《攻击与应急响应》

攻击与应急响应整理课件Contents网络监听拒绝服务攻击攻击与应急响应（二）特洛伊木马整理课件典型的木马攻击D员工通过浏览器漏洞被植入木马程序，开始向其客户发送病毒电子邮件。木马被一个一个的拆开通过网络发送IDS得到木马片断，由于数据片断不完整，没有发现任何攻击特征。到达防火墙后，因为使用25端口的邮件完全符合通过规则，所以数据被成功的发送到了外部。病毒被感染到外部网络。员工D因为浏览的非法网站，电脑被植入木马，不断的向他的联系人发送携带病毒的计算机邮件。整理课件10.4特洛伊木马名称由来木马发展史第一代木马：伪装型病毒世界上第一个计算机木马是1986年的PC-Write木马。第一代木马还不具备传染特征。第二代木马：AIDS型木马

1989年出现了AIDS木马。第二代木马已具备了传播特征（通过传统的邮递方式）。第三代木马：网络传播型木马整理课件10.4特洛伊木马特洛伊木马是指黑客用来远程控制目标计算机的特殊程序。凡是非法驻留在目标计算机里，并执行预定的操作，窃取目标的私有信息，都属于特洛伊木马。工作方式：C/S模式；服务器端安装在目标机里，监听等待攻击者发出的指令；客户端是用来控制目标机器的部分，放在攻击者机器上。木马“PasswdSender”(口令邮差)可以不需要客户端。整理课件10.4特洛伊木马木马的伪装冒充图象文件或游戏程序捆绑程序欺骗将木马程序与正常文件捆绑为一个程序伪装成应用程序扩展组件木马名字为dll或ocx类型文件，挂在一个有名的软件中。后两种方式的欺骗性更大。整理课件10.4特洛伊木马木马的特点

隐蔽性强

早期的木马按“Ctrl＋Alt＋Del”能显露出来,但现在大多数木马只能采用内存工具来看内存中是否存在木马。潜伏能力强表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来。非授权性一旦控制端和服务端连接后，控制端将享有服务端的大部分操作权限，包括窃取口令、拷贝或删除文件、修改注册表、控制鼠标、键盘、重新启动计算机等。整理课件举例：Glacier(冰河)有两个服务器程序，挂在注册表的启动组中的是C:\Windows\System\Kernel32.exe，表面上的木马;另一个是C:\Windows\System\Sysexplr.exe,也在注册表中，它修改文本文件的关联,当点击文本文件的时候，会检查Kernel32.exe是不是存在。当Kernel32.exe被删除以后,如果点击了文本文件,那么这个文本文件照样运行,而Sysexplr.exe被启动了。Sysexplr.exe会再生成一个Kernel32.exe。整理课件特洛伊木马启动方式自动启动：木马一般会存在三个地方:注册表、win.ini、system.ini。在autoexec.bat、config.sys、启动组中易被发现。捆绑方式启动：捆绑方式是一种手动的安装方式。非捆绑方式的木马因为会在注册表等位置留下痕迹,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。修改文件关联：如用木马取代notepad.exe来打开.txt文件。10.4特洛伊木马整理课件木马服务器存放位置及文件名（1）木马的服务器程序文件一般位置是在c:\windows和c:\windows\system——原因：windows的一些系统文件在这两个位置。（2）木马的文件名总是尽量和windows的系统文件接近。如木马SubSeven1.7版本的服务器文件名是c:\windows\KERNEL16.DL,而windows有一个系统文件是c:\windows\KERNEL32.DLL,删除KERNEL32.DLL会让机器瘫痪。木马SubSeven1.5版本服务器文件名是c:\windows\window.exe,少一个s10.4特洛伊木马整理课件木马的工作原理1、木马隐藏技术2、木马程序建立连接技术（1）合并端口木马修改虚拟设备驱动程序（vxd）或修改动态链接库（DLL），在一个端口上同时绑定两个TCP或UDP连接，通过把木马端口绑定于特定的服务端口之上，达到隐藏端口的目的。采用替代系统功能的方法，木马将修改后的DLL替换系统原有的DLL，并对所有的函数调用进行过滤。10.4特洛伊木马整理课件（2）使用ICMP协议进行数据的发送ICMP报文是由系统内核或进程直接处理而不是通过端口，修改ICMP头的构造，加入木马的控制字段，木马将自己伪装成一个Ping的进程，系统会将ICMP_ECHOREPLY（Ping回包）的监听、处理权交给木马进程，一旦事先约定好的ICMP_ECHOREPLY包出现，木马就会接受、分析并从报文中解码出命令和数据。整理课件（3）反弹端口型木马反弹端口型木马的服务端使用主动端口，客户端使用被动端口，木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口，为了隐藏起见，控制端的被动端口一般开在80。即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCPUserIP的情况。整理课件（4）使用基于嗅探原理的原始套接字木马基本实现：服务器端是一个发包器和嗅探器，将捕获指定特征的数据包。客户端发送指定特征的数据包并包括定义的命令以及接收Server的数据。当Server捕获到该指定特征的数据包时，变成激活状态，通过分析该数据包，获得Client发送的命令和Client的IP地址，实现相应的命令，并将执行后的结果发送回Client，Client的嗅探部分则接收相应的数据。整理课件如何对付木马1.使用杀毒软件；2.提高防范意识,不打开陌生人信中的附件，不随意下载软件；3.仔细阅读readme.txt；4.在删除木马之前,需要备份注册表,备份你认为是木马的文件。10.4特洛伊木马整理课件如何对付木马1）端口扫描2）查看连接：netstat–a命令上述两种方法对驱动程序/动态链接木马无效。3）检查注册表4）查找木马文件：如kernel32.exe，sysexplr.exe等5）文件完整性检查：开始程序附件系统工具系统信息工具系统文件检查器。如有损坏可从安装盘还原。10.4特洛伊木马整理课件10.5网络监听1、嗅探器Sniffer

