网络安全

第四章 网络攻击技术本章学习重点掌握内容： 端口扫描技术 网络嗅探技术 缓冲区溢出 DoS攻击

2013-8-3

网络安全

第四章 网络攻击技术4.1 网络攻击概述 4.2 网络扫描技术 4.3 网络嗅探技术 4.4 缓冲区溢出技术 4.5 DoS攻击技术

2013-8-3

网络安全

4.1 网络攻击概述4.1.1 关于黑客 黑客(Hacker),源于英语动词“hack‖,意为“劈， 砍”,引申为“干了—件漂亮的工作”。 那些怀着不良企图，非法侵入他人系统进行偷窥、破 坏活动的人被称为“Cracker(骇客)”、 “Intruder(入侵者)‖。他们也具备广泛的计算机知 识，但与黑客不同的是他们以破坏为目的. 据统计，全球每20秒就有一起系统入侵事件发生，仅 美国一年所造成的经济损失就超过100亿美元。由于 在大多数人眼里的黑客就是指入侵者，因而这里也将 黑客理解为“入侵者”或“攻击者”。

2013-8-3

网络安全

4.1 网络攻击概述

4.1.2系统脆弱性表现 1、固有的安全漏洞

任何软件系统，包括系统软件和应用软件都无法避免地存在安全漏 洞。这些漏洞主要来源于程序设计等方面的错误和疏忽，如：协议 的安全漏洞、弱口令、缓冲区溢出等。这些漏洞给入侵者提供了可 乘之机。 当发现漏洞时，管理人员需要仔细分析危险程序，并采取补救措施。 有时虽然对系统进行了维护，对软件进行了更新或升级，但出于路 由器及防火墙的过滤规则复杂等问题，系统可能又会出现新的漏洞。 一些系统忽视信息的安全，在设计和部署时没有建立有效的、多层 次防御体系，以及良好的安全性检测与监控平台，这样的系统不能 防御复杂的攻击。

2、系统维护措施不完善

3、缺乏良好的安全体系

2013-8-3

网络安全

4.1 网络攻击概述

4.1.3 黑客攻击的步骤 1、收集信息和系统扫描

1) 收集要攻击目标系统的相关信息

这些信息包括目标系统的位臵、路由、目标系统的结构及技术细 节等。可以用以下的工具或协议来完成信息收集。Ping程序、 Tracert程序、Finger协议、DNS服务器、SNMP协议、whois 协议。为进一步获取系统及网络信息，使用以下工具进行有针对性地窥 探。Nmap:判断OS类型及版本，嗅探系统开放的Service。 Cheops:图形化的网络嗅探工具，能够管理Linux异构网络， 获取系统漏洞信息。

2) 系统扫描

2013-8-3

网络安全

4.1.3 黑客攻击的步骤

2、探测系统安全弱点

入侵者根据收集到的目标网络的有关信息，对目标网络上的 主机进行探测，以发现系统的弱点和安全漏洞。发现系统弱 点和漏洞的主要方法有： 1) 利用“补丁”找到突破口

攻击者通过分析“补丁”程序的接口，自己

编写程序通过该接口 入侵目标系统。 可以对整个网络或子网进行扫描，寻找安全漏洞。系统管理员使 用扫描器可以及时发现系统存在的安全隐患，从而完善系统的安 全防御体系；而攻击者使用此类工具，用于发现系统漏洞。目前 比较流行的扫描器有因特网安全扫描程序ISS(Internet Security Scanner),安全管理员网络分析工具 SATAN(Security Administrator Tool for Analyzing Networks)、NSS、Nessus等。

2) 利用扫描器发现安全漏洞

2013-8-3

网络安全

4.1.3 黑客攻击的步骤

3、实施攻击

攻击者通过上述方法找到系统的弱点后，就可以对系统实施 攻击。攻击者的攻击行为一般可以分为以下3种表现形式： 1) 掩盖行迹，预留后门

攻击者潜入系统后，会尽量销毁可能留下的痕迹，并在受损害系 统中找到新的漏洞或留下后门，以备下次光顾时使用。 攻击者可能在系统中安装探测软件，即使攻击者退出去以后，探 测软件仍可以窥探所在系统的活动，收集攻击者感兴趣的信息， 如：用户名、账号、口令等，并源源不断地把这些秘密传给幕后 的攻击者。 攻击者可能进一步发现受损害系统在网络中的信任等级，然后利 用该信任等级所具有的权限，对整个系统展开攻击。如果攻击者 获得根用户或管理员的权限，后果将不堪设想。

2) 安装探测程序

3) 取得特权，扩大攻击范围

2013-8-3

网络安全

4.1.4 主要攻击方法

1、获取口令

获取口令一般有3种方法： 1) 通过网络监听非法得到用户口令。监听者往往能够获得其 所在网段的所有用户账号和口令； 2) 知道用户的账号后，利用一些专门软件暴力破解用户口令。 3) 在获得一个服务器上的用户口令文件(在Unix中此文件称 为Shadow文件)后，用暴力破解程序破解用户口令。是在本 地将加密后的口令与Shadow文件中的口令相比较就能非常 容易地破获用户密码，尤其对那些弱口令(如：123456, 666666,hello,admin等),在极短的时间内就会被破解。

