03網(wǎng)絡(luò)攻擊與防范資料

第3章網(wǎng)絡(luò)攻擊與防范本章內(nèi)容網(wǎng)絡(luò)攻擊概述

3.1信息收集

3.2控制或破壞目標(biāo)系統(tǒng)3.3網(wǎng)絡(luò)后門技術(shù)

3.4引導(dǎo)案例:目前，網(wǎng)上一些利用“網(wǎng)絡(luò)釣魚”手法，如建立假冒網(wǎng)站或發(fā)送含有欺詐信息的電子郵件，盜取網(wǎng)上銀行、網(wǎng)上證券或其他電子商務(wù)用戶的帳戶密碼，從而竊取用戶資金,諸如此類的違法犯罪活動不斷增多。如何識別網(wǎng)絡(luò)釣魚網(wǎng)站和網(wǎng)絡(luò)上潛在的威逼？本章將全面提示網(wǎng)絡(luò)攻擊和網(wǎng)站假冒釣魚技術(shù)的真面目。日志清除技術(shù)3.5網(wǎng)絡(luò)攻擊概述3.1目前網(wǎng)絡(luò)安全領(lǐng)域爭論趨勢越來越留意攻防結(jié)合，追求動態(tài)安全。形成了兩個不同的角度和方向:攻擊技術(shù)和防范技術(shù),兩者相輔相成，互為補充。爭論黑客常用的攻擊手段和工具必定為防范技術(shù)供給啟發(fā)和新的思路,利用這些攻擊手段和工具對網(wǎng)絡(luò)進展模擬攻擊,也可以找出目標(biāo)網(wǎng)絡(luò)的漏洞和弱點。3.1.1信息系統(tǒng)的弱點和面臨的威逼信息系統(tǒng)的弱點和漏洞通常指各種操作系統(tǒng)和應(yīng)用軟件由于設(shè)計的疏忽、配置不當(dāng)或編碼的缺陷造成系統(tǒng)存在可以被黑客利用的“后門”或“入口”。沒有確定安全的系統(tǒng)，任何系統(tǒng)都存在漏洞，黑客在攻擊一個目標(biāo)系統(tǒng)時，通常先承受各種手段去探測目標(biāo)系統(tǒng)可能存在的漏洞。假設(shè)操作系統(tǒng)存在漏洞或弱點，往往特殊危急，大局部黑客攻擊都利用了網(wǎng)絡(luò)操作系統(tǒng)的漏洞，如IIS漏洞、UNICODE漏洞、輸入法漏洞等。1.物理威逼偷竊、廢物搜尋、間諜行為和身份識別錯誤?！?〕偷竊。包括偷竊設(shè)備、偷竊信息和偷竊效勞等內(nèi)容?！?〕廢物搜尋。在廢物或垃圾箱中搜尋所需要的信息?！?〕間諜行為。為了獵取有價值的機密，承受不道德的手段獵取信息的行為?！?〕身份識別錯誤。非法建立文件或記錄，企圖把他們作為有效的、正式生產(chǎn)的文件或記錄?？诹钊μ?，口令破解，算法考慮不周和編輯口令?！?〕口令圈套。是網(wǎng)絡(luò)安全的一種陰謀，與冒名頂替有關(guān)?！?〕口令破解。就像是猜測自行車密碼鎖的數(shù)字組合一樣，在該領(lǐng)域中已形成很多能提高成功率的技巧?！?〕算法考慮不周。在一些攻擊入侵案例中，入侵者承受超長的字符串破壞了口令算法?！?〕編輯口令。需要依靠操作系統(tǒng)漏洞。2.身份鑒別威逼〔1〕竊聽。對通信過程進展竊聽可到達收集信息的目的，這種電子竊聽的竊聽設(shè)備不需要確定安裝在電纜上，可以通過檢測從連線上放射出來的電磁輻射就能拾取所要的信號?！?〕撥號進入。就像是猜測自行車密碼鎖的數(shù)字組合一樣，在該領(lǐng)域中已形成很多能提高成功率的技巧?！?〕冒名頂替。通過使用被人的密碼和賬號，獲得對網(wǎng)絡(luò)及其數(shù)據(jù)、程序的使用力氣。3.線纜連接造成的威逼有害程序造成的威逼包括三個方面：病毒、代碼炸彈和特洛伊木馬?！?〕病毒一種把自己的拷貝附著于機器上另一程序上的一段代碼。通過這種方式，病毒可以進展自我復(fù)制，并隨著它所附著的程序在機器間傳播。〔2〕代碼炸彈一種具有殺傷力的代碼，其原理是一旦到達設(shè)定的時間或者條件，代碼炸彈就被觸發(fā)并開頭產(chǎn)生破壞性的操作?！?〕特洛伊木馬這種程序一旦被裝到機器上，便可按編制者的意圖行事。能夠摧毀數(shù)據(jù)，有時候偽裝成系統(tǒng)已有的程序創(chuàng)立新的用戶名和口令。4.有害程序造成的威逼在軟件方面有兩種選擇：一是使用成熟的工具，如Sniffer，X-Scan軟件；二是自己編制程序，如用C、C++等語言編程。編程時必需生疏兩方面學(xué)問；一是兩大主流的操作系統(tǒng)〔UNIX和WINDOWS〕；二是網(wǎng)絡(luò)協(xié)議：TCP、IP、UDP、SMTP、POP、FTP。3.1.2網(wǎng)絡(luò)攻擊的方法及步驟黑客攻擊五部曲1〕隱蔽IP：入侵“肉雞“；做多級跳“Sock”代理。