網(wǎng)絡(luò)安全第二講

1、第二章 網(wǎng)絡(luò)攻擊行徑分析 2.1 攻擊的目的攻擊的目的2.2 攻擊的步驟攻擊的步驟2.3 攻擊事件攻擊事件 2 2 攻擊訣竅攻擊訣竅2.4 攻擊事件 實(shí)施有效的網(wǎng)絡(luò)攻擊必須掌握相應(yīng)的知識(shí)，選 擇恰當(dāng)?shù)墓羰侄?，采用合理的方法與步驟，才能 取得預(yù)期的效果。 什么是網(wǎng)絡(luò)攻擊？ 2.12.1 什么是網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)攻擊者利用目前網(wǎng)絡(luò)通信協(xié)議（如 TCP/IP協(xié)議）自身存在的或因配置不當(dāng)而產(chǎn)生的安全漏洞、 用戶(hù)使用的操作系統(tǒng)內(nèi)在缺陷或者用戶(hù)使用的程序語(yǔ)言本身 所具有的安全隱患等，通過(guò)使用網(wǎng)絡(luò)命令、從Internet上下載 的專(zhuān)用軟件或者攻擊者自己編寫(xiě)的軟件，非法進(jìn)入本地或遠(yuǎn) 程用戶(hù)主

2、機(jī)系統(tǒng)，非法獲得、修改、刪除用戶(hù)系統(tǒng)的信息以 及在用戶(hù)系統(tǒng)上添加垃圾、色情或者有害信息（如特洛伊木 馬）等一系列過(guò)程的總稱(chēng)。 常見(jiàn)的網(wǎng)絡(luò)攻擊手段 阻塞類(lèi)攻擊 控制類(lèi)攻擊 探測(cè)類(lèi)攻擊 欺騙類(lèi)攻擊 漏洞類(lèi)攻擊 破壞類(lèi)攻擊 注意：注意：在一次網(wǎng)絡(luò)攻擊中，并非只使用上述六種攻擊手段中 的某一種，而是多種攻擊手段相綜合，取長(zhǎng)補(bǔ)短，發(fā)揮各自 不同的作用。 阻塞類(lèi)攻擊 阻塞類(lèi)攻擊企圖通過(guò)強(qiáng)制占有信道資源、網(wǎng)絡(luò)連接資源、 存儲(chǔ)空間資源，使服務(wù)器崩潰或資源耗盡無(wú)法對(duì)外繼續(xù)提供 服務(wù)。 拒絕服務(wù)攻擊（DoS，Denial of Service）是典型的阻塞類(lèi) 攻擊，它是一類(lèi)個(gè)人或多人利用Internet協(xié)議組的某

3、些工具， 拒絕合法用戶(hù)對(duì)目標(biāo)系統(tǒng)（如服務(wù)器）和信息的合法訪(fǎng)問(wèn)的 攻擊。 常見(jiàn)的方法：TCP SYN洪泛攻擊、Land攻擊、Smurf攻擊、 電子郵件炸彈等多種方式。 TCP SYN 洪泛攻擊洪泛攻擊 ACK=y+1 SYN, SEQ=y, ACK=x+1 SYN, SEQ=x 發(fā)送端S接收端D TCP連接的三次握手連接的三次握手 Land攻擊 land 攻擊是一種使用相同的源和目的主機(jī)和端口發(fā)送 數(shù)據(jù)包到某臺(tái)機(jī)器的攻擊。結(jié)果通常使存在漏洞的機(jī) 器崩潰。 在Land攻擊中，一個(gè)特別打造的SYN包中的源地址和 目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，這時(shí)將導(dǎo)致 接受服務(wù)器向它自己的地址發(fā)送SYN一AC

