网络攻防实战演练.ppt
计算机网络,傅德谦 2010.9,网络攻防技术or网络侦查与审计技术,3,2023/6/23,网络侦查审计的三个阶段,4,2023/6/23,第一节:侦查阶段,5,2023/6/23,第一节:侦查阶段,本节要点:,描述侦查过程识别特殊的侦查方法安装和配置基于网络和基于主机的侦查软件实施网络级和主机级的安全扫描配置和实施企业级的网络漏洞扫描器,6,2023/6/23,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。安全扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效的防范黑客入侵。安全扫描是保证系统和网络安全必不可少的手段,必须仔细研究利用。,7,2023/6/23,安全扫描的检测技术,基于应用的检测技术,它采用被动的,非破坏性的办法检查应用软件包的设置,发现安全漏洞。基于主机的检测技术,它采用被动的,非破坏性的办法对系统进行检测。基于目标的漏洞检测技术,它采用被动的,非破坏性的办法检查系统属性和文件属性,如数据库,注册号等。基于网络的检测技术,它采用积极的,非破坏性的办法来检验系统是否有可能被攻击崩溃。,8,2023/6/23,安全扫描系统具有的功能说明,协调了其它的安全设备使枯燥的系统安全信息易于理解,告诉了你系统发生的事情跟踪用户进入,在系统中的行为和离开的信息可以报告和识别文件的改动纠正系统的错误设置,9,2023/6/23,安全扫描,whoisnslookuphostTraceroutePing扫描工具,安全扫描常用命令,10,2023/6/23,Traceroute命令,用于路由跟踪,判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等可以推测出网络物理布局判断出响应较慢的节点和数据包在路由过程中的跳数Traceroute 或者使用极少被其它程序使用的高端UDP端口,或者使用PING数据包,11,2023/6/23,Traceroute 路由跟踪原理,?TTL-10,A,B,12,2023/6/23,Traceroute 路由跟踪原理,A,B,13,2023/6/23,B,Traceroute 路由跟踪原理,A,?TTL-10,14,2023/6/23,B,Traceroute 路由跟踪原理,A,我知道路由器B存在于这个路径上,路由器B的IP地址,15,2023/6/23,普通Traceroute到防火墙后的主机,假定防火墙的规则阻止除PING和PING响应(ICMP类型8和0),uniwistraceroute traceroute to(210.106.0.105),30 hops max,40 byte packets1 10.0.0.1(10.0.0.1)0.540 ms 0.394 ms 0.397 ms2 202.106.0.2(202.106.0.2)2.455 ms 2.479 ms 2.512 ms3 61.109.101.34(61.109.101.34)4.812 ms 4.780 ms 4.747 ms4 130.10.52.4(130.10.52.4)5.010 ms 4.903 ms 4.980 ms5 134.202.31.115(134.202.31.115)5.520 ms 5.809 ms 6.061 ms6 212.36.70.16(134.202.31.115)9.584 ms 21.754 ms 20.530 ms7 202.99.46.7(202.99.46.7)94.127 ms 81.764 ms 96.476 ms8 202.99.44.76(202.99.44.76)96.012 ms 98.224 ms 99.312 ms,16,2023/6/23,使用ICMP数据包后Traceroute结果,xuyitraceroute-I traceroute to(210.106.0.105),30 hops max,40 byte packets1 10.0.0.1(10.0.0.1)0.540 ms 0.394 ms 0.397 ms2 202.106.0.2(202.106.0.2)2.455 ms 2.479 ms 2.512 ms3 61.109.101.34(61.109.101.34)4.812 ms 4.780 ms 4.747 ms4 130.10.52.4(130.10.52.4)5.010 ms 4.903 ms 4.980 ms5 134.202.31.115(134.202.31.115)5.520 ms 5.809 ms 6.061 ms6 212.36.70.16(134.202.31.115)9.584 ms 21.754 ms 20.530 ms7 202.99.46.7(202.99.46.7)94.127 ms 81.764 ms 96.476 ms8 202.99.44.76(202.99.44.76)96.012 ms 98.224 ms 99.312 ms,17,2023/6/23,使用ICMP的Traceroute原理,由于防火墙一般不进行内容检查,我们可以将探测数据包到达防火墙时端口为其接受的端口,就可以绕过防火墙到达目标主机。