第2章黑客常用的攻击方法.pptx

1、计算机网络安全技术（第4版）,工业和信息化“十三五”高职高专人才培养规划教材,第2章,黑客常用的攻击方法,人民邮电出版社,能力,CAPACITY,要求,熟悉TCP/IP。,了解黑客攻击的常用手段和方法，掌握常用网络安全技术。,具有良好的职业道德。,常用黑客技术的原理,黑客发展的历史,黑客攻击的防范,一、黑客发展的历史,罗伯特莫里斯,1988年，莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特莫里斯（22岁）制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机，使之瘫痪。此后，从CIH到美丽杀病毒，从尼姆达到红色代码，病毒、蠕虫的发展愈演愈烈。,一、黑客发展的历史,凯文米特尼克

2、是美国20世纪最著名的黑客之一，他是社会工程学的创始人1979年（15岁）他和他的伙伴侵入了“北美空中防务指挥系统”，翻阅了美国所有的核弹头资料，令大人不可置信。不久破译了美国“太平洋电话公司”某地的改户密码，随意更改用户的电话号码。欺骗的艺术,凯文米特尼克,一、黑客发展的历史,安全威胁发展趋势,一、黑客发展的历史,攻击复杂度与所需入侵知识关系图,一、黑客发展的历史,黑客入侵攻击的一般过程,常用黑客技术的原理,黑客发展的历史,黑客攻击的防范,二、常用黑客技术的原理,网络踩点：收集IP地址范围、域名信息等。网络扫描：探测系统开放端口、操作系统类型、所运行的网络服务，以及是否存在可利用的安全漏洞等

3、。网络查点：获得用户账号、网络服务类型和版本号等更细致的信息。,常用的网络信息收集技术,【实验】whois查询,二、常用黑客技术的原理,漏洞扫描的内容,漏洞扫描,1,2,3,4,5,6,系统开放的服务（端口扫描）,各种弱口令漏洞、后门,操作系统类型及版本,网络设备漏洞,应用服务漏洞,拒绝服务漏洞等,网络扫描器作用,探测目标网络结构，获取目标系统的开放端口、操作系统类型、运行的网络服务、存在的安全弱点等信息。,二、常用黑客技术的原理,端口扫描器原理-预备知识,二、常用黑客技术的原理,预备知识-IP头,预备知识-TCP头,二、常用黑客技术的原理,常用的扫描软件,Nmap（端口扫描器）,Nessus

4、,X-scan（综合扫描器）,ipscan,Nmap简介(Network Mapper)官方下载及文档地址：http:/insecure.org/nmap/详细操作步骤参见教材,课堂演练一：端口扫描器Nmap,二、常用黑客技术的原理,其他扫描方式：,案例,01,OPTION,Ping扫描（-sP参数）,TCP connect()端口扫描（-sT参数）,TCP同步（SYN）端口扫描（-sS参数）,UDP端口扫描（-sU参数）,FIN扫描（-sF）,圣诞树扫描（-sX）,空扫描（-sN）,二、常用黑客技术的原理,全连接扫描,TCP connect()扫描,半连接扫描,TCP SYN()扫描,二、常

5、用黑客技术的原理,端口扫描的防范,防火墙,防火墙是不是能防范所有的端口扫描？,提问,二、常用黑客技术的原理,本部分内容安排学生自己完成详细操作步骤参见教材,课堂演练二：综合扫描器X-scan,Nessus也是一款典型的综合扫描器，其被认为是目前全世界最多人使用的系统漏洞扫描与分析软件。Nessus软件采用C/S架构：详细操作步骤参见教材,课堂演练三：Nessus,二、常用黑客技术的原理,口令破解,口令破解概述,口令破解方法,口令破解实验（详细操作步骤参见教材）,二、常用黑客技术的原理,口令破解的防范,标题,关闭139端口,强壮的密码,administrator账户重命名,设置账户锁定策略,口令

6、破解的防范,二、常用黑客技术的原理,Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。,网络监听技术,Sniffer原理,什么是 Sniffer?,网络通信监视软件网络故障诊断分析工具网络性能优化、管理系统,它帮助你迅速隔离和解决网络通讯问题、分析和优化网络性能和规划网络的发展。,二、常用黑客技术的原理,梦幻西游在网维大师无盘上容易掉线的问题（备注：123.58.184.241是梦幻西游的服务器）分析原因产生：1、服务器发现客户端非法，比如有外挂什么的，踢掉了客户机；2、服务器压力大，踢掉了客户机；3

