信息通信网络概论.ppt

Page1 第二章黑客 远程攻击与计算机病毒 东南大学信息安全研究中心蒋睿2012年2月R Jiang Page2 内容提要 黑客与远程攻击缓冲区溢出及拒绝服务攻击计算机病毒 Page3 黑客与远程攻击 黑客 1 几个概念黑客 hacker 指那些酷爱计算机的人 分类 一种是对电脑有强烈兴趣的人 另一种是为了逃避现实而把自己淹没在虚拟世界的人道德准则通往计算机的路不止一条所有的信息都应当是免费的打破计算机集权在计算机上创造艺术和美计算机将使生活更美好骇客 cracker 以个人私利为目的对网站进行恶意侵犯的罪犯 红客 honker 具备一定网络技术 编程技巧和遵守红客原则的人士 红客原则 成员不得利用自身技术进行对网络安全不利的活动不得违反国家关于网络安全的相应法律法规更不得无端入侵普通用户和合法网站 违者从联盟名单中剔除 Page4 黑客与远程攻击 黑客 2 国外知名黑客组织总共1946个 第一为 银色上帝 SilverLords PoisonBox排第二 中国红客联盟 HUC 列第25 国内主要组织成员中国红客联盟 Page5 黑客与远程攻击 黑客 3 其他相关黑客事件其他五次中国红客行动 1997年 1999年5月 1999年7月 2000年1月 2003年2月 美国 911 事件后 对阿富汗塔利班网站的猛烈入侵等 黑客主要工具分类安全扫描类 网络监听类 远程控制类 入侵工具类 加密解密类安全扫描类SATAN NESSUS ISS Retina及X way等网络监听类Sniffer NetXRay Sniffit和网络刺客等远程控制类PcAnywhere ReachOut RemotelyAnywhere RemotelyPossible ControllT Bo2000 冰河等 Page6 黑客与远程攻击 黑客 4 入侵工具类拒绝服务型工具 分布式拒绝服务工具 邮件炸弹工具 OICQ炸弹工具加密解密类查看 密码工具 007PasswordRecovery 破解ZIP文件密码工具 AdvancedZIPPasswordRecovery 破解Access数据库密码工具 Access密码读取工具 E mail密码破解工具 EmailCrk WindowsNT密码破解工具 LophtCrack UNIX破解工具 JohntheRipper和CrackJack Page7 黑客与远程攻击 远程攻击 1 远程攻击手段收集信息 获取访问权限 拒绝服务 逃避检测攻击的一般目标系统型攻击数据型攻击攻击的一般过程寻找目标和收集信息掌握目标在网络上的域名使用nslookup和tracert等实用程序 查找与该域名对应的IP地址 截取DNS服务器中登记的所有主机名称和IP地址的对应清单除了root用户帐号外 还应知道一个普通用户帐号利用目标主机的finger功能来源于电子邮件地址利用X 500功能猜测习惯性常用帐号 Page8 黑客与远程攻击 远程攻击 2 系统安全弱点的探测利用ping和一些服务端口扫描工具 查看服务是否处于活动状态 并且等候其连接请求 利用ISS和SATAN等工具对网络或子网扫描 寻找安全漏洞 寻找内部落脚点 隐藏自己并实施攻击获得对攻击目标系统的访问权限毁掉入侵痕迹 在目标系统中建立后门在目标系统中安装探测器软件 收集黑客感兴趣的一切信息进一步发现受损系统在网络中的信任等级 展开对整个系统的攻击在受损系统上获得特许访问权 毁坏重要数据 破坏整个系统信息 Page9 黑客与远程攻击 远程攻击 3 攻击的主要方式利用系统缺陷或后门利用用户淡薄的安全意识利用防火墙的安全隐患内部用户的窃密 泄密和破坏网络监督和系统安全评估性手段的缺乏制造口令攻击和拒绝服务利用电子邮件与web的缺陷 Page10 黑客与远程攻击 口令 IP欺骗与木马 1 口令攻击攻击原理 字典加穷举攻击 开机密码SETUP密码用DEBUG手工清除 o7016 o7116 q下载Comspwd Page11 黑客与远程攻击 口令 IP欺骗与木马 2 WindowsNT 2000口令破解原理方法 采用NT平台的口令审计工具LophtCrack 用字典攻击法 混合攻击法 hybrid 蛮力攻击法 bruteforce 进行破解 步骤 