4、K消息，結(jié) 果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一 個(gè)這樣的連接都將保留直到超時(shí)。 對(duì)Land攻擊反應(yīng)不同，許多UNIX系統(tǒng)將崩潰，而 Windows NT 會(huì)變的極其緩慢（大約持續(xù)五分鐘）。 Smurf攻擊 Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名“Smurf” 來(lái)命名的。 這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大 量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常 系統(tǒng)進(jìn)行服務(wù)。Smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成 受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包， 來(lái)淹沒(méi)受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此 ICMP應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。 更加復(fù)

5、雜的Smurf將源地址改為第三方的受害者，最終 導(dǎo)致第三方崩潰。 電子郵件炸彈 電子郵件炸彈是最古老的匿名攻擊之一，通過(guò)設(shè)置一 臺(tái)機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊 者能夠耗盡接受者網(wǎng)絡(luò)的帶寬。 由于這種攻擊方式簡(jiǎn)單易用，也有很多發(fā)匿名郵件的 工具，而且只要對(duì)方獲悉你的電子郵件地址就可以進(jìn) 行攻擊，所以這是大家最值得防范的一個(gè)攻擊手段。 阻塞類(lèi)攻擊 DoS攻擊的后果： 使目標(biāo)系統(tǒng)死機(jī)； 使端口處于停頓狀態(tài)； 在計(jì)算機(jī)屏幕上發(fā)出雜亂信息、改變文件名稱(chēng)、刪除關(guān)鍵 的程序文件； 扭曲系統(tǒng)的資源狀態(tài)，使系統(tǒng)的處理速度降低。 控制類(lèi)攻擊 控制型攻擊是一類(lèi)試圖獲得對(duì)目標(biāo)機(jī)器控制權(quán)的攻擊。 最常見(jiàn)

6、的三種：口令攻擊、特洛伊木馬、緩沖區(qū)溢出攻擊。 口令截獲與破解口令截獲與破解仍然是最有效的口令攻擊手段，進(jìn)一步的發(fā) 展應(yīng)該是研制功能更強(qiáng)的口令破解程序；木馬技術(shù)木馬技術(shù)目前著重研 究更新的隱藏技術(shù)和秘密信道技術(shù)；緩沖區(qū)溢出緩沖區(qū)溢出是一種常用的 攻擊技術(shù)，早期利用系統(tǒng)軟件自身存在的緩沖區(qū)溢出的缺陷進(jìn) 行攻擊，現(xiàn)在研究制造緩沖區(qū)溢出。 口令攻擊口令攻擊 攻擊者攻擊目標(biāo)時(shí)常常把破譯用戶(hù)的口令作為攻擊的開(kāi) 始。 只要攻擊者能猜測(cè)或者確定用戶(hù)的口令，他就能獲得機(jī) 器或者網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)，并能訪(fǎng)問(wèn)到用戶(hù)能訪(fǎng)問(wèn)到的任何 資源。 如果這個(gè)用戶(hù)有域管理員或root用戶(hù)權(quán)限，攻擊就變得極 其危險(xiǎn)。 口令攻擊口令攻擊

7、 這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用 戶(hù)的帳號(hào)，然后再進(jìn)行合法用戶(hù)口令的破譯。獲得普 通用戶(hù)帳號(hào)的方法很多，如： 利用目標(biāo)主機(jī)的Finger功能：當(dāng)用Finger命令查詢(xún)時(shí)， 主機(jī)系統(tǒng)會(huì)將保存的用戶(hù)資料（如用戶(hù)名、登錄時(shí)間 等）顯示在終端或計(jì)算機(jī)上； 利用目標(biāo)主機(jī)的X.500服務(wù)：有些主機(jī)沒(méi)有關(guān)閉X.500 的目錄查詢(xún)服務(wù)，也給攻擊者提供了獲得信息的一條 簡(jiǎn)易途徑； 從電子郵件地址中收集：有些用戶(hù)電子郵件地址常會(huì) 透露其在目標(biāo)主機(jī)上的帳號(hào)；查看主機(jī)是否有習(xí)慣性 的帳號(hào)：有經(jīng)驗(yàn)的用戶(hù)都知道，很多系統(tǒng)會(huì)使用一些 習(xí)慣性的帳號(hào)，造成帳號(hào)的泄露。 口令攻擊口令攻擊 1）猜測(cè)攻擊。 首先使用

