網(wǎng)絡(luò)安全技術(shù)及應(yīng)用第四章

網(wǎng)絡(luò)安全技術(shù)及應(yīng)用第四章第1頁，課件共59頁，創(chuàng)作于2023年2月7/26/20231第四章網(wǎng)絡(luò)攻擊技術(shù)4.1網(wǎng)絡(luò)攻擊概述4.2網(wǎng)絡(luò)掃描技術(shù)4.3網(wǎng)絡(luò)嗅探技術(shù)4.4緩沖區(qū)溢出技術(shù)4.5DoS攻擊技術(shù)第2頁，課件共59頁，創(chuàng)作于2023年2月7/26/202324.1網(wǎng)絡(luò)攻擊概述4.1.1關(guān)于黑客黑客(Hacker)，源于英語動(dòng)詞“hack”，意為“劈，砍”，引申為“干了—件漂亮的工作”。那些懷著不良企圖，非法侵入他人系統(tǒng)進(jìn)行偷窺、破壞活動(dòng)的人被稱為“Cracker（駭客）”、“Intruder（入侵者)”。他們也具備廣泛的計(jì)算機(jī)知識(shí)，但與黑客不同的是他們以破壞為目的.據(jù)統(tǒng)計(jì)，全球每20秒就有一起系統(tǒng)入侵事件發(fā)生，僅美國一年所造成的經(jīng)濟(jì)損失就超過100億美元。由于在大多數(shù)人眼里的黑客就是指入侵者，因而這里也將黑客理解為“入侵者”或“攻擊者”。第3頁，課件共59頁，創(chuàng)作于2023年2月7/26/202334.1網(wǎng)絡(luò)攻擊概述4.1.2系統(tǒng)脆弱性表現(xiàn)1、固有的安全漏洞任何軟件系統(tǒng)，包括系統(tǒng)軟件和應(yīng)用軟件都無法避免地存在安全漏洞。這些漏洞主要來源于程序設(shè)計(jì)等方面的錯(cuò)誤和疏忽，如：協(xié)議的安全漏洞、弱口令、緩沖區(qū)溢出等。這些漏洞給入侵者提供了可乘之機(jī)。2、系統(tǒng)維護(hù)措施不完善當(dāng)發(fā)現(xiàn)漏洞時(shí)，管理人員需要仔細(xì)分析危險(xiǎn)程序，并采取補(bǔ)救措施。有時(shí)雖然對(duì)系統(tǒng)進(jìn)行了維護(hù)，對(duì)軟件進(jìn)行了更新或升級(jí)，但出于路由器及防火墻的過濾規(guī)則復(fù)雜等問題，系統(tǒng)可能又會(huì)出現(xiàn)新的漏洞。3、缺乏良好的安全體系一些系統(tǒng)忽視信息的安全，在設(shè)計(jì)和部署時(shí)沒有建立有效的、多層次防御體系，以及良好的安全性檢測與監(jiān)控平臺(tái)，這樣的系統(tǒng)不能防御復(fù)雜的攻擊。第4頁，課件共59頁，創(chuàng)作于2023年2月7/26/202344.1網(wǎng)絡(luò)攻擊概述4.1.3黑客攻擊的步驟

