網(wǎng)絡攻防實戰(zhàn)演練【技術(shù)經(jīng)驗】

1、計算機網(wǎng)絡,傅德謙 2010.9,網(wǎng)絡攻防技術(shù)or網(wǎng)絡偵查與審計技術(shù),網(wǎng)絡偵查審計的三個階段,第一節(jié)：偵查階段,第一節(jié)：偵查階段,本節(jié)要點,描述偵查過程 識別特殊的偵查方法 安裝和配置基于網(wǎng)絡和基于主機的偵查軟件 實施網(wǎng)絡級和主機級的安全掃描 配置和實施企業(yè)級的網(wǎng)絡漏洞掃描器,安全掃描的概念理解,安全掃描就是對計算機系統(tǒng)或者其它網(wǎng)絡設(shè)備進行安全相關(guān)的檢測，以找出安全隱患和可被黑客利用的漏洞。 安全掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理員掌握它以后又可以有效的防范黑客入侵。 安全掃描是保證系統(tǒng)和網(wǎng)絡安全必不可少的手段，必須仔細研究利用,安全掃描的檢測技術(shù),基于應用的檢測技術(shù)，它采用被

2、動的，非破壞性的辦法檢查應用軟件包的設(shè)置，發(fā)現(xiàn)安全漏洞。 基于主機的檢測技術(shù)，它采用被動的，非破壞性的辦法對系統(tǒng)進行檢測。 基于目標的漏洞檢測技術(shù)，它采用被動的，非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫，注冊號等。 基于網(wǎng)絡的檢測技術(shù)，它采用積極的，非破壞性的辦法來檢驗系統(tǒng)是否有可能被攻擊崩潰,安全掃描系統(tǒng)具有的功能說明,協(xié)調(diào)了其它的安全設(shè)備 使枯燥的系統(tǒng)安全信息易于理解，告訴了你系統(tǒng)發(fā)生的事情 跟蹤用戶進入，在系統(tǒng)中的行為和離開的信息 可以報告和識別文件的改動 糾正系統(tǒng)的錯誤設(shè)置,安全掃描,whois nslookup host Traceroute Ping掃描工具,安全掃描常用命令

3、,Traceroute命令,用于路由跟蹤，判斷從你的主機到目標主機經(jīng)過哪些路由器、跳計數(shù)、響應時間等等 可以推測出網(wǎng)絡物理布局 判斷出響應較慢的節(jié)點和數(shù)據(jù)包在路由過程中的跳數(shù) Traceroute 或者使用極少被其它程序使用的高端UDP端口，或者使用PING數(shù)據(jù)包,Traceroute 路由跟蹤原理,TTL-10,A,B,Traceroute 路由跟蹤原理,A,B,B,Traceroute 路由跟蹤原理,A,TTL-10,我知道路由器B存在于這個路徑上,路由器B的IP地址,B,Traceroute 路由跟蹤原理,A,我知道路由器B存在于這個路徑上,路由器B的IP地址,我到達了目的地,普通Tra

4、ceroute到防火墻后的主機,假定防火墻的規(guī)則阻止除PING和PING響應（ICMP類型8和0,uniwistraceroute traceroute to (05), 30 hops max, 40 byte packets 1 () 0.540 ms 0.394 ms 0.397 ms 2 () 2.455 ms 2.479 ms 2.512 ms 3 4 (4) 4.812 ms 4.780 ms 4.747 ms 4 130.10.52

5、.4 () 5.010 ms 4.903 ms 4.980 ms 5 15 (15) 5.520 ms 5.809 ms 6.061 ms 6 6 (15) 9.584 ms 21.754 ms 20.530 ms 7 () 94.127 ms 81.764 ms 96.476 ms 8 6 (6)96.012 ms 98.224 ms 99.312 ms,使用ICMP數(shù)據(jù)包后Tracero

6、ute結(jié)果,xuyitraceroute -I traceroute to (05), 30 hops max, 40 byte packets 1 () 0.540 ms 0.394 ms 0.397 ms 2 () 2.455 ms 2.479 ms 2.512 ms 3 4 (4) 4.812 ms 4.780 ms 4.747 ms 4 () 5.010 ms 4.903 ms 4.980 m

7、s 5 15 (15) 5.520 ms 5.809 ms 6.061 ms 6 6 (15) 9.584 ms 21.754 ms 20.530 ms 7 () 94.127 ms 81.764 ms 96.476 ms 8 6 (6) 96.012 ms 98.224 ms 99.312 ms,使用ICMP的Traceroute原理,由于防火墻一般不進行內(nèi)容檢查，我們可以將探測數(shù)據(jù)包到達防火墻時端口為其接受的

8、端口，就可以繞過防火墻到達目標主機。 起始端口號計算公式 起始端口號=(目標端口-兩機間的跳數(shù)*探測數(shù)據(jù)包數(shù))-1,例：防火墻允許FTP數(shù)據(jù)包通過，即開放了21號端口,兩機間跳數(shù)為2 起始端口號（ftp端口兩機間的跳數(shù)*默認的每輪跳數(shù))1 （212*3）-1 151 14,掃描類型,按照獲得結(jié)果分類 存活性掃描 端口掃描 系統(tǒng)堆棧掃描 按照攻擊者角色分類 主動掃描 被動掃描,一、存活性掃描,發(fā)送掃描數(shù)據(jù)包，等待對方的回應數(shù)據(jù)包 其最終結(jié)果并不一定準確，依賴于網(wǎng)絡邊界設(shè)備的過濾策略 最常用的探測包是ICMP數(shù)據(jù)包 例如發(fā)送方發(fā)送ICMP Echo Request，期待對方返回ICMP Echo

