计算系统和网络安全

电子科技大学计算机科学与工程学院计算系统与网络安全

ComputerSystemandNetworkSecurity/10/2第1页第9章网络攻防技术结论网络攻击阶段及相关工具网络安全常识操作系统介绍(自学)网络介绍/10/2第2页第9章网络攻防技术结论网络攻击阶段及相关工具网络安全常识操作系统介绍(自学)网络介绍/10/2第3页

开始任何攻击或探测之前，请注意你自己也将暴露在攻击目标或监管系统面前，并请恪守信息安全职业道德！ －周世杰/10/2第4页网络介绍协议分层协议层N＋1协议层N协议层N－1协议层N＋1协议层N协议层N－1发送方计算机接收方计算机/10/2第5页OSI七层模型/10/2第6页TCP/IP分层模型ARPRARPTCPUDPIPICMPIGMPSMTPHTTPTELNETDNSSNMP应用层传输层网络层网络接口层/10/2第7页TCP/IP网络传输层网络层数据链路层物理层应用层传输层网络层数据链路层物理层应用层网络层数据链路层物理层/10/2第8页TCP/IP数据封装/10/2第9页TCP/IP深入讨论传输控制协议TCP用户数据报UDP网际协议IPInternet控制消息协议ICMP传输层网络层/10/2第10页TCPTCP源端口（16）TCP目端口（16）序列号（32）确认号（32）数据偏移（4）保留（6）控制位（6）窗口（16）校验和（16）紧急指针（16）选项（假如有）填充位数据/10/2第11页TCP（续）控制字段：每一位代表一个控制功效从左至右为：紧急指针URG、ACK应答域有效、马上发送PSH、复位RST、同时序列号SYN、释放连接FIN/10/2第12页TCP（续）校验和包含TCP协议头、数据和一个伪头部伪头部组成源地址目址00000000协议号TCP数据长度伪头部/10/2第13页TCP（续）三次握手带有初始序列号SYNaACKSYNa，且带有初始序列号SYNbACKSYNbConnection/10/2第14页TCP（续）问题：6位保留位用来作什么？/10/2第15页UDPTCP源端口（16）TCP目端口（16）消息长度（16）数据校验和UDP＝UnreliableDamnProtocolUDP＝UserDatagramProtocol/10/2第16页IP/10/2第17页IP（续）IP地址子网掩码路由器交换机集线器网关网闸（NetworkAirGap）/10/2第18页IP（续）IP分片3位标志：是否分片/10/2第19页IP（续）问题：8位服务类型普通没有使用，我们能够用它来做什么？/10/2第20页ICMPICMP是TCP/IP中主要协议之一ICMP使用与IP相同首部格式，在首部之后，在IP数据包数据部分，ICMP加入一个ICMP类型字段，ICMP余下格式依赖于ICMP类型字段ICMP类型：响应应答（0）、目标不可抵达（3）、源抑制（6）、重定向（5）、响应（8）、超时（11）、参数问题（12）、时间戳（13）、时间戳应答（14）、消息请求（15）、消息应答（16）/10/2第21页数据链路层以太网数据帧格式/10/2第22页数据链路层（续）以太网地址介质访问控制（MAC）地址（简称MAC地址）是48位地址当数据包要经过LAN发送到另外一个系统时，它必须知道哪个物理节点应该接收数据数据抵达以太网后，不能发送到IP地址，而必须发送到物理网卡（NIC）实现IP地址和MAC解析协议是地址解析协议（ARP）/10/2第23页ARP当一个系统有数据需要发送到LAN上时，它发送一个ARP请求ARP被广播到LAN上知道该IP计算机发送ARP响应收到ARP响应之后，IP地址和MAC地址映射信息会在当地缓存（ARP地址解析表）ARP地址解析表会周期性被清空ARP普通不会经过路由器广播/10/2第24页第9章网络攻防技术结论网络攻击阶段及相关工具网络安全常识操作系统介绍(自学)网络介绍/10/2第25页网络安全常识潜在攻击者竞争对手黑客政治家有组织罪犯恐怖主义者政府雇佣杀手虚伪朋友不满员工客户供给商厂商商务搭档契约者、暂时雇员和顾问/10/2第26页攻击者水平脚本小孩（ScriptKiddies）普通技能攻击者高级技能攻击者安全教授出色攻击者/10/2第27页两个概念黑客能赋予计算机扩展能力，使其超越最初设计人计算机窃贼恶意攻击计算机系统人/10/2第28页建立攻击环境Alice双开启：windows＋LinuxEve双开启：windows＋LinuxBob双开启：windows＋Linux/10/2第29页第9章网络攻防技术结论网络攻击阶段及相关工具网络安全常识操作系统介绍(自学)网络介绍/10/2第30页网络