【學(xué)習(xí)課件】第十章攻擊與應(yīng)急響應(yīng)

1、第十章 攻擊與應(yīng)急響應(yīng)10.1 攻擊概述 攻擊的位置(1)遠(yuǎn)程攻擊：外部攻擊者通過(guò)各種手段，從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動(dòng)攻擊。(2)本地攻擊：本單位的內(nèi)部人員，通過(guò)所在的局域網(wǎng)，向本單位的其他系統(tǒng)發(fā)動(dòng)攻擊，在本機(jī)上進(jìn)行非法越權(quán)訪問(wèn)。(3)偽遠(yuǎn)程攻擊：內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標(biāo)的一些必要信息后，攻擊過(guò)程從外部遠(yuǎn)程發(fā)起，造成外部入侵的現(xiàn)象，從而使追查者誤以為攻擊者來(lái)自外單位。 攻擊的層次簡(jiǎn)單拒絕服務(wù)本地用戶獲得非授權(quán)讀訪問(wèn)本地用戶獲得他們本不應(yīng)擁有的文件寫權(quán)限遠(yuǎn)程用戶獲得了非授權(quán)的帳號(hào)遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限遠(yuǎn)程供用戶獲得了特權(quán)文件的寫權(quán)限遠(yuǎn)程用戶擁有了

2、根（root）權(quán)限 攻擊的目的進(jìn)程的執(zhí)行；獲取文件和傳輸中的數(shù)據(jù)；獲得超級(jí)用戶權(quán)限；對(duì)系統(tǒng)的非法訪問(wèn)；進(jìn)行不許可的操作；拒絕服務(wù)；涂改信息；暴露信息；挑戰(zhàn)；政治意圖；經(jīng)濟(jì)利益；破壞 攻擊的人員黑客與破壞者：為了挑戰(zhàn)、自負(fù)、反叛等目的，獲取訪問(wèn)權(quán)限間諜：為了政治等情報(bào)信息恐怖主義者：為了勒索、破壞、復(fù)仇、宣傳等政治與經(jīng)濟(jì)目的，制造恐怖公司雇員：為了競(jìng)爭(zhēng)經(jīng)濟(jì)利益計(jì)算機(jī)犯罪：為了個(gè)人的經(jīng)濟(jì)利益內(nèi)部人員：因?yàn)楹闷?、挑?zhàn)、報(bào)復(fù)、經(jīng)濟(jì)利益。攻擊的工具用戶命令：在命令行狀態(tài)下或者圖形用戶接口方式輸入命令腳本或程序：攻擊者在用戶接口處初始化腳本和程序挖掘弱點(diǎn)自治主體：攻擊者初始化一個(gè)程序或者程序片斷，獨(dú)立地執(zhí)

3、行操作挖掘弱點(diǎn)工具箱：使用軟件包（包含開(kāi)發(fā)弱點(diǎn)的腳本、程序、自治主體）分布式工具：分發(fā)攻擊工具到多臺(tái)主機(jī)，通過(guò)協(xié)作方式執(zhí)行攻擊特定的目標(biāo)電磁泄漏。攻擊的一些基本概念系統(tǒng)的漏洞 漏洞與時(shí)間的關(guān)系系統(tǒng)發(fā)布漏洞暴露發(fā)布補(bǔ)丁新漏洞出現(xiàn) 安全漏洞與系統(tǒng)攻擊的關(guān)系漏洞暴露可能的攻擊發(fā)布補(bǔ)丁軟件漏洞 緩沖區(qū)溢出 意料外的聯(lián)合使用問(wèn)題 不對(duì)輸入內(nèi)容進(jìn)行預(yù)期檢查 文件操作的順序以及鎖定等問(wèn)題系統(tǒng)配置 默認(rèn)配置的不足 管理員的疏忽 臨時(shí)端口 信任關(guān)系遠(yuǎn)程攻擊的步驟黑客攻擊流程圖Step1：尋找目標(biāo)，收集信息 (1) 鎖定目標(biāo)利用下列的公開(kāi)協(xié)議或工具，收集你的相關(guān)信息。SNMP協(xié)議：用來(lái)查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，

4、從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其內(nèi)部細(xì)節(jié)。TraceRoute程序：能夠用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)和路由器數(shù)。Ping實(shí)用程序：可以用來(lái)確定一個(gè)指定的主機(jī)的位置。DNS服務(wù)器：該服務(wù)器提供了系統(tǒng)中可以訪問(wèn)的主機(jī)的IP地址表和它們所對(duì)應(yīng)的主機(jī)名。(2) 服務(wù)分析使用Telnet、FTP等軟件試探；使用端口掃描工具軟件，如x-scan,namp等。(3) 系統(tǒng)分析(4) 獲取帳號(hào)信息利用目標(biāo)主機(jī)的Finger功能：用來(lái)獲取一個(gè)指定主機(jī)上的所有用戶的詳細(xì)信息(如注冊(cè)名、電話號(hào)碼、最后注冊(cè)時(shí)間以及他們有沒(méi)有讀郵件等等）。利用電子郵件地址；利用目錄服務(wù)；習(xí)慣性常用帳號(hào)； (5) 獲得

