网络安全原理与应用（第三版）课件 第7章 网络攻击与防范

1网络安全原理与应用(第三版)第八章网络攻击和防范8.1网络攻击概述系统攻击或入侵是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。了解自己系统的漏洞及入侵者的攻击手段，才能更好的保护自己的系统。8.1.1黑客与入侵者源于1961年麻省理工学院(MIT)的技术模型铁路俱乐部80年代是黑客历史的分水岭，因为它标志着完备的个人计算机被引入了公众视野,引爆了黑客的快速增长。1986年，黑客相关的首部立法《联邦计算机诈骗和滥用法案》出台90年代是黑客污名化的起点，被入侵者群体盗用；凯文·米特尼克、凯文·鲍尔森、罗伯特·莫里斯和弗拉基米尔·勒文00年代，入侵者和发起的攻击频频见诸报端，道德黑客无奈继续见证自己的良好声誉被拖入泥潭10年代，黑客社区变得更加高端复杂；为应对激进黑客和网络罪犯，政府实体和大公司竞相改善安全。8.1.2系统攻击的三个阶段（1）收集信息收集要攻击的目标系统的信息，包括目标系统的位置、路由、目标系统的结构及技术细节等。（2）探测系统安全弱点

利用“补丁”找到突破口；利用扫描器发现安全漏洞（3）实施攻击掩盖行迹，预留后门安装探测程序取得特权，扩大攻击范围信息收集工具Ping程序：用于测试一个主机是否处于活动状态及主机响应所需要的时间等。Tracert程序：可以用该程序来获取到达某一主机经过的网络及路由器的列表。Finger协议：用于取得某一主机上所有用户详细信息DNS服务器：该服务器提供系统中可以访问的主机的IP地址和主机名列表。SNMP协议：可以查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其他内部细节。Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。探测系统的安全弱点的主要方法（1）利用“补丁”找到突破口。但许多用户没有及时地使用“补丁”程序，这就给攻击者以可趁之机。攻击者通过分析“补丁”程序的接口，自己编写程序通过该接口入侵目标系统。（2）利用扫描器发现安全漏洞。扫描器是一种常用的网络分析工具。这类工具可以对整个网络或子网进行扫描，寻找安全漏洞。扫描器的使用价值具有两面性，系统管理员使用扫描器可以及时发现系统存在的安全隐患，从而完善系统的安全防御体系；而攻击者使用此类工具，用于发现系统漏洞，则会给系统带来巨大的安全隐患。目前比较流行的开源扫描器有Nmap、ZAP、OSV-Scanner、CloudSploit等。攻击行为表现（1）掩盖行迹，预留后门。攻击者潜入系统后，会尽量销毁可能留下的痕迹，并在受损害系统中找到新的漏洞或留下后门，以备下次光顾时使用。（2）安装探测程序。攻击者可能在系统中安装探测软件，即使攻击者退出去以后，探测软件仍可以窥探所在系统的活动，收集攻击者感兴趣的信息，如用户名、账号、口令等，并源源不断地把这些秘密传给幕后的攻击者。（3）取得特权，扩大攻击范围。攻击者可能进一步发现受损害系统在网络中的信任等级，然后利用该信任等级所具有的权限，对整个系统展开攻击。如果攻击者获得根用户或管理员的权限，后果将不堪设想。8.1.3网络入侵的对象固有的安全漏洞

