【文章內(nèi)容簡(jiǎn)介】 用攻擊 ?網(wǎng)絡(luò)攻擊的全過(guò)程是 :攻擊者海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 14 發(fā)起并應(yīng)用一定的攻擊工具 (包括攻擊策略與方法 ),對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊操作 ,達(dá)到一定的攻擊效果 ,實(shí)現(xiàn)攻擊者預(yù)定義的攻擊效果 ? 網(wǎng)絡(luò)攻擊分類 網(wǎng)絡(luò)攻擊行為通常表現(xiàn) 為：或通過(guò)入侵目標(biāo)主機(jī)后非法獲取重要文件，修改系統(tǒng)資料，刪除，修改文件，破壞系統(tǒng)致使其癱瘓；或通過(guò)發(fā)送大量的報(bào)文以及其他方式使網(wǎng)絡(luò)發(fā)生擁塞，致使目標(biāo)主機(jī)崩潰；或通過(guò)截取，篡改網(wǎng)絡(luò)上的傳輸報(bào)文來(lái)欺騙目標(biāo)主機(jī)，以獲取相關(guān)資料；或通過(guò)傳播病毒，安裝木馬等惡意代碼攻擊目標(biāo)主機(jī)。與此相應(yīng)，網(wǎng)絡(luò)攻擊主要包括如下幾類 ： 1. 入侵攻擊 (Interruption， Breakin) 最常見(jiàn)的攻擊方式就是入侵攻擊。目前，入侵的手段眾多，常見(jiàn)的一種類型是用戶密碼猜測(cè)，黑客攻擊目標(biāo)時(shí)常常把破譯普通用戶的口令作為攻擊的開(kāi)始。另一種入 侵攻擊就是通過(guò)搜索整個(gè)系統(tǒng)，發(fā)現(xiàn)軟件，硬件的漏洞或配置錯(cuò)誤，以獲得系統(tǒng)的進(jìn)入權(quán)。每種操作系統(tǒng)都有自己的一些漏洞，有些是已知的，而有些則需要仔細(xì)的研究才能發(fā)現(xiàn)。而系統(tǒng)管理員不可能不停的閱讀每個(gè)系統(tǒng)平臺(tái)的安全漏洞報(bào)告，因此極有可能對(duì)某個(gè)系統(tǒng)的安全性了解不夠，故而，計(jì)算機(jī)網(wǎng)絡(luò)中很可能存在各種各樣的安全漏洞。 海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 15 2. 拒絕服務(wù) (Denial of Service,DoS) 該攻擊的方法往往是利用操作系統(tǒng)網(wǎng)絡(luò)功能的漏洞而進(jìn)行的。比如 : Windows 95/NT的 OOB漏洞， Windows 98的 IGMP漏洞等，造成的 現(xiàn)象為 TCP/IP棧崩潰導(dǎo)致與 Inter的連接中斷、系統(tǒng)藍(lán)屏、系統(tǒng)凝固甚至重新啟動(dòng)、有無(wú)數(shù)的窗口被打開(kāi)等等。但基本上對(duì)硬盤(pán)上的數(shù)據(jù)沒(méi)有損害，一般重新啟動(dòng)機(jī)器即可恢復(fù)。 。 3. 欺騙 (Spoofing) 欺騙包括很多腫類型，攻擊者可以使用各種欺騙手段來(lái)達(dá)到攻擊的目的，比如偽造 MAC和 IP地址，修改數(shù)據(jù)包頭內(nèi)容，偽造路由信息，甚至與偽造整個(gè)網(wǎng)站。對(duì)應(yīng)于 TCP/IP的 5層結(jié)構(gòu)，從地層到高層存在有 MAC地址欺騙，ARP欺騙， IP地址欺騙， ICMP欺騙， TCP欺騙， WEB欺騙， DNS欺騙， RIP路由欺騙等。 4. 緩沖區(qū)溢出 (Bufer Over flow) 緩沖區(qū)溢出指的是一種系統(tǒng)攻擊的手段，通過(guò)向程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。 5. 