5、管理員信息使用查詢命令host：可獲得保存在目標(biāo)域服務(wù)器中的所有信息。Whois協(xié)議：該協(xié)議的服務(wù)信息能提供所有有關(guān)的DNS域和相關(guān)的管理參數(shù)。ie:/whois/index.php使用搜索引擎查詢Usenet和Web。踩點(diǎn)掃描查點(diǎn)獲取訪問(wèn)權(quán)拒絕服務(wù)攻擊權(quán)限提升竊取掩蓋蹤跡創(chuàng)建后門使用Whois、DNS、Google收集目標(biāo)信息利用踩點(diǎn)結(jié)果，查看目標(biāo)系統(tǒng)在哪些通道使用哪些服務(wù)以及使用的是什么操作系統(tǒng)等根據(jù)掃描，使用與特定操作系統(tǒng)/服務(wù)相關(guān)的技術(shù)，收集用戶帳號(hào)、共享資源及export等信息發(fā)起攻擊試圖成為超級(jí)用戶改變、添加、刪除及復(fù)制用戶數(shù)據(jù)修改/刪除系統(tǒng)日志為以后在此入侵做準(zhǔn)備黑客攻擊流程圖S

6、tep2：安全漏洞的挖掘和分析掃描尋找安全漏洞，可以用下列方式：自編程序：利用產(chǎn)品或操作系統(tǒng)的補(bǔ)丁程序發(fā)現(xiàn)系統(tǒng)的漏洞，利用自編程序進(jìn)入未打“補(bǔ)丁”的系統(tǒng)。利用公開(kāi)的工具：像Internet的電子安全掃描程序ISS （ Internet Security Scanner）、審計(jì)網(wǎng)絡(luò)用的安全分析工具SATAN （ Security Analysis Tool for Auditing Network）等。黑客可以利用這些工具，收集目標(biāo)系統(tǒng)的信息，獲取攻擊目標(biāo)系統(tǒng)的非法訪問(wèn)權(quán)。Step3：獲得目標(biāo)使用權(quán)限用戶的ID和口令是進(jìn)入系統(tǒng)的第一道屏障，可以采用finger命令來(lái)探測(cè)目標(biāo)主機(jī)是否連通，以及目標(biāo)

7、主機(jī)上用戶的情況。然后可以采用專門的口令獲取工具，得到用戶的口令。Step4：隱藏攻擊活動(dòng) 連接隱藏：修改環(huán)境變量、修改日志文件等； 進(jìn)程隱藏：使用重定向技術(shù)減少給出的信息量，用特洛依木馬代替程序等； 文件隱藏：用相似的字符串麻痹管理員，或隱藏文件。Step5：實(shí)施攻擊活動(dòng) 建立另外的新的安全漏洞或后門，以便在先前的攻擊點(diǎn)被發(fā)現(xiàn)之后，繼續(xù)訪問(wèn)這個(gè)系統(tǒng)。 安裝探測(cè)軟件，包括木馬 可能會(huì)利用被攻擊主機(jī)作為對(duì)整個(gè)網(wǎng)絡(luò)展開(kāi)攻擊的大本營(yíng)，成為一臺(tái)“肉雞”。Step6：攻擊痕跡清除為了避免系統(tǒng)安全管理員追蹤，攻擊后會(huì)消除攻擊痕跡，如：刪除或替換系統(tǒng)的日志文件；干擾IDS正常運(yùn)行和修改完整性檢測(cè)標(biāo)簽。10.

8、2 緩沖區(qū)溢出攻擊 原理向一個(gè)有限空間的緩沖區(qū)中拷貝過(guò)長(zhǎng)的字符串，它會(huì)帶來(lái)兩種后果： 過(guò)長(zhǎng)的字符串覆蓋了相鄰的存儲(chǔ)單元，引起程序運(yùn)行失敗，嚴(yán)重的可引起宕機(jī)、系統(tǒng)重新啟動(dòng)等后果； 利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)。 一個(gè)典型的例子返回地址：0 x40404040利用緩沖區(qū)溢出進(jìn)行的系統(tǒng)攻擊(Windows)參考Jason先生的Windows NT Buffer Overflows From Start to Finish.調(diào)試、測(cè)試環(huán)境： Microsoft Visual C+ 6.0 Microsoft Windows 2000 Server 調(diào)試、測(cè)試過(guò)程 首先，寫一個(gè)存在

