1、網絡攻防實戰演練(ppt)網絡攻防技術or網絡偵查與審計技術網絡偵查審計的三個階段偵 查滲 透控 制定位出網絡資源的具體情況 檢查各種系統的漏洞 控制網絡資源、創建賬號、修改日志、行使管理員的權限 第一節：偵查階段第一節：偵查階段本節要點：描述偵查過程識別特殊的偵查方法安裝和配置基于網絡和基于主機的偵查軟件實施網絡級和主機級的安全掃描配置和實施企業級的網絡漏洞掃描器安全掃描的概念理解 安全掃描就是對計算機系統或者其它網絡設備進行安全相關的檢測，以找出安全隱患和可被黑客利用的漏洞。 安全掃描軟件是把雙刃劍，黑客利用它入侵系統，而系統管理員掌握它以后又可以有效的防范黑客入侵。 安全掃描是保證系統和

2、網絡安全必不可少的手段，必須仔細研究利用。安全掃描的檢測技術基于應用的檢測技術，它采用被動的，非破壞性的辦法檢查應用軟件包的設置，發現安全漏洞。基于主機的檢測技術，它采用被動的，非破壞性的辦法對系統進行檢測。 基于目標的漏洞檢測技術，它采用被動的，非破壞性的辦法檢查系統屬性和文件屬性，如數據庫，注冊號等。基于網絡的檢測技術，它采用積極的，非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。 安全掃描系統具有的功能說明 協調了其它的安全設備使枯燥的系統安全信息易于理解，告訴了你系統發生的事情跟蹤用戶進入，在系統中的行為和離開的信息可以報告和識別文件的改動糾正系統的錯誤設置安全掃描whoisnslook

3、uphostTraceroutePing掃描工具安全掃描常用命令Traceroute命令用于路由跟蹤，判斷從你的主機到目標主機經過哪些路由器、跳計數、響應時間等等可以推測出網絡物理布局判斷出響應較慢的節點和數據包在路由過程中的跳數Traceroute 或者使用極少被其它程序使用的高端UDP端口，或者使用PING數據包Traceroute 路由跟蹤原理TTL=1數據?TTL-10小于等于0ICMP time exceeded發IP包的源地址IP包的所有內容路由器的IP地址ABTraceroute 路由跟蹤原理TTL=1數據小于等于0ICMP time exceeded發IP包的源地址IP包的所有

4、內容路由器的IP地址AB我知道路由器A存在于這個路徑上路由器A的IP地址BTraceroute 路由跟蹤原理A我知道路由器A存在于這個路徑上路由器A的IP地址TTL=2數據?TTL-102-1=10TTL=1數據小于等于0ICMP time exceeded發IP包的源地址IP包的所有內容路由器的IP地址?TTL-10我知道路由器B存在于這個路徑上路由器B的IP地址BTraceroute 路由跟蹤原理A我知道路由器A存在于這個路徑上路由器A的IP地址TTL=3數據?TTL-103-1=20TTL=2數據我知道路由器B存在于這個路徑上路由器B的IP地址?TTL-102-1=10TTL=1數據po

5、rt number 是一個一般應用程序都不會用的號碼（30000 以上），所以當此數據包 到達目的地后該主機會送回一個ICMP port unreachable的消息，而當源主機收到這個消息時，便知道目的地已經到達了。ICMP port unreachable我到達了目的地普通Traceroute到防火墻后的主機假定防火墻的規則阻止除PING和PING響應（ICMP類型8和0）uniwistraceroute traceroute to (05), 30 hops max, 40 byte packets1 () 0.540 ms 0.394 ms 0.397 ms2 () 2.455 ms

6、2.479 ms 2.512 ms3 4 (4) 4.812 ms 4.780 ms 4.747 ms4 () 5.010 ms 4.903 ms 4.980 ms5 15 (15) 5.520 ms 5.809 ms 6.061 ms6 6 (15) 9.584 ms 21.754 ms 20.530 ms7 () 94.127 ms 81.764 ms 96.476 ms8 6 (6)96.012 ms 98.224 ms 99.312 ms 使用ICMP數據包后Traceroute結果xuyitraceroute -I traceroute to (05), 30 hops max, 4

7、0 byte packets1 () 0.540 ms 0.394 ms 0.397 ms2 () 2.455 ms 2.479 ms 2.512 ms3 4 (4) 4.812 ms 4.780 ms 4.747 ms4 () 5.010 ms 4.903 ms 4.980 ms5 15 (15) 5.520 ms 5.809 ms 6.061 ms6 6 (15) 9.584 ms 21.754 ms 20.530 ms7 () 94.127 ms 81.764 ms 96.476 ms8 6 (6) 96.012 ms 98.224 ms 99.312 ms 使用ICMP的Tracero

8、ute原理由于防火墻一般不進行內容檢查，我們可以將探測數據包到達防火墻時端口為其接受的端口，就可以繞過防火墻到達目標主機。 起始端口號計算公式起始端口號=(目標端口-兩機間的跳數*探測數據包數)-1例：防火墻允許FTP數據包通過，即開放了21號端口,兩機間跳數為2 起始端口號（ftp端口兩機間的跳數*默認的每輪跳數)1 （212*3）-1 151 14 掃描類型按照獲得結果分類存活性掃描端口掃描系統堆棧掃描按照攻擊者角色分類主動掃描被動掃描一、存活性掃描發送掃描數據包，等待對方的回應數據包其最終結果并不一定準確，依賴于網絡邊界設備的過濾策略最常用的探測包是ICMP數據包例如發送方發送ICMP

