攻击与应急响应二.ppt

口令“入侵者” 口令“入侵者” 特洛伊木马(Trojans) 特洛伊木马(Trojans) 木马的伪装 冒充图象文件或游戏程序 捆绑程序欺骗 将木马程序与正常文件捆绑为一个程序 伪装成应用程序扩展组件 木马名字为dll或ocx类型文件，挂在一个有名的软件中。 后两种方式的欺骗性更大。 木马的特点 隐蔽性强： 木马有很强的隐蔽性,在Windows中,如果某个程序出现异常,用正常的手段不能退出的时候,采取的办法是按“Ctrl＋Alt＋Del”键,跳出一个窗口,找到需要终止的程序,然后关闭它。早期的木马会在按“Ctrl＋Alt＋Del”显露出来,现在大多数木马已经看不到了。所以只能采用内存工具来看内存中是否存在木马。 Glacier(冰河)有两个服务器程序，挂在注册表的启动组中的是C:\Windows\System\Kernel32.exe,当电脑启动时装入内存,这是表面上的木马;另一个是:\Windows \System\Sysexplr.exe,也在注册表中,它修改了文本文件的关联,当点击文本文件的时候,它就启动了,它会检查Kernel32.exe是不是存在。当Kernel32.exe被删除以后, 如果点击了文本文件,那么这个文本文件照样运行,而Sysexplr.exe被启动了。Sysexplr.exe会再生成一个Kernel32.exe。 特洛伊木马启动方式 木马服务器存放位置及文件名 木马的工作原理 1、木马隐藏技术 2、木马程序建立连接技术 （1）合并端口木马 修改虚拟设备驱动程序（vxd）或修改动态链接库（DLL），在一个端口上同时绑定两个TCP或UDP连接，通过把木马端口绑定于特定的服务端口之上，达到隐藏端口的目的。 采用替代系统功能的方法，木马将修改后的DLL替换系统原有的DLL，并对所有的函数调用进行过滤。 （2）使用ICMP协议进行数据的发送 ICMP报文是由系统内核或进程直接处理而不是通过端口，修改ICMP头的构造，加入木马的控制字段，木马将自己伪装成一个Ping的进程，系统会将ICMP_ECHOREPLY（Ping回包）的监听、处理权交给木马进程，一旦事先约定好的ICMP_ECHOREPLY包出现，木马就会接受、分析并从报文中解码出命令和数据。 （3）反弹端口型木马 反弹端口型木马的服务端使用主动端口，客户端使用被动端口，木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口，为了隐藏起见，控制端的被动端口一般开在80。即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP的情况。 （4）使用基于嗅探原理的原始套接字木马 基本实现：服务器端是一个发包器和嗅探器，将捕获指定特征的数据包。客户端发送指定特征的数据包并包括定义的命令以及接收Server的数据。当Server捕获到该指定特征的数据包时，变成激活状态，通过分析该数据包，获得Client发送的命令和Client的IP地址，实现相应的命令，并将执行后的结果发送回Client，Client的嗅探部分则接收相应的数据。 如何对付木马 如何对付木马 1）端口扫描 2）查看连接：netstat –a 命令 上述两种方法对驱动程序/动态链接木马无效。 3）检查注册表 4）查找木马文件：如kernel32.exe,sysexplr.exe等 5）文件完整性检查： 开始?程序?附件?系统工具?系统信息? 工具?系统文件检查器。 如有损坏可从安装 盘还原。 1、嗅探器Sniffer 2、网络监听的原理 2、网络监听的原理 3、Sniffer的危害与预防 4、检测网络监听的方法 （1）反应时间 向可疑网络发送大量物理地址不存在的包，处于监听模式的机器回应时间延迟。 （2）观测DNS 监听软件往往会尝试进行反向地址解析，查看DNS上是否地址解析请求明显增多。 （3）利用Ping模式监测 混杂模式的主机对错误地址的ICMP包会有回应。 （4）利用arp数据包监测 向局域网内的主机发送非广播式的arp包来检测。 4、检测Sniffer的方法 Sniffer工具 Sniffit 可用于Unix、Linux、NT NetXray 由Cinco Networks公司开发 高级数据包查错工具 界面友好 防止Sniffer的工具 AntiSniffer可监测同一网段内的机器，如果返回正值，则表明该机处于混杂模式，有可能已被安装Sniffer。 1、什么是拒绝服务的攻击 拒绝服务来源的原因： （1）资源毁坏 （2）资源耗尽和资源过载 （3）配置错误 （4）软件弱点 拒绝服务攻击方式 拒绝服务攻击方式 SYN-Flooding