信息系统攻击与防御(第三章)

1、第三章 攻击概述网络攻击概述 一次完整的入侵 内容简介现在国际上几乎每20秒就有一起黑客事件发生，仅美国，每年由黑客所造成的经济损失就高达100亿美元。“黑客攻击”在今后的电子对抗中可能成为一种重要武器，2001年5月，在中美撞机事件后，中国的“红客”与美国的“黑客”就进行了针对对方网络的大规模的网上攻防对抗。随着互联网的日益普及和在社会经济活动中的地位不断加强，互联网安全性得到更多的关注。因此，有必要对黑客现象、黑客行为、黑客技术、黑客防范进行分析研究。本章作为学习攻击的开始，介绍了现有的主要黑客组织，网络攻击的基本分类，并重点介绍了一次完整攻击的一般过程，并举了一个完整的实例进行说明。3.

2、1.网络攻击概述 网络史上第一宗黑客入侵是1988年，美国康乃尔大学一位叫作Robert-Morris的研究生设计出的一套网络安全性测试程序出了差错，结果包括NASA、美国国家实验室、犹他州立大学等等在内，超过6000台的网络主机遭到破坏而瘫痪。净损失一千多万美元。 事实上，“黑客”并没有明确的定义，它具有“两面性”。黑客在造成重大损失的同时，也有利于系统漏洞发现和技术进步。 安全性攻击的的主要形式信息安全的目标机密性完整性认证性不可否认性机密性 机密性是指保证信息不泄露给非授权的用户或实体，确保存储的信息和被传输的信息仅能被授权的各方得到，而非授权用户得到信息也无法知晓信息内容，不能使用。通

3、常通过访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户获知信息内容。完整性 完整性是指信息未经授权不能进行改变的特征，维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改（插入、修改、删除、重排序等）。一般通过访问控制阻止篡改行为，同时通过消息摘要算法来检验信息是否被篡改。认证性 认证性是指确保一个消息的来源或消息本身被正确地标识，同时确保该标识没有被伪造，分为实体认证和消息认证。 消息认证是指能向接收方保证该消息确实来自于它所宣称的源。 实体认证是指在连接发起时能确保这两个实体是可信的，即每个实体的确是它们宣称的那个实体，使得第三方不能假冒这两

4、个合法方中的任何一方。不可否认性 不可否认性是防止发送方或接收方抵赖所传输的信息，要求无论发送方还是接收方都不能抵赖所进行的传输。因此，当发送一个信息时，接收方能证实该消息的确是由所宣称的发送方发来的（源非否认性）。当接收方收到一个消息时，发送方能够证实该消息的确送到了指定的接收方（宿非否认性）。一般通过数字签名来提供抗否认服务。信息安全研究内容及相互关系3.1.1.主要黑客组织 1、国内黑客组织 因特网在中国的迅速发展也使国内的黑客逐渐成长起来。纵观中国黑客发展史，可以分为3代。第1代(19961998)，中国第1代黑客大都是从事科研、机械等方面工作的人，只有他们才有机会频繁地接触计算机和网

5、络。他们有着较高的文化素质和计算机技术水平，凭着扎实的技术和对网络的热爱迅速发展成为黑客。现在他们都有稳定的工作，有的专门从事网络安全技术研究或成为网络安全管理员，有的则开了网络安全公司，演变为派客(由黑客转变为网络安全者)。黑客代表组织为“绿色兵团”。第2代(19982000)，随着计算机的普及和因特网的发展，有越来越多的人有机会接触计算机和网络，在第1代黑客的影响和指点下，中国出现了第2代黑客。他们一部分是从事计算机的工作者和网络爱好者，另一部分是在校学生。黑客代表组织为原“中国黑客联盟”。第3代(2000至今)，这一代黑客主要由在校学生组成，其技术水平和文化素质与第1代、第2代相差甚远，

6、大都只是照搬网上一些由前人总结出来的经验和攻击手法。现在网络上所谓的入侵者也是由这一代组成。但是领导这一代的核心黑客还是那些第1代、第2代的前辈们。黑客代表组织为“红客联盟”、“中国鹰派”。3.1.1.主要黑客组织(续) 1、国内黑客组织目前比较典型的黑客组织有：1安全焦点 （代表人：冰河）；2绿色兵团（已解散）（代表人：龚蔚）；3中国鹰派联盟（代表人：老鹰）；4小榕软件（代表人：小榕）；5第八军团（代表人：陈三公子）；6邪恶八进制（代表人：冰血封情）；7黑客基地（代表人：孤独剑客）；8华夏黑客同盟（代表人：怪狗）等。3.1.1.主要黑客组织(续) 2、国外黑客组织 以下是一些国外黑客组织的站

