《通信网络安全与防护》 课件 4-2 欺骗型攻击

通信网络安全与防护第四章网络攻击技术《通信网络安全与防护》知识回顾网络攻击的基本流程？社会工程学攻击利用型攻击321口令破解缓冲区溢出知识回顾利用ICMP协议进行扫描时,以下哪一项目标主机信息是可以扫描的?A.漏洞；B.弱口令；C.操作系统版本；D.IP地址；以下哪些是社会工程学攻击?A.网络钓鱼；B.伪造电子邮件；C.打电话请求密码；D.破解口令；4.1黑客与网络攻击概述4.2欺骗型攻击4.3利用型攻击4.4拒绝服务攻击4.5APT教学目标(1)掌握木马的工作原理与工作过程;(2)熟悉SQL注入攻击的原理与防范方法;(3)掌握DoS攻击的常用技术，掌握DDoS的组织过程；(4)了解高级可持续威胁的基本概念、攻击过程。口令破解缓冲区溢出攻击木马SQL注入主要内容4.3利用型攻击木马，全称为特洛伊木马（Trojanhorse），源自希腊神话中的木马屠城记。1.定义RFC1244:ATrojanHorseprogramcanbeaprogramthatdoessomethinguseful,ormerelysomethinginteresting.Italwaysdoessomethingunexpected,likestealpasswordsorcopyfileswithoutyourknowledge。特洛伊木马是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。TrojanHorse隐藏在其它程序中的破坏安全（security-breaking）的程序，如隐藏在压缩文件或游戏程序中。－《大英百科全书》三、特洛伊木马4.3.3特洛伊木马是两个网络进程，一个运行在受害者主机上，称为服务端；另一个运行在攻击者主机上，称为控制端。攻击者通过控制端与受害者服务端进行网络通信，达到远程控制或其它目的。本质隐蔽性非授权性功能特殊性特征2.木马的本质与特征攻击者（1）配置木马受害者（2）传播木马（4）建立连接（5）信息窃取或远程控制绝密（3）运行木马4.3.3特洛伊木马3.木马工作流程木马程序需要做到以下四点：★有一段程序执行特殊功能；★具有某种策略使受害者接受这个程序；★该程序能够长期运行，且程序的行为方式不会引起用户的怀疑；★入侵者必须有某种手段回收由木马发作而为他带来的实际利益。－功能机制－传播机制－启动机制－连接机制4.3.3特洛伊木马4.木马工作原理木马功能机制远程控制口令窃取文件发送特定功能工作已经预置在程序中，不需要控制功能在交互式操作中实现通过Email、ftp、MSN、ICQ等发送:如试卷大盗:如“僵尸”Bots正向连接：冰河反向连接：灰鸽子4.木马工作原理4.3.3特洛伊木马4.木马工作原理木马传播机制

木马的主动攻击传播

网页传播

欺骗式传播－下载、QQ、邮件附件等

病毒式传播

文件捆绑式传播等常见不常见[AutoRun]open=RavMon.exeshell\open=打开(&O)shell\open\Command=RavMon.exeshell\explore=资源管理器(&X)shell\explore\Command="RavMon.exe-e"4.3.3特洛伊木马受害者WEB服务器攻击者http请求浏览页面木马程序木马的网页传播JavaScriptActiveXASPPHPXML网页木马控制远程系统4.木马工作原理4.3.3特洛伊木马木马传播机制攻击者受害者WEB服务器下载运行用户警惕性不高时相当有效上传木马程序提供下载发送QQ附件或邮件附件伪装成txt、bmp、html等文件的图标4.木马工作原理4.3.3特洛伊木马木马传播机制将木马捆绑到一个安装程序上，当安装程序运行的时候，木马在用户毫无觉察的情况下，在后台启动。ExeScope木马的捆绑式传播

