第十一講攻擊與防范

1、第十一講 攻擊與防范,主要內容,攻擊漏洞,攻擊——含義,攻擊可以是未授權的個人訪問或者修改信息的嘗試，欺騙系統(tǒng)使一個未授權的人接管授權會話，或者中斷對授權用戶的正常服務。破壞：使攻擊目標不能正常工作，但不能隨意控制目標上的系統(tǒng)運行。入侵：通過獲得一定的權限來達到控制攻擊目標的目的。,攻擊——常見的攻擊,拒絕服務攻擊緩沖區(qū)溢出攻擊木馬攻擊其它攻擊,拒絕服務攻擊——簡介,拒絕服務攻擊的主要企圖是借助于網絡系統(tǒng)或網絡協(xié)議的缺陷和配

2、置漏洞進行網絡攻擊，使網絡擁塞、系統(tǒng)資源耗盡或者系統(tǒng)應用死鎖，妨礙目標主機和網絡系統(tǒng)對正常用戶服務請求的及時響應，造成服務的性能受損甚至導致服務中斷。拒絕服務攻擊是目前黑客常用的攻擊手法，由于可以通過使用一些公開的軟件進行攻擊，它的發(fā)動較為簡單，能夠迅速產生效果，同時要防止這種攻擊又非常困難。從某種程度上可以說，拒絕服務攻擊永遠不會消失，而且從技術上目前還沒有根本的解決辦法。,拒絕服務攻擊——概念,“拒絕服務攻擊(Denial of

3、Service)”的方法，簡稱DoS，是阻止或拒絕合法使用者存取網絡服務的一種破壞性攻擊方式。它的惡毒之處是通過向服務器發(fā)送大量的虛假請求，服務器由于不斷應付這些無用信息而最終筋疲力盡，而合法的用戶卻由此無法享受到相應服務，實際上就是遭到服務器的拒絕服務。攻擊廣義上，DoS可以指任何導致服務器不能正常提供服務的攻擊。這種攻擊可能就是潑到服務器上的一杯水，或者網線被拔下，或者網絡的交通堵塞等，最終的結果是正常用戶不能使用他所需要的服務了

4、，不論是在本地或者是遠程。,拒絕服務攻擊——舉例,SYN洪水是DoS攻擊的一種形式，它基于TCP/IP網絡的工作原理，可以用于解釋任何DoS攻擊的原理。SYN洪水利用了在兩個系統(tǒng)之間建立連接的TCP三次握手。在正常的環(huán)境下，客戶端向它希望與之通信的服務器發(fā)送SYN數(shù)據包，如果服務器能夠接受這個請求的話，則用SYN/ACK響應。當客戶端從服務器收到SYN/ACK時，它就響應一個ACK數(shù)據包，通信就可以進行了。,拒絕服務攻擊——攻擊手段舉例

5、,在SYN洪水攻擊中，攻擊者向目標系統(tǒng)發(fā)送虛假的通信請求。這些請求會被目標系統(tǒng)所響應，然后等待第三次握手。因為請求是虛假的（在請求中使用的是不存在的IP地址，以至于目標系統(tǒng)向一個不存在的系統(tǒng)作出響應），目標系統(tǒng)等待的響應永遠也不會發(fā)生。在超過一個特定的時間周期之后，目標系統(tǒng)將終止這些連接，但是如果攻擊者發(fā)送請求的速度要比清除它們的速度快，系統(tǒng)很快就會被這些請求填滿。一個系統(tǒng)能夠支持的連接的數(shù)量是有限的，所以當進來的請求超過能夠處理的請求

