第8章 网络攻击与防护

2020/9/15Page1第8章网络攻击与防护黑客及攻击8.1IP欺骗8.2拒绝服务攻击8.3侦察与工具8.4攻击与渗透8.5入侵监测系统IDS8.6审计结果8.72020/9/15Page28.1黑客及攻击1．黑客概述在各种媒体上有许多关于Hacker这个名词的定义，一般是指计算机技术的行家或热衷于解决问题、克服限制的人。这可以追溯到几十年前第一台微型计算机刚刚诞生的时代。那时有一个由程序设计专家和网络名人所组成的具有分享特质的文化族群。这一文化族群的成员创造了Hacker这个名词。他们建立了Internet，创造出现在使用的UNIX操作系统，并且让WorldWideWeb传播开来，这就是最早的Hacker。2020/9/15Page3也存在另外一个团体，其成员也称自己为Hacker。这些人专门闯入计算机或入侵电话系统，真正的Hacker称他们为入侵者（Cracker），并且不愿意和他们在一起做任何事。Hacker们认为这些人懒惰，不负责任，并且不够光明正大。他们认为，能破解安全系统并不能使你成为一位Hacker。基本上，Hacker和Cracker之间最主要的不同是，Hacker创造新东西，Cracker破坏东西。现在，人们所说的黑客是指Cracker。2020/9/15Page42．黑客常用的攻击方法（1）获取口令通过网络监听，非法得到用户口令知道用户的账号后利用一些专门软件强行破解用户口令获得一个服务器上的用户口令文件后，用暴力破解程序破解用户口令（2）放置特洛伊木马程序2020/9/15Page5（3）的欺骗技术访问的网页被黑客篡改过，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。（4）电子邮件攻击电子邮件轰炸和电子邮件“滚雪球”电子邮件欺骗（5）通过一个节点来攻击其他节点黑客在突破一台主机后，以此主机作为根据地，攻击其他主机，从而隐藏其入侵路径2020/9/15Page6（6）网络监听在网络监听这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送发和接收方是谁。（7）寻找系统漏洞（8）利用账号进行攻击利用操作系统提供的缺省账户和密码进行攻击（9）偷取特权黑客通过非法手段获得对用户机器的完全控制权，甚至是整个网络的绝对控制权。2020/9/15Page78.2IP欺骗IP电子欺骗攻击是指利用TCP/IP本身的缺陷进行的入侵，即用一台主机设备冒充另外一台主机的IP地址，与其它设备通信，从而达到某种目的的过程。它不是进攻的结果而是进攻的手段。2020/9/15Page88.2.1IP欺骗原理所谓IP欺骗，就是伪造某台主机的IP地址的技术。其实质就是让一台机器来扮演另一台机器，以达到蒙混过关的目的。被伪造的主机往往具有某种特权或者被另外的主机所信任。2020/9/15Page9在IP欺骗的状态下，三次握手的情况如下：第一步：黑客假冒A主机IP向服务方B主机发送SYN，告诉B主机是他所信任的A主机想发起一次TCP连接，序列号为数值X，这一步实现比较简单，黑客将IP包的源地址伪造为A主机IP地址即可。第二步：服务方B产生SYNACK响应，并向请求方A主机（注意:是A，不是黑客，因为B收到的IP包的源地址是A）发送ACK，2020/9/15Page10ACK的值为X+1，表示数据成功接收到，且告知下一次希望接收到字节的SEQ是X+1。同时，B向请求方A发送自己的SEQ，注意，这个数值对黑客是不可见的。第三步：黑客再次向服务方发送ACK，表示接收到服务方的回应——虽然实际上他并没有收到服务方B的SYNACK响应。这次它的SEQ值为X+1，同时它必须猜出ACK的值，并加1后回馈给B主机。2020/9/15Page11IP欺骗技术有如下三个特征：（1）只有少数平台能够被这种技术攻击，也就是说很多平台都不具有这方面缺陷。（2）这种技术出现的可能性比较小，因为这种技术不好理解，也不好操作，只有一些真正的网络高手才能做到这点。（3）很容易防备这种攻击方法，如使用防火墙等。2020/9/15Page12IP欺骗的对象IP欺骗只能攻击那些完全实现了TCP/IP协议，包括所有的端口和服务。IP欺骗的实施几乎所有的欺骗都是基于某些机器之间的相互信任的。黑客可以通过很多命令或端口扫描技术、监听技术确定机器之间的信任关系，例如一台提供服务的机器很容易被端口扫描出来，使用端口扫描技术同样可以非常方便地确定一个局部网络内机器之间的相互关系。2020/9/15Page13假定一个局域网内部存在某些信任关系。例如，主机A信任主机B、主机B信任主机C，则为了侵入该网络，黑客可以采用下面两种方式。（1）通过假冒机器B来欺骗机器A和C。（2）通过假冒机器A或C来欺骗机器B。为了假冒机器C去欺骗机器B，首要的任务是攻击原来的C，使得C发生瘫痪。这是一种拒绝服务的攻击方式。2020/9/15Page148.2.2IP欺骗的防止1．抛弃基于地址的信任策略2．进行包过滤3．使用加密方法4．使用随机化的初始序列号2020/9/15Page15对于来自网络外部的欺骗来说，阻止这种攻击的方法是很简单的，在局部网络的对外路由器上加一个限制条件，只要在路由器里面设置不允许声称来自于内部网络的外来包通过就行了。如果网络存在外部的可信任主机，那么路由器就无法防止别人冒充这些主机而进行的IP欺骗。当实施欺骗的主机在同一网络内时，攻击往往容易得手，并且不容易防范。2020/9/15Page16应该注意与外部网络相连的路由器，看它是否支持内部接口。如果路由器有支持内部网络子网的两个接口，则须警惕，因为很容易受到IP欺骗。这也是为什么说将Web服务器放在防火墙外面有时会更安全的原因。检测和保护站点免受IP欺骗的最好办法就是安装一个过滤路由器，来限制对外部接口的访问，禁止带有内部网资源地址包通过。当然也应禁止（过滤）带有不同内部资源地址的内部包通过路由器到别的网上去，这就防止内部的用户对别的站点进行IP欺骗。