【思颐浩工教育集团教程】互联网篇 之 网络进攻及防御技术

网络攻击及防御技术编辑：欧阳制作：浩工重庆社载于：内容网络攻击案例网络攻击及防御技术1,严峻的信息安全问题2000年2月6日前后,美国YAHOO等8家大型网站接连遭受黑客的攻击,直接经济损失约为12亿美元(网上拍卖"电子港湾"网站,亚马逊网站,AOL)此次安全事故具有以下的特点:攻击直接针对商业应用攻击造成的损失巨大信息网络安全关系到全社会2,急需解决的若干安全问题信息安全与高技术犯罪1999年,上海XX证券部电脑主机被入侵2000年2月14日,中国选择网(上海)受到黑客攻击,造成客户端机器崩溃,并采用类似攻击YAHOO的手法,通过攻击服务器端口,造成内存耗尽和服务器崩溃我国约有64%的公司信息系统受到攻击,其中金融业占总数的57%不受欢迎的垃圾邮件的现象愈演愈烈1999年4月26日,CIH病毒"世纪风暴"媒体内容的安全性凯文米特尼克凯文米特尼克是美国20世纪最著名的黑客之一,他是"社会工程学"的创始人1979年他和他的伙伴侵入了北美空防指挥部1983年的电影《战争游戏》演绎了同样的故事,在片中,以凯文为原型的少年黑客几乎引发了第三次世界大战莫里斯蠕虫(Morris Worm)时间1988年肇事者-Robert T. Morris , 美国康奈尔大学学生,其父是美国国家安全局安全专家机理-利用sendmail, finger 等服务的漏洞,消耗CPU资源,拒绝服务影响-Internet上大约6000台计算机感染,占当时Internet 联网主机总数的10%,造成9600万美元的损失CERT/CC的诞生-DARPA成立CERT(Computer Emergency Response Team),以应付类似"蠕虫(Morris Worm)"事件94年末,俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元96年8月17日,美国司法部的网络服务器遭到黑客入侵,并将" 美国司法部" 的主页改为" 美国不公正部" ,将司法部部长的照片换成了阿道夫·希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手.此外还留下了很多攻击美国司法政策的文字96年9月18日,黑客光顾美国中央情报局的网络服务器,将其主页由" 中央情报局" 改为" 中央愚蠢局"96年12月29日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其中有关空军介绍,新闻发布等内容被替换成一段简短的黄色录象,且声称美国政府所说的一切都是谎言.迫使美国国防部一度关闭了其他80多个军方网址98年2月25日,美国国防部四个海军系统和七个空军系统的电脑网页遭侵入98年5月底,印度原子研究中心的主页(www.barc.ernet.in)遭侵入98年8月31日,澳大利亚主要政党和政府官员的网站遭黑客袭击,网址被篡改98年9月13日,纽约时报站点()遭黑客袭击2000年2月,著名的Yahoo,eBay等高利润站点遭到持续两天的拒绝服务攻击,商业损失巨大2002年3月底,美国华盛顿著名艺术家Gloria Geary在eBay拍卖网站的帐户,被黑客利用来拍卖 Intel Pentium芯片2002年6月,日本2002年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭中美五一黑客大战2001年5月1日是国际劳动节,5月4日是中国的青年节,而5月7日则是中国在南斯拉夫的大使馆被炸两周年的纪念日.中国黑客在这几个重大的纪念日期间对美国网站发起了大规模的攻击美国部分被黑网站美国加利福尼亚能源部日美社会文化交流会白宫历史协会UPI新闻服务网华盛顿海军通信站国内网站遭攻击的分布红色代码2001年7月19日,全球的入侵检测系统(IDS)几乎同时报告遭到不名蠕虫攻击在红色代码首次爆发的短短9小时内,以迅雷不及掩耳之势迅速感染了250,000台服务器最初发现的红色代码蠕虫只是篡改英文站点主页,显示"Welcome to ! Hacked by Chinese!"随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发动拒绝服务(DoS)攻击以及格式化目标系统硬盘,并会在每月20日～28日对白宫的WWW站点的IP地址发动DoS攻击,使白宫的WWW站点不得不全部更改自己的IP地址."红色代码"的蔓延速度尼姆达(Nimda)尼姆达是在9·11 恐怖袭击整整一个星期后出现的,当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒尼姆达是在早上9:08发现的,明显比红色代码更快,更具有摧毁功能,半小时之内就传遍了整个世界.