攻击 信息系统安全理论与技术（第2版）课件.pptVIP

攻击 网络攻击(踩点-扫描-攻击)踩点(信息收集) SNMP协议 TraceRoute程序 Whois协议 DNS服务器 Finger协议 Ping实用程序 扫描(漏洞侦测) 使用自制工具 使用专用工具SATAN等 攻击 建立帐户 安装远程控制器 发现信任关系全面攻击 获取特权 缓冲溢出攻击(buffer overflow) 普遍、非常危险的漏洞，在各种操作系统和应用程序中都可能存在。 基本原理是向一个有限空间的缓冲区复制超长的字符串，而程序本身却不能进行有效的检验据统计，通过缓冲溢出进行的攻击所有系统攻击总数的80%以上。 造成缓冲区溢出的根本原因是程序中没有仔细检查用户或程序接口的输入参数。 缓冲溢出攻击(buffer overflow) 任何一个程序通常都包括代码段和数据段，这些代码和数据本身都是静态的。 程序要想运行，光有代码段和数据段是不够的，进程在运行过程中还要有其动态环境，其中最重要的就是堆栈。 也就是要由操作系统负责为其创建进程，从逻辑上讲进程的堆栈是由多个堆栈帧构成的，其中每个堆栈帧都对应一个函数调用。 当函数调用发生时，新的堆栈帧被压入堆栈；当函数返回时，相应的堆栈帧从堆栈中弹出。 函数Function的堆栈帧 int function(int a, int b, int c) { char buffer[14]; int sum; sum = a + b + c; return sum; } void main() { int i; i = function(1,2,3); } 缓冲溢出攻击(buffer overflow) 向堆栈中分配的局部数据块中写入超出其实际分配大小的数据，导致数据越界，结果覆盖了其它的堆栈数据。 C语言中许多字符串处理函数如：Strcpy、Strcat、Gets、Sprintf等都没有对数组越界加以监视和限制，所以利用字符数组写越界，覆盖堆栈中原先元素的值，就可以修改返回地址。通常，往缓冲区随便填充所造成的溢出，将使返回地址为一个非法的、不存在的地址，从而出现错误，不能达到攻击目的。 缓冲溢出攻击(buffer overflow) 通过修改保存在堆栈帧中的函数的返回地址，我们改变了程序正常的控制流。 如果函数的返回地址被修改为指向一段精心安排好的恶意代码，从而达到危害系统安全的目的。 静态缓冲区溢出的简单应用 void foo(const char* input) { char buf[10]; printf(“my stack looks like:\n%p\n%p\n%p\n%p\n%p\n%p\n\n”);//打印堆栈的值 strcpy(buf,input); printf(“%s\n”,buf);//接受输入并拷贝到缓冲区 printf(now my stack looks like:\n%p\n%p\n%p\n%p\n%p\n%p\n\n); } void bar() { printf(Augh!Ive been hacked\n); } int main(int argc,char*argv[]) { printf(“address of foo=%p\n”,foo); //打印函数的地址 printf(address of foo=%p\n,bar); foo(argv[1]); return 0; } 扫描器 扫描器是一种自动检测远程或本地系统安全性弱点（漏洞）的程序。发现主机或网络的能力、识别目标系统上正在运行的TCP和UDP服务，识别操作系统类型和版本、发现漏洞。 地址扫描 端口扫描 反向扫描 慢速扫描 地址扫描 运用ping这样的程序探测目标地址对此作出响应的表示其存在 在防火墙上过滤掉ICMP应答消息 端口扫描 通常使用一些软件向大范围的主机连接一系列的TCP端口扫描软件报告它成功的建立了连接的主机所开的端口 许多防火墙能检测到是否被扫描并自动阻断扫描企图 反向映射 黑客向主机发送虚假消息然后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的 目前由于正常的扫描活动容易被防火墙侦测到 黑客转而使用不会触发防火墙规则的常见消息类型这些类型包括RESET消息SYN-ACK消息DNS响应包 NAT和非路由代理服务器能自动抵御此类攻击也可以在防火墙上过滤“host unreachable”ICMP应答 慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间帧里一台特定主机发起的连接的数目例如每秒10次来决