网络攻击与入侵（广东交通职业技术学院计算机工程学院）

null网络攻击与防御广东交通职业技术学院计算机工程学院网络攻击与防御内容 广东交通职业技术学院计算机工程学院内容 1. 攻击与入侵 2. 网络安全管理 3. 其他 攻击与入侵 广东交通职业技术学院计算机工程学院攻击与入侵 关于漏洞 广东交通职业技术学院计算机工程学院关于漏洞 漏洞，也称为脆弱性，在计算机安全技术中，漏洞是指系统安全过程、管理控制以及内部控制等存在缺陷，它能够被攻击者利用，从而获得对信息的非授权访问或者破坏关键数据。 网络漏洞 应用软件漏洞 配置不当引起的漏洞 端口扫描广东交通职业技术学院计算机工程学院端口扫描为什么要进行端口扫描 攻击者 防御者 端口分类 众所周知的端口 注册端口 动态或私有端口 端口扫描工具:XSCAN、SuperScan等 AutoScan、Nmap等 （使用什么数据包） 扫描工具——XSCAN广东交通职业技术学院计算机工程学院扫描工具——XSCAN X-SCAN是由安全焦点开发的一个功能强大的扫描工具。采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能。 扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。对于多数已知漏洞，它给出了相应的漏洞描述、解决及详细描述链接。 扫描软件——AutoScan广东交通职业技术学院计算机工程学院扫描软件——AutoScanWhat is Autoscan? In short Autoscan is a network discovering and managing application. It's main purpose being to quickly identify connected machines/equipment in a network environment. 扫描软件——AutoScan 广东交通职业技术学院计算机工程学院扫描软件——AutoScan As soon as we launch it from the menu we will begin our configuration wizard, click on Forward to move on: 扫描软件——AutoScan 广东交通职业技术学院计算机工程学院扫描软件——AutoScan Now we are going to configure a new Network and add our own data by clicking the Add button: 扫描软件——AutoScan 广东交通职业技术学院计算机工程学院扫描软件——AutoScan Select your network interface： 这里要主要安装方式不同，选择也不同。虚拟机安装并使用桥接的，将会是eth0，而在实体机安装并使用无线网卡的将会是wlan0 扫描软件——AutoScan 广东交通职业技术学院计算机工程学院扫描软件——AutoScan After that we are asked to confirm our settings: 扫描软件——AutoScan 广东交通职业技术学院计算机工程学院扫描软件——AutoScan AutoScan扫描过程扫描软件——AutoScan 广东交通职业技术学院计算机工程学院扫描软件——AutoScan AutoScan扫描结果 扫描软件——NMAP广东交通职业技术学院计算机工程学院扫描软件——NMAP NMAP是一个自由的、开源的软件端口扫描软件，可以在Linux、Unix及Windows下使用。它是渗透测试的组成部分，应用它发现机器的开放端口及应用服务就可以进一步展开针对应用服务的攻击。 完美的网络平台——SCAPY广东交通职业技术学院计算机工程学院完美的网络平台——SCAPYWhat is scapy? scapy is an interactive environment that lets you build packets of any type you want and send them onto the network, and monitor the responses. It can be used for almost anything you want: port scanning, testing firewalls and IPS systems, attacks, etc. 完美的网络平台——SCAPY广东交通职业技术学院计算机工程学院完美的网络平台——SCAPY运行Scapy，并查看本机信息 显示的均为变量i的成员变量及其值完美的网络平台——SCAPY 广东交通职业技术学院计算机工程学院完美的网络平台——SCAPY 创建ICMP包，并发送出去完美的网络平台——SCAPY 广东交通职业技术学院计算机工程学院完美的网络平台——SCAPY 创建UDP包，并发送 必须设定发送端口及接收端口完美的网络平台——SCAPY 广东交通职业技术学院计算机工程学院完美的网络平台——SCAPY 创建TCP包，并发送 必须设定发送端口及接收端口 注意MAC地址是否清楚，否则的话最好先发一个icmp数据包进行确认 完美的网络平台——SCAPY广东交通职业技术学院计算机工程学院完美的网络平台——SCAPY来自数据包内容的翻译完美的网络平台——SCAPY 广东交通职业技术学院计算机工程学院完美的网络平台——SCAPY 针对端口进行扫描完美的网络平台——SCAPY广东交通职业技术学院计算机工程学院完美的网络平台——SCAPY简单的路由追踪 主要攻击形式广东交通职业技术学院计算机工程学院主要攻击形式欺骗攻击 局域网欺骗、邮件欺骗、钓鱼欺骗 Dos拒绝服务攻击 Smurf、land、SYN洪水等 网页攻击 恶作剧式的攻击、木马攻击 缓冲区溢出攻击欺骗攻击 广东交通职业技术学院计算机工程学院欺骗攻击 IP欺骗 假冒他人的IP地址发送信息 DNS欺骗 路由欺骗 邮件欺骗 假冒他人的email地址发送信息 Web欺骗 你能相信你所看到的信息吗？ 