8、口令猜測(cè)程序進(jìn)行攻擊?？诹畈聹y(cè)程序往往根據(jù)用首先使用口令猜測(cè)程序進(jìn)行攻擊。口令猜測(cè)程序往往根據(jù)用 戶(hù)定義口令的習(xí)慣猜測(cè)用戶(hù)口令，像名字縮寫(xiě)、生日、寵物戶(hù)定義口令的習(xí)慣猜測(cè)用戶(hù)口令，像名字縮寫(xiě)、生日、寵物 名、部門(mén)名等。在詳細(xì)了解用戶(hù)的社會(huì)背景之后，黑客可以名、部門(mén)名等。在詳細(xì)了解用戶(hù)的社會(huì)背景之后，黑客可以 列舉出幾百種可能的口令，并在很短的時(shí)間內(nèi)就可以完成猜列舉出幾百種可能的口令，并在很短的時(shí)間內(nèi)就可以完成猜 測(cè)攻擊。測(cè)攻擊。 2）字典攻擊。 如果猜測(cè)攻擊不成功，入侵者會(huì)繼續(xù)擴(kuò)大攻擊范圍，對(duì)所有如果猜測(cè)攻擊不成功，入侵者會(huì)繼續(xù)擴(kuò)大攻擊范圍，對(duì)所有 英文單詞進(jìn)行嘗試，程序?qū)葱蛉〕鲆粋€(gè)又一個(gè)的

9、單詞，進(jìn)英文單詞進(jìn)行嘗試，程序?qū)葱蛉〕鲆粋€(gè)又一個(gè)的單詞，進(jìn) 行一次又一次嘗試，直到成功。據(jù)有的傳媒報(bào)導(dǎo)，對(duì)于一個(gè)行一次又一次嘗試，直到成功。據(jù)有的傳媒報(bào)導(dǎo)，對(duì)于一個(gè) 有有8 萬(wàn)個(gè)英文單詞的集合來(lái)說(shuō)，入侵者不到一分半鐘就可試完。萬(wàn)個(gè)英文單詞的集合來(lái)說(shuō)，入侵者不到一分半鐘就可試完。 所以，如果用戶(hù)的口令不太長(zhǎng)或是單詞、短語(yǔ)，那么很快就所以，如果用戶(hù)的口令不太長(zhǎng)或是單詞、短語(yǔ)，那么很快就 會(huì)被破譯出來(lái)。會(huì)被破譯出來(lái)。 口令攻擊口令攻擊 3）窮舉攻擊）窮舉攻擊 如果字典攻擊仍然不能成功，入侵者會(huì)采取 窮舉攻擊。 一般從長(zhǎng)度為1的口令開(kāi)始，按長(zhǎng)度遞增進(jìn) 行嘗試攻擊。由于人們往往偏愛(ài)簡(jiǎn)單易記的 口令，窮

10、舉攻擊的成功率很高。如果每千分 之一秒檢查一個(gè)口令，那么86%的口令可以 在一周內(nèi)破譯出來(lái)。 口令攻擊口令攻擊 4）混合攻擊）混合攻擊 結(jié)合了字典攻擊和窮舉攻擊，先字典攻擊， 再暴力攻擊 5）直接破解系統(tǒng)口令文件）直接破解系統(tǒng)口令文件 所有的攻擊都不能奏效時(shí)，入侵者會(huì)尋找目 標(biāo)主機(jī)的安全漏洞和薄弱環(huán)節(jié)，伺機(jī)偷走存 放系統(tǒng)口令的文件，然后破譯加密的口令， 以便冒充合法用戶(hù)訪(fǎng)問(wèn)這臺(tái)主機(jī)。 口令攻擊口令攻擊 6）網(wǎng)絡(luò)嗅探）網(wǎng)絡(luò)嗅探 通過(guò)嗅探器在局域網(wǎng)內(nèi)嗅探明文傳輸?shù)目诹?字符串。 7）鍵盤(pán)記錄）鍵盤(pán)記錄 在目標(biāo)系統(tǒng)中安裝鍵盤(pán)記錄后門(mén)，記錄操作 員輸入的口令字符串。 探測(cè)類(lèi)攻擊 信息探測(cè)型攻擊主要是收

