大多數(shù)的緩沖區(qū)溢出攻擊。8.7.3緩沖區(qū)溢出的保護(hù)

8.8APT攻擊APT（高級持續(xù)性威脅，AdvancedPersistentThreat）攻擊是一種利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。通常針對企業(yè)和政府重要信息資產(chǎn)的，對信息系統(tǒng)可用性、可靠性構(gòu)成極大挑戰(zhàn)的信息安全威脅。APT攻擊是一種精密、有計劃、目標(biāo)明確的網(wǎng)絡(luò)攻擊，通常由高度專業(yè)化的黑客、間諜機(jī)構(gòu)、犯罪集團(tuán)或其他惡意行為者發(fā)起。APT攻擊變化多端、效果顯著且難于防范。成為網(wǎng)絡(luò)滲透和系統(tǒng)攻擊的演進(jìn)趨勢，備受網(wǎng)絡(luò)安全研究者關(guān)注。8.8.1APT攻擊的特點高度精密性：先進(jìn)的技術(shù)和工具，隱藏攻擊行為，繞過防御措施目標(biāo)明確：特定的試圖竊取、損害或監(jiān)視的目標(biāo)或信息持續(xù)性：尋找持久性的方式，長時間內(nèi)繼續(xù)訪問目標(biāo)。隱秘性：采取各種手段來保持隱秘性情報收集：具有重要的商業(yè)或地緣政治價值情報長期計劃：經(jīng)過精心策劃和長期規(guī)劃，花費(fèi)數(shù)月甚至數(shù)年的時間來實施攻擊影響巨大：發(fā)起者都是大型組織，關(guān)系國計民生或國家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施或相關(guān)領(lǐng)域的大型企業(yè)8.8.2APT攻擊的步驟（1）偵察（Reconnaissance）攻擊者會收集關(guān)于目標(biāo)的信息。（2）入侵（InitialAccess）：攻擊者使用各種方法獲得對目標(biāo)網(wǎng)絡(luò)的初步訪問權(quán)限。這可以通過釣魚攻擊、惡意附件、零日漏洞利用或其他手段實現(xiàn)。（3）建立立足點（EstablishFoothold）：攻擊者會努力建立持久性訪問。通過部署后門、木馬、或惡意軟件，以確保他們可以隨時再次進(jìn)入系統(tǒng)。（4）提權(quán)（EscalationofPrivilege）：攻擊者會尋找漏洞、安全弱點或其他方法，以提高他們在網(wǎng)絡(luò)中的權(quán)限。包括獲取管理員憑證或利用操作系統(tǒng)或應(yīng)用的漏洞。8.8.2APT攻擊的步驟（5）內(nèi)部偵察（InternalReconnaissance）：攻擊者在網(wǎng)絡(luò)內(nèi)部尋找更多的目標(biāo)。（6）橫向移動（LateralMovement）：使用竊取的憑證、漏洞利用或其他方法。嘗試訪問其他系統(tǒng)和網(wǎng)絡(luò)段。（7）數(shù)據(jù)竊取（DataExfiltration）：攻擊者的最終目標(biāo)通常是竊取敏感數(shù)據(jù)或情報。將目標(biāo)數(shù)據(jù)傳輸?shù)剿麄兛刂频姆?wù)器，通常采取掩蓋通信的措施，以避免被檢測。（8）保持隱秘性（MaintainingStealth）：攻擊者會努力保持其活動的隱秘性，以盡可能長時間地存在于目標(biāo)網(wǎng)絡(luò)中。他們可能會刪除日志、避免異?；顒?，并定期更新其工具和技術(shù)，以逃避檢測。8.8.3APT攻擊案例（1）GoogleAurora極光攻擊攻擊者向Google發(fā)送一條帶有惡意連接的消息；Google員工點擊了這條惡意連接時，會自動向攻擊者的C&CServer（CommandandControlServer）發(fā)送一個指令，并下載遠(yuǎn)程控制木馬到電腦上，成為“肉雞”；利用內(nèi)網(wǎng)滲透、暴力破解等方式獲取服務(wù)器的管理員權(quán)限，員工電腦被遠(yuǎn)程控制長達(dá)數(shù)月之久，其被竊取的資料數(shù)不勝數(shù)，造成不可估量的損失。8.8.3APT攻擊案例（2）震網(wǎng)攻擊Stuxnet蠕蟲病毒（震網(wǎng)病毒）是世界上首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒，能夠利用對windows系統(tǒng)和西門子SIMATICWinCC系統(tǒng)的7個漏洞進(jìn)行攻擊。攻擊十分精準(zhǔn)基于Stuxnet代碼的新型的蠕蟲Duqu又出現(xiàn)在歐洲，號稱“震網(wǎng)二代”。Duqu主要收集工業(yè)控制系統(tǒng)的情報數(shù)據(jù)和資產(chǎn)信息，為攻擊者提供下一步攻擊的必要信息。攻擊者通過僵尸網(wǎng)絡(luò)對其內(nèi)置的RAT進(jìn)行遠(yuǎn)程控制，并且采用私有協(xié)議與CC端進(jìn)行通訊，傳出的數(shù)據(jù)被包裝成jpg文件和加密文件。8.8.3APT攻擊案例（3）SolarWinds供應(yīng)鏈?zhǔn)录?020年12月網(wǎng)絡(luò)安全公司FireEye披露其公司購置的網(wǎng)管軟件廠商SolarWinds相關(guān)軟