网络安全课程-第6章-黑客入侵与防范.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,6,章,黑客入侵与防范,本章主要内容：,1:,黑客入侵概述,重 点,:,2:,端口扫描,重,难点,:,3:,网络监听,4:,口令破译,5:IP,欺骗,重,难点,:,6:,木马,重,难点,:,7:,拒绝服务攻击,8:,电子邮件攻击,难 点,:,9:,缓冲区溢出,黑客常用的攻击手段、工具及技术,1:,黑客入侵概述,黑客攻击复杂度与所需入侵知识关系图,Hacker,的由来,:,黑客一诩来自于英语,HACK,在美国麻省理工学院校园俚语中是,”,恶作剧”的意思,尤其是佛那些技术高明的恶作剧。因此，黑客是人们对那些编程高手、迷恋计算机代码的程序设计人员的称谓。真正的黑客有自己独特的文化和精神，他们并不破坏别人的系统，他们崇拜技术，对计算机系统的最大潜力进行智力上的自由探索。,骇客（,Cracker,）：恶意闯入他人计算机或系统，意图盗取敏感信息的人，对于这类人最合适的用词是,Cracker,。,二者不同,:Hacker,们创造新东西,Cracker,们破坏东西。,试图破解某系统或网络以提醒该系统所有者的系统安全漏洞的人被称做“白帽黑客”。,黑客发展的历史,黑客,(,骇客,),攻击的动机,贪心,偷窃或者敲诈,恶作剧,无聊的计算机程序员,名声,显露出计算机经验与才智，以便证明他们的能力和获得名气,报复,/,宿怨,解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人,无知,失误和破坏了信息还不知道破坏了什么,黑客道德,-,这是许多构成黑客人物的动机,仇恨,-,国家和民族原因,间谍,政治和军事目的谍报工作,商业,商业竞争，商业间谍,黑客入侵攻击的一般过程,1.,确定攻击的目标。,2.,收集被攻击对象的有关信息。,3.,利用适当的工具进行扫描。,4.,建立模拟环境，进行模拟攻击。,5.,实施攻击。,6.,清除痕迹。,网络安全扫描技术在网络安全行业中扮演的角色,（,1,）扫描软件是入侵者分析被入侵系统的必备工具,（,2,）扫描软件是系统管理员掌握系统安全状况的必备工具,（,3,）扫描软件是网络安全工程师修复系统漏洞的主要工具,（,4,）扫描软件在网络安全的家族中可以说是扮演着医生的角色,2:,网络安全扫描技术,网络安全扫描技术分类,一一般的端口扫描器,二功能强大的特殊端口扫描器,三,.,其他系统敏感信息的扫描器,网络安全扫描技术的应用,1.,合法使用：,（,1,）检测自己服务器端口，以便给自己提供更好的服务；,（,2,）扫描软件是网络安全工程师修复系统漏洞的主要工具。如：一个系统存在“,ASP,源代码暴露”的漏洞，防火墙发现不了这些漏洞，入侵检测系统也只有在发现有试图获取,ASP,文件源代码的时候才报警，而通过扫描工具，可以提前发现系统的漏洞，打好补丁，做好防范。,2.,非法使用：查找服务器的端口，选取最快的攻击端口。,扫描器的主要功能,检测主机是否在线,扫描目标系统开放的端口，测试端口的服务信息。,获取目标系统的敏感信息。,破解系统口令。,扫描其他系统敏感信息，如：,CGI,Scaner,、,ASP,Scaner,、从各个主要端口取得服务信息的,Scaner,、数据库,Scaner,以及木马,Scaner,等。,3:,网络监听,(,嗅探,),Sniffer,，,中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。,采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。,网卡工作原理,网卡内的单片程序先接收数据头的目的,MAC,地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为不该接收就丢弃不管；认为该接收就在接收后产生中断信号通知,CPU,，,CPU,得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。,网卡的工作模式,普通方式：,混杂模式（,promiscuous,）：,够接收到一切通过它的数据,如果一台网卡被配置成混杂模式，它（包括其软件）就是一个嗅探器。,Username:,herma009,Password:,hiHKK234,以太网（,HUB,）,FTP,Login,Mail,普通用户,A,服务器,C,嗅探者,B,网络监听原理,Username:,herma009,Password:,hiHKK234,网络监听原理,一个,sniffer,需要作的：,把网卡置于混杂模式。