9、Echo Request，期待對方返回ICMP Echo ReplyPing掃描作用及工具子網68024結果02468Ping掃描Ping掃描程序能自動掃描你所指定的IP地址范圍 二、端口掃描端口掃描不僅可以返回IP地址，還可以發現目標系統上活動的UDP和TCP端口 Netscan tools掃描結果 端口掃描技術一覽探測分段，指向某一端口回應分段對回應分段進行分析對SYN分段的回應對FIN分段的回應對ACK分段的回應對Xmas分段的回應對Null分段的回應對RST分段的回應對UDP數據報的回應端口掃描原理 一個端口就是一個潛在的通信通道，即入侵通道對目標計算機進行端口掃描，得到有用的信息掃描

10、的方法：手工進行掃描端口掃描軟件OSI 參考模型ApplicationPresentationSessionTransportNetworkData LinkPhysicalData LinkNetworkTransportSessionPresentationApplicationPhysical比特流幀（Frame）包（Packet）分段（Segment）會話流代碼流數據TCP/IP協議簇傳輸層數據連路層 網絡層物理層應用層會話層表示層應用層傳輸層網絡層物理層HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RAR

11、P等IP協議包頭VERHDR.LTHSERVICEDATADRAM LENGTHDATAGRAM IDENTIFICATIONFLAGSFRAGMENT OFFSETTTLPROTOCOLHEADER CHECKSUMSOURCE ADDRESSDESTINATION ADDRESSOPTIONS0151631ICMP協議包頭Type(類型)Code（代碼）Checksum（校驗和）ICMP Content078151631TCP協議包頭Source port (16)Destination port (16)Sequence number (32)Headerlength (4)Acknow

12、ledgement number (32)Reserved (6)Code bits (6)Window (16)Checksum (16)Urgent (16)Options (0 or 32 if any)Data (varies)Bit 0Bit 15Bit 16Bit 3120 bytesUDP協議包頭Source PortLength0151631DataDestination PortChecksumTCP三次握手機制SYN received主機A：客戶端主機 B：服務端發送TCP SYN分段 (seq=100 ctl=SYN)1發送TCP SYN&ACK分段(seq=300 ac

13、k=101 ctl=syn,ack)SYN received2Established(seq=101 ack=301 ctl=ack)3TCP連接的終止主機A：客戶端主機 B：服務端1發送TCP FIN分段2發送TCP ACK分段3發送TCP FIN分段4發送TCP ACK分段關閉A到B的連接關閉B到A的連接TCP/IP相關問題 一個TCP頭包含6個標志位。它們的意義如下所述：SYN：標志位用來建立連接，讓連接雙方同步序列號。如果SYN1而ACK=0，則表示該數據包為連接請求，如果SYN=1而ACK=1則表示接受連接；FIN：表示發送端已經沒有數據要求傳輸了，希望釋放連接；RST：用來復位一個

14、連接。RST標志置位的數據包稱為復位包。一般情況下，如果TCP收到的一個分段明顯不是屬于該主機上的任何一個連接，則向遠端發送一個復位包；URG：為緊急數據標志。如果它為1，表示本數據包中包含緊急數據。此時緊急數據指針有效；ACK：為確認標志位。如果為1，表示包中的確認號時有效的。否則，包中的確認號無效；PSH：如果置位，接收端應盡快把數據傳送給應用層。大部分TCP/IP遵循的原則(1)SYN數據包 監聽的端口SYN | ACK 正常的三次握手開始大部分TCP/IP遵循的原則(2)SYN或者FIN數據包 關閉的端口RST數據包 丟棄數據包大部分TCP/IP遵循的原則(3)RST數據包 監聽的端口

15、丟棄RST數據包大部分TCP/IP遵循的原則(4)包含ACK的數據包 監聽的端口RST數據包 丟棄數據包大部分TCP/IP遵循的原則(5)SYN位關閉的數據包 監聽的端口丟棄數據包大部分TCP/IP遵循的原則(6)FIN數據包 監聽的端口丟棄數據包 端口掃描方式全TCP連接TCP SYN 掃描TCP FIN 掃描其它TCP掃描方式UDP掃描UDP recvfrom（）和write （）掃描秘密掃描技術間接掃描全TCP連接長期以來TCP端口掃描的基礎 掃描主機嘗試（使用三次握手）與目的機指定端口建立建立正規的連接 連接由系統調用connect()開始 對于每一個監聽端口，connect()會獲得

