1、8/21/2023黑客攻击与防范18/21/2023黑客攻击与防范2主要内容:主要内容:第第9 9章章 防火墙防火墙u9.1 9.1 防火墙概述防火墙概述u9.2 9.2 防火墙的识别防火墙的识别u9.3 9.3 穿透防火墙扫描穿透防火墙扫描u9.4 9.4 数据包过滤数据包过滤u9.5 9.5 应用代理的弱点应用代理的弱点 第第1010章章 拒绝服务攻击拒绝服务攻击u10.1 常见的常见的DoS攻击技术攻击技术u10.2 针对针对DoS攻击的防范措施攻击的防范措施8/21/2023黑客攻击与防范38/21/2023黑客攻击与防范4l把把Web服务器(或任何其它用于此目的的计算机),置于因服务
2、器(或任何其它用于此目的的计算机),置于因特网上而不部署防火墙无异于自杀。同样,把防火墙的管理职责特网上而不部署防火墙无异于自杀。同样,把防火墙的管理职责扔给网络管理员(更坏的情况是系统管理员)的常见决策也相当扔给网络管理员(更坏的情况是系统管理员)的常见决策也相当于自杀。网络管理员也许明白防火墙的技术内涵,不过他们很少于自杀。网络管理员也许明白防火墙的技术内涵,不过他们很少亲历安全活动,并不了解黑客(至少在把本书读过几遍之前是这亲历安全活动,并不了解黑客(至少在把本书读过几遍之前是这样)。其后果是防火墙有可能因为配置有误而漏洞百出,使攻击样)。其后果是防火墙有可能因为配置有误而漏洞百出,使攻
3、击者能破门而入进入到网络中,造成严重的后果。防火墙成为信息者能破门而入进入到网络中,造成严重的后果。防火墙成为信息高速公路上不可缺少的隔离墩。高速公路上不可缺少的隔离墩。8/21/2023黑客攻击与防范5l当前市场上主要有两类防火墙当前市场上主要有两类防火墙:应用代理(应用代理(application proxy)和)和数据包过滤网关(数据包过滤网关(packet filtering gateway)(或二者的某种混合产)(或二者的某种混合产物)。尽管应用代理一般认为比数据包过滤网关安全,他们的限制特性物)。尽管应用代理一般认为比数据包过滤网关安全,他们的限制特性和对性能的影响却使它们的适用场
4、合局限于从公司内部向外的数据包流和对性能的影响却使它们的适用场合局限于从公司内部向外的数据包流动,而不是从流入本公司的动,而不是从流入本公司的Web服务器的数据包(或服务器的数据包(或DMZ)。相反,数)。相反,数据包过滤网关或者更为先进的有状态数据包过滤网关则能在许多具有高据包过滤网关或者更为先进的有状态数据包过滤网关则能在许多具有高性能要求的较大机构中找到。性能要求的较大机构中找到。l防火墙保护着无数的网络躲过窥探的眼睛和邪恶的破坏者,市场上防火墙保护着无数的网络躲过窥探的眼睛和邪恶的破坏者,市场上每个防火墙产品几乎每年都有安全脆弱点被发现。如果不犯错误,从设每个防火墙产品几乎每年都有安全
5、脆弱点被发现。如果不犯错误,从设计到配置再到维护都做得很好的防火墙差不多是无机可乘的。计到配置再到维护都做得很好的防火墙差不多是无机可乘的。8/21/2023黑客攻击与防范6l几乎每种防火墙都会发出独特的电子几乎每种防火墙都会发出独特的电子“气味气味”。也就是说,凭借端口扫描,。也就是说,凭借端口扫描,Firewalk工具和旗标攫取等技巧,攻击者能够有效地确定目标网络上几乎每个防工具和旗标攫取等技巧,攻击者能够有效地确定目标网络上几乎每个防火墙的类型、版本和规则。火墙的类型、版本和规则。l直接扫描直接扫描:制造网络噪音的技术制造网络噪音的技术 流行度流行度:10 简单度简单度:8 影响力影响力
6、:2 风险率风险率:7l查找防火墙最简单的方法就是对特定的默认端口执行扫描。市场上有些防火查找防火墙最简单的方法就是对特定的默认端口执行扫描。市场上有些防火墙使用简单的端口扫描就会显露原形墙使用简单的端口扫描就会显露原形你只需要知道应扫描那些端口。例:你只需要知道应扫描那些端口。例:CheckPont的的Firewall-1在在256、257、258和和259号号TCP端口上监听(端口上监听(Check Point NG在在TCP端口端口18210、18211、18186、18190、18191和和18192上监听),上监听),Microsoft的的Proxy Server则通常在则通常在10
