攻擊與應急響應Contents網絡監聽拒絕服務攻擊攻擊與應急響應〔二〕特洛伊木馬典型的木馬攻擊D員工通過瀏覽器漏洞被植入木馬程序，開始向其客戶發送病毒電子郵件。木馬被一個一個的拆開通過網絡發送IDS得到木馬片斷，由于數據片斷不完整，沒有發現任何攻擊特征。到達防火墻后，因為使用25端口的郵件完全符合通過規那么，所以數據被成功的發送到了外部。病毒被感染到外部網絡。員工D因為瀏覽的非法網站，電腦被植入木馬，不斷的向他的聯系人發送攜帶病毒的計算機郵件。10.4特洛伊木馬名稱由來木馬開展史第一代木馬：偽裝型病毒世界上第一個計算機木馬是1986年的PC-Write木馬。第一代木馬還不具備傳染特征。第二代木馬：AIDS型木馬1989年出現了AIDS木馬。第二代木馬已具備了傳播特征〔通過傳統的郵遞方式〕。第三代木馬：網絡傳播型木馬10.4特洛伊木馬特洛伊木馬是指黑客用來遠程控制目標計算機的特殊程序。但凡非法駐留在目標計算機里，并執行預定的操作，竊取目標的私有信息，都屬于特洛伊木馬。工作方式：C/S模式；效勞器端安裝在目標機里，監聽等待攻擊者發出的指令；客戶端是用來控制目標機器的局部，放在攻擊者機器上。木馬“PasswdSender〞(口令郵差)可以不需要客戶端。10.4特洛伊木馬木馬的偽裝冒充圖象文件或游戲程序捆綁程序欺騙將木馬程序與正常文件捆綁為一個程序偽裝成應用程序擴展組件木馬名字為dll或ocx類型文件，掛在一個有名的軟件中。后兩種方式的欺騙性更大。10.4特洛伊木馬木馬的特點隱蔽性強早期的木馬按“Ctrl＋Alt＋Del〞能顯露出來,但現在大多數木馬只能采用內存工具來看內存中是否存在木馬。潛伏能力強外表上的木馬被發現并刪除以后,后備的木馬在一定的條件下會跳出來。非授權性一旦控制端和效勞端連接后，控制端將享有效勞端的大局部操作權限，包括竊取口令、拷貝或刪除文件、修改注冊表、控制鼠標、鍵盤、重新啟動計算機等。舉例：Glacier(冰河)有兩個效勞器程序，掛在注冊表的啟動組中的是C:\Windows\System\Kernel32.exe，外表上的木馬;另一個是C:\Windows\System\Sysexplr.exe,也在注冊表中，它修改文本文件的關聯,當點擊文本文件的時候，會檢查Kernel32.exe是不是存在。當Kernel32.exe被刪除以后,如果點擊了文本文件,那么這個文本文件照樣運行,而Sysexplr.exe被啟動了。Sysexplr.exe會再生成一個Kernel32.exe。特洛伊木馬啟動方式自動啟動：木馬一般會存在三個地方:注冊表、win.ini、system.ini。在autoexec.bat、config.sys、啟動組中易被發現。捆綁方式啟動：捆綁方式是一種手動的安裝方式。非捆綁方式的木馬因為會在注冊表等位置留下痕跡,而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬有很強的隱蔽性。修改文件關聯：如用木馬取代notepad.exe來翻開.txt文件。10.4特洛伊木馬木馬效勞器存放位置及文件名〔1〕木馬的效勞器程序文件一般位置是在c:\windows和c:\windows\system——原因：windows的一些系統文件在這兩個位置。〔2〕木馬的文件名總是盡量和windows的系統文件接近。如木馬SubSeven1.7版本的效勞器文件名是c:\windows\KERNEL16.DL,而windows有一個系統文件是c:\windows\KERNEL32.DLL,刪除KERNEL32.DLL會讓機器癱瘓。木馬SubSeven1.5版本效勞器文件名是c:\windows\window.exe,少一個s10.4特洛伊木馬木馬的工作原理1、木馬隱藏技術2、木馬程序建立連接技術〔1〕合并端口木馬修改虛擬設備驅動程序〔vxd〕或修改動態鏈接庫〔DLL〕，在一個端口上同時綁定兩個TCP或UDP連接，通過把木馬端口綁定于特定的效勞端口之上，到達隱藏端口的目的。