第2章网络安全威胁71精选文档.ppt

第2章 网络安全威胁712022/9/22南京邮电大学信息安全系1本讲稿第一页，共七十一页2022/9/22南京邮电大学信息安全系2主要内容主要内容2.1 隐藏攻击者的地址和身份隐藏攻击者的地址和身份2.2 踩点技术（踩点技术（Footprinting）2.3 扫描技术（扫描技术（Scanning）2.4 嗅探技术（嗅探技术（Sniffing）2.5 攻击技术（攻击技术（Attack Technology）2.6 权限提升（权限提升（Escalating Privilege）2.7 掩盖踪迹（掩盖踪迹（Covering Tracks）2.8 创建后门（创建后门（Creating Bookdoor）2.9 Web攻击技术攻击技术 2.3.1 主机扫描主机扫描2.3.2 端口扫描端口扫描 2.3.3 操作系统探测操作系统探测 2.3.4 漏洞扫描漏洞扫描 2.9.1 SQL注入攻击注入攻击 2.9.2 XSS攻击攻击 本讲稿第二页，共七十一页2022/9/22南京邮电大学信息安全系3网络攻击与防御技术的关系网络攻击与防御技术的关系“网络渗透网络渗透”过程有多个阶段、多种技术，但没有一个过程有多个阶段、多种技术，但没有一个统一的定式。统一的定式。网络攻击技术发展很快，今天可行的技术可能明天网络攻击技术发展很快，今天可行的技术可能明天就过时了。就过时了。网络攻击技术的过时主要是因为相应的网络防御技网络攻击技术的过时主要是因为相应的网络防御技术发展也很快。术发展也很快。许多网络安全技术都是双刃剑，两者相辅相成，互为补许多网络安全技术都是双刃剑，两者相辅相成，互为补充（如：扫描、嗅探和嗅探检测等）。充（如：扫描、嗅探和嗅探检测等）。本讲稿第三页，共七十一页2022/9/22南京邮电大学信息安全系4网络防御技术网络防御技术1）加密）加密/签名签名/散列技术（理论基础）散列技术（理论基础）2）主机加固技术（打补丁）主机加固技术（打补丁）3）病毒防护技术（广义病毒）病毒防护技术（广义病毒）4）防火墙技术（门卫）防火墙技术（门卫/被动被动/进出）进出）5）虚拟专用网技术（端）虚拟专用网技术（端-端端/密码技术）密码技术）6）入侵检测技术（警察）入侵检测技术（警察/动态动态/内部）内部）7）蜜罐技术（主动）蜜罐技术（主动/位置位置/误报漏报误报漏报少）少）8）计算机取证技术（主机取证和网络取证）计算机取证技术（主机取证和网络取证）为了保证服务质量，要为了保证服务质量，要求误报少；求误报少；为了保证系统安全，为了保证系统安全，要求漏报少；要求漏报少；两者常常相悖，应根两者常常相悖，应根据用途折中选择据用途折中选择本讲稿第四页，共七十一页2022/9/22南京邮电大学信息安全系52.1 隐藏攻击者的地址和身份隐藏攻击者的地址和身份1IP地址欺骗或盗用技术地址欺骗或盗用技术 源源IP地址为假冒或虚假地址为假冒或虚假2MAC地址盗用技术地址盗用技术 修改注册表或使用修改注册表或使用ifconfig命令命令 3通过通过Proxy隐藏技术隐藏技术 作为攻击跳板；实际上很难真正实现隐藏作为攻击跳板；实际上很难真正实现隐藏4网络地址转换技术网络地址转换技术 私有私有IP地址可以隐藏内部网络拓扑结构地址可以隐藏内部网络拓扑结构5盗用他人网络账户技术盗用他人网络账户技术 网络安全链路中最薄弱的链接网络安全链路中最薄弱的链接 本讲稿第五页，共七十一页2022/9/22南京邮电大学信息安全系62.2 踩点技术（踩点技术（Footprinting）黑客尽可能地收集目标系统安全状况的各种信息：黑客尽可能地收集目标系统安全状况的各种信息：目标系统的用户注册信息目标系统的用户注册信息Whois 域名、域名、IP地址、地址、DNS服务器、邮件服务器服务器、邮件服务器Nslookup、host 网络拓扑和路由信息网络拓扑和路由信息Traceroute 获取公开的信息；采用的技术合法。获取公开的信息；采用的技术合法。本讲稿第六页，共七十一页2022/9/22南京邮电大学信息安全系72.3 扫描技术（扫描技术（Scanning）2.3.1 主机扫描（主机扫描（Host Scanning）一般使用一般使用Ping实现：发送实现：发送ICMP echo请求给目标主机，若请求给目标主机，若收到收到ICMP echo应答则表明目标主机激活。应答则表明目标主机激活。Fping工具以并行轮转方式发送大量工具以并行轮转方式发送大量Ping请求，以加请求，以加快扫描速度。