【正文】 造成緩沖區(qū)溢出，破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，達(dá)到攻擊的目的。 ? 類似函數(shù)有 strcat、 sprintf、 vsprintf、 gets、scanf等 – 一般溢出會(huì)造成程序讀 /寫或執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā) segmentation fault異常退出 . – 如果特意構(gòu)造內(nèi)容，可以有目的的執(zhí)行程序，并獲得著急用戶的權(quán)限。 ? 竊聽?wèi)?yīng)用程序間的消息、損害現(xiàn)有控制機(jī)制以及物理攻擊是內(nèi)部攻擊的常見方式。 ? 欺騙技術(shù)可以分為對(duì)受害者的欺騙和對(duì)攻擊者的欺騙。 IP欺騙攻擊 IP欺騙攻擊 中間人攻擊 ? 中間人攻擊 是通過各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間，實(shí)質(zhì)上兩臺(tái)主機(jī)是通過中間這臺(tái)主機(jī)來交換信息的，這臺(tái)計(jì)算機(jī)就稱為“中間人”，而兩端主機(jī)卻毫無察覺。 – 第一種 ARP欺騙的原理是 —— 截獲網(wǎng)關(guān)數(shù)據(jù) 。 ? 防范： mac地址和 IP地址靜態(tài)綁定。 ? （ 4）使用“ ARP SERVER”按一定的時(shí)間間隔廣播網(wǎng)段內(nèi)所有主機(jī)的正確 IPMAC映射表。 嗅探攻擊實(shí)例 ? 試驗(yàn) 61:使用 sniffer pro進(jìn)行監(jiān)聽并解析 IPv4協(xié)議頭部信息。 ? 防范這類攻擊的 最佳辦法是使用加密協(xié)議傳輸數(shù)據(jù) 。 ? 安全使用互聯(lián)網(wǎng)，不要隨意點(diǎn)擊、下載和運(yùn)行各種來歷不明的程序和腳本。 集中式病毒管理 ? “ 集中式管理、分布式殺毒 ”技術(shù)，使安裝在網(wǎng)絡(luò)系統(tǒng)中的每臺(tái)計(jì)算機(jī)上的殺毒軟件構(gòu)筑成協(xié)調(diào)一致的立體防護(hù)體系，而網(wǎng)絡(luò)管理員只需 通過控制臺(tái)，就可實(shí)時(shí)掌握全網(wǎng)各節(jié)點(diǎn)的病毒監(jiān)測(cè)狀況， 也可遠(yuǎn)程指揮每臺(tái)計(jì)算機(jī)殺毒軟件的工作方式。 木馬的特點(diǎn) ? 隱蔽性 ? 自動(dòng)運(yùn)行性 ? 包含具有 未公開 并且可能產(chǎn)生危險(xiǎn)后果的功能的程序 ? 具備自動(dòng)恢復(fù)功能 ? 能 自動(dòng)打開特別的端口 木馬的類型 ? 破壞型 ? 密碼發(fā)送型 ? 遠(yuǎn)程訪問型 ? 鍵盤記錄木馬 ? DoS攻擊木馬 ? 代理木馬 ? FTP木馬 ? 程序殺手木馬 ? 反彈端口型木馬 木馬工作方式 ? 一般木馬程序 都包括 客戶端和服務(wù)器端程序。 蠕蟲 – 計(jì)算機(jī)蠕蟲可以 獨(dú)立運(yùn)行 ，并能把自身的一個(gè)包含所有功能的版本 傳播 到另外的計(jì)算機(jī)上 病毒和蠕蟲的定義比較 – 計(jì)算機(jī)病毒 是一段可以 自動(dòng)傳播但需要用戶干預(yù) 來執(zhí)行的代碼或程序。 病毒和蠕蟲的區(qū)別 病毒和蠕蟲的特點(diǎn)對(duì)比 ? 病毒具有如下幾個(gè)特點(diǎn)： – 可以自我傳播 – 具有破壞性 – 需要宿主來激活 – 使用系統(tǒng)正常的功能 – …… ? 譬如， CIH病毒、 Funlove、殺手 1求職信病毒等。這些應(yīng)用程序?qū)⑹占脩羲械膿翩I信息并將其保存在一個(gè)文件中，目的就是為了捕獲諸如用戶密碼之類的機(jī)密數(shù)據(jù)。 ? 對(duì)用戶輸入進(jìn)行檢查。 基于瀏覽器的攻擊 ? 釣魚式攻擊：攻擊者利用欺騙性的 電子郵件 和 偽 造的 Web 站點(diǎn) 來進(jìn)行詐騙活動(dòng)。 提供培訓(xùn) ? 