第6章攻击与防范课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第6章攻击与防范课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 攻击 防范 课件
- 资源描述:
-
1、1第第6章章 攻击与防范攻击与防范曹天杰中国矿业大学计算机科学与技术学院26.1 恶意代码n恶意代码恶意代码也称为恶意软件,是攻击者植入受害者系统的一段代码,使得攻击者可以在受害者毫不知情的状况下控制对方的系统、网络以及数据。n它通过把代码在不被察觉的情况下嵌入到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。3引导区病毒引导区病毒台式电脑台式电脑第第1代代第第2代代第第3代代第第4代代台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑LAN服务器服务器基于文件的病毒基于文件的病毒邮件群发病毒邮件群发病毒 互联网互
2、联网防毒墙防毒墙电子邮件电子邮件服务器墙服务器墙台式电脑台式电脑笔记本电脑笔记本电脑网络病毒网络病毒 互联网互联网防毒墙防毒墙服务器服务器服务器服务器服务器服务器服务器服务器台式电脑台式电脑台式电脑台式电脑台式电脑台式电脑笔记本电脑笔记本电脑已打补丁的机器已打补丁的机器网络拥堵网络拥堵46.1.1 病毒n计算机病毒:一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。n同时,它们还可以把自己的副本分发到其他文件、程序或电脑中去。当被感染文件执行操作的时候(例如:打开一个文件,运行一个程序,点击邮件的附件等),病毒程序会进行自我复制。p如CIH、爱虫、新欢乐时光、求职信、恶鹰、ros
3、e5计算机病毒的特征n非授权可执行性n感染性 n寄生性 n隐蔽性 n潜伏性 n可触发性 n破坏性 n主动攻击性6非授权可执行性n计算机病毒与其它合法的程序一样,是一段可执行程序,但它又不是一个完整的程序,而是寄生在其他可执行文件上的程序,因此它拥有一切程序所能得到的权利。n当病毒运行时,便于合法程序争夺系统的控制权,往往会造成系统崩溃,导致计算机瘫痪。计算机病毒只有在计算机内得以运行时,才具有感染性和破坏性。7感染性n计算机病毒能够将自身的复制品或变种感染到其他程序中。这是计算机病毒的根本特定,它使得计算机病毒得以从被感染的计算机扩散到未被感染的计算机中。n计算机一旦感染病毒,如果不及时处理,
4、那么病毒会在这台计算机上迅速扩散,其中大量的文件(主要是可执行文件)会被感染。而被感染的计算机文件又成了新的感染源,可通过各种可能的渠道,如软盘、U盘和计算机网络等去感染其他的计算机。8寄生性n计算机病毒程序是嵌入到宿主程序的,依赖宿主程序的存在而生存,病毒程序侵入到宿主程序以后,一般对宿主程序进行一定的修改,当病毒激活条件一旦满足,病毒程序就被激活,从而可以进行自我复制。9隐蔽性n计算机病毒一般都是具有很高编程技巧的程序员编写的短小精悍的程序,通常附着在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现,目的是不让用户发现他的存在。n如果不经过代码分析,病毒程序与正常程序是不容易区分
5、开来的。而且受到感染后,计算机系统通常仍能正常运行,使用户不会感到异常。10n计算机病毒的隐蔽性表现在两个方面:p一是传染过程隐蔽。大部分病毒传染速度快,传染时不具有外表表现,不易被人发觉。p二是病毒程序隐蔽,一般病毒程序嵌入在正常程序中,很难被发现。病毒一般只有几百或几千字节,而现在普通PC机的存取速度都是以MB/S为单位,所以病毒在瞬间就可以将其程序附着在正常程序中,使其不容易被察觉。11潜伏性n大部分病毒在感染系统后,一般不会马上发作,它可长期隐藏在系统中。除了传染外,不表现出破坏性,只有在满足其特定条件是才启动其表现破坏性的模块,显示发作信息或进行系统破坏,只有这样它才可以进行广泛地传
6、播。12可触发性n计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。n触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。n使计算机病毒发作的触发条件通常有以下几种:利用系统时钟提供的时间作为触发器,这种触发机制被大量的病毒使用;利用病毒体自带的计数器作为触发器;利用计算机内执行的某些特定操作作为触发器。13破坏性n无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。n根据