2〕信息收集：通過各種途徑對所要攻擊的目標(biāo)進展多方面了解，掃描是信息收集的主要方法，其目的就是利用各種工具在目標(biāo)IP地址或地址段的主機上查找漏洞。3〕把握或破壞目標(biāo)系統(tǒng)：獵取系統(tǒng)把握權(quán)，到達攻擊目的。4〕種植后門：在已經(jīng)攻破的計算機上種植一些供自己訪問的后門。5〕在網(wǎng)絡(luò)中隱身。在入侵完畢后需要去除登錄日志及其他相關(guān)日志。信息收集3.2入侵者在攻擊目標(biāo)系統(tǒng)前都會想方設(shè)法收集盡可能多的信息。無論目標(biāo)網(wǎng)絡(luò)規(guī)模有多大，安全指數(shù)有多高，只要是人設(shè)計的網(wǎng)絡(luò)就必定缺陷。事實上入侵者獲得的信息越多，他們覺察的缺陷就越多，入侵的可能性就越大。老練的黑客往往花費很多時間，信息收集、篩選、分析、再收集、在篩選、再分析?！皼]有無用的信息”。常用的信息收集方法：社交工程、DNS查詢、搜尋引擎搜尋、掃描等。3.2.1社交工程社交工程其實是一種詐術(shù)，主要通過人工或網(wǎng)絡(luò)間接獵取攻擊對象的信息資料〔被攻擊者的個人資料，所在單位的主要狀況，網(wǎng)絡(luò)使用狀況，可能需要的網(wǎng)絡(luò)拓撲圖〕。一個好的社交工程師不要太高的學(xué)歷和技術(shù)水平，只要有把握人心理的力氣。1、端口掃描原理把沒有開啟端口號的計算機看做是一個密封的房間，密封的房間固然不行能承受外界的訪問，當(dāng)系統(tǒng)開啟了一個可以讓外界訪問的程序后它自然需要在房間上開一個窗口來承受來自外界的訪問，這個窗口就是端口，端口號是具有網(wǎng)絡(luò)功能的應(yīng)用軟件的標(biāo)識號。在端口掃描過程中，入侵者嘗試與目標(biāo)主機的某些端口建立連接，假設(shè)有回復(fù)，則說明該端口開放，即為“活動端口”。掃描主機自動向目標(biāo)計算機的指定端口發(fā)送SYN數(shù)據(jù)段，表示發(fā)送建立連接懇求。3.2.2端口掃描技術(shù)〔1〕全TCP連接。使用三次握手與目標(biāo)計算機建立標(biāo)準(zhǔn)的TCP連接?！?〕半翻開式掃描〔SYN掃描〕?！?〕FIN掃描。端口掃描的三種方式2.PortScan端口掃描使用工具軟件PortScan、X-port、SuperScan可以得到對方計算機都開放了哪些端口。1.漏洞掃描原理依據(jù)工作模式，漏洞掃描器分為主機和網(wǎng)絡(luò)漏洞掃描器。網(wǎng)絡(luò)漏洞掃描器通過遠程檢測目標(biāo)主機TCP/IP不同端口的效勞，記錄目標(biāo)賜予的應(yīng)答來搜集目標(biāo)主機上的各種信息，然后與系統(tǒng)的漏洞庫進展匹配，假設(shè)滿足匹配條件，則認為安全漏洞存在，或者通過模擬黑客的攻擊手法對目標(biāo)主機進展攻擊，假設(shè)模擬攻擊成功，則認為安全漏洞存在。3.2.3漏洞掃描主機漏洞掃描器則通過在主機本地的代理程序?qū)ο到y(tǒng)配置、注冊表、系統(tǒng)日志、文件系統(tǒng)或數(shù)據(jù)庫活動進展監(jiān)視掃描，搜集他們的信息，然后與系統(tǒng)的漏洞庫進展比較，假設(shè)滿足匹配條件，則認為安全漏洞存在。在匹配原理上，目前漏洞掃描器大都承受基于規(guī)章的匹配技術(shù)。漏洞掃描器通常以三種形式消逝：單一的掃描軟件、基于C/S模式或B/S模式、其他安全產(chǎn)品組件。2.X-Scan漏洞掃描是一個完全免費的軟件，由安全焦點在2023年公布?！?〕系統(tǒng)要求〔2〕功能介紹承受多線程方式對指定IP地址段或單機進展安全漏洞檢測，支持插件功能。掃描的主要內(nèi)容包括：遠程效勞類型、操作系統(tǒng)類型和版本、各種弱口令漏洞、后門、應(yīng)用效勞漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕效勞漏洞等等。X-Scan掃描結(jié)果保存在/log/名目中，index_*.htm為掃描結(jié)果索引文件。X-Scan主界面如圖?？梢赃x擇菜單欄設(shè)置下的菜單項“掃描參數(shù)”，掃描參數(shù)的設(shè)置如圖。下面需要確定掃描主機的IP地址或者IP地址段，選擇菜單欄設(shè)置下的菜單項“掃描參數(shù)”，如圖設(shè)置完畢后，進展漏洞掃描，單擊工具欄上的圖標(biāo)“開頭”，掃描結(jié)果如圖。1.