常见的入侵攻击方法与手段

1、版权所有，盗版必纠李 剑 北京邮电大学信息安全中心 E-mail: 电话权所有，盗版必纠 2.1 信息系统的漏洞 2.2 信息系统的威胁 2.3 攻击概述 2.4 典型的攻击技术与方法版权所有，盗版必纠 据CNCERT/CC统计，2007 年上半年，CNCERT/CC 共发现8361个境外控制服务器对我国大陆地区的主机进行控制。美国计算机应急响应小组(CERT)发布的数据显示，2006年安全研究人员共发现了8064个软件漏洞，与2005年相比增加2074个。各种攻击行为是当前信息系统面临的主要安全威胁。具不完全统计，全球目前大约有26万个网站在介绍入侵与攻击的方法。

2、版权所有，盗版必纠 2.1.1 漏洞的概念漏洞的概念 信息系统本身的漏洞(Vulnerability)或脆弱性是诱发入侵攻击的主要原因，也是信息系统入侵攻击产生和发展不可回避的根源性原因之一。 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，它可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题，这些都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。版权所有，盗版

3、必纠 漏洞具体而言表现在以下几个方面： 1. 存储介质不安全 数据或者说信息的存储密度高，在一张磁盘或者一条磁带上可以存储大量信息，而此种存储介质极易被携带出去，并且容易被有意或者无意的损坏，不管哪种情况，都将造成大量信息的丢失。 2. 数据的可访问性 数据可以很容易地被拷贝下来而不留任何痕迹。一台远程终端用户可以访问到系统中的 所有数据，并可以按他的需要将其拷贝、删改或者破坏掉。 版权所有，盗版必纠 3. 信息的聚生性 当信息以分离的少量形式出现时，它的价值往往不大，但当将大量信息聚集在一起时，则显示出它的可比较性和重要性。而信息系统的根本特点之一，就是能将大量信息收集在一起，进行自动、高效

4、的处理，并进而产生有价值的结果。可以说，计算机信息系统内部信息 的这种聚生性特点导致了其被窃取的可能性大为增加。 4. 保密的困难性 由于计算机系统内的数据都是可用的，尽管可以利用许多方法在软件内设置一些关卡，但是对一个熟悉的人或者拥有更高水平的人来说，下些功夫就可以突破这些关卡，因此要想彻底保密是非常困难的。版权所有，盗版必纠 5. 介质的剩磁效应 存储介质中的信息有时是擦除不干净或者说是不能完全擦除的，会留下可读信息的痕迹，一旦被利用就会泄密。另外在大多数信息系统中，删除文件仅仅是将文件的文件名删除，并相应地释放存储空间，而文件的真正内容还原封不动地保留在存储介质上。利用这一特性窃取机密信

5、息的案件已有发生。 6. 电磁的泄露性 计算机设备工作时能够辐射出电磁波，任何人都可以借助仪器在一定的范围内收到它，尤其是利用高灵敏度仪器可以清晰地看到计算机正在处理的机密信息。版权所有，盗版必纠 7. 通信网络的脆弱性 连接信息系统的通信网络有不少弱点：通过未受保护的外部线路可以从外界访问到系统内部的数据；通信线路和网络可能被搭线窃听或者破坏等8. 软件的漏洞 在编写许多计算机软件的时候难免会出现一些漏洞等，特别是一些大型软件，如Windows操作系统。经常需要对Windows操作系统进行打补丁，以减少漏洞。版权所有，盗版必纠 1. 按漏洞可能对系统造成的直接威胁 可以大致分成以下几类，事实

6、上一个系统漏洞对安全造成的威胁远不限于它的直接可能性，如果攻击者获得了对系统的一般用户访问权限，他就极有可能再通过利用本地漏洞把自己升级为管理员权限： (1) 远程管理员权限 攻击者无须一个账号登录到本地直接获得远程系统的管理员权限，通常通过攻击以root身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出，少部分来自守护进程本身的逻辑缺陷。版权所有，盗版必纠 (2) 本地管理员权限 攻击者在已有一个本地账号能够登录到系统的情况下，通过攻击本地某些有缺陷的SUID程序，竞争条件等手段，得到系统的管理员权限。版权所有，盗版必纠 (3) 普通用户访问权限 攻击者利用服务器的漏洞，取

