入侵方法與手段1第2章

入侵方法與手段入侵方法與手段2第2章入侵方法與手段入侵方法與手段:黑客入侵模型與原理漏洞掃描口令破解拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊格式化字符串攻擊跨站腳本攻擊SQLInjection攻擊入侵方法與手段3黑客入侵的步驟確定目標(biāo)信息收集攻擊網(wǎng)絡(luò)攻擊系統(tǒng)留下后門(mén)漏洞挖掘清除日志結(jié)束攻擊入侵方法與手段4常見(jiàn)的安全威脅口令破解拒絕服務(wù)（DoS）攻擊緩沖區(qū)溢出攻擊格式化字符串攻擊特洛伊木馬網(wǎng)絡(luò)監(jiān)聽(tīng)等等入侵方法與手段5主要入侵攻擊方法網(wǎng)絡(luò)信息丟失、篡改、銷毀內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈黑客攻擊計(jì)算機(jī)病毒后門(mén)、隱蔽通道蠕蟲(chóng)特洛伊木馬入侵方法與手段6主機(jī)滲透攻擊方法口令破解漏洞攻擊特洛伊木馬攻擊自己姓名的中文拼音37%常用英文單詞23%計(jì)算機(jī)的中經(jīng)常出現(xiàn)的單詞18%自己的出生日期7%良好的密碼15%入侵方法與手段7網(wǎng)絡(luò)攻擊方法拒絕服務(wù)攻擊IP地址欺騙網(wǎng)絡(luò)監(jiān)聽(tīng)入侵方法與手段8其他攻擊方法病毒攻擊隨著蠕蟲(chóng)病毒的泛濫以及蠕蟲(chóng)、計(jì)算機(jī)病毒、木馬和黑客攻擊程序的結(jié)合，病毒攻擊成為了互聯(lián)網(wǎng)發(fā)展以來(lái)遇到的巨大挑戰(zhàn)。社會(huì)工程攻擊社會(huì)工程學(xué)其實(shí)就是一個(gè)陷阱，黑客通常以交談、欺騙、假冒或口語(yǔ)等方式，從合法用戶中套取用戶系統(tǒng)的秘密，

入侵方法與手段9漏洞掃描掃描器：掃描器是一種通過(guò)收集系統(tǒng)的信息來(lái)自動(dòng)監(jiān)測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，通過(guò)使用掃描器，可以發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本。這就能讓黑客或管理員間接或直接的了解到遠(yuǎn)程主機(jī)存在的安全問(wèn)題。

掃描器有三項(xiàng)功能：1、發(fā)現(xiàn)一個(gè)主機(jī)或網(wǎng)絡(luò)；2、一旦發(fā)現(xiàn)一臺(tái)主機(jī)，可以發(fā)現(xiàn)有什么服務(wù)程序正運(yùn)行在這臺(tái)主機(jī)上；3、通過(guò)測(cè)試這些服務(wù)，發(fā)現(xiàn)漏洞。入侵方法與手段10TCPConnect掃描SYN：同步序列編號(hào)

