第01章网络攻击

1©2005CiscoSystems,Inc.Allrightsreserved.第一章网络攻击©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-2网络攻击网络攻击：使用特定的手段和协议漏洞，获得相应主机的权限或使其停止连接网络攻击分为：局域网络内部攻击外部网络攻击，跨站点攻击©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-3局域网攻击MAC地址攻击DHCP攻击IP冲突攻击ARP攻击局域网漏洞扫描©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-4MAC地址攻击©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-5DHCP攻击•攻击者在自己所在的VLAN中开启DHCP服务。•攻击者的响应有效的客户端发出的DHCP请求。•攻击者在DHCP配置信息中将自己指定的IP网关信息分配给客户。•攻击者建立中间人攻击“man-in-the-middle”。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-6IP冲突攻击在局域网内部，假冒受害者的IP地址。冲突受害者的IP地址，使得数据包混乱。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-7ARP攻击©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-8局域网漏洞扫描利用扫描软件检测局域网内部PC常见软件局域网查看工具CainX-Scan科来©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-9局域网漏洞扫描开放服务NT-Server弱口令Snmp信息NetBios信息远程操作系统Telnet弱口令SSH弱口令REXEC弱口令FTP弱口令SQL-Server弱口令编码/解码漏洞漏洞检测脚本©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-10局域网漏洞扫描开放服务用于扫描TCP端口状态，并根据用户设置主动识别开放端口正在运行的服务及目标操作系统类型。NT-Server弱口令通过139端口对WINNT/2000服务器弱口令进行检测。当从服务器获取用户列表失败时，会从加载字典文件中的用户列表。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。Snmp信息通过SNMP协议搜集目标主机操作系统版本、开放端口、连接状态、WINS用户列表等敏感信息NetBios信息通过NETBIOS协议搜集目标主机注册表、用户、共享、本地组等敏感信息©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-11局域网漏洞扫描远程操作系统通过SNMP、NETBIOS协议主动识别远程操作系统类型及版本Telnet弱口令载入字典对TELNET弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。SSH弱口令载入字典对SSH弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。REXEC弱口令载入字典对REXEC弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-12局域网漏洞扫描FTP弱口令载入字典对FTP弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。SQL-Server弱口令载入字典对“SQLServer”弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。CVS弱口令载入字典对CVS弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-13局域网漏洞扫描VNC弱口令载入字典对VNC（远程控制服务器）弱口令进行检测，目前只支持VNC3.3认证协议及VNC4.0协议的匿名模式。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。POP3弱口令载入字典对POP3（邮件接收服务器）弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。SMTP弱口令载入字典对SMTP（邮件发送服务器）弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。IMAP弱口令载入字典对IMAP弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-14局域网漏洞扫描NNTP弱口令载入字典对NNTP弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。Socks5弱口令载入字典对SOCKS5（代理服务器）弱口令进行检测。可以通过“扫描参数”窗口中的“字典文件设置”项加载其他字典。IIS编码/解码漏洞用于IIS编码/解码漏洞，目前检测的漏洞包括：“Unicode编码漏洞”、“二次解码漏洞”和“UTF编码漏洞”。修补方法：安装系统最新补丁。漏洞检测脚本用于加载漏洞检测脚本进行安全检测。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-15外部网络攻击IP欺骗攻击TCP攻击UDP攻击Smurf攻击PingofDeath攻击©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-16IP欺骗(IPspoofing)•为了获得访问权，入侵者生成一个带有伪造源地址的报文。•对于使用基于IP地址验证的应用来说，此攻击方法可以导致未被授权的用户可以访问目的系统，甚至是以root权限来访问，即使响应报文不能到达攻击者，同样也会造成对被攻击对象的破坏，这就造成IPSpoofing攻击。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-17TCP攻击就是把TCPSYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息，结果这个地址又返回ACK消息并创建一个空连接，每一个这样的连接都将保留，直到超时掉.各种受害者对Land攻击反应不同，许多UNIX主机将崩溃，WindowsNT主机会变的极其缓慢。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-18TCP攻击由于资源的限制，TCP/IP栈只能允许有限个TCP连接，而SYNFlood攻击正是利用这一点.它伪造一个SYN报文，其源地址是伪造的或者是一个不存在的地址，向服务器发起连接，服务器在收到报文后用SYN-ACK应答，而此应答发出去后不会收到ACK，报文造成一个半连接.如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗尽其资源，使正常的用户无法访问，直到半连接超时.在一些创建连接不受限制的实现里，SYNFlood具有类似的影响，它会消耗掉系统的内存等资源。SYNFlood(DOS)攻击是一种在互联网上危害性大、容易发起、很难防御的几种攻击活动之一。最常见的表现是在极端的时间内，如几秒钟内发起数十万次，乃至百万次的半连接。这主机的TCP服务几乎难于幸免。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-19UDP攻击这种攻击短时间内用大量的UDP报文向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-20Smurf攻击简单的Smurf攻击用来攻击一个网络.方法是发ICMP应答请求，该请求包的目标地址配置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞.这比ping大包的流量高出一或两个数量级，高级的Smurf攻击主要用来攻击目标主机，方法是将上述ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机崩溃.攻击报文的发送需要一定的流量和持续时间才能真正构成攻击，理论上讲网络的主机越多攻击的效果越明显，Smurf攻击的另一个变体为Fraggle攻击。©2005CiscoSystems,Inc.Allrightsreserved.SNPAv4.0—8-21PingofDeath攻击所谓PingofDeath就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击.IP报文的长度字段为16位，这表明一个IP报文的最大长度为65535，对于ICMP回应请求报文，如果数据长度大于65507就会使ICMP数据+IP头长度(20)+ICMP头长度(8)65535，对于有些路由器或系统，在接收到一个这样的报文后，由于处理不当会造成系统崩溃死机或重启。