获得口令的hash散列值破解得到口令的hash散列值UNIX系统采用JohntheRipper工具进行破解防范办法安全知识教育口令的选择牢记几个要点 Page12 黑客与远程攻击 口令 IP欺骗与木马 3 IP欺骗IP欺骗的概念是一种通过伪造来自某个受信任地址的数据包来让某台计算机认证另一台计算机的复杂技术 IP欺骗原理利用信任关系 同一网段 UNIX中相互信任的用户利用IP协议面向非连接的特性利用TCP协议的序列号IP欺骗步骤选定目标主机发现信任模式 并找到一个被目标主机信任的主机 Page13 黑客与远程攻击 口令 IP欺骗与木马 4 使被信任主机丧失工作能力 SYNFlood等 采样目标主机发出的TCP序列号 猜测出它的数据序列号伪装成被信任的主机 与目标主机建立起基于地址验证的应用连接连接成功后 放置一系统后门 以进行非授权操作IP欺骗工具Hunt Linux UNIX http lin fsid cvut cz kra index htmlIpspoof UNIX UNIX Page14 木马 1 木马特洛伊木马概念特洛伊木马是一个包含在一个合法程序中的非法程序 该非法程序在用户未知的情况下被执行 特洛伊木马一般有两个程序 一个是服务器程序 一个是控制器程序 如果计算机被安装了服务器程序 则黑客可使用控制器进入计算机 通过命令服务器程序达到控制计算机的目的 木马的危害用户的机密信息将被窃用户的计算机系统易遭病毒侵袭木马的基本机制木马需要一种启动方式 一般在注册表启动组中木马要在内存中才能发挥作用木马会打开特别的端口 以便黑客和木马联系 NETSPY是7306 SUB7是1243 冰河是7626 Page15 木马 2 木马的基本功能读和写的功能运行程序功能查看及终止目标计算机进程功能能方便地编辑注册表 能捆绑到其他软件上 能改变安装地点及启动方式 能改变端口 上网自动通知木马的生存能力隐蔽性 木马的启动 注册表 win ini system ini 在硬盘上的位置 Windows98中在c windows和c windows system WindowsNT 2000中在c winnt system32 木马文件名 与Windows的系统文件接近 木马的文件属性木马的图标木马开放的端口 Page16 木马 3 木马运行时的隐蔽木马在内存中的隐蔽顽固性 即使木马被发现存在于计算机中 也很难被删除 潜伏能力对付木马的常用工具Regedit Tcpview ATM Lockdown NukeNabber Norton等防火墙产品木马的发现和清除用防火墙软件或杀毒软件手工删除首先备份 然后验证木马 终止该程序在内存中的运行 然后删除典型木马冰河 Bo2000 PCAnyWhere等 Page17 缓冲区溢出 1 基本概念 bufferoverflow 程序在内存中的位置堆栈是一个先入后出的队列 它的生长方向与内存的生长方向相反缓冲区溢出的原理向一个有限空间的缓冲区复制超长的字符串 而程序自身却没有进行有效的检验 导致程序运行失败 系统重新启动 甚至停机 一个缓冲区溢出应用程序使用这个溢出的数据将汇编语言代码放到计算机的内存中 通常是产生root权限的地方 单单的缓冲区溢出并不会产生安全问题 只有将溢出送到能够以root权限运行命令的区域才会产生威胁 Page18 缓冲区溢出 2 一个简单的溢出 voidfunction char str charbuffer 16 strcpy buffer str 缓冲区溢出实例解析制造缓冲区溢出 Page19 缓冲区溢出 3 通过缓冲区溢出获得用户shell Page20 缓冲区溢出 4 利用缓冲区溢出的攻击 Page21 缓冲区溢出 5 Page22 缓冲区溢出 6 缓冲区溢出程序组成准备一段可以调出的Shell代码申请一个缓冲区 将Shell代码填入缓冲区低端估算Shell代码在堆栈的可能起始位置 将该位置写入缓冲区的高端将该缓冲区作为一个有着缓冲区溢出错误的一个入口参数 并执行该有着错误的程序 Page23 缓冲区溢出 7 漏洞与攻击的分析代码放置的方法殖入法利用已经存在的代码控制程序转移的方法激活记录 ActivationRecords 函数指针 FounctionPointers 