07-《网络安全基础》(课件)(3)-网络攻击与防御技术2-网络入侵

1、1 内容提要1.远程控制技术.2.口令入侵;3.其他常用的网络攻击手段：社会工程学攻击,物理攻击,利用Unicode漏洞攻击,利用缓冲区溢出漏洞进行攻击等技术。 /v_show/id_XNzg0MzM5Mzg4.html社会工程学攻击视频：六、远程控制技术概念危害性发展历程技术类型特洛伊木马的来历希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外

2、合的工具叫做特洛伊木马来源于希腊神话中的特洛伊战争远程控制技术远程控制实际上是包含有服务器端和客户端的一套程序。服务器端程序驻留在目标计算机里，随着系统启动而自行启动。此外，使用传统技术的程序会在某端口进行监听，若接收到数据就对其进行识别，然后按照识别后的命令在目标计算机上执行一些操作（比如窃取口令，拷贝或删除文件，或重启计算机等）。攻击者一般在入侵成功后，将服务端程序拷贝到目标计算机中，并设法使其运行，从而留下后门。日后，攻击者就能够通过运行客户端程序，来对目标计算机进行操作。远程控制技术的发展历程第一代功能简单、技术单一，如简单的密码窃取和发送等第二代在技术上有了很大的进步，如国外的BO2

3、000，国内的冰河等第三代为了躲避防火墙而在数据传递技术上做了不小的改进，比如利用ICMP协议以及采用反弹端口的连接模式第四代研究操作系统底层，在进程隐藏方面有了很大的突破传统的远程控制步骤如何远程植入程序直接攻击电子邮件文件下载浏览网页+合并文件经过伪装的木马被植入目标机器远程受控端程序的自启动Windows启动目录注册表启动Run(RunOnce/RunOnceEx/RunServices）KnownDLLs修改文件关联方式系统配置文件启动Win.iniSystem.ini服务启动其他启动远程受控端程序的隐藏在任务栏（包括任务管理器）中隐藏自己初步隐藏注册为系统服务不适用于Win2k/NT

4、启动时会先通过窗口名来确定是否已经在运行，如果是则不再启动防止过多的占用资源进程隐藏远程线程插入其他进程（不适用于Win9X）Hook技术远程控制数据传输方式ICMP协议传送 ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。反弹端口 + HTTP隧道技术反弹端口连接模式反弹端口的原理： 简单地说，就是由木马的服务端主动连

5、接客户端所在IP对应的电脑的80端口。相信没有哪个防火墙会拦截这样的连接（因为它们一般认为这是用户通常，防火墙对于连入的连接往往会进行非常严格的过滤，但是对于连出的连接却疏于防范。于是，与一般的软件相反，反弹端口型软件的服务端(被控制端)主动连接客户端(控制端)，为了隐蔽起见，客户端的监听端口一般开在80(提供HTTP服务的端口)，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似 TCP，稍微疏忽一点你就会以为是自己在浏览网页(防火墙也会这么认为的)。反弹端口连接模式反弹端口的原理： 客户端和与服务端通信通过主页空间上的文件告诉服务端何时开始连接自己呢。当客户端想与服务端建立连接时

6、，它首先登录到FTP服务器，写主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。反弹端口连接模式 1024反弹式的远程控制程序防火墙IP数据包过滤目标主机Windows系统骗取系统IE进程木马线程正常线程进入合法应用程序正常线程Internet Explorer浏览网页端口监听端口传统远程控制程序远程控制的防御远程端口扫描本地进程端口察看Fport / VisionAntiyPortsAPorts 本地进程察看PslistListdlls注册表监控Regmon文件监控Filem

7、on使用专用的查杀工具加强使用者的安全意识AntiyPorts七、DoS与DDoS攻击DoS (Denial of Service)攻击的中文含义是拒绝服务攻击DDoS (Distributed Denial of Service)攻击的中文含义是分布式拒绝服务攻击拒绝服务攻击的种类发送大量的无用请求，致使目标网络系统整体的网络性能大大降低，丧失与外界通信的能力。利用网络服务以及网络协议的某些特性，发送超出目标主机处理能力的服务请求，导致目标主机丧失对其他正常服务请求的相应能力。利用系统或应用软件上的漏洞或缺陷，发送经过特殊构造的数据包，导致目标的瘫痪（称之为nuke)拒绝服务攻击典型举例Sy

8、nFloodSmurfPingFloodUDP Flooder拒绝服务攻击SynFlood正常的TCP/IP三次握手SynFlood攻击 服务器 客户端SYNSYN+ACKACK握手完成，开始传送数据，系统消耗很少被攻击主机 攻击主机伪造源地址不存在的主机不断重试及等待，消耗系统资源不响应SYNSYN+ACKSynFlood的防御对策重新设置一些TCP/IP协议参数增加TCP监听套解字未完成连接队列的最大长度减少未完成连接队列的超时等待时间类似于SYN Cookies的特殊措施选择高性能的防火墙SYN Threshold类SYN Defender类SYN Proxy类拒绝服务攻击Smurf攻击

