【正文】 火墻過濾 – 打補丁 碎片攻擊（ TearDrop） 150Byte 分片 120Byte 30Byte 120Byte 30Byte 偏移 1=0 偏移 2=120 150Byte 分片 120Byte 30Byte 120Byte 30Byte 偏移 1=0 偏移 2=80 X=(偏移 2+包長 2)包長 1=? 重組 重組 X X 碎片攻擊（ Ping of Death） 攻擊原理 ? 利用漏洞 – 路由器、操作系統(tǒng)的ICMP Bug ? 攻擊效果 – 內(nèi)存分配錯誤 – TCP/IP堆棧崩潰 ? 攻擊工具 – Ssping、 jolt、IceNewk等 ? 防護方法 – 防火墻過濾 – 系統(tǒng)升級 l 65510Byte 8Byte 20Byte IP包頭 ICMP包頭 ICMP數(shù)據(jù) OS 版本 現(xiàn)象 AIX 4 宕機 WIN 95 全部 宕機 Solaris (x86) 重啟 DEC Unix and above 內(nèi)核異常 HPUX 重啟、宕機 Linux = 重啟 Land攻擊 受害者 攻擊者 跟自己建立連接？ 攻擊原理 ? 利用漏洞 – 系統(tǒng)對具有相同的目的和源 IP以及 SYN標致設(shè)置的 IP包丌適當(dāng)?shù)奶幚怼? ? 常用的傳統(tǒng)掃描手段有： – ICMP Echo掃描 – ICMP Sweep掃描 – Broadcast ICMP掃描 – NonEcho ICMP掃描 規(guī)避技術(shù) ? 為到達規(guī)避防火墻和入侵檢測設(shè)備的目的， ICMP協(xié)議 提供網(wǎng)絡(luò)間傳送錯誤信息的功能也成為了主要的掃非常規(guī)描手段 – 錯誤的數(shù)據(jù)分片：發(fā)送錯誤的分片（如某些分片丟失） – 通過超長包探測內(nèi)部路由器：超過目標系統(tǒng)所在路由器的 PMTU且設(shè)置禁止分片標志 端口掃描技術(shù) ? 端口的一些概念 – 用以從網(wǎng)絡(luò)層映射至進程 – 01024為知名端口 ? 常見端口掃描技術(shù) – TCP ? 利用 TCP報頭的 6個標志位 ? 掃描方式： SYN， ACK， FIN， NULL， Xmas…… – UDP ? 利用 UDP端口關(guān)閉時返回的 ICMP信息 ? 掃描方式： Traceroute… – 掃描中常見的幾種狀態(tài)： open、 close、filter 服務(wù)及系統(tǒng)指紋 ? 如何判斷服務(wù)？ – 端口 :只用于粗略判斷啟動的服務(wù) – Banner:一般可用于確定服務(wù)版本信息 – 指紋 :基本可以精確至小版本號 Banner grab技術(shù) ? 為判斷服務(wù)類型、應(yīng)用版本、 OS平臺，模擬各種協(xié)議初始化握手，獲取信息 ? 在安全意識普遍提升的今天， 對Banner的偽裝導(dǎo)致精度大幅降低 WWW服務(wù) 威脅程度： 高 判定精度：低 FTP服務(wù) 威脅程度： 高 判定精度：低 Tel服務(wù) 威脅程度： 中 判定精度：低 指紋堆棧技術(shù) ? 類似 Banner Grabing,但是精度更高 ? 常見的可判斷的 fingerprint – OS fingerprint – HTTP fingerprint ? 系統(tǒng)、應(yīng)用應(yīng)盡可能結(jié)合起來，進行綜合判斷 HTTP Fingerprinting技術(shù) ? 技術(shù)源動力：彌補Banner Grabing 技術(shù)的不足 ? 傳統(tǒng)查看 Banner的方式精確度很差，偽裝手段多樣 – IISamp。這是信息收集的初級階段，其效果直接影響到后續(xù)的掃描。