长跳转缓冲区 Longjmpbuffers 代码殖入和流程控制技术综合代码殖入和激活记录把代码作为参数 利用缓冲区溢出改变程序的参数 使程序指针指向libc中特定的代码段 Page24 缓冲区溢出 8 缓冲区溢出的保护编写正确的代码非执行的缓冲区数组边界检查CompaqC编译器C的数组边界检查存储器存取检查类型 安全语言程序指针完整性检查手写的堆栈监测堆栈保护指针保护 Page25 拒绝服务攻击 1 拒绝服务概述拒绝服务 DenialofService 简称DoS主要表现企图湮没一个网络 中断正常的网络流量企图破坏两个机器之间的连接 禁止访问可用服务企图阻止某一特定用户对网络上服务的访问企图破坏一个特定系统或人 使其不能提供正常服务拒绝服务模式资源消耗型消耗网络带宽 ping Finger Smurf等消耗磁盘空间 大量Mail信息 出错Log信息 垃圾文件 公开目录 共享区域 消耗CPU资源和内存共享 Page26 拒绝服务攻击 2 配置修改型改变路由信息修改WindowsNT注册表修改UNIX的各种配置文件物理破坏型计算机 路由器 网络配线室 网络主干段 电源 其他设备等服务利用型 利用TCP IP协议栈的漏洞 如允许碎片包 大数据包 IP路由选择 半公开TCP连接 数据包Flood等拒绝服务常见手段分析死亡之Ping PingofDeath 原理 向目标端口发送大量超大尺寸的ICMP包来实现目标平台 Windows9x实现 在命令行输入 ping 165535 Page27 拒绝服务攻击 3 TeardropIP碎片入侵原理 链路层具有最大传输单元MTU特性 它限制了数据帧的最大长度 如果IP层要传输的数据包长度超过了MTU 则IP层就要对数据包进行分片 使每片长度小于等于MTU 每一IP分片各自路由 到达目的主机后在IP层重组 IP首部中的数据保证正确完成分片的重组 若在IP分组中指定一个非法的偏移值 将造成某些协议软件出现缓冲区覆盖 导致系统崩溃 目标平台 Linux Windows9x NT实现 默认发送两个UDP数据包第一个 MF 1 偏移量 0 作为IP包的第一个分片第二个 MF 0 偏移量 0 x3 偏移字节数0 x3 8 24 为最后一个分片接收端重组分组的过程 Page28 拒绝服务攻击 4 Land原理 向目标机发送源地址与目的地址一样的数据包 造成目标机解析Land包占用太多资源 从而使网络功能完全瘫痪 目标平台 Linux UNIX Windows9x NT后果 造成死锁使系统崩溃Smurf原理 结合使用IP欺骗和ICMP回复方法使大量网络传输充斥目标系统 导致目标系统拒绝为正常系统进行服务 目标平台 任何应答ICMP数据的系统 Page29 拒绝服务攻击 5 SYNFlood原理 正常的一个TCP连接需要连接双方进行3个动作 即 三次握手 可以利用这一过程 建立数以万计的半连接 消耗掉CPU的时间及内存 使服务器无法回应正常用户的请求 防范 缩短SYNTimeout时间 设置SYNCookie等 Page30 拒绝服务攻击 6 分布式拒绝服务 DDoS DDoS概念DDoS是在传统的DoS基础上 利用更多的傀儡机来发动攻击 以比从前更大的规模来进攻受害者 DDoS入侵的主要表现 大量等待的TCO连接 大量无用的源地址为假的数据包 网络拥塞 受害主机无法及时处理正常请求 系统死机 DDoS的体系结构 Page31 拒绝服务攻击 7 DDoS工作原理分析前提是有许多无关主机可以被入侵者支配入侵者通过常规手段进入这些主机在所侵入的主机上安装入侵软件从攻击控制台向各攻击服务器发出对特定目标攻击的命令分布式拒绝服务常用工具TribeFloodNetwork TFN TrinooStacheldrahtshaftMstream Page32 拒绝服务攻击 8 防范企业网管理员主机上的设置网络设备上的设置 防火墙 路由器ISP ICP管理员骨干网络运营商 Page33 作业 描述IP欺骗的原理及过程 为什么采用6位口令靠不住 如何知道自己的电脑中了木马 中了木马后如何防治 缓冲区溢出攻击的步骤有哪些 如何防止此类攻击 黑客攻击的手段主要有哪些 如何防止 能否完全防止拒绝服务攻击 为什么 Page34 ARP欺骗 