网络安全(第四章).ppt

《网络安全(第四章).ppt》由会员分享，可在线阅读，更多相关《网络安全(第四章).ppt（75页珍藏版）》请在三一办公上搜索。

1、第四章 网络入侵,本章要求,熟悉网络攻击的常用手段和技巧。了解社会工程学攻击的基本方法、学会防范物理攻击。掌握各种漏洞攻击以及防御手段。了解拒绝服务攻击的概念。,章节安排,第一节 社会工程学第二节 暴力攻击第三节 Unicode漏洞第四节 缓冲区溢出第五节 拒绝服务攻击,第一节、社会工程学攻击,1、社会工程方法的攻击2、网络钓鱼3、特洛伊木马,1.1社会工程方法的攻击,1、社会工程方法 社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学。研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。,1.1社会工程方法的攻

2、击,举例：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。,1.1社会工程方法的攻击,2、攻击的物理手段（1）设置互联网陷阱 人们在网络聊天、填写网站注册资料时都会无意中泄露一些个人信息，比如姓名、生日、电话号码、身份证号码、银行帐号、邮件地址、书写习惯等。攻击者可以通过这些信息破译用户所用的密码。,1.1社会工程方法的攻击,2、攻击的

3、物理手段（2）利用恶意电子邮件进行攻击 当被攻击对象是攻击者可以进行联系的对象时，攻击者可以先取得对方的信任，然后发出恶意邮件。恶意邮件所潜伏的木马会把被攻击对象的信息发送给攻击者，使攻击者达到入侵的目的。,1.1社会工程方法的攻击,2、攻击的物理手段（3）利用电话以获取攻击信息 攻击者可以冒充技术人员或很重要的人物打电话从其他用户那里获得他所需要的资料，他们也可以打电话给网络管理员冒充失去密码的内部人员从而骗取密码。,1.1社会工程方法的攻击,3、攻击的心理手段（1）利用人们的好奇的心理（2）利用人们易于相信朋友的心理（3）利用人们迷信权威的心理（4）利用人们从众的心理（5）利用人们想要回报

4、的心理（6）利用人们贪婪的心理,1.2 网络钓鱼,1、概念 网络钓鱼是一种利用社会工程方法通过WWW网站的交互过程来牟取利益的攻击方式。体现为借助社会工程方法和技术手段，通过模拟相同或相似的Web页面或网站，假冒合法者的身份，误导用户通过网络泄露个人身份、银行帐号及各种隐私信息，从而获得非法的政治和经济利益。网络钓鱼攻击的典型方式为电子邮件群发，即时信息传播，终端代码网络重定向等。,1.2 网络钓鱼,2、基本方法(1)诱骗 要求行动攻击 相似诱骗攻击 搜索引擎攻击,1.2 网络钓鱼,2.基本方法(2)有害代码 信息搜集 会话拦截 数据篡改(3)信息注入,1.2 网络钓鱼,3、网络钓鱼的防范 基

5、于网络钓鱼的攻击原理，其防范可分为主动式防范与被动式防范两种模式。主动式防范是指采用相关措施完成攻击预防功能，如基于全局的Puishing网站检测，邮件认证安全增强，基于端系统的特定敏感信息的连接过滤，基于被保护网站的相似网站判定等。,1.2 网络钓鱼,3、网络钓鱼的防范 被动式防范是采取相关措施完成事后控制与告警功能，如根据攻击举报建立钓鱼网站和网络地址黑名单，基于黑名单在用户端安装报警通知工具条等。主动式防范方式因其能够事前预防，降低风险而成为网络钓鱼攻击的主流模式。,1.3特洛伊木马,1、特洛伊木马 它是一种新型的计算机网络病毒程序。利用自身所具有的植入功能，或依附其他具有传播能力病毒，

6、或通过入侵后植入等多种途径，进驻目标机器，搜集其中各种敏感信息，并通过网络与外界通信，发回所搜集到的各种敏感信息，接受植入者命令、完成其他各种操作，如修改指定文件，格式化硬盘等。,1.3特洛伊木马,2、特点（1）有效性（2）隐蔽性（3）顽固性（4）易植入性,1.3特洛伊木马,3、木马的植入 木马植入技术主要指：木马病毒利用各种途径进入目标机器的具体实现方法，目前主要分为三类：伪装欺骗、利用系统漏洞和入侵后直接植入。,1.3特洛伊木马,3、木马的植入（1）伪装欺骗 木马通过各种花招诱使用户打开可执行文件，然后潜伏到系统中。通过更改木马病毒程序的文件名后缀和图表等，将其伪装成一个有用的程序、文本文