1、收集信息和系統(tǒng)掃描1)收集要攻擊目標(biāo)系統(tǒng)的相關(guān)信息這些信息包括目標(biāo)系統(tǒng)的位置、路由、目標(biāo)系統(tǒng)的結(jié)構(gòu)及技術(shù)細(xì)節(jié)等。可以用以下的工具或協(xié)議來完成信息收集。Ping程序、Tracert程序、Finger協(xié)議、DNS服務(wù)器、SNMP協(xié)議、whois協(xié)議。2)系統(tǒng)掃描 為進(jìn)一步獲取系統(tǒng)及網(wǎng)絡(luò)信息，使用以下工具進(jìn)行有針對(duì)性地窺探。Nmap：判斷OS類型及版本，嗅探系統(tǒng)開放的Service。Cheops：圖形化的網(wǎng)絡(luò)嗅探工具，能夠管理Linux異構(gòu)網(wǎng)絡(luò)，獲取系統(tǒng)漏洞信息。第5頁，課件共59頁，創(chuàng)作于2023年2月7/26/202354.1.3黑客攻擊的步驟2、探測系統(tǒng)安全弱點(diǎn)入侵者根據(jù)收集到的目標(biāo)網(wǎng)絡(luò)的有關(guān)信息，對(duì)目標(biāo)網(wǎng)絡(luò)上的主機(jī)進(jìn)行探測，以發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)和安全漏洞。發(fā)現(xiàn)系統(tǒng)弱點(diǎn)和漏洞的主要方法有：1)利用“補(bǔ)丁”找到突破口攻擊者通過分析“補(bǔ)丁”程序的接口，自己編寫程序通過該接口入侵目標(biāo)系統(tǒng)。2)利用掃描器發(fā)現(xiàn)安全漏洞可以對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描，尋找安全漏洞。系統(tǒng)管理員使用掃描器可以及時(shí)發(fā)現(xiàn)系統(tǒng)存在的安全隱患，從而完善系統(tǒng)的安全防御體系；而攻擊者使用此類工具，用于發(fā)現(xiàn)系統(tǒng)漏洞。目前比較流行的掃描器有因特網(wǎng)安全掃描程序ISS(InternetSecurityScanner)，安全管理員網(wǎng)絡(luò)分析工具SATAN(SecurityAdministratorToolforAnalyzingNetworks)、NSS、Nessus等。第6頁，課件共59頁，創(chuàng)作于2023年2月7/26/202364.1.3黑客攻擊的步驟3、實(shí)施攻擊攻擊者通過上述方法找到系統(tǒng)的弱點(diǎn)后，就可以對(duì)系統(tǒng)實(shí)施攻擊。攻擊者的攻擊行為一般可以分為以下3種表現(xiàn)形式：1)掩蓋行跡，預(yù)留后門攻擊者潛入系統(tǒng)后，會(huì)盡量銷毀可能留下的痕跡，并在受損害系統(tǒng)中找到新的漏洞或留下后門，以備下次光顧時(shí)使用。2)安裝探測程序攻擊者可能在系統(tǒng)中安裝探測軟件，即使攻擊者退出去以后，探測軟件仍可以窺探所在系統(tǒng)的活動(dòng)，收集攻擊者感興趣的信息，如：用戶名、賬號(hào)、口令等，并源源不斷地把這些秘密傳給幕后的攻擊者。3)取得特權(quán)，擴(kuò)大攻擊范圍攻擊者可能進(jìn)一步發(fā)現(xiàn)受損害系統(tǒng)在網(wǎng)絡(luò)中的信任等級(jí)，然后利用該信任等級(jí)所具有的權(quán)限，對(duì)整個(gè)系統(tǒng)展開攻擊。如果攻擊者獲得根用戶或管理員的權(quán)限，后果將不堪設(shè)想。第7頁，課件共59頁，創(chuàng)作于2023年2月7/26/202374.1.4主要攻擊方法1、獲取口令獲取口令一般有3種方法：1)通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令。監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號(hào)和口令；2)知道用戶的賬號(hào)后，利用一些專門軟件暴力破解用戶口令。3)在獲得一個(gè)服務(wù)器上的用戶口令文件(在Unix中此文件稱為Shadow文件)后，用暴力破解程序破解用戶口令。是在本地將加密后的口令與Shadow文件中的口令相比較就能非常容易地破獲用戶密碼，尤其對(duì)那些弱口令(如：123456，666666，hello，admin等)，在極短的時(shí)間內(nèi)就會(huì)被破解。第8頁，課件共59頁，創(chuàng)作于2023年2月7/26/202384.1.4主要攻擊方法2、WWW欺騙技術(shù)用戶可以利用IE瀏覽器進(jìn)行各種各樣的Web站點(diǎn)的訪問，正在訪問的網(wǎng)頁可能被黑客篡改，網(wǎng)頁上的信息是虛假的。例如，攻擊者將用戶要瀏覽的網(wǎng)頁的URL改寫為指向攻擊者自己的服務(wù)器，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時(shí)候，實(shí)際上是向攻擊者的服務(wù)器發(fā)出請(qǐng)求，那么黑客就可以達(dá)到欺騙的目的。第9頁，課件共59頁，創(chuàng)作于2023年2月7/26/202394.1.4主要攻擊方法3、電子郵件攻擊電子郵件攻擊上要表現(xiàn)為兩種方式：1)郵件炸彈，指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬計(jì)甚至無窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴(yán)重者可能會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來危險(xiǎn)，甚至癱瘓；2)攻擊者佯稱作系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同)，給用戶發(fā)送郵件要求用戶修改口令(口令可能為指定字符串)或在看似正常的附件中加載病毒或其他木馬程序，這類欺騙只要用戶提高警惕，一般危害性不大。