網絡安全理論課件 第2章 網絡威脅與攻擊

第二章網絡威脅、攻擊與網絡協議安全性1

威脅與攻擊2（1）假冒（8）業(yè)務流量、流向分析（2）未授權訪問（9）隱蔽信道（3）拒絕服務（DoS）（10）人為失誤（4）否認（抵賴）（11）自然災害與人為破壞（5）竊聽（12）后門（陷門）（6）篡改（13）惡意代碼（7）復制與重放（重演）（14）不良信息威脅的表現形式3從信息流動的角度中斷、截取、修改、捏造從威脅的來源看可分為內部威脅和外部威脅。自然和人為兩類。從攻擊者的行為上看可以分成主動威脅和被動威脅從威脅的動機上看分為偶發(fā)性威脅與故意性威脅安全威脅分類45安全攻擊方式（從信息流動的角度）《信息保障技術框架（IATF）》3.0版中將攻擊分為以下5類：被動攻擊主動攻擊物理臨近攻擊內部人員攻擊軟硬件配裝攻擊攻擊的種類6未經用戶同意和認可，將信息泄露給攻擊者，但不對數據信息做任何修改。常見手段：搭線監(jiān)聽、無線截（?。┇@、其他截獲。攻擊方式：消息內容分析、通信量分析通信量分析：測定通信主機的位置和標識，觀察被交換消息的頻率和長度。特點：不易被發(fā)現。預防措施：重點在于預防，如加密、虛擬專用網（VPN）被動攻擊——對受害者無影響7篡改數據流、或產生虛假流。通常分為：假冒：一個實體假裝為另一個實體。重放：被動獲取一個數據單元，然后重傳，以產生一個未授權的效果。篡改：一個合法消息的某些部分被改變，或延遲或改變順序，以產生一個未授權的效果。拒絕服務：防止或禁止通信設施的正常使用或管理。特點：能夠檢測出來，不易有效防止。預防措施：自動審計、入侵檢測和完整性恢復。主動攻擊——對受害者有影響8指未授權個人以更改、收集或拒絕訪問為目的而物理臨近網絡、系統或設備。物理臨近9內部人員攻擊分為惡意的或非惡意的；惡意攻擊：內部人員有計劃的竊聽、偷竊或損壞信息，或拒絕其他授權用戶的訪問。非惡意攻擊：通常由于粗心、知識缺乏或為了“完成工作”等無意間繞過安全策略但對系統產生了破壞的行為造成。內部人員攻擊10又稱為分發(fā)攻擊，在軟硬件的生產工廠內或在產品分發(fā)過程中惡意修改硬件或軟件。軟硬件配置攻擊11分類方法：資源及其脆弱性（ResourcesandtheirVulnerabilities）脆弱性及攻擊（VulnerabilityandAttacks）安全威脅（SecurityThreats）攻擊分類（AttackClassification）ClassesofThreats12ResourcesandtheirVulnerabilities13資源與威脅目標威脅數據應用與設施帳號口令組件進程操作系統計算機局域網廣域網動作主動探測√√√√√√√√掃描√√√√√溢出√√√√假冒/偽裝√√√√√√√旁路控制√√√服務欺騙√授權侵犯√√√√√√√√竊取√√√媒體清理√√物理侵入√√√重放√√否認√√資源耗盡√√√√√√更改√√√√√√√√陷門/木馬√√社交工程√√√√√√√√被動截獲/修改√√竊聽√√√電磁截獲√√√流量分析√√√讀取√√√√√拷貝√√√√√注：√表示該目標可能面臨的安全威脅

14VulnerabilityandAttacks15SecurityThreats16AttackClassification

17國際等級劃分準則：C級：個體信息犯罪，單點攻擊，簡單攻擊手法。有自動化、平臺化趨勢，但單點攻擊作用有限。B級：有組織分布式協同攻擊，多點、多技術和協同攻擊，相互掩護，危害大，難以對付。能夠攻擊一些專用網絡、非標準網絡。A級：戰(zhàn)爭威脅，更大范圍攻擊，攻擊技術更全面，危害更大。采用一切已知攻擊手段，包括可控計算機病毒、信息炸彈、信息炮彈、網絡安裝軟件、使用網絡攻擊平臺、實施一定的戰(zhàn)術方案等。等級保護對信息和信息載體按照重要性等級分級別進行保護的一種工作安全威脅分級18天時地利人和時間地點人物手段事件攻擊環(huán)節(jié)19信息系統普遍存在安全漏洞，為攻擊者攻擊系統打開方便之門信息系統的各個部分都存在安全漏洞硬件：設備、組件、媒體軟件：操作系統、應用系統、數據庫網絡：設備、協議、系統策略、人員：懈怠時間——系統漏洞20幾乎所有的軟件都存在安全漏洞，原因：技術：軟件復雜性需求缺失、設計缺陷、開發(fā)時間緊迫、軟件開發(fā)工具本身的錯誤人員：軟件由人來完成，所有由人做的工作都不會完美無缺人員懈怠、測試不詳盡成本：軟件安全、可靠、生存性等保障需投入成本（非直接效益）配置、管理：管理人員惰性，缺乏安全意識，默認配置：為了易用，保留默認的安全配置信息。易用意味著易于闖入。管理員疏忽：缺省或空口令。臨時端口：為了測試開放臨時端口，事后忘記禁用。信任關系：建立信任關系方便資源共享，給入侵者攻擊便利，只要攻破信任群中的一個機器，就有可能進一步攻擊其他的機器。時間——軟件漏洞21漏洞生命周期：系統（應用）發(fā)布——漏洞暴露——發(fā)布補丁——安裝補丁新漏洞暴漏……新補丁發(fā)布……攻擊窗口：漏洞暴露安裝補丁：攻擊窗口越短，越安全時間——漏洞時間性22遠程攻擊：從子網外向子網或者子網內的系統發(fā)動攻擊。本地攻擊：通過所在的局域網，向本單位的其他系統發(fā)動攻擊，在本機上進行非法越權訪問也是本地攻擊。優(yōu)缺點：遠程：打擊廣，攻擊難度大，易于逃脫本地：窄，易，難偽遠程攻擊：指內部人員為了掩蓋攻擊者的身份，從本地獲取目標的一些必要信息后，攻擊過程從外部遠程發(fā)起，造成外部入侵的現象。偽本地攻擊（跳板攻擊）滲透或控制本地系統或主機，通過其對其它本地系統實施攻擊。地點——攻擊的位置2324入侵和攻擊的范疇

在Internet上

在局域網上

本地

離線25在Internet上協作攻擊：Internet允許全世界范圍的連接，這很容易使來自全世界的人們在一個攻擊中進行合作參與。會話劫持：在合法的用戶得到鑒別可以訪問后，攻擊者接管一個現存動態(tài)會話的過程。欺騙：欺騙是一種模仿或采取不是自己身份的行為。轉播：是攻擊者通過第三方的機器轉播或反射他的通信，這樣攻擊就好象來自第三方的機器而不是他。特洛伊木馬或病毒：特洛伊木馬的常見用途是安裝后門。26在局域網上嗅探流量：觀察網絡上所有流量的被動攻擊。廣播：攻擊者發(fā)送一個信息包到廣播地址，以達到產生大量流量的目的。文件訪問：通過找到用戶標識和口令，可以對文件進行訪問。遠程控制：通過安裝木馬實現對機器的遠程控制。應用搶劫：接收應用并且達到非授權訪問。27在本地旁側偷看未上鎖的終端被寫下的口令拔掉機器本地登錄28離線下載口令文件下載加密的文本復制大量的數據29常見的攻擊方法1.欺騙攻擊(Spoofing)

