计算机网络安全与管理：第十一讲 网络攻击

计算机网络安全与管理

第十一讲网络攻击本讲内容恶意软件本地攻击口令攻击拒绝服务攻击

参看图2.1与图2.2，（见书）我们可以看到：当系统未联网时若对财务系统进行攻击需要设法进入财务室设法获得机器口令设法看到文件内容当联网时对财务系统的攻击可以通过内部网络设法进入财务室通过互联网进入系统计算机攻击者的基本步骤侦查，了解目标相关信息选择目标，使用合适的手段进行攻击入侵系统擦除入侵痕迹所需的基本知识C，C++，汇编，Perl等语言了解网络原理（特别是TCP/IP)了解操作系统对加密算法有所了解本地攻击攻击除了按照攻击手段可以分为主动被动还可依照攻击者身份分为本地攻击（内部攻击）与外部攻击就是指内部人员，利用其有利条件，直接操作被攻击系统，达到攻击目的。本地网络不一定是基于网络的Windows与Unix的本地攻击Windows：许多安全性问题来源于其用户友好性。本地攻击比较容易Unix：具有良好的开放性，学术性Unix复习Shell，文件权限，用户权限等Unix下的攻击举例配置文件/etc/passwd单用户模式更改权限如（.）,suid,网络文件系统nfs等通过前面的举例，我们可以看到，入侵者的目标就是获得一个系统的访问权，或者提高一个系统上访问权的范围。一般来说，这需要入侵者得到原本应该受到保护的信息口令攻击比较典型的情况下，系统需要维护将用户与口令联系起来的文件口令文件可以采用两种方法进行保护单向加密：系统存储加密形式的用户口令（通过单向变换实现）。当用户提供口令时，系统对口令进行加密然后将它与存储的值进行比较。访问控制：将口令文件的访问权限限制为只有一个或非常少的账户常见的用户口令获取方法观察木马程序口令猜测：比如用户相关信息来自不同词典中的单词尝试上一种的不同形式：大小写，0与o等来自第二步但在第三种没包括的流量监听口令选择策略用户教育计算机生成口令反应的口令检查预先的口令检查简单约束系统编译一个可能的坏口令字典侦查侦查是网络攻击的初始步骤通过侦查，攻击者可以了解被攻击目标的各种信息，比如，网络的拓扑。IP地址、对外提供的服务，电话号码，操作系统类型，版本等等侦查的分类公开信息的收集搜索引擎地址，相关报道等等基本的网络信息收集通过查询域名注册机构，即whois服务器具体网络信息收集Nslookup，ping，traceroute/tracert,nmap,fping、gping侦查的分类主机信息收集通常通过扫描工具实现系统资源收集Unix：共享网络获取，用户，组权限获得，应用程序信息获取Windows：共享网络资源获取，用户，组帐号获取，应用程序信息获取软件漏洞攻击缓冲溢出输入处理竞争条件系统配置设计漏洞缓冲溢出是一种非常常见的攻击，针对缓冲溢出的漏洞进行攻击相关的应对方法已知仍旧被关注老的有问题的代码粗心问题，有问题的函数如strcpy和strcat等缓冲区溢出缓冲就是一段存放数据的连续内存，如数组。进程在运行的时候，其在内存中的存储被分为三个区域：代码段，数据段，堆栈段。堆栈是一种简单的数据结构，是一种只允许在其一端进行插入或删除的线性表。