漏洞主要来源于程序设计等方面的错误和疏忽，如协议的安全漏洞、弱口令、缓冲区溢出等系统维护措施不完善的系统

当发现漏洞时，管理人员需要仔细分析危险程序，并采取补救措施。3．缺乏良好安全体系的系统在设计时没有建立有效的、多层次的防御体系，这样的系统不能防御复杂的攻击。缺乏足够的检测能力也是很严重的问题。8.1.4主要的攻击方法1．获取口令2．放置特洛伊木马3．WWW欺骗技术4．电子邮件攻击5．网络监听6.寻找系统漏洞1．获取口令一般方法一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大;二是在知道用户的账号后，利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。2.放置特洛伊木马特洛伊木马程序是一种远程控制工具，可以直接侵入用户的计算机并进行破坏，它常伪装成有用的程序或者游戏，诱使用户下载。一旦用户打开这些邮件的附件或者执行这些程序，木马程序就会留在电脑中。木马程序就会通知黑客，泄露用户的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改用户计算机的参数设定、复制文件、窥视整个硬盘中的内容等，从而达到控制用户计算机的目的。3．WWW的欺骗技术访问的网页已经被黑客篡改过，网页上的信息是虚假的。例如，攻击者将用户要浏览的网页的URL改写为指向攻击者自己的服务器，当用户浏览目标网页的时候，实际上是向攻击者的服务器发出请求。此时攻击者可以监控受攻击者的任何活动，包括账户和口令。4.电子邮件攻击主要表现为两种方式：一是通常所说的邮件炸弹，是指用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人的邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至使其瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件，要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。5．网络监听网络监听是指将网卡置于一种杂乱（promiscuous）的工作模式，在这种模式下，主机可以接收到本网段同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具（如Wireshark、Sniffer等）就可以轻而易举地截获包括口令和账号在内的信息资料。6．寻找系统漏洞许多系统都有这样那样的安全漏洞（bugs），其中某些是操作系统或应用软件本身具有的，微软发布的2023年11月份安全更新共包括67个漏洞的补丁程序，其中超危漏洞3个，高危漏洞33个，中危漏洞31个，微软多个产品和系统版本受漏洞影响。这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，允许将目录和文件以可写的方式调出，允许未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给攻击者带来可乘之机，应及时加以修正。8.1.5攻击的新趋势

1.利用AI的网络攻击愈演愈烈2.云平台安全挑战加剧3.物联网安全问题凸显4.数字供应链攻击增多1.利用AI的网络攻击愈演愈烈网络犯罪分子不断研发新的工具和攻击方式，以扩大受害范围、提升攻击规模和速度、增强攻击效果，并提升攻击的隐蔽性。新兴的网络和AI工具的激增与普及，将为攻击者提供更为便捷的途径深度造假是快速增长的威胁之一。创建具有高度音视频可信度的逼真人物形象，用于合成身份，实施欺诈、勒索攻击、窃取数据和知识产权。2.云平台安全挑战加剧云平台帮助我们实现了数字化空间扩展、远程办公、多元化终端接入的同时，也使网络接入的系统、位置和时间更分散。多元化运维终端接入云平台，接入设备和系统安全措施难以统一，可控性降低；判断用户身份和行为合法性难度增加。一旦入侵某人的账户，窃取该账户内各类敏感数据；展开钓鱼攻击，传播负面舆论，云平台管理者难以进行溯源和避免云资源被攻击者利用。有效的加密方法，降低未经授权的数据访问和数据泄密相关的风险；新一代云安全解决方案，SOAR技术，零信任策略。3.物联网安全问题凸显物联网设备使我们的日常生活变得更加便捷和高效，带来了网络安全方面的挑战。从2018年至2022年，全球物联网网络攻击数量增长了243%以上物联网安全的特点：大规模部署：物联网涉及数十亿台设备的大规模部署，其中许多设备是不安全的，容易受到攻击；资源受限：多数物联网设备具有有限的计算和存储资源，因此无法运行复杂的安全软件；多样性：物联网设备的类型和制造商繁多，安全标准和协议的不一致性增加了管理和保护的复杂性。持续运行：很多物联网设备需要长期持续运行，因此需要持续的安全更新和维护。通过修复漏洞、加强安全功能（如加密和双因素身份验证）以及定期进行代码审计等措施，更有效抵御针对物联网设备和智能家居的网络攻击。4.数字供应链攻击增多数字化供应链：对供应链全业务流程进行计划、执行、控制和优化，对实物流、信息流、资金链进行整体规划的数据融通、资源共享、业务协同的网状供应链体系。供应链作为商业界的支柱，成为网络犯罪分子的主要攻击目标。近年来供应链攻击的发生频率呈明显增长趋势攻击者利用供应链网络固有的复杂性和互联性，通过恶意软件植入、代码篡改、供应链流程破坏等方式，实现对目标组织的深度渗透和控制。未来供应链攻击将继续增加，并可能变得更加复杂和难以应对。8.2口令攻击

8.2.1口令攻击8.2.2．设置安全的口令8.2.3．一次性口令8.2.1口令攻击（1）是通过网络监听非法得到用户口令攻击者利用数据包截取工具便可以很容易收集到用户的账号和口令（2）口令的穷举攻击字典穷举法（3）利用系统管理员的失误获取口令文件后，就可以用专门的破解工具进行破解8.2.2设置安全的口令（1）口令的选择：字母数字及标点的组合，如：Ha,Pp@y!和w/(X,y)*;使用一句话的开头字母做口令，如：由Afoxjumpsoveralazydog!产生口令：AfJoAld!。（2）口令的保存：记住、放到安全的地方，加密最好。（3）口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令。8.2.3．一次性口令（OTP）一次性口令就是一个口令仅使用一次，能有效地抵制重放攻击，这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。使用一次性口令的系统中，用户可以得到一个口令列表，每次登录使用完一个口令后就将它从列表明中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再与随机数、系统时间等参数一起通过散列得到一个一次性口令。

