解放軍网络对抗技术 Chinese Military Network Warfare Technology DDoS

攻击信息安全的行为分析

http://chn.chinamil/网絡信息戰.com.cn/

Red-DragonRising.com©

基本内容
网络信息安全技术与黑客攻击技术都源于同一技术核心，
即网络协议和底层编程技术，不同的是怎么使用这些技术。
很多软件或设备可以为网络管理和安全提供保障，但当
被别有用心的人所利用时，就成了黑客工具，就象刀具，
是基本生活用具，又可成为杀人凶器。我们要做到“知己
知彼”，才能“百战不殆”，对黑客的攻击手段、途径、
方法和工具了解得越多，越有利于保护网络和信息的安全。
在介绍信息安全技术以前，本章先来分析与黑客攻击相
关的知识。



2.1 安全问题的起源和常见威胁


2.1.1 信息安全问题的起源





信息安全问题是一个系统问题
计算机网络是目前信息处理的主要环境和信息
传输的主要载体
互联网的“无序、无界、匿名”三大基本特征
也决定了网络信息的不安全





2.1.2 物理安全风险


计算机本身和外部设备乃至网络和通信线路面
临各种风险，如各种自然灾害、人为破坏、操
作失误、设备故障、电磁干扰、被盗和各种不
同类型的不安全因素所致的物质财产损失、数
据资料损失等。



电磁泄露

))))))))
)))





2.1.3 系统风险——组件的脆弱性





硬件组件：设计、生产工艺或制造商
软件组件：“后门”、设计中的疏忽、不必要的功
能冗余、逻辑混乱及其他不按信息系统安全等级要
求进行设计的安全隐患
网络和通信协议：TCP/IP协议簇先天不足




缺乏对用户身份的鉴别
缺乏对路由协议的鉴别认证
TCP/UDP的缺陷



软件“复杂性”





2.1.4 网络与应用风险——威胁和攻击


对数据通信系统的威胁包括：








对通信或网络资源的破坏
对信息的滥用、讹用或篡改
信息或网络资源的被窃、删除或丢失
信息的泄露
服务的中断和禁止

威胁和攻击的来源




内部操作不当
内部管理不严造成系统安全管理失控
来自外部的威胁和犯罪



正常信息流向
中断服务
侦听

信息源

信息目的地

信息源

信息源

信息目的地

信息目的地

修改
信息目的地

信息源

伪造
信息源


信息目的地



2.1.5 管理风险






安全大师Bruce Schneier：“安全是一个过
程(Process），而不是一个产品
（Product）”。
单纯依靠安全设备是不够的，它是一个汇集了
硬件、软件、网络、人以及他们之间的相互关
系和接口的系统。
网络与信息系统的实施主体是人，安全设备与
安全策略最终要依靠人才能应用与贯彻。



2.2 影响信息安全的人员分析




计算机网络系统所面临的威胁大体可分为两
种：一是针对网络中信息的威胁；二是针对
网络中设备的威胁。
如果按威胁的对象、性质则可以细分为四类：
 第一类是针对硬件实体设施
 第二类是针对软件、数据和文档资料
 第三类是兼对前两者的攻击破坏
 第四类是计算机犯罪。



安全威胁的来源
安全威胁主要来自以下几个方面：






不可控制的自然灾害，如地震、雷击
恶意攻击、违纪、违法和计算机犯罪
人为的无意失误和各种各样的误操作
计算机硬件系统的故障
软件的“后门”和漏洞



安全威胁的表现形式







伪装
非法连接
非授权访问
拒绝服务
抵赖
信息泄露








业务流分析
改动信息流
篡改或破坏数据
推断或演绎信息
非法篡改程序


实施安全威胁的人员








心存不满的员工
软硬件测试人员
技术爱好者
好奇的年青人
黑客（Hacker）
破坏者（Cracker）
以政治或经济利益为目的的间谍



互
联
网
上
的
黑
色
产
业
链



个人信息泄露：人人都在“裸奔”








