【正文】 3. 常用的監(jiān)聽工具 （ 1） 微軟平臺的監(jiān)聽工具 ： Windump： Windump 最經(jīng)典的 UNIX 平臺上的 tcpdump 監(jiān)聽工具的 window 移植版。 （ 2） 對協(xié)議進行分析 所有的監(jiān)聽軟件都可以對數(shù)據(jù)包進行詳細的分析，直到每一個字段的含義。在大多數(shù)情況下，用戶的口令是明文形式。這類工具，常?？梢栽O(shè)置詳細的過濾條件，可以針對信息的源主機、目的主機、使用的協(xié)議、使用的端口以及包的長度來設(shè)置過濾條件，也可以是這些條件的邏輯組合。 （ 2） 對于點到點的網(wǎng)絡(luò)連接，則需要搭線才能實現(xiàn)竊聽。使用最方便的是在一個以太網(wǎng)中的任何一臺上網(wǎng)的主機上，這是大多數(shù)黑客的做法。黑客們用得最多的是截獲用戶的口令。然而，在另一方面網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò) 安全帶來了極大的隱患，許多的網(wǎng)絡(luò)入侵往往都伴隨著網(wǎng)路監(jiān)聽行為，從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件。 網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽又叫做網(wǎng)絡(luò)嗅探 ，顧名思義，這是一種在他方未察覺的情況下捕獲 西安工程大學(xué)學(xué)士學(xué)位論文 28 其通信報文或通信內(nèi)容的技術(shù)。攻擊者會使 系統(tǒng)錯誤地認為自己正在與自己交談，這樣可以造成死循環(huán)，最終使系統(tǒng)掛起或死鎖。 （ 2） 目的 IP地址：被攻擊系統(tǒng)的 IP地址。 防止措施：阻塞所有入站的 Ping 包；停止路由器為具有網(wǎng)絡(luò)廣播地址的分組映射 LAN 廣播地址的活動。 （ 3） 這樣當(dāng)路由器因特網(wǎng)上接收到該分組時，它就會向本網(wǎng)段中的所有 主機廣播。這個 Ping 分組的源地址是攻擊者想要攻擊的系統(tǒng)地址。序列號將仍然按照以前的方式增加，但是在這些序列號空間中沒有明顯的關(guān)系。 西安工程大學(xué)學(xué)士學(xué)位論文 27 4．使用隨機化的初始序列號 黑客攻擊得以成功實現(xiàn)的一個很重要的因素就是，序列號不是隨機選擇的或者隨機增加的。 3．使用加密方法 阻止 IP 欺騙的另一種明顯的方法是在通信時要求加密傳輸和驗證。 2．進行包過濾 如果網(wǎng)絡(luò)是通過路由器接入 Inter 的，那么可以利用路由器來進行包過濾。不允許 R 類遠程調(diào)用命令的使用；刪除 .rhosts 文件；清空 /etc/ 文件。 防范措施 防止此類 IP地址欺騙攻擊的要點在于，初始序列號變量在系統(tǒng)中的改變速度和時間間隔，通過合理地設(shè)置，可以使攻擊者無法準(zhǔn)確地預(yù)測數(shù)據(jù)序列號。至此，同時建立其余目標(biāo)主機基于地址驗證的應(yīng)用連接。按照計劃，被信任主機會拋棄該 SYN/ACK 數(shù)據(jù)包（當(dāng)然攻擊者也得不到該包，否則就不用猜了）。 4. 攻擊者將使用被信任主機的 IP 地址，偽裝成被信任的主機，向目標(biāo)主機的 513 端口（ rlogin 的端口號）發(fā)送連接請求。通常，這個過程被重復(fù)若干次，并將目標(biāo)主機最后所發(fā)送的序列 號存儲起來。 3. 采樣目標(biāo)主機發(fā)出的 TCP 序列號，猜測出它的數(shù)據(jù)序列號。由于攻擊者將要代替真正的被信任 主機，他 必須確保真正被信任的主機接收到任何有效的網(wǎng)路數(shù)據(jù)，否則將會被揭穿。 