【文章內(nèi)容簡介】 馬程序 (1)、 BO2020(BackOrifice)：它是功能最全的 TCP／ IP 構(gòu)架的攻擊工具，可以搜集信息，執(zhí)行系統(tǒng)命令，重新設(shè)置機器，重新定向網(wǎng)絡(luò)的客戶端／服務(wù)器應(yīng)用程序。 BO2020支持多個網(wǎng)絡(luò)協(xié)議，它可以利用 TCP 或 UDP來傳送，還可以用 XOR加密算法或更高級的 3DES加密算法加密。感染 BO2020后機器就完全在別人的控制之下，黑客成了超級用戶，你的所有操作都可由 BO2020自帶的“秘密攝像機”錄制成“錄像帶”。 (2)、“冰河”：冰河是一個國產(chǎn)木馬程序， 具有簡單的中文使用界面，且只有少數(shù)流行的反病毒、防火墻才能查出冰河的存在。冰河的功能比起國外的木馬程序來一點也不遜色。 它可以自動跟蹤目標機器的屏幕變化，可以完全模擬鍵盤及鼠標輸入，即在使被控端屏幕變化和監(jiān)控端產(chǎn)生同步的同時，被監(jiān)控端的一切鍵盤及鼠標操作將反映在控端的屏幕。它可以記錄各種口令信息，包括開機口令、屏?？诹?、各種共享資源口令以及絕大多數(shù)在對話框中出現(xiàn)過的口令信息；它可以獲取系統(tǒng)信息；它還可以進行注冊表操作，包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作。 (3)、 NetSpy：可以運行于 Windows95／ 98／ NT／ 2020等多種平臺上，它是一個基于 TCP／ IP 的簡單的文件傳送軟件，但實際上你可以將它看作一個沒有權(quán)限控制的增強型 FTP 服務(wù)器。通過它，攻擊者可以神不知鬼不覺地下載和上傳目標機器上的任意文件，并可以執(zhí)行一些特殊的操作。 海軍工程大學(xué)畢業(yè)論文 8 (4)、 Glacier：該程序可以自動跟蹤目標計算機的屏幕變化、獲取目標計算機登錄口令及各種密碼類信息、獲取目標計算機系統(tǒng)信息、限制目標計算機系統(tǒng)功能、任意操作目標計算機文件及目錄、遠程關(guān)機、發(fā)送信息等多種監(jiān)控功能。類似于 BO2020。 (5)、 KeyboardGhost： Windows 系統(tǒng)是一個以消息循環(huán) (MessageLoop)為基礎(chǔ)的操作系統(tǒng)。系統(tǒng)的核心區(qū)保留了一定的字節(jié)作為鍵盤輸入的緩沖區(qū)，其數(shù)據(jù)結(jié)構(gòu)形式是隊列。鍵盤幽靈正是通過直接訪問這一隊列，使鍵盤上輸入你的電子郵箱、代理的賬號、密碼 Password（顯示在屏幕上的是星號）得以記錄，一切涉及以星號形式顯示出來的密碼窗口的所有符號都會被記錄下來，并在系統(tǒng)根目錄下生成一文件名為 的隱含文件。 (6)、 ExeBind：這個程序可以將指定的攻擊程序捆綁到任何一個廣為傳 播的熱門軟件上，使宿主程序執(zhí)行時，寄生程序也在后臺被執(zhí)行，且支持多重捆綁。實際上是通過多次分割文件，多次從父進程中調(diào)用子進程來實現(xiàn)的。 網(wǎng)絡(luò)攻擊技術(shù)分類 網(wǎng)絡(luò)攻擊的分類方法有很多，主要依據(jù)計算機系統(tǒng)中的安全漏洞、攻擊的效果、攻擊的技術(shù)手段、攻擊的檢測、攻擊所造成的后果等。目前已有的網(wǎng)絡(luò)攻擊的分類主要有術(shù)語羅列、攻擊種類列表、基于攻擊效果的分類、基于經(jīng)驗的種類列表、矩陣分類法、基于過程的分類、基于多維屬性海軍工程大學(xué)畢業(yè)論文 9 的分類法等。其中基于攻擊對象的分類方法，分為基于操作系統(tǒng)的網(wǎng)絡(luò)攻擊、基于應(yīng)用程序的網(wǎng)絡(luò)攻擊 、基于 web 代碼的網(wǎng)絡(luò)攻擊、基于路由器的網(wǎng)絡(luò)攻擊、基于手機的網(wǎng)絡(luò)攻擊和基于智能終端的網(wǎng)絡(luò)攻擊六類。 本文依據(jù) 本人 近 段時間 的研究、實驗 ,提出基于攻擊技術(shù)手段 的分類方法， 將網(wǎng)絡(luò)攻擊技術(shù)分為 阻塞類攻擊 、 控制類攻擊 、 探測類攻擊 、 欺騙類攻擊 、 漏洞類攻擊 、 破壞類攻擊六類。 海軍工程大學(xué)畢業(yè)論文 11 第三章 網(wǎng)絡(luò)攻擊技術(shù)的分析 阻塞類攻擊 阻塞類攻擊：企圖通過強制占有信道資源、網(wǎng)絡(luò)連接資源、存儲空間資源，使服務(wù)器崩潰或資源耗盡無法對外繼續(xù)提供服務(wù)。 