网络攻防实战演练(ppt)课件

1、网络攻防实战演练(ppt)网络攻防技术or网络侦查与审计技术网络侦查审计的三个阶段侦 查渗 透控 制定位出网络资源的具体情况 检查各种系统的漏洞 控制网络资源、创建账号、修改日志、行使管理员的权限 第一节：侦查阶段第一节：侦查阶段本节要点：描述侦查过程识别特殊的侦查方法安装和配置基于网络和基于主机的侦查软件实施网络级和主机级的安全扫描配置和实施企业级的网络漏洞扫描器安全扫描的概念理解 安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。 安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。 安全扫描是保证系统和

2、网络安全必不可少的手段，必须仔细研究利用。安全扫描的检测技术基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。 基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。 安全扫描系统具有的功能说明 协调了其它的安全设备使枯燥的系统安全信息易于理解，告诉了你系统发生的事情跟踪用户进入，在系统中的行为和离开的信息可以报告和识别文件的改动纠正系统的错误设置安全扫描whoisnslook

3、uphostTraceroutePing扫描工具安全扫描常用命令Traceroute命令用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等可以推测出网络物理布局判断出响应较慢的节点和数据包在路由过程中的跳数Traceroute 或者使用极少被其它程序使用的高端UDP端口，或者使用PING数据包Traceroute 路由跟踪原理TTL=1数据?TTL-10小于等于0ICMP time exceeded发IP包的源地址IP包的所有内容路由器的IP地址ABTraceroute 路由跟踪原理TTL=1数据小于等于0ICMP time exceeded发IP包的源地址IP包的所有

4、内容路由器的IP地址AB我知道路由器A存在于这个路径上路由器A的IP地址BTraceroute 路由跟踪原理A我知道路由器A存在于这个路径上路由器A的IP地址TTL=2数据?TTL-102-1=10TTL=1数据小于等于0ICMP time exceeded发IP包的源地址IP包的所有内容路由器的IP地址?TTL-10我知道路由器B存在于这个路径上路由器B的IP地址BTraceroute 路由跟踪原理A我知道路由器A存在于这个路径上路由器A的IP地址TTL=3数据?TTL-103-1=20TTL=2数据我知道路由器B存在于这个路径上路由器B的IP地址?TTL-102-1=10TTL=1数据po

5、rt number 是一个一般应用程序都不会用的号码（30000 以上），所以当此数据包 到达目的地后该主机会送回一个ICMP port unreachable的消息，而当源主机收到这个消息时，便知道目的地已经到达了。ICMP port unreachable我到达了目的地普通Traceroute到防火墙后的主机假定防火墙的规则阻止除PING和PING响应（ICMP类型8和0）uniwistraceroute traceroute to (05), 30 hops max, 40 byte packets1 () 0.540 ms 0.394 ms 0.397 ms2 () 2.455 ms

6、2.479 ms 2.512 ms3 4 (4) 4.812 ms 4.780 ms 4.747 ms4 () 5.010 ms 4.903 ms 4.980 ms5 15 (15) 5.520 ms 5.809 ms 6.061 ms6 6 (15) 9.584 ms 21.754 ms 20.530 ms7 () 94.127 ms 81.764 ms 96.476 ms8 6 (6)96.012 ms 98.224 ms 99.312 ms 使用ICMP数据包后Traceroute结果xuyitraceroute -I traceroute to (05), 30 hops max, 4

7、0 byte packets1 () 0.540 ms 0.394 ms 0.397 ms2 () 2.455 ms 2.479 ms 2.512 ms3 4 (4) 4.812 ms 4.780 ms 4.747 ms4 () 5.010 ms 4.903 ms 4.980 ms5 15 (15) 5.520 ms 5.809 ms 6.061 ms6 6 (15) 9.584 ms 21.754 ms 20.530 ms7 () 94.127 ms 81.764 ms 96.476 ms8 6 (6) 96.012 ms 98.224 ms 99.312 ms 使用ICMP的Tracero

8、ute原理由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端口为其接受的端口，就可以绕过防火墙到达目标主机。 起始端口号计算公式起始端口号=(目标端口-两机间的跳数*探测数据包数)-1例：防火墙允许FTP数据包通过，即开放了21号端口,两机间跳数为2 起始端口号（ftp端口两机间的跳数*默认的每轮跳数)1 （212*3）-1 151 14 扫描类型按照获得结果分类存活性扫描端口扫描系统堆栈扫描按照攻击者角色分类主动扫描被动扫描一、存活性扫描发送扫描数据包，等待对方的回应数据包其最终结果并不一定准确，依赖于网络边界设备的过滤策略最常用的探测包是ICMP数据包例如发送方发送ICMP