6、的時候，系統(tǒng)的所有連接很快就被虛假請求所占滿。在這一點上，任何進一步的請求簡單地被中斷（忽略），希望與目標系統(tǒng)建立連接的合法用戶也無法連接到目標系統(tǒng)，因而對系統(tǒng)的使用也被拒絕。,緩沖區(qū)溢出攻擊——簡介,緩沖區(qū)溢出攻擊是一種通過往程序的緩沖區(qū)寫入超出其長度的內容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉而執(zhí)行其他預設指令，以達到攻擊目的的攻擊方法。緩沖區(qū)溢出是一種相當普遍的缺陷，也是一種非常危險的缺陷，在各種系統(tǒng)軟件、應用軟件中廣泛

7、存在。緩沖區(qū)溢出可以導致程序運行失敗、系統(tǒng)死機等后果。如果攻擊者利用緩沖區(qū)溢出使計算機執(zhí)行預設的非法程序，則可能獲得系統(tǒng)特權，執(zhí)行各種非法操作。,緩沖區(qū)溢出攻擊——內存溢出舉例,,,,#include void flowingover(char *s1) { //子函數(shù) char s2[32];strcpy (s2，s1);printf (s2);}void main() { //主函數(shù)char s1[25

8、6];printf ("Please enter 31 characters or less\n");gets (s1);flowingover (s1);},經費使用情況,,木馬攻擊——簡介,源于特洛伊木馬（Trojan house）的簡稱，其名稱源自古希臘神話傳說。指附著在應用程序中或者單獨存在的一些惡意程序，可以利用網絡遠程響應網絡另一端的控制程序的控制命令，實現(xiàn)對感染木馬程序的計算機的控制，或者竊取

9、感染木馬程序的計算機上的機密資料。木馬程序一般利用TCP/IP協(xié)議，采用C/S結構，分為客戶端和服務器端兩個部分，并一般運行于網絡上不同的兩臺計算機上。服務器端程序運行于被攻擊的計算機上。而客戶端程序在控制者的計算機上?？蛻舳顺绦蚩梢酝瑫r向多個服務器端程序發(fā)送命令以控制這些計算機?？蛻舳顺绦蛞话闾峁┯押玫牟僮鹘缑?，以便于用戶操作，其功能可能很多。,木馬攻擊——簡介（續(xù)1）,木馬常被偽裝成工具程序或者游戲來誘使用戶打開帶有木馬程序的郵件

10、附件或從網上下載，一旦用戶打開這些郵件的附件或者執(zhí)行這些程序，它們就會在計算機系統(tǒng)中隱藏一個可以在啟動時悄悄執(zhí)行的程序。這種遠程控制工具可以完全控制受害主機，危害極大。對木馬程序而言，它一般包括兩個部分：客戶端和服務器端。客戶端程序是控制者所使用的，用于對受控的計算機進行控制。服務器端程序和客戶端程序建立起連接就可以實現(xiàn)對遠程計算機的控制了。木馬本身不具備繁殖性和自動感染的功能。,木馬攻擊——簡介（續(xù)2）,木馬運行時，首先服務器端

11、程序獲得本地計算機的最高操作權限，當本地計算機連入網絡后，客戶端程序可以與服務器端程序直接建立起連接，并可以向服務器端程序發(fā)送各種基本的操作請求，并由服務器端程序完成這些請求，也就實現(xiàn)對本地計算機的控制了。,木馬攻擊——主要實現(xiàn)技術,自動啟動技術木馬程序除了第一次運行需要用戶來執(zhí)行它之外，以后一般會在每次用戶啟動系統(tǒng)時自動裝載服務器端程序。隱蔽技術木馬設計者為了防止木馬程序被發(fā)現(xiàn)，會盡可能地采用各種隱藏手段，不會在系統(tǒng)中顯示出來。

12、木馬程序一般體積十分細小，執(zhí)行時不會占太多的資源。遠程監(jiān)控技術遠程監(jiān)控功能是木馬最主要的功能，也是木馬的最終目的。包括對對方主機的鼠標、鍵盤以及屏幕顯示甚至網絡通信流量流向等監(jiān)視；也包括對對方計算機系統(tǒng)信息的搜集；也可控制目標機按照自己的意愿在被攻擊計算機上運行程序或關閉對方的功能。,木馬攻擊——舉例,遠程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬，它可以訪問受害人的硬盤，并對其進行控制。這種木馬用起來非常簡單，只要某用戶運行一下服務端程序