第10頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023104.1.4主要攻擊方法4、網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)嗅探是將網(wǎng)卡置于一種混雜模式(Promiscuous)的工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的接受方是誰。此時(shí)，如果兩臺(tái)主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具(例如Sniffer、NetXray等工具)就可以輕而易舉地截取包括口令和賬號(hào)在內(nèi)的信息資料。5、尋找系統(tǒng)漏洞現(xiàn)有的操作系統(tǒng)或應(yīng)用軟件，大多會(huì)存在一些設(shè)計(jì)上的Bug，這些Bug通常也被看作是系統(tǒng)的漏洞，在補(bǔ)丁程序沒有被開發(fā)和公開之前，這樣的系統(tǒng)一般很難防御黑客的破壞。此外，還有一些漏洞是出于系統(tǒng)管理員配置錯(cuò)誤引起的，這也會(huì)給攻擊者帶來可乘之機(jī)，因此系統(tǒng)在有效使用前，應(yīng)正確配置和初始化，遇到問題及時(shí)加以修正。第11頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023114.1.4主要攻擊方法6、DoS（DenialofService）攻擊DoS攻擊，即拒絕服務(wù)攻擊，是指一個(gè)用戶占據(jù)了大量的共享資源，使系統(tǒng)沒有剩余的資源給其他用戶提供服務(wù)的一種攻擊力式。拒絕服務(wù)攻擊的結(jié)果可以降低系統(tǒng)資源的可用性，這些資源可以是網(wǎng)絡(luò)帶寬、CPU時(shí)間、磁盤空間、打印機(jī)，甚至是系統(tǒng)管理員的時(shí)間。7、緩沖區(qū)溢出攻擊利用緩沖區(qū)溢出攻擊可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)崩潰等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。緩沖區(qū)溢出攻擊之所以成為一種常見安全攻擊手段，攻擊者可以植入并且執(zhí)行攻擊代碼。被植入的攻擊代碼以一定的權(quán)限運(yùn)行有緩沖區(qū)溢出漏洞的程序，從而得到被攻擊主機(jī)的控制權(quán)。第12頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023124.1.5攻擊的新趨勢1、攻擊過程的自動(dòng)化與攻擊工具的快速更新攻擊工具的自動(dòng)化程度繼續(xù)不斷地增強(qiáng)，其中涉及的四個(gè)階段都發(fā)生了明顯的變化。1)掃描潛在的受害者從1997年起開始出現(xiàn)大量的掃描活動(dòng)，目前，新的掃描工具利用更先進(jìn)的掃描技術(shù)，變得更加有威力，并且提高了速度。2)入侵具有漏洞的系統(tǒng)早期對(duì)具有漏洞的系統(tǒng)的攻擊是發(fā)生在大范圍的掃描之后。目前，攻擊工具已經(jīng)將對(duì)漏洞的入侵設(shè)計(jì)成為掃描活動(dòng)的一部分，這樣大大加快了入侵的速度。第13頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023134.1.5攻擊的新趨勢3)攻擊擴(kuò)散2000年之前，攻擊工具需要一個(gè)人來發(fā)起新的攻擊?，F(xiàn)在，攻擊工具能夠自動(dòng)發(fā)起新的攻擊過程。例如紅色代碼和Nimda病毒這些工具就在18個(gè)小時(shí)之內(nèi)傳遍了全球。4)攻擊工具的協(xié)同管理攻擊者能夠利用大量分布在Internet之上的攻擊工具發(fā)起攻擊?，F(xiàn)在，攻擊者能夠更加有效地發(fā)起一個(gè)分布式拒絕服務(wù)攻擊。2、攻擊工具復(fù)雜化攻攻擊工具的特征碼越來越難以通過分析來發(fā)現(xiàn)，并且越來越難以通過基于特征碼的檢測系統(tǒng)發(fā)現(xiàn)，第14頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023144.1.5攻擊的新趨勢1)反檢測攻擊者采用了能夠隱藏攻擊工具的技術(shù)。這使得要通過各種分析方法來判斷新的攻擊的過程變得更加困難。2)動(dòng)態(tài)行為自動(dòng)攻擊工具能夠按照不同的方法更改它們的特征，如通過隨機(jī)選擇預(yù)定的決策路徑或者通過入侵者直接的控制來進(jìn)行攻擊。3)攻擊工具的模塊化和標(biāo)準(zhǔn)化新的攻擊工具能夠通過升級(jí)或者對(duì)部分模塊的替換完成快速更改。而且，攻擊工具能夠在越來越多的平臺(tái)上運(yùn)行。第15頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023154.1.5攻擊的新趨勢3、滲透防火墻通常，一個(gè)計(jì)算機(jī)系統(tǒng)依賴防火墻提供安全的主要邊界保護(hù)。但是目前已經(jīng)存在一些繞過典型防火墻配置的技術(shù)，如IPP(theInternetPrintingProtocol)和WebDAV(WebDistributedAuthoringandVersioning)；計(jì)算機(jī)之間存在很強(qiáng)的依存性。