3.拒絕服務(DenialofService)攻擊2.中間人攻擊(Man-in-the-MiddleAttacks)

4.緩沖區(qū)溢出（BufferOverflow）攻擊5.后門和漏洞攻擊6.暴力破解攻擊30容易遭受攻擊的目標路由器數據庫郵件服務名稱服務Web和FTP服務器和與協議相關的服務黑客：追求技術上的挑戰(zhàn)和滿足間諜：刺探政治情報恐怖主義者：制造恐怖事件達到政治目的公司雇傭者：競爭經濟利益職業(yè)犯罪：謀求個人經濟利益破壞者：實現破壞窺探者：窺探隱私無聊者：滿足好奇人物——攻擊者身份與攻擊目的31竊取口令進入系統：網絡監(jiān)聽，暴力破解利用系統自身安全漏洞特洛伊木馬程序：偽裝成工具程序或者游戲等誘使用戶打開或下載，然后使用戶在無意中激活，導致系統后門被安裝WWW欺騙：誘使用戶訪問纂改過的網頁電子郵件攻擊：郵件炸彈、郵件欺騙網絡監(jiān)聽：獲取明文傳輸的敏感信息跳板攻擊：控制一臺主機后，通過IP欺騙或者主機信任關系攻擊其他節(jié)點以隱蔽其入侵路徑和擦除攻擊證據拒絕服務攻擊和分布式拒絕服務攻擊(DoS和DDoS)手段——常見的安全攻擊方法32簡單拒絕服務（如郵件炸彈攻擊）.本地用戶獲得非授權讀訪問本地用戶獲得他們本不應擁有的文件寫權限遠程用戶獲得了非授權的帳號遠程用戶獲得了特權文件的讀權限遠程用戶獲得了特權文件的寫權限遠程用戶擁有了根（root）權限事件——攻擊的層次33從信息流動的角度中斷、截取、修改、捏造從威脅的來源看可分為內部威脅和外部威脅。自然和人為兩類。從攻擊者的行為上看可以分成主動威脅和被動威脅從威脅的動機上看分為偶發(fā)性威脅與故意性威脅溫故而知新——安全威脅分類34時間地點人物手段事件溫故而知新——攻擊環(huán)節(jié)35采用漏洞掃描工具選擇會用的方式入侵獲取系統一定權限提升為最高權限安裝系統后門獲取敏感信息或者其他攻擊目的入侵系統的常用步驟36端口判斷判斷系統選擇最簡方式入侵分析可能有漏洞的服務獲取系統一定權限提升為最高權限安裝多個系統后門清除入侵腳印攻擊其他系統獲取敏感信息作為其他用途較高明（細化）的入侵步驟37攻擊的過程38踩點定位入侵留后門抹去痕跡信息收集分析目標實施攻擊方便再次進入打掃戰(zhàn)場38攻擊的一般過程及目的、內容預攻擊內容：獲得域名及IP分布獲得拓撲及OS等獲得端口和服務獲得應用系統情況跟蹤新漏洞發(fā)布目的：收集信息，攻擊決策攻擊內容：獲得遠程權限進入遠程系統提升本地權限進一步擴展權限進行實質性操作目的：實施攻擊，獲得系統一定權限攻擊后內容：植入后門木馬刪除日志修補明顯的漏洞進一步滲透擴展目的：消除痕跡，長期維持一定權限39目標導向漏洞導向攻擊的種類預攻擊端口掃描漏洞掃描操作系統類型鑒別網絡拓撲分析攻擊緩沖區(qū)溢出攻擊腳本程序漏洞攻擊口令攻擊錯誤及弱配置攻擊網絡欺騙與劫持攻擊后攻擊后門木馬痕跡擦除其它攻擊種類：拒絕服務攻擊嗅探攻擊惡意網頁攻擊社會工程攻擊40黑客攻擊策略步驟41內容網絡、主機（

域名IP）是否存活端口（服務）是否開放到要入侵點的路由主機操作系統（指紋）識別應用、資源和用戶信息漏洞信息用途：指導攻擊行為：攻擊方式、工具、路徑等選擇信息收集、目標分析42信息收集、目標分析的方式、手段技術手段非技術手段Ping判斷目標主機是否開啟，或數據包往返時間Tracert/Traceroute跟蹤從一臺計算機到另外一臺計算機所走的路徑Rusers/Finger收集用戶信息Host/nslookup主機名解析到網絡地址或網絡地址解析到主機名portscan漏洞掃描公開信息分析從目標機構的網站獲取新聞報道，出版物新聞組或論壇搜索引擎社會工程手段假冒他人，獲取第三方的信任43域名與IP查詢44域名與IP信息收集─WhoisWhois是一個標準服務，可以用來查詢域名是否被注冊以及注冊的詳細資料

Whois可以查詢到的信息域名所有者域名及IP地址對應信息聯系方式域名到期日期域名注冊日期域名所使用的DNSServers……44發(fā)ICMPEchorequest消息，等待ICMPEchoReply消息每秒發(fā)一個包，顯示響應輸出，計算網絡來回的時間最后顯示統計結果——丟包率Ping原理45有許多命令行參數，可以改變缺省的行為ping不成功：主機未開啟路由、網關設置不正確網卡配置不正確timeout被防火墻阻止……Ping命令行參數46Pinger、PingSweep、WS_PingProPackWindows平臺ping工具47Ping通過ICMP協議來發(fā)送數據包：使用檢測并記錄ICMP掃描的工具入侵檢測系統在防火墻或路由器中設置允許進出自己網絡的ICMP分組類型ping掃描預防措施4849Traceroute路由跟蹤原理TTL=1數據???TTL-1>0小于等于0ICMPtimeexceeded發(fā)IP包的源地址IP包的所有內容路由器的IP地址AB50Traceroute路由跟蹤原理TTL=1數據小于等于0ICMPtimeexceeded發(fā)IP包的源地址IP包的所有內容路由器的IP地址AB我知道路由器A存在于這個路徑上路由器A的IP地址51BTraceroute路由跟蹤原理A我知道路由器A存在于這個路徑上路由器A的IP地址TTL=2數據???TTL-1>02-1=1>0TTL=1數據小于等于0ICMPtimeexceeded發(fā)IP包的源地址IP包的所有內容路由器的IP地址???TTL-1>0我知道路由器B存在于這個路徑上路由器B的IP地址52BTraceroute路由跟蹤原理A我知道路由器A存在于這個路徑上路由器A的IP地址TTL=3數據???TTL-1>03-1=2>0TTL=2數據我知道路由器B存在于這個路徑上路由器B的IP地址???TTL-1>02-1=1>0TTL=1數據portnumber是一個一般應用程序都不會用的號碼（30000以上），所以當此數據包到達目的地后該主機會送回一個「ICMPportunreachable」的消息，而當源主機收到這個消息時，便知道目的地已經到達了。ICMPportunreachable我到達了目的地使用應用程序測試：如：使用Telnet、FTP等用戶軟件向目標主機申請服務如果主機有應答就說明主機提供了這個服務，開放了這個端口的服務網絡掃描工具軟件對目標主機一定范圍的端口進行掃描。這樣可以全部掌握目標主機的端口情況。