16、成功，否則返回1，表示端口不可訪問 很容易被檢測出來Courtney,Gabriel和TCPWrapper監測程序通常用來進行監測。另外，TCPWrapper可以對連接請求進行控制，所以它可以用來阻止來自不明主機的全連接掃描。TCPSYN掃描TCP SYN分段，指向某端口？該端口開放么？開放TCP SYN&ACK分段不開放TCP RST分段收到什么分段？TCP RSTTCP SYN&ACKTCPFIN掃描 TCP FIN分段，指向某端口？該端口開放么？開放不開放TCP RST分段收到什么分段？TCP RST沒有收到分段其他TCP掃描方式 NULL掃描發送一個沒有任何標志位的TCP包，根據RFC

17、 793，如果目標主機的相應端口是關閉的話，應該發送回一個RST數據包向目標主機發送一個FIN、URG和PUSH分組，根據RFC 793，如果目標主機的相應端口是關閉的，那么應該返回一個RST標志當一個包含ACK的數據包到達目標主機的監聽端口時，數據包被丟棄，同時發送一個RST數據包ACK掃描FIN+URG+PUSH（Xmas掃描）UDP掃描 使用的是UDP協議，掃描變得相對比較困難打開的端口對掃描探測并不發送一個確認，關閉的端口也并不需要發送一個錯誤數據包。然而，許多主機在向未打開的UDP端口發送數據包時，會返回一個ICMP_PORT_UNREACHABLE錯誤，即類型為3、代碼為13的IC

18、MP消息UDP和ICMP錯誤都不保證能到達，因此這種掃描器必須還實現在一個包看上去是丟失的時候能重新傳輸這種掃描方法是很慢的，因為RFC對ICMP錯誤消息的產生速率做了規定這種掃描方法需要具有root權限UDPrecvfrom()和write()掃描 當非root用戶不能直接讀到端口不能到達錯誤時，某些系統如Linux能間接地在它們到達時通知用戶。 在非阻塞的UDP套接字上調用recvfrom()時，如果ICMP出錯還沒有到達時回返回AGAIN重試。如果ICMP到達時，返回CONNECT REFUSED連接被拒絕。這就是用來查看端口是否打開的技術。 對一個關閉的端口的第二個write()調用將

19、失敗。秘密掃描技術 不含標準TCP三次握手協議的任何部分，比SYN掃描隱蔽得多FIN數據包能夠通過只監測SYN包的包過濾器秘密掃描技術使用FIN數據包來探聽端口Xmas和Null掃描秘密掃描的兩個變種Xmas掃描打開FIN，URG和PUSH標記而Null掃描關閉所有標記。這些組合的目的是為了通過所謂的FIN標記監測器的過濾秘密掃描通常適用于UNIX目標主機跟SYN掃描類似，秘密掃描也需要自己構造IP包間接掃描利用第三方的IP（欺騙主機）來隱藏真正掃描者的IP假定參與掃描過程的主機為掃描機，隱藏機，目標機。掃描機和目標機的角色非常明顯。隱藏機是一個非常特殊的角色，在掃描機掃描目的機的時候，它不能

20、發送任何數據包（除了與掃描有關的包） 端口掃描軟件 端口掃描器是黑客最常使用的工具 單獨使用的端口掃描工具 集成的掃描工具三、系統堆棧指紋掃描利用TCP/IP來識別不同的操作系統和服務 向系統發送各種特殊的包，根據系統對包回應的差別，推斷出操作系統的種類堆棧指紋程序利用的部分特征 ICMP錯誤信息抑制服務類型值(TOS)TCP/IP選項對SYN FLOOD的抵抗力TCP初始窗口 堆棧指紋的應用 利用FIN探測利用TCP ISN采樣使用TCP的初始化窗口ICMP消息抑制機制ICMP錯誤引用機制ToS字段的設置 DF位的設置ICMP錯誤信息回顯完整性 TCP選項 ACK值 利用 FIN 標記探測F

21、IN的包（或者是任何沒有ACK或SYN標記的包）開放端口是否是MS-WINDOWS，BSDI，CISCO， HP/UX，MVS和IRIX系統RESET 是 否利用BOGUS標記探測SYN包（含有沒有定義的TCP標記的TCP頭）開放端口是否是LINUX系統包含這個沒有定義的標記的數據包是 否關閉連接使用TCP的初始化窗口 簡單地檢查返回包里包含的窗口長度。根據各個操作系統的不同的初始化窗口大小來唯一確定操作系統類型：注：TCP使用滑動窗口為兩臺主機間傳送緩沖數據。每臺TCP/IP主機支持兩個滑動窗口，一個用于接收數據，另一個用于發送數據。窗口尺寸表示計算機可以緩沖的數據量大小。NMAP工具 功能

22、強大、不斷升級并且免費 對網絡的偵查十分有效它具有非常靈活的TCP/IP堆棧指紋引擎 它可以穿透網絡邊緣的安全設備 注： NMAP穿透防火墻的一種方法是利用碎片掃描技術（fragment scans），你可以發送隱秘的FIN包（-sF），Xmas tree包（-sX）或NULL包（-sN）。這些選項允許你將TCP查詢分割成片斷從而繞過防火墻規則。這種策略對很多流行的防火墻產品都很有效。四、其它掃描 共享掃描軟件 使用Telnet 使用SNMP 認證掃描代理掃描社會工程共享掃描軟件提供了允許審計人員掃描Windows網絡共享的功能 只能偵查出共享名稱，但不會入侵共享 Ping ProRedBut

