《信息安全管理第4讲网络安全威胁(2007年10月22日)》精选课件.pptVIP

第4讲 网络安全威胁 1 TCPIP经典威胁 ARP欺骗 RIP源路由欺骗 TCP欺骗 WEB欺骗 ARP欺骗 IP源路由欺骗 IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。 条件 主机A(假设IP地址是1)是主机B的被信任主机 主机X想冒充主机A从主机B（假设IP为）获得某些服务 攻击过程 攻击者修改距离X最近的路由器G2，使得到达此路由器且包含目的地址的数据包以主机X所在的网络为目的地 攻击者X利用IP欺骗（把数据包的源地址改为1）向主机B发送带有源路由选项(指定最近的路由器G2)的数据包。当B回送数据包时，按收到数据包的源路由选项反转使用源路由，就传送到被更改过的路由器G2。由于G2路由表已被修改，收到B的数据包时，G2根据路由表把数据包发送到X所在网络，X可在其局域网内较方便的进行侦听，收取此数据包。 TCP欺骗 基本流程： 步骤一，攻击者X要确定目标主机A的被信任主机B不在工作状态，若其在工作状态，也可使用SYN flooding等攻击手段使其处于拒绝服务状态。 步骤二，攻击者X伪造数据包：B - A : SYN(ISN C)，源IP地址使用B，初始序列号ISN为C，给目标主机发送TCP的SYN包请求建立连接。 步骤三，目标主机回应数据包：A - B : SYN(ISN S) , ACK(ISN C)，初始序列号为S，确认序号为C。由于B处于拒绝服务状态，不会发出响应包。攻击者X使用嗅探器捕获TCP报文段，得到初始序列号S。 步骤四，攻击者X伪造数据包：B -A : ACK(ISN S)，完成三次握手建立TCP连接。 步骤五，攻击者X一直使用B的IP地址与A进行通信。 盲攻击与非盲攻击： 非盲攻击：攻击者和被欺骗的目的主机在同一个网络上，攻击者可以简单地使用协议分析器（嗅探器）捕获TCP报文段，从而获得需要的序列号。见上述流程。 盲攻击：由于攻击者和被欺骗的目标主机不在同一个网络上，攻击者无法使用嗅探器捕获TCP报文段。其攻击步骤与非盲攻击几乎相同，只不过在步骤三无法使用嗅探器，可以使用TCP初始序列号预测技术得到初始序列号。在步骤五，攻击者X可以发送第一个数据包，但收不到A的响应包，较难实现交互。 Unicode输入验证攻击 Unicode：统一的字符编码标准，采用双字节对字符进行编码。 当微软IIS 4.0／5.0（远东地区版本）在处理包含有不完整的双字节编码字符的HTTP命令请求时，会导致Web目录下的文件内容被泄漏给远程攻击者。 利用这种IIS的漏洞，攻击者就可以通过这些特殊字符绕过IIS的目录审计远程执行任意命令。 一般实例： http://server/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ http://server/index.asp/..%c1%1c../..%c1%1c../winnt/win.ini 　 注意：以上“+”代表空格。 黑网页实例 C:idahack Host HostPort HostType ShellPort C:nc Host ShellPort 进入网页所在目录 C:echo 内容 网页文件名 2 典型系统安全威胁 缓冲区溢出概述 缓冲区溢出原理 缓冲区溢出防范 2.1 SQL注入攻击 问题简介 用用户的输入创建一个动态的SQL请求有可能让攻击者控制SQL语句的意思。 Example 1: 下面的C# 代码动态的创建SQL语句查询属于当前使用者的 物品的名称。 ... string userName = ctx.getAuthenticatedUserName(); string query = SELECT * FROM items WHERE owner = + userName + AND itemname = + ItemName.Text + ; sda = new SqlDataAdapter(query, conn); DataTable dt = new DataTable(); sda.Fill(dt); ... 查询语句预期被写为 SELECT * FROM items WHERE owner = AND itemname = ; 但是如果攻击者输入name OR a=a ，SQL语句就会变成 SELECT * FROM items WHERE owner = wiley AND item