【文章內(nèi)容簡介】 網(wǎng)絡(luò)欺騙： 攻擊者通過向攻擊目標(biāo)發(fā)送冒充其信任主機的網(wǎng)絡(luò)數(shù)據(jù)包，達(dá)到獲取訪問權(quán)或執(zhí)行命令的攻擊方法。具體的有 IP欺騙、會話劫持、 ARP重定向和 RIP路由欺騙等。 常見的網(wǎng)絡(luò)攻擊 3）拒絕服務(wù)：指終端或者完全拒絕對合法用戶、網(wǎng)絡(luò)、系統(tǒng)和其他資源的服務(wù)的攻擊方法，其意圖就是徹底破壞，這也是比較容易實現(xiàn)的攻擊方法。特別是分布式拒絕服務(wù)攻擊對目前的互聯(lián)網(wǎng)構(gòu)成了嚴(yán)重的威脅，造成的經(jīng)濟(jì)損失也極為龐大。拒絕服務(wù)攻擊的類型按其攻擊形式分為： 導(dǎo)致異常型： 利用軟硬件實現(xiàn)上的編程缺陷，導(dǎo)致其出現(xiàn)異常，從而使其拒絕服務(wù)。如 Ping of Death攻擊等。 資源耗盡型： 通過大量消耗資源使得攻擊目標(biāo)由于資源耗盡不能提供正常的服務(wù)。視資源類型的不同可分為帶寬耗盡和系統(tǒng)資源耗盡兩類。 ?帶寬耗盡攻擊的本質(zhì)是攻擊者通過放大等技巧消耗掉目標(biāo)網(wǎng)絡(luò)的所有帶寬，如 Smurf攻擊等。 ?系統(tǒng)資源耗盡型攻擊指對系統(tǒng)內(nèi)存、 CPU或程序中的其他資源進(jìn)行消耗，使其無法滿足正常提供服務(wù)的需求。如 Syn Flood攻擊等。 欺騙型： ARP拒絕服務(wù)攻擊 D 62 DoS攻擊、 DDOS攻擊 ACK 拒絕服務(wù)攻擊； SYN 攻擊； Land 攻擊； Tear Drop 攻擊； 會話劫持攻擊； Jolt 攻擊； Bloop 攻擊； Cpd 攻擊； Targa 攻擊； Twinge 攻擊； 小型 PMTU 攻擊； …… 常見的網(wǎng)絡(luò)攻擊 4）數(shù)據(jù)驅(qū)動攻擊：通過向某個程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問目標(biāo)系統(tǒng)的權(quán)限，大致可分為： 緩沖區(qū)溢出： 通過往程序的緩沖區(qū)寫入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊者打開遠(yuǎn)程連接的 ShellCode，以達(dá)到攻擊目標(biāo)。如 Windows平臺下的 CodeRed、 Blaster、 Sasser等都是通過緩沖區(qū)溢出攻擊獲得系統(tǒng)管理員權(quán)限后進(jìn)行傳播。 格式化字符串攻擊： 主要是利用由于格式化函數(shù)的微妙程序設(shè)計錯誤造成的安全漏洞，通過傳遞精心編制的含有格式化指令的文本字符串，以使目標(biāo)程序執(zhí)行任意命令。 輸入驗證攻擊： 針對程序未能對輸入進(jìn)行有效的驗證的安全漏洞，使得攻擊者能夠讓程序執(zhí)行指令的命令。最著名的是 1996年的 PHF攻擊。 同步漏洞攻擊： 利用程序在處理同步操作時的缺陷，如競爭狀態(tài)、信號處理等問題，以獲得更高權(quán)限的訪問。 信任漏洞攻擊： 利用程序濫設(shè)的信任關(guān)系獲取訪問權(quán)的一種方法，如 Win32平臺下互為映象的本地和域 Administrator憑證、 LSA密碼等。 1） 想要在別人面前 炫耀 自己的技術(shù)，如進(jìn)入別人的電腦去修改一個文件或目錄名。 2） 惡作劇 、練功，這是許多人或?qū)W生入侵或破壞的最主要原因，除了有練功的效果外還有些許網(wǎng)絡(luò)探險的感覺。 