入侵手段与方法研讨.ppt

入侵方法与手段 * 其他攻击方法 病毒攻击 随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、木马和黑客攻击程序的结合，病毒攻击成为了互联网发展以来遇到的巨大挑战。 社会工程攻击 社会工程学其实就是一个陷阱，黑客通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密， 入侵方法与手段 * SQL Injection 攻击 目前，大部分应用程序的架构都采用了三层架构，都存在后台数据库，以存储大量信息。而数据库中以结构化查询语言（SQL, Structure Query Language）为基础的关系数据库（RDBMS, Relational Database Management System）最为流行。 在应用程序中，往往采用Visual Basic等第三代语言来组织SQL语句，然后传递给后台执行，以建立、删除、查询和管理后台数据库资料。由于数据库资料非常敏感，因此利用SQL实现的渗透和信息窃取，一般危害较大。 入侵方法与手段 * 缓冲区溢出攻击 一个简单的堆栈例子example1.c: void function(int a, int b, int c) { char buffer1[5]; char buffer2[10];} void main() { function(1,2,3); } 入侵方法与手段 * 格式化字符串攻击 普通的缓冲区溢出就是利用了堆栈生长方向和数据存储方向相反的特点，用后存入的数据覆盖先前压栈的数据，一般是覆盖返回地址，从而改变程序的流程，这样子函数返回时就跳到了黑客指定的地址，就可以按照黑客意愿做任何事情了。 所谓格式化串，就是在*printf()系列函数中按照一定的格式对数据进行输出，可以输出到标准输出，即printf()，也可以输出到文件句柄，字符串等，对应的函数有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在这一系列的*printf()函数中，可能有人会问：这些函数只是把数据输出了，怎么能造成安全隐患呢？在正常情况下当然不会造成什么问题，但是*printf()系列函数有三条特殊的性质，这些特殊性质如果被黑客结合起来利用，就会形成漏洞。 入侵方法与手段 * 跨站脚本攻击 因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换，从而导致了跨站脚本执行的漏洞。CGI输入的形式，主要分为两种：显示输入；隐式输入。 其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可以通过输入数据来进行干涉。显示输入又可以分为两种：输入完成立刻输出结果；输入完成先存储在文本文件或数据库中，然后再输出结果。 后者可能会导致网站显示中的问题。而隐式输入除了一些正常的情况外，还可以利用服务器或CGI程序处理错误信息的方式来实施。 入侵方法与手段 * 攻击检测工具 端口扫描和信息收集 nmap、finger、rpcinfo、DNS query 漏洞扫描 nessus 常见攻击手法 buffer overflow （IIS、Sun RPC、Linux） 后门木马 NetBus、BO2K 拒绝服务 SYN Flood、UDP Bomb、IPFrag、DDoS 入侵方法与手段 * 小结 黑客入侵模型与原理 漏洞扫描 口令破解 拒绝服务攻击 分布式拒绝服务攻击 缓冲区溢出攻击 格式化字符串攻击 跨站脚本攻击 SQL Injection攻击 * * 可以搜索一下重庆大学拓扑结构 * 重庆大学网络子网划分 * * 主机名 * 80（www）、20(ftp)、23(telnet) * * * 使用默认口令，demo/guest/admin,直接用用户ID作为口令 * * Chargen:Character Generator ,ECHO服务响应与发送内容相同的字符 当运行着CHARGEN服务的UDP端口收到一个数据包后，会产生一个字符串做出回应，当运行着ECHO服务的UDP端口收到一个数据包时就会简单产生和数据包内容相同的字符串。 * SYN中源地址根本不可用，但是服务器会为每个请求分配连接来应答SYN请求，这样服务器就没有资源处理真正用户的合法SYN请求了，这就造成服务器不能正常提供服务。 如果攻击主机的带宽远大于目标主机，则潮涌攻击更为有效，攻击者发送超过目标网络处理能力的数据，从而其他通信就占不到带宽。 * DNS反射放大攻击针对开放式DNS服务系统，利用协议的安全漏洞进行拒绝访问攻击。攻击者利用僵尸网络向DNS服务器发送DNS请求，并将请求数据包的源地址设置为受害者地址。 　　在Spamhaus事件中，攻击者发出的DN