23、ton 共享掃描軟件子網60結果0 ：home，data6：files，apps共享掃描共享目錄Filesapps共享目錄homedata使用Telnet是遠程登錄系統進行管理的程序 可以利用Telnet客戶端程序連接到其它端口，從返回的報錯中獲得需要的系統信息使用SNMP SNMPv1最普通但也最不安全它使用弱的校驗機制用明文發送community nameSNMP 信息暴露 企業級的掃描工具掃描等級配置文件和策略報告功能報告風險等級Axcent BetReconFinger服務漏洞；GameOver（遠程管理訪問攻擊）未授權注銷禁止服務漏洞，包括SMTP、DNS、FTP、HTTP、SOCK

24、S代理和低的sendmail補丁等級 企業級的掃描工具Network Associates CyberCop Scanner 是Network Associates的產品，象NetRecon一樣，CyberCop Scanner是一個主機級別的審計程序。也把各種漏洞分類為低、中、高三個等級提 示：CyberCop Monitor不是網絡掃描器，它是入侵監測系統程序，能夠對黑客活動進行監視，提供報警功能，還能懲罰黑客。企業級的掃描工具WebTrends Security Analyzer與UNIX搭配使用多年操作界面也簡單易用Internet Security Systems的掃描產品ISS I

25、nternet Scanner有三個模塊：intranet，firewall和Web服務器 程序的策略是希望將網絡活動分類，并針對每種活動提供一種掃描方案ISS Security Scanner基于主機的掃描程序 社會工程電話訪問欺騙信任欺騙 教 育 電話訪問一位新的職員尋求幫助，試圖找到在計算機上完成某個特定任務的方法一位憤怒的經理打電話給下級，因為他的口令突然失效一位系統管理員打電話給一名職員，需要修補它的賬號，而這需要使用它的口令一位新雇傭的遠程管理員打電話給公司，詢問安全系統的配置資料一位客戶打電話給供應商，詢問公司的新計劃，發展方向和公司主要負責人信任欺騙當電話社交工程失敗的時候，攻

26、擊者可能展開長達數月的信任欺騙典型情況通過熟人介紹，來一次四人晚餐可以隱藏自己的身份，通過網絡聊天或者是電子郵件與之結識偽裝成工程技術人員騙取別人回復信件，泄漏有價值的信息一般說來，有魅力的異性通常是最可怕的信任欺騙者，不過不論對于男性還是女性，女性總是更容易令人信任防范措施教 育網絡安全中人是薄弱的一環作為安全管理人員，避免員工成為偵查工具的最好方法是對他們進行教育。提高本網絡現有用戶、特別是網絡管理員的安全意識對提高網絡安全性能具有非同尋常的意義。掃描目標網絡級別的信息信 息描 述網絡拓撲安全審計人員首先應當搞清楚網絡的類型（以太網，令牌環等等），IP地址范圍，子網和其它網絡信息。配線架的

27、位置也很重要。作為安全管理人員，你的目標是利用防火墻、代理服務器等設備保護這些信息。路由器和交換機掌握路由器和交換機的種類對分析網絡安全十分重要，你可以是路由器泄漏信息。防火墻種類大多數的網絡都有防火墻。如果你能夠訪問防火墻，便可以偵查它并尋找相應的漏洞。IP服務最基本的服務包括DHCP，BOOTP，WINS，SAMBA，和DNS。DNS服務特別容易遭受緩沖區溢出的攻擊。Modem池也許最流行的繞過防火墻是做法是通過modem連接再附以Man-in-the-middle攻擊和包捕獲。War dialer是在Internet上尋找網絡連接的重要的審計工具。掃描目標主機級別的信息信 息描 述活動端

28、口你應該了解服務器上有那些端口是活動的。HTTP和FTP服務是最容易遭受端口掃描的服務，而且黑客會進一步實施緩沖區溢出攻擊。數據庫數據庫類型（例如Oracle,Microsoft SQL Server和IBM DB2），物理位置和應用協議都很有價值。服務器服務器類型是非常有價值的信息。一旦你確定了服務器的種類是Microsoft或UNIX，便可以有針對性的利用系統的缺省設置和補丁偵查登錄賬戶名稱，弱口令和低的補丁等級。安全掃描技術的發展趨勢使用插件（plugin）或者叫功能模塊技術使用專用腳本語言由安全掃描程序到安全評估專家系統對網絡進行安全評估DMZ E-Mail File Transfer

29、 HTTPIntranet生產部工程部市場部人事部路由Internet中繼安全弱點掃描通訊 & 應用服務層可適應性安全弱點監測和響應DMZ E-Mail File Transfer HTTPIntranet企業網絡生產部工程部市場部人事部路由Internet中繼安全弱點掃描操作系統層對于DMZ區域的檢測DMZ E-Mail File Transfer HTTPIntranet企業網絡生產部工程部市場部人事部路由Internet中繼應用程序層安全弱點掃描第二節：滲透階段重點內容：服務器滲透與攻擊技術本節要點： 討論滲透策略和手法 列舉潛在的物理、操作系統和TCP/IP堆棧攻擊 識別和分析暴力攻擊