9、Reply,Ping掃描作用及工具,子網(wǎng),6,8,0,2,4,Ping掃描,Ping掃描程序能自動掃描你所指定的IP地址范圍,二、端口掃描,端口掃描不僅可以返回IP地址，還可以發(fā)現(xiàn)目標系統(tǒng)上活動的UDP和TCP端口,Netscan tools掃描結(jié)果,端口掃描技術(shù)一覽,對SYN分段的回應,對FIN分段的回應,對ACK分段的回應,對Xmas分段的回應,對Null分段的回應,對RST分段的回應,對UDP數(shù)據(jù)報的回應,端口掃描原理,一個端口就是一個潛在的通信通道，即入侵通道 對目標計算機進行

10、端口掃描，得到有用的信息 掃描的方法,手工進行掃描 端口掃描軟件,OSI 參考模型,Application,TCP/IP協(xié)議簇,傳輸層,數(shù)據(jù)連路層,網(wǎng)絡層,物理層,會話層,表示層,應用層,IP協(xié)議包頭,0,15,16,31,ICMP協(xié)議包頭,Type(類型,Code（代碼,Checksum（校驗和,ICMP Content,0,7,8,15,16,31,TCP協(xié)議包頭,Source port (16,Destination port (16,Sequence number (32,Headerlength (4,Acknowledgement number (32,Reserved (6,Co

11、de bits (6,Window (16,Checksum (16,Urgent (16,Options (0 or 32 if any,Data (varies,Bit 0,Bit 15,Bit 16,Bit 31,20 bytes,UDP協(xié)議包頭,Source Port,Length,0,15,16,31,Data,Destination Port,Checksum,TCP三次握手機制,SYN received,主機A：客戶端,主機 B：服務端,發(fā)送TCP SYN分段 (seq=100 ctl=SYN,TCP連接的終止,主機A：客戶端,主機 B：服務端,關(guān)閉A到B的連接,關(guān)閉B到A的連接

12、,TCP/IP相關(guān)問題,一個TCP頭包含6個標志位。它們的意義如下所述,SYN：標志位用來建立連接，讓連接雙方同步序列號。如果SYN1而ACK=0，則表示該數(shù)據(jù)包為連接請求，如果SYN=1而ACK=1則表示接受連接； FIN：表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接； RST：用來復位一個連接。RST標志置位的數(shù)據(jù)包稱為復位包。一般情況下，如果TCP收到的一個分段明顯不是屬于該主機上的任何一個連接，則向遠端發(fā)送一個復位包； URG：為緊急數(shù)據(jù)標志。如果它為1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時緊急數(shù)據(jù)指針有效； ACK：為確認標志位。如果為1，表示包中的確認號時有效的。否則，包中的確認號無

13、效； PSH：如果置位，接收端應盡快把數(shù)據(jù)傳送給應用層,大部分TCP/IP遵循的原則(1,大部分TCP/IP遵循的原則(2,大部分TCP/IP遵循的原則(3,大部分TCP/IP遵循的原則(4,大部分TCP/IP遵循的原則(5,大部分TCP/IP遵循的原則(6,端口掃描方式,全TCP連接 TCP SYN 掃描 TCP FIN 掃描 其它TCP掃描方式 UDP掃描 UDP recvfrom（）和write （）掃描 秘密掃描技術(shù) 間接掃描,全TCP連接,長期以來TCP端口掃描的基礎(chǔ) 掃描主機嘗試（使用三次握手）與目的機指定端口建立建立正規(guī)的連接 連接由系統(tǒng)調(diào)用connect()開始 對于每一個監(jiān)聽

14、端口，connect()會獲得成功，否則返回1，表示端口不可訪問 很容易被檢測出來 Courtney,Gabriel和TCPWrapper監(jiān)測程序通常用來進行監(jiān)測。另外，TCPWrapper可以對連接請求進行控制，所以它可以用來阻止來自不明主機的全連接掃描,TCPSYN掃描,TCPFIN掃描,其他TCP掃描方式,NULL掃描,發(fā)送一個沒有任何標志位的TCP包，根據(jù)RFC 793，如果目標主機的相應端口是關(guān)閉的話，應該發(fā)送回一個RST數(shù)據(jù)包,向目標主機發(fā)送一個FIN、URG和PUSH分組，根據(jù)RFC 793，如果目標主機的相應端口是關(guān)閉的，那么應該返回一個RST標志,當一個包含ACK的數(shù)據(jù)包到達

