网络攻防实战演练

1、计算机网络,傅德谦 2010.9,网络攻防技术or网络侦查与审计技术,3,2,网络侦查审计的三个阶段,4,2,第一节：侦查阶段,5,2,第一节：侦查阶段,本节要点：,描述侦查过程 识别特殊的侦查方法 安装和配置基于网络和基于主机的侦查软件 实施网络级和主机级的安全扫描 配置和实施企业级的网络漏洞扫描器,6,2,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。 安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。 安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。,7,2,安全

2、扫描的检测技术,基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。 基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。 基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。 基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。,8,2,安全扫描系统具有的功能说明,协调了其它的安全设备 使枯燥的系统安全信息易于理解，告诉了你系统发生的事情 跟踪用户进入，在系统中的行为和离开的信息 可以报告和识别文件的改动 纠正系统的错误设置,9,2,安全扫描,whois nslookup ho

3、st Traceroute Ping扫描工具,安全扫描常用命令,10,2,Traceroute命令,用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等 可以推测出网络物理布局 判断出响应较慢的节点和数据包在路由过程中的跳数 Traceroute 或者使用极少被其它程序使用的高端UDP端口，或者使用PING数据包,11,2,Traceroute 路由跟踪原理,?TTL-10,A,B,12,2,Traceroute 路由跟踪原理,A,B,13,2,B,Traceroute 路由跟踪原理,A,?TTL-10,我知道路由器B存在于这个路径上,路由器B的IP地址,14,2,B,T

4、raceroute 路由跟踪原理,A,我知道路由器B存在于这个路径上,路由器B的IP地址,我到达了目的地,15,2,普通Traceroute到防火墙后的主机,假定防火墙的规则阻止除PING和PING响应（ICMP类型8和0）,uniwistraceroute traceroute to (05), 30 hops max, 40 byte packets 1 () 0.540 ms 0.394 ms 0.397 ms 2 () 2.455 ms 2.479 ms 2.512 ms 3 61.1

5、09.101.34 (4) 4.812 ms 4.780 ms 4.747 ms 4 () 5.010 ms 4.903 ms 4.980 ms 5 15 (15) 5.520 ms 5.809 ms 6.061 ms 6 6 (15) 9.584 ms 21.754 ms 20.530 ms 7 () 94.127 ms 81.764 ms 96.476 ms 8 202.99.44.

6、76 (6)96.012 ms 98.224 ms 99.312 ms,16,2,使用ICMP数据包后Traceroute结果,xuyitraceroute -I traceroute to (05), 30 hops max, 40 byte packets 1 () 0.540 ms 0.394 ms 0.397 ms 2 () 2.455 ms 2.479 ms 2.512 ms 3 4 (4) 4.812 ms 4.

7、780 ms 4.747 ms 4 () 5.010 ms 4.903 ms 4.980 ms 5 15 (15) 5.520 ms 5.809 ms 6.061 ms 6 6 (15) 9.584 ms 21.754 ms 20.530 ms 7 () 94.127 ms 81.764 ms 96.476 ms 8 6 (6) 96.012 ms 98.224 ms

8、 99.312 ms,17,2,使用ICMP的Traceroute原理,由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端口为其接受的端口，就可以绕过防火墙到达目标主机。 起始端口号计算公式 起始端口号=(目标端口-两机间的跳数*探测数据包数)-1,例：防火墙允许FTP数据包通过，即开放了21号端口,两机间跳数为2 起始端口号（ftp端口两机间的跳数*默认的每轮跳数)1 （212*3）-1 151 14,18,2,扫描类型,按照获得结果分类 存活性扫描 端口扫描 系统堆栈扫描 按照攻击者角色分类 主动扫描 被动扫描,19,2,一、存活性扫描,发送扫描数据包，等待对方的回应数据包

9、其最终结果并不一定准确，依赖于网络边界设备的过滤策略 最常用的探测包是ICMP数据包 例如发送方发送ICMP Echo Request，期待对方返回ICMP Echo Reply,20,2,Ping扫描作用及工具,子网,6,8,0,2,4,Ping扫描,Ping扫描程序能自动扫描你所指定的IP地址范围,21,2,二、端口扫描,端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口,Netscan tools扫描结果,22,2,端口扫描技术一览,对SYN分段的回应,对