網(wǎng)絡(luò)監(jiān)聽的技術(shù)原理要讓一臺主機實現(xiàn)監(jiān)聽，捕獲在整個網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，可將網(wǎng)卡置于混雜模式，全部的數(shù)據(jù)偵都將被網(wǎng)卡接收并交給上層協(xié)議軟件處理分析。在通常的網(wǎng)絡(luò)環(huán)境下，用戶的全部信息都是以明文傳輸。網(wǎng)絡(luò)監(jiān)聽常常需要監(jiān)聽主機保存大量捕獲到的信息并進展大量的整理工作，因此，正在進監(jiān)聽的機器對用戶的懇求響應(yīng)很慢。要防監(jiān)聽，最終使用交換式網(wǎng)絡(luò)或者將傳輸?shù)臄?shù)據(jù)進展加密。3.2.4網(wǎng)絡(luò)監(jiān)聽技術(shù)2.Sniffer軟件配置方法如下：〔1〕在進展流量捕獲前首先選擇網(wǎng)絡(luò)適配器，確定從計算機的哪個網(wǎng)絡(luò)適配器上接收數(shù)據(jù)，位置：File/SelectSettings，如圖(2)報文捕獲功能可以在報文捕獲面板中進展(3)捕獲過程中，可以通過查看如圖面板來查看捕獲報文的數(shù)量和緩沖區(qū)的利用率?！?〕設(shè)置捕獲條件。有兩種條件，如圖：鏈路層捕獲：按源MAC和目的MAC地址進展捕獲，輸入方式為十六進制連續(xù)輸入IP層捕獲：按源IP和目的IP進展捕獲。輸入方式為點間隔方式，如：。假設(shè)選擇IP層捕獲條件則ARP等報文將被過濾掉。如圖。在捕獲偵長度條件下，可以捕獲等于、小于、大于某個值的報文。在錯誤偵是否捕獲欄，可以選擇當(dāng)網(wǎng)絡(luò)上消逝某種錯誤時是否捕獲。單擊保存過濾規(guī)章條件按鈕“Profiles”，可以將當(dāng)前設(shè)置的過濾規(guī)章進展保存，在捕獲主面板中，可以選擇保存的捕獲條件?！?〕報文捕獲。在圖的Address下拉列表中，選擇抓包的類型為IP。如圖。〔6〕報文捕獲查看。Sniffer軟件供給了強大的分析力氣和解碼功能。對于捕獲報文供給了一個專家分析系統(tǒng)進展分析，還有解碼選項及圖形和表格的統(tǒng)計信息。對于某項統(tǒng)計分析，可以雙擊此條件記錄來查看具體統(tǒng)計信息且對于每一項都可以通過查看幫助來了解產(chǎn)生的緣由。圖所示為對捕獲報文進展解碼的顯示，通常分為三局部。通過前面所描述的各種信息收集和分析技術(shù)，找到目標(biāo)系統(tǒng)的漏洞或弱點后，就可以有針對性地對目標(biāo)系統(tǒng)進展各種攻擊，對目標(biāo)系統(tǒng)進展攻擊最常見的手段是破解對方的治理員張?zhí)柣蚶@過目標(biāo)系統(tǒng)的安全機制進入并把握目標(biāo)系統(tǒng)或讓目標(biāo)系統(tǒng)無法供給正常的效勞?？刂苹蚱茐哪繕?biāo)系統(tǒng)3.33.3.1密碼破譯技術(shù)1.獵取治理員密碼用戶登錄以后，全部的用戶信息都存儲在系統(tǒng)的“winlogon.exe”進程中，如以以下圖?？梢岳迷摮绦?qū)?dāng)前登錄用戶的密碼破解出來。使用FindPass等工具可以對該進程進展解碼，然后將當(dāng)前用戶的密碼顯示出來。將FindPass.exe復(fù)制到C盤根名目，執(zhí)行該程序，將得到當(dāng)前用戶的登錄名和密碼。窮舉測試是黑客試圖利用計算機去測試全部可能的口令而破解系統(tǒng)密碼的一種攻擊方式。字典文件為暴力破的解供給了一條捷徑，程序首先通過掃描得到系統(tǒng)的用戶，然后利用字典中每一個密碼來登錄系統(tǒng)。一個字典文件本身就是一個標(biāo)準(zhǔn)的文本文件，其中的每一行就代表一個可能的密碼。2.窮舉測試此外，可以先用GetNTUser測試出目標(biāo)系統(tǒng)中的全部的用戶，然后設(shè)置好字典文件就可以對某一用戶的口令進展破解，如圖?，F(xiàn)在可以進展窮舉測試的軟件很多，利用它們不僅可以破解操作系統(tǒng)的口令，同時也可以對一般軟件系統(tǒng)進展口令破解。SMB〔SessionMessageBlock，會話消息塊協(xié)議〕又叫做NetBIOS或LanManger協(xié)議，用于不同計算機之間文件、打印機、串口和通信的共享和用于windows平臺上供給磁盤和打印機的共享。3.3.2SMB致命攻擊下面介紹如何利用SMB協(xié)議讓對方操作系統(tǒng)重新啟動或藍屏。使用的工具軟件是SMBdieV1.0(對打了SP3\SP4補丁的計算機照舊有效,要完整防止攻擊,計算機必需打SMB補丁)。攻擊的需要兩個參數(shù)：對方的IP地址和機器名。