攻擊過程 IP 地址欺騙攻擊有若干步驟組成： 主機 A 服務(wù)器主機 B SYN,SEQ=x SYN,SEQ=y， ACK=x+1 ACK=y+1 西安工程大學(xué)學(xué)士學(xué)位論文 26 1. 選定目標(biāo)主機，發(fā)現(xiàn)信任模式，并找到一個被目標(biāo)主機信任的主機。 圖 31 TCP連接建立的三次握手 如果攻擊者了解主機 A和主機 B之間建立了信任關(guān)系，在 A不能正常工作時，假冒主機 A的 IP地址，向主機 B 發(fā)送建立 TCP 連接的請求包，這時如果攻擊者能夠猜出主機 B確認包中的序列號 y，就可以假冒主機 A 和主機 B建立 TCP連接。 2． TCP 序列號猜測 TCP 連接的建立包括一個三次握手的過程，如圖 31 所示。這些命令將提供以地址為基礎(chǔ)的驗證，根據(jù)訪問者 IP 地址，決定允許或拒絕存取服務(wù)。為了減少這種不便，可以在主機 A 和主機 B 中建立 起兩個賬戶的相互信任關(guān)系。 攻擊原理 1．信任關(guān)系 在 UNIX 系統(tǒng)中，信任關(guān)系能夠很容易得到。這種類型的攻擊稱為 IP欺騙，它是最常見的一種欺騙攻擊方式。但是這種方法在性能上有很大的優(yōu)勢。因此，即使一個攻擊者成功地改變了程序的指針，由于系統(tǒng)事先檢測到了指針的改變，因此這個指針將不會被使用。 Compaq C 編譯器： Compaq 公司為 Alpha CPU 開發(fā)的 C編譯器支持有限的邊界檢查。目前的幾種檢查方法： （ 1） Jonesamp。為了實現(xiàn)數(shù)組邊界檢查， 則所有的對數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對數(shù)組的操作在正確的范圍內(nèi)。 3. 數(shù)組邊界檢查 數(shù)組邊界檢查能防止所有的緩沖區(qū)溢出的產(chǎn)生和攻擊。還有一些靜態(tài)分析工具用于偵查 緩沖區(qū)溢出的存在。 （ 2） 開發(fā)了一些高級的查錯工具，如 fault injection 等。 2. 編寫正確的代碼 編寫正確的代碼是一件非常有意義的工作，特別象編寫 C 語言那種風(fēng)格自由而容易出錯的程序，這種風(fēng)格是由于追 求自由而容易出錯的程序，這種風(fēng)格是由于追求性能而忽視正確性的傳統(tǒng)引起的，人們開發(fā)了一些工具和技術(shù)來幫助經(jīng)驗不足的程序員編寫安全正確的程序。為了保持程序的兼容性，不可能使得所有程序的數(shù)據(jù)段不可執(zhí)行。 1. 非執(zhí)行緩沖區(qū) 通過使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行已植入到攻擊程序輸入緩沖區(qū)的代碼，這種技術(shù)被稱為非執(zhí)行的緩沖區(qū)技術(shù)。用“ longjmp(buffer)”來恢復(fù)檢驗點。 b） 函數(shù)指針（ Function Pointers）：函數(shù)指針可以用來定位任何地址空間。 （ 2） 控制程序轉(zhuǎn)移到攻擊代碼的方法主要有以下三種： a） 活動記錄（ Activation Records）：活動記錄包含了函數(shù)結(jié)束時返 回的地址。 2. 控制程序轉(zhuǎn)移到攻擊代碼的方法 （ 1） 最基本的思想就是溢 出一個沒有邊界檢查或者具有其它弱點的緩沖區(qū)，這樣就擾亂了程序的正常的執(zhí)行順序。 （ 2） 利用已經(jīng)存在的代碼：有時，攻擊者想要的代碼已經(jīng)在被攻擊的程序中了，攻擊者所要做的只是對代碼傳遞一些參數(shù)。在這里，攻擊者用被攻擊程序的緩沖區(qū)來存放攻擊代碼。 1. 在程序地址空間中安排適當(dāng)代碼的方法有兩種： （ 1） 植入法：攻擊者向被攻擊的程序輸入一個字符串，程序會把這個字符串放到緩沖區(qū)里。