随后在全球各地侵袭了830万部电脑,总共造成将近10亿美元的经济损失传播方式包括:电子邮件,网络临近共享文件,IE浏览器的内嵌MIME类型自动执行漏洞,IIS服务器文件目录遍历漏洞,CodeRedII和Sadmind/IIS蠕虫留下的后门等SQL Slammer蠕虫Slammer的传播数度比"红色代码"快两个数量级在头一分钟之内,感染主机数量每8.5秒增长一倍;3分钟后该病毒的传播速度达到峰值(每秒钟进行5500万次扫描);接下来,其传播速度由于自身挤占了绝大部分网络带宽而开始下降; 10分钟后,易受攻击的主机基本上已经被感染殆尽30分钟后在全球的感染面积2003年8月11日首先被发现,然后迅速扩散,这时候距离被利用漏洞的发布日期还不到1个月该蠕虫病毒针对的系统类型范围相当广泛(包括Windows NT/2000/XP) 截至8月24日,国内被感染主机的数目为25~100万台全球直接经济损失几十亿美金RPC DCOM蠕虫3,网络威胁恶意代码及黑客攻击手段的三大特点 :传播速度惊人受害面惊人穿透深度惊人传播速度"大型推土机"技术(Mass rooter),是新一代规模性恶意代码具备的显著功能.这些恶意代码不仅能实现自我复制,还能自动攻击内外网上的其它主机,并以受害者为攻击源继续攻击其它网络和主机.以这些代码设计的多线程和繁殖速度,一个新蠕虫在一夜之间就可以传播到互联网的各个角落.受害面许多国家的能源,交通,金融,化工,军事,科技和政府部门等关键领域的信息化程度逐年提高,这些领域的用户单位的计算机网络,直接或间接地与Internet有所联系.各种病毒,蠕虫等恶意代码,和各种黑客攻击,通过Internet为主线,对全球各行业的计算机网络用户都造成了严重的影响.穿透深度蠕虫和黑客越来越不满足于攻击在线的网站,各种致力于突破各种边界防线的攻击方式层出不穷.一个新的攻击手段,第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机;第二批受害对象是与Internet联网的,经常收发邮件的个人用户; 第三批受害对象是OA网或其它二线内网的工作站;终极的受害对象可能会波及到生产网络和关键资产主机.信息战在海湾战争和最近的伊拉克战争中,美国大量采用了信息战的手段在未来的局部战争中,信息战或信息威慑将成为非常重要的非常规战手段信息战的范围不仅仅局限于军事领域,关系国家国计民生的行业(如政府,金融等)也会成为信息战的攻击目标信息时代威胁图用户误操作I恶意用户,内部人员,普通黑客II罪犯III商业间谍IV敌国政府,间谍V攻击举例类别网络攻击的动机偷取国家机密商业竞争行为内部员工对单位的不满对企业核心机密的企望网络接入帐号,信用卡号等金钱利益的诱惑利用攻击网络站点而出名对网络安全技术的挑战对网络的好奇心攻击的一般过程预攻击内容:获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的:收集信息,进行进一步攻击决策攻击内容:获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的:进行攻击,获得系统的一定权限后攻击内容:植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的:消除痕迹,长期维持一定的权限攻击的种类预攻击阶段端口扫描漏洞扫描操作系统类型鉴别网络拓扑分析攻击阶段缓冲区溢出攻击操作系统漏洞应用服务缺陷脚本程序漏洞攻击口令攻击错误及弱配置攻击网络欺骗与劫持攻击后攻击阶段后门木马痕迹擦除其它攻击种类拒绝服务攻击嗅探攻击恶意网页攻击社会工程攻击信息收集—非技术手段合法途径从目标机构的网站获取新闻报道,出版物新闻组或论坛社会工程手段假冒他人,获取第三方的信任搜索引擎信息收集—技术手段PingTracert / TracerouteRusers / FingerHost / nslookup端口扫描目的判断目标主机开启了哪些端口及其对应的服务常规扫描技术调用connect函数直接连接被扫描端口无须任何特殊权限速度较慢,易被记录高级扫描技术利用探测数据包的返回信息(例如RST)来进行间接扫描较为隐蔽,不易被日志记录或防火墙发现TCP SYN扫描也叫半开式扫描利用TCP连接三次握手的第一次进行扫描被扫描主机开放的端口不提供服务的端口防火墙过滤的端口扫描器SYNSYNSYNSYN+ACK握手RST 重置没有回应或者其他端口扫描工具Nmap简介被称为"扫描器之王"有for Unix和for Win的两种版本需要Libpcap库和Winpcap库的支持能够进行普通扫描,各种高级扫描和操作系统类型鉴别等使用-sS:半开式扫描 -sT:普通connect()扫描-sU:udp端口扫描-O:操作系统鉴别-P0:强行扫描(无论是否能够ping通目标)-p:指定端口范围-v:详细模式NmapWin