7、件或多媒体文件，然后藏匿在电子邮件附件中，并在目标机器用户受骗，点击相应藏有木马程序的文件图标时自动完成木马病毒的植入操作。,1.3特洛伊木马,3、木马的植入（1）伪装欺骗 另一种伪装欺骗是将木马程序同其他软件捆绑在一起以实现欺骗式植入。当用户运行执行捆绑有木马病毒的应用程序时，木马病毒就得以植入，这时由于原来的应用程序仍可正确执行，从而使得用户无法察觉到木马病毒的植入行为。更有甚者，目前已有可将木马程序拆开存放在其宿主程序文件的空隙处，从而使捆绑木马病毒的程序文件大小不发生变化。,1.3特洛伊木马,3、木马的植入（2）利用系统漏洞 各种操作系统、应用软件系统在最初编制完成时，通常都会遗留各种

8、安全漏洞，例如可将木马病毒伪装成图像文件并在网页中引用，则当目标机用户浏览此网页时，浏览器就会自动下载此文件并存放于Internet历史记录文件中，之后只要通过网页中的脚本程序查找到该“图像”文件并对其复原，就可以有效完成木马病毒的植入。,章节安排,第一节 社会工程学第二节 暴力攻击第三节 Unicode漏洞第四节 缓冲区溢出第五节 拒绝服务攻击,第二节 暴力攻击,暴力攻击使用数字和字母的任意组合，猜出用户名和口令。暴力攻击作为一个应用程序，使用字母、数字和字符的随机组合反复进行试探性访问。暴力攻击程序通过简单地猜测用户名和反复访问服务器来破解一台服务器或数据文件。暴力攻击要求服务器对反复进行

9、的攻击做出自动地回应。根据所涉及系统的速度，每分钟可做上千次的试探攻击。暴力攻击是相当简单的试探性攻击，可以试探任何事物，包括目录文件、探测器和反复登录尝试。,暴力攻击,暴力攻击的一个具体例子是一个黑客试图使用计算机和信息去破解一个密码。假设一个黑客需要破解一段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。,字典攻击,字典穷举法攻击是暴力攻击中一种自定义的、定向的攻击版本。如果一位潜在

10、的黑客打算使用传统的暴力攻击手段来获取口令，那么他要尝试每一个可能的字符，包括小写字母、大写字母、数字和非字母数字的字符。字典穷举法攻击通过尝试特殊的口令缩小了潜在的可能性，许多用户错误地使用了标准的单词作为口令。字典穷举法攻击通过查询一个被称为“字典文件”来尝试破译口令，此文件包括一个很长的单词列表。有时候这些字典文件非常大（大于10MB），并且它们可能还包含属于几种不同语言的单词。,字典攻击,强密码可以协助阻止字典穷举法攻击。通常，强口令组合了小写字母、大写字母、数字和非字母数字的字符，并且至少六个字符长度。黑客一般使用相应程序，如用于UNIX系统的John the Ripper 或Nov

11、ell PassCrack来获取合法的访问权。这些攻击是暴力攻击的不同版本，并经常使用在网络中。黑客在其他方面还可以使用字典程序，字典程序能让黑客使用许多计算机一起工作，或破译Zip文件的口令。,章节安排,第一节 社会工程学第二节 暴力攻击第三节 Unicode漏洞第四节 缓冲区溢出第五节 拒绝服务攻击,第三节 Unicode漏洞,攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件，从而使该计算机的文件暴露，且可随意执行和更改文件。解释：Unicode标准被很多软件开发者所采用，无论何种平台、程序或开发语言，Unicode均为每个字符提供独一无二的序号，如向IIS服务器发出包括非法

