网络攻击及防御技术

2021-08-18 来源：意榕旅游网

本文由y9cum7kedp贡献

ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。

网络攻击及防御技术主讲薛质内容

网络攻击案例网络攻击及防御技术 1、严峻的信息安全问题 2000年2月6日前后，美国年月日前后美国YAHOO等8家大日前后，等家大型网站接连遭受黑客的攻击，型网站接连遭受黑客的攻击，直接经济损失约为12亿美元（网上拍卖“电子港湾”网站、约为亿美元（网上拍卖“电子港湾”网站、亚马逊网站、亚马逊网站、AOL））此次安全事故具有以下的特点：此次安全事故具有以下的特点：

攻击直接针对商业应用攻击造成的损失巨大信息网络安全关系到全社会 2、急需解决的若干安全问题信息安全与高技术犯罪

1999年上海XX证券部电脑主机被入侵 1999年，上海XX证券部电脑主机被入侵 2000年 2000年2月14日，中国选择网（上海）受到黑客攻 14日中国选择网（上海）造成客户端机器崩溃，击，造成客户端机器崩溃，并采用类似攻击 YAHOO的手法通过攻击服务器端口， YAHOO的手法，通过攻击服务器端口，造成内存的手法，耗尽和服务器崩溃我国约有64%的公司信息系统受到攻击的公司信息系统受到攻击，我国约有64%的公司信息系统受到攻击，其中金融业占总数的57% 业占总数的57% 不受欢迎的垃圾邮件的现象愈演愈烈 1999年 1999年4月26日，CIH病毒“世纪风暴” 26日 CIH病毒世纪风暴” 病毒“ 媒体内容的安全性凯文米特尼克

凯文?米特尼克是美国凯文米特尼克是美国20 米特尼克是美国世纪最著名的黑客之一，世纪最著名的黑客之一，他是“社会工程学” 他是“社会工程学”的创始人 1979年他和他的伙伴侵年他和他的伙伴侵入了北美空防指挥部 1983年的电影《战争游年的电影《年的电影演绎了同样的故事，戏》演绎了同样的故事，在片中，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战

莫里斯蠕虫（Morris Worm） Worm）时间

1988年 1988年肇事者

-Robert T. Morris , 美国康奈尔大学学生，学学生，其父是美国国家安全局安全专家机理

-利用sendmail, finger 等服务的漏利用sendmail, 消耗CPU资源资源，洞，消耗CPU资源，拒绝服务影响

-Internet上大约6000台计算机感染， Internet上大约上大约6000台计算机感染台计算机感染，占当时Internet 联网主机总数的10%，占当时Internet 联

网主机总数的10%，造成9600万美元的损失造成9600万美元的损失 CERT/CC的诞生的诞生 -DARPA成立CERT（Computer DARPA成立成立CERT Emergency Response Team），以应 Team），付类似“ Worm）付类似“蠕虫（Morris Worm）”事件 94年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的年末，俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的年末一家小软件公司的联网计算机上，向美国CITYBANK银行发动一家小软件公司的联网计算机上，向美国银行发动了一连串攻击，通过电子转帐方式，了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约银行在纽约的计算机主机里窃取1100万美元的计算机主机里窃取万美元 96年8月17日，美国司法部的网络服务器遭到黑客入侵，并将年月日美国司法部的网络服务器遭到黑客入侵，美国司法部” 的主页改为“ 美国不公正部” “ 美国司法部” 的主页改为“ 美国不公正部” ，将司法部部长的照片换成了阿道夫·希特勒希特勒，长的照片换成了阿道夫希特勒，将司法部徽章换成了纳粹党并加上一幅色情女郎的图片作为所谓司法部部长的助手。徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字 96年9月18日，黑客光顾美国中央情报局的网络服务器，将其年月日黑客光顾美国中央情报局的网络服务器，主页由“ 中央情报局” 改为“ 中央愚蠢局” 主页由“ 中央情报局” 改为“ 中央愚蠢局” 96年12月29日，黑客侵入美国空军的全球网网址并将其主页年月日肆意改动，其中有关空军介绍、肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址美国国防部一度关闭了其他多个军方网址