允许插入或删除操作的一端称为栈顶，另一端称为栈底，对堆栈的插入和删除操作被称入栈和出栈。

有一组CPU指令可以实现对进程的内存实现堆栈访问。其中，POP指令实现出栈操作，PUSH指令实现入栈操作。

CPU的ESP寄存器存放当前线程的栈顶指针，

EBP寄存器中保存当前线程的栈底指针。

CPU的EIP寄存器存放下一个CPU指令存放的内存地址，当CPU执行完当前的指令后，从EIP寄存器中读取下一条指令的内存地址，然后继续执行。恶意程序（1）探寻系统弱点的程序被称为恶意程序需要宿主机的陷门，逻辑炸弹，病毒，等独立的可被操作系统调度和运行的自包含程序蠕虫，细菌，病毒等恶意程序病毒蠕虫逻辑炸弹特洛伊木马后门移动代码Auto-rooterKitSpammerandFlooder程序RootkitZombie陷门陷门使进入程序的秘密入口，它使得知道陷门的人可以不经过通常的安全访问过程进行访问逻辑炸弹在病毒和蠕虫之间最古老的程序威胁之一嵌入某个合法程序中的一段代码，当满足一定条件是会“爆炸”特洛伊木马特洛伊木马是一个有用的，或表面上有用的程序或命令过程，包含了一段隐藏的，激活时进行某种不想要的或有害功能的代码完成非授权用户不能完成的功能破坏、获取陷门蠕虫网络蠕虫使用网络连接从一个系统传播到另一个系统。繁殖期一般执行下面功能通过检查主机表或类似的存储中远程系统地址来搜索遥感染的其他系统。建立与远程的连接复制自身并执行细菌细菌使一些不明显破坏文件的程序，他们的唯一目的就是繁殖自己典型的例子：多道程序系统中同时执行自己的两个副本，或者可能创建两个新的文件外，每个都是细菌原始源文件的复制品。通过指数级复制，最终耗尽所有的处理机能力、存储器或磁盘空间病毒感染程序的“软件片”使程序包含其当宿主程序运行时运行与操作系统与硬件有关标准的病毒的通过下面的步骤潜伏（静止）繁殖触发（启动）执行病毒结构组成：感染机制触发器载荷prepended/postpended/embedded当被感染程序运行时先执行病毒代码在执行原程序代码阻止初始感染（困难）组织传播（访问控制）病毒结构压缩病毒病毒分类由感染位置分类引导区病毒寄生病毒宏病毒由隐藏方式隐形病毒：反病毒软件检测时隐藏多形病毒：能够更改签名变形病毒：迭代更改宏病毒自90年代中期很普遍平台无关感染文档而不是代码可执行部分易于传播Office的宏功能嵌入doc的可执行代码常用basic编写新的后继版本增加了保护很多防病毒软件也能识别邮件病毒更新的病毒e.g.Melissa利用附件中的宏附件打开，宏激发发邮件给所有列表中用户本地破坏反病毒预防：很难实现相对好的解决方法：检测标识清除当探测到但却不能识别或清除时应能丢弃，提代被感染程序反病毒的进化简单的扫描程序不依赖专门的签名。采用：启发式的规则；完整性检查是一些存储器驻留程序，通过病毒动作而不是通过其在被感染程序中的结构来识别有不同联合适用的反病毒技术组成的反病毒包类属解密GenericDecryption通过GD扫描器来运行可执行程序CPU模拟器：基于软件的虚拟计算机病毒签名扫描器：模拟控制模块：控制代码运行每次模拟的开始执行目标代码的指令，病毒完成了暴漏自身。目标代码不产生实际破坏困难在于一次运行多长时间数字免疫系统行为阻止软件蠕虫通过网络传播email,远程exec,远程login与病毒有相同的阶段:睡眠,传播,触发,执行传播阶段:寻找目标，连接，复制执行伪装成系统软件概念来自Brunner’s“TheShockwaveRider”实现于XeroxPaloAltolabsin1980’sMorrisWorm已知的最好病毒之一RobertMorris1988多样的攻击UNIX系统破解password文件执行login/password来logon到其他系统搜索fingerprotocol漏洞搜索sendmail漏洞如果成功获得远程Shell权限发送引导程序拷贝病毒最近的蠕虫攻击CodeRedJuly2001exploitingMSIISbug尝试随机ip地址消耗网络容量CodeRedII变种包括后门SQLSlammerearly2003,攻击MSSQLServer非常紧凑传播快速Mydoommass-mailinge-mailwormthatappearedin2004安装后门蠕虫技术multiplatformmulti-exploitultrafastspreadingpolymorphicmetamorphictransportvehicleszero-dayexploit蠕虫对策多次重叠使用反病毒机制oncewormonsystemA/Vcandetect蠕虫导致一场网络行为蠕虫防御包括基于签名的蠕虫过滤基于过滤器的蠕虫围堵基于有效载荷分类的蠕虫防御thresholdrandomwalkscandetection速率限制ProactiveWormContainmentNetwork