安全培训-网络攻击

1、网络攻击网络入侵的步骤w (简单服务失效攻击)w 获取目标系统信息w 从远程获取系统的部分权利w 从远程获取系统的特权w 清除痕迹w 留后门w 破坏系统常见网络攻击DoS常见网络攻击 DoSw 消耗有限资源网络链接带宽消耗其他资源 处理时间 磁盘空间 账号封锁w 配置信息的改变DoS分类w Syn floodw 其他flood（smurf等）w 分布式DoS(DDoS)Syn flood 攻击原理w 攻击TCP协议的实现攻击者不完成TCP的三次握手服务器显示TCP半开状态的数目w 与带宽无关w 通常使用假冒的源地址给追查带来很大的困难TCP Three-Way HandshakeSYNClie

2、nt wishes to establish connectionSYN-ACKServer agrees to connection requestACKClient finishes handshakeClient initiates requestConnection is now half-openClient connection EstablishedServer connection EstablishedClient connecting to a TCP portSYN Flood IllustratedClient spoofs requesthalf-openShalf-

3、openShalf-openSQueue filledSQueue filledSQueue filledSSASASAClient SYN FloodSyn flood攻击实例w 服务器很容易遭到该种攻击w 教育网内某著名站点曾遭受该攻击的困扰SYN Flood Protectionw Cisco routersTCP 截取 截取SYN报文，转发到server 建链成功后在恢复client与server的联系w Checkpoint Firewall-1SYN Defender 与Cisco 路由器的工作原理累死w 攻击者依然可以成功耗尽路由器或者防火墙的资源TCP Intercept Il

4、lustratedRequest connectionAnswers for serverSSAFinishes handshakeARequest connectionServer answersSSAFinishes handshakeAKnit half connectionsSYN Flood Preventionw 增加监听队列长度依赖与操作系统的实现w 将超时设短半开链接能快速被淘汰有可能影响正常使用w 采用对该攻击不敏感的操作系统BSDWindowsSmurf 攻击原理w 一些操作系统的实现会对目的地址是本地网络地址的ICMP应答请求报文作出答复。w 以网络地址为目标地址发送IC

5、MO应答请求报文，其中很多主机会作出应答。w 攻击者将ICMP报文源地址填成受害主机，那么应答报文会到达受害主机处，造成网络拥塞。Smurf Attack IllustratedICMP Echo RequestSrc: targetDest: 10.255.255.25510.1.1.1Attacker spoofs address10.1.1.210.1.1.310.1.1.4Amplifier:Every host repliesSmurf攻击的预防w 关闭外部路由器或防火墙的广播地址特性；防止目标地址为广播地址的ICMP报文穿入。w 成为smurf攻击的目标，需要在上级网络设备上做报文

6、过滤。分布式DoS(Distributed DOS)w 从多个源点发起攻击堵塞一个源点不影响攻击的发生w 采用攻击二级结构攻击控制用的称为 handlers发起攻击用的 agents攻击目标为targetsDDOS IllustratedClientAgentHandlerAgentAgentHandlerAgentAgentAgentDDoS攻击w 目前没有 很好的预防方法w DDoS攻击开销巨大w 但是一般主机不可能成为DDoS的目标Yahoo曾经遭受过DDoS攻击Sadmind/unicode蠕虫为DDoS做准备针对主机的攻击w 缓冲区溢出w 后门和木马w 蠕虫、病毒缓冲区溢出w 程序收

7、到的参数比预计的长程序的栈结构产生混乱w 任意输入会导致服务器不能正常工作w 精心设计的输入会导致服务器程序执行任意指令Buffer Overflow Illustratedmain() show (“THIS IS MORE THAN 24 CHARACTERS!”);show(char*p) strbuff24; strcpy(strbuf,p);Stackmain() datamain() returnSaved registerShow() dataStrbuf24 bytesstrcpy() returnE R S ! T H I S. I S . M O R E. T H AN .

8、 2 4. C H AR A C T Return address corrupt缓冲区溢出的预防w 联系供应商下载和安装相关的补丁程序w 如果有源代码自己修改源代码，编译安装后门和木马w 应用背景：攻入系统之后，为以后方便、隐蔽的进入系统，有时候攻击者会在系统预留后门。w Trojan horse: A program that appears to serve one purpose, but it reality performs an unrelated (and often malicious) task.What is back door?w Back door: hole in

9、the security of a system deliberately left in place by designers or maintainersn 应用背景：攻入系统之后，为以后方便、隐蔽的进入系统，有时候攻击者会在系统预留后门。常用后门技术获得系统控制权之后，可以做什么？w 修改系统配置w 修改文件系统w 添加系统服务后门技术通常采用以上的手段或其组合。后门技术w 后门一般是在进入系统之后，为方便以后控制系统而做的对系统的修改。w 通过改动系统配置、修改文件系统、启动系统服务达到留后门的效果w 后门通常具有一定的隐蔽性后门隐藏技术后门技术(UNIX)w 嵌入内核w 修改系统配置

10、w 启动服务Rc.dCroninetd后门技术(Windows)w 注册表HKEY_LOCAL_MACHINE.RunHKEY_LOCAL_MACHINE.RunServicesw *.INI文件（系统启动配置文件）w Autoexec.bat和Config.sysw 系统boot区后门、木马的检测和预防w MD5 基线给干净系统文件做MD5校验定时做当前系统的MD5校验，并做比对w 入侵检测系统后门活动有一定的规律安装入侵检测系统，一定程度上能够发现后门w 从CD-ROM启动防止后门隐藏在引导区中UNIX上的木马w Trojan和Backdoor往往结合在一起w Trojan技术替换文件隐藏进程w DDoS，WormWindows上的木马 传播方式w Email附件 嵌入HTML的脚本 指向恶意代码的链接 w 物理访问软盘启动启动文件压缩文件自动运行的CD-ROMWindows上的木马 传播方式（续上）w Web Sites跟合法软件捆绑在一起嵌入HTML页面本身 链接到其他恶意站点贺卡站点w Chat RoomsIRC, ICQ, AIM, ISP Chat Rooms Windows上的木马 伪装方式w 修改图标w 捆绑文件 w 出错显示w 定制端口w 自我销毁Windows上的木马w 与wind