98年2月25日，美国国防部四个海军系统和七个空军系统的电年月日脑网页遭侵入 98年5月底，印度原子研究中心的主页月底，年月底印度原子研究中心的主页(www.barc.ernet.in)遭遭侵入 98年8月31日，澳大利亚主要政党和政府官员的网站遭黑客袭年月日击，网址被篡改 98年9月13日纽约时报站点（www.nytimes.com） 98年9月13日，纽约时报站点（www.nytimes.com）遭黑客袭击 2000年2月，著名的年月著名的Yahoo、eBay等高利润站点遭到持续两、等高利润站点遭到持续两天的拒绝服务攻击，天的拒绝服务攻击，商业损失巨大 2002年3月底，美国华盛顿著名艺术家月底，年月底美国华盛顿著名艺术家Gloria Geary在eBay拍在拍卖网站的帐户，卖网站的帐户，被黑客利用来拍卖 Intel Pentium芯片芯片 2002年6月，日本年月日本2002年世界杯组委会的官方网站由于黑客成年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭中美五一黑客大战

2001年5月1日是国际劳动节，5月4日是中国的青年年月日是国际劳动节日是国际劳动节，月日是中国的青年节，而5月7日则是中国在南斯拉夫的大使馆被炸两月日则是中国在南斯拉夫的大使馆被炸两周年的纪念日。周年的纪念日。中国黑客在这几个重大的纪念日期间对美国网站发起了大规模的攻击美国部分被黑网站

美国加利福尼亚能源部日美社会文化交流会白宫历史协会 UPI新闻服务网 UPI新闻服务网华盛顿海军通信站

军事网站 2% 网络服务 6% 其它 12% 政府网站 5% 教育网站 4% 机构网站 6% 商业网站 65%

国内网站遭攻击的分布红色代码

–2001年7月19日，全球的入侵检测系统年月日全球的入侵检测系统(IDS)几乎同时报几乎同时报告遭到不名蠕虫攻击 –在红色代码首次爆发的短短小时内，以迅雷不及掩耳在红色代码首次爆发的短短9小时内在红色代码首次爆发的短短小时内，之势迅速感染了250,000台服务器之势迅速感染了台服务器 –最初发现的红色代码蠕虫只是篡改英文站点主页，显示最初发现的红色代码蠕虫只是篡改英文站点主页，最初发现的红色代码蠕虫只是篡改英文站点主页 “Welcome to http://www.worm.com! Hacked by Chinese!” –随后的红色代码蠕虫便如同洪水般在互联网上泛滥，发随后的红色代码蠕虫便如同洪水般在互联网上泛滥，随后的红色代码蠕虫便如同洪水般在互联网上泛滥动拒绝服务(DoS)攻击以及格式化目标系统硬盘，并会在攻击以及格式化目标系统硬盘，动拒绝服务攻击以及格式化目标系统硬盘每月20日日对白宫的WWW站点的地址发动站点的IP地址发动每月日～28日对白宫的日对白宫的站点的地址发动DoS攻攻使白宫的WWW站点不得不全部更改自己的地址。站点不得不全部更改自己的IP地址击，使白宫的站点不得不全部更改自己的地址。

“红色代码”的蔓延速度红色代码” 尼姆达（尼姆达（Nimda））

恐怖袭击整整一个星期后出现的，尼姆达是在 9·11 恐怖袭击整整一个星期后出现的，当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒尼姆达是在早上9:08发现的，明显比红色代码更快、更具有摧毁功发现的，明显比红色代码更快、尼姆达是在早上发现的半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部能，半小时之内就传遍了整个世界。随后在全球各地侵袭了万部电脑，总共造成将近10亿美元的经济损失电脑，总共造成将近亿美元的经济损失传播方式包括：电子邮件、网络临近共享文件、IE浏览器的内嵌传播方式包括：电子邮件、网络临近共享文件、浏览器的内嵌 MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、CodeRedII 类型自动执行漏洞、服务器文件目录遍历漏洞服务器文件目录遍历漏洞、类型自动执行漏洞和Sadmind/IIS蠕虫留下的后门等蠕虫留下的后门等 SQL Slammer蠕虫蠕虫

Slammer的传播数度比“红色代码”快两个数量级的传播数度比“红色代码” 的传播数度比在头一分钟之内，感染主机数量每8.5秒增长一倍秒增长一倍；在头一分钟之内，感染主机数量每秒增长一倍； 3分钟后该病毒的传播速度达到峰值（每秒钟进行分钟后该病毒的传播速度达到峰值（万次扫描）；分钟后该病毒的传播速度达到峰值每秒钟进行5500万次扫描）；万次扫描接下来，接下来，其传播速度由于自身挤占了绝大部分网络带宽而开始下降； 10

