第5章 攻击技术分析..ppt

5.3.3 程序漏洞攻击 1.缓冲区溢出攻击 2.BIND漏洞攻击 3．Finger漏洞攻击 4.Sendmail漏洞攻击 信息安全技术与应用 概 述 由于编写程序的复杂性和程序运行环境的不可预见性，使得程序难免存在漏洞。 程序漏洞攻击成为攻击者非法获得目标主机控制权的主要手段。 信息安全技术与应用 1.缓冲区溢出攻击的原理 缓冲区溢出攻击是利用系统、服务、应用程序中存在的漏洞，通过恶意填写内存区域，使内存区域溢出，导致应用程序、服务甚至系统崩溃，无法提供应有的服务来实现攻击目的。不检测边界是造成缓冲区溢出的主要原因。 UNIX主要设计语言是C语言，而C语言缺乏边界检测，若不检查数组的越界访问，就会留下基于堆栈攻击的隐患。 UNIX进程在内存中分为正文段、数据段和堆栈段。堆栈段用于为动态变量分配空间和临时保存函数调用的参数和返回地址。动态分配是UNIX程序采用的主要方法，但是，若动态变量从栈中分配空间时没有作边界检查，则可能发生缓冲区溢出，造成段越界。 信息安全技术与应用 2.BIND漏洞攻击 运行在DNS服务器上的BIND(Berkeley internet name domain，Berkeley internet名字域)DNS服务器软件是最易遭受攻击的软件之一。 BIND存在的脆弱性可以对系统造成根级的安全威胁。如BIND 8.2版本存在漏洞，攻击者伪装成DNS服务器，发送一个大的NXT记录（next，域中不存在的名字被标定为NXT类型），并在记录中包含攻击代码，使存在漏洞的DNS服务器缓冲区溢出，从而获得root权限。 信息安全技术与应用 3．Finger漏洞攻击 Solaris自带的Finger服务器存在如下一些漏洞：当攻击者在向Finger服务器提交以数字做用户名的询问请求时，Finger服务器会把日志文件wtmp(wtmp 一个用户每次登录和退出时间的记录) 中所有的用户名返回给攻击者。 当攻击者对服务器进行finger查询时，如果询问一个不存在的用户，服务器会返回一个带“.”的回答，这可能造成攻击者用暴力法判断系统上存在的用户。 信息安全技术与应用 4.Sendmail漏洞攻击 在旧版本的sendmail中，为解决反向编码的问题，数据库中包含一个decode入口，这个UNIX程序可以将一个以纯文本编码的二进制文件，转化为原有的二进制的形式和名字。反向编码完全尊重被编码的文件，例如当一个名为bar.uu的文件声称其原始文件是/home/foo/.rhosts时，则反编码程序将试图转化bar.uu文件为foo下的.rhosts文件。 一般情况下sendmail将undecode作为半特权用户后台程序运行，所以email发出的编码文件不会覆盖任何系统文件。但是，如果目标程序是全局可写的，那么编码程序允许远程用户修改这些文件，使攻击者可以放置木马，留下后门，达到攻击目的。 信息安全技术与应用 5.4 木马攻击 “特洛伊木马”源于希腊神话《木马屠城记》 计算机系统中也存在类似于“特洛伊木马”的程序 在用户无所察觉的情况下悄然运行，访问未授权资源，窃取用户信息，甚至破坏用户数据和系统。 信息安全技术与应用 基本概念 在计算机系统中，“特洛伊木马”简称“木马”，指系统中被植入的、人为设计的程序，目的包括通过网络远程控制其他用户的计算机系统，窃取信息资料，并可恶意致使计算机系统瘫痪。 木马技术可分为四代 从木马所实现的功能角度，木马可分为：破坏型、密码发送型、远程访问型、键盘记录木马、DoS攻击木马、代理木马、FTP木马、程序杀手木马、反弹端口型木马等。 信息安全技术与应用 木马的特点 典型的特洛伊木马通常具有以下四个特点：有效性、隐蔽性、顽固性、易植入性。 一个木马的危害大小和清除难易程度可以从这四个方面来加以评估。 信息安全技术与应用 木马的基本原理 木马相关技术主要包括：植入技术、自动加载运行技术、隐藏技术、连接技术和远程监控技术等。 植入技术是指攻击者通过各种方式将木马的服务端程序上传到目标主机的过程。 自动加载技术实现木马程序的自动运行。 为保证攻击者能长期侵入和控制目标主机，木马程序通常要隐藏自己 建立连接时，木马的服务端会在目标主机上打开一个默认的端口进行侦听 木马连接建立后，客户端端口和服务器端口之间将会出现一条通道，客户端程序可由这条通道与服务器上的木马程序取得联系，并对其进行远程控制。 信息安全技术与应用 木马的防范技术 1.及时修补漏洞 2.选用实时监控程序、各种反病毒软件 3.培养风险意识，不使用来历不明的软件。 4.加强邮件监控管理，拒收垃圾邮件。 5.即时发现，即时清除。 信息安全技术与应用 5.5 蠕虫技术 蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性