是TCP/IP建立連接時(shí)使用的握手信號(hào)。在客戶機(jī)和服務(wù)器之間建立正常的TCP網(wǎng)絡(luò)連接時(shí)，客戶機(jī)首先發(fā)出一個(gè)SYN消息，服務(wù)器使用SYN+ACK應(yīng)答表示接收到了這個(gè)消息，最后客戶機(jī)再以ACK消息響應(yīng)。這樣在客戶機(jī)和服務(wù)器之間才能建立起可靠的TCP連接，數(shù)據(jù)才可以在客戶機(jī)和服務(wù)器之間傳遞入侵方法與手段11TCPSYN掃描這種掃描方法沒(méi)有建立完整的TCP連接，有時(shí)也被稱為“半打開(kāi)掃描（half-openscanning）”。其步驟是先往端口發(fā)送一個(gè)SYN分組。如果收到一個(gè)來(lái)自目標(biāo)端口的SYN/ACK分組，那么可以推斷該端口處于監(jiān)聽(tīng)狀態(tài)。如果收到一個(gè)RST（TCP連接異常終止）/ACK分組，那么它通常說(shuō)明該端口不在監(jiān)聽(tīng)。入侵方法與手段12TCPFIN掃描這種掃描方法是直接往目標(biāo)主機(jī)的端口上發(fā)送FIN（關(guān)閉連接）分組。按照RFC793，當(dāng)一個(gè)FIN分組到達(dá)一個(gè)關(guān)閉的端口，數(shù)據(jù)包會(huì)被丟掉，并且回返回一個(gè)RST分組。否則，當(dāng)一個(gè)FIN分組到達(dá)一個(gè)打開(kāi)的端口，分組只是簡(jiǎn)單地被丟掉（不返回RST分組）。入侵方法與手段13TCPXmas掃描無(wú)論TCP全連接掃描還是TCPSYN掃描，由于涉及TCP三次握手很容易被遠(yuǎn)程主機(jī)記錄下來(lái)。Xmas掃描由于不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，所以無(wú)法被記錄下來(lái)，從而比SYN掃描隱蔽得多。這種掃描向目標(biāo)端口發(fā)送一個(gè)FIN、URG和PUSH分組。按照RFC793，目標(biāo)系統(tǒng)應(yīng)該給所有關(guān)閉著的端口發(fā)回一個(gè)RST分組。。入侵方法與手段14TCP空掃描這種掃描發(fā)送一個(gè)關(guān)閉掉所有標(biāo)志位的分組，按照RFC793，目標(biāo)系統(tǒng)應(yīng)該給所有關(guān)閉著的端口返回一個(gè)RST分組。入侵方法與手段15TCPACK掃描這種掃描一般用來(lái)偵測(cè)防火墻，他可以確定防火墻是否只是支持簡(jiǎn)單的分組過(guò)濾技術(shù)，還是支持高級(jí)的基于狀態(tài)檢測(cè)的包過(guò)濾技術(shù)。入侵方法與手段16UDP掃描這種掃描往目標(biāo)主機(jī)的端口發(fā)送UDP數(shù)據(jù)分組，如果目標(biāo)端口是關(guān)閉狀態(tài)，則返回一個(gè)“ICMP端口不可達(dá)（ICMPportunreachable）”消息。否則，如果沒(méi)有收到上述返回信息，可以判斷該端口是開(kāi)啟的。入侵方法與手段17OSFingerprint技術(shù)許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對(duì)應(yīng)，同時(shí)從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實(shí)現(xiàn)中發(fā)掘出來(lái)的攻擊手段都需要辨識(shí)系統(tǒng),因此操作系統(tǒng)指紋探測(cè)成為了黑客攻擊中必要的環(huán)節(jié)。如何辨識(shí)一個(gè)操作系統(tǒng)是OSFingerprint技術(shù)的關(guān)鍵，常見(jiàn)的方法有：l

一些端口服務(wù)的提示信息，例如，telnet、http、ftp等服務(wù)的提示信息；l

TCP/IP棧指紋；l

DNS泄漏出OS系統(tǒng)等等。入侵方法與手段18口令破解帳戶是一種參考上下文，操作系統(tǒng)在這個(gè)上下文描述符運(yùn)行它的大部分代碼。換一種說(shuō)法，所有的用戶模式代碼在一個(gè)用戶帳戶的上下文中運(yùn)行。即使是那些在任何人都沒(méi)有登錄之前就運(yùn)行的代碼（例如服務(wù)）也是運(yùn)行在一個(gè)帳戶（特殊的本地系統(tǒng)賬戶SYSTEM）的上下文中的。如果用戶使用帳戶憑據(jù)（用戶名和口令）成功通過(guò)了登錄認(rèn)證，之后他執(zhí)行的所有命令都具有該用戶的權(quán)限。口令破解是獲得系統(tǒng)最高權(quán)限帳戶的最有效的途徑之一。入侵方法與手段19Windows口令文件的格式及安全機(jī)制