7、80和和1745号号TCP端口上监听。知道这一点端口上监听。知道这一点后,使用端口扫描程序来搜索这些类型的防火墙就轻而易举了。后,使用端口扫描程序来搜索这些类型的防火墙就轻而易举了。8/21/2023黑客攻击与防范7l直接扫描防范措施直接扫描防范措施l检测检测l要准确的检测使用随机处理的端口扫描,你得精心调整每个端口扫描检测特征。要准确的检测使用随机处理的端口扫描,你得精心调整每个端口扫描检测特征。l如果你使用的是如果你使用的是UNIX版本的版本的Firewall-1,难么可用,难么可用Lance Spitzner编写的用语编写的用语Firewall-1端口扫描检测的工具(端口扫描检测的工具(
8、).l如果你使用的是如果你使用的是Linux防火墙产品,比如众所周知的防火墙产品,比如众所周知的netfilter/iptables,你将有很多种监,你将有很多种监测工具可以选用,他们都可以帮助你发现那些制造网络噪音的攻击活动。测工具可以选用,他们都可以帮助你发现那些制造网络噪音的攻击活动。IPPL就是一个这样就是一个这样的工具,它是一个在后台运行的防护进程,你可以通过设置这个守护进程某些参数的办法把的工具,它是一个在后台运行的防护进程,你可以通过设置这个守护进程某些参数的办法把可疑的数据包记载到日志里。可疑的数据包记载到日志里。l预防预防l为防止来自因特网的防火墙端口扫描,需要在防火墙之前的
9、路由器上阻塞这些端口。如为防止来自因特网的防火墙端口扫描,需要在防火墙之前的路由器上阻塞这些端口。如果这些路由器是由自己的果这些路由器是由自己的ISP管理的,那就得跟他们联系以执行阻塞。管理的,那就得跟他们联系以执行阻塞。8/21/2023黑客攻击与防范8l路由跟踪路由跟踪流行度流行度:10 简单度简单度:8 影响力影响力:2 风险率风险率:7l找出某个网络上的防火墙的不动生色的精妙方法是使用找出某个网络上的防火墙的不动生色的精妙方法是使用traceroute。可以使。可以使用用UNIX的的traceroute或或Windows的的tracert.exe找出到达目标主机的路径上的每找出到达目标
10、主机的路径上的每一跳,并做些检测工作。一跳,并做些检测工作。LINUX的的traceroute有一个有一个-I选项,它指定发送选项,它指定发送ICMP数数据包执行路径跟踪,这与默认发送据包执行路径跟踪,这与默认发送UDP数据包的技巧不同。数据包的技巧不同。l如果本地主机和目标服务器之间的路由器对如果本地主机和目标服务器之间的路由器对TTL已过期的数据包作出响应,已过期的数据包作出响应,那么上面的例子没有问题。但是有些路由器和防火墙设置成不返送那么上面的例子没有问题。但是有些路由器和防火墙设置成不返送ICMP TTL 已已过期数据包(对于过期数据包(对于ICMP和和UDP探测数据包都一样)。这种
11、情况下所作推断不够探测数据包都一样)。这种情况下所作推断不够科学。你能做得就是运行科学。你能做得就是运行raceroute,查看那一跳最后响应,然后推断它或者是查看那一跳最后响应,然后推断它或者是真正的防火墙,或者至少是路径上开始阻塞路径跟踪数据包的第一个路由器。真正的防火墙,或者至少是路径上开始阻塞路径跟踪数据包的第一个路由器。8/21/2023黑客攻击与防范9l路由跟踪对策路由跟踪对策l解决解决raceroute信息泄露的措施是限制尽可能多的防火墙和路由器信息泄露的措施是限制尽可能多的防火墙和路由器对对ICMPTTL已过期数据包作出响应。然而这并非总是在你的控制之下,已过期数据包作出响应。
12、然而这并非总是在你的控制之下,因为所涉及的路由器有许多可能是由你得因为所涉及的路由器有许多可能是由你得ISP控制的,所以应该尽可能控制的,所以应该尽可能促使促使ISP采取行动。采取行动。l检测检测l在边界上检测标准的在边界上检测标准的traceroute 探测数据包需要监视探测数据包需要监视TTL值为值为1的的ICMP和和UDP 数据包,可以使用数据包,可以使用RealSecure 3.0完成。完成。l预防预防l要防止在边界上穿透要防止在边界上穿透traceroute探测数据包,可以把边界路由器配探测数据包,可以把边界路由器配置成接收到置成接收到TTL值为值为1或或1的数据包时不响应的数据包时
