第三章 网络安全威胁

null第三章 网络安全威胁第三章 网络安全威胁南京邮电大学信息安全系 《网络信息安全》教研组主要主要内容3.1 隐藏攻击者的地址和身份 3.2 踩点技术（Footprinting） 3.3 扫描技术（Scanning） 3.4 嗅探技术（Sniffing） 3.5 攻击技术（Attack Technology） 3.6 权限提升（Escalating Privilege） 3.7 掩盖踪迹（Covering Tracks） 3.8 创建后门（Creating Bookdoor） 3.3.1 主机扫描 3.3.2 端口扫描 3.3.3 操作系统探测 3.3.4 漏洞扫描 网络攻击与防御技术的关系网络攻击与防御技术的关系① “网络渗透”过程有多个阶段、多种技术，但没有一个统一的定式。 ② 网络攻击技术发展很快，今天可行的技术可能明天就过时了。 ③ 网络攻击技术的过时主要是因为相应的网络防御技术发展也很快。 ④ 许多网络安全技术都是双刃剑，两者相辅相成，互为补充（如：扫描、嗅探和嗅探检测等）。网络防御技术网络防御技术1）加密/签名/散列技术（理论基础） 2）主机加固技术（打补丁） 3）病毒防护技术（广义病毒） 4）防火墙技术（门卫/被动/进出） 5）虚拟专用网技术（端-端/密码技术） 6）入侵检测技术（警察/动态/内部） 7）蜜罐技术（主动/位置/误报漏报少） 8）计算机取证技术（主机取证和网络取证）为了保证服务质量，要求误报少； 为了保证系统安全，要求漏报少； 两者常常相悖，应根据用途折中选择3.1 隐藏攻击者的地址和身份3.1 隐藏攻击者的地址和身份1．IP地址欺骗或盗用技术 源IP地址为假冒或虚假 2．MAC地址盗用技术 修改注册或使用ifconfig命令 3．通过Proxy隐藏技术 作为攻击跳板；实际上很难真正实现隐藏 4．网络地址转换技术 私有IP地址可以隐藏内部网络拓扑结构 5．盗用他人网络账户技术 网络安全链路中最薄弱的链接 3.2 踩点技术（Footprinting） 3.2 踩点技术（Footprinting） 黑客尽可能地收集目标系统安全状况的各种信息： ① 目标系统的用户注册信息——Whois ② 域名、IP地址、DNS服务器、邮件服务器——Nslookup 、host ③ 网络拓扑和路由信息——Traceroute 获取公开的信息；采用的技术合法。3.3 扫描技术（Scanning） 3.3 扫描技术（Scanning） 3.3.1 主机扫描（Host Scanning） 一般使用Ping实现：发送ICMP echo请求给目标主机，若收到ICMP echo应答则表明目标主机激活。 ① Fping工具以并行轮转方式发送大量Ping请求，以加快扫描速度。 ② 防火墙的存在使得Ping扫描的应答可能丢失，扫描结果就不一定准确。3.3.2 端口扫描（Port Scanning） 3.3.2 端口扫描（Port Scanning） 通常采用Nmap等扫描工具： ① 获得目标主机开放的TCP和UDP端口列表 ② 确定主机上开放的网络服务 ③ 得到监听端口返回的Banner信息 利用这些服务的漏洞，进行进一步入侵。 TCP三次握手缺陷TCP三次握手缺陷　 SYN包,C的序列号 Client 　SYN+ACK包,S序列号,C应答号　Server 　 ACK包,S的应答号 • 源端口(>1024高端口) 　• 目的端口(<1024熟知 • 源IP地址(寻址只关心 端口，表明Server上 目的IP，不认证源IP地 提供的服务) 址，可能是“假”地址) • 目的IP地址 TCP标志位的作用： SYN/ACK/RST/FIN/PSH/URG假 假冒（另一主机IP地址） 虚假（可路由不可到达）3.3.3 操作系统探测（Operate System Probing） 3.3.3 操作系统探测（Operate System Probing） 协议栈指纹鉴别（TCP Stack Fingerprinting） 各个OS实现协议栈细节不同的原因如下： 1）对RFC相关文件理解不同； 2）TCP/IP规范并不被严格执行； 3）规范中一些选择性特性只在某些系统使用； 4）某些系统私自对IP协议做了改进。 