30、、社會工程和拒絕服務攻擊 實施反滲透和攻擊的方法入侵和攻擊的范疇 在Internet上 在局域網上 本地 離線在Internet上協作攻擊：Internet允許全世界范圍的連接，這很容易使來自全世界的人們在一個攻擊中進行合作參與。會話劫持：在合法的用戶得到鑒別可以訪問后，攻擊者接管一個現存動態會話的過程。欺騙：欺騙是一種模仿或采取不是自己身份的行為。轉播：是攻擊者通過第三方的機器轉播或反射他的通信，這樣攻擊就好象來自第三方的機器而不是他。特洛伊木馬或病毒：特洛伊木馬的常見用途是安裝后門。在局域網上嗅探流量：觀察網絡上所有流量的被動攻擊。廣播：攻擊者發送一個信息包到廣播地址，以達到產生大量流量的

31、目的。文件訪問：通過找到用戶標識和口令，可以對文件進行訪問。遠程控制：通過安裝木馬實現對機器的遠程控制。應用搶劫：接收應用并且達到非授權訪問。在本地旁側偷看未上鎖的終端被寫下的口令拔掉機器本地登錄離線下載口令文件下載加密的文本復制大量的數據常見的攻擊方法1.欺騙攻擊(Spoofing) 3.拒絕服務(Denial of Service)攻擊 2.中間人攻擊(Man-in-the-Middle Attacks)4.緩沖區溢出（Buffer Overflow）攻擊5.后門和漏洞攻擊6.暴力破解攻擊容易遭受攻擊的目標路由器數據庫郵件服務名稱服務Web和FTP服務器和與協議相關的服務 一、欺騙技術電子

32、郵件欺騙修改郵件客戶軟件的帳戶配置 通過使用網絡報文竊聽以及路由和傳輸協議進行這種攻擊。主要目的是竊取信息、截獲正在傳輸中的會話以便訪問專用網絡資源、進行流量分析以獲取關于一個網絡及其用途的信息、拒絕服務、破壞傳輸數據以及在網絡會話中插入新的信息。Man-in-the-Middle Attacks原理二、中間人攻擊(Man-in-the-Middle Attacks)報文竊聽 ( Packet Sniffers )數據包篡改 ( Packet alteration )重放攻擊 （ Replay attack ）會話劫持 ( Session hijacking )中間人攻擊的類型報文竊聽是一種軟

33、件應用，該應用利用一種處于無區別模式的網絡適配卡捕獲通過某個沖突域的所有網絡分組。可以輕易通過解碼工具（sniffers/netxray等）獲得敏感信息（用戶密碼等）。 報文竊聽(Packet Sniffers)報文竊聽(Packet Sniffers)實例分析用交換機來替代HUB，可以減少危害。防竊聽工具：使用專門檢測網絡上竊聽使用情況的軟件與硬件。加密：采用IP Security (IPSec)、Secure Shell (SSH)、 Secure Sockets Layer (SSL)等技術。 驗證(Authentication)：采用一次性密碼技術(one-time-passwords

34、 OTPs)Packet Sniffers竊聽防范數據包篡改( Packet alteration) 對捕獲的數據包內容進行篡改，以達到攻擊者的目的 更改數據包的校驗和及頭部信息，為進一步攻擊 做準備 攻擊者截獲了一次遠程主機登錄過程后，選擇適當的時機對該登錄過程進行重放，以進入遠程主機。重放攻擊（ Replay attack）會話劫持(session hijacking)關于TCP協議的序列號阻斷正常會話三、DOS攻擊 DoS（Deny Of Service）就是攻擊者通過使你的網絡設備崩潰或把它壓跨（網絡資源耗盡）來阻止合法用戶獲得網絡服務，DOS是最容易實施的攻擊行為。 DoS攻擊主要是

35、利用了TCP/IP 協議中存在的設計缺陷和操作系統及網絡設備的網絡協議棧存在的實現缺陷。DoS的技術分類典型DOS攻擊Ping of DeathPing of Death范例 IP數據包在網絡傳遞時，數據包可以分成更小的片段。攻擊者可以通過發送兩段（或者更多）數據包來實現TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數據段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統資源的缺乏甚至機器的重新啟動。淚滴(teardrop)攻擊一Teardrop 攻擊原理：受影響的系統：Linux/Windows NT/95攻擊特征：攻擊過程簡單，發送一些IP

36、分片異常的數據包。防范措施：淚滴(teardrop)攻擊二服務器升級最新的服務包設置防火墻時對分片進行重組，而不是轉發它們。UDP洪水(UDP flood)Fraggle攻擊發送畸形UDP碎片，使得被攻擊者在重組過程中發生未加預料的錯誤典型的Fraggle攻擊碎片偏移位的錯亂強制發送超大數據包純粹的資源消耗阻止IP碎片攻擊Windows系統請打上最新的Service Pack，目前的Linux內核已經不受影響。如果可能，在網絡邊界上禁止碎片包通過，或者用iptables限制每秒通過碎片包的數目。如果防火墻有重組碎片的功能，請確保自身的算法沒有問題，否則DoS就會影響整個網絡Windows 20