快扫描速度。防火墙的存在使得防火墙的存在使得Ping扫描的应答可能丢失，扫描结扫描的应答可能丢失，扫描结果就不一定准确。果就不一定准确。本讲稿第七页，共七十一页2022/9/22南京邮电大学信息安全系82.3.2 端口扫描（端口扫描（Port Scanning）通常采用通常采用Nmap等扫描工具等扫描工具：获得目标主机开放的获得目标主机开放的TCP和和UDP端口列表端口列表 确定主机上开放的网络服务确定主机上开放的网络服务 得到监听端口返回的得到监听端口返回的Banner信息信息利用这些服务的漏洞，进行进一步入侵。利用这些服务的漏洞，进行进一步入侵。本讲稿第八页，共七十一页2022/9/22南京邮电大学信息安全系9TCP三次握手缺陷三次握手缺陷 SYN包包,C的序列号的序列号 Client SYN+ACK包包,S序列号序列号,C应答号应答号Server ACK包包,S的应答号的应答号 源端口源端口(1024高端口高端口)目的端口目的端口(1024熟知熟知 源源IP地址地址(寻址只关心寻址只关心 端口，表明端口，表明Server上上 目的目的IP，不认证源，不认证源IP地地 提供的服务提供的服务)址，可能是址，可能是“假假”地址地址)目的目的IP地址地址 TCP标志位的作用：标志位的作用：SYN/ACK/RST/FIN/PSH/URG假假 假冒（另一主机假冒（另一主机IP地址）地址）虚假（可路由不可到达）虚假（可路由不可到达）本讲稿第九页，共七十一页2022/9/22南京邮电大学信息安全系10端口扫描的类型端口扫描的类型（1）本讲稿第十页，共七十一页2022/9/22南京邮电大学信息安全系11端口扫描的类型端口扫描的类型（2）本讲稿第十一页，共七十一页2022/9/22南京邮电大学信息安全系12端口扫描的类型端口扫描的类型（3）本讲稿第十二页，共七十一页2022/9/22南京邮电大学信息安全系132.3.3 操作系统探测（操作系统探测（Operate System Probing）协议栈指纹鉴别（协议栈指纹鉴别（TCP Stack Fingerprinting）各个各个OS实现协议栈细节不同的原因如下：实现协议栈细节不同的原因如下：1）对）对RFC相关文件理解不同；相关文件理解不同；2）TCP/IP规范并不被严格执行；规范并不被严格执行；3）规范中一些选择性特性只在某些系统使用；）规范中一些选择性特性只在某些系统使用；4）某些系统私自对）某些系统私自对IP协议做了改进。协议做了改进。本讲稿第十三页，共七十一页2022/9/22南京邮电大学信息安全系14操作系统探测的方法操作系统探测的方法 对目标主机发出对目标主机发出OS探测包，每种探测包，每种OS有其独特响应有其独特响应方法，可根据返回的响应包确定目标主机方法，可根据返回的响应包确定目标主机OS类型。类型。协议栈指纹：协议栈指纹：TTL值、值、TCP窗口大小、窗口大小、DF标志、标志、TOS、IP碎片、碎片、ACK值、值、TCP选项等。选项等。利用利用Ping扫描返回的扫描返回的TTL值进行简单的值进行简单的OS探测探测 本讲稿第十四页，共七十一页2022/9/22南京邮电大学信息安全系152.3.4 漏洞扫描（漏洞扫描（Hole Scanning）漏洞（脆弱性，漏洞（脆弱性，Vulnerability）计算机或网络系统具有的某种可能被入侵者恶意利用的计算机或网络系统具有的某种可能被入侵者恶意利用的特性。特性。漏洞扫描漏洞扫描 针对特定应用和服务（如操作系统、针对特定应用和服务（如操作系统、Web服务器、数服务器、数据库服务器、防火墙、路由器）查找目标网络漏洞，据库服务器、防火墙、路由器）查找目标网络漏洞，并抽取有效账号或导出资源名。并抽取有效账号或导出资源名。本讲稿第十五页，共七十一页2022/9/22南京邮电大学信息安全系162.4 嗅探技术（嗅探技术（Sniffing）黑客使用：非常隐蔽地攫取网络大量敏感信息，是黑客使用：非常隐蔽地攫取网络大量敏感信息，是一种有效的一种有效的“被动攻击被动攻击”技术。技术。与主动攻击技术相比，嗅探行为更易实现、更难被察觉。与主动攻击技术相比，嗅探行为更易实现、更难被察觉。安全管理人员使用：对网络活动进行实时监控，并及安全管理人员使用：对网络活动进行实时监控，并及时发现各种网络攻击行为时发现各种网络攻击行为。