端口、服務分析53合理利用和分析公開信息，信息后面能反饋出什么？從著名的”照片泄密”案件到“如何用google入侵網站”

公開信息的分析1964年《中國畫報》封面衣著判斷：北緯46度至48度的區(qū)域-齊齊哈爾與哈爾濱之間所握手柄的架式->油井的直徑鉆井與背后油田間的距離和井架密度->儲量和產量因此設計出適合中國大慶的設備，一舉中標5454網站信息舉例：某網絡提供商在其網站上宣傳“特惠服務器租用：RedHatLinux8.0支持MYSQL/PHP采用性能優(yōu)異的Apache1.3.XXWeb服務器”搜索引擎Google搜索例：某Web服務器存在致命錯誤腳本“5sf67.jsp”攻擊者可通過搜索引擎查找存在該錯誤腳本的網站搜索引擎5555一位新的職員尋求幫助，試圖找到在計算機上完成某個特定任務的方法一位憤怒的經理打電話給下級，因為他的口令突然失效一位系統管理員打電話給一名職員，需要修補它的賬號，而這需要使用它的口令一位新雇傭的遠程管理員打電話給公司，詢問安全系統的配置資料一位客戶打電話給供應商，詢問公司的新計劃，發(fā)展方向和公司主要負責人社交工程攻擊——電話訪問56當電話社交工程失敗的時候，攻擊者可能展開長達數月的信任欺騙典型情況通過熟人介紹，來一次四人晚餐可以隱藏自己的身份，通過網絡聊天或者是電子郵件與之結識偽裝成工程技術人員騙取別人回復信件，泄漏有價值的信息一般說來，有魅力的異性通常是最可怕的信任欺騙者，不過不論對于男性還是女性，女性總是更容易令人信任社交工程——信任欺騙57網絡掃描器58自動檢測遠程或本地系統安全性弱點（漏洞）的程序。安全評估工具系統管理員保障系統安全的有效工具，目標可以是工作站、服務器、交換機、數據庫應用等各種對象。網絡漏洞掃描器網絡入侵者收集信息的重要手段59網絡掃描器掃描目標主機識別其工作狀態(tài)（開/關機）識別目標主機端口的狀態(tài)（監(jiān)聽/關閉）識別目標主機系統及服務程序的類型和版本根據已知漏洞信息，分析系統脆弱點生成掃描結果報告網絡掃描器的主要功能60掃描器的基本工作原理61投石問路主機掃描技術端口掃描技術網絡掃描的主要技術62目的：確定在目標網絡上的主機是否可達常用的傳統掃描手段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描主機掃描技術－傳統技術63ICMPecho——Ping：優(yōu)點：簡單，系統支持缺點：很容易被防火墻限制ICMPSweep掃描：可以通過并行發(fā)送，同時探測多個目標主機，以提高探測效率64ICMPecho與sweep掃描將ICMPECHOrequest包目標地址設為廣播地址或網絡地址，可探測廣播域或整個網絡范圍內的主機。缺點：只適合于UNIX/Linux系統，Windows會忽略這種請求包；這種掃描方式容易引起廣播風暴BroadcastICMP掃描65問詢-應答其它ICMP類型包探測，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)66Non-EchoICMP掃描防火墻和網絡過濾設備常導致傳統的探測手段變得無效。如簡單攔截、過濾ICMP報文利用ICMP協議提供網絡間傳送錯誤信息的手段：異常IP包頭在IP頭中設置無效的字段值錯誤的數據分片通過超長包探測內部路由器反向映射探測利用防火墻等的方向性，易出難進傳統掃描，由外向內高級掃描，由內向外主機掃描技術－高級技術67傳統技術基于ICMP協議，Echo-Reply，其他類型容易被防火墻、其他過濾設備攔截高級技術利用防火墻方向性，易出難進構造有問題的ip包接收方用ICMP協議向發(fā)送方傳送錯誤信息溫故而知新——主機掃描68向目標主機發(fā)送包頭錯誤的IP包常見的偽造錯誤字段為HeaderLengthField和IPOptionsField。目標主機或過濾設備會反饋ICMPParameterProblemError信息。根據RFC1122規(guī)定：主機應該檢測IP包VersionNumber、Checksum字段

路由器應該檢測IP包Checksum字段。不同廠家的路由器和操作系統對這些錯誤的處理方式不同，返回的結果也各異。如果結合其它手段，可以初步判斷目標系統所在網絡過濾設備的訪問列表ACL。異常IP包頭69向目標主機發(fā)送填充錯誤字段值的IP包目標主機或過濾設備會反饋ICMPDestinationUnreachable信息。這種方法同樣可以探測目標主機和網絡設備以及其ACL。70在IP頭中設置無效的字段值目標主機接收錯誤數據分片，如某些分片丟失，且在規(guī)定時間內得不到更正丟棄數據包，并反饋ICMPFragmentReassemblyTimeExceeded錯誤報文?？梢詸z測到目標主機和網絡過濾設備及其ACL。71錯誤數據分片數據包長度超過目標系統所在路由器的MTU且設置禁止分片標志路由器反饋FragmentationNeededandDon’tFragmentBitwasSet差錯報文獲取目標系統的網絡拓撲結構。通過超長包探測內部路由器72探測被過濾設備或防火墻保護的網絡（內部結構）和主機。通常這些系統無法從外部直接到達。構造可能的內部IP地址列表，并向這些地址發(fā)送數據包。對不存在IP：報錯對方路由器反饋ICMPHostUnreachable或ICMPTimeExceeded錯誤報文存在IP：不理沒有接收到相應錯誤報文反向映射探測73端口掃描74端口是通信通道，也是潛在的入侵通道。通過端口掃描確定主機開放的端口，不同的端口對應運行著的不同的網絡服務思想：向指定端口發(fā)送消息，觀察有無應答及應答類型，判斷端口是否開放及服務情況主要包括以下三類：開放掃描（TCPConnect掃描）半開放掃描（TCPSYN掃描）隱蔽掃描（TCPFIN掃描、分段掃描）大部分基于TCP連接的握手與揮手端口掃描類型7576TCP三次握手機制SYNreceived主機A：客戶端主機B：服務端發(fā)送TCPSYN分段(seq=100ctl=SYN)1發(fā)送TCPSYN&ACK分段(seq=300ack=101ctl=syn,ack)SYNreceived2Established(seq=101ack=301ctl=ack)3SYN(Synchronous)，SYN=1，連接請求或連接接受報文ACK（Acknowledge），ACK＝1確認號字段才有效SEQ，TCP數據太大(>IP包MTU)需分段，記錄TCP報文序號，以便重組。ISN隨機產生調用socket函數connect()與目標計算機建立連接（完整三次握手）connect()成功：端口處于偵聽狀態(tài)否則，端口關閉開放掃描TCPConnect掃描77SYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。〢CK（確認連接）發(fā)起方應答方使用Nmap做TCPConnectScan優(yōu)點：穩(wěn)定可靠，不需要特殊的權限缺點：不隱蔽：會被日志記錄（成功與否），容易被發(fā)現開放掃描TCPConnect掃描78TCP連接的前兩次握手優(yōu)點：隱蔽性較好，一般系統很少記錄缺點：需超級用戶或者授權用戶訪問專門系統調用半開放掃描TCPSYN掃描79被掃描主機開放的端口不提供服務的端口防火墻過濾的端口

