攻击手段之网络监听与拒绝服务式攻击

网络监听1网络监听的概念网络监听可以监视网络的状态,数据流动情况及网络上舆的信息.是网络管理员监视和管理网络的一种方法,也是黑客们常用的工具1.1网络监听的位置可以在任何一个位置实施.如局域网中的主机,网关远程网的调制解调器1.2网络监听的作用系统管理员:监听用户是否正常操作两台或多台计算机之间的异常通讯确定出多少的通讯量属于哪个网络协议占主要通讯协议的主机是哪一台大多数通讯的目的地是哪台主机报文发送占用多少时间或者相互主机的报文传送间隔时间.1.2网络监听的作用黑客:可以分析各种信息包可以很清楚的描述出网络的结构和使用的机器.由于它接受任何一个在同一网段上传输的数据包，所以也就存在着SNIFFER可以用来捕获密码，EMAIL信息，秘密文档等一些其他没有加密的信息。所以这成为黑客们常用的扩大战果的方法，夺取其他主机的控制权。1.3网络监听的原理一般我们在讲的SNIFFER程序是把NIC置为一种叫promiscuous杂乱模式的状态.一旦网卡设置为这种模式，它就能使SNIFFER程序能接受传输在网络上的每一个信息包。使用分析程序分析数据包的内容,就可得到相应的结果.1.4网络监听的原理普通的情况下，网卡只接受和自己的地址有关的信息包，即传输到本地主机的信息包。要使SNIFFER能接受处理这种方式的信息，就需要系统支持bpf(一种过滤机制)，LINUX下如SOCKET-PACKET，但一般情况下网络硬件和TCP/IP堆栈是不支持接受或者发送与本地计算机无关的数据包，所以为了绕过标准的TCP/IP堆栈，网卡就必须设置为我们刚开始将的杂乱模式，1.4网络监听的原理一般情况下，要激活这种方式，必须内核支持这种伪设备bpfilter，而且需要ROOT用户来运行这种SNIFFER程序，所以大家知道SNIFFER需要ROOT身份安装，而你即使以本地用户进入了系统，你也嗅探不到ROOT的密码，因为不能运行SNIFFER。1.5网络监听的局限性只能监听本子网的信息包.需要向网络接口发送I/O控制命令,将其设置为监听模式.所以必须有超级用户权限.1.6一些传输介质被监听的可能性Ethernet监听的可能性比较高，因为Ethernet网是一个广播型的网络，困扰着INTERNET的大多数包监听时间都是一些运行在一台计算机中的包监听程序的结果。这台计算机和其他计算机，通过一个网关或者路由器形成一个以太网。1.6.2FDDIToken-ring被监听的可能性FDDIToken-ring监听的可能性也比较高，尽管令牌网内的并不是一个广播型网络，实际上，带有令牌的那些包在传输过程中，平均要经过网络上一半的计算机。但高的传输率将使监听变得困难。1.6.3电话线被监听的可能性监听的可能性中等，电话线可以被一些与电话公司协作的人或者一些有机会在物理上访问到线路的人搭线窃听。1.7如何发现sniffer当你觉得有异常现象的时候就先需要一些简单的方法检测。异常有:网络通讯掉包率反常的高.网络带宽出现异常1.7如何发现sniffer2，往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（icmpechodelay等方法）加以判断，这种方法难度较大点。1.7如何发现sniffer1，对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去PING，运行监听程序的机器回有响应，这是因为正常的机器不接受错误的物理地址，处于监听状态的机器能接受，如果他的IPSTACK(IP堆栈)不再次反向检查的话，就会响应，这种方法依赖系统的IPSTACK，对有些系统可能行不通。1.8监听的反监听现在多数的SNIFFER只监视连接时的信息包，原因是SNIFFER如果接受全部的信息包，一个是LOG记录极其大，而且会占用大量的CPU时间，所以在一个担负繁忙任务的计算机中进行监听，由于占用的CPU和带宽就可以怀疑有SNIFFER在工作，一些流行的SNIFFERSNIFFIT：这是一个比较的SNIFFER，它由BrechtClearhout所写，这是你应该最先用的程序，这个SNIFFER默认状态下只接受最先的400个字节的信息包，这对于一次登陆会话进程刚刚好Esniffer:这个也是一个比较有名的SNIFFER程序。