軟件界面如以以下圖。然后單擊按鈕“Kill”，對方計算機馬上重啟或藍屏，目標(biāo)系統(tǒng)立刻崩潰。緩沖區(qū)溢出是一種特殊普遍、危急的漏洞，在各種操作系統(tǒng)和應(yīng)用軟件中廣泛存在，利用緩沖區(qū)溢出攻擊可以導(dǎo)致程序運行失敗、重新啟動等后果。更為嚴峻是可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進而進展各種非法操作。3.3.3緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊原理voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}格式化字符串參數(shù)個數(shù)不固定造成訪問越界數(shù)據(jù)intmain(void){inti=1,j=2,k=3;charbuf[]=“test“;printf(“%s%d%d%d\n“,buf,i,j,k);〔printf(“%s%d%d%d\n“,buf,i,j);〕return0;}利用%n格式符寫入跳轉(zhuǎn)地址intmain(void){intnum;inti=1,j=2,k=3;printf(“%d%d%d%n\n“,i,j,k,&num);printf(“%d\n“,num);return0;}利用Windows效勞器效勞存在緩沖區(qū)溢出漏洞，遠程得到有治理員權(quán)限的shell，成功執(zhí)行列出和刪除文件。利用微軟的特定版本的操作系統(tǒng)具有的漏洞進展緩沖區(qū)溢出攻擊的，針對操作系統(tǒng)的這種攻擊是影響范圍最廣、危害程度最大的一類攻擊。操作系統(tǒng)由于其簡潔性和普遍性，國際上的相關(guān)組織會定期公布操作系統(tǒng)的相關(guān)漏洞及解決方法，所以預(yù)防此類漏洞的方法是要準(zhǔn)時升級操作系統(tǒng)的版本，為操作系統(tǒng)打補丁。SQL注入攻擊是黑客對數(shù)據(jù)庫進展攻擊的常用手段之一。由于程序員的水平及閱歷問題，很多程序員沒有推斷用戶輸入數(shù)據(jù)的合法性，從而存在隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，依據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。3.3.4SQL注入攻擊一個經(jīng)典的SQL注入漏洞首先看一段登錄驗證代碼：<%onerrorresumenextifRequest(“name“)<>““andRequest(“psw“)<>““then DataName=“DB.db“ adm=Trim(Request(“name”))/*獵取用戶名，沒有經(jīng)過過濾*/psw=Trim(Request(“psw“)) setconn=server.CreateObject(“adodb.connection“) connstr=“Provider=Microsoft.jet.oledb.4.0;datasource=“&server.MapPath(DataName) conn.openconnstr setrs=conn.execute(“select*from[ADM]whereadm=‘”&adm&“’andpsw=‘”&psw&“’”)/*把獵取的用戶名密碼帶入SQL語句中查詢*/ ifnot(rs.bofandrs.eof)then Response.Write(“登錄成功!“) Response.end endifendif%>初看沒有什么問題，應(yīng)當(dāng)輸入正確的用戶名密碼才能進入得到治理授權(quán)，但是實際上我們在用戶名和密碼那里都填入‘OR’‘=’,一樣會成功登陸到治理頁面。為什么呢？我們把填入的‘OR’‘=’帶入查詢語句來看才覺察原來整個語句已經(jīng)被構(gòu)造成了：select*fromadminwhereadmin=””O(jiān)R””=””andpassword=””O(jiān)R””=”‘意思是當(dāng)admin為空或者空等于空，password為空或者空等于空的時候整個查詢語句就為真。很明顯空等于空，所以語句為真，我們也就滿足了程序的限制條件獲得了治理授權(quán)。這個漏洞的成因很簡潔，利用也很簡潔，但是卻道出了SQL注入技術(shù)的精華所在。那應(yīng)當(dāng)如何來修補漏洞呢？其實只需要過濾掉其中的特殊字符就可以解決問題了，這里我們就過濾掉其中的“‘”，即是把程序接收參數(shù)的兩行改為：

