第二章网络攻击行径分析2.1攻击的目的2.2攻击的步骤2.3攻击事件2攻击诀窍2.4攻击事件实施有效的网络攻击必须掌握相应的知识,选择恰当的攻击手段,采用合理的方法与步骤,才能取得预期的效果。什么是网络攻击?2.1什么是网络攻击网络攻击:网络攻击者利用目前网络通信协议(如TCP/IP协议)自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等,通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件,非法进入本地或远程用户主机系统,非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息(如特洛伊木马)等一系列过程的总称。常见的网络攻击手段①阻塞类攻击②控制类攻击③探测类攻击④欺骗类攻击⑤漏洞类攻击⑥破坏类攻击注意:在一次网络攻击中,并非只使用上述六种攻击手段中的某一种,而是多种攻击手段相综合,取长补短,发挥各自不同的作用。阻塞类攻击阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源,使服务器崩溃或资源耗尽无法对外继续提供服务。拒绝服务攻击(DoS,DenialofService)是典型的阻塞类攻击,它是一类个人或多人利用Internet协议组的某些工具,拒绝合法用户对目标系统(如服务器)和信息的合法访问的攻击。常见的方法:TCPSYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。TCPSYN洪泛攻击ACK=y+1SYN,SEQ=y,ACK=x+1SYN,SEQ=x发送端S接收端DTCP连接的三次握手Land攻击land攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。在Land攻击中,一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时。对Land攻击反应不同,许多UNIX系统将崩溃,而WindowsNT会变的极其缓慢(大约持续五分钟)。Smurf攻击Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。电子邮件炸弹电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。由于这种攻击方式简单易用,也有很多发匿名邮件的工具,而且只要对方获悉你的电子邮件地址就可以进行攻击,所以这是大家最值得防范的一个攻击手段。阻塞类攻击DoS攻击的后果:使目标系统死机;使端口处于停顿状态;在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件;扭曲系统的资源状态,使系统的处理速度降低。控制类攻击控制型攻击是一类试图获得对目标机器控制权的攻击。最常见的三种:口令攻击、特洛伊木马、缓冲区溢出攻击。口令截获与破解仍然是最有效的口令攻击手段,进一步的发展应该是研制功能更强的口令破解程序;木马技术目前着重研究更新的隐藏技术和秘密信道技术;缓冲区溢出是一种常用的攻击技术,早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击,现在研究制造缓冲区溢出。口令攻击攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的访问权,并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限,攻击就变得极其危险。口令攻击这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如:利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。口令攻击1)猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。2)字典攻击。如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据有的传媒报导,对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。口令攻击3)穷举攻击如果字典攻击仍然不能成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。口令攻击4)混合攻击结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击5)直接破解系统口令文件所有的攻击都不能奏效时,入侵者会寻找目标主机的安全漏洞和薄弱环节,伺机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。口令攻击6)网络嗅探通过嗅探器在局域网内嗅探明文传输的口令字符串。7)键盘记录在目标系统中安装键盘记录后门,记录操作员输入的口令字符串。探测类攻击信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。主要包括:扫描技术、体系结构刺探、系统信息服务收集等。目前正在发展更先进的网络无踪迹信息探测技术。网络安全扫描技术:网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强,也可被网络攻击者用来进行网络攻击。欺骗类攻击欺骗类攻击包括IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息,后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。主要包括:ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。漏洞类攻击针对扫描器发现的网络系统的各种漏洞实施的相应攻击,伴随新发现的漏洞,攻击手段不断翻新,防不胜防。漏洞(Hole):系统硬件或者软件存在某种形式的安全方面的脆弱性,这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点,不论是公开的还是秘密的,都提供漏洞的归档和索引等。破坏类攻击破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击,包括计算机病毒、逻辑炸弹等攻击手段。计算机中的“逻辑炸弹”是指在特定逻辑条件满足时,实施破坏的计算机程序,该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导,甚至会使整个系统瘫痪,并出现物理损坏的虚假现象。破坏类攻击一名不道德的系统管理员,制造了一个逻辑炸弹用来删除服务器上的所有数据,触发条件是他在一个月内没有登录。一天,他在上班的路上,这个不道德的系统管理员发生了车祸被一辆巴士撞了。四个星期后,他的逻辑炸弹被触发清空了服务器上的所有数据。系统管理员的意图是在他被解雇后报复公司删除数据,但是他没有料到自己会发生车祸。破坏类攻击历史上曾经出现过的一个非常有名的逻辑炸弹例子是,含有逻辑炸弹的程序每天核对一个公司的员工工资发放清单。如果连续在两次的发薪日中,某程序员的代号没有出现在这个工资发放清单上,逻辑炸弹就启动了。破坏类攻击逻辑炸弹与计算机病毒的主要区别:逻辑炸弹没有感染能力,它不会自动传播到其他软件内。注意:由于我国使用的大多数系统都是国外进口的,其中是否存在逻辑炸弹,应该保持一定的警惕。对于机要部门中的计算机系统,应该以使用自己开发的软件为主。攻击的目的•攻击动机–恶作剧–恶意破坏–商业目的–政治军事•攻击目的–破坏–入侵2.2攻击的步骤•攻击的准备阶段–确定攻击目的–准备攻击工具–收集目标信息•攻击的实施阶段–隐藏自己的位置–利用收集到的信息获取帐号和密码,登录主机–利用漏洞或者其他方法获得控制权并窃取网络资源和特权2.3攻击的善后阶段对于Windows系统禁止日志审计清除事件日志清除IIS服务日志对于UNIX系统为了下次攻击的方便,攻击者都会留下一个后门,充当后门的工具种类非常多,最典型的是木马程序。攻击诀窍•基本方法–口令入侵•获取账号:Finger,X.500,电子邮件地址,默认账号•获取密码:网络监听,Bruce,漏洞与失误–特洛伊木马程序–欺骗–电子邮件攻击•电子邮件轰炸,电子邮件欺骗–黑客软件•BackOrifice2000、冰河–安全漏洞攻击•Outlook,IIS,Serv-U–对防火墙的攻击•Firewalking、Hping–渗透–路由器攻击2.4常用攻击工具网络侦查工具superscan,Nmap拒绝服务攻击工具DDoS攻击者1.4,sqldos,Trinoo木马BO2000,冰河,NetSpy本章小结本章对攻击事件、攻击的目的、攻击的步骤及攻击的诀窍作一些简要的介绍,为随后深入学习攻击技术打下基础。进一步理解课程的性质和意义。网络安全攻击(或者叫渗透测试)是网络安全评估的重要手段。课程的学习需要遵守职业道德《信息安全实验操作规程》