网络信息安全-第3章 网络信息安全威胁.ppt

* * * * * * * * * * * * * * * 远程线程技术是通过在另一个进程中创建远程线程的地址空间，在远程嵌入完成后，再将原进程关掉，木马模块就作为线程在另一个进程中运行，系统中不存在木马进程的痕迹，是一种很有效的木马隐藏技术。 远程缓冲区溢出技术是将木马程序写入目前正在运行的某个进程的内存中，更改该进程异常处理代码，使之转向木马程序模块处运行。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 北京邮电大学信息安全中心 有害程序-木马 按通信技术分类 传统C/S通信型：该类型木马服务端打开某个端口监听来自控制端的连接消息，以便与控制端进行通信交流。这是一般的C/S模式采用的通信方式。但防火墙一般会阻断来自外部的连接请求，使得该模式的通信受到限制。 端口寄生型：利用目标机器上一个已经打开的端口进行监听，遇到来自控制端的特殊格式指令就进行解释执行。由于没有另开端口，因此不会在系统端口扫描时被发现。 端口反弹型：采用服务端主动向控制端发起连接的方式进行通信。一般防火墙对由内向外的连接请求通常不加限制，这样使得反弹端口模式的木马能躲避一般防火墙的阻截。如将控制端主机监听端口设为80，伪装成Web服务器；或伪装成FTP服务器，将通信伪装成合法化。 北京邮电大学信息安全中心 有害程序-木马 按通信技术分类 ICMP型：采用ICMP协议进行通信交流，由于不需要建立连接，可有效避免端口扫描工具发现。服务端通过在协议数据包中加入特殊格式的信息，实现与控制端通信。类似的，ARP有时也用于木马通信。 电子邮件型：该类型木马的服务端将搜集的信息以邮件的方式发到木马使用者的邮箱内。与端口反弹型木马相比，电子邮件型木马通信效率相对较低，但它具有不暴露木马使用者IP的强大优势，同时比较容易绕过防火墙，应用较广泛。 网卡或Modem直接编程型：这类木马与控制端进行通信时不利用套接字，而采用直接对网卡或Modem进行编程，可以防止杀毒软件的套接字检测扫描。 北京邮电大学信息安全中心 网络系统缺陷-协议实现缺陷 网络层协议实现缺陷 IP包碎片攻击 TearDrop攻击：在DoS攻击中已介绍，利用协议实现缺陷，造成DoS效果。 类似地，Jolt2攻击：发送相同的分片包，且包的偏移量与长度之和超出了单个IP包的长度限制。如构造IP包，分片标志位MF=0，表明最后一个分片，偏移量为0x1FFE，报文总长度为29，则计算重组后的长度为6554965535。Linux受到攻击后每5s打印一条信息，Windows95/8CPU占用达到100%。 IGMP Nuke攻击 某些系统不能很好处理过大的IGMP数据包。向Win98发送多个超过65535字节的IGMP包，会导致Win98蓝屏。这就是常说的Win98蓝屏炸弹。 北京邮电大学信息安全中心 网络系统缺陷-协议实现缺陷 网络层协议实现缺陷 Ping of Death攻击 早期路由器对通过的数据包有最大尺寸限制，所以操作系统对TCP/IP协议栈实现也有相应限制，如ICMP包长度限制为64KB。 通过设定特定的ICMP包，如声称自己的尺寸超过ICMP上限 的数据包，系统内存分配会出现异常，导致崩溃。 Winnuke攻击 利用NetBIOS协议中一个OOB(Out of Band)的漏洞，即所谓的带外数据漏洞进行的，它的原理是通过TCP/IP协议一个Urgent紧急数据到计算机的137、138或139端口，当Win95/NT收到该数据包就会瞬间死机或蓝屏。 带外数据优先级高于一般数据，不按通常次序进入TCP缓冲区，可立即被进程读取或使用SIGURG信号通知进程。 北京邮电大学信息安全中心 网络系统缺陷-协议实现缺陷 应用层协议实现缺陷 不同的应用协议有不同的缺陷 如利用HTTP协议，SIP协议，H.323协议等 微软IIS服务的Unicode漏洞实例 微软IIS服务负责对外提供Web服务，为方便浏览器用户使用，设置了虚拟目录，实质上就是把真实服务器上的目录用另一名字代替，如输入/scripts对应服务器上的“d:\inetpub\scripts”。 在DOS或Windows目录结构中，通过“..\”可以访问到上级目录，用它突破目录限制，可执行服务器的其他程序。 不过IIS服务器出于安全性考虑，会自动过滤掉这类字符串 但对这些字符用Unicode编码传输就可以绕过IIS的路径检查去执行或打开任意文件。 北京邮电大学信息安全中心 网络系统缺陷-缓冲区溢出 缓冲区溢出特点 很多攻击或多或少最终与缓冲区溢出有关 缓冲区溢出后