1、網(wǎng)絡(luò)攻擊行為分析第 2 章基本內(nèi)容網(wǎng)絡(luò)信息安全技術(shù)與黑客攻擊技術(shù)都源于同一技術(shù)核心，即網(wǎng)絡(luò)協(xié)議和底層編程技術(shù)，不同的是怎么使用這些技術(shù)。很多軟件或設(shè)備可以為網(wǎng)絡(luò)管理和安全提供保障，但當(dāng)被別有用心的人所利用時(shí)，就成了黑客工具，就象刀具，是基本生活用具，又可成為殺人兇器。我們要做到“知己知彼”，才能“百戰(zhàn)不殆”，對(duì)黑客的攻擊手段、途徑、方法和工具了解得越多，越有利于保護(hù)網(wǎng)絡(luò)和信息的安全。在介紹信息安全技術(shù)以前，本章先來分析與黑客攻擊相關(guān)的知識(shí)。 網(wǎng)絡(luò)信息安全技術(shù)與黑客攻擊技術(shù)都源于同一技術(shù)核心，即網(wǎng)絡(luò)協(xié)議和底層編程技術(shù)，不同的是怎么使用這些技術(shù)。很多軟件或設(shè)備可以為網(wǎng)絡(luò)管理和安全提供保障，但當(dāng)被別

2、有用心的人所利用時(shí)，就成了黑客工具。刀，是基本生活用具，但又是殺人兇計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所面臨的威脅大體可分為兩種：一是針對(duì)網(wǎng)絡(luò)中信息的威脅；二是針對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。2.1 影響信息安全的人員分析 如果按威脅的對(duì)象、性質(zhì)則可以細(xì)分為四類：第一類是針對(duì)硬件實(shí)體設(shè)施第二類是針對(duì)軟件、數(shù)據(jù)和文檔資料第三類是兼對(duì)前兩者的攻擊破壞第四類是計(jì)算機(jī)犯罪。安全威脅的來源不可控制的自然災(zāi)害，如地震、雷擊惡意攻擊、違紀(jì)、違法和計(jì)算機(jī)犯罪人為的無意失誤和各種各樣的誤操作計(jì)算機(jī)硬件系統(tǒng)的故障軟件的“后門”和漏洞安全威脅主要來自以下幾個(gè)方面：安全威脅的表現(xiàn)形式 偽裝 非法連接 非授權(quán)訪問 拒絕服務(wù)抵賴 信息泄露 業(yè)務(wù)流分析

3、 改動(dòng)信息流篡改或破壞數(shù)據(jù) 推斷或演繹信息 非法篡改程序 實(shí)施安全威脅的人員 心存不滿的員工軟硬件測(cè)試人員技術(shù)愛好者好奇的年青人黑客（Hacker）破壞者（Cracker）以政治或經(jīng)濟(jì)利益為目的的間諜 互聯(lián)網(wǎng)上的黑色產(chǎn)業(yè)鏈 2.2 網(wǎng)絡(luò)攻擊的層次 網(wǎng)絡(luò)攻擊的途徑針對(duì)端口攻擊針對(duì)服務(wù)攻擊針對(duì)第三方軟件攻擊DOS攻擊針對(duì)系統(tǒng)攻擊口令攻擊欺騙網(wǎng)絡(luò)攻擊的層次 網(wǎng)絡(luò)攻擊的層次第一層攻擊：第一層攻擊基于應(yīng)用層的操作 ，這些攻擊的目的只是為了干擾目標(biāo)的正常工作。第二層攻擊：第二層攻擊指本地用戶獲得不應(yīng)獲得的文件(或目錄)讀權(quán)限 。第三層攻擊：在第二層的基礎(chǔ)上發(fā)展成為使用戶獲得不應(yīng)獲得的文件(或目錄)寫權(quán)限。

