变更网路伺服器服务内容之攻击与防御.PPT

M97F0215 王英南 指導老師 葉禾田 變更網路伺服器服務內容之攻擊與防禦 來源 TANET 建國科技大學電腦與通訊工程系 沈慧宇 吳俊弘 吳紹維 周哲漳 江冠宏 摘要 網際網路的攻擊者本身是無法穿過防火牆的阻擋，而直接攻擊內部伺服器，所以當然也不能直接連線至內部網路的其他用戶端電腦。 那植入後門程式攻擊者可以在不改變通訊埠號下，變更內部伺服器的服務程式為遠端登入或其它內容，由於通訊埠號沒有改變，攻擊者可以穿過防火牆並下攻擊指令，在攻擊後馬上還原內部伺服器原始的服務內容。 防火牆 防火牆它會根據進出的封包執行來源網址或目的網址過濾的動作，其進階功能更可以檢視來源封包的通訊埠號或目的封包的通訊埠號 後門程式 後門簡介 後門程式的起源有兩種，一種是不懷善意的後門程式，另一種是遠端管 理程式。如果以不正當的手法來使用的話，就變成了後門程式。 散播途徑 後門程式大多數是藉由類似病毒感染的方式傳遞，例如夾帶在電子郵件中，當你享受朋友分享的軟體或電子郵件的同時，後門程式就悄悄的進駐了。 知名軟體：迅雷、PPS、Flashget(內地軟體居多) 傳統攻擊方式 入侵攻擊介紹 攻擊行為是假設防火牆內部網路的伺服器已被植入後門程式，或甚至於伺服器超級管理者的密碼已被破解。 攻擊者可以透過後門程式直接由內部網路伺服器連線到外部主機 (因為這種連線方式不受防火牆限制)，但是外部主機的網址是固定寫入後門程式，所以容易被偵測出來。 系統架構 1 系統架構 2 防禦 封包格式 結論 透過探測主機加防火牆阻擋過濾，網路伺服器已被植入後門程式，仍然可以有效防禦入侵者的攻擊。 記錄伺服器被更改的服務內容與攻擊者的位址，以利後續的偵防。 優點：防火牆有效阻擋。 缺點：可能會增加探測主機查詢的頻寬跟時間。 謝謝指教 報告結束 在後門程式啟動下，防火牆內部網路的伺服器 所開啟的正常服務會遭到短暫停用，甚至利用伺服 器對外開放的通訊埠號，啟動攻擊者預先指定的異 常服務，讓攻擊者在不受防火牆阻擋下 Linux 系統可以輕易將 /etc/services 檔案內 80 port 瀏覽網頁的服務更改為 /etc/xinetd.d/telnet 檔案所定義的遠端登入服務，由於防火牆內部網路 常常會彼此互相信任，因此，攻擊者在進入伺服器 後，更可能攻擊內部網路的其它主機，或甚至於以 內部網路的主機做為跳板，再通過防火牆對外連 * 在後門程式啟動下，防火牆內部網路的伺服器 所開啟的正常服務會遭到短暫停用，甚至利用伺服 器對外開放的通訊埠號，啟動攻擊者預先指定的異 常服務，讓攻擊者在不受防火牆阻擋下 Linux 系統可以輕易將 /etc/services 檔案內 80 port 瀏覽網頁的服務更改為 /etc/xinetd.d/telnet 檔案所定義的遠端登入服務，由於防火牆內部網路 常常會彼此互相信任，因此，攻擊者在進入伺服器 後，更可能攻擊內部網路的其它主機，或甚至於以 內部網路的主機做為跳板，再通過防火牆對外連 *