終端用戶：用戶必須被告知在互聯(lián)網(wǎng)上出現(xiàn)了哪些新的病毒。 ? 防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。 防火墻的局限性 ? 防火墻 不能防范不經(jīng)過防火墻的攻擊 。 ? 作為一種被動(dòng)的防護(hù)手段，防火墻不能防范 因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。 ? 不足 – IP欺騙 ，攻擊一個(gè)單純的包過濾式的防火墻對(duì)黑客來說是比較容易的，黑客們對(duì)包過濾式防火墻發(fā)出一系列信息包，不過這些包中的 IP地址已經(jīng)被替換掉了 (FakeIP)，取而代之的是一串順序的 IP地址。 ? 它阻擋別人進(jìn)入內(nèi)部網(wǎng)絡(luò)，但也不告訴你何人進(jìn)入你的系統(tǒng)，或者何人從內(nèi)部進(jìn)入網(wǎng)際網(wǎng)路。是目前大多數(shù)流行代理服務(wù)器。 ? 包過濾另一個(gè)關(guān)鍵的弱點(diǎn)就是不能在用戶級(jí)別上進(jìn)行過濾，即不能鑒別不同的用戶和防止 IP地址盜用。 包過濾型防火墻是某種意義上的絕對(duì)安全 ? 另外，黑客們還可使用一種他們自己編制的路由器攻擊程序，這種程序使用路由器協(xié)議來發(fā)送偽造的路由信息，這樣所有的包 都會(huì)被重新路由到 一個(gè)入侵者所指定的特別地址。 ? 包過濾將會(huì)檢查以下一些信息 : – 源 IP地址 – 目標(biāo) IP地址 – 源端口 – 目標(biāo)端口 – 數(shù)據(jù)包類型 (如 ICMP、 IGMP、 EGP等 ) 包過濾優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn) ： – 協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)，是防火墻系統(tǒng)中 第一起防線 。 ? 病毒等惡性程序可利用 夾帶闖關(guān)防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題 ? 防火墻不能防止 策略配置不當(dāng)或錯(cuò)誤配置引起 的安全威脅。 ? 監(jiān)視、過濾、檢查所有進(jìn)來和出去的流量。 ? 主管人員：需要知道用來保證系統(tǒng)安全的最新工具。 ? 流氓軟件防御工具： – TROJAN HUNTER – EWIDO 網(wǎng)絡(luò)釣魚 ? 網(wǎng)絡(luò)釣魚（ Phishing），是“ Fishing”和“ Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“ Ph”來取代“ F”，創(chuàng)造了“ Phishing” 什么是網(wǎng)絡(luò)釣魚攻擊？ ? 目標(biāo)：獲取個(gè)人敏感信息 – 用戶名、口令、帳號(hào) ID、 ATM PIN碼或信用卡信息 ? 手段：釣魚 – 攻陷主機(jī) – 架設(shè)釣魚網(wǎng)站－目標(biāo)：知名金融機(jī)構(gòu)及商務(wù)網(wǎng)站 – 發(fā)送大量欺騙性垃圾郵件 – 濫用個(gè)人敏感信息 ? 資金轉(zhuǎn)賬－經(jīng)濟(jì)利益 ? 冒用身份－犯罪目的 釣魚攻擊策略－欺騙技術(shù) ? 欺騙用戶訪問釣魚網(wǎng)站 – DNS中毒攻擊 – Pharming － 網(wǎng)絡(luò)流量重定向 – (自動(dòng)化 )社交工程－欺騙性垃圾郵件 ? 欺騙性垃圾郵件 – 發(fā)送途徑－難以追蹤 ? 境外的開放郵件服務(wù)器 ? 發(fā)送源－冒充知名權(quán)威機(jī)構(gòu) – 發(fā)送內(nèi)容－安全理由、緊急事件，欺騙用戶訪問釣魚網(wǎng)站，給出敏感個(gè)人信息 基于瀏覽器攻擊的防范 ? 勤打補(bǔ)丁 ? 安裝安全插件 ? 引起個(gè)人的重視 如何對(duì)攻擊進(jìn)行響應(yīng)和阻斷？ ? 制訂完整的安全策略 ? 不要采取單獨(dú)的系統(tǒng)或技術(shù) ? 部屬公司范圍的強(qiáng)制策略 ? 提供培訓(xùn) ? 