v1.3.0端口扫描工具SuperScan简介基于Windows平台速度快,图形化界面最新版本为4.0使用傻瓜化漏洞扫描根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能存在某些漏洞积极意义进行网络安全评估为网络系统的加固提供先期准备消极意义被网络攻击者加以利用来攻陷目标系统或获取重要的数据信息漏洞扫描的种类系统漏洞扫描特定服务的漏洞扫描WEB服务数据库服务FTP服务Mail服务信息泄漏漏洞扫描用户信息共享信息人为管理漏洞扫描弱口令错误配置网络及管理设备漏洞扫描路由器,交换机SNMP设备漏洞扫描工具Nessus构架服务器端:基于Unix系统客户端:有GTK,Java和Win系统支持运作客户端连接服务器端,并下载插件和扫描策略真正的扫描由服务器端发起两者之间的通信通过加密认证优势:具有强大的插件功能完全免费,升级快速非常适合作为网络安全评估工具链接:ClientServerTargetsNessus工作流程漏洞扫描工具X-Scan国人自主开发完全免费X-Scan使用扫描开始安全漏洞扫描器安全漏洞扫描器的种类网络型安全漏洞扫描器主机型安全漏洞扫描器数据库安全漏洞扫描器安全漏洞扫描器的选用ISS (Internet Security Scanner):安氏SSS(Shadow Security Scanner):俄罗斯黑客Retina Network Security Scanner:eEyeLANguard Network Security ScannerCyberCop Scanner:NAISSS(Shadow Security Scanner)Retina Network Security ScannerLANguard Network Security Scanner操作系统类型鉴别主要依据利用不同操作系统对各种连接请求的不同反应和特征来判断远程主机操作系统的类型当使用足够多的不同特征来进行判断,操作系统的探测精度就能有很大保证间接鉴别操作系统说明不直接进行扫描利用网络应用服务使用过程中的信息来推断和分析操作系统类型,并得到其他有用信息如Telnet 80端口查看WEB服务器类型从而初步判断操作系统类型这种方法难以被发现防御对策修改服务器上应用服务的banner信息,达到迷惑攻击者的目的直接鉴别操作系统类型TCP/IP栈指纹探测技术各个操作系统在实现TCP/IP栈的时候有细微的不同,可以通过下面一些方法来进行判定TTL值Windows窗口值ToS类型DF标志位初始序列号(ISN)采样MSS(最大分段大小)其他TTL = 4TTL = 5TTL = 6TTL = 7TTL = 8TTL = 9TTL = 3TTL = 2destinationsourceTTL = 10TTL(Time To Live)缓冲区溢出攻击危害性据统计,缓冲区溢出攻击占所有网络攻击总数的80%以上溢出成功后大都能直接拿到目标系统的最高权限身边的例子RPC DCOM溢出IIS .ida/idq溢出IIS .printer溢出IIS WebDav溢出Wu-ftpd溢出缓冲区溢出原理通过往程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的缓冲区溢出攻击的对象在于那些具有某些特权(如root或本地管理器)运行的程序,这样可以使得攻击者取得该程序的控制权,如果该程序具有足够的权限,那么整个主机就被控制了缓冲区溢出示意图字符串变量数组函数返回点n字节输入数据>n字节,尾部为跳转的地址缓冲区用户输入正常流程溢出改变流程字符串变量数组函数返回点n字节输入数据 1024反弹式的远程控制程序防火墙IP数据包过滤目标主机Windows系统骗取系统IE进程木马线程正常线程进入合法应用程序正常线程…Internet Explorer 浏览网页端口监听端口传统远程控制程序远程控制的防御远程端口扫描本地进程—端口察看Fport / Vision AntiyPortsAPorts本地进程察看PslistListdlls注册表监控Regmon文件监控Filemon使用专用的查杀工具加强使用者的安全意识VisionAntiyPortsDoS与DDoS攻击DoS (Denial of Service)攻击的中文含义是拒绝服务攻击DDoS (Distributed Denial of Service)攻击的中文含义是分布式拒绝服务攻击拒绝服务攻击的种类发送大量的无用请求,致使目标网络系统整体的网络性能大大降低,丧失与外界通信的能力.利用网络服务以及网络协议的某些特性,发送超出目标主机处理能力的服务请求,导致目标主机丧失对其他正常服务请求的相应能力.