7、这些特点,可以将病毒分为良性病毒和恶性病毒:良性病毒程序可能显示一些文字或图像、播放音乐等没有太大的破坏作用。而恶性病毒将影响系统的正常运行,这些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。14主动攻击性n病毒对系统攻击是主动的。从一定程度上讲,计算机系统很难彻底地排除病毒对系统的攻击,而保护措施充其量是一种防御的手段。156.1.2 蠕虫n蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。p如:红色代码、SQL蠕虫王、冲击波、震荡波、极速波n蠕虫不修改文件,而是常驻在内存里并复制自己。蠕虫使用操作系统的一部分,这部分对
8、于用户来说是自动且无形的。n蠕虫的自我复制不像其他的病毒,它可以自动创建与它的功能完全相同的副本,并在没人干涉的情况下自动运行。16计算机病毒与蠕虫的区别n1、蠕虫是一个可以独立运行的程序。但病毒不能独立存在,必须将自身的代码附着在其他程序中,其程序的激活依赖与宿主程序的执行。n2、蠕虫可以自动通过传播,不需要利用文件寄生技术;而病毒要依赖于宿主文件进行传播。因为蠕虫程序自身包含了传播代码,这些代码会自动将蠕虫程序从一个系统发送到另一个系统。n蠕虫通常感染的对象是有相应漏洞或者其他脆弱性的计算机系统,而病毒的感染对象则是计算机中的文件系统。17名称计算机病毒蠕虫存在形式寄生于其它程序独立程序感
9、染目标本地文件网络中的计算机传播途径感染文件或可移动磁盘网络传播传播形式 需要人为干预,例如,运行感染病毒的程序,使用感染病毒的磁盘 不需要人为干预,蠕虫会利用系统漏洞或系统脆弱性、电子邮件等将自身副本发送到其它系统表5.1 蠕虫与病毒的区别186.1.3 木马n特洛伊木马从表面上看是正常的程序、具有正常的功能,但是实际上却隐藏着带有恶意目的的程序。n一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中,同时它可以携带恶意代码,还有一些木马会以一个软件的身份出现(例如:一个可供下载的游戏),但它实际上是一个窃取密码的工具。19n特洛伊木马通常由一个客户端和一个服务器端构成,客户端放在
10、木马控制者的电脑中,服务器端放置在被入侵电脑中,木马控制者通过客户端与被入侵电脑的服务器端建立远程连接。一旦连接建立,木马控制者就可以通过对被入侵电脑发送指令来传输和修改文件。n还有一些木马不具备远程登录的功能。它们的存在只是为了隐藏恶意进程的痕迹,例如使恶意进程不在计算机的进程列表中显示出来。n还有一些木马用于收集信息,例如被感染电脑的密码,并把收集到的密码列表发送互联网中一个指定的邮件账户中。常见的木马,如冰河、网络神偷、灰鸽子。20特洛伊木马隐蔽性连接请求连接请求8021常见的木马类型n远程访问型 n密码发送型 n键盘记录型 n毁坏型 nFTP型 22远程访问型木马n这是目前使用最广的特
11、洛伊木马。这类木马可以远程访问被攻击者的硬盘。例如,RATS(一种远程访问木马),它使用起来非常简单,只需要运行服务器端程序并且得到被攻击者的IP,就可以访问他的计算机,几乎可以在目标计算机上进行任何操作。n远程访问型特洛伊木马会在目标计算机上打开一个端口。一些特洛伊木马还可以改变端口的选型并且可以设置连接密码,为的是只能让攻击者来控制特洛伊木马。23密码发送型木马n 这种特洛伊木马的目的是找到所有的隐藏密码,并且在被攻击者不知道的情况下把它们发送到指定的信箱。n这类特洛伊木马大多数会在每次Windows重新启动的时候运行,而且它们大多使用25号端口发送E-mail。如果目标计算机有隐藏密码,
12、那么这类特洛伊木马是非常危险的。24键盘记录型木马n这种特洛伊木马非常简单:它们只做一种事情,就是记录受害者的键盘输人并且在log日志文件中查找密码。n这种特洛伊木马随着Windows系统的启动而运行。它们有记录在线和离线的功能。在线选项中,它们知道被攻击者在线并且记录每一件事情。但是,在离线记录时,每一件事情在Windows启动后才被记录,并且保存在受害者磁盘上等待被传输。25毁坏型木马n这种特洛伊木马的惟一功能是毁坏并且删除文件。它们非常简单、也很容易被发现。它能自动删除目标计算机的所有后缀名如dll、ini、exe等文件,所以非常危险,一旦被感染了,就会严重威胁到计算机的安全。26FTP
