攻击拒绝服务攻击

第一讲网络攻击概述黑客与入侵者u黑客的定义u喜欢探索软件程序奥秘,并从中增长了其个人才干的人.
他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识.
u骇客u通常将那些利用网络漏洞破坏网络的人称为骇客,u具备广泛的电脑知识,但是是以破坏为目的u往往做一些重复的工作基本概念入侵者u假冒者u指未经授权使用计算机的人或穿透系统的存取控制假冒合法用户账号的人.
u非法者u指未经授权访问数据、程序和资源的合法用户;或者已经获得授权访问,但是错误使用权限的合法用户.
u秘密用户u非法获取系统超级控制权限,逃避系统审计和访问控制,抑制审计记录的人.
u假冒者可能来自于外部使用者,非法者一般是内部人员,秘密用户可能来自于外部也可能来自于内部.
黑客的攻击目标基本概念网络攻击目标u机密性是保护敏感信息不被未授权的泄露或访问u完整性是指信息未经授权不能改变的特性u可用性是指信息系统可被授权人正常使用u可靠性是指系统能够在规定的条件与时间内完成规定功能的特性u可控性是指系统对信息内容和传输具有控制能力的特性u拒绝否认性是指通信双方不能抵赖或否认已完成的操作和承诺.
基本概念网络攻击步骤u攻击前奏u攻击者在发动攻击前,需要了解目标网络的结构,收集各种目标系统的信息u踩点u扫描u查点u实施攻击u根据不同的网络结构、不同的系统情况,攻击者可以采用不同的攻击手段.
u最终目的是控制目标系统,从而可以窃取机密信息,远程操作目标主机.
基本概念网络攻击步骤u巩固攻击u日志清理:通过更改系统日志清除攻击者留下的痕迹,避免被管理员发现.
u安装后门:通过安装后门工具,方便攻击者再次进入目标主机或远程控制目标主机.
u安装内核套件:可使攻击者直接控制操作系统内核,提供给攻击者一个完整的隐藏自身的工具包.
网络攻击发展趋势网络攻击技术手段改变迅速,自动化程度和攻击速度不断提高网络攻击工具智能化安全漏洞的发现和利用速度越来越快有组织的攻击越来越多.
攻击的目的和目标在改变攻击者的数量增加,破坏效果加大防火墙渗透率越来越高越来越不对称的威胁对基础设施的威胁越来越大缓冲区溢出工作原理缓冲区溢出的概念u计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量u溢出的数据覆盖在合法数据上u在各个进程之间,指令被临时存储在堆栈当中,堆栈也会出现缓冲区溢出u一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃缓冲区溢出工作原理攻击的原理example1.
cvoidfunc1(char*input){charbuffer[16];strcpy(buffer,input);}缓冲区溢出工作原理攻击的原理ustrcpy()将直接把input中的内容copy到buffer中uinput的长度大于16,就会造成buffer的溢出u像strcpy这样的问题的标准函数还有ustrcat()usprintf()uvsprintf(),gets()uScanfu循环内的getc(),fgetc(),getchar()等.
缓冲区溢出工作原理随便溢出只会出现Segmentationfault错误通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其他命令u如果该程序属于root且有suid权限的话,攻击者就获得了一个有root权限的shell缓冲区溢出漏洞攻击方式制造缓冲区溢出u程序在内存中通常分为程序段、数据段和堆栈三部分制造缓冲区溢出voidfunc1(char*input){charbuffer[16];strcpy(buffer,input);}voidmain(){charlongstring[256];inti;for(i=0;i拒绝服务攻击概述拒绝服务攻击概念uDoS是DenialofService的简称,即拒绝服务u造成DoS的攻击行为被称为DoS攻击u其目的是使计算机或网络无法提供正常的服务u最常见的DoS攻击有计算机网络带宽攻击和连通性攻击u带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过u连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求拒绝服务攻击概述分布式拒绝服务攻击概念uDDoS:DistributedDenialofServiceu借助于客户/服务器技术,将多个计算机联合起来作为攻击平台u客户端u服务器端u最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应拒绝服务攻击概述被攻击时的现象u被攻击主机上有大量等待的TCP连接u网络中充斥着大量的无用数据包,源地址为假u制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯u利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求u严重时会造成系统死机拒绝服务攻击概述对Web站点的影响u当对一个Web站点执行DDoS攻击时,这个站点的一个或多个Web服务会接到非常多的请求,最终使它无法再正常使用u利用许多计算机同时对目标站点发出成千上万个请求u导致正常的页面请求会完全失败,或者是页面下载速度变得极其缓慢攻击原理拒绝服务攻击原理注意:攻击者采用虚假的地址请求信息攻击原理DoS攻击的基本过程u攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息u由于地址是伪造的,所以服务器一直等不到回传消息u分配给这次请求的资源就始终没有被释放u当服务器等待一定的时间后,连接会因超时而被切断u攻击者会再度传送新的一批请求u在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽.
分布式拒绝服务攻击原理分布式拒绝服务攻击原理DDoS攻击分为3层u攻击者u攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机.
攻击者操纵整个攻击过程,它向主控端发送攻击命令.
u主控端u主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机.
主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上.
u代理端u代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令.
代理端主机是攻击的执行者,真正向受害者主机发送攻击.
IP欺骗攻击IP欺骗原理u信任关系u什么是信任关系u以r*开头的远程调用命令urloginuRcallurshu这里的信任关系是基于IP地址的.
IP欺骗原理Rloginu简单的客户/服务器程序,它利用TCP传输u允许用户从一台主机登录到另一台主机上u如果目标主机信任它,Rlogin将允许在不应答口令的情况下使用目标主机上的资源u安全验证完全是基于源主机的IP地址u能利用Rlogin来从B远程登录到A,而且不会被提示输入口令IP欺骗原理TCP序列号预测uIP是非面向连接的,所以不保持任何连接状态的信息u提供虚假的IP地址u对IP堆栈进行修改u在源地址和目的地址中放入任意满足要求的IP地址uTCP可靠性是由数据包中的多位控制字来提供u最重要的字段uSEQuACKIP欺骗实现过程选定目标主机.
信任模式已被发现,并找到了一个被目标主机信任的主机黑客为了进行IP欺骗,进行以下工作:使得被信任的主机丧失工作能力采样目标主机发出的TCP序列号,猜测出它的数据序列号.
伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作序列号取样和猜测与被攻击主机的一个端口建立起正常连接估计主机与被信任主机之间的往返时间u通过多次统计平均计算出来伪装成被信任的主IP向目标主机的513端口(rlogin)发送连接请求目标主机立刻对连接请求作出反应,发更新SYN+ACK确认包给被信任主机攻击者向目标主机发送ACK数据包,该包使用前面估计的序列号加1如果正确,目标主机将会接收该ACK连接就正式建立起了,开始数据传输