第八章-网络攻击与防范技术

第八章网络攻击与防范技术陈福明灾害信息工程系主要内容网络攻击步骤预攻击探测拒绝服务攻击欺骗攻击一、网络攻击步骤网络中存在的安全威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫一、网络攻击步骤攻击手法vs.入侵者技术高低19801985199019952000密码猜测可自动复制的代码破解密码利用已知的漏洞破坏审计系统后门会话劫持消除痕迹嗅探IP欺骗GUI远程控制自动探测扫描拒绝服务www攻击攻击手法与工具入侵者技术半开隐蔽扫描控制台入侵检测网络管理DDOS攻击一、网络攻击步骤典型攻击步骤预攻击探测收集信息,如OS类型,提供的服务端口发现漏洞,采取攻击行为获得攻击目标的控制权系统继续渗透网络,直至获取机密数据消灭踪迹破解口令文件,或利用缓存溢出漏洞以此主机为跳板，寻找其它主机的漏洞获得系统帐号权限，并提升为root权限安装系统后门方便以后使用二、预攻击探测预攻击概述端口扫描操作系统识别资源扫描与查找用户和用户组查找二、预攻击探测1.预攻击概述Pingsweep

寻找存活主机Portscan

寻找存活主机的开放服务（端口）OSfingerprint

操作系统识别资源和用户信息扫描网络资源，共享资源，用户名和用户组等二、预攻击探测Ping工具操作系统本身的ping工具

Ping:PacketInterNetGroper

判断远程设备可访问性最常用的方法。

Ping原理:发送ICMPEcho消息，等待EchoReply消息。每秒发送一个包，显示响应的输出，计算网络来回的时间。最后显示统计结果——丢包率。二、预攻击探测二、预攻击探测Windows平台Pinger、PingSweep、WS_PingProPack图:Pinger工具二、预攻击探测图:PingSweep二、预攻击探测

Ping工具都是通过ICMP协议来发送数据包，那么针对这种扫描的预防措施是:使用可以检测并记录ICMP扫描的工具使用入侵检测系统在防火墙或路由器中设置允许进出自己网络的ICMP分组类型二、预攻击探测2.端口扫描开放扫描(OpenScanning)需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高，产生大量审计数据，容易被发现半开放扫描(Half-OpenScanning)扫描方不需要打开一个完全的TCP连接秘密扫描(StealthScanning)不包含标准的TCP三次握手协议的任何部分隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息

二、预攻击探测开放扫描TCPconnect()扫描原理扫描器调用socket的connect()函数发起一个正常的连接如果端口是打开的，则连接成功否则，连接失败优点简单，不需要特殊的权限缺点服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描二、预攻击探测半开放扫描

TCPSYN扫描原理向目标主机的特定端口发送一个SYN包如果应答包为RST包，则说明该端口是关闭的否则，会收到一个SYN|ACK包。于是，发送一个RST，停止建立连接由于连接没有完全建立，所以称为“半开连接扫描”优点很少有系统会记录这样的行为缺点在UNIX平台上，需要root权限才可以建立这样的SYN数据包二、预攻击探测秘密扫描TCPFin扫描原理扫描器发送一个FIN数据包如果端口关闭的，则远程主机丢弃该包，并送回一个RST包否则的话，远程主机丢弃该包，不回送优点不是TCP建立连接的过程，所以比较隐蔽缺点与SYN扫描类似，也需要构造专门的数据包在Windows平台无效，总是发送RST包二、预攻击探测端口扫描对策设置防火墙过滤规则，阻止对端口的扫描例如可以设置检测SYN扫描而忽略FIN扫描使用入侵检测系统禁止所有不必要的服务，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注释掉不必要的服务，并在系统启动脚本中禁止其他不必要的服务Windows中通过Services禁止敏感服务，如IIS二、预攻击探测端口扫描工具图:NetScanTools二、预攻击探测图:WinScan二、预攻击探测图:SuperScan二、预攻击探测图:Nmap二、预攻击探测图:X-scan二、预攻击探测3.操作系统的识别操作系统辨识的动机许多漏洞是系统相关的，而且往往与相应的版本对应从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会诈骗(社会工程)二、预攻击探测图:winfingerprint二、预攻击探测4.资源扫描与查找