,捕获数据包。,分析数据包,HUB,工作原理,在共享式网络中很容易实现网络监听。,交换环境下,的,SNIFF,由于交换机的工作原理与,HUB,不同，如果在,B,计算机上安装了,Sniffer,软件，它也只能收到发给自己的广播数据包无法监听别人的数据。,镜像的监控端口,交换环境下的监听,那么，在交换环境下就不会被别人监听了吗？答案是否定的。,原因：现在许多交换机都支持镜像的功能，能够把进入交换机的所有数据都映射到监控端口，这样就可以监听所有的数据包，从而进行数据分析。镜像的目的主要是为了网络管理员掌握网络运行情况，而采用的手段就是监控数据包。,要实现上述功能必须对交换机进行设置才可以，所以在交换环境下对于黑客来说很难实现监听，但他们也有其他的办法，如,ARP,欺骗；破坏交换机的工作模式，使其广播式处理数据；等等。,4:,口令攻击,通过猜测或获取口令文件等方式获得系统认证口令,从而进入系统,危险口令类型,.,用户名,.,用户名变形,.,生日,.,常用英文单词,.,5,为以下长度的口令,暴力破解：举例,NAT,5:,IP,地址欺骗,一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么，因此，这样就 可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个,IP,地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的,IP,地址欺骗攻击。比较著名的,SQL Server,蠕虫病毒，就是采用了这种原理。该病毒（可以理解为一个攻击者）向一台运行,SQL Server,解析服务的服务器发送一个解析服务的,UDP,报文，该报文的源地址填写为另外一台运行,SQL Server,解析程序（,SQL Server 2000,以后版本）的服务器，这样由于,SQL Server,解析服务的一个漏洞，就可能使得该,UDP,报文在这两台服务器之间往复，最终导致服务器或网络瘫痪。,6:,木马（,Trojan horse,）,木马是一种基于远程控制的黑客工具,具有如下性质,:,隐蔽性,潜伏性,危害性,非授权性,常见的普通木马一般是客户端,/,服务器端（,C/S,）模式，客户端,/,服务器端之间采用,TCP/UDP,的通信方式，攻击者控制的是相应的客户端程序，服务器程序是木马程序，木马程序被植入了毫不知情的用户的计算机中。以“里应外合”的工作方式，服务程序通过打开特定的端口并进行监听，这些端口好像“后门”一样，所以也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求（,Connect Request,）,木马便和它连接起来了，攻击者就可以使用控制器进入计算机，通过客户程序命令达到控服务器端的目的。,木马的工作原理,木马的工作原理,实际就是一个,C/S,模式的程序（里应外合）,操作系统,被植入木马的,PC,（,server,程序）,TCP/IP,协议,端口,被植入木马的,PC,（,client,程序）,操作系统,TCP/IP,协议,端口,控制端,端口,处于监听状态,木马传播方式,主动与被动：,主动种入,通过,E,mail,文件下载,浏览网页,木马实施攻击的步骤,1.,配置木马：成熟的木马都有木马配置程序以实现下述两个功能。,（,1,）木马伪装：如修改图标、捆绑文件、定制端口、自我销毁等。,（,2,）信息反馈：,2.,传播木马：有两种方式，一种是通过,E-mail,，另一种是通过软件下载。,3.,启动木马：捆绑木马的程序只要运行，木马就运行了。,4.,建立连接：需要满足两个条件，一是服务器端安装了木马程序，二是控制端、服务器端都要在线。,5.,远程控制：控制服务器端，实现窃取密码、文件操作、修改注册表、锁住服务器端等。,木马,伪装,方法,1.,木马文件的隐藏与伪装,（,1,）文件的位置：,C:WINNT,或,C:WINNTsystem32,或,C:WINNTtemp,目录下。,（,2,）,文件的属性：隐藏。,（,3,）捆绑到其他文件上：可执行文件,.EXE,或,.COM,上。,（,4,）文件的名字：如，冰河木马文件名,kernl132.exe,Windows,系统本身正常的文件名有,kernel132.dll,。