攻击阶段及工具攻击阶段性侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统攻击取得访问权使用网络攻击取得访问权维护访问权/10/2第31页网络攻击阶段及工具（续）侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统攻击取得访问权使用网络攻击取得访问权维护访问权/10/2第32页侦察侦察是攻击第一步，这就如同匪徒普通侦察是利用公开、可利用信息来调查攻击目标侦察包含以下技术低级技术侦察Web搜索Whois数据库域名系统（DNS）侦察通用目标侦察工具/10/2第33页低级技术侦察社交工程物理闯进垃圾搜寻你能找出垃圾搜寻例子吗？/10/2第34页Web搜索搜索一个组织自己web站点有电话号码职员联络信息关于企业文化和语言信息商务搭档最近合并和吞并企业正使用技术使用搜索引擎www.谷歌.com搜索论坛BBS（电子公告栏）Usenet（新闻组）/10/2第35页Whois数据库搜索什么是whois数据库：包含各种关于Internet地址分配、域名和个人联络方式数据库研究.com,.net,.org域名研究非.com,.net和.org域名国家代码:教育（.edu):军事代码（.mit):whois.nic.mit政府(.gov):/10/2第36页Whois数据库搜索(续)搜索目标域名/10/2第37页Whois数据库搜索(续)搜索目标IP美国Internet注册局：/whois/arin-whois.html欧洲网络协调中心：亚太网络协调中心：中国互联网络信息中心：/10/2第38页亚太网络信息中心/10/2第39页DNS搜索nslookup/10/2第40页通用工具SamSpade工具/ssw/Netscantools基于web工具......./10/2第41页网络攻击阶段及工具（续）侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统攻击取得访问权使用网络攻击取得访问权维护访问权/10/2第42页扫描扫描是在侦察之后，企图发觉目标漏洞扫描需要花费许多时间/10/2第43页扫描内容战争拨号网络测绘端口扫描漏洞扫描躲避IDS/10/2第44页战争拨号战争拨号是搜寻调制解调器查找电话号码：电话薄、Intenet、whois、web站点、社交工程工具THC－scan2.0/10/2第45页网络测绘网络测绘是绘制目标网络拓扑结构发觉活跃主机PingTCP或UDP数据包扫描跟踪路由：Traceroute（UNIX）Tracert（Windows）网络测绘工具Cheops：/cheops//10/2第46页端口扫描端口扫描类型TCP连接扫描：三次握手TCPSYNTCPFINXma：发送TCPURG、PSH等TCP空扫描TCPACKFTP跳跃UDPICMP工具：nmap/10/2第47页FTP跳跃支持FTP转发FTP服务器FTP控制连接/10/2第48页扫描目标发觉活跃主机发觉开放端口确定目标使用操作系统协议栈指纹（Fingerprint）/10/2第49页怎样扫描防火墙NMAP扫描目标主机开放端口怎样扫描防火墙，确定其开放端口呢？firewall/10/2第50页Firewall路由器路由器防火墙TTL=4Port=1,TTL=4Port=2,TTL=4Port=3,TTL=4Port=4,TTL=4超时消息/10/2第51页漏洞扫描漏洞扫描寻找以下漏洞普通配置错误默认配置缺点著名系统漏洞漏洞扫描组成漏洞数据库用户配置工具扫描引擎当前活跃知识库结果库和汇报生成工具漏洞数据库用户配置工具扫描引擎活跃知识库结果库和汇报生成/10/2第52页漏洞扫描工具SARA，/sara.SANT,/saint/Nessus,....../10/2第53页NessusNessus以插件形式提供漏洞检验Nessus基于客户/服务器结构客户服务器/10/2第54页躲避IDS上述扫描均存在“网络噪音”，易被IDS识别出来怎样躲避IDS？IDS怎样工作？怎样躲避？/10/2第55页IDS怎样工作IDS/10/2第56页怎样躲避IDS？弄乱流量改变数据结构或语法弄乱上下文IDS无法识别完整会话方法：网络层躲避应用层躲避/10/2第57页网络层躲避只使用片断发送片断泛洪以意想不到方式对数据包分段微小片段攻击片段重合工具：fragroute/10/2第58页Fragrouter/10/2第59页应用层躲避躲避IDSCGI：whisker()URL编码/./目录插入过早结束URL长URL假参数TAB分隔大小写敏感Windows分隔符(‘\’)空方法会话拼接（在网络层分片）/10/2第60页网络攻击阶段及工具侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统攻击取得访问权使用网络攻击取得访问权维护访问权/10/2第61页使用应用程序和操作系统攻击取得访问权在取得目标潜在漏洞之后，攻击者将设法取得对目标系统访问权脚本小孩攻击过程：查找漏洞数据库下载工具发送攻击真正攻击者：自己动手！