8.3扫描器

8.3.1端口与服务

（1）公认端口（WellKnownPorts）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。（2）注册端口（RegisteredPorts）：从1024到49151。它们松散地绑定于一些服务。（3）动态和/或私有端口（Dynamicand/orPrivatePorts）：从49152到65535。理论上，不应为服务分配这些端口。8.3.2端口扫描

一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。

端口扫描也广泛被入侵者用来寻找攻击线索和攻击入口。扫描器的种类扫描器是检测远程或本地系统安全脆弱性的软件漏洞扫描器：这类扫描器专注于识别目标系统中存在的已知安全漏洞。网络扫描器（NetworkScanners）：这种扫描器用于识别目标网络中的活跃主机、开放端口以及网络服务Web应用程序扫描器：专门用于检测Web应用程序中的安全问题和漏洞。这包括寻找潜在的SQL注入、跨站脚本（XSS）和其他与Web应用程序安全相关的问题。恶意软件扫描器（MalwareScanners）：这类扫描器致力于检测系统中的恶意软件，包括病毒、蠕虫、特洛伊木马等。它们通过扫描文件、内存和注册表等途径来发现潜在的恶意活动。扫描器的种类无线网络扫描器（WirelessScanners）：主要用于评估和确保无线网络的安全性。这些扫描器可以识别无线网络中的安全漏洞，例如未加密的连接或弱密码。主机扫描器（HostScanners）：这种扫描器关注于目标主机上的安全问题，包括开放端口、运行的服务以及系统配置方面的漏洞。端口扫描器（PortScanners）：专门用于检测目标系统上的开放端口，帮助管理员了解系统上哪些服务是活跃的。代码扫描器（CodeScanners）：用于检测软件源代码中的安全漏洞和编程错误，帮助开发人员提高其应用程序的安全性。扫描器用途及危害扫描器通过对扫描对象的脆弱性进行深入了解,检测其是否存在已知的漏洞；能给扫描时发现的问题提供一个良好的解决方案。扫描器在进行扫描时会造成大量数据的传送，也会加重服务器的负担，甚至会给某些服务带来危害。不要轻易使用扫描工具随意扫描主机，更不要违背国家法律法规和道德准则使用扫描工具做危害网络安全的活动。8.3.3常用的扫描技术

（1）TCPconnect（）扫描（2）TCPSYN扫描（3）TCPFIN扫描（4）IP段扫描

(5）TCP反向ident扫描（6）FTP返回攻击（7）UDPICMP端口不能到达扫描（8）ICMPecho扫描8.3.3一个简单的扫描程序分析1．Socket介绍Socket在网络编程中是指运行在网络上的两个程序间双向通讯连接的末端，它提供客户端和服务器端的连接通道。

从连接的建立到连接的结束基本步骤：（1）服务器端socket绑定于特定端口，服务器侦听socket等待连接请求；（2）客户端向服务器和特定端口提交连接请求；（3）服务器接受连接产生一个新的socket，绑定到另一端口，处理和客户端的交互，服务器继续侦其他客户端的连接请求；（4）连接成功后客户端也产生一socket与服务器端通讯；（5）服务器端和客户端就通过读取和写入各自的socket来进行通讯。2．代码分析

实现扫描的部分代码：target_addr.sin_family=AF_INET;target_addr.sin_port=htons（i）;target_addr.sin_addr.s_addr=inet_addr（argv[1]）;cout<<"正在扫描端口:"<<i<<endl;if（connect（testsocket,（structsockaddr*）&target_addr,sizeof（structsockaddr））==SOCKET_ERROR）cout<<"端口"<<i<<"关闭!"<<endl;else{iopenedport++;cout<<"端口"<<i<<"开放\n"<<endl;}}8.4网络监听网络监听可以监视网络的状态、数据流动情况以及网络上传输的信息，是一种监视和管理网络的一种方法。网络监听工具也常是黑客们经常使用的工具，当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的主机、网关或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。