起始端口号计算公式起始端口号=(目标端口-两机间的跳数*探测数据包数)-1,例:防火墙允许FTP数据包通过,即开放了21号端口,两机间跳数为2 起始端口号(ftp端口两机间的跳数*默认的每轮跳数)1(212*3)-1 151 14,18,2023/6/23,扫描类型,按照获得结果分类存活性扫描端口扫描系统堆栈扫描按照攻击者角色分类主动扫描被动扫描,19,2023/6/23,一、存活性扫描,发送扫描数据包,等待对方的回应数据包其最终结果并不一定准确,依赖于网络边界设备的过滤策略最常用的探测包是ICMP数据包例如发送方发送ICMP Echo Request,期待对方返回ICMP Echo Reply,20,2023/6/23,Ping扫描作用及工具,子网,192.168.1.16,192.168.1.18,192.168.1.10,192.168.1.12,192.168.1.14,Ping扫描,Ping扫描程序能自动扫描你所指定的IP地址范围,21,2023/6/23,二、端口扫描,端口扫描不仅可以返回IP地址,还可以发现目标系统上活动的UDP和TCP端口,Netscan tools扫描结果,22,2023/6/23,端口扫描技术一览,对SYN分段的回应,对FIN分段的回应,对ACK分段的回应,对Xmas分段的回应,对Null分段的回应,对RST分段的回应,对UDP数据报的回应,23,2023/6/23,端口扫描原理,一个端口就是一个潜在的通信通道,即入侵通道对目标计算机进行端口扫描,得到有用的信息扫描的方法:,手工进行扫描端口扫描软件,24,2023/6/23,OSI 参考模型,Application,25,TCP/IP协议簇,传输层,数据连路层,网络层,物理层,会话层,表示层,应用层,26,2023/6/23,IP协议包头,0,15,16,31,27,2023/6/23,ICMP协议包头,Type(类型),Code(代码),Checksum(校验和),ICMP Content,0,7,8,15,16,31,28,2023/6/23,TCP协议包头,Source port(16),Destination port(16),Sequence number(32),Headerlength(4),Acknowledgement number(32),Reserved(6),Code bits(6),Window(16),Checksum(16),Urgent(16),Options(0 or 32 if any),Data(varies),Bit 0,Bit 15,Bit 16,Bit 31,20 bytes,29,2023/6/23,UDP协议包头,Source Port,Length,0,15,16,31,Data,Destination Port,Checksum,30,2023/6/23,TCP三次握手机制,SYN received,主机A:客户端,主机 B:服务端,发送TCP SYN分段(seq=100 ctl=SYN),31,2023/6/23,TCP连接的终止,主机A:客户端,主机 B:服务端,关闭A到B的连接,关闭B到A的连接,32,2023/6/23,TCP/IP相关问题,一个TCP头包含6个标志位。它们的意义如下所述:,SYN:标志位用来建立连接,让连接双方同步序列号。如果SYN1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接;FIN:表示发送端已经没有数据要求传输了,希望释放连接;RST:用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包;URG:为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针有效;ACK:为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效;PSH:如果置位,接收端应尽快把数据传送给应用层。,33,2023/6/23,大部分TCP/IP遵循的原则(1),34,2023/6/23,大部分TCP/IP遵循的原则(2),35,2023/6/23,大部分TCP/IP遵循的原则(3),36,2023/6/23,大部分TCP/IP遵循的原则(4),37,2023/6/23,大部分TCP/IP遵循的原则(5),38,2023/6/23,大部分TCP/IP遵循的原则(6),39,2023/6/23,端口扫描方式,全TCP连接TCP SYN 扫描TCP FIN 扫描其它TCP扫描方式UDP扫描UDP recvfrom()和write()扫描秘密扫描技术间接扫描,40,2023/6/23,全TCP连接,长期以来TCP端口扫描的基础 扫描主机尝试(使用三次握手)与目的机指定端口建立建立正规的连接 连接由系统调用connect()开始 对于每一个监听端口,connect()会获得成功,否则返回1,表示端口不可访问 很容易被检测出来Courtney,Gabriel和TCPWrapper监测程序通常用来进行监测。