10、FIN分段的回应,对ACK分段的回应,对Xmas分段的回应,对Null分段的回应,对RST分段的回应,对UDP数据报的回应,23,2,端口扫描原理,一个端口就是一个潜在的通信通道，即入侵通道 对目标计算机进行端口扫描，得到有用的信息 扫描的方法：,手工进行扫描 端口扫描软件,24,2,OSI 参考模型,Application,25,TCP/IP协议簇,传输层,数据连路层,网络层,物理层,会话层,表示层,应用层,26,2,IP协议包头,0,15,16,31,27,2,ICMP协议包头,Type(类型),Code（代码）,Checksum（校验和）,ICMP Content,0,7,8,15,16

11、,31,28,2,TCP协议包头,Source port (16),Destination port (16),Sequence number (32),Headerlength (4),Acknowledgement number (32),Reserved (6),Code bits (6),Window (16),Checksum (16),Urgent (16),Options (0 or 32 if any),Data (varies),Bit 0,Bit 15,Bit 16,Bit 31,20 bytes,29,2,UDP协议包头,Source Port,Length,0,15,1

12、6,31,Data,Destination Port,Checksum,30,2,TCP三次握手机制,SYN received,主机A：客户端,主机 B：服务端,发送TCP SYN分段 (seq=100 ctl=SYN),31,2,TCP连接的终止,主机A：客户端,主机 B：服务端,关闭A到B的连接,关闭B到A的连接,32,2,TCP/IP相关问题,一个TCP头包含6个标志位。它们的意义如下所述：,SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接； FIN：表示发送端已经没有数据要求传输了，希望释放连

13、接； RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包； URG：为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效； ACK：为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效； PSH：如果置位，接收端应尽快把数据传送给应用层。,33,2,大部分TCP/IP遵循的原则(1),34,2,大部分TCP/IP遵循的原则(2),35,2,大部分TCP/IP遵循的原则(3),36,2,大部分TCP/IP遵循的原则(4),37,2,大部分TCP/IP

14、遵循的原则(5),38,2,大部分TCP/IP遵循的原则(6),39,2,端口扫描方式,全TCP连接 TCP SYN 扫描 TCP FIN 扫描 其它TCP扫描方式 UDP扫描 UDP recvfrom（）和write （）扫描 秘密扫描技术 间接扫描,40,2,全TCP连接,长期以来TCP端口扫描的基础 扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接 连接由系统调用connect()开始 对于每一个监听端口，connect()会获得成功，否则返回1，表示端口不可访问 很容易被检测出来 Courtney,Gabriel和TCPWrapper监测程序通常用来进行监测。另外，TCP

15、Wrapper可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。,41,2,TCPSYN扫描,42,2,TCPFIN扫描,43,2,其他TCP扫描方式,NULL扫描,发送一个没有任何标志位的TCP包，根据RFC 793，如果目标主机的相应端口是关闭的话，应该发送回一个RST数据包,向目标主机发送一个FIN、URG和PUSH分组，根据RFC 793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志,当一个包含ACK的数据包到达目标主机的监听端口时，数据包被丢弃，同时发送一个RST数据包,ACK扫描,FIN+URG+PUSH（Xmas扫描）,44,2,UDP扫描,使用的

16、是UDP协议，扫描变得相对比较困难 打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。然而，许多主机在向未打开的UDP端口发送数据包时，会返回一个ICMP_PORT_UNREACHABLE错误，即类型为3、代码为13的ICMP消息 UDP和ICMP错误都不保证能到达，因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输 这种扫描方法是很慢的，因为RFC对ICMP错误消息的产生速率做了规定 这种扫描方法需要具有root权限,45,2,UDPrecvfrom()和write()扫描,当非root用户不能直接读到端口不能到达错误时，某些系统如Linux能间接地在它