12、Unicode UTF-8序列的URL，攻击者可使服务器逐字“进入或退出”目录并执行任意程序，该攻击即称为目录转换攻击。,Unicode漏洞,原理:Unicode用“%2f”和“%5c”分别代表“/”和“”字符，但也可用“超长”序列来代替这些字符。“超长”序列是非法的Unicode表示符，如用“%c0%af”代表“/”字符。由于IIS不对超长序列进行检查，因此在URL中添加超长的Unicode序列后，可绕过微软的安全检查，攻击者即可在服务器上修改或运行相应文件。,Unicode漏洞的检测方法,通过软件检测:使用扫描工具来检测Unicode漏洞是否存在，如使用上X-Scan来对目标系统进行扫描，

13、假设目标主机IP为：172.18.25.109，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以了，X-Scan设置如图所示。,Unicode漏洞的检测方法,将主机添加到目标地址，扫描结果如图所示。,Unicode漏洞的检测方法,可以看出，存在许多系统的漏洞。只要是/scripts开头的漏洞都是Unicode漏洞。比如：/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir其中/scripts目录是IIS提供的可以执行命令的一个有执行程序权限的目录，在IIS中的位置如图所示。,Unicode漏洞的检测方法,scripts目录一般在系统盘根

14、目录下的Inetpub目录下，如图所示。,Unicode漏洞的检测方法,在Windows的目录结构中，可以使用两个点和一个斜线“./”来访问上一级目录，在浏览器中利用“scripts/././”可以访问到系统盘根目录，访问“scripts/././winnt/system32”就访问到系统的目录了，在system32目录下包含许多重要的系统文件，比如cmd.exe文件,Unicode漏洞的检测方法,浏览器地址栏中禁用符号“./”，但是可以使用符号“/”的Unicode的编码。比如“/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中的“%c0%2f

15、”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。,Unicode漏洞,例：利用该漏洞读取出计算机上目录列表，比如读取C盘的目录，只要在浏览器中输入“http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:”,利用Unicode漏洞读取系统盘目录,利用Unicode漏洞读取系统盘目录,比如想得到对方计算机上装了几个操作系统以及操作系统的类型，只要读取C盘下的boot.ini文件就可以了。使用的语句是：http:/172.18.25.109/scripts/.%c0%2f./winnt/sys

16、tem32/cmd.exe?/c+type+c:boot.ini执行的结果如图所示。,利用Unicode漏洞删除主页,利用Unicode可以方便的更改对方的主页，比如现在已经知道对方网站的根路径在“C:Initpubwwwroot”（系统默认）下，可以删除该路径下的文件“default.asp”来删除主页，一般“default.asp”文件是IIS的默认启动页面。使用的语句是：http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+del+c:inetpubwwwrootdefault.asp,利用Unicode漏洞删除主页

17、,拷贝文件,为了使用方便，利用语句将cmd.exe文件拷贝到scripts目录，并改名为c.exe，使用的语句是：http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+copy+C:winntsystem32cmd.exe+c.exe程序执行结果如图所示。,查看C盘的目录,以后使用cmd.exe命令比较方便，比如查看C盘的目录，使用的语句就可以简化为：http:/172.18.25.109/scripts/c.exe?/c+dir+c:执行的结果如图所示。,其他漏洞攻击,利用打印漏洞利用打印漏洞可以在目标的计算机上添加一个

18、具有管理员权限的用户。经过测试，该漏洞在SP2、SP3以及SP4版本上依然存在。原理：利用打印机或文件共享,SMB致命攻击,SMB（Session Message Block，会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘和打印机的共享。利用该协议可以进行各方面的攻击，比如可以抓取其他用户访问自己计算机共享目录的SMB会话包，然后利用SMB会话包登录对方的计算机。最致命一点，利用SMB协议可以让对方操作系统重新启动或者蓝屏。,致命攻击,使用的工具软件是：SMBDie V1.0，该软件对打了SP3

19、、SP4的计算机依然有效，必须打专门的SMB补丁，软件的主界面如图所示。,致命攻击,攻击的时候，需要两个参数：对方的IP地址和对方的机器名，窗口中分别输入这两项，如图所示。,致命攻击,然后再点按钮“Kill”，如果参数输入没有错误的话，对方计算机立刻重启或蓝屏，命中率几乎100%，被攻击的计算机蓝屏界面如图所示。,章节安排,第一节 社会工程学第二节 暴力攻击第三节 Unicode漏洞第四节 缓冲区溢出攻击第五节 拒绝服务攻击,第四节 缓冲区溢出攻击,缓冲区溢出攻击是目前最流行的一种攻击技术。当目标操作系统收到了超过它的最大能接收的信息量的时候，将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢

20、出，然后覆盖实际的程序数据，从而使目标系统的程序被修改，修改的结果会在系统上产生一个后门。,缓冲区溢出攻击,原理:void function(char*szPara1)char buff16;strcpy(buffer,szPara1);程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。,RPC漏洞溢出,远程过程调用RPC（Remote Procedure Call)，是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机

21、。当系统启动的时候，自动加载RPC服务。可以在服务列表中看到系统的RPC服务，如图所示。,章节安排,第一节 社会工程学第二节 暴力攻击第三节 Unicode漏洞第四节 缓冲区溢出第五节 拒绝服务攻击,第五节 拒绝服务攻击,拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无

22、法再处理合法用户的请求。比如：有成百上千的人给同一电话打电话，其他的用户就再也打不进电话了，这就是连通性Dos攻击。,拒绝服务攻击,1、SYN风暴2、Smurf攻击3、利用处理程序错误进行攻击分布式拒绝服务攻击拒绝服务攻击发展趋势,SYN风暴,SYN风暴是通过创建大量“半连接”来进行攻击，任何连接到Internet上并提供基于TCP的网络服务的主机都可能遭受这种攻击。技术原理:一个TCP的会话是通过以下方式来建立的，源主机首先向目标主机发送一个SYN（同步）数据包，如果目标主机在一特定的端口（PORT）等待连接时，它会返回对应于同步数据包的响应数据包（SYN/ACK），源主机接收后再返回确认的

23、响应数据包（ACK），这样会话连接建立。,SYN风暴,当目标主机向源主机返回响应数据包（SYN/ACK）时，目标主机会分配一定的内存以存储当前建立的会话连接的状态信息。这部分内存会一直占用着以等待接收源主机发送来的更多信息，除非最终的响应数据包（ACK）到达或连接超时。当向一台主机传送大量的SYN（同步）数据包时，目标主机必定会使用很多的内存专门用来处理打开的连接，而其它的合法连接就无法与这台主机建立了。,SYN风暴,严重性:大多数系统会对激活的TCP连接有一预定义的限制设定，一旦TCP连接达到这一限制设定值，再有其它的连接就会被忽略。SYN（同步）溢出攻击方式就是企图使主机连接大批空闲的连接

24、，而其它的连接无法连接上。,SYN风暴,误判断:一些网络应用程序向一个非常“繁忙”的网页发出HTTP请求应用时会触发这种机制，他们会在很短的时间内与主机建立大量的TCP会话。管理员可以在引擎控制窗口里调整SYN（同步）溢出来定义参数。受影响系统:任何对激活的TCP连接有限制的网络设备。,SYN风暴,防范措施:快速地重启受影响的机器以释放一些连接，并必须等到空的连接超时。实时监控可以关闭未激活的连接。配置实时监控里有关SYN（同步）溢出的Kill选项。实时监控会关闭可能造成机器SYN（同步）溢出的连接企图。,SYN风暴,补救措施:更新操作系统的版本或者应用相应的补丁程序。现在许多操作系统具备通过

25、试探的方法来关闭闲置的连接，并将SYN（同步）溢出的连接请求阻挡在合法的连接之外。另外也可以通过增加连接缓存缺省值以达到目的。,Smurf攻击,Smurf综合使用IP欺骗和带有广播地址的ICMP请求-响应方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，属于间接、借力攻击方式。攻击目标：连接到互联网上的主机或其他支持ICMP请求-响应的网络设备。,Smurf攻击,原理：使用ICMP协议判断某台主机是否可达。即向目标主机发送ICMP ehco请求包，如果目标主机收到该请求包，会发送ehco响应作为回答。攻击内容：涉及三个元素（攻击者，中间脆弱网络，目标受害者）。,Smurf攻击

26、,攻击过程：攻击者伪造一个ICMP echo请求包，其源地址为目标受害者地址，目的地址为中间脆弱网络的广播地址，并将该echo请求包发送到中间脆弱网络。中间脆弱网络中的主机收到该echo请求包时，会以echo响应包作为回答，而这些包最终被发送到目标受害者。这样大量同时返回的echo响应数据包造成目标网络严重拥塞、丢包，甚至完全不可用。,Smurf攻击,中间脆弱网络没有被称为受害者，但实际上它同样为受害方，在性能上也遭受严重影响。黑客通常首先在全国范围内搜索不过滤广播包的路由器和规模较大的网络，再利用自动工具同时向多个中间脆弱网络发送伪造的ICMP echo请求包以急剧放大网络流量。Smurf攻