adm=replace(Trim(Request(“name”)),“”“,““)psw=replace(Trim(Request(“psw“)),“”“,““)下面以某個網(wǎng)站的登錄驗證的SQL查詢代碼為例介紹SQL注入的過程。該網(wǎng)站由于程序員的疏忽無視了對輸入的用戶名和密碼的長度的限制和特殊字符串的過濾。假設(shè)開發(fā)該網(wǎng)站的程序員所寫的登錄驗證的SQL語句為:“SELECT*FROMusersWHERE(name=‘”+userName+”’)and(pw=‘”+passWord+”’);”在該網(wǎng)站登錄的用戶名和密碼處輸入如下惡意SQL代碼：’ORl=l;在單擊“登錄”按鈕后，會成功登錄該網(wǎng)站，攻擊成功！為什么僅輸入幾個奇異的字符就可以成功入侵一個網(wǎng)站呢？事實上，在輸入惡意攻擊代碼后，該網(wǎng)站的用戶身份驗證的SQL語句被填為“SELECT*FROMusersWHERE(name=”O(jiān)Rl=l)and(pw=”O(jiān)Rl=l);”也就是實際上運行的SQL命令會變成下面這樣的：“SELECT*FROMusers；“因此到達無帳號密碼，也可登錄網(wǎng)站。所以SQL注入攻擊被俗稱為黑客的填空玩耍。目前有很多特地針對此項技術(shù)的漏洞掃描軟件和攻擊軟件。SQL注入攻擊的防范與突破目前比較常用的方法有以下四種：(1)在效勞端正式處理之前對提交數(shù)據(jù)的合法性進展檢查；(2)封裝客戶端提交信息；(3)替換或刪除敏感字符/字符串；(4)屏蔽出錯信息第一種應(yīng)當(dāng)是最根本的方法，在效勞端處理數(shù)據(jù)之前就進展嚴格的檢查，覺察非法就不提交給效勞器端處理，返回錯誤信息。下面給出一個網(wǎng)絡(luò)上比較通用的防注腳本。MicrosoftSQLServer2023桌面默認配置時用戶名是sa，密碼為空，假設(shè)數(shù)據(jù)庫治理員沒有準(zhǔn)時更改默認配置或配置時過于簡潔，該漏洞會被惡意利用。例如，通過瑞士軍刀等掃描工具，查找到開有1433端口的主機，假設(shè)該主機承受的是系統(tǒng)默認的配置或者數(shù)據(jù)庫登錄的口令密碼過于簡潔則可以成功入侵。通過sa和空口令，利用相應(yīng)工具獲得了對方治理員級權(quán)限的shell，并使用這個shell上傳、運行了文件，說明已經(jīng)獲得了對該機器的把握權(quán)。該攻擊利用了對方系統(tǒng)默認用戶假設(shè)口令的漏洞，并且該用戶具有最高的權(quán)限，使得攻擊者可以通過該漏洞輕易獲得系統(tǒng)的最高把握權(quán)。3.3.5MicrosoftSQLServer2023假設(shè)口令攻擊世界上第一個DoS攻擊：1988年11月發(fā)生的Morris蠕蟲大事。導(dǎo)致了5000多臺主機癱瘓。1999年秋天，CMU大學(xué)的CERT中心公布消逝一種新的攻擊：DDoS。2023年，世界上著名的電子商務(wù)網(wǎng)站：Yahoo、eBay、Amazon、CNN等都遭到了分布式拒絕效勞攻擊。3.3.6拒絕效勞攻擊拒絕效勞攻擊(DoS)：就是利用網(wǎng)絡(luò)協(xié)議本身的漏洞以及操作系統(tǒng)或應(yīng)用程序軟件實現(xiàn)的漏洞對計算機發(fā)動攻擊，使計算機無法正常對外供給效勞。除了利用各種漏洞進展攻擊，拒絕效勞攻擊也可以利用合法的效勞懇求來占用過多的效勞資源，使效勞過載，從而無法響應(yīng)其他用戶的合法懇求。這些效勞資源包括網(wǎng)絡(luò)帶寬、系統(tǒng)文件空間、CPU處理力氣、內(nèi)存空間、連接的進程數(shù)。目的：使目標(biāo)主機無法供給正常的效勞或是使目標(biāo)主機崩潰。而其他類型攻擊的目的都是為了獵取其把握權(quán)。拒絕效勞攻擊是一種廣泛存在的系統(tǒng)攻擊，這種攻擊的目的是使目標(biāo)主機停頓網(wǎng)絡(luò)效勞，而其他攻擊的目的往往是欲獵取主機的把握權(quán)。這種攻擊的危急性在于它可以在沒有獲得主機的任何權(quán)限的狀況下進展，只要主機連接在網(wǎng)絡(luò)上就可能受到攻擊。攻擊簡潔、簡潔到達目的、難于防止和追查困難1.DDos攻擊方式〔1〕SYN/ACKFlood攻擊。是最有效的經(jīng)典DDos方法，通殺各種系統(tǒng)的網(wǎng)絡(luò)效勞?！?〕TCP全連接攻擊。是為了繞過常規(guī)防火墻的檢查而設(shè)計的?！?〕CC攻擊。實質(zhì)是針對ASP、PHP、JSP等腳本程序，并調(diào)用MSSQLSERVER、MYSQLSERVER、ORACLE等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的。特征是和效勞器建立正常的TCP連接，并不斷地向腳本程序提交查詢、列表等大量消耗數(shù)據(jù)庫資源的調(diào)用，典型的以小搏大的攻擊方法。1.IP哄騙攻擊原理IP哄騙是在效勞器不存在任何漏洞的狀況下，通過利用TCP/IP協(xié)議本身存在的一些缺陷進展攻擊的方法。3.3.7哄騙攻擊IP哄騙攻擊的實例假設(shè)同一網(wǎng)段內(nèi)有兩臺主機A、B，另一網(wǎng)段內(nèi)有主機X。B授予A某些特權(quán)，X為獲得與A一樣的特權(quán)，所做的哄騙攻擊如下：首先，X冒充A，向主機B發(fā)送一個帶有隨機序列號的SYN包。