注意,0,和,o,的区别,（,5,）文件的的扩展名：如,.,jpg.exe,，显示*,.jpg,Windows,默认设置不显示文件扩展名。,（,6,）文件的,图标：更改服务器端文件图标来伪装自己。,木马运行中的隐藏与伪装,（,1,）,在任务栏里隐藏：是最基本的隐藏方式，以,VB,为例，只要把,from,的,visible,属性设置为,False,ShowInTaskBar,设为,False,，程序就不会出现在任务栏里了。,（,2,）,在任务管理器里隐藏：按下,Ctrl+Alt+Del,打开任务管理器，查看正在运行的进程，可发现木马进程,木马把自己设为,”,系统服务”就不会出现在任务管理器里了,.,添加系统服务的工具有很多,最典型的,net service,可手工添加系统服务,.,（,3,）,隐藏端口,:,大部分木马一般在,1024,以上的高端口驻留,易被防火墙发现,.,现在许多新木马采用端口反弹技术,客户端使用,80,端口、,21,端口等待服务器端（被控制端）主动连接客户端（控制端）。,端口反弹技术,反弹技术，该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。,反弹端口型软件的原理是，客户端首先到,FTP,服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用,HTTP,协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。因此在互联网上可以访问到局域网里通过,NAT,（透明代理）代理上网的电脑，并且可以穿过防火墙。与传统的远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般开为,80,（即用于网页浏览的端口），这样，即使用户在命令提示符下使用,netstat,-a,命令检查自己的端口，发现的也是类似,TCP,UserIP:3015,ControllerIP,：,http,ESTABLISHED,的情况，稍微疏忽一点你就会以为是自己在浏览网页，而防火墙也会同样这么认为的。于是，与一般的软件相反，反弹端口型软件的服务端主动连接客户端，这样就可以轻易的突破防火墙的限制。,木马,启动方式,1,、在配置文件中启动,（,1,）在,Win.ini,中,在一般情况下,C:WINNT,Win.ini,的,”,Windows”,字段中有启动命令“,load=”,和”,Run=”,的后面是空白的,如果有后跟程序，例如：,Run=C:WINNT,File.exe,load=C:WINNT,File.exe,这个,File.exe,极可能是木马。,（,2,）在,system.ini,中,C:WINNT,system.ini,的,2,、启动组,3,、注册表,4,、捆绑方式启动,:,5,、伪装在普通文件中,6,、设置在超级连接中,木马启动方式,发现木马的方法,系统的异常情况,打开文件，,没有任何反应,查看打开的端口,检查注册表,查看进程,防御,发现木马：检查系统文件、注册表、端口,不要轻易使用来历不明的软件,不熟悉的,E-MAIL,不打开,常用杀毒软件并及时升级,查在安装新的软件之前，请先备份注册表在安装完软件以后，立即用杀毒软件查杀,Windows,文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒，这时请将它杀掉，杀毒完成后，重新启动计算机,木马与病毒、远程控制的区别,病毒程序是以自发性的败坏为目的。,木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。,木马程序和远程控制的相同点：都是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它们的运行都遵照,TCP/IP,协议。其程序编制技术和攻击系统的手段也几乎没有什么区别。,木马与远程控制的最大区别：就是木马具有隐蔽性而远程控制软件没有。例如，国内血蜘蛛，国外的,PCAnywhere,等都是远程控制软件，血蜘蛛等,server,端在目标机器上运行时，目标机器上会出现很醒目的标志。而木马类的软件的,server,端在运行的时候,应用,各种手段隐藏自己。,7:,拒绝服务攻击,(,DoS,),什么叫拒绝服务攻击,DOS,是使计算机或网络无法提供正常的服务。