9、Echo Request，期待对方返回ICMP Echo ReplyPing扫描作用及工具子网68024结果02468Ping扫描Ping扫描程序能自动扫描你所指定的IP地址范围 二、端口扫描端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口 Netscan tools扫描结果 端口扫描技术一览探测分段，指向某一端口回应分段对回应分段进行分析对SYN分段的回应对FIN分段的回应对ACK分段的回应对Xmas分段的回应对Null分段的回应对RST分段的回应对UDP数据报的回应端口扫描原理 一个端口就是一个潜在的通信通道，即入侵通道对目标计算机进行端口扫描，得到有用的信息扫描

10、的方法：手工进行扫描端口扫描软件OSI 参考模型ApplicationPresentationSessionTransportNetworkData LinkPhysicalData LinkNetworkTransportSessionPresentationApplicationPhysical比特流帧（Frame）包（Packet）分段（Segment）会话流代码流数据TCP/IP协议簇传输层数据连路层 网络层物理层应用层会话层表示层应用层传输层网络层物理层HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RAR

11、P等IP协议包头VERHDR.LTHSERVICEDATADRAM LENGTHDATAGRAM IDENTIFICATIONFLAGSFRAGMENT OFFSETTTLPROTOCOLHEADER CHECKSUMSOURCE ADDRESSDESTINATION ADDRESSOPTIONS0151631ICMP协议包头Type(类型)Code（代码）Checksum（校验和）ICMP Content078151631TCP协议包头Source port (16)Destination port (16)Sequence number (32)Headerlength (4)Acknow

12、ledgement number (32)Reserved (6)Code bits (6)Window (16)Checksum (16)Urgent (16)Options (0 or 32 if any)Data (varies)Bit 0Bit 15Bit 16Bit 3120 bytesUDP协议包头Source PortLength0151631DataDestination PortChecksumTCP三次握手机制SYN received主机A：客户端主机 B：服务端发送TCP SYN分段 (seq=100 ctl=SYN)1发送TCP SYN&ACK分段(seq=300 ac

13、k=101 ctl=syn,ack)SYN received2Established(seq=101 ack=301 ctl=ack)3TCP连接的终止主机A：客户端主机 B：服务端1发送TCP FIN分段2发送TCP ACK分段3发送TCP FIN分段4发送TCP ACK分段关闭A到B的连接关闭B到A的连接TCP/IP相关问题 一个TCP头包含6个标志位。它们的意义如下所述：SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接；FIN：表示发送端已经没有数据要求传输了，希望释放连接；RST：用来复位一个

14、连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包；URG：为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效；ACK：为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效；PSH：如果置位，接收端应尽快把数据传送给应用层。大部分TCP/IP遵循的原则(1)SYN数据包 监听的端口SYN | ACK 正常的三次握手开始大部分TCP/IP遵循的原则(2)SYN或者FIN数据包 关闭的端口RST数据包 丢弃数据包大部分TCP/IP遵循的原则(3)RST数据包 监听的端口

15、丢弃RST数据包大部分TCP/IP遵循的原则(4)包含ACK的数据包 监听的端口RST数据包 丢弃数据包大部分TCP/IP遵循的原则(5)SYN位关闭的数据包 监听的端口丢弃数据包大部分TCP/IP遵循的原则(6)FIN数据包 监听的端口丢弃数据包 端口扫描方式全TCP连接TCP SYN 扫描TCP FIN 扫描其它TCP扫描方式UDP扫描UDP recvfrom（）和write （）扫描秘密扫描技术间接扫描全TCP连接长期以来TCP端口扫描的基础 扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接 连接由系统调用connect()开始 对于每一个监听端口，connect()会获得

16、成功，否则返回1，表示端口不可访问 很容易被检测出来Courtney,Gabriel和TCPWrapper监测程序通常用来进行监测。另外，TCPWrapper可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。TCPSYN扫描TCP SYN分段，指向某端口？该端口开放么？开放TCP SYN&ACK分段不开放TCP RST分段收到什么分段？TCP RSTTCP SYN&ACKTCPFIN扫描 TCP FIN分段，指向某端口？该端口开放么？开放不开放TCP RST分段收到什么分段？TCP RST没有收到分段其他TCP扫描方式 NULL扫描发送一个没有任何标志位的TCP包，根据RFC

