火龙果常见的网络攻击关键技术原理剖析

第12章常用的网络攻击关键技术网络攻击是一系列技术的综合运用，攻击者必须掌握各种关键攻击技术，理解个各种攻击技术的局限性和限制条件，才能够在攻击的实战中灵活运用，做到攻无不克。对防御者要了解攻击技术的内涵，才会涉及有效的安全策略，建立有效的安全机制，构造可靠的安全防御系统，做到坚不可摧。主要内容口令破解技术原理网络嗅探技术原理网络端口扫描技术原理缓冲区溢出攻击技术原理拒绝服务攻击技术原理口令破解技术原理口令机制是资源访问控制的第一道屏障。计算机软件硬件技术的发展，使口令攻击更为有效。CUP速度有了很大的提高网络的普及分段攻击算法的扩展用户仍然喜欢选用容易记忆的口令口令攻击的条件和技术防范条件：高性能的计算机大容量的在线字典或其他字符列表已知的加密算法可读的口令文件口令以较高的概率包含于攻击字典中。口令攻击步骤：获取口令文件用各种不同的加密算法对字典或其他字符表中的文字加密，并将结果与口令文件进行对比常用的口令攻击技术暴力破解攻击者通过穷尽口令空间获得用户口令，通常攻击者根据口令字的长度、特征、各种字符组合方式选择某个口令空间进行攻击。猜测攻击攻击者根据若干知识编写口令字典，然后根据该字典通过猜测获得用户的口令。UNIX系统口令攻击UNIX系统用户的口令保存在一个加密后的文本文件中，一般放在/etc目录下，文件名为passwd/shadowUNIX系统出于安全需要，防止普通用户读取口令文件，将passwd文件一分为二，把与用户口令相关的域提出组成另外一个文件，叫shadow，只有超级用户才能读取。口令文件中每行代表一个用户条目：Logname:passwd:uid:gid:userinfo:home:shell例如root的条目Root:xydefctrti1.m.y2:0:0:admin:/:/bin/shUNIX系统中，口令文件作了shadow变换，在破解的时候，需要做Unshadow变换，将passwd和shadow文件合二为一。UNIX口令加密算法采用多重DES，理论上破解难度非常大。UNIX口令加密原理UNIX系统使用函数crypt加密用户的口令，当用户登录时，系统并不是去解密已经加密的口令，而是将输入的口令明文字符串传给加密函数，将加密函数的输出与/etc/passwd文件中该用户条目的passwd域进行比较，若成功则允许登陆Crypt基于数据加密标准des，将用户输入的口令作为密钥，加密一个64位的0/1串，加密的结果用用户的口令再次加密；重复该过程，一共进行25次。最后输出一个11字节的字符串，存放在passwd的密码域。口令破解工具crack的工作流程1、下载或自己生成一个字典文件2、取出字典文件中的每一条目，对每个单词运用一系列规则：使用几个单词和数字的组合大小写交替使用把单词正反拼写后，接在一起在每个单词的开头或结尾加上一些数字3、调用系统的crypt函数对使用规则生成的字符串进行加密变换4、再用一组子程序打开口令文件，取出密文口令，与crypt的输出进行比较。循环第二步和第三步，直到口令破解成功。网络服务口令攻击流程建立与目标网络服务的网络连接选取一个用户列表文件及字典文件在用户列表文件及字典文件中，选取一组用户和口令，按网络服务协议规定，将用户名和口令发送给网络服务端口。检测远程服务返回信息，确定口令尝试是否成功。再取另一组用户和口令，重复循环测试，直至口令用户列表文件及字典文件选取完毕。增强口令安全性的方法除口令验证程序外，使口令文件完全不可读（包括超级用户）在用户选择密码时对密码进行过滤对字典或字符列表进行扫描，提出用户选择的弱口令通过口令与智能卡相结合的方式登录采用某种机制动态的生成一次性口令网络嗅探技术原理网络嗅探器是一种黑客工具，用于窃听流经网络接口的信息，从而获取用户会话信息。一般的计算机系统通常只接收目的地址执行自己的网络包，其他的被忽略。但在很多情况下，一台计算机的网络接口可能受到目的地址并非是自身的网络包。在完全广播子网中，所有涉及局域网中任何一台主机的网络通信内容均可被局域网中所有的主机接收到，这就使得网络窃听特别容易。