17、们到达时通知用户。,在非阻塞的UDP套接字上调用recvfrom()时，如果ICMP出错还没有到达时回返回AGAIN重试。如果ICMP到达时，返回CONNECT REFUSED连接被拒绝。这就是用来查看端口是否打开的技术。,对一个关闭的端口的第二个write()调用将失败。,46,2,秘密扫描技术,不含标准TCP三次握手协议的任何部分，比SYN扫描隐蔽得多 FIN数据包能够通过只监测SYN包的包过滤器 秘密扫描技术使用FIN数据包来探听端口 Xmas和Null扫描秘密扫描的两个变种 Xmas扫描打开FIN，URG和PUSH标记 而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标

18、记监测器的过滤 秘密扫描通常适用于UNIX目标主机 跟SYN扫描类似，秘密扫描也需要自己构造IP包,47,2,间接扫描,利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP 假定参与扫描过程的主机为扫描机，隐藏机，目标机。 扫描机和目标机的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送任何数据包（除了与扫描有关的包）,48,2,端口扫描软件,端口扫描器是黑客最常使用的工具,单独使用的端口扫描工具 集成的扫描工具,49,2,三、系统堆栈指纹扫描,利用TCP/IP来识别不同的操作系统和服务 向系统发送各种特殊的包，根据系统对包回应的差别，推断出操作系统的种类 堆栈指纹

19、程序利用的部分特征 ICMP错误信息抑制 服务类型值(TOS) TCP/IP选项 对SYN FLOOD的抵抗力 TCP初始窗口,50,2,堆栈指纹的应用,利用FIN探测 利用TCP ISN采样 使用TCP的初始化窗口 ICMP消息抑制机制 ICMP错误引用机制 ToS字段的设置 DF位的设置 ICMP错误信息回显完整性 TCP选项 ACK值,51,2,利用 FIN 标记探测,开放端口,52,2,利用BOGUS标记探测,开放端口,53,2,使用TCP的初始化窗口,简单地检查返回包里包含的窗口长度。根据各个操作系统的不同的初始化窗口大小来唯一确定操作系统类型：,注： TCP使用滑动窗口为两台主机间

20、传送缓冲数据。每台TCP/IP主机支持两个滑动窗口，一个用于接收数据，另一个用于发送数据。窗口尺寸表示计算机可以缓冲的数据量大小。,54,2,NMAP工具,功能强大、不断升级并且免费 对网络的侦查十分有效 它具有非常灵活的TCP/IP堆栈指纹引擎 它可以穿透网络边缘的安全设备,注： NMAP穿透防火墙的一种方法是利用碎片扫描技术（fragment scans），你可以发送隐秘的FIN包（-sF），Xmas tree包（-sX）或NULL包（-sN）。这些选项允许你将TCP查询分割成片断从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。,55,2,四、其它扫描,共享扫描软件 使用Tel

21、net 使用SNMP 认证扫描 代理扫描 社会工程,56,2,共享扫描软件,提供了允许审计人员扫描Windows网络共享的功能 只能侦查出共享名称，但不会入侵共享 Ping Pro RedButton,57,2,共享扫描软件,子网,6,0,结果,0 ：home，data,6：files，apps,共享扫描,共享目录 Files apps,共享目录 home data,58,2,使用Telnet,是远程登录系统进行管理的程序 可以利用Telnet客户端程序连接到其它端口，从返回的报错中获得需要的系统信息,59

22、,2,使用SNMP,SNMPv1最普通但也最不安全 它使用弱的校验机制 用明文发送community name SNMP 信息暴露,60,2,企业级的扫描工具,扫描等级 配置文件和策略 报告功能 报告风险等级 Axcent BetRecon Finger服务漏洞； GameOver（远程管理访问攻击） 未授权注销禁止 服务漏洞，包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail补丁等级,61,2,企业级的扫描工具,Network Associates CyberCop Scanner 是Network Associates的产品，象NetRecon一样，CyberCo

23、p Scanner是一个主机级别的审计程序。也把各种漏洞分类为低、中、高三个等级,提 示： CyberCop Monitor不是网络扫描器，它是入侵监测系统程序，能够对黑客活动进行监视，提供报警功能，还能惩罚黑客。,62,2,企业级的扫描工具,WebTrends Security Analyzer 与UNIX搭配使用多年 操作界面也简单易用 Internet Security Systems的扫描产品 ISS Internet Scanner 有三个模块：intranet，firewall和Web服务器 程序的策略是希望将网络活动分类，并针对每种活动提供一种扫描方案 ISS Security