37、00系統中，自定義IP安全策略，設置“碎片檢查” TCP SYN flood剖析SYN Flood攻擊TCP SYN分段偽造Source IPxTCP SYN/ACK分段IPx不斷發送大量偽造的TCP SYN分段最多可打開的半開連接數量超時等待時間等待期內的重試次數X半開連接緩沖區溢出TCP SYN Flood 攻擊過程示例對SYN Flood攻擊的防御對SYN Flood攻擊的幾種簡單解決方法縮短SYN Timeout時間 SYN Flood攻擊的效果取決于服務器上保持的SYN半連接數，這個值等于SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效并

38、丟棄改連接的時間 設置SYN Cookie 給每一個請求連接的IP地址分配一個Cookie，如果短時間內連續受到某個IP的重復SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被一概丟棄 增強Windows 2000對SYN Flood的防御 打開regedit，找到HKEY_LOCAL_MACHINESystem CurrentControlSetServicesTcpipParameters 增加一個SynAttackProtect的鍵值，類型為REG_DWORD，取值范圍是0-2，這個值決定了系統受到SYN攻擊時采取的保護措施，包括減少系統SYN+ACK的重試的次數等，默認值是0

39、（沒有任何保護措施），推薦設置是2。增強Windows 2000對SYN Flood的防御 增加一個TcpMaxHalfOpen的鍵值，類型為REG_DWORD，取值范圍是100-0 xFFFF，這個值是系統允許同時打開的半連接，默認情況下WIN2K PRO和SERVER是100，ADVANCED SERVER是500，這個值取決于服務器TCP負荷的狀況和可能受到的攻擊強度。 增加一個TcpMaxHalfOpenRetried的鍵值，類型為REG_DWORD，取值范圍是80-0 xFFFF，默認情況下WIN2K PRO和SERVER是80，ADVANCED SERVER是400，這個值決定了在

40、什么情況下系統會打開SYN攻擊保護。 Smurf攻擊Smurf攻擊示意圖Smurf攻擊Smurf攻擊的防止措施Land攻擊電子郵件炸彈分布式拒絕服務(Distributed Denial of Service)DDoS攻擊原理 黑客侵入并控制了很多臺電腦，并使它們一起向主機發動DoS攻擊，主機很快陷于癱瘓，這就是分布式拒絕服務攻擊DDoS（Distributed Denial Of Service）。分布式拒絕服務攻擊網絡結構圖三層模型DDoS攻擊過程DDoS攻擊使用的常用工具 TFN(Tribe Flood Network)TrinooStacheldrahtTFN2K TFN是由著名黑客M

41、ixter編寫的，是第一個公開的UnixDDoS工具。由主控端程序和客戶端 程序兩部分組成。 它主要采取的攻擊方法為：SYN風暴、Ping風暴、UDP炸彈和SMURF，具有偽造數據包的能力。TFN(Tribe Flood Network) TFN2K是由TFN發展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網絡通訊是經過加密的，中間還可能混雜了許多虛假數據包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進程端口。TFN2K Stacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了

42、主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的RFC2267過濾。 Stacheldrah中有一個內嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。StacheldrahtTrinooDDoS攻擊的防御策略四、緩沖區溢出Buffer Overflow攻擊緩沖區溢出的攻擊方式緩沖區溢出攻擊的基本思想基本思想：通過修改某些內存區域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當前進程被非法利用(執行這段惡意的代碼)危害性在UNIX平臺上，通過發掘Buffer Overflow, 可以獲得一個交互式的shell在Windows平臺上，可以上載并執

43、行任何的代碼溢出漏洞發掘起來需要較高的技巧和知識背景，但是，一旦有人編寫出溢出代碼，則用起來非常簡單為什么會緩沖區溢出？典型的buffer overflows漏洞怎樣防范緩沖區溢出五、后門和漏洞攻擊后門(back door)： 通常指軟件開發人員為了便于測試或調試而在操作系統和程序中故意放置的未公布接口，與bug不同，后門使開發人員故意留下的。Eg. 萬能密碼、超級用戶接口等漏洞(Bug):操作系統或軟件存在的問題和錯誤。IPC$漏洞輸入法漏洞IIS .ida ISAPI擴展遠程溢出漏洞六、暴力破解攻擊1.字典程序攻擊2.暴力攻擊 暴力破解暴力或字典破解是獲得root訪問權限的最有效、最直接的

44、方式方法。三種破解工具L0pht crack工具John the ripper工具Crack工具 L0pht crack界面賬號LanMan哈希值字典破解進程暴力破解進程驗證算法 暴力破解所要對付的對象就是各種各樣的口令加密與驗證算法冷靜地分析各種常見的驗證算法，找出其中的不足 Windows 2000系統默認的驗證算法Unix/Linux系統默認的驗證算法LanMan驗證和NTLM驗證 Windows NT/2000支持多種驗證機制，每一種驗證機制之間的安全級別不同，下表列出了Windows NT/2000所支持的各種驗證機制。微軟系統所采用的驗證加密算法。身份驗證類型受支持的客戶機備 注L