其他欺骗术 非技术性欺骗IP欺骗广东交通职业技术学院计算机工程学院IP欺骗IP欺骗的动机 隐藏自己的IP地址，防止被跟踪 以IP地址作为授权依据 穿越防火墙 IP欺骗的形式 单向IP欺骗：不考虑回传的数据包 双向IP欺骗：要求看到回传的数据包 更高级的欺骗：TCP会话劫持 IP欺骗成功的要诀 IP数据包路由原则：根据目标地址进行路由IP欺骗：改变自己地址广东交通职业技术学院计算机工程学院IP欺骗：改变自己地址用网络配置工具改变机器的IP地址 注意： 只能发送数据包 收不到回包 防火墙可能阻挡 IP欺骗：ARP攻击 广东交通职业技术学院计算机工程学院IP欺骗：ARP攻击 分类 一种是对路由器ARP表的欺骗； 另一种是对内网PC的网关欺骗。 效果 导致网络访问瘫痪 被攻击机器无法正常进行网络活动 手段 改变IP与MAC地址的对应关系 IP欺骗：ARP攻击广东交通职业技术学院计算机工程学院IP欺骗：ARP攻击第一种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。IP欺骗：ARP攻击广东交通职业技术学院计算机工程学院IP欺骗：ARP攻击第二种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。IP欺骗：双向欺骗 广东交通职业技术学院计算机工程学院IP欺骗：双向欺骗 欺骗的过程H能看到这个包吗？让回应包经过H H和A在同一个子网内部 使用源路由选项IP欺骗：DNS Spoof 广东交通职业技术学院计算机工程学院IP欺骗：DNS Spoof IP欺骗：DNS Spoof广东交通职业技术学院计算机工程学院IP欺骗：DNS Spoof安装Ettercap 通过指令apt-get install ettercap进行IP欺骗：DNS Spoof广东交通职业技术学院计算机工程学院IP欺骗：DNS Spoof篡改DNS修改映射关系IP欺骗：DNS Spoof广东交通职业技术学院计算机工程学院IP欺骗：DNS Spoof进行DNS欺骗 Ettercap.exe –T –q –P dns_spoof –M arp // //IP欺骗：DNS Spoof广东交通职业技术学院计算机工程学院IP欺骗：DNS Spoof被欺骗结果IP欺骗：DNS Spoof广东交通职业技术学院计算机工程学院IP欺骗：DNS Spoof如何抵御 DNS欺骗攻击是很难防御的，因为这种攻击大多数本质都是被动的。通常情况下，除非发生欺骗攻击，否则你不可能知道你的DNS已经被欺骗，只是你打开的网页与你想要看到的网页有所不同。 保护内部设备： 像这样的攻击大多数都是从网络内部执行攻击的。 不要依赖DNS：在高度敏感和安全的系统，你通常不会在这些系统上浏览网页，最好不要使用DNS。 使用入侵检测系统： 只要正确部署和配置，使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。ICMP重定向欺骗广东交通职业技术学院计算机工程学院ICMP重定向欺骗ICMP重定向 ICMP重定向报文是ICMP控制报文中的一种。在正常的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据向它的目的地转发。 ICMP重定向欺骗 广东交通职业技术学院计算机工程学院ICMP重定向欺骗 ICMP重定向报文格式 四种不同类型的重定向报文 ICMP重定向欺骗 广东交通职业技术学院计算机工程学院ICMP重定向欺骗 ICMP重定向报文的接收者必须查看三个IP地址： 发送重定向报文的路由器的IP地址（包含重定向信息的IP数据报中的源地址）； 导致重定向的IP地址（ICMP重定向报文的数据位于IP数据报首部）； 应该采用的路由IP地址（在ICMP报文中的4～7字节）。 ICMP重定向欺骗 广东交通职业技术学院计算机工程学院ICMP重定向欺骗 重定向工作方式 当路由器A的eth1 down掉时，则路由器A上另一条路由就会进到路由表中，到达10.0.0.0/8这个网段的下一跳便是路由器B的eth1 ICMP重定向欺骗广东交通职业技术学院计算机工程学院ICMP重定向欺骗BT5的路由重定向ICMP重定向欺骗 广东交通职业技术学院计算机工程学院ICMP重定向欺骗 ICMP重定向攻击 ICMP重定向的欺骗攻击是类似于ARP欺骗的手段，而且也是利用了ICMP协议发起的欺骗攻击。 黑客在对目标主机发送ICMP重定向报文时，在报文里的路由IP填成自己的IP，这样，目标主机收到ICMP重定向报文后，就会对路由表进行添加、修改（前提仍是ICMP重定向功能是开启的），将黑客指定的目标与目标间通信的网关地址设置成了黑客的IP地址，这样，就实现了利用ICMP重定向的欺骗攻击。 ICMP重定向欺骗 广东交通职业技术学院计算机工程学院ICMP重定向欺骗 icmp_redirect介绍 icmp_redirect是一款icmp重定向攻击实现工具，利用它可以冒充网关，可以伪造icmp重定向数据包。黑客利用其进行攻击后，会在被攻击主机上添加一条路由信息，欺骗被攻击主机由此路由发送数据到其目的地址，实现icmp重定向攻击。 