网络安全导论 课件 第四章 常见攻击方法

1第四章

常见攻击方法

2摘要1.网络与信息攻击的方法可以分为信息的侦察与窃取、信息欺骗和信息封锁与破坏三个大类.2.本章要求学生对常见攻击方法的基本原理有个较深入的理解，重点要求能够描述ARP攻击、缓冲区溢出攻击、拒绝服务和扫描攻击的基本流程。IT专业学生应尝试编写简单的“无恶意”攻击代码。3攻击和安全的关系黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击。4讨论议题4.1攻击方法概述 4.2信息侦察与窃取的典型方

4.3信息欺骗的典型方法 4.4信息的封锁与破坏典型方法4.5不容低估的攻击者 54.1攻击方法概述6攻击者隐藏通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。7攻击方法分很多网络信息丢失、篡改、销毁内部、外部泄密拒绝服务攻击逻辑炸弹黑客攻击计算机病毒后门、隐蔽通道蠕虫特洛伊木马8攻击方法分类一般教科书上把信息攻击分为主动攻击和被动攻击两大类，我们这里把信息攻击分为信息的侦察与窃取、信息欺骗和信息封锁与破坏三个大类。9我们的分法偷：信息的侦察与窃取骗：信息欺骗破环：信息封锁与破坏10攻击方法分类侦查与窃取:电话窃听、电子信息侦察、特洛伊木马、扫描、网络嗅探等是信息侦查与窃取常用方法。信息欺骗:通信内容欺骗、IP地址欺骗、新闻媒体欺骗、雷达欺骗、社会工程学攻击等是常见的信息欺骗方法。信息封锁与破坏:是指通过一定的手段使敌方无法获取和利用信息，如拒绝服务攻击、计算机病毒、电子干扰、电磁脉冲、高能微波、高能粒子束和激光等。入侵方法与手段114.2

信息侦察与窃取的典型方法入侵方法与手段12口令破解帐户是一种参考上下文，所有的用户模式代码在一个用户帐户的上下文中运行。即使是那些在任何人都没有登录之前就运行的代码（例如服务）也是运行在一个帐户（特殊的本地系统账户SYSTEM）的上下文中的。如果用户使用帐户凭据（用户名和口令）成功通过了登录认证，之后他执行的所有命令都具有该用户的权限。口令破解是获得系统最高权限帐户的最有效的途径之一。入侵方法与手段13Windows口令文件的格式及安全机制

Windows对用户帐户的安全管理使用了安全帐号管理器（SAM,SecurityAccountManager）的机制，口令在SAM中通过单向函数（One-wayFunction,OWF）形成摘要。C:\Windows\System32\config下SAM,Security，System三个文件。不必删除，可以拷个没密码或者知道密码的文件覆盖。入侵方法与手段14Unix口令文件的格式及安全机制

Unix系统中帐户信息存放在passwd文件中，口令可以使用DES或MD5加密后存放在shadow文件中。passwd使用的是存文本的格式保存信息。UNIX中的passwd文件中每一行都代表一个用户资料，每一个账号都有七部分资料，不同资料中使用“:”分割。15口令破解主流方法有两种：基于字典的分析方法和暴力破解法。一个典型的密码字典如图所示首先设置密码字典，设置完密码字典以后，将会用密码字典里的每一个密码对目标用户进行测试，如果用户的密码在密码字典中就可以得到该密码。16口令破解彩虹表矿机入侵方法与手段17典型破解工具工具一：PasswordCrackers

工具二：L0phtCrack

入侵方法与手段18扫描入侵方法与手段19漏洞也称脆弱性，是指系统安全过程、管理控制及内部控制等存在的缺陷。漏洞只有被攻击者利用才成为对系统的破坏条件。漏洞的成因：网络协议漏洞：协议本身不安全，如TCP/IP软件系统漏洞：一些程序收到一些异常或超长的数据和参数就会导致缓冲区溢出。配置不当引起的漏洞20漏洞扫描扫描器：扫描器是一种通过收集系统的信息来自动监测远程或本地主机安全性弱点的程序，通过使用扫描器，可以发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。这就能让黑客或管理员间接或直接的了解到远程主机存在的安全问题。