4、第四層攻擊：第四層攻擊主要指外部用戶獲得訪問內(nèi)部文件的權(quán)利。 第五層攻擊：第五層攻擊指非授權(quán)用戶獲得特權(quán)文件的寫權(quán)限。 第六層攻擊：第六層攻擊指非授權(quán)用戶獲得系統(tǒng)管理員的權(quán)限或根權(quán)限。 2.3 網(wǎng)絡(luò)攻擊的一般步驟 （1）隱藏IP（2）踩點(diǎn)掃描（3）獲得系統(tǒng)或管理員權(quán)限（4）種植后門（5）在網(wǎng)絡(luò)中隱身2.4 網(wǎng)絡(luò)入侵技術(shù)任何以干擾、破壞網(wǎng)絡(luò)系統(tǒng)為目的的非授權(quán)行為都稱之為網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊實(shí)際上是針對(duì)安全策略的違規(guī)行為、針對(duì)授權(quán)的濫用行為與針對(duì)正常行為特征的異常行為的總和。網(wǎng)站篡改（占45.91%）垃圾郵件（占28.49%）蠕蟲（占6.31%）網(wǎng)頁惡意代碼（占0.51%）木馬（占4.01%）網(wǎng)絡(luò)仿

5、冒（占4.97%）拒絕服務(wù)攻擊（占0.58%）主機(jī)入侵（占1.14%） 網(wǎng)絡(luò)主要攻擊手段網(wǎng)絡(luò)入侵技術(shù)-漏洞攻擊漏洞攻擊：利用軟件或系統(tǒng)存在的缺陷實(shí)施攻擊。漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。 緩沖區(qū)溢出漏洞攻擊 ：通過向程序的緩沖區(qū)寫入超過其長(zhǎng)度的數(shù)據(jù)，造成溢出，從而破壞程序的堆棧，轉(zhuǎn)而執(zhí)行其它的指令，達(dá)到攻擊的目的。RPC漏洞、SMB漏洞、打印漏洞 緩沖區(qū)溢出Buffer overflow attack 緩沖區(qū)溢出攻擊緩沖區(qū)溢出漏洞大量存在于各種軟件中利用緩沖區(qū)溢出的攻擊，會(huì)導(dǎo)致系統(tǒng)當(dāng)機(jī)，獲得系統(tǒng)特權(quán)等嚴(yán)重后果。最早的攻擊1988年U

6、NIX下的Morris worm最近的攻擊Codered 利用IIS漏洞SQL Server Worm 利用SQL Server漏洞Blaster 利用RPC漏洞Sasser利用LSASS漏洞向緩沖區(qū)寫入超過緩沖區(qū)長(zhǎng)度的內(nèi)容，造成緩沖區(qū)溢出，破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，達(dá)到攻擊的目的。原因：程序中缺少錯(cuò)誤檢測(cè):void func(char *str) char buf16; strcpy(buf,str);如果str的內(nèi)容多于16個(gè)非0字符，就會(huì)造成buf的溢出，使程序出錯(cuò)。類似函數(shù)有strcat、sprintf、vsprintf、gets、scanf等一般溢出會(huì)造成程序讀/寫或

7、執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā)segmentation fault異常退出.如果在一個(gè)suid程序中特意構(gòu)造內(nèi)容，可以有目的的執(zhí)行程序，如/bin/sh，得到root權(quán)限。類似函數(shù)有strcat、sprintf、vsprintf、gets、scanf等一般溢出會(huì)造成程序讀/寫或執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā)segmentation fault異常退出.如果在一個(gè)suid程序中特意構(gòu)造內(nèi)容，可以有目的的執(zhí)行程序，如/bin/sh，得到root權(quán)限。在進(jìn)程的地址空間安排適當(dāng)?shù)拇a通過適當(dāng)?shù)某跏蓟拇嫫骱蛢?nèi)存，跳轉(zhuǎn)到以上代碼段執(zhí)行利用進(jìn)程中存在的代碼傳遞一個(gè)適當(dāng)?shù)膮?shù)如程序中有exec(arg)，只要把a(bǔ)rg指