主機B響應(yīng)，回送一個應(yīng)答包給A，該應(yīng)答號等于原序列號加1。假設(shè)此時主機A已被主機X利用拒絕效勞攻擊“漂移了”，導(dǎo)致主機A效勞失效，結(jié)果是主機A沒有收到主機B發(fā)來的包。主機X利用TCP三次握手的漏洞，主動向主機B發(fā)送一個冒充主機A的應(yīng)答包，其序列號等于主機B向主機A發(fā)送的序列號加1。此時主機X并不能檢測到主機B的數(shù)據(jù)包〔由于不在同一個網(wǎng)段〕，只有利用TCP挨次號估算法來猜測應(yīng)答包的挨次號并將其發(fā)送給目標(biāo)主機B。假設(shè)序列號正確的話，B則認為收到的ACK來自內(nèi)部主機A。此時X即獲得了主機A在B上所享有的特權(quán)，并開頭對這些效勞實施攻擊。2.ARP哄騙攻擊原理ARP〔AddressResolutionProtocol，地址解析協(xié)議〕是一個位于TCP/IP協(xié)議棧中的底層協(xié)議，負責(zé)將某個IP地址解析成對應(yīng)的MAC地址。ARP協(xié)議的根本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進展。ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP哄騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)堵塞，攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中不斷或中間人攻擊。ARP攻擊主要存在于局域網(wǎng)中，局域網(wǎng)中假設(shè)有一臺主機感染了ARP木馬，則感染該ARP木馬的機器將會試圖通過“ARP哄騙”手段截獲網(wǎng)絡(luò)內(nèi)其他計算機的通信信息，并因此造成網(wǎng)絡(luò)內(nèi)其他主機的通信故障。ARP攻擊的實例〔1〕選擇要攻擊的主機?！?〕選擇治理方式?！?〕確認無誤后單擊“開頭”按鈕，瞬間被攻擊的主機就顯示IP地址沖突。如P57圖3-43所示。假設(shè)要對局域網(wǎng)的網(wǎng)關(guān)進展攻擊的話，則會影響整個網(wǎng)絡(luò)上的主機。此外，“網(wǎng)絡(luò)執(zhí)法官”軟件主要功能是治理和維護網(wǎng)絡(luò)，而不是惡意破壞，讀者確定要留神使用，不要對正常上網(wǎng)的主機產(chǎn)生破壞。為了保持對就入侵的主機長期的把握,需要在主機上建立網(wǎng)絡(luò)后門,以后可以直接通過后門入侵系統(tǒng)，可以通過建立效勞端口和克隆治理員帳戶來實現(xiàn)。只要能不通過正常登錄進入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被治理員覺察的概率，只要是不簡潔被覺察的后門都是好后門。留后門的原理和選間諜是一樣的，就是讓治理員看了感覺沒有任何特殊的。網(wǎng)絡(luò)后門技術(shù)3.43.4.1后門技術(shù)1、遠程啟動Telnet效勞利用主機上的該效勞，有治理員密碼就可以登錄到對方的命令行，進而操作對方的文件系統(tǒng)。假設(shè)該效勞關(guān)閉，就不能登錄了〔Windows2023Server的該效勞是關(guān)閉的〕?？梢栽谶\行窗口中輸入tlntadmn.exe命令啟動本地Telnet效勞。在啟動的DOS窗口中輸入4，就可以啟動本地Telnet效勞了。利用工具RTCS.vbe可以遠程開啟對方的Telnet效勞，命令語法為：“cscriptRTCS.vbex.x.x.xadministrator123456123”，入侵到對方主機并得到治理員口令后，就可以對主機進展長期入侵了，但是一個好的治理員會每隔半個月就會修改一次密碼，這樣入侵就不起作用了。利用軟件Win2kPass.exe記錄修改的新密碼〔在Winnt\temp名目下的Config.ini文件或后綴名為ini的其他文件中〕。該軟件有“自殺“功能，就是當(dāng)執(zhí)行完畢后，自動刪除自己。2、記錄治理員口令修改正程３、建立Web效勞和Telnet效勞使用工具軟件wnc.exe可以在對方的主機上開啟兩個效勞：Web效勞〔808端口〕和Telnet效勞〔707端口〕。執(zhí)行完畢后，利用命令“netstat-an”來查看開啟的這兩個端口。效勞端口開啟成功后，可以連接該目標(biāo)主機供給的這兩個效勞了，如測試Web效勞的808端口，在掃瞄器地址欄中輸入://x.x.x.x:808，消逝主機的盤符列表，即可以到Winnt\temp名目下查看對方密碼修改記錄文件。終端效勞是WINDOWS操作系統(tǒng)自帶的，可以遠程通過圖形界面操縱效勞器。在默認的狀況下終端效勞的端口號是3389。如圖。3.4.2遠程把握技術(shù)效勞默認的端口是3389，可以利用命令“nettat-an”來查看該端口是否開放。如以以下圖。治理員為了遠程操作便利，效勞器上的該效勞一般都是開啟的。這就給黑客們供給一條可遠程圖形化操作主機的途徑。利用該效勞，目前使用的有兩種方法連接到對方主機：1〕使用Windows2023的遠程桌面連接工具。2〕使用WindowsXP的遠程桌面連接工具。木馬來自于特洛伊木馬(TrojanHorse)。特洛伊木馬是指黑客用來遠程把握目標(biāo)計算機的特殊程序。但凡非法駐留在目標(biāo)計算機里并執(zhí)行預(yù)定的操作，竊取目標(biāo)的私有信息，都屬特洛伊木馬。