网络安全-典型网络攻击手段课件

参考阅读反击黑客（美）EdSkoudis

王纲译机械工业出版社2002年EdSkoudis，是有名的信息安全预测专家、克林顿安全办公室的高级顾问以及网络安全研究会“

TheHack-CounterHackTrainingCourse”的创始人，是多年来一直从事计算机安全工作。CounterHack:AStep-by-StepGuidetoComputerAttacksandEffectiveDefenses”（中文版译名为《反击黑客》），详细介绍防御各种黑客攻击的技术与方法。典型网络攻击步骤端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途网络攻击手段准备阶段数据传输过程中的窃听IP地址欺骗会话劫持拒绝服务攻击维护访问权后门和木马准备阶段获取目标的一般信息探测目标的薄弱环节

战争拨号

端口扫描

漏洞扫描Whois数据库查找IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。获取信息收集主机信息

Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间

Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径

Finger和Rusers命令收集用户信息

Host或者Nslookup命令，结合Whois和Finger命令获取主机、操作系统和用户等信息

应用的方法：准备阶段

调查和计划

了解有关攻击目标的信息

我们的目的:一旦发现某些行为特征,就可能在攻击真正开始前阻止

技术手段:查找目标的基本信息（whois数据库）

战争拨号，网络测绘端口扫描针对特定的IP哪些端口开放提供服务哪种操作系统(响应特征)扫描工具–“知道门和窗”

非技术手段:社会工程学—使用社会技巧和人际关系,获取与安全相关的信息内部的一些地址“建筑物里面有些什么”

偷听垃圾搜寻通过公告牌与聊天室交换信息(漏洞利用的技术相关目标的信息)利用软件开发商的一些文档了解产品的细节

通用目标侦察工具SamSpadeping：这个工具将ICMPEcho请求消息发给目标，看是否它是可达的，并判断应答的时间。Whois：SamSpade使用默认Whois服务器或通过允许用户指定使用哪个Whois数据库来查询Whois。可使用内建的智能将.com、.net和.org的Whois查询发送到合适的Whois服务器。IP块Whois：可以使用这个特性判断谁拥有一个特定组的IP地址，它使用的ARIN数据(AmericanRegistryforInternetNumbers)。Nslookup：这个特性允许查询DNS服务器，以找到与IP地址映射的域。DNS带传输：这个特性传输关于来自合适的名字服务器的一个给定域名的国内的所有信息。Traceroute：这个特性返回源计算机与选择的目标之间的路由器跳的一个列表。Finger：这个特性支持查询一个系统，决定它的用户列表。SMTPVRFY：这个功能用于判断特定邮件地址在一给定电子邮件服务器上是否合法。它基于简单的邮件传输协议（SMTP）鉴别命令，是最广泛使用的电子邮件协议里的选项，用于检查邮件地址的合法性。Web浏览器：SamSpade的内建的小型

Web浏览器使用户能查看原始HTTP交互，包括所有的HTTP首部。例：经理在她工作处的PC上安装了调制解调器和pcAnywhere。pcAnywhere是一种简单的程序，它允许用户通过调制解调器从远程位置拨号到一台PC并与之连接。战争拨号通过持续地拨入来侵入组织的基于调制解调器的系统。战争拨号工具

L0pht的TBA

2000年早期，一个名为L0pht的黑客组织发布了一个名为TBA的非常吸引人的战争拨号器。它是一个具有大量标准功能的战争拨号器，例如随机/连续拨号，载波检测。

TBA引起人们注意的功能是它的运行平台：掌上个人数字助理。你用来存储日历和电话号码的工具现在可以用来进行战争拨号攻击了。THC-Scan2.0

THC-Scan由TheHacker’sChoice团体发布，能自动检测调制解调器的速度、数据位、校验位及停止位。此工具也尝试去判断被发现的计算机所使用的操作系统。而且，THC-Scan有能力确认什么时候能再有拨号音，这样，黑客们便可以不经过你的PBX就可以拨打免费电话。THC-Scan2.0版于1998年圣诞节推出。战争拨号的预防措施审计、监控和记录用于登录的设备以及其它可能受攻击的设备。安全性策略是一个良好的开端，但缺少了备份和执行就等于浪费时间。遍历您的安装。好的遍历通常能使您找到连接到机器的调制解调器。还有，保存好的文档和平面图，以便您知道该查看哪儿。查看您调制解调器上的自动应答配置。这也可以用来保护您的调制解调器。最后，使用与内部PBX号码范围完全不同的电话号码。这是阻止战争拨号攻击的比较有效的方法之一。例如，如果您的号码是324-1000，请将象765-3000这样的范围用于您的带外管理解决方案。对这些号码进行保密并将访问权限制于重要的专职成员。获取网络服务的端口作为入侵通道。