以太网协议的工作方式为将要发送的数据帧发往物理连接在一起的所有主机。在帧头中包含着应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，并检查数据帧帧头中的地址字段，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。8.4.1网络监听的原理8.4.2网络监听工具及其作用嗅探器（sniffer）就是一种网络监听工具。sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局,Sniffer实施的是一种消极的安全攻击，它们极其安静地躲在某个主机上偷听别人的通信，具有极好隐蔽性。网络监听对系统管理员是很重要的，系统管理员通过监听可以诊断出大量的不可见问题，这些问题有些涉及两台或多台计算机之间的异常通讯，有些牵涉到各种协议的漏洞和缺陷。8.4.3如何发现sniffer通过下面的方法可以分析出网络上是否存在sniffer进行分析。网络通讯掉包率反常的高。网络带宽将出现异常。对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接受错误的物理地址，处于监听状态的机器能接受，这种方法依赖系统的IPSTACK，对有些系统可能行不通。往网上发大量包含着不存在的物理地址的包,由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（icmpechodelay等方法）加以判断。8.5IP欺骗TCP握手过程8.5.1．IP欺骗的工作原理使被信任主机丧失工作能力例如，利用TCPSYN-Flood使主机丧失能力：t1:Z（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞B……………t2:X＜－－－SYN/ACK－－－BX＜－－－SYN/ACK－－－B……………t3:X＜－－－RST－－－B假设服务器A信任B,Z是攻击者X是不可达主机2.序列号猜测序列号的猜测方法如下：攻击者先与被攻击主机的一个端口（如：SMTP）建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN（初始序列号）存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT（往返时间），这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000，每次连接增加64000。现在就不难估计出ISN的大小了，它是128000乘以RTT的一半，如果此时目标主机刚刚建立过一个连接，那么再加上一个64000。

3.实施欺骗Z伪装成A信任的主机B攻击目标A的过程如下：t1:Z（B）－－SYN－－－>At2:B＜－－－SYN/ACK－－－At3:Z（B）－－－ACK－－－＞At4:Z（B）－－－PSH－－－＞A8.5.2IP欺骗的防止（1）抛弃基于地址的信任策略（2）进行包过滤，过滤掉所有来自于外部、希望与内部建立连接的请求（3）使用加密方法进行身份验证（4）使用随机化的初始序列号8.6拒绝服务8.6.1什么是拒绝服务DoS是DenialofService的简称，即拒绝服务。拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性，这些资源可以是网络带宽、CPU时间、磁盘空间、打印机、甚至是系统管理员的时间。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。DoS攻击的基本过程

首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送一批新的请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区；声称自己的ICMP包超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方宕机。DoS攻击-死亡之pingDoS攻击——SYNFlooding攻击对WindowsNT攻击很有效使用一个伪装的源地址向目标计算机发送连接请求；当目标计算机收到这样的请求后，就会使用一些资源来为新的连接提供服务，接着回复一个肯定答复（叫做SYN－ACK）；由于SYN－ACK是返回到一个伪装的地址，没有任何响应。于是目标计算机将继续设法发送SYN－ACK。一些系统都有缺省的回复次数和超时时间，只有回复一定的次数、或者超时间，占用的资源才会释放。NT设为可回复5次，每次等待时间加倍：则：3+6+12+24+48+96=189S8.6.2分布式拒绝服务DDoS（分布式拒绝服务）是一种分布、协作的大规模攻击方式，一个比较完善的DDoS攻击体系分成三层。（1）攻击者：攻击者所用的计算机是攻击主控台，攻击者操纵整个攻击过程，它向主控端发送攻击命令。（2）主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。（3）代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，由它向受害者主机实际发起攻击。

图6-4DDoS攻击体系

拒绝服务攻击方式Smurf攻击基于互联网控制信息包（ICMP）的Smurf攻击是一种强力的拒绝服务攻击方法，主要利用的是IP协议的直接广播特性。Smurf攻击对被攻击的网络，以及被利用来做扩散器的网络都具有破坏性。在这种拒绝服务攻击中，主要的角色有：攻击者

中间代理（也就是所说的扩散器）牺牲品（目标主机）

8.6.3DDoS的主要攻击方式及防范Smurf攻击示意图Smurf攻击是一种利用IP路由漏洞的攻击方法。攻击通常分为以下五步：锁定目标：一个被攻击的主机（通常是一些Web服务）；寻找中间代理的站点：用来对攻击实施放大（通常会选择多个，以便更好地隐藏自己，伪装攻）；

