信息安全 第9章网络攻击技术.ppt

第9章网络攻击技术主要内容v侦查v扫描v获取访问权限v保持访问权限v消除入侵痕迹v拒绝服务攻击概述v网络攻击技术是一把双刃剑。对攻击者而言，它是攻击技术，对安全人员来说，它是不可缺少的安全防护技术。v对系统的攻击和入侵，都是利用软件或系统漏洞进行。v大多数情况下，恶意攻击者使用的工具和安全技术人员是相同的，这意味着安全人员必须了解攻击者使用的工具和手段一次完整的网络攻击包含的基本步骤攻击的步骤解释例子侦查被动或者主动获取信息的过程嗅探网络流量，察看HTML代码，社交工程，获取目标系统的一切信息扫描及漏洞分析识别所运行系统和系统上活动的服务，从中找出可攻击的弱点Ping扫描、端口扫描、漏洞扫描获取访问权限攻击识别的漏洞，以获取未授权的访问权限利用缓冲区溢出或者暴力破解口令，并登录系统保持访问权限上传恶意软件，以确保能重新进入系统在系统上安装后门消除痕迹消除恶意活动的踪迹删除或修改系统和应用日志中的数据9.1侦查v侦查也被称为踩点，目的是发现目标v通过踩点主要收集以下可用信息：网络域名内部网络外部网络目标所用的操作系统9.2扫描v扫描主要是指通过固定格式的询问来试探主机的某些特征的过程，而提供了扫描功能的软件工具就是扫描器。v“一个好的扫描器相当于数百个合法用户的账户信息”。v分为端口扫描和漏洞扫描加载检查目标检查引擎检测报告检测规则扫描器的工作流程端口扫描v扫描端口的主要目的是判断目标主机的操作系统以及开放了哪些服务。v端口是由计算机的通信协议TCP/IP协议定义的。计算机之间的通信，归根结底是进程间的通信，而端口则与进程相对应。v端口分类：熟知端口（公认端口）熟知端口（公认端口）：由因特网指派名字和号码公司ICANN负责分配给一些常用的应用层程序固定使用的熟知端口，端口号一般为01023。表9-2和表9-3列出了常见的熟知端口。一般端口一般端口：用来随时分配给请求通信的客户进程。常见TCP熟知端口服务名称端口号说明FTP21文件传输服务Telnet23远程登录服务HTTP80网页浏览服务POP3110邮件服务SMTP25简单邮件传输服务Socks1080代理服务常见UDP熟知端口服务名称端口号说明RPC111远程调用SNMP161简单网络管理TFTP69简单文件传输用三次握手建立TCP连接SYN,SEQ=x主机BSYN,ACK,SEQ=y,确认号=x 1ACK,SEQ=x+1,确认号=y 1被动打开主动打开确认确认主机A连接请求扫描方法v全TCP连接这种扫描方法使用三次握手，与目标计算机建立标准的TCP连接。很容易被目标主机发觉并记录。v半打开式扫描扫描主机自动向目标计算机的指定端口发送SYN数据段，表示发送建立连接请求，如果目标计算机的回应TCP报文中SYN=1，ACK=1，则说明该端口是活动的，接着扫描主机传送一个RST给目标主机拒绝建立TCP连接，从而导致三次握手过程的失败。由于扫描过程中全连接尚未建立，所以大大降低了被目标计算机的记录的可能性vFIN扫描发送一个FIN=1的TCP报文到一个关闭的端口时，该报文会被丢掉，并返回一个RST报文。但是，如果当FIN报文发到一个活动的端口时，该报文只是简单的丢掉，不会返回任何回应。扫描没有涉及任何TCP连接部分，因此，这种扫描比前两种都安全，可以称之为秘密扫描。v第三方扫描代理扫描”，这种扫描是控制第三方主机来代替入侵者进行扫描更加隐蔽漏洞扫描v在各种各样的软件逻辑漏洞中，有一部分会引起非常严重的后果，我们把会引起软件做一些超出设计范围事情的bug称为漏洞。v为了防范这种漏洞，最好的办法是及时为操作系统和服务打补丁。所谓补丁，是软件公司为已发现的漏洞所作的修复行为。v漏洞扫描通常通过漏洞扫描器来执行。漏洞扫描器是通过在内部放置已知漏洞的特征，然后把被扫描系统特征和已知漏洞相比对，从而获取被扫描系统漏洞的过程。v漏洞扫描只能找出目标机上已经被发现并且公开的漏洞扫描器扫描器X-Scan流光流光9.3 获取访问权限获取访问权限v缓冲区溢出vSQL注入攻击缓冲区溢出v缓冲区溢出就好比是把2升的水倒入1升的水罐中，肯定会有一部分水流出并且造成混乱。v声明一个在内存中占10个字节的字符串：Charstr110;v编译器为缓冲区划分了10个字节大小的空间，从str10到str19，每个都分别占用一个字节的空间。v那么，执行下列语句：Strcpy(str1,AAAAAAAAAAAAAAAAAAAAAA);v则会造成缓冲区溢出。因为strcpy这个函数根本就不会检查后面的字符串是否比str1所分配的空间要大。如果溢出的数据为B，则可能：用户数据用户数据A A A A A A A A A A B内存：用户程序代码用户数据A A A A A A A A A A B内存：系统数据用户数据A A A A A A A A A A B内存：系统程序代码用户数据A A A A A A A A A A B内存：溢出实例溢出实例#include#definePASSWORD1234567intverify_password(char*password)intauthenticated;charbuffer8;authenticated=strcmp(password,PASSWORD);strcpy(buffer,password);returnauthenticated;main()intvalid_flag=0;charpassword1024;while(1)printf(pleaseinputpassword:);scanf(%s,password);valid_flag=verify_password(password);if(valid_flag)printf(incorrectpassword!nn);elseprintf(Congratulation!Youhavepassedtheverification!n);break;输入了正确的密码“1234567”之后才能通过验证v函数verify_password()里边申请了两个局部变量：intauthenticated和charbuffer8。