分钟后，易受攻击的主机基本上已经被感染殆尽分钟后，分钟后 30分钟后分钟后在全球的感染面积 RPC DCOM蠕虫蠕虫

2003年8月11日首先被发现，然后迅速扩散，这时候距离被利年月日首先被发现然后迅速扩散，日首先被发现，用漏洞的发布日期还不到1个月用漏洞的发布日期还不到个月该蠕虫病毒针对的系统类型范围相当广泛（包括Windows 该蠕虫病毒针对的系统类型范围相当广泛（包括 NT/2000/XP））截至8月日国内被感染主机的数目为25~100万台截至月24日，国内被感染主机的数目为万台全球直接经济损失几十亿美金 3、网络威胁

恶意代码及黑客攻击手段的三大特点：传播速度惊人受害面惊人穿透深度惊人传播速度

“大型推土机”技术(Mass rooter)，是新一代 rooter)，大型推土机”技术( 规模性恶意代码具备的显著功能。规模性恶意代码具备的显著功能。这些恶意代码不仅能实现自我复制，这些恶意代码不仅能实现自我复制，还能自动攻击内外网上的其它主机，击内外网上的其它主机，并以受害者为攻击源继续攻击其它网络和主机。续攻击其它网络和主机。以这些代码设计的多线程和繁殖速度，以这些代码设计的多线程和繁殖速度，一个新蠕虫在一夜之间就可以传播到互联网的各个角落。虫在一夜之间就可以传播到互联网的各个角落。受害面

许多国家的能源、交通、金融、化工、军事、科许多国家的能源、交通、金融、化工、军事、技和政府部门等关键领域的信息化程度逐年提高，技和政府部门等关键领域的信息化程度逐年提高，这些领域的用户单位的计算机网络，这些领域的用户单位的计算机网络，直接或间接地与Internet有所联系。地与Internet有所联系。有所联系各种病毒、蠕虫等恶意代码，和各种黑客攻击，各种病毒、蠕虫等恶意代码，和各种黑客攻击，通过Internet为主线为主线，通过Internet为主线，对全球各行业的计算机网络用户都造成了严重的影响。络用户都造成了严重的影响。穿透深度

蠕虫和黑客越来越不满足于攻击在线的网站，蠕虫和黑客越来越不满足于攻击在线的网站，各种致力于突破各种边界防线的攻击方式层出不穷。致力于突破各种边界防线的攻击方式层出不穷。一个新的攻击手段，第一批受害对象是那些24小一个新的攻击手段，第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机；时在线的网站主机和各种网络的边界主机；第二批受害对象是与Internet联网的联网的，第二批受害对象是与Internet联网的，经常收发邮件的个人用户；件的个人用户；第三批受害对象是OA网或其它二线内网的工作站网或其它二线内网的工作站；第三批受害对象是OA网或其它二线内网的工作站；终极的受害对象可能会波及到生产网络和关键资产主机。主机。信息战

在海湾战争和最近的伊拉克战争中，在海湾战争和最近的伊拉克战争中，美国大量采用了信息战的手段在未来的局部战争中，在未来的局部战争中，信息战或信息威慑将成为非常重要的非常规战手段信息战的范围不仅仅局限

于军事领域，信息战的范围不仅仅局限于军事领域，关系国家国计民生的行业（如政府、金融等）计民生的行业（如政府、金融等）也会成为信息战的攻击目标

信息时代威胁图

国家安全威胁共同工业间谍威胁犯罪团伙局部威胁社会型黑客娱乐型黑客施行报复，实现经济目的，破坏制度攫取金钱，恐吓，挑战，获取声望以吓人为乐，喜欢挑战掠夺竞争优势，恐吓信息战士情报机构恐怖分子减小美国决策空间、战略优势，制造混乱，进行目标破坏搜集政治、军事，经济信息破坏公共秩序，制造混乱，发动政变类别 V IV III II I