17、 793，如果目标主机的相应端口是关闭的话，应该发送回一个RST数据包向目标主机发送一个FIN、URG和PUSH分组，根据RFC 793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志当一个包含ACK的数据包到达目标主机的监听端口时，数据包被丢弃，同时发送一个RST数据包ACK扫描FIN+URG+PUSH（Xmas扫描）UDP扫描 使用的是UDP协议，扫描变得相对比较困难打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。然而，许多主机在向未打开的UDP端口发送数据包时，会返回一个ICMP_PORT_UNREACHABLE错误，即类型为3、代码为13的IC

18、MP消息UDP和ICMP错误都不保证能到达，因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输这种扫描方法是很慢的，因为RFC对ICMP错误消息的产生速率做了规定这种扫描方法需要具有root权限UDPrecvfrom()和write()扫描 当非root用户不能直接读到端口不能到达错误时，某些系统如Linux能间接地在它们到达时通知用户。 在非阻塞的UDP套接字上调用recvfrom()时，如果ICMP出错还没有到达时回返回AGAIN重试。如果ICMP到达时，返回CONNECT REFUSED连接被拒绝。这就是用来查看端口是否打开的技术。 对一个关闭的端口的第二个write()调用将

19、失败。秘密扫描技术 不含标准TCP三次握手协议的任何部分，比SYN扫描隐蔽得多FIN数据包能够通过只监测SYN包的包过滤器秘密扫描技术使用FIN数据包来探听端口Xmas和Null扫描秘密扫描的两个变种Xmas扫描打开FIN，URG和PUSH标记而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤秘密扫描通常适用于UNIX目标主机跟SYN扫描类似，秘密扫描也需要自己构造IP包间接扫描利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP假定参与扫描过程的主机为扫描机，隐藏机，目标机。扫描机和目标机的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能

20、发送任何数据包（除了与扫描有关的包） 端口扫描软件 端口扫描器是黑客最常使用的工具 单独使用的端口扫描工具 集成的扫描工具三、系统堆栈指纹扫描利用TCP/IP来识别不同的操作系统和服务 向系统发送各种特殊的包，根据系统对包回应的差别，推断出操作系统的种类堆栈指纹程序利用的部分特征 ICMP错误信息抑制服务类型值(TOS)TCP/IP选项对SYN FLOOD的抵抗力TCP初始窗口 堆栈指纹的应用 利用FIN探测利用TCP ISN采样使用TCP的初始化窗口ICMP消息抑制机制ICMP错误引用机制ToS字段的设置 DF位的设置ICMP错误信息回显完整性 TCP选项 ACK值 利用 FIN 标记探测F

21、IN的包（或者是任何没有ACK或SYN标记的包）开放端口是否是MS-WINDOWS，BSDI，CISCO， HP/UX，MVS和IRIX系统RESET 是 否利用BOGUS标记探测SYN包（含有没有定义的TCP标记的TCP头）开放端口是否是LINUX系统包含这个没有定义的标记的数据包是 否关闭连接使用TCP的初始化窗口 简单地检查返回包里包含的窗口长度。根据各个操作系统的不同的初始化窗口大小来唯一确定操作系统类型：注：TCP使用滑动窗口为两台主机间传送缓冲数据。每台TCP/IP主机支持两个滑动窗口，一个用于接收数据，另一个用于发送数据。窗口尺寸表示计算机可以缓冲的数据量大小。NMAP工具 功能

22、强大、不断升级并且免费 对网络的侦查十分有效它具有非常灵活的TCP/IP堆栈指纹引擎 它可以穿透网络边缘的安全设备 注： NMAP穿透防火墙的一种方法是利用碎片扫描技术（fragment scans），你可以发送隐秘的FIN包（-sF），Xmas tree包（-sX）或NULL包（-sN）。这些选项允许你将TCP查询分割成片断从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。四、其它扫描 共享扫描软件 使用Telnet 使用SNMP 认证扫描代理扫描社会工程共享扫描软件提供了允许审计人员扫描Windows网络共享的功能 只能侦查出共享名称，但不会入侵共享 Ping ProRedBut