13、不响应TTL EXPIRED。8/21/2023黑客攻击与防范10l旗标攫取旗标攫取流行度流行度:10 简单度简单度:9 影响力影响力:3 风险率风险率:7l扫描防火墙端口有助于寻找防火墙,不过大多数防火墙并不扫描防火墙端口有助于寻找防火墙,不过大多数防火墙并不像像Check Point 和和Microsoft那样在默认的端口上监听,因此还那样在默认的端口上监听,因此还需要其他定位防火墙的方法。我们以前讨论过如何连接到发现打需要其他定位防火墙的方法。我们以前讨论过如何连接到发现打开着的服务上并读取旗标以发现运行中的应用程序名和版本的方开着的服务上并读取旗标以发现运行中的应用程序名和版本的方法。
14、防火墙检测也可以差不多同样地进行。许多流行的防火墙只法。防火墙检测也可以差不多同样地进行。许多流行的防火墙只要简单地连接它们,就会知道是否存在。例如许多代理性质的防要简单地连接它们,就会知道是否存在。例如许多代理性质的防火墙会声明它们是防火墙的功能,有的还公布自己的类型和版本。火墙会声明它们是防火墙的功能,有的还公布自己的类型和版本。我们可能使用我们可能使用netcat连接到一台相信是防火墙的主机来测试。连接到一台相信是防火墙的主机来测试。8/21/2023黑客攻击与防范11l利用利用nmap工具作出简单推断工具作出简单推断流行度流行度:4 简单度简单度:6 影响力影响力:7 风险率风险率:6
15、lnmap在发现防火墙信息上是个好工具。使用在发现防火墙信息上是个好工具。使用mmap扫描一台主机时,扫描一台主机时,他不光告知那些端口开着或者关闭着,还告诉那些端口被阻塞者。从端口他不光告知那些端口开着或者关闭着,还告诉那些端口被阻塞者。从端口扫描取得大量信息能够给出防火墙配置的大量素材。扫描取得大量信息能够给出防火墙配置的大量素材。lnmap输出报告里的被过滤端口意味着以下三种情况之一输出报告里的被过滤端口意味着以下三种情况之一:l没有接收到没有接收到SYN/ACK数据包。数据包。l没有接收到没有接收到PST/ACK数据包。数据包。l收到了一个类型为收到了一个类型为3(Destinatio
16、n Unreachable,无法到达指定目的地)、代码为,无法到达指定目的地)、代码为13(Communication Administratively Prohibited,对方不允许进行这种通信)的,对方不允许进行这种通信)的ICMP数据数据包。包。lnmap将把所有这些条件合在一起作为将把所有这些条件合在一起作为“过滤掉的过滤掉的”端口报告。端口报告。8/21/2023黑客攻击与防范12l端口识别端口识别流行度流行度:5 简单度简单度:6 影响力影响力:7 风险率风险率:6l某些防火墙有独特的显示为一系列数字的足迹,能够与其他某些防火墙有独特的显示为一系列数字的足迹,能够与其他防火墙区分
17、开。例如,当连接到防火墙区分开。例如,当连接到Check Point的的257号号SNMP管理管理TCP端口时,他会显示一系列的数字。尽管一个系统单是打开端口时,他会显示一系列的数字。尽管一个系统单是打开256-259号端口,通常已足以表明存在号端口,通常已足以表明存在Check Point的的Firewall-1。8/21/2023黑客攻击与防范13l发送原始数据包发送原始数据包流行度流行度:3 简单度简单度:4 影响度影响度:8 风险率风险率:5lSalvatore Sanfilippo()编写的()编写的hping,其工作原理是通过其工作原理是通过向一个目的系统向一个目的系统/端口发送端
18、口发送ICMP、TCP或或UPD数据包,并报告由数据包,并报告由他取回的数据包。根据条件的不同,他取回的数据包。根据条件的不同,hping返回各种各样的响应。返回各种各样的响应。每个数据包部分或全面地提供了防火墙具体范围控制的相当清晰每个数据包部分或全面地提供了防火墙具体范围控制的相当清晰的画面。的画面。8/21/2023黑客攻击与防范14l Firewalk工具工具流行度流行度:3 简单度简单度:3 影响度影响度:8 风险率风险率:4lFirewalk()是个精致的小工具,像端口扫描程序那样能够发现在防火墙之后是个精致的小工具,像端口扫描程序那样能够发现在防火墙之后打开着的端口。由打开着的端
19、口。由Mike Schiffman(别名为(别名为Route)和)和Dave Goldsmith编写的编写的这个工具将扫描一个防火墙的某个下游主机,并且不需要真正触及目标系统就能这个工具将扫描一个防火墙的某个下游主机,并且不需要真正触及目标系统就能往回报告允许到达该主机的规则。往回报告允许到达该主机的规则。lFirewalk通过构造其通过构造其TTL值专门计算过的值专门计算过的IP数据包来工作,该数据包来工作,该TTL值在相应值在相应数据包过防火墙时只剩下一跳。如果防火墙允许该数据包通过,那么他将如期地数据包过防火墙时只剩下一跳。如果防火墙允许该数据包通过,那么他将如期地过期,从而引发一个过期