（1）网络监听工具（又称嗅探器Sniffer）是供管理员监视网络的状态、数据流动情况以及网络上传输的信息。（2）网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。（3）Sniffer可以是硬件或软件，用来接收在网络上传输的信息（硬件Sniffer通常称为协议分析仪）。网络可以是运行在各种协议之下的。（4）放置Sniffer的目的是使网络接口处于广播状态（或叫混杂模式promiscuousmode），从而可截获网络上的内容。整理课件2、网络监听的原理（1）广播：网络上所有的工作站都在倾听所有传输的信息。（2）非广播状态：工作站仅仅倾听那些发给它自己的信息的状态。（3）攻破网关、路由器、防火墙的情况极为少见，安全管理员安装一些网络监控设备，运行专门的监听软件，并防止任何非法访问。然而，一个黑客可能潜入一台不引人注意的计算机中，悄悄地运行一个监听程序。（4）Sniffer就是这样的硬件或软件，能够"听"到在网上传输的所有的信息。10.5网络监听整理课件（5）协议分析仪通常运行在有路由器功能的主机上。（6）sniffer只能捕获同一个物理网段内的包，但可以接收到发向与自己不在同一逻辑子网的主机的数据包。即你和监听目标之间没有路由（交换）或其它屏蔽广播包的设备，才能接收到传输的所有信息。因此，sniffer对拨号用户没用。（7）网络监听常常要保存大量的信息，并对收集的大量信息进行整理，因此，正在进行监听的机器对用户的请求响应很慢。10.5网络监听整理课件

