信息安全技术-第3章-黑客攻防剖析

第3章黑客攻防剖析22本讲概要本章通过剖析常见的网络协议、操作系统与应用程序漏洞，分析黑客入侵的思路和方法，使得读者更深刻地理解应对黑客攻击采用的防范策略，以确保我们使用的网络和系统最大限度的安全。本章主要包括以下几部分：黑客的定义；基于协议的攻击手法和防御手段；常见的漏洞分析。3课程目标：通过本章的学习，读者应能够：了解当前主要网络安全弱点；了解黑客攻击手段，提升防范能力。44在计算机网络日已成为生活中不可或缺的工具时，计算机网络的安全性已经引起了公众的高度重视。计算机网络的安全威胁来自诸多方面，黑客攻击是最重要的威胁来源之一。有效的防范黑客的攻击首先应该做到知己知彼，方可百战不殆。本章将从黑客的起源、黑客的意图、利用的漏洞和攻击手段入手，阐述黑客攻击的原理和应对之策。5提示：本章将会介绍和使用部分黑客软件及相关工具模拟攻击过程，所有软件、工具都来自互联网，本身均可能会被程序作者或者第三方加以利用，种植木马、病毒等恶意程式。我们特别提醒严禁在生产机器（包括学校的网络）上进行安装、使用。严禁在没有老师的指导监督下进行任何模拟攻击实验。指导老师需要严格遵循本课程是严要求，按照实验手册操作，利用虚拟机技术并在物理隔离的网络方可进行模拟攻击演示。6提示：关于虚拟机的定义：MicrosoftVirtualPC是一种软件虚拟化解决方案，允许您在一个工作站上同时运行多个操作系统。它节约了重新配置系统的时间，让您的支持、开发、测试和培训人员能够更高效地工作。本章中所提及的黑客工具不建议个人通过网络下载。773.1“黑客”与“骇客”今天，人们一谈到“黑客”（Hacker）往往都带着贬斥的意思，但是“黑客”的本来含义却并非如此。一般认为，黑客起源于20世纪50年代美国著名高校的实验室中，他们智力非凡、技术高超、精力充沛，热终于解决一个个棘手的计算机网络难题。60、70年代，“黑客”一词甚至于极富褒义，从事黑客活动意味着以计算机网络的最大潜力进行治理上的自由探索，所谓的“黑客”文化也随之产生了。然后并非所有的人都能恪守“黑客”文化的信条，专注于技术的探索，恶意的计算机网络破坏者、信息系统的窃密者随后层出不穷，人们把这部分主观上有恶意企图的人成为“骇客”（Cracker）,试图区别于“黑客”，同时也诞生了诸多的黑客分类方法，如“白帽子、黑帽子、灰帽子”。然而，不论主观意图如何，“黑客”的攻击行为在客观上会造成计算机网络极大的破坏，同时也是对隐私权的极大侵犯，所以在今天人们把那些侵入计算机网络的不速之客都成为“黑客”。88黑客分类灰帽子破解者•破解已有系统•发现问题/漏洞•突破极限/禁制•展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier白帽子创新者•设计新系统•打破常规•精研技术•勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者•随意使用资源•恶意破坏•散播蠕虫病毒•商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo者-匿名恶渴求自由黑客分类99黑客文化•常见替换–A=4–B=8–E=3–G=9–l=1–O=0–S=5–t=7–Z=2•常见缩写–CK=x–You=u–Are=r–See=c–And=n/&–Not=!黑客文化103.2黑客攻击分类攻击方法的分类是安全研究的重要课题，对攻击的定性和数据挖掘的方法来分析漏洞有重要意义。对于系统安全漏洞的分类法主要有两种：RISOS分类法和Aslam分类法，对于针对TCP/IP协议族攻击的分类也有几种。3.2.1按照TCP/IP协议层次进行分类TCP/IP协议是计算机网络的基础协议，但遗憾的是，TCP/IP协议本身却具有很多的安全漏洞容易被黑客加以利用，这是因为TCP/IP协议在设计之初主要是围绕如何共享计算机网络资源而研究的，没有考虑到现在网络上如此多的威胁。