本讲稿第十六页，共七十一页2022/9/22南京邮电大学信息安全系17嗅探技术的分类嗅探技术的分类 局域网主机监听到发送给其他主机的数据包内容。局域网主机监听到发送给其他主机的数据包内容。共享式局域网共享式局域网将将该主机网卡设置成混杂主机网卡设置成混杂（Promiscuous）模式）模式 共享式和交共享式和交换式局域网式局域网该主机使用该主机使用ARP欺骗欺骗注意：两种技术可结合使用，从而嗅探到注意：两种技术可结合使用，从而嗅探到局域网上局域网上传送的用送的用户账号和口令。号和口令。嗅探工具不能不加选择地接收所有数据包，并且长时嗅探工具不能不加选择地接收所有数据包，并且长时间地监听间地监听。本讲稿第十七页，共七十一页2022/9/22南京邮电大学信息安全系182.5 攻击技术（攻击技术（Attack Technology）2.5.1 社会工程（社会工程（Social Engineering）2.5.2 口令破解（口令破解（Password Cracking）2.5.3 IP欺骗（欺骗（IP Spoofing）2.5.4 ARP欺骗（欺骗（ARP Spoofing）2.5.5 DNS欺骗（欺骗（DNS Spoofing）2.5.6 会话劫持（会话劫持（Session Hijacking）2.5.7 拒绝服务（拒绝服务（Denial of Service）攻击）攻击2.5.8 缓冲区溢出（缓冲区溢出（Buffer Overflow）攻击）攻击本讲稿第十八页，共七十一页2022/9/22南京邮电大学信息安全系192.5.1 社会工程（社会工程（Social Engineering）社会工程的核心：攻击者伪装身份并设法让受害人泄露社会工程的核心：攻击者伪装身份并设法让受害人泄露系统信息。系统信息。一种低技术含量破坏网络安全的方法，其实是高级黑客一种低技术含量破坏网络安全的方法，其实是高级黑客技术的一种，往往使得看似处在严密防护下的网络系统出技术的一种，往往使得看似处在严密防护下的网络系统出现致命的突破口。现致命的突破口。利用说服或欺骗的方式，让安全意识薄弱的职员来提供利用说服或欺骗的方式，让安全意识薄弱的职员来提供必要的信息，从而获得对信息系统的访问。必要的信息，从而获得对信息系统的访问。本讲稿第十九页，共七十一页2022/9/22南京邮电大学信息安全系202.5.2 口令破解（口令破解（Password Cracking）手工尝试（猜测）手工尝试（猜测）对口令文件使用破解工具（字典对口令文件使用破解工具（字典/暴力暴力/组合攻击）组合攻击）使用嗅探技术获得口令使用嗅探技术获得口令 使用社会工程方法获得口令使用社会工程方法获得口令 恶意网页和恶意电子邮件恶意网页和恶意电子邮件 通过键盘记录器获得口令通过键盘记录器获得口令 账号口令锁定机制账号口令锁定机制 拒绝服务攻击拒绝服务攻击本讲稿第二十页，共七十一页2022/9/22南京邮电大学信息安全系212.5.3 IP欺骗（欺骗（IP Spoofing）IP欺骗：通过伪造数据包源欺骗：通过伪造数据包源IP地址，地址，伪装成被信任主机伪装成被信任主机来骗取目标主机信任，从而实现攻击。来骗取目标主机信任，从而实现攻击。基于两个前提：基于两个前提：1）TCP/IP路由数据包时，不判断源路由数据包时，不判断源IP地址地址 可以可以伪造数据包的源伪造数据包的源IP地址；地址；2）UNIX中主机之间存在信任关系中主机之间存在信任关系 基于基于IP地址的认证，地址的认证，不再需要用户账号和口令。不再需要用户账号和口令。本讲稿第二十一页，共七十一页2022/9/22南京邮电大学信息安全系22信任和认证的关系（相反）信任和认证的关系（相反）基于口令的认证：如基于口令的认证：如SMTP(TCP 25)和和Telnet(TCP 23)，只能通过账号，只能通过账号/口令认证用户；口令认证用户；基于基于IP地址的认证（即信任）：登录主机的地址受地址的认证（即信任）：登录主机的地址受到被登录服务器信任，该主机登录不要口令；到被登录服务器信任，该主机登录不要口令；如远程登录如远程登录rlogin(TCP 513)，首先进行基于，首先进行基于IP地址的地址的认证，其次才进行口令认证。认证，其次才进行口令认证。一般被登录服务器设置有一般被登录服务器设置有/etc/hosts.equiv或或$HOME/.rhosts文件。文件。