9、緩沖區(qū)溢出漏洞的應(yīng)用程序。該程序可讀取文件的內(nèi)容，這樣我們就能通過(guò)修改被讀取文件的內(nèi)容來(lái)使程序溢出。在Visual C+開(kāi)發(fā)環(huán)境中創(chuàng)建一個(gè)新的控制臺(tái)應(yīng)用程序，選擇”An Application that supports MFC”并單擊”Finish”。向這個(gè)應(yīng)用程序中添加一些必要的代碼，如下： CWinApp theApp; using namespace std; void overflow(char* buff); void overflow(char* buff) CFile file; CFileException er; if(!file.Open(_T(overflow.txt)

10、,CFile:modeRead,&er) er.ReportError(); return; int x = file.GetLength(); file.Read(buff,x); int _tmain(int argc, TCHAR* argv, TCHAR* envp) int nRetCode = 0; if (!AfxWinInit(:GetModuleHandle(NULL), NULL, :GetCommandLine(), 0) cerr _T(Fatal Error: MFC initialization failed) endl; nRetCode = 1; else ch

11、ar buff10; overflow(buff); return nRetCode; Windows NT/2000的內(nèi)存結(jié)構(gòu)： 0 x000000000 x0000FFFF：為NULL指針?lè)峙涠Ａ舻?，訪問(wèn)該區(qū)域內(nèi)存將導(dǎo)致“非法訪問(wèn)”錯(cuò)誤。0 x000100000 x7FFEFFFF：用戶進(jìn)程空間。EXE文件的映像被加載到其中（起始地址0 x00400000），DLL（動(dòng)態(tài)鏈接庫(kù)）也被加載到這部份空間。如果DLL或EXE的代碼被裝入到該范圍的某些地址，就能夠被執(zhí)行。訪問(wèn)該區(qū)域中沒(méi)有代碼裝入的地址將導(dǎo)致“非法訪問(wèn)”錯(cuò)誤。 0 x7FFF00000 x7FFFFFFF是保留區(qū)域，對(duì)此區(qū)域的任何

12、訪問(wèn)都將導(dǎo)致“非法訪問(wèn)”錯(cuò)誤。 0 x800000000 xFFFFFFFF僅供操作系統(tǒng)使用。用于加載設(shè)備驅(qū)動(dòng)程序和其它核心級(jí)代碼。從用戶級(jí)應(yīng)用程序（ring 3）訪問(wèn)此區(qū)域?qū)?dǎo)致“非法訪問(wèn)”錯(cuò)誤。 源碼解析：1、在overflow.txt中填寫“a”，不斷嘗試增加其長(zhǎng)度，當(dāng)字符串長(zhǎng)度為18時(shí)，運(yùn)行程序彈出下面的提示框，說(shuō)明程序崩潰了。此時(shí)ESP指向地址的內(nèi)容為：0012FF78 01 00 00 00 00 1B 42 .B意思就是說(shuō)返回地址沒(méi)有被改變。2、當(dāng)字符串長(zhǎng)度增加到24時(shí)，運(yùn)行程序并觀察彈出的對(duì)話框信息：“0 x61616161”指令引用的”0 x61616161”內(nèi)存。該內(nèi)存不能

13、為”written”。仔細(xì)分析代碼的運(yùn)行。首先，把斷點(diǎn)設(shè)在main函數(shù)的最后一行代碼，程序正確運(yùn)行到該處的時(shí)候，查看反匯編后的代碼，見(jiàn)下頁(yè)。匯編代碼：0040155B pop edi0040155C pop esi0040155D pop ebx0040155E add esp,50h00401561 cmp ebp,esp00401563 call _chkesp (004015e6)00401568 mov esp,ebp0040156A pop ebp0040156B ret然后，單步執(zhí)行到pop ebp指令時(shí)，看寄存器的狀態(tài)：EIP = 0040156B ESP = 0012FF74

14、EBP = 61616161執(zhí)行ret后，此時(shí)寄存器的狀態(tài)為：EIP = 61616161 ESP = 0012FF78 EBP = 61616161內(nèi)存為：0012FF78 01 00 00 00 00 1B 42 .B3、當(dāng)長(zhǎng)度增加到28時(shí)，執(zhí)行ret后，此時(shí)寄存器的狀態(tài)為：EIP = 61616161 ESP = 0012FF78 EBP = 61616161內(nèi)存為：0012FF78 61 61 61 61 00 1B 42 aaaa.B 防止緩沖區(qū)溢出的方法編寫正確的代碼對(duì)數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對(duì)數(shù)組的操作在正確的范圍內(nèi)。通過(guò)操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者殖入攻擊