15、目標主機的監(jiān)聽端口時，數(shù)據(jù)包被丟棄，同時發(fā)送一個RST數(shù)據(jù)包,ACK掃描,FIN+URG+PUSH（Xmas掃描,UDP掃描,使用的是UDP協(xié)議，掃描變得相對比較困難 打開的端口對掃描探測并不發(fā)送一個確認，關(guān)閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包。然而，許多主機在向未打開的UDP端口發(fā)送數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACHABLE錯誤，即類型為3、代碼為13的ICMP消息 UDP和ICMP錯誤都不保證能到達，因此這種掃描器必須還實現(xiàn)在一個包看上去是丟失的時候能重新傳輸 這種掃描方法是很慢的，因為RFC對ICMP錯誤消息的產(chǎn)生速率做了規(guī)定 這種掃描方法需要具有root權(quán)限,UDP

16、recvfrom()和write()掃描,當非root用戶不能直接讀到端口不能到達錯誤時，某些系統(tǒng)如Linux能間接地在它們到達時通知用戶,在非阻塞的UDP套接字上調(diào)用recvfrom()時，如果ICMP出錯還沒有到達時回返回AGAIN重試。如果ICMP到達時，返回CONNECT REFUSED連接被拒絕。這就是用來查看端口是否打開的技術(shù),對一個關(guān)閉的端口的第二個write()調(diào)用將失敗,秘密掃描技術(shù),不含標準TCP三次握手協(xié)議的任何部分，比SYN掃描隱蔽得多 FIN數(shù)據(jù)包能夠通過只監(jiān)測SYN包的包過濾器 秘密掃描技術(shù)使用FIN數(shù)據(jù)包來探聽端口 Xmas和Null掃描秘密掃描的兩個變種 Xma

17、s掃描打開FIN，URG和PUSH標記 而Null掃描關(guān)閉所有標記。這些組合的目的是為了通過所謂的FIN標記監(jiān)測器的過濾 秘密掃描通常適用于UNIX目標主機 跟SYN掃描類似，秘密掃描也需要自己構(gòu)造IP包,間接掃描,利用第三方的IP（欺騙主機）來隱藏真正掃描者的IP 假定參與掃描過程的主機為掃描機，隱藏機，目標機。 掃描機和目標機的角色非常明顯。隱藏機是一個非常特殊的角色，在掃描機掃描目的機的時候，它不能發(fā)送任何數(shù)據(jù)包（除了與掃描有關(guān)的包,端口掃描軟件,端口掃描器是黑客最常使用的工具,單獨使用的端口掃描工具 集成的掃描工具,三、系統(tǒng)堆棧指紋掃描,利用TCP/IP來識別不同的操作系統(tǒng)和服務 向系

18、統(tǒng)發(fā)送各種特殊的包，根據(jù)系統(tǒng)對包回應的差別，推斷出操作系統(tǒng)的種類 堆棧指紋程序利用的部分特征 ICMP錯誤信息抑制 服務類型值(TOS) TCP/IP選項 對SYN FLOOD的抵抗力 TCP初始窗口,堆棧指紋的應用,利用FIN探測 利用TCP ISN采樣 使用TCP的初始化窗口 ICMP消息抑制機制 ICMP錯誤引用機制 ToS字段的設(shè)置 DF位的設(shè)置 ICMP錯誤信息回顯完整性 TCP選項 ACK值,利用 FIN 標記探測,開放端口,利用BOGUS標記探測,開放端口,使用TCP的初始化窗口,簡單地檢查返回包里包含的窗口長度。根據(jù)各個操作系統(tǒng)的不同的初始化窗口大小來唯一確定操作系統(tǒng)類型,注：

19、 TCP使用滑動窗口為兩臺主機間傳送緩沖數(shù)據(jù)。每臺TCP/IP主機支持兩個滑動窗口，一個用于接收數(shù)據(jù)，另一個用于發(fā)送數(shù)據(jù)。窗口尺寸表示計算機可以緩沖的數(shù)據(jù)量大小,NMAP工具,功能強大、不斷升級并且免費 對網(wǎng)絡的偵查十分有效 它具有非常靈活的TCP/IP堆棧指紋引擎 它可以穿透網(wǎng)絡邊緣的安全設(shè)備,注： NMAP穿透防火墻的一種方法是利用碎片掃描技術(shù)（fragment scans），你可以發(fā)送隱秘的FIN包（-sF），Xmas tree包（-sX）或NULL包（-sN）。這些選項允許你將TCP查詢分割成片斷從而繞過防火墻規(guī)則。這種策略對很多流行的防火墻產(chǎn)品都很有效,四、其它掃描,共享掃描軟件 使

20、用Telnet 使用SNMP 認證掃描 代理掃描 社會工程,共享掃描軟件,提供了允許審計人員掃描Windows網(wǎng)絡共享的功能 只能偵查出共享名稱，但不會入侵共享 Ping Pro RedButton,共享掃描軟件,子網(wǎng),6,0,結(jié)果,0 ：home，data,6：files，apps,共享掃描,共享目錄 Files apps,共享目錄 home data,使用Telnet,是遠程登錄系統(tǒng)進行管理的程序 可以利用Telnet客戶端程序連接到其它端口，從返回的報錯中獲得需要的系統(tǒng)信息,使用SNMP,SNMPv1