系統(tǒng)入侵攻擊 由于大多數(shù)的 Windows 95/98/Me不提供如 HTTP、 FTP、 TELNET等服務(wù)器才提供的服務(wù)，所以通過(guò)這些實(shí)現(xiàn)入侵一般是行不通的，但有的用戶可海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 16 能會(huì)使用 HTTP服務(wù)器設(shè)計(jì)網(wǎng)頁(yè)或使用 FTP服務(wù)器讓朋友從自己機(jī)器上下載文件或調(diào)試程序，這就給攻擊者造成了可乘之機(jī)， 達(dá)到攻擊的目 的。 近幾年，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展，主要表現(xiàn)為以下幾個(gè)方面 ： 趨勢(shì)一：自動(dòng)化程度和攻擊速度提高 攻擊工具的自動(dòng)化水平不斷提高。自動(dòng)攻擊一般涉及四個(gè)階段，在每個(gè)階段都出現(xiàn)了新變化，攻擊工具趨向于自動(dòng)化、圖形化和多線程化，大大提高了攻擊工具的易用性、執(zhí)行速度和攻擊效率。 趨勢(shì)二： 攻擊代碼的動(dòng)態(tài)化和模塊化 攻擊代碼趨向于動(dòng)態(tài)化、模塊化 (插件化 )和反制化，大大提高了攻擊代碼的生存性、對(duì)抗性以及魯棒性。 趨勢(shì)三： 攻擊代碼的偽裝化和蠕蟲(chóng)化 攻擊代碼趨向于偽裝化、隱身化和蠕蟲(chóng)化 (深度傳播 )，大大提 高了攻擊代碼的欺騙性、隱身性和可傳播性。 趨勢(shì)四： 漏洞發(fā)現(xiàn)的自動(dòng)化和快速化 系統(tǒng)漏洞發(fā)現(xiàn)趨向于自動(dòng)化和快速化，利用新漏洞可以大大提高攻擊成功率和工作效率。 趨勢(shì)五： 防火墻攻擊的不對(duì)稱化和非常規(guī)化 防火墻攻擊趨向于不對(duì)稱化 (反向穿透 )和非常規(guī)化，大大提高了防火墻攻擊成功率和隱蔽性。 趨勢(shì)六： 攻擊手法的融合化和多樣化 攻擊手法趨向于多種攻擊方法相互融合和多樣化，大大提高了攻擊成功率和效率。 海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 17 木馬攻擊技術(shù)分析 木馬的概念 計(jì)算機(jī)木馬的名稱來(lái)源于古希臘的特洛伊木馬 (Trojan Horse)的故事，希臘人圍攻特洛伊城，很多年不能得手后想出了木馬的計(jì)策，他們把士兵藏匿于巨大的木馬中。在敵人將其作為戰(zhàn)利品拖入城內(nèi)后，木馬內(nèi)的士兵爬出來(lái)，與城外的部隊(duì)里應(yīng)外合而攻下了特洛伊城。 計(jì)算機(jī)網(wǎng)絡(luò)世界的木馬是一種能夠在受害者毫無(wú)察覺(jué)的情況下滲透到系統(tǒng)的程序代碼，在完全控制了受害系統(tǒng)后，能進(jìn)行秘密的信息竊取或破壞。它與控制主機(jī)之間建立起連接，使得控制者能夠通過(guò)網(wǎng)絡(luò)控制受害系統(tǒng)，它的通信遵照 TCP/IP協(xié)議，它秘密運(yùn)行在對(duì)方計(jì)算機(jī)系統(tǒng)內(nèi)，像一個(gè)潛入敵方的間諜，為其他人的攻擊打開(kāi)后門(mén)，與戰(zhàn)爭(zhēng)中的木馬戰(zhàn)術(shù)十分 相似，因而得名木馬程序。 木馬的分類 木馬程序技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了 4代，第一代，即是簡(jiǎn)單的密碼竊取，發(fā)送等。第二代木馬，在技術(shù)上有了很大的進(jìn)步，冰河可以說(shuō)為是國(guó)內(nèi)木馬的典型代表之一。第三代木馬在數(shù)據(jù)傳輸技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了 ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了查殺的難度。