计算机系统安全常用攻击手段

计算机系统安全常用攻击手段1第1页，共56页，2023年，2月20日，星期四口令“入侵者”

什么是口令“入侵者”口令入侵者是指任何可以解开口令或屏蔽口令保护的程序。一个口令入侵者并不一定能够解开任何口令，事实上，多数破解程序都做不到。但是，可以使用仿真工具，利用与原口令程序相同的方法，通过对比分析，用不同的加密口令去匹配原口令。许多所谓的口令“入侵者”都使用“蛮力”。

四、口令入侵

2第2页，共56页，2023年，2月20日，星期四口令“入侵者”

Windows9x口令：口令文件存储在c:\windows下，如果用户名为test，则口令文件是test.pwl，该文件存储着加密后的口令。Unix系统：口令存放于/etc/passwd或/etc/shadow中破解密码的工具：JohntheRipper简单；字典；穷举模式Windows系统：Pwdump，L0phtCrack流光IV：远程在线破解字典+扫描3第3页，共56页，2023年，2月20日，星期四特洛伊木马(Trojans)五、特洛伊木马

特洛伊木马是指黑客用来远程控制目标计算机的特殊程序。凡是非法驻留在目标计算机里，并执行预定的操作，窃取目标的私有信息，都属于特洛伊木马。工作方式：多数为C/S模式，服务器端安装在目标机里，监听等待攻击者发出的指令；客户端是用来控制目标机器的部分，放在攻击者机器上。木马“PasswdSender”(口令邮差)可以不需要客户端。4第4页，共56页，2023年，2月20日，星期四木马的伪装冒充图象文件或游戏程序捆绑程序欺骗将木马程序与正常文件捆绑为一个程序伪装成应用程序扩展组件木马名字为dll或ocx类型文件，挂在一个有名的软件中。后两种方式的欺骗性更大。5第5页，共56页，2023年，2月20日，星期四木马的特点隐蔽性强：木马有很强的隐蔽性,在Windows中,如果某个程序出现异常,用正常的手段不能退出的时候,采取的办法是按“Ctrl＋Alt＋Del”键,跳出一个窗口,找到需要终止的程序,然后关闭它。早期的木马会在按“Ctrl＋Alt＋Del”显露出来,现在大多数木马已经看不到了。所以只能采用内存工具来看内存中是否存在木马。功能特殊：6第6页，共56页，2023年，2月20日，星期四五、特洛伊木马

潜伏能力强：表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来。Glacier(冰河)有两个服务器程序，挂在注册表的启动组中的是C:\Windows\System\Kernel32.exe,当电脑启动时装入内存,这是表面上的木马;另一个是:\Windows\System\Sysexplr.exe,也在注册表中,它修改了文本文件的关联,当点击文本文件的时候,它就启动了,它会检查Kernel32.exe是不是存在。当Kernel32.exe被删除以后,如果点击了文本文件,那么这个文本文件照样运行,而Sysexplr.exe被启动了。Sysexplr.exe会再生成一个Kernel32.exe。7第7页，共56页，2023年，2月20日，星期四木马的分类远程访问型密码发送型键盘记录型毁坏型：删除文件FTP型:打开目标机21端口，上传、下载木马发展趋势与病毒结合，使之具有更强感染特性；跨平台型；模块化设计：组件；即时通知8第8页，共56页，2023年，2月20日，星期四特洛伊木马启动方式五、特洛伊木马自动启动：木马一般会存在三个地方:注册表、win.ini、system.ini，因为电脑启动的时候，需要装载这三个文件。在autoexec.bat、config.sys、启动组中易被发现。捆绑方式启动：木马phAse1.0版本和NetBus1.53版本就可以以捆绑方式装到目标电脑上,它可以捆绑到启动程序或一般常用程序上。捆绑方式是一种手动的安装方式。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。修改文件关联。如用木马取代notepad.exe来打开txt文件。9第9页，共56页，2023年，2月20日，星期四木马服务器存放位置及文件名五、特洛伊木马木马的服务器程序文件一般位置是在c:\windows和c:\windows\system中,因为windows的一些系统文件在这两个位置。木马的文件名总是尽量和windows的系统文件接近,比如木马SubSeven1.7版本的服务器文件名是c:\windows\KERNEL16.DL,而windows由一个系统文件是c:\windows\KERNEL32.DLL,删除KERNEL32.DLL会让机器瘫痪。木马SubSeven1.5版本服务器文件名是c:\windows\window.exe,少一个s10第10页，共56页，2023年，2月20日，星期四几种典型的木马BO(BackOrifice后门)：由旧金山的黑客组织CultofDeadCow开发。对微软的讽刺。组成：Boconfig.exe,Boserve.exe,Boclient,Bogui.exe,