21、最普通但也最不安全 它使用弱的校驗機制 用明文發(fā)送community name SNMP 信息暴露,企業(yè)級的掃描工具,掃描等級 配置文件和策略 報告功能 報告風險等級 Axcent BetRecon Finger服務漏洞； GameOver（遠程管理訪問攻擊） 未授權(quán)注銷禁止 服務漏洞，包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail補丁等級,企業(yè)級的掃描工具,Network Associates CyberCop Scanner 是Network Associates的產(chǎn)品，象NetRecon一樣，CyberCop Scanner是一個主機級別的審計程序。也把各種

22、漏洞分類為低、中、高三個等級,提 示： CyberCop Monitor不是網(wǎng)絡掃描器，它是入侵監(jiān)測系統(tǒng)程序，能夠?qū)诳突顒舆M行監(jiān)視，提供報警功能，還能懲罰黑客,企業(yè)級的掃描工具,WebTrends Security Analyzer 與UNIX搭配使用多年 操作界面也簡單易用 Internet Security Systems的掃描產(chǎn)品 ISS Internet Scanner 有三個模塊：intranet，firewall和Web服務器 程序的策略是希望將網(wǎng)絡活動分類，并針對每種活動提供一種掃描方案 ISS Security Scanner 基于主機的掃描程序,社會工程,電話訪問欺騙 信任

23、欺騙 教 育,電話訪問,一位新的職員尋求幫助，試圖找到在計算機上完成某個特定任務的方法 一位憤怒的經(jīng)理打電話給下級，因為他的口令突然失效 一位系統(tǒng)管理員打電話給一名職員，需要修補它的賬號，而這需要使用它的口令 一位新雇傭的遠程管理員打電話給公司，詢問安全系統(tǒng)的配置資料 一位客戶打電話給供應商，詢問公司的新計劃，發(fā)展方向和公司主要負責人,信任欺騙,當電話社交工程失敗的時候，攻擊者可能展開長達數(shù)月的信任欺騙 典型情況 通過熟人介紹，來一次四人晚餐 可以隱藏自己的身份，通過網(wǎng)絡聊天或者是電子郵件與之結(jié)識 偽裝成工程技術(shù)人員騙取別人回復信件，泄漏有價值的信息 一般說來，有魅力的異性通常是最可怕的信任欺

24、騙者，不過不論對于男性還是女性，女性總是更容易令人信任,防范措施教 育,網(wǎng)絡安全中人是薄弱的一環(huán),作為安全管理人員，避免員工成為偵查工具的最好方法是對他們進行教育,提高本網(wǎng)絡現(xiàn)有用戶、特別是網(wǎng)絡管理員的安全意識對提高網(wǎng)絡安全性能具有非同尋常的意義,掃描目標網(wǎng)絡級別的信息,掃描目標主機級別的信息,安全掃描技術(shù)的發(fā)展趨勢,使用插件（plugin）或者叫功能模塊技術(shù) 使用專用腳本語言 由安全掃描程序到安全評估專家系統(tǒng),對網(wǎng)絡進行安全評估,DMZ E-Mail File Transfer HTTP,Intranet,生產(chǎn)部,工程部,市場部,人事部,路由,Internet,中繼,通訊 & 應用服務層,可

25、適應性安全弱點監(jiān)測和響應,DMZ E-Mail File Transfer HTTP,Intranet,企業(yè)網(wǎng)絡,生產(chǎn)部,工程部,市場部,人事部,路由,Internet,中繼,操作系統(tǒng)層,對于DMZ區(qū)域的檢測,DMZ E-Mail File Transfer HTTP,Intranet,企業(yè)網(wǎng)絡,生產(chǎn)部,工程部,市場部,人事部,路由,Internet,中繼,應用程序?qū)?第二節(jié)：滲透階段,重點內(nèi)容：服務器滲透與攻擊技術(shù),本節(jié)要點： 討論滲透策略和手法 列舉潛在的物理、操作系統(tǒng)和TCP/IP堆棧攻擊 識別和分析暴力攻擊、社會工程和拒絕服務攻擊 實施反滲透和攻擊的方法,入侵和攻擊的范疇,在Inter

26、net上,在局域網(wǎng)上,本地,離線,75,在Internet上,協(xié)作攻擊：Internet允許全世界范圍的連接，這很容易使來自全世界的人們在一個攻擊中進行合作參與,會話劫持：在合法的用戶得到鑒別可以訪問后，攻擊者接管一個現(xiàn)存動態(tài)會話的過程,欺騙：欺騙是一種模仿或采取不是自己身份的行為,轉(zhuǎn)播：是攻擊者通過第三方的機器轉(zhuǎn)播或反射他的通信，這樣攻擊就好象來自第三方的機器而不是他,特洛伊木馬或病毒：特洛伊木馬的常見用途是安裝后門,在局域網(wǎng)上,嗅探流量：觀察網(wǎng)絡上所有流量的被動攻擊,廣播：攻擊者發(fā)送一個信息包到廣播地址，以達到產(chǎn)生大量流量的目的,文件訪問：通過找到用戶標識和口令，可以對文件進行訪問,遠程控

