《通信网络安全与防护》课件42

第四章网络攻击技术网络攻击的基本流程？如何防范社会工程学攻击？如何防范口令破解？知识回顾知识回顾利用ICMP协议进行扫描时,以下哪一项是可以扫描的目标主机信息?A.漏洞；B.弱口令；C.操作系统版本；D.IP地址；以下哪些是社会工程学攻击?A.网络钓鱼；B.伪造电子邮件；C.打电话请求密码；D.破解口令；Morris蠕虫事件红色代码病毒（RedCode）冲击波病毒（Blaster）震荡波病毒（Sasser）一直流行的一种攻击技术就是缓冲区溢出攻击。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。fingerdDaemonIISRPCLSASS二、缓冲区溢出攻击4.3利用型攻击

心脏出血（心血漏洞，20140160），非溢出但也是由于缺少边界检查引起。intx,y;charbuffer[16];数据段堆栈存放程序的二进制码只读存放程序的静态数据存放临时变量、函数返回指针等动态数据代码段HardDiskExeorDllFile程序在内存中的位置缓冲区概念示例二、缓冲区溢出攻击4.3利用型攻击

缓冲区，就是程序运行期间，在内存中分配的一个连续的区域，用于保存包括字符数组在内的各种数据类型；溢出，就是指所填充的数据超出了原有缓冲区的边界，并且非法占据了另一段内存区域。

缓冲区溢出攻击指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。1.缓冲区溢出攻击的基本概念二、缓冲区溢出攻击4.3利用型攻击Example1.－－－－－－－－－－－－－－－－－Voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}－－－－－－－－－－－－－－－－－2.缓冲区溢出漏洞存在的原因二、缓冲区溢出攻击4.3利用型攻击Example1.－－－－－－－－－－－－－－－－Voidmain(){Charlarge_string[256];inti;for(i=0;i<255;i++)large_string[i]=’A’;function(large_string);}－－－－－－－－－－－－－－－－Voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}二、缓冲区溢出攻击4.3利用型攻击存在strcpy()这样的问题的标准函数还有strcat()、sprintf()、vsprintf()、gets()、scanf()以及在循环内的getc()，fgetc()，getchar()等。程序员编程时，调用或编写类似strcpy这样的函数时，未限定或检查参数的大小，这就是缓冲区溢出漏洞存在的原因。而且这种漏洞是普遍存在的。二、缓冲区溢出攻击4.3利用型攻击Example1.－－－－－－－－－－－－－－－－Voidmain(){Charlarge_string[256];inti;for(i=0;i<255;i++)large_string[i]=’A’;function(large_string);}－－－－－－－－－－－－－－－－Voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}?二、缓冲区溢出攻击4.3利用型攻击栈底内存高端内存低端retlargestringsfpbuffer栈顶main()代码段堆栈段callfunctionfunction()Main函数入口变量声明变量赋值…………调用函数function函数入口……继续执行主函数功能多个push操作多个pop操作4.3利用型攻击Example2.－－－－－－－－－－－－－－－－voidmain(){intx;x=0;function(1,2,3);x=1;printf(“%d”,x);}－－－－－－－－－－－－－－－－3.缓冲区溢出攻击原理二、缓冲区溢出攻击4.3利用型攻击Example2.－－－－－－－－－－－－－－－－－－voidfunction(inta,intb,intc){charbuffer1[5];charbuffer2[10];int*iret;iret=buffer1+12;(*iret)+=8;}－－－－－－－－－－－－－－－－－－voidmain(){intx;x=0;function(1,2,3);x=1;printf(“%d”,x);}二、缓冲区溢出攻击4.3利用型攻击栈底内存高端内存低端ret3sfpbuffer1栈顶main()代码段堆栈段callfunctionfunction()…………Main函数入口X=0调用函数function函数入口……X=1多个push操作多个pop操作…printf(x)结束21buffer2iretint*iret;iret=buffer1+12;(*iret)+=8;当攻击者有机会用大于目标缓冲区大小的内容来向缓冲区进行填充时，就有可能改写函数保存在函数栈中的返回地址，从而使程序的执行流程随着攻击者的意图而转移。二、缓冲区溢出攻击4.3利用型攻击3.缓冲区溢出攻击原理方法：代码植入法基本前提：（1）存在溢出点；（2）可以更改返回指针值；（3）存在攻击代码。？两个问题代码形式及内容如何植入，在什么位置植入4.缓冲区溢出攻击实施二、缓冲区溢出攻击4.3利用型攻击二、缓冲区溢出攻击4.3利用型攻击如何得到内核代码ShellCode？高级语言汇编语言机器指令字符串一些典型内核代码的功能如：执行某一系统命令，如netuser;打开一监听端口，并将Cmd绑定到该命令管道上；连接远程主机某端口，并将Cmd绑定到该命令管道上；执行某一特定程序，如木马等。二、缓冲区溢出攻击4.3利用型攻击charshellcode[]="\x55\x51\x52\x8B\xEC\x83\xEC\x20\x33\xC9"

"\xC6\x45\xF5\x6D\xC6\x45\xF6\x73\xC6\x45"

"\xF7\x76\xC6\x45\xF8\x63\xC6\x45\xF9\x72"

"\xC6\x45\xFA\x74\xC6\x45\xFB\x2E\xC6\x45"

"\xFC\x64\xC6\x45\xFD\x6C\xC6\x45\xFE\x6C"

"\xC6\x45\xFF\x00\x8D\x45\xF5\x50\xB9\x54"

"\xA2\xE6\x77\xFF\xD1\x8B\xD0\xC6\x45\xF5"

"\x73\xC6\x45\xF6\x79\xC6\x45\xF7\x73\xC6"