icmp_redirect 参数一 参数二 参数三 参数四 参数一为被攻击主机网关地址，参数二为被攻击主机IP地址，参数三为被攻击主机正常通信的目的IP地址，参数四为欺骗网关地址,做为被攻击主机与其通信目的主机的网关，从而达到监听目的。 ICMP重定向欺骗 广东交通职业技术学院计算机工程学院ICMP重定向欺骗 Route就是用来显示、人工添加和修改路由表项目的。 一般使用选项： route print 显示路由表中的当前项目 route add 将路由项目添加给路由表 route change 修改路由项目 route delete 删除路由表中路由项目 route add 192.168.0.1 mask 255.255.255.224 192.168.0.2 metric 5 添加一条到192.168.0.1，子网掩码为255.255.255.224的路由，其间允许经过5个路由，第一个路由IP为192.168.0.2。 route delete 192.168.0.1 删除192.168.0.1这条路由。 Linux路由启动方法 广东交通职业技术学院计算机工程学院Linux路由启动方法 临时启动路由 echo "1" >/proc/sys/net/ipv4/ip_forward 永久启动路由 将上述的指令写入 /etc/rc.d/rc.local 当中, 以使 Linux 可以在开机的时候就启动封包转递的功能 修改 /etc/sysctl.conf 来达成开机启动封包转递: [root@linux ~]# vi/etc/sysctl.conf 修改：net.ipv4.ip_forward = 1 [root@linux ~]# sysctl -p #立刻让该设定生效 IP欺骗广东交通职业技术学院计算机工程学院IP欺骗 ICMP重定向欺骗攻击的防范 Windos系统：主机A关闭ICMP重定向功能。修改注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect”的值为0，然后重启系统使其生效。 Linux主机：echo 0 > /proc/sys/net/ipv4/conf/DEV/accept_redirects，这里的DEV为当前使用的网卡名称。 IP欺骗的防御方法 广东交通职业技术学院计算机工程学院IP欺骗的防御方法 主机保护，两种考虑 保护自己的机器不被用来实施IP欺骗 物理防护、登录口令 协议控制，对ICMP包做响应 保护自己的机器不被成为假冒的对象 无能为力 网络防护 路由器或交换机上设置欺骗过滤器 设置端口安全，将IP，MAC与端口绑定 设置地址过滤规则 路由保护 路由器上禁止这样的数据包 Linux下的地址绑定保护广东交通职业技术学院计算机工程学院Linux下的地址绑定保护 Linux系统环境（FC5）中，arp命令提供了-f选项，完成的功能是将/etc/ethers文件中的IP/MAC地址对以静态方式添加到ARP缓存表中。建立静态IP/MAC捆绑的方法如下： 首先建立/etc/ethers文件（或其它任意可编辑文件），编辑ethers文件，写入正确的IP/MAC地址对应关系，格式如下： 172.16.0.151 00:0c:29:1d:af:2a 然后让系统在启动后自动加载项目，具体操作：在/etc/rc.d/rc.local最后添加新行arp -f，重启系统即可生效。此时查看arp缓存表，静态项目的Flags Mask内容为CM，其中M表示当前项目永久有效。电子邮件欺骗 广东交通职业技术学院计算机工程学院电子邮件欺骗 电子邮件欺骗：使用类似的地址 发信人使用被假冒者的名字注册一个账号，然后给目标发送一封正常的信 我是你的上司XX，请把XXX发送给我我在外面度假，请送到我的个人信箱他(她)能识别吗？电子邮件欺骗 广东交通职业技术学院计算机工程学院电子邮件欺骗 电子邮件欺骗的动机 隐藏发信人的身份，匿名信 挑拨离间，唯恐世界不乱 骗取敏感信息 …… 欺骗的形式 使用类似的电子邮件地址 修改邮件客户软件的账号配置 直接连到smtp服务器上发信 电子邮件欺骗成功的要诀 基本的电子邮件协议不包括签名机制 发信可以不要求认证 修改客户软件的配置广东交通职业技术学院计算机工程学院修改客户软件的配置修改客户软件的配置 广东交通职业技术学院计算机工程学院修改客户软件的配置 修改客户软件的配置 广东交通职业技术学院计算机工程学院修改客户软件的配置 修改客户软件的配置 广东交通职业技术学院计算机工程学院修改客户软件的配置 修改客户软件的配置 广东交通职业技术学院计算机工程学院修改客户软件的配置 修改客户软件的配置 广东交通职业技术学院计算机工程学院修改客户软件的配置 修改客户软件的配置 广东交通职业技术学院计算机工程学院修改客户软件的配置 邮件欺骗的保护 广东交通职业技术学院计算机工程学院邮件欺骗的保护 邮件服务器的验证 Smtp服务器验证发送者的身份，以及发送的邮件地址是否与邮件服务器属于相同的域 验证接收方的域名与邮件服务器的域名是否相同 有的也验证发送者的域名是否有效，通过反向DNS解析 攻击者可以运行自己的smtp邮件服务器 不能防止一个内部用户假冒另一个内部用户发送邮件 审核，所有的邮件都有记录 隐私？ Web欺骗 广东交通职业技术学院计算机工程学院Web欺骗 Web欺骗 广东交通职业技术学院计算机工程学院Web欺骗 Web欺骗 广东交通职业技术学院计算机工程学院Web欺骗 Web是应用层上提供的服务，直接面向Internet用户，欺骗的根源在于 由于Internet的开放性，任何人都可以建立自己的Web站点 Web站点名字(DNS域名)可以自由注册，按先后顺序 并不是每个用户都清楚Web的运行规则 Web欺骗的动机 商业利益，商业竞争 政治目的 Web欺骗的形式 使用相似的域名 改写URL 劫持Web会话Web欺骗案例广东交通职业技术学院计算机工程学院Web欺骗案例Dos攻击广东交通职业技术学院计算机工程学院Dos攻击Dos（Denial of Service）拒绝服务攻击是指在特定攻击发生后，被攻击的对象不能及时提供应有的服务。