7、点或者是介绍黑客知识的网站。http:/seltzer，Larry Seltzer是美国eWEEK.com的安全栏目编辑。http:/www.security.nnov.ru/是俄罗斯一个安全站点。http:/vkp/是VKP的个人主页，linux安全方面的专业人员(程序员)。http:/trust/是加州大学伯克利分校普及安全技术研究小组。http:/linsec.ca/是加拿大一个主要收集linux安全相关的文档资料的站点， 也包括其它类Unix系统如OpenBSD， Mac OS X等。http:/是一个专门为系统管理员和黑客提供安全新闻的网站，成立于2002年9月8日。3.1.2.网络

8、攻击分类 网络攻击在最高层次上可以分为两类：主动攻击和被动攻击。主动攻击是攻击者非法访问他所需信息的故意行为，如果要寻找，攻击者是很容易被发现的。主动攻击包括拒绝服务攻击、信息篡改、资料非法使用、欺骗等攻击方法。被动攻击主要是被动收集信息，而不是主动访问，数据的合法用户对这种活动很难觉察到。被动攻击包括嗅探、信息收集等攻击方法。3.1.2.网络攻击分类（续） 1、服务拒绝攻击：服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，主要包括：1死亡之ping （ping of death）由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系

9、统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。基本防御措施：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows，NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外，对防火墙进行配置，

10、阻断ICMP以及任何未知协议，都可以防止此类攻击。 3.1.2.网络攻击分类（续） 1、服务拒绝攻击：2泪滴（teardrop）泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。基本防御措施：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。3.1.2.网络攻击分类（续） 1、服务拒绝攻击： 3UDP洪水（UDP flood）各种各样的假冒攻击利用简单的TCP/IP服务，如填

11、充和反射来传送毫无用处的占满带宽的数据。通过伪造与某一主机的装载服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽不够的拒绝服务攻击。基本防御措施：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的UDP请求。 3.1.2.网络攻击分类（续） 1、服务拒绝攻击： 4SYN洪水（SYN flood）一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响

12、应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。基本防御措施：在防火墙上过滤来自同一主机的后续连接，未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。3.1.2.网络攻击分类（续） 1、服务拒绝攻击： 5Land攻击 在Land攻击中，一个特别打造的SYN包，它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击的反应，许多UNIX实现将崩溃，NT变的极其缓慢（

13、大约持续五分钟）。基本防御措施：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉（包括10域、127域、192.168域、172.16到172.31域）。3.1.2.网络攻击分类（续） 1、服务拒绝攻击： 6Smurf攻击一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求ping数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。基本防御措施：为了防止黑客利

14、用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。3.1.2.网络攻击分类（续） 1、服务拒绝攻击： 7Fraggle攻击Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。基本防御措施：在防火墙上过滤掉UDP应答消息。8电子邮件炸弹电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。基本防御措施：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。9畸形消息攻击各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之

15、前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。基本防御措施：打最新的服务补丁。3.1.2.网络攻击分类（续） 2、利用型攻击 ： 利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：1口令猜测一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务可利用的用户帐号，成功的口令猜测能提供对机器控制。基本防御措施：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。3.1.2.网络攻击分类（续） 2、利用型攻击 ： 2特洛伊木马特洛伊木马是一

16、种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k，用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序是透明运行的。基本防御措施：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。3.1.2.网络攻击分类（续） 2、利用型攻击 ： 3缓冲区溢出由于在很多的服务程序中大意的程序员使用象strcpy()，strcat()类似的不进行有效位检查的函数，最终

17、可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。基本防御措施：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。3.1.2.网络攻击分类（续） 3、信息收集型攻击 ： 信息收集型攻击并不对目标本身造成危害，这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务。以下（1）（4）是扫描技术、（5）是体系结构刺探、（6）（8）是利用信息服务。1地址扫描 运用ping这样的程序探测目标地址，对此作出响应的表

18、示其存在。基本防御措施：在防火墙上过滤掉ICMP应答消息。2端口扫描通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。基本防御措施：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。3.1.2.网络攻击分类（续） 3、信息收集型攻击 ： 3反响映射黑客向主机发送虚假消息，然后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。基本防御措施：NAT和非路由代理服务器

19、能够自动抵御此类攻击，也可以在防火墙上过滤“host unreachable”ICMP应答。4慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。基本防御措施：通过引诱服务来对慢速扫描进行侦测。3.1.2.网络攻击分类（续） 3、信息收集型攻击 ： 5体系结构探测黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法（例NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响