攻击举例敌国政府、敌国政府、间谍商业间谍罪犯恶意用户、内部人员、恶意用户、内部人员、普通黑客用户误操作网络攻击的动机

偷取国家机密商业竞争行为内部员工对单位的不满对企业核心机密的企望网络接入帐号、网络接入帐号、信用卡号等金钱利益的诱惑利用攻击网络站点而出名对网络安全技术的挑战对网络的好奇心攻击的一般过程预攻击

目的：目的：

收集信息，收集信息，进行进一步攻击决策攻击

目的：目的：

进行攻击，进行攻击，获得系统的一定权限后攻击

目的：目的：

消除痕迹，消除痕迹，长期维持一定的权限内容：内容：

获得域名及IP分布获得域名及IP分布 IP 获得拓扑及OS等获得拓扑及OS等 OS 获得端口和服务获得应用系统情况跟踪新漏洞发布内容：内容：

获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作

内容：内容：

植入后门木马删除日志修补明显的漏洞进一步渗透扩展攻击的种类预攻击阶段

端口扫描漏洞扫描操作系统类型鉴别网络拓扑分析后攻击阶段

后门木马痕迹擦除其它攻击种类

拒绝服务攻击嗅探攻击恶意网页攻击社会工程攻击攻击阶段

缓冲区溢出攻击

操作系统漏洞应用服务缺陷

脚本程序漏洞攻击口令攻击错误及弱配置攻击网络欺骗与劫持攻击信息收集— 信息收集—非技术手段合法途径

从目标机构的网站获取新闻报道，新闻报道，出版物新闻组或论坛社会工程手段

假冒他人，假冒他人，获取第三方的信任搜索引擎

信息收集— 信息收集—技术手段

Ping Tracert / Traceroute Rusers / Finger Host / nslookup 端口扫描目的

判断目标主机开启了哪些端口及其对应的服务常规扫描技术

调用connect函数直接连接被扫描端口调用connect函数直接连接被扫描端口无须任何特殊权限速度较慢，速度较慢，易被记录高级扫描技术

利用探测数据包的返回信息（例如RST）来进行利用探测数据包的返回信息（例如RST）间接扫描较为隐蔽，较为隐蔽，不易被日志记录或防火墙发现

TCP SYN扫描

也叫半开式扫描利用TCP连接三次握手的第一次进行扫描利用连接三次握手的第一次进行扫描扫描器

SYN SYN+ACK握手 SYN RST 重置 SYN 被

开放的端口扫描主机

不提供服务的端口防火墙过滤的端口没有回应或者其他端口扫描工具 Nmap 简介

被称为“扫描器之王” 被称为“扫描器之王” 有for Unix和for Win的两种版本需要Libpcap库和Winpcap库的支持能够进行普通扫描、各种高级扫描和操作系统类型鉴能够进行普通扫描、别等使用

-sS：半开式扫描 -sT:普通connect()扫描 -sU：udp端口扫描 -O：操作系统鉴别 -P0：强行扫描（无论是否能够ping通目标）强行扫描（通目标） -p：指定端口范围 -v：详细模式 NmapWin v1.3.0 端口扫描工具 SuperScan 简介

基于Windows平台速度快，图形化界面速度快，最新版本为4.0 使用傻瓜化漏洞扫描

根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能存在某些漏洞积极意义

进行网络安全评估为网络系统的加固提供先期准备消极意义

被网络攻击者加以利用来攻陷目标系统或获取重要的数据信息漏洞扫描的种类

系统漏洞扫描特定服务的漏洞扫描

WEB服务 WEB服务数据库服务 FTP服务 FTP服务 Mail服务 Mail服务

网络及管理设备漏洞扫描

路由器、交换机路由器、 SNMP设备 SNMP设备信息泄漏漏洞扫描用户信息共享信息人为管理漏洞扫描弱口令错误配置漏洞扫描工具 Nessus 构架

服务器端：基于Unix系统服务器端：客户端：有GTK、Java和Win系统支持客户端：运作

客户端连接服务器端，并下载插件和扫描策略客户端连接服务器端，真正的扫描由服务器端发起两者之间的通信通过加密认证优势：优势：

具有强大的插件功能完全免费，升级快速完全免费，非常适合作为网络安全评估工具

链接：www.nessus.org 链接： Nessus工作流程 Client Server Targets

漏洞扫描工具 X-Scan

国人自主开发完全免费 X-Scan使用使用扫描开始

安全漏洞扫描器

安全漏洞扫描器的种类

网络型安全漏洞扫描器主机型安全漏洞扫描器数据库安全漏洞扫描器安全漏洞扫描器的选用

ISS （Internet Security Scanner）：安氏 Scanner）：）：安氏 SSS（ SSS（Shadow Security Scanner）：俄罗斯 Scanner）：）：俄罗斯黑客 Retina Network Security Scanner：eEye Scanner： LANguard Network Security Scanner CyberCop Scanner：NAI Scanner：

