信息安全技術(shù)與應(yīng)用 工業(yè)和信息化普通高等教育“十二五”規(guī)劃教材 教學(xué)課件 ppt 作者 彭新光 王崢 第5章 攻擊技術(shù)分析

1、信息安全技術(shù)與應(yīng)用,第5章攻擊技術(shù)分析,概 述,網(wǎng)絡(luò)攻擊是網(wǎng)絡(luò)安全所要應(yīng)對(duì)的主要問題，了解網(wǎng)絡(luò)攻擊技術(shù)和機(jī)理，才能實(shí)現(xiàn)有效的、有針對(duì)性的防護(hù)。按照攻擊目的，可將攻擊分為破壞型和入侵型兩種類型 破壞型攻擊以破壞目標(biāo)為目的，但攻擊者不能隨意控制目標(biāo)的系統(tǒng)資源。入侵型攻擊以控制目標(biāo)為目的，比破壞型攻擊威脅更大，常見的攻擊類型多為入侵型攻擊。,信息安全技術(shù)與應(yīng)用,概 述,入侵者一般首先通過網(wǎng)絡(luò)掃描技術(shù)進(jìn)行網(wǎng)絡(luò)信息采集，獲取網(wǎng)絡(luò)拓?fù)?/p>

2、結(jié)構(gòu)、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞、探查主機(jī)基本情況和端口開放程度，為實(shí)施攻擊提供必要的信息。網(wǎng)絡(luò)信息采集有多種途徑，既可以使用諸如ping、whois等網(wǎng)絡(luò)測(cè)試命令實(shí)現(xiàn)，也可以通過漏洞掃描、端口掃描和網(wǎng)絡(luò)竊聽工具實(shí)現(xiàn)。,信息安全技術(shù)與應(yīng)用,5.1.1 常用信息采集命令,1.Ping命令2.host命令3.Traceroute命令4. Nbtstat命令5.Net命令6. Finger命令7.Whois命令8.Nslookup命令,信

3、息安全技術(shù)與應(yīng)用,1.Ping命令,Ping（packet internet groper）命令用于確定本地主機(jī)是否能與遠(yuǎn)程主機(jī)交換數(shù)據(jù)包，通過向目標(biāo)主機(jī)發(fā)送ICMP(internet control message protocol，Internet控制報(bào)文協(xié)議)回應(yīng)請(qǐng)求來測(cè)試目標(biāo)的可達(dá)性。使用ping命令能夠察看網(wǎng)絡(luò)中有哪些主機(jī)接入Internet；測(cè)試目標(biāo)主機(jī)的計(jì)算機(jī)名和IP地址；計(jì)算到達(dá)目標(biāo)網(wǎng)絡(luò)所經(jīng)過的路由數(shù)；獲得該網(wǎng)段的網(wǎng)絡(luò)

4、拓?fù)湫畔ⅰ?信息安全技術(shù)與應(yīng)用,2.host命令,host命令是Linux、Unix系統(tǒng)提供的有關(guān)Internet域名查詢的命令?？梢詮挠蛑械腄NS(domain name server，域名服務(wù)器)服務(wù)器獲得所在域內(nèi)主機(jī)的相關(guān)資料，實(shí)現(xiàn)主機(jī)名到IP地址的映射，得知域中郵件服務(wù)器的信息。,信息安全技術(shù)與應(yīng)用,3.Traceroute命令,Traceroute命令用于路由跟蹤，判斷從本地主機(jī)到目標(biāo)主機(jī)經(jīng)過哪些路由器、跳計(jì)數(shù)、響應(yīng)時(shí)間等。

5、 Traceroute程序跟蹤的路徑是源主機(jī)到目的主機(jī)的一條路徑，但是，不能保證或認(rèn)為數(shù)據(jù)包總是遵循這個(gè)路徑。 traceroute是一個(gè)運(yùn)行得比較慢的命令，如果指定的目標(biāo)地址比較遠(yuǎn)，測(cè)試每個(gè)路由器大約需要15秒鐘。,信息安全技術(shù)與應(yīng)用,4. Nbtstat命令,nbtstat（NBT statistics，NBT統(tǒng)計(jì)信息，其中NBT為NetBIOS over TCP/IP）命令是Windows命令，用于查看當(dāng)前基于網(wǎng)絡(luò)基本輸入輸出

6、系統(tǒng)NetBIOS（network basic input output system）的TCP/IP連接狀態(tài)。通過該工具可以獲得遠(yuǎn)程或本地機(jī)器的組名和機(jī)器名。,信息安全技術(shù)與應(yīng)用,5.Net命令,Windows提供了許多有關(guān)網(wǎng)絡(luò)查詢的命令，并且大多以net開頭。其中，用于檢驗(yàn)和核查計(jì)算機(jī)之間NetBIOS連接的net view和net use兩個(gè)命令可能被攻擊者利用，來查看局域網(wǎng)內(nèi)部情況和局域網(wǎng)內(nèi)部的漏洞。有關(guān)net命令的幫助信

7、息可以在命令行下輸入net help 來獲得。,信息安全技術(shù)與應(yīng)用,命令net的使用,使用net view和net use命令，攻擊者可以發(fā)現(xiàn)局域網(wǎng)內(nèi)存在的共享信息。在需要用戶名和口令時(shí)，攻擊者可以采用網(wǎng)絡(luò)監(jiān)聽、字典攻擊等方法實(shí)現(xiàn)登錄。如果有某臺(tái)主機(jī)配置不當(dāng)，可以被攻擊者用來上載木馬、下載機(jī)要文件。,信息安全技術(shù)與應(yīng)用,6. Finger命令,Finger命令用來查詢用戶的信息，通常會(huì)顯示系統(tǒng)中某個(gè)用戶的用戶名、主目錄、閑滯時(shí)間、登

