网络与信息安全 教程第八讲 网络威胁与攻击分析主讲 段云所 副教授北京大学计算机系
doyes@pku.edu.cn
认识黑客 Hacker)
Hacker起源
Hack,(1) cut roughly or clumsily,chop(砍 辟
(2) horse may be hired
(3) person paid to do hard and uninteresting work
as a writer
引伸义 干了一件漂亮的事
Hacker,也指恶作剧
Hacker differs from Cracker
黑客守则
1) 不恶意破坏系统
2) 不修改系统文档
3) 不在bbs上谈论入侵事项
4) 不把要侵入的站点告诉不信任的朋友
5) 在post文章时不用真名
6) 入侵时不随意离开用户主机
7) 不入侵政府机关系统
8) 不在电话中谈入侵事项
9) 将笔记保管好
10) 要成功就要实践
11) 不删除或涂改已入侵主机的帐号
12) 不与朋友分享已破解的帐号网络攻 点-> ->攻
点 信
SNMP
TraceRoute
Whois
DNS
Finger
Ping实用
网络攻 点-> ->攻

用 用 SATAN

帐户
¢£信任关系?¥攻
§currency1'

网络攻,?
攻 的fifl – ·将?的网络攻 分”?…‰

` 攻 也′ˉ攻
用‰攻
信 ‰攻
˙¨ 攻

或?§?文件系统认
ˇ— 入系统
…‰
用户名
用户名
用 文
5 的?
认?
`攻
` 攻 机功?或fi? a
实o的攻? 主要
ping ping of death
teardrop
UDP UDP flood
SYN SYN flood
Land攻
Smurf攻
Fraggle攻
电? 件?
¨ 攻
`攻
ping ping of death
“? 在 中 操作系统对网络数据 的最?尺寸有限 对TCP/IP栈的实£在ICMP 上规定?64KB 在读§ 的报头后 要根据该报头里 含的信?有效载荷 成缓冲区当¢送ping请求的数据 声称 己的尺寸超 ICMP上限 也就?
加载的尺寸超 64K上限时 就会 ping请求接?出£内存分配错误 导致TCP/IP堆栈 a 致 接受?当机防御 £在所有的标准TCP/IP实£都已实£对付超?尺寸的
并且? 数防火墙?够 动 滤这些攻 ˇwindows98之后的windows,NT(service pack 3之后) linux Solaris 和Mac OS都
有抵抗一般ping of death攻 的?力 此外 对防火墙 配置
断ICMP? 任何未知 都将防 此…攻
`攻
teardrop
“攻?用那些在TCP/IP堆栈实£中信任IP碎片中的 的标题头所 含的信 实£攻
IP分?含有指示该分?所 含的?原 的哪一?的信
某些TCP/IP service pack 4?前的NT 在 到含有重叠偏移的伪造分?时将 a
防御 应用最新的 或者在 置防火墙时对分? 重 —不? ¢
`攻
UDP UDP flood
“用 的TCP/IP? 数据
Chargen和Echo 送 用的 的数据
伪造与某一主机的Chargen 之 的一 UDP
接 指?Echo 的一 主机 这
就 成在 主机之 的 够 的 用数据
的数据 就会导致
防御 关 不 要的TCP/IP 或者对防火墙 配置 断 Internet的请求这些 的UDP请求
`攻
SYN SYN flood
“? 一些TCP/IP栈的实£? ˇ有限数
的 机¢ 的ACK¨? 有有限的内存缓冲区用? 接 ¢这一缓冲区£ 了?˙
接的¥?信 该 就会对接? 的 接§
currency1应 '到缓冲区里的 接“?超时 在一些?
接不受限 的实£里 SYN 有…?的?currency1
防御 在防火墙上 滤 fi一主机的后fl
接 SYN – · 的主机并不?
求currency1应 所ˇ一” 的?中…‰出
`攻
Land攻
“? 在Land攻 中 将一?SYN 的原 和
标 都 置成fi一 导致接受
己的 ¢送SYN-ACK¨?¢这? ¢
ACK¨ 并? 一?` 接 ′一?这 的 接都将保
'到超时 对Land攻?应不fi UNIX实£将
a NT则?ˉ–缓˙¨fl 分?
防御?最新的? 或者在防火墙 配置将那些在外 接 上入站的含有内 源 滤
10? 127? 192.168? 172.16到172.31?
`攻
Smurf攻
“? 的smurf攻 用将 置成受ˇ网络的—
的ICMP应 请求 ping 数据 受ˇ主机的?
最 导致该网络的所有主机都对此ICMP应 请求作出 导致网络
ping of death 的?一或?数 的Smurf
将源 改的受ˇ者 最 导致?
防御?了防 黑客?用 的网络攻 关 外 或防火墙的— currency1fi?防 攻 在防火墙上 置规则 a
ICMP
Fraggle攻
“? Fraggle攻 对Smurf攻 作了 的修改 用的?
UDP应 ¨ — ICMP
防御 在防火墙上 滤 UDP应 ¨
`攻
电? 件?
“? 电? 件最 的?名攻 之一 置一 机 不断的? 的 fi一 ¢
送电? 件 攻 者?够 接受者网络的
防御 对 件 配置 动删除
fi一主机的 或重 的¨
¨ 攻
“…操作系统上的 都存在此
…?题? 这些 在o 信 之前 有
当 的错误? 在 到? 的信 ·?会 a
防御?最新的?
用‰攻
用‰攻?一…?'接对主机
的攻 最的有