从广义上说，任何导致服务器不能正常提供服务的攻击都是拒绝服务攻击。 SYN Flood（泛洪攻击）是当前最流行的拒绝服务攻击之一，这是一种利用TCP协议缺陷，发送大量的伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。 SYN Flood（泛洪攻击）广东交通职业技术学院计算机工程学院SYN Flood（泛洪攻击）【原理】利用TCP连接三次握手过程，打开大量的半开TCP连接，使得目标机器不能进一步接受TCP连接。每个机器都需要为这种半开连接分配一定的资源，并且，这种半开连接的数量是有限制的，达到最大数量时，机器就不再接受进来的连接请求。 【攻击细节】 连接请求是正常的，但是，源IP地址往往是伪造的，并且是一台不可达的机器的IP地址，一般，半开连接超时之后，会自动被清除，所以，攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快。 任何连接到Internet上并提供基于TCP的网络服务，都有可能成为攻击的目标这样的攻击很难跟踪，因为源地址往往不可信，而且不在线 受影响的系统：大多数操作系统 SYN Flood（泛洪攻击）广东交通职业技术学院计算机工程学院SYN Flood（泛洪攻击）攻击者(A)服务器(B)① SYN＝1 ，SEQ＝X（IP虚假）伪装虚假IP地址发动攻击请求报文(假意)② SYN＝1 ，SEQ＝Y, ACK＝X+1 确认报文找不到地址→超时第二次确认报文确认报文找不到地址SYN Flood（泛洪攻击）广东交通职业技术学院计算机工程学院SYN Flood（泛洪攻击）SYN＝1 ，SEQ＝X（IP虚假） SYN＝1 ，SEQ＝X（IP虚假） SYN＝1 ，SEQ＝X （IP虚假）SYN＝1 ，SEQ＝X（IP虚假）SYN＝1 ，SEQ＝X（IP虚假）大量虚假IP地址连接握手请求报文攻击者(A)服务器(B)伪装虚假IP地址发动攻击SYN Flood（泛洪攻击）广东交通职业技术学院计算机工程学院SYN Flood（泛洪攻击）SYN＝1 ，SEQ＝A（IP虚假）瘫痪 SYN＝1 ，SEQ＝B（IP虚假） SYN＝1 ，SEQ＝C（IP虚假）SYN＝1 ，SEQ＝D（IP虚假）SYN＝1 ，SEQ＝E（IP虚假）大量第二次确认报文找不到目的地址攻击者(A)服务器(B)伪装虚假IP地址发动攻击SYN Flood的防御广东交通职业技术学院计算机工程学院SYN Flood的防御攻击特征 目标主机的网络上出现大量的SYN包，而没有相应的应答包 SYN包的源地址可能是伪造的，甚至无规律可循 防止措施 针对网络 防火墙或者路由器可以在给定时间内只允许有限数量的半开连接 入侵检测，可以发现这样的DoS攻击行为 打补丁 Linux和Solaris使用了一种被称为SYN cookie的技术来解决SYN Flood攻击：在半开连接队列之外另设置了一套机制，使得合法连接得以正常继续 Ping of Death广东交通职业技术学院计算机工程学院Ping of Death【原理】有些系统在收到大量比最大包还要长的数据包，会挂起或者死机 攻击做法 直接利用ping工具，发送超大的ping数据包 受影响的系统：许多操作系统受影响 防止措施 打补丁 防火墙阻止这样的ping包 TearDrop广东交通职业技术学院计算机工程学院TearDrop【原理】利用IP包的分片装配过程中，由于分片重叠，计算过程中出现长度为负值，在执行memcpy的时候导致系统崩溃 受影响的系统：Linux/Windows NT/95，97年发现 攻击特征 攻击非常简单，发送一些IP分片异常的数据包 防止措施 加入条件判断，对这种异常的包特殊处理 打补丁 参考：http://www.attrition.org/security/denial/w/teardrop.dos.html Land攻击广东交通职业技术学院计算机工程学院Land攻击 Land攻击是利用攻击方法者名字命名的一种攻击。 程序发送一个TCP SYN包，源地址与目的地址相同，源端口与目的端口相同，从而产生DoS攻击。 Land攻击通常使用TCP的135端口，但也可能使用其他端口和设置。 Land攻击可以淹没目标系统，或消耗目标的CPU资源，使该主机不能响应任何其他服务。 大量的UNIX和非UNIX系统，均有可能遭受这种攻击，微软的Windows系统也无法应付这种攻击。 Land攻击广东交通职业技术学院计算机工程学院Land攻击攻击者 172.18.1.1目标 204.241.161.12 IP包欺骗 源地址 204.241.161.12 Port 139 目的地址 204.241.161.12 Port 139 包被送回它自己G. Mark HardyLand攻击的防御：代理类的防火墙 广东交通职业技术学院计算机工程学院Land攻击的防御：代理类的防火墙 代理类的防火墙攻击者 172.18.1.1目标 204.241.161.12IP包欺骗 目标地址 204.241.161.12 Port 139 TCP Open防火墙防火墙把有危险的包 阻隔在网络外G. Mark HardySmurf攻击广东交通职业技术学院计算机工程学院Smurf攻击原理：向广播地址发送伪造地址的ICMP Echo数据包。