/10/2第62页惯用攻击方法基于堆栈缓冲区溢出密码猜测网络应用程序攻击/10/2第63页基于堆栈缓冲区溢出攻击什么是堆栈？堆栈是一个数据结构，用来存放计算机上运行进程主要信息堆栈操作表现位LIFO：后进先出什么数据存放在堆栈中？存放与函数调用相关信息/10/2第64页进程内存布局内存低端内存高端文本区（包含程序代码和只读数据）（已初始化区）数据区（未初始化区）栈区大小固定对应可执行文件文本区大小可变对应可执行文件数据区大小动态改变暂时存放区经典操作为push，pop/10/2第65页栈内存低端内存高端填充方向栈底是固定地址栈顶指针（栈指针）SP栈帧指针FP：指向栈固定数据块栈帧:包含函数参数、局部变量以及恢复前一个栈帧数据信息(如指令指针值）/10/2第66页栈（续）当发生函数调用时，进程要做第一件事情是保留以前栈帧指针（FP），方便以后能够恢复它所指向栈帧,随即，进程将创建一个新栈帧，并将SP指针指向该新栈帧(该过程称之为过程调用开始procedureprolog)当别调用函数结束时，以前存放FP将被恢复（该过程称之为过程调用结束procedureepilog)/10/2第67页栈例子(1)voidfunction(inta,intb,inc) { charbuffer1[5]; charbuffer2[10]; }voidmain(intargc,char**argv) { charlarge_string[256]; function(1,2,3); }程序从此开始执行程序流程转到此函数/10/2第68页Main函数栈Large_string（局部变量）保留框架指针（上一个FP）返回指令指针argv内存低端内存高端填充方向argcSPMain函数栈帧/10/2第69页Function函数被调用后Large_string（局部变量）保留框架指针（上一个FP）返回指令指针argv内存低端内存高端填充方向argcSPMain函数栈帧cba返回指令指针上一个FP(main函数FP）buffer1buffer2Function函数栈帧/10/2第70页栈例子(2)voidfunction(char*str) { charbuffer[16]; strcpy(buffer,str); }voidmain() { charlarge_string[256]; inti; for(i=0;i<256;i++) large_buffer[i]=‘A’ function(large_string); }程序从此开始执行程序流程转到此函数/10/2第71页Function函数被调用后i,large_string（局部变量）保留框架指针（上一个FP）返回指令指针内存低端内存高端填充方向SPMain函数栈帧*str返回指令指针上一个FP(main函数FP）bufferfunction函数栈帧/10/2第72页strcpy函数被调用后AAAAAAAAAAAAAAAA内存低端内存高端填充方向SPMain函数栈帧?AAAAAAAAAAAAbufferfunction函数栈帧?返回指令指针/10/2第73页缓冲区溢出组成发觉缓冲区测试（Try！！！）字符串操作函数Web搜索编写shell代码：将要被执行程序编写exploit代码（植入代码）：开启shell代码程序/10/2第74页缓冲区溢出之后一旦溢出并产生了一个命令外壳之后，攻击者采取动作可能有：使用inetd创建后门使用tftp或netcat进行后门攻击回击xterm/10/2第75页密码猜测攻击猜测缺省密码经过登录脚本猜测密码密码破解Windows：L0phtCrackunix:： JohntheRipper关键：怎样取得密码文件？/10/2第76页网络应用程序攻击搜集帐号不停输入错误帐号和口令破坏web应用程序会话跟踪猜测会话ID，经过获取HTML页面修改后重放修改cookies假如会话ID不能手工修改？