23、ton 共享扫描软件子网60结果0 ：home，data6：files，apps共享扫描共享目录Filesapps共享目录homedata使用Telnet是远程登录系统进行管理的程序 可以利用Telnet客户端程序连接到其它端口，从返回的报错中获得需要的系统信息使用SNMP SNMPv1最普通但也最不安全它使用弱的校验机制用明文发送community nameSNMP 信息暴露 企业级的扫描工具扫描等级配置文件和策略报告功能报告风险等级Axcent BetReconFinger服务漏洞；GameOver（远程管理访问攻击）未授权注销禁止服务漏洞，包括SMTP、DNS、FTP、HTTP、SOCK

24、S代理和低的sendmail补丁等级 企业级的扫描工具Network Associates CyberCop Scanner 是Network Associates的产品，象NetRecon一样，CyberCop Scanner是一个主机级别的审计程序。也把各种漏洞分类为低、中、高三个等级提 示：CyberCop Monitor不是网络扫描器，它是入侵监测系统程序，能够对黑客活动进行监视，提供报警功能，还能惩罚黑客。企业级的扫描工具WebTrends Security Analyzer与UNIX搭配使用多年操作界面也简单易用Internet Security Systems的扫描产品ISS I

25、nternet Scanner有三个模块：intranet，firewall和Web服务器 程序的策略是希望将网络活动分类，并针对每种活动提供一种扫描方案ISS Security Scanner基于主机的扫描程序 社会工程电话访问欺骗信任欺骗 教 育 电话访问一位新的职员寻求帮助，试图找到在计算机上完成某个特定任务的方法一位愤怒的经理打电话给下级，因为他的口令突然失效一位系统管理员打电话给一名职员，需要修补它的账号，而这需要使用它的口令一位新雇佣的远程管理员打电话给公司，询问安全系统的配置资料一位客户打电话给供应商，询问公司的新计划，发展方向和公司主要负责人信任欺骗当电话社交工程失败的时候，攻

26、击者可能展开长达数月的信任欺骗典型情况通过熟人介绍，来一次四人晚餐可以隐藏自己的身份，通过网络聊天或者是电子邮件与之结识伪装成工程技术人员骗取别人回复信件，泄漏有价值的信息一般说来，有魅力的异性通常是最可怕的信任欺骗者，不过不论对于男性还是女性，女性总是更容易令人信任防范措施教 育网络安全中人是薄弱的一环作为安全管理人员，避免员工成为侦查工具的最好方法是对他们进行教育。提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。扫描目标网络级别的信息信 息描 述网络拓扑安全审计人员首先应当搞清楚网络的类型（以太网，令牌环等等），IP地址范围，子网和其它网络信息。配线架的

27、位置也很重要。作为安全管理人员，你的目标是利用防火墙、代理服务器等设备保护这些信息。路由器和交换机掌握路由器和交换机的种类对分析网络安全十分重要，你可以是路由器泄漏信息。防火墙种类大多数的网络都有防火墙。如果你能够访问防火墙，便可以侦查它并寻找相应的漏洞。IP服务最基本的服务包括DHCP，BOOTP，WINS，SAMBA，和DNS。DNS服务特别容易遭受缓冲区溢出的攻击。Modem池也许最流行的绕过防火墙是做法是通过modem连接再附以Man-in-the-middle攻击和包捕获。War dialer是在Internet上寻找网络连接的重要的审计工具。扫描目标主机级别的信息信 息描 述活动端

28、口你应该了解服务器上有那些端口是活动的。HTTP和FTP服务是最容易遭受端口扫描的服务，而且黑客会进一步实施缓冲区溢出攻击。数据库数据库类型（例如Oracle,Microsoft SQL Server和IBM DB2），物理位置和应用协议都很有价值。服务器服务器类型是非常有价值的信息。一旦你确定了服务器的种类是Microsoft或UNIX，便可以有针对性的利用系统的缺省设置和补丁侦查登录账户名称，弱口令和低的补丁等级。安全扫描技术的发展趋势使用插件（plugin）或者叫功能模块技术使用专用脚本语言由安全扫描程序到安全评估专家系统对网络进行安全评估DMZ E-Mail File Transfer

29、 HTTPIntranet生产部工程部市场部人事部路由Internet中继安全弱点扫描通讯 & 应用服务层可适应性安全弱点监测和响应DMZ E-Mail File Transfer HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继安全弱点扫描操作系统层对于DMZ区域的检测DMZ E-Mail File Transfer HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继应用程序层安全弱点扫描第二节：渗透阶段重点内容：服务器渗透与攻击技术本节要点： 讨论渗透策略和手法 列举潜在的物理、操作系统和TCP/IP堆栈攻击 识别和分析暴力攻击