利用系统或应用软件上的漏洞或缺陷,发送经过特殊构造的数据包,导致目标的瘫痪(称之为nuke)拒绝服务攻击典型举例SynFloodSmurfPingFloodUDP Flooder拒绝服务攻击—SynFlood正常的TCP/IP三次握手SynFlood攻击服务器客户端SYNSYN+ACKACK握手完成,开始传送数据,系统消耗很少被攻击主机攻击主机伪造源地址不存在的主机不断重试及等待,消耗系统资源不响应SYNSYN+ACKSynFlood的防御对策重新设置一些TCP/IP协议参数增加TCP监听套解字未完成连接队列的最大长度减少未完成连接队列的超时等待时间类似于SYN Cookies的特殊措施选择高性能的防火墙SYN Threshold类SYN Defender类SYN Proxy类拒绝服务攻击—Smurf攻击AttackerTarget目标机器会接收很多来自中介网络的请求中介网络放大器broadcastecho request源地址被欺骗为被攻击主机地址其它拒绝服务攻击FragglePing of DeathUdpFloodTearDrop电子邮件炸弹Nuke类拒绝服务攻击Win NukeRPC NukeSMB Die分布式拒绝服务攻击DDoS是DoS攻击的延伸,威力巨大,具体攻击方式多种多样.分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标 .攻击一般会采用IP地址欺骗技术,隐藏自己的IP地址,所以很难追查. 分布式拒绝服务攻击示意图分布式拒绝服务攻击步骤探测扫描大量主机以寻找可入侵的目标;入侵有安全漏洞的主机并获取控制权,在每台入侵主机中安装攻击程序;构造庞大的,分布式攻击网络;在同一时刻,由分布的成千上万台主机向同一目标地址发出攻击,目标系统全线崩溃;典型的分布式拒绝服务攻击工具TrinooTFNStacheldrahtTFN2K分布式拒绝服务攻击防御对策对于分布式攻击,目前仍无非常有效的方法来防御基本的防御对策做好各种基本的拒绝服务攻击防御措施,打好补丁; 联系ISP对主干路由器进行限流措施;利用各种安全防御系统进行辅助记录工作.使用软件来帮助管理员搜索ddos客户端find_ddosZombieZapperddosping网络监听攻击源目的sniffer加密解密passwd$%@&)*=-~`^,{网络监听攻击的环境基于共享(HUB)环境的监听比较普遍实现较为简单基于交换(Switch)环境的监听基础是ARP欺骗技术基于共享环境的监听共享以太网环境中,所有物理信号都会被传送到每一个主机节点上去如将系统的网络接口设定为混杂模式(Promiscuous),则就能接受到一切监听到的数据帧,而不管其目的MAC地址是什么共享环境监听的意义积极意义:方便网络管理员进行管理和网络故障分析消极意义:常被用来窃听在网络上以明文方式传输的口令和账号密码POP3邮件口令Ftp登录口令Telnet登录口令共享环境监听的检测基于主机的检测简单的ifconfig命令,包括各种UNIX系统基于网络的检测针对系统硬件过滤和软件过滤的检测针对DNS反向域名解析的检测针对网络和主机响应时间的检测使用专业的检测工具AntiSniff(有for win和for unix的版本)PromiscanAntiSniff(LOpht)口令入侵口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动获取口令的途径有:网络监听口令猜测,暴力破解利用系统管理员的失误口令猜测攻击口令猜测攻击原理现行很多加密算法都单向不可逆攻击者每次从攻击字典中取出一个条目作为口令,使用相同的加密算法进行加密,然后同密文进行比对,如不同则继续下一次尝试,否则则猜测成功.口令猜测可分为远程口令破解本地口令破解远程口令破解许多网络服务,都是通过账号/口令来认证需要访问该服务的用户POP3 Netbios Telnet FTP HTTP等可以远程进行穷举字典的方式来猜解口令破解效率很低,而且容易被记录本地口令猜解各种操作系统以自己各自的方式存放密码文件,而大多数的加密算法都比较脆弱,容易被猜解本地破解速度非常快,具体的速度取决于系统的配置在协同工作越来越发达的今天,本地口令破解可以说是"百发百中" Windows口令破解技术简介在WinNT/2K系统中,使用一套较老的加密算法—LAN ManagerLM散列算法存在着致命缺陷用户密码缩短到14个字符,若不足则用0x00填补前8个字节由用户密码的前7个字符推导而来后续8个字节由密码的8-14个字符得来Windows口令破解技术简介Windows系统以sam文件格式存放密码文件,有多种方式可以获得%SystemRoot%\system32\config\sam%SystemRoot%\repair\sam._使用pwdump3远程从注册表中导出嗅探网络中SMB报文包含的口令散列值破解工具@stake的L0phcrack@stake L0phcrackUnix系统的口令破解Unix系统的口令密文存放在/etc/passwd或/etc/shadow文件中加密算法传统加密沿用最多的是DES算法的口令加密机制为了增强DES的加密强度,引入了被称作Salt的附加手段猜测工具John The Ripper候选口令产生器字典口令文件口令加密口令比较输出匹配的口令口令破解防御对策制定正确的密码策略,并贯彻实施密码长度,强度足够定期更换密码禁用类似12345678,computer……这样的简单密码提高人的安全意识很重要攻击发展趋势个人信息安全的防范技巧1,不轻易运行不明真相的程序2,屏蔽小甜饼(Cookie )信息3,不同的地方用不同的口令4,屏蔽ActiveX控件5,定期清除缓存,历史记录以及临时文件夹中的内容6,不随意透露任何个人信息7,突遇莫名其妙的故障时要及时检查系统信息8,对机密信息实施加密保护9,拒绝某些可能有威胁的站点对自己的访问10,加密重要的邮件11,在自己的计算机中安装防火墙12,为客户/服务器通信双方提供身份认证,建立安全信道13,尽量少在聊天室里或使用OICQ聊天Any QuestionsThank You!Eg:ping Eg:tracert 通过Host命令,入侵者可获得保存在目标域服务器中的所有信息,其查询结果所含信息量的多少主要依靠于网络的大小和结构Eg:host –l –v Nmap 3.30 Usage: nmap [Scan Type(s)] [Options]Some Common Scan Types ('*' options require root privileges) * -sS TCP SYN stealth port scan (default if privileged (root)) -sT TCP connect() port scan (default for unprivileged users) * -sU UDP port scan-sP ping scan (Find any reachable machines)* -sF,-sX,-sN Stealth FIN, Xmas, or Null scan (experts only) -sR/-I RPC/Identd scan (use with other scan types)Some Common Options (none are required, most can be combined): * -O Use TCP/IP fingerprinting to guess remote operating system -p ports to scan. Example range: '1-1024,1080,6666,31337'-F Only scans ports listed in nmap-services-v Verbose. Its use is recommended. Use twice for greater effect. -P0 Don't ping hosts (needed to scan and others)* -Ddecoy_host1,decoy2[,...] Hide scan using many decoys-6 scans via IPv6 rather than IPv4-T General timing policy-n/-R Never do DNS resolution/Always resolve [default: sometimes resolve]-oN/-oX/-oG Output normal/XML/grepable scan logs to-iL Get targets from file; Use '-' for stdin* -S /-e Specify source address or network interface--interactive Go into interactive mode (then press h for help) --win_help Windows-specific featuresExample: nmap -v -sS -O 192.168.0.0/16'192.88-90.*.*'SEE THE MAN PAGE FOR MANY MORE OPTIONS, DESCRIPTIONS, AND EXAMPLES作者: Renaud Deraison语言: C创建平台: Linux目标平台: UNIX,multiple运行要求: Linux,CHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs子键下,存放着一些已知DLL的默认路径.我们可以修改或增加某个键值,那么我们的DLL就可以无声无息地在进程加载知名DLL的时候取代原来的DLL文件进入进程AutoRun.inf启动方式:Autorun.inf最常出现在光盘中,用于光盘自启动.每次把光盘放入光驱中的时候,系统会通过这个文件来决定是否自动启动光盘. Autorun.inf的内容通常是:[AUTORUN]OPEN=file.exeICON=icon.icoSYN Threshold设定一个未完成连接队列的限定值,如超过该值,则丢弃SYN报文如Cisco的PIX防火墙===========================================SYN Defender每秒抵御500个以内如CheckPoint的Firewall-II防火墙=======================SYN Proxy如天网每秒20000个左右。