另外,TCPWrapper可以对连接请求进行控制,所以它可以用来阻止来自不明主机的全连接扫描。,41,2023/6/23,TCPSYN扫描,42,2023/6/23,TCPFIN扫描,43,2023/6/23,其他TCP扫描方式,NULL扫描,发送一个没有任何标志位的TCP包,根据RFC 793,如果目标主机的相应端口是关闭的话,应该发送回一个RST数据包,向目标主机发送一个FIN、URG和PUSH分组,根据RFC 793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志,当一个包含ACK的数据包到达目标主机的监听端口时,数据包被丢弃,同时发送一个RST数据包,ACK扫描,FIN+URG+PUSH(Xmas扫描),44,2023/6/23,UDP扫描,使用的是UDP协议,扫描变得相对比较困难打开的端口对扫描探测并不发送一个确认,关闭的端口也并不需要发送一个错误数据包。然而,许多主机在向未打开的UDP端口发送数据包时,会返回一个ICMP_PORT_UNREACHABLE错误,即类型为3、代码为13的ICMP消息UDP和ICMP错误都不保证能到达,因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输这种扫描方法是很慢的,因为RFC对ICMP错误消息的产生速率做了规定这种扫描方法需要具有root权限,45,2023/6/23,UDPrecvfrom()和write()扫描,当非root用户不能直接读到端口不能到达错误时,某些系统如Linux能间接地在它们到达时通知用户。,在非阻塞的UDP套接字上调用recvfrom()时,如果ICMP出错还没有到达时回返回AGAIN重试。如果ICMP到达时,返回CONNECT REFUSED连接被拒绝。这就是用来查看端口是否打开的技术。,对一个关闭的端口的第二个write()调用将失败。,46,2023/6/23,秘密扫描技术,不含标准TCP三次握手协议的任何部分,比SYN扫描隐蔽得多FIN数据包能够通过只监测SYN包的包过滤器秘密扫描技术使用FIN数据包来探听端口Xmas和Null扫描秘密扫描的两个变种Xmas扫描打开FIN,URG和PUSH标记而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤秘密扫描通常适用于UNIX目标主机跟SYN扫描类似,秘密扫描也需要自己构造IP包,47,2023/6/23,间接扫描,利用第三方的IP(欺骗主机)来隐藏真正扫描者的IP假定参与扫描过程的主机为扫描机,隐藏机,目标机。扫描机和目标机的角色非常明显。隐藏机是一个非常特殊的角色,在扫描机扫描目的机的时候,它不能发送任何数据包(除了与扫描有关的包),48,2023/6/23,端口扫描软件,端口扫描器是黑客最常使用的工具,单独使用的端口扫描工具 集成的扫描工具,49,2023/6/23,三、系统堆栈指纹扫描,利用TCP/IP来识别不同的操作系统和服务 向系统发送各种特殊的包,根据系统对包回应的差别,推断出操作系统的种类堆栈指纹程序利用的部分特征 ICMP错误信息抑制服务类型值(TOS)TCP/IP选项对SYN FLOOD的抵抗力TCP初始窗口,50,2023/6/23,堆栈指纹的应用,利用FIN探测利用TCP ISN采样使用TCP的初始化窗口ICMP消息抑制机制ICMP错误引用机制ToS字段的设置 DF位的设置ICMP错误信息回显完整性 TCP选项 ACK值,51,2023/6/23,利用 FIN 标记探测,开放端口,52,2023/6/23,利用BOGUS标记探测,开放端口,53,2023/6/23,使用TCP的初始化窗口,简单地检查返回包里包含的窗口长度。根据各个操作系统的不同的初始化窗口大小来唯一确定操作系统类型:,注:TCP使用滑动窗口为两台主机间传送缓冲数据。每台TCP/IP主机支持两个滑动窗口,一个用于接收数据,另一个用于发送数据。窗口尺寸表示计算机可以缓冲的数据量大小。,54,2023/6/23,NMAP工具,功能强大、不断升级并且免费 对网络的侦查十分有效它具有非常灵活的TCP/IP堆栈指纹引擎 它可以穿透网络边缘的安全设备,注:NMAP穿透防火墙的一种方法是利用碎片扫描技术(fragment scans),你可以发送隐秘的FIN包(-sF),Xmas tree包(-sX)或NULL包(-sN)。这些选项允许你将TCP查询分割成片断从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。