掃描器SYNSYNSYNSYN+ACK握手RST重置沒有回應或者其他隱蔽掃描FIN掃描NULL掃描Xmas掃描ACK掃描UDP掃描其他掃描技術8081TCP連接的終止主機A：客戶端主機B：服務端1發(fā)送TCPFIN分段2發(fā)送TCPACK分段3發(fā)送TCPFIN分段4發(fā)送TCPACK分段關閉A到B的連接關閉B到A的連接FIN(Final)，FIN＝1表明發(fā)送端數據發(fā)送完畢，要求釋放連接。RST(Reset)，RST＝1表明TCP連接出現嚴重差錯，須釋放連接再重新建立。向目標主機端口發(fā)送FIN包FIN包到達關閉端口會被丟掉，并返回一個RST包。若到達開放端口，只簡單丟掉，不返回RST。優(yōu)點：不包含TCP三次握手協議任何部分，無法記錄，缺點：要求由超級用戶或者授權用戶訪問專門的系統調用；適用于UNIX目標主機，Windows95/NT環(huán)境下無效：不論端口是否打開，操作系統都返回RST包TCPFIN掃描82NULL掃描向目標主機目標端口發(fā)送沒有任何標志位TCP包根據RFC793，若端口關閉，回應一個RST數據包Xmas掃描向目標主機發(fā)送一個FIN、URG和PUSH分組，根據RFC793，若端口是關閉的，那么應該返回一個RST標志ACK掃描當一個包含ACK的數據包到達目標主機的監(jiān)聽端口時，數據包被丟棄，同時發(fā)送一個RST數據包其他TCP隱蔽掃描83向目標端口發(fā)送UDP數據包端口關閉，會觸發(fā)ICMPportunreachable優(yōu)點：可以完成對UDP端口的探測。缺點：需要系統管理員的權限。掃描結果可靠性不高，沒收到應答，有可能數據報傳丟了掃描速度很慢，RFC1812對ICMP錯誤報文生成速度做出了限制UDP端口掃描84隨機端口掃描慢掃描碎片掃描欺騙掃描協同掃描端口掃描策略8585許多漏洞是系統相關的，且往往與相應的版本對應。主要技術：主動協議棧指紋識別被動協議棧指紋識別操作系統識別86向目標主機發(fā)送特定的IP包，并檢查其響應，依據其響應的不同判別操作系統的類型和版本。常用的手段：#TCP順序檢測#SYN包（包含若干TCP選項），針對開放端口#NULL包（包含若干TCP選項），針對開放端口#SYN|FIN|URG|PSH（包含若干TCP選項），針對開放端口#ACK（包含若干TCP選項），針對開放端口#SYN（包含若干TCP選項），針對封閉端口#ACK（包含若干TCP選項），針對封閉端口#SYN|FIN|URG|PSH（包含若干TCP選項），針對封閉端口#UDP包，針對封閉端口主動協議棧指紋識別87被動監(jiān)測網絡通信確定操作系統。不同操作系統對4個IP參數有不同默認設置：TTL：timetoliveDF：Don'tFragmentTOS：typeofservice窗口大小（TCP滑動窗口）缺點：可靠性比主動協議棧識別差被動協議棧指紋識別88系統鑒別-ICMP堆棧指紋技術8989根據目標主機開放的應用和服務來掃描和判斷是否存在或可能存在某些漏洞意義進行網絡安全評估為網絡系統的加固提供依據被網絡攻擊者加以利用來獲取重要的數據信息漏洞掃描90信息系統安全性不在于是否采用了最新的加密算法或最先進的設備，而是由系統本身脆弱性，即漏洞決定。只要漏洞被發(fā)現，系統就有可能成為網絡攻擊的犧牲品。信息安全的“木桶理論”90漏洞庫匹配方法模擬黑客攻擊手法漏洞掃描工具漏洞掃描方法91網絡設備漏洞掃描器CiscoAuditingTools集成化的漏洞掃描器NessusShadowSecurityScannereEye的RetinaInternetSecurityScannerGFILANguard專業(yè)web掃描軟件IBMappscanAcunetixWebVulnerability數據庫漏洞掃描器ISSDatabaseScanneroscanner Oracle數據庫掃描器Metacoretex 數據安全審計工具漏洞掃描工具92Nmap簡介被稱為“掃描器之王”有forUnix和forWin的兩種版本需要Libpcap庫和Winpcap庫的支持能夠進行普通掃描、各種高級掃描和操作系統類型鑒別等使用-sS：半開式掃描-sT:普通connect()掃描-sU：udp端口掃描-O：操作系統鑒別-P0：強行掃描（無論是否能夠ping通目標）-p：指定端口范圍-v：詳細模式工具介紹-端口掃描9393SuperScan簡介基于Windows平臺速度快，圖形化界面使用傻瓜化工具介紹-端口掃描9494Nessus構架服務器端：基于Unix系統客戶端：有GTK、Java和Win系統支持運作客戶端連接服務器端，并下載插件和掃描策略真正的掃描由服務器端發(fā)起兩者之間的通信通過加密認證優(yōu)勢：具有強大的插件功能完全免費，升級快速非常適合作為網絡安全評估工具漏洞掃描工具9595X-Scan國產自主開發(fā)完全免費比較古老，缺乏維護漏洞掃描工具9696IBMAppScanweb掃描工具9797優(yōu)秀的Web安全測試軟件AcunetixWebVulnerabilityScanner9898針對配置錯誤的攻擊－IPC$的攻擊針對應用漏洞的攻擊－unicode緩存溢出攻擊－idq緩存溢出電子欺騙攻擊－ARP欺騙拒絕服務攻擊－synflood針對弱口令的攻擊－口令破解利用服務的漏洞-本地輸入法漏洞利用應用腳本開發(fā)的漏洞-SQL注入利用人的心理-社會工程學攻擊……入侵-多種多樣的入侵方式9999設法盜竊帳戶文件，進行破解，從中獲取某用戶的帳戶和口令，也可利用某些工具或系統漏洞登錄主機。獲取目標主機的一般權限1001）獲得管理員口令；2）利用系統管理安全漏洞如錯誤的文件訪問權、錯誤的系統配置、某些緩沖區(qū)溢出漏洞；3）使用特洛伊木馬竊取管理員口令。

獲取目標主機的管理權限101清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡。進程隱藏、連接隱藏以及改變系統時間造成日志文件紊亂等方法。例如：IIS訪問日志位置

