IP欺骗、缓冲区溢出.ppt

趋势5：防火墙穿透的反向化 末端化攻击技术使防火墙穿透趋向反向化，包括个人防火墙穿透和网络防火墙穿透，穿透技术有可信通信共享、隧道通信、驱动层通信等 趋势6：网络攻击的多样化 攻击手法和载体趋向多样化，病毒、后门、木马以及黑客等攻击手法相互融合，并集成在单一的程序上。网络载体由有线网络向无线网络、手机通信以及空间链路发展 A主机 B主机 C主机 (1) 使B瘫痪 (2) 探测ISN和RTT (3) 假冒B建立TCP连接 (4) 重定向获取数据 (5) 获取Shell和Root权限 图 IP欺骗攻击原理 2. IP欺骗攻击的防范措施 删除所有的/etc/hosts.equiv和$HOME/ .rhosts文件, 并修改/etc/inetd.conf文件，使RPC服务无法运行 在路由器中设置过滤器，滤除那些来自外部而信源地址却是内部IP的报文 在TCP实现时, 应选择具有较好随机性的ISN生成算法，使攻击者难以找到规律 五、网络蠕虫病毒攻击 计算机病毒是指一种人为制造的恶意程序,通过不同的途径潜伏或寄生在存储媒体或程序里。当某种条件或时机成熟时,它就会自动复制和传播, 破坏计算机系统及其资源 目前, 全世界流行的计算机病毒已超过8万余种, 并以每月300～500种速度不断增长 病毒呈现出多样化发展态势，主要病毒类型有引导型病毒、文件型病毒、宏病毒、混合型病毒以及蠕虫病毒等 各种病毒的危害性有所不同： CIH之类的恶性病毒破坏计算机主板BIOS和硬盘数据 COMPAT、DELTREE等宏病毒随机修改和删除文件 探索蠕虫、梅丽莎等病毒通过互联网迅速传遍世界, 造成系统瘫痪和数据丢失 Code Red II、Nimda等病毒将病毒和后门程序集为一体，危害性很大 木马类病毒以远程控制主机和窃取个人秘密信息为目的 Code Red II病毒剖析 Code Red II (红色代码2)病毒是一种恶性的蠕虫病毒，它首次将计算机病毒与后门程序结合起来，采用渗入内部网、由内向外攻击的策略 首先利用缓冲区溢出漏洞进入Windows IIS服务器，并放置后门程序 然后采用更为有效的传播机制，迅速将病毒传染给网络其它主机，形成更大的攻击性, 当时在全球造成了巨大的损失 Code Red病毒是计算机病毒发展史上一个里程碑，首次实现了面向内部网的病毒传播机制，并将病毒和后门相结合 Code Red 病毒利用了Windows 2000 IIS服务器远程溢出漏洞渗入到系统中，获取系统权限，安装后门程序，感染和传播病毒 由于病毒代码不适合Windows NT系统，还可能造成Windows NT IIS服务器崩溃 Code Red II病毒的攻击行为可以分为三个阶段：传染、繁殖和安装后门程序 传染阶段 (1) 获得当前主机的IP地址，以便在后面的繁殖阶段中使用 (2) 检查系统语言是否是中文版本，并以此设置攻击线程数 (3) 检查是否执行过本程序，是则表示重复执行, 直接进入繁殖阶段 (4) 检查是否有Code Red II atom标志, 有则表示已被其它程序传染，进入休眠状态 (5) 否则表示该主机未被传染，设置Code Red II atom标志，避免重复传染 (6) 如果是中文版, 则线程数设为600，否则线程数设置为300 (7) 根据设定的线程数产生新线程, 然后跳到第(1)步重复执行，实际上都会跳至繁殖阶段去执行 (8) 调用后门功能 (9) 若是中文版, 则程序休眠2天, 否则休眠1天 (10) 重启系统，内存中的病毒程序将被清除, 但保留explorer.exe后门程序 2. 繁殖阶段 (1) 检查系统当前日期是否小于10月，是则继续，否则重启系统(干扰系统运行)。这表明病毒传播日期应在10月1日之前 (2) 设置Socket套接字, 通过特殊算法产生要传染主机的IP地址，并发起连接 (3) 如果连接成功，则向该套接字发送病毒程序拷贝 (4) 关闭套接字，返回 3. 安装后门程序 病毒将创建一个后门程序explorer.exe, 存放在C:\和D:\的根目录下, 它作用是： (1) 获取本地windows目录 (2) 然后执行真正explorer.exe程序 由于后门程序exploer.exe存放在系统盘根目录下, 它先于真正exploer.exe程序的执行 病毒通过修改注册表增加了两个虚拟Web目录(/c和/d), 并分别映射到C:\和D:\ 用户即使删除了root.exe文件，只要后门程序explorer.exe仍在运行，攻击者仍然可以利用这两个虚拟目录来远程访问该系统 如果用户登录到没有安装补丁的系统时，就会执行这个后门程序 另外，该病毒通过独特的算法来生成下一个主机