第6章 黑客入侵技术

第6章黑客入侵技术6.1端口扫描6.2网络监听6.3IP电子欺骗6.4拒绝服务攻击6.5特洛伊木马6.6E-mail炸弹6.7缓冲区溢出6.1端口扫描6.1.1端口扫描简介扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用它扫描TCP端口，并记录反馈信息，可以不留痕迹地发现远程服务器中各种TCP端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解到远程主机存在的安全问题。6.1.2端口扫描的原理下面介绍入侵者们如何利用上述这些信息，来隐藏自己的端口扫描。1．TCPconnect()扫描2．TCPSYN扫描3．TCPFIN扫描4．Fragmentation扫描5．UDPrecfrom()和write()扫描6．ICMP扫描6.1.3端口扫描的工具1．NSSNSS，即网络安全扫描器，是一个非常隐蔽的扫描器。2．SATANSATAN的英文全称为SecurityAdministratorToolforAnalyzingNetworks，即安全管理员的网络分析工具。SATAN是一个分析网络的安全管理、测试与报告工具。3．StrobeStrobe是一个超级优化TCP端口检测程序，能快速地识别指定机器上正运行什么服务，用于扫描网络漏洞。它可以记录指定机器的所有开放端口。6.2网络监听6.2.1网络监听的原理当信息以明文的形式在网络上传播时，黑客就可以使用监听的方式来进行攻击。只要将网络接口设置为监听模式，便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上的连接，因为不是同一个网段的数据包，在网关就被滤掉了，传不到该网段来。网络监听的最大用处是获得用户口令。1．监听的可能性网络监听是黑客们常用的一种方法。表6.1描述了在通常的一些传输介质上，信息被监听的可能性。表6.1不同的数据链路上传输的信息被监听的可能性数据链路监听的可能性说明Ethernet高Ethernet网是一个广播型的网络，Internet的大多数包监听事件都是一些运行在一台计算机中的包监听程序的结果，这台计算机和其他计算机，一个网关或者路由器形成一个以太网FDDIToken_ring高尽管令牌网内在的并不是一个广播网络，但实际上，带有令牌的那些包在传输过程中，平均也要经过网络上一半的计算机，高的数据传输率可以使监听变得困难电话线中等电话线可以被一些与电话公司协作的人或者—些有机会在物理上访问到线路的人搭线窃听，在微波线路上的信息也会被截获；在实际中，高速的调制解调器将比低速的调制解调器搭线窃听困难一些，因为高速调制解调器中引入了许多频率IP通过有线电视高许多已经开发出来的、使用有线电视信号发送IP数据包的系统都依靠RF调制解调器，RF调制解调器使用—个TV通道用于上行；一个用于下行；在这些线路上传输的信息没有加密，因此，可以被一些能在物理上访问到TV电缆的人截听微波和无线电高无线电本来就是一个广播型的传输媒介，任何有一个无线电接收机的人都可以截获那些传输的信息2．以太网中可以监听的原因当主机工作在监听模式下，那么，无论数据包中的目标物理地址是什么，主机都将接收。如果一台主机处于监听模式下，它还能接收到发向与自己不在同—子网（使用了不同的掩码、IP地址和网关）的主机的那些信息包。6.2.2网络监听的检测1．简单的检测方法（1）方法一对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。（2）方法二往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后该机器性能（icmpechodelay等方法）加以判断。2．对付一个监听3．其他防范监听的方法4．