24、Scanner 基于主机的扫描程序,63,2,社会工程,电话访问欺骗 信任欺骗 教 育,64,2,电话访问,一位新的职员寻求帮助，试图找到在计算机上完成某个特定任务的方法 一位愤怒的经理打电话给下级，因为他的口令突然失效 一位系统管理员打电话给一名职员，需要修补它的账号，而这需要使用它的口令 一位新雇佣的远程管理员打电话给公司，询问安全系统的配置资料 一位客户打电话给供应商，询问公司的新计划，发展方向和公司主要负责人,65,2,信任欺骗,当电话社交工程失败的时候，攻击者可能展开长达数月的信任欺骗 典型情况 通过熟人介绍，来一次四人晚餐 可以隐藏自己的身份，通过网络聊天或者是电子邮件与之结识 伪

25、装成工程技术人员骗取别人回复信件，泄漏有价值的信息 一般说来，有魅力的异性通常是最可怕的信任欺骗者，不过不论对于男性还是女性，女性总是更容易令人信任,66,2,防范措施教 育,网络安全中人是薄弱的一环,作为安全管理人员，避免员工成为侦查工具的最好方法是对他们进行教育。,提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。,67,2,扫描目标网络级别的信息,68,2,扫描目标主机级别的信息,69,2,安全扫描技术的发展趋势,使用插件（plugin）或者叫功能模块技术 使用专用脚本语言 由安全扫描程序到安全评估专家系统,70,2,对网络进行安全评估,DMZ E-Ma

26、il File Transfer HTTP,Intranet,生产部,工程部,市场部,人事部,路由,Internet,中继,通讯 & 应用服务层,71,2,可适应性安全弱点监测和响应,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,操作系统层,72,2,对于DMZ区域的检测,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,应用程序层,73,2,第二节：渗透阶段,74,2,重点内容：服务器渗透与

27、攻击技术,本节要点： 讨论渗透策略和手法 列举潜在的物理、操作系统和TCP/IP堆栈攻击 识别和分析暴力攻击、社会工程和拒绝服务攻击 实施反渗透和攻击的方法,75,2,入侵和攻击的范畴,在Internet上,在局域网上,本地,离线,76,2,在Internet上,协作攻击：Internet允许全世界范围的连接，这很容易使来自全世界的人们在一个攻击中进行合作参与。,会话劫持：在合法的用户得到鉴别可以访问后，攻击者接管一个现存动态会话的过程。,欺骗：欺骗是一种模仿或采取不是自己身份的行为。,转播：是攻击者通过第三方的机器转播或反射他的通信，这样攻击就好象来自第三方的机器而不是他。,特洛伊木马或病毒

28、：特洛伊木马的常见用途是安装后门。,77,2,在局域网上,嗅探流量：观察网络上所有流量的被动攻击。,广播：攻击者发送一个信息包到广播地址，以达到产生大量流量的目的。,文件访问：通过找到用户标识和口令，可以对文件进行访问。,远程控制：通过安装木马实现对机器的远程控制。,应用抢劫：接收应用并且达到非授权访问。,78,2,在本地,旁侧偷看,未上锁的终端,被写下的口令,拔掉机器,本地登录,79,2,离线,下载口令文件,下载加密的文本,复制大量的数据,80,2,常见的攻击方法,1.欺骗攻击(Spoofing),3.拒绝服务(Denial of Service)攻击,2.中间人攻击(Man-in-the-

29、Middle Attacks),4.缓冲区溢出（Buffer Overflow）攻击,5.后门和漏洞攻击,6.暴力破解攻击,81,2,容易遭受攻击的目标,路由器 数据库 邮件服务 名称服务 Web和FTP服务器 和与协议相关的服务,82,2,一、欺骗技术,83,2,84,2,85,2,86,2,87,2,88,2,89,2,90,2,91,2,92,2,93,2,电子邮件欺骗,94,2,修改邮件客户软件的帐户配置,95,2,96,2,97,2,98,2,99,2,100,2,101,2,102,2,103,2,通过使用网络报文窃听以及路由和传输协议进行这种攻击。主要目的是窃取信息、截获正在传输