30、、社会工程和拒绝服务攻击 实施反渗透和攻击的方法入侵和攻击的范畴 在Internet上 在局域网上 本地 离线在Internet上协作攻击：Internet允许全世界范围的连接，这很容易使来自全世界的人们在一个攻击中进行合作参与。会话劫持：在合法的用户得到鉴别可以访问后，攻击者接管一个现存动态会话的过程。欺骗：欺骗是一种模仿或采取不是自己身份的行为。转播：是攻击者通过第三方的机器转播或反射他的通信，这样攻击就好象来自第三方的机器而不是他。特洛伊木马或病毒：特洛伊木马的常见用途是安装后门。在局域网上嗅探流量：观察网络上所有流量的被动攻击。广播：攻击者发送一个信息包到广播地址，以达到产生大量流量的

31、目的。文件访问：通过找到用户标识和口令，可以对文件进行访问。远程控制：通过安装木马实现对机器的远程控制。应用抢劫：接收应用并且达到非授权访问。在本地旁侧偷看未上锁的终端被写下的口令拔掉机器本地登录离线下载口令文件下载加密的文本复制大量的数据常见的攻击方法1.欺骗攻击(Spoofing) 3.拒绝服务(Denial of Service)攻击 2.中间人攻击(Man-in-the-Middle Attacks)4.缓冲区溢出（Buffer Overflow）攻击5.后门和漏洞攻击6.暴力破解攻击容易遭受攻击的目标路由器数据库邮件服务名称服务Web和FTP服务器和与协议相关的服务 一、欺骗技术电子

32、邮件欺骗修改邮件客户软件的帐户配置 通过使用网络报文窃听以及路由和传输协议进行这种攻击。主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息。Man-in-the-Middle Attacks原理二、中间人攻击(Man-in-the-Middle Attacks)报文窃听 ( Packet Sniffers )数据包篡改 ( Packet alteration )重放攻击 （ Replay attack ）会话劫持 ( Session hijacking )中间人攻击的类型报文窃听是一种软

33、件应用，该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。可以轻易通过解码工具（sniffers/netxray等）获得敏感信息（用户密码等）。 报文窃听(Packet Sniffers)报文窃听(Packet Sniffers)实例分析用交换机来替代HUB，可以减少危害。防窃听工具：使用专门检测网络上窃听使用情况的软件与硬件。加密：采用IP Security (IPSec)、Secure Shell (SSH)、 Secure Sockets Layer (SSL)等技术。 验证(Authentication)：采用一次性密码技术(one-time-passwords

34、 OTPs)Packet Sniffers窃听防范数据包篡改( Packet alteration) 对捕获的数据包内容进行篡改，以达到攻击者的目的 更改数据包的校验和及头部信息，为进一步攻击 做准备 攻击者截获了一次远程主机登录过程后，选择适当的时机对该登录过程进行重放，以进入远程主机。重放攻击（ Replay attack）会话劫持(session hijacking)关于TCP协议的序列号阻断正常会话三、DOS攻击 DoS（Deny Of Service）就是攻击者通过使你的网络设备崩溃或把它压跨（网络资源耗尽）来阻止合法用户获得网络服务，DOS是最容易实施的攻击行为。 DoS攻击主要是

35、利用了TCP/IP 协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的实现缺陷。DoS的技术分类典型DOS攻击Ping of DeathPing of Death范例 IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。泪滴(teardrop)攻击一Teardrop 攻击原理：受影响的系统：Linux/Windows NT/95攻击特征：攻击过程简单，发送一些IP

36、分片异常的数据包。防范措施：泪滴(teardrop)攻击二服务器升级最新的服务包设置防火墙时对分片进行重组，而不是转发它们。UDP洪水(UDP flood)Fraggle攻击发送畸形UDP碎片，使得被攻击者在重组过程中发生未加预料的错误典型的Fraggle攻击碎片偏移位的错乱强制发送超大数据包纯粹的资源消耗阻止IP碎片攻击Windows系统请打上最新的Service Pack，目前的Linux内核已经不受影响。如果可能，在网络边界上禁止碎片包通过，或者用iptables限制每秒通过碎片包的数目。如果防火墙有重组碎片的功能，请确保自身的算法没有问题，否则DoS就会影响整个网络Windows 20

37、00系统中，自定义IP安全策略，设置“碎片检查” TCP SYN flood剖析SYN Flood攻击TCP SYN分段伪造Source IPxTCP SYN/ACK分段IPx不断发送大量伪造的TCP SYN分段最多可打开的半开连接数量超时等待时间等待期内的重试次数X半开连接缓冲区溢出TCP SYN Flood 攻击过程示例对SYN Flood攻击的防御对SYN Flood攻击的几种简单解决方法缩短SYN Timeout时间 SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值等于SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并