攻击者向一个广播地址发送ICMP Echo请求，并且用受害者的IP地址作为源地址，于是，广播地址网络上的每台机器响应这些Echo请求，同时向受害者主机发送ICMP Echo-Reply应答。于是，受害者主机会被这些大量的应答包淹没 技术细节 两个主要的特点：使用伪造的数据包，使用广播地址。 不仅被伪造地址的机器受害，目标网络本身也是受害者，它们要发送大量的应答数据包 Smurf攻击示图 广东交通职业技术学院计算机工程学院Smurf攻击示图 Smurf攻击实验 广东交通职业技术学院计算机工程学院Smurf攻击实验 主要的角色有：主控机（攻击发起者）、傀儡机（也就是中间代理）和受害主机（被攻击的目标主机）。 基于Internet的Smurf攻击过程通常分为以下五步： (1)主控机锁定一个受害主机（通常是一些Web服务器）； (2)主控机寻找可做为傀儡机的站点，用来对攻击实施放大（通常会选择多个，以便更好地隐藏自己，伪装攻击）； (3)主控机给中间代理站点的广播地址发送大量的ICMP包。这些数据包全都以受害主机的IP地址做为源地址； (4)傀儡机向其所在的子网上的所有主机发送源IP地址欺骗的数据包； (5)傀儡机对受害主机进行响应。 Smurf攻击特征及实施要件广东交通职业技术学院计算机工程学院Smurf攻击特征及实施要件攻击特征 涉及到三方：攻击者，中间目标网络，受害者 以较小的网络带宽资源，通过放大作用，吃掉较大带宽的受害者系统 实施Smurf攻击 需要长期的准备，首先找到足够多的中间网络 集中向这些中间网络发出ICMP Echo包Smurf攻击的防御措施广东交通职业技术学院计算机工程学院Smurf攻击的防御措施针对最终受害者 没有直接的方法可以阻止自己接收ICMP Echo Reply消息 在路由器上阻止这样的应答消息，但是，结果是，路由器本身遭受了DoS攻击 针对中间网络 关闭外来的IP广播消息，但是，如果攻击者从内部机器发起攻击，仍然不能阻止smurf攻击 配置操作系统，对于广播地址的ICMP包不响应 在每个路由节点上都记录log，以备查 流量大的路由节点上记录所有的流量困难 Dos的防御 广东交通职业技术学院计算机工程学院Dos的防御 对于网络 路由器和防火墙配置得当，可以减少受DoS攻击的危险 比如，禁止IP欺骗可以避免许多DoS攻击 入侵检测系统，检测异常行为 对于系统 升级系统内核，打上必要的补丁，特别是一些简单的DoS攻击，例如SYN Flooding 关掉不必要的服务和网络组件 如果有配额功能的话，正确地设置这些配额 监视系统的运行，避免降低到基线以下 检测系统配置信息的变化情况 保证物理安全 建立备份和恢复机制 分布式拒绝服务攻击—DDoS 广东交通职业技术学院计算机工程学院分布式拒绝服务攻击—DDoS DDos(Distributed Denial of Service)从分布在多处的计算机上同时向网络上某系统或服务器发起的拒绝服务攻击 回顾信息安全的三个主要需求： 保密性、完整性、可用性(availability) DoS是针对可用性发起的攻击DDos攻击原理广东交通职业技术学院计算机工程学院DDos攻击原理攻击者通过一些常用的黑客手段侵入并控制一些带宽的网站 在这些网站的服务器上安装并启动一个进程，这个进程将听命于攻击者的特殊指令。 攻击者把攻击目标的IP地址作为指令下达给这些进程 进程开始向主机发送攻击报文 一般性的分布式攻击(如DDoS)模型广东交通职业技术学院计算机工程学院一般性的分布式攻击(如DDoS)模型DDos攻击步骤（一）广东交通职业技术学院计算机工程学院DDos攻击步骤（一）DDos攻击步骤（二）广东交通职业技术学院计算机工程学院DDos攻击步骤（二）被控制的计算机(代理端) 黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2DDos攻击步骤（三）广东交通职业技术学院计算机工程学院DDos攻击步骤（三） 黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。 3被控制计算机（代理端）DDos攻击步骤（四）广东交通职业技术学院计算机工程学院DDos攻击步骤（四） Using Client program, 黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）DDos攻击步骤（五）广东交通职业技术学院计算机工程学院DDos攻击步骤（五） 主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5被控制计算机（代理端）DDos攻击步骤（六）广东交通职业技术学院计算机工程学院DDos攻击步骤（六） 目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6User被控制计算机（代理端）对付DDoS攻击的方法 广东交通职业技术学院计算机工程学院对付DDoS攻击的方法 定期扫描现有的网络主节点，清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用最佳位置，因此对这些主机本身加强主机安全是非常重要的。 在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。 用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招。对付DDoS攻击的方法 广东交通职业技术学院计算机工程学院对付DDoS攻击的方法 充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。　　 