"\x45\xF8\x74\xC6\x45\xF9\x65\xC6\x45\xFA"

"\x6D\xC6\x45\xFB\x00\x8D\x45\xF5\x50\x52"

"\xB9\xC1\x9A\xE6\x77\xFF\xD1\x8B\xD0\xC6"

"\x45\xF5\x63\xC6\x45\xF6\x6D\xC6\x45\xF7"

"\x64\xC6\x45\xF8\x2E\xC6\x45\xF9\x65\xC6"

"\x45\xFA\x78\xC6\x45\xFB\x65\xC6\x45\xFC"

"\x00\x8D\x45\xF5\x50\xFF\xD2\x83\xC4\x04"

"\x8B\xE5\x5A\x59\x5D"内核码示例二、缓冲区溢出攻击4.3利用型攻击如何知道缓冲区的地址，并在何位置放入shell代码呢？

技巧一：程序的堆栈起始地址是固定的技巧二：空指令NOP的妙用[cccccccccxxxxnnn….ssssssssssss]Exploitstring内存地址二、缓冲区溢出攻击4.3利用型攻击二、缓冲区溢出攻击4.3利用型攻击缓冲区溢出攻击的防范程序设计人员要想避免出现缓冲区溢出漏洞，应该注意：（1）编程时小心谨慎；（2）用编译器进行溢出检测。普通用户要想避免受到缓冲区溢出漏洞攻击，应该注意：（1）及时给系统打补丁；（2）安装防火墙系统。缓冲区溢出漏洞存在的根本原因在于计算机中指令与数据存储在同一内存中，新型芯片将内存中数据存储与指令存储独立开来。TrojanHorse隐藏在其它程序中的破坏安全（security-breaking）的程序，如隐藏在压缩文件或游戏程序中。－《大英百科全书》RFC1244:ATrojanHorseprogramcanbeaprogramthatdoessomethinguseful,ormerelysomethinginteresting.Italwaysdoessomethingunexpected,likestealpasswordsorcopyfileswithoutyourknowledge。特洛伊木马是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。木马，全称为特洛伊木马（Trojanhorse），源自希腊神话中的木马屠城记。三、特洛伊木马1.定义4.3利用型攻击

隐蔽性

非授权性功能特殊性3.特征2.本质

两个网络进程；一个运行在受害者主机上，称为服务端；一个运行在攻击者主机上，称为控制端；攻击者通过控制端与受害者服务端进行网络通信，达到远程控制或其它目的。三、特洛伊木马4.3利用型攻击(1)配置木马(2)传播木马(3)运行木马(4)建立连接(5)信息窃取(6)远程控制典型的工作过程三、特洛伊木马4.3利用型攻击木马程序需要做到以下四点：★有一段程序执行特殊功能；★具有某种策略使受害者接受这个程序；★该程序能够长期运行，且程序的行为方式不会引起用户的怀疑；★入侵者必须有某种手段回收由木马发作而为他带来的实际利益。－功能机制－传播机制－启动机制－连接机制三、特洛伊木马4.3利用型攻击传播机制

木马的主动攻击传播

网页传播

欺骗式传播－下载、QQ、邮件附件等

病毒式传播

文件捆绑式传播等常见不常见[AutoRun]open=RavMon.exeshell\open=打开(&O)shell\open\Command=RavMon.exeshell\explore=资源管理器(&X)shell\explore\Command="RavMon.exe-e"三、特洛伊木马4.3利用型攻击受害者WEB服务器攻击者http请求浏览页面木马程序木马的网页传播JavaScriptActiveXASPPHPXML网页木马控制远程系统传播机制三、特洛伊木马4.3利用型攻击攻击者受害者WEB服务器传播机制木马的欺骗式传播－下载、QQ、邮件附件等下载运行用户警惕性不高时相当有效上传木马程序提供下载发送QQ附件或邮件附件伪装成txt、bmp、html等文件的图标三、特洛伊木马4.3利用型攻击传播机制木马的捆绑式传播

将木马捆绑到一个安装程序上，当安装程序运行的时候，木马在用户毫无觉察的情况下，在后台启动。

将木马捆绑到一个word文档上，当打开word文档时执行宏运行木马。D:>copy/btest.doc+tro.exenew.docExeScope三、特洛伊木马4.3利用型攻击攻击者受害者木马的主动攻击传播控制远程系统计划任务注册表获得上传文件权限上传木马程序传播机制三、特洛伊木马4.3利用型攻击

开始菜单的启动项。在Winstart.bat中启动。在Autoexec.bat和Config.sys中加载运行。

win.ini/system.ini：部分木马采用，不太隐蔽。注册表：隐蔽性强，多数木马采用。注册服务：隐蔽性强，多数木马采用。修改文件关联：只见于国产木马。启动机制三、特洛伊木马4.3利用型攻击？？？？木马种植者（牧马人）如何回收木马为他带来的利益呢三、特洛伊木马4.3利用型攻击Web服务器Ftp服务器HostofFriend18YourHost8IE浏览器迅雷QQ网络通信原理三、特洛伊木马4.3利用型攻击

端口（Port）:

运输层服务访问点SAP，标识应用进程

监听端口：标识守护进程

连接端口：标识用户应用进程Socket（套接字、插口）源IP地址:源端口＜＝＞目的IP地址:目的端口如何建立起连接呢？打电话10000，总会联通，为什么？提供服务的一方要有人始终处于被动监听状态。基本术语三、特洛伊木马4.3利用型攻击Web服务器Ftp服务器HostofFriend18YourHost880号端口www守护进程21号端口ftp守护进程三、特洛伊木马4.3利用型攻击(1