3）竊取數(shù)據(jù)，可能是偷取硬盤中的文件或各種上網(wǎng)密碼，然后從事各種商業(yè)應(yīng)用。 4）想復(fù)仇的事后報復(fù)者，如對老板或公司制度不滿，事先把報復(fù)程序或病毒程序?qū)懭胨幊绦?，并?guī)定在將來某時，或某條件下激活發(fā)作，摧毀原公司網(wǎng)絡(luò)系統(tǒng)。 5）修改或者刪除重要數(shù)據(jù)，達(dá)到商業(yè)利益或個人 利益 。 黑客為什么要攻擊？ 黑客攻擊流程 攻擊的典型過程 預(yù)攻擊 內(nèi)容： 獲得域名及 IP分布 獲得拓?fù)浼?OS等 獲得端口和服務(wù) 獲得應(yīng)用系統(tǒng)情況 跟蹤新漏洞發(fā)布 目的： 收集信息 ，進(jìn)行進(jìn)一步攻擊決策 攻擊 內(nèi)容： 獲得遠(yuǎn)程權(quán)限 進(jìn)入遠(yuǎn)程系統(tǒng) 提升本地權(quán)限 進(jìn)一步擴(kuò)展權(quán)限 進(jìn)行實質(zhì)性操作 目的： 進(jìn)行攻擊，獲得系統(tǒng)的一定 權(quán)限 后攻擊 內(nèi)容： 植入后門木馬 刪除日志 修補明顯的漏洞 進(jìn)一步滲透擴(kuò)展 目的： 消除痕跡，長期維持一定的 權(quán)限 網(wǎng)絡(luò)層的主要攻擊 信息收集 信息收集 — 非技術(shù)手段 1）合法途徑 – 從目標(biāo)機構(gòu)的網(wǎng)站獲取 – 新聞報道，出版物 – 新聞組或論壇 2）社會工程手段 – 假冒他人，獲取第三方的信任 3）搜索引擎 網(wǎng)絡(luò)層的主要攻擊 信息收集 1）在 Google的搜索關(guān)鍵字? intitle:”WJNT104 Main Page”，即可找到很多網(wǎng)絡(luò)攝像頭。 如： 2） 域搜索是在指定的一個網(wǎng)域內(nèi)進(jìn)行信息搜索。 舉例 1： 首先打開 ，然后輸入“ allinurl:login? ； 我們選中其中的一個“ 打開； 搜索此站 “ site:? 的二級域名網(wǎng)站； 看一下有沒有 pdf電子文檔， “ site: filetype:pdf? ； 輸入 “ info:? ，查到該網(wǎng)站的基本信息。 一）使用搜索引擎 網(wǎng)絡(luò)層的主要攻擊 信息收集 3） info: 查找指定站點的基本信息。 4） inurl: 查找在 url中包含搜索詞的網(wǎng)頁，例如：黑客慣用的“ inurl:admin? 偶爾就能搜索出網(wǎng)站的登錄頁面，從而進(jìn)行下一步的攻擊。 5） link: 搜索與某網(wǎng)站做了鏈接的網(wǎng)頁，例如：輸入“ link:? 即可搜索出包含有鏈接到“ ? 的網(wǎng)頁（這個可以用來找出有多少網(wǎng)頁在鏈接你的網(wǎng)站哦）。 6） site: 用于搜索某一域內(nèi)的網(wǎng)頁，例如：輸入“ site:? ，即可實現(xiàn)在 “ ? 域內(nèi)搜索的目的。 網(wǎng)絡(luò)層的主要攻擊 信息收集 二、路由跟蹤 1）概念 路由跟蹤就是從本地開始到達(dá)某一目標(biāo)地址所經(jīng)過的路由設(shè)備，并顯示出這些路由設(shè)備的 IP、連接時間等信息。 2）作用： – 如果某段網(wǎng)絡(luò)不通或網(wǎng)速很慢，可以利用路由跟蹤找出某故障地點，方便維護(hù)人員的維護(hù)工作。 – 對于 “ 黑客 ” 來說，這是個很有用的功能，他可以大概分析出你所在網(wǎng)絡(luò)的狀況。這對于第一步的周邊網(wǎng)絡(luò)環(huán)境信息收集很有用。 