27、击的变种为Fraggle，它使用的是UDP echo包，而不是ICMP echo包。,Smurf攻击,防范措施：针对中间网络：在路由器的每个端口关闭IP广播包的转发设置；可能的情况下，在网络边界处使用访问控制列表ACL，过滤掉所有目标地址为本网络广播地址的包；对于不提供穿透服务的网络，可以在出口路由器上过滤掉所有源地址不是本网地址的数据包；配置主机的操作系统，使其不影响带有广播地址的ICMP包。,Smurf攻击,针对目标受害者：当攻击发生时，应尽快重新配置其所在网络的路由器，以阻塞这些ICMP相应包。但是受害主机的路由器和受害主机ISP之间的拥塞不可避免。同时，可以通知中间网络的管理者协同解决

28、攻击事件。,Smurf攻击,针对发起攻击的主机及其网络：Smurf攻击通常会使用欺骗性源地址发送echo请求，因此在路由器上配置其过滤规则，丢弃那些即将发到外部网而源IP地址不具有内部网络地址的包。,利用处理程序错误进行攻击,1、Ping of Death攻击 原理：攻击者创建一个长度大于65535字节的Ping包，并将该包发送到目标受害主机，由于目标主机的服务程序无法处理过大的包而引起系统崩溃、挂起或重起。2、Teardrop攻击 原理：利用IP报的分段/重组技术在系统实现上的错误进行攻击。,利用处理程序错误进行攻击,Ip包的分段/重组技术：一个IP分组在网络中传播的时候，由于沿途各个链路的

29、最大传输单元不同，路由器常常会对IP包进行分组，即将一个包分成一些片段，使每段都足够小，以便通过这个狭窄的链路。每个片段将具有自己完整的IP包头，其大部分内容和最初的包头相同，不同之处在于包头中还包含偏移量字段。随后各片段将沿各自的路径独立地转发到目的地，在目的地最终将各个片段进行重组。,利用处理程序错误进行攻击,3、land攻击 land 攻击是一种使用相同的源和目的主机端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。在Land攻击中，一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN一ACK消息，结果这个地址又发

30、回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时。对Land攻击反应不同，许多UNIX实现将崩溃，而 Windows NT 会变的极其缓慢（大约持续五分钟）。,分布式拒绝服务攻击（DDOS）,DDOS：先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台、数百台甚至上千台机器的力量对单一攻击目标实施攻击。被攻击的主机会很快不堪重负而瘫痪。其隐蔽性和分布性很难被识别和防御。,分布式拒绝服务攻击,攻击手段：C/S模式操作。攻击者在客户端操纵攻击过程，每个主控端是一台已被攻击者入侵并运行了特定程序的系统主机。每个主控端主机能够控制多个代理端/分布

31、端。每个代理端也是一台已被入侵并运行某种特定程序的系统主机，是执行攻击的角色。多个代理端/分布端能够同时响应攻击命令并向被攻击目标主机发送拒绝服务攻击数据包。攻击过程为：攻击者-主控端-分布端-目标主机,分布式拒绝服务攻击,DDos攻击两个阶段：（1）初始的大规模入侵阶段：攻击者使用自动工具扫描远程脆弱主机，并采用典型的黑客入侵手段得到这些主机的控制权，安装DDos代理端/分布端。（2）大规模Dos攻击阶段：即通过主控端和代理端/分布端对目标受害主机发起大规模拒绝服务攻击。,拒绝服务攻击的发展趋势,采用IP欺骗技术，以隐藏攻击者的行踪。由单一攻击源发起攻击转变为由多个中间攻击源对单一目标进攻。攻击智能化，攻击工具试图躲过入侵检测系统的检测跟踪，并绕过防火墙防御体系。针对路由器弱点的DDos攻击增多。采用半连接技术SYN攻击和针对TCP/IP协议先天缺陷的ACK攻击，将是新的DDos攻击趋势。,习题,总结网络入侵攻击类型及其原理，试举例。（包括补充内容）,