一旦某些計(jì)算機(jī)遭到了入侵，它就有可能成為入侵者的棲息地和跳板，作為進(jìn)一步攻擊的工具。對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)(如DNS系統(tǒng)、路由器)的攻擊也越來越成為嚴(yán)重的安全威脅。第16頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023164.2網(wǎng)絡(luò)掃描技術(shù)4.2.1端口與服務(wù)分為物理端口和邏輯端口，下面主要介紹邏輯端口及其分類：(1)標(biāo)準(zhǔn)端口這類端口的范圍是0~1023，一般固定分配給一些應(yīng)用服務(wù)，比如FTP的21端口、SMTP的25端口、HTTP的80端口和RPC（遠(yuǎn)程過程調(diào)用）的135端口等等。(2)非標(biāo)準(zhǔn)端口這類端口的范圍是1024~65535，一般不固定分配給某個(gè)應(yīng)用服務(wù)，即許多服務(wù)都可以使用這些端口。只要某個(gè)進(jìn)程向系統(tǒng)提出訪問網(wǎng)絡(luò)的請(qǐng)求，那么系統(tǒng)就可以從這些端口號(hào)中分配一個(gè)給該進(jìn)程。例如1024端口，它是分配給第一個(gè)向系統(tǒng)發(fā)出請(qǐng)求的進(jìn)程，當(dāng)進(jìn)程結(jié)束時(shí)，該端口號(hào)將被釋放，可供其他進(jìn)程再次使用。第17頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023174.2.1端口與服務(wù)端口的第二種分類方式是按照協(xié)議類型來劃分，具體可以分為TCP、UDP、IP和ICMP端口等。這里主要介紹前兩類。(1)TCP端口這類端口主要面向TCP協(xié)議，通常在客戶機(jī)和服務(wù)器之間建立連接，提高了數(shù)據(jù)傳輸?shù)目煽啃?。常見有的FTP服務(wù)的21端口、TELNET服務(wù)的23端口、SMTP的25端口，以及HTTP服務(wù)的80端口等。(2)UDP端口這類端口面向UDP協(xié)議，無須在客戶機(jī)和服務(wù)器之間建立連接，數(shù)據(jù)傳輸?shù)目煽啃院桶踩詿o法得到保障。常見的有，DNS服務(wù)的53端口、SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）服務(wù)的161端口，以及QQ使用的8000和4000端口。第18頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023184.2.2端口掃描端口掃描是獲取主機(jī)信息的一種常用方法。利用端口掃描程序可以了解遠(yuǎn)程服務(wù)器提供的各種服務(wù)及其TCP端口分配，了解服務(wù)器的操作系統(tǒng)及目標(biāo)網(wǎng)絡(luò)結(jié)構(gòu)等信息。端口掃描也廣泛被入侵者用來尋找攻擊線索和攻擊入口。掃描器是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的軟件。通過與目標(biāo)主機(jī)TCP/IP端口建立連接并請(qǐng)求某些服務(wù)(如Telnet、FTP等)，記錄目標(biāo)主機(jī)的應(yīng)答，搜集目標(biāo)主機(jī)相關(guān)信息(如匿名用戶是否可以登錄等)，從而發(fā)現(xiàn)目標(biāo)主機(jī)某些內(nèi)在的安全弱點(diǎn)。一般把掃描器分為三類：數(shù)據(jù)庫安全掃描器、操作系統(tǒng)安全掃描器和網(wǎng)絡(luò)安全掃描器。第19頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023194.2.3漏洞掃描漏洞是指硬件、軟件或策略上存在的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。漏洞對(duì)系統(tǒng)的威脅體現(xiàn)在惡意攻擊行為對(duì)系統(tǒng)的威脅，。操作系統(tǒng)和應(yīng)用軟件的漏洞被黑客大量利用，從而進(jìn)行木馬、病毒等惡意代碼攻擊，并造成了嚴(yán)重后果。第20頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023204.2.3漏洞掃描漏洞掃描工具比較多，這里重點(diǎn)介紹下X-Scan。X-Scan是國內(nèi)最著名的綜合掃描器之一，其運(yùn)行界面見圖4-1第21頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023214.2.3漏洞掃描1、功能簡介采用多線程方式對(duì)指定IP地址段(或單機(jī))進(jìn)行安全漏洞檢測，支持插件功能。掃描內(nèi)容包括：遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個(gè)大類。2、使用方法該軟件為綠色軟件，無需安裝。打開X-Scan，可以看到非常簡潔的GUI界面（界面見圖4-1），在掃描之前，首先要設(shè)定掃描參數(shù)：1)設(shè)置檢測范圍，設(shè)置有效IP格式。2)進(jìn)行全局設(shè)置，全局設(shè)置中包含掃描模塊、并發(fā)掃描、掃描報(bào)告、其他設(shè)置四個(gè)模塊。