信息安全 第9章网络攻击技术

第9章网络攻击技术主要内容侦查扫描获取访问权限保持访问权限消除入侵痕迹拒绝服务攻击概述网络攻击技术是一把双刃剑。对攻击者而言，它是攻击技术，对安全人员来说，它是不可缺少的安全防护技术。对系统的攻击和入侵，都是利用软件或系统漏洞进行。大多数情况下，恶意攻击者使用的工具和安全技术人员是相同的，这意味着安全人员必须了解攻击者使用的工具和手段一次完整的网络攻击包含的基本步骤攻击的步骤解释例子侦查被动或者主动获取信息的过程嗅探网络流量，察看HTML代码，社交工程，获取目标系统的一切信息扫描及漏洞分析识别所运行系统和系统上活动的服务，从中找出可攻击的弱点Ping扫描、端口扫描、漏洞扫描获取访问权限攻击识别的漏洞，以获取未授权的访问权限利用缓冲区溢出或者暴力破解口令，并登录系统保持访问权限上传恶意软件，以确保能重新进入系统在系统上安装后门消除痕迹消除恶意活动的踪迹删除或修改系统和应用日志中的数据9.1侦查侦查也被称为踩点，目的是发现目标通过踩点主要收集以下可用信息：网络域名内部网络外部网络目标所用的操作系统9.2扫描扫描主要是指通过固定格式的询问来试探主机的某些特征的过程，而提供了扫描功能的软件工具就是扫描器。“一个好的扫描器相当于数百个合法用户的账户信息”。分为端口扫描和漏洞扫描加载检查目标检查引擎检测报告检测规则扫描器的工作流程端口扫描扫描端口的主要目的是判断目标主机的操作系统以及开放了哪些服务。端口是由计算机的通信协议TCP/IP协议定义的。计算机之间的通信，归根结底是进程间的通信，而端口则与进程相对应。端口分类：熟知端口（公认端口）：由因特网指派名字和号码公司ICANN负责分配给一些常用的应用层程序固定使用的熟知端口，端口号一般为0～1023。表9-2和表9-3列出了常见的熟知端口。一般端口：用来随时分配给请求通信的客户进程。常见TCP熟知端口服务名称端口号说明FTP21文件传输服务Telnet23远程登录服务HTTP80网页浏览服务POP3110邮件服务SMTP25简单邮件传输服务Socks1080代理服务常见UDP熟知端口服务名称端口号说明RPC111远程调用SNMP161简单网络管理TFTP69简单文件传输用三次握手建立TCP连接SYN,SEQ=x主机BACK,SEQ=x+1,确认号=y1被动打开主动打开确认确认主机A连接请求扫描方法全TCP连接这种扫描方法使用三次握手，与目标计算机建立标准的TCP连接。很容易被目标主机发觉并记录。半打开式扫描扫描主机自动向目标计算机的指定端口发送SYN数据段，表示发送建立连接请求，如果目标计算机的回应TCP报文中SYN=1，ACK=1，则说明该端口是活动的，接着扫描主机传送一个RST给目标主机拒绝建立TCP连接，从而导致三次握手过程的失败。由于扫描过程中全连接尚未建立，所以大大降低了被目标计算机的记录的可能性FIN扫描发送一个FIN=1的TCP报文到一个关闭的端口时，该报文会被丢掉，并返回一个RST报文。但是，如果当FIN报文发到一个活动的端口时，该报文只是简单的丢掉，不会返回任何回应。扫描没有涉及任何TCP连接部分，因此，这种扫描比前两种都安全，可以称之为秘密扫描。第三方扫描代理扫描”，这种扫描是控制第三方主机来代替入侵者进行扫描更加隐蔽漏洞扫描在各种各样的软件逻辑漏洞中，有一部分会引起非常严重的后果，我们把会引起软件做一些超出设计范围事情的bug称为漏洞。为了防范这种漏洞，最好的办法是及时为操作系统和服务打补丁。所谓补丁，是软件公司为已发现的漏洞所作的修复行为。漏洞扫描通常通过漏洞扫描器来执行。漏洞扫描器是通过在内部放置已知漏洞的特征，然后把被扫描系统特征和已知漏洞相比对，从而获取被扫描系统漏洞的过程。漏洞扫描只能找出目标机上已经被发现并且公开的漏洞扫描器X-Scan流光9.3获取访问权限缓冲区溢出SQL注入攻击缓冲区溢出缓冲区溢出就好比是把2升的水倒入1升的水罐中，肯定会有一部分水流出并且造成混乱。声明一个在内存中占10个字节的字符串：Charstr1[10];编译器为缓冲区划分了10个字节大小的空间，从str1[0]到str1[9]，每个都分别占用一个字节的空间。那么，执行下列语句：Strcpy(str1,'AAAAAAAAAAAAAAAAAAAAAA');则会造成缓冲区溢出。因为strcpy这个函数根本就不会检查后面的字符串是否比str1所分配的空间要大。如果溢出的数据为B，则可能：用户数据用户数据AAAAAAAAAAB内存：用户程序代码用户数据AAAAAAAAAAB内存：系统数据用户数据AAAAAAAAAAB内存：系统程序代码用户数据AAAAAAAAAAB内存：溢出实例#includestdio.h#definePASSWORD1234567intverify_password(char*password){intauthenticated;charbuffer[8];authenticated=strcmp(password,PASSWORD);strcpy(buffer,password);returnauthenticated;}main(){intvalid_flag=0;charpassword[1024];while(1){printf(pleaseinputpassword:);scanf(%s,password);valid_flag=verify_password(password);if(valid_flag){printf(incorrectpassword!\n\n);}else{printf(Congratulation!Youhavepassedtheverification!