,DOS,攻击种类：,带宽攻击,连通性攻击,带宽攻击：,指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。,连通性攻击：,指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。,在上述攻击原理下，,针对所攻击的服务和协议不同，它又有许多种不同的攻击方式。,拒绝服务攻击,(,DoS,),拒绝服务攻击,：,DoS,-Denial of Service,DoS,攻击的事件,：,2000,年,2,月份的,Yahoo,、,亚马逊、,CNN,被,DoS,攻击,2002,年,10,月全世界,13,台,DNS,服务器同时受到了,DDoS,（,分布式拒绝服务）攻击。,2003,年,1,月,25,日的“,2003,蠕虫王”病毒,2004,年,8,月，,共同社报道：日本近期共有上百网站遭到黑客袭击。,死亡之,ping,TCP,SYN,Flood,Land,攻击,泪珠（,Teardrop,）攻击,行行色色的,DOS,攻击,死亡之,ping,死亡之,ping,原理,：在早期，路由器对包的大小是有限制的，许多操作系统,TCP/IP,栈规定,ICMP,包的大小限制在,64KB,以内。根据,ICMP,数据包的的标题头里包含的信息来有效生成缓冲区。当,ICMP,包大小超过,64kB,，就会出现内存分配错误，导致,TCP/IP,堆栈崩溃，从而使接受方计算机宕机。,死亡之,ping,防御,防御死亡之,ping,攻击的基本方法：,现在所有的标准,TCP/IP,协议都已具有对付超过,64kB,大小,数据包的能力，并且大多数防火墙能够通过对数据包中的信息和时间间隔的分析自动过滤这些攻击。,TCP SYN,洪水攻击,TCP SYN Flood,：,TCP SYN,洪水攻击应用最广、最容易实现,TCP SYN,洪水攻击原理：,TCP/IP,栈只能等待有限数量的,ACK,应答消息，因为每台计算机里用于创建,TCP/IP,连接的内存缓冲区都是非常有限的。如果这一缓冲区冲满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。,TCP SYN,洪水攻击利用了,TCP/IP,协议的这一系统漏洞来进行攻击。要明白其具体的攻击过程，需理解,TCP,协议建立连接的,三次握手过程,。,TCP,协议建立连接的三次握手过程,三次握手：,（,1,）建立发起者向目标计算机发送一个,TCP SYN,报文。,（,2,）目标计算机收到这个,SYN,报文后，在内在中创建,TCP,连接,控制块（,TCB,），然后向发起者回送一个,TCP ACK,报文，,等待发起者的回应。,（,3,）发起者收到,TCP ACK,报文后，再回应一个,ACK,报文。,攻击原理：,攻击过程与,TCP,连接的三次握手过程基本一样，只是在最后一步发起者收到,TCP ACK,报文后不向目标计算机回应,ACK,报文，这样导致目标计算机一直处于等待状态；如果目标计算机接收到大量的,TCP SYN,报文，而没有收到发起者的,ACK,回应，会一直等待，处于这种尴尬状态的半连接如果很多，则会把目标计算机的资源（,TCB,控制结构，,TCB,一般情况下是有限的）耗尽，而不能响应正常的,TCP,连接请求。,注：,TCB,，线和控制块，,PCB,，进程控制块,TCP SYN,洪水攻击防御,TCP SYN,洪水攻击原理：,攻击者在实施,TCP SYN,洪水攻击时，首先利用伪造的,IP,地址向目标发出多个连接（,SYN,）请求目标系统在接收到请求后发送确认信息并等待回答；由于黑客发送请示的,IP,地址是仿造的，所以确认信息不会到达任何计算机，当然也就不会有任何计算机为此确认信息作出应答了；而在没有接收到任何应答之前，目标计算机系统是不会主动放弃连接的会继续在缓冲区中保持相应连接信息；当达到一定数量的的等待连接之后，缓冲区内存资源耗尽，从而开始拒绝接收任何其他连接请求。,防御方法：,在防火墙上过滤来自同一主机的后续连接。,攻击者,目标主机,SYN,SYN/ACK,SYN/ACK,等待应答,SYN,：,同步,SYN/ACK:,同步,/,确认,TCP SYN,洪水攻击,TCP SYN,洪水攻击,.,.,.,.,SYN/ACK,SYN/ACK,SYN/ACK,SYN,SYN,SYN,攻击者,目标主机,SYN,SYN/ACK,1,n,SYN/ACK,SYN/ACK,SYN/ACK,SYN/ACK,.,.,.,.,等待应答,SYN/ACK,.,.,.,.,.,.,.,.,.,DDoS,攻击时序(分布式拒绝服务),1),攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。