8、向“/bin/sh”就可以了植入法把指令序列放到緩沖區(qū)中堆、棧、數(shù)據(jù)段都可以存放攻擊代碼，最常見的是利用棧拒絕服務(wù)攻擊（DoS）：通過各種手段來消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源，或者攻擊系統(tǒng)缺陷，使系統(tǒng)的正常服務(wù)陷于癱瘓狀態(tài)，不能對(duì)正常用戶進(jìn)行服務(wù)，從而實(shí)現(xiàn)拒絕正常用戶的服務(wù)訪問。 分布式拒絕服務(wù)攻擊：DDoS，攻擊規(guī)模更大，危害更嚴(yán)重。實(shí)例：SYN-Flood洪水攻擊，Land攻擊，Smurf攻擊 ，UDP-Flood攻擊，WinNuke攻擊（139）等。網(wǎng)絡(luò)入侵技術(shù)-拒絕服務(wù)攻擊典型的拒絕服務(wù)攻擊有如下兩種形式：資源耗盡和資源過載。當(dāng)一個(gè)對(duì)資源的合理請(qǐng)求大大超過資源的支付能力時(shí)就會(huì)造成拒絕服務(wù)攻擊（

9、例如，對(duì)已經(jīng)滿載的Web服務(wù)器進(jìn)行過多的請(qǐng)求。）拒絕服務(wù)攻擊還有可能是由于軟件的弱點(diǎn)或者對(duì)程序的錯(cuò)誤配置造成的。區(qū)分惡意的拒絕服務(wù)攻擊和非惡意的服務(wù)超載依賴于請(qǐng)求發(fā)起者對(duì)資源的請(qǐng)求是否過份，從而使得其他的用戶無法享用該服務(wù)資源。以下的兩種情況最容易導(dǎo)致拒絕服務(wù)攻擊：由于程序員對(duì)程序錯(cuò)誤的編制，導(dǎo)致系統(tǒng)不停的建立進(jìn)程，最終耗盡資源，只能重新啟動(dòng)機(jī)器。不同的系統(tǒng)平臺(tái)都會(huì)采取某些方法可以防止一些特殊的用戶來占用過多的系統(tǒng)資源，我們也建議盡量采用資源管理的方式來減輕這種安全威脅。還有一種情況是由磁盤存儲(chǔ)空間引起的。假如一個(gè)用戶有權(quán)利存儲(chǔ)大量的文件的話，他就有可能只為系統(tǒng)留下很小的空間用來存儲(chǔ)日志文件等

10、系統(tǒng)信息。這是一種不良的操作習(xí)慣，會(huì)給系統(tǒng)帶來隱患。這種情況下應(yīng)該對(duì)系統(tǒng)配額作出考慮。Ping of Death：發(fā)送長(zhǎng)度超過65535字節(jié)的ICMP Echo Request 數(shù)據(jù)包導(dǎo)致目標(biāo)機(jī)TCP/IP協(xié)議棧崩潰，系統(tǒng)死機(jī)或重啟。Teardrop：發(fā)送特別構(gòu)造的IP 數(shù)據(jù)包，導(dǎo)致目標(biāo)機(jī)TCP/IP協(xié)議棧崩潰，系統(tǒng)死鎖。Syn flooding：發(fā)送大量的SYN包。Land：發(fā)送TCP SYN包，包的SRC/DST IP相同，SPORT/DPORT相同，導(dǎo)致目標(biāo)機(jī)TCP/IP協(xié)議棧崩潰，系統(tǒng)死機(jī)或失去響應(yīng)。Winnuke：發(fā)送特別構(gòu)造的TCP包，使得Windows機(jī)器藍(lán)屏。Smurf：攻擊者

11、冒充服務(wù)器向一個(gè)網(wǎng)段的廣播地址發(fā)送ICMP echo包，整個(gè)網(wǎng)段的所有系統(tǒng)都向此服務(wù)器回應(yīng)icmp reply包。拒絕服務(wù)攻擊方式 七、拒絕服務(wù)攻擊1)死亡之ping （ping of death） 由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方宕機(jī)。拒絕服務(wù)攻擊方式七、拒絕服務(wù)攻擊2）SYN Floodin