freeze.exe压缩,Melt.exe解压。功能：搜集信息，执行系统命令，重新设置系统，重定向网络的C/S的应用程序。破坏作用：泄露目标机上的口令，磁盘信息，文件信息，传输文件，修改注册表，删改文件，捕捉屏幕信息，锁死机器。11第11页，共56页，2023年，2月20日，星期四几种典型的木马BO的手工清除：

regeditHKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Runservices删除键值为“.exe”的项目退出regedit，删除Windows\System下的“.exe”机器重启。如果BO服务器已经由Boconfig.exe重新配置，则BO服务器可能已不再是“空格.exe”，并产生文件WINDLL.DLL。12第12页，共56页，2023年，2月20日，星期四冰河的客户端界面五、特洛伊木马文件管理器:有关文件的操作命令控制台:向目标计算机发送命令。

13第13页，共56页，2023年，2月20日，星期四冰河的主要功能五、特洛伊木马冰河是国产的远程监控软件，可以运行在Windows环境下。功能可以与木马BO2000相媲美。

1．自动跟踪目标机屏幕变化，同时可完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)；2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了击键记录功能；

14第14页，共56页，2023年，2月20日，星期四五、特洛伊木马3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

15第15页，共56页，2023年，2月20日，星期四冰河的主要功能五、特洛伊木马6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7．发送信息：以四种常用图标向被控端发送简短信息；8．点对点通讯：以聊天室形式同被控端进行在线交谈。

16第16页，共56页，2023年，2月20日，星期四冰河的主要组成文件五、特洛伊木马冰河2.2正式版共有4个文件，它们是：G-client.exe 冰河客户端程序G-server.exe 服务器端程序Readme.txt 自述文件Operate.ini 配置文件17第17页，共56页，2023年，2月20日，星期四冰河的主要功能:连接服务器五、特洛伊木马首先是连接目标服务器，从菜单中选择文件添加主机。填写内容：a)

显示名称：显示在程序中的名称，只用于方便记忆。b)

主机地址：填入IP地址或域名。c)

访问口令：配置服务器程序时输入的口令。d)监听端口：配置服务器程序是确定的端口号

18第18页，共56页，2023年，2月20日，星期四冰河的主要命令五、特洛伊木马口令类命令1）

系统信息及口令可以获得包括系统信息（计算机名、用户名等），开机口令，缓存口令及其它口令在内的资料。2）

历史口令可以获得目标机器从启动开始的历史口令。3）

击键记录记录目标机器上的击键。19第19页，共56页，2023年，2月20日，星期四五、特洛伊木马控制类命令1）

捕获屏幕：得到目标机器当前的屏幕图象。

屏幕控制。冰河除了把目标机器的屏幕图象显示到你的屏幕上之外，你还可以把它看作一个真正的屏幕。如果屏幕上显示对方开着一个IE窗口，你就可以点击它的关闭按钮，那么它在目标机器上就真被关闭了。

