黑客攻击及防御技术

第五章黑客攻击及防御技术第五章黑客攻击及防御技术本章要点几种常见攻击的攻击原理常见攻击手段的防御方式第五章黑客攻击及防御技术§5.1拒绝服务攻击§5.2恶意软件§5.3邮件攻击§5.4电子黑饵§5.5非法入侵者§5.6缓冲区溢出攻击本章内容§5.7实验5.1拒绝服务攻击——简介拒绝服务攻击（DoS）是一种破坏性的攻击方式，它主要针对网络上的各种服务器和设备，其特征是使得攻击目标无法正常工作。拒绝服务攻击的类型带宽消耗型:耗尽攻击目标的带宽资源系统资源消耗型：耗尽攻击目标的系统资源异常导致性：利用软硬件实现上的编程缺陷，来导致攻击目标出现异常，从而拒绝提供正常服务5.1拒绝服务攻击实例——Smurf受害者放大网络攻击者伪造分组ICMP回射请求源地址：受害者IP地址目的地址：放大网络的广播地址…………第一步：攻击者发送伪造的数据包到放大网络。数据包的源地址为受害者的IP地址，目的地址为放大网络的广播地址。第二步：放大网络中所有开启了echo功能的主机会返回一个应答给受害者，这时受害者就会被大量的响应信息所淹没。5.1Smurf攻击防御禁止路由器转发目标地址为广播地址的数据包关闭主机的echo功能也可以降低放大网络的放大能力5.1拒绝服务攻击实例——SYN洪水（1）SYN：1000ACK：5001SYN：5000ACK：1001客户端服务器预备知识：TCP的三次握手过程第一步：客户端发送一个SYN置位的包到服务器，告诉服务器它的初始序列号。第二步：服务器返回SYN/ACK包作为响应。同时告诉客户端它的初始序列号。第三步：客户端返回ACK包作为应答，完成三次握手过程。5.1拒绝服务攻击实例——SYN洪水（2）“SYN洪水攻击”的攻击过程攻击者向目标主机发送源地址并不存在的SYN报文，或者在收到对方发送的SYN/ACK报文时不返回ACK报文。目标主机会等待客户端的响应，并在收不到响应包的情况下进行重发，直到超时为止。在这个等待的过程中，目标主机还会维护之前为该连接分配的资源。因此只要攻击者在短时间内发起大量的连接，就可以耗尽目标主机上的连接资源，使得目标主机无法提供正常的服务。5.1SYN洪水攻击防御通过判断单位时间内收到的SYN连接次数是否超过了系统的预设值，就能够检测出。当接收到大量的SYN数据包时，可通知防火墙阻断连接请求或丢弃这些数据包，以达到防御效果。5.1拒绝服务攻击实例——LAND攻击者服务器SYN：1000SYN：5000ACK：1001SYN：5000ACK：1001服务器收到请求后，返回SYN/ACK包，然后等待客户端的响应包......因为响应包的确认号（1001）与服务器期待的确认号相差太大（5001），服务器会丢弃该包，并重发之前的SYN/ACK包LAND的攻击过程1.攻击者发送伪造的SYN数据包给服务器，该数据包的源地址和目的地址都为服务器的IP地址2.服务器针对该伪造的SYN数据包返回SYN/ACK包。由于之前伪造的SYN包的源地址为服务器的IP地址，因此服务器会收到自己发送出的SYN/ACK包3.服务器发现该包的确认号与期待的确认号差别太大时，会将其丢弃，并重发之前的SYN/ACK包4.该过程会一直循环，导致服务器性能大大降低5.1LAND攻击防御LAND攻击的检测比较容易，只需简单地判断数据包的源地址和目的地址是否相同即可。对于这种攻击，可通过适当配置防火墙设置或修改路由器的过滤规则来防止。5.1拒绝服务攻击实例——Teardrop针对早期未对异常分片进行处理的Linux偏移量=0，长度=N偏移量=K，长度=M（K＜N,M＜N-K）分片1分片21.把分片2的偏移量设为N，使其与分片1的末尾对齐2.计算分片2的末尾位置：用对齐前的偏移量加上分片2的数据长度，得到K+M3.计算待拷贝数据的长度：用分片2的末尾位置减去对齐后第2个分片的偏移量，得到K+M-N由于M＜N-K，计算得出的长度将是一个负数。