资源扫描：扫描网络资源和共享资源，如目标网络计算机名、域名和共享文件等等；

用户扫描：扫描目标系统上合法用户的用户名和用户组名。这些扫描都是攻击目标系统的很有价值的信息，而Windows系统，特别是WindowsNT/2000在这些方面存在着严重的漏洞，很容易让非法入侵者获取到关于该目标系统的很多有用信息，如共享资源、Netbios名和用户组等。常用工具：NetViewNbtstat和NbtscanLegion和Shed二、预攻击探测NetView

在命令行中输入“netview/domain”命令，可以获取网络上可用的域二、预攻击探测在命令行中输入“netview/domain：domain_name”命令，可以获取某一域中的计算机列表，其中domain_name为要列表计算机的域名。

在命令行中输入“netview\\computer_name”命令，可以获取网络某一计算机的共享资源列表，其中computer_name为计算机名。二、预攻击探测Shed是一个速度很快的共享资源扫描工具，它可以显示所有的共享资源，包含隐藏的共享。二、预攻击探测5.用户和用户组查找利用前面介绍的方法，可以很容易获取远程WindowsNT/2000主机的共享资源、NetBIOS名和所处的域信息等。但黑客和非法入侵者更感兴趣的是通过NetBIOS扫描，获取目标主机的用户名列表。如果知道了系统中的用户名（即账号）后，就可以对该账号对应的口令进行猜测攻击（有些口令往往很简单），从而对远程目标主机进行更深入的控制。

二、预攻击探测UsrStat

UsrStat是一个命令行工具，用于显示一个给定域中的每一个用户的用户名、全名和最后的登录日期与时间，如图所示，可显示域中计算机上的用户信息。三、拒绝服务攻击拒绝服务攻击分布式拒绝服务攻击三、拒绝服务攻击1.拒绝服务攻击

DoS（DenialofService）是一种利用合理的服务请求占用过多的服务资源，从而使合法用户无法得到服务响应的网络攻击行为。三、拒绝服务攻击常见的拒绝服务攻击

SYNFlood攻击是利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。SYNFlood攻击的过程在TCP协议中被称为三次握手(Three-wayHandshake)，而SYNFlood拒绝服务攻击就是通过三次握手而实现的。三、拒绝服务攻击SYN-Flooding攻击演示SYN（我可以和你连接吗？）

ACK|SYN（可以，请确认！）ACK（确认连接）发起方应答方正常的三次握手建立通讯的过程三、拒绝服务攻击攻击者受害者攻击者伪造源地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接其它正常用户得不到响应SYN（我可以和你连接吗？）

ACK|SYN（可以，请确认！）？？？三、拒绝服务攻击攻击者目标攻击者伪造源地址进行SYN请求好像不管用了其它正常用户能够得到响应SYNACK|SYN？？？SYNACKACK|SYNSYN-Flooding攻击的防范措施三、拒绝服务攻击2.分布式拒绝服务攻击DDOS

DDOS则是利用多台计算机，采用了分布式对单个或者多个目标同时发起DoS攻击。

其特点：目标是“瘫痪敌人”，而不是传统的破坏和窃密；利用国际互联网遍布全球的计算机发起攻击，难于追踪。三、拒绝服务攻击分布式拒绝服务攻击网络结构图客户端客户端主控端主控端主控端主控端代理端代理端代理端代理端代理端代理端代理端代理端三、拒绝服务攻击分布式拒绝服务攻击步骤不安全的计算机扫描程序Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet三、拒绝服务攻击Hacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet三、拒绝服务攻击Hacker

黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机（代理端）MasterServerInternet三、拒绝服务攻击Hacker

UsingClientprogram,

黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServerInternet三、拒绝服务攻击InternetHacker

主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargetedSystem被控制计算机（代理端）三、拒绝服务攻击TargetedSystemHacker目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机（代理端）三、拒绝服务攻击MasterMasterMasterFloodingFloodingFloodingFloodingFloodingFlooding攻击目标攻击者MasterMasterMaster三、拒绝服务攻击对付DDOS攻击的方法定期扫描现有的网络主节点，清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用最佳位置，因此对这些主机本身加强主机安全是非常重要的。在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。三、拒绝服务攻击用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。

三、拒绝服务攻击充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。三、拒绝服务攻击限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。四、欺骗攻击欺骗攻击的主要类型：ARP欺骗IP欺骗攻击Web欺骗攻击DNS欺骗攻击四、欺骗攻击1.ARP欺骗攻击ABHacker当A与B需要通讯时：A发送ARPRequest询问B的MAC地址