SSS（Shadow Security Scanner） Retina Network Security Scanner LANguard Network Security Scanner 操作系统类型鉴别主要依据

利用不同操作系统对各种连接请求的不同反应和特征来判断远程主机操作系统的类型当使用足够多的不同特征来进行判断，当使用足够多的不同特征来进行判断，操作系统的探测精度就能有很大保证间接鉴别操作系统说明

不直接进行扫描利用网络应用服务使用过程中的信息来推断和分析操作系统类型，析操作系统类型，并得到其他有用信息 80端口查看端口查看WEB服务器类型从而初步如Telnet 80端口查看WEB服务器类型从而初步判断操作系统类型这种方法难以被发现防御对策

修改服务器上应用服务的banner信息修改服务器上应用服务的banner信息，达到迷惑信息，攻击者的目的直接鉴别操作系统类型

TCP/IP栈指纹探测技术栈指纹探测技术

各个操作系统在实现TCP/IP栈的时候有细微的不各个操作系统在实现TCP/IP栈的时候有细微的不同，可以通过下面一些方法来进行判定

TTL值 Windows窗口值 ToS类型 DF标志位初始序列号（ISN）采样初始序列号（ MSS（最大分段大小）最大分段大小）其他

TTL（ TTL（Time To Live） Live） source

TTL = 4 TTL = 8 TTL = 5 TTL = 3 TTL = 7 TTL = 6 TTL = 2 destination

TTL = 9 TTL = 10 缓冲区溢出攻击危害性

据统计，缓冲区溢出攻击占所有网络攻击总数的据统计， 80%以上 80%以上溢出成功后大都能直接拿到目标系统的最高权限身边的例子

RPC DCOM溢出 DCOM溢出 IIS .ida/idq溢出 .ida/idq溢出 IIS .printer溢出 .printer溢出 IIS WebDav溢出 WebDav溢出 Wu-ftpd溢出 Wu-ftpd溢出缓冲区溢出原理

通过往程序的缓冲区写入超出其长度的内容，通过往程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，使程序转而执行其它指

令，以达到攻击的目的缓冲区溢出攻击的对象在于那些具有某些特权(如root或本地管理器)运行的程序，这样或本地管理器)运行的程序，或本地管理器可以使得攻击者取得该程序的控制权，可以使得攻击者取得该程序的控制权，如果该程序具有足够的权限，该程序具有足够的权限，那么整个主机就被控制了

缓冲区溢出示意图 n字节字节缓冲区

正常流程函数返回点字符串变量数组用户输入

输入数据正常流程函数返回点字符串变量数组用户输入

输入数据> 字节, 输入数据>n字节,尾部为跳转的地址溢出改变流程程序溢出时的表现

Segmentation Fault (coredumped) 以特权身份运行的程序网络服务程序

HTTP Server FTP Server Mail Server RPC Daemon … suid/sgid程序程序 Root溢出 Root溢出 Remote root exploit

通过网络，无需认证即可获得远程主机的root权限通过网络，需认证即可获得远程主机的root权限 Local root exploit

本地普通用户，利用系统程序的漏洞获得root权限本地普通用户，利用系统程序的漏洞获得root权限远程控制技术

概念危害性发展历程技术类型特洛伊木马的来历

来源于希腊神话中的特洛伊战争希腊人攻打特洛伊城十年，希腊人攻打特洛伊城十年，始终未获成功，始终未获成功，后来建造了一个大木马，并假装撤退，一个大木马，并假装撤退，希腊将士却暗藏于马腹中。希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，打开城门，希腊将士里应外合毁灭了特洛伊城。合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马

