第05讲网络安全威胁第第0505讲讲网络安全威胁网络安全威胁1TCPIP经典威胁•ARP欺骗•RIP源路由欺骗•TCP欺骗•WEB欺骗ARP欺骗网关192.168.0.2路由器192.168.0.1因特网192.168.0.6192.168.0.3192.168.0.4192.168.0.5IP源路由欺骗•IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。•条件–主机A(假设IP地址是192.168.100.11)是主机B的被信任主机–主机X想冒充主机A从主机B(假设IP为192.168.100.1)获得某些服务•攻击过程–攻击者修改距离X最近的路由器G2,使得到达此路由器且包含目的地址192.168.100.1的数据包以主机X所在的网络为目的地–攻击者X利用IP欺骗(把数据包的源地址改为192.168.100.11)向主机B发送带有源路由选项(指定最近的路由器G2)的数据包。当B回送数据包时,按收到数据包的源路由选项反转使用源路由,就传送到被更改过的路由器G2。由于G2路由表已被修改,收到B的数据包时,G2根据路由表把数据包发送到X所在网络,X可在其局域网内较方便的进行侦听,收取此数据包。TCP欺骗•基本流程:–步骤一,攻击者X要确定目标主机A的被信任主机B不在工作状态,若其在工作状态,也可使用SYNflooding等攻击手段使其处于拒绝服务状态。–步骤二,攻击者X伪造数据包:B-A:SYN(ISNC),源IP地址使用B,初始序列号ISN为C,给目标主机发送TCP的SYN包请求建立连接。–步骤三,目标主机回应数据包:A-B:SYN(ISNS),ACK(ISNC),初始序列号为S,确认序号为C。由于B处于拒绝服务状态,不会发出响应包。攻击者X使用嗅探器捕获TCP报文段,得到初始序列号S。–步骤四,攻击者X伪造数据包:B-A:ACK(ISNS),完成三次握手建立TCP连接。–步骤五,攻击者X一直使用B的IP地址与A进行通信。•盲攻击与非盲攻击:–非盲攻击:攻击者和被欺骗的目的主机在同一个网络上,攻击者可以简单地使用协议分析器(嗅探器)捕获TCP报文段,从而获得需要的序列号。见上述流程。–盲攻击:由于攻击者和被欺骗的目标主机不在同一个网络上,攻击者无法使用嗅探器捕获TCP报文段。其攻击步骤与非盲攻击几乎相同,只不过在步骤三无法使用嗅探器,可以使用TCP初始序列号预测技术得到初始序列号。在步骤五,攻击者X可以发送第一个数据包,但收不到A的响应包,较难实现交互。Unicode输入验证攻击•Unicode:统一的字符编码标准,采用双字节对字符进行编码。•当微软IIS4.0/5.0(远东地区版本)在处理包含有不完整的双字节编码字符的HTTP命令请求时,会导致Web目录下的文件内容被泄漏给远程攻击者。•利用这种IIS的漏洞,攻击者就可以通过这些特殊字符绕过IIS的目录审计远程执行任意命令。–一般实例::\注意:以上“+”代表空格。•黑网页实例–C:idahackHostHostPortHostTypeShellPort–C:ncHostShellPort–进入网页所在目录–C:echo内容网页文件名2DDoS•概述•原理•检测与防范•举例概述•拒绝服务攻击是指利用安全漏洞、恶意消耗资源等手段,造成目标网络与信息系统不能正常提供服务的攻击方式。•遭到拒绝服务攻击的网络或信息系统,通常会表现为网络与信息系统服务质量下降、服务中断等现象。•美国计算机安全研究所(CSI,ComputerSecurityInstitute)和美国联邦调查局(FBI,FederalBureauofInvestigation)在2003年公布的《计算机犯罪与安全调查报告》中指出,拒绝服务攻击给接受调查的530多家机构带来的经济损失在各种攻击方式中仅次于信息窃取(70,195,900美元),达到了65,643,300美元,远远高出排在第3位的病毒(27,382,340美元)。美国的政府网站、白宫、Microsoft、CNN、Yahoo,ZDNet、Ebay、纽约时报等网站都遭受过拒绝服务攻击。•2004年的《计算机犯罪与安全调查报告》指出,针对固定目标的拒绝服务攻击是去年受到的最惨重的计算机威胁,在接受调查的企业中有250家遭受攻击,总损失超过2,600万美元,高达其它攻击种类的两倍有余。•2005年的《计算机犯罪与安全调查报告》指出,尽管出现了新的攻击类型,但拒绝服务攻击仍在各类攻击中排在第三位。•我国网站遭到拒绝服务攻击的情况也十分普遍,绝大多数的ISP(互联网服务提供商)、网站和电信公司都曾遭到拒绝服务攻击,尤其是在宽带用户数量大幅度增加之后,拒绝服务攻击变得更为严重。•2004年,在国家计算机网络应急技术处理协调中心全年收到的4485件非扫描类网络安全事件中,拒绝服务攻击事件共有26件,占0.58%。而在2005年收到的9112件非扫描类网络安全事件中,拒绝服务攻击事件共有35件,占0.38%。原理•普通拒绝服务攻击攻击者带有虚假IP地址的请求被攻击者大量回复信息虚假IP地址蛮力型普通拒绝服务攻击的原理图此请求被拒绝合法请求少量、甚至单个恶意数据包攻击者被攻击者合法用户缺陷利用型普通拒绝服务攻击的原理图分布式拒绝服务攻击的原理图攻击者主控端代理端被攻击者攻击者被攻击主机很多来自中介网络的应答数据包中介网络放大器伪造源IP地址的请求回复数据包分布式反射拒绝服务攻击原理检测与防范•检测–基于异常的入侵检测•防范–基于主机的防范•(1)关闭不必要的服务;•(2)根据实际情况,适当对同时打开的SYN半连接数目进行限制;•(3)缩短SYN半连接的等待超时时间;•(4)及时更新系统补丁;•(5)配置防火墙,阻止任何实际不需要的端口通信。