7、得系统的普通用户存取权限，对UNIX类系统通常是shell访问权限，对Windows系统通常是cmd.exe的访问权限，能够以一般用户的身份执行程序，存取文件。攻击者通常攻击以非root身份运行的守护进程，有缺陷的cgi程序等手段获得这种访问权限。版权所有，盗版必纠 (4) 权限提升 攻击者在本地通过攻击某些有缺陷的SGID程序，把自己的权限提升到某个非root用户的水平。获得管理员权限可以看作是一种特殊的权限提升，只是因为威胁的大小不同而把它独立出来。版权所有，盗版必纠 (5) 读取受限文件 攻击者通过利用某些漏洞，读取系统中他应该没有权限的文件，这些文件通常是安全相关的。这些漏洞的存在可能

8、是文件设置权限不正确，或者是特权进程对文件的不正确处理和意外dump core使受限文件的一部份dump到了core文件中。版权所有，盗版必纠 (6) 远程拒绝服务 攻击者利用这类漏洞，无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。版权所有，盗版必纠 (7) 本地拒绝服务 在攻击者登录到系统后，利用这类漏洞，可以使系统本身或应用程序崩溃。这种漏洞主要因为是程序对意外情况的处理失误，如写临时文件之前不检查文件是否存在，盲目跟随链接等。版权所有，盗版必纠 (8) 远程非授权文件存取 利用这类漏洞，攻击可以不

9、经授权地从远程存取系统的某些文件。这类漏洞主要是由一些有缺陷的cgi程序引起的，它们对用户输入没有做适当的合法性检查，使攻击者通过构造特别的输入获得对文件存取。版权所有，盗版必纠 (9) 口令恢复 因为采用了很弱的口令加密方式，使攻击者可以很容易的分析出口令的加密方法，从而使攻击者通过某种方法得到密码后还原出明文来。版权所有，盗版必纠 (10) 欺骗 利用这类漏洞，攻击者可以对目标系统实施某种形式的欺骗。这通常是由于系统的实现上存在某些缺陷。版权所有，盗版必纠 (11) 服务器信息泄露 利用这类漏洞，攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷，一般是对

10、错误的不正确处理。 (12) 其它 虽然以上的几种分类包括了绝大多数的漏洞情况，可还是有可能存在一些上面几种类型无法描述的的漏洞，把它们归到这里。版权所有，盗版必纠 按漏洞的成因按漏洞的成因 (1) 输入验证错误 大多数的缓冲区溢出漏洞和CGI类漏洞都是由于未对用户提供的输入数据的合法性作适当的检查。 (2) 访问验证错误 漏洞的产生是由于程序的访问验证部分存在某些可利用的逻辑错误，使绕过这种访问控制成为可能。上面提到的那个早期AIX的rlogin漏洞就是这种典型。 (3) 竞争条件 漏洞的产生在于程序处理文件等实体时在时序和同步方面存在问题，这处理的过程中可能存在一个机会窗口使攻击者能够施以

11、外来的影响。版权所有，盗版必纠(4) 意外情况处置错误漏洞的产生在于程序在它的实现逻辑中没有考虑到一些意外情况，而这些意外情况是应该被考虑到的。(5) 设计错误这个类别是非常笼统的，严格来说，大多数的漏洞的存在都是设计错误，因此所有暂时无法放入到其他类别的漏洞，先放在这。(6) 配置错误漏洞的产生在于系统和应用的配置有误，或是软件安装在错误的地方，或是错误的配置参数，或是错误的访问权限，策略错误。(7) 环境错误由一些环境变量的错误或恶意设置造成的漏洞。如攻击者可能通过重置shell的内部分界符IFS，shell的转义字符，或其它环境变量，导致有问题的特权程序去执行攻击者指定的程序。上面提到的