第四代木馬在進(jìn)程隱藏方面，做了大的改動(dòng)，采用了內(nèi)核插入式的嵌海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 18 入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入 DLL線程?；蛘邟旖?PSAPI，實(shí)現(xiàn)木馬程序的隱藏，甚至在 Windows NT/2020下，都達(dá)到了良好的 隱藏效果。 根據(jù)木馬程序?qū)τ?jì)算機(jī)的具體動(dòng)作方式，可以把現(xiàn)在的木馬程序分為以下幾類 ： (1) 正向連接型：這種類型的客戶羰連接服務(wù)器的時(shí)候是直接根據(jù)服務(wù)器上的 IP地址和端口來(lái)進(jìn)行連接。這種方法直觀、簡(jiǎn)單，但同時(shí)也存在相應(yīng)的缺陷。它要求知道對(duì)方的 IP，這點(diǎn)對(duì)于不是固定 IP的被控端而言，過(guò)一段時(shí)間 IP改變后，控制端就無(wú)法連接了。 (2) 反向連接：由于正向連接的不足，后來(lái)的木馬連接方式發(fā)生了變化，不再是由控制端去連接被控制端，而是控制端自動(dòng)監(jiān)聽(tīng)，由被控制端來(lái)進(jìn)行連接。這個(gè)辦法可以很好地解決以上的缺陷，但 同時(shí)也有一個(gè)關(guān)鍵的問(wèn)題，那就是這個(gè)方法要求控制端有一個(gè)固定的公網(wǎng) IP。如果控制端 IP是自動(dòng)分配的話，過(guò)一段時(shí)間后 IP發(fā)生變化，則被控端就不可能連接到了。 (3) 反彈連接型：這種反彈連接型木馬是從反抽連接型發(fā)展起來(lái)的，它也是由被控制端去連接控制端，但其被控端的木馬程序不知道控制端的 IP，而是知道一個(gè)固定的網(wǎng)頁(yè)文件地址，這個(gè)地址一般是網(wǎng)上的免費(fèi)海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 19 空間。在這個(gè)文件夾中存放的就是控制端的 IP地址和端口。于是，被控端通過(guò)這個(gè)固定的文件就能知道控制端的信息，從而進(jìn)行連接。而當(dāng)控制端IP變化后，黑管所要做的只是 去該免費(fèi)空間上修改這個(gè)文件的內(nèi)容就可以了，完全不會(huì)影響控制端程序。 (4) 密碼發(fā)送型： 密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類木馬程序不會(huì)在每次 Windows系統(tǒng)重啟時(shí)都自動(dòng)加載，它們大多數(shù)使用 25端口發(fā)送電子郵件。 (5) 毀壞型： 大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任 .它們可以自動(dòng)刪除受控主機(jī)上所有的 .dll, .ini或 .exe文件，甚至遠(yuǎn)程格式化受害者硬盤(pán)，使得受控主機(jī)上的所有信息都受到 破壞?？偠灾?，該類木馬目標(biāo)只有一個(gè)就是盡可能的毀壞受感染系統(tǒng)，致使其癱瘓。 木馬的特征及功能 木馬的特征 (1) 隱蔽性：隱蔽性是木馬的首要特征。這一點(diǎn)與病毒特征是很相似的，木馬類軟件的 SERVER端程序在被控主機(jī)系統(tǒng)上運(yùn)行時(shí)會(huì)使用各種方法來(lái)隱藏自己。例如大家所熟悉的修改注冊(cè)表和 .ini文件以便被控系統(tǒng)在下海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 20 一次啟動(dòng)后仍能載入木馬程式，它不是自己生成一個(gè)啟動(dòng)程序，而是依附在其它程序之中。