27、制：通過安裝木馬實現(xiàn)對機器的遠程控制,應用搶劫：接收應用并且達到非授權(quán)訪問,在本地,旁側(cè)偷看,未上鎖的終端,被寫下的口令,拔掉機器,本地登錄,離線,下載口令文件,下載加密的文本,復制大量的數(shù)據(jù),常見的攻擊方法,1.欺騙攻擊(Spoofing,3.拒絕服務(Denial of Service)攻擊,2.中間人攻擊(Man-in-the-Middle Attacks,4.緩沖區(qū)溢出（Buffer Overflow）攻擊,5.后門和漏洞攻擊,6.暴力破解攻擊,容易遭受攻擊的目標,路由器 數(shù)據(jù)庫 郵件服務 名稱服務 Web和FTP服務器 和與協(xié)議相關(guān)的服務,一、欺騙技術(shù),電子郵件欺騙,修改郵件客戶軟件

28、的帳戶配置,通過使用網(wǎng)絡報文竊聽以及路由和傳輸協(xié)議進行這種攻擊。主要目的是竊取信息、截獲正在傳輸中的會話以便訪問專用網(wǎng)絡資源、進行流量分析以獲取關(guān)于一個網(wǎng)絡及其用途的信息、拒絕服務、破壞傳輸數(shù)據(jù)以及在網(wǎng)絡會話中插入新的信息,Man-in-the-Middle Attacks原理,二、中間人攻擊(Man-in-the-Middle Attacks,報文竊聽 ( Packet Sniffers,數(shù)據(jù)包篡改 ( Packet alteration,重放攻擊 （ Replay attack,會話劫持 ( Session hijacking,中間人攻擊的類型,報文竊聽是一種軟件應用，該應用利用一種處于無

29、區(qū)別模式的網(wǎng)絡適配卡捕獲通過某個沖突域的所有網(wǎng)絡分組。 可以輕易通過解碼工具（sniffers/netxray等）獲得敏感信息（用戶密碼等,報文竊聽(Packet Sniffers,報文竊聽(Packet Sniffers)實例分析,用交換機來替代HUB，可以減少危害。 防竊聽工具：使用專門檢測網(wǎng)絡上竊聽使用情況的軟件與硬件。 加密：采用IP Security (IPSec)、Secure Shell (SSH)、 Secure Sockets Layer (SSL)等技術(shù),驗證(Authentication)：采用一次性密碼技術(shù)(one-time-passwords OTPs,Packet

30、Sniffers竊聽防范,數(shù)據(jù)包篡改( Packet alteration,對捕獲的數(shù)據(jù)包內(nèi)容進行篡改，以達到攻擊者的目的,更改數(shù)據(jù)包的校驗和及頭部信息，為進一步攻擊 做準備,攻擊者截獲了一次遠程主機登錄過程后，選擇適當?shù)臅r機對該登錄過程進行重放，以進入遠程主機,重放攻擊（ Replay attack,會話劫持(session hijacking,關(guān)于TCP協(xié)議的序列號,阻斷正常會話,三、DOS攻擊,DoS（Deny Of Service）就是攻擊者通過使你的網(wǎng)絡設(shè)備崩潰或把它壓跨（網(wǎng)絡資源耗盡）來阻止合法用戶獲得網(wǎng)絡服務，DOS是最容易實施的攻擊行為,DoS攻擊主要是利用了TCP/IP 協(xié)議

31、中存在的設(shè)計缺陷和操作系統(tǒng)及網(wǎng)絡設(shè)備的網(wǎng)絡協(xié)議棧存在的實現(xiàn)缺陷,DoS的技術(shù)分類,典型DOS攻擊,Ping of Death,Ping of Death范例,IP數(shù)據(jù)包在網(wǎng)絡傳遞時，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段（或者更多）數(shù)據(jù)包來實現(xiàn)TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機器的重新啟動,淚滴(teardrop)攻擊一,Teardrop 攻擊原理,受影響的系統(tǒng)：Linux/Windows NT/95,攻擊特征：攻擊過程簡單，發(fā)送一些IP分片異常的數(shù)據(jù)

32、包,防范措施,淚滴(teardrop)攻擊二,服務器升級最新的服務包 設(shè)置防火墻時對分片進行重組，而不是轉(zhuǎn)發(fā)它們,UDP洪水(UDP flood,Fraggle攻擊,發(fā)送畸形UDP碎片，使得被攻擊者在重組過程中發(fā)生未加預料的錯誤 典型的Fraggle攻擊 碎片偏移位的錯亂 強制發(fā)送超大數(shù)據(jù)包 純粹的資源消耗,阻止IP碎片攻擊,Windows系統(tǒng)請打上最新的Service Pack，目前的Linux內(nèi)核已經(jīng)不受影響。 如果可能，在網(wǎng)絡邊界上禁止碎片包通過，或者用iptables限制每秒通過碎片包的數(shù)目。 如果防火墻有重組碎片的功能，請確保自身的算法沒有問題，否則DoS就會影響整個網(wǎng)絡 Windo

33、ws 2000系統(tǒng)中，自定義IP安全策略，設(shè)置“碎片檢查,TCP SYN flood,剖析SYN Flood攻擊,不斷發(fā)送大量偽造的TCP SYN分段,最多可打開的半開連接數(shù)量,超時等待時間,等待期內(nèi)的重試次數(shù),TCP SYN Flood 攻擊過程示例,對SYN Flood攻擊的防御,對SYN Flood攻擊的幾種簡單解決方法 縮短SYN Timeout時間 SYN Flood攻擊的效果取決于服務器上保持的SYN半連接數(shù)，這個值等于SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間 設(shè)置SYN Cookie 給每一個請求連接的IP地

