【文章內(nèi)容簡(jiǎn)介】 網(wǎng)絡(luò)欺騙： 攻擊者通過(guò)向攻擊目標(biāo)發(fā)送冒充其信任主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包，達(dá)到獲取訪(fǎng)問(wèn)權(quán)或執(zhí)行命令的攻擊方法。具體的有 IP欺騙、會(huì)話(huà)劫持、 ARP重定向和 RIP路由欺騙等。 常見(jiàn)的網(wǎng)絡(luò)攻擊 3）拒絕服務(wù)：指終端或者完全拒絕對(duì)合法用戶(hù)、網(wǎng)絡(luò)、系統(tǒng)和其他資源的服務(wù)的攻擊方法，其意圖就是徹底破壞，這也是比較容易實(shí)現(xiàn)的攻擊方法。特別是分布式拒絕服務(wù)攻擊對(duì)目前的互聯(lián)網(wǎng)構(gòu)成了嚴(yán)重的威脅，造成的經(jīng)濟(jì)損失也極為龐大。拒絕服務(wù)攻擊的類(lèi)型按其攻擊形式分為： 導(dǎo)致異常型： 利用軟硬件實(shí)現(xiàn)上的編程缺陷，導(dǎo)致其出現(xiàn)異常，從而使其拒絕服務(wù)。如 Ping of Death攻擊等。 資源耗盡型： 通過(guò)大量消耗資源使得攻擊目標(biāo)由于資源耗盡不能提供正常的服務(wù)。視資源類(lèi)型的不同可分為帶寬耗盡和系統(tǒng)資源耗盡兩類(lèi)。 ?帶寬耗盡攻擊的本質(zhì)是攻擊者通過(guò)放大等技巧消耗掉目標(biāo)網(wǎng)絡(luò)的所有帶寬，如 Smurf攻擊等。 ?系統(tǒng)資源耗盡型攻擊指對(duì)系統(tǒng)內(nèi)存、 CPU或程序中的其他資源進(jìn)行消耗，使其無(wú)法滿(mǎn)足正常提供服務(wù)的需求。如 Syn Flood攻擊等。 欺騙型： ARP拒絕服務(wù)攻擊 D 62 DoS攻擊、 DDOS攻擊 ACK 拒絕服務(wù)攻擊； SYN 攻擊； Land 攻擊； Tear Drop 攻擊； 會(huì)話(huà)劫持攻擊； Jolt 攻擊； Bloop 攻擊； Cpd 攻擊； Targa 攻擊； Twinge 攻擊； 小型 PMTU 攻擊； …… 常見(jiàn)的網(wǎng)絡(luò)攻擊 4）數(shù)據(jù)驅(qū)動(dòng)攻擊：通過(guò)向某個(gè)程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪(fǎng)問(wèn)目標(biāo)系統(tǒng)的權(quán)限，大致可分為： 緩沖區(qū)溢出： 通過(guò)往程序的緩沖區(qū)寫(xiě)入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊者打開(kāi)遠(yuǎn)程連接的 ShellCode，以達(dá)到攻擊目標(biāo)。如 Windows平臺(tái)下的 CodeRed、 Blaster、 Sasser等都是通過(guò)緩沖區(qū)溢出攻擊獲得系統(tǒng)管理員權(quán)限后進(jìn)行傳播。 格式化字符串攻擊： 主要是利用由于格式化函數(shù)的微妙程序設(shè)計(jì)錯(cuò)誤造成的安全漏洞，通過(guò)傳遞精心編制的含有格式化指令的文本字符串，以使目標(biāo)程序執(zhí)行任意命令。 輸入驗(yàn)證攻擊： 針對(duì)程序未能對(duì)輸入進(jìn)行有效的驗(yàn)證的安全漏洞，使得攻擊者能夠讓程序執(zhí)行指令的命令。最著名的是 1996年的 PHF攻擊。 同步漏洞攻擊： 利用程序在處理同步操作時(shí)的缺陷，如競(jìng)爭(zhēng)狀態(tài)、信號(hào)處理等問(wèn)題，以獲得更高權(quán)限的訪(fǎng)問(wèn)。 信任漏洞攻擊： 利用程序?yàn)E設(shè)的信任關(guān)系獲取訪(fǎng)問(wèn)權(quán)的一種方法，如 Win32平臺(tái)下互為映象的本地和域 Administrator憑證、 LSA密碼等。 1） 想要在別人面前 炫耀 自己的技術(shù)，如進(jìn)入別人的電腦去修改一個(gè)文件或目錄名。 2） 惡作劇 、練功，這是許多人或?qū)W生入侵或破壞的最主要原因，除了有練功的效果外還有些許網(wǎng)絡(luò)探險(xiǎn)的感覺(jué)。 