安全培训-网络攻击

1、网络攻击 网络入侵的步骤 w (简单服务失效攻击) w 获取目标系统信息 w 从远程获取系统的部分权利 w 从远程获取系统的特权 w 清除痕迹 w 留后门 w 破坏系统 常见网络攻击DoS 常见网络攻击 DoS w 消耗有限资源 网络链接 带宽消耗 其他资源 处理时间 磁盘空间 账号封锁 w 配置信息的改变 DoS分类 w Syn flood w 其他flood（smurf等） w 分布式DoS(DDoS) Syn flood 攻击原理 w 攻击TCP协议的实现 攻击者不完成TCP的三次握手 服务器显示TCP半开状态的数目 w 与带宽无关 w 通常使用假冒的源地址 给追查带来很大的困难 TCP

2、 Three-Way Handshake SYN Client wishes to establish connection SYN-ACK Server agrees to connection request ACK Client finishes handshake Client initiates requestConnection is now half-open Client connection Established Server connection Established Client connecting to a TCP port SYN Flood Illustrat

3、ed Client spoofs request half-open S half-open S half-open S Queue filled S Queue filled S Queue filled S SA SA SA Client SYN Flood Syn flood攻击实例 w 服务器很容易遭到该种攻击 w 教育网内某著名站点曾遭受该攻击的困 扰 SYN Flood Protection w Cisco routers TCP 截取 截取SYN报文，转发到server 建链成功后在恢复client与server的联系 w Checkpoint Firewall-1 SYN De

4、fender 与Cisco 路由器的工作原理累死 w 攻击者依然可以成功 耗尽路由器或者防火墙的资源 TCP Intercept Illustrated Request connection Answers for server S SA Finishes handshake A Request connection Server answers S SA Finishes handshake A Knit half connections SYN Flood Prevention w 增加监听队列长度 依赖与操作系统的实现 w 将超时设短 半开链接能快速被淘汰 有可能影响正常使用 w 采用对

5、该攻击不敏感的操作系统 BSD Windows Smurf 攻击原理 w 一些操作系统的实现会对目的地址是本 地网络地址的ICMP应答请求报文作出 答复。 w 以网络地址为目标地址发送ICMO应答 请求报文，其中很多主机会作出应答。 w 攻击者将ICMP报文源地址填成受害主 机，那么应答报文会到达受害主机处， 造成网络拥塞。 Smurf Attack Illustrated ICMP Echo Request Src: target Dest: 10.255.255.255 10.1.1.1 Attacker spoofs address 10.1.1.2 10.1.1.3 10.1.1.4

6、Amplifier: Every host replies Smurf攻击的预防 w 关闭外部路由器或防火墙的广播地址特 性；防止目标地址为广播地址的ICMP报 文穿入。 w 成为smurf攻击的目标，需要在上级网 络设备上做报文过滤。 分布式DoS(Distributed DOS) w 从多个源点发起攻击 堵塞一个源点不影响攻击的发生 w 采用攻击二级结构 攻击控制用的称为 handlers 发起攻击用的 agents 攻击目标为targets DDOS Illustrated Client Agent HandlerAgent Agent Handler Agent Agent Agent

7、 DDoS攻击 w 目前没有 很好的预防方法 w DDoS攻击开销巨大 w 但是一般主机不可能成为DDoS的目标 Yahoo曾经遭受过DDoS攻击 Sadmind/unicode蠕虫为DDoS做准备 针对主机的攻击 w 缓冲区溢出 w 后门和木马 w 蠕虫、病毒 缓冲区溢出 w 程序收到的参数比预计的长 程序的栈结构产生混乱 w 任意输入会导致服务器不能正常工作 w 精心设计的输入会导致服务器程序执行 任意指令 Buffer Overflow Illustrated main() show (“THIS IS MORE THAN 24 CHARACTERS!”); show(char*p) s

8、trbuff24; strcpy(strbuf,p); Stack main() data main() return Saved register Show() data Strbuf 24 bytes strcpy() return E R S ! T H I S . I S . M O R E . T H A N . 2 4 . C H A R A C T Return address corrupt 缓冲区溢出的预防 w 联系供应商 下载和安装相关的补丁程序 w 如果有源代码 自己修改源代码，编译安装 后门和木马 w 应用背景：攻入系统之后，为以后方便、 隐蔽的进入系统，有时候攻击者会

9、在系 统预留后门。 w Trojan horse: A program that appears to serve one purpose, but it reality performs an unrelated (and often malicious) task. What is back door? w Back door: hole in the security of a system deliberately left in place by designers or maintainers n 应用背景：攻入系统之后，为 以后方便、隐蔽的进入系统，有 时候攻击者会在系统预留后门

10、。 常用后门技术 获得系统控制权之后，可以做什么？ w 修改系统配置 w 修改文件系统 w 添加系统服务 后门技术通常采用以上的手段或其组合。 后门技术 w 后门一般是在进入系统之后，为方便以 后控制系统而做的对系统的修改。 w 通过改动系统配置、修改文件系统、启 动系统服务达到留后门的效果 w 后门通常具有一定的隐蔽性 后门隐藏技术 后门技术(UNIX) w 嵌入内核 w 修改系统配置 w 启动服务 Rc.d Cron inetd 后门技术(Windows) w 注册表 HKEY_LOCAL_MACHINE.Run HKEY_LOCAL_MACHINE.RunServices w *.INI

11、文件（系统启动配置文件） w Autoexec.bat和Config.sys w 系统boot区 后门、木马的检测和预防 w MD5 基线 给干净系统文件做MD5校验 定时做当前系统的MD5校验，并做比对 w 入侵检测系统 后门活动有一定的规律 安装入侵检测系统，一定程度上能够发现后门 w 从CD-ROM启动 防止后门隐藏在引导区中 UNIX上的木马 w Trojan和Backdoor往往结合在一起 w Trojan技术 替换文件 隐藏进程 w DDoS，Worm Windows上的木马 传播方式 w Email 附件 嵌入HTML的脚本 指向恶意代码的链接 w 物理访问 软盘启动 启动文件 压缩文件 自动运行的CD-ROM Windows上的木马 传播方式（续上） w Web Sites 跟合法软件捆绑在一起 嵌入HTML页面本身 链接到其他恶意站点 贺卡站点 w Chat Rooms IRC, ICQ, AIM, ISP Chat Rooms Windows上的木马 伪装方式 w 修改图标 w 捆绑文件 w 出错显示 w 定制端口 w 自我销毁 Windows上的木马 w 与wind