45、ANMan全 部WFW 和 Win 9x 必須使用這種方法，但這種方法容易受到竊聽NTLMNT4、2000比 LANMan 更加安全NTLM v2NT4+SP4、2000比 NTLM 更安全，建議用于異機種 NT4/2000 環境Kerberos只適用于2000比 NTLM 更復雜，但在安全方面具有更長的跟蹤記錄額外的審計工具L0pht Crackpwdump2pwdump2密碼散列提取工具在很長時間內由管理員和黑客同時使用，以從 SAM中轉儲LANMan和NTLM密碼散列。在Windows 2000域控制器上工作，域控制器不再將散列存儲在SAM中，而是存儲在AD中lsadump2 使用DLL

46、注射繞過本地安全授權(LSA)以名為LSA Secrets形式存儲的安全信息上的正常的訪問控制構造一個Crack工具基本步驟生成字典文件取出條目應用規則打開口令文件比 較不匹配標示為已破解匹配常見的規則包括：1.計算hash值（MD5、SHA等）2.應用crypt（）函數 一旦攻擊者成功地滲透進系統，會立即試圖控制它。第三節：控制階段一、攻擊者的控制目標獲得root的權限獲得信息作為跳板攻擊其它系統1.獲得root的權限 攻擊者最終目的是獲得root的權限攻擊者會采用許多不同的策略來獲得這一權限非法服務和trap door允許攻擊者使用合法的賬號來升級訪問權限2.獲得信息 獲得root的權限后

47、，攻擊者會將立即進行信息掃描,獲得有用數據。掃描方法操縱遠程用戶的Web瀏覽器運行腳本程序利用文件的缺省存放位置3.信息重定向 攻擊者控制了系統，便可以進行程序和端口重定向端口轉向成功后，他們可以操控連接并獲得有價值的信息相似的攻擊目標還包括重定向SMTP端口，它也允許攻擊者獲得重要的信息4.應用程序重定向將某一端口與某一應用程序相綁定允許將某一程序的運行指定到特定的端口，從而可以遠程使用Telnet進行控制5.擦除滲透的痕跡 通常，攻擊者通過破壞日志文件，可以騙過系統管理員和安全審計人員。這就是所謂的痕跡擦除日志文件包括：Web服務器防火墻HTTP服務器FTP服務器數據庫操作系統的日志IDS

48、日志 日志文件類型包括事件日志應用程序日志安全日志 6.作為跳板攻擊其它系統 通常，攻擊者滲透操作系統的目的是通過它來滲透到網絡上其它的操作系統。NASA服務器是攻擊者通常的攻擊目標，不僅因為他們想要獲取該服務器上的信息，更主要的是許多組織都和該服務器有信任的連接關系。系統是攻擊者的終端還是攻擊鏈條中的一個環節跳板攻擊者為了偽裝自己的真實來源 ，可能通過很多次跳板才達到攻擊目的二、控制手段新的控制方法層出不窮 系統的升級不可避免的會開啟新的安全漏洞 少數的極有天賦的黑客不斷開發出新的工具作為安全審計人員，需要時刻注意各種跡象，同時留意自己的系統是否存在著問題1.后門的安放 Rhosts + +

49、 后門Login后門服務進程后門port bind suid Shell 后門suid shell修改密碼文件2.創建新的訪問點 通過安裝額外的軟件和更改系統參數，攻擊者還可以開啟后門優秀的系統管理員，黑客通常習慣于某種攻擊策略，所以必須注意攻擊者的控制手段安裝后門的另一個通常方法是在操作系統中安置木馬。3.創建額外賬號 為了減小從系統中被清除的幾率，攻擊者通常會在獲得root權限后創建額外的賬號使用批處理文件是創建額外賬號的一種手段也可以增加沒有密碼的管理員賬號在UNIX和Novell操作系統中同樣存在類似的問題自動添加賬號一個負責任的系統管理員會定期掃描用戶的賬號數據庫，查看是否有權限的變

50、更，新添加的賬號和任何有關系統策略更改的可疑行為。然而，攻擊者會利用老的賬號登錄系統攻擊者還可以利用定時服務等自動執行的程序來添加賬號通過定時服務來添加新的賬號和重新設置權限，攻擊者可以騙過最挑剔的管理員。4.Trojan 木馬控制 Trojan horse Root KitsRoot kit是用非法程序替代合法程序所謂的“root kit” 是入侵者在入侵了主機后，用來做創建后門并加以偽裝用的程序包通常包括了日志清理器，后門等程序 root kit通常出現在UNIX系統中 木馬是一個程序，駐留在目標計算機里，可以隨計算機自動啟動并在某一端口進行偵聽，在對接收的數據識別后，對目標計算機執行特定

51、的操作。 其實質只是一個通過端口進行通信的網絡客戶/服務程序。木馬程序的利用與監測 “木馬”指一些程序設計人員在其可從網絡上下載的應用程序或游戲中，包含了可以控制用戶的計算機系統的程序，可能造成用戶的系統被破壞甚至癱瘓。木馬原則上和Laplink、PCanywhere 等程序一樣，只是一種遠程管理工具木馬本身不帶傷害性，也沒有感染力，所以不能稱之為病毒 (也有人稱之為第二代病毒)木馬原理基本概念：對于特洛伊木馬，被控制端就成為一臺服務器，控制端則是一臺客戶機 控制功能 ：以管理員用戶權限運行的木馬程序幾乎可以控制一切。 程序實現：可以使用VB或VC、JAVA以及其它任何編程工具的Winsock

