【正文】 因此，誰也不可。114BNCC破壞注冊表的途徑(2)驅(qū)動程序的不兼容性同時(shí)，當(dāng)今的軟件的數(shù)目是如此的繁多，誰也不能確定當(dāng)多個軟件安裝在一個系統(tǒng)里以后，是否能正常運(yùn)行，彼此間是否毫無沖突。 在實(shí)際使用過程中，很少有完全沒有錯誤的應(yīng)用程序。 由于用戶經(jīng)常地在 Windows 95/98上添加或者刪除各種應(yīng)用程序和驅(qū)動程序，因此，基于以下幾種情況，注冊表有被破壞的可能性： (1)應(yīng)用程序的錯誤 破壞注冊表的主要途徑可以歸結(jié)為如下三大類：注冊表?xiàng)l目有誤。無法調(diào)入驅(qū)動程序。l 例如，在啟動 Windows 95/98時(shí)，可能會出現(xiàn)如下提示信息：111BNCC注冊表常見問題Cannot find a device file that may be needed to run Windows or a windows application.The Windows Registry or file refers to this device file,but the device file no longer existsIf you deleted this file on purpose,try uninsalling the associated application using its uninstallOr Setup program.If you still want to use the application associared with this device file,Try reinstalling the application to replace the missing file.Press a key to continue.112BNCC注冊表常見問題沒有訪問應(yīng)用程序的權(quán)限。應(yīng)用程序無法正常運(yùn)行。例如，在啟動 Windows 95/98時(shí)，將出現(xiàn)如對話框。106BNCC系統(tǒng)應(yīng)用技巧BNCC注冊表常見問題l 當(dāng)一個例程被 調(diào) 用 時(shí) 所必 須 做的第一件事是保存前一個 FP(這樣 當(dāng)例程退出 時(shí) 就可以 而局部 從 FP的位置開始 計(jì) 算 ,除了 A7(堆 棧 指 針 SP)之外的任何地址寄存器都可以做 FP.在MotorolaBP(EBP)用于 這 在 Intel對 于局部 變 量和函數(shù)參數(shù)都可以引用 ,許 多 編譯 器使用第二個寄存器 ,由 SP加偏移量 訪問 一個 變 量需要多條指令才能 實(shí)現(xiàn) .機(jī)器上 ,要引入可 觀 的管理開 銷 .但是在某些情況下不能 .由此可以修正偏移 些偏移量就 變 了 .當(dāng)有字被 壓棧 和出 棧 后 ,局部 變 量可以用 SP加偏移量來引用 .pointer).104BNCC堆 棧 區(qū)域l 有些文章把它叫做局部基指 針 (LBlocal為 了使用方便 還 有指向 幀 內(nèi)固定 SP指向堆 棧 的最后地址 .或者指向堆 棧 之后的下一個空 閑 可用地址 .堆 棧 指 針 (SP)也是依賴 于具體 實(shí)現(xiàn) 的 .Motorola,這 是很多 計(jì) 算機(jī)的 實(shí)現(xiàn) 方式 ,們 的例子中 ,這 依 賴 于具體的 實(shí)現(xiàn) .其中包括在函數(shù) 調(diào) 用 時(shí) 指令指 針 (IP)的值 .以及恢復(fù)前一個堆 棧 堆 棧幀 包括函數(shù)的參數(shù) ,當(dāng)函數(shù)返回 時(shí)邏輯 堆棧 由 邏輯 堆 棧幀組 成 .PUSH和POP,堆 棧 的大小在運(yùn)行 時(shí)由內(nèi)核 動態(tài) 地 調(diào) 整 .