远程控制技术

远程控制实际上是包含有服务器端和客户端的一套程序服务器端程序驻留在目标计算机里，服务器端程序驻留在目标计算机里，随着系统启动而自行启动。此外，自行启动。此外，使用传统技术的程序会在某端口进行监听，若接收到数据就对其进行识别，行监听，若接收到数据就对其进行识别，然后按照识别后的命令在目标计算机上执行一些操作（别后的命令在目标计算机上执行一些操作（比如窃取口令，拷贝或删除文件，或重启计算机等）口令，拷贝或删除文件，或重启计算机等）攻击者一般在入侵成功后，攻击者一般在入侵成功后，将服务端程序拷贝到目标计算机中，并设法使其运行，从而留下后门。日后，计算机中，并设法使其运行，从而留下后门。日后，攻击者就能够通过运行客户端程序，攻击者就能够通过运行客户端程序，来对目标计算机进行操作

远程控制技术的发展历程第一代

功能简单、技术单一，功能简单、技术单一，如简单的密码窃取和发送等第二代

在技术上有了很大的进步，如国外的BO2000，在技术上有了很大的进步，如国外的BO2000，国内的冰河等第三代

为了躲避防火墙而在数据传递技术上做了不小的改进，比为了躲避防火墙而在数据传递技术上做了不小的改进，如利用ICMP协议以及采用反弹端口的连接模式如利用ICMP协议以及采用反弹端口的连接模式第四代

研究操作系统底层，在进程隐藏方面有了很大的突破研究操作系统底层，传统的远程控制步骤如何远程植入程序直接攻击电子邮件

经过伪装的木马被植入目标机器文件下载浏览网页合并文件 +

远程受控端程序的自启动

Windows启动目录启动目录注册表启动 Run(RunOnce/RunOnceEx/RunServices） Run(RunOnce/RunOnceEx/RunServices） KnownDLLs 修改文件关联方式系统配置文件启动 Win.ini System.ini 服务启动其他启动远程受控端程序的隐藏

在任务栏（包括任务管理器）在任务栏（包括任务管理器）中隐藏自己初步隐藏

注册为系统服务

不适用于Win2k/NT 不适用于Win2k/NT

启动时会先通过窗口名来确定是否已经在运行，如果是则不再启动防止过多的占用资源进程隐藏

远程线程插入其他进程（不适用于Win9X） Win9X）远程线程插入其他进程（不适用于Win9X Hook技术 Hook技术远程控制数据传输方式

ICMP协议传送协议传送反弹端口 + HTTP隧道技术隧道技术反弹端口连接模式

Internet Explore r 浏览网页防火墙端口 > 1024 目标主机

木马线程 IE 正常线程进正常线程程 „ Windows 系统

监听端口

反弹式的远程控制程序

传统远程控制程序传统远程控制程序 IP数据包过滤远程控制的防御

远程端口扫描本地进程—端口察看本地进程端口察看 Fport / Vision AntiyPorts APorts 注册表监控 Regmon 文件监控 Filemon

本地进程察看 Pslist Listdlls

使用专用的查杀工具加强使用者的安全意识 Vision AntiyPorts

DoS与DDoS攻击 DoS与DDoS攻击

DoS (Denial of Service)攻击的中文含义是攻击的中文含义是拒绝服务攻击 DDoS (Distributed Denial of Service)攻击攻击的中文含义是分布式拒绝服务攻击

拒绝服务攻击的种类

发送大量的无用请求，发送大量的无用请求，致使目标网络系统整体的网络性能大大降低，体的网络性能大大降低，丧失与外界通信的能力。能力。利用网络服务以及网络协议的某些特性，利用网络服务以及网络协议的某些特性，发送超出目标主机处理能力的服务请求，送超出目标主机处理能力的服务请求，导致目标主机丧失对其他正常服务请求的相应能力。利用系统或应用软件上的漏洞或缺陷，发送利用系统或应用软件上的漏洞或缺陷，经过特殊构造

的数据包，经过特殊构造的数据包，导致目标的瘫痪称之为nuke) ) （称之为拒绝服务攻击典型举例

SynFlood Smurf PingFlood UDP Flooder 拒绝服务攻击— 拒绝服务攻击—SynFlood 正常的TCP/IP三次握手客户端 SYN+ACK ACK SYN SynFlood攻击攻击主机伪造源地址 SYN 被攻击主机服务器

