《通信网络安全与防护》课件4-2.ppt

1、网络攻击的基本流程？如何防范社会工程学攻击？如何防范口令破解？知 识 回 顾知 识 回 顾利用ICMP协议进行扫描时,以下哪一项是可以扫描的目标主机信息?A.漏洞；B.弱口令；C.操作系统版本；D.IP地址；以下哪些是社会工程学攻击?A.网络钓鱼；B.伪造电子邮件；C.打电话请求密码；D.破解口令；Morris 蠕虫事件红色代码病毒（RedCode）冲击波病毒（Blaster）震荡波病毒（Sasser）一直流行的一种攻击技术就是缓冲区溢出攻击。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。fingerd Daemon IISRPCLSASS4.3 利用型攻击 心脏出血（心血漏

2、洞，20140160），非溢出但也是由于缺少边界检查引起。int x,y;char buffer16;数据段堆栈存放程序的二进制码存放程序的二进制码只读只读存放程序的静态数据存放程序的静态数据存放临时变量、函数返存放临时变量、函数返回指针等动态数据回指针等动态数据代码段HardDiskExe or Dll File程序在内存中的位置缓冲区概念示例缓冲区概念示例4.3 利用型攻击缓冲区缓冲区，就是程序运行期间，在内存中分配的一个连续的区域，用于保存包括字符数组在内的各种数据类型；溢出溢出，就是指所填充的数据超出了原有缓冲区的边界，并且非法占据了另一段内存区域。缓冲区溢出攻击缓冲区溢出攻击指的是一

3、种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令程序转而执行其它指令，以达到攻击的目的。1.缓冲区缓冲区溢出攻击的基本概念溢出攻击的基本概念4.3 利用型攻击Example 1.Example 1.Void function(char Void function(char*str)str)char buffer16;char buffer16;strcpy(buffer,str);strcpy(buffer,str);2.缓冲区缓冲区溢出漏洞存在的原因溢出漏洞存在的原因4.3 利用型攻击Example 1.Example 1.

4、Void main()Void main()Char large_string256;Char large_string256;int i;int i;for(i=0;i255;i+)for(i=0;i255;i+)large_stringi=large_stringi=A A;function(large_string);function(large_string);Void function(char Void function(char*str)str)char buffer16;char buffer16;strcpy(buffer,str);strcpy(buffer,str);4.

5、3 利用型攻击 存在strcpy()这样的问题的标准函数还有 strcat()、sprintf()、vsprintf()、gets()、scanf()以及在循环内的getc()，fgetc()，getchar()等。程序员编程时，调用或编写类似strcpy这样的函数时，未限定或检查参数的大小，这就是缓冲区溢出漏洞存在的原因。而且这种漏洞是普遍存在的。4.3 利用型攻击Example 1.Example 1.Void main()Void main()Char large_string256;Char large_string256;int i;int i;for(i=0;i255;i+)for

6、(i=0;icopy/b test.doc+tro.exe new.docExeScope4.3 利用型攻击木马的主动攻击传播控制远程系统计划任务注册表获得上传文件权限上传木马程序传播机制4.3 利用型攻击 开始菜单的启动项。在Winstart.bat中启动。在Autoexec.bat和Config.sys中加载运行。win.ini/system.ini：部分木马采用，不太隐蔽。注册表：隐蔽性强，多数木马采用。注册服务：隐蔽性强，多数木马采用。修改文件关联：只见于国产木马。启动机制4.3 利用型攻击？木马种植者（牧马人）如何回收木马为他带来的利益呢4.3 利用型攻击Web服务器服务器172.1

7、0.2.2Ftp服务器服务器202.8.5.2Host of Friend166.120.5.218Your Host210.27.65.18IE浏览器浏览器迅雷迅雷QQ网络通信原理4.3 利用型攻击 端口（Port）:运输层服务访问点SAP，标识应用进程 监听端口：标识守护进程 连接端口：标识用户应用进程 Socket（套接字、插口）源IP地址:源端口目的IP地址:目的端口如何建立起连接呢？打电话10000，总会联通，为什么？提供服务的一方要有人始终处于被动监听状态。基本术语4.3 利用型攻击Web服务器服务器172.10.2.2Ftp服务器服务器202.8.5.2Host of Frien

8、d166.120.5.218Your Host210.27.65.1880号端口号端口www守护进程守护进程21号端口号端口ftp守护进程守护进程4.3 利用型攻击(1)正向连接 传统木马(2)反向连接 反弹式木马(3)无连接 特殊功能木马，SpyWare木马连接机制4.3 利用型攻击木马连接机制？(1)正向连接木马服务端程序打开一个特定监听端口，作为守护进程等待连接。攻击者扫描整个或特定网络；找到打开特定端口的主机；通过木马控制端与木马服务端建立连接，远程控制；4.3 利用型攻击连接请求连接请求木马连接机制拒绝连接拒绝连接httphttp连接请求连接请求防火墙对自己主动向外防火墙对自己主动向

9、外的连接防范不严的连接防范不严正向连接面对防火墙无能为力正向连接面对防火墙无能为力4.3 利用型攻击？(2)反向连接木马连接机制木马控制端程序打开一个特定监听端口，作为守护进程等待受害者连接。将控制端地址、端口信息写入服务端；通过在第三方网站上存储一个配置文件实现；4.3 利用型攻击？(3)(3)无连接无连接木马连接机制木马服务端程序将搜索到的敏感文件、口令等发送到指定邮箱或上载到指定服务器。攻击者从相应位置将信息取回。4.3 利用型攻击远程控制远程控制木马功能机制口令窃取口令窃取文件发送文件发送特定功能特定功能正向连接：冰河正向连接：冰河反向连接：灰鸽子反向连接：灰鸽子工作已经工作已经预置在程预置在程序中，不序中，不需要控制需要控制功能在交功能在交互式操作互式操作中实现中实现通过Email、ftp、MSN、ICQ等发送:如试卷大盗:如“僵尸”Bots4.3 利用型攻击如何防范缓冲区溢出攻击？如何防范木马攻击？课下了解并研讨：