一個名 為 堆棧 指 針 (SP)的寄存器指向堆 棧 的 頂 部 .102BNCC堆 棧 區(qū)域 同 樣給 函數(shù) 傳遞 參數(shù)和函數(shù)返 這 種高 級 抽象 實(shí)現(xiàn) 起來要靠堆 棧 的幫助 .當(dāng)工作完成 時(shí) ,以象跳 轉(zhuǎn) (jump)命令那 樣 改 變 程序的控制流程 ,從這 一點(diǎn)來看 ,在使用高 級語 言構(gòu)造程序 時(shí) 并將堆棧 的大小減一 .POP操作相反 ,PUSH操作在堆 棧 的 頂 部加入一 堆 棧 中定 義了一些操作 .最后一個放入堆 棧 中的物體 總 是被最先拿出來 ,100BNCC什么是堆 棧l 堆 棧 是一個在 計(jì) 算機(jī)科學(xué)中 經(jīng) 常使用的抽象數(shù)據(jù) 類 型 .一 塊更大的內(nèi)存空 間 之后再運(yùn)行 .進(jìn) 程就會被阻塞住 ,它的大小可以用系 統(tǒng)調(diào) 用 brk(2)來改 變 .數(shù) 數(shù)據(jù)區(qū)域包含了已初始化和未初始化的數(shù)據(jù) .(segmentation這 個區(qū)域通常被 標(biāo)記為只 讀 ,該 區(qū)域相當(dāng)于可 執(zhí) 行 文本區(qū)域是由程序確定的 ,區(qū)域 ,數(shù)據(jù)和堆 棧 .進(jìn) 程被分成三個區(qū)域 :我 們 必 須 首先理解一個 進(jìn) 程是以什么 組織 形式在 建議要找到規(guī)律，不要盲目預(yù)測，這需要時(shí)間和耐心。雖然作者紙上談兵，但總算讓我們了解了一下 IP欺騙攻擊，我實(shí)驗(yàn)過預(yù)測sequence不過路由器只防得了外部入侵，內(nèi)部入侵呢？TCP的 ISN選擇不是隨機(jī)的，增加也不是隨機(jī)的，這使攻擊者有規(guī)可循，可以修改與 ISN相關(guān)的代碼，選擇好的算法，使得攻擊者難以找到規(guī)律。設(shè)置路由器，過濾來自外部而信源地址卻是內(nèi)部 IP的報(bào)文。比如刪除所有的 /etc/、 $HOME/.rhosts文件，修改 /etc/l 雖然 IP欺騙攻擊有著相當(dāng)難度，但我們應(yīng)該清醒地意識到，這種攻擊非常廣泛，入侵往往由這里開始。是 513端口的 ISN和 25端口有什么關(guān)系？看來需要看看 TCP/IP內(nèi)部實(shí)現(xiàn)的源代碼。否則預(yù)測太難。如果 Z是 A與 B之間的路由器，就不用說了； number的問題。就是如何以第三方身份切斷 94BNCCIP欺騙攻擊的描述l 10.fakeip曾經(jīng)沸沸揚(yáng)揚(yáng)了一下，對之進(jìn)行端口掃描，發(fā)現(xiàn)其 tcp端口 113是接收入連接的。攻擊中連帶 B一起攻擊了，其目的無非是防止 B干擾了攻擊過程， Cache只會被 ARP包改變，不受 IP包的影響，所以可以肯定地說， IP欺騙攻擊過程中不存在 ARP沖突。如果 Z向 A發(fā)送數(shù)據(jù)段時(shí)，企圖解析 A的 MAC地址或者路由器的 MAC地址，必然會發(fā)送 ARP請求包，但這個 ARP請求包中源 IP以及源 MAC都是 Z的，自然不會引起 ARP沖突。回想我前面貼過的 ARP欺騙攻擊，如果 B的 ARP也許有人要問，為什么 Z不能直接把自己的 IP設(shè)置成 B的？這個問題很不好回答，要具體分析網(wǎng)絡(luò)拓?fù)?，?dāng)然也存在 ARP沖突、出不了網(wǎng)關(guān)等問題。 利用 IP欺騙攻擊得到一個 A上的 shell，對于許多高級入侵者，得到目標(biāo)主機(jī)的 shell，離 root權(quán)限就不遠(yuǎn)了，最容易想到的當(dāng)然是接下來進(jìn)行bufferZ之間具體的網(wǎng)絡(luò)拓?fù)溆忻芮嘘P(guān)系，在某些情況下顯然大幅度降低了攻擊難度。如果 Z不是路由器，能否考慮組合使用 ICMP重定向以及 ARP欺騙等技術(shù)？沒有仔細(xì)分析過，只是隨便猜測而已。 