发送伪造ICMP包：黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Pingecho包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；

中间代理向子网广播：中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；

响应包全都回应到攻击目标上去

Smurf攻击的过程1.过滤广播地址：在网络的出口路由器上配置过滤规则，禁止广播地址的流量通过、阻止攻击者的EchoRequest报文进入目标网络。2.启用反向路径过滤(ReversePathFiltering)：通过验证数据包的源IP地址是否为网络出口合法的路径返回地址，来过滤掉源IP地址伪造的报文。3.使用流量限制措施:通过使用防火墙和入侵检测系统(IDS)等技术，对网络流量进行监控和管理,及时发现并限制异常流量。

防止你的网络遭受Smurf攻击2.Trinoo攻击：使用“主控”程序对实际实施攻击的任何数量的“代理”程序实现自动控制。攻击者连接到安装了master程序的计算机，启动master程序，然后根据一个IP地址的列表，由master程序负责启动所有的代理程序。代理程序用UDP信息包攻击网络，从而攻击目标。在攻击之前，侵入者为了安装软件，已经控制了装有master程序的计算机和所有装有代理程序的计算机。8.6.3DDoS的主要攻击方式及防范2.Trinoo攻击8.6.3DDoS的主要攻击方式及防范Trinoo攻击防御：（1）trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流（类型17）。（2）trinoomaster程序的监听端口是27655，入侵检测软件能够搜索到使用TCP（类型6）并连接到端口27655的数据流。（3）检测到UDP端口27444的连接，如果有包含字符串“l44”的信息包被发送过去，那么接受这个信息包的计算机可能就是DDoS代理。（4）“嗅探”master和代理之间的通口令。使用这个口令以及来自DaveDittrich的trinot脚本，验证出trinoo代理的存在是很有可能的。/nipc/trinoo.htm检测和根除trinoo的自动程序8.6.3DDoS的主要攻击方式及防范3.TFN攻击者要访问master程序并向它发送一个或多个目标IPTFNmaster程序读取一个IP地址列表，其中包含代理程序的位置。master程序与所有代理程序通信，指示它们发动攻击。通信使用ICMP回音应答信息包。通过配置路由器或入侵检测系统，不允许所有的ICMP回音或回音应答信息包进入网络，就可以达到挫败TFN代理的目的。但是这样会影响所有使用这些功能的Internet程序，比如ping。8.7缓冲区溢出8.7.1缓冲区溢出原理8.7.2缓冲区溢出漏洞攻击的分析8.7.3缓冲区溢出的保护8.7.1缓冲区溢出原理缓冲区是指内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候，如果没有足够的空间就会发生缓冲区溢出。

voidSayHello（char*name）{chartmpName[80];strcpy（tmpNname,name）;printf（"Hello%s\n",tmpName）;}

intmain（intargc,char**argv）{if（argc!=2）{printf（"Usage:hello<name>.\n"）;return1;}SayHello（argv[1]）;return0;}利用缓冲区溢出漏洞攻击系统，通常要完成两个任务:一是在程序的地址空间里安排适当的代码二是通过适当的初始化寄存器和存储器，让程序跳转到安排好的地址空间执行

（a）main函数栈帧

（b）SayHello栈帧图8-7函数的内存分配情况（a）正确的输入

（b）缓冲区溢出图8-8程序执行后的内存情况注入攻击代码。跳转到攻击代码。执行攻击代码。缓冲区溢出攻击的三个步骤8-9函数返回到一个预先植入的代码上去8.7.2缓冲区溢出漏洞攻击的分析

