可适应网络安全技术.ppt

攻击方法分析FTPSiteExec..FTPCWD~root一些版本的wu-ftpd允许使用站点可执行命令在远程主机上执行命令.通过提供一定特征的路径名,远程用户可以在FTP服务器上执行任意的命令.HP/UXRemoteWatch一些安装了RemoteWatch的HP/UX版本有这样的漏洞,它允许远程入侵者通过RemoteWatch服务在目标主机上执行任意命令.HPOpenViewSNMPBackdoor一个隐藏的community字符串被编码在HPOpenview4.xand5.xmanagementAgent中.这个communitystring具有对Agent配置的读写访问权.未授权访问攻击方法分析未授权访问用来越过路由器或防火墙的过滤规则和访问控制模块的攻击.IPFragmentation01webdistcgi-bin程序存在一个漏洞,它允许远程入侵者在远程主机上执行任意命令.这个webdist程序是OutboxEnvironmentSubsystemforIRIX的一部分,被缺省安装在所有的运行IRIX6.2或更高版本的SGI系统上.老版本的IRIX中为可选的安装.HTTPSGIWebDist02攻击方法分析未授权访问连接ident服务来记录用户信息需要一个正确格式的应答.如果应答信息比所需要的长,应答的读缓冲就会溢出,使得远程用户能够在该主机上执行命令.IdentBufferOverflowMicrosoft的IIS3.0服务器有一个安全漏洞,它允许通过在活动的URL后面插入一个‘.’来执行代码.HTTPIIS3.0AspDot入侵者会递交一个非零的32位用户ID,这在实际中会被操作系统认为是16位的全零的用户ID.NFSUIDCheck21入侵者试图获取网络信息(如用户名,口令文件，服务版本号),这些信息在随后的未授权访问攻击中将被使用.预攻击探测攻击方法分析预攻击探测攻击方法分析EXPN命令被用来扩张远程系统上的用户的地址.有时也合法的用于发现某个邮件容器的完整地址.有时也通过发现是否存在一般的帐户来获取系统中的用户的信息.E-MailEXPN-mailserverVRFY命令用于核实是否一个用户在远程系统中存在.它有时被合法地用于发现目标主机上的消息容器是否能够接收消息.有时也通过发现主机上是否存在一般的帐户来获取系统的用户信息.E-MailVRFY预攻击探测IPHalfScan一个标准的TCP连接首先向目标主机发送一个SYN请求包，如果目标主机对指定端口处于等待连接状态，则响应SYN应答包。初始连接者以应答数据包响应，这样一个连接建立成功。如果目标主机对指定端口未处于等待连接状态，将以RST包作为响应。多数系统日志对这种不完全连接不做记录，只有当收到最后的应答包以后才会记录下来。发送RST包而非最后的ACK应答包将导致连接不成功，因此不会记录任何日志。源主机可以判断目标主机发送了SYN/ACK或是RST，攻击者可决定哪个端口开放、哪个端口关闭，完全在目标主机未察觉的情况下进行。预攻击探测攻击方法分析该检查识别发生在你的网络中的端口扫描。Portscan即端口扫描，攻击者根据探测每个端口的响应识别哪个端口正在运行。PortscanSATAN是一个免费工具用来扫描目标系统的服务和少量的已知漏洞。SATAN该程序存在于Apache和NCSAWebservers的某些版本中，使远程攻击者可以获得cgi-bin目录内容的有关信息，作为进一步攻击的基础。HTTPtest-cgi01网卡被设置成乱序状态.获取全部的网络数据包.02攻击方法分析探测器有时也叫trapdoor.是一个对程序或在线服务获取访问权限的秘密的方法.后门程序被最初的编程人员放入软件中作为获取特殊功能的权限的一种方法.例如,操作系统的后门程序会允许对运行该软件的任何主机的无限的访问权限.后门程序攻击方法分析后门程序NetBusNetBus是一个Windows95和WindowsNT的后门程序,根据NetBusweb主页,它会让入侵者对你的主机执行如下动作:打开/关闭CD-ROM.显示一个BMP/JPG图象.交换鼠标按钮.启动一个应用.播放一个音频文件.控制鼠标.显示不同种类的消息.关闭Windows.下载一个文件.去Internet上的一个URL.….