在计算机中，负数是用反码来表示，其结果是向内核拷贝过多的数据，导致系统重启或崩溃5.1Teardrop攻击防御针对teardrop攻击的特点，可对接收到的分片数据包进行分析，通过计算数据包的片偏移量是否有误来对其进行检测。由于teardrop攻击主要利用早期linux内核中的缺陷，因此可通过安装系统补丁来进行防御。另外，还可以通过设置防火墙或路由器的过滤规则来丢弃此类病态的数据包。5.1DDos攻击主服务器从服务器1从服务器3从服务器2受害者…………主服务器从服务器1从服务器3从服务器2受害者…………反弹服务器1反弹服务器2反弹服务器3反弹服务器4反弹服务器5…………主从式的DDoS攻击结构利用反弹服务器的DDoS攻击结构5.1拒绝服务攻击——防御方式1.加固操作系统：限制操作系统上运行的服务、及时部署操作系统与应用程序补丁。2.使用防火墙：防火墙位可对特定的数据包进行阻挡。特别地，还可以使用针对DoS攻击的过滤算法，例如“随机丢弃”和“SYN魔饼”算法。3.配置边界路由器：部分DoS和DDoS攻击利用了ICMP报文，因此可在边界路由器上将ICMP报文过滤掉。4.采用负载均衡技术：将关键业务分布到多台服务器上，这样即便其中一台受到攻击，其他服务器仍然可以继续工作，以保证业务的连续性。5.2恶意软件——简介恶意软件（malware）是攻击者植入受害者系统的一段恶意代码，它们使得攻击者可以在受害者毫不知情的状况下控制对方的系统、网络以及数据。恶意代码有很多种形式，常见的有：计算机病毒、蠕虫和特洛伊木马。5.2恶意软件——计算机病毒的定义和特性病毒的定义计算机病毒是一段程序，它能够在计算机系统运行过程中，把自己精确地或者有修改地拷贝到其他程序内。病毒的特性感染性、潜伏性、可触发性、破坏性5.2恶意软件——计算机病毒的感染机制（1）感染对象1：引导扇区这类病毒用其自身的全部或者部分代码代替正常的引导记录，并将正常的引导记录隐藏在磁盘的其他地方。在染毒系统的引导过程中，由于病毒占据了引导程序的物理位置，因此控制权会从BIOS转交到病毒程序处。待病毒程序执行完毕后，它会将控制权交还给真正的引导区内容，使得这个带病毒的系统看似处于正常运行的状态。此类病毒的例子有：“大麻”、“幽灵”、“磁盘杀手”……5.2恶意软件——计算机病毒的感染机制（2）感染对象2：可执行文件可执行文件是病毒的首要感染对象，既包括普通的应用程序，又包括操作系统中可独立执行的程序或程序模块。多种感染技术：伴随式感染技术(如notepad)、覆盖式感染技术、插入式感染技术……5.2恶意软件——计算机病毒的感染机制（3）感染对象3：数据文件虽然数据文件本身不能被执行，但是某些应用程序（比如MicrosoftOffice、AutoCAD等）能够执行嵌入在数据文件中的脚本。病毒的编写者正是利用这种特性，将病毒代码附着在数据文件中。例如：宏病毒5.2恶意软件——计算机病毒的传播机制病毒只能在本机内寻找感染对象。为了将自己传播到其它主机，病毒必须借助于其他介质。可移动磁盘电子邮件下载共享目录5.2恶意软件——蠕虫的定义蠕虫是一段可自我复制的代码，它通过网络进行传播，且不需要人为的干预。一旦蠕虫占领某台计算机，一方面它会像病毒一样在系统内进行破坏活动；另一方面，它会以这台计算机为平台，继续检测网络上未被感染的计算机，然后将自身程序复制到其上。5.2恶意软件——蠕虫与病毒的区别病毒蠕虫存在形式寄生于其他对象中以独立程序的形式存在传染目标本地文件或本地磁盘网络中的主机传播途径通过感染文件和可移动磁盘进行传播；或者借助于人的帮助通过网络传播通过网络传播5.2恶意软件——特洛伊木马的定义特洛伊木马指那些表面上看起来有用，但暗地里执行非法操作的程序。一旦主机被植入木马，攻击者就可以随意控制受害者的主机，进行各种非法操作。