端口扫瞄1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段扫瞄5.TCP反向Ident扫瞄 6.FTP代理扫瞄7.UDPICMP不到达扫瞄 7种扫瞄类型：端口扫描类型开放扫描(OpenScanning)需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高，产生大量审计数据，容易被发现半开放扫描(Half-OpenScanning)扫描方不需要打开一个完全的TCP连接秘密扫描(StealthScanning)不包含标准的TCP三次握手协议的任何部分隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息

开放扫描TCPconnect()扫描原理扫描器调用socket的connect()函数发起一个正常的连接如果端口是打开的，则连接成功否则，连接失败优点简单，不需要特殊的权限缺点服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描Reverse-ident扫描Ident协议(RFC1413)使得可以发现任何一个通过TCP连接的进程的所有者的用户名，即使该进程并没有发起该连接只有在TCP全连接之后才有效Ident服务在TCP端口113例如A想知道从B的6191口连入自己TCP23口的用户名A可以连接B的ident服务，发送请求6191，23

如果连接存在，B回应6193,23:USERID:UNIX:stjohns

如果连接不存在，回应6195,23:ERROR:NO-USER攻击示例可以先连接到80端口，然后通过identd来发现服务器是否在root下运行（可以直接发现Web服务器是否错误的配置成root权限）建议关闭ident服务，或者在防火墙上禁止，除非是为了审计的目的半开放扫描

TCPSYN扫描原理向目标主机的特定端口发送一个SYN包如果应答包为RST包，则说明该端口是关闭的否则，会收到一个SYN|ACK包。于是，发送一个RST，停止建立连接由于连接没有完全建立，所以称为“半开连接扫描”优点很少有系统会记录这样的行为缺点在UNIX平台上，需要root权限才可以建立这样的SYN数据包TCPIdlescan由Antirez首先使用，并在Bugtraq上公布原理：扫描主机通过伪造傀儡主机IP地址向目标主机发起SYN扫描，并通过观察傀儡主机IP序列号的增长规律获取端口的状态。(开放状态，对ACK包返回RST包，序号增加；关闭状态，直接丢弃RST包，不增加)优点不直接扫描目标主机也不直接和它进行连接，隐蔽性较好缺点对傀儡主机的要求较高

秘密扫描TCPFin扫描原理扫描器发送一个FIN数据包如果端口关闭的，则远程主机丢弃该包，并送回一个RST包否则的话，远程主机丢弃该包，不回送变种，组合其他的标记优点不是TCP建立连接的过程，所以比较隐蔽缺点与SYN扫描类似，也需要构造专门的数据包在Windows平台无效，总是发送RST包TCPXMAS扫描原理扫描器发送的TCP包包头设置所有标志位关闭的端口会响应一个同样设置所有标志位的包开放的端口则会忽略该包而不作任何响应优点比较隐蔽缺点主要用于UNIX/Linux/BSD的TCP/IP的协议栈不适用于Windows系统其他扫描FTPBounceScan原理用PORT命令让ftpserver与目标主机建立连接，而且目标主机的端口可以指定如果端口打开，则可以传输否则，返回"425Can'tbuilddataconnection:Connectionrefused."Ftp这个缺陷还可以被用来向目标(邮件,新闻)传送匿名信息优点：这种技术可以用来穿透防火墙缺点：慢，有些ftpserver禁止这种特性UDPICMPportunreachablescanning利用UDP协议原理开放的UDP端口并不需要送回ACK包，而关闭的端口也不要求送回错误包，所以利用UDP包进行扫描非常困难有些协议栈实现的时候，对于关闭的UDP端口，会送回一个ICMPPortUnreach错误缺点速度慢，而且UDP包和ICMP包都不是可靠的需要root权限，才能读取ICMPPortUnreach消息一个应用例子Solaris的rpcbind端口(UDP)位于32770之上，这时可以通过这种技术来探测端口扫描对策设置防火墙过滤规则，阻止对端口的扫描例如可以设置检测SYN扫描而忽略FIN扫描使用入侵检测系统禁止所有不必要的服务，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注释掉不必要的服务，并在系统启动脚本中禁止其他不必要的服务Windows中通过Services禁止敏感服务，如IIS常见扫描工具Nmap由Fyodor编写提供TCP、UDP端口扫描、操作系统指纹识别集成了多种扫描技巧，提供的端口扫描功能比较全面，是目前国外最为流行的端口扫描工具之一。没有扫描漏洞的功能，无法对目标主机的脆弱性进行深入挖掘。SuperScan