8、錄時(shí)間、登錄shell等信息。如果要查詢遠(yuǎn)程主機(jī)上的用戶信息，需要采用[用戶名@主機(jī)名]的格式，執(zhí)行該命令的前提是要查詢的網(wǎng)絡(luò)主機(jī)需要運(yùn)行finger守護(hù)進(jìn)程。Linux中Finger命令格式為： finger [選項(xiàng)] [使用者] [用戶@主機(jī)],信息安全技術(shù)與應(yīng)用,7.Whois命令,Whois命令是一種Internet的目錄服務(wù)命令，它提供了在Internet上的一臺(tái)主機(jī)或某個(gè)域所有者的信息，包括：管理員姓名、通信地址、電

9、話號(hào)碼、Email信息、Primary和Secondary域名服務(wù)器信息等。攻擊者通過了解目標(biāo)網(wǎng)絡(luò)的相關(guān)信息，可以猜測(cè)目標(biāo)主機(jī)的用戶名和口令，盡量縮小蠻力攻擊時(shí)使用的字典的大小，減少攻擊時(shí)間。以Linux操作系統(tǒng)為例，whois命令格式如下： whois [OPTION] query [@server[:port]],信息安全技術(shù)與應(yīng)用,8.Nslookup命令,Nslookup是Windows提供的DNS排錯(cuò)工具。在Int

10、ernet中存在許多免費(fèi)的nslookup服務(wù)器，它們提供域名到IP地址的映射服務(wù)和IP地址到域名的映射等有關(guān)網(wǎng)絡(luò)信息的服務(wù)。通過nslookup攻擊者可以在whois命令的基礎(chǔ)上獲得更多目標(biāo)網(wǎng)絡(luò)信息。管理員可以禁止DNS服務(wù)器進(jìn)行區(qū)域傳送。,信息安全技術(shù)與應(yīng)用,5.1.2 漏洞掃描,漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫等在設(shè)計(jì)上和實(shí)現(xiàn)上出現(xiàn)的可以被攻擊者利用的錯(cuò)誤、缺陷和疏漏。漏洞掃描程序是用來檢測(cè)遠(yuǎn)程或本地主機(jī)

11、安全漏洞的工具。針對(duì)掃描對(duì)象的不同，漏洞掃描又可分為網(wǎng)絡(luò)掃描、操作系統(tǒng)掃描、WWW服務(wù)掃描、數(shù)據(jù)庫掃描以及無線網(wǎng)絡(luò)掃描等。,信息安全技術(shù)與應(yīng)用,1.堆棧指紋掃描,不同操作系統(tǒng)在網(wǎng)絡(luò)協(xié)議上存在差異，可以通過總結(jié)操作系統(tǒng)之間的這種差異，編寫測(cè)試腳本，向目標(biāo)系統(tǒng)的端口發(fā)送各種特殊的數(shù)據(jù)包，并根據(jù)系統(tǒng)對(duì)數(shù)據(jù)包回應(yīng)的差別來判定目標(biāo)系統(tǒng)及相關(guān)服務(wù)。這種利用TCP/IP協(xié)議識(shí)別不同操作系統(tǒng)和服務(wù)種類的技術(shù)稱為堆棧指紋掃描技術(shù)。,信息安全技術(shù)與應(yīng)用

12、,2.常用堆棧指紋掃描技術(shù),（1）ICMP錯(cuò)誤消息抑制機(jī)制（2）ICMP錯(cuò)誤消息引用機(jī)制（3）ICMP錯(cuò)誤消息回文完整性（4）FIN探查（5）TCP ISN采樣（6）TCP初始窗口（7）TCP選項(xiàng) （8）MSS選項(xiàng)（9）IP協(xié)議包頭不可分片位（10）服務(wù)類型TOS,信息安全技術(shù)與應(yīng)用,5.1.3 端口掃描,計(jì)算機(jī)的端口是輸入/輸出設(shè)備和CPU之間進(jìn)行數(shù)據(jù)傳輸?shù)耐ǖ馈?通過端口掃描，可以發(fā)現(xiàn)打開或正在監(jiān)聽的端口，一個(gè)

13、打開的端口就是一個(gè)潛在的入侵通道。 每一臺(tái)計(jì)算機(jī)都有65536個(gè)端口可供使用。前1024個(gè)端口被作為系統(tǒng)處理的端口而保留 ，并向外界的請(qǐng)求提供眾所周知的服務(wù)，所以這些端口被攻擊者視為重點(diǎn)檢查對(duì)象，以減少掃描范圍，縮短掃描時(shí)間。,信息安全技術(shù)與應(yīng)用,端口掃描類型,1、TCP端口掃描2、TCP SYN掃描3、TCP FIN掃描4、NULL掃描5、Xmas tree掃描6、UDP掃描,信息安全技術(shù)與應(yīng)用,5.1.4 網(wǎng)絡(luò)竊聽,

