火龙果常见的网络攻击关键技术原理剖析.pptVIP

拒绝服务攻击实例 SYN flood 攻击者假造源网址送多个同步数据包（Syn Packet）给服务器，服务器因无法收到确认数据包，使TCP/IP协议的三次握手无法顺利完成，因而无法建立连接。其原理是发送大量半联结状态的服务请求，使得服务器主机无法处理正常的连接请求，因而影响正常运作。 UDP风暴 利用简单的TCP/IP服务，如用chargen和echo传送毫无用处的数据占满带宽。通过伪造与某一主机的chargen服务之间的一次UDP连接，回复地址指向开放echo服务的一台主机，生成在两台主机之间的足够多的无用数据流。 Smurf攻击 一种简单的Smurf攻击是，将回复地址设置成目标网络广播地址的ICMP应答请求数据包，使该网络的所有主机都对此ICMP应答请求做出应答，导致网络阻塞，比死亡之ping洪水的流量刚出一个或两个数量级。更加复杂的Smurf攻击将源地址改为第三方的目标网络，最终导致第三方网络阻塞。 垃圾邮件 攻击者利用邮件系统制造垃圾信息，甚至通过专门的邮件炸弹程序给受害用户的信箱发送垃圾信息，耗尽用户信箱的磁盘空间，使用户无法应用这个信箱。 消耗CPU和内存资源的拒绝服务攻击 比如“红色代码”和NIMDA病毒 Ping of death（死亡之ping） 早期路由器对包的最大尺寸都有限制，许多操作系统在实现TCP/IP堆栈时，规定ICMP包小于等于64KB，并且在对包的标题头进行读取之后，要根据该标题头中包含的信息为有效载荷生成缓冲区。当产生畸形的、尺寸超过ICMP上限的宝，即加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，使对方停机。 泪滴攻击 泪滴攻击暴露出IP数据包分解与冲组的弱点。当IP数据包在网络中传输时，被分解成许多不同的分片传送，并藉由偏移量字段（Offset Field）作为重组的依据。泪滴攻击通过加入过多或不必要的偏移字段，使计算机重组错落，产生不可预期的后果。 分布式拒绝服务攻击（DDos） 分布式拒绝服务攻击时只植入后门程序从远程遥控攻击，攻击者从多个已入侵的跳板主机控制数个代理攻击主机。攻击者可同时对已控制的代理攻击主机激活干扰命令，对受害主机大量攻击。 常用的分布拒绝攻击程序有：Trinoo，TFN，TFN2K和Stacheldraht。 第12章 常用的网络攻击关键技术 网络攻击是一系列技术的综合运用，攻击者必须掌握各种关键攻击技术，理解个各种攻击技术的局限性和限制条件，才能够在攻击的实战中灵活运用，做到攻无不克。 对防御者要了解攻击技术的内涵，才会涉及有效的安全策略，建立有效的安全机制，构造可靠的安全防御系统，做到坚不可摧。 主要内容 口令破解技术原理 网络嗅探技术原理 网络端口扫描技术原理 缓冲区溢出攻击技术原理 拒绝服务攻击技术原理 口令破解技术原理 口令机制是资源访问控制的第一道屏障。 计算机软件硬件技术的发展，使口令攻击更为有效。 CUP速度有了很大的提高 网络的普及 分段攻击算法的扩展 用户仍然喜欢选用容易记忆的口令 口令攻击的条件和技术防范 条件： 高性能的计算机 大容量的在线字典或其他字符列表 已知的加密算法 可读的口令文件 口令以较高的概率包含于攻击字典中。 口令攻击步骤： 获取口令文件 用各种不同的加密算法对字典或其他字符表中的文字加密，并将结果与口令文件进行对比 常用的口令攻击技术 暴力破解 攻击者通过穷尽口令空间获得用户口令，通常攻击者根据口令字的长度、特征、各种字符组合方式选择某个口令空间进行攻击。 猜测攻击 攻击者根据若干知识编写口令字典，然后根据该字典通过猜测获得用户的口令。 UNIX系统口令攻击 UNIX系统用户的口令保存在一个加密后的文本文件中，一般放在/etc目录下，文件名为passwd/shadow UNIX系统出于安全需要，防止普通用户读取口令文件，将passwd文件一分为二，把与用户口令相关的域提出组成另外一个文件，叫shadow，只有超级用户才能读取。 口令文件中每行代表一个用户条目： Logname:passwd:uid:gid:userinfo:home:shell 例如root的条目Root:xydefctrti1.m.y2:0:0:admin:/:/bin/sh UNIX系统中，口令文件作了shadow变换，在破解的时候，需要做Unshadow变换，将passwd和shadow文件合二为一。 UNIX口令加密算法采用多重DES，理论上破解难度非常大。 UNIX口令加密原理 UNIX系统使用函数crypt加密用户的口令，当用户登录时，系统并不是去解密已经加密的口令，而是将输入的口令明文字符串传给加密函数，将加密函数的输出与/etc/passwd文件中该用户条目的passwd域进行比较，若成功则允许登陆 Cr