,攻击者,各种客户主机,目标系统,2,),攻击者进入其已经发现的最弱的客户主机之内(,“,肉机,”,)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序,demon)。,攻击准备：,安置代理,代理程序,DDoS,攻击时序(分布式拒绝服务),3),攻击者使他的全部代理程序同时发送由残缺的数据包构成的连接请求送至目标系统。,攻击者,目标系统,发起攻击,：,指令,攻击的代理程序,4),包括虚假的连接请求在内的大量残缺的数据包攻击目标系统，最终将导致它因通信阻塞而崩溃。,虚假的连接请求,DDoS,攻击时序(分布式拒绝服务),DDoS,攻击时序(分布式拒绝服务),从图可以看出，,DDoS,攻击分为,3,层：攻击者、主控端、代理端,，三者在攻击中扮演着不同的角色。,1,、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。,2,、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。,3,、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。,攻击者发起,DDoS,攻击的第一步，就是寻找在,Internet,上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。,ICMP,与,UDP,洪水攻击,ICMP,洪水攻击：,正常情况下为了对网络进行诊断，一些诊断程序，如,PING,等，会发出,ICMP,响应请求报文（,ICMP ECHO,），接收计算机收到（,ICMP ECHO,）后，会回应一个,ICMP ECHO Reply,报文，而这个过程是需要,CPU,处理的，有的情况下还可能消耗大量的资源，比如处理分片的时候；这样，如果攻击者向目标计算机发送大量的,ICMP ECHO,报文（产生,ICMP,洪水），则目标计算机会忙于处理这些,ECHO,报文而无法处理其他的网络数据报文，这就是,ICMP,洪水攻击，也是一种,DOS,。,UDP,洪水攻击：,与,ICMP,洪水攻击类似，攻击者通过发送大量的,UDP,报文给目标计算机，导致目标计算机忙于处理这些,UDP,报文而无法继续处理正常的报文。,ICMP,与,UDP,洪水攻击防御,关掉不必要,的,TCP/IP,服务，或者,对防火墙,进行配置，阻断来自,Internet,的,ICMP,和,UDP,请求报文。,分片,IP,报文攻击,分片,IP,报文攻击原理,:,为了传送一个大的,IP,报文,IP,协议栈需要根据链路接口的,MTU,对该,IP,报文进行分片,通过填充适当的,IP,头中的分片指示字段,接收计算机可以很容易地把这些,IP,分片报文重组起来,.,目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些,IP,协议栈的数据结构,.,如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样被攻击者计算机便会一直等待,(,直到一个内部计时器到时,),如果,攻击者发送了大量这样的分片报文,就会消耗掉目标计算机的资源,而导致不能处理正常的,IP,报文,这也是一种,DOS,攻击,.,分片,IP,报文攻击防御,防御分片,IP,报文攻击方法,:,对于这种攻击方式,目前还没有一种十分有效的防御方法,。原因：,一些包过滤设备或者入侵检测系统,首先通过判断目的端口号来采取允许,/,禁止措施,.,但是,由于通过恶意分片使目的端口位于第二个分片中,因此包过滤设备通过判断第一个分片,决定后续的分片是否允许通过,.,但是,这些分片在目标主机上进行重组后将形成各种攻击,.,当然,目前一些智能的包过滤设备可直接丢掉报头中未包含端口信息的分片,但这样的设备目前价格比较昂贵,不是每个企业能承受得起的,.,泪滴（,teardrop,）攻击,泪滴（,teardrop,）攻击原理,:,对于大的,IP,数据包,往往需要对其进行拆分传送,这是为了迎合链路层的,MTU(,最大传输单元,),的要求,比如,一个,6000,字节的,IP,包,在,MTU,为,2000,字节的链路上传输时,就需要分成三个,IP,包,.,在,IP,报头中有一个偏移字段和一个拆分标志,(MF),如果,MF,标志设置为,1,则表明这个,IP,包是一个大,IP,包的片断,其中偏移字段指出了这个片断在整个,IP,包中的位置,.,例如,对一个,6000,字节的,IP,包进行拆分,(MTU,为,2000),则三个片断中偏移字段的值依次为,:0,、,2000,、,4000,。