在Windows环境下的TCP端口扫描程序。它允许灵活的定义目标IP端口列表图形化的交互界面使得用起来简单方便。具有以下功能：1）通过Ping来检验IP是否在线；2）IP和域名相互转换；3）检验目标计算机提供的服务类别；4）检验一定范围目标计算机的是否在线和端口情况；5）工具自定义列表检验目标计算机是否在线和端口情况；6）自定义要检验的端口，并可以保存为端口列表文件；7）软件自带一个木马端口列表trojans.lst，通过这个列表我们可以检测目标计算机是否有木马；同时，我们也可以自己定义修改这个木马端口列表.X-Scan由国内“安全焦点”编写Windows环境下的能够扫描漏洞的检测工具。支持插件功能，提供了图形界面和命令行两种操作方式，能够实现扫描远程操作系统类型、标准端口、常见漏洞等功能。只能提供一种端口扫描方式，在目标网络复杂时无法灵活自主的进行选择配置，从而限制了它的适应性。图:X-scan操作系统的识别操作系统辨识的动机许多漏洞是系统相关的，而且往往与相应的版本对应从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会诈骗(社会工程，socialengineering)如何辨识一个操作系统一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息TCP/IP栈指纹DNS泄漏出OS系统图:winfingerprint跟踪路由技术跟踪路由的技术来确定组成你的网络基础设施的各种路由器和网关。跟踪路由技术依赖于IP首部中的生存时间（TTL）字段。TTL与时间无关；它与跳有关。利用TTL字段进行网络测绘TTL工作原理----路由器收到IP数据包，将TTL字段的值减去1。如果TTL值是0，则路由器给数据包的源站回送一个ICMP超时的消息。通过发送具有各种TTL值的一系列数据包，能够从已经知道的源站跟踪所有的路由器，一直到所有目的地。攻击者能够再现出你的网络拓扑结构。Cheops:一个很好的网络测绘工具

Cheops是由MarkSpence编写的，运行在Linux系统下，能够使用ping和跟踪路由功能并自动完成网络目录和拓扑结构的绘制工作。其他的功能允许系统管理员在网络内方便的自动进行FTP和安全界面连接。支持远程操作系统标识功能，使用TCP栈指纹技术。资源扫描与查找扫描网络资源和共享资源，如目标网络计算机名、域名和共享文件等等；扫描目标系统上合法用户的用户名和用户组名。Windows系统，特别是WindowsNT/2000在这些方面存在着严重的漏洞，很容易让非法入侵者获取到关于该目标系统的很多有用信息，如共享资源、Netbios名和用户组等。采用协议：NetBIOS协议、CIFS/SMB协议和空会话常用工具：NetViewNbtstat和NbtscanLegion和ShedNetView

NETVIEW[\\computername[/CACHE]|/DOMAIN[:domainname]]或

NETVIEW/NETWORK:NW[\\computername]

在命令行中输入“netview/domain”命令，可以获取网络上可用的域

/domain[:domainname]指定要查看其可用计算机的域或工作组。如果省略DomainName，/domain将显示网络上的所有域或工作组名。

在命令行中输入“netview/domain：domain_name”命令，可以获取某一域中的计算机列表，其中domain_name为要列表计算机的域名。

在命令行中输入“netview\\computer_name”命令，可以获取网络某一计算机的共享资源列表，其中computer_name为计算机名。/network:nw显示NetWare网络上所有可用的服务器nbtstat和nbtscannbtstat（NetBIOSoverTCP/IP）是WindowsNT/2000内置的命令行工具，利用它可以查询涉及到NetBIOS信息的网络机器。另外，它还可以用来消除NetBIOS高速缓存器和预加载LMHOSTS文件等。这个命令在进行安全检查时非常有用。利用nbtstat查看目标系统NetBIOS列表Nbtstat本身有一些缺陷，如一次只能扫描一台主机等，nbtscan（http://www.abb.aha.ru/software/nbtscan.html）却可以对一个网段进行扫描,利用nbtscan对网段进行扫描。

Legion和Shed

在NetBIOS扫描中，很重要的一项就是扫描网络中的共享资源，以窃取资源信息或植入病毒木马。Legion和Shed就是其中的典型。Legion的共享资源扫描可以对一个IP或网段进行扫描，它还包含一个共享密码的蛮力攻击工具，如“ShowBFTool”按钮。主要用于Windows2000以前的操作系统中Shed是一个速度很快的共享资源扫描工具，它可以显示所有的共享资源，包含隐藏的共享。空会话原理利用WindowsNT/2000对NetBIOS的缺省信赖通过TCP端口139返回主机的大量信息实例如果通过端口扫描获知TCP端口139已经打开netuse\\30\IPC$""/USER:""在攻击者和目标主机间建立连接