第22頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023224.2.3漏洞掃描3)進(jìn)行插件設(shè)置，插件設(shè)置主要包括端口相關(guān)設(shè)置、SNMP設(shè)置、NETBIOS相關(guān)設(shè)置、漏洞檢測腳本設(shè)置、CGI相關(guān)設(shè)置、字典文件設(shè)置等6項(xiàng)。4)設(shè)置完畢后，點(diǎn)擊開始按鈕，X-SCAN開始掃描。在掃描過程中便可以看到具體的掃描過程。5）生成掃描報(bào)告及相關(guān)的漏洞信息。第23頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023234.2.4常用掃描技術(shù)1、TCPconnect掃描這是最基本的TCP掃描方法。也稱為全連接掃描。利用TCP連接機(jī)制，通過系統(tǒng)提供的connect()調(diào)用，可以用來與任何一個(gè)感興趣的目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。優(yōu)點(diǎn)是用戶不需要任何權(quán)限，缺點(diǎn)是很容易被發(fā)覺。2、TCPSYN掃描也稱“半連接”掃描。是指在掃描主機(jī)和目標(biāo)主機(jī)的指定端口建立連接時(shí)只完成了前兩次握手，在第三步時(shí)，掃描主機(jī)中斷了本次連接，使連接沒有完全建立起來。優(yōu)點(diǎn)在于：對(duì)半連接掃描要比全連接掃描快且隱蔽。缺點(diǎn)則是需要構(gòu)造適用于這種掃描的IP包，構(gòu)造SYN數(shù)據(jù)包需要超級(jí)用戶或者授權(quán)用戶訪問專門的系統(tǒng)調(diào)用。第24頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023244.2.4常用掃描技術(shù)3、TCPFIN掃描這種掃描方法的思想是：關(guān)閉的端口會(huì)用適當(dāng)?shù)腞ST來回復(fù)FIN數(shù)據(jù)包，而打開的端口會(huì)忽略對(duì)FIN數(shù)據(jù)包的回復(fù)。這種方法和操作系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系。有的操作系統(tǒng)不管端口是否打開，都回復(fù)RST，此時(shí)，這種掃描方法就不適用了。4、分段掃描這種技術(shù)不是直接發(fā)送TCP探測數(shù)據(jù)包，而是將數(shù)據(jù)包分成兩個(gè)較小的IP段。一個(gè)TCP頭分成若干個(gè)數(shù)據(jù)包，使用過濾器很難探測到。第25頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023254.2.4常用掃描技術(shù)5、TCP反向ident掃描ident協(xié)議允許看到通過TCP連接的任何進(jìn)程的擁有者的用戶名，即使這個(gè)連接不是由這個(gè)進(jìn)程開始的。這種方法只能在和目標(biāo)端口建立了一個(gè)完整的TCP連接后才能實(shí)現(xiàn)。6、FTP返回攻擊FTP協(xié)議的一個(gè)有趣的特點(diǎn)是它支持代理(Proxy)FTP連接，即入侵者可以從自己的計(jì)算機(jī)和目標(biāo)主機(jī)的FTPServer-PI(協(xié)議解釋器)連接，建立一個(gè)控制通信連接。然后，請(qǐng)求這個(gè)Server-PI激活一個(gè)有效的Server-DTP(數(shù)據(jù)傳輸進(jìn)程)來給Internet上任何地方發(fā)送文件。這種方法的優(yōu)點(diǎn)是能夠穿過防火墻并且難以跟蹤，主要缺點(diǎn)是速度較慢。第26頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023264.2.4常用掃描技術(shù)7、UDPICMP端口不能到達(dá)掃描許多主機(jī)在用戶向一個(gè)未打開的UDP端口發(fā)送一個(gè)數(shù)據(jù)包時(shí)，會(huì)返回一個(gè)ICMP_PORT_UNREACH錯(cuò)誤，通過這個(gè)就能判斷哪個(gè)端口是關(guān)閉的。出于UDP和ICMP錯(cuò)誤都不保證能到達(dá)，因此這種掃描器必須具備在一個(gè)包看上去丟失的情況下能重新傳輸?shù)墓δ堋?duì)ICMP錯(cuò)誤消息的產(chǎn)生速率做了規(guī)定，所以這種掃描方法很慢。8、ICMPEcho掃描這并非真正意義上的掃描，但有時(shí)通過ping命令可以判斷在一個(gè)網(wǎng)絡(luò)上主機(jī)是否啟動(dòng)。第27頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023274.2.4常用掃描技術(shù)Nmap是目前為止最廣為使用的國外端口掃描工具之一，是I根據(jù)GPL許可證協(xié)議提供的免費(fèi)開源軟件。Nmap能夠當(dāng)前流行的操作系統(tǒng)上運(yùn)行，包括Windows、Linux/Unix。Nmap允許用戶定制掃描，可以對(duì)單臺(tái)主機(jī)掃描，也可以針對(duì)特定網(wǎng)段的掃描。第28頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023284.2.4常用掃描技術(shù)Nmap基本功能有三個(gè)：1、探測主機(jī)是否在線；2、掃描主機(jī)端口，探測主機(jī)所提供的網(wǎng)絡(luò)服務(wù)；3、推斷主機(jī)所用的操作系統(tǒng)。主要命令如下：1、Ping掃描(Ping