工作方式：多數(shù)為C/S模式，效勞器端安裝在目標(biāo)機里，監(jiān)聽等待攻擊者發(fā)出的指令；客戶端是用來把握目標(biāo)機器的局部，放在攻擊者機器上。木馬“PasswdSender”(口令郵差)可以不需要客戶端。3.4.2木馬技術(shù)木馬的偽裝：冒充圖象文件或玩耍程序；捆綁程序哄騙；將木馬程序與正常文件捆綁為一個程序；偽裝成應(yīng)用程序擴展組件；木馬名字為dll或ocx類型文件，掛在一個知名的軟件中。后兩種方式的哄騙性更大。木馬的特點隱蔽性強：木馬有很強的隱蔽性,在Windows中,假設(shè)某個程序消逝特殊,用正常的手段不能退出的時候,實行的方法是按“Ctrl＋Alt＋Del”鍵,跳出一個窗口,找到需要終止的程序,然后關(guān)閉它。早期的木馬會在按“Ctrl＋Alt＋Del”顯露出來,現(xiàn)在大多數(shù)木馬已經(jīng)看不到了。所以只能承受內(nèi)存工具來看內(nèi)存中是否存在木馬。功能特殊：通常的木馬的功能都是特殊特殊的，除了一般的文件操作以外，還有些木馬具有搜尋cache中的口令、設(shè)置口令、掃描目標(biāo)機器人的IP地址、進展鍵盤記錄、遠程注冊表的操作、以及鎖定鼠標(biāo)等功能,上面所講的遠程把握軟件的功能固然不會有的，究竟遠程把握軟件是用來把握遠程機器，便利自己操作而已，而不是用來黑對方的機器的。潛伏力氣強：外表上的木馬被覺察并刪除以后,后備的木馬在確定的條件下會跳出來。Glacier(冰河)有兩個效勞器程序，掛在注冊表的啟動組中的是C:\Windows\System\Kernel32.exe,當(dāng)電腦啟動時裝入內(nèi)存,這是外表上的木馬;另一個是:\Windows\System\Sysexplr.exe,也在注冊表中,它修改了文本文件的關(guān)聯(lián),當(dāng)點擊文本文件的時候,它就啟動了,它會檢查Kernel32.exe是不是存在。當(dāng)Kernel32.exe被刪除以后,假設(shè)點擊了文本文件,那么這個文本文件照樣運行,而Sysexplr.exe被啟動了。Sysexplr.exe會再生成一個Kernel32.exe。特洛伊木馬啟動方式自動啟動：木馬一般會存在三個地方:注冊表、win.ini、system.ini，由于電腦啟動的時候，需要裝載這三個文件。在autoexec.bat、config.sys、啟動組中易被覺察。捆綁方式啟動：木馬phAse1.0版本和NetBus1.53版本就可以以捆綁方式裝到目標(biāo)電腦上,它可以捆綁到啟動程序或一般常用程序上。捆綁方式是一種手動的安裝方式。非捆綁方式的木馬由于會在注冊表等位置留下痕跡,所以,很簡潔被覺察,而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬有很強的隱蔽性。修改文件關(guān)聯(lián)。如用木馬取代notepad.exe來翻開txt文件。木馬效勞器存放位置及文件名木馬的效勞器程序文件一般位置是在c:\windows和c:\windows\system中,由于windows的一些系統(tǒng)文件在這兩個位置。木馬的文件名總是盡量和windows的系統(tǒng)文件接近,比方木馬SubSeven1.7版本的效勞器文件名是c:\windows\KERNEL16.DL,而windows由一個系統(tǒng)文件是c:\windows\KERNEL32.DLL,刪除KERNEL32.DLL會讓機器癱瘓。常見的簡潔的木馬有NetBus遠程把握、“冰河”木馬、PCAnyWhere遠程把握等。這里介紹一種最常見的木馬程序“冰河”。冰河是國產(chǎn)的遠程監(jiān)控軟件，可以運行在Windows環(huán)境下。功能可以與木馬BO2023相媲美。冰河的主要功能：1．自動跟蹤目標(biāo)機屏幕變化，同時可完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)；2．記錄各種口令信息：包括開機口令、屏?？诹?、各種共享資源口令及絕大多數(shù)在對話框中消逝過的口令信息，且1.2以上的版本中允許用戶對該功能自行擴大，2.0以上版本還同時供給了擊鍵記錄功能；3．獵取系統(tǒng)信息：包括計算機名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示區(qū)分率、物理及規(guī)律磁盤信息等多項系統(tǒng)數(shù)據(jù)；4．限制系統(tǒng)功能：包括遠程關(guān)機、遠程重啟計算機、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制；5．遠程文件操作：包括創(chuàng)立、上傳、下載、復(fù)制、刪除文件或名目、文件壓縮、快速掃瞄文本文件、遠程翻開文件〔供給了四中不同的翻開方式——正常方式、最大化、最小化和隱蔽方式〕等多項文件操作功能；6．注冊表操作：包括對主鍵的掃瞄、增刪、復(fù)制、重命名和對鍵值的讀寫等全部注冊表操作功能；7．發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡短信息；8．點對點通訊：以談天室形式同被控端進展在線交談。冰河的主要組成文件冰河2.2正式版共有4個文件，它們是：G-client.exe 冰河客戶端程序G-server.exe 效勞器端程序Readme.txt 自述文件Operate.ini 配置文件冰河的主要功能:連接效勞器五、特洛伊木馬首先是連接目標(biāo)效勞器，從菜單中選擇文件添加主機。填寫內(nèi)容：a)

