拒绝服务程序.ppt

搜集信息 侦查阶段，最重要 (1)隐藏地址：攻击者首先寻找可以利用的别人电脑（当“傀儡机”），隐藏自己真实的IP地址。 (2)锁定目标：安全漏洞的目标主机。 (3)了解目标的网络结构：网关路由、防火墙、入侵检测系统(IDS)等 (4)搜集系统信息：操作系统类型、所提供服务、端口开放、采用的协议等 获取权限 (1)获取访问权限：获取一般的账户和密码 网络帐号与口令的破解 强制口令破解：猜测简单口令，字典攻击，暴力破解 破解口令文件 网络欺骗的方式：社会工程，网络钓鱼 (2)提升访问权限：获得一些额外的权力，最终获得目标主机的控制权。 未打补丁和过期的软件应用程序在进行权限提升时 (3)保持权限：获得目标网络的权限并将权限提升至必要的等级后，攻击者尽力维持已盗用系统的访问权限 安装恶意软件或者隐藏程序，提供攻击的后门 消除痕迹 这一阶段的主要动作是清除事件日志并隐藏其遗留下来的文件，因为日志往往会记录一些攻击者实施攻击的蛛丝马迹，为了不会留下这些“犯罪证据”，以便日后可以不被觉察地再次进入系统，攻击者会更改某些系统设置，如对日志重新进行配置，使之恢复初始设置。 攻击环节中被疏忽的部分 深入攻击 消除入侵的踪迹之后，攻击者就开始深入下一步的行动，如下载敏感信息、展开破坏和留下后门等——窃取主机上的各种敏感信息，如软件资料、客户名单、财务报表、信用卡号等，甚至在系统中置入特洛伊木马，会利用这台已经攻陷的主机去继续他下一步的攻击，如继续入侵内部网络，或者利用这台主机发动DoS攻击使网络瘫痪。 1.2.2 TCP、UDP包头数据格式 TCP：TCP协议是传输层协议，为应用层提供服务，RFC793中有基本的TCP描述，可靠连接。 TCP数据包是包含在一个IP数据报文中的 TCP数据包头结构 TCP数据发送 TCP连接的建立－三次握手 UDP协议（User Datagram Protocol），是传输层协议，为应用层提供服务，RFC768中有基本的UDP描述。 UDP数据包是包含在一个IP数据报文中的。 UDP协议是面向非连接的，任何一方创建好后，都可以向对方发送数据包，甚至可以在对方未开机或不存在的情况下，一方仍然可以成功地发送数据包。 数据包头的结构 1.2.3 TCP扫描 (1)TCP connect扫描 (2) TCP SYN扫描 (3)TCP FIN扫描 (4)TCP NULL扫描 (5)TCP ACK扫描 (6) TCP FIN+URG+PSH扫描 (7) TCP反向Ident扫描 优点：极少有主机来记录这种连接请求。 一些防火墙和包过滤程序监视SYN数据包 缺点：半开扫描没有既定的函数可以调用，所以需要自己组包， 所组的包必须能通过校检和函数的校验－伪TCP头 总共需要填充三个头部信息：IP头、伪TCP头、TCP头，最终再由IP头+TCP头完成一个整包。 （4）TCP NULL扫描 原理：当申请方主机向目标主机一个端口发送的TCP数据包所有标志位都为空， 如果目标主机该端口是“关”状态，则返回一个TCP RST数据包； 否则不回复。 （5）TCP ACK扫描 原理：当申请方主机向目标主机一个端口发送一个只有ACK标志的TCP数据包 如果目标主机该端口是“开”状态，则返回一个TCP RST数据包； 否则不回复 (6) TCP FIN+URG+PSH扫描 原理：当申请方主机向目标主机一个端口发送的TCP数据包中，FIN、URG和PSH标志位都置位 如果目标主机该端口是“关”状态，则返回一个TCP RST数据包 否则不回复。 (7) TCP反向Ident扫描 Ident（Identification Protocol，标识协议， RFC1413 ）提供了一种方法，可以对建立TCP连接的用户身份进行标识，该协议使用113端口，一旦建立连接，该服务就会读取指定TCP连接的查询数据，将拥有指定TCP连接的用户信息反馈给对方。 Ident 协议允许通过TCP连接查询对方的任何进程的用户名，即使这个连接不是由该进程开始的。 根据这一原理，扫描程序可以通过TCP连接到对方的WWW端口（默认的80），然后通过Ident协议判断对方是否正以管理员权限运行。 缺点是只能在和目标端口建立了一个完整的TCP连接后才能看到。 1.2.4 UDP扫描 普通的UDP扫描 UDP recvfrom和write扫描 （1）普通的UDP扫描 原理：ICMP协议（RFC792）规定，向目标主机的一个未打开的UDP端口发送一个数据包时，对方主机会回复一个“目的不可达”（ICMP_PORT_UNREACH）错误。 特点： 需要多次扫描才能得到准确的结果。 扫描方法较慢 需要管理员权限 非root用户不能直接读到ICMP的“端口不能到达”错误时