虽然对TCP/IP协议的完善和改进从未间断，但漏洞都无可避免。为了了解许多形形色色的攻击方法，我们应该首先对TCP/IP协议的漏洞与一般针对协议攻击的原理有所了解。113.2.1按照TCP/IP协议层次进行分类这种分类是基于对攻击所属的网络层次进行的，TCP/IP协议传统意义上分为四层，攻击类型可以分成四类：（1）针对数据链路层的攻击：TCP/IP协议在该层次上有两个重要的协议—ARP（地址解析协议）和RARP（反地址解析协议），ARP欺骗和伪装属于该层次，本章后面将探讨关于ARP欺骗过程和实现。（2）针对网络层的攻击，该层次有三个重要协议：ICMP（互联网控制报文协议）、IP(网际协议)、IGMP(因特网组管理协议)。著名的极大攻击手法都在这几个层次上进行，例如Smurf攻击、IP碎片攻击、ICMP路由欺骗等等。12（3）针对传输层的攻击：TCP/IP协议传输层有两个重要的协议TCP协议和UDP协议，该层次的著名攻击手法更多，常见的有Teardrop攻击（TeardropAttack）、Land攻击（LandAttack）、SYN洪水攻击（SYNFloodAttack）、TCP序列号欺骗和攻击等等，会话劫持和中间人攻击也应属于这一层次。（4）针对应用层的攻击：该层次上面有许多不同的应用协议，比如说：DNS、FTP、SMTP等，针对协议本身的攻击主要是DNS欺骗和窃取。133.2.2按照攻击者目的分类按照攻击者的攻击目的可分为以下几类：（1）DOS（拒绝服务攻击）和DDOS（分布式拒绝服务攻击）。（2）Sniffer监听。143.2.2按照攻击者目的分类（3）会话劫持与网络欺骗。（4）获得被攻击主机的控制权，针对应用层协议的缓冲区溢出基本上目的都是为了得到被攻击主机的shell。3.2.3按危害范围分类按危害范围可分为以下两类：（1）局域网范围。如sniffer和一些ARP欺骗。（2）广域网范围。如大规模僵尸网络造成的DDOS。153.3基于协议的攻击手法与防范针对协议的攻击手段非常多样，下面对常见的协议攻击方式进行探讨，主要内容包括：ARP协议漏洞攻击；ICMP协议漏洞攻击；TCP协议漏洞攻击；各种协议明文传输攻击。163.3.1ARP协议漏洞漏洞描述ARP协议（AddressResolveProtocol,地址解析协议）工作在TCP/IP协议的第二层—数据链路层，用于将IP地址转换为网络接口的硬件地址（媒体访问控制地址，即MAC地址）。无论是任何高层协议的通信，最终都将转换为数据链路层硬件地址的通讯。为什么要将IP转化成MAC呢？这是因为在TCP网络环境下，一个IP包走到哪里、怎么走是靠路由表定义。但是，以太网在子网层上的传输是靠48位的MAC地址而决定的，当IP包到达该网络后，哪台机器响应这个IP包需要靠该IP包中所包含的MAC地址来识别，只有机器的MAC地址和该IP包中的MAC地址相同的机器才会应答这个IP包。173.3.1ARP协议漏洞(在命令行下输入arp–a或arp–g即可获得本地ARP转换表)在每台主机的内存中，都有一个ARPMAC的转换表，保存最近获得的IP与MAC地址对应。ARP表通常是动态更新的（注意在路由中，该ARP表可以被设置成静态）。默认情况下，但其中的缓存项超过两分钟没有活动时，此缓存项就会超时被删除。183.3.1ARP协议漏洞例如，A主机的IP地址为192.168.0.1,它现在需要与IP为192.168.0.8的主机（主机B）进行通信，那么将进行以下动作：A主机查询自己的ARP缓存列表，如果发现具有对应目的IP地址192.168.0.8的MAC地址项，则直接使用此MAC地址项构造并发送以太网数据包，如果没有发现对应的MAC地址项则继续下一步；A主机查询自己的ARP解析请求广播，目的MAC地址是FF:FF:FF:FF:FF:FF，请求IP为192.168.0.8的主机回复MAC地址；B主机收到ARP解析请求广播后，恢复给A主机一个ARP应答数据包，其中包含自己的IP地址和MAC地址；193.3.1ARP协议漏洞A主机接收到B主机的ARP回复后，将B主机的MAC地址放入自己的ARP缓存列表，然后使用B主机的MAC地址作为目的MAC地址，B主机的IP地址（192.168.0.8）作为目的IP地址，构造并发送以太网数据包；如果A主机还要发送数据包给192.168.0.8,由于在ARP缓存列表中已经具有IP地址192.168.0.8dMAC地址，所以A主机直接使用此MAC地址发送数据包，而不在发送ARP解析请求广播。