13、型木马n 这类特洛伊木马程序打开目标计算机的21号端口,使黑客可以用一个FTP客户端并且不用密码就可以连接到目标计算机上,并且拥有完全的上传和下载的权限。276.1.4 后门n对计算机操作系统或软件来说,后门后门是指可以指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的黑客方法。n通常,在软件开发时,设置后门可以方便修改和测试程序中的缺陷。28n后门具有隐蔽性,能绕开系统日志,不易被系统管理员发现等特点。n在计算机中,入侵者可以通过端口、串/并口、无线设备连接等后门方式进行入侵。如果一个程序仅仅提供远程访问,那么它只是一个后门。如果攻击者将这些后门伪装成某些其他良性程序,那么就变
14、成了特洛伊木马。29后门产生的必要条件n1、必须以某种方式与其他终端节点相连。n由于后门的利用都是从其他节点进行访问,因此必须与目标机使用双绞线、光纤维、串/并口、蓝牙、红外等设备在物理信号上有所连接才可以对端口进行访问。只有访问成功,双方才可以进行信号交流,攻击方才有机会进行入侵。30n2、目标机默认开放的可供外界访问的端口必须在一个以上。因为一台默认无任何端口开放的机器是无法连接通信的,而如果开放着的端口外界无法访问,则同样没有办法进行入侵。n3、目标机存在程序设计或人为疏忽,导致攻击者能以权限较高的身份执行程序。并不是任何一个权限的账号都能够被利用的,只有权限达到操作系统一定要求的才允许
15、执行修改注册表,修改log记录等相关修改 31后门产生的原因n1、操作系统自带的服务,大多数的操作系统,如Unix、Linux、windows2000/xp在默认安装完成后,为了方便用户的使用,会默认开启一定数量的服务(server),常见的有telnet server、ssh server、sendmail等等,如果有的服务程序版本存在漏洞或者默认配置的安全性不够,则很容易被攻击,从而成为攻击者进入的通道。32n2、早期网络协议安全性问题。由于在其的互联网络是用于军方、高校及科研结构,网络协议的设计对安全性方面考虑较少。例如,目前我们所使用的IPV4协议,IP数据包的源地址可以被修改、MAC
16、地址可以被伪造。33n3、软件编写不规范。现在很多大型软件都是模块化编程,可能某些功能某块之间出现漏洞,被攻击者利用作为漏洞;也有可能是程序员作为程序测试用的通道没有去除被攻击者发现。346.2 网络嗅探n网络监听也称为网络嗅探,其作用是:监视网络的流量、状态、数据等信息,分析数据包,获得有价值的信息。n一把双刃剑n管理员的管理工具,主要是进行数据包分析,通过网络监听软件,观测分析实时经由的数据包,从而进行网络故障定位n网络监听工具成了黑客的常用工具,黑客通过将网络接口设置成监听模式,便可截取以太网中的信息,造成用户口令失窃、敏感数据泄漏等 356.2.1 共享式以太网监听n当局域网内的主机是
17、通过集线器(HUB)等方式连接时,一般采取的是共享的连接。n这种共享方式连接的特点是,源主机的网路接口卡将要发送的数据报添加目的MAC地址、源MAC地址等信息封装成帧,然后将帧以广播的方式发往局域网。n当一台主机向另一台主机发送数据时,共享式的HUB会将接收到的数据向HUB上的每个端口转发。3637n通常情况下只有与数据帧中目的MAC地址一致的那台主机才会接收数据,并对其进行处理。网卡对于不属于自己的报文不予以响应,只是简单的忽略掉这些数据。n但是,如果某台主机将其网卡设置为混杂模式,使其工作在监听模式下,则不管数据帧中的目标地址是什么,主机都可以将其捕获。386.2.2 交换式以太网监听n以
18、太网交换机的原理很简单,它检测从以太网主机传送到端口来的数据包的源主机和目的主机的MAC(介质访问层)地址n然后再与系统内部的动态查找表进行比较,发往目的主机对应的交换机端口;n若数据包的MAC地址不在查找表中,则将该地址加入查找表中,并将数据包发送给相应的目的端口。39实现交换式以太网的数据包监听的方法 n(1)对交换机实行端口映射,将该端口的数据包全部映射到某个监控机器上。n(2)将数据包捕获程序放在网关或代理服务器上,这样就能抓取到整个局域网的数据包。n(3)在交换机和路由器之间连接一个HUB,这样数据将以广播的方式发送。n(4)实行ARP(地址解析协议)欺骗,即在用户机器上实现整个包的
19、转发,但这样会降低整个局域网的效率。4041交换环境下的网络监听:利用ARP欺骗nARP协议的全称是地址解析协议,ARP协议的功能是把逻辑地址转换为物理地址,即将32位的IP地址转换成48位的物理地址(网卡的MAC地址)。n例如,一台IP地址为192.168.0.1的计算机,其网卡的MAC地址为00-03-0F-FD-1D-2B。转换过程是一台主机向局域网广播包含目标IP地址的数据包,即ARP请求请求;然后目标主机向该主机发送一个含有其IP地址和MAC地址的数据包,即ARP应答应答。42n当一个网络设备需要和另一个网络设备通信时,它首先把目标设备的IP地址与自己的子网掩码进行“与”操作,以判断