為了達到這個目的，攻擊者必須達到如下兩個目標(biāo)： （ 1） 在程序的地址空間里安排適當(dāng)?shù)拇a 。 攻擊過程 西安工程大學(xué)學(xué)士學(xué)位論文 23 緩沖區(qū)溢出攻擊的目的在于擾亂具有某些特權(quán)運行的程序的功能，這樣可以使得攻擊者取得程序的控制權(quán)，如果該程序具有足夠的權(quán)限，那么整個主機就被控制了。緩沖區(qū)溢出成為遠程攻擊的主要手段，其原因在于緩沖區(qū) 溢出漏洞給予了攻擊者所想要的一切：植入并且執(zhí)行攻擊代碼。如果該程序?qū)儆?root 且有 suid 權(quán)限的話，攻擊者就獲得了一個有 root 權(quán)限的 shell，可以對系統(tǒng)進行任意操作了。 2. 隨便往緩沖區(qū)中填東西造成它溢出一般只會出現(xiàn)“分段錯誤”（ Segmentation fault），而不能達到攻擊的目的。 strcpy(buffer,str) } 上面的 strcpy()將直接把 str 中的內(nèi)容 copy 到 buffer 中。 攻擊原理 通過 往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的。就像一個杯子只能盛一定量的水，如果一下子倒入太多的水到杯子中多余的水就會溢出。 緩沖區(qū)溢出 一般來說，緩沖區(qū)是“包含相同數(shù)據(jù)類型實例的一個連續(xù)的計算機內(nèi)存塊”，它保存了給定類型的數(shù)據(jù)。 b) 路由器： 訪問控制列表（ ACL）過濾； 設(shè)置 SYN 數(shù)據(jù)包流量速率； 升級版本過低的 IOS； 為路由器建立 log server。對于網(wǎng)絡(luò)管理員來說，如果所維護的網(wǎng)絡(luò)中有一些服務(wù)器需要向外提供 WWW 服務(wù)，就要注意不要成為 DDoS 的攻擊目標(biāo)，可以兩個角度去考慮： （ 1）主機設(shè)置 幾乎所有的主機平臺都有抵御 DoS 的設(shè)置： a) 關(guān) 閉不必要的服務(wù) b) 限制同時打開的 Syn半連接數(shù)目 c) 縮短 Syn 半連接的 time out 時間 d) 及時更新系統(tǒng)補丁 （ 2） 網(wǎng)絡(luò)設(shè)備設(shè)置 網(wǎng)絡(luò)設(shè)備的設(shè)置可以從防火墻與路由器上考慮。 2. 到目前為止，進行 DDoS 攻擊的防御還是比較困難的。 （ 4） 利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求。 （ 2） 網(wǎng)絡(luò)中充斥著大量的無用數(shù)據(jù)包，源地址為假。黑客登錄到作為控制攻擊機中的 DDoS 攻擊程序就會響應(yīng)控制臺的命令，一起向受害主機以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致目標(biāo)死機或是無法響應(yīng)正常的請求。 3. 實際攻擊。 2. 占領(lǐng)傀儡機。 攻擊過程 DDoS 并不像入侵一臺主機那樣簡單。 攻擊原理 一個 DDoS 攻擊體系分成四大部分，第 2和第 3 部分分別用作控制和實際發(fā)起攻擊，對第 4 部分的受害者來說， DDoS的實際攻擊包是 從第 3部分攻擊傀儡機上發(fā)出的，第 2 部分的控制機只發(fā)布命令而不參與實際的攻擊。 在 SYNFlooding 攻擊中，使用一個偽裝的地址向目標(biāo)計算機發(fā)送 TCP請求，當(dāng)目標(biāo)計算機受到請求后，會回復(fù)請求一個確認答復(fù)（ SYNACK）。 DDoS 就是利用更多的傀儡機來發(fā)起進攻，以比從前更大的規(guī)模來進攻受害者。