白领名录
股民信息
豪车车主名单
老板手机号码
家长信息
新生儿信息
房东信息










电信机构
需要注册的网站
银行
保险公司
各类中介
教育机构
政府部门
医院

你的职业和单位地址、教育背景、银行存款、
机动车登记信息，甚至消费习惯、指纹、血型、病史……






2011年12月，以程序员网站CSDN、天涯
社区、美团网等数据库遭黑客攻击为代表，
网络个人信息泄露事件曾集中爆发，上亿
用户的注册信息被公之于众
其中，广东省出入境政务服务网泄露了包
括真实姓名、护照号码等信息在内的约400
万用户资料



18

18

Melissa

15

感
染

Loveletter

12

万

15

9

12

置

布

一

对

Kournikova

台

Code Red

6

所

Nimda
Goner

3

需

9
6

措

抗

What’s Next

Klez

施

3

需

所

小
时

1998

1999


2000

2001

2002

2003

2004

2005

2006

时

2008

间


2.3 网络攻击的层次
网
络
攻
击
的
途
径


针对端口攻击
 针对服务攻击
 针对第三方软件攻击
 DoS攻击
 针对系统攻击
 口令攻击
 欺骗



网络攻击的层次
网
络
攻
击
的
层
次








第一层攻击：第一层攻击基于应用层的操作，这些攻击的目的只
是为了干扰目标的正常工作。
第二层攻击：第二层攻击指本地用户获得不应获得的文件(或目录)
读权限。
第三层攻击：在第二层的基础上发展成为使用户获得不应获得的
文件(或目录)写权限。
第四层攻击：第四层攻击主要指外部用户获得访问内部文件的权
利。
第五层攻击：第五层攻击指非授权用户获得特权文件的写权限。
第六层攻击：第六层攻击指非授权用户获得系统管理员的权限或
根权限。



2.4 网络攻击的一般步骤






（1）隐藏IP
（2）踩点扫描
（3）获得系统或管理员权限
（4）种植后门
（5）在网络中隐身



2.5 网络入侵技术
网络主要攻击手段




任何以干扰、破坏网络系统为目的的非
授权行为都称之为网络攻击。
网络攻击实际上是针对安全策略的违规
行为、针对授权的滥用行为与针对正常
行为特征的异常行为的总和。



网络主要攻击手段
 网站篡改（占45.91%）
 垃圾邮件（占28.49%）
 蠕虫（占6.31%）
 网页恶意代码（占0.51%）
 木马（占4.01%）
 网络仿冒（占4.97%）
 拒绝服务攻击（占0.58%）
 主机入侵（占1.14%）



网络入侵技术----漏洞攻击
 漏洞攻击：利用软件或系统存在的缺
SMB简介SMB是Server Message Block的简写，这个协议用于
MS05-027:SMB中的漏洞可能允许远程执行代码 2005年6月
共享文件，共享打印机，共享串口等用途。
陷实施攻击。漏洞是指硬件、软件或
MS07-063：SMB v2 中的漏洞可能允许远程执行代码发布日期：十二月 11, 2007
我们之所以能够在windows的网络邻居下访问一个域内的其
策略上存在的的安全缺陷，从而使得
他机器，就是通过这个协议实现的。
Microsoft Security Bulletin MS08-063 – Important
攻击者能够在未授权的情况下访问、
SMB 协议是一个很重要的协议，目前绝大多数的PC上都在运
Vulnerability in SMB Could Allow Remote Code Execution (957095)
行这一协议，windows系统都充当着SMB协议的客户端和服务器，
控制系统。
Microsoft 安全公告 MS09-001 - 严重
所以SMB是一个遵循客户机服务器模式的协议。
SMB 中的漏洞可能允许远程执行代码 (958687)
 缓冲区溢出漏洞攻击：通过向程序的
SMB服务器负责通过网络提供可用的共享资源给SMB客户机，
发布日期：一月 13, 2009
服务器和客户机之间通过TCP/IP协议、或者IPX协议、或者是
缓冲区写入超过其长度的数据，造成
MS10-006:SMB 客户端中的漏洞可能允许远程执行代码发布日期：二月 9, 2010
NetBEUI进行连接。
溢出，从而破坏程序的堆栈，转而执
一旦服务器和客户机之间建立了一个连接，客户机就可以通
MS10-012: SMB服务器中可能允许远程执行代码漏洞 2010-02-10
行其它的指令，达到攻击的目的。
过向服务器发送命令完成共享操作，比如读，写，检索等。