当verify_password()被调用时，系统会给它分配一片连续的内存空间，这两个变量就分布在那里（实际上就叫函数栈帧）Buffer8Charbuffer03Charbuffer47Intautherticated(0 x00000001)v输入包含8个字符的错误密码“qqqqqqqq”，那么buff8所拥有的8个字节将全部被“q”的ASCII码0 x71填满，而字符串的结束标志NULL刚好写入了authenticated变量并且值为0 x00000000。于是，错误的密码得到了正确密码的运行效果。用“qqqqqqqq”成功突破了限制SQL注入攻击v如果用户的输入能够影响到脚本中SQL命令串的生成，那么很可能在添加了单引号、“#”号等转义命令字符后，能够改变数据库最终执行的SQL命令，攻击者就利用这个特点修改自己的输入，最终获取数据库中自己所需要的信息，例如管理员密码。这就是SQL注入。vSQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以防火墙不会对SQL注入发出警报9.4保持访问权限v开放新帐号容易被管理员察觉v安装后门具有隐蔽性和非授权性vRootkit通过替换系统文件来达到目的。这样就会更加的隐蔽，使检测变得比较困难。9.5消除入侵痕迹v在所有的操作系统中，包括Windows和Unix系统，都有自己的日志系统。在日志中记载了各种信息，例如用户对其的操作、应用程序所作的行为、各种各样的安全事件等。当入侵者非法进入了系统后，往往会被这些日志记录下来。而管理员通过日志，则有可能分析出入侵者的行为，甚至是根据线索找到入侵者。Windows的“事件查看器”v通过“开始控制面板管理工具事件查看器”将其打开Windows的“事件查看器”v应用程序日志应用程序日志由应用程序或系统程序记录的事件，主要记录程序运行方面的事件v安全性日志安全性日志记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件v系统日志系统日志WindowsXP的系统组件记录的事件Windows的日志文件vDNS日志默认位置%systemroot%system32config，默认文件大小512KB，管理员都会改变这个默认大小；v安全日志文件%systemroot%system32configSecEvent.EVT；v系统日志文件%systemroot%system32configSysEvent.EVT；v应用程序日志文件%systemroot%system32configAppEvent.EVT；vFTP日志默认位置%systemroot%system32logfilesmsftpsvc1，默认每天一个日志；vWWW日志默认位置%systemroot%system32logfilesw3svc1，默认每天一个日志。9.6拒绝服务攻击v拒绝服务攻击（DenialofService，简称DoS）是指攻击者利用系统的缺陷，通过执行一些恶意的操作而使合法的系统用户不能及时的得到服务或者系统资源，如CPU处理时间、存储器、网络带宽、Web服务等。v它本身并不能使攻击者获取什么资源，例如系统的控制权力、秘密的文件等，它只是以破坏服务为目的。DoS攻击的过程DoS程序DDoS(Distributed Denial of Service，分布式拒绝，分布式拒绝服务服务)攻击指借助于客户攻击指借助于客户/服务器技术，将多个计算机联服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。攻击，从而成倍地提高拒绝服务攻击的威力。常见的拒绝服务攻击方法v常见的拒绝服务攻击方法v基于网络带宽消耗的拒绝服务攻击v消耗磁盘空间的拒绝服务攻击v消耗CPU资源和内存的拒绝服务攻击v基于系统缺陷的拒绝服务攻击分布式拒绝服务攻击v分布式拒绝服务（DistributedDenialofService，DDoS）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。攻击者控制傀儡机控制傀儡机攻击傀儡机攻击傀儡机攻击傀儡机攻击傀儡机攻击傀儡机攻击傀儡机受害者DDoS攻击的原理受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端组建僵尸网络DDoS攻击DDoS攻击DDoS攻击DDoS攻击DDoS攻击DDoS攻击编写工具受雇攻击收取佣金主动攻击勒索网站DoS/DDoS攻击模型攻击模型DoS/DDoS的危害v服务器宕机，业务中断v大面积断网，网络瘫痪DoSDoS 攻击是导致去年损失最为惨重的计算机犯罪事件，其带攻击是导致去年损失最为惨重的计算机犯罪事件，其带来的损失是其它各类攻击造成损失总和的两倍有余。来的损失是其它各类攻击造成损失总和的两倍有余。”2004 2004 年年CSI/FBI CSI/FBI 计算机犯罪及安全调查。计算机犯罪及安全调查。僵尸网络僵尸网络僵尸网络(Botnet)是指采用一种或多种传播手段，是指采用一种或多种传播手段，将大量主机感染将大量主机感染bot程序（僵尸程序），从而在程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制者和被感染主机之间所形成的一个可一对多控制的网络。控制的网络。命令与控制信道僵尸网络僵尸网络僵尸主机僵尸主机僵尸主机僵尸主机僵尸主机僵尸主机僵尸主机僵尸主机僵尸程序僵尸程序僵尸程序僵尸程序攻击者攻击者跳板主机跳板主机僵尸网络危害v成为攻击平台v让普通用户成为“帮凶”v导致被感染主机性能损失拒绝服务攻击的防范v服务器采用最新系统，并打上补丁。v定期对所有主机进行检查。v删除未使用的服务。v限制对主机的访问。v禁止使用网络访问程序。v限制在防火墙外与网络文件共享。v在防火墙上运行端口映射程序或端口扫描程序。v检查所有网络设备和主机/服务器系统的日志。