38、丢弃改连接的时间 设置SYN Cookie 给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃 增强Windows 2000对SYN Flood的防御 打开regedit，找到HKEY_LOCAL_MACHINESystem CurrentControlSetServicesTcpipParameters 增加一个SynAttackProtect的键值，类型为REG_DWORD，取值范围是0-2，这个值决定了系统受到SYN攻击时采取的保护措施，包括减少系统SYN+ACK的重试的次数等，默认值是0

39、（没有任何保护措施），推荐设置是2。增强Windows 2000对SYN Flood的防御 增加一个TcpMaxHalfOpen的键值，类型为REG_DWORD，取值范围是100-0 xFFFF，这个值是系统允许同时打开的半连接，默认情况下WIN2K PRO和SERVER是100，ADVANCED SERVER是500，这个值取决于服务器TCP负荷的状况和可能受到的攻击强度。 增加一个TcpMaxHalfOpenRetried的键值，类型为REG_DWORD，取值范围是80-0 xFFFF，默认情况下WIN2K PRO和SERVER是80，ADVANCED SERVER是400，这个值决定了在

40、什么情况下系统会打开SYN攻击保护。 Smurf攻击Smurf攻击示意图Smurf攻击Smurf攻击的防止措施Land攻击电子邮件炸弹分布式拒绝服务(Distributed Denial of Service)DDoS攻击原理 黑客侵入并控制了很多台电脑，并使它们一起向主机发动DoS攻击，主机很快陷于瘫痪，这就是分布式拒绝服务攻击DDoS（Distributed Denial Of Service）。分布式拒绝服务攻击网络结构图三层模型DDoS攻击过程DDoS攻击使用的常用工具 TFN(Tribe Flood Network)TrinooStacheldrahtTFN2K TFN是由著名黑客M

41、ixter编写的，是第一个公开的UnixDDoS工具。由主控端程序和客户端 程序两部分组成。 它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。TFN(Tribe Flood Network) TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。TFN2K Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了

42、主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。 Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。StacheldrahtTrinooDDoS攻击的防御策略四、缓冲区溢出Buffer Overflow攻击缓冲区溢出的攻击方式缓冲区溢出攻击的基本思想基本思想：通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码)危害性在UNIX平台上，通过发掘Buffer Overflow, 可以获得一个交互式的shell在Windows平台上，可以上载并执

43、行任何的代码溢出漏洞发掘起来需要较高的技巧和知识背景，但是，一旦有人编写出溢出代码，则用起来非常简单为什么会缓冲区溢出？典型的buffer overflows漏洞怎样防范缓冲区溢出五、后门和漏洞攻击后门(back door)： 通常指软件开发人员为了便于测试或调试而在操作系统和程序中故意放置的未公布接口，与bug不同，后门使开发人员故意留下的。Eg. 万能密码、超级用户接口等漏洞(Bug):操作系统或软件存在的问题和错误。IPC$漏洞输入法漏洞IIS .ida ISAPI扩展远程溢出漏洞六、暴力破解攻击1.字典程序攻击2.暴力攻击 暴力破解暴力或字典破解是获得root访问权限的最有效、最直接的

44、方式方法。三种破解工具L0pht crack工具John the ripper工具Crack工具 L0pht crack界面账号LanMan哈希值字典破解进程暴力破解进程验证算法 暴力破解所要对付的对象就是各种各样的口令加密与验证算法冷静地分析各种常见的验证算法，找出其中的不足 Windows 2000系统默认的验证算法Unix/Linux系统默认的验证算法LanMan验证和NTLM验证 Windows NT/2000支持多种验证机制，每一种验证机制之间的安全级别不同，下表列出了Windows NT/2000所支持的各种验证机制。微软系统所采用的验证加密算法。身份验证类型受支持的客户机备 注L

45、ANMan全 部WFW 和 Win 9x 必须使用这种方法，但这种方法容易受到窃听NTLMNT4、2000比 LANMan 更加安全NTLM v2NT4+SP4、2000比 NTLM 更安全，建议用于异机种 NT4/2000 环境Kerberos只适用于2000比 NTLM 更复杂，但在安全方面具有更长的跟踪记录额外的审计工具L0pht Crackpwdump2pwdump2密码散列提取工具在很长时间内由管理员和黑客同时使用，以从 SAM中转储LANMan和NTLM密码散列。在Windows 2000域控制器上工作，域控制器不再将散列存储在SAM中，而是存储在AD中lsadump2 使用DLL