11、集目標(biāo)系統(tǒng)的各種與網(wǎng)絡(luò)安全有關(guān) 的信息，為下一步入侵提供幫助。 主要包括：掃描技術(shù)、體系結(jié)構(gòu)刺探、系統(tǒng)信息服務(wù)收集等。 目前正在發(fā)展更先進(jìn)的網(wǎng)絡(luò)無(wú)蹤跡信息探測(cè)技術(shù)。 網(wǎng)絡(luò)安全掃描技術(shù)：網(wǎng)絡(luò)安全掃描技術(shù)：網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原 理是采用模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行 逐項(xiàng)檢查。它既可用于對(duì)本地網(wǎng)絡(luò)進(jìn)行安全增強(qiáng)，也可被網(wǎng)絡(luò) 攻擊者用來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。 欺騙類(lèi)攻擊 欺騙類(lèi)攻擊包括IP欺騙和假消息攻擊，前一種通過(guò)冒充合法 網(wǎng)絡(luò)主機(jī)騙取敏感信息，后一種攻擊主要是通過(guò)配制或設(shè)置一 些假信息來(lái)實(shí)施欺騙攻擊。 主要包括：ARP緩存虛構(gòu)、DNS高速緩存污染、偽造電子郵 件等。 漏洞類(lèi)攻

12、擊 針對(duì)掃描器發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)的各種漏洞實(shí)施的相應(yīng)攻擊，伴 隨新發(fā)現(xiàn)的漏洞，攻擊手段不斷翻新，防不勝防。 漏洞（漏洞（Hole）：系統(tǒng)硬件或者軟件存在某種形式的安全方面 的脆弱性，這種脆弱性存在的直接后果是允許非法用戶(hù)未經(jīng)授 權(quán)獲得訪(fǎng)問(wèn)權(quán)或提高其訪(fǎng)問(wèn)權(quán)限。 要找到某種平臺(tái)或者某類(lèi)安全漏洞也是比較簡(jiǎn)單的。在 Internet上的許多站點(diǎn)，不論是公開(kāi)的還是秘密的，都提供漏洞 的歸檔和索引等。 破壞類(lèi)攻擊 破壞類(lèi)攻擊指對(duì)目標(biāo)機(jī)器的各種數(shù)據(jù)與軟件實(shí)施破 壞的一類(lèi)攻擊，包括計(jì)算機(jī)病毒、邏輯炸彈等攻擊手 段。 計(jì)算機(jī)中的計(jì)算機(jī)中的“邏輯炸彈邏輯炸彈”是指在特定邏輯條件滿(mǎn)足時(shí)，是指在特定邏輯條件滿(mǎn)足時(shí)， 實(shí)施