拒绝服务攻击1拒绝服务攻击的概念DenialofService是指一个用户占据了大量的共享资源,使系统没有剩余的资源给其他用户提供服务的一种攻击方式.2拒绝服务攻击的结果降低系统资源的可用性.这次资源可以以CPUCPU时间磁盘空间打印机甚至可以是系统管理员的时间主要攻击域名服务器/路由器以及其它网络操作服务.使被攻击者无法正常运行和工作,严重的可以使网络一度瘫痪.3拒绝服务攻击的方式将连接局域网的电缆接地向域名服务器发送大量垃圾请求数据包制作大量的信息包,占据网络的带宽等4拒绝服务的类型一试图破坏资源,使目标无人可以使用这个资源二造成一些系统服务或资源的过载,使之不能给其他用户提供正常的服务这个有时是攻击所造成的,有时也是因为系统错误造成的.5几种常见的攻击信息数据包流量式:向某台机器发送大量的大尺寸的数据包,用来减慢这台机器处理数据的速度.加重影响目标机器的CPU负载能力,使其消耗大量的资源来就会这些垃圾请求.5.2SYN-flooding攻击SYN淹没与实施IP欺骗的第一步相同.攻击者用一个伪装的地址向目标机器发送SYN请求.目标机器提供回复,但回复到一个伪装的地址上了.所以没有响应但NT系统中可重复发送SYN-ACK5次,第一次等待时间为32为63为124为245为48等待96秒才取消资源.已经有189秒了.5.3过载攻击服务过载当大量的服务请求发送到一台目标机器中的守护进程,这时就使目标机器忙于处理这样的请求造成无法处理其它的常规任务同时一些其他的连接也将被丢弃.最简单的拒绝服务攻击.5.4DDos拒绝服务攻击者所面临的主要问题是网络带宽，由较小的网络规模和较慢的网络速度，无法使攻击者发出过多的请求，多数的DoS攻击还是需要相当大的带宽的，但是高带宽是大公司所拥有的，而以个人为主的黑客很难享用。为了克服这个缺点，恶意的攻击者开发了分布式的攻击。这样，攻击者就可以利用工具集合许多的网络带宽来对同一个目标发送大量的请求。5.5DDOS攻击程序的组成在主控主机上的客户端在代理主机上的守护程序在攻击时,主控端向其代理端发送要攻击的目标主机的列表代理端根据此列表进行DDOS5.5.1Ddos的过程步骤：1、探测扫描大量主机以寻找可入侵主机目标。2、入侵有安全漏洞的主机并获取控制权。3、在每台入侵主机中安装攻击程序。4、利用已入侵主机继续进行扫描和入侵。由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。5.5Smurf放大器DDOS广播信息可以通过一定的手段（通过广播地址或其他机制）发送到整个网络中的机器。当某台机器使用广播地址发送一个ICMPecho请求包时（例如PING），一些系统会回应一个ICMPecho回应包，也就是说，发送一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的，当然，它还需要一个假冒的源地址在网络中发送源地址为要攻击主机的地址，目的地址为广播地址的包，会使许多的系统响应发送大量的信息给被攻击主机（因为他的地址被攻击者假冒了）。使用网络发送一个包而引出大量回应的方式也被叫做放大器，5.6异常现象异常现象1：当DDoS攻击一个站点时，会出现明显超出该网络正常工作时的极限通讯流量的现象。异常现象2：特大型的ICP和UDP数据包。异常现象3：不属于正常连接通讯的TCP和UDP数据包异常现象4：数据段内容只包含文字和数字字符（例如，没有空格、标点和控制字符）的数据包。异常现象5：数据段内容只包含二进制和high-bit字符的数据包。5.6防止DDOSA）尽可能的修正已经发现的问题和系统漏洞。B）识别，跟踪或禁止这些令人讨厌的机器或网络对我们的访问。解决问题的一些专业手段----包过滤及其他的路由设置主要是过滤对外开放的端口。这些手段主要是防止假冒地址的攻击，使得外部机器无法假冒内部机器的地址来对内部机器发动攻击。5.7常见的DOSDDOSTrinooTFNTFN2K