12、RedHat Linux的dump程序漏洞就是这种类型。版权所有，盗版必纠 (9) 口令恢复 因为采用了很弱的口令加密方式，使攻击者可以很容易的分析出口令的加密方法，从而使攻击者通过某种方法得到密码后还原出明文来。 (10) 欺骗 利用这类漏洞，攻击者可以对目标系统实施某种形式的欺骗。这通常是由于系统的实现上存在某些缺陷。 (11) 服务器信息泄露 利用这类漏洞，攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷，一般是对错误的不正确处理。 (12) 其它 虽然以上的几种分类包括了绝大多数的漏洞情况，可还是有可能存在一些上面几种类型无法描述的的漏洞，把它们归到

13、这里。版权所有，盗版必纠 (版权所有，盗版必纠 总结起来，大致有下面几种主要威胁： 1非人为、自然力造成的数据丢失、设备失效、线路阻断； 2人为但属于操作人员无意的失误造成的数据丢失； 3来自外部和内部人员的恶意攻击和入侵。版权所有，盗版必纠 具体来说，信息系统的安全主要面临以下威胁： 1. 计算机病毒 伴随着计算机技术的推广普及，计算机病毒也在不断地发展演变，其危害越来越大。目前的特点是：流行广泛、种类繁多、潜伏期长、破坏力大，对计算机信息系统的安全构成了长期与现实的威胁。 2. 黑客入侵 通过技术手段，非法侵入计算机信息系统，获取秘密信息或有选择地破坏信息的有效性与完整性。这是当前计算机信

14、息系统所面临的最大威胁，敌方攻击和计算机犯罪主要采取这一类手法。 3. 信号截取 通过截收的手段，监听计算机、网络设备的电磁信号和声像外露信号来获取秘密信息。版权所有，盗版必纠 4. 介质失密 通过窃取信息存储介质(如涉密的软盘、硬盘、光盘、笔记本电脑等)来获取秘密信息。 5. 系统漏洞 利用计算机操作系统、信息管理系统、网络系统等的安全漏洞，进行窃密与破坏活动。各类软件系统总是存在一些缺陷或漏洞，有些是疏忽造成的，有些则是软件公司为了自便而设置的，这些漏洞或“后门”一般不为人知，但一旦洞开，后果将不堪设想。版权所有，盗版必纠 6. 非法访问 外部人员利用非法手段进入安全保密措施不强的计算机信

15、息系统，对系统内的信息进行修改、破坏和窃取。 7. 人为因素 个别人员利用合法身份与国外的网络非法链接，造成失泄密。 8. 遥控设备 敌方可以利用对方信息系统中某些设备里暗藏的遥控器材或芯片，刺探其计算机信息系统中的秘密信息，或扰乱系统的正常工作。版权所有，盗版必纠 2.3.1 黑客根据我国现行法律的有关规定，对黑客可以给出两个定义：一是广义的黑客，是指利用计算机技术，非法侵入或者擅自操作他人(包括国家机关、社会组织和个人，下同)计算机信息系统，对电子信息交流安全具有不同程度的威胁性和危害性的人；二是狭义的黑客，是指利用计算机技术，非法侵入并擅自操作他人计算机信息系统，对系统功能、数据或者程序

16、进行干扰、破坏，或者非法侵入计算机信息系统并擅自利用系统资源，实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的人。狭义的黑客包括在广义的黑客之中，前者基本上是计算机犯罪的主体，后者的行为不一定都构成犯罪。 版权所有，盗版必纠 一种是主动攻击，主动攻击会造成网络系统状态和服务的改变。它以各种方式有选择地破坏信息的有效性和完整性，这就是纯粹的信息破坏，这样的网络侵犯者被称为积极侵犯者，积极侵犯者截取网上的信息包，并对其进行更改使它失效，或者故意添加一些有利于自己的信息，起到信息误导的作用，或者登录进入系统使用并占用大量网络资源，造成资源的消耗，损害合法用户的利益，积极侵犯者的破坏作用