2）

发送消息向目标计算机发送消息。目标计算机会弹出一个消息框，这个消息框的类型和内容都可以由你来设置

20第20页，共56页，2023年，2月20日，星期四五、特洛伊木马3)控制目标主机的进程：点击查看进程按钮,就可以在按钮上方的列表框中看到目标机器上的所有进程。若要终止某个进程，先选中它，再执行结束进程命令。4)窗口控制：对目标计算机上的程序窗口进行远程控制。

21第21页，共56页，2023年，2月20日，星期四五、特洛伊木马5）

系统控制：远程关机、重起计算机，重新加载冰河，卸载冰河。6)鼠标控制随意锁定目标计算机上的鼠标，使其动弹不得。在你玩够之后，你也可以再解除锁定。7)其它控制22第22页，共56页，2023年，2月20日，星期四五、特洛伊木马网络类命令1)创建共享在目标机器上创建新的共享。共享名称及共享路径。2)删除共享在目标机器上删除指定的共享。3)网络信息：包括共享信息和连接信息。共享信息用来查看目标计算机上的共享资源。连接信息用来显示目标计算机的网络连接状况：包括与其连接的计算机名、用户名、通讯协议、当前状态等。23第23页，共56页，2023年，2月20日，星期四五、特洛伊木马文件类命令与文件管理器中的功能类似。1)

文本浏览2)

文件查找3)

文件压缩4)

文件复制5)

文件删除6)

文件打开7)

目录增删8)

目录复制、注册表读写24第24页，共56页，2023年，2月20日，星期四如何对付木马五、特洛伊木马1.使用杀毒软件。2.提高防范意识,不打开陌生人信中的附件，不随意下载软件。3.仔细阅读readme.txt。许多人出于研究目的下载了一些特洛伊木马程序的软件包,往往错误地执行了服务器端程序4.在删除木马之前,重要的一项工作是备份,需要备份注册表,备份你认为是木马的文件。25第25页，共56页，2023年，2月20日，星期四如何对付木马1）端口扫描2）查看连接：netstat–a命令上述两种方法对驱动程序/动态链接木马无效。3）检查注册表4）查找木马文件：如kernel32.exe,sysexplr.exe等5）文件完整性检查：开始程序附件系统工具系统信息工具系统文件检查器。如有损坏可从安装盘还原。26第26页，共56页，2023年，2月20日，星期四1、嗅探器Sniffer六、网络监听网络监听工具（也称嗅探器Sniffer）是供管理员监视网络的状态、数据流动情况以及网络上传输的信息。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。Sniffer可以是硬件或软件，用来接收在网络上传输的信息（硬件Sniffer通常称为协议分析仪）。网络可以是运行在各种协议之下的（可以是其中几种协议的联合）。放置Sniffer的目的是使网络接口（比如以太网适配器）处于广播状态（或叫混杂模式promiscuousmode），从而可截获网络上的内容。27第27页，共56页，2023年，2月20日，星期四2、网络监听的原理六、网络监听广播：网络上所有的工作站都在倾听所有传输的信息。非广播状态：工作站仅仅倾听那些发给它自己的的信息的状态。攻破网关、路由器、防火墙的情况极为少见，安全管理员安装一些网络监控设备，运行专门的监听软件，并防止任何非法访问。然而，一个黑客可能潜入一台不引人注意的计算机中，悄悄地运行一个监听程序。Sniffer就是这样的硬件或软件，能够"听"到在网上传输的所有的信息。28第28页，共56页，2023年，2月20日，星期四2、网络监听的原理六、网络监听协议分析仪通常运行在有路由器功能的主机上。当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网。sniffer只能捕获同一个物理网段内的包，就是说你和监听目标之间没有路由（交换）或其它屏蔽广播包的设备，才能接收到传输的所有信息。因此，sniffer对拨号用户没用。网络监听常常要保存大量的信息，并对收集的大量信息进行整理，因此，正在进行监听的机器对用户的请来响应很慢。29第29页，共56页，2023年，2月20日，星期四3、Sniffer的危害与预防六、网络监听Sniffer危害：能截获口令或机密信息；能攻击相邻的网络。Sniffer的预防：使用加密传输敏感数据。使用安全拓扑结构。一个网段仅由互相信任的计算机组成。每台机器通过硬连接线接到Hub。Hub再接到交换机上。30第30页，共56页，2023年，2月20日，星期四4、检测Sniffer的原理反应时间向可疑发送大量物理地址不存在的包，处于监听模式的机器回应时间延迟。观测DNS