,55,2023/6/23,四、其它扫描,共享扫描软件 使用Telnet 使用SNMP 认证扫描代理扫描社会工程,56,2023/6/23,共享扫描软件,提供了允许审计人员扫描Windows网络共享的功能 只能侦查出共享名称,但不会入侵共享 Ping ProRedButton,57,2023/6/23,共享扫描软件,子网,192.168.1.16,192.168.1.10,结果,192.168.1.10:home,data,192.168.1.16:files,apps,共享扫描,共享目录Filesapps,共享目录homedata,58,2023/6/23,使用Telnet,是远程登录系统进行管理的程序 可以利用Telnet客户端程序连接到其它端口,从返回的报错中获得需要的系统信息,59,2023/6/23,使用SNMP,SNMPv1最普通但也最不安全它使用弱的校验机制用明文发送community nameSNMP 信息暴露,60,2023/6/23,企业级的扫描工具,扫描等级配置文件和策略报告功能报告风险等级Axcent BetReconFinger服务漏洞;GameOver(远程管理访问攻击)未授权注销禁止服务漏洞,包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail补丁等级,61,2023/6/23,企业级的扫描工具,Network Associates CyberCop Scanner 是Network Associates的产品,象NetRecon一样,CyberCop Scanner是一个主机级别的审计程序。也把各种漏洞分类为低、中、高三个等级,提 示:CyberCop Monitor不是网络扫描器,它是入侵监测系统程序,能够对黑客活动进行监视,提供报警功能,还能惩罚黑客。,62,2023/6/23,企业级的扫描工具,WebTrends Security Analyzer与UNIX搭配使用多年操作界面也简单易用Internet Security Systems的扫描产品ISS Internet Scanner有三个模块:intranet,firewall和Web服务器 程序的策略是希望将网络活动分类,并针对每种活动提供一种扫描方案ISS Security Scanner基于主机的扫描程序,63,2023/6/23,社会工程,电话访问欺骗信任欺骗 教 育,64,2023/6/23,电话访问,一位新的职员寻求帮助,试图找到在计算机上完成某个特定任务的方法一位愤怒的经理打电话给下级,因为他的口令突然失效一位系统管理员打电话给一名职员,需要修补它的账号,而这需要使用它的口令一位新雇佣的远程管理员打电话给公司,询问安全系统的配置资料一位客户打电话给供应商,询问公司的新计划,发展方向和公司主要负责人,65,2023/6/23,信任欺骗,当电话社交工程失败的时候,攻击者可能展开长达数月的信任欺骗典型情况通过熟人介绍,来一次四人晚餐可以隐藏自己的身份,通过网络聊天或者是电子邮件与之结识伪装成工程技术人员骗取别人回复信件,泄漏有价值的信息一般说来,有魅力的异性通常是最可怕的信任欺骗者,不过不论对于男性还是女性,女性总是更容易令人信任,66,2023/6/23,防范措施教 育,网络安全中人是薄弱的一环,作为安全管理人员,避免员工成为侦查工具的最好方法是对他们进行教育。,提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。,67,2023/6/23,扫描目标网络级别的信息,68,2023/6/23,扫描目标主机级别的信息,69,2023/6/23,安全扫描技术的发展趋势,使用插件(plugin)或者叫功能模块技术使用专用脚本语言由安全扫描程序到安全评估专家系统,70,2023/6/23,对网络进行安全评估,DMZ E-Mail File Transfer HTTP,Intranet,生产部,工程部,市场部,人事部,路由,Internet,中继,通讯&应用服务层,71,2023/6/23,可适应性安全弱点监测和响应,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,操作系统层,72,2023/6/23,对于DMZ区域的检测,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,应用程序层,73,2023/6/23,第二节:渗透阶段,74,2023/6/23,重点内容:服务器渗透与攻击技术,本节要点:讨论渗透策略和手法 列举潜在的物理、操作系统和TCP/IP堆栈攻击 识别和分析暴力攻击、社会工程和拒绝服务攻击 实施反渗透和攻击的方法,75,2023/6/23,入侵和攻击的范畴,在Internet上,在局域网上,本地,离线,76,2023/6/23,在Internet上,协作攻击:Internet允许全世界范围的连接,这很容易使来自全世界的人们在一个攻击中进行合作参与。,会话劫持:在合法的用户得到鉴别可以访问后,攻击者接管一个现存动态会话的过程。,欺骗:欺骗是一种模仿或采取不是自己身份的行为。,转播:是攻击者通过第三方的机器转播或反射他的通信,这样攻击就好象来自第三方的机器而不是他。,特洛伊木马或病毒:特洛伊木马的常见用途是安装后门。