有些把服務(wù)器端和正常程序綁定成一個(gè)程序的軟件，叫做 exebinder綁定程式，可以讓人在使用綁定的程式時(shí)，木 馬也入侵了系統(tǒng)，甚至有個(gè)別木馬程序能把它自身的 .exe文件和服務(wù)器端的圖片文件綁定，在你看圖片的時(shí)候，木馬也侵入了你的系統(tǒng)。 (2) 自 動(dòng) 運(yùn) 行 性 ： 木 馬 程 序 通 過(guò) 修 改 系 統(tǒng) 配 置 文 件 ， 如 ：, ，在目標(biāo)主機(jī)系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行或加載。 (3) 欺騙性：木馬程序要達(dá)到其長(zhǎng)期隱蔽的目的，就必需借助系統(tǒng)中己有的文件，以防用戶發(fā)現(xiàn)，它經(jīng)常使用的是常見(jiàn)的文件名或擴(kuò)展名，如dll\win\sys\explorer等字樣，或者仿制一些不易被人區(qū)別的文件名，如字 母“ l” 與數(shù)字“ 字母“ o與數(shù)字“ 0，常修改基本個(gè)文件中的這些難以分辨的字符，更有甚者干脆就借用系統(tǒng)文件中己有的文件名，只不過(guò)它保存在不同路徑之中。 (4) 自動(dòng)恢復(fù)性：現(xiàn)在很多的木馬程序中的功能模塊己不再是由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。系統(tǒng)一旦被植入木馬，想利用刪除某個(gè)文件來(lái)進(jìn)行清除是不太可能的。更先進(jìn)的木馬利用線程監(jiān)控技術(shù)使得木馬的清除更加困難。 (5) 功能的特殊性：通常的木馬的功能都是十分特殊的，除了普通的海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 21 文件操作以外，還有些木馬具有搜索 Cache中的口令、設(shè)置口令、掃描 目標(biāo)機(jī)器的 lP地址、進(jìn)行鍵盤(pán)記錄、遠(yuǎn)程注冊(cè)表的操作、以及鎖定鼠標(biāo)等功能。 木馬的基本功能 (1) 自動(dòng)搜索被植入木馬的主機(jī)系統(tǒng)，以及上線即時(shí)通知； (2) 對(duì)被控主機(jī)的系統(tǒng)資源進(jìn)行管理，如 ： 復(fù)制文件，刪除文件，查看文件，以及上傳 /下載文件等； (3) 遠(yuǎn)程執(zhí)行程序； (4) 跟蹤監(jiān)視對(duì)方屏幕，截取屏幕并回傳； (5) 直接屏幕鼠標(biāo)控制，鍵盤(pán)輸入控制； (6) 鎖定鼠標(biāo)，鍵盤(pán)和屏幕； (7) 遠(yuǎn)程重啟計(jì)算機(jī)及關(guān)閉計(jì)算機(jī)； (8) 監(jiān)視對(duì)方任務(wù)且可以終止對(duì)方任務(wù)； (9) 擊鍵記錄； (10) 獲取系統(tǒng)相關(guān)信息 ； (11) 注冊(cè)表操作。包括修改鍵值，添加鍵，刪除鍵等； (12) 硬盤(pán)共享 木馬的基本原理 木馬的攻擊原理：現(xiàn)在網(wǎng)絡(luò)上流行的木馬基本上都采用的是 C/S 結(jié)構(gòu)海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 22 (客戶端 /服務(wù)端 )。你要使用木馬控制對(duì)方的電腦，首先需要在對(duì)方的的電腦中種植并運(yùn)行服務(wù)端程序，然后運(yùn)行本地電腦中的客戶端程序?qū)?duì)方電腦進(jìn)行連接進(jìn)而控制對(duì)方電腦。具體過(guò)程包括： 木馬的傳播方式主要有四種：一種是通過(guò) EMAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去 ,收信人只要打開(kāi)附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下 載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝；第三種是把一些木馬程序捆綁到網(wǎng)站上，當(dāng)一些系統(tǒng)補(bǔ)丁沒(méi)有補(bǔ)全的人在瀏覽網(wǎng)頁(yè)的時(shí)候就不知不覺(jué)被種上了木馬；還有一種就是通過(guò)本地的第三方軟件漏洞，來(lái)種植木馬，攻擊系統(tǒng)。 