(4)以SYN FlooD攻击为例,分析分布式拒绝服务攻击运行的原理是什么?
1) 攻击运行原理
如图所示,一个比较完善的DDoS 攻击体系分成4 大部分,最重要的第2 和第3 部分,它们分别用做控制和实际发起攻击;对第4 部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。
2) DDoS 攻击实例——目前最流行的DDoS 攻击手段SYN Flood 攻击
1) Syn Flood 原理与三次握手
Syn Flood 利用了TCP/IP协议的固有漏洞。面向连接的TCP 三次握手是Syn Flood 存在的基础。TCP 连接的三次握手过程,如图所示。
TCP三次握手过程中,在第一步,客户端向服务端提出连接请求。服务端收到该TCP 分段后,在第二步以自己的ISN 回应(SYN 标志置位),同时确认收到客户端的第一个TCP 分段(ACK 标志置位)。在第三步中,客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP 连接,开始全双工模式的数据传输过程。
2) Syn Flood 攻击者不会完成三次握手。如图所示。
(5)密码攻防与探测破解的常用工具有哪些?具体的方法是什么?
(1) Windows NT 密码破解程序
1) L0phtcrack
L0phtcrack 是一个Windows NT 密码审计工具,能根据操作系统中存储的加密哈希计算Windows NT密码,功能非常强大而丰富,是目前最好的Windows NT 密码破解程序之一。
L0phtcrack有3 种方式可以破解密码:词典攻击、组合攻击、强行攻击。
2) NTSweep
【案例4-12】NTSweep 使用的方法和其他密码破解程序不同,它不是下载密码并离线破解,而是利用了Microsoft 允许用户改变密码的机制。它首先取定一个单词,然后使用这个单词作为账号的原始密码,并试图把用户的密码改为同一个单词。因为成功地把密码改成原来的值,用户永远不会知道密码曾经被人修改过。如果主域控制机器返回失败信息,就可知道这不是原来的密码。反之如果返回成功信息,就说明这一定是账号的密码。
3) PWDump
PWDump 不是一个密码破解程序,但是它能用来从SAM 数据库中提取密码(Hash)。目前很多情况下L0phtcrack的版本不能提取密码(Hash)。
如SYSkey是一个能在Windows Vista下运行的程序,为SAM 数据库提供了很强的加密功能,如果SYSkey 在使用,L0phtcrack就无法提取哈希密码,但是PWDump还能使用;而且要在Windows Vista下提取密码(Hash),
必须使用PWDump,因为系统使用了更强的加密模式来保护信息。
(2) UNIX 密码破解程序
1) Crack
Crack 是一个旨在快速定位UNIX 密码弱点的密码破解程序。Crack 使用标准的猜测技术确定密码。它检查密码是否为如下情况之一:和user id相同、单词password、数字串、字母串。Crack 通过加密一长串可能的密码,并把结果和用户的加密密码相比较,看其是否匹配。用户的加密密码必须是在运行破解程序之前就已经提供的。
2) John the Ripper
该程序是UNIX密码破解程序,但也能在Windows 平台运行,功能强大、运行速度快,可进行字典攻击和强行攻击。
3) XIT
XIT 是一个执行词典攻击的UNIX 密码破解程序。XIT 的功能有限,因为它只能运行词典攻击,但程序很小、运行很快。
4) Slurpie
Slurpie 能执行词典攻击和定制的强行攻击,要规定所需要使用的字符数目和字符类型。和John、Crack 相比,Slurpie 的最大优点是它能分布运行,Slurpie 能把几台计算机组成一台分布式虚拟机器在很短的时间里完成破解任务。
(6)入侵检测系统的主要功能有哪些?其特点是什么?
入侵检测系统主要功能包括6个方面:
(1) 监视、分析用户及系统活动;
(2) 系统构造和弱点的审计;
(3) 识别反映已知进攻的活动模式并向相关人员报警;
(4) 异常行为模式的统计分析;
(5) 评估重要系统和数据文件的完整性;
(6) 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
入侵检测系统的特点:
入侵检测技术是动态安全技术的最核心技术之一,通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应,是对防火墙技术的合理补充。
IDS帮助系统防范网络攻击,扩展了系统管理员的安全管理功能,提高了信息安全基础结构的完整性。
入侵检测被认为是防火墙之后的第二道安全闸门,提供对内部攻击、外部攻击和误操作的实时保护。
入侵检测和安全防护有根本性的区别:安全防护和黑客的关系是“防护在明,黑客在暗”,入侵检测和黑客的关系则是“黑客在明,检测在暗”。安全防护主要修补系统和网络的缺陷,增加系统的安全性能,从而消除攻击和入侵的条件;入侵检测并不是根据网络和系统的缺陷,而是根据入侵事件的特征一般与系统缺陷有逻辑关系,对入侵事件的特征进行检测,所以入侵检测系统是黑客的克星。
(7)简述网络安全防范攻击的基本措施有哪些?