两个基本特性隐藏性：木马会想方设法让自己看起来是一个正常的程序，从而躲避操作员和杀毒软件的检查非授权性：木马会在目标系统上进行各种非法操作，如窃取口令、删除文件、植入病毒等5.2恶意软件——木马的工作原理（1）阶段一：传播木马主要通过电子邮件和软件下载进行传播为了迷惑用户，木马通常会对自己进行伪装，常见的伪装手段有：•修改程序图标。例如,将程序图标修改成bmp、txt等文件的图标。•伪装成正常的应用程序。•与其他程序捆绑在一起。5.2恶意软件——木马的工作原理（2）阶段二：运行木马当用户运行木马或捆绑了木马的程序时，木马就会自动进行安装。在运行过程中，木马程序会想尽一切办法隐藏自己。例如，在任务栏中隐藏自己。5.2恶意软件——木马的工作原理（3）阶段三：建立连接木马是C/S结构的程序。一旦服务器端被运行，就会打开事先定义好的端口，等待客户端与其建立连接。服务器位于局域网？•通过IRC进行通信服务器所在主机的IP是通过DHCP获得的？•由于服务器在特定端口上侦听，那么客户端可以通过端口扫描来找到服务器端•服务器端通过电子邮件、FTP等方式告诉客户端它的IP地址。5.2恶意软件——病毒检测技术（１）校验和技术原理：由于病毒需要修改文件，可将文件当前的校验和与初始校验和进行比较，如果不一致，则表示文件可能被病毒修改过。优点：既能够发现已知病毒，也能够发现未知病毒。缺点：会产生过多误报，因为正常程序也会修改文件；对隐藏性病毒没有作用；不能检测新的文件。5.2恶意软件——病毒检测技术（２）模式匹配原理：通过病毒的特征值来查找病毒。例如，1575病毒代码中包含了“06128CC0021F07A3”的字符串，因此，可通过查看目标程序是否包含了这样的字符串，来判断其是否1575病毒。优点：可识别出病毒的名称、误报率低。缺点：随着病毒特征库的扩大，检查速度会降低；不能检测未知病毒和多态性病毒；对隐藏性病毒没有作用。5.2恶意软件——病毒检测技术（３）行为扫描原理：人们通过观察与研究，发现病毒有一些共同行为，并且这些行为在正常的应用程序中比较少见，因此，可通过监测目标程序是否表现出了某种行为来判断其是否病毒。例如引导型病毒必然截留盗用INT13H、高端内存驻留型病毒会修改DOS系统数据区的内存总量等。优点：能够检测出未知病毒。缺点：①会产生过多误报，因为少数正常程序也有类似病毒的行为；②不能识别病毒的具体类型。5.2恶意软件——病毒检测技术（４）启发式扫描原理：依靠病毒的指令序列，而不是病毒模式进行检测。这种类型的反病毒软件，会首先对目标程序进行反汇编，然后对它的指令序列进行分析，找出其中所蕴藏的真正动机。例如，如果一段程序中包含了“MOVAH,5;MOVBX,500H;INT13H”的指令，表示该程序会进行格式化磁盘的操作，需引起注意。若反病毒软件经过进一步分析，发现这段指令之前并没有用户的交互输入，也没有命令行参数传入，则可以认定这是一段病毒或其它恶意代码。缺点：①如果孤立地看这些指令，不能清晰地界定正常程序和病毒；②在查找时，无法识别指令序列的变化。5.3邮件攻击电子邮件作为最常用的网络应用之一，已经成为网络交流的重要工具。但与此同时，也出现了各种电子邮件的滥用行为，包括利用电子邮件实施攻击。常见的电子邮件攻击手段包括:垃圾邮件邮件炸弹邮件欺骗5.3邮件攻击——垃圾邮件（1）什么是垃圾邮件？垃圾邮件是指未请求的、对于收件人来说无用的邮件，其内容包括商业广告、电子杂志和骚扰信息等垃圾邮件带来各种负面影响：拥塞网络、降低邮件服务器的性能恶意代码泛滥降低员工的工作效率造成巨大经济损失5.3邮件攻击——垃圾邮件（2）反垃圾邮件技术黑名单和白名单•位于黑名单中的发件人发送的任何邮件都被认为是垃圾邮件•位于白名单中的发件人发送的任何邮件都被认为是合法邮件规则过滤•邮件头分析•群发过滤•关键词精确匹配5.3邮件攻击——邮件炸弹（1）什么是邮件炸弹？攻击者在短时间内向某个邮箱发送大量的垃圾邮件，最终使得邮箱或者邮箱所在的系统不堪重负，“爆炸而亡”。邮件炸弹是一种拒绝服务攻击，