同時(shí)需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程序完成。90BNCCIP欺騙攻擊的描述l 考慮這種情況，入侵者控制了一臺由 A到 B之間的路由器，假設(shè) Z就是這臺路由器，那么 A回送到 B的數(shù)據(jù)段，現(xiàn)在 Z是可以看到的，顯然攻擊難度驟然下降了許多。攻擊最困難的地方在于預(yù)測A的 ISN。6.APSHZ(B)ASYN+ACKB 這樣的命令，于是攻擊完成。+仍然無法看到 A發(fā)往 B的數(shù)據(jù)段， Z必須蒙著頭按照rlogin協(xié)議標(biāo)準(zhǔn)假冒 B向 A發(fā)送類似 如果預(yù)測準(zhǔn)確，連接建立，數(shù)據(jù)傳送開始。Z暫停一小會兒，讓 A有足夠時(shí)間發(fā)送SYN+ACK，因?yàn)?Z看不到這個包。 總之，覺得作者好象在蒙我們，他自己也沒有實(shí)踐成功過吧。可是如果這樣，完全不用攻擊 B， bind的時(shí)候指定一個 B上根本不存在的端口即可。 A向 B回送 SYN+ACK數(shù)據(jù)段， B已經(jīng)無法響應(yīng) (憑什么？按照作者在 2中所說，估計(jì)還達(dá)不到這個效果，因?yàn)?Z必然要模仿 B發(fā)起connect調(diào)用， connect調(diào)用會完成全相關(guān)，自動指定本地 socket地址和端口，可事實(shí)上 B很可能并沒有這樣一個端口等待接收數(shù)據(jù)。86BNCCIP欺騙攻擊的描述l 4.ISN將比預(yù)料的多出 64000。的時(shí)間?，F(xiàn)在 Z知道了 A的 ISN基值和增加規(guī)律 (比如每秒增 time)。首先連向 25端口(SMTP是沒有安全校驗(yàn)機(jī)制的 )，與 1中類似，不過這次需要記錄 A的 ISN，以及 Z到 A的大致的 RTT(round85BNCCIP欺騙攻擊的描述l 3.}exit(0)。處理客戶方請求 *//*0)(fork()}error)。{if阻塞 accept(initsockid,newsockid)84BNCCIP欺騙攻擊的描述l forerror(listen0)5)iferror(bind0)...)ifcreateerror(can39。0)socket(...))((initsockidinitsockid,請看一個并發(fā)服務(wù)器的框架： 著名的 SYN2.動用了自以為很有成就感的技術(shù)，卻不比人家酒桌上的巧妙提問，攻擊只以成功為終極目標(biāo)，不在乎手段。我的建議就是平時(shí)注意搜集蛛絲馬跡，厚積薄發(fā)。假設(shè) Z企圖攻擊 A，而 A信任 B，所謂信任指 /etc/$HOME/.rhosts中有相關(guān)設(shè)置。AACKBASYN81BNCClBnumber設(shè)置成 A的 ISN+1。3.number設(shè)置成 B的 ISN+1。2.并將 TCP報(bào)頭中的 sequence1.Window系統(tǒng)■R服務(wù)80BNCCIP欺騙的原理 一般來說，如下的服務(wù)易受到 IP欺騙攻擊：■任何使用 Sunl ⑵ 誰容易上當(dāng)？IP欺騙技術(shù)之所以獨(dú)一無二，就在于只能實(shí)現(xiàn)對某些特定的運(yùn)行 Free　　l ⑴ 什么是 IP電子欺騙攻擊？所謂 IP欺騙，無非就是偽造他人的源 IP地址。這些網(wǎng)絡(luò)通訊都可被追蹤。因?yàn)?TFN2K的守護(hù)進(jìn)程不會對接收到的命令作任何回復(fù)， TFN2K客戶端一般會繼續(xù)向代理端主機(jī)發(fā)送命令數(shù)據(jù)包。監(jiān)視含有相同數(shù)據(jù)內(nèi)容的連續(xù)數(shù)據(jù)包（有可能混合了 TCP、UDP和 ICMP包）。面內(nèi)容是否都是 ASCII可打印字符（ 2B， 2F39， 0x410x5A，0x610x7A）。檢查 ICMP_ECHOREPLY數(shù)據(jù)包的尾部是否含有連續(xù)的 0x41。