14、網(wǎng)絡(luò)竊聽是指截獲和復(fù)制系統(tǒng)、服務(wù)器、路由器或防火墻等網(wǎng)絡(luò)設(shè)備中所有的網(wǎng)絡(luò)通信信息。用于網(wǎng)絡(luò)竊聽的嗅探器可以被安裝在網(wǎng)絡(luò)的任何地方，并且很難被發(fā)現(xiàn)，所以，非法網(wǎng)絡(luò)竊聽嚴(yán)重地危害著網(wǎng)絡(luò)的安全。 以太網(wǎng)通信采用廣播機(jī)制，網(wǎng)卡一般有四種接收方式，廣播方式：網(wǎng)卡接收網(wǎng)絡(luò)中的廣播數(shù)據(jù)。組播方式：網(wǎng)卡接收組播數(shù)據(jù)。直接方式：只有目的網(wǎng)卡才能接收該數(shù)據(jù)?；祀s模式：這種模式使網(wǎng)卡能夠接收一切通過它的數(shù)據(jù)，而不管該數(shù)據(jù)是否是傳給它的。通過將網(wǎng)卡設(shè)置成

15、混雜模式，就可以探聽并記錄下同一網(wǎng)段上所有的數(shù)據(jù)包。攻擊者可以從數(shù)據(jù)包中提取信息，如登錄名、口令等。,信息安全技術(shù)與應(yīng)用,無線網(wǎng)絡(luò)通信安全,無線網(wǎng)絡(luò)通信相對(duì)于有線網(wǎng)絡(luò)通信有更多的漏洞，由于無線網(wǎng)絡(luò)固有的特點(diǎn)和無線網(wǎng)絡(luò)技術(shù)本身的不成熟，如加密機(jī)制不完善、缺乏數(shù)據(jù)保護(hù)和安全認(rèn)證機(jī)制，使得對(duì)于無線網(wǎng)絡(luò)的探測(cè)更為簡單。現(xiàn)有的工具，如：Network Associates 公司的Sniffer Wireless、Airsnort、WEPCra

16、ck等都可以用來實(shí)現(xiàn)對(duì)無線網(wǎng)絡(luò)的網(wǎng)絡(luò)監(jiān)控和竊聽。,信息安全技術(shù)與應(yīng)用,5.1.5 典型信息采集工具,1.nmap掃描器2. Axcet NetRecon掃描器3. ping Pro掃描器4. ISS Internet Scanner掃描器,信息安全技術(shù)與應(yīng)用,1.nmap掃描器,nmap是當(dāng)前最流行的掃描器之一，能夠在全網(wǎng)絡(luò)范圍內(nèi)實(shí)現(xiàn)ping掃描、端口掃描和操作系統(tǒng)檢測(cè)。nmap使用操作系統(tǒng)堆棧指紋技術(shù)。nmap可以準(zhǔn)確地掃

17、描主流操作系統(tǒng)，還可以掃描路由器和撥號(hào)設(shè)備，還可以繞過防火墻。,信息安全技術(shù)與應(yīng)用,2. Axcet NetRecon掃描器,Axcet NetRecon是最先為Windows NT網(wǎng)絡(luò)設(shè)計(jì)的網(wǎng)絡(luò)掃描產(chǎn)品之一。Axcet NetRecon能夠發(fā)現(xiàn)、分析、報(bào)告網(wǎng)絡(luò)的各種設(shè)備，檢測(cè)它們存在的漏洞。NetRecon能夠掃描多種操作系統(tǒng)，包括 Unix、Linux、Windows以及NetWare等。 NetRecon提供對(duì)服務(wù)器、防火

18、墻、路由器、集線器、交換機(jī)、DNS服務(wù)器、網(wǎng)絡(luò)打印機(jī)、Web服務(wù)器以及其他網(wǎng)絡(luò)服務(wù)設(shè)備的測(cè)試。 NetRecon通過模擬入侵或攻擊行為，找出并報(bào)告網(wǎng)絡(luò)弱點(diǎn)，提出建議和修正措施。,信息安全技術(shù)與應(yīng)用,3. ping Pro掃描器,ping Pro是也是常用的掃描工具之一，以圖形方式實(shí)現(xiàn)了大多數(shù)命令行程序功能，為網(wǎng)絡(luò)掃描提供了方便。ping Pro可以偵查出網(wǎng)絡(luò)上開啟的端口，通過監(jiān)測(cè)遠(yuǎn)程過程調(diào)用服務(wù)所使用的TCP、UDP135端口和網(wǎng)絡(luò)

19、會(huì)話所使用的UDP137、138和139端口來實(shí)現(xiàn)掃描。ping Pro只能工作在其所在網(wǎng)段上。,信息安全技術(shù)與應(yīng)用,4. ISS Internet Scanner掃描器,ISS Internet Scanner可以跨網(wǎng)段掃描遠(yuǎn)程主機(jī)，可以檢查出內(nèi)部網(wǎng)、防火墻、Web服務(wù)器或某臺(tái)主機(jī)所存在的漏洞和潛在的攻擊威脅。ISS Ineternet Scanner工作于Unix和NT平臺(tái)，分為三個(gè)模塊：內(nèi)部網(wǎng)、防火墻和Web服務(wù)器，可以針對(duì)不

20、同的掃描對(duì)象制定不同的掃描方案，從而更直接的發(fā)現(xiàn)重要設(shè)備中潛在的隱患，在不同的模塊中，用戶還可以進(jìn)一步定義自己的掃描參數(shù)。,信息安全技術(shù)與應(yīng)用,5.2 拒絕服務(wù)攻擊,5.2.1 基本的拒絕服務(wù)攻擊5.2.2 分布式拒絕服務(wù)攻擊,信息安全技術(shù)與應(yīng)用,概 述,拒絕服務(wù)DoS（denial of service）攻擊是常用的一種攻擊方式。DoS通過搶占目標(biāo)主機(jī)系統(tǒng)資源使系統(tǒng)過載或崩潰，破壞和拒絕合法用戶對(duì)網(wǎng)絡(luò)、服務(wù)器等資源的訪