过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF（Cisco Express Forwarding）可以针对封包 Source IP 和 Routing Table 做比较，并加以过滤。 Dos的防御方法——数据备份 广东交通职业技术学院计算机工程学院Dos的防御方法——数据备份 文件备份的概述 文件备份就是指将文件按一定策略存储，在原文件损坏或丢失时可以用备份文件进行还原。备份文件是指按一定策略存储到另一个安全地方的文件。如系统备份，就是将系统文件复制一份到别的地方。 Dos的防御方法——数据备份广东交通职业技术学院计算机工程学院Dos的防御方法——数据备份备份与复制 备份和复制是不一样的，备份是将一些文件全部压缩整理生成一个文件。而复制是将文件原封不动地(大小、文件数量、文件类型不变)存储到另一个地方。文件恢复就是将备份文件还原成原有的文件类型(系统文件必须还原到原位置)，这样才能使用。 Dos的防御方法——数据备份 广东交通职业技术学院计算机工程学院Dos的防御方法——数据备份 网站数据备份方法 网站数据备份有三种基本的形式，分别是：标准备份，增量备份，差量备份；除此之外，还有两种其它备份形式，即，在实行网站数据备份时，应该根据企业的具体特点和数据活动状况来进行，以提高系统的备份性能。一般地，数据的大小及其数据的修改频率决定了实现数据库备份的方式。Dos的防御方法——数据备份广东交通职业技术学院计算机工程学院Dos的防御方法——数据备份完全/标准网站数据备份 一个“标准”或“完全”备份将归档所有文件。其对保护性高但耗时，而且恢复数据的过程比其它备份形式要简单、快捷。 增量备份和差量备份 增量备份完成之后，文件的存档位被重置，只要文件没有被修改，就不会被存档；差量备份虽然也只备份修改了的文件，不重置文件的存档位; 拷贝和日常备份 拷贝跟标准备份比较类似，但它不会清空文件的存档位，可以作为追踪根据；日常备份依照文件的时间戳来确定该文件是否应该存档Dos的防御方法——数据备份 广东交通职业技术学院计算机工程学院Dos的防御方法——数据备份 Windows2003的备份 Windows 2003为我们提供了现成的备份、还原工具，在“开始->所有程序->附件->系统工具->备份”里就可以将它打开。在“备份或还原向导”中选择“备份文件和设置”，按照向导提示，可对系统中某个文件夹进行备份(备份的位置自定)。 Dos的防御方法——数据备份 广东交通职业技术学院计算机工程学院Dos的防御方法——数据备份 备份工具Ghost Ghost是“General Hardware Oriented Software Transfer”的英文缩写，意思是“面向通用硬件的软件传送”，它是Symantec公司出品的一款用于备份/恢复系统的软件。Ghost能在短短的几分钟里恢复原有备份的系统，还电脑以本来面目。Ghost自面世以来已成为PC用户不可缺少的一款软件。 Dos的防御方法——数据备份 广东交通职业技术学院计算机工程学院Dos的防御方法——数据备份 通常使用ghost备份的需求还包括 用户在网上冲浪，常会受到病毒与恶意代码的攻击； 用户会安装一些不熟识的工具，造成系统异常； Windows系统易于受到影响； 用户熟识的故障解决方法即为系统重装； 系统反复重装，不堪忍受其烦； 欲寻求系统能够快速恢复的方法，免去系统与软件重装的繁琐；Dos的防御方法——数据备份 广东交通职业技术学院计算机工程学院Dos的防御方法——数据备份 硬盘的克隆与备份 硬盘克隆就是整个硬盘的备份和还原。选择菜单local→disk→to disk，在弹出的窗口中选择源硬盘，然后选择要复制到的目标硬盘。 硬盘备份就是将整个硬盘的数据备份成一个文件保存在硬盘上(菜单local→disk→to image)，然后就可以随时还原到其他硬盘或源硬盘上，这对安装多个系统很方便。使用方法与分区备份相似。 Dos的防御方法——数据备份 广东交通职业技术学院计算机工程学院Dos的防御方法——数据备份 XP系统的备份 1、准备工作 使用该功能前，先确认Windows XP是否开启了该功能。鼠标右击“我的电脑”，选择“属性”/“系统还原”选项卡，确保“在所有驱动器上关闭系统还原”复选框未选中，再确保“需要还原的分区”处于“监视”状态。 2、创建还原点 依次单击“开始→所有程序→附件→系统工具→系统还原”，运行“系统还原”命令，打开“系统还原向导”，选择“创建一个还原点” /“下一步”按钮填入还原点名，即可完成还原点创建。 3、恢复还原点 打开“系统还原向导”，选择“恢复我的计算机到一个较早的时间”，点击“下一步”，选择好日期后再跟着向导还原即可。 利用网页进行攻击 广东交通职业技术学院计算机工程学院利用网页进行攻击 网页木马原理及相关定义 浏览器是用来解释和显示万维网文档的程序，已经成为用户上网时必不可少的工具之一。“网页木马”由其植入方式而得名，是通过浏览网页的方式植入到被控主机上，并对被控主机进行控制的木马。 因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。 利用网页进行攻击 广东交通职业技术学院计算机工程学院利用网页进行攻击 木马的攻击原理 利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的程序就会不经过用户的确认而自动执行。 利用网页进行攻击广东交通职业技术学院计算机工程学院利用网页进行攻击网页木马生成脚本 通常网页木马是通过“网马生成器”将木马安装程序的下载地址附加在网页上的，进而达到用户浏览含有木马的网页即自动下载安装程序的目的。下面给出一个“网马生成器”脚本，其中“//”后面的文字是对代码的注释。