20、,从而引发一个ICMP“TTL expired in transmit(TTL在传送中过期在传送中过期)”的消息。的消息。相反,如果该数据包被防火墙的相反,如果该数据包被防火墙的ACL规则所阻塞,那么它将被丢弃,从而要么不规则所阻塞,那么它将被丢弃,从而要么不发送任何响应,要么发送一个发送任何响应,要么发送一个ICMP类型为类型为3代码为代码为13的的“admin prohibited filter(管理上受禁而过滤管理上受禁而过滤)”数据包。数据包。8/21/2023黑客攻击与防范15l数据包过滤防火墙依赖于数据包过滤防火墙依赖于ACL规则确定各个数据包是否有权出入内规则确定各个数据包是否有
21、权出入内部网络。大多数情况下,这些部网络。大多数情况下,这些ACL是精心设计的,难以绕过。然而有些是精心设计的,难以绕过。然而有些情况下会碰到情况下会碰到ACL规则自由散漫的防火墙,允许某些数据包不受约束地规则自由散漫的防火墙,允许某些数据包不受约束地通过。通过。l没有实效的没有实效的ACL规则规则流行度流行度:8 简单度简单度:2 影响度影响度:2 风险率风险率:4l没有实效的没有实效的ACL规则在防火墙上屡见不鲜,考虑一个单位可能希望规则在防火墙上屡见不鲜,考虑一个单位可能希望自己的自己的ISP进行区域传送的情况。可能会采用进行区域传送的情况。可能会采用“允许来自允许来自53号号TCP源端
22、源端口的所有活动口的所有活动”这样的自由散漫这样的自由散漫ACL 规则,而不是严格的规则,而不是严格的“允许来自允许来自ISP的的DNS服务器的源和目的服务器的源和目的TCP端口号都是端口号都是53的活动的活动”。这些误配置。这些误配置造成的危险可能真正具有破坏性,允许攻击者从外部扫描整个目标网络造成的危险可能真正具有破坏性,允许攻击者从外部扫描整个目标网络 8/21/2023黑客攻击与防范16l Check Point诡计诡计流行度流行度:8 简单度简单度:2 影响度影响度:2 风险率风险率:4lCheck Point3.0和和4.0提供默认打开着的端口。提供默认打开着的端口。DNS查找(查
23、找(53号号UDP端口)、端口)、DNS区域传送(区域传送(52号号TCP端口)和端口)和RIP(520号号UDP端口)端口)都允许从任何主机到任何主机的数据包且不记录。都允许从任何主机到任何主机的数据包且不记录。l前面已讨论过确认前面已讨论过确认Check Point防火墙很容易,利用上述新知识,防火墙很容易,利用上述新知识,攻击者现在就可以有效地绕过所设置的防火墙规则。不过这样的攻击有攻击者现在就可以有效地绕过所设置的防火墙规则。不过这样的攻击有一个明确的先决条件。攻击者必须预先攻破防火墙后面的某个系统,或一个明确的先决条件。攻击者必须预先攻破防火墙后面的某个系统,或是欺骗某个后端系统上的
24、用户执行一个特洛伊木马程序。他们就取得了是欺骗某个后端系统上的用户执行一个特洛伊木马程序。他们就取得了一个穿透防火墙通达任意受害系统的孔洞了。一个穿透防火墙通达任意受害系统的孔洞了。8/21/2023黑客攻击与防范17l ICMP和和UDP隧道隧道流行度流行度:2 简单度简单度:1 影响力影响力:9 风险率风险率:4lICMP隧道有能力在隧道有能力在ICMP数据包头部封装真正的数据。许多允许数据包头部封装真正的数据。许多允许ICMP回射回射请求、请求、ICMP回射应答和回射应答和UDP数据包盲目出入的路由器和防火墙会遭受这种攻击数据包盲目出入的路由器和防火墙会遭受这种攻击的侵害。与的侵害。与C
25、heck Point的的DNS弱点很相似,弱点很相似,ICMP和和UDP隧道攻击也依赖于防火隧道攻击也依赖于防火墙之后已有一个受害的系统。墙之后已有一个受害的系统。lJeremy Rauch和和Mike Schiffman把这种隧道概念付诸实施,编写了发掘它把这种隧道概念付诸实施,编写了发掘它的工具:的工具:loki 和和lokid(分别是客户和服务器程序)(分别是客户和服务器程序),在允许在允许ICMP回射请求和回射回射请求和回射应答数据包穿行的防火墙后面的某个系统上运行应答数据包穿行的防火墙后面的某个系统上运行lokid服务器工具,它将允许攻击服务器工具,它将允许攻击者运行者运行loki客