将木马捆绑到一个word文档上，当打开word文档时执行宏运行木马。D:>copy/btest.doc+tro.exenew.doc4.木马工作原理4.3.3特洛伊木马木马传播机制攻击者受害者木马的主动攻击传播控制远程系统计划任务注册表获得上传文件权限上传木马程序木马传播机制4.木马工作原理4.3.3特洛伊木马开始菜单的启动项。在Winstart.bat中启动。在Autoexec.bat和Config.sys中加载运行。win.ini/system.ini：部分木马采用，不太隐蔽。注册表：隐蔽性强，多数木马采用。注册服务：隐蔽性强，多数木马采用。修改文件关联：只见于国产木马。木马启动机制4.木马工作原理4.3.3特洛伊木马？？？？木马种植者（牧马人）如何回收木马为他带来的利益呢4.木马工作原理4.3.3特洛伊木马Web服务器Ftp服务器HostofFriend18YourHost8IE浏览器迅雷QQ网络通信原理端口（Port）:

运输层服务访问点SAP，标识应用进程Socket（套接字、插口）基本术语源IP地址:源端口＜＝＞目的IP地址:目的端口

监听端口：标识守护进程

连接端口：标识用户应用进程如何建立起连接呢？打电话10086，总会接通，为什么？提供服务的一方要有人始终处于被动监听状态。网络通信原理Web服务器Ftp服务器HostofFriend18YourHost880号端口www守护进程21号端口ftp守护进程网络通信原理(1)正向连接－－传统木马

(2)反向连接－－反弹式木马

(3)无连接－－特殊功能木马，SpyWare木马连接机制4.木马工作原理4.3.3特洛伊木马(1)正向连接攻击者扫描整个或特定网络；找到打开特定端口的主机；通过木马控制端与木马服务端建立连接，远程控制；木马连接机制？？？木马服务端程序打开一个特定监听端口，作为守护进程等待连接。4.木马工作原理4.3.3特洛伊木马木马连接机制攻击者受害者连接请求拒绝连接http连接请求攻击者受害者防火墙对自己主动向外的连接防范不严正向连接面对防火墙无能为力4.木马工作原理4.3.3特洛伊木马？？(2)反向连接木马控制端程序打开一个特定监听端口，作为守护进程等待受害者连接。

将控制端地址、端口信息写入服务端；

通过在第三方网站上存储一个配置文件实现；木马连接机制4.木马工作原理4.3.3特洛伊木马(3)无连接？？？攻击者从相应位置将信息取回。木马服务端程序将搜索到的敏感文件、口令等发送到指定邮箱或上载到指定服务器。木马连接机制4.木马工作原理4.3.3特洛伊木马SQL-StructuredQueryLanguage,结构化查询语言SQL注入即是指攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。4.3利用型攻击四、SQL注入攻击dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用户名或密码不正确！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothing一个经典的SQL注入漏洞4.3.4SQL注入攻击分析在用户名和密码那里都填入‘OR‘’=’，SQL语句被构造成