17、最大。版权所有，盗版必纠 另一种是被动攻击被动攻击，被动攻击不直接改变网络状态和服务。它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息，这种仅窃听而不破坏网络中传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏版权所有，盗版必纠 1. 隐藏自己 常见的攻击者隐藏自身的方式有以下几种：从已经取得控制权的主机上通过telnet或rsh跳跃。 从windows主机上通过wingates等服务进行跳跃。 利用配置不当的代理服务器进行跳跃。 利用电话交换技术先通过拨号找寻并连入某台主机，然后通过这台主机再连入internet来跳跃。版

18、权所有，盗版必纠 2. 踩点或预攻击探测 这步的主要任务是收集有关要攻击目标的有用的信息。这些信息包括目标计算机的硬件信息、目标计算机的用户信息、存在的漏洞等。 3. 采取攻击行为 在攻击探测中如果攻击者发现目标机器系统有可以被利用的漏洞或弱点，则立即采取攻击行为。在此过程中具体采用的攻击行为要视目标机器系统而定，目前较流行的手段有暴力破解、缓冲区益出、跨站脚本、拒绝服务、欺骗等。版权所有，盗版必纠 4. 清除痕迹 攻击者清除攻击痕迹的方法主要是清除系统和服务日志。有些工具可以清除日志，如THC提供的cleara.c。cleara.c可以清除utmp/utmpx，wtmp/wtmpx，修复la

19、stlog让其仍然显示该用户的上次登陆信息。有时攻击者会自己对日志文件进行修改，不同的unix版本的日志存储位置不同。版权所有，盗版必纠 1 防防 火火 墙墙 ,入入 侵侵 监监 测测 ， 防防 病病 毒毒 ， 漏漏 洞洞 扫扫 描描 ,安安 全全 意意 识识 等等 Ping地 址 端 口 扫 描 口 令 猜 测 M ail用 户 猜 测 M ail附 件 Buffer Overflows ActiveX Controls 网 络 安 装 压 缩 信 息 （ 文 件 ） 后 门 （ Backdoors） 创 建 新 文 件 修 改 现 有 文 件 注 册 表 设 置 安 装 新 服 务 注 册

20、Trap Doors 攻 击 的M ail拷 贝 W eb连 接 IRC FTP 感 染 文 件 共 享 删 除 文 件 修 改 文 件 产 生 安 全 后 门 Crash Com puter DoS 机 密 信 息 窃 取 探 测 （ Probe） 渗 透 （ Penetrate） 驻 留 （ Persist） 传 播 （ Propagate） 瘫 痪 （ Paralyze） 版权所有，盗版必纠 2.4.1 预攻击扫描探测预攻击探测技术主要可以分为Ping扫描、操作系统识别扫描、端口扫描以及漏洞扫描等。Ping扫描用于发现攻击目标；操作系统识别扫描就是对目标主机运行的操作系统进行识别；而端口

21、扫描用于查看攻击目标处于监听或运行状态的服务；漏洞扫描就是扫描对方系统有什么漏洞可以利用。版权所有，盗版必纠 1. Ping 扫描 Ping是一个DOS命令，它的用途就是用来检测网络的连通情况和分析网络速度的。作为一个生活在网络上的管理员或者黑客来说，Ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：网络上的机器都有唯一确定的IP地址，给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包就可以确定目标主机的存在，可以初步判断目标主机的操作系统、可以知道与对方计算机联接的速度等。版权所有，盗版必纠 1. Ping 扫描 。版权所有，盗版必纠 Ping命