RPC漏洞、SMB漏洞、打印漏洞



缓冲区溢出
Buffer overflow

attack 缓冲区溢出攻击

–缓冲区溢出漏洞大量存在于各种软件中
–利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严

重后果。

最早的攻击1988年UNIX下的Morris

worm

最近的攻击

–Codered 利用IIS漏洞
–SQL Server Worm 利用SQL Server漏洞
–Blaster 利用RPC漏洞
–Sasser利用LSASS漏洞



向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，
破坏程序的堆栈，使程序转而执行其他的指令，达到攻
击的目的。
 原因：程序中缺少错误检测:
void func(char *str) {
char buf[16];
strcpy(buf,str);
}
如果str的内容多于16个非0字符，就会造成buf的溢出，
使程序出错。








类似函数有strcat、sprintf、vsprintf、gets、
scanf等
一般溢出会造成程序读/写或执行非法内存的数
据，引发segmentation fault异常退出.
如果在一个程序中特意构造内容，可以有目的
的执行程序，如/bin/sh，得到root权限。





在进程的地址空间安排适当的代码
通过适当的初始化寄存器和内存，跳转到以上
代码段执行



利用进程中存在的代码



–
–



传递一个适当的参数
如程序中有exec(arg)，只要把arg指向“/bin/sh”就
可以了

植入法
–
–

把指令序列放到缓冲区中
堆、栈、数据段都可以存放攻击代码，最常见的是
利用栈



网络入侵技术----拒绝服务攻
击






拒绝服务攻击（DoS）：通过各种手段来
消耗网络带宽和系统资源，或者攻击系统
缺陷，使系统的正常服务陷于瘫痪状态，
不能对正常用户进行服务，从而实现拒绝
正常用户的服务访问。
分布式拒绝服务攻击：DDoS，攻击规模更
大，危害更严重。
实例：SYN-Flood洪水攻击，Land攻击，
Smurf攻击，UDP-Flood攻击，WinNuke攻
击（139）等。









典型的拒绝服务攻击有如下两种形式：资源
耗尽和资源过载。
当一个对资源的合理请求大大超过资源的支
付能力时就会造成拒绝服务攻击（例如，对
已经满载的Web服务器进行过多的请求。）
拒绝服务攻击还有可能是由于软件的弱点或
者对程序的错误配置造成的。
区分恶意的拒绝服务攻击和非恶意的服务超
载依赖于请求发起者对资源的请求是否过份，
从而使得其他的用户无法享用该服务资源。





以下的两种情况最容易导致拒绝服务攻击：




由于程序员对程序错误的编制，导致系统不停的建立进
程，最终耗尽资源，只能重新启动机器。不同的系统平
台都会采取某些方法可以防止一些特殊的用户来占用过
多的系统资源，我们也建议尽量采用资源管理的方式来
减轻这种安全威胁。
还有一种情况是由磁盘存储空间引起的。假如一个用户
有权利存储大量的文件的话，他就有可能只为系统留下
很小的空间用来存储日志文件等系统信息。这是一种不
良的操作习惯，会给系统带来隐患。这种情况下应该对
系统配额作出考虑。













Ping of Death：发送长度超过65535字节的ICMP Echo
Request 数据包导致目标机TCP/IP协议栈崩溃，系统死机或重
启。
Teardrop：发送特别构造的IP 数据包，导致目标机TCP/IP协
议栈崩溃，系统死锁。
Syn flooding：发送大量的SYN包。
Land：发送TCP SYN包，包的SRC/DST IP相同，
SPORT/DPORT相同，导致目标机TCP/IP协议栈崩溃，系统死
机或失去响应。
Winnuke：发送特别构造的TCP包，使得Windows机器蓝屏。
Smurf：攻击者冒充服务器向一个网段的广播地址发送ICMP
echo包，整个网段的所有系统都向此服务器回应icmp reply包。