%WinDir%\System32\LogFiles\W3SVC1\exyymmdd.log改寫日志的技巧修改系統日期刪除中間文件刪除創(chuàng)建的用戶隱藏自己的行蹤102后門可以作什么方便下次直接進入監(jiān)視用戶所有行為、隱私完全控制用戶主機后門放置方式如果已經入侵簡單！如果尚未入侵手動放置利用系統漏洞，遠程植入利用系統漏洞，誘騙執(zhí)行后門-方便下次進入103103特洛依木馬隨系統自啟動修改注冊表服務Ini文件RootKit設備驅動腳本后門難以查找隱藏賬號考驗管理人員耐心與細心后門-方式104104網絡監(jiān)聽105監(jiān)視網絡的流量、狀態(tài)、數據等信息，分析數據包，獲得有價值的信息。雙刃劍管理工具：實時觀測分析數據包，從而進行網絡故障定位信息收集工具：攻擊者們常用的收集信息工具網絡監(jiān)聽（Sniffer）106口令、帳號機密或敏感數據、信息（如e-mail內容）流量信息：窺探低級的協議信息竊聽信息107共享式網絡用HUB連接網絡交換式網絡通過交換機連接網絡Sniffer網絡環(huán)境108集線器－Hub本質：物理層中繼器，信號放大，延長網絡距離處理基本單位是位收到的位發(fā)送給所有其它連接節(jié)點沒有CSMA/CD（載波監(jiān)聽多點接入/碰撞檢測)）：由計算機的網卡檢測沖突eg.功放、小蜜蜂通信效率低5-109twistedpairhubABCD廣播溫故而知新——攻擊的過程110踩點定位入侵留后門抹去痕跡信息收集分析目標實施攻擊方便再次進入打掃戰(zhàn)場110溫故而知新——掃描器的基本工作原理111投石問路5-112集線器內部邏輯結構端口1端口2端口3端口4集線器連接的網絡物理上是星型拓撲結構邏輯上是總線型拓撲結構twistedpairhubABCD網卡工作在數據鏈路層以幀為單位進行傳輸幀頭含目的MAC地址和源MAC地址普通模式：網卡只接收以自己MAC地址為目的數據包，并將其傳遞給操作系統?！盎祀s”模式：網卡將所有經過的數據包都傳遞給操作系統。共享式網絡監(jiān)聽原理113工作在鏈路層，物理上和邏輯上都是星型結構維護“MAC地址-端口”映射表，只發(fā)幀到特定端口，不同端口可同時工作A到A’、B到B’同時工作，不沖突Ethernet交換機5-114端口123456MAC地址ABCA`B`C`Hub平面交通switch立體交通網卡工作在數據鏈路層以幀為單位進行傳輸幀頭含目的MAC地址和源MAC地址普通模式：網卡只接收與自己MAC地址相同的數據包，并將其傳遞給操作系統?！盎祀s”模式：網卡將所有經過的數據包都傳遞給操作系統。溫故而知新——共享式網絡監(jiān)聽原理115交換機內部保存一個交換表：(MAC地址,接口,TTL)過期表項將被刪除(如TTL=60分鐘)交換機自學習當接收一數據幀時，交換機學習并記錄發(fā)送者/位置（接口）對應關系：即數據幀進入交換機的LAN網段與接口之間的對應關系交換機交換機制5-1165-117交換機轉發(fā)hubhubhubswitchABCDEFGHI123端口111222…MAC地址ABCDEF…正常模式：交換機按MAC端口映射表轉發(fā)數據包此時只能監(jiān)聽廣播數據包網絡監(jiān)聽：須使不應到達的數據包到達本地利用交換機的鏡像功能交換機毒化攻擊利用ARP欺騙交換式網絡監(jiān)聽原理118交換表空間有限，新“MAC地址—端口”映射會替換舊表項。攻擊者發(fā)送大量具有不同偽造源MAC地址的幀，交換機自學習，將偽造“MAC地址—端口”映射填充整個交換機表偽造的MAC地址—端口”表項無效，使交換機完全退化為廣播模式，攻擊者達到竊聽數據的目的。交換機毒化攻擊119正常模式：交換機按MAC端口映射表轉發(fā)數據包此時只能監(jiān)聽廣播數據包網絡監(jiān)聽：須使不應到達的數據包到達本地MAC洪水包：向交換機發(fā)送大量含有虛假MAC和IP的IP包，使交換機無法處理而工作異常，進入“失效”模式利用交換機的鏡像功能利用ARP欺騙溫故而知新——交換式網絡監(jiān)聽原理120兩層網絡尋址：IP：邏輯地址，eg，電子科技大學，電話簿聯系人用于確定路由MAC：物理地址，eg，建設北路2段4號，電話號碼網絡接口地址投遞地址解析協議ARP1211A-2F-BB-76-09-AD58-23-D7-FA-20-B00C-C4-11-6F-E3-9871-65-F7-2B-08-53LAN3848ABARP協議，實現IP到MAC的查詢ARP緩存，實現IP到MAC的綁定-ARP表地址解析協議ARP122每個IP節(jié)點(Host,Router)都有ARP表緩存各自的IP-MAC地址映射表<IPaddress;MACaddress;TTL（Type）>TTL(TimeToLive):映射地址的失效時間(典型為20分鐘)Arp命令顯示了本機的arp緩存。C:\>arp-a地址解析協議ARP

InternetAddress PhysicalAddressType5400-e0-4c-de-04-26dynamic7 08-00-46-60-8d-3adynamic123數據包發(fā)送過程1）發(fā)IP包時，發(fā)送方判斷目標是否在同一網段（IPaddr&networkmask）（局域網內還是外）2）同一網段（局域網）：a.檢查ARP緩存，是否有<目的IP、MAC>表項，有直接發(fā)送b.無，廣播ARPRequest<誰IP跟目的IP相同，報告位置（MAC）>c.目的IP主機收到Request，回應ARPReply（包含自己MAC地址），更新自己ARP表，添加或更新發(fā)送方的ARP表項<ip,mac>d.發(fā)送方接收Reply，獲取目標MAC發(fā)送，并添加ARP表項，否則傳輸失?。ㄕ也坏侥康闹鳈C）3）不同網段，發(fā)送給網關，同樣查找網關MACARP動態(tài)刷新：所有收到ARPReply的主機都更新自己的ARP緩存Eg，會議室索要別人電話ARP工作過程124ARP協議存在的問題廣播請求Request（廣播），全部接收者更新或添加關于發(fā)送者的arp表項發(fā)送錯誤的ARP請求，錯誤的<發(fā)送方IP,MAC>，污染大家的arp緩存單播應答無狀態(tài)，無問自答主動的ARP應答會被視為有效信息而接收發(fā)送錯誤的ARP應答，錯誤的<接收者IP,MAC>125126地址解析協議的安全威脅網關0100:00:00:00:00:A10200:00:00:00:00:A20300:00:00:00:00:A30400:00:00:00:00:A400:00:00:00:00:01Internet誰是02我是00:00:00:00:00:010100:00:00:00:00:A10200:00:00:00:00:A20300:00:00:00:00:A30400:00:00:00:00:A4地址解析協議的安全威脅網關0100:00:00:00:00:A10200:00:00:00:00:A20300:00:00:00:00:A30400:00:00:00:00:A400:00:00:00:00:01Internet我是00:00:00:00:00:A20100:00:00:00:00:A1……127ARP欺騙0260.8c01.22220260.8c01.3333AB網關0260.8c01.11111.攻擊者在局域網段發(fā)送虛假<IP/MAC>信息，篡改網關MAC地址，使自己成為假網關2.受害者將數據包發(fā)送給假網關（攻擊者）3.假網關（攻擊者）分析接收到的數據包，提取有價值數據包（如QQ及郵箱登錄數據包）4.假網關再把數據包轉發(fā)給真正的網關128攻擊者偽造ARPReply報文假冒其它主機如主機BReply<MACb，IPc>，此時所有發(fā)送到主機C的包都被發(fā)送到了主機BARP欺騙——假冒攻擊129設計之時沒有考慮安全問題任何計算機都可以發(fā)送虛假的ARP數據包無狀態(tài)性reply和request之間沒有關系主機無論是否發(fā)送過ARP請求，都會在收到ARP響應時刷新自己ARP緩存ARP緩存定時更新，給攻擊者以可乘之機。ARP欺騙問題的原因：130只能被用于局域網（黑客必須已經獲得局域網中某臺機器的訪問權）。ARP欺騙的局限性131網絡異常具體表現為：掉線、IP沖突等。數據竊取具體表現為：個人隱私泄漏（如MSN聊天記錄、郵件等）、賬號被盜用（如QQ賬號、銀行賬號等。數據篡改具體表現為：訪問的網頁被添加了惡意內容，俗稱“掛馬”。非法控制具體表現為：網絡速度、網絡訪問行為（例如某些網頁打不開、某些網絡應用程序用不了）受第三者非法控制。Arp欺騙的危害132133網絡接口層協議及安全威脅根據交換表來決定把到達的幀發(fā)送到哪個端口，而不是廣播接收到的幀以下兩種情況，交換機會采用廣播方式發(fā)送數據1.幀目的MAC為廣播地址，即：FF-FF-FF-FF-FF-FF。2.幀目的MAC在交換機表中查不到對應的表項竊聽交換機毒化攻擊以太網采用星型拓撲結構，使用集線器（hub）或者交換機（switch）連接網絡節(jié)點。134IP、TCP協議的安全威脅拒絕服務攻擊避免被追蹤而受到懲罰，構造針對同一目的IP地址的IP分組，而源IP地址為隨機的IP地址基于IP地址認證的網絡服務假冒可信的IP地址而非法訪問計算機資源135版本號標識生存期源IP地址目的IP地址選項數據IP協議填充位報頭校驗和分段移位標志(13)總長度標志(3)協議標識服務類型包頭長度01531TCP首部20字節(jié)的固定首部目的端口數據偏移檢驗和選項（長度可變）源端口序號緊急指針窗口確認號保留FIN32位SYNRSTPSHACKURG位08162431填充TCP數據部分TCP首部TCP報文段IP數據部分IP首部發(fā)送在前TCP協議136TCP連接的建立已經建立的TCP連接SEQ=ISNA=1000