掃描系統(tǒng)內(nèi)存中的進(jìn)程列表。根據(jù)前面列出的特征字符串掃描所有可執(zhí)行文件。掃描客戶端 /守護(hù)程序的名字。對系統(tǒng)進(jìn)行補(bǔ)丁和安全配置，以防止攻擊者入侵并安裝 TFN2K。配置防火墻過濾所有可能的偽造數(shù)據(jù)包。禁止不在允許端口列表中的所有 UDP和 TCP包。如果不能禁止 ICMP協(xié)議，那就禁止主動提供或所有的ICMP_ECHOREPLY包。unreachable目標(biāo)不可到達(dá)）數(shù)據(jù)包通過。特別是對于 ICMP數(shù)據(jù)，可只允許 ICMP類◆ 但只使用應(yīng)只使用應(yīng)用代理型防火墻。最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶端或代理端。A39。添加到數(shù)據(jù)包尾部的 0x41的數(shù)量是可變的，但至少會有一個。A39。可能是程序作者為了使每一個數(shù)據(jù)包的長度變化而填充了 1到 16個零 (0x00)，經(jīng)過 Base可能是疏忽的原因，加密后的 Base來自每一個客戶端或守護(hù)進(jìn)程的所有數(shù)據(jù)包都可能被偽造。查進(jìn)程列表未必能找到 TFN2K守護(hù)進(jìn)程（及其子進(jìn)程）。這個功能使 TFN2K偽裝成代理端主機(jī)的普通正常進(jìn)程。偽造的進(jìn)程名在編譯時(shí)指定，因此每次安裝時(shí)都有可能不同。TFN2K守護(hù)進(jìn)程試圖通過修改 argv[0]內(nèi)容（或在某些平臺中修改進(jìn)程名）守護(hù)進(jìn)程為每一個攻擊產(chǎn)生子進(jìn)程。守護(hù)程序接收數(shù)據(jù)包并解密數(shù)據(jù)。64）成可打印的 ASCII字符?！?加密關(guān)鍵字在程序編所有命令都經(jīng)過了 CAST256算法（ RFC代表某個特定命令的數(shù)值，則是該命令的參數(shù)?！?72BNCCl ◆ 客戶端重復(fù)發(fā)送每一個命令 20次，并且認(rèn)為守護(hù)程與其上一代版本 TFN不同， TFN2K的守護(hù)程序是完全沉默的，它不會對接收ICMP_ECHOREPLY類型數(shù)據(jù)包。l ◆ PING對目標(biāo)的攻擊方法包括 TCP/SYN、 UDP、ICMP/PING或 BROADCAST71BNCCl 主控端通過 TCP、 UDP、 ICMP或隨機(jī)性使用其中之一的數(shù)據(jù)包向代理端主機(jī)而且主控端還能偽造其 IP地址。主控央和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，還可能混雜了許多虛假數(shù)據(jù)包。代理端據(jù)此對目標(biāo)進(jìn)行拒絕服務(wù)攻擊。TFN2K由兩部分組成：在主控端主機(jī)上的客戶端和在代理端主機(jī)上的守護(hù)進(jìn)程。當(dāng)前互聯(lián)網(wǎng)中的 UNIX、 Solaris和 Windows目標(biāo)主機(jī) —— 分布式攻擊的目標(biāo)（主機(jī)或網(wǎng)絡(luò)）。主控端 —— 運(yùn)行客戶端程序的主機(jī)。TFN2Kl 客戶端 —— 用于通過發(fā)動攻擊的應(yīng)用程序，攻擊者通過它來發(fā)送各種命令。69BNCC分布式拒絕服務(wù)（ DDoS）攻擊工具分析 　　 當(dāng)你是潛在的 DDoS攻 擊 受害者，你 發(fā)現(xiàn) 你的 計(jì)算機(jī)被攻 擊 者用做主控端和代理端 時(shí) ，你不能因 為 你的系 統(tǒng)暫時(shí) 沒有受到 損 害而掉以 輕 心，攻 擊 者已 發(fā)現(xiàn) 你系 統(tǒng) 的漏洞， 這對 你的系 統(tǒng) 是一個很大的威 脅 ?！　?比 較 好的防御措施就是和你的網(wǎng) 絡(luò)