26、户工具,而客户工具,而loki把待执行的每个命令包裹在把待执行的每个命令包裹在ICMP回射请求数据包中回射请求数据包中发送给发送给lokid,lokid解出命令后在本地运行,再把结果包裹在解出命令后在本地运行,再把结果包裹在ICMP回射应答数据回射应答数据包中返回给攻击者。使用这种技巧,攻击者就能完全绕过防火墙。包中返回给攻击者。使用这种技巧,攻击者就能完全绕过防火墙。8/21/2023黑客攻击与防范18l总的来说,应用代理的弱点极为少见。一旦加强了防火墙的总的来说,应用代理的弱点极为少见。一旦加强了防火墙的安全并实施了稳固的代理规则,代理防火墙就难以绕过。然而不安全并实施了稳固的代理规则,代
27、理防火墙就难以绕过。然而不幸的是,误配置并不少见。幸的是,误配置并不少见。l主机名主机名:localhost流行度流行度:4 简单度简单度:2 影响力影响力:9 风险率风险率:5l使用某些较早期的使用某些较早期的UNIX代理时,很容易忘了限制本地访问。代理时,很容易忘了限制本地访问。尽管内部用户访问因特网是存在认证要求,他们却有可能获取防尽管内部用户访问因特网是存在认证要求,他们却有可能获取防火墙本身的本地访问权。这种攻击需要知道防火墙上的一个有效火墙本身的本地访问权。这种攻击需要知道防火墙上的一个有效用户名和口令字,然而有时候猜测起来又出奇的容易。要检查自用户名和口令字,然而有时候猜测起来又
28、出奇的容易。要检查自己的代理防火墙是否存在这种弱点,可使用己的代理防火墙是否存在这种弱点,可使用netcat工具。工具。8/21/2023黑客攻击与防范19l未经身份验证的外部代理访问未经身份验证的外部代理访问流行度流行度:8 简单度简单度:8 影响力影响力:4 风险率风险率:7l这种情况在应用透明代理的防火墙上较为常见,不过其他防这种情况在应用透明代理的防火墙上较为常见,不过其他防火墙上也不鲜见。防火墙管理员可能极大的加强了防火墙的安全,火墙上也不鲜见。防火墙管理员可能极大的加强了防火墙的安全,建立了强壮的访问控制规则,但却忘了阻止外部的访问。这种危建立了强壮的访问控制规则,但却忘了阻止外部
29、的访问。这种危险是两方面的险是两方面的:(1)攻击者可能使用这样的代理服务器在因特网)攻击者可能使用这样的代理服务器在因特网上匿名的跳来跳去,使用诸如上匿名的跳来跳去,使用诸如CGI弱点和弱点和Web欺骗之类基于欺骗之类基于Web的攻击手段攻击的攻击手段攻击Web服务器,(服务器,(2)攻击者可能获取通达整个内)攻击者可能获取通达整个内联网的联网的Web访问权。访问权。8/21/2023黑客攻击与防范20l未经身份验证的浏览未经身份验证的浏览 流行度流行度:9 简单度简单度:9 影响力影响力:2 风险率风险率:7l流行的流行的Windows代理防火墙软件代理防火墙软件WinGate已经知道存在
30、几个已经知道存在几个弱点。许多管理员简单地按默认设置安装完毕就让它运行起来,弱点。许多管理员简单地按默认设置安装完毕就让它运行起来,而忘了安全问题。而忘了安全问题。l与许多误配置的代理一样,某些与许多误配置的代理一样,某些WinGate版本允许外部人员版本允许外部人员完全匿名地浏览因特网。这对于专门针对完全匿名地浏览因特网。这对于专门针对Web服务器的攻击者来服务器的攻击者来说很重要,因为他们能称心如意地攻击而不必担心自己被抓住。说很重要,因为他们能称心如意地攻击而不必担心自己被抓住。Web攻击意味着没有多少防御手段,因为所有数据包都是在攻击意味着没有多少防御手段,因为所有数据包都是在80号号
31、TCP端口中隧穿的,或者是通过端口中隧穿的,或者是通过TCP端口端口443加密传输的。加密传输的。8/21/2023黑客攻击与防范21l未经身份验证的未经身份验证的telnet流行度流行度:9 简单度简单度:9 影响力影响力:6 风险率风险率:8l比匿名比匿名Web浏览更糟糕的是未经本身份验证的浏览更糟糕的是未经本身份验证的telnet访问,这只访问,这只是黑客工具箱中的核心工具之一。通过连接到一个误配置的是黑客工具箱中的核心工具之一。通过连接到一个误配置的WinGate服务器的服务器的telnet服务,攻击者可以使用别人的主机隐藏自己服务,攻击者可以使用别人的主机隐藏自己的踪迹并随意地攻击。