DDoS攻击步骤示意



网络入侵技术----口令攻击


入侵者常常采用下面几种方法获取用户的
密码口令：







弱口令扫描
Sniffer密码嗅探
暴力破解
社会工程学（即通过欺诈手段获取）
木马程序或键盘记录程序
。。。。。。



破
解
P
D
F
密
码


破
解
O
F
密
码



破
解
系
统
密
码



网络入侵技术----扫描攻击






一个开放的网络端口就是一条与计算机进行通信的信
道，对网络端口的扫描可以得到目标计算机开放的服
务程序、运行的系统版本信息，从而为下一步的入侵
做好准备。
扫描是采取模拟攻击的形式对目标可能存在的已知安
全漏洞逐项进行检查，利用各种工具在攻击目标的IP
地址或地址段的主机上寻找漏洞。
典型的扫描工具包括安全焦点的X-Scan、小榕的流光
软件，简单的还有IpScan、SuperScan等，商业化的
产品如启明星辰的天镜系统具有更完整的功能。



网络入侵技术----嗅探与协议分
析




网络嗅探与协议分析是一种被动的侦察手
段，使用嗅探监听软件，对网络中的数据
进行分析，获取可用的信息。
网络监听可以使用专用的协议分析设备实
现，也可使用Sniffer Pro 4.7、TCPDump等
软件实现。SnifferPro是最常用的嗅探分析
软件，它可以实现数据包捕获、数据包统
计、过滤数据包、数据包解码等功能，功
能解码可以获取很多有用的信息，如用户
名、密码及数据包内容。



网络入侵技术----协议欺骗攻
击




协议欺骗攻击就是假冒通过认证骗取对方
信任，从而获取所需信息，进而实现入侵
的攻击行为。
常见的协议欺骗有以下几种方式：





IP欺骗：对抗基于IP地址的验证。
ARP欺骗：它是一个位于TCP/IP协议栈中的低层协议，负责将某
个IP地址解析成对应的MAC地址。ARP欺骗通过伪造ARP与IP的信
息或对应关系实现。NC软件就能实现ARP欺骗。
TCP会话劫持：与IP欺骗类似，通过嗅探并向网络注入额外的信
息实现TCP连接参与。如IP watcher就是一种有效的会话劫持工
具。



网络入侵技术----社会工程学攻
击




社会工程学（Social Engineering），是一种通过对受
害者心理弱点、本能反应、好奇心、信任、贪婪等心理
陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的
手法。
20世纪70年代末期，一个叫做斯坦利•马克•瑞夫金
（Stanley Mark Rifkin）的年轻人成功地实施了史上最大
的银行劫案。他没有雇用帮手、没有使用武器、没有天
衣无缝的行动计划，“甚至无需计算机的协助”，仅仅
依靠一个进入电汇室的机会并打了三个电话，便成功地
将一千零二十万美元转入自己在国外的个人账户。



2.6 网络防御与信息安全保
障
针对网络入侵和密码破译等攻击行为，本
 书在以后的章节中，在ISO安全体系结构的
（1）隐藏IP
指导下，通过内容安全技术和网络安全技
 （2）踩点扫描
术两大部分来介绍网络信息安全的实现方
 （3）获得系统或管理员权限
法，并通过若干实验项目来验证、巩固相
 关技术，当然，技术实施要由人来完成，
（4）种植后门
 人才是最关键的。
（5）在网络中隐身





本章小结


本章从分析影响信息安全的人员入手，总
结出网络攻击途径，并将攻击按实现的难
易程度分为6个层次；结合网络攻击的案例，
说明网络攻击的一般步骤；最后介绍了目
前常见的网络入侵技术，以此提醒网络用
户时刻关注自己的系统安全。



作业


1、名词解释
缓冲区溢出攻击
弱口令扫描



拒绝服务攻击
社会工程学

2、简答题
1) 网络安全威胁有哪些表现形式？
2) 网络攻击的途径有哪些？
3) 请简述网络攻击六个层次的目标。



解放軍网络对抗技术 Chinese Military Network Warfare Technology DDoS

Recomendados

Recomendados

Mais conteúdo relacionado

Destaque

Destaque (9)

Semelhante a 解放軍网络对抗技术 Chinese Military Network Warfare Technology DDoS

Semelhante a 解放軍网络对抗技术 Chinese Military Network Warfare Technology DDoS (12)

解放軍网络对抗技术 Chinese Military Network Warfare Technology DDoS