（1）代码放置的方法有两种在被攻击程序地址空间放置代码的方法：植入法和利用已存在的代码。植入法：攻击者向被攻击的程序输入一个字符串，程序会把这个字符串放到缓冲区里。攻击者在这个字符串中包含进可以在这个被攻击的硬件平台上运行的指令序列。利用已存在代码：有时攻击者想要的代码已经在被攻击的程序中，攻击者所要做的只是对代码传递一些参数，然后使用程序跳转到选定的目标。（2）控制程序转移的方法最基本的方法就是溢出一个没有边界检查或者其他弱点的缓冲区，这样就扰乱了程序的正常的执行顺序。许多的缓冲区溢出是用暴力的方法改写程序的指针，可以分成以下几类：激活记录包含了函数结束时的返回地址。攻击者通过溢出这些自动变量，使这个返回地址指向攻击代码。函数指针变量可以用来定位任何地址空间，所以攻击者只需在函数指针附近找到一个能够溢出缓冲区，然后溢出这个缓冲区来改变函数指针，使之指向了攻击代码。在C语言中包含了一个简单的检验/恢复系统，称为setjmp/longjmp。可以用setjmp（buffer）来设定检验点，而用longjmp（buffer）来恢复到检验点。如果攻击者能够进入缓冲区空间，那么longjmp实际上是跳转到攻击者的代码上面。目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响：一是强制编写正确代码的方法；二是通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码；三是利用编译器的边界检查来实现缓冲区的保护。四是一种间接的方法，该方法在程序指针失效前进行完整性检查。虽然这种方法不能使所有的缓冲区溢出失效，但它可以阻止绝大多数的缓冲区溢出攻击。8.7.3缓冲区溢出的保护

8.8APT攻击APT（高级持续性威胁，AdvancedPersistentThreat）攻击是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。通常针对企业和政府重要信息资产的，对信息系统可用性、可靠性构成极大挑战的信息安全威胁。APT攻击是一种精密、有计划、目标明确的网络攻击，通常由高度专业化的黑客、间谍机构、犯罪集团或其他恶意行为者发起。APT攻击变化多端、效果显著且难于防范。成为网络渗透和系统攻击的演进趋势，备受网络安全研究者关注。8.8.1APT攻击的特点高度精密性：先进的技术和工具，隐藏攻击行为，绕过防御措施目标明确：特定的试图窃取、损害或监视的目标或信息持续性：寻找持久性的方式，长时间内继续访问目标。隐秘性：采取各种手段来保持隐秘性情报收集：具有重要的商业或地缘政治价值情报长期计划：经过精心策划和长期规划，花费数月甚至数年的时间来实施攻击影响巨大：发起者都是大型组织，关系国计民生或国家核心利益的网络基础设施或相关领域的大型企业8.8.2APT攻击的步骤（1）侦察（Reconnaissance）攻击者会收集关于目标的信息。（2）入侵（InitialAccess）：攻击者使用各种方法获得对目标网络的初步访问权限。这可以通过钓鱼攻击、恶意附件、零日漏洞利用或其他手段实现。（3）建立立足点（EstablishFoothold）：攻击者会努力建立持久性访问。通过部署后门、木马、或恶意软件，以确保他们可以随时再次进入系统。（4）提权（EscalationofPrivilege）：攻击者会寻找漏洞、安全弱点或其他方法，以提高他们在网络中的权限。包括获取管理员凭证或利用操作系统或应用的漏洞。8.8.2APT攻击的步骤（5）内部侦察（InternalReconnaissance）：攻击者在网络内部寻找更多的目标。（6）横向移动（LateralMovement）：使用窃取的凭证、漏洞利用或其他方法。尝试访问其他系统和网络段。（7）数据窃取（DataExfiltration）：攻击者的最终目标通常是窃取敏感数据或情报。将目标数据传输到他们控制的服务器，通常采取掩盖通信的措施，以避免被检测。（8）保持隐秘性（MaintainingStealth）：攻击者会努力保持其活动的隐秘性，以尽可能长时间地存在于目标网络中。他们可能会删除日志、避免异常活动，并定期更新其工具和技术，以逃避检测。8.8.3APT攻击案例（1）GoogleAurora极光攻击攻击者向Google发送一条带有恶意连接的消息；Google员工点击了这条恶意连接时，会自动向攻击者的C&CServer（CommandandControlServer）发送一个指令，并下载远程控制木马到电脑上，成为“肉鸡”；利用内网渗透、暴力破解等方式获取服务器的管理员权限，员工电脑被远程控制长达数月之久，其被窃取的资料数不胜数，造成不可估量的损失。8.8.3APT攻击案例（2）震网攻击Stuxnet蠕虫病毒（震网病毒）是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATICWinCC系统的7个漏洞进行攻击。攻击十分精准基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲，号称“震网二代”。Duqu主要收集工业控制系统的情报数据和资产信息，为攻击者提供下一步攻击的必要信息。攻击者通过僵尸网络对其内置的RAT进行远程控制，并且采用私有协议与CC端进行通讯，传出的数据被包装成jpg文件和加密文件。8.8.3APT攻击案例（3）SolarWinds供应链事件2020年12月网络安全公司FireEye披露其公司购置的网管软件厂商SolarWinds相关软