select*fromadminwhereadmin=‘’OR‘’=‘’andpassword=‘’OR‘’=‘’意思是当admin为空或者空等于空，password为空或者空等于空的时候整个查询语句就为真。4.3.4SQL注入攻击如何修补漏洞？过滤掉其中的特殊字符。这里我们就过滤掉其中的“'”，即是把程序的头两行改为：admin1=replace(trim(request("admin")),“’”,"")password1=replace(trim(request("password")),“’”,"")4.3.4SQL注入攻击防止SQL注入四种方法(1)在服务端正式处理之前对提交数据的合法性进行检查；(2)封装客户端提交信息；(3)替换或删除敏感字符/字符串；(4)屏蔽出错信息。4.3.4SQL注入攻击拒绝服务攻击DoS（DenialofService），凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。拒绝服务是一种简单的破坏性攻击，最本质的特征是延长正常的应用服务的等待时间。拒绝服务有时不需要目标主机存在任何的漏洞就可以实施，因此是网络攻击中最难以抵御的攻击方法。4.4DoS与DDoS一、Dos攻击技术按照DoS攻击工作机理，DoS攻击分为四类：☆带宽耗用☆资源衰竭☆漏洞利用☆路由和DNS攻击4.4.1DoS攻击技术死亡之Ping（PingofDeath）死亡之Ping利用Ping命令向目标主机发送超过64K的ICMP报文实现DOS攻击。可以直接造成安装早期操作系统的主机蓝屏死机。ping–L65538<destnationIPaddress>1.早期DoS攻击手段4.4.1DoS攻击技术SMB（SessionMessageBlock，会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口通讯的共享。SMB致命攻击是利用SMB存在的漏洞一种DoS攻击方法。SMB致命攻击软件的主界面被攻击的计算机蓝屏界面1.早期DoS攻击手段4.4.1DoS攻击技术在发送的IP分组包指定非法的片偏移值，会造成某些协议软件出现缓冲区覆盖，导致系统崩溃。泪滴攻击（Teardrop）1.早期DoS攻击手段4.4.1DoS攻击技术偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的数据报数据报片1首部数据部分共3800字节首部1首部2首部3字节0数据报片2数据报片314002800字节0IP包的分片与组装

Land攻击Email炸弹DNS攻击1.早期DoS攻击手段4.4.1DoS攻击技术

TCP建立连接时需要进行三次握手，攻击者向目标主机发送大量的SYN请求，但恶意的不完成三次握手，从而使目标主机缓冲区资源衰竭，达到拒绝服务攻击的目的。2.SYNFlood4.4.1DoS攻击技术TCP三次握手过程SynFlood恶意地不完成三次握手3.Smurf攻击4.4.1DoS攻击技术攻击者攻击目标反射网络互联网上一些服务器默认开放着一些有可能被恶意利用的UDP服务，因此攻击者可以通过向目标主机发送大量UDP报文达到拒绝服务攻击的目的。4.UDPFlood4.4.1DoS攻击技术随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了。针对服务器的性能提升，分布式的拒绝服务攻击手段（DDoS）应运而生。DDoS采取的仍然是DOS技术，只不过增加了攻击主机。4.4.2DDoS攻击技术4.4.2DDoS攻击技术扫描程序不安全的计算机攻击者攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet4.4.2DDoS攻击技术攻击者被控制的计算机(代理端)设法入侵有安全漏洞的主机并获取控制权，安装后门程序。2Internet4.4.2DDoS攻击技术攻击者

选取满足建立网络所需要的主机，做为主控端，放置守护程序。3被控制计算机（代理端）主控端Internet4.4.2DDoS攻击技术攻击者

攻击者发送控制命令给主控端，准备启动对目标系统的攻击4被控制计算机（代理端）目标系统主控制端Internet4.4.2DDoS攻击技术目标系统攻击者

主控端发送攻击信号给代理端开始对目标系统发起攻击。5主控端Internet被控制计算机（代理端）4.4.2DDoS攻击技术目标系统攻击者目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应。6主控端UserRequestDeniedInternet被控制计算机（代理端）4.4.2DDoS攻击技术2014年DDoS攻击事件2014年3月17日，克里米亚公投网站当天凌晨遭到黑客发起的DDoS攻击。北约数家网站遭乌克兰黑客DDoS攻击。2014年12月20日-21日，阿里云遭遇了全球互联网史上最大的一次DDoS攻击。共持续了14个小时，攻击峰值流量达到每秒453.8G。2014年6月19日，下午4点，facebook所有服务大规模当机，疑似遭到大规模DDoS攻击，直到25分钟后，才恢复正常。2014年2月27日，群组社交网站Meetup因拒绝支付300万美金遭到大规模DDoS攻击，并导致网站停摆。4.4.2DDoS攻击技术确保主机不被入侵且是安全的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器或侦测器在攻击信息到达网站服务器之前阻挡攻击信息。DDoS攻击的预防4.4.2DDoS攻击技术高级持续性威胁(Advanced