不存在的主机

不响应 SYN+ACK 不断重试及等待，等待，消耗系统资源握手完成，握手完成，开始传送数据，系统消耗很少 SynFlood的防御对策

重新设置一些TCP/IP协议参数协议参数重新设置一些

增加TCP监听套解字未完成连接队列的最大长度增加TCP监听套解字未完成连接队列的最大长度减少未完成连接队列的超时等待时间类似于SYN Cookies的特殊措施类似于SYN Cookies的特殊措施选择高性能的防火墙

SYN Threshold类 Threshold类 SYN Defender类 Defender类 SYN Proxy类 Proxy类

拒绝服务攻击— 拒绝服务攻击—Smurf攻击

Attacker broadcast echo request 源地址被欺骗为被攻击主机地址

中介网络放大器目标机器会接收很多来自中介网络的请求 Target 其它拒绝服务攻击

Fraggle Ping of Death UdpFlood TearDrop 电子邮件炸弹 Nuke类拒绝服务攻击 Nuke类拒绝服务攻击 Win Nuke RPC Nuke SMB Die 分布式拒绝服务攻击

DDoS是DoS攻击的延伸，威力巨大，具体是攻击的延伸，攻击的延伸威力巨大，攻击方式多种多样。攻击方式多种多样。分布式拒绝服务攻击就是利用一些自动化或分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标。攻击一般会采用IP地址欺骗技术地址欺骗技术，攻击一般会采用地址欺骗技术，隐藏自己地址，的IP地址，所以很难追查。地址所以很难追查。分布式拒绝服务攻击示意图分布式拒绝服务攻击步骤

探测扫描大量主机以寻找可入侵的目标；探测扫描大量主机以寻找可入侵的目标；入侵有安全漏洞的主机并获取控制权，入侵有安全漏洞的主机并获取控制权，在每台入侵主机中安装攻击程序；台入侵主机中安装攻击程序；构造庞大的、分布式攻击网络；构造庞大的、分布式攻击网络；在同一时刻，在同一时刻，由分布的成千上万台主机向同一目标地址发出攻击，目标系统全线崩溃；一目标地址发出攻击，目标系统全线崩溃；

典型的分布式拒绝服务攻击工具 Trinoo TFN Stacheldraht TFN2K 分布式拒绝服务攻击防御对策

对于分布式攻击，对于分布式攻击，目前仍无非常有效的方法来防御基本的防御对策

做好各种基本的拒绝服务攻击防御措施，打好补做好各种基本的拒绝服务攻击防御措施，丁；联系ISP对主干路由器进行限流措施对主干路由器进行限流措施；联系ISP对主干路由器进行限流措施；利用各种安全防御系统进行辅助记录工作。利用各种安全防御系统进行辅助记录工作。使用软件来帮助管理员搜索ddos客户端使用软件来帮助管理员搜索ddos客户端 find_ddos ZombieZapper ddosping 网络监听攻击 sniffer 源目的加密 passwd

$%@&)*=$%@&)*=-~`^,{ 解密

网络监听攻击的环境

基于共享（基于共享（HUB）环境的监听）比较普遍实现较为简单

基于交换（基于交换（Switch）环境的监听）基础是ARP欺骗技术基础是ARP欺骗技术基于共享环境的监听

共享以太网环境中，共享以太网环境中，所有物理信号都会被传送到每一个主机节点上去如将系统的网络接口设定为混杂模式 (Promiscuous)，则就能接受到一切监听到的数据帧，而不管其目的MAC地址是什么数据帧，而不管其目的地址是什么

共享环境监听的意义

积极意义：积极意义：方便网络管理员进行管理和网络故障分析消极意义：消极意义：常被用来窃听在网络上以明文方式传输的口令和账号密码 POP3邮件口令 POP3邮件口令 Ftp登录口令 Ftp登录口令 Telnet登录口令 Telnet登录口令

共享环境监听的检测基于主机的检测

简单的ifconfig命令，包括各种UNIX系统简单的ifconfig命令，包括各种UNIX系统命令基于网络的检测

针对系统硬件过滤和软件过滤的检测针对DNS反向域名解析的检测针对DNS反向域名解析的检测针对网络和主机响应时间的检测使用专业的检测工具 AntiSniff（ AntiSniff（有for win和for unix的版本） win和 unix的版本的版本） Promiscan