(SYN=1)主機B主機ASEQ=ISNB=2000ACKA=1001(SYN=1,ACK=1)SEQ=1000ACK=2001(ACK=1)137TCP連接的釋放已經建立的TCP連接SEQ=6000

(FIN=1)主機B主機ASEQ=8000ACK=6001

(ACK=1)SEQ=6001ACK=8001(ACK=1)連接被釋放SEQ=8000ACK=6001

(FIN=1)138TCP協議的特點全雙工連接(full-duplexconnection)該連接的兩端有兩條彼此獨立、方向相反的傳輸通道面向連接(connection-oriented)通信雙方在開始傳輸數據前，必須通過“三次握手”的方式在二者之間建立一條邏輯上的鏈路（虛電路），用于傳輸數據可靠性(reliable)自動分片；保證傳送給應用層的數據順序是正確的；自動過濾重復的封包；確認-重傳確保數據包可靠到達面向字節(jié)流(byte-stream)議將應用程序和網絡傳輸相分割，為流傳輸服務提供了一個一致的接口139140141142143144145146147148拒絕服務攻擊149拒絕服務攻擊…怎么打不通呢？？呼死你！?。?50攻擊者通過某種手段，導致目標機器或網絡停止向合法用戶提供正常服務或資源訪問。利用網絡協議漏洞或其他系統及應用軟件的漏洞耗盡被攻擊的計算機或網絡的資源，使其無法正常提供服務，直至系統停止響應甚至崩潰。DoS：攻擊可用性目的：破壞組織正常運行使服務器崩潰使網絡功能失效使某個服務器癱瘓，以方便黑客冒充；強制服務器重啟，以便于黑客啟動木馬程序。拒絕服務(DenialofService)151DOS的基本模式(1)資源耗盡型152消耗網絡帶寬。有意制造大量的數據報或傳輸大量文件以占用有限的網絡帶寬，致使合法用戶無法正常使用網絡資源。消耗磁盤空間。利用磁盤空間的有限性或存儲空間大小控制的缺陷，短時間內制造大量的垃圾信息，使系統或用戶因沒有磁盤空間而停止工作。消耗CPU和內存資源。操作系統中CPU和內存資源由若干進程共用，攻擊者利用系統存在的缺陷，過度使用CPU和內存資源，導致系統服務性能下降甚至造成系統崩潰。DOS的基本模式——(1)資源耗盡型UNIX系統中，下面的C程序可消耗CPU資源和內存資源的攻擊。main(){ fork(); main();}153DOS的基本模式(2)配置修改型改變路由信息，造成不能訪問網絡；修改WindowsNT注冊表；修改UNIX系統的各種配置文件，如/etc目錄下的各種文件。154(3)基于系統缺陷型利用目標系統和通信協議漏洞如一些系統出于安全考慮，限制用戶試探口令次數和注冊等待時間。當用戶口令輸入次數，或注冊等待時間超過設定閾值，系統就會停止該用戶的使用權。攻擊者有意輸錯口令導致系統鎖定用戶帳號，致使該用戶得不到應有的服務。

(4)物理實體破壞型通過破壞或改變網絡部件實現拒絕服務攻擊攻擊目標包括：計算機、路由器、網絡配線室、網絡主干段、電源、冷卻設備。DOS的基本模式155(1)服務過載向攻擊目標計算機的服務守護進程，發(fā)起大量服務請求，使其服務過載。攻擊目標處理不斷到來的服務請求，無法處理常規(guī)的任務。同時，許多新到來的請求被丟棄。如果攻擊的是一個基于TCP協議的服務，那么這些請求的包還會被重發(fā)，結果更加重了網絡的負擔。DOS攻擊的基本形式156DOS攻擊的基本形式(2)消息流向一臺網絡上的目標主機發(fā)送大量的數據報，來延緩目標主機的處理速度，阻止它處理正常的任務。這些數據可能是請求文件服務，要求登錄或者僅僅是簡單的要求響應數據報。(3)信號接地物理方法關閉網絡。將網絡的電纜接地，引入一些其他信號或者將以太網上的端接器拿走，都可以有效地阻止客戶發(fā)送或者接收消息。157(4)"粘住"攻擊使用TCP的半連接耗盡資源。攻擊者發(fā)出多個連接請求。初步建立了連接，但又沒有完成其后的連接步驟，接收者便會保留許多這種半連接，占據有限的資源。通常這些連接請求使用的是偽造的源地址，連接來自于一臺不存在的主機或者一臺無法訪問的主機。DOS攻擊的基本形式158資源對抗：攻擊者使用攻擊機的資源（時間、計算能力、網絡帶寬等）消耗受害者的資源簡單DOS攻擊：單挑使用攻擊者單機資源反射攻擊：嫁禍使用反射服務器的資源進行攻擊反射服務：網絡中能對服務或查詢等請求進行應答的服務器分布式拒絕服務攻擊：圍毆控制網絡中的傀儡主機，僵尸網絡，使用其資源進行攻擊拒絕服務攻擊的本質與形式159landpingofdeathteardropSYNFloodSmurf典型DoS攻擊160向被攻擊主機發(fā)起特別的TCP連接請求SYN包——第一次握手源IP地址欺騙：以受害者IP為源IP——源、目的IP相同導致：被攻擊主機向它自己發(fā)送SYN一ACK應答——第二次握手自己又向自己發(fā)回ACK應答——第三次握手，創(chuàng)建一個空連接每一個這樣的連接都將保留直到超時掉。影響：許多UNIX系統將崩潰，而WindowsNT會變的極其緩慢（大約持續(xù)五分鐘）。Land——自握手161許多操作系統早期版本限制網絡數據包的最大長度，如TCP/IP協議的ICMP包最大64KB（