9、AttackerTarget目标机器会接收很多来自中介网络的请求中介网络放大器broadcastecho request 源地址被欺骗为被攻击主机地址其它拒绝服务攻击FragglePing of DeathUdpFloodTearDrop电子邮件炸弹Nuke类拒绝服务攻击Win NukeRPC NukeSMB Die分布式拒绝服务攻击DDoS是DoS攻击的延伸，威力巨大，具体攻击方式多种多样。分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标 。攻击一般会采用IP地址欺骗技术，隐藏自己的IP地址，所以很难追查。分布式拒绝服务攻击示意图分布式

10、拒绝服务攻击步骤探测扫描大量主机以寻找可入侵的目标；入侵有安全漏洞的主机并获取控制权，在每台入侵主机中安装攻击程序；构造庞大的、分布式攻击网络；在同一时刻，由分布的成千上万台主机向同一目标地址发出攻击，目标系统全线崩溃；典型的分布式拒绝服务攻击工具TrinooTFNStacheldrahtTFN2K分布式拒绝服务攻击防御对策对于分布式攻击，目前仍无非常有效的方法来防御基本的防御对策做好各种基本拒绝服务攻击防御措施，打好补丁；联系ISP对主干路由器进行限流措施；利用各种安全防御系统进行辅助记录工作。使用软件来帮助管理员搜索ddos客户端find_ddosZombieZapperddosping八

11、、口令入侵口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动获取口令的途径有：网络监听口令猜测，暴力破解利用系统管理员的失误口令猜测攻击口令猜测攻击原理现行很多加密算法都单向不可逆攻击者每次从攻击字典中取出一个条目作为口令，使用相同的加密算法进行加密，然后同密文进行比对，如不同则继续下一次尝试，否则则猜测成功。口令猜测可分为远程口令破解本地口令破解远程口令破解许多网络服务，都是通过账号/口令来认证需要访问该服务的用户POP3 Netbios Telnet FTP HTTP等可以远程进行穷举字典的方式来猜解口令破解效率很低，而且容易被记录本地口令猜解各种操作系统以自己各自

12、的方式存放密码文件，而大多数的加密算法都比较脆弱，容易被猜解本地破解速度非常快，具体的速度取决于系统的配置在协同工作越来越发达的今天，本地口令破解可以说是“百发百中”Windows口令破解技术简介在WinNT/2K系统中，使用一套较老的加密算法LAN ManagerLM散列算法存在着致命缺陷用户密码缩短到14个字符，若不足则用0 x00填补前8个字节由用户密码的前7个字符推导而来后续8个字节由密码的8-14个字符得来Windows口令破解技术简介Windows系统以sam文件格式存放密码文件，有多种方式可以获得%SystemRoot%system32configsam%SystemRoot%r

13、epairsam._使用pwdump3远程从注册表中导出嗅探网络中SMB报文包含的口令散列值破解工具stake的L0phcrackstake L0phcrackUnix系统的口令破解Unix系统的口令密文存放在/etc/passwd或/etc/shadow文件中加密算法传统加密沿用最多的是DES算法的口令加密机制为了增强DES的加密强度，引入了被称作Salt的附加手段猜测工具John The Ripper候选口令产生器字典口令文件口令加密口令比较输出匹配的口令Unix系统的口令破解口令破解防御对策制定正确的密码策略，并贯彻实施密码长度，强度足够定期更换密码禁用类似12345678、comput

14、er这样的简单密码 提高人的安全意识很重要39 其他常用的网络攻击手段：社会工程学攻击物理攻击利用Unicode漏洞攻击利用缓冲区溢出漏洞进行攻击等技术。九、其他攻击手段1、社会工程学攻击 社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学。研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。40 1、社会工程学攻击 例：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他

15、们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。41 1、社会工程学攻击目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Email1、打电话请求密码。尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。42 1、社会工程学攻击2、伪造Email。使用telnet，一个黑客可以截取任何一个身份发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒

16、充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。43 2、物理攻击与防范 物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。 44 案例1：得到管理员密码 用户登录以后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”，可以利用程序将当前登录用户的密码解码出来，如图1所示。45 案例1：得到管理员密码使用FindPass等工具可以对该进程进行解码，然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录，执行该程序，将得到当前用户得登录名，如图2所示。46 案例