监听软件往往会尝试进行反向地址解析，查看DNS上是否地址解析请求明显增多。利用Ping模式监测混杂模式的主机对错误地址的ICMP包会有回应。利用arp数据包监测向局域网内的主机发送非广播式的arp包来检测。31第31页，共56页，2023年，2月20日，星期四5、检测Sniffer的方法六、网络监听方法一：对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。正常的机器不接收错误的物理地址，处于监听状态的机器能接收。方法二：同上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能下降。通过比较发送前、后机器性能加以判断。32第32页，共56页，2023年，2月20日，星期四Sniffer工具Sniffit可用于Unix、Linux、NTNetXray由CincoNetworks公司开发高级数据包查错工具界面友好防止Sniffer的工具

AntiSniffer可监测同一网段内的机器，如果返回正值，则表明该机处于混杂模式，有可能已被安装Sniffer。33第33页，共56页，2023年，2月20日，星期四1、什么是拒绝服务的攻击七、拒绝服务攻击拒绝服务的攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户可用的一种攻击方式。拒绝服务的攻击降低了资源的可用性，这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器，甚至是系统管理员的时间，攻击的结果是减少或失去服务。34第34页，共56页，2023年，2月20日，星期四拒绝服务攻击方式七、拒绝服务攻击1)死亡之ping（pingofdeath）

由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方宕机。35第35页，共56页，2023年，2月20日，星期四拒绝服务攻击方式七、拒绝服务攻击2）SYNFlooding攻击对WindowsNT攻击很有效使用一个伪装的地址向目标计算机发送连接请求叫做IP欺骗技术。当目标计算机收到这样的请求后，就会使用一些资源来为新的连接提供服务，接着回复请求一个肯定答复（叫做SYN－ACK）。由于SYN－ACK是返回到一个伪装的地址，没有任何响应。于是目标计算机将继续设法发送SYN－ACK。一些系统都有缺省的回复次数和超时时间，只有回复一定的次量、或者超时时，占用的资源才会释放。例：WindowsNT3.5和40中缺省设置为可重复发送SYN－ACK答复5次。要等待3+6+12+24+48+96=189秒之后，才释放资源。36第36页，共56页，2023年，2月20日，星期四SYN-Flooding攻击示意图37第37页，共56页，2023年，2月20日，星期四拒绝服务攻击方式七、拒绝服务攻击3)Land攻击在Land攻击中，一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址，此举将导致接收服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。38第38页，共56页，2023年，2月20日，星期四拒绝服务攻击方式七、拒绝服务攻击4)Smurf攻击

smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（Ping）数据包来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比pingofdeath洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。39第39页，共56页，2023年，2月20日，星期四Smurf攻击示意图