拒絕服務(wù)攻擊（ DoS） 拒絕服務(wù)攻擊簡稱 DoS（ Denial of Service），是一種針對 TCP/IP 協(xié)議的缺陷來進行網(wǎng)絡(luò)攻擊的手段，它可以出現(xiàn)在任何平臺上。拒絕服務(wù)攻擊的原理并不復(fù)雜而且易于實現(xiàn)，通過向目標主機發(fā)送海量的數(shù)據(jù)包，占據(jù)大量的共享資源（這里資源指的可以是處理器的時間、磁盤的空間、打印機和調(diào)制解調(diào)器，也甚至涉及到系統(tǒng)管理員的時間），使系統(tǒng)沒有其他的資源來給其他的用戶使用，或使網(wǎng)絡(luò)服務(wù)器中充斥了大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資正常的網(wǎng)絡(luò)服務(wù)。 拒絕服務(wù)減低了資源的可用性，攻擊的結(jié)果是停止和失去服務(wù)，甚至主機崩潰。通過簡單的工具就能在因特網(wǎng)上 引發(fā)極度的混亂，而且這種攻擊工具在網(wǎng)上每個人都可以得支、使用，更糟的是目前還沒有一個有效的對付方法。 拒絕服務(wù)攻擊的實現(xiàn)是利用了 Inter 網(wǎng)絡(luò)協(xié)議的許多安全漏洞，它讓我們看到了現(xiàn)存網(wǎng)絡(luò)脆弱性的一面?？捎糜诎l(fā)動拒絕服務(wù)攻擊的工具海軍工程大學(xué)畢業(yè)論文 12 很多，比較常見的可以分為四種類型。 （ 1）帶寬消耗 這里最常見也是最陰險的 DOS 攻擊。其基本原理是攻擊者消耗掉通達某個網(wǎng)站的幾乎所有可能帶寬，組織且法用戶使用網(wǎng)絡(luò)帶寬。帶寬消耗型DOS 攻擊可用發(fā)生在局域網(wǎng)上，但更常見的是攻擊者遠 程消耗帶寬資源，通過多個主機多點集中擁塞目標網(wǎng)絡(luò)，這種多點攻擊也使得更難找到真正的攻擊發(fā)起者。 （ 2） 系統(tǒng)資源消耗 攻擊者通過盜用、濫用目標主機的資源訪問權(quán)，消耗目標主機的 CPU 利用率、內(nèi)存、文件系統(tǒng)限額和系統(tǒng)進程總數(shù)之類的系統(tǒng)資源，造成文件系統(tǒng)變慢、進程被掛起直至系統(tǒng)崩潰，從而使得合法用戶無法使用系統(tǒng)的資源。 （ 3）編程缺陷 攻擊者利用應(yīng)用程序、操作系統(tǒng)或嵌入式邏輯芯片在處理異常情況時的失敗，而向目標主機發(fā)送非常規(guī)的數(shù)據(jù)包分組，導(dǎo)致內(nèi)核發(fā)生混亂，從而是系統(tǒng)崩潰。 （ 4）路由和 DNS 攻擊 由于網(wǎng)絡(luò)上使用的較早版本的路由協(xié)議沒有或只有很弱的認證機制，攻擊者可以假冒 IP 地址，操縱路由表項，為 DOS 攻擊創(chuàng)造條件，拒絕對合法系統(tǒng)或網(wǎng)絡(luò)提供服務(wù)。這種攻擊的后果是目標網(wǎng)絡(luò)的分組或者經(jīng)由攻擊者的網(wǎng)絡(luò)路由，或者被路由到不存在的黑洞網(wǎng)絡(luò)上。 海軍工程大學(xué)畢業(yè)論文 13 拒絕服務(wù)攻擊是最容易實施的攻擊行為，常見的 DoS 工具有： Smurf 攻擊、 UDP 洪水攻擊、 SYN 洪水攻擊、 teardrop、 Land 攻擊、死亡之 ping、Fraggle 攻擊、電子郵件炸彈、畸形消息攻擊、分布式拒絕服務(wù)攻擊、分 布式拒絕服務(wù)攻擊 DDOS 等。下面我們分別對這些黑客經(jīng)常使用的拒絕服務(wù)攻擊方法與防御措施進行介紹。 （ 1） Smurf 攻擊 ? 原理：一個簡單的 smurf 攻擊可以通過將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址，使用 ICMP 應(yīng)答請求，（ ping）數(shù)據(jù)包來淹沒受害主機的方式進行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機都對此 ICMP 應(yīng)答請求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，比 ping of death 洪水的流量高出一或兩個數(shù)量級。更加復(fù)雜的Smurf 將源地址改為第三方的受害者，最終導(dǎo)致第三方雪崩。 ? 防御：為了防止黑客利用你和網(wǎng)絡(luò)攻擊他人 ，關(guān)閉外部路由器或防火墻的廣播地址特性。