13、，并獲取該用戶的IP地址，就可以訪問該用戶的計算機。這種木馬可以使遠程控制者在本地機器上做任意的事情，比如鍵盤記錄、上傳和下載功能、截取屏幕等等。這種類型的木馬有著名的BO（Back Office）和國產的冰河等。密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會在每次的Windows重啟時重啟，而且它們大多數(shù)使用25端口發(fā)送E—mail。,木馬攻擊——舉例（續(xù)）,鍵盤記錄

14、型木馬非常簡單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動而啟動，知道受害者在線并且記錄每一件事。 毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡單，并且很容易被使用。它們可以自動地刪除用戶計算機上的所有的.DLL、INI或EXE文件。FTP 型木馬打開用戶計算機的21端口（FTP所使用的默認端口）， 使每一個人都可以用一個FTP 客戶端程序來不用密碼

15、連接到該計算機，并且可以進行最高權限的上傳下載。,木馬攻擊——對服務端的侵襲過程,其它攻擊——簡介,欺騙攻擊欺騙攻擊是網絡攻擊的一種重要手段。常用的欺騙攻擊方式有：DNS欺騙攻擊、Email欺騙攻擊、Web欺騙攻擊和IP欺騙攻擊等等。利用處理程序錯誤（漏洞）攻擊作為一個系統(tǒng)整體，無論怎樣加強其安全性，它還是或多或少地存在著不同程度的安全漏洞，更不用說通常使用的其它各種類型的軟件了。從某種意義上來說，程序存在錯誤幾乎再所難免。軟件開

16、發(fā)者任何一個小小的疏忽和錯誤都會給入侵者以可乘之機。,攻擊——典型攻擊的一般過程,漏洞——含義,漏洞是硬件、軟件或策略上的缺陷，從而使得攻擊者能夠在未授權的情況下訪問、控制系統(tǒng)。漏洞是軟件在開發(fā)的過程中沒有考慮到的某些缺陷，也叫軟件的bug。 漏洞是指計算機系統(tǒng)軟硬件包括操作系統(tǒng)和應用程序的固有缺陷或者配置錯誤，這些缺陷和錯誤很容易被黑客所利用對計算機系統(tǒng)進行攻擊。,漏洞——理解,漏洞一般指軟件的（安全）漏洞。漏洞存在通用的軟件中

17、。漏洞是事先未知、事后發(fā)現(xiàn)的。漏洞是安全隱患，如果被利用，其后果不可預知。漏洞一般能夠被遠程利用。漏洞一般是可以修補的。,漏洞——產生的原因,設計上的缺陷利益上的考慮軟件變得日益復雜,漏洞——危害,計算機病毒的泛濫木馬程序的植入未經授權或提高其訪問權限某些信息的泄漏,漏洞——舉例,,,,,,,,,,,漏洞名稱：RPC溢出漏洞 發(fā)布時間：2003-07-14 嚴重程度：高 威脅程度：遠程管理員權限 危害描

18、述：遠程進入系統(tǒng)執(zhí)行任意代碼 錯誤類型：設計錯誤 利用方式：服務器模式 CVE ID：CAN-2003-0352受影響系統(tǒng)：Windows 系列(NT、2000、XP、2003),漏洞舉例——RPC溢出漏洞,,,,,通過往程序的緩沖區(qū)寫超出其長度的內容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉而執(zhí)行其它指令，以達到攻擊的目的。Remote Procedure Call(RPC)是Windows操作系統(tǒng)使用的一