操作系统探测的方法 操作系统探测的方法 ① 对目标主机发出OS探测包，每种OS有其独特响应方法，可根据返回的响应包确定目标主机OS类型。 协议栈指纹：TTL值、TCP窗口大小、DF标志、TOS、IP碎片、ACK值、TCP选项等。 ② 利用Ping扫描返回的TTL值进行简单的OS探测 3.3.4 漏洞扫描（Hole Scanning） 3.3.4 漏洞扫描（Hole Scanning） ① 漏洞（脆弱性，Vulnerability） 计算机或网络系统具有的某种可能被入侵者恶意利用的特性。 ② 漏洞扫描 针对特定应用和服务（如操作系统、Web服务器、数据库服务器、防火墙、路由器）查找目标网络漏洞，并抽取有效账号或导出资源名。3.4 嗅探技术（Sniffing） 3.4 嗅探技术（Sniffing） ① 黑客使用：非常隐蔽地攫取网络大量敏感信息，是一种有效的“被动攻击”技术。 与主动攻击技术相比，嗅探行为更易实现、更难被察觉。 ② 安全管理人员使用：对网络活动进行实时监控，并及时发现各种网络攻击行为。嗅探技术的分类 嗅探技术的分类 局域网主机监听到发送给其他主机的数据包内容。 ① 共享式局域网——将该主机网卡设置成混杂（Promiscuous）模式 ② 共享式和交换式局域网——该主机使用ARP欺骗 注意：两种技术可结合使用，从而嗅探到局域网上传送的用户账号和口令。 嗅探工具不能不加选择地接收所有数据包，并且长时间地监听。3.5 攻击技术（Attack Technology）3.5 攻击技术（Attack Technology）3.5.1 社会工程（Social Engineering） 3.5.2 口令破解（Password Cracking） 3.5.3 IP欺骗（IP Spoofing） 3.5.4 ARP欺骗（ARP Spoofing） 3.5.5 DNS欺骗（DNS Spoofing） 3.5.6 会话劫持（Session Hijacking） 3.5.7 拒绝服务（Denial of Service）攻击 3.5.8 缓冲区溢出（Buffer Overflow）攻击3.5.1 社会工程（Social Engineering）3.5.1 社会工程（Social Engineering）① 社会工程的核心：攻击者伪装身份并设法让受害人泄露系统信息。 ② 一种低技术含量破坏网络安全的方法，其实是高级黑客技术的一种，往往使得看似处在严密防护下的网络系统出现致命的突破口。 ③ 利用说服或欺骗的方式，让安全意识薄弱的职员来提供必要的信息，从而获得对信息系统的访问。 3.5.2 口令破解（Password Cracking）3.5.2 口令破解（Password Cracking）① 手工尝试（猜测） ② 对口令文件使用破解工具（字典/暴力/组合攻击） ③ 使用嗅探技术获得口令 ④ 使用社会工程方法获得口令 ⑤ 恶意网页和恶意电子邮件 ⑥ 通过键盘器获得口令 ⑦ 账号口令锁定机制 拒绝服务攻击3.5.3 IP欺骗（IP Spoofing） 3.5.3 IP欺骗（IP Spoofing） IP欺骗：通过伪造数据包源IP地址，伪装成被信任主机来骗取目标主机信任，从而实现攻击。 基于两个前提： 1）TCP/IP路由数据包时，不判断源IP地址 可以伪造数据包的源IP地址； 2）UNIX中主机之间存在信任关系 基于IP地址的认证，不再需要用户账号和口令。一个完整的IP欺骗攻击过程 一个完整的IP欺骗攻击过程 3.5.4 ARP欺骗（ARP Spoofing） 3.5.4 ARP欺骗（ARP Spoofing） ARP协议的缺陷：一台主机即使收到的ARP应答包并非请求得到的，也会将其插入ARP缓存表中。 ① 黑客想嗅探同一局域网两台主机的通信，就分别给它们发送ARP应答包，让它们误认为对方的MAC地址就是黑客的MAC地址。 ② 两台主机之间的数据包都会通过黑客，双方看似“直接”的通信，实际上都是通过黑客中转的。 3.5.5 DNS欺骗（DNS Spoofing） 3.5.5 DNS欺骗（DNS Spoofing） DNS协议的缺陷：DNS服务器向另一个DNS服务器发送解析请求时并不认证被请求方，黑客可以冒充被请求方返回一个被篡改的IP地址。 DNS服务器会缓存被黑客篡改的IP地址，以后对该服务器的同一域名的解析请求，在该条目被缓存的生存期内，得到的结果都将被篡改。3.5.6 会话劫持（Session Hijacking） 3.5.6 会话劫持（Session Hijacking） 会话劫持：结合嗅探和欺骗技术，在正常的通信过程中，黑客作为第三方参与其中： ① 要么在数据流里注射额外的信息； ② 或将双方的通信模式暗中改变，即从直接联系变成交由黑客中转。 3.5.7 拒绝服务（Denial of Service）攻击3.5.7 拒绝服务（Denial of Service）攻击• 并非某一种具体的攻击方式 • 而是攻击所表现出来的结果—— 使服务器不能正常地对外界提供服务（可用性） 内存损耗 系统程序和应用程序的漏洞 带宽损耗 网络协议实现中的缺陷 （如TCP三次握手缺陷） 攻击者不需与目标交互 可伪造源IP地址 难以追踪结果原因DoS攻击方法的分类与比较DoS攻击方法的分类与比较3.5.8 缓冲区溢出（Buffer Overflow）攻击3.5.8 缓冲区溢出（Buffer Overflow）攻击① 缓冲区：程序运行时内存分配的一个连续区域，保存字符数组在内的各种类型数据。 ② 溢出：所填充数据超过原有缓冲区边界，并非法占据另一段内存，导致程序执行出错。 ③ 缓冲区溢出攻击：黑客精心构造填充数据，用自己代码覆盖原来的返回地址，让程序改变现有流程去执行特定代码，最终获取系统控制权。 缓冲区溢出攻击的原理缓冲区溢出攻击的原理攻击者利用计算机指令系统弱点，有缺陷程序代码，向程序提交恶意超长的输入数据，破坏或改写内存中控制流程的关键信息，获得进程的控制权。 根本原因：C/C++没有对数组引用进行边界检查： ① 如果读取数组以外内容，会使程序得出错误结果 ② 如果是写入，可能破坏该进程内存的其它内容3.6 权限提升（Escalating Privilege） 3.6 权限提升（Escalating Privilege） 黑客进入系统获得访问权 权限提升 得到系统的控制权（最终目的） （root或最高管理员权限）使用su命令、种植获取口令的木马 破解口令散列文件得到管理员口令 利用Web浏览和电子邮件3.7 掩盖踪迹（Covering Tracks） 3.7 掩盖踪迹（Covering Tracks） 隐藏自己踪迹，以防被管理员发觉，以便能随时返回被入侵系统继续破坏或作为跳板 1）隐藏上传的文件 2）禁止或篡改日志审计信息 3）清除日志记录 4）改变系统时间造成日志文件数据紊乱 5）干扰入侵检测系统的正常运行 6）修改完整性检测数据 7）使用Rootkit工具 3.8 创建后门（Creating Bookdoor） 3.8 创建后门（Creating Bookdoor） 无论用户账号增加/减少、服务开启/关闭等配置如何改变，“后门程序”都能为攻击者提供访问权限。 1）重新开放不安全的服务端口 2）修改系统配置留下漏洞 3）安装嗅探器和建立隐藏通道 4）创建具有root权限的虚假用户账号 5）安装批处理文件 6）安装远程控制工具 7）使用木马程序替换系统程序常用的后门创建方法常用的后门创建方法1）SUID后门：提升权限后门 2）利用信任关系建立rlogin后门 3）使用Netcat建立远程登录后门 4）采用隧道技术的后门：通过封包来穿越防火墙 5）端口重定向后门：通过中转主机将请求转发给目标 6）采用反向连接来穿越防火墙 7）键盘记录器后门 8）木马服务器后门 9）内核级Rootkit后门：工作效率高且很难发现