WindowsNT及Windows2000中對(duì)用戶帳戶的安全管理使用了安全帳號(hào)管理器（SAM,SecurityAccountManager）的機(jī)制，SAM是組成注冊(cè)表的5個(gè)配置單元之一，口令在SAM中通過(guò)單向函數(shù)（One-wayFunction,OWF）加密，SAM文件存放在“%systemroot%\system32\config\sam”（在域服務(wù)器中，SAM文件存放在活動(dòng)目錄中，默認(rèn)地址“%system32%\ntds\ntds.dit”）。入侵方法與手段20Unix口令文件的格式及安全機(jī)制

Unix系統(tǒng)中帳戶信息存放在passwd文件中，口令使用DES或MD5加密后存放在shadow文件中。passwd使用的是純文本的格式保存信息。UNIX中的passwd文件中每一行都代表一個(gè)用戶資料，每一個(gè)賬號(hào)都有七部分資料，不同資料中使用“:”分割。入侵方法與手段21破解原理及典型工具工具一：PasswordCrackers

工具二：L0phtCrack

入侵方法與手段22拒絕服務(wù)攻擊拒絕服務(wù)攻擊的主要目的是使被攻擊的網(wǎng)絡(luò)或服務(wù)器不能提供正常的服務(wù)。有很多方式可以實(shí)現(xiàn)這種攻擊，最簡(jiǎn)單的方法是切斷網(wǎng)絡(luò)電纜或摧毀服務(wù)器；當(dāng)然利用網(wǎng)絡(luò)協(xié)議的漏洞或應(yīng)用程序的漏洞也可以達(dá)到同樣的效果。DoS的攻擊方式有很多種。最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，致使服務(wù)超載，無(wú)法響應(yīng)其他的請(qǐng)求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開(kāi)放的進(jìn)程或者向內(nèi)的連接。這種攻擊會(huì)導(dǎo)致資源的匱乏，無(wú)論計(jì)算機(jī)的處理速度多么快，內(nèi)存容量多么大，互連網(wǎng)的速度多么快都無(wú)法避免這種攻擊帶來(lái)的后果。因?yàn)槿魏问露加幸粋€(gè)極限，所以，總能找到一個(gè)方法使請(qǐng)求的值大于該極限值，因此就會(huì)使所提供的服務(wù)資源匱乏，達(dá)到拒絕服務(wù)攻擊的目的。入侵方法與手段23SYN湮沒(méi)

SYN

（同步序列編號(hào)）是TCP/IP協(xié)議建立連接時(shí)使用的握手信號(hào)。在客戶機(jī)和服務(wù)器之間建立正常的TCP網(wǎng)絡(luò)連接時(shí)，客戶機(jī)首先發(fā)出一個(gè)SYN消息，服務(wù)器使用SYN-ACK應(yīng)答表示接收到了這個(gè)消息，最后客戶機(jī)以再ACK消息響應(yīng)。這樣在客戶機(jī)和服務(wù)器之間才能建立起可靠的TCP連接，數(shù)據(jù)才可以在客戶機(jī)和服務(wù)器之間傳遞。這種攻擊向一臺(tái)服務(wù)器發(fā)送許多SYN消息，該消息中攜帶的源地址根本不可用，但是服務(wù)器會(huì)當(dāng)真的SYN請(qǐng)求處理，當(dāng)服務(wù)器嘗試為每個(gè)請(qǐng)求消息分配連接來(lái)應(yīng)答這些SYN請(qǐng)求時(shí)，服務(wù)器就沒(méi)有其它資源來(lái)處理來(lái)真正用戶的合法SYN請(qǐng)求了。這就造成了服務(wù)器不能正常的提供服務(wù)。入侵方法與手段24Land攻擊