32、的踪迹并随意地攻击。8/21/2023黑客攻击与防范22l在现实世界中,要想绕过配置得相当的防火墙极为困难。然而使用诸如在现实世界中,要想绕过配置得相当的防火墙极为困难。然而使用诸如traceroute,hping和和nmap之类信息收集工具,攻击者可以发现经由目标站点的之类信息收集工具,攻击者可以发现经由目标站点的路由器和防火墙的访问通路,并确定所用防火墙的类型。当前发现的许多脆弱点路由器和防火墙的访问通路,并确定所用防火墙的类型。当前发现的许多脆弱点的根源在于防火墙的误配置和缺乏管理性监视,然而这两点一旦被加以利用,所的根源在于防火墙的误配置和缺乏管理性监视,然而这两点一旦被加以利用,所导
33、致的后果可能使毁灭性的。导致的后果可能使毁灭性的。l代理和数据包过滤这两种防火墙中都存在一些特定的脆弱点,包括未经身份代理和数据包过滤这两种防火墙中都存在一些特定的脆弱点,包括未经身份验证的验证的Web和和telnet访问以及本地主机登录。对其中大多数脆弱点,可采取相应访问以及本地主机登录。对其中大多数脆弱点,可采取相应的对策防止对它们的发掘。的对策防止对它们的发掘。l我们曾测试过几乎所有的自由软件类和商业类防火墙产品。它们当中有许多我们曾测试过几乎所有的自由软件类和商业类防火墙产品。它们当中有许多非常优秀,非常优秀,Astaro是让我们非常满意的防火墙产品之一。是让我们非常满意的防火墙产品之
34、一。Astaro是一个基于是一个基于Linux的防火墙,它有许多种特色功能,其中包括查杀垃圾邮件、调用的防火墙,它有许多种特色功能,其中包括查杀垃圾邮件、调用Snort程序程序进行入侵监测、查杀病毒以及集中内建的代理。进行入侵监测、查杀病毒以及集中内建的代理。Astaro安装简便,防护效果出色。安装简便,防护效果出色。可以从主页免费下载(仅限家庭用户)。可以从主页免费下载(仅限家庭用户)。8/21/2023黑客攻击与防范238/21/2023黑客攻击与防范24l2000年开始,日渐成熟的技术使得拒绝服务攻击年开始,日渐成熟的技术使得拒绝服务攻击从一种骚扰变成了一种对电子商务活动构成严重威胁从一
35、种骚扰变成了一种对电子商务活动构成严重威胁的高发风险。的高发风险。20世纪世纪90年代末的拒绝服务攻击技术几年代末的拒绝服务攻击技术几乎都利用了与因特网底层通信协议乎都利用了与因特网底层通信协议TCP/IP有关的某种有关的某种操作系统缺陷。只须发出一组简单的数据包,诸如操作系统缺陷。只须发出一组简单的数据包,诸如“ping of death”、Smurf、Fraggle、boink、teardrop之类的攻击手段就可以让没有及时打上补丁之类的攻击手段就可以让没有及时打上补丁的系统陷于瘫痪。的系统陷于瘫痪。8/21/2023黑客攻击与防范25lDOS:即:即Denial Of Service,拒
36、绝服务的缩写。,拒绝服务的缩写。拒绝服务,相当于在客满的时候不再让人进去一样。拒绝服务,相当于在客满的时候不再让人进去一样。DOS攻击即:攻击者想办法让目标机器停止提供服务攻击即:攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如:至网络带宽,从而阻止正常用户的访问。比如:l试图试图FLOOD服务器,阻止合法的网络通讯服务器,阻止合法的网络通讯 l破坏两个机器间的连接,阻止访问服务破坏两个机器间的连接,阻止访问服务 l阻止特殊用户访问服务阻止特殊用户访问服务 l破坏服务器的服务或
37、者导致服务器死机破坏服务器的服务或者导致服务器死机 8/21/2023黑客攻击与防范26l20世纪世纪90年代中期的年代中期的Dos攻击活动差不多都是基攻击活动差不多都是基于利用操作系统里的各种软件缺陷。与我们在这本书于利用操作系统里的各种软件缺陷。与我们在这本书里讨论过的大多数安防漏洞一样,这些缺陷大都属于里讨论过的大多数安防漏洞一样,这些缺陷大都属于会导致软件或硬件无法处理例外情况的程序设计失误。会导致软件或硬件无法处理例外情况的程序设计失误。这些这些“早期的早期的”Dos攻击技术当中,最具危害性的是攻击技术当中,最具危害性的是以某种操作系统的以某种操作系统的TCP/IP协议栈作为攻击目标