30、中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息。,Man-in-the-Middle Attacks原理,二、中间人攻击(Man-in-the-Middle Attacks),104,2,报文窃听 ( Packet Sniffers ),数据包篡改 ( Packet alteration ),重放攻击 （ Replay attack ）,会话劫持 ( Session hijacking ),中间人攻击的类型,105,2,报文窃听是一种软件应用，该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组

31、。 可以轻易通过解码工具（sniffers/netxray等）获得敏感信息（用户密码等）。,报文窃听(Packet Sniffers),106,2,报文窃听(Packet Sniffers)实例分析,107,2,用交换机来替代HUB，可以减少危害。 防窃听工具：使用专门检测网络上窃听使用情况的软件与硬件。 加密：采用IP Security (IPSec)、Secure Shell (SSH)、 Secure Sockets Layer (SSL)等技术。,验证(Authentication)：采用一次性密码技术(one-time-passwords OTPs),Packet Sniffers窃

32、听防范,108,2,数据包篡改( Packet alteration),对捕获的数据包内容进行篡改，以达到攻击者的目的,更改数据包的校验和及头部信息，为进一步攻击 做准备,109,2,攻击者截获了一次远程主机登录过程后，选择适当的时机对该登录过程进行重放，以进入远程主机。,重放攻击（ Replay attack）,110,2,会话劫持(session hijacking),111,2,112,2,113,2,114,2,关于TCP协议的序列号,115,2,116,2,阻断正常会话,117,2,118,2,119,2,120,2,121,2,三、DOS攻击,DoS（Deny Of Service

33、）就是攻击者通过使你的网络设备崩溃或把它压跨（网络资源耗尽）来阻止合法用户获得网络服务，DOS是最容易实施的攻击行为。,DoS攻击主要是利用了TCP/IP 协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的实现缺陷。,122,2,DoS的技术分类,123,2,典型DOS攻击,124,2,Ping of Death,125,2,Ping of Death范例,126,2,IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎

34、寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。,泪滴(teardrop)攻击一,Teardrop 攻击原理：,127,2,受影响的系统：Linux/Windows NT/95,攻击特征：攻击过程简单，发送一些IP分片异常的数据包。,防范措施：,泪滴(teardrop)攻击二,服务器升级最新的服务包 设置防火墙时对分片进行重组，而不是转发它们。,128,2,UDP洪水(UDP flood),129,2,Fraggle攻击,发送畸形UDP碎片，使得被攻击者在重组过程中发生未加预料的错误 典型的Fraggle攻击 碎片偏移位的错乱 强制发送超大数据包 纯粹的资源消耗,130,2,阻止IP

35、碎片攻击,Windows系统请打上最新的Service Pack，目前的Linux内核已经不受影响。 如果可能，在网络边界上禁止碎片包通过，或者用iptables限制每秒通过碎片包的数目。 如果防火墙有重组碎片的功能，请确保自身的算法没有问题，否则DoS就会影响整个网络 Windows 2000系统中，自定义IP安全策略，设置“碎片检查”,131,2,TCP SYN flood,132,2,剖析SYN Flood攻击,不断发送大量伪造的TCP SYN分段,最多可打开的半开连接数量,超时等待时间,等待期内的重试次数,133,2,TCP SYN Flood 攻击过程示例,134,2,对SYN Fl

36、ood攻击的防御,对SYN Flood攻击的几种简单解决方法 缩短SYN Timeout时间 SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值等于SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间 设置SYN Cookie 给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃,135,2,增强Windows 2000对SYN Flood的防御,打开regedit，找到HKEY_LOCAL_MACHINESystem