Land攻擊和其它拒絕服務(wù)攻擊相似，也是通過(guò)利用某些操作系統(tǒng)在TCP/IP協(xié)議實(shí)現(xiàn)方式上的漏洞來(lái)破壞主機(jī)。在Land攻擊中，一個(gè)精心制造的SYN數(shù)據(jù)包中的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，這將導(dǎo)致接收到這個(gè)數(shù)據(jù)包的服務(wù)器向它自己發(fā)送SYN-ACK消息，結(jié)果又返回ACK消息并創(chuàng)建一個(gè)空連接……每個(gè)這樣的連接都將一直保持到超時(shí)。不同的操作系統(tǒng)對(duì)Land攻擊反應(yīng)不同，多數(shù)UNIX操作系統(tǒng)將崩潰，而WindowsNT會(huì)變的極其緩慢（大約持續(xù)五分鐘）。入侵方法與手段25Smurf攻擊

Smurf【sm?rf】（藍(lán)精靈）攻擊是以最初發(fā)動(dòng)這種攻擊的程序名Smurf來(lái)命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP（InternetControlMessageProtocol）Internet控制報(bào)文協(xié)議，回復(fù)方法使大量數(shù)據(jù)充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)不能為正常系統(tǒng)進(jìn)行服務(wù)。簡(jiǎn)單的Smurf攻擊將ICMP應(yīng)答請(qǐng)求（ping）數(shù)據(jù)包的回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，從而導(dǎo)致網(wǎng)絡(luò)阻塞。因此它比pingofdeath攻擊的流量高出一到兩個(gè)數(shù)量級(jí)。復(fù)雜的Smurf攻擊將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。入侵方法與手段26Teardrop攻擊

Teardrop（淚珠）是一種拒絕服務(wù)攻擊，可以令目標(biāo)主機(jī)崩潰或掛起。目前多數(shù)操作系統(tǒng)已經(jīng)升級(jí)或有了補(bǔ)丁程序來(lái)避免受到這種攻擊。Teardrop攻擊和其他類似的攻擊發(fā)出的TCP或UDP包包含了錯(cuò)誤的IP重組信息，這樣主機(jī)就會(huì)使用錯(cuò)誤的信息來(lái)重新組合成一個(gè)完整的包。結(jié)果造成崩潰、掛起或者執(zhí)行速度極其緩慢。入侵方法與手段27PingofDeath攻擊