20、应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。基本防御措施：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。6DNS域转换DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。基本防御措施：在防火墙处过滤掉域转换请求。3.1.2.网络攻击分类（续） 4、假消息攻击 ： 假消息攻击用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。1DNS高速缓存污染由于DNS

21、服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。基本防御措施：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。2伪造电子邮件由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。基本防御措施：使用PGP等安全工具并安装电子邮件证书。3.2.一次完整的入侵 黑客入侵行为模型图 3.2.一次完整的入侵（续） 黑客入侵的完整模式一般为：踩点扫描查点分析并入侵获取权

22、限扩大范围安装后门清除日志，这几个大的行为模块。也许在实际入侵中不可能都用到上面的每一步，但是这种大概的思路和框架是差不多的，入侵并不是千篇一律的，和解题一样，任何能解决此题的都是方法，只有优劣之分而已，但都能达到目的。总体来说一次完整的黑客入侵攻击的基本步骤可包括：搜集信息；实施入侵；上传程序、下载数据；利用一些方法来保持访问，如后门、特洛伊木马；隐藏踪迹。下面分别介绍各个步骤的基本内容。黑客入侵行为模型图 3.2.1.信息搜集 在攻击者对特定的网络资源进行攻击以前，他们需要了解将要攻击的环境，这需要搜集汇总各种与目标系统相关的信息，包括机器数目、类型、操作系统等等。踩点和扫描的目的都是进行

23、信息的搜集。攻击者搜集目标信息一般采用7个基本步骤，每一步均有可利用的工具，攻击者使用它们得到攻击目标所需要的信息。这7个基本步骤是：找到初始信息；找到网络的地址范围；找到活动的机器；找到开放端口和入口点；弄清操作系统；弄清每个端口运行的是哪种服务；画出网络图。3.2.2.实施入侵 根据获取的相关信息实施入侵，获得远程shell。shell这个概念是从UNIX下继承过来的，是指与操作系统核心的一种交互方式和界面。典型的例子是telnet。得到shell的办法有很多种，比如通过系统自带的telnet，终端服务。或者用木马和工具提供的，如winshell，等等。shell是有权限差别的。要想做更多

24、的事，就必须获得更高的权限。最高权限-管理员权限才是我们的目标。所以有时会有提升权限的问题。具体的方法有很多，根据实际情况灵活运用。 3.2.3.保持访问 入侵完后，如何在控制的系统后保留自己的根用户权限，为将来可以保持访问，你需要保持shell。做一个好的后门又是一种“学问”。克隆帐号、种木马、破administrator的密码，手段不一而足。一定要有好的隐秘性，即不易发觉。要不就没有任何意义了。 3.2.4.隐藏踪迹 一次完整的入侵后，退出来结束前，一定要有隐藏踪迹、日志清除，但凡有日志记录的地方，都得清除，ftp，mail，sqlserver，web，杀毒软件日志（一般这个地方比较容易忽

25、略（一般上传的黑客工具可能被杀，这样就留下了日志，有被追踪的可能）系统日志等。 3.2.4.隐藏踪迹(续) 下面列举一例介绍简单日志清除方法。Win2000日志清除技巧：（1）清除IIs的日志可不要小看IIS的日志功能，它可以详细的记录下你的入侵全过程，如你用unicode入侵时在ie中输入的命令，以及对80端口扫描时留下的痕迹。可手动清除它。日志的默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志，切换到这个目录下，执行：del *.* 但是，这样删除，当天的日志是删不掉的，因为w3svc服务还开着，那怎么清除这个日志文件呢?可以用notepad

26、打开这个日志文件，Ctrl+A全部选中文件内容，然后del就可以删除日志文件的内容，并保留了文件，不至于被发现。另外一种方法是使用net 命令：C:net stop w3svcWorld Wide Web Publishing Service 服务正在停止。(可能会等很长的时间，也可能不成功)World Wide Web Publishing Service 服务已成功停止。w3svc停止了，可以清空它的日志了，执行：del *.* 就可以删除所有日志文件。清空它的日志后不要忘了再打开w3svc服务，执行：C:net start w3svc。3.2.4.隐藏踪迹(续) （2）清除ftp日志FT

27、P日志默认位置：%systemroot%sys tem32logfilesmsftpsvc1，默认每天一个日志，清除方法同上。（3）清除Scheduler日志Scheduler服务日志默认位置：%systemroot%schedlgu.txt ，清除方法同上。（4）应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%sys tem32config ，清除方法同上。注意以上三个目录可能不在上面的位置，那是因为管理员做的修改，可以读取注册表值得到它们的位置。应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：HKEY_LOCAL_MACHINEsys temCurrentControlSetServicesEventlogSchedluler服务日志在注册表中：KEY_LOCAL_MACHINESOFTWAREMic