常見網(wǎng)絡(luò)攻擊與防御

網(wǎng)絡(luò)攻擊與防御1網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全信息安全關(guān)鍵技術(shù)安全威脅及分類威脅來源網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。它涉及的領(lǐng)域相當廣泛，這是因為在目前的公用通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。確保網(wǎng)絡(luò)系統(tǒng)的信息安全是網(wǎng)絡(luò)安全的目標，信息安全包括兩個方面：信息的存儲安全和信息的傳輸安全。信息的存儲安全是指信息在靜態(tài)存放狀態(tài)下的安全，如信息是否會被非授權(quán)調(diào)用等。信息的傳輸安全是指信息在動態(tài)傳輸過程中安全，如信息是否被篡改、重放等。1.1網(wǎng)絡(luò)安全&信息安全1.2信息安全的概念信息安全是指確保以電磁信號為主要形式的、在計算機網(wǎng)絡(luò)化（開放互連）系統(tǒng)中進行自動通信、處理和利用的信息內(nèi)容，在各個物理位置、邏輯區(qū)域、存儲和傳輸介質(zhì)中，處于動態(tài)和靜態(tài)過程中的機密性、完整性、可用性、可審查性和抗抵賴性，與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。人指信息系統(tǒng)的主題，包括各類用戶、支持人員，以及技術(shù)管理和行政管理人員。網(wǎng)絡(luò)則指以計算機、網(wǎng)絡(luò)互連設(shè)備、傳輸介質(zhì)、信息內(nèi)容及其操作系統(tǒng)、通信協(xié)議和應用程序所構(gòu)成的物理的與邏輯的完整體系。環(huán)境則是系統(tǒng)穩(wěn)定和可靠運行所需要的保障體系，包括建筑物、機房、動力保障與備份，以及應急與恢復體系。信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認證技術(shù)數(shù)字簽名1.3關(guān)鍵技術(shù)1.4安全威脅

拒絕服務攻擊內(nèi)部、外部泄密邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲Internet信息丟失信息戰(zhàn)內(nèi)部泄密外部泄密自然災害、意外事故計算機犯罪網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的缺陷電子諜報，比如信息流量分析、信息竊取等人為行為，比如使用不當，安全意識差等“黑客”行為，比如非法訪問、非法連接主要分類：內(nèi)部人員（包括信息系統(tǒng)的管理者、使用者和決策者）準內(nèi)部人員（包括信息系統(tǒng)的開發(fā)者、維護者等）特殊身份人員（具有特殊身份的人，比如，審計人員、稽查人員、記者等）外部黑客或小組競爭對手網(wǎng)絡(luò)恐怖組織軍事組織或國家組織等

1.5安全威脅的主要來源2遠程攻擊基礎(chǔ)A．攻擊的位置（1）遠程攻擊（2）本地攻擊（3）偽遠程攻擊B.攻擊的層次簡單拒絕服務；本地用戶獲得非授權(quán)讀權(quán)限；本地用戶獲得非授權(quán)寫權(quán)限；遠程用戶獲得非授權(quán)帳號信息；遠程用戶獲得特權(quán)文件的讀權(quán)限；遠程用戶獲得特權(quán)文件的寫權(quán)限；遠程用戶擁有了系統(tǒng)管理員權(quán)限。C.攻擊分類在最高層次，攻擊被分為兩類：主動攻擊：包含攻擊者訪問他所需要信息的故意行為。主動攻擊包括拒絕服務攻擊、信息篡改、資源使用、欺騙等攻擊方法。