12、g攻擊 對(duì)Windows NT攻擊很有效使用一個(gè)偽裝的地址向目標(biāo)計(jì)算機(jī)發(fā)送連接請(qǐng)求叫做IP欺騙技術(shù)。當(dāng)目標(biāo)計(jì)算機(jī)收到這樣的請(qǐng)求后，就會(huì)使用一些資源來為新的連接提供服務(wù)，接著回復(fù)請(qǐng)求一個(gè)肯定答復(fù)（叫做SYNACK）。由于SYNACK是返回到一個(gè)偽裝的地址，沒有任何響應(yīng)。于是目標(biāo)計(jì)算機(jī)將繼續(xù)設(shè)法發(fā)送SYNACK。一些系統(tǒng)都有缺省的回復(fù)次數(shù)和超時(shí)時(shí)間，只有回復(fù)一定的次量、或者超時(shí)時(shí)，占用的資源才會(huì)釋放。例：Windows NT3.5和4 0中缺省設(shè)置為可重復(fù)發(fā)送SYNACK答復(fù)5次。要等待3+6+12+24+48+96=189秒之后，才釋放資源。SYN-Flooding攻擊示意圖拒絕服務(wù)攻擊方式七、

13、拒絕服務(wù)攻擊3)Land攻擊 在Land攻擊中，一個(gè)特別打造的SYN包它的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，此舉將導(dǎo)致接收服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)掉，對(duì)Land攻擊反應(yīng)不同，許多UNIX實(shí)現(xiàn)將崩潰，NT變的極其緩慢（大約持續(xù)五分鐘）。拒絕服務(wù)攻擊方式七、拒絕服務(wù)攻擊4)Smurf攻擊 smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求（Ping）數(shù)據(jù)包來淹沒受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，比ping of death

14、洪水的流量高出一或兩個(gè)數(shù)量級(jí)。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。Smurf攻擊示意圖 拒絕服務(wù)攻擊方式七、拒絕服務(wù)攻擊5）Fraggle攻擊 Fraggle攻擊與Smurf攻擊類似，但它使用的不是ICMP，而是 UDP Echo?？梢栽诜阑饓ι线^濾掉UDP應(yīng)答消息來防范 。入侵者常常采用下面幾種方法獲取用戶的密碼口令：弱口令掃描Sniffer密碼嗅探暴力破解社會(huì)工程學(xué)（即通過欺詐手段獲?。┠抉R程序或鍵盤記錄程序。網(wǎng)絡(luò)入侵技術(shù)-口令攻擊破解PDF密碼破解OF密碼破解系統(tǒng)密碼一個(gè)開放的網(wǎng)絡(luò)端口就是一條與計(jì)算機(jī)進(jìn)行通信的信道，對(duì)網(wǎng)絡(luò)端口的掃描可以得到目標(biāo)計(jì)算機(jī)開放的

15、服務(wù)程序、運(yùn)行的系統(tǒng)版本信息，從而為下一步的入侵做好準(zhǔn)備。掃描是采取模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞逐項(xiàng)進(jìn)行檢查，利用各種工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上尋找漏洞。 典型的掃描工具包括安全焦點(diǎn)的X-Scan、小榕的流光軟件，簡(jiǎn)單的還有IpScan、SuperScan等，商業(yè)化的產(chǎn)品如啟明星辰的天鏡系統(tǒng)具有更完整的功能 。網(wǎng)絡(luò)入侵技術(shù)-掃描攻擊 網(wǎng)絡(luò)嗅探與協(xié)議分析是一種被動(dòng)的偵察手段，使用嗅探監(jiān)聽軟件，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行分析，獲取可用的信息。網(wǎng)絡(luò)監(jiān)聽可以使用專用的協(xié)議分析設(shè)備實(shí)現(xiàn)，也可使用Sniffer Pro 4.7、TCPDump等軟件實(shí)現(xiàn)。SnifferPro是最常用的嗅