,77,2023/6/23,在局域网上,嗅探流量:观察网络上所有流量的被动攻击。,广播:攻击者发送一个信息包到广播地址,以达到产生大量流量的目的。,文件访问:通过找到用户标识和口令,可以对文件进行访问。,远程控制:通过安装木马实现对机器的远程控制。,应用抢劫:接收应用并且达到非授权访问。,78,2023/6/23,在本地,旁侧偷看,未上锁的终端,被写下的口令,拔掉机器,本地登录,79,2023/6/23,离线,下载口令文件,下载加密的文本,复制大量的数据,80,2023/6/23,常见的攻击方法,1.欺骗攻击(Spoofing),3.拒绝服务(Denial of Service)攻击,2.中间人攻击(Man-in-the-Middle Attacks),4.缓冲区溢出(Buffer Overflow)攻击,5.后门和漏洞攻击,6.暴力破解攻击,81,2023/6/23,容易遭受攻击的目标,路由器数据库邮件服务名称服务Web和FTP服务器和与协议相关的服务,82,2023/6/23,一、欺骗技术,83,2023/6/23,84,2023/6/23,85,2023/6/23,86,2023/6/23,87,2023/6/23,88,2023/6/23,89,2023/6/23,90,2023/6/23,91,2023/6/23,92,2023/6/23,93,2023/6/23,电子邮件欺骗,94,2023/6/23,修改邮件客户软件的帐户配置,95,2023/6/23,96,2023/6/23,97,2023/6/23,98,2023/6/23,99,2023/6/23,100,2023/6/23,101,2023/6/23,102,2023/6/23,103,2023/6/23,通过使用网络报文窃听以及路由和传输协议进行这种攻击。主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息。,Man-in-the-Middle Attacks原理,二、中间人攻击(Man-in-the-Middle Attacks),104,2023/6/23,报文窃听(Packet Sniffers),数据包篡改(Packet alteration),重放攻击(Replay attack),会话劫持(Session hijacking),中间人攻击的类型,105,2023/6/23,报文窃听是一种软件应用,该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。可以轻易通过解码工具(sniffers/netxray等)获得敏感信息(用户密码等)。,报文窃听(Packet Sniffers),106,2023/6/23,报文窃听(Packet Sniffers)实例分析,107,2023/6/23,用交换机来替代HUB,可以减少危害。防窃听工具:使用专门检测网络上窃听使用情况的软件与硬件。加密:采用IP Security(IPSec)、Secure Shell(SSH)、Secure Sockets Layer(SSL)等技术。,验证(Authentication):采用一次性密码技术(one-time-passwords OTPs),Packet Sniffers窃听防范,108,2023/6/23,数据包篡改(Packet alteration),对捕获的数据包内容进行篡改,以达到攻击者的目的,更改数据包的校验和及头部信息,为进一步攻击 做准备,109,2023/6/23,攻击者截获了一次远程主机登录过程后,选择适当的时机对该登录过程进行重放,以进入远程主机。,重放攻击(Replay attack),110,2023/6/23,会话劫持(session hijacking),111,2023/6/23,112,2023/6/23,113,2023/6/23,114,2023/6/23,关于TCP协议的序列号,115,2023/6/23,116,2023/6/23,阻断正常会话,117,2023/6/23,118,2023/6/23,119,2023/6/23,120,2023/6/23,121,2023/6/23,三、DOS攻击,DoS(Deny Of Service)就是攻击者通过使你的网络设备崩溃或把它压跨(网络资源耗尽)来阻止合法用户获得网络服务,DOS是最容易实施的攻击行为。,DoS攻击主要是利用了TCP/IP 协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的实现缺陷。,122,2023/6/23,DoS的技术分类,123,2023/6/23,典型DOS攻击,124,2023/6/23,Ping of Death,125,2023/6/23,Ping of Death范例,126,2023/6/23,IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。,泪滴(teardrop)攻击一,Teardrop 攻击原理:,127,2023/6/23,受影响的系统:Linux/Windows NT/95,攻击特征:攻击过程简单,发送一些IP分片异常的数据包。