目前网络窃听都是基于以太网的，原因就是以太网广泛的用于局域网。网络嗅探的问题如何使网络接口卡接受目的地址不是指向自己的网络包如何从数据链路层获取这些包（普通的网络编程接口不行）以太网提供了杂模式，在该模式下，逐级的网络接口接听所有经过的网络介质的数据，包括那些目的地址并不指向该主机的网络包不同的UNIX系统提供了不同的数据链路存取方法。网络嗅探器工作流程打开文件描述字，打开网络接口、专用设备或网络套接字。得到一个文件描述字，以后所有的控制和读、写都针对该描述字设置杂模式，把以太网络接口设置为杂模式，使之接收所有流经网络介质的信息包设置缓冲区。缓冲区用来存放从内核缓冲区拷贝过来的网络包。设置过滤器。过滤器使得内核只抓取那些攻击者感兴趣的数据包，而不是所有的流经网络介质的网络包，可以减少不必要的拷贝和处理。读取包。从文件按描述字中读取数据，一般来说，就是数据链路层的帧。过滤、分析、解释、输出：主要是分析以太网包头和TCP/IP包头中的信息，选择出用户感兴趣的网络数据包，然后对应用层协议及的数据解释，把原始数据转化成用户可理解的方式输出。常用的网络嗅探工具TCPdump：Sniffit:http://reptile.rug.ac.be/Snort:…………网络嗅探的防范网络嗅探对明文传递的网络报具有威胁，但是该攻击要想成功需要一定的条件。一般用于内部攻击，因为内部人员可以很方便的访问网络。网络端口扫描技术原理一个端口就是一个潜在的通信通道，就是一个入侵通道。端口扫描通过选用远程TCP/IP不同的端口服务，并记录目标给予的回答，就可以搜集到很多关于目标逐级的有用信息。扫描器不是一个直接攻击网络漏洞的程序，它仅仅能够帮助攻击者发现目标机的内在弱点。网络端口扫描技术分析1、完全连接扫描完全扫描连接利用TCP/IP三次握手连接机制，使源主机和目的逐级的某个端口建立一次完成的连接。如果建立成功，则表明该端口开放，否则表明该端口关闭。2、半连接扫描半连接扫描指在源主机和目的逐级的三次握手连接过程中，只完成前两次握手，不建立一次完整的连接。3、SYN扫描首先向目标主机发送连接请求，当目标逐级返回响应后，立即切断连接过程，并察看相应情况。如果目标逐级返回rst信息，表明该端口没有开放。4、ID头信息扫描此种扫描方法需要用一台第三方机器配合扫描，并且这台机器的网络通信量要非常的少，即dump主机，首先由源主机A向dump主机B发出连续的ping数据包，并且查看B返回的数据包的ID头信息。一般而言，每个顺序数据包的ID头的值会顺序增加1，然后由源主机A假冒主机B向目的主机C的任意端口发送SYN数据包。这时主机C向B发送的数据包有两种可能的结果：1、syn|ack，表示该端口处于监听状态2、rst|ack，表示该端口处于非监听状态5、隐蔽扫描隐蔽扫描是指能够成功绕过IDS、防火墙和监视系统等安全机制，缺的目标主机端口信息的扫描方式。6、SYN|ACK扫描由源主机向目标主机的某个端口直接发送syn|ack数据包，而不是先发送syn数据包。由于这种方法不发送syn数据包，目标主机会认为这是一次错误的连接，从而会报错。如果目标逐级的该端口没有开放，则会返回rst信息。如果目标主机的该端口处于开放状态，则不会返回任何信息，而直接将这个数据包抛弃掉。7、FIN扫描源主机向目标逐级发送fin数据报，然后查看反馈信息，如果端口返回rst信息，则说明该端口关闭。如果没有任何返回信息，则说明该端口开放。8、ACK扫描首先由主机A向主机B发送Fin数据包，然后查看反馈数据包的TTL值和WIN值。开放端口所返回的数据包的TTL值一般小于64，而关闭端口的返回值一般大于64。开放端口所返回数据包的Win值一般大于0，而关闭端口的返回值一般等于0。9、NULL扫描将源主机发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志为全部置空。如果目标主机没有返回任何信息，则表明该端口是开放的。如果返回RST信息，则端口是关闭的。