37、 CurrentControlSetServicesTcpipParameters 增加一个SynAttackProtect的键值，类型为REG_DWORD，取值范围是0-2，这个值决定了系统受到SYN攻击时采取的保护措施，包括减少系统SYN+ACK的重试的次数等，默认值是0（没有任何保护措施），推荐设置是2。,136,2,增强Windows 2000对SYN Flood的防御,增加一个TcpMaxHalfOpen的键值，类型为REG_DWORD，取值范围是100-0 xFFFF，这个值是系统允许同时打开的半连接，默认情况下WIN2K PRO和SERVER是100，ADVANCED SERVE

38、R是500，这个值取决于服务器TCP负荷的状况和可能受到的攻击强度。 增加一个TcpMaxHalfOpenRetried的键值，类型为REG_DWORD，取值范围是80-0 xFFFF，默认情况下WIN2K PRO和SERVER是80，ADVANCED SERVER是400，这个值决定了在什么情况下系统会打开SYN攻击保护。,137,2,Smurf攻击,138,2,Smurf攻击示意图,139,2,Smurf攻击,140,2,Smurf攻击的防止措施,141,2,Land攻击,142,2,电子邮件炸弹,143,2,分布式拒绝服务(Distributed Denial of Service),D

39、DoS攻击原理 黑客侵入并控制了很多台电脑，并使它们一起向主机发动DoS攻击，主机很快陷于瘫痪，这就是分布式拒绝服务攻击DDoS（Distributed Denial Of Service）。,144,2,分布式拒绝服务攻击网络结构图,145,2,三层模型,146,2,DDoS攻击过程,147,2,DDoS攻击使用的常用工具,TFN(Tribe Flood Network),Trinoo,Stacheldraht,TFN2K,148,2,TFN是由著名黑客Mixter编写的，是第一个公开的UnixDDoS工具。由主控端程序和客户端 程序两部分组成。 它主要采取的攻击方法为：SYN风暴、Ping

40、风暴、UDP炸弹和SMURF，具有伪造数据包的能力。,TFN(Tribe Flood Network),149,2,TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。,TFN2K,150,2,Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的 RFC2267过滤。 Stacheldra

41、h中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。,Stacheldraht,151,2,Trinoo,152,2,DDoS攻击的防御策略,153,2,四、缓冲区溢出Buffer Overflow攻击,154,2,缓冲区溢出的攻击方式,155,2,缓冲区溢出攻击的基本思想,基本思想：通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码) 危害性 在UNIX平台上，通过发掘Buffer Overflow, 可以获得一个交互式的shell 在Windows平台上，可以上载并执行任何的代码 溢出漏洞发掘起

42、来需要较高的技巧和知识背景，但是，一旦有人编写出溢出代码，则用起来非常简单,156,2,为什么会缓冲区溢出？,157,2,典型的buffer overflows漏洞,158,2,怎样防范缓冲区溢出,159,2,五、后门和漏洞攻击,后门(back door)： 通常指软件开发人员为了便于测试或调试而在操作系统和程序中故意放置的未公布接口，与bug不同，后门使开发人员故意留下的。 Eg. 万能密码、超级用户接口等,漏洞(Bug):操作系统或软件存在的问题和错误。,IPC$漏洞 输入法漏洞 IIS .ida ISAPI扩展远程溢出漏洞,160,2,六、暴力破解攻击,1.字典程序攻击,2.暴力攻击,1

43、61,2,暴力破解,暴力或字典破解是获得root访问权限的最有效、最直接的方式方法。 三种破解工具 L0pht crack工具 John the ripper工具 Crack工具,162,2,L0pht crack界面,163,2,验证算法,暴力破解所要对付的对象就是各种各样的口令加密与验证算法 冷静地分析各种常见的验证算法，找出其中的不足 Windows 2000系统默认的验证算法 Unix/Linux系统默认的验证算法,164,2,LanMan验证和NTLM验证,Windows NT/2000支持多种验证机制，每一种验证机制之间的安全级别不同，下表列出了Windows NT/2000所支持

44、的各种验证机制。微软系统所采用的验证加密算法。,165,2,额外的审计工具,L0pht Crack pwdump2 pwdump2密码散列提取工具在很长时间内由管理员和黑客同时使用，以从 SAM中转储LANMan和NTLM密码散列。在Windows 2000域控制器上工作，域控制器不再将散列存储在SAM中，而是存储在AD中 lsadump2 使用DLL注射绕过本地安全授权(LSA)以名为LSA Secrets形式存储的安全信息上的正常的访问控制,166,2,构造一个Crack工具基本步骤,生成字典文件,取出条目,应用规则,打开口令文件,比 较,不匹配,常见的规则包括： 1.计算hash值（MD