这样，接收端在全部接收完,IP,数据包后，就可以根据这些信息重新组装这几个分次接收的,IP,数据包。,在这里就出现了一个,安全漏洞,：如果黑客们在截取,IP,数据包后，把偏移字段设置成不正确的值，这样接收端在收到这些分拆的数据包后就不能按数据包中的偏移字段值正确重组这些拆分的数据包，但接收端会不断尝试，这样，就可能致使目标计算机操作系统因资源耗尽而崩溃。,防御泪滴（,teardrop,）攻击,IP,分段含有指示该分段所包含的是原包的哪一段信息，某些操作系统的,TCP/IP,在收到含有重叠偏移的伪造分段时将崩溃，不过，新的操作系统已基本上能自己抵御这种攻击了。,防御泪滴（,teardrop,）攻击的基本方法：,尽可能采用新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采取的规则。,Land,攻击,Land,攻击原理：,Land,攻击与,TCP SYN,洪水攻击类似，也是利用了,TCP,连接建立的三次握手过程，通过向一个目标计算机发送一个,TCP SYN,报文（连接建立请求报文）而写成对目标计算机的攻击。与,TCP SYN,洪水攻击的方法不同的是，这里并不是不给,TCK,响应，而是给被攻击方发送一个源,IP,地址和目的,IP,地址相同的假,TCP SYN,报文，都是目标计算机的,IP,地址。这样目标计算机接收到这个,SYN,报文后，就会向该报文的原地址发送一个,ACK,报文，并建立一个,TCP,连接控制结构（,TCB,），而该报文的源,IP,地址就是自己，因此，这个,ACK,报文就发给了自己。如果攻击者发送了足够多的,SYN,报文，则目标计算机的,TCB,可能会耗尽，最终不能提供正常服务，这也是一种,DOS,攻击。,防御,Land,攻击,防御,Land,攻击的基本方法：,这类攻击的检测方法相对来说比较容易，因为可以直接从判断网络数据包的源,IP,地址与目的,IP,地址是否相同得出是否属于攻击行为。反攻击的方法当然是适当的配置防火墙设备或包过滤路由器的包过滤规则，过滤掉那些源地址与目标地址一样的数据包，从而可以有效的分析并跟踪攻击来源。,Smurf,攻击,Smurf,攻击原理：,Smurf,攻击利用的是多数路由器具有的同时向许多计算机广播请求的功能。,ICMP ECHO,请求包用来对网络进行诊断，当一台计算机接收到这样一个报文后，会向报文的源地址回应一,ICMP ECHO REPLY,。一般情况下，计算机是不检查该,ECHO,请求的源地址的。攻击者伪造一个合法的,IP,地址，然后由网络所有的路由器广播要求受攻击的计算机做出回答请求。由于这些数据包表面上看是来自已知地址的合法请求，因此网络中所有系统向这个地址做出应答，最终结果可导致该网络的所有主机都对此,ICMP,应答请求作出答复，导致网络阻塞，这也就达到了黑客们的目的了。这种,Smurf,攻击比以前介绍的,Ping of Death,洪水攻击的流量高出一到两个数量级，更容易攻击成功。还有些新型的,Smurf,攻击，将源地址改为第三方受害者（不再采用伪装的,IP,地址），最终导致第三方雪崩。,除了把,ECHO,报文的源地址设置为广播地址外，攻击者还可能把源地址设置为一个子网广播地址，这样，该子网内的计算机就可能受影响。,防御,Smurf,攻击,防御,Smurf,攻击的基本方法：,（,1,）为防止系统成为,smurf,攻击的平台，要将所有路由器上,IP,的广播功能都禁止。一般来讲，,IP,广播功能并不需要。,（,2,）挫败一个,smurf,攻击的最简单方法对边界路由器的回音应答,(echo reply),信息包进行过滤，然后丢弃它们，这样就能阻止“命中”,Web,服务器和内网。对于那些使用,Cisco,路由器的人，另一个选择是,CAR(Committed Access Rate,，承诺访问速率,),。,Fraggle,攻击,Fraggle,攻击原理：,Fraggle,攻击实际上就是对,Smurf,攻击作了简单的修改，使用的是,UDP,应答消息而非,ICMP,。因为黑客们清楚,UDP,协议更不易被用户们全部禁止。