10、XMAS扫描XMAS扫描的原理和NULL扫描相同，只是将要发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志为全部置成1，如果目标主机没有返回任何信息，则表明该端口是开放的。如果返回RST信息，则端口是关闭的。缓冲区溢出攻击技术原理在网络攻击技术的发展历程中，缓冲区溢出攻击逐渐成为最有效的一种攻击技术。原因是缓冲区溢出漏洞给予攻击者控制程序执行流程的机会。攻击者将特意构造的攻击代码植入到有缓冲区溢出漏洞的程序之中，改变程序的执行过程，就可以得到被攻击逐级的控制权。缓冲区溢出攻击技术分析缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能，这样可以使攻击者取得程序的控制权。需要解决两个问题：在缓冲区溢出程序的地址空间里安排适当的代码通过适当初始化寄存器和存储器，令程序跳转到攻击者所安排的地址空间执行攻击代码。第一个问题有两种方法可以解决：植入法和程序运行控制法第二个问题的解决方法为：激活记录函数指针长跳转缓冲区缓冲区溢出攻击的防范1、完善程序，对程序中定义的缓冲区设置严格的边界检查。2、对于在操作系统中已经出现的缓冲区溢出漏洞，应当尽快查找并安装补漏程序。3、应急方法，将存在缓冲去溢出漏洞的程序设置用户权限暂时去掉：Chmodu-s文件名拒绝服务攻击技术原理拒绝服务攻击是指攻击者利用系统的缺陷，通过执行一些恶意的操作使得合法的系统用户不能及时得到应得的服务或系统资源。拒绝服务具有难确认性、隐蔽性、复杂性等特点。拒绝服务攻击技术分析1、资源消耗前面讲述过。2、配置修改计算机系统配置不当可能造成系统运行不正常，甚至根部不能运行。攻击者通过改变或者破坏系统的配置信息，阻止其他合法用户使用计算机网络提供的服务。这种攻击主要有：改变路由信息；修改WindowsNT注册表；修改UNIX系统的各种配置文件等。3、基于系统缺陷攻击者利用目标系统和通信协议的漏洞实现拒绝服务攻击。例如，一些系统出于安全考虑，限制用户试探口令次数和注册等待时间。当用户口令输入次数超过若干次，或者注册等待时间超过某个时间值，系统就会停止该用户的帐号使用权。攻击者利用系统这个安全特点，有意输错口令导致系统锁定该用户帐号，致使该用户得不到应有的服务。4、物理实体破坏这种拒绝服务攻击针对物理设备，攻击者通过破坏或改变网络部件实现拒绝服务攻击，其攻击的目标包括：计算机、路由器、网络配线室，网络主干段，电源、冷却设备等。拒绝服务攻击实例SYNflood攻击者假造源网址送多个同步数据包（SynPacket）给服务器，服务器因无法收到确认数据包，使TCP/IP协议的三次握手无法顺利完成，因而无法建立连接。其原理是发送大量半联结状态的服务请求，使得服务器主机无法处理正常的连接请求，因而影响正常运作。UDP风暴利用简单的TCP/IP服务，如用chargen和echo传送毫无用处的数据占满带宽。通过伪造与某一主机的chargen服务之间的一次UDP连接，回复地址指向开放echo服务的一台主机，生成在两台主机之间的足够多的无用数据流。Smurf攻击一种简单的Smurf攻击是，将回复地址设置成目标网络广播地址的ICMP应答请求数据包，使该网络的所有主机都对此ICMP应答请求做出应答，导致网络阻塞，比死亡之ping洪水的流量刚出一个或两个数量级。更加复杂的Smurf攻击将源地址改为第三方的目标网络，最终导致第三方网络阻塞。垃圾邮件攻击者利用邮件系统制造垃圾信息，甚至通过专门的邮件炸弹程序给受害用户的信箱发送垃圾信息，耗尽用户信箱的磁盘空间，使用户无法应用这个信箱。消耗CPU和内存资源的拒绝服务攻击比如“红色代码”和NIMDA病毒Pingofdeath（死亡之ping）早期路由器对包的最大尺寸都有限制，许多操作系统在实现TCP/IP堆栈时，规定ICMP包小于等于64KB，并且在对包的标题头进行读取之后，要根据该标题头中包含的信息为有效载荷生成缓冲区。当产生畸形的、尺寸超过ICMP上限的宝，即加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，使对方停机。