3、Sniffer的危害与预防Sniffer

危害：能截获口令或机密信息；能攻击相邻的网络。Sniffer的预防：使用加密传输敏感数据。使用安全拓扑结构。一个网段仅由互相信任的计算机组成：每台机器通过硬连接线接到Hub，Hub再接到交换机上。10.5网络监听整理课件4、检测网络监听的方法（1）反应时间向可疑网络发送大量物理地址不存在的包，处于监听模式的机器回应时间延迟。（2）观测DNS监听软件往往会尝试进行反向地址解析，查看DNS上是否地址解析请求明显增多。（3）利用Ping模式监测混杂模式的主机对错误地址的ICMP包会有回应。（4）利用arp数据包监测向局域网内的主机发送非广播式的arp包来检测。10.5网络监听整理课件具体措施：方法一：对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。正常的机器不接收错误的物理地址，处于监听状态的机器能接收。方法二：同上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能下降。通过比较发送前、后机器性能加以判断。10.5网络监听整理课件10.6拒绝服务攻击一、什么是拒绝服务的攻击1、拒绝服务（1）拒绝服务：网络信息系统由于某种原因不能为授权用户提供正常服务。（2）拒绝服务的攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户可用的一种攻击方式。（3）拒绝服务的攻击降低了资源的可用性，这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器，甚至是系统管理员的时间，攻击的结果是减少或失去服务。整理课件2、拒绝服务来源的原因：（1）资源毁坏（2）资源耗尽和资源过载（3）配置错误（4）软件弱点10.6拒绝服务攻击整理课件3、拒绝服务攻击方式1)死亡之ping（pingofdeath）

在早期的阶段，路由器对包的最大尺寸都有限制，上限64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。10.6拒绝服务攻击整理课件2）SYNFlooding攻击

对WindowsNT攻击很有效利用IP欺骗技术。例：WindowsNT3.5和4.0中缺省设置为可重复发送SYN－ACK答复5次。要等待3+6+12+24+48+96=189秒之后，才释放资源。10.6拒绝服务攻击整理课件SYN-Flooding攻击示意图整理课件3)Land攻击特别打造一个SYN包，其源地址和目标地址都被设置成某一个服务器地址；导致接收服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接；每一个这样的连接都将保留直到超时；许多UNIX将崩溃，NT变的极其缓慢（大约持续五分钟）。10.6拒绝服务攻击整理课件4)Smurf攻击

通过采用ICMP技术进行攻击。（a）攻击者找出网络上有哪些路由器会回应ICMP请求。（b）用一个虚假的IP源地址向路由器的广播地址发出讯息，路由器会把这讯息广播到网络上所连接的每一台设备。（c）这些设备马上回应，同时产生大量讯息流量，从而占用所有设备的资源及网络带宽，而回应的地址就是受攻击的目标。10.6拒绝服务攻击整理课件Smurf攻击示意图

整理课件5）Fraggle攻击Fraggle攻击与Smurf攻击类似，但它使用的不是ICMP，而是UDPEcho。防范：在防火墙上过滤UDP应答消息10.6拒绝服务攻击整理课件6）炸弹攻击基本原理是利用工具软件，集中在一段时间内，向目标机发送大量垃圾信息，或是发送超出系统接收范围的信息，使对方出现负载过重、网络堵塞等状况，从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、聊天室炸弹等。防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。10.6拒绝服务攻击整理课件二、拒绝服务攻击的类型1）破坏或者毁坏资源，使得无人可以使用这个资源。如：删除文件、格式化磁盘或切断电源。2）有意或无意地过载一些系统服务或者消耗尽资源。例如：填满一个磁盘分区，让用户和系统程序无法再生成新的文件。3）用户犯的错误或者程序失控也可导致拒绝服务攻击。10.6拒绝服务攻击整理课件三、针对网络的拒绝服务攻击1、服务过载当大量的服务请求发向一台计算机中的服务守护进程时，就会发生服务过载。计算机忙碌地处理不断到来的服务请求，以至于无法处理常规的任务。同时，许多新到来的请求被丢弃。如果攻击的是一个基于TCP协议的服务，那么这些请求的包还会被重发，结果更加重了网络的负担。10.6拒绝服务攻击整理课件2、"粘住"攻击可以使用TCP的半连接耗尽资源。如果攻击者发出多个连接请求。初步建立了连接，但又没有完成其