ARP转换表可以被攻击者人为地更改欺骗，可以针对交换式及共享式进行攻击，轻者导致网络不能正常工作（如网络执法官），重则成为黑客入侵跳板，从而给网络安全造成极大隐患。20攻击实现下面介绍攻击者如何在以太网中实现ARP欺骗。如下图所示，三台主机：A:IP地址192.168.0.1；硬件地址AA:AA:AA:AA:AA:AA。B:IP地址192.168.0.2；硬件地址BB:BB:BB:BB:BB:BB。C:IP地址192.168.0.3；硬件地址CC:CC:CC:CC:CC:CC。21CAB(同一网段的arp欺骗)攻击实现22攻击实现一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料得知这台主机A的防火墙只对主机C有信任关系（开放23端口（telnet））。而他必须要使用telnet来进入主机A，这个时候他应该如何处理呢？我们可以这样去思考，入侵者必须让主机A相信主机B就是主机C，如果主机A和主机C之间的信任关系是建立在IP地址之上的。攻击者可以先通过各种拒绝式服务方式让C这台机器暂时宕掉，在机器C宕掉的同时，将机器B的IP地址改为192．168．0．3，B可以成功地通过23端口telnet到机器A上面，而成功地绕过防火墙的限制。23攻击实现但是，如果主机A和主机C之间的信任关系是建立在硬件地址的基础上，通过上面方法就没有作用了。这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。入侵者人为地制造一个arp_reply的响应包，发送给想要欺骗的主机A，这是可以实现的，因为协议并没有规定必须在接收到arp_echo请求包后才可以发送响应包。24攻击实现可以用来发送A_reply包的工具很多，例如攻击者可以利用抓拨工具抓一个Arp响应包，并进行修改，修改的信息可以是：源IP、目标IP、源MAC地址、目标MAC地址，将修改的数据包通过Snifferpro（NAI公司出品的一款优秀网络协议分析软件）等工具发送出去。攻击者这样就可以通过发送虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。25具体的步骤如下：(1)利用工具，进行拒绝式服务攻击（Arpfree），让主机C宕掉，暂时停止工作。(2)这段时间里，入侵者把自己的IP改成192.0.0.3。(3)用工具发一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A，要求主机A更新自己的ARP转换表。(4)主机更新了ARP表中关于主机C的IP--MAC对应关系。(5)防火墙失效了，入侵的IP变成合法的MAC地址，可以Telnet了。其实ARP欺骗还可以在交换网络或不同网段下实现，所以必须注意防范。26ARP欺骗防范知道了ARP欺骗的方法和危害，下面列出了一些防范方法(1)不要把你的网络安全信任关系建立在IP地址的基础上或硬件MAC地址基础上(RARP同样存在欺骗的问题)，较为理想的信任关系应该建立在IP+MAC基础上。(2)设置在本机和网关设置静态的MAC--IP对应表，不要让主机刷新你设定好的转换表。在三层交换机上设定静态ARP表。27ARP欺骗防范(3)除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。在Linux下可以用ifconfig－arp可以使网卡驱动程序停止使用ARP。(4)在本机地址使用