《計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)》電子 CH02網(wǎng)絡(luò)攻擊行為分析課件

網(wǎng)絡(luò)攻擊行為分析第2章基本內(nèi)容網(wǎng)絡(luò)信息安全技術(shù)與黑客攻擊技術(shù)都源于同一技術(shù)核心，即網(wǎng)絡(luò)協(xié)議和底層編程技術(shù)，不同的是怎么使用這些技術(shù)。很多軟件或設(shè)備可以為網(wǎng)絡(luò)管理和安全提供保障，但當(dāng)被別有用心的人所利用時，就成了黑客工具，就象刀具，是基本生活用具，又可成為殺人兇器。我們要做到“知己知彼”，才能“百戰(zhàn)不殆”，對黑客的攻擊手段、途徑、方法和工具了解得越多，越有利于保護(hù)網(wǎng)絡(luò)和信息的安全。在介紹信息安全技術(shù)以前，本章先來分析與黑客攻擊相關(guān)的知識。網(wǎng)絡(luò)信息安全技術(shù)與黑客攻擊技術(shù)都源于同一技術(shù)核心，即網(wǎng)絡(luò)協(xié)議和底層編程技術(shù)，不同的是怎么使用這些技術(shù)。很多軟件或設(shè)備可以為網(wǎng)絡(luò)管理和安全提供保障，但當(dāng)被別有用心的人所利用時，就成了黑客工具。刀，是基本生活用具，但又是殺人兇安全威脅的來源不可控制的自然災(zāi)害，如地震、雷擊惡意攻擊、違紀(jì)、違法和計(jì)算機(jī)犯罪人為的無意失誤和各種各樣的誤操作計(jì)算機(jī)硬件系統(tǒng)的故障軟件的“后門”和漏洞安全威脅主要來自以下幾個方面：安全威脅的表現(xiàn)形式偽裝非法連接非授權(quán)訪問拒絕服務(wù)抵賴信息泄露業(yè)務(wù)流分析改動信息流篡改或破壞數(shù)據(jù)推斷或演繹信息非法篡改程序?qū)嵤┌踩{的人員心存不滿的員工軟硬件測試人員技術(shù)愛好者好奇的年青人黑客（Hacker）破壞者（Cracker）以政治或經(jīng)濟(jì)利益為目的的間諜互聯(lián)網(wǎng)上的黑色產(chǎn)業(yè)鏈網(wǎng)絡(luò)攻擊的層次網(wǎng)絡(luò)攻擊的層次第一層攻擊：第一層攻擊基于應(yīng)用層的操作，這些攻擊的目的只是為了干擾目標(biāo)的正常工作。第二層攻擊：第二層攻擊指本地用戶獲得不應(yīng)獲得的文件(或目錄)讀權(quán)限。第三層攻擊：在第二層的基礎(chǔ)上發(fā)展成為使用戶獲得不應(yīng)獲得的文件(或目錄)寫權(quán)限。第四層攻擊：第四層攻擊主要指外部用戶獲得訪問內(nèi)部文件的權(quán)利。第五層攻擊：第五層攻擊指非授權(quán)用戶獲得特權(quán)文件的寫權(quán)限。第六層攻擊：第六層攻擊指非授權(quán)用戶獲得系統(tǒng)管理員的權(quán)限或根權(quán)限。2.4網(wǎng)絡(luò)入侵技術(shù)任何以干擾、破壞網(wǎng)絡(luò)系統(tǒng)為目的的非授權(quán)行為都稱之為網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊實(shí)際上是針對安全策略的違規(guī)行為、針對授權(quán)的濫用行為與針對正常行為特征的異常行為的總和。網(wǎng)絡(luò)主要攻擊手段網(wǎng)絡(luò)入侵技術(shù)----漏洞攻擊漏洞攻擊：利用軟件或系統(tǒng)存在的缺陷實(shí)施攻擊。漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。

緩沖區(qū)溢出漏洞攻擊：通過向程序的緩沖區(qū)寫入超過其長度的數(shù)據(jù)，造成溢出，從而破壞程序的堆棧，轉(zhuǎn)而執(zhí)行其它的指令，達(dá)到攻擊的目的。RPC漏洞、SMB漏洞、打印漏洞緩沖區(qū)溢出Bufferoverflowattack緩沖區(qū)溢出攻擊緩沖區(qū)溢出漏洞大量存在于各種軟件中利用緩沖區(qū)溢出的攻擊，會導(dǎo)致系統(tǒng)當(dāng)機(jī)，獲得系統(tǒng)特權(quán)等嚴(yán)重后果。最早的攻擊1988年UNIX下的Morrisworm最近的攻擊Codered

利用IIS漏洞SQLServerWorm利用SQLServer漏洞Blaster利用RPC漏洞Sasser利用LSASS漏洞向緩沖區(qū)寫入超過緩沖區(qū)長度的內(nèi)容，造成緩沖區(qū)溢出，破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，達(dá)到攻擊的目的。原因：程序中缺少錯誤檢測:voidfunc(char*str){ charbuf[16];

strcpy(buf,str);}如果str的內(nèi)容多于16個非0字符，就會造成buf的溢出，使程序出錯。類似函數(shù)有strcat、sprintf、vsprintf、gets、scanf等一般溢出會造成程序讀/寫或執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā)segmentationfault異常退出.如果在一個suid程序中特意構(gòu)造內(nèi)容，可以有目的的執(zhí)行程序，如/bin/sh，得到root權(quán)限。類似函數(shù)有strcat、sprintf、vsprintf、gets、scanf等一般溢出會造成程序讀/寫或執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā)segmentationfault異常退出.如果在一個suid程序中特意構(gòu)造內(nèi)容，可以有目的的執(zhí)行程序，如/bin/sh，得到root權(quán)限。拒絕服務(wù)攻擊（DoS）：通過各種手段來消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源，或者攻擊系統(tǒng)缺陷，使系統(tǒng)的正常服務(wù)陷于癱瘓狀態(tài)，不能對正常用戶進(jìn)行服務(wù)，從而實(shí)現(xiàn)拒絕正常用戶的服務(wù)訪問。分布式拒絕服務(wù)攻擊：DDoS，攻擊規(guī)模更大，危害更嚴(yán)重。實(shí)例：SYN-Flood洪水攻擊，Land攻擊，Smurf攻擊，UDP-Flood攻擊，WinNuke攻擊（139）等。網(wǎng)絡(luò)入侵技術(shù)----拒絕服務(wù)攻擊典型的拒絕服務(wù)攻擊有如下兩種形式：資源耗盡和資源過載。當(dāng)一個對資源的合理請求大大超過資源的支付能力時就會造成拒絕服務(wù)攻擊（例如，對已經(jīng)滿載的Web服務(wù)器進(jìn)行過多的請求。）拒絕服務(wù)攻擊還有可能是由于軟件的弱點(diǎn)或者對程序的錯誤配置造成的。區(qū)分惡意的拒絕服務(wù)攻擊和非惡意的服務(wù)超載依賴于請求發(fā)起者對資源的請求是否過份，從而使得其他的用戶無法享用該服務(wù)資源。PingofDeath：發(fā)送長度超過65535字節(jié)的ICMPEchoRequest數(shù)據(jù)包導(dǎo)致目標(biāo)機(jī)TCP/IP協(xié)議棧崩潰，系統(tǒng)死機(jī)或重啟。Teardrop：發(fā)送特別構(gòu)造的IP數(shù)據(jù)包，導(dǎo)致目標(biāo)機(jī)TCP/IP協(xié)議棧崩潰，系統(tǒng)死鎖。Synflooding：發(fā)送大量的SYN包。Land：發(fā)送TCPSYN包，包的SRC/DSTIP相同，SPORT/DPORT相同，導(dǎo)致目標(biāo)機(jī)TCP/IP協(xié)議棧崩潰，系統(tǒng)死機(jī)或失去響應(yīng)。Winnuke：發(fā)送特別構(gòu)造的TCP包，使得Windows機(jī)器藍(lán)屏。Smurf：攻擊者冒充服務(wù)器向一個網(wǎng)段的廣播地址發(fā)送ICMPecho包，整個網(wǎng)段的所有系統(tǒng)都向此服務(wù)器回應(yīng)icmpreply包。入侵者常常采用下面幾種方法獲取用戶的密碼口令：弱口令掃描Sniffer密碼嗅探暴力破解社會工程學(xué)（即通過欺詐手段獲?。┠抉R程序或鍵盤記錄程序。。。。。。網(wǎng)絡(luò)入侵技術(shù)----口令攻擊破解OF密碼破解系統(tǒng)密碼一個開放的網(wǎng)絡(luò)端口就是一條與計(jì)算機(jī)進(jìn)行通信的信道，對網(wǎng)絡(luò)端口的掃描可以得到目標(biāo)計(jì)算機(jī)開放的服務(wù)程序、運(yùn)行的系統(tǒng)版本信息，從而為下一步的入侵做好準(zhǔn)備。掃描是采取模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞逐項(xiàng)進(jìn)行檢查，利用各種工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上尋找漏洞。典型的掃描工具包括安全焦點(diǎn)的X-Scan、小榕的流光軟件，簡單的還有IpScan、SuperScan等，商業(yè)化的產(chǎn)品如啟明星辰的天鏡系統(tǒng)具有更完整的功能。網(wǎng)絡(luò)入侵技術(shù)----掃描攻擊協(xié)議欺騙攻擊就是假冒通過認(rèn)證騙取對方信任，從而獲取所需信息，進(jìn)而實(shí)現(xiàn)入侵的攻擊行為。常見的協(xié)議欺騙有以下幾種方式：IP欺騙：對抗基于IP地址的驗(yàn)證。ARP欺騙：它是一個位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址。ARP欺騙通過偽造ARP與IP的信息或?qū)?yīng)關(guān)系實(shí)現(xiàn)。NC軟件就能實(shí)現(xiàn)ARP欺騙。TCP會話劫持：與IP欺騙類似，通過嗅探并向網(wǎng)絡(luò)注入額外的信息實(shí)現(xiàn)TCP連接參與。如IPwatcher就是一種有效的會話劫持工具。網(wǎng)絡(luò)入侵技術(shù)----協(xié)議欺騙攻擊社會工程學(xué)（SocialEngineering），是一種通過對受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法。20世紀(jì)70年代末期，一個叫做斯坦利?馬克?瑞夫金（StanleyMarkRifkin）的年輕人成功地實(shí)施了史上最大的銀行劫案。他沒有雇用幫手、沒有使用武器、沒有天衣無縫的行動計(jì)劃，“甚至無需計(jì)算機(jī)的協(xié)助”，僅僅依靠一個進(jìn)入電匯室的機(jī)會并打了三個電話，便成功地將一千零二十萬美元轉(zhuǎn)入自己在國外的個人賬戶。網(wǎng)絡(luò)入侵技術(shù)----社會工程學(xué)攻擊2.5網(wǎng)絡(luò)防御與信息安全保障針對網(wǎng)絡(luò)入侵和密碼破譯等攻擊行為，本書在以后的章節(jié)中，在ISO安全體系結(jié)構(gòu)的指導(dǎo)下，通過