52、控件來編寫網絡客戶/服務程序。特洛伊木馬隱身方法主要途徑有在任務欄中隱藏自己“化妝”為驅動程序使用動態鏈接庫技術木馬的發展典型的C/S結構，隱蔽性差隱藏、自啟動和操縱服務器等技術上有長足進步 隱藏、自啟動和數據傳遞技術上有根本性進步，出現了以ICMP進行數據傳輸的木馬 采用改寫和替換系統文件的做法 流行木馬及其技術特征木馬進程注冊為系統服務反彈端口型木馬出現替換系統文件中做法應用到Windows使用多線程技術Netbus木馬 NetBus 1.53版本可以以捆綁方式裝到目標電腦上，可以捆綁到啟動程序上，也可以捆綁到一般程序的常用程序上。Netbus木馬NetBus2.0版的功能更強，已用做遠程

53、管理的工作NetBus的功能 運行程序強迫重啟系統注銷用戶控制Web瀏覽器捕捉擊鍵記錄重定向端口和程序獲得關于當前版本的信息上傳、下載和刪除文件控制、升級和定制服務器管理密碼保護顯示、終止遠程系統程序 NetBus傳輸 NetBus使用TCP建立會話，缺省情況下用12345端口。跟蹤NetBus的活動比較困難，可以通過檢查12346端口數據來確定許多類似的程序使用固定的端口，你可以掃描整個的網絡監測可疑的活動。Netbus 2.0主要文件 文 件描 述大 小（Byte）NetBus.exe客戶端1，241，600Patch.exe服務器624，640NBHelp.dll 程序擴展 71，680

54、檢測NetBusNetBus1.x版的程序使用下列的注冊表項HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun可以用包嗅探器，檢查缺省的12345或12346端口使用netstat，你可以鍵入下列命令： Netstat an 或Netstat p udpNetbus連接 TCP: 12345/12346清除NetBus 高質量的反病毒程序 另一種清除NetBus的方法是使用其客戶端,點擊清除服務器按鈕如果攻擊者采用了密碼保護的話可能會要求你輸入密碼，也可以搜尋前面討論的文件BackOrifice2000 BackOrifice

55、2000允許攻擊者進行如下操作獲取系統信息收集用戶名和密碼和用戶緩存的密碼獲得文件的完全訪問權限實施端口和程序的重定向通過HTTP從瀏覽器上傳和下載文件 缺省設置默認的Back Orifice 2000一共由5個文件組成，他們分別是： Bo2k.exe - 136kb，BO2K 服務器端程序 Bo2kcfg.exe - 216kb，BO2K 設置程序Bo2kgui.exe - 568kb，BO2K 客戶端程序Bo3des.dll - 24kb，plugin - triple DES moduleBo_peep.dll - 52kb，plugin - remote console manager

56、精選命令命 令描 述Dir,md,rd列出，建立和刪除目錄Shareadd/sharelist/sharedel建立，列出和刪除共享Copy/delete/find拷貝，刪除和搜索文件View列出文本文件內容Httpon/httpoff啟動和停止HTTP服務，必須指定端口號Keylog start/end開始和終止鍵盤記錄Netconnect netlist/Netdisconnect將服務器系統連接到網絡資源；列出網絡接口，域和服務器；斷開連接Rediradd/redirlist將TCP連接和UDP包重定向到其它的IPRegmakekey/regdelkey建立和刪除注冊表中的鍵值Passe

57、s列出系統的所有密碼，包括所有適配器（如撥號適配器）和網絡連接，以及屏幕鎖定Reboot重新啟動系統Tcpsend從TCP連接發送和接受文件；同標準的TFTP服務器一樣，客戶端連接服務器機器，發送文件然后立即斷開。Quit退出程序BO的運作 BO木馬包含三個程序：BOSERVE.EXE，BOCLIENT.EXE和BOCONFIG.EXE。其中第一個程序需安裝在受感染的用戶計算機中，也就是BO服務端BO主要運行于Windows 95/98系統，對于Windows NT影響較小 服務器端程序為BOSERVE.EXE，它會自動安裝在受攻擊的計算機中，但是它同時需要另外一個文件名為BOCONFIG的程

58、序來進行配置 BO的檢測和清除手工殺除BO2K運行REGEDIT.EXE，修改注冊表，在下列鍵值處刪除UMGR32.EXE 的key值Hkey_local_machine/Software/Microsoft/Windows/CurrentVersion/RunServices重啟系統在WINDOWSSYSTEM下刪除UMGR321.EXE需要注意的是，bo2k安裝后的名字是可以自定義的木馬防御方法總結 端口掃描掃描程序嘗試連接某個端口，如果成功，則說明端口開放；否則關閉。但對于驅動程序/動態鏈接木馬，掃描端口不起作用 查看連接在本地機上通過netstat -a查看所有的TCP/UDP連接 檢查注冊表通過檢查注冊表來發現木馬在注冊表里留下的痕跡 查找文件木馬的特征文件三、