本讲稿第二十二页，共七十一页2022/9/22南京邮电大学信息安全系23一个完整的一个完整的IP欺骗攻击过程欺骗攻击过程 本讲稿第二十三页，共七十一页2022/9/22南京邮电大学信息安全系24对被冒充对象对被冒充对象B的拒绝服务攻击的拒绝服务攻击 1）X首先必须对首先必须对B进行进行DoS攻击，否则步骤攻击，否则步骤4）中）中B收收到到A发来的它未请求过的应答包，将返回发来的它未请求过的应答包，将返回RST包而包而终止连接。终止连接。2）X发送到发送到A的的rlogin端口的数据包源端口的数据包源IP地址是地址是“假冒假冒”B的的IP地址。地址。3）为何）为何X不能直接将自己不能直接将自己IP修改为修改为B的的IP来连接到来连接到A的的rlogin端口？端口？IP地址产生冲突；地址产生冲突；外网外网X不能这样修改。不能这样修改。本讲稿第二十四页，共七十一页2022/9/22南京邮电大学信息安全系25序列号猜测的重要性序列号猜测的重要性 X冒充受攻击目标冒充受攻击目标A信任的信任的B，远程连接，远程连接A的的rlogin端口，若端口，若能连接成功，不再需要口令就能登录能连接成功，不再需要口令就能登录A。因为因为A请求请求X的响应包返回给的响应包返回给B，X不知道其中不知道其中A的序列的序列号，要想完成步骤号，要想完成步骤5），必须），必须“猜猜”到到A的的ISN。本讲稿第二十五页，共七十一页2022/9/22南京邮电大学信息安全系26序列号猜测的过程序列号猜测的过程1）X首先连接首先连接A的的SMTP端口（端口（X是是A的合法邮件用户，的合法邮件用户，但不是但不是rlogin用户），试探其用户），试探其ISN变化规律，以估算下变化规律，以估算下一次连接时一次连接时A的的ISN值。值。2）X必须马上按照步骤必须马上按照步骤3)-5)的方法假冒的方法假冒B与与A建立建立rlogin连接。连接。X必须立刻进行欺骗攻击必须立刻进行欺骗攻击 当然这样也不一定能一次猜测成功当然这样也不一定能一次猜测成功本讲稿第二十六页，共七十一页2022/9/22南京邮电大学信息安全系27TCP序列号的产生方式序列号的产生方式1）64K规则规则 用于比较老的机器中，非常容易猜测序列号。用于比较老的机器中，非常容易猜测序列号。2）时间相关规则）时间相关规则 序列号产生器根据时间产生伪随机序列。由于各计算序列号产生器根据时间产生伪随机序列。由于各计算机的时钟不完全相同，增加序列号随机性。机的时钟不完全相同，增加序列号随机性。前两种方式下有可能猜测到序列号。前两种方式下有可能猜测到序列号。3）随机产生规则）随机产生规则 用于新的用于新的Linux内核，序列号基本很难猜测。内核，序列号基本很难猜测。本讲稿第二十七页，共七十一页2022/9/22南京邮电大学信息安全系28序列号的规律序列号的规律Windows与与Linux系统的序列号比较系统的序列号比较连接序号连接序号Windows系统系统Linux系统系统1234528874959152887500502288750710928875123112887517117321765071332010905338617656339459049334021331猜测猜测Windows序列号比序列号比Linux序列号容易得多序列号容易得多本讲稿第二十八页，共七十一页2022/9/22南京邮电大学信息安全系29不同网络环境下的序列号猜测不同网络环境下的序列号猜测1）若三者属于同一局域网，理论上很容易实现）若三者属于同一局域网，理论上很容易实现IP欺骗。欺骗。X不用不用猜测猜测A的序列号的序列号嗅探即可。嗅探即可。2）若）若X来自外网，想猜测来自外网，想猜测A的序列号非常困难的序列号非常困难理论可行。理论可行。3）米特尼克第一个在广域网成功实现）米特尼克第一个在广域网成功实现IP欺骗，但当时序列欺骗，但当时序列号容易猜测。号容易猜测。本讲稿第二十九页，共七十一页2022/9/22南京邮电大学信息安全系302.5.4 ARP欺骗（欺骗（ARP Spoofing）ARP协议的缺陷：一台主机即使收到的协议的缺陷：一台主机即使收到的ARP应答包并非应答包并非请求得到的，也会将其插入请求得到的，也会将其插入ARP缓存表中。缓存表中。黑客想嗅探同一局域网两台主机的通信，就分别给黑客想嗅探同一局域网两台主机的通信，就分别给它们发送它们发送ARP应答包，让它们误认为对方的应答包，让它们误认为对方的MAC地地址就是黑客的址就是黑客的MAC地址。地址。