1. 提高防范意识
2. 设置安全口令
3. 实施存取控制
4. 加密及认证
5. 定期分析系统日志
6. 完善服务器系统安全性能
7. 进行动态站点监控
8. 安全管理检测
9. 做好数据备份
10. 使用防火墙和防毒软件
(8)简述端口扫描的原理。
最简单的端口扫描程序仅仅是检查目标主机在哪些端口可以建立TCP 连接,如果可以建立连接,则说明主机在那个端口被监听。
对于非法入侵者而言,要想知道端口上具体提供的服务,必须用相应的协议来验证才能确定,因为一个服务进程总是为了完成某种具体的工作而设计的。
(9)从网络安全角度分析为什么在实际应用中要开放尽量少的端口?
网络端口为一组16位号码,其范围为0~65535,服务器在预设得端口等待客户端的连接。如WWW服务使用TCP的80号端口、FTP端口21、Telnet端口23。一般各种网络服务和管理都是通过端口进行的,同时也为黑客提供了一个隐蔽的入侵通道。对目标计算机进行端口扫描能得到许多有用的信息。通过端口扫描,可以得到许多需要的信息,往往成为黑客发现获得主机信息的一种最佳途径, 所以从网络安全角度在实际应用中要开放尽量少的端口。
(10)在实际应用中应怎样防范口令破译?
通常保持密码安全的要点:
(1) 要将密码写下来,以免遗失;
(2) 不要将密码保存在电脑文件中;
(3) 不要选取显而易见的信息做密码;
(4) 不要让他人知道;
(5) 不要在不同系统中使用同一密码;
(6) 在输入密码时应确认身边无人或其他人在1米线外看不到输入密码的地方;
(7) 定期改变密码,至少2—5 个月改变一次。
(11)简述出现DDoS 时可能发生的现象。
被攻击主机上出现大量等待的TCP 连接,网络中充斥着大量的无用数据包,源地址为假的,制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯,利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求,严重时会造成系统死机。
(12)简述电子邮件炸弹的原理及防范技术。
原理:是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪。
防范技术:其防范方法与防范其他密码破解、拒收垃圾邮件和防范病毒方法类似。
(13)简述缓冲区溢出攻击的原理及其危害
1. 缓冲区溢出的原理
缓冲区溢出攻击是指通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。造成缓冲区溢出的原因是没有仔细检查程序中用户输入的参数。
最常见的缓冲区溢出攻击手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell 执行其他命令。
2.危害
如果该程序属于root 且有suid 权限,攻击者就获得了一个有root 权限的shell,可以对系统进行任意操作。
(14)在实际工作中,人们应从哪些方面来防范黑客入侵?
1. 提高防范意识
2. 设置安全口令
3. 实施存取控制
4. 加密及认证
5. 定期分析系统日志
6. 完善服务器系统安全性能
7. 进行动态站点监控
8. 安全管理检测
9. 做好数据备份
10. 使用防火墙和防毒软件
(15)举例说明特洛伊木马攻击的危害以及清除办法。
危害: 特洛伊木马隐藏在正常程序中破坏和删除文件、修改密码、记录键盘和进行Dos攻击等。
通过木马程序对服务端进行远程控制,控制端口可以享有的控制权限: 窃取密码、文件操作、修改注册表和系统操作,具体为:
1) 窃取密码:一切以明文的形式,*形式或缓存在CACHE 中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵,密码将很容易被窃取。
2) 文件操作:控制端可藉由远程控制对服务端上的文件进行删除、新建、修改、上传、下载、运行、更改属性等一系列操作,基本涵盖了Windows平台上所有的文件操作功能。
3) 修改注册表:控制端可任意修改服务端注册表,包括删除、新建或修改主键、子键及键值。有了这项功能,控制端就可以禁止服务端软驱及光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽一些。
4) 系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标、键盘、监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息。
2. 清除办法
(1) 网络公牛(Netbull)
【案例4-13】网络公牛是国产木马,默认连接端口23444。运行服务端程序newserver.exe 后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机,checkdll.exe将自动运行,因此很隐蔽、危害也很大。同时,服务端运行后会自动捆绑以下文件。
Windows Vista下:notepad.exe,regedit.exe,reged32.exe,drwtsn32.exe,winmine.exe。服务端运行后还会捆绑在开机时自动运行的第三方软件(如realplay.exe、QQ、ICQ 等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
这样做也有个缺点:容易暴露自己。只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
常见的清除方法如下:
1) 删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
2) 把网络公牛在注册表中所建立的键值全部删除。