ifstatus工具6.3IP电子欺骗6.3.1关于盗用IP地址惟一留下马脚的是物理地址有可能被记录下来，如果盗用的是另一网段—台主机的IP地址，一般情况下是不行的，因为在正常通信时，将收不到从对方返回的IP数据包。因此，只能盗用本网段的IP地址。原因很简单：一个最简单的网段，也要有一个路由器作为出口。在路由器的配置中，要指定这个网段的网络地址和掩码。如果这个网段的主机使用了其他网段的IP地址，则路由器不认为这个IP地址是属于它的网段，所以不给转发。防止盗用IP地址可以绑定IP地址和物理地址。6.3.2IP电子欺骗的原理1．IP电子欺骗过程IP电子欺骗就是伪造某台主机的IP地址的技术。关于IP欺骗技术有如下3个特征：（1）只有少数平台能够被这种技术攻击。（2）这种技术出现的可能性比较小。（3）这种攻击方法很容易防备。2．可以实施欺骗的对象（1）运行SunRPC的计算机。（2）基于IP地址认证的网络服务。（3）MIT的X视窗系统。（4）提供R系列服务（如提供rlogin、rsh与rcp等服务）的计算机。6.3.3IP电子欺骗的实施1．关于信任关系2．IP欺骗技术攻击方式为了侵入网络NET内，黑客可以采用下面两种方式：（1）他可以通过假冒为计算机B来欺骗计算机A和C；（2）他可以通过假冒为计算机A或C来欺骗计算机B。3．攻击的几个过程（1）使计算机C的网络部分不能正常工作（2）找到计算机B发出的包的系列号（3）实施攻击（4）建立一个更好的后门4．IP欺骗出现的频率6.3.4IP电子欺骗的防范对于来自网络外部的欺骗来说，只要在路由器里面设置不允许声称来自内部网络的外部计算机的包通过就行了。当实施欺骗的主机在同一网络内时，攻击往往容易得手，并且不容易防范。6.4拒绝服务攻击6.4.1概述拒绝服务是一种简单的破坏性攻击，攻击者使得攻击目标失去工作能力，使得系统不可访问因而合法用户不能及时得到应得的服务或系统资源，它最本质的特征是延长正常的应用服务的等待时间。主要表现为以下几个方面：（1）企图湮灭一个网络，中断正常的网络流量；（2）企图破坏两个机器之间的连接，禁止访问可用服务；（3）企图阻止某一特定用户对网络上服务的访问；（4）企图破坏一个特定系统或使其不能提供正常访问。可见拒绝服务的目的不在于闯入一个站点或更改其数据，而在于使站点无法服务于合法的请求。入侵者并不单纯为了进行拒绝服务而入侵，往往是为了完成其他的入侵而必须做准备。6.4.2拒绝服务攻击的原理1．拒绝服务模式（1）资源消耗型（2）配置修改型（3）物理破坏型（4）服务利用型2．拒绝服务常用方法（1）死亡之Pingping入侵是通过向目标端口发送大量超大尺寸的ICMP包来实现的。（2）Teardrop（3）Land（4）Smurf（5）PingFlood（6）SYNFlood（7）UDPFlood6.4.3分布式拒绝服务攻击及其防范1．分布式拒绝服务概述分布式拒绝服务（DistributedDenialofService，DDoS）使用与普通DoS相同的方法，但是发起入侵的源是多个，其目的是攻陷因特网上的多个计算机系统。2．被DDoS入侵时的现象（1）被入侵主机上有大量等待的TCP连接；（2）网络中充斥着大量无用的数据包，源地址为假；（3）高流量无用数据造成网络拥塞，受害主机无法正常和外界通信；（4）由于提供的服务或传输协议上的缺陷，受害主机反复接收高速发出的特定服务请求，以至于无法及时处理所有正常请求；（5）严重时会系统死机。3．DDoS的体系结构有许多无关主机可供支配是入侵的前提。黑客所做的第二步是在所侵入的主机上安装入侵软件。这样，入侵软件包括入侵服务器和入侵执行器。设置入侵服务器的目的是隔离网络联系，保护入侵者。执行器都是一些相对简单的程序，它们可以连续向目标发出大量的连接请求而不做任何回答。黑客所做的最后一步，就是从攻击控制台向各个攻击服务器发出对特定目标的命令。4．DDoS工作原理分析5．