3）竊取數(shù)據(jù)，可能是偷取硬盤(pán)中的文件或各種上網(wǎng)密碼，然后從事各種商業(yè)應(yīng)用。 4）想復(fù)仇的事后報(bào)復(fù)者，如對(duì)老板或公司制度不滿(mǎn)，事先把報(bào)復(fù)程序或病毒程序?qū)懭胨幊绦?，并?guī)定在將來(lái)某時(shí)，或某條件下激活發(fā)作，摧毀原公司網(wǎng)絡(luò)系統(tǒng)。 5）修改或者刪除重要數(shù)據(jù)，達(dá)到商業(yè)利益或個(gè)人 利益 。 黑客為什么要攻擊？ 黑客攻擊流程 攻擊的典型過(guò)程 預(yù)攻擊 內(nèi)容： 獲得域名及 IP分布 獲得拓?fù)浼?OS等 獲得端口和服務(wù) 獲得應(yīng)用系統(tǒng)情況 跟蹤新漏洞發(fā)布 目的： 收集信息 ，進(jìn)行進(jìn)一步攻擊決策 攻擊 內(nèi)容： 獲得遠(yuǎn)程權(quán)限 進(jìn)入遠(yuǎn)程系統(tǒng) 提升本地權(quán)限 進(jìn)一步擴(kuò)展權(quán)限 進(jìn)行實(shí)質(zhì)性操作 目的： 進(jìn)行攻擊，獲得系統(tǒng)的一定 權(quán)限 后攻擊 內(nèi)容： 植入后門(mén)木馬 刪除日志 修補(bǔ)明顯的漏洞 進(jìn)一步滲透擴(kuò)展 目的： 消除痕跡，長(zhǎng)期維持一定的 權(quán)限 網(wǎng)絡(luò)層的主要攻擊 信息收集 信息收集 — 非技術(shù)手段 1）合法途徑 – 從目標(biāo)機(jī)構(gòu)的網(wǎng)站獲取 – 新聞報(bào)道，出版物 – 新聞組或論壇 2）社會(huì)工程手段 – 假冒他人，獲取第三方的信任 3）搜索引擎 網(wǎng)絡(luò)層的主要攻擊 信息收集 1）在 Google的搜索關(guān)鍵字? intitle:”WJNT104 Main Page”，即可找到很多網(wǎng)絡(luò)攝像頭。 如： 2） 域搜索是在指定的一個(gè)網(wǎng)域內(nèi)進(jìn)行信息搜索。 舉例 1： 首先打開(kāi) ，然后輸入“ allinurl:login? ； 我們選中其中的一個(gè)“ 打開(kāi)； 搜索此站 “ site:? 的二級(jí)域名網(wǎng)站； 看一下有沒(méi)有 pdf電子文檔， “ site: filetype:pdf? ； 輸入 “ info:? ，查到該網(wǎng)站的基本信息。 一）使用搜索引擎 網(wǎng)絡(luò)層的主要攻擊 信息收集 3） info: 查找指定站點(diǎn)的基本信息。 4） inurl: 查找在 url中包含搜索詞的網(wǎng)頁(yè)，例如：黑客慣用的“ inurl:admin? 偶爾就能搜索出網(wǎng)站的登錄頁(yè)面，從而進(jìn)行下一步的攻擊。 5） link: 搜索與某網(wǎng)站做了鏈接的網(wǎng)頁(yè)，例如：輸入“ link:? 即可搜索出包含有鏈接到“ ? 的網(wǎng)頁(yè)（這個(gè)可以用來(lái)找出有多少網(wǎng)頁(yè)在鏈接你的網(wǎng)站哦）。 6） site: 用于搜索某一域內(nèi)的網(wǎng)頁(yè)，例如：輸入“ site:? ，即可實(shí)現(xiàn)在 “ ? 域內(nèi)搜索的目的。 網(wǎng)絡(luò)層的主要攻擊 信息收集 二、路由跟蹤 1）概念 路由跟蹤就是從本地開(kāi)始到達(dá)某一目標(biāo)地址所經(jīng)過(guò)的路由設(shè)備，并顯示出這些路由設(shè)備的 IP、連接時(shí)間等信息。 2）作用： – 如果某段網(wǎng)絡(luò)不通或網(wǎng)速很慢，可以利用路由跟蹤找出某故障地點(diǎn)，方便維護(hù)人員的維護(hù)工作。 – 對(duì)于 “ 黑客 ” 來(lái)說(shuō)，這是個(gè)很有用的功能，他可以大概分析出你所在網(wǎng)絡(luò)的狀況。這對(duì)于第一步的周邊網(wǎng)絡(luò)環(huán)境信息收集很有用。 3） tracert ：用 IP生存時(shí)間 TTL字段和 ICMP錯(cuò)誤消息來(lái)確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。 