34、址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被一概丟棄,增強Windows 2000對SYN Flood的防御,打開regedit，找到HKEY_LOCAL_MACHINESystem CurrentControlSetServicesTcpipParameters 增加一個SynAttackProtect的鍵值，類型為REG_DWORD，取值范圍是0-2，這個值決定了系統(tǒng)受到SYN攻擊時采取的保護措施，包括減少系統(tǒng)SYN+ACK的重試的次數(shù)等，默認值是0（沒有任何保護措施），推薦設(shè)置是2,增強Windows 2000對S

35、YN Flood的防御,增加一個TcpMaxHalfOpen的鍵值，類型為REG_DWORD，取值范圍是100-0 xFFFF，這個值是系統(tǒng)允許同時打開的半連接，默認情況下WIN2K PRO和SERVER是100，ADVANCED SERVER是500，這個值取決于服務器TCP負荷的狀況和可能受到的攻擊強度。 增加一個TcpMaxHalfOpenRetried的鍵值，類型為REG_DWORD，取值范圍是80-0 xFFFF，默認情況下WIN2K PRO和SERVER是80，ADVANCED SERVER是400，這個值決定了在什么情況下系統(tǒng)會打開SYN攻擊保護,Smurf攻擊,Smurf攻擊示

36、意圖,Smurf攻擊,Smurf攻擊的防止措施,Land攻擊,電子郵件炸彈,分布式拒絕服務(Distributed Denial of Service,DDoS攻擊原理 黑客侵入并控制了很多臺電腦，并使它們一起向主機發(fā)動DoS攻擊，主機很快陷于癱瘓，這就是分布式拒絕服務攻擊DDoS（Distributed Denial Of Service,分布式拒絕服務攻擊網(wǎng)絡結(jié)構(gòu)圖,三層模型,DDoS攻擊過程,DDoS攻擊使用的常用工具,TFN(Tribe Flood Network,Trinoo,Stacheldraht,TFN2K,TFN是由著名黑客Mixter編寫的，是第一個公開的UnixDDoS工

37、具。由主控端程序和客戶端 程序兩部分組成。 它主要采取的攻擊方法為：SYN風暴、Ping風暴、UDP炸彈和SMURF，具有偽造數(shù)據(jù)包的能力,TFN(Tribe Flood Network,TFN2K是由TFN發(fā)展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進程端口,TFN2K,Stacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防

38、范一些路由器的 RFC2267過濾。 Stacheldrah中有一個內(nèi)嵌的代理升級模塊，可以自動下載并安裝最新的代理程序,Stacheldraht,Trinoo,DDoS攻擊的防御策略,四、緩沖區(qū)溢出Buffer Overflow攻擊,緩沖區(qū)溢出的攻擊方式,緩沖區(qū)溢出攻擊的基本思想,基本思想：通過修改某些內(nèi)存區(qū)域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當前進程被非法利用(執(zhí)行這段惡意的代碼) 危害性 在UNIX平臺上，通過發(fā)掘Buffer Overflow, 可以獲得一個交互式的shell 在Windows平臺上，可以上載并執(zhí)行任何的代碼 溢出漏洞發(fā)掘起來需

39、要較高的技巧和知識背景，但是，一旦有人編寫出溢出代碼，則用起來非常簡單,為什么會緩沖區(qū)溢出,典型的buffer overflows漏洞,怎樣防范緩沖區(qū)溢出,五、后門和漏洞攻擊,后門(back door)： 通常指軟件開發(fā)人員為了便于測試或調(diào)試而在操作系統(tǒng)和程序中故意放置的未公布接口，與bug不同，后門使開發(fā)人員故意留下的。 Eg. 萬能密碼、超級用戶接口等,漏洞(Bug):操作系統(tǒng)或軟件存在的問題和錯誤,IPC$漏洞 輸入法漏洞 IIS .ida ISAPI擴展遠程溢出漏洞,六、暴力破解攻擊,1.字典程序攻擊,2.暴力攻擊,暴力破解,暴力或字典破解是獲得root訪問權(quán)限的最有效、最直接的方式方

40、法。 三種破解工具 L0pht crack工具 John the ripper工具 Crack工具,L0pht crack界面,驗證算法,暴力破解所要對付的對象就是各種各樣的口令加密與驗證算法 冷靜地分析各種常見的驗證算法，找出其中的不足 Windows 2000系統(tǒng)默認的驗證算法 Unix/Linux系統(tǒng)默認的驗證算法,LanMan驗證和NTLM驗證,Windows NT/2000支持多種驗證機制，每一種驗證機制之間的安全級別不同，下表列出了Windows NT/2000所支持的各種驗證機制。微軟系統(tǒng)所采用的驗證加密算法,164,額外的審計工具,L0pht Crack pwdump2 pwd

