【正文】 人已走，就把木馬當(dāng)作是獻給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應(yīng)外合毀滅了特洛伊城。后來我們把進入敵人內(nèi)部攻破防線的手段叫做木馬計，木馬計中使用的里應(yīng)外合的工具叫做特洛伊木馬 來源于希臘神話中的特洛伊戰(zhàn)爭 127 第 10章 網(wǎng)絡(luò)安全 遠程控制技術(shù) ? 遠程控制實際上是包含有服務(wù)器端和客戶端的一套程序 ? 服務(wù)器端程序駐留在目標計算機里，隨著系統(tǒng)啟動而自行啟動。此外，使用傳統(tǒng)技術(shù)的程序會在某端口進行監(jiān)聽，若接收到數(shù)據(jù)就對其進行識別，然后按照識別后的命令在目標計算機上執(zhí)行一些操作（比如竊取口令，拷貝或刪除文件，或重啟計算機等） ? 攻擊者一般在入侵成功后，將服務(wù)端程序拷貝到目標計算機中，并設(shè)法使其運行，從而留下后門。日后，攻擊者就能夠通過運行客戶端程序，來對目標計算機進行操作 128 第 10章 網(wǎng)絡(luò)安全 遠程控制技術(shù)的發(fā)展歷程 ? 第一代 – 功能簡單、技術(shù)單一，如簡單的密碼竊取和發(fā)送等 ? 第二代 – 在技術(shù)上有了很大的進步，如國外的 BO2023，國內(nèi)的冰河等 ? 第三代 – 為了躲避防火墻而在數(shù)據(jù)傳遞技術(shù)上做了不小的改進，比如利用 ICMP協(xié)議以及采用反彈端口的連接模式 ? 第四代 – 研究操作系統(tǒng)底層，在進程隱藏方面有了很大的突破 129 第 10章 網(wǎng)絡(luò)安全 傳統(tǒng)的遠程控制步驟 130 第 10章 網(wǎng)絡(luò)安全 如何遠程植入程序 直接攻擊 電子郵件 文件下載 瀏覽網(wǎng)頁 + 合并文件 經(jīng)過偽裝的木馬被植入目標機器 131 第 10章 網(wǎng)絡(luò)安全 遠程受控端程序的自啟動 ? Windows啟動目錄 ? 注冊表啟動 – Run(RunOnce/RunOnceEx/RunServices） – KnownDLLs – 修改文件關(guān)聯(lián)方式 ? 系統(tǒng)配置文件啟動 – – ? 服務(wù)啟動 ? 其他啟動 132 第 10章 網(wǎng)絡(luò)安全 遠程受控端程序的隱藏 ? 在任務(wù)欄（包括任務(wù)管理器）中隱藏自己 – 初步隱藏 ? 注冊為系統(tǒng)服務(wù) – 不適用于 Win2k/NT ? 啟動時會先通過窗口名來確定是否已經(jīng)在運行，如果是則不再啟動 – 防止過多的占用資源 ? 進程隱藏 – 遠程線程插入其他進程（不適用于 Win9X） – Hook技術(shù) 133 第 10章 網(wǎng)絡(luò)安全 遠程控制數(shù)據(jù)傳輸方式 ? ICMP協(xié)議傳送 ? 反彈端口 + HTTP隧道技術(shù) 134 第 10章 網(wǎng)絡(luò)安全 反彈端口連接模式 1024 反彈式的遠程 控制程序 防火墻 IP數(shù)據(jù)包過濾 目標主機 Windows 系統(tǒng) IE 進 程 木馬線程 正常線程 進入合法應(yīng)用程序 正常線程 … Inter Explorer 瀏覽網(wǎng)頁 端口 監(jiān)聽端口 傳統(tǒng)遠 程控制程序 135 第 10章 網(wǎng)絡(luò)安全 遠程控制的防御 ? 遠程端口掃描 ? 本地進程 —端口察看 – Fport / Vision – AntiyPorts – APorts ? 本地進程察看 – Pslist – Listdlls ? 注冊表監(jiān)控 – Regmon ? 文件監(jiān)控 – Filemon ? 使用專用的查殺工具 ? 加強使用者的安全意識 136 第 10章 網(wǎng)絡(luò)安全 Vision 137 第 10章 網(wǎng)絡(luò)安全 AntiyPorts 138 第 10章 網(wǎng)絡(luò)安全 DoS與 DDoS攻擊 ? DoS (Denial of Service)攻擊的中文含義是拒絕服務(wù)攻擊 ? DDoS (Distributed Denial of Service)攻擊的中文含義是分布式拒絕服務(wù)攻擊 139 第 10章 網(wǎng)絡(luò)安全 拒絕服務(wù)攻擊的種類 ? 發(fā)送大量的無用請求，致使目標網(wǎng)絡(luò)系統(tǒng)整體的網(wǎng)絡(luò)性能大大降低，喪失與外界通信的能力。 ? 利用網(wǎng)絡(luò)服務(wù)以及網(wǎng)絡(luò)協(xié)議的某些特性，發(fā)送超出目標主機處理能力的服務(wù)請求，導(dǎo)致目標主機喪失對其他正常服務(wù)請求的相應(yīng)能力。 ? 利用系統(tǒng)或應(yīng)用軟件上的漏洞或缺陷，發(fā)送經(jīng)過特殊構(gòu)造的數(shù)據(jù)包，導(dǎo)致目標的癱瘓（稱之為 nuke) 140 第 10章 網(wǎng)絡(luò)安全 拒絕服務(wù)攻擊典型舉例 ? SynFlood ? Smurf ? PingFlood ? UDP Flooder 141 第 10章 網(wǎng)絡(luò)安全 拒絕服務(wù)攻擊 —SynFlood ? 正常的 TCP/IP三次握手 ? SynFlood攻擊 服務(wù)器 客戶端 SYN SYN+ACK ACK 握手完成，開始傳送數(shù)據(jù)，系統(tǒng)消耗很少 被攻擊主機 攻擊主機 偽造源地址 不存在的主機 不斷重試及等待，消耗系統(tǒng)資源 不響應(yīng) SYN SYN+ACK 142 第 10章 網(wǎng)絡(luò)安全 SynFlood的防御對策 ? 重新設(shè)置一些 TCP/IP協(xié)議參數(shù) – 增加 TCP監(jiān)聽套解字未完成連接隊列的最大長度 – 減少未完成連接隊列的超時等待時間 – 類似于 SYN Cookies的特殊措施 ? 選擇高性能的防火墻 – SYN Threshold類 – SYN Defender類 – SYN Proxy類 143 第 10章 網(wǎng)絡(luò)安全 拒絕服務(wù)攻擊 —Smurf攻擊 Attacker Target 目標機器會接收很多來自中介網(wǎng)絡(luò)的請求 中介網(wǎng)絡(luò) 放大器 broadcast echo request 源地址被欺騙為被攻擊主機地址 144 第 10章 網(wǎng)絡(luò)安全 其它拒絕服務(wù)攻擊 ? Fraggle ? Ping of Death ? UdpFlood ? TearDrop ? 電子郵件炸彈 145 第 10章 網(wǎng)絡(luò)安全 Nuke類拒絕服務(wù)攻擊 ? Win Nuke ? RPC Nuke ? SMB Die 146 第 10章 網(wǎng)絡(luò)安全 分布式拒絕服務(wù)攻擊 ? DDoS是 DoS攻擊的延伸，威力巨大，具體攻擊方式多種多樣。 ? 分布式拒絕服務(wù)攻擊就是 利用一些自動化或半自動化的程序控制許多分布在各個地方的主機同時拒絕服務(wù)攻擊同一目標 。 ? 攻擊一般會采用 IP地址欺騙技術(shù)，隱藏自己的IP地址，所以很難追查。 147 第 10章 網(wǎng)絡(luò)安全 分布式拒絕服務(wù)攻擊示意圖 148 第 10章 網(wǎng)絡(luò)安全 分布式拒絕服務(wù)攻擊步驟 ? 探測掃描大量主機以尋找可入侵的目標； ? 入侵有安全漏洞的主機并獲取控制權(quán)，在每臺入侵主機中安裝攻擊程序； ? 構(gòu)造龐大的、分布式攻擊網(wǎng)絡(luò)； ? 在同一時刻，由分布的成千上萬臺主機向同一目標地址發(fā)出攻擊，目標系統(tǒng)全線崩潰； 149 第 10章 網(wǎng)絡(luò)安全 典型的分布式拒絕服務(wù)攻擊工具 ? Trinoo ? TFN ? Stacheldraht ? TFN2K 150 第 10章 網(wǎng)絡(luò)安全 分布式拒絕服務(wù)攻擊防御對策 ? 對于分布式攻擊，目前仍無非常有效的方法來防御 ? 基本的防御對策 – 做好各種基本的拒絕服務(wù)攻擊防御措施，打好補丁； – 聯(lián)系 ISP對主干路由器進行限流措施； – 利用各種安全防御系統(tǒng)進行輔助記錄工作。 – 使用軟件來幫助管理員搜索 ddos客戶端 ? find_ddos ? ZombieZapper ? ddosping 151 第 10章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)監(jiān)聽攻擊 源 目的 sniffer 加密 解密 passwd $%)*=~`^,{ 152 第 10章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)監(jiān)聽攻擊的環(huán)境 ? 基于共享（ HUB）環(huán)境的監(jiān)聽 – 比較普遍 – 實現(xiàn)較為簡單 ? 基于交換（ Switch）環(huán)境的監(jiān)聽 – 基礎(chǔ)是 ARP欺騙技術(shù) 153 第 10章 網(wǎng)絡(luò)安全 基于共享環(huán)境的監(jiān)聽 ? 共享以太網(wǎng)環(huán)境中，所有物理信號都會被傳送到每一個主機節(jié)點上去 ? 