21、問，達(dá)到阻止合法用戶使用系統(tǒng)的目的。DoS屬于破壞型攻擊。DoS對(duì)目標(biāo)系統(tǒng)本身的破壞性并不是很大，但影響了正常的工作和生活秩序，間接損失嚴(yán)重，社會(huì)效應(yīng)惡劣。,信息安全技術(shù)與應(yīng)用,基本的拒絕服務(wù)攻擊,當(dāng)一個(gè)授權(quán)實(shí)體不能獲得對(duì)網(wǎng)絡(luò)資源的訪問或當(dāng)訪問操作被嚴(yán)重推遲時(shí)，就稱為DoS。 DoS可能由網(wǎng)絡(luò)部件的物理損壞引起，也可能由網(wǎng)絡(luò)負(fù)荷超載所引起，還可能由不正確的使用網(wǎng)絡(luò)協(xié)議而引起。 DoS攻擊有兩種基本形式：目標(biāo)資源匱乏型和網(wǎng)絡(luò)帶寬消

22、耗型。 目標(biāo)資源匱乏型攻擊又可分為服務(wù)過載和消息流兩種。網(wǎng)絡(luò)帶寬消耗型攻擊的目標(biāo)是整個(gè)網(wǎng)絡(luò)，攻擊使目標(biāo)網(wǎng)絡(luò)中充斥著大量無用的、假的數(shù)據(jù)包，而使正常的數(shù)據(jù)包得不到正常的處理。,信息安全技術(shù)與應(yīng)用,目標(biāo)資源匱乏型攻擊的兩種類型,服務(wù)過載指的是向目標(biāo)主機(jī)的服務(wù)守護(hù)進(jìn)程發(fā)送大量的服務(wù)，造成目標(biāo)主機(jī)服務(wù)進(jìn)程發(fā)生服務(wù)過載，拒絕向合法用戶的正常使用要求提供應(yīng)有的服務(wù)。消息流指攻擊者向目標(biāo)主機(jī)發(fā)送大量的畸形數(shù)據(jù)包，使得目標(biāo)主機(jī)在重組數(shù)據(jù)包過程中發(fā)

23、生錯(cuò)誤，從而延緩目標(biāo)主機(jī)的處理速度，阻止處理正常的事務(wù)，嚴(yán)重時(shí)可以造成目標(biāo)主機(jī)死機(jī)。,信息安全技術(shù)與應(yīng)用,拒絕服務(wù)攻擊發(fā)生時(shí)的特點(diǎn),1、消耗系統(tǒng)或網(wǎng)絡(luò)資源，使系統(tǒng)過載或崩潰。2、難以辨別真假。3、使用不應(yīng)存在的非法數(shù)據(jù)包來達(dá)到拒絕服務(wù)攻擊的目的。4、有大量的數(shù)據(jù)包來自相同的源。,信息安全技術(shù)與應(yīng)用,分布式拒絕服務(wù)攻擊,分布式拒絕服務(wù)DDoS（Distributed Denial of Service）攻擊是一種基于DoS的特殊形式

24、的拒絕服務(wù)攻擊。是分布式的、協(xié)作的大規(guī)模攻擊方式，較DoS具有更大的破壞性。,信息安全技術(shù)與應(yīng)用,1.分布式拒絕服務(wù)攻擊的體系結(jié)構(gòu),信息安全技術(shù)與應(yīng)用,2.分布式拒絕服務(wù)攻擊的步驟,要構(gòu)建DDoS攻擊體系，集合眾多的傀儡機(jī)進(jìn)行協(xié)同工作，與入侵單臺(tái)主機(jī)相比DDoS攻擊要復(fù)雜得多。進(jìn)行DDoS攻擊的基本步驟如下：（1）搜集目標(biāo)情況（2）占領(lǐng)傀儡機(jī)（3）實(shí)施攻擊,信息安全技術(shù)與應(yīng)用,拒絕服務(wù)攻擊的防范技術(shù),1．完善站點(diǎn)設(shè)計(jì)2．限制

25、帶寬3．及時(shí)安裝補(bǔ)丁4．運(yùn)行盡可能少的服務(wù)5．封鎖敵意IP地址6．優(yōu)化網(wǎng)絡(luò)和路由結(jié)構(gòu)7．安裝入侵檢測(cè)系統(tǒng)8．使用掃描工具,信息安全技術(shù)與應(yīng)用,5.3 漏洞攻擊,5.3.1 配置漏洞攻擊5.3.2 協(xié)議漏洞攻擊5.3.3 程序漏洞攻擊,信息安全技術(shù)與應(yīng)用,概 述,由于應(yīng)用軟件和操作系統(tǒng)的復(fù)雜性和多樣性，使得在網(wǎng)絡(luò)信息系統(tǒng)的軟件中存在著不易被發(fā)現(xiàn)的安全漏洞；現(xiàn)有網(wǎng)絡(luò)技術(shù)本身存在著許多不安全性，如TCP/IP