41、ump2密碼散列提取工具在很長時間內(nèi)由管理員和黑客同時使用，以從 SAM中轉(zhuǎn)儲LANMan和NTLM密碼散列。在Windows 2000域控制器上工作，域控制器不再將散列存儲在SAM中，而是存儲在AD中 lsadump2 使用DLL注射繞過本地安全授權(quán)(LSA)以名為LSA Secrets形式存儲的安全信息上的正常的訪問控制,構(gòu)造一個Crack工具基本步驟,生成字典文件,取出條目,應用規(guī)則,打開口令文件,比 較,不匹配,常見的規(guī)則包括： 1.計算hash值（MD5、SHA等） 2.應用crypt（）函數(shù),一旦攻擊者成功地滲透進系統(tǒng)，會立即試圖控制它,第三節(jié)：控制階段,一、攻擊者的控制目標,獲得

42、root的權(quán)限,獲得信息,作為跳板攻擊其它系統(tǒng),1.獲得root的權(quán)限,攻擊者最終目的是獲得root的權(quán)限 攻擊者會采用許多不同的策略來獲得這一權(quán)限 非法服務和trap door允許攻擊者使用合法的賬號來升級訪問權(quán)限,2.獲得信息,獲得root的權(quán)限后，攻擊者會將立即進行信息掃描,獲得有用數(shù)據(jù)。 掃描方法 操縱遠程用戶的Web瀏覽器 運行腳本程序 利用文件的缺省存放位置,3.信息重定向,攻擊者控制了系統(tǒng)，便可以進行程序和端口重定向 端口轉(zhuǎn)向成功后，他們可以操控連接并獲得有價值的信息 相似的攻擊目標還包括重定向SMTP端口，它也允許攻擊者獲得重要的信息,4.應用程序重定向,將某一端口與某一應用程

43、序相綁定 允許將某一程序的運行指定到特定的端口，從而可以遠程使用Telnet進行控制,5.擦除滲透的痕跡,通常，攻擊者通過破壞日志文件，可以騙過系統(tǒng)管理員和安全審計人員。這就是所謂的痕跡擦除 日志文件包括： Web服務器 防火墻 HTTP服務器 FTP服務器 數(shù)據(jù)庫 操作系統(tǒng)的日志 IDS日志 日志文件類型包括 事件日志 應用程序日志 安全日志,6.作為跳板攻擊其它系統(tǒng),通常，攻擊者滲透操作系統(tǒng)的目的是通過它來滲透到網(wǎng)絡上其它的操作系統(tǒng)。 NASA服務器是攻擊者通常的攻擊目標，不僅因為他們想要獲取該服務器上的信息，更主要的是許多組織都和該服務器有信任的連接關(guān)系,系統(tǒng)是攻擊者的終端還是攻擊鏈條中

44、的一個環(huán)節(jié)跳板 攻擊者為了偽裝自己的真實來源 ，可能通過很多次跳板才達到攻擊目的,二、控制手段,新的控制方法層出不窮 系統(tǒng)的升級不可避免的會開啟新的安全漏洞 少數(shù)的極有天賦的黑客不斷開發(fā)出新的工具 作為安全審計人員，需要時刻注意各種跡象，同時留意自己的系統(tǒng)是否存在著問題,1.后門的安放,Rhosts + + 后門 Login后門 服務進程后門 port bind suid Shell 后門 suid shell 修改密碼文件,2.創(chuàng)建新的訪問點,通過安裝額外的軟件和更改系統(tǒng)參數(shù)，攻擊者還可以開啟后門 優(yōu)秀的系統(tǒng)管理員，黑客通常習慣于某種攻擊策略，所以必須注意攻擊者的控制手段 安裝后門的另一個通

45、常方法是在操作系統(tǒng)中安置木馬,3.創(chuàng)建額外賬號,為了減小從系統(tǒng)中被清除的幾率，攻擊者通常會在獲得root權(quán)限后創(chuàng)建額外的賬號 使用批處理文件是創(chuàng)建額外賬號的一種手段 也可以增加沒有密碼的管理員賬號 在UNIX和Novell操作系統(tǒng)中同樣存在類似的問題,自動添加賬號,一個負責任的系統(tǒng)管理員會定期掃描用戶的賬號數(shù)據(jù)庫，查看是否有權(quán)限的變更，新添加的賬號和任何有關(guān)系統(tǒng)策略更改的可疑行為。 然而，攻擊者會利用老的賬號登錄系統(tǒng) 攻擊者還可以利用定時服務等自動執(zhí)行的程序來添加賬號 通過定時服務來添加新的賬號和重新設(shè)置權(quán)限，攻擊者可以騙過最挑剔的管理員,4.Trojan 木馬控制,Trojan horse,

46、Root Kits,Root kit是用非法程序替代合法程序 所謂的“root kit” 是入侵者在入侵了主機后，用來做創(chuàng)建后門并加以偽裝用的程序包 通常包括了日志清理器，后門等程序 root kit通常出現(xiàn)在UNIX系統(tǒng)中,木馬是一個程序，駐留在目標計算機里，可以隨計算機自動啟動并在某一端口進行偵聽，在對接收的數(shù)據(jù)識別后，對目標計算機執(zhí)行特定的操作。 其實質(zhì)只是一個通過端口進行通信的網(wǎng)絡客戶/服務程序,木馬程序的利用與監(jiān)測,木馬”指一些程序設(shè)計人員在其可從網(wǎng)絡上下載的應用程序或游戲中，包含了可以控制用戶的計算機系統(tǒng)的程序，可能造成用戶的系統(tǒng)被破壞甚至癱瘓。 木馬原則上和Laplink、PCa