65535Byte，ip頭部length字段16位）。PingofdeathIP包分片：改變最后分片的正確偏移量和段長度，接收端重組報文總長度超過了64KB導致內存分配錯誤，TCP/IP堆棧崩潰，死機！pingofdeath攻擊包聲稱其長度超過ICMP

64K上限pingofdeath)162死ping(pingofdeath)防御：現有標準TCP/IP實現都已實現對付超大尺寸的包包括windows98之后的windows,NT(servicepack3之后)linux,Solaris和MacOS大多數防火墻能夠自動過濾這些攻擊此外配置防火墻，阻斷ICMP以及任何未知協議都將防止此類攻擊163向攻擊目標發(fā)送多個分片重疊的IP包，某些操作系統收到分片重疊的IP包會系統崩潰、重啟。如一個40個字節(jié)的數據報被分為兩片，第一片數據發(fā)送0~36個字節(jié)，而第二片發(fā)送24~27字節(jié)，在某些情況下會破壞整個IP協議棧，必須重新啟動計算機才能恢復。Teardrop164165SYNFlood（IP欺騙）SYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。┕粽呤芎φ叻峙滟Y源維持半連接回復5次，第一次等待3秒，重新回復后等待時間翻倍，回復5次，共等待98秒偽造地址進行SYN請求為何還沒回應？？不能建立正常的連接半連接就是讓你白等166SYNFlood(大量請求)攻擊者受害者這么多需要處理？不能建立正常的連接正常用戶正常tcpconnectSYN/ACKSYN/ACKSYN/ACKSYNSYNSYNSYNSYN/ACK...攻擊者找出網絡上有哪些路由器會回應ICMP請求以受害者IP地址為源地址向路由器的廣播地址發(fā)ICMPEchorequest（Ping）包路由器廣播該Ping包到子網絡中所有設備收到廣播的設備同時向受害者應答（廣播源地址）ICMPEcho-Reply。受害者主機會被這些大量的應答包淹沒Smurf（反射攻擊）167168Smurf攻擊示意圖與Smurf攻擊類似，但它使用的不是ICMP，而是UDPEcho。Fraggle攻擊169Land補丁，加固協議棧，丟棄源、目的IP相同的包Pingofdeath打補丁防火墻攔截Teardrop加入條件判斷，對這種異常的包特殊處理打補丁Smurf攔截廣播SYNFlood攔截困難抗擊打Fraggle在防火墻上過濾UDP應答消息典型DOS防御170對于網絡路由器和防火墻配置得當，可以減少受DoS攻擊的危險入侵檢測系統，檢測異常行為對于系統升級系統內核，打上必要的補丁，特別是一些簡單的DoS攻擊，例如land、teardrop、smurf等關掉不必要的服務和網絡組件如果有配額功能的話，正確地設置這些配額監(jiān)視系統的運行，避免降低到基線以下檢測系統配置信息的變化情況保證物理安全建立備份和恢復機制DoS防御策略171DoS攻擊一對一方式早期效果明顯：隨著攻擊目標抗擊打能力提升（對惡意攻擊包“消化能力”加強），DoS攻擊的困難程度加大：計算機處理能力增長，內存增加，千兆級別網絡，，如攻擊軟件每秒發(fā)送3,000個攻擊包，目標主機與網絡帶寬每秒可處理10,000個攻擊包，這樣一來攻擊就不會產生什么效果。DDOS產生的背景172入侵并控制若干存在安全漏洞的計算機（作為傀儡或肉雞）聯合起來作為攻擊平臺——僵尸網絡借助客戶/服務器技術通過主控程序與代理程序通訊，發(fā)送攻擊指令，操縱傀儡主機同時對一個或多個目標發(fā)動DoS攻擊。主控程序能在幾秒鐘內激活成百上千個代理程序的運行。成倍地提高拒絕服務攻擊的威力。DDOS定義173兩個步驟：發(fā)展團隊-攻占代理主機協同攻擊-向目標發(fā)起攻擊具體步驟：探測掃描大量主機以尋找可入侵主機；入侵有安全漏洞的主機并獲取控制權；安裝攻擊所用的客戶進程或守護進程；向客戶進程發(fā)出命令，操縱代理主機進行協同入侵。DDOS攻擊過程174分布式拒絕服務攻擊(DDoS)175攻擊者各種客戶主機目標系統攻擊準備安置代理代理程序傀儡176分布式拒絕服務攻擊(DDoS)發(fā)起攻擊攻擊者指令虛假的連接請求目標系統攻擊代理目標系統最常使用攻擊程序：TrinooTFNTFN2KStacheldraht。SHAFTDDoS攻擊常用方式177用UDP包進行攻擊隨機指向目標端的各個UDP端口，產生大量ICMP不可到達報文，嚴重增加目標主機負擔并占用帶寬，使對目標主機的正常訪問無法進行。Trinoo（TribeFloodNetwork）178TFN攻擊利用ICMP給主控端或分布端下命令，其來源可以做假?？砂l(fā)動SYNflood、UDPflood、ICMPflood及Smurf等攻擊。179TFN的增強版，增加了許多新功能：a.單向的對Master的控制通道，Master無法發(fā)現Attacker地址。b.針對脆弱路由器的攻擊手段。c.更強的加密功能，基于Base64編碼，AES加密。d.隨機選擇目的端口。TFN2K180結合Trinoo和TFN的特點，將attacker和master間的通信加密，增加master端的自動更新功能，即能夠自動更新daemon主機列表。Stacheldraht181獨立發(fā)展起來的DDoS攻擊方法，特點：在攻擊過程中，受控主機之間可以交換對分布端的控制和端口，這使得入侵檢測工具難以奏效。采用了“ticket”機制進行攻擊，使其攻擊命令有一定秘密性。采用了獨特的包統計方法使其攻擊得以順利完成。SHAFT182到目前為止，DDoS攻擊防御比較困難利用TCP/IP協議漏洞，攻擊特征不明顯，eg,利用IP欺騙流量匯聚，近身防御無效最有效的防御網絡出口禁IP欺騙無驅動力各司其職協調防御（建立縱深體系）：系統或網絡管理員ISP、ICP管理員骨干網絡運營商DDoS的防范183從主機與網絡設備兩個角度去考慮。1）主機設置，幾乎所有主機都應防DoS設置：關閉不必要的服務限制同時打開的Syn半連接數目縮短Syn半連接的timeout時間及時更新系統補丁系統或網絡管理員184系統或網絡管理員

2）網絡設備上的設置一.防火墻二.路由器1.禁止對主機的非開放服務的訪問2.限制同時打開的SYN最大連接數3.限制特定IP地址的訪問4.啟用防火墻的防DDoS屬性5.嚴格限制對外開放的服務器的向外訪問，防被當肉雞。以Cisco路由器為例