s1W i n d o w s 2 0 0 0 F a m i l yU l t r i xT T L = 1 2 8T T L = 2 5 5U l t r i x W i n d o w s 2 0 0 0 F a m i l yI C MP T i m e s ta m p R e q u e s tPr e c e d e n c e B i ts != 02W i n d o w s 9 8 / 9 8 S E / M EO p e n V M SU L T R I X ( i d e n t i f i e d a l r e a d y )M i c r o s o f t W i n d o w s 2 0 0 0 F a m i l y( I d e n t i f i e d A l r e a d y )O t h e r O S 39。 基本概念 — BotNet ? Bot:由 Bot工具組成的可通信、可被攻擊者遠程控制的網(wǎng)絡(luò) ? Bot家族 – 大部分 bots從一個共同的代碼基礎(chǔ)演變而來 – 6個大家族組成了大部分變種 ? Bot 種類 – IRC Bots – P2P Bots – HTTP Bots – DNS Bots 控制方式 Bot主機 IRC服務(wù)器 DDoS攻擊者 Bot主機 Bot主機 ① 攻擊者用 .logon\!logon\!auth 諸如此類的命令登錄 ② 服務(wù)器將攻擊者登錄信息轉(zhuǎn)發(fā)給頻道內(nèi)所有的 bot channel op 權(quán)限 ③ bot將該密碼與硬編碼在文件體內(nèi)的密碼比較 NICK NICK NICK PRIVMSG rbot .login password –s\n :ControllerNICK!ControllerUSERhost PRIVMSG rbot :.login password s\r\n PRIVMSG rbot ： password accepted\n 基于 IRC的 Bot工作原理 防火墻策略 ? 基于劇毒包攻擊 – 對異常 IP包頭、 TCP包頭進行基于誤用的過濾 ? 基于資源消耗型攻擊 – 對會話源、目的進行會話限制 – 設(shè)立觸發(fā)防護機制閾值 – 主動調(diào)整會話時間（ TCP、 UDP、 HTTP） ? 設(shè)立調(diào)整時間啟動時會話表容量百分比（ 80%） ? 設(shè)立調(diào)整時間停止時會話表容量百分比（ 70%） ? 設(shè)立減少的超時時間（ 40秒） 內(nèi)容監(jiān)控與過濾 ? 應(yīng)用層防護 – 支持常見協(xié)議 – 基于誤用的自定義規(guī)則 – 大都支持碎片重組 ? URL過濾 – 利用黑名單、白名單、自定義區(qū)分 URL – 對網(wǎng)頁掛馬、釣魚網(wǎng)站有很好的效果 深度檢測 ? Deep packet inspection – 檢測對象：數(shù)據(jù) and/or 頭部 – 可解決協(xié)議異常、病毒、垃圾郵件、ActiveX控件等惡意行為 傳輸安全（ VPN） ? VPN技術(shù) – 防火墻提供 Site to Site式 VPN – 保證數(shù)據(jù)完整性和機密性 ? 傳統(tǒng)數(shù)據(jù)包校驗技術(shù)只保障傳輸 – 隧道技術(shù)（封裝） ? 2層： PPTP、 L2F、 L2TP ? 3層： AH和 ESP隧道（ Ipsec） – Ipsec ? 一系列技術(shù)的集合 ? AH：驗證數(shù)據(jù)源、保障數(shù)據(jù)完整性、防重播 ? ESP：除 AH功能外，保障數(shù)據(jù)機密 其他功能 ? 路由 ? 地址轉(zhuǎn)換（ NAT） ? 用戶認證 – 防火墻自身也是操作系統(tǒng)，操作系統(tǒng)層面的安全性問題將被完全復(fù)制 ? 認證 ? 最小權(quán)限 ? 審核 ? 可用性提高 我們可以依賴防火墻 … 我們不可以依賴防火墻 … 防火墻所不具備的 ? 應(yīng)用層檢測 – 主要是對 Web應(yīng)用程序語言檢測不透徹 ? SQL注入 ? 跨站腳本（ XSS） – 解決方式：對 Web應(yīng)用提交數(shù)據(jù)充分分析 ? 大規(guī)模拒絕服務(wù)攻擊下力度適中的檢測和防護 – 基于特征和異常的檢測強度過高 – 解決方案：基于 Flow技術(shù)的異常流量檢測 ? 信任區(qū)域內(nèi)部的惡意行為 – 解決方案：深度防御