40第40页，共56页，2023年，2月20日，星期四拒绝服务攻击方式七、拒绝服务攻击5）Fraggle攻击Fraggle攻击与Smurf攻击类似，但它使用的不是ICMP，而是UDPEcho。可以在防火墙上过滤掉UDP应答消息来防范。41第41页，共56页，2023年，2月20日，星期四拒绝服务攻击方式七、拒绝服务攻击6）炸弹攻击炸弹攻击的基本原理是利用工具软件，集中在一段时间内，向目标机发送大量垃圾信息，或是发送超出系统接收范围的信息，使对方出现负载过重、网络堵塞等状况，从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、聊天室炸弹等。防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。42第42页，共56页，2023年，2月20日，星期四2、拒绝服务攻击的类型七、拒绝服务攻击1）破坏或者毁坏资源，使得无人可以使用这个资源。如：删除文件、格式化磁盘或切断电源。2）有意或无意地过载一些系统服务或者消耗尽资源。例如：填满一个磁盘分区，让用户和系统程序无法再生成新的文件。用户犯的错误或者程序失控也可导致拒绝服务攻击，例如，在递归程序中，本来递归条件是x!=0却写成了x=0。43第43页，共56页，2023年，2月20日，星期四3、针对网络的拒绝服务攻击七、拒绝服务攻击1、服务过载当大量的服务请求发向一台计算机中的服务守护进程时，就会发生服务过载。这些潮水般的请求，使得计算机十分忙碌地处理这些不断到来的服务请求，以至于无法处理常规的任务。同时，许多新到来的请求被丢弃，因为没有空间来存放这些请求。如果攻击的是一个基于TCP协议的服务，那么这些请求的包还会被重发，结果更加重了网络的负担。44第44页，共56页，2023年，2月20日，星期四3、针对网络的拒绝服务攻击七、拒绝服务攻击攻击者利用这种攻击来掩盖自己的痕迹，阻止对攻击者的记录和登录请求的系统记帐审计。攻击者还可以利用这一段时间内服务器无法响应网络请求的机会，编写一个程序，来回答那些本来应该由服务器回答的请求。45第45页，共56页，2023年，2月20日，星期四3、针对网络的拒绝服务攻击七、拒绝服务攻击2、"粘住"攻击可以使用TCP的半连接耗尽资源。TCP连接通过三次握手来建立一个连接与设置参数。如果攻击者发出多个连接请求。初步建立了连接，但又没有完成其后的连接步骤，接收者便会保留许多这种半连接，占据着有限的资源。通常这些连接请求使用的是伪造的源地址表明连接来自于一台不存在的主机或者一台无法访问的主机。46第46页，共56页，2023年，2月20日，星期四4、分布式拒绝服务攻击DDOS七、拒绝服务攻击47第47页，共56页，2023年，2月20日，星期四5、用工具软件实现DDos攻击七、拒绝服务攻击DDOS攻击常用工具：trinoo、TFN、Stacheldraft等。它们利用TCP/IP协议漏洞，如允许碎片包、大数据包、IP路由选择、TCP半连接、数据包Flood等，使系统性能降低甚至崩溃。trinoo由三部分组成：l、客户端客户端可以是telnet之类的常用连接软件，客户端的作用是向主控端（master）发送命令。它通过连接master的27665端口，然后向master发送对目标主机的攻击请求。48第48页，共56页，2023年，2月20日，星期四七、拒绝服务攻击2、主控端（master）主控端侦听两个端口，其中27665是接收攻击命令，这个会话是需要密码的。缺省的密码是"betaalmostdone"。master启动的时候还会显示一个提示符：'？？'，等待输入密码。密码为"gOrave"，另一个端口是31355，等候分布端的UDP报文。3、分布端（broadcast）----攻击守护过程分布端则是执行攻击的角色。分布端安装在攻击者已经控制的机器上分布端编译前植入了主控端的lP地址，分布端与主控端用UDP报文通信，发送到主控端的31355端口，其中包含"*HELLO*"的字节数据。主控端把目标主机的信息通过27444UDP端口发送给分布端，分布端即发起'潮水'（flood）攻击。49第49页，共56页，2023年，2月20日，星期四5、用工具软件实现DDos攻击七、拒绝服务攻击攻击的流向是这样的'攻击者--master---分布端---目标主机。从分布端向受害者目标主机发送的DDos都是UDP报文，每一个包含4个空字符，这些报文都从一个端口发出，但随机袭击目标主机上的不同端口。目标主机对每一个报文回复一个ICMPPortUnreachable的信息，大量不同主机发来的这些洪水般的报文源源不断目标主机将很快慢下来，直至剩余带宽变为0。50第50页，共56页，2023年，2月20日，星期四6、应付DDOS攻击的策略七、拒绝服务攻击有几种方式可以查到这种攻击：IDS的检测方法是：分析一系列的U