,防范措施:,泪滴(teardrop)攻击二,服务器升级最新的服务包设置防火墙时对分片进行重组,而不是转发它们。,128,2023/6/23,UDP洪水(UDP flood),129,2023/6/23,Fraggle攻击,发送畸形UDP碎片,使得被攻击者在重组过程中发生未加预料的错误典型的Fraggle攻击碎片偏移位的错乱强制发送超大数据包纯粹的资源消耗,130,2023/6/23,阻止IP碎片攻击,Windows系统请打上最新的Service Pack,目前的Linux内核已经不受影响。如果可能,在网络边界上禁止碎片包通过,或者用iptables限制每秒通过碎片包的数目。如果防火墙有重组碎片的功能,请确保自身的算法没有问题,否则DoS就会影响整个网络Windows 2000系统中,自定义IP安全策略,设置“碎片检查”,131,2023/6/23,TCP SYN flood,132,2023/6/23,剖析SYN Flood攻击,不断发送大量伪造的TCP SYN分段,最多可打开的半开连接数量,超时等待时间,等待期内的重试次数,133,2023/6/23,TCP SYN Flood 攻击过程示例,134,2023/6/23,对SYN Flood攻击的防御,对SYN Flood攻击的几种简单解决方法缩短SYN Timeout时间 SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值等于SYN攻击的频度 x SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间 设置SYN Cookie 给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被一概丢弃,135,2023/6/23,增强Windows 2000对SYN Flood的防御,打开regedit,找到HKEY_LOCAL_MACHINESystem CurrentControlSetServicesTcpipParameters 增加一个SynAttackProtect的键值,类型为REG_DWORD,取值范围是0-2,这个值决定了系统受到SYN攻击时采取的保护措施,包括减少系统SYN+ACK的重试的次数等,默认值是0(没有任何保护措施),推荐设置是2。,136,2023/6/23,增强Windows 2000对SYN Flood的防御,增加一个TcpMaxHalfOpen的键值,类型为REG_DWORD,取值范围是100-0 xFFFF,这个值是系统允许同时打开的半连接,默认情况下WIN2K PRO和SERVER是100,ADVANCED SERVER是500,这个值取决于服务器TCP负荷的状况和可能受到的攻击强度。增加一个TcpMaxHalfOpenRetried的键值,类型为REG_DWORD,取值范围是80-0 xFFFF,默认情况下WIN2K PRO和SERVER是80,ADVANCED SERVER是400,这个值决定了在什么情况下系统会打开SYN攻击保护。,137,2023/6/23,Smurf攻击,138,2023/6/23,Smurf攻击示意图,139,2023/6/23,Smurf攻击,140,2023/6/23,Smurf攻击的防止措施,141,2023/6/23,Land攻击,142,2023/6/23,电子邮件炸弹,143,2023/6/23,分布式拒绝服务(Distributed Denial of Service),DDoS攻击原理 黑客侵入并控制了很多台电脑,并使它们一起向主机发动DoS攻击,主机很快陷于瘫痪,这就是分布式拒绝服务攻击DDoS(Distributed Denial Of Service)。,144,2023/6/23,分布式拒绝服务攻击网络结构图,145,2023/6/23,三层模型,146,2023/6/23,DDoS攻击过程,147,2023/6/23,DDoS攻击使用的常用工具,TFN(Tribe Flood Network),Trinoo,Stacheldraht,TFN2K,148,2023/6/23,TFN是由著名黑客Mixter编写的,是第一个公开的UnixDDoS工具。由主控端程序和客户端 程序两部分组成。它主要采取的攻击方法为:SYN风暴、Ping风暴、UDP炸弹和SMURF,具有伪造数据包的能力。,TFN(Tribe Flood Network),149,2023/6/23,TFN2K是由TFN发展而来的,在TFN所具有的特性上,TFN2K又新增一些特性,它的主控端和代理端的网络通讯是经过加密的,中间还可能混杂了许多虚假数据包,而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。