22、令使用的是网络层的ICMP协议，现在Windows 下的Ping工具很多，比如Pinger、Ping Sweep、WS_Ping ProPack等。如图2.8所示为采用Pinger工具来对一个网段进行探测的界面。版权所有，盗版必纠 2. 端口扫描 端口扫描是一个用来查找网络主机开放端口的软件，正确使用它，能够起到防止端口攻击的作用。管理员们可用它来执行端口扫描测试。对一台主机进行端口扫描也就意味着在目标主机上扫描各种各样的监听端口。它也是黑客的常用的方法。版权所有，盗版必纠 常用的端口扫描工具有很多，WinScan，SuperScan等。如图所示为使用SuperScan进行端口扫描。版权所有，

23、盗版必纠 3. 操作系统识别扫描 黑客入侵中比较关键的环节就是操作系统的识别与扫描。识别出操作系统的类型后，就有得黑客实施针对性的攻击。操作系统扫描的工具和方法有很多，如图2.10所示为采用工具Winfingerprint扫描工具来扫描操作系统类型。版权所有，盗版必纠 4. 漏洞扫描漏洞扫描主要是扫描出操作系统或网络当中存在什么样的漏洞，并给出详细漏洞报告,引导用户到相关站点下载最新系统漏洞补丁程序，确保系统永远的处在最安全的状态下，以减少攻击的可能性。现在有许多漏洞扫描工具可用，比如流光，Nessus、SSS(Shadow Security Scanner)等。下面以SSS扫描工具为例介绍预

24、攻击探测技术。版权所有，盗版必纠 4. 漏洞扫描版权所有，盗版必纠 密码破解是用以描述在使用或不使用工具的情况下渗透网络、系统或资源以解锁用密码保护的资源的一个术语。一般的密码破解不一定涉及复杂的技术手段。有人甚至这样形象地说过：“密码破解与找一张写有密码的贴纸一样简单，而这张纸就贴在显示器上或者藏在键盘底下。”根据不同情况运用不同的方法和一些小工具，密码就可以迎刃而解。 常见的密码破解有三种方式，即：字典攻击、混合攻击和暴力攻击。常见的码破解有账户密码破解、文件密码破解、邮箱密码破解、通信信息密码破解等。密码破解工具也有许多，如LC5账号破解、黑雨邮箱破解器、网络嗅探器等。下面分别对这三种典

25、型密码破解工具做简单介绍。版权所有，盗版必纠 1. LC5账号密码破解账号密码破解 版权所有，盗版必纠 2. 黑雨邮箱破解器破解邮箱密码版权所有，盗版必纠 3. 网络嗅探器Sniffer软件是NAI公司推出的功能强大的协议分析软件，使用这类网络嗅探器软件可以嗅探到通过网络上传播的一些密码。如图2.14所示为使用Sniffer软件嗅探到的网络上的密码。版权所有，盗版必纠 导致内存缓冲区溢出问题的原因有很多，比如： (1) 使用非类型安全(non-type-safe)的语言如 C/C+ 等。 (2) 以不可靠的方式存取或者复制内存缓冲区。 (3) 编译器设置的内存缓冲区太靠近关键数据结构。 版权所

26、有，盗版必纠 1. IP欺骗攻击欺骗攻击 IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的前提。 版权所有，盗版必纠 2. ARP欺骗攻击欺骗攻击地址解析协议（ARP，Address Resolution Protocol）是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用，其主要用作将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种

27、方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。版权所有，盗版必纠 1. 拒绝服务攻击概述 拒绝服务(DoS，Denial of Service)攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。 版权所有，盗版必纠 2. 拒绝服务攻击原理 (1) SYN Foold攻击 SYN Flood是当前最流行的DoS与DDoS(Distributed Denial Of Service分

28、布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 版权所有，盗版必纠 (2) IP欺骗DOS攻击 这种攻击利用RST位来实现。假设现在有一个合法用户(1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击时，攻击者会伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务，从而实现了对受害服务器的拒绝服务攻击。版权所有，盗版必纠 (3) UDP洪水攻击 攻击者利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间存在很多的无用数据流，这些无用数据流就会导致带宽的服务攻击。版权所有，盗版必