26、協(xié)議在設(shè)計(jì)初期并沒有考慮安全性問題，其本身就有許多不完善之處。對(duì)于網(wǎng)絡(luò)設(shè)計(jì)和管理人員而言，不合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和不嚴(yán)謹(jǐn)?shù)木W(wǎng)絡(luò)配置，都將不可避免的造成網(wǎng)絡(luò)中的漏洞。對(duì)于一個(gè)復(fù)雜系統(tǒng)而言，漏洞的存在是不可避免的。,信息安全技術(shù)與應(yīng)用,5.3.1 配置漏洞攻擊,配置漏洞可分為系統(tǒng)配置漏洞和網(wǎng)絡(luò)結(jié)構(gòu)配置漏洞。系統(tǒng)配置漏洞多源于管理員的疏漏，如：共享文件配置漏洞、服務(wù)器參數(shù)配置漏洞等。網(wǎng)絡(luò)結(jié)構(gòu)配置漏洞多與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有關(guān)，例如：將重要的

27、服務(wù)設(shè)備與一般用戶設(shè)備設(shè)置與同一網(wǎng)段，為攻擊者提供了更多的可乘之機(jī)，埋下了安全隱患。,信息安全技術(shù)與應(yīng)用,1.默認(rèn)配置漏洞,操作系統(tǒng)和服務(wù)應(yīng)用程序在安裝時(shí)使用默認(rèn)的設(shè)置，雖然方便了系統(tǒng)的安裝過程，但默認(rèn)參數(shù)實(shí)際上為攻擊者留下了后門。如默認(rèn)用戶名和口令、默認(rèn)端口和默認(rèn)服務(wù)，通常都是首選的突破口和入侵點(diǎn)。默認(rèn)的目錄路徑則為攻擊者查找機(jī)要文件，放置后門程序提供了方便。,信息安全技術(shù)與應(yīng)用,2.共享文件配置漏洞,大部分操作系統(tǒng)都提供了文件共

28、享機(jī)制，方便網(wǎng)絡(luò)資源的共享。但是共享配置不當(dāng)就會(huì)暴露重要文件，攻擊者能夠輕易的獲得機(jī)密資料。,信息安全技術(shù)與應(yīng)用,3.匿名FTP,匿名FTP網(wǎng)絡(luò)服務(wù)允許任何網(wǎng)絡(luò)用戶通過FTP訪問服務(wù)器系統(tǒng)上指定的資源，但不適當(dāng)?shù)腇TP配置，將會(huì)造成服務(wù)器系統(tǒng)非授權(quán)資源的泄漏。一般的匿名FTP的權(quán)限都是只讀權(quán)限，即不允許匿名用戶在服務(wù)器上創(chuàng)建文件和目錄。否則，攻擊者可很容易的放置木馬程序，設(shè)置系統(tǒng)后門，為進(jìn)一步的攻擊提供便捷。,信息安全技術(shù)與應(yīng)用,4

29、. wu-ftpd,作為FTP服務(wù)程序的wu-ftpd（Washington university FTP server daemon，華盛頓大學(xué)FTP服務(wù)器守護(hù)程序）中存在的漏洞，可以使攻擊者由系統(tǒng)的任何賬號(hào)獲得root權(quán)限。wu-ftpd的配置文件src/pathnames.h中有一個(gè)名為_PATH_EXECPATH的變量，這個(gè)變量應(yīng)該被設(shè)置為不包含shell或命令解釋器的目錄，例如/bin/ftp-exec，但在建立默認(rèn)的系統(tǒng)配

30、置時(shí)_PATH_EXECPATH被設(shè)為/bin。這樣在編譯時(shí)，用戶可以進(jìn)入目錄/bin，使得任何用戶，只要不是匿名登錄，就可在有漏洞的FTP上獲得root權(quán)限。,信息安全技術(shù)與應(yīng)用,5.3.2 協(xié)議漏洞攻擊,1.TCP序列號(hào)預(yù)計(jì)2.SYN Flood攻擊3.循環(huán)攻擊4.Land攻擊5.Smurf攻擊6.WinNuke攻擊7.Fraggle攻擊8.Ping to death攻擊,信息安全技術(shù)與應(yīng)用,概 述,Inte

31、rnet上現(xiàn)有的大部分協(xié)議在設(shè)計(jì)之初并沒有考慮安全因素，使得攻擊者可以利用協(xié)議固有的漏洞對(duì)目標(biāo)進(jìn)行攻擊。 操作系統(tǒng)在設(shè)計(jì)處理TCP/IP協(xié)議時(shí)，并沒有預(yù)計(jì)到要處理非法數(shù)據(jù)包，當(dāng)這種不應(yīng)存在的特殊數(shù)據(jù)包出現(xiàn)時(shí)，許多系統(tǒng)會(huì)發(fā)生處理速度緩慢、停止響應(yīng)和系統(tǒng)崩潰等不正常現(xiàn)象。,信息安全技術(shù)與應(yīng)用,1.TCP序列號(hào)預(yù)計(jì),,信息安全技術(shù)與應(yīng)用,1.SYN Flood攻擊,SYN Flood攻擊利用的是TCP協(xié)議的設(shè)計(jì)漏洞。假設(shè)一個(gè)用戶向服務(wù)器發(fā)

32、送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的。在這種情況下服務(wù)器端會(huì)重試，再次發(fā)送SYN+ACK給客戶端，并等待一段時(shí)間，判定無法建立連接后，丟棄這個(gè)未完成的連接。這段等待時(shí)間稱為SYN中止時(shí)間（Timeout），一般為30秒--2分鐘。如果攻擊者大量模擬這種情況，服務(wù)器端為了維護(hù)非常大的半連接列表就會(huì)消耗非常多的資源。此時(shí)從正?？蛻舻慕嵌葋砜?，服務(wù)器已經(jīng)喪失了對(duì)正常訪問的響應(yīng)