Windows2000还有另一个SMB端口445预防资源扫描和查找的方法：

防范NetBIOS扫描的最直接方法就是不允许对TCP/UDP135到139端口的访问，如通过防火墙或路由器的配置等。另外，对单独的主机，可使用NetBIOSoverTCP/IP项失效或注册表配置来实现。Windows2000操作系统还要禁止445端口。用户和用户组查找利用前面介绍的方法，可以很容易获取远程WindowsNT/2000主机的共享资源、NetBIOS名和所处的域信息等。但黑客和非法入侵者更感兴趣的是通过NetBIOS扫描，获取目标主机的用户名列表。如果知道了系统中的用户名（即账号）后，就可以对该账号对应的口令进行猜测攻击（有些口令往往很简单），从而对远程目标主机进行更深入的控制。在WindowsNT/2000的资源工具箱NTRK中提供了众多的工具用于显示远程主机用户名和组信息，如前面介绍的nbtstat和nbtscan,另外还有UsrStat等工具UsrStatUsrStat是一个命令行工具，用于显示一个给定域中的每一个用户的用户名、全名和最后的登录日期与时间，如图所示，可显示域中计算机上的用户信息。发现操作系统、系统软件、常见应用软件、数据库存在的漏洞，提供解决方案。双刃剑漏洞发现与扫描瞬时攻击蠕虫名称CodeRedNimdaSQLSlammerBlasterSasser利用漏洞IISIndexServerUnicode漏洞MIME漏洞SQLServer2000Resolution漏洞WindowsRPC漏洞LSASS漏洞微软公告MS01-033MS00-078MS01-020MS02-039MS03-026MS04-011补丁发布2001.6.182000.10.202001.03.292002.6.242003.7.162004.4.13攻击代码2001.6.212000.10.202002.6.262003.7.242004.4.13蠕虫出现2001.7.132001.9.182003.1.252003.8.132004.5.1弥补时间3天/25天0天/140天20天/210天8天/27天0天/20天漏洞发展趋势1980 19851990 1995 20002002时间（年）高各种攻击者的综合威胁程度低对攻击者技术知识和技巧的要求黑客攻击越来越容易实现，威胁程度越来越高信息网络系统的复杂性增加脆弱性程度网络系统日益复杂，安全隐患急剧增加漏洞发展动态时间黑客高手发现新的弱点黑客开始利用新弱点进行攻击针对该弱点的粗糙的攻击工具开始传播网络安全厂家获取相关漏洞信息集成到扫描检测工具中自动扫描和利用该弱点的攻击工具的广泛散布和使用弱点被广泛的用于攻击漏洞发现方式---主机漏洞扫描主机扫描器（本地扫描器）与待检查系统运行于同一结点，执行对自身的检查。主要功能分析各种系统文件内容，查找可能存在的对系统安全造成威胁的配置错误。特点

可以在系统上任意创建进程。为了运行某些程序，检测缓冲区溢出攻击，就要求扫描器做到这一点。可以检查到安全补丁一级，以确保系统安装了最新的安全补丁。

可以查看本地系统配置文件，检查系统的配置错误。除非能攻入系统并取得超级用户权限，远程扫描器很难实现漏洞发现方式---网络扫描器网络扫描器(远程扫描器)

和待检查系统运行于不同结点，通过网络远程探测目标结点，检查安全漏洞。通过执行一整套综合的渗透测试程序集(扫描方法集)，发送精心构造的数据包来检测目标系统是否存在安全隐患。--搜集目标主机上的各种信息，然后与系统的漏洞库进行匹配，如果满足匹配条件，则认为安全漏洞存在；--模拟黑客的攻击手法对目标主机进行攻击，如果模拟攻击成功，则认为安全漏洞存在。