\n);break;}}}输入了正确的密码“1234567”之后才能通过验证函数verify_password()里边申请了两个局部变量：intauthenticated和charbuffer[8]。当verify_password()被调用时，系统会给它分配一片连续的内存空间，这两个变量就分布在那里（实际上就叫函数栈帧）Buffer[8]Charbuffer[0~3]Charbuffer4~7]Intautherticated(0x00000001)输入包含8个字符的错误密码“qqqqqqqq”，那么buff[8]所拥有的8个字节将全部被“q”的ASCII码0x71填满，而字符串的结束标志NULL刚好写入了authenticated变量并且值为0x00000000。于是，错误的密码得到了正确密码的运行效果。用“qqqqqqqq”成功突破了限制SQL注入攻击如果用户的输入能够影响到脚本中SQL命令串的生成，那么很可能在添加了单引号、“#”号等转义命令字符后，能够改变数据库最终执行的SQL命令，攻击者就利用这个特点修改自己的输入，最终获取数据库中自己所需要的信息，例如管理员密码。这就是SQL注入。SQL注入是从正常的端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以防火墙不会对SQL注入发出警报9.4保持访问权限开放新帐号容易被管理员察觉安装后门具有隐蔽性和非授权性Rootkit通过替换系统文件来达到目的。这样就会更加的隐蔽，使检测变得比较困难。9.5消除入侵痕迹在所有的操作系统中，包括Windows和Unix系统，都有自己的日志系统。在日志中记载了各种信息，例如用户对其的操作、应用程序所作的行为、各种各样的安全事件等。当入侵者非法进入了系统后，往往会被这些日志记录下来。而管理员通过日志，则有可能分析出入侵者的行为，甚至是根据线索找到入侵者。Windows的“事件查看器”通过“开始→控制面板→管理工具→事件查看器”将其打开Windows的“事件查看器”应用程序日志由应用程序或系统程序记录的事件，主要记录程序运行方面的事件安全性日志记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件系统日志WindowsXP的系统组件记录的事件Windows的日志文件DNS日志默认位置%systemroot%\system32\config，默认文件大小512KB，管理员都会改变这个默认大小；安全日志文件%systemroot%\system32\config\SecEvent.EVT；系统日志文件%systemroot%\system32\config\SysEvent.EVT；应用程序日志文件%systemroot%\system32\config\AppEvent.EVT；FTP日志默认位置%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志；日志默认位置%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志。9.6拒绝服务攻击拒绝服务攻击（DenialofService，简称DoS）是指攻击者利用系统的缺陷，通过执行一些恶意的操作而使合法的系统用户不能及时的得到服务或者系统资源，如CPU处理时间、存储器、网络带宽、Web服务等。它本身并不能使攻击者获取什么资源，例如系统的控制权力、秘密的文件等，它只是以破坏服务为目的。DoS攻击的过程DoS程序DDoS(DistributedDenialofService，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。常见的拒绝服务攻击方法常见的拒绝服务攻击方法基于网络带宽消耗的拒绝服务攻击消耗磁盘空间的拒绝服务攻击消耗CPU资源和内存的拒绝服务攻击基于系统缺陷的拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务（DistributedDenialofService，DDoS）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。攻击者控制傀儡机控制傀儡机攻击傀儡机攻击傀儡机攻击傀儡机攻击傀儡机攻击傀儡机攻击傀儡机受害者DDoS攻击的原理受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端组建僵尸网络DDoS攻击DDoS攻击DDoS攻击DDoS攻击DDoS攻击DDoS攻击编写工具受雇攻击收取佣金主动攻击勒索网站DoS/DDoS攻击模型DoS/DDoS的危害服务器宕机，业务中断大面积断网，网络瘫痪DoS攻击是导致去年损失最为惨重的计算机犯罪事件，其带来的损失是其它各类攻击造成损失总和的两倍有余。”—2004年CSI/FBI计算机犯罪及安全调查。僵尸网络僵尸网络(Botnet)是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。命令与控制信道僵尸网络僵尸主机僵尸主机僵尸主机僵尸主机僵尸程序僵尸程序僵尸程序僵尸程序攻击者跳板主机僵尸网络危害成为攻击平台让普通用户成为“帮凶”导致被感染主机性能损失拒绝服务攻击的防范服务器采用最新系统，并打上补丁。定期对所有主机进行检查。删除未使用的服务。限制对主机的访问。禁止使用网络访问程序。限制在防火墙外与网络文件共享。在防火墙上运行端口映射程序或端口扫描程序。检查所有网络设备和主机/服务器系统的日志。