7、、总之不是客户端问题导致的掉线；,案例,二、常用黑客技术的原理,网卡先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。,网卡工作原理,二、常用黑客技术的原理,网卡的工作模式,能够接收网络中的广播信息。,广播方式,在此添加标题,组播方式,直接方式,混杂模式（promiscuous）,能够接收组播数据。,只有目的网卡才能接收该数据。,能够接收到一切通过

8、它的数据。,二、常用黑客技术的原理,HUB工作原理,二、常用黑客技术的原理,交换环境下的SNIFF,二、常用黑客技术的原理,一个sniffer需要作的：,网络监听原理,1,2,3,把网卡置于混杂模式,捕获数据包,分析数据包,1,2,3,二、常用黑客技术的原理,常用的SNIFF,windows环境下,UNUX环境下,图形界面的SNIFF、netxray、sniffer pro,UNUX环境下的sniff可以说是百花齐放，他们都有一个好处就是发布源代码，当然也都是免费的。如sniffit、snoop、tcpdump、dsniff,1、Sniffer Pro2、WireShark（06年夏天前称为E

9、thereal）3、Net monitor4、EffTech HTTP Sniffer5、Iris,二、常用黑客技术的原理,Wireshark的使用 Wireshark的语法,Sniffer演示实验,二、常用黑客技术的原理,捕捉过滤器,可以使用6种比较运算符：,逻辑运算符（Logical expressions）:,二、常用黑客技术的原理,1.tcp dst port 80/捕捉目的TCP端口为80的封包。问题：怎么捕捉DNS包？2.host 10.1.248.248/捕捉目的或来源IP地址为10.1.248.248的封包。3.ip src host 10.3.40.*/捕捉来源IP地址为10

10、.3.40.*的封包。4.ether host e0-05-c5-44-b1-3c/捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。5.src portrange 2000-2500/捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封包。6.（src host 10.4.1.12 or src net 10.6.0.0/16)and tcp dst portrange 200-10000 and dst net 10.0.0.0/8/捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于

11、网络 10.0.0.0/8内的所有封包。,练习,二、常用黑客技术的原理,练习1.ip.addr=10.1.1.1/显示来源或目的IP地址为10.1.1.1的封包。2.ip.src!=10.1.2.3 or ip.dst!=10.4.5.6/显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。3.tcp.port=80/显示来源或目的TCP端口号为80的封包。4.tcp.dstport=25/显示目的TCP端口号为25的封包。,显示过滤器,二、常用黑客技术的原理,【例1】嗅探FTP过程【例2】嗅探HTTP登录邮箱的过程【例3】嗅探POP邮箱密码的过程 详细操作步骤参见教材,课堂演练,

12、使用WireShark分析TCP/IP建立连接的三次握手过程的数据包使用WireShark分析nmap各种扫描方式的数据包,综合演练,常用黑客技术的原理,黑客发展的历史,黑客攻击的防范,三、黑客攻击的防范,进行合理的网络分段。用SSH/SSL建立加密连接，保证数据传输安全。Sniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。防止内部攻击。AntiSniff 工具用于检测局域网中是否有机器处于混杂模式（不是免费的）。,如何防止SNIFF,三、黑客攻击的防范,ARP欺骗的工作原理,ARP欺骗攻击,三、黑客攻击的防范,交换环境下的ARP欺骗攻击及其嗅探演示实验,实验拓扑：ARP欺

13、骗工具：SwitchSniffer详细步骤参见教材,三、黑客攻击的防范,ARP命令静态绑定网关ARP防火墙通过加密传输数据、使用VLAN技术细分网络拓扑等方法，以降低ARP欺骗攻击的危害后果,ARP欺骗的防御,三、黑客攻击的防范,木马是一种基于远程控制的黑客工具隐蔽性潜伏性危害性 非授权性,木马（Trojan horse）,三、黑客攻击的防范,木马与病毒、远程控制的区别,40,2,1,3,病毒程序是以自发性的败坏为目的,木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。,木马和一般的远程控制软件的区别在于其隐蔽、非授权性。,三、黑客攻击的防范,木马的工作原理,实际就

14、是一个C/S模式的程序（里应外合）,三、黑客攻击的防范,木马的分类,三、黑客攻击的防范,木马实施攻击的步骤,三、黑客攻击的防范,服务器端程序：G-server.exe客户端程序：G-client.exe详细步骤参见教材,课堂演练一：冰河木马的使用,反弹端口类型的木马服务器的配置服务器的工作方式远程控制如何清除？,课堂演练二：灰鸽子的使用,三、黑客攻击的防范,木马文件的隐藏和伪装,文件的属性,捆绑到其他文件上,文件的名字,文件的位置,文件的扩展名,文件的图标,三、黑客攻击的防范,木马运行时伪装方法,1,2,3,在任务栏里隐藏,在任务管理器里隐藏,隐藏端口,三、黑客攻击的防范,木马的启动方式,三、