被動攻擊：主要是收集信息而不是進行訪問，數(shù)據(jù)的合法用戶對這種活動一點也不會覺察到。被動攻擊包括嗅探、信息收集等攻擊方法。圖1、攻擊分類就目前常見的攻擊，大致可以分為幾大類（參見圖1）：竊聽：指攻擊者通過非法手段對系統(tǒng)活動的監(jiān)視從而獲得一些安全關(guān)鍵信息。目前屬于竊聽技術(shù)的常用攻擊方法有：鍵擊記錄：是植入操作系統(tǒng)內(nèi)核的隱蔽軟件，通常實現(xiàn)為一個鍵盤設(shè)備驅(qū)動程序，能夠把每次鍵擊都記錄下來，存放到攻擊者指定的隱藏的本地文件中。如Win32平臺下適用的IKS等。網(wǎng)絡(luò)監(jiān)聽：是攻擊者一旦在目標網(wǎng)絡(luò)上獲得一個立足點之后刺探網(wǎng)絡(luò)情報的最有效方法，通過設(shè)置網(wǎng)卡的混雜模式獲得網(wǎng)絡(luò)上所有的數(shù)據(jù)包，并從中抽取安全關(guān)鍵信息，如明文方式傳輸?shù)目诹?。如Win32平臺下的sniffer等免費工具，Unix平臺下的libpcap網(wǎng)絡(luò)監(jiān)聽工具庫。非法訪問數(shù)據(jù)：是攻擊者或內(nèi)部人員違反安全策略對其訪問權(quán)限之外的數(shù)據(jù)進行非法訪問。獲取密碼文件：攻擊者進行口令破解獲取特權(quán)用戶或其他用戶口令的必要前提。欺騙：指攻擊者通過冒充正常用戶以獲取對攻擊目標訪問權(quán)或獲取關(guān)鍵信息的攻擊方法，屬于此類攻擊的方法有：獲取口令：通過缺省口令、口令猜測和口令破解三種途徑。針對一些弱口令進行猜測。也可以使用專門的口令猜測工具進行口令破解，如遍歷字典或高頻密碼列表從而找到正確的口令。如Win32平臺的LOphtcrack等。惡意代碼：包括特洛伊木馬應用程序、郵件病毒、網(wǎng)頁病毒等，通常冒充成有用的軟件工具、重要的信息等，誘導用戶下載運行或利用郵件客戶端和瀏覽器的自動運行機制，在啟動后悄悄安裝惡意程序，通常為攻擊者給出能夠完全控制該主機的遠程連接。網(wǎng)絡(luò)欺騙：攻擊者通過向攻擊目標發(fā)送冒充其信任主機的網(wǎng)絡(luò)數(shù)據(jù)包，達到獲取訪問權(quán)或執(zhí)行命令的攻擊方法。具體的有IP欺騙、會話劫持、ARP重定向和RIP路由欺騙等。拒絕服務：指終端或者完全拒絕對合法用戶、網(wǎng)絡(luò)、系統(tǒng)和其他資源的服務的攻擊方法，其意圖就是徹底破壞，這也是比較容易實現(xiàn)的攻擊方法。特別是分布式拒絕服務攻擊對目前的互聯(lián)網(wǎng)構(gòu)成了嚴重的威脅，造成的經(jīng)濟損失也極為龐大。拒絕服務攻擊的類型按其攻擊形式分為：導致異常型：利用軟硬件實現(xiàn)上的編程缺陷，導致其出現(xiàn)異常，從而使其拒絕服務。如PingofDeath攻擊等。資源耗盡型：通過大量消耗資源使得攻擊目標由于資源耗盡不能提供正常的服務。視資源類型的不同可分為帶寬耗盡和系統(tǒng)資源耗盡兩類。帶寬耗盡攻擊的本質(zhì)是攻擊著通過放大等技巧消耗掉目標網(wǎng)絡(luò)的所有帶寬，如Smurf攻擊等。系統(tǒng)資源耗盡型攻擊指對系統(tǒng)內(nèi)存、CPU或程序中的其他資源進行消耗，使其無法滿足正常提供服務的需求。如SynFlood攻擊等。欺騙型數(shù)據(jù)驅(qū)動攻擊：通過向某個程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預期結(jié)果的攻擊，通常為攻擊者給出訪問目標系統(tǒng)的權(quán)限，大致可分為：緩沖區(qū)溢出：通過往程序的緩沖區(qū)寫入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊者打開遠程連接的ShellCode，以達到攻擊目標。如Windows平臺下的Code-Red、Blaster、Sasser等都是通過緩沖區(qū)溢出攻擊獲得系統(tǒng)管理員權(quán)限后進行傳播。格式化字符串攻擊：主要是利用由于格式化函數(shù)的微妙程序設(shè)計錯誤造成的安全漏洞，通過傳遞精心編制的含有格式化指令的文本字符串，以使目標程序執(zhí)行任意命令。輸入驗證攻擊：針對程序未能對輸入進行有效的驗證的安全漏洞，使得攻擊者能夠讓程序執(zhí)行指令的命令。最著名的是1996年的PHF攻擊。同步漏洞攻擊：利用程序在處理同步操作時的缺陷，如競爭狀態(tài)、信號處理等問題，以獲得更高權(quán)限的訪問。信任漏洞攻擊：利用程序濫設(shè)的信任關(guān)系獲取訪問權(quán)的一種方法，如Win32平臺下互為映象的本地和域Administrator憑證、LSA密碼等。3信息收集信息收集分類工具介紹3.1信息收集分類分為三種：使用各種掃描工具對入侵目標進行大規(guī)模掃描，得到系統(tǒng)信息和運行的服務信息。利用第三方資源對目標進行信息收集,比如我們常見的收索引擎利用各種查詢手段得到與被入侵目標相關(guān)的一些信息，如社會工程學。 社會工程學（SocialEngineering）：通常是利用大眾的疏于防范的詭計，讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式，從合法用戶中套取敏感的信息。Ping、fping、pingsweepARP探測FingerWhoisDNS/nslookup搜索引擎（google、百度）telnet3.2信息收集的工具軟件ping作用和特點用來判斷目標是否活動；最常用；最簡單的探測手段；Ping程序一般是直接實現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個用戶進程。原理Type=8Type=0ping類型為8，表示“回響請求”類型為0，表示“回響應答”主機在線情況主機不應答情況1）主機不在線2）防火墻阻斷ICMP探測ping表示5機器不在線。舉例1：Replyfrom0:bytes=32time<1msTTL=32Replyfrom0表示回應ping的ip地址是0。bytes=32表示回應報文的大小，這里是32字節(jié)。time<1ms表示回應所花費的時間，小于1毫秒。TTL=32，TTL是生存時間，報文經(jīng)過一個路由器就減一，如果減到0就會被拋棄。這里是32。舉例2：Pingwar2.0——群ping.ARP探測

