網(wǎng)絡(luò)攻擊原理課件

主要內(nèi)容電子欺騙技術(shù)拒絕服務(wù)攻擊Sniffer原理掃描技術(shù)原理緩沖區(qū)溢出BufferOverflow原理主要內(nèi)容電子欺騙技術(shù)電子欺騙技術(shù)?IP欺騙–假冒他人的IP地址來獲得信息或發(fā)送信息?Web欺騙–你能相信你所看到的信息嗎？?郵件欺騙–假冒他人的email地址發(fā)送信息電子欺騙技術(shù)?IP欺騙ARPSpoofARP協(xié)議是地址轉(zhuǎn)換協(xié)議，負(fù)責(zé)把IP地址轉(zhuǎn)換為MAC地址。在計(jì)算機(jī)中維護(hù)著一個(gè)ARP高速緩存，并且ARP高速緩存隨著計(jì)算機(jī)不斷的發(fā)出ARP請(qǐng)求和收到的ARP響應(yīng)而不斷更新。ARP高速緩存的目的是把機(jī)器的IP地址和MAC地址相互映射。ARPSpoof網(wǎng)絡(luò)攻擊原理課件IP欺騙IP欺騙就是攻擊者偽裝成目標(biāo)主機(jī)與其他計(jì)算機(jī)進(jìn)行通信IP欺騙是利用了IP協(xié)議中的一個(gè)缺陷：信任服務(wù)的基礎(chǔ)僅僅是建立在網(wǎng)絡(luò)地址的驗(yàn)證上。IP欺騙IP欺騙就是攻擊者偽裝成目標(biāo)主機(jī)與其他計(jì)算機(jī)進(jìn)行通信網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件Web欺騙Web欺騙的形式–使用相似的域名–改寫URLWeb欺騙Web欺騙的形式網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件DNS欺騙域名系統(tǒng)(DNS)是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫，它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。DNS服務(wù)器對(duì)自身無法解析的域名會(huì)自動(dòng)向其也DNS服務(wù)器查詢。DNS系統(tǒng)會(huì)對(duì)已經(jīng)查詢的結(jié)果進(jìn)行緩存DNS欺騙域名系統(tǒng)(DNS)是一種用于TCP/IP應(yīng)用程序的網(wǎng)絡(luò)攻擊原理課件DNS欺騙的實(shí)現(xiàn)當(dāng)用戶計(jì)算機(jī)向DNS服務(wù)器查詢域名時(shí)，如果服務(wù)器的緩存中已有相應(yīng)的記錄，DNS服務(wù)器就不會(huì)再向其他服務(wù)器查詢，直接將這條記錄返回用戶，假如緩存中的記錄是錯(cuò)誤的，用戶將訪問一個(gè)錯(cuò)誤的IP地址。為了實(shí)現(xiàn)這一點(diǎn)，攻擊者需要先偽造用戶的請(qǐng)求，讓DNS服務(wù)器向其他DNS服務(wù)器發(fā)送查詢請(qǐng)求，然后再偽造一個(gè)查詢應(yīng)答，這樣DNS會(huì)將這個(gè)偽造的應(yīng)答保存在緩存中。DNS欺騙的實(shí)現(xiàn)網(wǎng)絡(luò)攻擊原理課件拒絕服務(wù)攻擊政府網(wǎng)站–美國白宮的網(wǎng)站曾經(jīng)遭受拒絕服務(wù)攻擊

分布式拒絕服務(wù)–在2000年2月發(fā)生的一次對(duì)某些高利潤站點(diǎn)Yahoo、eBay、B等的拒絕服務(wù)攻擊，持續(xù)了近兩天，使這些公司遭受了很大的損失。事后這些攻擊確定為分布式的拒絕服務(wù)攻擊－8848網(wǎng)絡(luò)技術(shù)有限公司下屬的8848.net和8848.com等域名于2005年1月21日晚18：20突然無法訪問。幾千萬個(gè)來自百度搜索聯(lián)盟成員的IP地址在短時(shí)間之內(nèi)同時(shí)訪問8848首頁，造成分布式拒絕服務(wù)攻擊——DDOS攻擊，8848來到北京市公安局網(wǎng)監(jiān)處進(jìn)行取證，并聘請(qǐng)兩家律師事務(wù)所做公正。