46、注射绕过本地安全授权(LSA)以名为LSA Secrets形式存储的安全信息上的正常的访问控制构造一个Crack工具基本步骤生成字典文件取出条目应用规则打开口令文件比 较不匹配标示为已破解匹配常见的规则包括：1.计算hash值（MD5、SHA等）2.应用crypt（）函数 一旦攻击者成功地渗透进系统，会立即试图控制它。第三节：控制阶段一、攻击者的控制目标获得root的权限获得信息作为跳板攻击其它系统1.获得root的权限 攻击者最终目的是获得root的权限攻击者会采用许多不同的策略来获得这一权限非法服务和trap door允许攻击者使用合法的账号来升级访问权限2.获得信息 获得root的权限后

47、，攻击者会将立即进行信息扫描,获得有用数据。扫描方法操纵远程用户的Web浏览器运行脚本程序利用文件的缺省存放位置3.信息重定向 攻击者控制了系统，便可以进行程序和端口重定向端口转向成功后，他们可以操控连接并获得有价值的信息相似的攻击目标还包括重定向SMTP端口，它也允许攻击者获得重要的信息4.应用程序重定向将某一端口与某一应用程序相绑定允许将某一程序的运行指定到特定的端口，从而可以远程使用Telnet进行控制5.擦除渗透的痕迹 通常，攻击者通过破坏日志文件，可以骗过系统管理员和安全审计人员。这就是所谓的痕迹擦除日志文件包括：Web服务器防火墙HTTP服务器FTP服务器数据库操作系统的日志IDS

48、日志 日志文件类型包括事件日志应用程序日志安全日志 6.作为跳板攻击其它系统 通常，攻击者渗透操作系统的目的是通过它来渗透到网络上其它的操作系统。NASA服务器是攻击者通常的攻击目标，不仅因为他们想要获取该服务器上的信息，更主要的是许多组织都和该服务器有信任的连接关系。系统是攻击者的终端还是攻击链条中的一个环节跳板攻击者为了伪装自己的真实来源 ，可能通过很多次跳板才达到攻击目的二、控制手段新的控制方法层出不穷 系统的升级不可避免的会开启新的安全漏洞 少数的极有天赋的黑客不断开发出新的工具作为安全审计人员，需要时刻注意各种迹象，同时留意自己的系统是否存在着问题1.后门的安放 Rhosts + +

49、 后门Login后门服务进程后门port bind suid Shell 后门suid shell修改密码文件2.创建新的访问点 通过安装额外的软件和更改系统参数，攻击者还可以开启后门优秀的系统管理员，黑客通常习惯于某种攻击策略，所以必须注意攻击者的控制手段安装后门的另一个通常方法是在操作系统中安置木马。3.创建额外账号 为了减小从系统中被清除的几率，攻击者通常会在获得root权限后创建额外的账号使用批处理文件是创建额外账号的一种手段也可以增加没有密码的管理员账号在UNIX和Novell操作系统中同样存在类似的问题自动添加账号一个负责任的系统管理员会定期扫描用户的账号数据库，查看是否有权限的变

50、更，新添加的账号和任何有关系统策略更改的可疑行为。然而，攻击者会利用老的账号登录系统攻击者还可以利用定时服务等自动执行的程序来添加账号通过定时服务来添加新的账号和重新设置权限，攻击者可以骗过最挑剔的管理员。4.Trojan 木马控制 Trojan horse Root KitsRoot kit是用非法程序替代合法程序所谓的“root kit” 是入侵者在入侵了主机后，用来做创建后门并加以伪装用的程序包通常包括了日志清理器，后门等程序 root kit通常出现在UNIX系统中 木马是一个程序，驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定

51、的操作。 其实质只是一个通过端口进行通信的网络客户/服务程序。木马程序的利用与监测 “木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。木马原则上和Laplink、PCanywhere 等程序一样，只是一种远程管理工具木马本身不带伤害性，也没有感染力，所以不能称之为病毒 (也有人称之为第二代病毒)木马原理基本概念：对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机 控制功能 ：以管理员用户权限运行的木马程序几乎可以控制一切。 程序实现：可以使用VB或VC、JAVA以及其它任何编程工具的Winsock