45、5、SHA等） 2.应用crypt（）函数,167,2,一旦攻击者成功地渗透进系统，会立即试图控制它。,第三节：控制阶段,168,2,一、攻击者的控制目标,获得root的权限,获得信息,作为跳板攻击其它系统,169,2,1.获得root的权限,攻击者最终目的是获得root的权限 攻击者会采用许多不同的策略来获得这一权限 非法服务和trap door允许攻击者使用合法的账号来升级访问权限,170,2,2.获得信息,获得root的权限后，攻击者会将立即进行信息扫描,获得有用数据。 扫描方法 操纵远程用户的Web浏览器 运行脚本程序 利用文件的缺省存放位置,171,2,3.信息重定向,攻击者控制了系

46、统，便可以进行程序和端口重定向 端口转向成功后，他们可以操控连接并获得有价值的信息 相似的攻击目标还包括重定向SMTP端口，它也允许攻击者获得重要的信息,172,2,4.应用程序重定向,将某一端口与某一应用程序相绑定 允许将某一程序的运行指定到特定的端口，从而可以远程使用Telnet进行控制,173,2,5.擦除渗透的痕迹,通常，攻击者通过破坏日志文件，可以骗过系统管理员和安全审计人员。这就是所谓的痕迹擦除 日志文件包括： Web服务器 防火墙 HTTP服务器 FTP服务器 数据库 操作系统的日志 IDS日志 日志文件类型包括 事件日志 应用程序日志 安全日志,174,2,6.作为跳板攻击其它

47、系统,通常，攻击者渗透操作系统的目的是通过它来渗透到网络上其它的操作系统。 NASA服务器是攻击者通常的攻击目标，不仅因为他们想要获取该服务器上的信息，更主要的是许多组织都和该服务器有信任的连接关系。,系统是攻击者的终端还是攻击链条中的一个环节跳板 攻击者为了伪装自己的真实来源 ，可能通过很多次跳板才达到攻击目的,175,2,二、控制手段,新的控制方法层出不穷 系统的升级不可避免的会开启新的安全漏洞 少数的极有天赋的黑客不断开发出新的工具 作为安全审计人员，需要时刻注意各种迹象，同时留意自己的系统是否存在着问题,176,2,1.后门的安放,Rhosts + + 后门 Login后门 服务进程后

48、门 port bind suid Shell 后门 suid shell 修改密码文件,177,2,2.创建新的访问点,通过安装额外的软件和更改系统参数，攻击者还可以开启后门 优秀的系统管理员，黑客通常习惯于某种攻击策略，所以必须注意攻击者的控制手段 安装后门的另一个通常方法是在操作系统中安置木马。,178,2,3.创建额外账号,为了减小从系统中被清除的几率，攻击者通常会在获得root权限后创建额外的账号 使用批处理文件是创建额外账号的一种手段 也可以增加没有密码的管理员账号 在UNIX和Novell操作系统中同样存在类似的问题,179,2,自动添加账号,一个负责任的系统管理员会定期扫描用户的

49、账号数据库，查看是否有权限的变更，新添加的账号和任何有关系统策略更改的可疑行为。 然而，攻击者会利用老的账号登录系统 攻击者还可以利用定时服务等自动执行的程序来添加账号 通过定时服务来添加新的账号和重新设置权限，攻击者可以骗过最挑剔的管理员。,180,2,4.Trojan 木马控制,Trojan horse,Root Kits,Root kit是用非法程序替代合法程序 所谓的“root kit” 是入侵者在入侵了主机后，用来做创建后门并加以伪装用的程序包 通常包括了日志清理器，后门等程序 root kit通常出现在UNIX系统中,木马是一个程序，驻留在目标计算机里，可以随计算机自动启动并在某一