Sweeping)掃描網(wǎng)絡(luò)：nmap

-sP

/242、端口掃描(Port

Scanning)使用tcp連接掃描目標(biāo)主機(jī)開放的服務(wù)：nmap

-sT

23、隱蔽掃描(Stealth

Scanning)TCPSYN掃描：nmap

-sS

TCPFIN掃描：nmap

–sF

4、操作系統(tǒng)識(shí)別(OS

Fingerprinting)采用指紋識(shí)別技術(shù)Nmap可以發(fā)現(xiàn)目標(biāo)主機(jī)使用的操作系統(tǒng)，命令如：nmap

-sS

-O

2第29頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023294.3網(wǎng)絡(luò)嗅探技術(shù)網(wǎng)絡(luò)嗅探技術(shù)是提供給網(wǎng)絡(luò)安全管理人員進(jìn)行管理的工具，監(jiān)視網(wǎng)絡(luò)的狀態(tài)，數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌取?.3.1網(wǎng)絡(luò)嗅探的原理網(wǎng)絡(luò)嗅探是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)數(shù)據(jù)報(bào)文的一種工具。通過把網(wǎng)絡(luò)適配卡(一般如以太網(wǎng)卡)設(shè)置為一種混雜模式(Promiscuous)狀態(tài)，使網(wǎng)卡能接受傳輸在網(wǎng)絡(luò)上的每一個(gè)數(shù)據(jù)包。嗅探工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。第30頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023304.3.2網(wǎng)絡(luò)嗅探工具常用的網(wǎng)絡(luò)監(jiān)聽工具或技術(shù)有Winpcap、Sniffer、NetXray、Tcpdump等，下面依次介紹這些監(jiān)聽工具。1、WinpcapWinpcap(WindowsPacketCapture)是Windows平臺(tái)下捕獲IP網(wǎng)絡(luò)通訊數(shù)據(jù)包的驅(qū)動(dòng)類庫。通過這套類庫可以很方便的獲得通過本機(jī)網(wǎng)絡(luò)數(shù)據(jù)包，很多抓包工具Wireshark、ClearSight、Sniffer等工具都是基于Winpcap開發(fā)的。在Linux平臺(tái)上相應(yīng)的類庫為Libpcap。第31頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023314.3.2網(wǎng)絡(luò)嗅探工具Winpcap提供了以下功能：(1)捕獲原始數(shù)據(jù)包，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間交換的數(shù)據(jù)包；(2)在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉；(3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；(4)收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。第32頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023324.3.2網(wǎng)絡(luò)嗅探工具SnifferSniffer原本是提供給管理員的一類管理工具，主要用途是進(jìn)行數(shù)據(jù)包分析，通過網(wǎng)絡(luò)監(jiān)聽軟件，管理員可以觀測分析實(shí)時(shí)經(jīng)由的數(shù)據(jù)包，從而快速地進(jìn)行網(wǎng)絡(luò)故障定位。但是網(wǎng)絡(luò)監(jiān)聽工具也是攻擊者們常用的收集信息的工具。Sniffer網(wǎng)絡(luò)監(jiān)控主要包括：1)Monitor–>Matrix（主機(jī)會(huì)話監(jiān)控矩陣）2)Monitor–>ProtocolDistribution(協(xié)議分布狀態(tài)監(jiān)控，第33頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023334.3.2網(wǎng)絡(luò)嗅探工具3)Monitor–>GlobalStatistics（全局統(tǒng)計(jì)數(shù)據(jù)查看，4)Capture–>definefilter（過濾器的定制）NetXrayNetXRay是由CiscoNetworks公司開發(fā)的，用于監(jiān)視網(wǎng)絡(luò)狀態(tài)，并為優(yōu)化網(wǎng)絡(luò)性能提供數(shù)據(jù)的軟件。通過長時(shí)間的捕獲，依據(jù)統(tǒng)計(jì)數(shù)值分析網(wǎng)絡(luò)性能。網(wǎng)絡(luò)中包的捕捉和解碼，用于故障分析。第34頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023344.3.2網(wǎng)絡(luò)嗅探工具4、TcpdumpTcpdump是一個(gè)非常經(jīng)典的網(wǎng)絡(luò)包監(jiān)聽分析工具，它最初是由美國加州大學(xué)伯克利分校勞倫斯伯克利國家實(shí)驗(yàn)室的網(wǎng)絡(luò)研究小組開發(fā)，現(xiàn)在由“TheTcpdumpGroup”來更新和維護(hù)。Tcpdump(基于Libpcap)支持Solaris、HP-UX、Irix、BSD等多種操作系統(tǒng)平臺(tái)。針對(duì)不同的平臺(tái)，在具體安裝時(shí)各有不同。第35頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023354.4緩沖區(qū)溢出技術(shù)4.4.1緩沖區(qū)溢出原理緩沖區(qū)是指內(nèi)存中存放數(shù)據(jù)的地方。在程序試圖將數(shù)據(jù)放到機(jī)器內(nèi)存中的某一個(gè)位置時(shí)，如果沒有足夠的空間，就會(huì)發(fā)生緩沖區(qū)溢出。第36頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023364.4.1緩沖區(qū)溢出原理下面是一段簡單的C程序：voidSayHello(char*name){chartmpName[80];strcpy(tmpNname,name);printf("Hello%s\n",tmpName);}intmain(intargc,char**argv){if(argc!=2){printf("Usage:hello<name>.\n");return1;}SayHello(argv[1]);return0}第37頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023374.4.1緩沖區(qū)溢出原理上面的例子中，如果輸入的字符串長度超過80，則會(huì)造成name超出分配內(nèi)存區(qū)，發(fā)生錯(cuò)誤。在C語言中類似的函數(shù)還有：sprintf()、gets()、scanf()等。