原理在以太局域网内数据包传输依靠的是MAC地址 IP地址与MAC对应的关系依靠ARP表 每台主机 包括网关 都有一个ARP缓存表 在正常情况下这个缓存表能够有效的保证数据传输的一对一性 其他主机无法截获其中的通讯信息 但是在ARP缓存表的实现机制中存在一个不完善的地方 当主机收到一个ARP的应答包后 它并不会去验证自己是否发送过这个ARP请求 而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息 分类对路由器ARP表的欺骗对内网PC的网关欺骗 Page35 对路由器ARP表的欺骗 原理攻击者通过截获网关数据 并伪造大量错误的MAC地址以一定的频率发向网关 使路由器ARP缓存溢出 造成真实的地址信息无法通过更新保存在路由器中 造成路由器与真实IP之间无法通信 这种攻击可造成网络中断 Page36 对内网PC的网关欺骗 1 原理攻击者通过伪造网关 将网关的MAC地址修改为攻击者本身 让网内其他用户向攻击者发送数据 而不是通过正常路由器 网关 进行转发 通过这种攻击方式 攻击者能够通过获悉网内通信信息 并通过抓包软件能够获取信息内容 示例首先主机B向主机A发送一个ARP应答包说192 168 1 1的MAC地址是03 03 03 03 03 03 主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192 168 1 1的MAC地址替换成03 03 03 03 03 03 同时主机B向网关发送一个ARP响应包说192 168 1 2的MAC是03 03 03 03 03 03 同样网关也没有去验证这个包的真实性就把自己ARP表中的192 168 1 2的MAC地址替换成03 03 03 03 03 03 Page37 对内网PC的网关欺骗 2 Page38 对内网PC的网关欺骗 3 当主机A想要与主机C通讯时 它直接把应该发送给网关 192 168 1 1 的数据包发送到03 03 03 03 03 03这个MAC地址 也就是发给了主机B 主机B在收到这个包后经过修改再转发给真正的网关 当从主机C返回的数据包到达网关后 网关也使用自己ARP表中的MAC 将发往192 168 1 2这个IP地址的数据发往03 03 03 03 03 03这个MAC地址也就是主机B 主机B在收到这个包后再转发给主机A完成一次完整的数据通讯 这样就成功的实现了一次ARP欺骗攻击 Page39 对内网PC的网关欺骗 4 Page40 计算机病毒概念 1 定义计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 计算机病毒的特征传染性未经授权而执行隐蔽性潜伏性破坏性不可预见性计算机病毒的分类按传染方式引导型病毒 Page41 计算机病毒概念 2 文件型病毒混合性病毒蠕虫病毒宏病毒按连接方式源码型病毒入侵型病毒操作系统型病毒外壳型病毒按破坏性良性病毒恶性病毒 Page42 计算机病毒工作原理 1 计算机病毒基本结构组成整个病毒代码由3部分组成 引导部分 传染部分和表现部分引导部分是将病毒主体加载到内存 为传染部分做准备传染部分是将病毒代码复制到传染目标上去表现部分则是用来表现病毒的破坏性工作机理引导机理寄生对象 磁盘引导扇区 可执行文件寄生方式 替代法 链接法引导过程 驻留内存 窃取系统控制权 恢复系统功能 Page43 计算机病毒工作原理 2 传染机理传染方式 被动传染 主动传染传染过程 通过引导模块将传染模块驻留内存中 修改系统中断向量入口地址 例如INT13H或INT21H 使该中断向量指向病毒程序传染模块 破坏表现机理设计原则 工作原理与传染机制基本相同 通过修改某一中断向量入口地址 一般为时钟中断INT8H 或与时钟中断有关的其它中断 如INT1CH 使该中断向量指向计算机病毒程序的破坏模块 破坏目标和攻击部位主要是 系统数据区 文件 内存 系统运行 运行速度 磁盘 屏幕显示 键盘 喇叭 打印机 CMOS 主板等 Page44 典型计算机病毒 1 引导型病毒包括软盘引导型病毒 硬盘主引导记录病毒 分区引导记录病毒工作原理 通过修改正常的磁盘引导记录来首先获得控制权 再修改相关的系统服务 