47、nywhere 等程序一樣，只是一種遠程管理工具 木馬本身不帶傷害性，也沒有感染力，所以不能稱之為病毒 (也有人稱之為第二代病毒,木馬原理,基本概念：對于特洛伊木馬，被控制端就成為一臺服務器，控制端則是一臺客戶機,控制功能 ：以管理員用戶權(quán)限運行的木馬程序幾乎可以控制一切,程序?qū)崿F(xiàn)：可以使用VB或VC、JAVA以及其它任何編程工具的Winsock控件來編寫網(wǎng)絡客戶/服務程序,特洛伊木馬隱身方法,主要途徑有 在任務欄中隱藏自己 “化妝”為驅(qū)動程序 使用動態(tài)鏈接庫技術(shù),木馬的發(fā)展,典型的C/S結(jié)構(gòu)， 隱蔽性差,隱藏、自啟動和操縱服 務器等技術(shù)上有長足進步,隱藏、自啟動和數(shù)據(jù)傳遞技術(shù)上 有根本性進步

48、，出現(xiàn)了以ICMP進行數(shù) 據(jù)傳輸?shù)哪抉R,采用改寫和替換系統(tǒng)文件的做法,流行木馬及其技術(shù)特征,木馬進程注冊為系統(tǒng)服務 反彈端口型木馬出現(xiàn) 替換系統(tǒng)文件中做法應用到Windows 使用多線程技術(shù),Netbus木馬,NetBus 1.53版本可以以捆綁方式裝到目標電腦上，可以捆綁到啟動程序上，也可以捆綁到一般程序的常用程序上,186,Netbus木馬,NetBus2.0版的功能更強，已用做遠程管理的工作 NetBus的功能 運行程序 強迫重啟系統(tǒng) 注銷用戶 控制Web瀏覽器 捕捉擊鍵記錄 重定向端口和程序 獲得關(guān)于當前版本的信息 上傳、下載和刪除文件 控制、升級和定制服務器 管理密碼保護 顯示、終止

49、遠程系統(tǒng)程序,NetBus傳輸,NetBus使用TCP建立會話，缺省情況下用12345端口。 跟蹤NetBus的活動比較困難，可以通過檢查12346端口數(shù)據(jù)來確定 許多類似的程序使用固定的端口，你可以掃描整個的網(wǎng)絡監(jiān)測可疑的活動,Netbus 2.0主要文件,189,檢測NetBus,NetBus1.x版的程序使用下列的注冊表項 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 可以用包嗅探器，檢查缺省的12345或12346端口 使用netstat，你可以鍵入下列命令： Netstat an 或Netstat p udp,

50、Netbus連接,TCP: 12345/12346,191,清除NetBus,高質(zhì)量的反病毒程序 另一種清除NetBus的方法是使用其客戶端,點擊清除服務器按鈕 如果攻擊者采用了密碼保護的話可能會要求你輸入密碼，也可以搜尋前面討論的文件,BackOrifice2000,BackOrifice2000允許攻擊者進行如下操作 獲取系統(tǒng)信息 收集用戶名和密碼和用戶緩存的密碼 獲得文件的完全訪問權(quán)限 實施端口和程序的重定向 通過HTTP從瀏覽器上傳和下載文件,缺省設(shè)置,默認的Back Orifice 2000一共由5個文件組成，他們分別是： Bo2k.exe - 136kb，BO2K 服務器端程序 B

51、o2kcfg.exe - 216kb，BO2K 設(shè)置程序 Bo2kgui.exe - 568kb，BO2K 客戶端程序 Bo3des.dll - 24kb，plugin - triple DES module Bo_peep.dll - 52kb，plugin - remote console manager,精選命令,195,BO的運作,BO木馬包含三個程序：BOSERVE.EXE，BOCLIENT.EXE和BOCONFIG.EXE。其中第一個程序需安裝在受感染的用戶計算機中，也就是BO服務端 BO主要運行于Windows 95/98系統(tǒng)，對于Windows NT影響較小 服務器端程序為BO

52、SERVE.EXE，它會自動安裝在受攻擊的計算機中，但是它同時需要另外一個文件名為BOCONFIG的程序來進行配置,BO的檢測和清除,手工殺除BO2K 運行REGEDIT.EXE，修改注冊表，在下列鍵值處刪除UMGR32.EXE 的key值Hkey_local_machine/Software/Microsoft/Windows/CurrentVersion/RunServices 重啟系統(tǒng) 在WINDOWSSYSTEM下刪除UMGR321.EXE 需要注意的是，bo2k安裝后的名字是可以自定義的,木馬防御方法總結(jié),端口掃描 掃描程序嘗試連接某個端口，如果成功，則說明端口開放；否則關(guān)閉。但對于驅(qū)動程序/動態(tài)鏈接木馬，掃描端口不起作用 查看連接 在本地機上通過netstat -a查看所有的TCP/UDP連接 檢查注冊表 通過檢查注冊表來