19、種遠程過程調用協(xié)議,RPC協(xié)議提供一種進程間的交互通信機制，它允許本地機器上的程序進程無縫的在遠程系統(tǒng)中運行代碼。該協(xié)議的前身是OSF RPC協(xié)議，但是增加了微軟自己的一些擴展。,漏洞舉例——RPC漏洞起因,RPC的DCOM接口負責處理DCOM對象激活請求，但不能正確處理畸形消息。其本質就是對其參數(shù)未能進行有效檢查。,漏洞舉例——沖擊波的危害,據國家計算機病毒應急處理中心統(tǒng)計，在“沖擊波”病毒出現(xiàn)24小時內，全球有140萬個網絡地址(

20、相當于140萬臺以上電腦)被入侵。在“沖擊波”病毒出現(xiàn)的4個工作日內，該中心收集到全國范圍內的61000多個案例，受感染的計算機超過100萬臺，全國所有地區(qū)幾乎都有案例報告。它給全球互聯(lián)網所帶來的直接損失，將在幾十億美元左右。,漏洞——關于補丁,補丁有的為了加強軟件的功能而推出。安全補丁是軟件開發(fā)廠商為堵塞安全漏洞，提高軟件的安全性和穩(wěn)定性，開發(fā)的與原軟件結合或對原軟件升級的程序。當前打補丁是“堵”漏洞最有效的方法。,漏洞——常用打

21、補丁的方式,版本升級。直接執(zhí)行補丁程序。修改設置。禁止不必要的服務（端口）。,漏洞——漏洞、攻擊程序、補丁和病毒的時間關系,病毒名稱：Blaster  利用漏洞：Windows RPC 漏洞 微軟公告： MS03-026(2003.7.14)    補丁發(fā)布時間：2003.7.16    

22、 攻擊代碼發(fā)現(xiàn)時間：2003.7.24     病毒出現(xiàn)時間：2003.8.13      可以彌補時間：8天/27天,漏洞——安全漏洞的分類,網絡協(xié)議：TCP/IP、NetBios操作系統(tǒng)：Windows、Linux、Unix應用服務：Ftp、POP3、Http應用軟件：數(shù)據庫配置設置：口令設置、匿名設置、注冊表

23、網絡設備：路由器、防火墻,漏洞——漏洞風險程度的分類規(guī)則,攻擊者可以遠程執(zhí)行任意命令或者代碼。攻擊者可以遠程獲取應用系統(tǒng)的管理權限。遠程拒絕服務攻擊。 漏洞的威脅程度可以由被利用的程序的使用廣泛性來衡量。適用性越廣，威脅越高。,高級,中級,攻擊者可以遠程創(chuàng)建、修改、刪除文件。攻擊者可以獲取系統(tǒng)敏感信息，例如用戶名、口令信息。攻擊者可以讀取任意文件、目錄。攻擊者可以讀取特定文件、目錄內容。潛在可能導致中等風險漏洞

24、的問題。,低級,攻擊者可以獲取某些系統(tǒng)、服務的信息。例如操作系統(tǒng)類型、物理路徑、服務版本信息。沒有已知安全問題、但可能是不必要的服務。,漏洞——漏洞掃描器,漏洞掃描器是對網絡和主機的安全性進行風險分析和評估的軟件，是一種能自動檢測遠程或本地主機系統(tǒng)在安全性方面弱點和隱患的程序包。漏洞掃描就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞掃描的結果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安

25、全方案的一個重要組成部分。 漏洞掃描是網絡安全防御中的一項重要技術。,漏洞——漏洞掃描器示意圖,漏洞——漏洞掃描器原理、目標和結果,原理：采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標：工作站、服務器、交換機、數(shù)據庫應用等各種對象。結果：向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網絡安全整體水平提供重要依據 。,漏洞——漏洞掃描器優(yōu)點,在網絡安全體系的建設中，安全掃描是一種花費底、效果好、見效快、與網絡的運