两台主机之间的数据包都会通过黑客，双方看似两台主机之间的数据包都会通过黑客，双方看似“直接直接”的通信，实际上都是通过黑客中转的。的通信，实际上都是通过黑客中转的。本讲稿第三十页，共七十一页2022/9/22南京邮电大学信息安全系312.5.5 DNS欺骗（欺骗（DNS Spoofing）DNS协议的缺陷：协议的缺陷：DNS服务器向另一个服务器向另一个DNS服务器发送解析服务器发送解析请求时并不认证被请求方，黑客可以冒充被请求方返回一请求时并不认证被请求方，黑客可以冒充被请求方返回一个被篡改的个被篡改的IP地址。地址。DNS服务器会缓存被黑客篡改的服务器会缓存被黑客篡改的IP地址，以后对该服务器的地址，以后对该服务器的同一域名的解析请求，在该条目被缓存的生存期内，得到同一域名的解析请求，在该条目被缓存的生存期内，得到的结果都将被篡改。的结果都将被篡改。本讲稿第三十一页，共七十一页2022/9/22南京邮电大学信息安全系322.5.6 会话劫持（会话劫持（Session Hijacking）会话劫持：结合嗅探和欺骗技术，在正常的通信过程中，会话劫持：结合嗅探和欺骗技术，在正常的通信过程中，黑客作为第三方参与其中：黑客作为第三方参与其中：要么在数据流里注射额外的信息；要么在数据流里注射额外的信息；或将双方的通信模式暗中改变，即从直接联系变成交由或将双方的通信模式暗中改变，即从直接联系变成交由黑客中转。黑客中转。1）中间人（）中间人（Man In The Middle，MITM）攻击）攻击 基于基于ARP/DNS欺骗欺骗，后者可在广域网内进行，后者可在广域网内进行 还能利用配置不当的加密协议，如还能利用配置不当的加密协议，如SSH1/SSL协议协议本讲稿第三十二页，共七十一页2022/9/22南京邮电大学信息安全系332）会话注射（）会话注射（Session Injection）是会话劫持不同于（强于）其他攻击的特点所在：是会话劫持不同于（强于）其他攻击的特点所在：合法用户先完成身份认证；合法用户先完成身份认证；劫持者再冒充合法用户，以正确的劫持者再冒充合法用户，以正确的ISN向服务器发送数据向服务器发送数据（cat/etc/password）：）：向合法用户发向合法用户发RST包使其下线；包使其下线；注射完数据后，再把连接交还合法用户。注射完数据后，再把连接交还合法用户。在一定意义上实现在一定意义上实现IP欺骗攻击：不用猜服务器的欺骗攻击：不用猜服务器的ISN，可直接得到，因已被劫持。可直接得到，因已被劫持。本讲稿第三十三页，共七十一页2022/9/22南京邮电大学信息安全系342.5.7 拒绝服务（拒绝服务（Denial of Service）攻击）攻击 并非某一种具体的攻击方式并非某一种具体的攻击方式 而是攻击所表现出来的结果而是攻击所表现出来的结果 使服务器不能正常地对外界提供服务（可用性）使服务器不能正常地对外界提供服务（可用性）内存损耗内存损耗 系统程序和应用程序的漏洞系统程序和应用程序的漏洞 带宽损耗带宽损耗 网络协议实现中的缺陷网络协议实现中的缺陷 （如如TCP三次握手缺陷）三次握手缺陷）攻击者不需与目标交互攻击者不需与目标交互 可伪造源可伪造源IP地址地址 难以追踪难以追踪结果结果原因原因本讲稿第三十四页，共七十一页2022/9/22南京邮电大学信息安全系35DoS攻击攻击方法的分类与比较方法的分类与比较代表性方法代表性方法所利用漏洞所利用漏洞/缺陷缺陷防范现状防范现状 使用现状使用现状Ping of Death系统程序和应用系统程序和应用程序的漏洞程序的漏洞很好防范很好防范 基本不用基本不用TeardropUDP Flood网络协议实现中网络协议实现中的缺陷的缺陷很好防范很好防范 基本不用基本不用LAND AttackSYN Flood网络协议实现中网络协议实现中的缺陷的缺陷很难根本很难根本防范防范多用于多用于DDoS攻攻击中击中Smurf Attack本讲稿第三十五页，共七十一页2022/9/22南京邮电大学信息安全系36（1）UDP Flood原因：原因：没有修改系没有修改系统的缺省配置的缺省配置 开放易受攻开放易受攻击的服的服务端口端口 没必要打开这些端口（不需提供小号端口服务）没必要打开这些端口（不需提供小号端口服务）缺省打开则显示出系统功能缺省打开则显示出系统功能 减少昂贵的技术支持服务的费用减少昂贵的技术支持服务的费用本讲稿第三十六页，共七十一页2022/9/22南京邮电大学信息安全系37UDP Flood利用的服务利用的服务UDP Flood利用如下服务的弱点：利用如下服务的弱点：Echo服务（服务（TCP 7和和UDP 7）对接收到的每个字符进行）对接收到的每个字符进行回送。