50、端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。 其实质只是一个通过端口进行通信的网络客户/服务程序。,181,2,木马程序的利用与监测,“木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。 木马原则上和Laplink、PCanywhere 等程序一样，只是一种远程管理工具 木马本身不带伤害性，也没有感染力，所以不能称之为病毒 (也有人称之为第二代病毒),182,2,木马原理,基本概念：对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机,控制功能 ：以管理员用户权限运行的木马程序几乎

51、可以控制一切。,程序实现：可以使用VB或VC、JAVA以及其它任何编程工具的Winsock控件来编写网络客户/服务程序。,183,2,特洛伊木马隐身方法,主要途径有 在任务栏中隐藏自己 “化妆”为驱动程序 使用动态链接库技术,184,2,木马的发展,典型的C/S结构， 隐蔽性差,隐藏、自启动和操纵服 务器等技术上有长足进步,隐藏、自启动和数据传递技术上 有根本性进步，出现了以ICMP进行数 据传输的木马,采用改写和替换系统文件的做法,185,2,流行木马及其技术特征,木马进程注册为系统服务 反弹端口型木马出现 替换系统文件中做法应用到Windows 使用多线程技术,186,2,Netbus木马

52、,NetBus 1.53版本可以以捆绑方式装到目标电脑上，可以捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。,187,2,Netbus木马,NetBus2.0版的功能更强，已用做远程管理的工作 NetBus的功能 运行程序 强迫重启系统 注销用户 控制Web浏览器 捕捉击键记录 重定向端口和程序 获得关于当前版本的信息 上传、下载和删除文件 控制、升级和定制服务器 管理密码保护 显示、终止远程系统程序,188,2,NetBus传输,NetBus使用TCP建立会话，缺省情况下用12345端口。 跟踪NetBus的活动比较困难，可以通过检查12346端口数据来确定 许多类似的程序使用固定的端

53、口，你可以扫描整个的网络监测可疑的活动。,189,2,Netbus 2.0主要文件,190,2,检测NetBus,NetBus1.x版的程序使用下列的注册表项 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 可以用包嗅探器，检查缺省的12345或12346端口 使用netstat，你可以键入下列命令： Netstat an 或Netstat p udp,191,2,Netbus连接,TCP: 12345/12346,192,2,清除NetBus,高质量的反病毒程序 另一种清除NetBus的方法是使用其客户端,点击清除服务器

54、按钮 如果攻击者采用了密码保护的话可能会要求你输入密码，也可以搜寻前面讨论的文件,193,2,BackOrifice2000,BackOrifice2000允许攻击者进行如下操作 获取系统信息 收集用户名和密码和用户缓存的密码 获得文件的完全访问权限 实施端口和程序的重定向 通过HTTP从浏览器上传和下载文件,194,2,缺省设置,默认的Back Orifice 2000一共由5个文件组成，他们分别是： Bo2k.exe - 136kb，BO2K 服务器端程序 Bo2kcfg.exe - 216kb，BO2K 设置程序 Bo2kgui.exe - 568kb，BO2K 客户端程序 Bo3des

55、.dll - 24kb，plugin - triple DES module Bo_peep.dll - 52kb，plugin - remote console manager,195,2,精选命令,196,2,BO的运作,BO木马包含三个程序：BOSERVE.EXE，BOCLIENT.EXE和BOCONFIG.EXE。其中第一个程序需安装在受感染的用户计算机中，也就是BO服务端 BO主要运行于Windows 95/98系统，对于Windows NT影响较小 服务器端程序为BOSERVE.EXE，它会自动安装在受攻击的计算机中，但是它同时需要另外一个文件名为BOCONFIG的程序来进行配置,197,2,BO的检测和清除,手工杀除BO2K 运行REGEDIT.EXE，修改注册表，在下列键值处删除UMGR32.EXE 的key值Hkey_local_machine/Software/Microsoft/Windows/CurrentVersion/RunServices 重启系统 在WINDOWSSYSTEM下删除UMGR321.EXE 需要注意的是，bo2k安装后的名字是可以自定义的,198,2,木马防御方法总结,端口扫描 扫描程序尝试连接某个端口，如果成功，则说明端口开放；