黑客要利用緩沖區(qū)溢出這個(gè)漏洞攻擊系統(tǒng)，通常要完成兩個(gè)任務(wù)，一是在程序的地址空間里安排適當(dāng)?shù)拇a，二是通過適當(dāng)?shù)某跏蓟拇嫫骱痛鎯?chǔ)器，讓程序跳轉(zhuǎn)到安排好的地址空間執(zhí)行。第38頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023384.4.1緩沖區(qū)溢出原理進(jìn)程在內(nèi)存的空間分成三個(gè)區(qū)：一是代碼區(qū)：存儲(chǔ)程序的可執(zhí)行代碼和只讀數(shù)據(jù)；二是數(shù)據(jù)區(qū)：又分為未初始化數(shù)據(jù)區(qū)(BSS)，存儲(chǔ)靜態(tài)分配的變量；初始化數(shù)據(jù)區(qū)，存儲(chǔ)程序的初始化數(shù)據(jù)；三是堆棧區(qū)：其中堆用于存儲(chǔ)程序運(yùn)行過程中動(dòng)態(tài)分配的數(shù)據(jù)塊；棧用于存儲(chǔ)函數(shù)調(diào)用所傳遞的參數(shù)、函數(shù)的返回地址、函數(shù)的局部變量等。第39頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023394.4.1緩沖區(qū)溢出原理每一次過程或函數(shù)調(diào)用，在堆棧中必須保存?zhèn)鬟f給函數(shù)的參數(shù)、函數(shù)返回后下一條指令的地址、函數(shù)中分配的局部變量、恢復(fù)前一個(gè)棧幀需要的數(shù)據(jù)(基地址寄存器的值)等數(shù)據(jù)。第40頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023404.4.1緩沖區(qū)溢出原理程序執(zhí)行后，如果輸入長度不超過80個(gè)字符的字符串，內(nèi)存情況如圖4-10(a)所示，如果輸入的字符串長度超過80，由于C語言不檢查字符串越界，字符串溢出給它分配的緩沖區(qū)，寫到相鄰的單元中去，把原來函數(shù)的返回地址改寫了，致使函數(shù)無法正確返回。第41頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023414.4.2對(duì)緩沖區(qū)溢出漏洞攻擊的分析1、代碼放置的方法有兩種在被攻擊程序地址中間放置代碼的方法：植入法和利用已存在的代碼。1)植入法：攻擊者向被攻擊的程序輸入一個(gè)字符串，程序會(huì)把這個(gè)字符串放到緩沖區(qū)里。攻擊者在這個(gè)字符串中包含可以在這個(gè)被攻擊的硬件平臺(tái)上運(yùn)行的指令序列。2)利用已存在代碼：有時(shí)攻擊者想要的代碼已經(jīng)在被攻擊的程序中，攻擊者所要做的只是對(duì)代碼傳遞—些參數(shù)，然后使用程序跳轉(zhuǎn)到選定的目標(biāo)。例如，攻擊代碼要求執(zhí)行exec(“/bin/sh”)，而在libc庫中的代碼執(zhí)行exec(arg)，其中arg是一個(gè)指向字符串的指針變量，那么攻擊者要做的就是將字符串“/bin/sh”做為參數(shù)傳給arg，然后調(diào)用libc庫中相應(yīng)的指令序列。第42頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023424.4.2對(duì)緩沖區(qū)溢出漏洞攻擊的分析2、控制程序轉(zhuǎn)移的方法最基本的方法就是溢出一個(gè)沒有邊界檢查或者有其他弱點(diǎn)的緩沖區(qū)，擾亂程序的正常執(zhí)行順序。許多的緩沖區(qū)溢出是用暴力的方法改寫程序的指針，按照其程序空間的突破和內(nèi)存定位不同，可以分成以下幾類：1)激活記錄：每當(dāng)一個(gè)函數(shù)調(diào)用發(fā)生時(shí)，調(diào)用者會(huì)在堆棧中留下一個(gè)激活記錄，它包含了函數(shù)結(jié)束時(shí)的返回地址。攻擊者通過溢出這些自動(dòng)變量，使這個(gè)返回地址指向攻擊代碼。通過改變程序的返回地址，當(dāng)函數(shù)調(diào)用結(jié)束時(shí)，程序就跳轉(zhuǎn)到攻擊者設(shè)定的地址，而不是返回原先的地址。這類的緩沖區(qū)溢出被稱為堆棧溢出攻擊（StackSmashingAttack），2)函數(shù)指針：函數(shù)指針變量可以用來定位任何地址空間，所以攻擊者只需在函數(shù)指針附近找到一個(gè)能夠溢出緩沖區(qū)，然后溢出這個(gè)緩沖區(qū)來改變函數(shù)指針，使之指向攻擊代碼。當(dāng)程序通過函數(shù)指針調(diào)用函數(shù)時(shí)，實(shí)際就執(zhí)行了攻擊代碼。3)長跳轉(zhuǎn)緩沖區(qū)：在C語言中包含了一個(gè)簡單的檢驗(yàn)恢復(fù)系統(tǒng)，稱為setjmp/longjmp。可以用setjmp(buffer)來設(shè)定檢驗(yàn)點(diǎn)，而用longjmp(buffer)來恢復(fù)到檢驗(yàn)點(diǎn)。如果攻擊者能夠進(jìn)入緩沖區(qū)空間，那么longjmp實(shí)際上是跳轉(zhuǎn)到攻擊者的代碼上面。第43頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023434.4.3緩沖區(qū)溢出的保護(hù)目前有四種基本的方法保護(hù)緩沖區(qū)免受緩沖區(qū)溢出的攻擊和影響。1、強(qiáng)制編寫正確代碼的方法。2、通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者植入攻擊代碼。這種方法有效地阻止了很多緩沖區(qū)溢出的攻擊，但是攻擊者并不—定靠植入代碼來實(shí)施攻擊，這是這種方法存在的弱點(diǎn)。3、利用編譯器的邊界檢查來實(shí)現(xiàn)緩沖區(qū)的保護(hù)。這個(gè)方法是通過使緩沖區(qū)溢出不可能出現(xiàn)，從而消除這種威脅，但是這種實(shí)施方式的代價(jià)較大。4、使用一種間接的方法，該方法在程序指針失效前進(jìn)行完整性檢查。雖然這種方法不能使所有的緩沖區(qū)溢出失效，但它可以阻止絕大多數(shù)的緩沖區(qū)溢出攻擊。第44頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023444.4.3緩沖區(qū)溢出的保護(hù)除了在開發(fā)階段要注意編寫正確的代碼之外，對(duì)于用戶而言，還應(yīng)注意以下幾個(gè)方面：1)關(guān)閉不必要的端口或服務(wù)，管理員應(yīng)該知道自己的系統(tǒng)上安裝了什么，并且哪些服務(wù)正在運(yùn)行；2)軟件漏洞公開后，大的廠商就會(huì)及時(shí)提供補(bǔ)丁，用戶應(yīng)及時(shí)下載安裝軟件廠商的補(bǔ)??；3)在防火墻上過濾特殊的流量等。第45頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023454.5DoS攻擊技術(shù)4.5.1拒絕服務(wù)概述DoS是DenialofService的簡稱，即拒絕服務(wù)，造成拒絕服務(wù)的攻擊行為被稱為DoS攻擊。拒絕服務(wù)攻擊是指一個(gè)用戶占據(jù)了大量的共享資源，使系統(tǒng)沒有剩余的資源給其他用戶提供服務(wù)的一種攻擊力式。