回送。Chargen服务（服务（TCP 19和和UDP 19）对接收到的每个数据）对接收到的每个数据包都返回一些随机生成的字符。包都返回一些随机生成的字符。即如果与即如果与Chargen服务建立了连接，它会不断返回乱字符服务建立了连接，它会不断返回乱字符直到连接中断。直到连接中断。本讲稿第三十七页，共七十一页2022/9/22南京邮电大学信息安全系38UDP Flood的实现原理的实现原理1）黑客选择两个目标）黑客选择两个目标A和和B；2）生成伪造的）生成伪造的UDP包，目的地是包，目的地是B的的Chargen端口，来端口，来源源“假冒假冒”为为A的的Echo端口；端口；3）B的的Chargen服务返回的随机字符发送给服务返回的随机字符发送给A的的Echo服务；服务；4）A再向再向B回送收到的字符，如此反复，最终导致这两台主回送收到的字符，如此反复，最终导致这两台主机应接不暇而拒绝服务；机应接不暇而拒绝服务；5）A和和B的内存和两者所在局域网的带宽都受到严重的内存和两者所在局域网的带宽都受到严重损耗。损耗。本讲稿第三十八页，共七十一页2022/9/22南京邮电大学信息安全系39UDP Flood的对策和评价的对策和评价对策：策：Echo和和Chargen“置之不理置之不理”1024以下的源端口；以下的源端口；尽量减少开放不必要的网络服务。尽量减少开放不必要的网络服务。评价：评价：一箭双雕一箭双雕 攻攻击方法方法只有想不到，没有做不到。只有想不到，没有做不到。目前目前虽已已过时，但在当，但在当时黑客很有黑客很有“创意意”。本讲稿第三十九页，共七十一页2022/9/22南京邮电大学信息安全系40（2）Land Attack 被攻击主机被攻击主机S是是Windows主机，它的主机，它的139端口一般开放（任端口一般开放（任一开放端口都可被利用实现此攻击）。一开放端口都可被利用实现此攻击）。黑客向黑客向S的的139端口发送端口发送TCP请求数据包，并将源请求数据包，并将源IP地址设地址设置为置为S的的IP，源端口设置为，源端口设置为139让让S自己攻击自己。自己攻击自己。S因试图与自己连接而陷入死循环（因试图与自己连接而陷入死循环（S一直给自己发一直给自己发送错误应答，并希望看到具有正确序列号的应答返送错误应答，并希望看到具有正确序列号的应答返回）。回）。本讲稿第四十页，共七十一页2022/9/22南京邮电大学信息安全系41（3）SYN Flood（1）黑客使用黑客使用TCP三次握手连接服务器的过程中：三次握手连接服务器的过程中：1）发送给服务器）发送给服务器S的的SYN包中的源包中的源IP地址是地址是“虚假虚假”地地址；址；2）服务器端返回的）服务器端返回的SYN+ACK包就不能达到声称的源包就不能达到声称的源IP地址对应的主机；地址对应的主机；3）服务器端就不能）服务器端就不能“按时按时”收到请求方返回的收到请求方返回的ACK包，包，将其放入自己的将其放入自己的“未完成连接队列未完成连接队列”中等待；中等待；4）服务器过一段时间重发）服务器过一段时间重发SYN+ACK包，再等待；包，再等待；本讲稿第四十一页，共七十一页2022/9/22南京邮电大学信息安全系42（3）SYN Flood（2）5）实在等不到回应（超时），从）实在等不到回应（超时），从“未完成连接队列未完成连接队列”中清中清除该项，连接断开，给其他客户连接机会；除该项，连接断开，给其他客户连接机会；6）黑客源源不断发送连接请求（随机产生虚假源地址：）黑客源源不断发送连接请求（随机产生虚假源地址：不能过滤不能过滤IP或追查攻击源），使得清除队列慢于进入队或追查攻击源），使得清除队列慢于进入队列，队列始终满，拒绝正常用户请求。列，队列始终满，拒绝正常用户请求。原因是：服务器是原因是：服务器是“友好友好”的，它不能区分哪些是合的，它不能区分哪些是合法请求，哪些是黑客攻击。法请求，哪些是黑客攻击。本讲稿第四十二页，共七十一页2022/9/22南京邮电大学信息安全系43SYN Flood的评价的评价 利用利用TCP三次握手的三次握手的“缺陷缺陷”（黑客不会按（黑客不会按“常常规”办事）事）：只要：只要Internet还使用使用TCP，就不能避免；，就不能避免；无无论内存内存/带宽/速度都速度都C弱弱S强，单机使用机使用效果差；效果差；但用于但用于DDoS中，能很好地起中，能很好地起“以小搏大以小搏大”的作用。