【正文】 火墻過濾 – 打補(bǔ)丁 碎片攻擊（ TearDrop） 150Byte 分片 120Byte 30Byte 120Byte 30Byte 偏移 1=0 偏移 2=120 150Byte 分片 120Byte 30Byte 120Byte 30Byte 偏移 1=0 偏移 2=80 X=(偏移 2+包長(zhǎng) 2)包長(zhǎng) 1=? 重組 重組 X X 碎片攻擊（ Ping of Death） 攻擊原理 ? 利用漏洞 – 路由器、操作系統(tǒng)的ICMP Bug ? 攻擊效果 – 內(nèi)存分配錯(cuò)誤 – TCP/IP堆棧崩潰 ? 攻擊工具 – Ssping、 jolt、IceNewk等 ? 防護(hù)方法 – 防火墻過濾 – 系統(tǒng)升級(jí) l 65510Byte 8Byte 20Byte IP包頭 ICMP包頭 ICMP數(shù)據(jù) OS 版本 現(xiàn)象 AIX 4 宕機(jī) WIN 95 全部 宕機(jī) Solaris (x86) 重啟 DEC Unix and above 內(nèi)核異常 HPUX 重啟、宕機(jī) Linux = 重啟 Land攻擊 受害者 攻擊者 跟自己建立連接？ 攻擊原理 ? 利用漏洞 – 系統(tǒng)對(duì)具有相同的目的和源 IP以及 SYN標(biāo)致設(shè)置的 IP包丌適當(dāng)?shù)奶幚怼? ? 常用的傳統(tǒng)掃描手段有： – ICMP Echo掃描 – ICMP Sweep掃描 – Broadcast ICMP掃描 – NonEcho ICMP掃描 規(guī)避技術(shù) ? 為到達(dá)規(guī)避防火墻和入侵檢測(cè)設(shè)備的目的， ICMP協(xié)議 提供網(wǎng)絡(luò)間傳送錯(cuò)誤信息的功能也成為了主要的掃非常規(guī)描手段 – 錯(cuò)誤的數(shù)據(jù)分片：發(fā)送錯(cuò)誤的分片（如某些分片丟失） – 通過超長(zhǎng)包探測(cè)內(nèi)部路由器：超過目標(biāo)系統(tǒng)所在路由器的 PMTU且設(shè)置禁止分片標(biāo)志 端口掃描技術(shù) ? 端口的一些概念 – 用以從網(wǎng)絡(luò)層映射至進(jìn)程 – 01024為知名端口 ? 常見端口掃描技術(shù) – TCP ? 利用 TCP報(bào)頭的 6個(gè)標(biāo)志位 ? 掃描方式： SYN， ACK， FIN， NULL， Xmas…… – UDP ? 利用 UDP端口關(guān)閉時(shí)返回的 ICMP信息 ? 掃描方式： Traceroute… – 掃描中常見的幾種狀態(tài)： open、 close、filter 服務(wù)及系統(tǒng)指紋 ? 如何判斷服務(wù)？ – 端口 :只用于粗略判斷啟動(dòng)的服務(wù) – Banner:一般可用于確定服務(wù)版本信息 – 指紋 :基本可以精確至小版本號(hào) Banner grab技術(shù) ? 為判斷服務(wù)類型、應(yīng)用版本、 OS平臺(tái)，模擬各種協(xié)議初始化握手，獲取信息 ? 在安全意識(shí)普遍提升的今天， 對(duì)Banner的偽裝導(dǎo)致精度大幅降低 WWW服務(wù) 威脅程度： 高 判定精度：低 FTP服務(wù) 威脅程度： 高 判定精度：低 Tel服務(wù) 威脅程度： 中 判定精度：低 指紋堆棧技術(shù) ? 類似 Banner Grabing,但是精度更高 ? 常見的可判斷的 fingerprint – OS fingerprint – HTTP fingerprint ? 系統(tǒng)、應(yīng)用應(yīng)盡可能結(jié)合起來，進(jìn)行綜合判斷 HTTP Fingerprinting技術(shù) ? 技術(shù)源動(dòng)力：彌補(bǔ)Banner Grabing 技術(shù)的不足 ? 傳統(tǒng)查看 Banner的方式精確度很差，偽裝手段多樣 – IISamp。這是信息收集的初級(jí)階段，其效果直接影響到后續(xù)的掃描。