第2章网络安全威胁选读.ppt

远程管理型木马可以提供很好的后门服务。木马的安装主要是利用系统操作者不好的使用习惯和薄弱的安全意识潜入系统, 如操作人员随意上网抓资料或太信任电子邮件送来的 文件等。目前, 大多数的特洛伊木马都可用作后门代理程序。 2 目标攻击。攻击者收集到足够的信息后, 实施攻击,进入系统。攻击者进入系统后, 如权限不够, 需要再次提升权限, 直到获取超级用户权限。权限提升主要有两种方式, 一种是口令破解或截取, 另一种方式是缓冲区溢出攻击。 3 后门安装。获得足够的权限后, 后门安装一般是较容易的。只需一条至几条命令即可。 后门隐藏包括应用级隐藏和内核级隐藏。应用级隐藏是常规的隐藏方法. 选择一个隐秘的目录存放后门程序文件,在Windows 平台, 可以选用: Autoexec. bat, Config. sys, System.ini 和Win. ini 注册表等。 @@ 修改或替换管理命令。修改或替换用于查看程序文件和进程信息的管理命令, 使后门程序和进程可以很好地隐身。如替换“ls”“find”“du”可以实现文件和目录隐藏; 替换“ps”“top”“pidof”可以实现进程隐藏; 替换Netstat, Ifconfig 可实现网络的连接状态隐藏; 替换Kill, Killall 可防止删除攻击者的进程, 替换Crontab 能隐藏攻击者的定时启动信息, 替换Tcpd, Syslogd 隐藏攻击者的连接信息等。 @@ 通信端口隐藏: ①选用不常用的通信端口, 早期的后门一般都选用确定的端口, 大多数的后门检测工具也是通过判断相应的端口来进行工作的, 因此定制端口可以避过大多数检测软件的检测; ②将后门隐藏在合法端口, 为后门数据包设定标志, 通过标志来区分会话, 同时不会影响原有端口的服务, 这种方法的优点在于无法通过端口来判断后门的类型, 也不容易通过流量分析来检测, 只能通过查找相应的标志来检测, 但标志是易变的, 因此该方法可以很好地隐藏通信端口。具有端口定制功能的后门代理程序有Ping Backdoor, WinShell 等。Executor利用80 端口传递控制信息和数据, 实现其远程控制。而Code Red II 则利用80 端口来进行传播。 利用型攻击：控制机器的攻击 * * * 本地主机发送一个带ACK标志的TCP/IP包到目的主机的80端口（分析捕到的TCP包可看到），目标主机接收到数据包后回应一个带rst标志（重置链路）数据包，若能接收到数据包，就说明主机存活，也就达到发现目标主机的目的。 注意：TCP遵循的原则：当一个RST包到达一个监听的端口或者关闭的端口，rst包会被服务器丢弃。 一个ack数据包到达一个监听的端口，服务器会丢弃这个数据包并回应一个rst数据包。 * ＡＲＰ用于局域网内的物理地址。 * 本地主机在局域网内广播ARP请求，这时局域网内所有主机都会收到这个广播，他们会检查这个ARP是不是在请求自己的MAC地址，如果是则回应一个响应报文。本地主机通过检测是否有响应报文就可以判断目标主机是否存活。 * * 1、控制台：配置相关信息 2、处理模块：通过读取用户的配置信息，监控当前扫描活动，与扫描引擎进行数据交互，将与当前扫描活动相关的漏洞信息传输给扫描引擎，并从扫描引擎获得返回的结果。 3、扫描引擎模块：将构造的数据包发送给目标主机并接收目标主机响应的数据包，提取需要的特征与漏洞库比较，进行判断。 4、 5、提供操作系统的漏洞信息，以及漏洞检测的相关指令。 * * DdoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的“消化能力”加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果 。 用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机（肉鸡）来发起进攻，以比从前更大的规模来进攻受害者。 * 针对游戏服务器的攻击 因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等，因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动