15、黑客攻击的防范,查看端口检查注册表检查DLL木马检查配置文件,木马的检测,发现木马：检查系统文件、注册表、端口不要轻易使用来历不明的软件 不熟悉的E-MAIL不打开常用杀毒软件并及时升级合理使用防火墙,木马的防御,三、黑客攻击的防范,流行木马简介,三、黑客攻击的防范,DoS-Denial of Service：现在一般指导致服务器不能正常提供服务的攻击。,拒绝服务攻击(DoS),1,2,3,2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。,2009年5月19日，由于暴风影音软件而导致“暴风门”全国断网事件。,2014年6月20日起，香港公投网站PopVote遭

16、遇超大规模的DDoS攻击,DoS攻击的事件,3,三、黑客攻击的防范,DoS 攻击的分类,三、黑客攻击的防范,SYN攻击的原理（1）,目标主机,等待应答,SYN：同步SYN/ACK:同步/确认ACK：确认,三、黑客攻击的防范,SYN攻击的原理（2）,三、黑客攻击的防范,以windows 为例SYN攻击,三、黑客攻击的防范,synkiller（图形界面工具）syn等（DOS界面工具）【攻击效果】可通过抓包和查看CPU的利用率来观看攻击效果 思考题 扫描器中的半连接扫描是不是也构成SYN攻击？,课堂演练SYN攻击,三、黑客攻击的防范,行行色色的DOS攻击,DOS攻击,1,2,3,4,SYN Floo

17、d,泪珠（Teardrop）攻击,死亡之ping,Land攻击,三、黑客攻击的防范,DDoS 攻击案例,三、黑客攻击的防范,DDOS攻击的威力,2015年DDoS阿里云云盾防御的最大攻击峰值流量为477Gbps。,2015,预测2016年整个互联网可能会发生流量在800Gbps1TGbps之间的攻击事件。,2016,三、黑客攻击的防范,DDoS(分布式拒绝服务)攻击,1、攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。,2、攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。,攻击准备：,三、黑客攻击的防范,DDoS(分

18、布式拒绝服务)攻击,3、攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请 求送至目标系统。,发起攻击：,4、包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。,三、黑客攻击的防范,实验拓扑：详细步骤参见教材,TFN分布式拒绝服务攻击实验,三、黑客攻击的防范,详细步骤参见教材,冰盾防火墙的演示实验,三、黑客攻击的防范,DNS 反射攻击的原理,中小贷款攻击者/僵尸主机,伪造受害者发起大量DNS查询请求,开放DNS递归服务器,DNS服务器回应大量查询响应,1M的流量,发出大量模拟被攻击者的DNS请求,被攻击者,100M的流量,100M的流量,1M的流量,发

19、出大量模拟被攻击者的DNS请求,三、黑客攻击的防范,针对应用程序-2013年25%的DDOS攻击将是基于应用程序。利用高速带宽-在2012年下半年美国银行遭受到一类新的破坏性DDoS攻击，有时高达70Gbps的网络流量冲击了银行自有互联网管道。,个性化攻击,三、黑客攻击的防范,缓冲区溢出（buffer overflow),从一个对话框说起,三、黑客攻击的防范,【引例】把1升的水注入容量为0.5升的容量中,认识缓冲区溢出,第一次大规模的缓冲区溢出攻击是发生在1988年的Morris蠕虫，它造成了6000多台机器被瘫痪，损失在$100 000至$10 000 000之间，利用的攻击方法之一就是fi

20、ngerd的缓冲区溢出。缓冲区溢出攻击已经占了网络攻击的绝大多数，据统计，大约80%的安全事件与缓冲区溢出攻击有关。,三、黑客攻击的防范,缓冲区溢出原理,Windows系统的内存结构,三、黑客攻击的防范,计算机运行时，系统将内存划分为3个段，分别是代码段、数据段和堆栈段。,Windows 系统的内存结构,三、黑客攻击的防范,缓冲区溢出源于程序执行时需要存放数据的空间，也即我们所说的缓冲区。缓冲区的大小是程序执行时固定申请的。然而，某些时候，在缓冲区内装载的数据大小是用户输入的数据决定的。程序开发人员偶尔疏忽了对用户输入的这些数据作长度检查，由于用户非法操作或者错误操作，输入的数据占满了缓冲区的