拒絕服務(wù)攻擊政府網(wǎng)站DoS的技術(shù)分類DoS的技術(shù)分類一些典型的DoS攻擊一些典型的DoS攻擊PingofDeath原理：直接利用ping包，即ICMPEcho包，有些系統(tǒng)在收到大量比最大包還要長的數(shù)據(jù)包，會(huì)掛起或者死機(jī)攻擊做法ping–l65540防止措施–打補(bǔ)丁：現(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP實(shí)現(xiàn)都已實(shí)現(xiàn)對(duì)付超大尺寸的包，并且大多數(shù)防火墻能夠自動(dòng)過濾這些攻擊PingofDeath原理：直接利用ping包，即ICMTeardropIP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack4以前的NT）在收到含有重疊偏移的偽造分段時(shí)將崩潰。TeardropIP分段含有指示該分段所包含的是原包的哪一段網(wǎng)絡(luò)攻擊原理課件Teardrop原理：利用IP包的分片裝配過程中，由于分片重疊，計(jì)算過程中出現(xiàn)長度為負(fù)值，在執(zhí)行memcpy的時(shí)候?qū)е孪到y(tǒng)崩潰Teardrop原理：利用IP包的分片裝配過程中，由于分片重SYNFlood請(qǐng)求端發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文給服務(wù)器，服務(wù)器收到這個(gè)包后產(chǎn)生SYN|ACK標(biāo)志的TCP報(bào)文返回給請(qǐng)求端，請(qǐng)求端收到該包后又會(huì)發(fā)送一個(gè)ACK的包給服務(wù)器，經(jīng)過這三次握手，連接才正式建立。而在服務(wù)器向請(qǐng)求端發(fā)返回包時(shí)，它會(huì)等待請(qǐng)求端的ACK確認(rèn)包并會(huì)重試，這時(shí)這個(gè)連接被加到未完成的連接隊(duì)列中，直到收到ACK應(yīng)答后或超時(shí)才從隊(duì)列中刪除。攻擊者就是利用了這種等待，他會(huì)大量的模擬這種等待，服務(wù)器就會(huì)為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。SYNFlood請(qǐng)求端發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文給網(wǎng)絡(luò)攻擊原理課件Land攻擊Land攻擊Sniffer原理嗅探器(Sniffer)是一種在網(wǎng)絡(luò)上非常流行的軟件，嗅探器攻擊也是互聯(lián)網(wǎng)上非常普遍的攻擊類型，對(duì)入侵者來說，能給入侵者提供成千上萬的口令。嗅探器探測(cè)網(wǎng)絡(luò)中他人的封包信息，并通過協(xié)議分析，解析封包內(nèi)容Sniffer原理嗅探器(Sniffer)是一種在網(wǎng)絡(luò)上非常Sniffer工作原理共享式HUB的工作方式當(dāng)共享HUB接收到數(shù)據(jù)幀時(shí)，它并不知道如何傳輸?shù)侥康闹鳈C(jī)，它便把幀通過廣播傳送到網(wǎng)段的每一臺(tái)機(jī)器Sniffer工作原理共享式HUB的工作方式網(wǎng)卡的工作方式網(wǎng)卡的工作方式Sniffer的工作原理Sniffer就是一種能將本地網(wǎng)卡狀態(tài)設(shè)成混雜狀態(tài)的軟件，當(dāng)網(wǎng)卡處于這種方式時(shí)，網(wǎng)卡對(duì)每一個(gè)幀都產(chǎn)生一個(gè)中斷，通知操作系統(tǒng)做出處理。Sniffer通過對(duì)每幀的處理，分析得到相應(yīng)內(nèi)容。Sniffer的工作原理交換式網(wǎng)絡(luò)上的Sniffer交換機(jī)內(nèi)部的單片機(jī)程序能儲(chǔ)存每個(gè)接口主機(jī)的MAC地址，在接收到數(shù)據(jù)幀時(shí)，能根據(jù)接口的MAC地址將數(shù)據(jù)幀發(fā)向目的地。