以达到隐身 感染和驻留内存的目的 Page45 典型计算机病毒 2 Page46 典型计算机病毒 3 文件型病毒通过修改可执行文件入口点来控制计算机 病毒感染COM文件 病毒感染EXE文件 CIH病毒CIH病毒传播的主要途径是Internet和电子邮件 当运行了带毒的程序后 CIH病毒驻留内存 再运行其它 exe文件时 首先在文件中搜索 caves 字符 如果没有发现就立即传染 CIH病毒发作时硬盘数据 硬盘主引导记录 系统引导扇区 文件分配表被覆盖 造成硬盘数据特别是C盘数据丢失 并破坏部分类型的主板上的FlashBIOS导致计算机无法使用 是一种既破坏软件又破坏硬件的恶性病毒 Page47 典型计算机病毒 4 Word宏病毒概念 宏病毒是一种寄存在文档或模板的宏中的计算机病毒 特点病毒代码具有开放性真正跨平台的病毒作用机制 word宏病毒至少包含一个以上的自动宏 AutoOpen AutoClose AutoExec AutoExit AutoNew等 或一个以上的标准宏 FileOpen FileSaveAs等 一旦病毒宏侵入word系统 它就会替代原有的正常宏 使word系统在读取染毒文件时遭受感染 导致以后所有新建的DOC文件都被感染 宏病毒与传统的文件型病毒有很大不同 它不感染 EXE和 COM等可执行文件 而是将病毒代码以 宏 的形式潜伏在Office文件中 主要感染Word和Excel等文件 当采用Office软件打开这些染毒文件时 这些代码就会被执行并产生破坏作用 Page48 典型计算机病毒 5 Melissa 梅丽莎 病毒Melissa 梅丽莎 病毒是专门针对微软电子邮件服务器MSExchange和电子邮件收发软件Out1ookExpress的Word宏病毒 这种病毒是一种Word文档附件 由E mall携带传播扩散 运行过程该病毒关闭MicrosoftWord宏安全 保存一个新的全局模板文件 该病毒覆盖在其目录中找到的第一个文档 如果时间的分钟数与日期中的号数相同 那么该病毒在当前活动文档中插入一段文字 K W Y J I B OKwyjibo Twenty twopoints plustriple word score plusfifty pointsforusingallmyletters Game sover I mouttahere 之后 Melissa读取用户的Outlook地址簿 并向地址簿中的前50个邮件地址发送该病毒 Page49 典型计算机病毒 6 蠕虫病毒定义 计算机蠕虫是自包含的程序 或一套程序 它能传播其自身功能的拷贝或它的某些部分到其他的计算机系统中 经过网络连接 蠕虫病毒不需要将其自身附着到宿主程序 蠕虫的基本程序结构传播模块 负责蠕虫的传播 隐藏模块 侵入主机后 隐藏蠕虫程序 防止被用户发现 目的功能模块 实现对计算机的控制 监视或破坏等功能 工作机理 蠕虫程序进入操作系统后 产生一个线程来执行它第一步 蠕虫寻找一个网络接口 通过这一接口向与它相连的计算机发送它自己的一个拷贝第二步 蠕虫在内存中精确地复制自己 由一个进程复制为两个 再复制为四个 不断重复 占据绝大多数的内存资源 直至系统瘫痪 Page50 典型计算机病毒 7 熊猫烧香病毒概念 熊猫烧香病毒是一个感染型的蠕虫病毒 病毒进程 spoclsv exe 病毒发作时的表现 运行过程拷贝文件 把自己拷贝到C WINDOWS System32 Drivers spoclsv exe 添加注册表自启动 添加自启动项HKEY CURRENT USER Software Microsoft Windows CurrentVersion Runsvcshare C WINDOWS System32 Drivers spoclsv exe Page51 典型计算机病毒 8 病毒发作每隔1秒寻找桌面窗口 并关闭窗口标题程序 中止系统进程每隔18秒点击病毒作者指定的网页 并用命令行检查系统中是否存在共享每隔10秒下载病毒作者指定的文件 并用命令行检查系统中是否存在共享每隔6秒删除安全软件在注册表中的键值感染文件 病毒会感染扩展名为exe pif com src的文件 把自己附加到文件的头部 删除文件 病毒会删除扩展名为gho的文件 Page