38、的协议栈作为攻击目标的“发发送异常数据包送异常数据包”手段。手段。l下面是一些经典下面是一些经典DoS攻击技术:攻击技术:8/21/2023黑客攻击与防范27l超长数据包超长数据包这是最早出现的这是最早出现的Dos攻击技术之一,攻击者在一台攻击技术之一,攻击者在一台Windows系统上发出系统上发出“Ping of death”(运行(运行“ping-1 65510 192.168.2.3”命令,命令,其中其中“192.168.2.3”是被攻击者的是被攻击者的IP地址)是这种攻击技术的典型运用之一。地址)是这种攻击技术的典型运用之一。Jolt程序也属于这类攻击工具,攻击者可以利用这个简单的程序
39、也属于这类攻击工具,攻击者可以利用这个简单的C程序在操作系程序在操作系统自带的统自带的Ping命令无法生成超长数据包时发动这种攻击。命令无法生成超长数据包时发动这种攻击。l数据包片断重叠数据包片断重叠这种攻击技术的要点是迫使目标系统的操作系统去处理这种攻击技术的要点是迫使目标系统的操作系统去处理彼此有重叠的彼此有重叠的TCP/IP数据包片断,而这将导致很多系统发生崩溃或出现资源数据包片断,而这将导致很多系统发生崩溃或出现资源耗尽问题。这类工具主要有耗尽问题。这类工具主要有:teardrop、bonk和和nestea。l自反馈洪水自反馈洪水这类攻击的早期经典实现之一是利用这类攻击的早期经典实现之
40、一是利用UNIX系统上的系统上的Chargen服务生成一个数据流并把这个数据流的目的地设置为同一个系统上服务生成一个数据流并把这个数据流的目的地设置为同一个系统上echo服务,这样就形成一个无限循环,而那台系统将被他自己生成的数据服务,这样就形成一个无限循环,而那台系统将被他自己生成的数据“冲冲”垮。垮。8/21/2023黑客攻击与防范28l“原子弹原子弹”这类攻击与前些年发现的一个这类攻击与前些年发现的一个Windows安防漏洞有关:有这个漏安防漏洞有关:有这个漏洞的系统在收到洞的系统在收到OOB数据包时会发生崩溃。这类攻击在聊天和游戏网络里很流行,数据包时会发生崩溃。这类攻击在聊天和游戏网
41、络里很流行,它们可以让玩家把惹恼了自己的对手赶出网络。它们可以让玩家把惹恼了自己的对手赶出网络。l“超级碎片超级碎片”TCP/IP协议允许发送者按照他自己的想法把数据包拆分成一些协议允许发送者按照他自己的想法把数据包拆分成一些片断。如果发送方的系统把每个数据包都拆分成非常多的片断,接受方的系统或片断。如果发送方的系统把每个数据包都拆分成非常多的片断,接受方的系统或网络就不得不进行大量的计算才能把那些片段重新拼装起来。网络就不得不进行大量的计算才能把那些片段重新拼装起来。lNETBIOS/SMB微软专利的组网协议多年来一直存在着各种各样的问题,他微软专利的组网协议多年来一直存在着各种各样的问题,
42、他们的某些缓冲区溢出漏洞可以导致们的某些缓冲区溢出漏洞可以导致Dos攻击和攻击和NetBILS名字重叠攻击,遭到攻击名字重叠攻击,遭到攻击的的Windows系统将无法接入自己所属的局域网。系统将无法接入自己所属的局域网。lDOS工具包工具包因为没有耐心去一种一种地尝试哪种攻击手段可以奏效,所以有因为没有耐心去一种一种地尝试哪种攻击手段可以奏效,所以有些黑客干脆利用脚本把自己收集到的攻击工具打包在一起去攻击目标系统。些黑客干脆利用脚本把自己收集到的攻击工具打包在一起去攻击目标系统。8/21/2023黑客攻击与防范29l当今的网络世界能真正构成威胁的现代当今的网络世界能真正构成威胁的现代DoS技术
43、:能力消耗技术:能力消耗(capacity depletion)攻击;也有人称之为带宽耗用攻击。)攻击;也有人称之为带宽耗用攻击。l早期的早期的DOS攻击技术主要通过耗尽攻击目标的某种资源来达攻击技术主要通过耗尽攻击目标的某种资源来达到目的,但它们所利用的安防漏洞现在差不多都被修好了。在可到目的,但它们所利用的安防漏洞现在差不多都被修好了。在可供利用的安防漏洞越来越少的情况下,现代供利用的安防漏洞越来越少的情况下,现代DOS攻击技术采取了攻击技术采取了一个更直接的战术一个更直接的战术:设法耗尽目标系统的全部带宽,让它无法向合设法耗尽目标系统的全部带宽,让它无法向合法用户提供服务。两类最重要的能
44、力消耗法用户提供服务。两类最重要的能力消耗DOS:通信层和应用层。:通信层和应用层。8/21/2023黑客攻击与防范30l针对体系结构的针对体系结构的DOS攻击技术攻击技术lSYN洪水洪水发生洪水攻击的原理如下图:发生洪水攻击的原理如下图:l正常的三次握手建立通讯的过程SYN(我可以连接吗?)(我可以连接吗?)ACK(可以)(可以)/SYN(请确(请确认!)认!)ACK(确认连接)(确认连接)发起方发起方应答方应答方8/21/2023黑客攻击与防范31SYN(我可以连接吗?)(我可以连接吗?)ACK(可以)(可以)/SYN(请确认!)(请确认!)攻击者攻击者受害者受害者伪造地址进行伪造地址进行