17、2：权限提升有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。其实不然，用普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。47 案例2: 普通用户建立管理员帐号利用Hacker帐户登录系统，在系统中执行程序GetAdmin.exe，程序自动读取所有用户列表，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名，如图3所示。48 普通用户建立管理员帐号输入一个用户名“IAMHacker”，点击按钮“确定”以后，然后点击主窗口的按钮“OK”，出现添加成功的窗口，如图4所示。49 3、Unicode漏洞攻

18、击 Unicode漏洞是利用扩展UNICODE字符取代/和而能遍历./目录的漏洞。Unicode漏洞是2000-10-17发布的，受影响的版本：Microsoft IIS 5.0+Microsoft Windows 2000系列版本Microsoft IIS 4.0+ Microsoft Windows NT 4.0消除该漏洞是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。50 Unicode漏洞的检测方法使用扫描工具来检测Unicode漏洞是否存在，使用X-Scan来对目标系统进行扫描，目标主机IP为：09，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以了，X

19、-Scan设置如图8所示。51 Unicode漏洞的检测方法将主机添加到目标地址，扫描结果如图9所示。52 Unicode漏洞的检测方法可以看出，存在许多系统的漏洞。只要是/scripts开头的漏洞都是Unicode漏洞。比如：/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir其中/scripts目录是IIS提供的可以执行命令的一个有执行程序权限的一个目录，在IIS中的位置如图13-10所示。53 Unicode漏洞的检测方法scripts目录一般位于系统盘根目录下的Inetpub目录下，如图11所示。54 Unicode漏洞的检测方法在Window

20、s的目录结构中，可以使用两个点和一个斜线“./”来访问上一级目录，在浏览器中利用“scripts/././”可以访问到系统盘根目录，访问“scripts/././winnt/system32”就访问到系统的系统目录了，在system32目录下包含许多重要的系统文件，比如cmd.exe文件，可以利用该文件新建用户，删除文件等操作。55 Unicode漏洞的检测方法浏览器地址栏中禁用符号“./”，但是可以使用符号“/”的Unicode的编码。比如 “/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这

21、条语句是执行dir命令列出目录结构。56 Unicode漏洞利用该漏洞读取出计算机上目录列表，比如读取C盘的目录，只要在浏览器中输入“09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:”57 利用Unicode漏洞读取系统盘目录 58 利用Unicode漏洞读取系统盘目录利用语句得到对方计算机上装了几个操作系统以及操作系统的类型，只要读取C盘下的boot.ini文件就可以了。使用的语句是：09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+type+c:boot.ini59 执行的结果如图13所示。利

22、用Unicode漏洞删除主页利用Unicode可以方便的更改对方的主页，比如现在已经知道对方网站的根路径在“C:Initpubwwwroot”（系统默认）下，可以删除该路径下的文件“default.asp”来删除主页，这里的“default.asp”文件是IIS的默认启动页面。使用的语句是：09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+del+c:inetpubwwwrootdefault.asp60 利用Unicode漏洞删除主页61 拷贝文件利用语句将cmd.exe文件拷贝到scripts目录，并改名为c.exe，使用的语句是：09/scrip

23、ts/.%c0%2f./winnt/system32/cmd.exe?/c+copy+C:winntsystem32cmd.exe+c.exe62 程序执行结果如图13-14所示。 查看C盘的目录以后使用cmd.exe命令就方便了，比如查看C盘的目录，使用的语句就可以简化为：09/scripts/c.exe?/c+dir+c:63 执行的结果如图13-15所示。4、缓冲区溢出攻击目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标操作系统收到了超过了它的最大能接收的信息量的时候，将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢出，然后覆盖了实际的程序数据，缓冲区溢出使目标系统的程序被修改，经过

24、这种修改的结果使在系统上产生一个后门。64 缓冲区溢出攻击void function(char * szPara1)char buff16;strcpy(buffer, szPara1);程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。65 这项攻击对技术要求比较高，但攻击过程却非常简单。RPC漏洞溢出 远程过程调用RPC（Remote Procedure Call)，是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算

25、机。当系统启动的时候，自动加载RPC服务。66 可以在服务列表中看到系统的RPC服务，如图13-16所示。利用RPC漏洞建立超级用户 利用工具scanms.exe文件检测RPC漏洞。该工具是ISS安全公司2003年7月30日发布的，运行在命令行下用来检测指定IP地址范围内机器是否已经安装了“DCOM RPC 接口远程缓冲区溢出漏洞（823980-MS03-026）”补丁程序。如果没有安装补丁程序，该IP地址就会显示出“VULN”。67 检查缓冲区溢出漏洞68 拷贝该文件到C盘根目录。执行命令“scanms.exe 09-10”，检查过程13-17所示。检查缓冲区溢出漏洞利用工具软件attack.exe对09进行攻击。攻击的结果将在对方计算机上建立一个具有管理员权限的用户，并终止了对方的RPC服务。新建用户的用户名和密码都是qing10，这样就可以登录对