能探測同一局域網(wǎng)內(nèi)的主機，因為防火墻不能阻斷ARP請求。finger作用和特點網(wǎng)絡(luò)服務服務端口：tcp79服務端程序fingerd,客戶端程序finger不需要認證就提供用戶信息姓名電話最后登錄時間fingerwhois作用和特點網(wǎng)絡(luò)服務服務端口：tcp43服務端程序whoisd,客戶端程序finger提供目標系統(tǒng)的地址信息參考網(wǎng)站1參考網(wǎng)站2http:///

常規(guī)信息收集網(wǎng)絡(luò)域名網(wǎng)絡(luò)Ip地址分配使用單位地址DNS作用和特點網(wǎng)絡(luò)服務服務端口：udp53服務端程序bind,客戶端程序nslookup提供目標系統(tǒng)域名與地址的轉(zhuǎn)換DNStelnet作用和特點網(wǎng)絡(luò)服務服務端口：任意服務端程序任意,客戶端程序telnet提供目標系統(tǒng)服務的版本信息瑞士軍刀NC4端口掃描掃描基礎(chǔ)掃描分類掃描工具介紹4.1掃描基礎(chǔ)TCP數(shù)據(jù)報首部標志域TCP連接的建立過程TCP連接的釋放過程TCP/IP實現(xiàn)遵循的原則TCP數(shù)據(jù)報首部標志域URG：緊急數(shù)據(jù)標志，指明數(shù)據(jù)流中已經(jīng)放置緊急數(shù)據(jù)，緊急指針有效；ACK：確認標志，用于對報文的確認；PSH：推標志，通知接收端盡可能的將數(shù)據(jù)傳遞給應用層，在telnet登陸時，會使用到這個標志；RST：復位標志，用于復位TCP連接；SYN：同步標志，用于三次握手的建立，提示接收TCP連接的服務端檢查序號；FIN：結(jié)束標志，表示發(fā)送端已經(jīng)沒有數(shù)據(jù)再傳輸了，希望釋放連接，但接收端仍然可以繼續(xù)發(fā)送數(shù)據(jù)。

TCP連接的建立過程TCP連接的釋放過程TCP/IP實現(xiàn)遵循的原則原則1：當一個SYN或者FIN數(shù)據(jù)包到達一個關(guān)閉了的端口，服務器丟棄該數(shù)據(jù)包，并返回一個RST數(shù)據(jù)包；

TCP/IP實現(xiàn)遵循的原則原則2：當一個RST數(shù)據(jù)包到達一個監(jiān)聽端口或者關(guān)閉的端口，RST數(shù)據(jù)包都會服務器被丟棄。

TCP/IP實現(xiàn)遵循的原則原則3：當一個ACK數(shù)據(jù)包到達一個監(jiān)聽的端口，服務器會丟棄這個數(shù)據(jù)包，并回應一個RST數(shù)據(jù)包。