同时，,Fraggle,攻击使用了特定的端口（通常为,7,号端口，但也有许多使用其他端口实施,Fraggle,攻击的），攻击方式与,Smurf,攻击基本类似，这里不再赘述。,WinNuke,攻击,NetBIOS,作为一种基本的网络资源访问接口，广泛的应用于文件共享，打印共享，进程间通信（,IPC,），以及不同操作系统之间的数据交换。一般情况下，,NetBIOS,是运行在,LLC2,链路协议之上的，是一种基于组播的网络访问接口。为了在,TCP/IP,协议栈上实现,NetBIOS,，,RFC,规定了一系列交互标准，以及几个常用的,TCP/UDP,端口：,139,：,NetBIOS,会话服务的,TCP,端口；,137,：,NetBIOS,名字服务的,UDP,端口；,136,：,NetBIOS,数据报服务的,UDP,端口。,WINDOWS,操作系统的早期版本（,WIN95/98/NT,）的网络服务（文件共享等）都是建立在,NetBIOS,之上的，因此，这些操作系统都开放了,139,端口（最新版本的,WINDOWS 2000/XP/2003,等，为了兼容，也实现了,NetBIOS over TCP/IP,功能，开放了,139,端口）。,WinNuke,攻击就是利用了,WINDOWS,操作系统的一个漏洞，向这个,139,端口发送一些携带,TCP,带外（,OOB,）数据报文，,但这些攻击报文与正常携带,OOB,数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合，这样,WINDOWS,操作系统在处理这些数据的时候，就会崩溃。,虚拟终端（,VTY,）耗尽攻击,这是一种针对网络设备的攻击，比如路由器，交换机等。这些网络设备为了便于远程管理，一般设置了一些,TELNET,用户界面，即用户可以通过,TELNET,到该设备上，对这些设备进行管理。一般情况下，这些设备的,TELNET,用户界面个数是有限制的，比如，,5,个或,10,个等。这样，如果一个攻击者同时同一台网络设备建立了,5,个或,10,个,TELNET,连接，这些设备的远程管理界面便被占尽，这样合法用户如果再对这些设备进行远程管理，则会因为,TELNET,连接资源被占用而失败。,逻辑炸弹,逻辑炸弹其本质是一种数据欺骗。,1996,年,7,月,31,日，美国一家大型制造商的计算机系统管理员罗依德，因不受公司器重而报复公司，将自己编写的逻辑炸弹提前,30,天埋在了公司的计算机生产系统中，在收到解雇通知后随即引爆了逻辑炸弹，不仅给公司造成,1,千万美元的直接经济损失，更严重的是使公司在本领域的名声从此一蹶不振。,畸形消息攻击,如果收到畸形的信息各类操作系统上的许多服务都会崩溃，由于这些服务在处理信息之前不能对他们进行适当的错误检验。,目前无论是,Windows,、,Unix,、,Linux,等各类操作系统上的许多服务都存在安全隐患问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，所以一旦在收到畸形的信息就有可能会崩溃。,防御畸形消息攻击,:,安装最新的服务补丁,.,Script,攻击,Script,是一种可执行的脚本，它一般由一些脚本语言写成，比如常见的,JAVA SCRIPT,，,VB SCRIPT,等。这些脚本在执行的时候，需要一个专门的解释器来翻译，翻译成计算机指令后，在本地计算机上运行。这种脚本的好处是，可以通过少量的程序写作，而完成大量的功能。这种,SCRIPT,的一个重要应用就是嵌入在,WEB,页面里面，,执行一些静态,WEB,页面标记语言（,HTML,）无法完成的功能，比如本地计算，数据库查询和修改，以及系统信息的提取等。这些脚本在带来方便和强大功能的同时，也为攻击者提供了方便的攻击途径。如果攻击者写一些对系统有破坏的,SCRIPT,，然后嵌入在,WEB,页面中，一旦这些页面被下载到本地，计算机便以当前用户的权限执行这些脚本，这样，当前用户所具有的任何权限，,SCRIPT,都可以使用，可以想象这些恶意的,SCRIPT,的破坏程度有多强。这就是所谓的,SCRIPT,攻击。,ActiveX,攻击,ActiveX,是一种控件对象，它是建立在,MICROSOFT,的组件对象模型（,COM,）之上的，而,COM,则几乎是,Windows,操作系统的基础结构。可以简单的理解，这些控件对象是由方法和属性构成的，方法即一些操作，而属性则是一些特定的数据。