扫描器基本模块用户界面扫描引擎扫描方法集漏洞数据库扫描输出报告扫描策略

主机扫描内容---unix(1)系统完整性检查关键系统文件变化检查用户账户变化检查黑客入侵标记检查未知程序版本不常见文件名可疑设备文件

未经授权服务网络数据包截获攻击检测弱口令选择检测有安全漏洞程序版本检测标记可被攻击程序报告需要安装的安全补丁检查系统配置安全性全局信任文件主机扫描内容--unix(2)crontab文件

rc系统启动文件文件系统mount权限打印服务账户配置组配置检查网络服务安全性是否允许ip转发标记有风险服务

Ftp配置

News服务器配置NFS配置邮件服务器配置

Web服务器配置检查用户环境变量安全性系统文件属主系统文件权限许可文件属主及权限许可

shell启动文件用户信任文件应用程序配置文件主机扫描内容-Windows

允许建立guest账户

guest账户无口令口令构造和过时原则弱口令选择登陆失败临界值注册表权限许可允许远程注册访问

独立的注册设置对系统文件和目录不正确的分配许可权非NT缺省配置的未知服务运行易遭到攻击的服务，如：运行在Web服务器上的SMB服务等带有许可访问控制设置的共享，可能给远程用户全部访问权网络扫描内容（1）后门类浏览器类强力攻击类

CGI-Bin类守护进程类

DCOM类

DNS协议类NFS类电子邮件类

Finger类防火墙类

FTP协议类信息收集类

InstantMessagingLDAP类

NetBIOS类NIS类

NT关键问题类

NT组类

NT网络类

NT口令检查类

NT口令策略类

NT补丁类

NT策略类

NT注册表类

NT服务类

NT用户类协议欺骗类路由器/交换机类

RPC类共享类

SNMP类

TCP端口扫描

UDP端口扫描

Web扫描

XWindows类网络扫描内容（2）漏洞扫描系统的性能指标准确性效率扫描方法的关联性扫描器自身的安全漏洞的描述升级频率Nessus目前全世界最多人使用的系统漏洞扫描与分析软件。超过75,000个机构使用Nessus作为扫描该机构电脑系统的软件。1998年,创办人RenaudDeraison展开了一项名为“Nessus”的计划，其计划目的是希望能为因特网社群提供一个免费、威力强大、更新频繁并简易使用的远端系统安全扫描程序。经过了数年的发展,包括CERT与SANS等著名的网络安全相关机构皆认同此工具软件的功能与可用性。2002年时,Renaud与RonGula,JackHuffard创办了一个名为TenableNetworkSecurity的机构。在第三版的Nessus发布之时,该机构收回了Nessus的版权与程序源代码(原本为开放源代码),并注册成为该机构的网站。目前此机构位于美国马里兰州的哥伦比亚。Nessus对个人用户是免费的，只需要在官方网站上填邮箱，立马就能收到注册号了，对应商业用户是收费的。

Exploit

发现漏洞后利用相应的Exploit获取控制权有漏洞不一定就有Exploit。有Exploit就肯定有漏洞Metasploit是一个免费的、可下载的框架,H.D.Moore在2003年发布附带数百个已知软件漏洞的专业级漏洞攻击工具。可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了，因为Metasploit团队一直都在努力开发各种攻击工具，并将它们贡献给所有Metasploit用户。漏洞发现和利用-Metasploit网络攻击手段准备阶段传输过程中的窃听IP地址欺骗会话劫持拒绝服务攻击维护访问权后门和木马传输中的威胁—窃听

电缆

嗅探器sniffer对网卡重新编程自感应技术(从电缆线读取辐射信号,要求足够近)

搭接电缆

WAN上的信号截取者还必须能将信号从多路复用信号中分离微波和卫星

很容易截获信号依靠大容量和复杂的多路复用技术,即使获取了信号也无法将某个特定信号分离光纤

安全性:分接易被发现没有电磁辐射无线通信在美国,无线计算机连接车库开门器本地无线电部分无绳电话短距离无线应用共用频段—干扰安全问题:

无线信号强度100-200英尺(1英尺=0.3048米)

用调谐天线就可接受无线通信的标准802.11b802.11a802.11g加密标准WEP40位或104位经典流式密钥(调查显示,85%无线网络没有使用WEP功能)通过集线器进行嗅探：被动嗅探典型工具

Snort和Sniffit通过交换机进行嗅探：主动嗅探攻击者发明了很多工具，这些工具向交换型LAN发送欺骗性数据，以达到截获流量的目的。Dsniff/-dugsong/dsniff

由DugSong编写，是个工具集，可在LAN中以多种灵活的方式截取信息。用洪泛对付交换机用ARP欺骗信息对付交换机能够分析大量应用程序的数据包发送假的DNS信息对HTTPS和SSH进行嗅探ARP欺骗过程发送假的DNS信息进行流量转向。Dsniff包含一个叫dnsspoof的程序，可让攻击者发送假的DNS回应给受害者，以使攻击者要访问其他机器时却访问攻击者的机器。Dsniff对HTTPS和SSH进行嗅探Dsniff利用SSL和SSH对证书以及公钥的信任，如果Web服务器发给浏览器的证书是由一个浏览器不认识的证书机构签发的，浏览器将问用户是否接受此不信任的证书，信任的决定权留在了用户（通常是没经验的，一般用户不在意此）手里，浏览器会警告用户，但它仍允许用户继续建立连接。Dsniff工具集中用于攻击HTTPS和SSH的工具名是：webmitm和sshmitm。Dsniff对HTTPS和SSH进行嗅探嗅探的防御