16、探分析軟件，它可以實(shí)現(xiàn)數(shù)據(jù)包捕獲、數(shù)據(jù)包統(tǒng)計(jì)、過濾數(shù)據(jù)包、數(shù)據(jù)包解碼等功能，功能解碼可以獲取很多有用的信息，如用戶名、密碼及數(shù)據(jù)包內(nèi)容。 網(wǎng)絡(luò)入侵技術(shù)-嗅探與協(xié)議分析 協(xié)議欺騙攻擊就是假冒通過認(rèn)證騙取對(duì)方信任，從而獲取所需信息，進(jìn)而實(shí)現(xiàn)入侵的攻擊行為。常見的協(xié)議欺騙有以下幾種方式：IP欺騙：對(duì)抗基于IP地址的驗(yàn)證。ARP欺騙：它是一個(gè)位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。ARP欺騙通過偽造ARP與IP的信息或?qū)?yīng)關(guān)系實(shí)現(xiàn)。NC軟件就能實(shí)現(xiàn)ARP欺騙。TCP會(huì)話劫持：與IP欺騙類似，通過嗅探并向網(wǎng)絡(luò)注入額外的信息實(shí)現(xiàn)TCP連接參與。如IP watcher就

17、是一種有效的會(huì)話劫持工具。網(wǎng)絡(luò)入侵技術(shù)-協(xié)議欺騙攻擊 IP欺騙定義：利用主機(jī)之間的正常信任關(guān)系發(fā)動(dòng)的攻擊。信任關(guān)系：在Unix系統(tǒng)中，rlogin,rsh,rcp等遠(yuǎn)程調(diào)用命令的信任基礎(chǔ)是IP地址，若地址驗(yàn)證通過，則無須口令驗(yàn)證就能遠(yuǎn)程登錄。修改$HOME/.rhosts文件內(nèi)容，可建立兩臺(tái)機(jī)器之間的信任關(guān)系。當(dāng)/etc/hosts.equiv中出現(xiàn)一個(gè)“+”或$HOME/.rhosts中出現(xiàn)“+”時(shí)，表明任意地址的主機(jī)無須口令可直接用r命令登錄此主機(jī)。IP欺騙過程1）發(fā)現(xiàn)攻擊目標(biāo)A和B具有伙伴信任關(guān)系。 假設(shè)黑客想冒充B去和A對(duì)話。2）要使目標(biāo)B癱瘓（如用拒絕服務(wù)攻擊），避免露餡3）采樣A發(fā)

18、出的TCP序列號(hào)，反復(fù)嘗試猜測(cè)它的初始序列號(hào)ISN。ISN為32位計(jì)數(shù)器，無連接時(shí)9.32小時(shí)復(fù)位一次。預(yù)測(cè)ISN考慮因素： ISN每秒增加128000；每次連接增加64000；A和B之間的往返時(shí)間；IP欺騙過程4)將源地址偽裝成B機(jī)地址，發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接。5）然后等待A發(fā)送SYN+ACK給癱瘓的B，因?yàn)檫@時(shí)黑客看不到這個(gè)包。6）再次偽裝成B向A發(fā)送ACK，此時(shí)發(fā)送的數(shù)據(jù)段帶有預(yù)測(cè)目標(biāo)機(jī)A的ISN+1。7）連接建立，發(fā)送命令。IP欺騙示意圖 IP欺騙的步驟會(huì)話劫持示意圖 社會(huì)工程學(xué)（Social Engineering），是一種通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法。20世紀(jì)70年代末期，一個(gè)叫做斯坦利馬克瑞夫金（Stanley Mark Rifkin）的年輕人成功地實(shí)施了史上最大的銀行劫案。他沒有雇用幫手、沒有使用武器、沒有天衣無縫的行動(dòng)計(jì)劃，“甚至無需計(jì)算機(jī)的協(xié)助”，僅僅依靠一個(gè)進(jìn)入電匯室的機(jī)會(huì)并打了三