火龙果常见网络攻击手段分析报告.pptVIP

.缓冲区溢出例子： Void sub(char * str ) { char buf [16]; strcpy (buf ,str ) } Void main() { char large_ str [256] int i; for(i=0;i255;i++) large_ str [i]= =‘A’; sub(large_ str ) } 堆栈结构： 16 4 4 4 [buf ] [ ebp ] [ret] [large_ str ] 十、信息收集型攻击 信息收集型攻击并不对目标本身造成危 害，顾名思义，这类攻击被用来为进一 步入侵提供有用的信息，主要包括： .扫描技术 .体系结构刺探 .利用信息服务 黑客常用攻击工具—口令攻击工具 John The Ripper 1.4 这个软件由著名的黑客组织--UCF出的,它支持Unix,Dos,Windows,速度超快,可以说是目前同类中最杰出的作品.对于老式的passwd(就是没shadow,任何人都可以把 passwd密文存下),John可以直接读取并用字典穷举击破. 对于现代的passwd+shadow的方式,John提供了UNSHADOW程序直接把两者合成出老式passwd文件. 影子扫描器－－Shadow Security Scaner Shadow Security Scaner是一个功能非常强大的黑客工具。 由俄罗斯著名程序员Redshadow和Melcosoft合作编写。 包括端口探测、端口banner探测、CGI/ASP弱点探测、Unicode/Decode/.printer探测、*nix弱点探测、(pop3/ftp)密码破解、拒绝服务探测、操作系统探测、NT共享/用户探测……而且对于探测出的漏洞，有详细的说明和攻击方法。 Nmap—指纹技术 Nmap是在免费软件基金会的GNU General Public License (GPL)下发布的，可从www.inS/nmap站点上免费下载。 隐蔽扫描：nmap　-sS　-O　192.168.*.* TCP扫描：nmap　-sT　-O　2 UDP扫描：nmap　-sU　-O　2  DDos的常用工具 1、Trinoo Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是： 　　攻击者主机到主控端主机：27665/TCP 　　主控端主机到代理端主机：27444/UDP 　　代理端主机到主服务器主机：31335/UDP 2.TFN TFN由主控端程序和代理端程序两部分组成 它主要采取的攻击方法为： SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。 3.TFN2K TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性。 它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。 4.Stacheldraht Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。 它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。 安全站点 计算机紧急响应小组： WWW.CERT.ORG 网络安全系统： WWW.ISS.NET 事件反应和安全性小组： WWW.FIRST.ORG/TEAM_INFO/FIRST WWW.SECURITYFOCUS.COM Trin00/TFN具体攻击过程 Master Master Master Broadcast Broadcast Broadcast Broadcast Broadcast Broadcast 攻击目标 攻击者 Master Master Master Zombie Zombie Zombie Zombie Zombie Zombie Master Master Master DDoS攻击过程 扫描程序 非安全主机 黑客 黑客利用工具扫描 Internet，发现存在漏洞的主机 1 Internet 黑客 Zombies 黑客在非安全