采用替代系統功能的方法，木馬將修改后的DLL替換系統原有的DLL，并對所有的函數調用進行過濾。10.4特洛伊木馬〔2〕使用ICMP協議進行數據的發送ICMP報文是由系統內核或進程直接處理而不是通過端口，修改ICMP頭的構造，參加木馬的控制字段，木馬將自己偽裝成一個Ping的進程，系統會將ICMP_ECHOREPLY〔Ping回包〕的監聽、處理權交給木馬進程，一旦事先約定好的ICMP_ECHOREPLY包出現，木馬就會接受、分析并從報文中解碼出命令和數據。〔3〕反彈端口型木馬反彈端口型木馬的效勞端使用主動端口，客戶端使用被動端口，木馬定時監測控制端的存在，發現控制端上線立即彈出端口主動連結控制端翻開的主動端口，為了隱藏起見，控制端的被動端口一般開在80。即使用戶使用端口掃描軟件檢查自己的端口，發現的也是類似TCPUserIP的情況。〔4〕使用基于嗅探原理的原始套接字木馬根本實現：效勞器端是一個發包器和嗅探器，將捕獲指定特征的數據包。客戶端發送指定特征的數據包并包括定義的命令以及接收Server的數據。當Server捕獲到該指定特征的數據包時，變成激活狀態，通過分析該數據包，獲得Client發送的命令和Client的IP地址，實現相應的命令，并將執行后的結果發送回Client，Client的嗅探局部那么接收相應的數據。如何對付木馬1.使用殺毒軟件；2.提高防范意識,不翻開陌生人信中的附件，不隨意下載軟件；3.仔細閱讀readme.txt；4.在刪除木馬之前,需要備份注冊表,備份你認為是木馬的文件。10.4特洛伊木馬如何對付木馬1〕端口掃描2〕查看連接：netstat–a命令上述兩種方法對驅動程序/動態鏈接木馬無效。3〕檢查注冊表4〕查找木馬文件：如kernel32.exe，sysexplr.exe等5〕文件完整性檢查：開始程序附件系統工具系統信息工具系統文件檢查器。如有損壞可從安裝盤復原。10.4特洛伊木馬10.5網絡監聽1、嗅探器Sniffer〔1〕網絡監聽工具〔又稱嗅探器Sniffer〕是供管理員監視網絡的狀態、數據流動情況以及網絡上傳輸的信息。〔2〕網絡監聽可以在網上的任何一個位置實施，如局域網中的一臺主機、網關上或遠程網的調制解調器之間等。〔3〕Sniffer可以是硬件或軟件，用來接收在網絡上傳輸的信息〔硬件Sniffer通常稱為協議分析儀〕。網絡可以是運行在各種協議之下的。〔4〕放置Sniffer的目的是使網絡接口處于播送狀態〔或叫混雜模式promiscuousmode〕，從而可截獲網絡上的內容。2、網絡監聽的原理〔1〕播送：網絡上所有的工作站都在傾聽所有傳輸的信息。〔2〕非播送狀態：工作站僅僅傾聽那些發給它自己的信息的狀態。〔3〕攻破網關、路由器、防火墻的情況極為少見，平安管理員安裝一些網絡監控設備，運行專門的監聽軟件，并防止任何非法訪問。然而，一個黑客可能潛入一臺不引人注意的計算機中，悄悄地運行一個監聽程序。〔4〕Sniffer就是這樣的硬件或軟件，能夠"聽"到在網上傳輸的所有的信息。10.5網絡監聽〔5〕協議分析儀通常運行在有路由器功能的主機上。〔6〕sniffer只能捕獲同一個物理網段內的包，但可以接收到發向與自己不在同一邏輯子網的主機的數據包。即你和監聽目標之間沒有路由〔交換〕或其它屏蔽播送包的設備，才能接收到傳輸的所有信息。因此，sniffer對撥號用戶沒用。〔7〕網絡監聽常常要保存大量的信息，并對收集的大量信息進行整理，因此，正在進行監聽的機器對用戶的請求響應很慢。10.5網絡監聽3、Sniffer的危害與預防Sniffer危害：能截獲口令或機密信息；能攻擊相鄰的網絡。Sniffer的預防：使用加密傳輸敏感數據。使用平安拓撲結構。一個網段僅由互相信任的計算機組成：每臺機器通過硬連接線接到Hub，Hub再接到交換機上。10.5網絡監聽4、檢測網絡監聽的方法〔1〕反響時間向可疑網絡發送大量物理地址不存在的包，處于監聽模式的機器回應時間延遲。〔2〕觀測DNS監聽軟件往往會嘗試進行反向地址解析，查看DNS上是否地址解析請求明顯增多。