Web代理工具：AchillesSQLPiggybacking/10/2第77页AchillesAchilles代理IEorNetscapeWebServer/10/2第78页SQLPiggybackingSQL语句特殊字符‘’;*%_...../10/2第79页SQLPiggybackingSQLPiggybackingSelect*fromtablewhereuser=‘admin’andpwd=‘SdfG#345!’Select*fromtablewhereuser=‘admin’andpwd=‘123’or‘1=1’adminSdfG#345!admin123’or‘1=1/10/2第80页网络攻击阶段及工具攻击阶段性侦察扫描拒绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统攻击取得访问权使用网络攻击取得访问权维护访问权/10/2第81页使用网络攻击取得访问权网络攻击方式嗅探IP地址坑骗会话劫持多功效网络工具攻击：NetCat/10/2第82页嗅探被动嗅探：经过集线器进行嗅探主动嗅探：经过交换机进行嗅探/10/2第83页被动嗅探嗅探工具Tcpdump,Windump,netgroup-serv.polito.it/windump/Snort,Ethereal，Dsniff,/~dugsong/dsniff/SnifferPro/10/2第84页主动嗅探被动嗅探仅对共享式网络有效，怎样在交换式网络中进行嗅探呢？集线器交换机/10/2第85页主动嗅探（续）主动嗅探类型泛洪对付交换机用ARP坑骗信息对付交换机嗅探和坑骗DNS对HTTPS和SSH进行嗅探/10/2第86页主动嗅探（续）泛洪对付交换机(1)交换机/10/2第87页主动嗅探（续）泛洪对付交换机(2)交换机内存耗尽！！/10/2第88页主动嗅探（续）用ARP坑骗信息对付交换机（ARPSpoof）交换机外部网络LAN缺省路由/10/2第89页主动嗅探（续）用ARP坑骗信息对付交换机（ARPSpoof）交换机外部网络LAN缺省路由1.配置IP转发将数据包送到缺省路由器2.发送假ARP回应，使受害者主机ARP表中条目被污染，将路由器IP地址映射为攻击者MAC地址3.受害者数据实际发向了攻击者4.攻击者进行嗅探5.攻击者转发数据包/10/2第90页主动嗅探（续）嗅探和坑骗DNS交换机外部网络LAN缺省路由1.攻击者开启DNS嗅探2.受害者发送DNS解析消息3.攻击者截获DNS解析消息4.攻击者快速回送一个假域名解析：225.受害者发送数据将送往外部攻击者22/10/2第91页主动嗅探（续）对HTTPS和SSH进行嗅探中间人中间人攻击/10/2第92页主动嗅探对HTTPS和SSH进行嗅探交换机外部网络LAN缺省路由1.攻击者开启DNS嗅探2.受害者发送DNS解析消息3.攻击者截获DNS解析消息4.攻击者快速回送一个假域名解析：55.受害者发送数据将送往攻击者56.攻击者转发SSL或SSH消息提醒用户/10/2第93页使用网络攻击取得访问权IP地址坑骗简单IP地址坑骗复杂IP地址坑骗源路由坑骗/10/2第94页简单IP地址坑骗IP:xIP:y伪造一个来自于IP地址为y数据包/10/2第95页复杂IP地址坑骗5.使用猜测序列号响应BobEveAlice1.打开到BobTCP连接以观察回应中使用初始序列号Bob2.对Alice发送拒绝服务攻击，使得Alice不能响应任何消息3.使用Alice地址与Bob建立连接4.Bob响应被发送到Alice/10/2第96页使用源路由进行IP地址坑骗EveAliceBob3.Eve窃听数据，并修改后发送给Alice1.发送源路由数据包，其中从Bob到Alice路径包含Eve2.Bob发送到Alice数据将经过Eve/10/2第97页使用网络攻击取得访问权会话劫持EveAliceBob1.AliceTelnetBob2.Alice与Bob之间Telnet连接3.Eve窃听并分析TCP序列号4.Eve伪装AliceIP地址发送数据包给Bob/10/2第98页会话劫持（续）工具：DsniffIPWatcher：TTYWatcher:TTYSnoop:/10/2第99页使用网络攻击取得访问权多功效工具NetCat:

/两种工作模式：客户模式和侦听模式经过标准输入设备进行输入客户模式netcat输出被经过网络发送到任意系统TCP或者UDP端口输出到标准输出设备侦听模式netcat从任意TCP或UDP端口上收到输入客户模式侦听模式/10/2第100页NetcatNetcat主要功效：文件传输端口扫描建立到开放端口连接创建被动后门命令shell主动地推进一个后门命令shell流量中继/10/2第101页网络攻击阶段及工具侦察扫描拒绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统攻击取得访问权使用网络攻击取得访问权维护访问权/10/2第102页拒绝服务攻击拒绝服务攻击分类杀死进程重新配置系统使进程瓦解填充进程表填充整个文件系统恶意数据包攻击（如Land攻击，Teardrop攻击）数据包泛洪（SYN泛洪，Smurf，DDoS）当地网络停顿服务消耗资源/10/2第103页Land攻击发送假数据包，它源IP地址和端口号与目标主机相同。旧TCP/IP协议栈对这种未知情况就会造成混乱，甚至瓦解。/10/2第104页Teardrop攻击发送重合数据包碎片。在数据包头内碎片长度被设置为不正确值，所以主机对这些数据包碎片组装时就不能对其正确排队。一些TCP/IP协议栈收到这么碎片就会瓦解。还包含Newtear攻击，Bonk攻击，Syndrop攻击/10/2第105页SYN泛洪发送大量SYN包无法接收正常服务请求连接队列被填满/10/2第106页Smurf攻击放大器广播假Ping，源地址采取YIP地址为y/10/2第107页DDoSMasterClientZombie/10/2第108页网络攻击阶段及工具侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统攻击取得访问权使用网络攻击取得访问权维护访问权/10/2第109页维护访问权木马（TrojanHorse）BackOrifice(BO2K):.......后门（Backdoor）RootKits:修改系统命令甚至内核dufindlsIfconfignetstatps/10/2第110页网络攻击阶段及工具侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统攻击取得访问权使用网络攻击取得访问权维护访问权/10/2第111页掩盖踪迹和隐藏安装RootKits或者backdoor修改事件日志Windows：*.evt工具：winzapper,ntsecurity.nu/toolbox/winzapper/UNIX:utmpwtmplastlog/10/2第112页掩盖踪迹和隐藏（续）利用秘密通道技术来隐藏证据隧道技术loki：ICMP隧道VanHauser：HTTP隧道隐蔽通道（CovertChannel）利用IP或者利用tcp头IPidentifierTCPSequencenumberTCPacknumber工具：Covert_TCP/10/2第113页CaseStudySourceCodeDBMonstrousSoftware电子办公MonstrousSoftware/10/2第114页CaseStudyStep1：寻找跳离点跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware/10/2第115页CaseStudy跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware/10/2第116页CaseStudyStep2：搜速MonstrousSoftware跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware/10/2第117页CaseStudyStep3：发送带病毒、有吸引人垃圾邮件SourceCodeDB跳离点（前苏联）跳离点（日本）MonstrousSoftware电子办公MonstrousSoftwareSPAM/10/2第118页CaseStudyStep3：发送带病毒、有吸引人垃圾邮件跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware下载电子邮件VPN/10/2第119页CaseStudyStep4：下载病毒代码跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware下载木马后门/10/2第120页CaseStudyStep5：木马后门利用VPN搜索windows共享跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware木马后门VPN/10/2第121页CaseStudyStep6：上传病毒代码，并替换为notepad等程序跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware木马后门VPN木马后门木马后门/10/2第122页CaseStudyStep7：回传口令信息跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware木