《計算機網(wǎng)絡(luò)與信息安全技術(shù)》電子課件CH網(wǎng)絡(luò)攻擊行

網(wǎng)絡(luò)攻擊行為分析第2章基本內(nèi)容網(wǎng)絡(luò)信息安全技術(shù)與黑客攻擊技術(shù)都源于同一技術(shù)核心，即網(wǎng)絡(luò)協(xié)議和底層編程技術(shù)，不同的是怎么使用這些技術(shù)。很多軟件或設(shè)備可以為網(wǎng)絡(luò)管理和安全提供保障，但當被別有用心的人所利用時，就成了黑客工具，就象刀具，是基本生活用具，又可成為殺人兇器。我們要做到“知己知彼”，才能“百戰(zhàn)不殆”，對黑客的攻擊手段、途徑、方法和工具了解得越多，越有利于保護網(wǎng)絡(luò)和信息的安全。在介紹信息安全技術(shù)以前，本章先來分析與黑客攻擊相關(guān)的知識。網(wǎng)絡(luò)信息安全技術(shù)與黑客攻擊技術(shù)都源于同一技術(shù)核心，即網(wǎng)絡(luò)協(xié)議和底層編程技術(shù)，不同的是怎么使用這些技術(shù)。很多軟件或設(shè)備可以為網(wǎng)絡(luò)管理和安全提供保障，但當被別有用心的人所利用時，就成了黑客工具。刀，是基本生活用具，但又是殺人兇計算機網(wǎng)絡(luò)系統(tǒng)所面臨的威脅大體可分為兩種：一是針對網(wǎng)絡(luò)中信息的威脅；二是針對網(wǎng)絡(luò)中設(shè)備的威脅。2.1影響信息安全的人員分析如果按威脅的對象、性質(zhì)則可以細分為四類：第一類是針對硬件實體設(shè)施第二類是針對軟件、數(shù)據(jù)和文檔資料第三類是兼對前兩者的攻擊破壞第四類是計算機犯罪。安全威脅的來源不可控制的自然災(zāi)害，如地震、雷擊惡意攻擊、違紀、違法和計算機犯罪人為的無意失誤和各種各樣的誤操作計算機硬件系統(tǒng)的故障軟件的“后門”和漏洞安全威脅主要來自以下幾個方面：安全威脅的表現(xiàn)形式偽裝非法連接非授權(quán)訪問拒絕服務(wù)抵賴信息泄露業(yè)務(wù)流分析改動信息流篡改或破壞數(shù)據(jù)推斷或演繹信息非法篡改程序?qū)嵤┌踩{的人員心存不滿的員工軟硬件測試人員技術(shù)愛好者好奇的年青人黑客（Hacker）破壞者（Cracker）以政治或經(jīng)濟利益為目的的間諜互聯(lián)網(wǎng)上的黑色產(chǎn)業(yè)鏈2.2網(wǎng)絡(luò)攻擊的層次網(wǎng)絡(luò)攻擊的途徑針對端口攻擊針對服務(wù)攻擊針對第三方軟件攻擊DOS攻擊針對系統(tǒng)攻擊口令攻擊欺騙網(wǎng)絡(luò)攻擊的層次網(wǎng)絡(luò)攻擊的層次第一層攻擊：第一層攻擊基于應(yīng)用層的操作，這些攻擊的目的只是為了干擾目標的正常工作。第二層攻擊：第二層攻擊指本地用戶獲得不應(yīng)獲得的文件(或目錄)讀權(quán)限。第三層攻擊：在第二層的基礎(chǔ)上發(fā)展成為使用戶獲得不應(yīng)獲得的文件(或目錄)寫權(quán)限。第四層攻擊：第四層攻擊主要指外部用戶獲得訪問內(nèi)部文件的權(quán)利。第五層攻擊：第五層攻擊指非授權(quán)用戶獲得特權(quán)文件的寫權(quán)限。第六層攻擊：第六層攻擊指非授權(quán)用戶獲得系統(tǒng)管理員的權(quán)限或根權(quán)限。2.3網(wǎng)網(wǎng)絡(luò)攻攻擊的一一般步驟驟（1）隱隱藏IP（2）踩踩點掃描描（3）獲獲得系統(tǒng)統(tǒng)或管理理員權(quán)限限（4）種種植后門門（5）在在網(wǎng)絡(luò)中中隱身2.4網(wǎng)網(wǎng)絡(luò)入入侵技術(shù)術(shù)任何以干干擾、破破壞網(wǎng)絡(luò)絡(luò)系統(tǒng)為為目的的的非授權(quán)權(quán)行為都都稱之為為網(wǎng)絡(luò)攻攻擊。網(wǎng)絡(luò)攻擊擊實際上上是針對對安全策策略的違違規(guī)行為為、針對對授權(quán)的的濫用行行為與針針對正常常行為特特征的異異常行為為的總和和。網(wǎng)絡(luò)主要要攻擊手手段網(wǎng)站篡改改（占45.91%））垃圾郵件件（占28.49%））蠕蟲（占占6.31%））網(wǎng)頁惡意意代碼（（占0.51%）木馬（占占4.01%））網(wǎng)絡(luò)仿冒冒（占4.97%）拒絕服務(wù)務(wù)攻擊（（占0.58%）主機入侵侵（占1.14%）網(wǎng)絡(luò)主要要攻擊手手段網(wǎng)絡(luò)入侵侵技術(shù)----漏洞攻攻擊漏洞攻擊擊：利用用軟件或或系統(tǒng)存存在的缺缺陷實施施攻擊。。漏洞是指硬件件、軟件或策策略上存在的的的安全缺陷陷，從而使得得攻擊者能夠夠在未授權(quán)的的情況下訪問問、控制系統(tǒng)統(tǒng)。緩沖區(qū)溢出漏漏洞攻擊：：通過向程序序的緩沖區(qū)寫寫入超過其長長度的數(shù)據(jù)，，造成溢出，，從而破壞程程序的堆棧，，轉(zhuǎn)而執(zhí)行其其它的指令，，達到攻擊的的目的。RPC漏洞、、SMB漏洞洞、打印漏洞洞緩沖區(qū)溢出Bufferoverflowattack緩沖沖區(qū)溢出攻擊擊緩沖區(qū)溢出漏漏洞大量存在在于各種軟件件中利用緩沖區(qū)溢溢出的攻擊，，會導(dǎo)致系統(tǒng)統(tǒng)當機，獲得得系統(tǒng)特權(quán)等等嚴重后果。。最早的攻擊1988年UNIX下的的Morrisworm最近的攻擊Codered利用IIS漏洞SQLServerWorm利利用SQLServer漏洞Blaster利用RPC漏洞Sasser利用LSASS漏洞向緩沖區(qū)寫入入超過緩沖區(qū)區(qū)長度的內(nèi)容容，造成緩沖沖區(qū)溢出，破破壞程序的堆堆棧，使程序序轉(zhuǎn)而執(zhí)行其其他的指令，，達到攻擊的的目的。原因：程序中中缺少錯誤檢檢測:voidfunc(char*str){charbuf[16];strcpy(buf,str);}如果str的的內(nèi)容多于16個非0字字符，就會造造成buf的的溢出，使程程序出錯。類似函數(shù)有strcat、sprintf、vsprintf、gets、scanf等一般溢出會造造成程序讀/寫或執(zhí)行非非法內(nèi)存的數(shù)數(shù)據(jù)，引發(fā)segmentationfault異常退退出.如果在一個個suid程序中特特意構(gòu)造內(nèi)內(nèi)容，可以以有目的的的執(zhí)行程序序，如/bin/sh，得到到root權(quán)限。類似函數(shù)有有strcat、sprintf、vsprintf、、gets、scanf等一般溢出會會造成程序序讀/寫或或執(zhí)行非法法內(nèi)存的數(shù)數(shù)據(jù)，引發(fā)發(fā)segmentationfault異常常退出.如果在一個個suid程序中特特意構(gòu)造內(nèi)內(nèi)容，可以以有目的的的執(zhí)行程序序，如/bin/sh，得到到root權(quán)限。在進程的地地址空間安安排適當?shù)牡拇a通過適當?shù)牡某跏蓟募拇嫫骱蛢?nèi)內(nèi)存，跳轉(zhuǎn)轉(zhuǎn)到以上代代碼段執(zhí)行行利用進程中中存在的代代碼傳遞一個適適當?shù)膮?shù)數(shù)如程序中有有exec(arg)，只要要把arg指向“/bin/sh”就就可以了植入法把指令序列列放到緩沖沖區(qū)中堆、棧、數(shù)數(shù)據(jù)段都可可以存放攻攻擊代碼，，最常見的的是利用棧棧拒絕服務(wù)攻攻擊（DoS）：通通過各種手手段來消耗耗網(wǎng)絡(luò)帶寬寬和系統(tǒng)資資源，或者者攻擊系統(tǒng)統(tǒng)缺陷，使使系統(tǒng)的正正常服務(wù)陷陷于癱瘓狀狀態(tài)，不能能對正常用用戶進行服服務(wù)，從而而實現(xiàn)拒絕絕正常用戶戶的服務(wù)訪訪問。分布式拒絕絕服務(wù)攻擊擊：DDoS，攻擊擊規(guī)模更大大，危害更更嚴重。實例：SYN-Flood洪洪水攻擊，，Land攻擊，Smurf攻擊，，UDP-Flood攻擊，，WinNuke攻攻擊（139）等。。網(wǎng)絡(luò)入侵技技術(shù)----拒絕服服務(wù)攻擊典型的拒絕絕服務(wù)攻擊擊有如下兩兩種形式：：資源耗盡盡和資源過過載。當一一個個對對資資源源的的合合理理請請求求大大大大超超過過資資源源的的支支付付能能力力時時就就會會造造成成拒拒絕絕服服務(wù)務(wù)攻攻擊擊（例例如如，，對對已已經(jīng)經(jīng)滿滿載載的的Web服服務(wù)務(wù)器器進進行行過過多多的的請請求求。。））拒拒絕絕服服務(wù)務(wù)攻攻擊擊還還有有可可能能是是由由于于軟軟件件的的弱弱點點或或者者對對程程序序的的錯錯誤誤配配置置造造成成的的。。區(qū)分分惡惡意意的的拒拒絕絕服服務(wù)務(wù)攻攻擊擊和和非非惡惡意意的的服服務(wù)務(wù)超超載載依依賴賴于于請請求求發(fā)發(fā)起起者者對對資資源源的的請請求求是是否否過過份份，，從從而而使使得得其其他他的的用用戶戶無無法法享享用用該該服服務(wù)務(wù)資資源源。。以下的兩兩種情況況最容易易導(dǎo)致拒拒絕服務(wù)務(wù)攻擊：：由于程序員對對程序錯錯誤的編編制，導(dǎo)導(dǎo)致系統(tǒng)統(tǒng)不停的的建立進進程，最最終耗盡盡資源，只能重重新啟動動機器。。不同的的系統(tǒng)平平臺都會會采取某某些方法法可以防防止一些些特殊的的用戶來來占用過過多的系系統(tǒng)資源源，我們們也建議議盡量采采用資源源管理的的方式來來減輕這這種安全全威脅。。還有一種種情況是是由磁盤存存儲空間間引起的。假如如一個用用戶有權(quán)權(quán)利存儲儲大量的的文件的的話，他他就有可可能只為為系統(tǒng)留留下很小小的空間間用來存存儲日志志文件等等系統(tǒng)信信息。這這是一種種不良的的操作習(xí)習(xí)慣，會會給系統(tǒng)統(tǒng)帶來隱隱患。這這種情況況下應(yīng)該該對系統(tǒng)統(tǒng)配額作作出考慮慮。PingofDeath：發(fā)送送長度超超過65535字節(jié)的的ICMPEchoRequest數(shù)數(shù)據(jù)包包導(dǎo)致目目標機TCP/IP協(xié)協(xié)議棧崩崩潰，系系統(tǒng)死機機或重啟啟。Teardrop：發(fā)發(fā)送特別別構(gòu)造的的IP數(shù)數(shù)據(jù)包包，導(dǎo)致致目標機機TCP/IP協(xié)議棧棧崩潰，，系統(tǒng)死死鎖。Synflooding：：發(fā)送大大量的SYN包包。Land：發(fā)送送TCPSYN包，，包的SRC/DSTIP相同，，SPORT/DPORT相相同，導(dǎo)導(dǎo)致目標標機TCP/IP協(xié)議議棧崩潰潰，系統(tǒng)統(tǒng)死機或或失去響響應(yīng)。Winnuke：發(fā)送送特別構(gòu)構(gòu)造的TCP包包，使得得Windows機器器藍屏。。Smurf：攻攻擊者冒冒充服務(wù)務(wù)器向一一個網(wǎng)段段的廣播播地址發(fā)發(fā)送ICMPecho包，，整個網(wǎng)網(wǎng)段的所所有系統(tǒng)統(tǒng)都向此此服務(wù)器器回應(yīng)icmpreply包。入侵者常常常采用用下面幾幾種方法法獲取用用戶的密密碼口令令：弱口令掃掃描Sniffer密碼嗅嗅探暴力破解解社會工程程學(xué)（即即通過欺欺詐手段段獲?。┠抉R程序序或鍵盤盤記錄程程序。。。。。。。網(wǎng)絡(luò)入侵侵技術(shù)----口令攻攻擊破解PDF密碼碼破解OF密碼破解系統(tǒng)統(tǒng)密碼一個開放放的網(wǎng)絡(luò)絡(luò)端口就就是一條條與計算算機進行行通信的的信道，，對網(wǎng)絡(luò)絡(luò)端口的的掃描可可以得到到目標計計算機開開放的服服務(wù)程序序、運行行的系統(tǒng)統(tǒng)版本信信息，從從而為下下一步的的入侵做做好準備備。掃描是采采取模擬擬攻擊的的形式對對目標可可能存在在的已知知安全漏漏洞逐項項進行檢檢查，利利用各種種工具在在攻擊目目標的IP地址址或地址址段的主主機上尋尋找漏洞洞。典型的掃掃描工具具包括安安全焦點點的X-Scan、小小榕的流流光軟件件，簡單單的還有有IpScan、SuperScan等，，商業(yè)化化的產(chǎn)品品如啟明明星辰的的天鏡系系統(tǒng)具有有更完整整的功能能。網(wǎng)絡(luò)入侵侵技術(shù)----掃描攻攻擊網(wǎng)絡(luò)嗅探探與協(xié)議議分析是是一種被被動的偵偵察手段段，使用用嗅探監(jiān)監(jiān)聽軟件件，對網(wǎng)網(wǎng)絡(luò)中的的數(shù)據(jù)進進行分析析，獲取取可用的的信息。。網(wǎng)絡(luò)監(jiān)聽聽可以使使用專用用的協(xié)議議分析設(shè)設(shè)備實現(xiàn)現(xiàn)，也可可使用SnifferPro4.7、、TCPDump等軟軟件實現(xiàn)現(xiàn)。SnifferPro是是最常用用的嗅探探分析軟軟件，它它可以實實現(xiàn)數(shù)據(jù)據(jù)包捕獲獲、數(shù)據(jù)據(jù)包統(tǒng)計計、過濾濾數(shù)據(jù)包包、數(shù)據(jù)據(jù)包解碼碼等功能能，功能能解碼可可以獲取取很多有有用的信信息，如如用戶名名、密碼碼及數(shù)據(jù)據(jù)包內(nèi)容容。網(wǎng)絡(luò)入侵侵技術(shù)----嗅探與與協(xié)議分分析協(xié)議欺騙騙攻擊就就是假冒冒通過認認證騙取取對方信信任，從從而獲取取所需信信息，進進而實現(xiàn)現(xiàn)入侵的的攻擊行行為。常見的協(xié)協(xié)議欺騙騙有以下下幾種方方式：IP欺騙：對對抗基于于IP地地址的驗驗證。ARP欺欺騙：它它是一個個位于TCP/IP協(xié)協(xié)議棧中中的低層層協(xié)議，，負責(zé)將將某個IP地址址解析成成對應(yīng)的的MAC地址。。ARP欺騙通通過偽造造ARP與IP的信息息或?qū)?yīng)應(yīng)關(guān)系實實現(xiàn)。NC軟件件就能實實現(xiàn)ARP欺騙騙。TCP會會話劫持持：與IP欺騙騙類似，，通過嗅嗅探并向向網(wǎng)絡(luò)注注入額外外的信息息實現(xiàn)TCP連連接參與與。如IPwatcher就是一一種有效效的會話話劫持工工具。網(wǎng)絡(luò)入侵侵技術(shù)----協(xié)議欺欺騙攻擊擊社會工程程學(xué)（SocialEngineering）），是一一種通過過對受害害者心理理弱點、、本能反反應(yīng)、好好奇心、、信任、、貪婪等等心理陷陷阱進行行諸如欺欺騙、傷傷害等危危害手段段，取得得自身利利益的手手法。20世世紀70年年代末末期，，一個個叫做做斯坦坦利??馬克克?瑞瑞夫金金（StanleyMarkRifkin）的的年輕輕人成成功地地實施施了史史上最最大的的銀行行劫案案。他他沒有有雇用用幫手手、沒沒有使使用武武器、、沒有有天衣衣無縫縫的行行動計計劃，，“甚甚至無無需計計算機機的協(xié)協(xié)助””，僅僅僅依依靠一一個進進入電電匯室室的機機會并并打了了三個個電話