2013-8-3

网络安全

4.1.4 主要攻击方法

2、WWW欺骗技术

用户可以利用IE浏览器进行各种各样的Web站点的 访问，正在访问的网页可能被黑客篡改，网页上的 信息是虚假的。例如，攻击者将用户要浏览的网页 的URL改写为指向攻击者自己的服务器，当用户浏 览目标网页的时候，实际上是向攻击者的服务器发 出请求，那么黑客就可以达到欺骗的目的。

2013-8-3

网络安全

4.1.4 主要攻击方法

3、电子邮件攻击

电子邮件攻击上要表现为两种方式： 1) 邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一 信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮 件，致使

受害人邮箱被“炸”,严重者可能会给电子邮件服 务器操作系统带来危险，甚至瘫痪； 2) 攻击者佯称作系统管理员(邮件地址和系统管理员完全相 同),给用户发送邮件要求用户修改口令(口令可能为指定字 符串)或在看似正常的附件中加载病毒或其他木马程序，这类 欺骗只要用户提高警惕，一般危害性不大。

2013-8-3

网络安全

4.1.4 主要攻击方法

4、网络嗅探

网络嗅探是将网卡臵于一种混杂模式(Promiscuous)的工作 模式，在这种模式下，主机可以接收到本网段同一条物理通 道上传输的所有信息，而不管这些信息的接受方是谁。此时， 如果两台主机进行通信的信息没有加密，只要使用某些网络 监听工具(例如Sniffer、NetXray等工具)就可以轻而易举地 截取包括口令和账号在内的信息资料。 现有的操作系统或应用软件，大多会存在一些设计上的Bug, 这些Bug通常也被看作是系统的漏洞，在补丁程序没有被开 发和公开之前，这样的系统一般很难防御黑客的破坏。此外， 还有一些漏洞是出于系统管理员配臵错误引起的，这也会给 攻击者带来可乘之机，因此系统在有效使用前，应正确配臵 和初始化，遇到问题及时加以修正。

5、寻找系统漏洞

2013-8-3

网络安全

4.1.4 主要攻击方法

6、DoS(Denial of Service)攻击

DoS攻击，即拒绝服务攻击，是指一个用户占据了大量的共 享资源，使系统没有剩余的资源给其他用户提供服务的一种 攻击力式。拒绝服务攻击的结果可以降低系统资源的可用性， 这些资源可以是网络带宽、CPU时间、磁盘空间、打印机， 甚至是系统管理员的时间。 利用缓冲区溢出攻击可以导致程序运行失败、系统崩溃等后 果。更为严重的是，可以利用它执行非授权指令，甚至可以 取得系统特权，进而进行各种非法操作。缓冲区溢出攻击之 所以成为一种常见安全攻击手段，攻击者可以植入并且执行 攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢 出漏洞的程序，从而得到被攻击主机的控制权。

7、缓冲区溢出攻击

2013-8-3

网络安全

4.1.5 攻击的新趋势

1、攻击过程的自动化与攻击工具的快速更新

攻击工具的自动化程度继续不断地增强，其中涉及的四个阶 段都发生了明显的变化。 1) 扫描潜在的受害者

从1997年起开始出现大量的扫描活动，目前，新的扫描工具利 用更先进的扫描技术，变得更加有威力，并且提高了速度。 早期对具有漏洞的系统的攻击是发生在大范围的扫描之后。目前， 攻击工具已经将对漏洞的入侵设计成为扫描活动的一部分，这样 大大加快了入侵的速度。

2) 入侵具有漏洞的系统

2013-8-3

网络安全

4.1.5 攻击的新趋势

3) 攻击扩散

2000年之前，攻击工具需要一个人来发起新的攻击。现 在，攻击工具能够自动发起新的攻击过程。例如红色代码 和Nimda病毒这些工具就在18个小时之内传遍了全球。 攻击者能够利用大量分布在Internet之上的攻击工具发起 攻击。现在，攻击者能够更加有效地发起一个分布式拒绝 服务攻击。

4) 攻击工具的协同管理

2、攻击工具复杂化

攻攻击工具的特征码越来越难以通过分析来发现， 并且越来越难以通过基于特征码的检测系统发现，

2013-8-3

网络安全

4.1.5 攻击的新趋势

1) 反检测

攻击者采用了能够隐藏攻击工具的技术。这使得要通过各 种分析方法来判断新的攻击的过程变得更加困难。 自动攻击工具能够按照不同的方法更改它们的特征，如通 过随机选择预定的决策路径或者通过入侵者直接的控制来 进行攻击。 新的攻击工具能够通过升级或者对部分模块的替换完成快 速更改。而且，攻击工具能够在越来越多的平台上运行。

2) 动态行为

3) 攻击工具的模块化和标准化

2013-8-3

网络安全

4.1.5 攻击的新趋势

3、渗透防火墙

通常，一个计算机系统依赖防火墙提供安全的主要 边界保护。但是目前已经存在一些绕过典型防火墙 配臵的技术，如IPP(the Internet Printing Protocol)和WebDAV(Web Distributed Authoring and Versioning); 计算机之间存在很强的依存性。一旦某些计算机遭 到了入侵，它就有可能成为入侵者的栖息地和跳板， 作为进一步攻击的工具。对网络基础架构(如DNS 系统、路由器)的攻击也越来越成为严重的安全威 胁。

2013-8-3