鑒于木馬的危害性 ,很多人對(duì)木馬知識(shí)還是有一定了解的 ,這對(duì)木馬的傳播起了一定的抑制作用 ,這是木馬設(shè)計(jì)者所不愿見(jiàn)到的 ,因此他們開(kāi)發(fā)了多種功能來(lái)偽裝木馬 ,以達(dá)到降低用戶警覺(jué) ,欺騙用戶的目的?，F(xiàn)在大體手法包括修改圖標(biāo)，捆綁文 件，出錯(cuò)顯示，定制端口，自我銷毀，木馬更名等手段來(lái)達(dá)到偽裝木馬的目的。 服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后 ,木馬就會(huì)自動(dòng)進(jìn)行安裝。首海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 23 先將自身拷貝到 WINDOWS的系統(tǒng)文件夾中 (C： WINDOWS或 C： WINDOWS SYSTEM目錄下 ),然后在注冊(cè)表 ,啟動(dòng)組 ,非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件 ,這樣木馬的安裝就完成了。安裝后就可以啟動(dòng)木馬了，具體方式有兩種：一種方式是自啟動(dòng)激活木馬，另一種方式是觸發(fā)式激活木馬。木馬被激活后，進(jìn)入內(nèi)存，并開(kāi)啟事先定義的木馬端口準(zhǔn)備與控制端建立連接。 一般來(lái)說(shuō)，設(shè)計(jì)成熟的木馬都有一個(gè)信息反饋機(jī)制。所謂信息反饋機(jī)制是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過(guò) EMAIL，IRC或 ICO 的方式告知控制端用戶。從反饋信息中控制端可以知道服務(wù)端的一些軟硬件信息，包括使用的操作系統(tǒng)，系統(tǒng)目錄，硬盤(pán)分區(qū)況，系統(tǒng)口令等，在這些信息中，最重要的是服務(wù)端 IP，因?yàn)橹挥械玫竭@個(gè)參數(shù)，控制端才能與服務(wù)端建立連接。 一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件：一是服務(wù)端已安裝了木馬程序 ； 二是控制端，服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過(guò)木馬端口與服務(wù)端 建立連接。 木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道?？刂贫松系目刂贫顺绦蚩山暹@條通道與服務(wù)端上的木馬程序取得聯(lián)系 ,并通海軍工程大學(xué)畢業(yè)設(shè)計(jì)（論文） 24 過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。 病毒攻擊技術(shù)分析 病毒的概念 病毒是一種計(jì)算機(jī)指令代碼。用戶運(yùn)行了這些代碼后，往往會(huì)產(chǎn)生一些惡意的結(jié)果，如破壞系統(tǒng)文件造成系統(tǒng)無(wú)法運(yùn)行、數(shù)據(jù)文件被刪除、硬件被破壞、非法侵入內(nèi)部數(shù)據(jù)庫(kù)，偷竊或篡改數(shù)據(jù)等等。計(jì)算機(jī)一旦接觸到病毒，輕者影響計(jì)算機(jī)系統(tǒng)的性能，降低工作效率，重者可以毀壞計(jì)算機(jī)系統(tǒng)內(nèi)部信息及數(shù)據(jù)，并且 迅速傳播危害整個(gè)計(jì)算