考慮物理安全 ? 根據(jù)需要購置設(shè)備 不要采取單獨(dú)的系統(tǒng)或技術(shù) ? 使用多種手段和技術(shù) 來彌補(bǔ)每個(gè)單獨(dú)技術(shù)的弱點(diǎn)，從而提高整體安全性。 ? 當(dāng) SQL運(yùn)行出錯(cuò)時(shí)，不要顯示出錯(cuò)信息。 ? 由于 SQL注入攻擊利用的是 SQL語法，使得這種攻擊具有廣泛性 。 – 利用系統(tǒng)漏洞 – …… ? 譬如 ,紅色代碼、蠕蟲王、沖擊波、震蕩波 非法服務(wù) ? 非法服務(wù)會(huì)在系統(tǒng)上 開啟一個(gè)秘密的端口 ，提供 未經(jīng)許可的服務(wù) ，這和很多木馬的工作原理是一樣的。 與病毒比較 – 計(jì)算機(jī)病毒主要攻擊的是 文件系統(tǒng) ，計(jì)算機(jī)使用者是傳染的觸發(fā)者，使用者的計(jì)算機(jī)知識(shí)水平的高低常常決定了病毒所能造成的破壞程度。 ? 服務(wù)器端程序既是木馬程序，要 植入 到 ”受害人”機(jī)器中。 木馬攻擊 ? 完整的木馬程序一般由兩個(gè)部份組成：一個(gè)是 服務(wù)器 程序，一個(gè)是 控制器 程序。 ? 可移動(dòng)存儲(chǔ)介質(zhì)在使用之前先殺毒。 計(jì)算機(jī)病毒的特點(diǎn) ? 傳染性 ? 破壞性 ? 寄生性 ? 隱蔽性 ? 程序性（可執(zhí)行性） ? 潛伏性 ? 可觸發(fā)性 ? 衍生性 ? 欺騙性 ? 不可預(yù)見性 計(jì)算機(jī)病毒的類型 ? 磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒 ? 操作系統(tǒng)傳染的計(jì)算機(jī)病毒 ? 應(yīng)用程序傳染的計(jì)算機(jī)病毒 PE(Portable Executable（可移植的執(zhí)行體） )文件格式一覽 DOS MZ header DOS stub PE header Section table Section 1 Section 2 Section ... Section n 病毒如何感染其他文件 – 方法之一： ? 在文件中添加一個(gè)新節(jié) ? 該新節(jié)中添加病毒代碼和病毒執(zhí)行后的返回Host程序的代碼 ? 修改文件頭中代碼開始執(zhí)行位置（ AddressOfEntryPoint）指向新添加的節(jié)，以便程序運(yùn)行后先執(zhí)行病毒代碼。也就是在一次正常的通信過程中，攻擊者作為第三方參與到其中，或者在數(shù)據(jù)流中增加額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成攻擊者的間接聯(lián)系。 嗅探攻擊 ? 嗅探器 (sniffer) 是利用計(jì)算機(jī)網(wǎng)絡(luò)接口截獲本不應(yīng)該接收數(shù)據(jù)報(bào)文的一種技術(shù)，也可以將網(wǎng)絡(luò)中所有經(jīng)過本物理網(wǎng)卡的所有流量全都截取下來。 ARP欺騙 ? 利用 ARP列表生成機(jī)制的漏洞來進(jìn)行全網(wǎng)絡(luò)嗅探和攻擊的技術(shù) ? 利用 ARP欺騙的木馬或病毒 ? 怎樣防范 : ? （ 1）在客戶端 使用 arp命令綁定網(wǎng)關(guān)的真實(shí) MAC地址命令如下： ? arp (先清除錯(cuò)誤的 ARP表 ) ? arp 030303030303 （靜態(tài)指定網(wǎng)關(guān)的 MAC地址） ? （ 2）在交換機(jī) 上做端口與 MAC地址的靜態(tài)綁定。 – 第二種 ARP欺騙的原理是 —— 偽造網(wǎng)關(guān) 。 中間人攻擊示意圖 合 法 用 戶服 務(wù) 器攻 擊 者合 法 用 戶 認(rèn) 為 他 在 與服 務(wù) 器 直 接 對(duì) 話攻 擊 者 將 信 息 傳送 到 服 務(wù) 器信 息 流 實(shí) 際上 經(jīng) 過 了 攻擊 者ARP欺騙 ? ARP欺騙 – ARP（ Address Resolution Protocol，地址解析協(xié)議）是一個(gè)位于 TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個(gè) IP地址解析成對(duì)應(yīng)的 MAC地址。