,TFN2K,150,2023/6/23,Stacheldraht也是从TFN派生出来的,因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力,它对命令源作假,可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块,可以自动下载并安装最新的代理程序。,Stacheldraht,151,2023/6/23,Trinoo,152,2023/6/23,DDoS攻击的防御策略,153,2023/6/23,四、缓冲区溢出Buffer Overflow攻击,154,2023/6/23,缓冲区溢出的攻击方式,155,2023/6/23,缓冲区溢出攻击的基本思想,基本思想:通过修改某些内存区域,把一段恶意代码存储到一个buffer中,并且使这个buffer被溢出,以便当前进程被非法利用(执行这段恶意的代码)危害性在UNIX平台上,通过发掘Buffer Overflow,可以获得一个交互式的shell在Windows平台上,可以上载并执行任何的代码溢出漏洞发掘起来需要较高的技巧和知识背景,但是,一旦有人编写出溢出代码,则用起来非常简单,156,2023/6/23,为什么会缓冲区溢出?,157,2023/6/23,典型的buffer overflows漏洞,158,2023/6/23,怎样防范缓冲区溢出,159,2023/6/23,五、后门和漏洞攻击,后门(back door):通常指软件开发人员为了便于测试或调试而在操作系统和程序中故意放置的未公布接口,与bug不同,后门使开发人员故意留下的。Eg.万能密码、超级用户接口等,漏洞(Bug):操作系统或软件存在的问题和错误。,IPC$漏洞输入法漏洞IIS.ida ISAPI扩展远程溢出漏洞,160,2023/6/23,六、暴力破解攻击,1.字典程序攻击,2.暴力攻击,161,2023/6/23,暴力破解,暴力或字典破解是获得root访问权限的最有效、最直接的方式方法。三种破解工具L0pht crack工具John the ripper工具Crack工具,162,2023/6/23,L0pht crack界面,163,2023/6/23,验证算法,暴力破解所要对付的对象就是各种各样的口令加密与验证算法冷静地分析各种常见的验证算法,找出其中的不足 Windows 2000系统默认的验证算法Unix/Linux系统默认的验证算法,164,2023/6/23,LanMan验证和NTLM验证,Windows NT/2000支持多种验证机制,每一种验证机制之间的安全级别不同,下表列出了Windows NT/2000所支持的各种验证机制。微软系统所采用的验证加密算法。,165,2023/6/23,额外的审计工具,L0pht Crackpwdump2pwdump2密码散列提取工具在很长时间内由管理员和黑客同时使用,以从 SAM中转储LANMan和NTLM密码散列。在Windows 2000域控制器上工作,域控制器不再将散列存储在SAM中,而是存储在AD中lsadump2 使用DLL注射绕过本地安全授权(LSA)以名为LSA Secrets形式存储的安全信息上的正常的访问控制,166,2023/6/23,构造一个Crack工具基本步骤,生成字典文件,常见的规则包括:1.计算hash值(MD5、SHA等)2.应用crypt()函数,167,2023/6/23,一旦攻击者成功地渗透进系统,会立即试图控制它。,第三节:控制阶段,168,2023/6/23,一、攻击者的控制目标,获得root的权限,获得信息,作为跳板攻击其它系统,169,2023/6/23,1.获得root的权限,攻击者最终目的是获得root的权限攻击者会采用许多不同的策略来获得这一权限非法服务和trap door允许攻击者使用合法的账号来升级访问权限,170,2023/6/23,2.获得信息,获得root的权限后,攻击者会将立即进行信息扫描,获得有用数据。扫描方法操纵远程用户的Web浏览器运行脚本程序利用文件的缺省存放位置,171,2023/6/23,3.信息重定向,攻击者控制了系统,便可以进行程序和端口重定向端口转向成功后,他们可以操控连接并获得有价值的信息相似的攻击目标还包括重定向SMTP端口,它也允许攻击者获得重要的信息,172,2023/6/23,4.应用程序重定向,将某一端口与某一应用程序相绑定允许将某一程序的运行指定到特定的端口,从而可以远程使用Telnet进行控制,173,2023/6/23,5.擦除渗透的痕迹,通常,攻击者通过破坏日志文件,可以骗过系统管理员和安全审计人员。这就是所谓的痕迹擦除日志文件包括:Web服务器防火墙HTTP服务器FTP服务器数据库操作系统的日志IDS日志 日志文件类型包括事件日志应用程序日志安全日志,174,2023/6/23,6.作为跳板攻击其它系统,通常,攻击者渗透操作系统的目的是通过它来渗透到网络上其它的操作系统。NASA服务器是攻击者通常的攻击目标,不仅因为他们想要获取该服务器上的信息,更主要的是许多组织都和该服务器有信任的连接关系。,系统是攻击者的终端还是攻击链条中的一个环节跳板攻击者为了伪装自己的真实来源,可能通过很多次跳板才达到攻击目的,17