将传输的数据进行加密。使用交换机。防止ARP欺骗对包含了重要系统和数据的网络，在交换机上进行端口级安全设置，用链到端口上的机器的MAC地址来配置此端口，以防止MAC地址洪泛和arpspoof。在极端重要的网络，如DMZ，在每台终端机器上使用静态ARP表，对LAN上的所有系统进行MAC地址的硬编码。网络攻击手段准备阶段传输过程中的窃听IP地址欺骗会话劫持拒绝服务攻击维护访问权后门和木马IP地址欺骗（1）IP地址欺骗

通过改变或伪装系统的IP地址进行攻击。

可帮助攻击者对那些使用IP地址来当作验证方式和过滤方法的应用程序进行破坏。简单欺骗型攻击者很容易改变其IP地址，使用一种工具来产生具有所需IP地址的数据包。典型工具Nmap和dsniff都是利用后一种方法来产生欺骗性数据包的。如果攻击者想不让人知道数据包洪泛或DOS攻击的数据包来向，简单欺骗是个不错的选择。但有很大的限制。假冒攻击存在的问题例：EVE是攻击者，ALICE是被假装者，BOB是目标受害者。过程:EVE与BOB打开一个连接，假冒A发送3次握手的第一个数据包TCPSYN（A，ISNa）；然后是3端握手第二步，BOB发送ACK（A，ISNa）SYN（B，ISNb）给ALICE当ALICE收到此数据包时，因为它本身并没进行3次握手第一步，所以它将发送RESET信息，断开连接，从而使EVE不能假装成ALICE和BOB交互，EVE也就无从截获数据流量。如果EVE和BOB是在同一个LAN上，简单攻击能够以交互方式进行，因为EVE可以从LAN上面截获BOB发出给ALICE的回应信息，并利用ARP欺骗来防止ALICE的RESET信息将连接终止。破坏UNIX的r命令型

所谓“UNIX信任”是指当一个UNIX系统信任另一个时，用户可以登录到被信任主机，使用r-命令（如rlogin、rsh、rcp）对信任主机进行访问时无需提供密码。IP地址欺骗（2）3个终端都使用UNIX系统，而ALICE被BOB系统信任。这样，攻击者只要在欺骗攻击中成功使用了ALICE的地址，他就能在BOB系统上执行命令而无需提供密码。具体步骤：EVE打开到BOB的TCP连接，不断的发送TCPSYN数据包

可以帮助EVE猜测出BOB的SYN-ACK中的初始序列号随时间变化的规律，从而猜测出在第5)步中将会使用的初始序列号，当然如果猜错，将前功尽EVE对ALICE发动拒绝服务攻击，使ALICE在一段时间内变哑，不能发送RESET数据包，于是欺骗性的TCP连接不会断掉了。EVE使用ALICE的地址同BOB建立连接（极可能使用rsh这类命令），完成3次握手第一步。BOB回应数据包给ALICE

由于ALICE受到拒绝服务攻击，不能发送RESET数据包。EVE向BOB发送ACK里面的ISNb（直到猜对）是猜的，而且还是使用ALICE的IP地址来进行欺骗。BOB认为ALICE与他建立了一个TCP连接，并使用了r-命令。EVE可以假装成ALICE发送命令给BOB，BOB将执行这些命令。BOB的所有回应都将被发送给ALICE，因此，EVE真正并没有同BOB建立交互连接。EVE只是发送命令，BOB将执行命令并发送回应给ALICE（仍然哑着），这就建立了一个单向的命令发送管道，EVE可以重新配置BOB以获得完全的交互访问权。比如EVE可以将其IP地址加进/etc/hosts.equiv文件，使得BOB信任EVE，这样，以后就可以直接使用r-命令登录BOB，而不用使用欺骗手段了。ISNA的猜测源路由欺骗型源路由发送数据包的源机器可以指定此数据包在网络上要经过的途径。EVE产生带有虚假路由的数据包