33、，這便是SYN Flood攻擊的機(jī)理。,信息安全技術(shù)與應(yīng)用,2.循環(huán)攻擊(UDP flood攻擊),循環(huán)攻擊利用的是UDP協(xié)議漏洞。UDP端口7為回應(yīng)端口（echo），當(dāng)該端口接收到一個(gè)數(shù)據(jù)包時(shí)，會(huì)檢查有效負(fù)載，再將有效負(fù)載數(shù)原封不動(dòng)的回應(yīng)給源地址。UDP端口19為字符生成端口(chargen，character generator字符生成)，此端口接收到數(shù)據(jù)包時(shí)，以隨機(jī)字符串作為應(yīng)答。如果這些端口是打開的，假設(shè)運(yùn)行了回應(yīng)服務(wù)的主機(jī)為

34、E（echo主機(jī)），運(yùn)行了字符生成服務(wù)的主機(jī)為C(chargen主機(jī))，攻擊者偽裝成E主機(jī)UDP端口7向C主機(jī)UDP端口19發(fā)送數(shù)據(jù)包，于是主機(jī)C向E發(fā)送一個(gè)隨機(jī)字符串，然后，E將回應(yīng)C，C再次生成隨機(jī)字符串發(fā)送給E。這個(gè)過程以很快的速度持續(xù)下去，會(huì)耗費(fèi)相關(guān)主機(jī)的CPU時(shí)間，還會(huì)消耗大量的網(wǎng)絡(luò)帶寬，造成資源匱乏。,信息安全技術(shù)與應(yīng)用,3.Land攻擊,Land攻擊的特征是IP協(xié)議中IP源地址和目標(biāo)地址相同。操作系統(tǒng)如Window NT

35、不知道該如何處理這種情況，就可能造成死機(jī)。Land攻擊向UDP目標(biāo)端口135發(fā)送偽裝的遠(yuǎn)程過程調(diào)用RPC(remote procedure call)的UDP數(shù)據(jù)包，使之看上去好像是一個(gè)RPC服務(wù)器在向另一個(gè)RPC服務(wù)器發(fā)送數(shù)據(jù)，目標(biāo)服務(wù)器將返回一個(gè)REJECT數(shù)據(jù)包，而源服務(wù)器用另一個(gè)REJECT數(shù)據(jù)包應(yīng)答，結(jié)果就會(huì)造成死循環(huán)，只有當(dāng)數(shù)據(jù)包作為異常處理被丟掉時(shí)循環(huán)才會(huì)中止。如果將偽裝的UDP數(shù)據(jù)包發(fā)送至多臺(tái)主機(jī)，就會(huì)產(chǎn)生多個(gè)循環(huán)，

36、將消耗大量處理器資源和網(wǎng)絡(luò)帶寬。,信息安全技術(shù)與應(yīng)用,4.Smurf攻擊,IP協(xié)議規(guī)定主機(jī)號(hào)為全1的地址為該網(wǎng)段的廣播地址，路由器會(huì)把這樣的數(shù)據(jù)包廣播給該網(wǎng)絡(luò)上的所有主機(jī)。Smurf攻擊利用了廣播數(shù)據(jù)包，可以將一個(gè)數(shù)據(jù)包“放大”為多個(gè)。攻擊者偽裝某源地址向一個(gè)網(wǎng)絡(luò)廣播地址發(fā)送一組ICMP回應(yīng)請(qǐng)求數(shù)據(jù)包，這些數(shù)據(jù)包被轉(zhuǎn)發(fā)到目標(biāo)子網(wǎng)的所有主機(jī)上。由于Smurf攻擊發(fā)出的是ICMP回應(yīng)請(qǐng)求，因此所有接收到該廣播包的主機(jī)將向被偽裝的源地址發(fā)回

37、ICMP回應(yīng)應(yīng)答。攻擊者通過幾百個(gè)數(shù)據(jù)包就可以產(chǎn)生成千上萬的數(shù)據(jù)包，這樣不僅可以造成目標(biāo)主機(jī)的拒絕服務(wù)，而且還會(huì)使目標(biāo)子網(wǎng)的網(wǎng)絡(luò)本身也遭到DoS攻擊。,信息安全技術(shù)與應(yīng)用,5.WinNuke攻擊,操作系統(tǒng)在設(shè)計(jì)處理TCP數(shù)據(jù)包時(shí)，都嚴(yán)格遵循了TCP狀態(tài)機(jī)，但遇到不符合狀態(tài)機(jī)的數(shù)據(jù)包時(shí)，若不知所措，就可能造成死機(jī)。WinNuke攻擊首先發(fā)送一個(gè)設(shè)置了URG標(biāo)志的TCP數(shù)據(jù)包，當(dāng)操作系統(tǒng)接收到這樣的數(shù)據(jù)包時(shí)，說明有緊急情況發(fā)生，并且，操作

38、系統(tǒng)要求得到進(jìn)一步的數(shù)據(jù)，以說明具體情況。此時(shí)，攻擊者發(fā)送一個(gè)RST數(shù)據(jù)包，構(gòu)造了TCP狀態(tài)機(jī)中不會(huì)出現(xiàn)的數(shù)據(jù)包，若操作系統(tǒng)（如未打補(bǔ)丁的Windows NT）不能正確處理，就會(huì)死機(jī)，使連接異常終止，服務(wù)中斷。,信息安全技術(shù)與應(yīng)用,6.Fraggle攻擊,Fraggle攻擊發(fā)送畸形UDP碎片，使得被攻擊者在重組過程中發(fā)生未加預(yù)料的錯(cuò)誤，導(dǎo)致系統(tǒng)崩潰。典型的Fraggle攻擊使用的技術(shù)有：碎片偏移位的錯(cuò)亂、強(qiáng)制發(fā)送超大數(shù)據(jù)包等。例如：