顯示名稱：顯示在程序中的名稱，只用于便利記憶。b)

主機地址：填入IP地址或域名。c)

訪問口令：配置效勞器程序時輸入的口令。d)監(jiān)聽端口：配置效勞器程序是確定的端口號冰河的主要命令口令類命令1〕系統(tǒng)信息及口令可以獲得包括系統(tǒng)信息〔計算機名、用戶名等〕，開機口令，緩存口令及其它口令在內(nèi)的資料。2〕歷史口令可以獲得目標(biāo)機器從啟動開頭的歷史口令。3〕擊鍵記錄記錄目標(biāo)機器上的擊鍵。把握類命令1〕捕獲屏幕：得到目標(biāo)機器當(dāng)前的屏幕圖象。屏幕把握。冰河除了把目標(biāo)機器的屏幕圖象顯示到你的屏幕上之外，你還可以把它看作一個真正的屏幕。假設(shè)屏幕上顯示對方開著一個IE窗口，你就可以點擊它的關(guān)閉按鈕，那么它在目標(biāo)機器上就真被關(guān)閉了。2〕發(fā)送消息向目標(biāo)計算機發(fā)送消息。目標(biāo)計算時機彈出一個消息框，這個消息框的類型和內(nèi)容都可以由你來設(shè)置3)把握目標(biāo)主機的進程：點擊查看進程按鈕,就可以在按鈕上方的列表框中看到目標(biāo)機器上的全部進程。假設(shè)要終止某個進程，先選中它，再執(zhí)行完畢進程命令。4)窗口把握：對目標(biāo)計算機上的程序窗口進展遠程把握。5〕系統(tǒng)把握：遠程關(guān)機、重起計算機，重新加載冰河，卸載冰河。6)鼠標(biāo)把握任憑鎖定目標(biāo)計算機上的鼠標(biāo)，使其動彈不得。在你玩夠之后，你也可以再解除鎖定。7)其它把握網(wǎng)絡(luò)類命令1)創(chuàng)立共享在目標(biāo)機器上創(chuàng)立新的共享。共享名稱及共享路徑。2)刪除共享在目標(biāo)機器上刪除指定的共享。3)網(wǎng)絡(luò)信息：包括共享信息和連接信息。共享信息用來查看目標(biāo)計算機上的共享資源。連接信息用來顯示目標(biāo)計算機的網(wǎng)絡(luò)連接狀況：包括與其連接的計算機名、用戶名、通訊協(xié)議、當(dāng)前狀態(tài)等。文件類命令與文件治理器中的功能類似。1)

文本掃瞄2)

文件查找3)

文件壓縮4)

文件復(fù)制5)

文件刪除6)

文件翻開7)

名目增刪8)

名目復(fù)制、注冊表讀寫如何應(yīng)付木馬1.使用殺毒軟件。2.提高防范意識,不翻開生疏人信中的附件，不任憑下載軟件。3.認真閱讀readme.txt。很多人出于爭論目的下載了一些特洛伊木馬程序的軟件包,往往錯誤地執(zhí)行了效勞器端程序4.在刪除木馬之前,重要的一項工作是備份,需要備份注冊表,備份你認為是木馬的文件。如何應(yīng)付木馬1〕端口掃描2〕查看連接：netstat–a命令上述兩種方法對驅(qū)動程序/動態(tài)