扫描器有三项功能：1、发现一个主机或网络；2、一旦发现一台主机，可以发现有什么服务程序正运行在这台主机上；3、通过测试这些服务，发现漏洞。21扫描技术分类•主机扫描：确定在目标网络上的主机是否可达，主要利用ICMP数据包端口扫描：发现远程主机开放的端口以及服务。通过端口扫描可以得到许多有用的信息：如目标主机正在运行的是什么操作系统，正在运行什么服务，运行服务的版本等漏洞扫描：使用漏洞扫描程序对目标主机系统进行信息查询，可以发现系统中存在不安全的地方。漏洞扫描的原理就是向目标主机发送一系列的咨询，根据目标主机的应答来判断漏洞是否存在。22扫描方法扫描方法可以分成：慢速扫描和乱序扫描。1、慢速扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。2、乱序扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。23主机扫描原理（一）24主机扫描原理（二）25ICMP消息类型(部分)0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo

11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply26Ping工具发送ICMPEcho消息，等待EchoReply消息可以确定网络和外部主机的状态可以用来调试网络的软件和硬件每秒发送一个包，显示响应的输出，计算网络来回的时间最后显示统计结果——丢包率27端口一个端口就是一个潜在的通信信道。端口通常分三类：众所周知的端口；0——1023，绑定一些特殊服务注册端口；1024——49151，松散绑定一些服务。也可用于其他目的。动态或私有端口；49152——65535，理论上讲，不应为服务分配这些端口，实际上系统通常从1024起分配动态端口。28回顾：TCP连接的建立和终止时序图29TCPConnect扫描30TCPSYN扫描这种扫描方法没有建立完整的TCP连接，有时也被称为“半打开扫描（half-openscanning）”。其步骤是先往端口发送一个SYN分组。如果收到一个来自目标端口的SYN/ACK分组，那么可以推断该端口处于监听状态。如果收到一个RST/ACK分组，那么它通常说明该端口不在监听。执行端口的系统随后发送一个RST/ACK分组，这样并未建立一个完整的连接。这种技巧的优势比完整的TCP连接隐蔽，目标系统的日志中一般不记录未完成的TCP连接。入侵方法与手段31TCPFIN扫描这种扫描方法是直接往目标主机的端口上发送FIN分组。按照RFC793，当一个FIN分组到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST分组。否则，当一个FIN分组到达一个打开的端口，分组只是简单地被丢掉（不返回RST分组）。32TCPXmas扫描无论TCP全连接扫描还是TCPSYN扫描，由于涉及TCP三次握手很容易被远程主机记录下来。Xmas扫描由于不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多。这种扫描向目标端口发送一个FIN、URG和PUSH分组。按照RFC793，目标系统应该给所有关闭着的端口发回一个RST分组。。33TCP空扫描这种扫描发送一个关闭掉所有标志位的分组，按照RFC793，目标系统应该给所有关闭着的端口返回一个RST分组。34TCPACK扫描这种扫描一般用来侦测防火墙，他可以确定防火墙是否只是支持简单的分组过滤技术，还是支持高级的基于状态检测的包过滤技术。35UDP扫描由于UDP协议是非面向连接的，对UDP端口的探测也就不可能像TCP端口的探测那样依赖于连接建立过程（不能使用telnet这种tcp协议类型命令），这也使得UDP端口扫描的可靠性不高。所以虽然UDP协议较之TCP协议显得简单，但是对UDP端口的扫描却是相当困难的。下面具体介绍一下UDP扫描方案：

36UDP扫描方案1：利用ICMP端口不可达报文进行扫描本方案的原理是当一个UDP端口接收到一个UDP数据报时，如果它是关闭的，就会给源端发回一个ICMP端口不可达数据报；如果它是开放的，那么就会忽略这个数据报，也就是将它丢弃而不返回任何的信息。优点：可以完成对UDP端口的探测。缺点：需要系统管理员的权限，扫描的速度很慢。37UDP扫描方案二:

不具备系统管理员权限的时候可以通过使用recvfrom（）和write（）这两个系统调用来间接获得对方端口的状态。对一个关闭的端口第二次调用write（）的时候通常会得到出错信息。而对一个UDP端口使用recvfrom调用的时候，如果系统没有收到ICMP的错误报文通常会返回一个EAGAIN错误，错误类型码13，含义是“再试一次（Try