实验中，同学们改动此脚本，自己动手生成网页木马。 利用网页进行攻击 广东交通职业技术学院计算机工程学院利用网页进行攻击 iframe挂马技术 网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术，代码插入到首页后，首页不会发生变化，但是嵌入的网页实际上已经打开。通常的挂马代码如下：　  　　 利用网页进行攻击 广东交通职业技术学院计算机工程学院利用网页进行攻击 反弹端口型木马 防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，现在的木马基本都采用了反弹技术，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。服务端通常会把打开的端口伪装成应用软件的端口，从而进一步降低被防火墙发现的概率。利用网页进行攻击 广东交通职业技术学院计算机工程学院利用网页进行攻击 木马的工作过程 木马的工作过程可分为四部分：木马的植入、木马的安装、木马的运行和木马的自启动。 诱惑或者欺骗人们去打开木马网页，进而达到植入木马的目的。 木马会按照通过网页木马脚本中指向的路径下载木马服务端安装程序。 连接网络寻找其客户端，并与其建立连接。 木马安装时生成系统服务，使得系统在启动时自动执行该服务 利用网页进行攻击 广东交通职业技术学院计算机工程学院利用网页进行攻击 木马实验木马攻击 广东交通职业技术学院计算机工程学院木马攻击 木马捆绑 许多攻击者会将他们的恶意代码与并无恶意的程序捆绑在一起，创建一个很好且看起来很舒服的软件包。通过将一个恶意程序和一个良性程序嫁接在一起，攻击者能够轻易地欺骗用户或管理员，使他们运行或忽视这种混合后的产品。并无戒心的受害者接收到混合软件包并运行它后，嵌入在包中的恶意可执行程序一般会首先运行。 木马攻击 广东交通职业技术学院计算机工程学院木马攻击 为了将两个可执行程序结合在一起，攻击者会使用一个包装工具。这些工具包括包装工具（Wrappers）、绑定工具（binders）、打包工具（packers）、EXE绑定工具（EXE binders）和EXE结合工具（EXE joiner）等。 木马攻击 广东交通职业技术学院计算机工程学院木马攻击 木马捆绑的原理 因为当今大多数流行的包装工具都是可用的，所以执行一个结合的包文件时，恶意程序和良性程序在Winows Task Manager或Fport输出中显示为独立的进程，这两个程序只是在磁盘上共存于一个文件中。当用户只看到良性程序，被欺骗而运行这个程序包时，这两个捆绑在一起的程序就变成了两个独立的进程。 WinRAR捆绑木马 广东交通职业技术学院计算机工程学院WinRAR捆绑木马 WinRAR捆绑木马 广东交通职业技术学院计算机工程学院WinRAR捆绑木马 WinRAR捆绑木马 广东交通职业技术学院计算机工程学院WinRAR捆绑木马 WinRAR捆绑木马 广东交通职业技术学院计算机工程学院WinRAR捆绑木马 木马攻击 广东交通职业技术学院计算机工程学院木马攻击 有些包装工具甚至对包装后的恶意代码部分进行加密，这使得目标计算机上的防病毒软件更难检测到恶意的程序，当然，为了使恶意代码能够在其攻击目标上运行，包装工具必须为包装后的软件添加一个加密程序，防病毒软件因此需要检查这些流行的包装工具添加的加密代码。攻击者对加密代码进行变异处理，使得它能够动态地改变自身从而逃避检测，这种做法提高了检测恶意代码的难度。木马免杀 广东交通职业技术学院计算机工程学院木马免杀 杀毒软件的工作原理 当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法两种。特征码就是能识别一个程序是病毒的一段不大于64字节的特征串。特征码定位法分为文件查杀和内存查杀，杀毒软件公司拿到病毒的样本以后，定义一段病毒特征码到病毒库中，然后与扫描的文件比对，如果一致则认为是病毒。内存查杀则是载入内存后再比对。行为检测法是新出现的一种定义病毒的方法，它利用的原理是某些特定的病毒会有某些特定的行为来做出是否为病毒的判断。 木马免杀技术 广东交通职业技术学院计算机工程学院木马免杀技术 去头加花改入口 其目的是修改程序的入口点，打乱程序的结构，使杀毒软件无从查杀 修改特征过杀软 这种做法是过杀软的最稳健最根本的方法 加区建表重载入 使用特定的软件自动加区段，重新建表，达到免杀处理的目的。 加密加壳终极法 是对可执行程序资源压缩，原本是保护文件的常用手段。但加壳过的程序不但可直接运行，而且不能查看源代码。要经过脱壳才可以查看源代码特征码定位 广东交通职业技术学院计算机工程学院特征码定位 单一特征码定位 以前木马特征码是单一的，所以定位原理是把整个程序分成几段分别填充0。如果特征码被0填充后，不被杀毒软件查杀了，说明特征码就在被0填充的代码段里。 定位前 定位操作 特征码定位 广东交通职业技术学院计算机工程学院特征码定位 多重特征码的定位 当特征码不止一处时，只有修改掉所有的特征码才能不被杀软查杀，所以单一定位法就不再适合了。此时可以使用复合定位法进行定位。 定位前 第一次复合定位，分割块数为7特征码定位 广东交通职业技术学院计算机工程学院特征码定位 多重特征码的定位 对每个程序进行杀毒，从三到七，杀毒软件报毒，说明特征码出现了(原代码的第三段)。把找到的特征码段用0填充，程序变为： 对新的程序再次进行复合定位 继续杀毒,从五到七,又被查出有病毒,说明第二处特征码出现。继续二次处理,按照上面的方法继续查杀，直到二次处理查不到病毒为止，说明特征码段全部找到。 特征码修改 广东交通职业技术学院计算机工程学院特征码修改 特征码修改主要包括直接修改法和跳转修改法两种方法。 