这种控件对象可以被应用程序加载，然后访问其中的方法或属性，以完成一些特定的功能。可以说，,COM,提供了一种二进制的兼容模型（所谓二进制兼容，指的是程序模块与调用的编译环境，甚至与操作系统没有关系）。但需要注意的是，这种对象控件不能自己执行，因为它没有自己的进程空间，而只能由其它进程加载，并调用其中的方法和属性，这时候，这些控件便在加载进程的进程空间运行，类似与操作系统的可加载模块，比如,DLL,库。,ActiveX,控件可以嵌入在,WEB,页面里面，当浏览器下载这些页面到本地后，相应地也下载了嵌入在其中的,ActiveX,控件，这样这些控件便可以在本地浏览器进程空间中运行（,ActiveX,空间没有自己的进程空间，只能由其它进程加载并调用），因此，当前用户的权限有多大，,ActiveX,的破坏性便有多大。如果一个恶意的攻击者编写一个含有恶意代码的,ActiveX,控件，然后嵌入在,WEB,页面中，被一个浏览用户下载后执行，其破坏作用是非常大的。这便是所谓的,ActiveX,攻击。,路由协议攻击,网络设备之间为了交换路由信息，常常运行一些动态的路由协议，这些路由协议可以完成诸如路由表的建立，路由信息的分发等功能。常见的路由协议有,RIP,，,OSPF,，,IS-IS,，,BGP,等。这些路由协议在方便路由信息管理和传递的同时，也存在一些缺陷，如果攻击者利用了路由协议的这些权限，对网络进行攻击，可能造成网络设备路由表紊乱（这足可以导致网络中断），网络设备资源大量消耗，甚至导致网络设备瘫痪。,针对,RIP,协议的攻击,RIP,，即路由信息协议，是通过周期性（一般情况下为,30S,）的路由更新报文来维护路由表的，,一台运行,RIP,路由协议的路由器，如果从一个接口上接收到了一个路由更新报文，它就会分析其中包含的路由信息，并与自己的路由表作出比较，如果该路由器认为这些路由信息比自己所掌握的要有效，它便把这些路由信息引入自己的路由表中。这样如果一个攻击者向一台运行,RIP,协议的路由器发送了人为构造的带破坏性的路由更新报文，就很容易的把路由器的路由表搞紊乱，,从而导致网络中断。如果运行,RIP,路由协议的路由器启用了路由更新信息的,HMAC,验证，则可从很大程度上避免这种攻击。,针对,OSPF,路由协议的攻击,OSPF,，即开放最短路径优先，是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法，具有收敛速度快，平稳，杜绝环路等优点，十分适合大型的计算机网络使用。,OSPF,路由协议通过建立邻接关系，来交换路由器的本地链路信息，然后形成一个整网的链路状态数据库，针对该数据库，路由器就可以很容易的计算出路由表。可以看出，如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系，并向攻击路由器输入大量的链路状态广播（,LSA,，组成链路状态数据库的数据单元），就会引导路由器形成错误的网络拓扑结构，从而导致整个网络的路由表紊乱，导致整个网络瘫痪。当前版本的,WINDOWS,操作系统（,WIN 2K/XP,等）都实现了,OSPF,路由协议功能，因此一个攻击者可以很容易的利用这些操作系统自带的路由功能模块进行攻击。跟,RIP,类似，如果,OSPF,启用了报文验证功能（,HMAC,验证），则可以从很大程度上避免这种攻击。,针对,IS-IS,路由协议的攻击,IS-IS,路由协议，即中间系统到中间系统，是,ISO,提出来对,ISO,的,CLNS,网络服务进行路由的一种协议，这种协议也是基于链路状态的，原理与,OSPF,类似。,IS-IS,路由协议经过 扩展，可以运行在,IP,网络中，对,IP,报文进行选路。这种路由协议也是通过建立邻居关系，收集路由器本地链路状态的手段来完成链路状态数据库同步的。该协议的邻居关系建立比,OSPF,简单，而且也省略了,OSPF,特有的一些特性，使该协议简单明了，伸缩性更强。对该协议的攻击与,OSPF,类似，通过一种模拟软件与运行该协议的路由器建立邻居关系，然后传颂给攻击路由器大量的链路状态数据单元（,LSP,），可以导致整个网络路由器的链路状态数据库不一致（因为整个网络中所有路由器的链路状态数据库都需要同步到相同的状态），从而导致路由表与实际情况不符，致使网络中断。与,OSPF,类似，如果运行该路由协议的路由器启用了,IS-IS,协议单元（,PDU,）,HMAC,验证功能，则可以从很大程度上避免这种攻击。,针对设备转发表的攻击,为了合理有限的转发数据，网络设备