39、一個(gè)長為40字節(jié)的數(shù)據(jù)在發(fā)送時(shí)被分為兩段，包含第一段數(shù)據(jù)的數(shù)據(jù)包發(fā)送了數(shù)據(jù)0~36字節(jié)，包含第二段數(shù)據(jù)的數(shù)據(jù)包在正常情況下應(yīng)該是37~40的4個(gè)字節(jié)，但攻擊者構(gòu)造并指定第二個(gè)數(shù)據(jù)包中包含第二段數(shù)據(jù)且為數(shù)據(jù)的24--27字節(jié)來迷惑操作系統(tǒng)，導(dǎo)致系統(tǒng)崩潰。,信息安全技術(shù)與應(yīng)用,7.Ping to death攻擊,根據(jù)有關(guān)IP協(xié)議規(guī)定的RFC791，占有16位的總長度控制字確定了IP包的總長度為65535字節(jié)，其中包括IP數(shù)據(jù)包的包頭長度。

40、Ping to death攻擊發(fā)送超大尺寸的ICMP數(shù)據(jù)包，使得封裝該ICMP數(shù)據(jù)包的IP數(shù)據(jù)包大于65535字節(jié)，目標(biāo)主機(jī)無法重新組裝這種數(shù)據(jù)包分片，可能造成緩沖區(qū)溢出、系統(tǒng)崩潰。,信息安全技術(shù)與應(yīng)用,5.3.3 程序漏洞攻擊,1.緩沖區(qū)溢出攻擊2.BIND漏洞攻擊3．Finger漏洞攻擊4.Sendmail漏洞攻擊,信息安全技術(shù)與應(yīng)用,概 述,由于編寫程序的復(fù)雜性和程序運(yùn)行環(huán)境的不可預(yù)見性，使得程序難免存在漏洞。程序

41、漏洞攻擊成為攻擊者非法獲得目標(biāo)主機(jī)控制權(quán)的主要手段。,信息安全技術(shù)與應(yīng)用,1.緩沖區(qū)溢出攻擊的原理,緩沖區(qū)溢出攻擊是利用系統(tǒng)、服務(wù)、應(yīng)用程序中存在的漏洞，通過惡意填寫內(nèi)存區(qū)域，使內(nèi)存區(qū)域溢出，導(dǎo)致應(yīng)用程序、服務(wù)甚至系統(tǒng)崩潰，無法提供應(yīng)有的服務(wù)來實(shí)現(xiàn)攻擊目的。不檢測(cè)邊界是造成緩沖區(qū)溢出的主要原因。UNIX主要設(shè)計(jì)語言是C語言，而C語言缺乏邊界檢測(cè)，若不檢查數(shù)組的越界訪問，就會(huì)留下基于堆棧攻擊的隱患。UNIX進(jìn)程在內(nèi)存中分為正文段、數(shù)據(jù)

42、段和堆棧段。堆棧段用于為動(dòng)態(tài)變量分配空間和臨時(shí)保存函數(shù)調(diào)用的參數(shù)和返回地址。動(dòng)態(tài)分配是UNIX程序采用的主要方法，但是，若動(dòng)態(tài)變量從棧中分配空間時(shí)沒有作邊界檢查，則可能發(fā)生緩沖區(qū)溢出，造成段越界。,信息安全技術(shù)與應(yīng)用,2.BIND漏洞攻擊,運(yùn)行在DNS服務(wù)器上的BIND(Berkeley internet name domain，Berkeley internet名字域)DNS服務(wù)器軟件是最易遭受攻擊的軟件之一。BIND存在的脆弱性可

43、以對(duì)系統(tǒng)造成根級(jí)的安全威脅。如BIND 8.2版本存在漏洞，攻擊者偽裝成DNS服務(wù)器，發(fā)送一個(gè)大的NXT記錄（next，域中不存在的名字被標(biāo)定為NXT類型），并在記錄中包含攻擊代碼，使存在漏洞的DNS服務(wù)器緩沖區(qū)溢出，從而獲得root權(quán)限。,信息安全技術(shù)與應(yīng)用,3．Finger漏洞攻擊,Solaris自帶的Finger服務(wù)器存在如下一些漏洞：當(dāng)攻擊者在向Finger服務(wù)器提交以數(shù)字做用戶名的詢問請(qǐng)求時(shí)，F(xiàn)inger服務(wù)器會(huì)把日志文件wt

44、mp(wtmp 一個(gè)用戶每次登錄和退出時(shí)間的記錄) 中所有的用戶名返回給攻擊者。當(dāng)攻擊者對(duì)服務(wù)器進(jìn)行finger查詢時(shí)，如果詢問一個(gè)不存在的用戶，服務(wù)器會(huì)返回一個(gè)帶“.”的回答，這可能造成攻擊者用暴力法判斷系統(tǒng)上存在的用戶。,信息安全技術(shù)與應(yīng)用,4.Sendmail漏洞攻擊,在舊版本的sendmail中，為解決反向編碼的問題，數(shù)據(jù)庫中包含一個(gè)decode入口，這個(gè)UNIX程序可以將一個(gè)以純文本編碼的二進(jìn)制文件，轉(zhuǎn)化為原有的二進(jìn)制的形式