路由为（ALICE→EVE→BOB）。任何在EVE和BOB之间的路由器都会读取此路由，并将数据包转发给BOB。BOB将对此数据包作出反应。

回应将会将此源路由翻转过来（BOB→EVE→ALICE）。BOB产生的数据包将会被传到EVE，因为EVE是源路由的一部分，它将截获这些数据包并不再转发（否则会导致ALICE发出RESET）。IP地址欺骗（3）源路由很少通过Internet进行，因为大多数单位在它们的Internet网关上都封掉了源路由的数据包。然而，在许多单位的内部网里，源路由仍是可行的，因此内部人员仍可能使用这种攻击手段。源路由欺骗IP欺骗的防范方法（1）

必须确保你的TCP堆栈所产生的序列号不容易被猜测。

添加操作系统提供商最新提供的安全补丁。使用Nmap工具对自己的系统进行扫描，以测试其初始序列号的可预测性。对UNIX系统，不要使用脆弱的r-命令，使用安全的方式，如SSH或VPN来代替r-命令。在边界路由器和防火墙上实施“反欺骗”包过滤。禁止带有源路由的数据包通过网关，对cisco路由器而言，使用noipsourceroute命令就可以使网关将带有源路由的数据包抛弃了。必须注意整个环境中信任关系。应该杜绝将UNIX和WindowsNT的信任关系通过不被保护的网络（如通过Internet防火墙）进行扩展。甚至连商业伙伴之间链路上的信任关系也应该被避免，只有在必要的商业需要时，系统之间的信任关系才应该十分谨慎的在安全的内部网上建立。IP欺骗的防范方法（2）

网络攻击手段准备阶段传输过程中的窃听IP地址欺骗会话劫持拒绝服务攻击维护访问权后门和木马会话劫持

当用户和一台机器建立了一个交互式的登录会话时，攻击者可使用会话劫持工具将此会话从用户那里偷过来。不易被发现。当用户发现会话不见了，大多数人认为是网络故障所致，因此会重新登录，他们并没有意识到会话并没有断掉，而是被偷掉了。会话劫持举例ALICEBOB建立了一个telnet会话TCP序列号猜测：EVE处于它们之间的网段上，使用嗅探工具看到此会话。仔细检查数据包的TCP序列号。会话劫持的过程：在ALICE和BOB通信的某一时刻，EVE打算劫持此连接，他开始将源地址为ALICE的假冒流量注入网络中，数据包所使用的TCP序列号是正确的。如果劫持成功，BOB将把EVE当作ALICE而执行收到的EVE发出的命令，EVE巧妙的把ALICE手上的会话给偷掉了。会话劫持举例基于主机的会话劫持在UNIX系统上，如攻击者在ALICE或BOB上有了root权限，基于主机的会话劫持工具可让攻击者与本地终端设备（UNIX系统上的tty，用于telnet和rlogin会话）进行交互。

tty是被多种命令行程序（如telnet和rolgin）用来从用户键盘获得信息和在屏幕上以ASCII方式显示信息的软件工具。

攻击者就可以直接从受害者的tty上读取所有的会话信息，甚至向tty里输入击键符，这样便对会话有了完全的控制权。当攻击者没有ALICE或BOB机器上的账号时，基于网络的会话劫持工具十分有用，相反，截获会话的最简单方法就是使用基于主机的会话劫持。典型的会话劫持的工具有Hunt、Dsniff的sshmitm工具、IPWatcher、TTYSnoop等。防御会话劫持必须实施在防御欺骗攻击中所提及的方法使用如SSH这样的加密方法或VPN以提供安全会话。

对非常重要的系统，如防火墙、路由器和安全系统，即使在穿过内部网时也要使用加密会话。注意到Dsniff可用来劫持SSH连接，因此在使用SSH时应使用版本2的协议，并密切注意有关服务器公钥改变的信息，如果服务器公钥不明不白的改变了，不要进行连接，而是要对其做调查。网络攻击手段准备阶段传输过程中的窃听IP地址欺骗会话劫持拒绝服务攻击维护访问权后门和木马拒绝服务攻击DoS一种通过耗尽CPU、内存、带宽以及磁盘空间等系统资源，来阻止或削弱对网络、系统或应用程序的授权使用的行为。

基于本地的拒绝服务攻击基于远程的拒绝服务攻击攻击举例：2000年大商业网站Yahoo!,eBay,A,eTrade

绰号MafiaBay15岁加拿大少年，青少年罪犯感化中心服刑8个月2001年，微软旗下的

遭受DoS,在一天上午和下午的部分时间只能响应2%的合法请求。基于本地的拒绝服务攻击停止本地服务杀死进程：一个有足够权限的攻击者（如系统管理员）可以很容易的在‘DoS’攻击中杀死本地进程。如服务器进程重新配置系统：拥有足够权限的攻击者能重新配置系统，使其不再提供服务或者过滤掉特定的用户。例如，在一个WindowsNT文件服务器上，攻击者可以简单通过网络设置停止文件共享，以阻止合法用户远程访问此文件服务器有价值的数据。使进程崩溃：如果攻击者没有超级权限，他们也可以利用系统的弱点使进程崩溃。例如：攻击者可以通过向本地机任意输入大量的随机数据使堆栈缓冲区溢出。由于在溢出攻击期间入栈的返回指针是随机的，所以目标继承很容易崩溃，使系统拒绝用户访问消耗本地资源