當(dāng)一臺(tái)主機(jī)發(fā)送一個(gè)請(qǐng)求要求解析某個(gè)域名時(shí)，他會(huì)首先把解析請(qǐng)求發(fā)到自己的DNS服務(wù)器上。 ? 間諜軟件類型 ： – 廣告型間諜軟件 – 監(jiān)視型間諜軟件 ? 間諜軟件傳播方式 – 軟件捆綁和嵌套 – 瀏覽網(wǎng)站（惡意網(wǎng)頁或網(wǎng)頁木馬） – 郵件發(fā)送 – 利用漏洞進(jìn)行主動(dòng)傳播和植入（多隱身于蠕蟲之中）。 ? 溢出棧中的局部變量，使返回地址指向攻擊代碼 – 防御方法 ? 緩沖區(qū)不可執(zhí)行 植入的攻擊代碼無法執(zhí)行，不能產(chǎn)生大的危害 ? 編寫正確的代碼 ? 編譯器進(jìn)行類型、邊界檢查，實(shí)現(xiàn)緩沖區(qū)的保護(hù)，如 java。 strcpy(buf,str)。 ? TCP協(xié)議三次握手過程 SYN, SEQ = x 主機(jī) B ACK, SEQ = x + 1, ACK = y ? 1 被動(dòng)打開 主動(dòng)打開 確認(rèn) 確認(rèn) 主機(jī) A 連接請(qǐng)求 擴(kuò)展實(shí)驗(yàn) 53 演示和體會(huì) DoS/DDoS攻擊 ? Synful ? TFN ? Hgod 緩存溢出 ? 緩沖區(qū)中被放入了太多的信息，就會(huì)發(fā)生緩存溢出，這可能會(huì)引起“ shell” （也就是一段內(nèi)存空間）被留下。 ? Win2K系統(tǒng)中，自定義 IP安全策略，設(shè)置“碎片檢查”。攻擊將阻塞網(wǎng)絡(luò)連接或使系統(tǒng)對(duì)網(wǎng)絡(luò)請(qǐng)求做出的反應(yīng)變慢。另外，如果分片之間偏移量經(jīng)過 精心構(gòu)造，一些系統(tǒng)就無法處理，導(dǎo)致死機(jī)。 – 我們假設(shè)要傳輸一個(gè) UDP數(shù)據(jù)包，以太網(wǎng)的 MTU為 1500字節(jié)，一般 IP首部為 20字節(jié)， UDP首部為 8字節(jié)，數(shù)據(jù)的凈荷（ payload）部分預(yù)留是 1500208=1472字節(jié)。被廣播 響應(yīng)包 Smurf ? Syn flood攻擊 短時(shí)間內(nèi)向被攻擊主機(jī)發(fā)送大量的標(biāo)志位為 SYN 數(shù)據(jù)包，使被攻擊主機(jī)處于等待連接裝態(tài) – 常見 DOS攻擊工具 ? TFN2k， TFN2K是由德國(guó)著名黑客 Mixter編寫的同類攻擊工具 TFN的后續(xù)版本 ，主要使用SYN flood攻擊方式。如表現(xiàn)在試圖讓一個(gè)系統(tǒng)工作超負(fù)荷。 – 后門是一個(gè)允許攻擊者 繞過系統(tǒng)中常規(guī)安全控制機(jī)制 的程序，他按照攻擊者自己的意圖提供通道。容易破譯用戶使用標(biāo)準(zhǔn)的單詞設(shè)置的口令。為了防御黑客，還需要了解黑客所采用的技術(shù)、使用的工具及軟件。對(duì)這些人的正確英文叫法是 Cracker，有人翻譯成“駭客”。 他們以保護(hù)網(wǎng)絡(luò)為目的，而以不正當(dāng)侵入為手段。 – 隨后客戶端隨機(jī)生成一個(gè)對(duì)稱密鑰。 Netscape公司發(fā)明的并在 1995年成為一項(xiàng)標(biāo)準(zhǔn)， 1996年，是當(dāng)前的標(biāo)準(zhǔn)并且所有瀏覽器都支持它。 ? 網(wǎng)站是否使用了 SSL技術(shù)最直觀的方法有兩種：一，網(wǎng)址必須以“ Https”開頭（ 443端口）；二，在 IE瀏覽器的狀態(tài)欄上必須出現(xiàn)一把黃色的小鎖。 ? 安全性： Ipsec更安全， PPTP采用 RC4的算法，支持40或 128位的加密算法， IPsec采用 168位的三重 DES算法。 Decryption） ? 密鑰管理技術(shù)（ Key M