的作用。本讲稿第四十三页，共七十一页2022/9/22南京邮电大学信息安全系44（4）Smurf Attack 1）假）假设黑客攻黑客攻击受害主机受害主机S，但使用常，但使用常规DoS方法效果很方法效果很差；差；2）黑客以受害主机名）黑客以受害主机名义向某个局域网向某个局域网发送送ICMP echo广广播请求包，源地址设为播请求包，源地址设为S的的IP地址；地址；3）局域网中所有主机便向局域网中所有主机便向“无辜无辜”的的S返回返回ICMP echo广广播响应包播响应包或大量或大量“端口不可到达端口不可到达”的报文的报文，使得，使得S应接不应接不暇。暇。本讲稿第四十四页，共七十一页2022/9/22南京邮电大学信息安全系45Smurf Attack的评价和对策的评价和对策 巧妙利用巧妙利用局域网作局域网作为“跳板跳板”，达到，达到“借力借力”效果，效果，实现“以以小搏大小搏大”。只要没有禁止使用只要没有禁止使用ICMP echo广播请求包，就不能根本广播请求包，就不能根本防止防止Smurf Attack。防止成为攻击者；防止成为攻击者；防止成为受害者；防止成为跳板。防止成为受害者；防止成为跳板。本讲稿第四十五页，共七十一页2022/9/22南京邮电大学信息安全系46（5）分布式拒绝服务攻击）分布式拒绝服务攻击 DDoS（Distributed DoS）攻击是）攻击是DoS攻击的一种延伸，攻击的一种延伸，它威力巨大是因为其协同攻击能力。它威力巨大是因为其协同攻击能力。黑客使用黑客使用DDoS攻击工具，可同时控制众多傀儡机，向单攻击工具，可同时控制众多傀儡机，向单点目标发动攻击，并结合使用各种传统点目标发动攻击，并结合使用各种传统DoS攻击。攻击。对对DDoS攻击，至今没有一个很好的防御方法。攻击，至今没有一个很好的防御方法。本讲稿第四十六页，共七十一页2022/9/22南京邮电大学信息安全系47DDoS攻击模型的四种角色攻击模型的四种角色 黑客（黑客（Intruder/Attacker/Client）黑客操作主机的接口，向黑客操作主机的接口，向Master发送各种命令。发送各种命令。主控端（主控端（Master/Handler）监听监听Intruder的命令，向各个的命令，向各个Daemon发送攻击命令。发送攻击命令。守护进程端守护进程端（Daemon/Slave/Agent/Zombie/Bot/Server）接收和响应来自接收和响应来自Master的攻击命令，是真正攻击前锋。的攻击命令，是真正攻击前锋。受害者（受害者（Victim）：被攻击的目标主机。）：被攻击的目标主机。本讲稿第四十七页，共七十一页2022/9/22南京邮电大学信息安全系48DDoS的攻击模型的攻击模型1）构造攻击网络）构造攻击网络2）发动攻击）发动攻击本讲稿第四十八页，共七十一页2022/9/22南京邮电大学信息安全系492.5.8 缓冲区溢出（缓冲区溢出（Buffer Overflow）攻击）攻击 缓冲区：程序运行时内存分配的一个连续区域，保存缓冲区：程序运行时内存分配的一个连续区域，保存字符数组在内的各种类型数据。字符数组在内的各种类型数据。溢出：所填充数据超过原有缓冲区边界，并非法占据另溢出：所填充数据超过原有缓冲区边界，并非法占据另一段内存，导致程序执行出错。一段内存，导致程序执行出错。缓冲区溢出攻击：黑客精心构造填充数据，用自己代缓冲区溢出攻击：黑客精心构造填充数据，用自己代码覆盖原来的返回地址，让程序改变现有流程去执行码覆盖原来的返回地址，让程序改变现有流程去执行特定代码，最终获取系统控制权。特定代码，最终获取系统控制权。本讲稿第四十九页，共七十一页2022/9/22南京邮电大学信息安全系50缓冲区溢出攻击的原理缓冲区溢出攻击的原理攻击者利用计算机指令系统弱点，分析有缺陷程序代码，攻击者利用计算机指令系统弱点，分析有缺陷程序代码，向程序提交恶意超长的输入数据，破坏或改写内存中向程序提交恶意超长的输入数据，破坏或改写内存中控制流程的关键信息，获得进程的控制权。控制流程的关键信息，获得进程的控制权。