45、SYN请求请求为何为何还没还没回应回应就是就是让你让你白等白等不能建立正常的连接不能建立正常的连接8/21/2023黑客攻击与防范32正常正常tcp connect攻击者攻击者受害者受害者大量的大量的tcp connect这么多这么多需要处需要处理?理?不能建立正常的连接不能建立正常的连接正常正常tcp connect正常正常tcp connect正常正常tcp connect正常正常tcp connect正常用户正常正常tcp connect8/21/2023黑客攻击与防范33lUDP洪水洪水l因为因为UDP的不可靠性,通过发送大量的不可靠性,通过发送大量UDP数据包而导致目标系统的计算负载
46、出现数据包而导致目标系统的计算负载出现显著增加的事情并不那么容易发生。显著增加的事情并不那么容易发生。Foundstone公司开发的公司开发的udpflood工具提供一个工具提供一个简单的办法来演示这种技术。除了能够在最短时间里发出尽可能多的简单的办法来演示这种技术。除了能够在最短时间里发出尽可能多的UDP数据包以外,数据包以外,UDP洪水没有任何技术方面的突出之处。洪水没有任何技术方面的突出之处。l放大效应:放大效应:Smurf和和FragglelSmurf攻击因其对攻击的放大效应而成为最令人害怕的攻击因其对攻击的放大效应而成为最令人害怕的DOS攻击之一。这种放大攻击之一。这种放大效果是往一
47、个网络上的多个系统发送定向广播的效果是往一个网络上的多个系统发送定向广播的Ping请求,这些系统接着对这种请求请求,这些系统接着对这种请求作出响应的结果。定向广播的作出响应的结果。定向广播的Ping请求既可能发送给网络地址,也可以发送给网络广请求既可能发送给网络地址,也可以发送给网络广播地址,并且需要一个设备,可以执行第播地址,并且需要一个设备,可以执行第3层到第层到第2层的广播功能。如果某个攻击者给层的广播功能。如果某个攻击者给一个拥有一个拥有100个会对广播个会对广播Ping请求作出响应的系统的放大网络发送了单个请求作出响应的系统的放大网络发送了单个ICMP数据包,数据包,那么从效果看他把
48、那么从效果看他把Dos攻击放大了攻击放大了100倍。我们称响应数据包和请求数据包的比例为放倍。我们称响应数据包和请求数据包的比例为放大率。这么一来,能够找到高放大率放大网络的攻击者有更大的填塞受害网络的机会。大率。这么一来,能够找到高放大率放大网络的攻击者有更大的填塞受害网络的机会。8/21/2023黑客攻击与防范34lDDoSlDDoS攻击手段是在传统的攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。攻击基础之上产生的一类攻击方式。单一的单一的DoS攻击一般是采用一对一方式的,当攻击目标攻击一般是采用一对一方式的,当攻击目标CPU速度低、内速度低、内存小或者网络带宽小等等各项性能指标
49、不高它的效果是明显的。随着计存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了攻击的困难程度加大了 目目标对恶意攻击包的标对恶意攻击包的消化能力消化能力加强了不少。加强了不少。l这时侯分布式的拒绝服务攻击手段(这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。它的)就应运而生了。它的原理就很简单。如果说计算机与网络的处理能力加大了原理就很简单。如果说计算机与网络
50、的处理能力加大了10倍,用一台攻倍,用一台攻击机来攻击不再能起作用的话,攻击者使用击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用台攻击机同时攻击呢?用100台呢?台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。模来进攻受害者。8/21/2023黑客攻击与防范358/21/2023黑客攻击与防范36lDDoS代理与代理与“机器人机器人”l发生在发生在2000年的年的DDos攻击使得攻击使得Tribe Flood Network(TFN)、Trinoo和和Stacheldraht等等工具名声大噪,以它们