15、代碼 這種方法有效地阻止了很多緩沖區(qū)溢出的攻擊，但是攻擊者并不一定要殖入攻擊代碼來(lái)實(shí)現(xiàn)緩沖區(qū)溢出的攻擊，所以這種方法還是存在很多弱點(diǎn)的。 利用編譯器的邊界檢查來(lái)實(shí)現(xiàn)緩沖區(qū)的保護(hù) 這個(gè)方法使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅，但是相對(duì)而言代價(jià)比較大。 在程序指針失效前進(jìn)行完整性檢查 這樣雖然這種方法不能使得所有的緩沖區(qū)溢出失效，但它的確確阻止了絕大多數(shù)的緩沖區(qū)溢出攻擊，而能夠逃脫這種方法保護(hù)的緩沖區(qū)溢出也很難實(shí)現(xiàn)。10.3 安全掃描基本原理采用模擬黑客攻擊的形式對(duì)目標(biāo)可能存在的已知的安全漏洞進(jìn)行逐項(xiàng)檢查，然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為網(wǎng)絡(luò)安全的整

16、體水平產(chǎn)生重要的依據(jù)?；谥鳈C(jī)的安全掃描基于網(wǎng)絡(luò)的安全掃描主要用途發(fā)現(xiàn)漏洞。即通過(guò)對(duì)漏洞掃描來(lái)準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)中哪些主機(jī)或設(shè)備存在哪些漏洞。獲得可用的報(bào)表。即通過(guò)對(duì)掃描發(fā)現(xiàn)的漏洞進(jìn)行統(tǒng)計(jì)分析，產(chǎn)生有意義的報(bào)表，其中包括漏洞的詳細(xì)描述和修補(bǔ)方法。展示資產(chǎn)漏洞情況。通過(guò)掃描來(lái)了解到網(wǎng)絡(luò)中各主機(jī)當(dāng)前的漏洞情況及修補(bǔ)情況。系統(tǒng)安全掃描的工作原理安全管理員基于網(wǎng)絡(luò)的安全掃描采用積極的、非破壞性的辦法來(lái)檢測(cè)系統(tǒng)是否有可能被攻擊崩潰，利用一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為，然后對(duì)結(jié)果進(jìn)行分析。通過(guò)網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其他主機(jī)的安全風(fēng)險(xiǎn)漏洞，安裝在整個(gè)網(wǎng)絡(luò)環(huán)境中的某一臺(tái)機(jī)器上。包含網(wǎng)絡(luò)映射（Network Mappi

17、ng）和端口掃描功能。 以Nessus為例?；诰W(wǎng)絡(luò)的漏洞掃描器體系結(jié)構(gòu)漏洞數(shù)據(jù)庫(kù)模塊：漏洞數(shù)據(jù)庫(kù)包含了各種操作系統(tǒng)的各種漏洞信息，以及如何檢測(cè)漏洞的指令。由于新的漏洞會(huì)不斷出現(xiàn)，該數(shù)據(jù)庫(kù)需要經(jīng)常更新，以便能夠檢測(cè)到新發(fā)現(xiàn)的漏洞。用戶配置控制臺(tái)模塊：用戶配置控制臺(tái)與安全管理員進(jìn)行交互，用來(lái)設(shè)置要掃描的目標(biāo)系統(tǒng)，以及掃描哪些漏洞。掃描引擎模塊：掃描引擎是掃描器的主要部件。根據(jù)用戶配置控制臺(tái)部分的相關(guān)設(shè)置，掃描引擎組裝好相應(yīng)的數(shù)據(jù)包，發(fā)送到目標(biāo)系統(tǒng)，將接收到的目標(biāo)系統(tǒng)的應(yīng)答數(shù)據(jù)包，與漏洞數(shù)據(jù)庫(kù)中的漏洞特征進(jìn)行比較，來(lái)判斷所選擇的漏洞是否存在。當(dāng)前活動(dòng)的掃描知識(shí)庫(kù)模塊：通過(guò)查看內(nèi)存中的配置信息，該模

18、塊監(jiān)控當(dāng)前活動(dòng)的掃描，將要掃描的漏洞的相關(guān)信息提供給掃描引擎，同時(shí)還接收掃描引擎返回的掃描結(jié)果。結(jié)果存儲(chǔ)器和報(bào)告生成工具：報(bào)告生成工具，利用當(dāng)前活動(dòng)掃描知識(shí)庫(kù)中存儲(chǔ)的掃描結(jié)果，生成掃描報(bào)告。掃描報(bào)告將告訴用戶配置控制臺(tái)設(shè)置了哪些選項(xiàng)，根據(jù)這些設(shè)置，掃描結(jié)束后，在哪些目標(biāo)系統(tǒng)上發(fā)現(xiàn)了哪些漏洞。 基于主機(jī)的安全掃描針對(duì)操作系統(tǒng)的掃描檢測(cè)，采用被動(dòng)的，非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測(cè)。通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理(Agent)或者是服務(wù)(Services)，以便能夠訪問(wèn)所有的文件與進(jìn)程，這也使的基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。 以Symantec的Enterprise Security Man

19、ager（ESM）為例。工作原理ESM是個(gè)基于主機(jī)的Client/Server三層體系結(jié)構(gòu)的漏洞掃描工具。這三層分別為：ESM控制臺(tái)、ESM管理器和ESM代理。 基于主機(jī)的掃描器體系結(jié)構(gòu)解釋ESM控制臺(tái)安裝在一臺(tái)計(jì)算機(jī)中；ESM管理器安裝在企業(yè)網(wǎng)絡(luò)中；所有的目標(biāo)系統(tǒng)都需要安裝ESM代理。ESM代理安裝完后，需要向ESM管理器注冊(cè)。 掃描器常用的端口掃描技術(shù)TCP connect()掃描TCP SYN掃描TCP FIN掃描IP段掃描TCP反向認(rèn)證掃描FTP代理掃描UDP ICMP端口不可到達(dá)掃描ICMP echo掃描10.4 特洛依木馬 概念源于古希臘戰(zhàn)爭(zhēng)。屬于客戶/服務(wù)模式。 客戶端：主控端，

20、向服務(wù)器發(fā)送連接請(qǐng)求。 服務(wù)端：被控端，提供服務(wù)，一般會(huì)打開(kāi)一個(gè)默認(rèn)端口進(jìn)行監(jiān)聽(tīng)，當(dāng)偵聽(tīng)到客戶端的連接請(qǐng)求，便自動(dòng)運(yùn)行相應(yīng)程序。 特點(diǎn) 隱蔽性：即使服務(wù)端被發(fā)現(xiàn)，也不容易確定客戶端的位置。非授權(quán)性：用戶在不知情的情況下被安裝了服務(wù)端，伴隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行，監(jiān)聽(tīng)客戶端的連接請(qǐng)求。一旦建立連接之后，客戶端將享有服務(wù)端的大部分操作權(quán)限。 木馬偽裝的方式 冒充圖像文件首先改變文件名。如把.exe改變成.jpg.exe。其次更改文件圖標(biāo)。一般木馬本身沒(méi)有圖標(biāo)，系統(tǒng)會(huì)顯示一個(gè)windows預(yù)設(shè)的圖標(biāo)。合并程序欺騙將木馬與一個(gè)正常的文件捆綁為一個(gè)文件。例如WinRAR可實(shí)現(xiàn)。偽裝成應(yīng)用程序擴(kuò)展組件此類屬于

21、最難識(shí)別的木馬。如偽裝成.dll，.ocx等，掛在一個(gè)知名的軟件中。 木馬的工作原理木馬隱藏技術(shù)a、在任務(wù)管理器中隱藏：一般會(huì)把木馬進(jìn)程設(shè)為“系統(tǒng)服務(wù)”，在任務(wù)管理器中便看不到了?；蛘甙涯抉R做成其他應(yīng)用程序的一個(gè)線程，把木馬注入其他應(yīng)用程序的地址空間。b、在任務(wù)欄里隱藏c、在端口中隱藏d、在通信中隱藏：客戶端和服務(wù)端通過(guò)直接或間接的途徑通信。f、在加載文件中隱藏g、修改虛擬設(shè)備驅(qū)動(dòng)程序（.vxd）或修改動(dòng)態(tài)鏈接庫(kù)（.dll）來(lái)加載木馬，改變了原有采用監(jiān)聽(tīng)端口的模式。木馬建立連接技術(shù)利用winsock，服務(wù)端和客戶端在制定端口建立連接，使用send和recv等API進(jìn)行數(shù)據(jù)的傳遞。早期的木馬一般

22、采用TCP、UDP連接，易被發(fā)現(xiàn)，用netstat命令。下面介紹幾種典型的木馬。（1）合并端口木馬這是最新的隱藏方式。修改虛擬設(shè)備驅(qū)動(dòng)程序（vxd）或修改動(dòng)態(tài)鏈接庫(kù)（dll），在一個(gè)端口上同時(shí)綁定兩個(gè)TCP或者UDP連接，如木馬端口與http的80端口綁定，達(dá)到隱藏端口的目的。工作原理：木馬會(huì)將修改后的dll替代系統(tǒng)原有的dll，并對(duì)所有的函數(shù)調(diào)用進(jìn)行過(guò)濾，對(duì)于常用的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)到系統(tǒng)原有的dll。木馬只使用dll進(jìn)行監(jiān)聽(tīng)，一旦發(fā)現(xiàn)客戶端的連接請(qǐng)求就激活自身，綁在一個(gè)進(jìn)程上進(jìn)行正常的木馬操作。優(yōu)點(diǎn)：擺脫了原有的監(jiān)聽(tīng)端口模式，采用替代系統(tǒng)功能的方法。沒(méi)有新增文件，沒(méi)有打開(kāi)新的端口，沒(méi)

23、有新的進(jìn)程。（2）使用ICMP協(xié)議進(jìn)行數(shù)據(jù)的發(fā)送由于ICMP由內(nèi)核或進(jìn)程直接處理而不需要通過(guò)端口。可以修改ICMP頭的構(gòu)造，加入木馬的控制字段，木馬將自己偽裝成一個(gè)Ping的進(jìn)程，系統(tǒng)就會(huì)將ICMP_ECHOREPLY的監(jiān)聽(tīng)、處理權(quán)交給木馬進(jìn)程。優(yōu)點(diǎn)： ICMP_ECHOREPLY包對(duì)防火墻和網(wǎng)關(guān)有穿透能力，因?yàn)橐坏┎辉试SICMP_ECHOREPLY報(bào)文通過(guò)就意味著主機(jī)沒(méi)有辦法對(duì)外進(jìn)行ping操作。（3）反彈端口型木馬服務(wù)端使用主動(dòng)端口，客戶端使用被動(dòng)端口，木馬定時(shí)監(jiān)測(cè)客戶端的存在，發(fā)現(xiàn)客戶端上線立即彈出端口主動(dòng)連接客戶端打開(kāi)的主動(dòng)端口，一般客戶端的主動(dòng)端口設(shè)為80。而客戶端的IP則一般使用固

24、定IP的第三方存儲(chǔ)設(shè)備來(lái)進(jìn)行傳遞，如一個(gè)固定的網(wǎng)址。（4）使用基于嗅探原理的原始套接字木馬服務(wù)端是一個(gè)發(fā)包器和嗅探器，它將捕獲指定特征的數(shù)據(jù)包。優(yōu)點(diǎn)：完全基于非連接狀態(tài)，使用原始包進(jìn)行通信，可使用任意協(xié)議，可采用任意制定的數(shù)據(jù)包形式，可實(shí)現(xiàn)部分的隱藏地址，可實(shí)現(xiàn)無(wú)連接反向通信，可突破一些防火墻的監(jiān)視。木馬啟動(dòng)方式在Win.ini中啟動(dòng)查看win.ini文件中指定的自動(dòng)執(zhí)行程序，其路徑和文件名是否異常。 WINDOWS load= run=在System.ini中啟動(dòng)可能被加載木馬的地方：查看system.ini文件 BOOT shell= 正常時(shí)該行為 shell=explorer.exe如果

25、該行為：Shell=explorer.exe 程序名，則后面的程序可能是木馬程序。386Enh字段中“driver=路徑程序名”。micdriversdrivers32利用注冊(cè)表加載運(yùn)行在Autoexec.bat和Config.sys中加載運(yùn)行在Winstart.bat中啟動(dòng)批處理文件，能被windows加載運(yùn)行。在多數(shù)情況下為應(yīng)用程序及windows自動(dòng)生成，在執(zhí)行了windows自動(dòng)生成，以及在執(zhí)行了并加載了多數(shù)驅(qū)動(dòng)程序之后開(kāi)始執(zhí)行。在啟動(dòng)組中加載感染了冰河木馬后的啟動(dòng)組在.ini文件中加載這是應(yīng)用程序的啟動(dòng)配置文件。可以將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)器端覆蓋這些同名文件，

26、這樣就可以啟動(dòng)木馬了。只啟動(dòng)一次的方式在winint.ini中。修改文件關(guān)聯(lián)如冰河木馬，采用TxtFile文件關(guān)聯(lián)的方式，一旦雙擊一個(gè)txt文件，原本應(yīng)用notepad程序打開(kāi)該文件，現(xiàn)在就變成啟動(dòng)木馬程序了。捆綁文件如果控制端（客戶端）和服務(wù)端已通過(guò)木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋源文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬也會(huì)安裝上去。如捆綁到系統(tǒng)文件，那么每一次windows啟動(dòng)均會(huì)啟動(dòng)木馬。反彈端口型木馬的主動(dòng)連接方式與一般木馬相反，很難防范。如網(wǎng)絡(luò)神偷。此類木馬可以采用查找注冊(cè)表的變化來(lái)監(jiān)測(cè)是否中木馬。

27、木馬的防范端口掃描：對(duì)于驅(qū)動(dòng)程序/動(dòng)態(tài)鏈接木馬不起作用。查看連接：netstat a查看TCP/UDP連接，但無(wú)法查出驅(qū)動(dòng)程序/動(dòng)態(tài)鏈接木馬。檢查注冊(cè)表查找文件10.5 網(wǎng)絡(luò)監(jiān)聽(tīng)1. 什么是網(wǎng)絡(luò)監(jiān)聽(tīng)？網(wǎng)絡(luò)監(jiān)聽(tīng)就是利用工具監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。網(wǎng)絡(luò)監(jiān)聽(tīng)是一把雙刃劍: 管理員可以用來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)的流量情況 開(kāi)發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況 黑客可以用來(lái)刺探網(wǎng)絡(luò)情報(bào)在各種操作系統(tǒng)上都有網(wǎng)絡(luò)監(jiān)聽(tīng)工具 Linux-tcpdump NT-Network Monitor2. 監(jiān)聽(tīng)目的1）網(wǎng)絡(luò)管理員：進(jìn)行網(wǎng)絡(luò)管理。 2）黑客：捕獲口令、截獲機(jī)密或?qū)Ｓ行畔?. 監(jiān)聽(tīng)位置 1）網(wǎng)關(guān)

28、、路由器設(shè)備： 監(jiān)聽(tīng)效果最好。 通常由系統(tǒng)管理員進(jìn)行。 2）任何一臺(tái)上網(wǎng)主機(jī)： 黑客常用。 以太網(wǎng)監(jiān)聽(tīng)原理1. 以太網(wǎng)組成網(wǎng)絡(luò)結(jié)構(gòu)由如下部分組成：1）工作站。可以是一臺(tái)功能較強(qiáng)的微機(jī)系統(tǒng)，或磁盤服務(wù)器、磁帶機(jī)或其它外部設(shè)備。2）網(wǎng)絡(luò)控制和接口部分。指控制器、接口和收發(fā)器。通常被制作在一塊插件板上，稱為網(wǎng)絡(luò)接口板。3）總線Ether。指通信介質(zhì)。以太網(wǎng)是一種總線式局域網(wǎng)絡(luò)。網(wǎng)絡(luò)中各計(jì)算機(jī)共享公共信道。2.以太網(wǎng)訪問(wèn)控制模式1）正常情況當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí)，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，進(jìn)行檢查。如果數(shù)據(jù)幀中攜帶的物理地址是自己的，或者是廣播地址，將數(shù)據(jù)幀交給上層協(xié)議軟件，否則將這個(gè)幀丟棄。因

29、此，只有與數(shù)據(jù)包目標(biāo)地址一致的主機(jī)才能接收數(shù)據(jù)包。2）監(jiān)聽(tīng)模式將以太網(wǎng)卡設(shè)置為雜湊模式后，該網(wǎng)卡能夠接收網(wǎng)絡(luò)上的所有數(shù)據(jù)包，即所有數(shù)據(jù)幀都被上交給上層協(xié)議軟件。因此，無(wú)論數(shù)據(jù)包中的目標(biāo)地址是什么，主機(jī)都將接收。數(shù)據(jù)鏈路監(jiān)聽(tīng)可能性說(shuō)明Ethernet高任意兩臺(tái)主機(jī)的所有網(wǎng)絡(luò)數(shù)據(jù)包都在總線上傳送，總線上的任何一臺(tái)主機(jī)都能夠偵聽(tīng)到數(shù)據(jù)包。FDDI Token-ring低令牌網(wǎng)不是廣播型網(wǎng)絡(luò)。電話線中等電話線能夠被搭線接聽(tīng)微波和無(wú)線電高無(wú)線電是廣播型的傳輸媒介。任何有無(wú)線電接收機(jī)的人都可以截獲傳輸?shù)男畔?。注意?在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?，但不能監(jiān)聽(tīng)不在同一網(wǎng)段的計(jì)算機(jī)傳輸?shù)男畔ⅰ?/p>

30、 不是同一網(wǎng)段的數(shù)據(jù)包，在網(wǎng)關(guān)就被過(guò)濾掉，傳不到該網(wǎng)段來(lái)。 當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)時(shí)，主機(jī)也可以監(jiān)聽(tīng)來(lái)自不在同一子網(wǎng)的主機(jī)的信息包。10.6 拒絕服務(wù)攻擊拒絕服務(wù)攻擊通過(guò)使計(jì)算機(jī)功能或性能崩潰來(lái)阻止提供服務(wù)，是常見(jiàn)的攻擊行為。拒絕服務(wù)攻擊可以在沒(méi)有獲得主機(jī)賬號(hào)的情況下進(jìn)行，只要主機(jī)連接在網(wǎng)絡(luò)上就可能受到攻擊。當(dāng)對(duì)一個(gè)資源的合理請(qǐng)求大大超過(guò)系統(tǒng)的處理能力時(shí)就會(huì)造成拒絕服務(wù)攻擊。拒絕服務(wù)攻擊主要包括: 死ping(ping of death) 淚滴(teardrop) SYN 洪水(SYN flood) Land 攻擊 Smurf 攻擊 分布式攻擊 電子郵件炸彈死p

