《網(wǎng)絡(luò)安全設(shè)計(jì)》03－安全威脅 2缺陷攻擊

網(wǎng)絡(luò)安全設(shè)計(jì)安全威脅⑵缺陷攻擊Content什么是缺陷攻擊？拒絕服務(wù)攻擊原理緩存溢出攻擊原理代碼注入攻擊原理1《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊什么是缺陷攻擊？LeakAttack利用網(wǎng)絡(luò)系統(tǒng)中的體系結(jié)構(gòu)、組網(wǎng)配置、通信協(xié)議、系統(tǒng)軟件等存在的安全漏洞，實(shí)施相應(yīng)的攻擊高技術(shù)含量實(shí)施較簡(jiǎn)單難以追查影響面廣危害性大《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊2缺陷攻擊類型拒絕服務(wù)攻擊緩存溢出攻擊代碼注入攻擊《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊3缺陷攻擊→《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊4拒絕服務(wù)攻擊什么是拒絕服務(wù)攻擊？DenialofService，DoS通過(guò)攻擊網(wǎng)絡(luò)和信息系統(tǒng)，造成系統(tǒng)難以提供正常服務(wù)（服務(wù)堵塞、失效、崩潰等）DoS攻擊類型帶寬消耗型（BandwidthConsumption）資源匱乏型（ResourceStarvation）DDoS－分布式DoS攻擊采用分布式控制技術(shù)于同一時(shí)間對(duì)對(duì)象實(shí)施大量的DoS攻擊《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊5DDoS攻擊體系結(jié)構(gòu)《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊6DoS攻擊方法利用協(xié)議的漏洞SynFlood、Smurf、FakeIP利用軟件實(shí)現(xiàn)上的缺陷TearDrop、Ping-of-Death、Land、ICMP-Pieces進(jìn)行資源比拼ICMPFlood、UDPFlood、MstreamFlood、ConnectionFlood；EmailBomb基礎(chǔ)設(shè)施攻擊《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊7FakeIP偽造IP攻擊（IP欺騙）假設(shè)有一個(gè)合法用戶（IP地址為A）已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP報(bào)文，把IP地址設(shè)定為A，向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP報(bào)文。服務(wù)器接收到這樣的TCP報(bào)文后，認(rèn)為與A的連接有錯(cuò)誤，就會(huì)釋放已有連接攻擊者偽造大量的IP地址（如該網(wǎng)段的所有主機(jī)地址），向目標(biāo)主機(jī)發(fā)送TCP-RST報(bào)文，使服務(wù)器無(wú)法對(duì)合法用戶進(jìn)行正常服務(wù)《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊8被攻擊者甲IP：A被攻擊者乙IP：B正常TCP連接源端口號(hào)X目的端口號(hào)Y攻擊者發(fā)送RST報(bào)文源IP：A目的IP：B源端口：X目的端口：YSynFlood同步洪水攻擊（TCP同步攻擊、三次握手攻擊、半連接攻擊）《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊9等待ACK期間系統(tǒng)資源浪費(fèi)；若有大量半連接，資源將耗盡思考：耗盡資源的條件是什么？SynFlood－改進(jìn)1DDoSSynFlood《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊10SynFlood攻擊者（攻擊發(fā)起）攻擊效果成倍增加SynFlood－改進(jìn)2FakeSource-IPSynFlood《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊11隱藏攻擊者身份流量分散可結(jié)合DDoS攻擊SYN(IPn|IP2)SYN-ACK(IP2|IPn)攻擊者被攻擊者IP1IP2SynFlood－改進(jìn)3Land攻擊《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊12成功建立一條連接連接更“牢固”（不易超時(shí)釋放）占用更多資源Ping-of-Death死亡回顯攻擊（死亡之Ping）發(fā)送尺寸超限的ICMP報(bào)文，引起OS崩潰例如Windows9x操作系統(tǒng)規(guī)定ICMP報(bào)文最大尺寸不超過(guò)64KB，卻不進(jìn)行嚴(yán)格檢查，攻擊者故意發(fā)送超過(guò)64KB上限的畸形ICMP報(bào)文，主機(jī)就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致協(xié)議機(jī)崩潰，主機(jī)死機(jī)向目標(biāo)主機(jī)長(zhǎng)時(shí)間、連續(xù)、大量地發(fā)送ICMP報(bào)文，也可能會(huì)致使系統(tǒng)癱瘓。大量的ICMP報(bào)文形成ICMP風(fēng)暴，使得主機(jī)耗費(fèi)大量的計(jì)算資源，疲于奔命《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊13Smurf《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊14發(fā)送ICMP報(bào)文，以子網(wǎng)的廣播地址為目的IP地址，而用子網(wǎng)內(nèi)被攻擊主機(jī)的地址為源IP地址UDPFlood《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊15CHARGEN（port=7）發(fā)送隨機(jī)數(shù)據(jù)報(bào)文ECHO（port=19）復(fù)制發(fā)送接收到的報(bào)文TearDrop淚滴攻擊（碎片攻擊）《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊16思考：若故意缺少分片或缺少最后分片呢？EmailBomb電子郵件炸彈攻擊同一時(shí)間調(diào)用大量傀儡機(jī)向某個(gè)電子郵件服務(wù)器發(fā)送巨量郵件，引起服務(wù)阻塞或崩潰適合于其它網(wǎng)絡(luò)服務(wù)，如：Web服務(wù)與“蠕蟲”有所區(qū)別《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊17POSTInfrastructureDestroy基礎(chǔ)設(shè)施攻擊物理破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成系統(tǒng)故障或癱瘓典型方法：利用系統(tǒng)存在的“單點(diǎn)故障”電磁干擾、輻射修改系統(tǒng)配置盜竊、毀壞設(shè)備《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊18缺陷攻擊→《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊19緩存溢出攻擊什么是緩存溢出攻擊？BufferOverflow故意引起程序緩沖區(qū)錯(cuò)誤操作（如：越界覆蓋）數(shù)據(jù)出錯(cuò)運(yùn)行代碼被破壞棧內(nèi)寄存器被破壞形參和實(shí)參被破壞棧內(nèi)返回地址錯(cuò)誤緩存溢出攻擊目的：簡(jiǎn)單的緩存溢出可能造成程序出錯(cuò)退出，或造成操作系統(tǒng)崩潰、死機(jī)高級(jí)的緩存溢出則可以實(shí)現(xiàn)特定的攻擊目標(biāo)《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊20操作系統(tǒng)程序緩存典型結(jié)構(gòu)《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊21命令行參數(shù)及環(huán)境變量CommandLineParameters棧Stack↓↑堆Heap.BSS數(shù)據(jù)段.DATA代碼段.CODE內(nèi)存高端內(nèi)存低端地址變大一次函數(shù)調(diào)用的棧結(jié)構(gòu)函數(shù)實(shí)參Argumentn……函數(shù)實(shí)參Argument1返回地址ReturnAddrEBP本地變量LocalVar1……本地變量LocalVarkEBPESPvoidfunc(arg1,arg2,…,argn){local-var1;local-var2;……local-vark;;program……}進(jìn)棧危險(xiǎn)函數(shù)實(shí)例系統(tǒng)函數(shù)存在溢出漏洞例：strcpy()函數(shù)《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊22voidcopy8(char*str){charbuf[8];strcpy(buf,str);printf(“%sn”,buf);}main(){copy8(“dangrous”);}main(){copy8(“safe-string”);}……“safe-string”返回地址ReturnAddrEBPbuf[8]=‘safe-str’EBPESP進(jìn)棧ing緩存溢出示例《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊23C源程序：輸出什么？voidmain(){intx;x=0;pass(1,2,3);x=1;printf("%d",x);}intpass(inta,intb,intc){charbuffer[16];intsum;int*ret;ret=buffer+20;(*ret)+=10;sum=a+b+c;returnsum;}匯編輸出1？NO！實(shí)際輸出為0！緩沖區(qū)溢出不僅可能造成破壞，也可加以利用！被跳過(guò)的指令被跳過(guò)的指令利用緩存溢出改變用戶權(quán)限《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊24具有低權(quán)限的用戶執(zhí)行程序恢復(fù)原有權(quán)限可能的方法一：在程序執(zhí)行的過(guò)程中，把目標(biāo)程序“植入”高權(quán)限區(qū)域，再跳轉(zhuǎn)到目標(biāo)程序并執(zhí)行。可能的方法二：在操作系統(tǒng)未恢復(fù)用戶權(quán)限時(shí)，改變正常運(yùn)行過(guò)程，跳轉(zhuǎn)到目標(biāo)程序并執(zhí)行。獲取高級(jí)用戶甚至超級(jí)用戶權(quán)限從而完全控制目標(biāo)主機(jī)正常流程Trick：程序調(diào)用的“庫(kù)函數(shù)”即系統(tǒng)函數(shù)通常具有系統(tǒng)最高權(quán)限。操作系統(tǒng)Shell含義《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊25OS用戶shell用戶shell命令控制臺(tái)可層次嵌套繼承前一層權(quán)限Shell溢出攻擊實(shí)例－準(zhǔn)備《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊26#include<unistd.h>voidmain(){char*name[2];name[0]="/bin/sh";name[1]=NULL;execve(name[0],name,NULL);exit(0);}0x80482c7<main+03>:jmp

0x80482e8<main+36>0x80482c9<main+05>:pop

%esi0x80482ca<main+06>:mov

%esi,0x8(%esi)0x80482cd<main+09>:xor

%eax,%eax0x80482cf<main+11>:mov

%al,0x7(%esi)0x80482d2<main+14>:mov

%eax,0xc(%esi)0x80482d5<main+17>:mov

$0xb,%al0x80482d7<main+19>:mov

%esi,%ebx0x80482d9<main+21>:lea

0x8(%esi),%ecx0x80482dc<main+24>:lea

0xc(%esi),%edx0x80482df<main+27>:int

$0x800x80482e1<main+29>:xor

%ebx,%ebx0x80482e3<main+31>:mov

%ebx,%eax0x80482e5<main+33>:inc

%eax0x80482e6<main+34>:int

$0x800x80482e8<main+36>:call

0x80482c9<main+5>0x80482ed<main+41>:.string“/bin/sh”charshellcode[]=0x80482c7<main+03>:0xeb0x2f0x5e0x890x760x080x310xc00x80482cf<main+11>:0x880x460x070x890x460x0c0xb00x0b0x80482d7<main+19>:0x890xf30x8d0x4e0x080x8d0x560x0c0x80482df<main+27>:0xcd0x800x310xdb0x890xd80x400xcd0x80482e7<main+35>:0x800xe80xdc0xff0xff0xff

‘/’’b’0x80482ff<main+43>:’i’’n’’/’’s’’h’（該程序功能為執(zhí)行name指定的命令行命令；本例為打開新的shell）Shell溢出攻擊實(shí)例－代碼《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊27目標(biāo)：拷貝完成后，“buffer地址”正好填充進(jìn)棧內(nèi)的“返回地址”位置思考：為何用strcpy()而

非直接復(fù)制？保障代碼和地址正確植入的方法《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊28要求：

⑴攻擊代碼為連續(xù)的；

⑵地址指向攻擊代碼起始位置；

⑶地址恰好覆蓋“返回地址”。技巧：

①多個(gè)代碼起始地址，提高命中率；

②代碼以空指令開始，提高命中率；

③嘗試不同的組合結(jié)構(gòu)，適應(yīng)不同的棧結(jié)構(gòu)。缺陷攻擊→《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊29代碼注入攻擊什么是代碼注入攻擊？InjectionAttack輸入事先嚴(yán)密設(shè)計(jì)惡意代碼，達(dá)到攻擊目的往往針對(duì)SQL（StructuredQueryLanguage，結(jié)構(gòu)化查詢語(yǔ)言）數(shù)據(jù)庫(kù)訪問(wèn)操作，故常稱為SQL注入攻擊由于數(shù)據(jù)庫(kù)是網(wǎng)絡(luò)系統(tǒng)的核心，如果數(shù)據(jù)庫(kù)系統(tǒng)受到攻擊，不論是引起數(shù)據(jù)泄漏，還是數(shù)據(jù)遭到篡改、偽造、刪除，其影響必然是致命的《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊30數(shù)據(jù)庫(kù)訪問(wèn)系統(tǒng)結(jié)構(gòu)《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊31Internet客戶端軟件訪問(wèn)瀏覽器訪問(wèn)客戶端軟件指定訪問(wèn)方式，不可修改URL或腳本編程訪問(wèn)方式，存在修改可能應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)Web服務(wù)器用戶終端SQL查詢語(yǔ)句實(shí)例⑴《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊32varCityName;CityName=Request.form("CityName");varsql="select*fromOrdersTablewhereCityName='"+CityName+"'";若CityName輸入Shanghaiselect*fromOrdersTablewhereCityName='Shanghai'（查詢訂單數(shù)據(jù)表OrdersTable中所有有關(guān)Shanghai的記錄）SQL注入攻擊實(shí)例⑴《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊33varCityName;CityName=Request.form("CityName");varsql="select*fromOrdersTablewhereCityName='"+CityName+"'";若CityName輸入Shanghai';droptableOrdersTable--select*fromOrdersTablewhereCityName='Shanghai';droptableOrdersTable--'分號(hào)（;）表示一個(gè)操作的結(jié)束和另一個(gè)操作的開始；雙連字符（--）指示當(dāng)前行余下的部分是注釋內(nèi)容，應(yīng)該忽略數(shù)據(jù)庫(kù)將首先檢索出OrdersTable中有關(guān)Shanghai的所有記錄，然后將執(zhí)行droptable命令，即執(zhí)行刪除OrdersTable數(shù)據(jù)表！SQL查詢語(yǔ)句實(shí)例⑵《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊34Select*fromuserswhereusername='username.Text'andpassword='password.Text'輸入username和password可用以驗(yàn)證用戶合法性SQL注入攻擊實(shí)例⑵《網(wǎng)絡(luò)安全設(shè)計(jì)》安全威脅⑵缺陷攻擊35Select*fromuserswhereusername='username.Text'andpassword='password.Text'若username輸入'or'1'='1'--Select*fromu