currency1?
缓冲区?出
用‰攻

“? 黑客识‰了一 主机—且¢£了
NetBIOS Telnet或NFS这 的 的·
用的用户帐号 成功的对机 的?
防御 要?用 的?
和标点 号的 保 NFS NetBIOS
和Telnet这 ·?用的 不 露在公共场
¢该 支¨锁定策略 就 锁定
用‰攻
currency1?
“? currency1一 或?'接?一?黑客或? 一?不? 起疑的用户秘密 到 标系统的 一旦 成功并§?管 员'限
此 的 就·?'接? 标系统最有效的一 ′做后门 恶意
NetBus BackOrifice和BO2k,用? 系统的良
fi netcat VNC pcAnywhere 想的后门 透明透明运
防御 避免?载·疑 并 `执 用网络
软件定?监视内 主机上的监听TCP
用‰攻
缓冲区?出
“? ¢ 员 用象strcpy(),strcat()…
时不 有效位检查函数 最 ·?导致恶意用户编写?用 一步?开?豁 然后将该代码缀在缓冲区有效载荷末尾 这 当¢ 缓冲区?出时 返 指针指 恶意代码 这 系统的? '就会 夺§
防御?用SafeLib tripwire这 的 保护系统 或浏?最新的?公告不断 新操作系统
用‰攻
缓冲区?出例?
Void sub(char *str)
{
char char bufbu [16];
strcpy(buf,str)
}
Void main()
{
char large_str[256]
int int i;i;
for(i=0;i<255;i++)
large_str[i]=‘A’;
sub(large_str)
}
堆栈?构
16 4 4 4
[buf] [ebp] [ret] [large_str]
信 ‰攻
信 ‰攻 并不对 标 身造成
ˇ 顾名思义 这…攻 用? 一步入侵?有用的信 主要
技术
体系?构刺探
用信
信 ‰攻
技术
“? 运用ping这 的 探 标 对此作出currency1应的表示–存在防御 在防火墙上 滤 ICMP应 ¨

“ 用一些软件?范围的主机 接一系列的TCP端 软件报告 成功的 了 接的主机所开的端
防御 防火墙?检 到 并 动 断
,?
信 ‰攻
映射
“? 黑客 主机¢送?˙¨ 然后根据返,host
unreachable”这一¨ currency1征判断出哪些主机?存在的 前
的 活动”易 防火墙 到 黑客 — 用不会触¢防火墙规则的¨ …‰ 这些…‰
RESET¨ SYN-ACK¨ DNScurrency1应
防御 NAT和代? 动抵御此…攻
也·?在防火墙上 滤“host unreachable”ICMP应

“ 一般 的实£? 监视某?时
帧里一 currency1定主机¢起的 接的数 例 ′秒10
ˉ定在 这 黑客·? 用 速?一些的 软件
防御 引诱 对?速
信 ‰攻
体系?构探
“? 黑客 用 有已知currency1应…‰的数据库的
动 对 标主机的 对坏数据
送所作出的currency1应 检查? ′ 操作系统都有–独currency1的currency1应 例NT和Solaris的
TCP/IP堆栈 体实£有所不fi 将此独
currency1的currency1应与数据库中的已知currency1应 对 黑客经够 定出 标主机所运 的操作系统防御 去 或修改? Banner 操作系统和? 应用 的 断用 识‰的端 ˇ
—扰乱对?的攻 划信 ‰攻
用信
DNS? 换
“? DNS 不对 换或信 fi的 新 身份认? 这?该
一些不fi的? 加用 此黑客 需实o一? 换操作就到所有主机的名称? 内 IP
防御 在防火墙o 滤? 换请求
Finger
“? 黑客 用finger命? 刺探一 finger§关 该系统的用户的信
防御 关 finger 并记录尝 接该 的对?IP 或者在防火墙上 滤
LDAP
“? 黑客 用LDAP 窥探网络内 的系统和 的用户的信
防御 对 刺探内 网络的LDAP 断并记录 ¢在公共机
上?LDAP 那么应把LDAP 入DMZ
˙¨ 攻
用 攻 标配置不 的¨
主要
DNS?速缓存污染
伪造电? 件
˙¨ 攻
DNS?速缓存污染
“ DNS 相互交换信 的时候并不
身份 这就?黑客·? 用错误信 将用户引
定主机防御 在防火墙上 滤入站的DNS 新 外 DNS
不应? 改内 对内 机 的认识
伪造电? 件
“ SMTP并不对 件的¢送者的身份 …定
此黑客·?对内 客户伪造电? 件 声称? 某
客户认识并相信的 并 上· 的currency1?
或者?一?引 恶意网站的 接防御 用PGP? 并 电? 件?
作?
1 ‰的攻 分步?步 主要
成 么 作
2 ` 攻? 何导致的 明SYN-
Flooding攻 导致 ` 的原
3 用伪代码 或c 编 一? 缓冲
出导致返 错误的攻 要求执 成功后在主? 端 示“Buffer Overflow Success!”