直接修改法 利用的是等效指令替换，比如： 或者指令顺序的改变不影响执行的效果，比如： 等效于： 特征码修改 广东交通职业技术学院计算机工程学院特征码修改 跳转修改法 跳转修改法的主要原理就是把特征码的那段NOP（汇编里的空操作）掉，然后把NOP掉的语句写入空白的0000区，再通过JMP（汇编里的无条件跳转）跳转连接起来，让杀毒找不到特征码，从而达到免杀的目的。 加壳 广东交通职业技术学院计算机工程学院加壳 壳的概念 作者编好软件后，编译成exe可执行文件。 有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护； 需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩； 在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。 常见的壳工具有【aspack】等。 脱壳 广东交通职业技术学院计算机工程学院脱壳 脱壳软件——软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳 工具，那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分。 但是，最近还流行使用加密算法对木马进行加密，而非单存的加壳，这样对脱壳技术提出了新的挑战。例如：z-file木马的删除 广东交通职业技术学院计算机工程学院木马的删除 查找内存中运行的木马 在“运行”中执行：msconfig 进程的删除 使用指令删除木马的关联进程： Taskkill /f /im 病毒文件.exe /t 意思是强制结束病毒文件.exe 和父进程和模块 检查配置文件有无修改 Win.ini、System.ini、Autoexec.bat、Config.sys以及服务（services msc /s） 检查注册表 所有与run有关的选项都要关注及检查 缓冲区溢出攻击 广东交通职业技术学院计算机工程学院缓冲区溢出攻击 Buffer Overflow的历史 1988年的Morris蠕虫病毒，放倒了6000多台机器：利用UNIX服务finger中的缓冲区溢出漏洞来获得访问权限，得到一个shell 1996年前后，开始出现大量的Buffer Overflow攻击，因此引起人们的广泛关注 源码开放的操作系统首当其冲 随后，Windows系统下的Buffer Overflows也相继被发掘出来 已经有一些非常经典细致的文章来介绍与Buffer overflows有关的技术 缓冲区溢出攻击 广东交通职业技术学院计算机工程学院缓冲区溢出攻击 进程的内存映象布局 进程通常被定义为一个正在运行的程序的实例。进程地址空间的内存布局如图所示。 代码区：用于存放程序的执行指令 数据区：用于存放程序执行时使用的数据 堆：堆是进程地址空间内的一块线性空 间，它被用来存放(和管理)进程动 态分配的内存对象。堆是自低向高 生长。 栈：栈也是进程地址空间内的一块线性空间，它被用来存放(和管理)运行期的临时变量、函数参数等。栈是自高向低生长。溢出 广东交通职业技术学院计算机工程学院溢出 通过向程序的缓冲区(堆、栈等)中写入超出其长度的数据，造成缓冲区溢出。缓冲区的溢出可以破坏程序执行

流程

快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计

，使程序转向执行其它指令。利用缓冲区溢出可以达到攻击主机的目的。 空白缓冲区： 征程缓冲区： 溢出缓冲区：缓冲区溢出的原因 广东交通职业技术学院计算机工程学院缓冲区溢出的原因 缓冲区溢出的根本原因在于语言本身的一些特性。从数据结构的角度来说，最根本的原因是由于指针、数组的存在，导致了一系列存储操作上的问题。而直接的原因则是“没有对数组的越界加以监视和限制”。程序编写者的经验不足或粗心大意使得缓冲区溢出几乎无处不在，导致程序不够健壮，为缓冲区溢出攻击留下了隐患。 溢出攻击 广东交通职业技术学院计算机工程学院溢出攻击 攻击者可以利用缓冲区溢出漏洞，通过溢出来获取程序的控制权。若此程序具有足够的权限，则攻击者就因此获得了系统的控制权。 要实施一次有效的缓冲区溢出攻击，攻击者必须完成如下任务： 在程序的地址空间里植入适当的代码(称为shellcode)用于完成获取系统控制权等非法任务。 通过修改寄存器或内存，让程序执行流跳转到攻击者植入的shellcode地址空间执行。 网络安全管理 广东交通职业技术学院计算机工程学院网络安全管理 共享安全 广东交通职业技术学院计算机工程学院共享安全 在局域网中，如果任何人都可以通过共享硬盘，随意进入相互的电脑，那么这个局域网是绝对不安全的。更为可怕的是，黑客可以通过对这些默认共享的访问，控制所有的机器。 解决方案如下： 首先本看本机的默认共享是否为开启状态，在运行里输入net share命令。 永久关闭ipc$和默认共享依赖的服务：lanmanserver即server服务控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用。 共享安全 广东交通职业技术学院计算机工程学院共享安全 共享安全 广东交通职业技术学院计算机工程学院共享安全 找到注册表中的HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters。将下面子项中的AutoShareServer和AutoShareWks DWORD值改为0。如果没有找到这两个值，那么建立即可。其中“AutoShareWks”项，也把键值由