45、和名字。反向編碼完全尊重被編碼的文件，例如當(dāng)一個(gè)名為bar.uu的文件聲稱其原始文件是/home/foo/.rhosts時(shí)，則反編碼程序?qū)⒃噲D轉(zhuǎn)化bar.uu文件為foo下的.rhosts文件。一般情況下sendmail將undecode作為半特權(quán)用戶后臺(tái)程序運(yùn)行，所以email發(fā)出的編碼文件不會(huì)覆蓋任何系統(tǒng)文件。但是，如果目標(biāo)程序是全局可寫的，那么編碼程序允許遠(yuǎn)程用戶修改這些文件，使攻擊者可以放置木馬，留下后門，達(dá)到攻擊目的。,信息

46、安全技術(shù)與應(yīng)用,5.4 木馬攻擊,“特洛伊木馬”源于希臘神話《木馬屠城記》計(jì)算機(jī)系統(tǒng)中也存在類似于“特洛伊木馬”的程序在用戶無所察覺的情況下悄然運(yùn)行，訪問未授權(quán)資源，竊取用戶信息，甚至破壞用戶數(shù)據(jù)和系統(tǒng)。,信息安全技術(shù)與應(yīng)用,基本概念,在計(jì)算機(jī)系統(tǒng)中，“特洛伊木馬”簡稱“木馬”，指系統(tǒng)中被植入的、人為設(shè)計(jì)的程序，目的包括通過網(wǎng)絡(luò)遠(yuǎn)程控制其他用戶的計(jì)算機(jī)系統(tǒng)，竊取信息資料，并可惡意致使計(jì)算機(jī)系統(tǒng)癱瘓。木馬技術(shù)可分為四代從木馬所實(shí)

47、現(xiàn)的功能角度，木馬可分為：破壞型、密碼發(fā)送型、遠(yuǎn)程訪問型、鍵盤記錄木馬、DoS攻擊木馬、代理木馬、FTP木馬、程序殺手木馬、反彈端口型木馬等。,信息安全技術(shù)與應(yīng)用,木馬的特點(diǎn),典型的特洛伊木馬通常具有以下四個(gè)特點(diǎn)：有效性、隱蔽性、頑固性、易植入性。一個(gè)木馬的危害大小和清除難易程度可以從這四個(gè)方面來加以評(píng)估。,信息安全技術(shù)與應(yīng)用,木馬的基本原理,木馬相關(guān)技術(shù)主要包括：植入技術(shù)、自動(dòng)加載運(yùn)行技術(shù)、隱藏技術(shù)、連接技術(shù)和遠(yuǎn)程監(jiān)控技術(shù)等。植入

48、技術(shù)是指攻擊者通過各種方式將木馬的服務(wù)端程序上傳到目標(biāo)主機(jī)的過程。自動(dòng)加載技術(shù)實(shí)現(xiàn)木馬程序的自動(dòng)運(yùn)行。為保證攻擊者能長期侵入和控制目標(biāo)主機(jī)，木馬程序通常要隱藏自己建立連接時(shí)，木馬的服務(wù)端會(huì)在目標(biāo)主機(jī)上打開一個(gè)默認(rèn)的端口進(jìn)行偵聽木馬連接建立后，客戶端端口和服務(wù)器端口之間將會(huì)出現(xiàn)一條通道，客戶端程序可由這條通道與服務(wù)器上的木馬程序取得聯(lián)系，并對(duì)其進(jìn)行遠(yuǎn)程控制。,信息安全技術(shù)與應(yīng)用,木馬的防范技術(shù),1.及時(shí)修補(bǔ)漏洞2.選用實(shí)時(shí)監(jiān)控程

49、序、各種反病毒軟件3.培養(yǎng)風(fēng)險(xiǎn)意識(shí)，不使用來歷不明的軟件。4.加強(qiáng)郵件監(jiān)控管理，拒收垃圾郵件。5.即時(shí)發(fā)現(xiàn)，即時(shí)清除。,信息安全技術(shù)與應(yīng)用,5.5 蠕蟲技術(shù),蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性和破壞性等，同時(shí)蠕蟲還具有自己特有的一些特征，如對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，與黑客技術(shù)相結(jié)合等。蠕蟲具有如下一些行為特征： 1. 自我繁殖。2．利用漏洞主動(dòng)進(jìn)行攻擊。3．傳染方式復(fù)雜，傳播速度快。4．破壞性

50、強(qiáng)。5.留下安全隱患。6.難以全面清除。,信息安全技術(shù)與應(yīng)用,蠕蟲的基本原理,蠕蟲病毒由主程序和引導(dǎo)程序兩部分組成主程序的核心模塊是傳播模塊，它實(shí)現(xiàn)了自動(dòng)入侵功能，可分為掃描、攻擊、復(fù)制三個(gè)基本步驟。蠕蟲程序常駐于一臺(tái)或多臺(tái)計(jì)算機(jī)中，并具有自動(dòng)重新定位的能力。,信息安全技術(shù)與應(yīng)用,防范蠕蟲的措施,1．安裝殺毒軟件。2．及時(shí)升級(jí)病毒庫。3．提高防殺毒意識(shí)，不要輕易點(diǎn)擊陌生的站點(diǎn)。4．不隨意查看陌生郵件，尤其是帶有附件的郵件。5