在交換環(huán)境中，也存在Sniffer攻擊，可以通過欺騙的方法使用報(bào)文發(fā)到攻擊者的計(jì)算機(jī)里。交換式網(wǎng)絡(luò)上的SnifferWindows簡易sniffer實(shí)現(xiàn)rawsocket的實(shí)現(xiàn)方法winpcap的實(shí)現(xiàn)方法Windows簡易sniffer實(shí)現(xiàn)rawsocket的winpcap簡介WinPcap是由伯克利包捕獲庫派生而來的包捕獲庫，它是在Windows操作平臺(tái)上來實(shí)現(xiàn)對(duì)底層包的截取過濾。WinPcap在Windows平臺(tái)下網(wǎng)絡(luò)數(shù)據(jù)包捕獲的體系結(jié)構(gòu)是由一個(gè)核心的包過濾驅(qū)動(dòng)程序，一個(gè)底層的動(dòng)態(tài)連接庫Packet.dll和一個(gè)高層的獨(dú)立于系統(tǒng)的函數(shù)庫winpcap組成。底層的包捕獲驅(qū)動(dòng)程序?qū)嶋H為一個(gè)協(xié)議網(wǎng)絡(luò)驅(qū)動(dòng)程序，通過對(duì)NDIS中函數(shù)的調(diào)用為Win95、Win98、WinNT、和Win2000提供一類似于UNIX系統(tǒng)下BerkeleyPacketFilter的捕獲和發(fā)送原始數(shù)據(jù)包的能力。Packet.dll是對(duì)這個(gè)BPF驅(qū)動(dòng)程序進(jìn)行訪問的API接口，同時(shí)它有一套符合Libpcap接口（UNIX下的捕獲函數(shù)庫）的函數(shù)庫。winpcap簡介WinPcap是由伯克利包捕獲庫派生而網(wǎng)絡(luò)攻擊原理課件WinPcap包括三個(gè)部分：第一個(gè)模塊NPF(NetgroupPacketFilter)，是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件。它的功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給用戶態(tài)模塊，這個(gè)過程中包括了一些操作系統(tǒng)特有的代碼。第二個(gè)模塊packet.dll為win32平臺(tái)提供了一個(gè)公共的接口。第三個(gè)模塊Wpcap.dll是不依賴于操作系統(tǒng)的,它提供了更加高層、抽象的函數(shù)。WinPcap包括三個(gè)部分：第一個(gè)模塊NPF(NetgroWinpcap報(bào)文截取的實(shí)現(xiàn)

1)獲取指定的監(jiān)聽的網(wǎng)卡名如果本機(jī)只有一張網(wǎng)卡，調(diào)用pcap_lookupdev函數(shù)即可獲得網(wǎng)卡名。如果有多張網(wǎng)卡則需要調(diào)用pcap_findalldevs函數(shù)，獲得所有網(wǎng)卡名，指定用來監(jiān)聽的網(wǎng)卡名Winpcap報(bào)文截取的實(shí)現(xiàn)1)獲取指定的監(jiān)聽的網(wǎng)卡名2)建立監(jiān)聽會(huì)話獲得指定監(jiān)聽的網(wǎng)卡名后，調(diào)用pcap_open_live函數(shù)在指定的網(wǎng)卡上建立一個(gè)監(jiān)聽會(huì)話。該函數(shù)所做的工作是把指定的網(wǎng)卡設(shè)為混雜模式，把Winpcap的網(wǎng)絡(luò)報(bào)文截取組件加載到系統(tǒng)中，并對(duì)監(jiān)聽會(huì)話超時(shí)參數(shù)和所截取的報(bào)文最大長度參數(shù)進(jìn)行設(shè)置。