AntiSniff（LOpht）口令入侵

口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，令登录到

目的主机，然后再实施攻击活动获取口令的途径有：获取口令的途径有：网络监听口令猜测，口令猜测，暴力破解利用系统管理员的失误口令猜测攻击口令猜测攻击原理

现行很多加密算法都单向不可逆攻击者每次从攻击字典中取出一个条目作为口令，攻击者每次从攻击字典中取出一个条目作为口令，使用相同的加密算法进行加密，使用相同的加密算法进行加密，然后同密文进行比对，如不同则继续下一次尝试，比对，如不同则继续下一次尝试，否则则猜测成功。口令猜测可分为

远程口令破解本地口令破解远程口令破解许多网络服务，都是通过账号口令来认证需许多网络服务，都是通过账号/口令来认证需要访问该服务的用户

POP3 Netbios Telnet FTP HTTP等 HTTP等

可以远程进行穷举字典的方式来猜解口令破解效率很低，破解效率很低，而且容易被记录本地口令猜解

各种操作系统以自己各自的方式存放密码文而大多数的加密算法都比较脆弱，件，而大多数的加密算法都比较脆弱，容易被猜解本地破解速度非常快，本地破解速度非常快，具体的速度取决于系统的配置在协同工作越来越发达的今天，在协同工作越来越发达的今天，本地口令破解可以说是“百发百中” 解可以说是“百发百中”

Windows口令破解技术简介

系统中，在WinNT/2K系统中，使用一套较老的加密系统中算法—LAN Manager 算法 LM散列算法存在着致命缺陷散列算法存在着致命缺陷用户密码缩短到14个字符，若不足则用0x00填用户密码缩短到14个字符，若不足则用0x00填个字符补个字节由用户密码的前7 前8个字节由用户密码的前7个字符推导而来后续8个字节由密码的8 14个字符得来后续8个字节由密码的8-14个字符得来 Windows口令破解技术简介

Windows系统以系统以sam文件格式存放密码文件，文件格式存放密码文件，系统以文件格式存放密码文件有多种方式可以获得 %SystemRoot%\\system32\\config\\sam

SystemRoot%\\system32\\config\\ %SystemRoot%\\repair\\ %SystemRoot%\\repair\\sam._ 使用pwdump3远程从注册表中导出使用pwdump3远程从注册表中导出嗅探网络中SMB报文包含的口令散列值嗅探网络中SMB报文包含的口令散列值破解工具

@stake的L0phcrack stake的 @stake L0phcrack Unix系统的口令破解

Unix系统的口令密文存放在系统的口令密文存放在/etc/passwd或系统的口令密文存放在或 /etc/shadow文件中文件中加密算法

传统加密沿用最多的是DES算法的口令加密机制传统加密沿用最多的是DES算法的口令加密机制为了增强DES的加密强度引入了被称作Salt的的加

密强度，为了增强DES的加密强度，引入了被称作Salt的附加手段猜测工具

John The Ripper 候选口令产生器口令加密口令比较

输出匹配的口令字典

口令文件

口令破解防御对策

制定正确的密码策略，制定正确的密码策略，并贯彻实施

密码长度，密码长度，强度足够定期更换密码禁用类似12345678 computer„„这样的简单密 12345678、禁用类似12345678、computer„„这样的简单密码

提高人的安全意识很重要攻击发展趋势

个人信息安全的防范技巧

1、不轻易运行不明真相的程序、 2、屏蔽小甜饼（Cookie ）信息、屏蔽小甜饼（ 3、不同的地方用不同的口令、 4、屏蔽、屏蔽ActiveX控件控件 5、定期清除缓存、历史记录以及临时文件夹、定期清除缓存、中的内容 6、不随意透露任何个人信息、 7、突遇莫名其妙的故障时要及时检查系统信、息 8、对机密信息实施加密保护、 9、拒绝某些可能有威胁的站点对自己的访、问 10、加密重要的邮件、 11、在自己的计算机中安装防火墙、 12、为客户服务器通信双方提供身份认证，服务器通信双方提供身份认证，、为客户/服务器通信双方提供身份认证建立安全信道 13、尽量少在聊天室里或使用、尽量少在聊天室里或使用OICQ聊天聊天 Any Questions? Thank You!

本TXT由“文库宝”下载:http://www.mozhua.net/wenkubao

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文

全部栏目

网络攻击及防御技术