填充进程表一个攻击者可能会写一个程序，使用这种程序，攻击者就能像系统为用户启动进程那样迅速的建立新进程。最后，计算机的进程表被填满了，从而阻止了正常用户开启进程并拒绝任何的访问。

填充文件系统通过不断的给文件系统发送大量的数据，攻击者能将文件分区表填满，阻止其他用户建立文件，还有可能使系统崩溃。发送网络数据，阻塞通信链路攻击者写一个程序，给被攻击的系统发送伪造的网络信息，消耗处理器和连接线路带宽。如果攻击者的程序能生成足够多的数据包，合法用户就不能与系统交换数据。

基于远程的拒绝服务攻击（1）

远程终止服务

Land型数据包：

发送一个假的数据包，它的源IP地址和端口号均与目标主机相同。目标主机就会收到这样的数据包，来自本主机同一端口且同时到达。旧的TCP/IP栈在这种未知的情况下就会造成混乱，甚至崩溃。

Latierra型数据包：与Land型数据包类似，但会同时给多个端口发送多种类型的Land数据包。

PingofDeath型数据包：

发送一个超长的数据包，当主机收到时，由于旧的TCP/IP栈不能有效处理一个大于64K的Ping包而崩溃。Jolt2型数据包：发送一些数据包碎片，长度为零。因此这些空的数据包碎片看起来像一串数据包的第一个。只要这种数据包碎片发送出去，目标主机会耗尽处理器全部能力来重新组装这些数据包碎片。Teardrop、Newtear、Bonk、Syndrop等类型的数据包

：发送重叠的数据包碎片，在数据包头内碎片的长度被设置为不正确的值，所以主机对这些数据包碎片组装时不能对其正确排队。一些TCP/IP栈就会崩溃。

Winnuke型数据包：

向一个Windows主机的开放文件共享系统端口（如TCP端口139）发送垃圾数据，当端口收到这种数据时，由于不能用合法的服务器信息块（SMB）协议对其进行格式化，导致系统瘫痪。消耗远程资源远程占用目标主机的资源，特别是通信链路的带宽。在这种方式的攻击中，攻击者会利用数据包洪来消耗你所有的网络处理能力。

SYNFLOOD攻击

Smurf攻击

UDP泛洪

基于远程的拒绝服务攻击（2）

正常的三段握手图例SYNFLOOD攻击利用服务器的连接缓冲区（BacklogQueue），利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。

SYN请求超过了服务器能容纳的限度，缓冲区队列满，服务器就不再接收新的请求了。Smurf攻击Smurf是一种简单但有效的拒绝服务攻击技术，它利用了ICMP(Internet控制信息协议)。Smurf是用一个偷来的帐号安装到一个计算机上的，然后用一个伪造的源地址连续ping一个或多个计算机网络，这个伪造的源地址，实际上就是攻击的目标，它将被极大数量的响应信息量所淹没。attackerICMPechoreqSrc:targetdst:xxx.xxx.xxx.255EchoreplyEchoreplyEchoreplytargetUDP泛洪发送UDP数据包到诊断回送服务（在服务器上默认允许），服务器会回应一个带出是数据内容的UDP数据包给源地址，消耗网络带宽常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100kpps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。分布式拒绝服务攻击（DDoS）

DDoS攻击分为3层：攻击者

主控端

代理端发起DDoS攻击的步骤寻找Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。在攻击者的调遣下对攻击对象发起攻击。特点：幕后操纵，不易跟踪。被DDoS攻击时的现象被攻击主机上有大量等待的TCP连接网络中充斥着大量的无用的数据包，源地址为假制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求严重时会造成系统死机常用DDoS攻击工具Trin00

Trin00是复杂的DDoS攻击程序，它使用“master”

程序对实际实施攻击的任何数量的“代理”程序实现自动控制。攻击过程：攻击者连接到安装了master程序的计算机，启动master程序根据一个IP地址的列表，由master程序负责启动所有的代理程序。代理程序用UDP信息包冲击网络，从而攻击目标。条