2)建立監(jiān)聽會(huì)話編譯過濾規(guī)則，設(shè)置過濾器如果我們需要監(jiān)聽某種類型的網(wǎng)絡(luò)流量，則需要使用BPF的語法，調(diào)用函數(shù)pcap_compile對(duì)規(guī)則進(jìn)行編譯（比如我們只需要監(jiān)聽80端口的流量，規(guī)則描述即為字符串“port80”），再調(diào)用pcap_setfilter函數(shù)對(duì)過濾器進(jìn)行設(shè)置。編譯過濾規(guī)則，設(shè)置過濾器截取網(wǎng)絡(luò)報(bào)文設(shè)置好過濾器后，就調(diào)用函數(shù)pcap_loop進(jìn)行循環(huán)監(jiān)聽。該函數(shù)對(duì)進(jìn)行報(bào)文協(xié)議分析的入口通過回調(diào)函數(shù)的形式進(jìn)行指定，啟動(dòng)網(wǎng)絡(luò)報(bào)文截取組件進(jìn)行網(wǎng)絡(luò)報(bào)文截取，通過回調(diào)機(jī)制（非阻塞模式）對(duì)截取到的報(bào)文進(jìn)行處理。截取網(wǎng)絡(luò)報(bào)文關(guān)閉監(jiān)聽會(huì)話當(dāng)停止截取網(wǎng)絡(luò)報(bào)文時(shí)，就調(diào)用函數(shù)pcap_close來關(guān)閉監(jiān)聽會(huì)話。關(guān)閉監(jiān)聽會(huì)話掃描技術(shù)原理?主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠(yuǎn)程主機(jī)開放的端口以及服務(wù)。通過端口掃描可以得到許多有用的信息：如目標(biāo)主機(jī)正在運(yùn)行的是什么操作系統(tǒng)，正在運(yùn)行什么服務(wù)，運(yùn)行服務(wù)的版本等漏洞掃描：使用漏洞掃描程序?qū)δ繕?biāo)主機(jī)系統(tǒng)進(jìn)行信息查詢，可以發(fā)現(xiàn)系統(tǒng)中存在不安全的地方。漏洞掃描的原理就是向目標(biāo)主機(jī)發(fā)送一系列的咨詢，根據(jù)目標(biāo)主機(jī)的應(yīng)答來判斷漏洞是否存在掃描技術(shù)原理?主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，主主機(jī)掃描主機(jī)掃描網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件端口掃描端口掃描網(wǎng)絡(luò)攻擊原理課件SYN掃描、SYN|ACK掃描、FIN掃描SYN掃描、SYN|ACK掃描、FIN掃描網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件緩沖區(qū)溢出BufferOverflow緩沖區(qū)溢出BufferOverflow網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件在高級(jí)語言中，程序函數(shù)調(diào)用時(shí)，計(jì)算機(jī)做如下操作：1)把參數(shù)壓入堆棧2)把返回地址壓入堆棧3)基址寄存器EBP壓入堆棧，當(dāng)前ESP拷貝到EBP中4)為局部變量留出一定空間，ESP減去適當(dāng)?shù)臄?shù)值在高級(jí)語言中，程序函數(shù)調(diào)用時(shí)，計(jì)算機(jī)做如下操作：網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件網(wǎng)絡(luò)攻擊原理課件緩沖區(qū)溢出實(shí)例演示注意觀察EIP,ESP寄存器中地址的變化。緩沖區(qū)溢出實(shí)例演示一般而言，攻擊者利用緩沖區(qū)溢出漏洞并不是僅僅想使程序崩潰，而是想通過這種攻擊做更多的事。如通過緩沖區(qū)溢出提升權(quán)限，從而獲得對(duì)系統(tǒng)更多的訪問和控制權(quán)。這些目的的實(shí)現(xiàn)就是由所謂的Shellcode來完成的。一般而言，