52、控件来编写网络客户/服务程序。特洛伊木马隐身方法主要途径有在任务栏中隐藏自己“化妆”为驱动程序使用动态链接库技术木马的发展典型的C/S结构，隐蔽性差隐藏、自启动和操纵服务器等技术上有长足进步 隐藏、自启动和数据传递技术上有根本性进步，出现了以ICMP进行数据传输的木马 采用改写和替换系统文件的做法 流行木马及其技术特征木马进程注册为系统服务反弹端口型木马出现替换系统文件中做法应用到Windows使用多线程技术Netbus木马 NetBus 1.53版本可以以捆绑方式装到目标电脑上，可以捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。Netbus木马NetBus2.0版的功能更强，已用做远程

53、管理的工作NetBus的功能 运行程序强迫重启系统注销用户控制Web浏览器捕捉击键记录重定向端口和程序获得关于当前版本的信息上传、下载和删除文件控制、升级和定制服务器管理密码保护显示、终止远程系统程序 NetBus传输 NetBus使用TCP建立会话，缺省情况下用12345端口。跟踪NetBus的活动比较困难，可以通过检查12346端口数据来确定许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。Netbus 2.0主要文件 文 件描 述大 小（Byte）NetBus.exe客户端1，241，600Patch.exe服务器624，640NBHelp.dll 程序扩展 71，680

54、检测NetBusNetBus1.x版的程序使用下列的注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun可以用包嗅探器，检查缺省的12345或12346端口使用netstat，你可以键入下列命令： Netstat an 或Netstat p udpNetbus连接 TCP: 12345/12346清除NetBus 高质量的反病毒程序 另一种清除NetBus的方法是使用其客户端,点击清除服务器按钮如果攻击者采用了密码保护的话可能会要求你输入密码，也可以搜寻前面讨论的文件BackOrifice2000 BackOrifice

55、2000允许攻击者进行如下操作获取系统信息收集用户名和密码和用户缓存的密码获得文件的完全访问权限实施端口和程序的重定向通过HTTP从浏览器上传和下载文件 缺省设置默认的Back Orifice 2000一共由5个文件组成，他们分别是： Bo2k.exe - 136kb，BO2K 服务器端程序 Bo2kcfg.exe - 216kb，BO2K 设置程序Bo2kgui.exe - 568kb，BO2K 客户端程序Bo3des.dll - 24kb，plugin - triple DES moduleBo_peep.dll - 52kb，plugin - remote console manager

56、精选命令命 令描 述Dir,md,rd列出，建立和删除目录Shareadd/sharelist/sharedel建立，列出和删除共享Copy/delete/find拷贝，删除和搜索文件View列出文本文件内容Httpon/httpoff启动和停止HTTP服务，必须指定端口号Keylog start/end开始和终止键盘记录Netconnect netlist/Netdisconnect将服务器系统连接到网络资源；列出网络接口，域和服务器；断开连接Rediradd/redirlist将TCP连接和UDP包重定向到其它的IPRegmakekey/regdelkey建立和删除注册表中的键值Passe

57、s列出系统的所有密码，包括所有适配器（如拨号适配器）和网络连接，以及屏幕锁定Reboot重新启动系统Tcpsend从TCP连接发送和接受文件；同标准的TFTP服务器一样，客户端连接服务器机器，发送文件然后立即断开。Quit退出程序BO的运作 BO木马包含三个程序：BOSERVE.EXE，BOCLIENT.EXE和BOCONFIG.EXE。其中第一个程序需安装在受感染的用户计算机中，也就是BO服务端BO主要运行于Windows 95/98系统，对于Windows NT影响较小 服务器端程序为BOSERVE.EXE，它会自动安装在受攻击的计算机中，但是它同时需要另外一个文件名为BOCONFIG的程

58、序来进行配置 BO的检测和清除手工杀除BO2K运行REGEDIT.EXE，修改注册表，在下列键值处删除UMGR32.EXE 的key值Hkey_local_machine/Software/Microsoft/Windows/CurrentVersion/RunServices重启系统在WINDOWSSYSTEM下删除UMGR321.EXE需要注意的是，bo2k安装后的名字是可以自定义的木马防御方法总结 端口扫描扫描程序尝试连接某个端口，如果成功，则说明端口开放；否则关闭。但对于驱动程序/动态链接木马，扫描端口不起作用 查看连接在本地机上通过netstat -a查看所有的TCP/UDP连接 检查注册表通过检查注册表来发现木马在注册表里留下的痕迹 查找文件木马的特征文件三、