對(duì)DoS而言，主要使用的攻擊方式有TCPSYNFlood、UDPFlood、Smurf等。第46頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023464.5.2DoS攻擊方法1、TCPSYNFloodTCPSYNFlood攻擊是最常見又最容易被利用的一種攻擊手法。在TCP/IP協(xié)議中，采用三次握手建立一個(gè)連接。但是TCPSYNFlood在實(shí)現(xiàn)過程中只進(jìn)行前2個(gè)步驟：當(dāng)服務(wù)器端發(fā)出SYN-ACK確認(rèn)消息后，客戶端由于采用源地址欺騙等手段使得服務(wù)器端收不到ACK回應(yīng)；于是，服務(wù)器端會(huì)在一定時(shí)間處于等待接收客戶端ACK消息的狀態(tài)。對(duì)于服務(wù)器來說，由于需要分配一定的資源給每一個(gè)等待的連接，因此可用的TCP連接是有限的。如果惡意攻擊短時(shí)間內(nèi)發(fā)送大量的此類連接請(qǐng)求，該服務(wù)器可用的TCP連接隊(duì)列將很快被阻塞，系統(tǒng)可用資源急劇減少，甚至?xí)?dǎo)致服務(wù)器的系統(tǒng)崩潰。第47頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023474.5.2DoS攻擊方法2、UDPFloodUDPFlood攻擊是導(dǎo)致基于網(wǎng)絡(luò)帶寬的服務(wù)拒絕攻擊的一種。UDP是一種無連接的協(xié)議，而且它不需要用任何程序建立連接來傳輸數(shù)據(jù)。當(dāng)攻擊者隨機(jī)地向受害系統(tǒng)的端口發(fā)送UDP數(shù)據(jù)包的時(shí)候，就可能發(fā)生了UDPFlood攻擊。當(dāng)受害系統(tǒng)接收到一個(gè)UDP數(shù)據(jù)包時(shí)，如果攻擊數(shù)據(jù)包的目的端口在受害系統(tǒng)中沒有應(yīng)用程序開放，它就會(huì)產(chǎn)生一個(gè)目的地址無法連接的ICMP數(shù)據(jù)包發(fā)送給該偽造的源地址。如果向受害者系統(tǒng)發(fā)送了足夠多UDP數(shù)據(jù)包的時(shí)候，網(wǎng)絡(luò)可用帶寬迅速縮小，導(dǎo)致正常的連接不能進(jìn)入。第48頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023484.5.3分布式拒絕服務(wù)攻擊DDoS是一種基于分布式的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎和政府部門站點(diǎn)。它也是2000年以來最流行的攻擊方法之一。分布式拒絕服務(wù)攻擊是利用DoS攻擊方式(如SYNFlood)，通過大量的主機(jī)同時(shí)攻擊某一個(gè)目標(biāo)，使目標(biāo)消耗掉大量的系統(tǒng)資源從而無法正常工作。用來實(shí)施分布式拒絕服務(wù)攻擊的著名程序有：TFN2K、Trinoo、Stacheldraht等。第49頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023494.5.3分布式拒絕服務(wù)攻擊攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet是有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時(shí)不會(huì)受監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。由于黑客沒有直接去控制代理端。因此增加了追查DDoS攻擊者的難度。從第50頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023504.5.4實(shí)施DDoS攻擊的工具1、TrinooTrinoo是復(fù)雜的DDoS攻擊程序，它使用“主控”(master)程序?qū)?shí)際實(shí)施攻擊的任何數(shù)量的“代理”程序?qū)崿F(xiàn)自動(dòng)控制。攻擊者連接到安裝了主程序的計(jì)算機(jī)，啟動(dòng)master程序，然后根據(jù)一個(gè)IP地址的列表，由master程序負(fù)責(zé)啟動(dòng)所有的代理程序。接著，代理程序用UDP信息包攻擊網(wǎng)絡(luò)，從而攻擊目標(biāo)。在攻擊之前，侵入者為了安裝軟件，已經(jīng)控制了裝有master程序的計(jì)算機(jī)和所有裝有代理程序的計(jì)算機(jī)。第51頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023514.5.4實(shí)施DDoS攻擊的工具TrinooDDoS攻擊的基本特性1)在master程序與代理程序的所有通信中，trinoo都使用了UDP協(xié)議。入侵檢測軟件能夠?qū)ふ沂褂肬DP協(xié)議的數(shù)據(jù)流(類型17)。2)Trinoomaster程序的監(jiān)聽端口是27655，攻擊者一般借助telnet通過TCP連接到master程序所在的計(jì)算機(jī)。入侵檢測軟件能夠搜索到使用TCP(類型6)并連接到端口27655的數(shù)據(jù)流。3)所有從master程序到代理程序的通信都包含字符串“144”，并且被引導(dǎo)到代理的UDP端口27444。入侵檢測軟件檢查到UDP端口27444的連接，如果有包含字符串“144”的信息也被發(fā)送過去，那么接受這個(gè)信息包的計(jì)算機(jī)可能就是DDoS代理。4)Master和代理之間通信受到口令的保護(hù)，但是口令不是以加密格式發(fā)送的，因此它可以被“嗅探”到并被檢測出來。第52頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023524.5.4實(shí)施DDoS攻擊的工具trinoo網(wǎng)絡(luò)就可以按照如下步驟被拆除：1)在代理daemon上使用“strings”命令，將master的IP地址暴露以來。2)與所有作為Trinoomaster的機(jī)器管理者聯(lián)系，通知它們這一事件。3)在master計(jì)算機(jī)上，識(shí)別含有代理IP地址列表的文件，得到這些計(jì)算機(jī)的IP地址列表。4)向代理發(fā)送一個(gè)偽造“Trinoo”命令來禁止代理。通過crontab文件(在UNIX系統(tǒng)中)的—個(gè)條目，代理可以有規(guī)律地重新啟動(dòng)，因此，代理計(jì)算機(jī)需要一遍一遍地被關(guān)閉，直到代理系統(tǒng)的管理者修復(fù)了crontab文件為止。5)檢查master程序的活動(dòng)TCP連接，這能顯示攻擊者與Trinoomaster程序之間存在的實(shí)時(shí)連接。第53頁，課件共59頁，創(chuàng)作于2023年2月7/26/2023534.5.4實(shí)施DDoS攻擊的工具2、TFN和TFN2KTFN(TribeFloodNetwork)與Trinoo一樣，使用一個(gè)主控(master)程序與位于多個(gè)網(wǎng)絡(luò)上的攻擊代理進(jìn)行通信。可以由TFN發(fā)動(dòng)的攻擊包括：UDP攻擊、TCPSYN攻擊、ICMP回音請(qǐng)求攻擊以及ICMP廣播。第54頁，課件共59頁，創(chuàng)作于202