根本原因：根本原因：C/C+没有对数组引用进行边界检查：没有对数组引用进行边界检查：如果读取数组以外内容，会使程序得出错误结果如果读取数组以外内容，会使程序得出错误结果 如果是写入，可能破坏该进程内存的其它内容如果是写入，可能破坏该进程内存的其它内容本讲稿第五十页，共七十一页2022/9/22南京邮电大学信息安全系51缓冲区溢出攻击的分类缓冲区溢出攻击的分类分类标准分类标准溢出方法溢出方法按填充数据溢出按填充数据溢出的缓冲区位置的缓冲区位置栈溢出（格式化字符串溢出）栈溢出（格式化字符串溢出）堆溢出堆溢出BSS溢出溢出按黑客重定向程按黑客重定向程序流程的方式序流程的方式直接植入黑客自己代码直接植入黑客自己代码跳转执行系统中已经加载的代码跳转执行系统中已经加载的代码按利用的外部条按利用的外部条件的不同件的不同本地缓冲区溢出本地缓冲区溢出远程缓冲区溢出远程缓冲区溢出本讲稿第五十一页，共七十一页2022/9/22南京邮电大学信息安全系52栈溢出攻击的原理栈溢出攻击的原理溢出有溢出有strcpy栈溢出漏洞的程序得到栈溢出漏洞的程序得到Shell的过程：的过程：1）使用一个）使用一个shellcode数组存放数组存放shellcode（shellcode把要把要执行命令编辑成二进制形式以便执行）。执行命令编辑成二进制形式以便执行）。2）利用程序中的）利用程序中的strcpy函数，把函数，把shellcode放入程序堆栈。放入程序堆栈。3）制造数组越界，用）制造数组越界，用shellcode的开始地址覆盖程序返回的开始地址覆盖程序返回地址。地址。4）程序返回时会执行）程序返回时会执行shellcode，从而得到一个，从而得到一个Shell。本讲稿第五十二页，共七十一页2022/9/22南京邮电大学信息安全系53shellcode的设计的设计 利用溢出漏洞攻击具有利用溢出漏洞攻击具有root权限的程序，如执行类似权限的程序，如执行类似exec族函数获得被攻击主机的族函数获得被攻击主机的root权限。权限。典型的典型的shellcode源程序源程序：使用：使用execve函数执行函数执行/bin/sh命令得到一个命令得到一个Shell。只有只有shellcode的机器代码才能植入缓冲区，所以要的机器代码才能植入缓冲区，所以要先将该程序编译成汇编代码，适当调整后得到适合先将该程序编译成汇编代码，适当调整后得到适合系统类型的机器代码。系统类型的机器代码。本讲稿第五十三页，共七十一页2022/9/22南京邮电大学信息安全系54shellcode及其二进制形式及其二进制形式#include void main()char*name2;name0=“/bin/sh”;name1=NULL;execve(name0,name,NULL);char shellcode=“xebx1fx5ex89x76x08x31xc0 x88x46x07x89x46x0cxb0 x0b”“x89xf3x8dx4ex08x8dx56x0cxcdx80 x31xdbx89xd8x40 xcd”“x80 xe8xdcxffxffxff/bin/sh”;返回返回编译编译本讲稿第五十四页，共七十一页2022/9/22南京邮电大学信息安全系55黑客攻击程序（黑客攻击程序（exploit程序）的设计程序）的设计 1）黑客构造一个特殊的字串，它包含）黑客构造一个特殊的字串，它包含shellcode，也包含，也包含shellcode地址（用它覆盖函数返回地址）。地址（用它覆盖函数返回地址）。其中包含最难实现的如何定位栈溢出位置的技术。其中包含最难实现的如何定位栈溢出位置的技术。2）攻击程序调用）攻击程序调用exec族函数来执行有溢出漏洞的程序，族函数来执行有溢出漏洞的程序，并将构造好的字串作为参数传递给该程序。并将构造好的字串作为参数传递给该程序。本讲稿第五十五页，共七十一页2022/9/22南京邮电大学信息安全系56shellcode和和shellcode地址的植入地址的植入char large_string128;void main()char buffer96;int i;long*long_ptr=(long*)large_string;for(i=0;i32;i+)*(long_ptr+i)=(int)buffer;for(i=0;istrlen(shellcode);i+)large_stringi=shellcodei;strcpy(buffer,large_string);本讲稿第五十六页，共七十一页2022/9/22南京邮电大学信息安全系57被修改了的被修改了的main函数的栈帧函数的栈帧 1）首先，