3） tracert ：用 IP生存時間 TTL字段和 ICMP錯誤消息來確定從一個主機到網(wǎng)絡(luò)上其他主機的路由。 網(wǎng)絡(luò)層的主要攻擊 信息收集 二、路由跟蹤 tracert 網(wǎng)絡(luò)層的主要攻擊 信息收集 三、信息收集的主要工具 ?Ping 、 fping、 ping sweep ?ARP探測 ?Finger ?Whois ?DNS/nslookup ?搜索引擎（ google、百度） ?tel 網(wǎng)絡(luò)層的主要攻擊 信息收集 四、 Ping ?用來判斷目標(biāo)是否活動； ?最常用； ?最簡單的探測手段； ?Ping 程序一般是直接實現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個用戶進(jìn)程。 網(wǎng)絡(luò)層的主要攻擊 信息收集 四、 Ping ?原理 主機A 主機BType = 8 Type = 0 類型為 8，表示“回響請求” 類型為 0，表示“回響應(yīng)答” 回顯請求類型8回顯應(yīng)答代碼0類型0 代碼0校驗和校驗和主機在線情況 回顯請求類型8 代碼0 校驗和不在線主機不應(yīng)答情況 1）主機不在線 2）防火墻阻斷 ICMP探測 Ping實驗 表示 ； 或者防火墻阻斷。 舉例 2： Pingwar —— 群 ping ARP探測 AR P請求廣播ARP回應(yīng)A R P 請 求 廣 播ARP請求廣播能探測同一局域網(wǎng)內(nèi)的主機，因為防火墻不能阻斷 ARP請求。 whois ?作用和特點 ?網(wǎng)絡(luò)服務(wù) ?服務(wù)端口： tcp 43 ?服務(wù)端程序 whoisd,客戶端程序 finger ?提供目標(biāo)系統(tǒng)的地址信息 ?參考網(wǎng)站 1 ?參考網(wǎng)站 2 常規(guī)信息收集 網(wǎng)絡(luò)域名 網(wǎng)絡(luò) Ip地址分配 使用單位 地址 網(wǎng)絡(luò)層的主要攻擊 — 網(wǎng)絡(luò)掃描 主機發(fā)現(xiàn)技術(shù)主要分三種： ping掃描 ARP掃描 端口掃描 掃描 確定哪些機器是 up的 2種方式 – ICMP ? 類似于 ping，發(fā)送 icmp消息給目標(biāo)，看是否有返回 – TCP ping ? 給目標(biāo)特定的 tcp端口 (如常用的 80)發(fā)送 ack消息，如果返回 rst，說明機器 up。常用的tracetcp。 2. ARP掃描 ARP（ Address Resolution Protocol）即地址解析協(xié)議，它是用于局域網(wǎng)內(nèi)的物理地址。 ARP掃描是指通過向目標(biāo)主機發(fā)送 ARP請求（查詢目標(biāo)主機的物理地址），如果目標(biāo)主機回應(yīng)一個 ARP響應(yīng)報文，則說明它是存活的。下面是 ARP掃描的示意圖： 3. 端口掃描 目的 – 判斷目標(biāo)主機開啟了哪些端口及其對應(yīng)的服務(wù) – 確定目標(biāo)系統(tǒng)正在運行的 TCP/UDP服務(wù) – 在掃描時希望隱藏自己 掃描基礎(chǔ) – TCP數(shù)據(jù)報首部標(biāo)志域 – TCP連接的建立過程 – TCP連接的釋放過程 – TCP/IP實現(xiàn)遵循的原則 常用服務(wù)端口如： 21 FTP； 23 Tel ； 25 SMTP ； 80 HTTP； 8080 用于 WWW代理服務(wù)， ； 常用服務(wù)端口漏洞 1） 8080端口 8080端口可以被各種病毒程序所利用，比如 Brown Orifice（ BrO）特洛伊