2020/9/15Page178.3拒绝服务攻击8.3.1概述DoS--DenialofService：现在一般指导致服务器不能正常提供服务的攻击。图8-1拒绝服务攻击示意图2020/9/15Page18拒绝服务是一种简单的破坏性攻击，通常攻击者利用TCP/IP中的某个漏洞，或者系统存在的某些漏洞，对目标系统发起大规模的攻击，使得攻击目标失去工作能力，使得系统不可访问，合法用户不能及时得到应得的服务或系统资源，它最本质的特征是延长正常的应用服务的等待时间。2020/9/15Page19DoS攻击的事件：◎2000年2月份的Yahoo、亚马逊、CNN被DoS攻击。◎2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。◎2003年1月25日的“2003蠕虫王”病毒。◎2004年8月，共同社报道：日本近期共有上百网站遭到黑客袭击。2020/9/15Page208.3.2拒绝服务攻击的原理1．拒绝服务的模式按照入侵方式，拒绝服务可以分为资源消耗型，配置修改型，物理破坏型以及服务利用型。2020/9/15Page21（1）资源消耗型：指入侵者试图消耗目标的合法资源，如网络带宽、内存和磁盘空间等，从而达到拒绝服务的目的。（2）配置修改型：入侵者通过改变或者破坏系统的配置信息，来阻止其他合法用户使用计算机和网络提供的服务。2020/9/15Page22（3）物理破坏型：它主要针对物理设备的安全。入侵者可以通过破坏或者改变网络部件以实现拒绝服务。（4）服务利用型：入侵者常用的是TCP/IP以及目标系统自身应用软件中的一些漏洞和弱点，来达到拒绝服务的目的。2020/9/15Page232．拒绝服务常用方法以消耗目标主机的可用资源为目的（例如：死亡之ping、SYN攻击、Land攻击、泪珠攻击（Teardrop）、Smurf攻击等）以消耗服务器链路的有效带宽为目的（例如：蠕虫）2020/9/15Page24攻击者目标主机SYNSYN/ACKACK等待应答SYN：同步SYN/ACK:同步/确认ACK：确认SYN攻击的原理（1）2020/9/15Page25....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK应答.........不应答不应答重新发送SYN攻击的原理（2）2020/9/15Page261)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统2)攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。攻击准备：代理程序DDoS(分布式拒绝服务)攻击（1）2020/9/15Page273)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。攻击者目标系统发起攻击：攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。DDoS(分布式拒绝服务)攻击（2）2020/9/15Page288.4侦察与工具8.4.1安全扫描安全扫描以各种各样的方式进行。可以利用Ping和端口扫描程序来侦查网络，也可以使用客户端/服务器程序，如Telnet和SNMP等来侦查网络泄漏的有用信息。应当利用一些工具来了解网络。有些工具很简单，便于安装和使用。有时，审计人员和黑客会利用程序语言如Perl,C,C++和Java自己编制一些工具，因为他们找不到现成的针对某种漏洞的工具。2020/9/15Page29另外一些工具功能更全面，但是在使用前需要认真地配置。有专门从事网络管理和安全的公司出售这些工具。好的网络级和主机级扫描器会监听和隔离进出网络和主机的所有会话包。在学习这些“Hacker-in-a-box”的解决方案前，应当先接触一些当前黑客常常使用的技巧。2020/9/15Page301．Whois命令Whois（类似于finger）是一种Internet的目录服务，whois提供了在Internet上一台主机或某个域的所有者的信息，如管理员的姓名、通信地址、电话号码和E-mail地址等信息，这些信息是在官方网站whoisserver上注册的，如保存在InterNIC的数据库内。Whois命令通常是安全审计人员了解网络情况的开始。一旦得到了Whois记录，从查询的结果还可得知primary和secondary域名服务器的信息。2020/9/15Page312．nslookup使用DNS的排错工具nslookup，可以利用从whois查询到的信息侦查更多的网络情况。例如，使用nslookup命令把主机伪装成secondaryDNS服务器，如果成功便可以要求从主DNS服务器进行区域传送。要是传送成功的话，将获得大量有用信息，包括：使用此DNS服务器做域名解析到所有主机名和IP地址的映射情况；公司使用的网络和子网情况；主机在网络中的用途，许多公司使用带有描述性的主机名。2020/9/15Page32使用nslookup实现区域传送的过程有如下几步。第1步，使用whois命令查询目标网络，例如在Linux提示符下输入whoiswebmaster.com.cn。第2步，得到目标网络的primary和slaveDNS服务器的信息。例如，假设主DNS服务器的名字是ns.webmaster.com.cn。第3步，使用交互查询方式，缺省情况下nslookup会使用缺省的DNS服务器作域名解析。键入命令serverns.webmaster.com.cn定位目标网络的DNS服务器。2020/9/15Page33第4步，列出目标网络DNS服务器的内容，如lswebmaster.com.cn。此时DNS服务器会把数据传送过来。当然，管理员可以禁止DNS服务器进行区域传送，目前很多公司将DNS服务器至于防火墙的保护之下并严格设定了只能向