為防止被攻擊，在防火墻上設(shè)置規(guī)則，丟棄 ICMP 包。 （ 2） UDP 洪水（ UDP flood） ? 原理：通過各種各樣的假冒攻擊，利用簡單的 TCP/IP 服務(wù)，如 Chargen和 Echo,來傳送毫無用處的占滿帶寬的數(shù)據(jù)，通過偽造與某一主機的Chargen 服務(wù)之間的一次 UDP 連增，使回復(fù)地址指向開著 Echo 服務(wù)的一臺主機，這樣就生成在兩臺主機之間的無用數(shù)據(jù)流，如果數(shù)據(jù)流足夠多就會導(dǎo)致帶寬擁塞而形成攻擊。 ? 防御：關(guān)掉不必要的 TCP/IP 服務(wù)，或者對防火墻進行配置，阻斷來自 Inter 的請求這些服務(wù)的 UDP 請求。 （ 3） SYN 洪水（ SYN flood） 海軍工程大學(xué)畢業(yè)論文 14 ? 原理：一些 TCP/IP 棧的實現(xiàn)只能等待從有限數(shù)量的計算機發(fā)來的 ACK消息，因為它們只有有限的內(nèi)存緩存區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會對接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接超時。在一些創(chuàng)建連接不受限制的實現(xiàn)里， SYN 洪水具有類似的影響。 ? 防御：在防火墻上過濾來自同一主機的后續(xù)連接。 （ 4）淚滴（ teardrop） ? 原理：淚滴攻擊利用 在 TCP/IP 堆棧實現(xiàn)中信任 IP 碎片中包的標題頭所包含的信息來實現(xiàn)的攻擊。 IP 分段含有指示該分段所包含的是源包的哪一段的信息，某些 TCP/IP（包括 service pack 4 以前的 Windows NT）在收到含有重疊偏移的偽造分段時將崩潰。 ? 防御：服務(wù)器應(yīng)用最新的服務(wù)包，或者在設(shè)置防火墻時對分段進行重組，而不是轉(zhuǎn)發(fā)它們。 （ 5） Land 攻擊 ? 原理：在 Land 攻擊中，使用一個特別打造的 SYN 包，它的源地址和目標地址都被設(shè)置成某一個服務(wù)器地址，此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送 SYNACK 消息 ，結(jié)果這個地址又發(fā)回 ACK 消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時。不同的操作系統(tǒng)對 Land 攻擊的反應(yīng)不同，不少 UNIX 系統(tǒng)受到攻擊后就將崩潰，而 Windows NT 會變得極其緩慢。 ? 防御：打最新的補丁，或者在防火墻進行配置，將那些在外部接口上入棧的含有內(nèi)部源地址過濾掉（包括 10 域、 127 域、 域、 域海軍工程大學(xué)畢業(yè)論文 15 域）。 （ 6）死亡之 ping （ ping of death） ? 原理：由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對 TCP/IP 棧 的實現(xiàn)在 ICMP 包上都是規(guī)定為 64KB，并且在對包的標題頭進行讀取之后，要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)在畸形的，聲稱自己的尺寸超過 ICMP 上限的包也就是加載的尺寸超過64K 上限時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致 TCP/IP 堆棧崩潰，致使接受方當(dāng)機。 ? 防御：現(xiàn)在所有的標準 TCP/IP 實現(xiàn)都已實現(xiàn)對付超大尺寸的包，并且大多數(shù)防火墻能夠自動過濾這些攻擊，包括：從 Windows 98 之后的 Windows NT（ service pack 3 以上版本） /2020， Linux、 Solaris、和 Mac OS 都具有抵抗一般 ping of death 攻擊的能力。此外，對防火墻進行配置，阻斷ICMP 以及任何未知協(xié)議，都能防止此類攻擊。 （ 7） Fraggle 攻擊 ? 原理： Fraggle 攻擊對 Smurf 攻擊作了簡單的修改，使用的是 UDP 應(yīng)答消息而非 ICMP。 ? 防御：在防火墻上過濾掉 UDP 應(yīng)答消息。 （ 8）電子郵件炸彈 ? 原理：是最古老的匿名攻擊之一，通過設(shè)置一臺計算機不斷的大量的向同一地址發(fā)送電子郵件 ,攻擊都能夠耗盡接受