31、ing（ping of death）概覽：在許多操作系統(tǒng)的早期版本中，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的最大尺寸有限制，對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上規(guī)定為64KB。在讀取包的報(bào)頭后，要根據(jù)該報(bào)頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)。當(dāng)發(fā)送ping請(qǐng)求的數(shù)據(jù)包聲稱自己的尺寸超過(guò)ICMP上限，也就是加載的尺寸超過(guò)64K上限時(shí)，就會(huì)使ping請(qǐng)求接收方出現(xiàn)內(nèi)存分配錯(cuò)誤導(dǎo)致TCP/IP堆棧崩潰，致使接受方死機(jī)。防御：現(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP實(shí)現(xiàn)都已實(shí)現(xiàn)對(duì)付超大尺寸的包，并且大多數(shù)防火墻能夠自動(dòng)過(guò)濾這些攻擊，包括：從windows98之后的windows，Windows NT(service pack 3之后)，l

32、inux Solaris 和Mac OS都具有抵抗一般ping of death攻擊的能力。此外，對(duì)防火墻進(jìn)行配置，阻斷ICMP以及任何未知協(xié)議，都將防止此類攻擊。 淚滴（teardrop）攻擊概覽：淚滴攻擊利用那些在TCP/IP堆棧中實(shí)現(xiàn)IP包的標(biāo)題頭所包含的信息來(lái)實(shí)現(xiàn)攻擊。操作系統(tǒng)需要將分片的IP包組合成一個(gè)完整的IP包。IP分片含有指示該分段包含的是原包的哪一段的信息。攻擊者向目標(biāo)主機(jī)發(fā)送兩個(gè)分片的IP包。第一個(gè)IP包的數(shù)據(jù)偏移(offset)設(shè)為0，有效數(shù)據(jù)長(zhǎng)度為N。第二個(gè)IP包的數(shù)據(jù)偏移設(shè)為K(KN)，有效數(shù)據(jù)長(zhǎng)度為S(K+S=N時(shí)沒(méi)有重復(fù)）。需要調(diào)整第二個(gè)包的offset和len：

33、調(diào)整后offset=N ，len=(K+S)-N，從而第二個(gè)包的長(zhǎng)度len0，可以正常處理。Teardrop攻擊情況：len1= NOffset1=0Len2= SOffset2=K第二個(gè)IP分片的len0，系統(tǒng)將崩潰。 TCP SYN洪水（TCP SYN flood）概覽：在網(wǎng)絡(luò)中建立TCP連接時(shí)，需要客戶機(jī)和服務(wù)器之間的三次包交換?？蛻魴C(jī)發(fā)送SYN包，服務(wù)器收到后必須回應(yīng)一個(gè)SYN/ACK包，然后等待該客戶機(jī)回應(yīng)一個(gè)ACK包來(lái)確認(rèn)，才真正建立連接。如果客戶機(jī)只發(fā)送初始化的SYN包，而不向服務(wù)器發(fā)送確認(rèn)的ACK包，會(huì)導(dǎo)致服務(wù)器一直等待到ACK包直到超時(shí)為止。由于服務(wù)器在有限的時(shí)間內(nèi)只能響應(yīng)有

34、限數(shù)量的連接，這會(huì)導(dǎo)致服務(wù)器一直等待回應(yīng)而無(wú)法響應(yīng)其它機(jī)器的連接請(qǐng)求。防御：在防火墻上過(guò)濾來(lái)自同一主機(jī)的后續(xù)連接。 TCP SYN洪水威脅很大，由于釋放洪流的主機(jī)并不尋求響應(yīng)，所以無(wú)法從一個(gè)高容量的傳輸中鑒別出來(lái)。 Land攻擊概覽：在Land攻擊中，將一個(gè)SYN包的原地址和目標(biāo)地址都設(shè)置成同一服務(wù)器地址，導(dǎo)致服務(wù)器向自己的地址發(fā)送SYN/ACK包，然后這個(gè)地址又發(fā)回ACK包并建立空連接。每一個(gè)空連接都將保留直到超時(shí)。對(duì)Land攻擊反應(yīng)不同，許多UNIX實(shí)現(xiàn)將崩潰，NT則變得極其緩慢（大約持續(xù)五分鐘）。防御：打最新的補(bǔ)丁，或者在防火墻進(jìn)行配置，將那些在外部接口上入站的含有內(nèi)部源地址濾掉。 Smurf攻擊概覽：簡(jiǎn)單的Smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求ping 數(shù)據(jù)包來(lái)淹沒(méi)受害主機(jī)的方式進(jìn)行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，它比ping of death洪水的流量高一或兩個(gè)數(shù)量級(jí)。更復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方雪崩。防御：為了防止黑客利用你的網(wǎng)絡(luò)攻擊他人，關(guān)閉外部路由器或防火墻的廣播地址特性。為防止被攻擊，在防火墻上設(shè)置規(guī)則，丟棄掉ICMP包。廣播信息可