如將系統(tǒng)的網(wǎng)絡(luò)接口設(shè)定為混雜模式(Promiscuous)，則就能接受到一切監(jiān)聽到的數(shù)據(jù)幀，而不管其目的 MAC地址是什么 154 第 10章 網(wǎng)絡(luò)安全 共享環(huán)境監(jiān)聽的意義 ? 積極意義：方便網(wǎng)絡(luò)管理員進行管理和網(wǎng)絡(luò)故障分析 ? 消極意義：常被用來竊聽在網(wǎng)絡(luò)上以明文方式傳輸?shù)目诹詈唾~號密碼 – POP3郵件口令 – Ftp登錄口令 – Tel登錄口令 155 第 10章 網(wǎng)絡(luò)安全 共享環(huán)境監(jiān)聽的檢測 ? 基于主機的檢測 – 簡單的 ifconfig命令，包括各種 UNIX系統(tǒng) ? 基于網(wǎng)絡(luò)的檢測 – 針對系統(tǒng)硬件過濾和軟件過濾的檢測 – 針對 DNS反向域名解析的檢測 – 針對網(wǎng)絡(luò)和主機響應(yīng)時間的檢測 ? 使用專業(yè)的檢測工具 – AntiSniff（有 for win和 for unix的版本） – Promiscan 156 第 10章 網(wǎng)絡(luò)安全 AntiSniff（ LOpht） 157 第 10章 網(wǎng)絡(luò)安全 口令入侵 ? 口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動 ? 獲取口令的途徑有： – 網(wǎng)絡(luò)監(jiān)聽 – 口令猜測，暴力破解 – 利用系統(tǒng)管理員的失誤 158 第 10章 網(wǎng)絡(luò)安全 口令猜測攻擊 ? 口令猜測攻擊原理 – 現(xiàn)行很多加密算法都單向不可逆 – 攻擊者每次從攻擊字典中取出一個條目作為口令，使用相同的加密算法進行加密，然后同密文進行比對，如不同則繼續(xù)下一次嘗試，否則則猜測成功。 ? 口令猜測可分為 – 遠程口令破解 – 本地口令破解 159 第 10章 網(wǎng)絡(luò)安全 遠程口令破解 ? 許多網(wǎng)絡(luò)服務(wù)，都是通過賬號 /口令來認證需要訪問該服務(wù)的用戶 – POP3 Netbios Tel FTP HTTP等 ? 可以遠程進行窮舉字典的方式來猜解口令 ? 破解效率很低，而且容易被記錄 160 第 10章 網(wǎng)絡(luò)安全 本地口令猜解 ? 各種操作系統(tǒng)以自己各自的方式存放密碼文件，而大多數(shù)的加密算法都比較脆弱，容易被猜解 ? 本地破解速度非常快，具體的速度取決于系統(tǒng)的配置 ? 在協(xié)同工作越來越發(fā)達的今天，本地口令破解可以說是 ―百發(fā)百中 ‖ 161 第 10章 網(wǎng)絡(luò)安全 Windows口令破解技術(shù)簡介 ? 在 WinNT/2K系統(tǒng)中，使用一套較老的加密算法 —LAN Manager ? LM散列算法存在著致命缺陷 – 用戶密碼縮短到 14個字符，若不足則用 0x00填補 – 前 8個字節(jié)由用戶密碼的前 7個字符推導(dǎo)而來 – 后續(xù) 8個字節(jié)由密碼的 814個字符得來 162 第 10章 網(wǎng)絡(luò)安全 Windows口令破解技術(shù)簡介 ? Windows系統(tǒng)以 sam文件格式存放密碼文件，有多種方式可以獲得 – %SystemRoot%\system32\config\sam – %SystemRoot%\repair\ – 使用 pwdump3遠程從注冊表中導(dǎo)出 – 嗅探網(wǎng)絡(luò)中 SMB報文包含的口令散列值 ? 破解工具 – stake的 L0phcrack 163 第 10章 網(wǎng)絡(luò)安全 stake L0phcrack 164 第 10章 網(wǎng)絡(luò)安全 Unix系統(tǒng)的口令破解 ? Unix系統(tǒng)的口令密文存放在 /etc/passwd或/etc/shadow文件中 ? 加密算法 – 傳統(tǒng)加密沿用最多的是 DES算法的口令加密機制 – 為了增強 DES的加密強度，引入了被稱作 Salt的附加手段 ? 猜測工具 – John The Ripper 165 第 10章 網(wǎng)絡(luò)安全 候選口令 產(chǎn)生器 字典 口令文件 口令 加密 口令比較 輸出匹配 的口令 166 第 10章 網(wǎng)絡(luò)安全 口令破解防御對策 ? 制定正確的密碼策略，并貫徹實施 – 密碼長度，強度足夠 – 定期更換密碼 – 禁用類似 1234567 puter?? 這樣的簡單密碼 ? 提高人的安全意識很重要 167 第 10章 網(wǎng)絡(luò)安全 攻擊發(fā)展趨勢 168 第 10章 網(wǎng)絡(luò)安全 169 第 10章 網(wǎng)絡(luò)安全 個人信息安全的防范技巧 ? 不輕易運行不明真相的程序 ? 屏蔽小