13、破壞的計(jì)算機(jī)程序，該程序觸發(fā)后造成計(jì)算機(jī)數(shù)實(shí)施破壞的計(jì)算機(jī)程序，該程序觸發(fā)后造成計(jì)算機(jī)數(shù) 據(jù)丟失、計(jì)算機(jī)不能從硬盤(pán)或者軟盤(pán)引導(dǎo)，甚至?xí)箵?jù)丟失、計(jì)算機(jī)不能從硬盤(pán)或者軟盤(pán)引導(dǎo)，甚至?xí)?整個(gè)系統(tǒng)癱瘓，并出現(xiàn)物理?yè)p壞的虛假現(xiàn)象。整個(gè)系統(tǒng)癱瘓，并出現(xiàn)物理?yè)p壞的虛假現(xiàn)象。 破壞類(lèi)攻擊 一名不道德的系統(tǒng)管理員，制造了一個(gè)邏輯炸彈用來(lái) 刪除服務(wù)器上的所有數(shù)據(jù)，觸發(fā)條件是他在一個(gè)月內(nèi)沒(méi) 有登錄。 一天，他在上班的路上，這個(gè)不道德的系統(tǒng)管理員發(fā) 生了車(chē)禍被一輛巴士撞了。 四個(gè)星期后，他的邏輯炸彈 被觸發(fā)清空了服務(wù)器上的所有數(shù)據(jù)。 系統(tǒng)管理員的意圖是在他被解雇后報(bào)復(fù)公司刪除數(shù)據(jù)， 但是他沒(méi)有料到自己會(huì)發(fā)生車(chē)禍。

14、 破壞類(lèi)攻擊 歷史上曾經(jīng)出現(xiàn)過(guò)的一個(gè)非常有名的邏輯炸彈例子是， 含有邏輯炸彈的程序每天核對(duì)一個(gè)公司的員工工資發(fā)放 清單。 如果連續(xù)在兩次的發(fā)薪日中，某程序員的代號(hào)沒(méi)有出 現(xiàn)在這個(gè)工資發(fā)放清單上，邏輯炸彈就啟動(dòng)了。 破壞類(lèi)攻擊 邏輯炸彈與計(jì)算機(jī)病毒的主要區(qū)別：邏輯炸彈沒(méi)有 感染能力，它不會(huì)自動(dòng)傳播到其他軟件內(nèi)。 注意：注意：由于我國(guó)使用的大多數(shù)系統(tǒng)都是國(guó)外進(jìn)口的， 其中是否存在邏輯炸彈，應(yīng)該保持一定的警惕。對(duì)于 機(jī)要部門(mén)中的計(jì)算機(jī)系統(tǒng)，應(yīng)該以使用自己開(kāi)發(fā)的軟 件為主。 攻擊的目的攻擊的目的 攻擊動(dòng)機(jī) 惡作劇 惡意破壞 商業(yè)目的 政治軍事 攻擊目的 破壞 入侵 2.22.2 攻擊的步驟攻擊的步驟

15、攻擊的準(zhǔn)備階段 確定攻擊目的 準(zhǔn)備攻擊工具 收集目標(biāo)信息 攻擊的實(shí)施階段 隱藏自己的位置 利用收集到的信息獲取帳號(hào)和密碼，登錄主機(jī) 利用漏洞或者其他方法獲得控制權(quán)并竊取網(wǎng)絡(luò)資源和 特權(quán) 2.32.3 攻擊的善后階段攻擊的善后階段 對(duì)于Windows系統(tǒng) 禁止日志審計(jì) 清除事件日志 清除IIS服務(wù)日志 對(duì)于UNIX系統(tǒng) 為了下次攻擊的方便，攻擊者都會(huì)留下一個(gè)后門(mén)， 充當(dāng)后門(mén)的工具種類(lèi)非常多，最典型的是木馬程序。 攻擊訣竅攻擊訣竅 基本方法基本方法 口令入侵 獲取賬號(hào)：Finger ，X.500 ，電子郵件地址 ，默認(rèn)賬號(hào) 獲取密碼：網(wǎng)絡(luò)監(jiān)聽(tīng) ，Bruce，漏洞與失誤 特洛伊木馬程序 WWW欺騙 電子郵件攻擊 電子郵件轟炸 ，電子郵件欺騙 黑客軟件 Back Orifice2000、冰河 安全漏洞攻擊 Outlook ，IIS，Serv-U 對(duì)防火墻的攻擊 Firewalking、Hping 滲透 路由器攻擊 2.42.4 常用攻擊工具常用攻擊工具 網(wǎng)絡(luò)偵查工具 superscan ，Nmap 拒絕服務(wù)攻擊工具 D