20、目标设备与自己是否位于同一网段。n如果在同一个网段,而且源设备没有在高速缓存中获得与目标IP地址相对应的MAC地址信息,则源设备以广播的形式发送ARP请求报文,在ARP请求报文中包含了源设备与目标设备的IP地址。43n若某设备接收到ARP报文并发现报文中的目标IP地址与自己的IP地址相同,则向源设备发回ARP响应报文,通过该报文使源设备获得目标设备的MAC地址信息。n如果目标设备与源设备不在同一个网段,则源设备首先将IP分组发向自己的缺省网关,由缺省网关对该分组进行转发。若源设备的缓存中没有缺省网关的MAC地址,则它将同样以发ARP广播包的方式来获取网关的MAC地址 44n对大多数操作系统而言
21、,如果收到一个ARP应答,它们不管自己是否在此之前曾发出ARP请求报文,都会自动更新自己的ARP缓存,而不对ARP应答的真实性进行验证,因此ARP是一个无状态的协议,ARP欺骗就是利用这一点进行欺骗。nARP欺骗的核心思想就是向目标主机发送伪造的IPMAC映射的ARP响应,使目标主机收到伪造的ARP应答后更新其ARP缓存,从而使目标主机将数据包发送给指定的主机。45n假如同一交换网络中的三台主机A、B、C,主机C试图通过ARP欺骗截取主机A发送给主机B的数据报文,达到监听A、B通信的目的。n欺骗过程步骤为:n(1)主机C发送ARP请求报文,分别获取主机A和B的MAC地址。n(2)主机C向主机A
22、发送伪造的ARP应答报文(报文的源IP地址为B的IP地址,源MAC地址为C的MAC地址)。46n(3)主机A收到ARP应答报文,根据C发送的伪造的ARP应答报文,更新ARP缓冲区,此时有一条IP-MAC对应关系:主机B的IP地址-主机C的MAC地址。那么当主机A的应用程序向主机B发送数据时,在网络层形成包含主机B的IP信息的IP数据包;而在数据链路层将主机C的MAC地址信息加在IP数据包前,构成以太网数据帧,发往交换机的端口。交换机查找其主机MAC地址与端口的对应关系,将数据帧发往主机C对应的端口。47 为了成功监听主机A与主机B的通信,而不被主机A与B发现,主机C还要进行n(4)主机C将接收
23、的主机A发往主机B的数据帧去掉头部,加上主机B的MAC地址信息,发往交换机端口。交换机根据端口与MAC对应关系,将数据发往主机B对应的端口。这样,主机C成功的截获主机A发往B的信息,而A与B并未发觉通信有任何异常。同样主机C也可以欺骗主机B,截获B发往A的数据。这样主机C就可以监听A与B之间的所有通信。这种攻击通常也成为中间人攻击。48n为了保证伪造的IP-MAC映射关系在主机A缓冲区中的有效性,主机C每隔一个时间片发送一次ARP应答报文,保证主机A处于被欺骗状态。n同样,主机C也可以监听主机A或B与外网的通信,则只需要将上述步骤中的A或B种的一个换为网关即可。n可知,通过ARP欺骗,可监听交
24、换网络中的通信。496.3 缓冲区溢出n1988年11月,23岁的程序员Robert Tappan Morris编写的“Morris 蠕虫”是用于攻击VAX和Sun机器的程序。这个程序大约使得整个Internet的10%崩溃。Morris 蠕虫利用了一个被称为缓冲区溢出的程序缺陷。n1999年Bugtraq(一个讨论安全缺陷的邮件列表)进行的一次非正式调查发现,三分之二的参与者认为第一号的缺陷就是缓冲区溢出。从1997年到2002年3月,CERT/CC发出的半数安全警报都基于缓冲区缺陷。506.3.1 缓冲区溢出原理局部变量字符数组buf函数参数EBPret内存高端内存低端内存的生长方向堆栈的
25、生长方向向局部变量数组buf中压入的字符过多,则字符被写入EBP,ret所在的空间。51n由于内存的生长方向与堆栈的生长方向是相反的,堆栈是从内存的低端向内存的高端生长n那么向堆栈中压入的数据超过了堆栈预先分配的容量时,则就会覆盖内存高端的有用数据,此时就会出现堆栈溢出,从而使得程序失败,如果发生堆栈溢出的是大型程序,则有可能导致系统崩溃。526.3.2 缓冲区溢出实例nWindows Messenger服务用于Microsoft Windows操作系统服务器与客户端之间互相发送一些短消息。Microsoft Windows Messenger服务存在堆溢出问题,远程攻击者可以利用这个漏洞以系
展开阅读全文