21、所有空间，且超越了缓冲区边界延伸到缓冲区以外的空间。我们称这个动作为缓冲区溢出。,缓冲区溢出的基本原理（1）,缓冲区溢出是由于系统和软件本身存在脆弱点所导致的。例如目前被广泛使用的C和C+，这些语言在编译的时候没有做内存检查，即数组的边界检查和指针的引用检查，也就是开发人员必须做这些检查，可是这些事情往往被开发人员忽略了；标准C库中还存在许多不安全的字符串操作函数，包括：strcpy()，sprintf()，gets()等等，从而带来了很多脆弱点，这些脆弱点也便成了缓冲区溢出漏洞。,缓冲区溢出的基本原理（2）,三、黑客攻击的防范,/*文件名：overflow.cpp*功能：演示Windows缓

22、冲区溢出的机制*/#include#include char bigbuff=“aaaaaaaaaa;/10个avoid main()char smallbuff5;/只分配了5字节的空间 strcpy(smallbuff,bigbuff);,Windows缓冲区溢出实例分析,利用OllyDbg调试工具加载overflow.exe文件,三、黑客攻击的防范,调用strcpy()函数时堆栈的填充情况,三、黑客攻击的防范,执行strcpy()函数的过程,溢出结果,三、黑客攻击的防范,可以导致程序运行失败、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操

23、作。而缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到shell，然后为所欲为。,缓冲区溢出的危害,三、黑客攻击的防范,2000年1月，Cerberus 安全小组发布了微软的IIS 4/5存在的一个缓冲区溢出漏洞。攻击该漏洞，可以使Web服务器崩溃，甚至获取超级权限执行任意的代码。目前，微软的IIS 4/5 是一种主流的Web服务器程序；因而，该缓冲区溢出漏洞对于网站的安全构成了极大的威胁；它的描述如下：浏览器向IIS提出一个HTTP请求，在域

24、名（或IP地址）后，加上一个文件名，该文件名以“.htr”做后缀。于是IIS认为客户端正在请求一个“.htr”文件，“.htr”扩展文件被映像成ISAPI（Internet Service API）应用程序，IIS会复位向所有针对“.htr”资源的请求到 ISM.DLL程序，ISM.DLL 打开这个文件并执行之。浏览器提交的请求中包含的文件名存储在局部变量缓冲区中，若它很长，超过600个字符时，会导致局部变量缓冲区溢出，覆盖返回地址空间，使IIS崩溃。,缓冲区溢出攻击的实验分析,三、黑客攻击的防范,上述的缓冲区溢出例子中，只是出现了一般的拒绝服务的效果。但是，实际情况往往并不是这么简单。当黑客

25、精心设计这一EIP，使得程序发生溢出之后改变正常流程，转而去执行他们设计好的一段代码（也即ShellCode），攻击者就能获取对系统的控制，利用ShellCode实现各种功能，比如，监听一个端口，添加一个用户，等等。这也正是缓冲区溢出攻击的基本原理。目前流行的缓冲区溢出病毒，如冲击波蠕虫、震荡波蠕虫等，就都是采用同样的缓冲区溢出攻击方法对用户的计算机进行攻击的。,缓冲区溢出攻击,三、黑客攻击的防范,流行的缓冲区溢出攻击病毒,利用漏洞：RPC缓冲区溢出 135/TCP,冲击波,在此添加标题,震荡波,极速波,高波,利用漏洞：LSASS漏洞 1025/TCP,利用漏洞：UPNP漏洞 445/TCP,

26、利用多种漏洞,非常危险,三、黑客攻击的防范,防范缓冲区溢出攻击的有效措施,强制程序开发人员书写正确的、安全的代码。目前，可以借助grep、FaultInjection、PurifyPlus等工具帮助开发人员发现程序中的安全漏洞。,通过对数组的读写操作进行边界检查来实现缓冲区的保护，使得缓冲区溢出不可能出现，从而完全消除了缓冲区溢出的威胁。常见的对数组操作进行检查的工具有Compaq C编译器，Richard Jones和Paul Kelly开发的gcc补丁等。,三、黑客攻击的防范,通过操作系统设置缓冲区的堆栈段为不可执行，从而阻止攻击者向其中植入攻击代码。,微软的DEP（数据执行保护）技术,微

27、软的DEP（数据执行保护）技术（Windows XP SP2、Windows Server 2003 SP1及其更高版本的Windows操作系统中）,三、黑客攻击的防范,三、黑客攻击的防范,TCP会话劫持的工作原理：,TCP会话劫持,实验拓扑：,三、黑客攻击的防范,检测：查看网络中是否存在ACK风暴,TCP会话劫持攻击的检测和防范,防范：采用加密机制加密客户端和服务器之间的通信过程：例如使用SSH代替Telnet、使用SSL代替HTTP，使用IPSec/VPN避免攻击者成为客户端和服务器通信双方的中间人：采用静态绑定MAC地址方法以防范ARP欺骗；过滤ICMP路由重定向报文以防范ICMP路由重定向攻击,THANKS,