TCP/IP實現(xiàn)遵循的原則原則4：當一個FIN數(shù)據(jù)包到達一個監(jiān)聽端口時，數(shù)據(jù)包將會被丟棄。

4.2端口掃描分類技術(shù)端口掃描分類掃描技術(shù)分析掃描分類TCP全連接開放掃描半開放掃描TCP反向ident掃描IP頭信息dumb掃描SYN掃描FIN掃描隱蔽掃描TCP分段ACK掃描XMAS掃描空掃描掃射掃描SYN/ACK掃描ping掃射其它掃描UDP/ICMP不可達FTP彈跳UDP掃射UDPrecvfrom/write掃描ACK掃射SYN掃射ICMP掃射掃描技術(shù)分析完全連接掃描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開放端口關(guān)閉掃描技術(shù)分析半連接SYN掃描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開放端口關(guān)閉*立即切斷連接掃描技術(shù)分析隱蔽掃描：SYN/ACKClientSYN/ACKServerRSTClientSYNServer--端口開放端口關(guān)閉掃描技術(shù)分析隱蔽掃描：FINClientFINServerRSTClientFINServer--端口開放端口關(guān)閉掃描技術(shù)分析隱蔽掃描：ACKClientFINServer(TTL<64)Server(WIN>0)ClientFINServer(TTL>64)Server(WIN=0)端口開放端口關(guān)閉掃描技術(shù)分析其它掃描：ICMP*《ICMPUsageinScanning》4.3端口掃描工具NmapXscanSuperScanShadowSecurityScannerMS06040ScannerNmap——探測工具王功能 NMAP是探測網(wǎng)絡(luò)主機和開放服務的佼佼者。是Linux下使用者的最愛，現(xiàn)在已經(jīng)有Windows的版本。NMAP支持多種協(xié)議的掃描如UDP，TCPconnect,TCPSYN,ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null掃描。還提供一些實用功能，比如通過tcp/ip來甄別操作系統(tǒng)類型；秘密掃描、動態(tài)延遲和重發(fā)；欺騙掃描、端口過濾探測、分布掃描等。-sTTCPConnect()掃描 這是對TCP的最基本形式的偵測。對目標主機端口進行試探，如果該端口開放，則連接成功，否則代表這個端口沒有開放。-sSTCPSYN掃描 就是我們介紹的‘半開’式的掃描，速度會比connect掃描快。-sF-sX–sN StealthFIN,XmasTree或者Null掃描模式。-sPPing掃描 對指定的IP發(fā)送ICMP，如果對方屏蔽了echorequest，nmap還能發(fā)送一個TCPack包到80端口探測。-sUUDP掃描 確定某個UDP端口是否打開。xscan選擇‘無條件掃描’，才可以突破防火墻屏蔽ping，進行端口掃描。Superscan——速度之王

MS06040Scanner——專用的漏洞掃描器用于檢測目標系統(tǒng)是否存在MS06040漏洞。MS06040Scanner的工作原理是首先是通過端口掃描和操作系統(tǒng)掃描獲取操作系統(tǒng)類型和開放的端口，如果是windows2000系統(tǒng)，開放了TCP139或者TCP445端口，并且返回的數(shù)據(jù)包跟漏洞庫里的定義相匹配，則說明該主機可能可能存在MS06040漏洞，我們就可以使用MS06040漏洞利用程序?qū)ζ溥M行遠程溢出攻擊。5腳本攻擊與防御SQL注入攻擊SQL注入防御Cookie注入攻擊5.1SQL注入攻擊什么是SQL注入攻擊？ SQL注入即是指攻擊者通過在應用程序中預先定義好的查詢語句結(jié)尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫服務器執(zhí)行非授權(quán)的任意查詢。分析一個經(jīng)典的SQL注入漏洞dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用戶名或密碼不正確！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothing一個經(jīng)典的SQL注入漏洞分析在用戶名和密碼那里都填入‘OR‘’=’，SQL語句被構(gòu)造成 select*fromadminwhereadmin=‘'OR‘'=‘'

and

password=‘'OR‘'=‘‘意思是當admin為空或者空等于空，password為空或者空等于空的時候整個查詢語句就為真。如何來修補漏洞？過濾掉其中的特殊字符。這里我們就過濾掉其中的“'”，即是把程序的頭兩行改為：admin1=replace(trim(request("admin")),"'","")password1=replace(trim(request("password")),"'","")5.2防止SQL注入四種方法：(1)在服務端正式處理之前對提交數(shù)據(jù)的合法性進行檢查；(2)封裝客戶端提交信息；(3)替換或刪除敏感字符/字符串；(4)屏蔽出錯信息。第一種方法DimTc_Post,Tc_Get,Tc_In,Tc_Inf,Tc_Xh '定義需要過濾的字串Tc_In="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master||or|char|declare"Tc_Inf=split(Tc_In,"|")'處理post數(shù)據(jù)IfRequest.Form<>""ThenForEachTc_PostInRequest.FormForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.Form(Tc_Post)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('請不要在參數(shù)中包含非法字符嘗試注入！');</Script>"'處理get數(shù)據(jù)IfRequest.QueryString<>""ThenForEachTc_GetInRequest.QueryStringForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.QueryString(Tc_Get)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('請不要在參數(shù)中包