26、行相對對立、安裝運行簡單的工具，它可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網安全政策的統(tǒng)一和穩(wěn)定。,漏洞——漏洞掃描器的分類,基于網絡的漏洞掃描器基于主機的漏洞掃描器 兩者實現(xiàn)原理基本一致 ，但體系結構差距較大。,網絡漏洞掃描器——組成,漏洞數(shù)據庫模塊 用戶配置控制臺模塊 掃描引擎模塊 結果存儲器和報告生成工具,網絡漏洞掃描器——體系結構,網絡漏洞掃描器——基本原理,一般來說，基于網絡的漏洞掃描工具可以看作為一種

27、漏洞信息收集工具，他根據不同漏洞的特性，構造網絡數(shù)據包，發(fā)給網絡中的一個或多個目標機，以判斷某個特定的漏洞是否存在。,基于網絡的漏洞掃描——實現(xiàn)過程,1.根據控制臺的設置，確定掃描目標和那些漏洞。2.向目標機發(fā)送掃描引擎組裝好相應的數(shù)據包，接收返回結果并與漏洞數(shù)據庫的特征值進行比較。3.利用掃描引擎返回的掃描結果，生成掃描報告。,基于網絡的漏洞掃描——優(yōu)點,價格方面。相對來說比較便宜。不需要涉及到目標系統(tǒng)的用戶。維護簡便，尤其網

28、絡發(fā)生了變化的時候?；緷M足安全需求。,基于網絡的漏洞掃描——不足,一些漏洞不能檢測到。不易能穿過防火墻。掃描服務器與目標主機之間安全傳輸問題。,基于主機的漏洞掃描——簡介,基于主機的漏洞掃描器，掃描目標系統(tǒng)的漏洞的原理，與基于網絡的漏洞掃描器的原理類似，但是，兩者的體系結構不一樣。基于主機的漏洞掃描器通常在目標系統(tǒng)上安裝了一個代理（Agent）或者是服務（Services），以便能夠訪問所有的文件與進程，這也使得基于主機的漏洞掃

29、描器能夠掃描更多的漏洞?；谥鳈C的漏洞掃描工具是由控制臺、管理器和代理三部分組成的。當代理收到管理器發(fā)來的掃描指令時，代理單獨完成本目標系統(tǒng)的漏洞掃描任務；掃描結束后，代理將結果傳給管理器；最終用戶可以通過控制臺瀏覽掃描報告。,基于主機的漏洞掃描——優(yōu)點,掃描的漏洞數(shù)量多。由于通常在目標系統(tǒng)上安裝了一個代理（Agent）或者是服務（Services），以便能夠訪問所有的文件與進程，這也使得基于主機的漏洞掃描器能夠掃描更多的漏洞。集

30、中化管理。基于主機的漏洞掃描器通常都有個集中的服務器作為掃描服務器。所有掃描的指令，均從服務器進行控制，這一點與基于網絡的掃描器類似。服務器下載到最新的代理程序后，再分發(fā)給各個代理。這種集中化管理模式，使得基于主機的漏洞掃描器的部署上，能夠快速實現(xiàn)。網絡流量負載小。由于管理器與代理之間只有通訊的數(shù)據包，漏洞掃描部分都有代理單獨完成，這就大大減少了網絡的流量負載。當掃描結束后，代理再次與管理器進行通訊，將掃描結果傳送給管理器。,基于主機

31、的漏洞掃描——優(yōu)點（續(xù)）,通訊過程中的加密機制。所有的通訊過程中的數(shù)據包，都經過加密。由于漏洞掃描都在本地完成，代理和管理器之間，只需要在掃描之前和掃描結束之后，建立必要的通訊鏈路。因此，對于配置了防火墻的網絡，只需要在防火墻上開放管理器所需的端口，管理器即可完成漏洞掃描的工作。,基于主機的漏洞掃描——不足,首先是價格方面?；谥鳈C的漏洞掃描工具的價格，通常由一個管理器的許可證價格加上目標系統(tǒng)的數(shù)量來決定，當一個企業(yè)網絡中的目標主機較多