–基于网络的防范•采用黑洞技术•采用陷阱IP•强化系统自身•合理设置防火墙•正确配置路由举例•SynFlooding攻击ACK=y+1SYN=1,SEQ=y,ACK=x+1SYN=1,SEQ=xTCP连接的三次握手机制客户端服务器端确认确认源IP地址不存在的连接请求数据包确认数据包虚假源IP地址SYN洪水攻击过程攻击者被攻击目标•TFN2K–TFN2K由客户端和守护程序两部分组成。其中,客户端运行在主控端计算机上,是用于发动攻击的应用程序,攻击者通过它来发送各种命令;守护程序运行在代理端计算机上,是一个用于接收和响应来自主控端(即客户端)命令的进程–TF2K特征•主控端和代理端之间的信息通讯都是经过加密•可以用多种拒绝服务攻击方法对受害者发起攻击,比如说SYN洪水攻击、Ping洪水攻击、Smurf攻击等•TFN2K守护程序的进程名是在编译时指定的,因此在不同的代理端计算机上,TFN2K守护进程的名字都有可能不同•grc.com攻击来自路由器的数据包源地址为攻击目标的IP攻击者grc.com网站grc.com网站遭到攻击的原理图路由器路由器•攻击者向一些正常的网络路由器发送带有连接请求的SYN数据包,这些数据包都带有一个相同的虚假IP地址,而且这个虚假的IP地址就是攻击目标grc.com的。•网络路由器接收这个请求连接的数据包,并做出应答,向grc.com网站发送应答数据包,作为建立TCP连接三次握手过程中的第二步。这些路由器不会向攻击者发送应答数据包。3计算机木马•概述•原理•防范•举例概述•计算机木马是指通过欺骗手段植入到网络与信息系统中、并具有控制该目标系统或进行信息窃取等功能的有害程序。原理•基本原理③发送命令②接收来自攻击者的命令攻击者被攻击主机传统计算机木马的基本原理①把木马服务器端植入到被攻击主机中•木马传播–通过介质拷贝–从站点下载软件–从电子邮件附件接收–通过即时消息传递–其他可能方式•木马激活–利用浏览器漏洞植入:利用IE浏览器的IFRAME漏洞进行植入,该漏洞允许把一个网页嵌入到另一个网页中。攻击者把嵌入的网页设置为隐藏,并把计算机木马隐藏在此网页中,这样当不知情者访问这个网页时,该木马就被激活了–利用WMF漏洞植入•用户点击WMF(WindowsMetafile,图元文件)文件后,该文件会调用shimgvw.dll库,进而调用gdi32.dll库里面的Escape()函数,该函数里有一个名为SETABORTPROC的子函数,这个子函数允许用户在假脱机操作期间取消来自不同应用的打印任务。WMF漏洞针对的就是SETABORTPROC这个子函数,该漏洞会导致缓冲器溢出,运行WMF文件里的恶意代码。攻击者把计算机木马程序写入WMF文件里,利用WMF漏洞,就可以激活该木马。•捆绑植入•利用Autorun文件检测防范•检查注册表•检查启动组•检查Win.ini文件•检查System.ini文件•检查Autoexec.bat和Config.sys文件•检查Winstart.bat文件•用DOS命令检查•利用反病毒软件检测举例•冰河–功能•(1)自动跟踪被控端的屏幕变化。•(2)记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令等绝大多数在对话框中出现过的口令信息。•(3)获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等。•(4)限制系统功能:包括远程关机、远程重启、锁定鼠标、锁定系统热键及锁定注册表等。•(5)远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件等。•(6)注册表操作:包括对主键的浏览、增删、复制、重命名等。•(7)发送信息:向被控端发送简短信息。•(8)点对点通讯:以聊天室形式同被控端进行在线交谈。•原理–冰河主要由G_Server.exe和G_Client.exe两个程序组成。其中,G_Server.exe是被控端程序,在安装前可以先通过G_Client.exe的配置本地服务器程序功能进行一些特殊配置,如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等。G_Client.exe是主控端程序,用于监控被攻击系统和被控端程序。–在被攻击系统中安装好被控端程序G_Server.exe后,攻击者运行主控端程序G_Client.exe就可以监控被控端,进行远程控制被控端的屏幕,上传、下载或删除文件等操作。•冰河清除–一旦运行冰河的被控端程序G_Server.exe,它就会在被控端的C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe两个文件,然后删除自身文件。Kernel32.exe程序会在系统启动时自动加载运行,sysexplr.exe程序是和TXT文件关联的。即使你删除了Kernel32.exe程序,但只要你打开TXT文件,sysexplr.exe程序就会被激活,它将再次生成Kernel32.exe,于是冰河又在被控端中存在了。因此,要想清除冰河木马,需要有比较完善的清除方法:–(1)删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件;–(2)冰河会在注册表–[HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run]设置键值为C:\windows\system\Kernel32.exe和C:\windows\system\Sysexplr.exe的注册表项,需要删除此项;–(3)也要删除注册表的CurrentVersion\Runservices下键值为–C:\windows\system\Kernel32.exe和C:\windows