CiscoExpressForwarding（CEF快速轉發(fā)）簡化查詢步驟，利用專用硬件達到線速轉發(fā)使用unicastreverse-path（單播逆向路由，向后看）只轉發(fā)源IP地址在路由表中存在并有效的數據包。訪問控制列表（ACL）過濾設置SYN數據包流量速率升級版本過低的IOS為路由器建立logserver185ISP/ICP為很多中小型企業(yè)提供主機托管業(yè)務托管主機是黑客最喜歡的“肉雞”，為DDoS定制托管主機都是高性能、高帶寬安全管理差：赤膊上陣：基本補丁都沒打，ISP管理員對托管主機沒有直接管理權力，黑客怎么用都不會有被發(fā)現的危險防DDoS時，要特別注意自己管理范圍內的客戶托管主機不要成為傀儡機。ISP、ICP管理員186骨干運營商聯手來解決DDoS攻擊運營商在自己出口路由器進行源IP地址驗證如在自己路由表中沒有到某數據包源IP的路由，就丟掉該包。Eg,單播逆向路由會降低路由器效率，實施很困難。把自己網絡與主機維護好不讓自己主機成為肉雞受到攻擊時盡量保存證據，以便事后追查，維護良好的網絡和日志系統骨干網絡運營商187緩沖區(qū)溢出攻擊188189緩沖區(qū)溢出及基本概念過去十多年最大的安全隱患，大部分網絡蠕蟲都是利用緩沖區(qū)溢出進行攻擊、傳播。緩沖區(qū)：程序用于保存用戶輸入數據、臨時數據的內存空間局部變量，保存在（堆）棧中預先分配，后存取緩沖區(qū)溢出輸入數據長度超出緩沖區(qū)預設大小，而程序不檢查超出數據覆蓋程序為其它數據分配的內存空間安全意識，假設數據長度與存儲空間相匹配歷史遺留，壓縮程序代碼空間緩沖區(qū)溢出示例intmain(intargc,char**argv){charbuffer[16];

//存儲在Stackstrcpy(buffer,argv[1]);

return0；

}Strcpy不匹配argv[1]與buffer長度，可能導致溢出190利用目標程序的緩沖區(qū)溢出漏洞，向緩沖區(qū)寫超其長度的內容，造成緩沖區(qū)溢出1.破壞程序的堆棧超出部分寫入（覆蓋）其他緩沖區(qū)，數據、下一條指令指針，函數返回地址或是其他程序輸出內容，2.使程序轉而執(zhí)行其它指令目標系統指令惡意代碼shellcode：通過緩沖區(qū)溢出注入緩沖區(qū)溢出攻擊191在UNIX平臺上可獲得一個交互式的shell在Windows平臺上可上載并執(zhí)行任何的代碼溢出漏洞發(fā)掘需較高技巧和知識背景一旦有人編寫出溢出代碼，則用起來非常簡單與其他的攻擊類型相比不需要太多的先決條件殺傷力很強技術性強穿透防火墻緩沖區(qū)溢出攻擊危害性192操作系統給每個進程分配獨立虛擬地址空間代碼區(qū)、數據區(qū)和堆棧區(qū)。緩沖區(qū)溢出攻擊的內存模型代碼段數據段堆棧段CSDSSSCS：程序機器碼和只讀數據。DS：程序靜態(tài)數據。SS：動態(tài)數據。堆和堆棧都可以被利用來進行溢出193堆棧示意圖512……棧頂ESP棧底EBP內存低端內存高端壓棧（push）時esp=esp-4、出棧（pop）時esp=esp+4ebp相對固定不變，使用ebp及偏移量訪問棧中數據如，ebp-8iinti堆棧：FILO隊列：FIFO194PC(EIP寄存器)指針指引程序執(zhí)行，執(zhí)行一條代碼后+1執(zhí)行下一條代碼。函數調用時PC跳轉進入函數代碼執(zhí)行，函數返回后返回主調函數繼續(xù)執(zhí)行需要記錄程序中一系列函數返回地址順序調用（記錄）a，b返回（使用）b，a函數調用時堆棧狀況195使用堆棧記錄函數返回地址及函數執(zhí)行環(huán)境——FILO函數執(zhí)行環(huán)境：函數參數、函數的局部變量、函數返回地址棧幀：函數過程活動記錄每次函數產生對應棧幀函數返回地址指向代碼攻擊瞄準器函數調用時堆棧狀況局部變量堆?；泛瘮捣祷氐刂泛瘮祬禇ｍ敆５椎投烁叨恕裘闇势?96197棧溢出攻擊的原理當調用函數時Call指令將返回地址（Call指令下一條指令地址）壓棧Ret指令會把壓棧的返回地址彈給EIP（指令寄存器）棧溢出攻擊的原理緩沖區(qū)溢出修改棧中返回地址，使其指向Shellcode函數返回，EIP取篡改后的返回地址，并執(zhí)行Shellcode挑戰(zhàn)1、準確定位函數返回地址2、篡改返回地址指向Shellcode局部變量堆?；泛瘮捣祷氐刂泛瘮祬禇ｍ敆５椎投烁叨恕裘闇势鱲oidfun(int);intmain(void){ ……

fun(1); …… return0;}voidfun(intpara){ charbuffer_a[8]; charbuffer_b[8]; ……}198動作堆棧第一步：main壓入參數１第二步：main調用fun，系統壓入返回到main地址第三步：fun將main基址指針值壓入堆棧，同時將EBP指向ESP第四步：fun函數壓入它的局部變量para=1

para=1返回地址

para=1返回地址老的基址指針值

para=1返回地址老的基址指針值buffer_abuffer_b局部變量16字節(jié)ebp4字節(jié)ret4字節(jié)輸入>16字節(jié),導致溢出，尾部為跳轉的地址…正常流程異常流程199常見的情形溢出覆蓋后的返回地址200如何能夠進行系統調用？調整該地址，指向系統調用程序，如CMD.EXE當調用函數時Call指令將返回地址（Call指令下一條指令地址）壓棧Ret指令會把壓棧的返回地址彈給EIP（指令寄存器）棧溢出攻擊的原理緩沖區(qū)溢出修改棧中返回地址，使其指向Shellcode函數返回，EIP取篡改后的返回地址，并執(zhí)行Shellcode挑戰(zhàn)1、準確定位函數返回地址2、篡改返回地址指向Shellcode溫故而知新——棧溢出攻擊的原理201局部變量堆?；泛瘮捣祷氐刂泛瘮祬禇ｍ敆５椎投烁叨恕裘闇势鞴舸a安排（代碼植入）：在存在漏洞的某些存儲結構（緩沖區(qū)）中安排適當的攻擊代碼shellcode流程控制：改寫程序執(zhí)行流程，轉移到攻擊代碼一步完成代碼植入和流程控制緩沖區(qū)溢出攻擊

步驟202植入法將攻擊代碼寫入某個緩沖區(qū)利用已存在的代碼執(zhí)行exec（’bin/sh’）查找代碼Exec(arg)，并修改參數arg為‘bin/sh’攻擊代碼安排203激活記錄溢出緩沖區(qū)，用攻擊代碼地址覆蓋函數返回地址函數指針函數指針可定位任何地址空間，并執(zhí)行溢出在函數指針附近的緩沖區(qū)，修改函數指針的地址長跳轉緩沖區(qū)C語言中的檢驗/恢復系統，利用setjmp結合longjmp進行程序異常處理，溢出buffer，利用longjmp（buffer）進行程序跳轉控制流程轉移方法204在緩沖區(qū)中植入攻擊代碼和激活記錄（修改返回地址以指向攻擊代碼）也可通過溢出兩個緩沖區(qū)來完成。綜合代碼植入和流程控制205將攻擊代碼注入內存將函數返回地址指針指向已注入攻擊代碼的內存地址攻擊示意206207charshellcode[]