〔3〕利用Ping模式監測混雜模式的主機對錯誤地址的ICMP包會有回應。〔4〕利用arp數據包監測向局域網內的主機發送非播送式的arp包來檢測。10.5網絡監聽具體措施：方法一：對于疑心運行監聽程序的機器，用正確的IP地址和錯誤的物理地址去ping，運行監聽程序的機器會有響應。正常的機器不接收錯誤的物理地址，處于監聽狀態的機器能接收。方法二：同上發大量不存在的物理地址的包，由于監聽程序將處理這些包，將導致性能下降。通過比較發送前、后機器性能加以判斷。10.5網絡監聽10.6拒絕效勞攻擊一、什么是拒絕效勞的攻擊1、拒絕效勞〔1〕拒絕效勞：網絡信息系統由于某種原因不能為授權用戶提供正常效勞。〔2〕拒絕效勞的攻擊是指一個用戶占據了大量的共享資源，使系統沒有剩余的資源給其他用戶可用的一種攻擊方式。〔3〕拒絕效勞的攻擊降低了資源的可用性，這些資源可以是處理器、磁盤空間、CPU使用的時間、打印機、調制解調器，甚至是系統管理員的時間，攻擊的結果是減少或失去效勞。2、拒絕效勞來源的原因：〔1〕資源毀壞〔2〕資源耗盡和資源過載〔3〕配置錯誤〔4〕軟件弱點10.6拒絕效勞攻擊3、拒絕效勞攻擊方式1)死亡之ping〔pingofdeath〕在早期的階段，路由器對包的最大尺寸都有限制，上限64KB，并且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。10.6拒絕效勞攻擊2〕SYNFlooding攻擊對WindowsNT攻擊很有效利用IP欺騙技術。例：WindowsNT3.5和4.0中缺省設置為可重復發送SYN－ACK答復5次。要等待3+6+12+24+48+96=189秒之后，才釋放資源。10.6拒絕效勞攻擊SYN-Flooding攻擊示意圖3)Land攻擊特別打造一個SYN包，其源地址和目標地址都被設置成某一個效勞器地址；導致接收效勞器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息并創立一個空連接；每一個這樣的連接都將保存直到超時；許多UNIX將崩潰，NT變的極其緩慢〔大約持續五分鐘〕。10.6拒絕效勞攻擊4)Smurf攻擊通過采用ICMP技術進行攻擊。〔a〕攻擊者找出網絡上有哪些路由器會回應ICMP請求。〔b〕用一個虛假的IP源地址向路由器的播送地址發出訊息，路由器會把這訊息播送到網絡上所連接的每一臺設備。〔c〕這些設備馬上回應，同時產生大量訊息流量，從而占用所有設備的資源及網絡帶寬，而回應的地址就是受攻擊的目標。10.6拒絕效勞攻擊Smurf攻擊示意圖

5〕Fraggle攻擊Fraggle攻擊與Smurf攻擊類似，但它使用的不是ICMP，而是UDPEcho。防范：在防火墻上過濾UDP應答消息10.6拒絕效勞攻擊6〕炸彈攻擊根本原理是利用工具軟件，集中在一段時間內，向目標機發送大量垃圾信息，或是發送超出系統接收范圍的信息，使對方出現負載過重、網絡堵塞等狀況，從而造成目標的系統崩潰及拒絕效勞。常見的炸彈攻擊有郵件炸彈、聊天室炸彈等。防御：對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息。10.6拒絕效勞攻擊二、拒絕效勞攻擊的類型1〕破壞或者毀壞資源，使得無人可以使用這個資源。如：刪除文件、格式化磁盤或切斷電源。2〕有意或無意地過載一些系統效勞或者消耗盡資源。例如：填滿一個磁盤分區，讓用戶和系統程序無法再生成新的文件。3〕用戶犯的錯誤或者程序失控也可導致拒絕效勞攻擊。10.6拒絕效勞攻擊三、針對網絡的拒絕效勞攻擊1、效勞過載當大量的效勞請求發向一臺計算機中的效勞守護進程時，就會發生效勞過載。計算機忙碌地處理不斷到來的效勞請求，以至于無法處理常規的任務。同時，許多新到來的請求被丟棄。如果攻擊的是一個基于TCP協議的效勞，那么這些請求的包還會被重發，結果更加重了網絡的負擔。10.6拒絕效勞攻擊2、"粘住"攻擊可以使用TCP的半連接耗盡資源。如果攻擊者發出多個連接請求。初步建立