Again）”；如果系统收到了ICMP的错误报文则通常会返回一个ECONNREFUSED错误，错误类型码111，含义是“连接被拒绝（Connect

refused）”。通过这些区别，就可以判断出对方的端口状态如何38常见的扫描器nmapSATANstrobePingerPortscanSuperscan……开放端口扫描使用工具软件PortScan可以到得到对方计算机都开放了哪些端口，主界面如图4-8所示。

入侵方法与手段40nmapByFyodor作者研究了诸多扫描器，每一种扫描器都有自己的优点，它把所有这些技术集成起来，写成了nmap，当前版本为2.53/2.54源码开放，C语言两篇技术文档TheArtofPortScanningRemoteOSdetectionviaTCP/IPStackFingerPrinting除了扫描功能，更重要的是，可以识别操作系统，甚至是内核的版本入侵方法与手段41OSFingerprint技术许多漏洞是系统相关的，而且往往与相应的版本对应，同时从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统,因此操作系统指纹探测成为了黑客攻击中必要的环节。如何辨识一个操作系统是OSFingerprint技术的关键，常见的方法有：l

一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息；l

TCP/IP栈指纹；l

DNS泄漏出OS系统等等。入侵方法与手段42端口服务提供的信息Telnet服务Http服务Ftp服务入侵方法与手段43栈指纹识别技术做法：寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确地识别出一个系统的OS版本技术导向可辨识的OS的种类，包括哪些操作系统结论的精确度，细微的版本差异是否能识别一些工具Checkos,byShokQueso,bySavageNmap,byFyodor4.3信息欺骗的典型方法社交媒体欺骗通过互联网社交平台（朋友圈、抖音、微信群、QQ群、APP等）、搜索引擎、短信、电话，发布虚假网络贷款、虚拟投资、刷单返利、购物退款、虚假婚恋等网络诈骗违法犯罪行为近年来十分猖獗。重放攻击把以前窃听到的数据原封不动地重新发送给接收方，以达到欺骗接收方的目的。中间人攻击ARP欺骗攻击深度伪造欺诈网络犯罪分子使用深度伪造的面孔来欺骗生物识别验证，已经被确定为增长最快的金融犯罪类型。4.4信息的封锁与破坏典型方法2024/5/31现代密码学理论与实践-1951/37病毒病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码52/37病毒程序的结构病毒程序{感染模块:

{循环:随机搜索一个文件;如果感染条件满足则将病毒体写入该文件;否则跳到循环处运行;}

破坏模块:

{执行病毒的破坏代码}触发模块:{如果触发条件满足返回真;否则返回假;}主控模块:{执行传染模块;执行触发模块如果返回为真,执行破坏模块;执行原程序;}}2024/5/31现代密码学理论与实践-1953/37另一个简单的病毒<html><body>test<script>varcolor=newArray;color[1]="black";color[2]="red";for(x=2;x<3;x++){document.bgColor=color[x];if(x==2){x=0;}}</script></body></html>该代码利用死循环原理，交叉显示红色和黑色，造成刺眼效果2024/5/31现代密码学理论与实践-1954/37一个简单的病毒<html><head><title>no</title><scriptlanguage="JavaScript">;functionopenwindow(){for(i=0;i<1000;i++)window.open('');}</script></head><bodyonload="openwindow()"></body></html>代码是一个逻辑炸弹，请以hellow1.htm存盘,然后双击该文件，察看并分析运行结果2024/5/31现代密码学理论与实践-1955/37MacroVirusesMicrosoftOfficeapplicationsallow“macros”tobepartofthedocument.Themacrocouldrunwheneverthedocumentisopened,orwhenacertaincommandisselected(SaveFile).Platformindependent.Infectdocuments,deletefiles,generateemailandeditletters.2024/5/31现代密码学理论与实践-1956/37E-mailVirusesIftherecipientopensthee-mailattachment,theWordmacroisactivated.ThenThee-mailvirussendsitselftoeveryoneonthemailinglistintheuser’se-mailpackageThevirusdoeslocaldamageMorepowerfulandnewerversionofthee-mailviruscanbeactivatedmerelybyopeningane-mailthatcontainsthevirusratherthanopeninganattachment.Theviruspropagatesitselfassoonasactivatedtoallofthee-mailaddressknowntotheinfectedhost.2024/5/3157/37Shakira’spictures邮件的附件附件(ShakiraPics.jpg.vbs)内容(6K多)2024/5/31现代密码学理论与实践-1958/37Shakira’spictures邮件的病毒代码把wapwvdfgcpw解出来之后，如下(主程序部分)2024/5/31现代密码学理论与实践-1959/37Shakira’spictures邮件病毒流程流程如下：改写注册表键：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Registry利用Outlook给地址簿中所有用户发信并置上标记：HKCU\software\ShakiraPics\mailed=1利用mirc发送病毒附件并置上标记：HKCU\software\ShakiraPics\Mirqued=1对于当前文件系统中(所有远程目录)所有的vbs文件和vbe文件都替换成自己——循环+递归提醒用户：“YouhavebeeninfectedbytheShakiraPicsWorm”2024/5/31反病毒技术过程检测病毒。一旦系统被感染病毒，应尽快检测起来，力争在病毒发作之前发现标识出具体的病毒恢复。一旦已经标识出病毒类型，则采取相应的措施来恢复到原始的状态。如果不能恢复状态，则可以隔离被感染的文件，或者启动备份的系统文件，或者引导分区编写病毒的技术和反病毒技术也是“道高一尺魔高一丈”的情况，在斗争中提高和发展早期简单的病毒扫描器。根据一些简单的特征对问题区域进行扫描，如果匹配到了，则发现病毒的踪迹启发式的扫描器。在扫描的时候，利用一些启发式的规则，可以发现一些隐蔽的病毒。或者利用程序指纹(检验码)来判断程序被修改的情况针对病毒可能的闯入点，在这些点上设置检查关卡，一旦发现异常，就进行报警并进行干预综合。反病毒是一个综合的过程，各种技术需要结合起来更重要的是，在设计系统软件的时候就应该考虑尽可能地减少病毒闯入的机会，以免开放的功能被滥用2024/5/31现代密码学理论与实践-1961/37AntivirusApproaches1stGeneration,Scanners:searchedfilesforanyofalibraryofknownvirus“signatures.”Checkedexecutablefilesforlengthchanges.2ndGeneration,HeuristicScanners:looksformoregeneralsignsthanspecificsignatures(codesegmentscommontomanyviruses).Checkedfilesforchecksumorhashchanges.3rdGeneration,ActivityTraps:stayresidentinmemoryandlookforcertainpatternsofsoftwarebehavior(e.g.,scanningfiles).4thGeneration,FullFeatured:combinethebestofthetechniquesabove.2024/5/31现代密码学理论与实践-1962/37AdvancedAntivirusTechniques63/37恶意软件恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。具有下列特征之一的软件可以被认为是恶意软件：(1)强制安装(2)难以卸载(3)浏览器劫持(4)广告弹出(5)恶意收集用户信息(6)恶意卸载：(7)恶意捆绑其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。入侵方法与手段64拒绝服务攻击拒绝服务攻击的主要目的是使被攻击的网络或服务器不能提供正常的服务。有很多方式可以实现这种攻击，最简单的方法是切断网络电缆或摧毁服务器；当然利用网络协议的漏洞或应用程序的漏洞也可以达到同样的效果。DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者向内的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存容量多么大，互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限，所以，总能找到一个方法使请求的值大于该极限值，因此就会使所提供的服务资源匮乏，象是无法满足需求。入侵方法与手段65SYN湮没

SYN是TCP/IP协议建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN-ACK应答表示接收到了这个消息，最后客户机以再ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。这种攻击向一台服务器发送许多SYN消息，该消息中携带的源地址根本不可用，但是服务器会当真的SYN请求处理，当服务器尝试为每个请求消息分配连接来应答这些SYN请求时，服务器就没有其它资源来处理来真正用户的合法SYN请求了。这就造成了服务器不能正常的提供服务。入侵方法与手段66Land攻击

Land攻击和其它拒绝服务攻击相似，也是通过利用某些操作系统在TCP/IP协议实现方式上的漏洞来破坏主机。在Land攻击中，一个精心制造的SYN数据包中的源地址和目标地址都被设置成某一个服务器地址，这将导致接收到这个数据包的服务器向它自己发送SYN-ACK消