DDoS的防范（1）企业网管理人员主机上的设置网络设备上的设置①防火墙可以进行如下方面的设置：禁止对主机的非开放服务的访问；限制同时打开的SYN最大连接数；限制特定IP地址的访问；启用防火墙的防DDoS的属性；严格限制对外开放的服务器的向外访问。②路由器以Cisco路由器为例：使用CiscoExpressForwarding（CEF）；使用Unicastreverse-path；访问控制列表（ACL）过滤；设置SYN数据包流量速率；升级版本过低的ISO；为路由器建立logserver。路由器是网络的核心设备，进行设置修改时可以先不保存。可以让这个配置运行一段时间，觉得可行后再保存配置到startupconfig（2）ISP/ICP管理员（3）骨干网络运营商6.5特洛伊木马特洛伊木马程序并不是一种病毒，因为它不具有病毒的可传染性、自我复制能力等特性，但是特洛伊木马程序具有很大的破坏力和危害性。6.5.1特洛伊木马程序简介特洛伊木马程序是指任何提供了隐藏的与用户不希望的功能的程序。6.5.2特洛伊木马程序的位置和危险级别特洛伊木马程序代表了—种很高级别的威胁危险，主要是有以下几个原因。（1）特洛伊木马程序很难被发现。（2）在许多情况下，特洛伊木马程序是在二进制代码中发现的，它们大多以无法阅读的形式存在。（3）特洛伊木马程序可以作用于许多机器中。6.5.3特洛伊木马的类型1．远程访问型特洛伊木马2．密码发送型特洛伊木马3．键盘记录型特洛伊木马4．毁坏型特洛伊木马5．FTP型特洛伊木马6.5.4特洛伊木马的检测若要检测在文件或操作系统中特洛伊木马程序是否存在，首先用户必须对所用的操作系统有比较深入的认识，此外还应对加密知识和一些加密算法有一定的了解。1．检测的基本方法2．检测工具MD56.5.5特洛伊木马的防范1．特洛伊木马的基本工作原理特洛伊木马程序一般存在于注册表、win.ini文件或system.ini文件中，因为系统启动的时候需要装载这3个文件。下面从几个方面具体说明特洛伊木马程序是怎样自动加载的。在win.ini文件中的[WINDOWS]下面，“run=”和“load=”是可能加载特洛伊木马程序的途径。在system.ini文件中，“shell=explorer.exe程序名”，那么后面跟着的那个程序就是特洛伊木马程序。2．清除特洛伊木马的一般方法如果发现有特洛伊木马存在，首要的一点是立即将计算机与网络断开，首先编辑win.ini文件，接下来编辑system.ini文件，对注册表进行编辑。在对付特洛伊木马程序方面，综合起来，有以下几种办法和措施。（1）提高防范意识。（2）多读readme.txt文件。（3）使用杀毒软件。（4）立即挂断。（5）观察目录。（6）在删除特洛伊木马之前，最重要的一项工作是备份文件和注册表。6.6E-mail炸弹6.6.1E-mail炸弹的原理E-mail炸弹是一种在网络上的恶意入侵行为，在短时间内连续寄发大量邮件给同一收件人，使得收件人的信箱容量不堪负荷而无法收发邮件。邮件炸弹与所谓的垃圾邮件（Spammail）不同，垃圾邮件是将同一封邮件一次寄给多个收件人，并不会对收件人的信箱造成伤害。6.6.2邮件炸弹的防范为了有效地防范邮件炸弹的入侵，用户在平时应该注意以下几点。（1）不要将自己的邮箱地址到处传播，特别是申请上网账号时ISP送的电子信箱，那是按字节收费的。（2）最好用pop3收信，可以用Outlook或Foxmail等收信工具收取E-mail。（3）当有人不停地轰炸信箱时，可以先打开一封信，看清对方地址，然后在收件工具的过滤器中选择不再接收这个地址的信，直接从服务器删除。（4）在收信时，一旦看见邮件列表的数量超过平时正常邮件数量的很多倍，应当马上停止下载邮件，然后再从服务器删除炸弹邮件。（5）不要认为邮件发送有回复功能，就可以报复发炸弹的人，发件人有可能是用的假地址发信，这个地址也许填得和收件人地址相同。（6）可以用一些工具软件来防止邮件炸弹，下面介绍常见的防范邮件炸弹工具软件。①BombSquad②E-mailChomper③Spammersla