單一的 DoS 攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo) CPU 速度低、內(nèi)存或者網(wǎng)絡(luò)帶寬等各項性能指標(biāo)不高時，它的攻擊效果是明顯的。 （ 2） 網(wǎng)絡(luò)拒絕服務(wù)攻擊 最基本的 DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。 （ 1） 服務(wù)過載 產(chǎn)生：當(dāng)大量的服務(wù)請求發(fā)向一臺計算機中的服務(wù)守護進程時，就會發(fā)生服務(wù)過載。 試圖破壞和毀壞資源。 過載一系列服務(wù)或者消耗一些資源。 其中 系統(tǒng)資源包括： CPU 時間、磁盤空間、網(wǎng)絡(luò)帶寬、打印機、 MODEM、甚至 是系統(tǒng)管理員的時間等。 拒絕服務(wù) (DOS)攻擊 拒絕服務(wù)攻擊是指一個用戶占用了大量的共享資源，使系統(tǒng)沒有其他的資源給其他合法用戶使用的攻擊。所有傳輸內(nèi)容加密，除 接收者外無人能懂。 （ 2） 使用用戶名和密碼。 2. 對訪問進行限制： （ 1） IP地址、子網(wǎng)、域的限制。注意瀏覽器地址行上顯示的 URL，確信他們一定指向所希望的服務(wù)器。 為確保安全，用戶可以采取一些應(yīng)急的措施： 1. （ 1） 關(guān)閉瀏覽器的 JavaScript 選項，使得攻擊者不能隱藏攻擊的痕跡。 防范措施 Web 欺騙攻擊的危害性很大，上當(dāng)?shù)挠脩舨坏珪孤稒C密信息，還可能會蒙受經(jīng)濟等方面的的損失。文檔取回后，攻擊者在該文檔的所有 URL前面加上自己的地址來改寫這個文檔，攻擊者向瀏覽者提供改寫后的文檔。 （ 3） 使 Web 搜索引擎指向假 Web。 攻擊過程 1. 可通過 下列方法誘惑被攻擊對象連接到攻擊者的假 Web 上： 西安工程大學(xué)學(xué)士學(xué)位論文 19 （ 1） 把一個指向假 Web 的鏈接放到一個流行的 Web頁上。 （ 4） 攻擊服務(wù)器重寫頁面。 （ 2） 攻擊服務(wù)器請求真正的服務(wù)器的相應(yīng)頁面。如攻擊者的服務(wù)器在機器 上運行，那么攻擊者要在頁面上所有的 URL前加上 。 攻擊原理 1． 攻擊的關(guān)鍵在于攻擊者的 Web 服務(wù)器能夠插在瀏覽者和其他 Web 服務(wù) 器之間。 大多數(shù)在線商務(wù)都要填充表格，所以可簡單地獲得用戶的口令。 記錄瀏覽者所訪問的頁面和頁面的內(nèi)容。攻擊者既可以假冒用戶給服務(wù)器發(fā)送數(shù)據(jù)，也可以假冒服務(wù)器給用戶發(fā)送假冒的信息。 Web 欺騙 Web 欺騙，又稱釣魚攻擊，是一種創(chuàng)造某個 Web 網(wǎng)站的復(fù)制影像欺騙網(wǎng)站用戶的攻擊技術(shù) 。 除了上述模型外，還提出了其它一些脆弱性分析方法和模型，但是這些方法和模型還沒有形成體系，仍有待于進一步深入研究。 西安工程大學(xué)學(xué)士學(xué)位論文 17 圖 28 Petri網(wǎng) Petri 網(wǎng)不僅能夠描述系統(tǒng)狀態(tài)，也可以用于行為分析，并且結(jié)構(gòu)靈活的特點增強了 其子圖的可重用性。發(fā)生轉(zhuǎn)換時輸入?yún)^(qū)域的令牌被消耗，同時為輸出區(qū)域產(chǎn)生令牌。如果每個輸入?yún)^(qū)域都擁有令牌。 Place表示系統(tǒng)狀態(tài)的邏輯描述，可擁有任意數(shù)量的令牌，令牌數(shù)量標(biāo)志系統(tǒng)當(dāng)前狀態(tài)。適合于描述異步的、并發(fā)的計算機系統(tǒng)。并且由于這種方法不會產(chǎn)生復(fù)雜的攻擊場景，因此可以被用于攻擊發(fā)現(xiàn)和關(guān)聯(lián)入侵檢測系統(tǒng)