3) 检查上面列出的文件,如果发现文件长度发生变化(大约增加了40KB 左右,可以通过与其他机器上的正常文件比较而知),就删除它们。
然后单击:开始→附件→系统工具→系统信息→工具→系统文件检查器,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面删除的文件),单击“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如(realplay.exe、QQ 及ICQ 等)被捆绑上了,那就得把这些文件删除,再重新安装。
(2) SubSeven
SubSeven的功能比BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5KB,很容易被捆绑到其他软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。
SubSeven 服务端程序被执行后,变化多端,每次启动的进程名都会发生变化,因此很难查出。
常用的清除方法如下。
1) 打开注册表Regedit,点击至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 和RunService 下,如果有加载文件,就删除右边的项目:加载器=“:\windows\system\***”。
注:加载器和文件名是随意改变的。
2) 打开win.ini 文件,检查“run=”后有没有加上某个可执行文件名,如有则删除。
3) 打开system.ini 文件,检查“shell=explorer.exe”后有没有跟某个文件,如有则将它删除。
4) 重新启动Windows,删除相对应的木马程序,一般在C:\WINDOWS\SYSTEM 下。
(3) 冰河
【案例4-14】掌握了如何清除标准版,再来对付变种冰河就很容易。
冰河的服务器端程序为 G-server.exe,客户端程序为 G-client.exe,默认连接端口为7626。一旦运行G-server,该程序就会在C:\WINDOWS\SYSTEM 目录下生成Kernel32.exe 和sy***plr.exe,并删除自身。
Kernel32.exe 在系统启动时自动加载运行,sy***plr.exe和TXT文件关联。即使删除了Kernel32.exe,只要打开TXT 文件,sy***plr.exe 也会被激活,它将再次生成Kernel32.exe。
常见的清除方法如下。
1) 删除C:\Windows\system 下的Kernel32.exe 和Sy***plr.exe文件。
2) 冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion \Run 下扎根,键值为C:\windows\system\Kernel32.exe,删除它。
3) 在注册表的HKEY_LOCAL_ 。
MACHINE\software\microsoft\windows\CurrentVersion\Runservices下,还有键值为C:\windows\system\Kernel32.exe的,也要删除。
4) 最后,修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的C:\windows\system\Sy***plr.exe %1 改为正常的C:\windows\notepad.exe %1,即可恢复TXT 文件关联功能。
(4) 网络神偷(Nethief)
【案例4-15】网络神偷是个反弹端口型木马。与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,为了隐蔽起见,客户端的监听端口一般设在80,这样即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP 地址:80 ESTABLISHED”的情况,稍微疏忽一点就会以为是自己在浏览网页。清除方法如下。
1) 网络神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run 下建立键值“internet”,其值为“internet.exe /s”,将键值删除。
2) 删除其自启动程序C:\WINDOWS\SYSTEM\internet.exe。网络神偷的使用方法在本章的实验部分有详细说明。
(5)广外女生
“广外女生”是一种新出现的远程监控工具,破坏性很大,可以远程上传、下载、删除文件,也可以修改注册表等。集聚危险性还在于“广外女生”服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“天网”等防火墙,如果发现防火墙就终止该进程,使安装的防火墙完全失去控制。
具体清除方法包括:
1) 启动到纯DOS 模式下,找到System 目录下的DIAGFG.EXE,删除它。
2) 找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。
3) 回到Windows模式下,运行Windows目录下的Regedit.com 程序(刚才改名的文件)。
4) 找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1" %*。
5) 删除注册表中名称为“Diagnostic Configuration”的键值。
6) 关掉注册表编辑器,回到Windows 目录,将“Regedit.com”改回“Regedit.exe”。
要注意在Windows 下直接删除msgsvc.exe 是删不掉的,此时可以用进程管理工具终止它的进程,然后再删除它,或者在DOS 下删除msgsvc.exe。
如果服务端已经与可执行文件捆绑一起,只能在对可执行文件做好备份以后,一并删除可执行文件。