B发送ARPReply告诉A自己的MAC地址四、欺骗攻击Meet-in-Middle:Hacker发送伪装的ARPReply告诉A，计算机B的MAC地址是Hacker计算机的MAC地址。Hacker发送伪装的ARPReply告诉B，计算机A的MAC地址是Hacker计算机的MAC地址。这样A与B之间的通讯都将先经过Hacker，然后由Hacker进行转发。于是Hacker可以捕获到所有A与B之间的数据传输（如用户名和密码）。这是一种典型的中间人攻击方法。四、欺骗攻击

Hi,我就是A啊

Hi,我就是B啊ABHacker四、欺骗攻击针对ARP欺骗攻击的预防措施安装入侵检测系统，检测ARP欺骗攻击MAC地址与IP地址绑定arp–sIPMAC下载并安装Anti

ARP

Sniffer

等专杀工具在主机上安装诺顿等正版网络杀毒软件，并经常更新病毒库及时给系统、IE、交换设备打补丁四、欺骗攻击2.IP欺骗

IP欺骗技术就是伪造某台主机的IP地址。通过IP地址的伪装使得某台主机能够伪装成另外一台主机，而这台主机往往具有某种特权或者被另外的主机所信任。四、欺骗攻击IP欺骗原理：理论依据(TCP/IP建立连接之前的三次握手)第一步：B----------SYN1---------A第二步：B-------SYN2+ACK1-------A第三步：B----------ACK2---------ASYN（数据序列）

ACK（确认标识）

ISN（连接初始值）

ACK1=SYN1+1SYN2=ISN2ACK2=SYN2+1四、欺骗攻击IP欺骗过程ABZ互相信任DoS攻击探测ISN规律SYN(我是B，可以连接吗？)SYN|ACKACK(我是B，确认连接)四、欺骗攻击攻击描述：屏蔽主机B。方法：Dos攻击，如Land攻击、SYN洪水攻击序列号采样和猜测。猜测ISN的基值和增加规律将源地址伪装成被信任主机，发送SYN数据请求建立连接等待目标主机发送SYN+ACK，黑客看不到该数据包再次伪装成被信任主机发送ACK，并带有预测的目标机的ISN+1建立连接，通过其它已知漏洞获得Root权限，安装后门并清除Log五、其他攻击嗅探攻击会话劫持攻击社会工程攻击

八、其他攻击1.嗅探攻击

通过特殊的设备（嗅探器，有硬件和软件两种）捕获网络中传输网络数据的报文。嗅探攻击

一是针对简单地采用集线器（Hub）连接的局域网，黑客只要能把嗅探器安装到这个网络中的任何一台计算机上就可以实现对整个局域网的侦听，这是因为共享Hub获得一个子网内需要接收的数据时，并不是直接发送到指定主机，而是通过广播方式发送到每个电脑。一是针对交换网络的，由于交换网络的数据是从一台计算机发出到预定的计算机，而不是广播的，所以黑客必须将嗅探器放到像网关服务器、路由器这样的设备上才能监听到网络上的数据，当然这比较困难，但由于一旦成功就能够获得整个网段的所有用户账号和口令，所以黑客还是会通过其他种种攻击手段来实现它，如通过木马方式将嗅探器发给某个网络管理员，使其不自觉地为攻击者进行了安装。五、其他攻击防护措施：检测嗅探器：对本地主机的检测由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作，所以可以通过查看你的网卡是否处于混杂模式来简单地确定你的计算机是否有嗅探器。对网络上的主机的检测：首先可以通过一些网管软件查看网络通讯情况，但丢包率非常高，那就有可能有人在监听；其次还可以查看网络带宽情况来判断，通过某些带宽控制器可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台机器就有可能在监听。加密数据五、其他攻击2.会话劫持攻击概述某黑客在暗地里等待着某位合法用户通过Telnet远程登录到一台服务器上，当这位用户成功地提交密码后，这个黑客就开始接管该用户当前的会话并摇身变成了这个用户。是一种结合了嗅探以及欺骗技术在内的攻击手段会话劫持攻击避开了被攻击主机对访问者的身份验证和安全认证，从而使黑客能直接进入对被攻击主机的的访问状态，对系统安全构成的威胁比较严重。网上流行着对WindowsNT的SMB会话劫持攻击。五、其他攻击防护措施应该尽量