PingofDeath攻擊是利用網(wǎng)絡(luò)操作系統(tǒng)（包括UNIX、windows和MacOS等）的缺陷，當(dāng)主機(jī)接收到一個(gè)大的不合法的ICMP（Internet控制報(bào)文協(xié)議）回應(yīng)請(qǐng)求包（大于64KB）時(shí)，會(huì)引起主機(jī)掛起或崩潰。入侵方法與手段28分布式拒絕服務(wù)攻擊入侵方法與手段29緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊是利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行動(dòng)。緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)關(guān)機(jī)、重新啟動(dòng)等后果。入侵方法與手段30緩沖區(qū)溢出攻擊通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒(méi)有仔細(xì)檢查用戶輸入的參數(shù)。入侵方法與手段31緩沖區(qū)溢出攻擊voidfunction(char*str){ charbuffer[16]; strcpy(buffer,str);}上面的strcpy（）將直接把str中的內(nèi)容copy到buffer中。這樣只要str的長(zhǎng)度大于16，就會(huì)造成buffer的溢出，使程序運(yùn)行出錯(cuò)。存在像strcpy這樣的問(wèn)題的標(biāo)準(zhǔn)函數(shù)還有strcat（）、sprintf（）、vsprintf（）、gets（）、scanf（）等。入侵方法與手段32緩沖區(qū)溢出攻擊隨便往緩沖區(qū)中填東西造成它溢出一般只會(huì)出現(xiàn)分段錯(cuò)誤（Segmentationfault），而不能達(dá)到攻擊的目的。最常見(jiàn)的手段是通過(guò)制造緩沖區(qū)溢出使程序運(yùn)行一個(gè)用戶shell，再通過(guò)shell執(zhí)行其它命令。如果該程序?qū)儆趓oot且有suid權(quán)限的話，攻擊者就獲得了一個(gè)有root權(quán)限的shell，可以對(duì)系統(tǒng)進(jìn)行任意操作了。入侵方法與手段33緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊之所以成為一種常見(jiàn)安全攻擊手段其原因在于緩沖區(qū)溢出漏洞太普遍了，并且易于實(shí)現(xiàn)。而且，緩沖區(qū)溢出成為遠(yuǎn)程攻擊的主要手段其原因在于緩沖區(qū)溢出漏洞給予了攻擊者他所想要的一切：植入并且執(zhí)行攻擊代碼。被植入的攻擊代碼以一定的權(quán)限運(yùn)行有緩沖區(qū)溢出漏洞的程序，從而得到被攻擊主機(jī)的控制權(quán)。入侵方法與手段34格式化字符串攻擊普通的緩沖區(qū)溢出就是利用了堆棧生長(zhǎng)方向和數(shù)據(jù)存儲(chǔ)方向相反的特點(diǎn)，用后存入的數(shù)據(jù)覆蓋先前壓棧的數(shù)據(jù)，一般是覆蓋返回地址，從而改變程序的流程，這樣子函數(shù)返回時(shí)就跳到了黑客指定的地址，就可以按照黑客意愿做任何事情了。所謂格式化串，就是在*printf()系列函數(shù)中按照一定的格式對(duì)數(shù)據(jù)進(jìn)行輸出，可以輸出到標(biāo)準(zhǔn)輸出，即printf()，也可以輸出到文件句柄，字符串等，對(duì)應(yīng)的函數(shù)有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在這一系列的*printf()函數(shù)中入侵方法與手段35格式化字符串攻擊普通的緩沖區(qū)溢出就是利用了堆棧生長(zhǎng)方向和數(shù)據(jù)存儲(chǔ)方向相反的特點(diǎn)，用后存入的數(shù)據(jù)覆蓋先前壓棧的數(shù)據(jù)，一般是覆蓋返回地址，從而改變程序的流程，這樣子函數(shù)返回時(shí)就跳到了黑客指定的地址，就可以按照黑客意愿做任何事情了。所謂格式化串，就是在*printf()系列函數(shù)中按照一定的格式對(duì)數(shù)據(jù)進(jìn)行輸出，可以輸出到標(biāo)準(zhǔn)輸出，即printf()，也可以輸出到文件句柄，字符串等，對(duì)應(yīng)的函數(shù)有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在這一系列的*printf()函數(shù)中入侵方法與手段36格式化字符串攻擊因?yàn)轭恜rintf函數(shù)中省略號(hào)參數(shù)表中參數(shù)的個(gè)數(shù)和類型都是由類printf函數(shù)中的那個(gè)格式化字符串來(lái)決定的，所以攻擊者可以利用編程者的疏忽或漏洞，巧妙構(gòu)造格式化字符串，達(dá)到攻擊目的。如果一個(gè)程序員的任務(wù)是：打印輸出一個(gè)字符串或者把這個(gè)串拷貝到某緩沖區(qū)內(nèi)。他可以寫(xiě)出如下的代碼：printf("%s",str);但是為了節(jié)約時(shí)間和提高效率，并在源碼中少輸入6個(gè)字節(jié)，他會(huì)這樣寫(xiě)：printf(str);入侵方法與手段37格式化字符串攻擊為什么程序員寫(xiě)的是錯(cuò)誤的呢？他傳入了一個(gè)他想要逐字打印的字符串。實(shí)際上該字符串被printf函數(shù)解釋為一個(gè)格式化字符（formatstring），printf就會(huì)根據(jù)該字符串來(lái)決定printf函數(shù)中省略號(hào)參數(shù)表中參數(shù)的格式和類型，如果這個(gè)程序員想要打印的字符串中剛好有“%d”,“%x”之類的格式化字符，那么一個(gè)變量的參數(shù)值就從堆棧中取出。入侵方法與手段38格式化字符串攻擊#include

<stdio.h>

#include

<stdlib.h>

int

main(int

argc,

char*

argv[])

{

if(argc

!=

2)

return

0;

printf(argv[1]);

return

0;

}

入侵方法與手段39格式化字符串攻擊當(dāng)./a.out“helloworld”時(shí)一切正常，但是當(dāng)./a.out