網(wǎng)絡(luò)層的主要攻擊 信息收集 二、路由跟蹤 tracert 網(wǎng)絡(luò)層的主要攻擊 信息收集 三、信息收集的主要工具 ?Ping 、 fping、 ping sweep ?ARP探測(cè) ?Finger ?Whois ?DNS/nslookup ?搜索引擎（ google、百度） ?tel 網(wǎng)絡(luò)層的主要攻擊 信息收集 四、 Ping ?用來(lái)判斷目標(biāo)是否活動(dòng)； ?最常用； ?最簡(jiǎn)單的探測(cè)手段； ?Ping 程序一般是直接實(shí)現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個(gè)用戶(hù)進(jìn)程。 網(wǎng)絡(luò)層的主要攻擊 信息收集 四、 Ping ?原理 主機(jī)A 主機(jī)BType = 8 Type = 0 類(lèi)型為 8，表示“回響請(qǐng)求” 類(lèi)型為 0，表示“回響應(yīng)答” 回顯請(qǐng)求類(lèi)型8回顯應(yīng)答代碼0類(lèi)型0 代碼0校驗(yàn)和校驗(yàn)和主機(jī)在線(xiàn)情況 回顯請(qǐng)求類(lèi)型8 代碼0 校驗(yàn)和不在線(xiàn)主機(jī)不應(yīng)答情況 1）主機(jī)不在線(xiàn) 2）防火墻阻斷 ICMP探測(cè) Ping實(shí)驗(yàn) 表示 ； 或者防火墻阻斷。 舉例 2： Pingwar —— 群 ping ARP探測(cè) AR P請(qǐng)求廣播ARP回應(yīng)A R P 請(qǐng) 求 廣 播ARP請(qǐng)求廣播能探測(cè)同一局域網(wǎng)內(nèi)的主機(jī)，因?yàn)榉阑饓Σ荒茏钄?ARP請(qǐng)求。 whois ?作用和特點(diǎn) ?網(wǎng)絡(luò)服務(wù) ?服務(wù)端口： tcp 43 ?服務(wù)端程序 whoisd,客戶(hù)端程序 finger ?提供目標(biāo)系統(tǒng)的地址信息 ?參考網(wǎng)站 1 ?參考網(wǎng)站 2 常規(guī)信息收集 網(wǎng)絡(luò)域名 網(wǎng)絡(luò) Ip地址分配 使用單位 地址 網(wǎng)絡(luò)層的主要攻擊 — 網(wǎng)絡(luò)掃描 主機(jī)發(fā)現(xiàn)技術(shù)主要分三種： ping掃描 ARP掃描 端口掃描 掃描 確定哪些機(jī)器是 up的 2種方式 – ICMP ? 類(lèi)似于 ping，發(fā)送 icmp消息給目標(biāo)，看是否有返回 – TCP ping ? 給目標(biāo)特定的 tcp端口 (如常用的 80)發(fā)送 ack消息，如果返回 rst，說(shuō)明機(jī)器 up。常用的tracetcp。 2. ARP掃描 ARP（ Address Resolution Protocol）即地址解析協(xié)議，它是用于局域網(wǎng)內(nèi)的物理地址。 ARP掃描是指通過(guò)向目標(biāo)主機(jī)發(fā)送 ARP請(qǐng)求（查詢(xún)目標(biāo)主機(jī)的物理地址），如果目標(biāo)主機(jī)回應(yīng)一個(gè) ARP響應(yīng)報(bào)文，則說(shuō)明它是存活的。下面是 ARP掃描的示意圖： 3. 端口掃描 目的 – 判斷目標(biāo)主機(jī)開(kāi)啟了哪些端口及其對(duì)應(yīng)的服務(wù) – 確定目標(biāo)系統(tǒng)正在運(yùn)行的 TCP/UDP服務(wù) – 在掃描時(shí)希望隱藏自己 掃描基礎(chǔ) – TCP數(shù)據(jù)報(bào)首部標(biāo)志域 – TCP連接的建立過(guò)程 – TCP連接的釋放過(guò)程 – TCP/IP實(shí)現(xiàn)遵循的原則 常用服務(wù)端口如： 21 FTP； 23 Tel ； 25 SMTP ； 80 HTTP； 8080 用于 WWW代理服務(wù)， ； 常用服務(wù)端口漏洞 1） 8080端口 8080端口可以被各種病毒程序所利用，比如 Brown Orifice（ BrO）特洛伊