s1W i n d o w s 2 0 0 0 F a m i l yU l t r i xT T L = 1 2 8T T L = 2 5 5U l t r i x W i n d o w s 2 0 0 0 F a m i l yI C MP T i m e s ta m p R e q u e s tPr e c e d e n c e B i ts != 02W i n d o w s 9 8 / 9 8 S E / M EO p e n V M SU L T R I X ( i d e n t i f i e d a l r e a d y )M i c r o s o f t W i n d o w s 2 0 0 0 F a m i l y( I d e n t i f i e d A l r e a d y )O t h e r O S 39。 基本概念 — BotNet ? Bot:由 Bot工具組成的可通信、可被攻擊者遠(yuǎn)程控制的網(wǎng)絡(luò) ? Bot家族 – 大部分 bots從一個(gè)共同的代碼基礎(chǔ)演變而來 – 6個(gè)大家族組成了大部分變種 ? Bot 種類 – IRC Bots – P2P Bots – HTTP Bots – DNS Bots 控制方式 Bot主機(jī) IRC服務(wù)器 DDoS攻擊者 Bot主機(jī) Bot主機(jī) ① 攻擊者用 .logon\!logon\!auth 諸如此類的命令登錄 ② 服務(wù)器將攻擊者登錄信息轉(zhuǎn)發(fā)給頻道內(nèi)所有的 bot channel op 權(quán)限 ③ bot將該密碼與硬編碼在文件體內(nèi)的密碼比較 NICK NICK NICK PRIVMSG rbot .login password –s\n :ControllerNICK!ControllerUSERhost PRIVMSG rbot :.login password s\r\n PRIVMSG rbot ： password accepted\n 基于 IRC的 Bot工作原理 防火墻策略 ? 基于劇毒包攻擊 – 對(duì)異常 IP包頭、 TCP包頭進(jìn)行基于誤用的過濾 ? 基于資源消耗型攻擊 – 對(duì)會(huì)話源、目的進(jìn)行會(huì)話限制 – 設(shè)立觸發(fā)防護(hù)機(jī)制閾值 – 主動(dòng)調(diào)整會(huì)話時(shí)間（ TCP、 UDP、 HTTP） ? 設(shè)立調(diào)整時(shí)間啟動(dòng)時(shí)會(huì)話表容量百分比（ 80%） ? 設(shè)立調(diào)整時(shí)間停止時(shí)會(huì)話表容量百分比（ 70%） ? 設(shè)立減少的超時(shí)時(shí)間（ 40秒） 內(nèi)容監(jiān)控與過濾 ? 應(yīng)用層防護(hù) – 支持常見協(xié)議 – 基于誤用的自定義規(guī)則 – 大都支持碎片重組 ? URL過濾 – 利用黑名單、白名單、自定義區(qū)分 URL – 對(duì)網(wǎng)頁掛馬、釣魚網(wǎng)站有很好的效果 深度檢測(cè) ? Deep packet inspection – 檢測(cè)對(duì)象：數(shù)據(jù) and/or 頭部 – 可解決協(xié)議異常、病毒、垃圾郵件、ActiveX控件等惡意行為 傳輸安全（ VPN） ? VPN技術(shù) – 防火墻提供 Site to Site式 VPN – 保證數(shù)據(jù)完整性和機(jī)密性 ? 傳統(tǒng)數(shù)據(jù)包校驗(yàn)技術(shù)只保障傳輸 – 隧道技術(shù)（封裝） ? 2層： PPTP、 L2F、 L2TP ? 3層： AH和 ESP隧道（ Ipsec） – Ipsec ? 一系列技術(shù)的集合 ? AH：驗(yàn)證數(shù)據(jù)源、保障數(shù)據(jù)完整性、防重播 ? ESP：除 AH功能外，保障數(shù)據(jù)機(jī)密 其他功能 ? 路由 ? 地址轉(zhuǎn)換（ NAT） ? 用戶認(rèn)證 – 防火墻自身也是操作系統(tǒng)，操作系統(tǒng)層面的安全性問題將被完全復(fù)制 ? 認(rèn)證 ? 最小權(quán)限 ? 審核 ? 可用性提高 我們可以依賴防火墻 … 我們不可以依賴防火墻 … 防火墻所不具備的 ? 應(yīng)用層檢測(cè) – 主要是對(duì) Web應(yīng)用程序語言檢測(cè)不透徹 ? SQL注入 ? 跨站腳本（ XSS） – 解決方式：對(duì) Web應(yīng)用提交數(shù)據(jù)充分分析 ? 大規(guī)模拒絕服務(wù)攻擊下力度適中的檢測(cè)和防護(hù) – 基于特征和異常的檢測(cè)強(qiáng)度過高 – 解決方案：基于 Flow技術(shù)的異常流量檢測(cè) ? 信任區(qū)域內(nèi)部的惡意行為 – 解決方案：深度防御