Persistent

Threat，APT)，APT（高级持续性渗透攻击）是一种以商业和政治为目的的网络犯罪类别，通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击。

具有长期策划与经营、高度隐蔽等特性。APT攻击不会追求短期的收益或单纯的破坏，而是以步步为营的渗透入侵策略，低调隐蔽的攻击每一个特定目标，不做其他多余的活动来打草惊蛇。一、什么是APT4.5APT攻击技术上的高级

0DAY漏洞

0DAY特马通道加密投入上的高级

全面信息的收集与获取针对的目标和工作分工多种手段的结合：社工+物理Advance了解对方使用软件和环境有针对性的寻找只有攻击者知道的漏洞绕过现有的保护体系实现利用新型特殊木马绕过现有防护了解环境下使用专门的对抗关闭防护绕过防护合法逃逸模拟合法用户行为协议与软件端口配合用户行为同步使用加密通道常见必开的协议如DNS合法加密的协议如HTTPS针对人的薄弱环节与信任体系攻击人的终端，利用人的权限获取常见人的信息流通道的深度检测缺乏，如邮件、WEB访问、IM等4.5.2APT分析

APT攻击6个阶段:情报搜集首次突破防线幕后操纵通讯横向移动资产/资料发掘资料外传APT攻击阶段划分4.5.2APT分析黑客透过一些公开的数据源(如Facebook)搜寻和锁定特定人员并加以研究，然后开发出定制化攻击。这个阶段是黑客信息收集阶段，其可以通过搜索引擎，配合诸如爬网系统，在网上搜索需要的信息，并通过过滤方式筛选自己所需要的信息。信息的来源很多，包括社交网站，博客，公司网站，甚至通过一些渠道购买相关信息（如公司通讯录等）情报收集4.5.2APT分析黑客在确定好攻击目标后，将会通过各种方式来试图突破攻击目标的防线。常见的渗透突破的方法包括：首次突破防线4.5.2APT分析社会工程学：发送电子邮件或即时通讯附件，欺骗企业内部员工下载或执行包含零日漏洞的恶意软件，软件运行之后即建立了后门，等待黑客下一步操作；水坑攻击：网站挂马。黑客在感染或控制一定数量的计算机之后，为了保证程序能够不被安全软件检测和查杀，会建立命令、控制及更新服务器（C&C服务器），对自身的恶意软件进行版本升级，以达到免杀效果；同时一旦时机成熟，还可以通过这些服务器，下达指令。幕后操纵通讯4.5.2APT分析采用http/https标准协议来建立沟通，突破防火墙等安全设备；定期对程序进行检查，确认是否免杀，只有当程序被安全软件检测到时，才会进行版本更新，降低被IDS/IPS发现的概率。黑客入侵之后，会尝试通过各种手段进一步入侵企业内部的其他计算机，同时尽量提高自己的权限。横向移动4.5.2APT分析黑客入侵主要利用系统漏洞方式进行；企业在部署漏洞防御补丁过程存在时差，甚至部分系统由于稳定性考虑，无法部署相关漏洞补丁在入侵进行到一定程度后，黑客就可以接触到一些敏感信息，可通过C&C服务器下发资料发掘指令：资产/资料发掘4.5.2APT分析采用端口扫描方式获取有价值的服务器或设备；通过列表命令，获取计算机上的文档列表或程序列表；一旦搜集到敏感信息，这些数据就会汇集到内部的一个暂存服务器，然后整理、压缩，通常并经过加密后外传。资料外传4.5.2APT分析资料外传采用标准协议(http/https，SMTP等）信息泄露后黑客再根据信息进行分析识别，来判断是否可以进行交易或者破坏。对企业和国家造成较大影响。情报收集：伊朗核电站是一个物理隔离的网络，攻击者首先获得了一些核电站工作人员和其家庭成员的信息，针对这些家庭成员的主机发起攻击，成功控制这些家庭用的主机。首次突破防线：利用4个WINDOWS的0DAY漏洞，感染所有接