网络与系统攻击技术-复习总结

## 口令攻击 ### 分类 本地/远程 || 应用程序/操作系统 || 主动攻击/被动攻击 主动： 字典（由很多条可能的口令组成的纯文本）强力（尝试所有字符组合方式）/组合 被动： 欺骗（钓鱼）/嗅探（FTP监测端口等）/键盘记录 ### Windows下口令攻击 #### 验证协议 LAN Manager/ NTLM / NTLMv2 / kerberos #### 攻击 本地获取/远程猜解/嗅探/L0pthcrack/NTSweep/PWDump/彩虹表 #### 防护 安全密码/防止猜测攻击/设置安全策略（强制密码历史、密码最常使用时间、最短使用期限、最小长度） ## 网络信息搜集 ### 踩点 web搜索与挖掘 DNS和IP查询 网络拓扑探查（tracerout|TRACERT路由跟踪） ### 扫描 主机扫描（ping） 端口扫描（tcp：SYN | udp：nc/scan/nmap -sU等） 系统/服务类型探查（主动：namp -O | nmap -sV 被动：P0f | PADS） 漏洞扫描（ISS Nessus Xscan） ### 查点 旗标抓取（telnet/netcat） 网络服务查点 ### nmap sT tcp连接扫描 sS tcp SYN扫描 sF FIN端口扫描 sA ACK端口扫描 sN NULL端口扫描 sX 圣诞树端口扫描 sV 主动服务探测 O 系统检查 ## 网络嗅探与协议分析 ### Sniff网络监听、网络窃听 利用计算机网络接口截获目的地为其他计算机的数据报文，监听网络流量中包含的账户密码等。 ### 以太网嗅探 以太网使用CSMA/CD载波侦听冲突检测技术，广播机制，因此在同一媒介信道上连接的工作站都可以查看到网络上传输的数据 网卡：混杂模式（不匹配地址，接受所有数据包）/非混杂模式（匹配IP） 共享式网络：HUB- 可以嗅探HUB上的所有网络流量 交换式网络：交换机- 只能监听同一端口的流量/可以通过“流量映像”口监听 ### Wi-Fi网络 802.11完全开放网络，无加密，可直接监听。WEP：存在漏洞，可很快破解并监听/WPA2:弱密码可被彩虹表破解。 ### 工具 实现：linux-BPF/libpcap | win-NPF/Winpcap 工具：linux-tcpdump/wireshark/dsniff | win-windump/SnifferPro/NPF等 ### 预防 telnet - ssh IPSEC - TLS 静态ARP代替动态机制。共享网络-交换网络 ## TCP/IP网络安全 ### 攻击模式 截获：嗅探/监听 篡改：数据包篡改 中断：拒绝服务 伪造：欺骗 ### 中间人攻击 双方身份欺骗（伪造）/消息双向转发/拦截全部通信（截获）/转发篡改消息（篡改） 报文抓取于伪造 ### IP欺骗 定义：虚假IP数据包发送 目的：隐藏攻击者身份、冒用其他计算机通过身份验证 原理：转发只用目的IP 分类：On-path Spoofing Off-path Spoofing 防范：随机化初始序列号（避免远程盲攻击） 网络层安全传输协议（IPsec） 避免采用基于IP的信任策略 路由包过滤 ### ARP欺骗 ARP：子网内IP-MAC映射表，主机启动时主动发送ARp应答，刷新邻居的ARP缓存 欺骗： 发送伪造的ARP信息，对特定IP对应的MAC地址进行假冒欺骗 用途： 交换网络中的嗅探/中间人攻击（TCP会话挟持）/病毒传播/欺骗挂马 措施： 静态ARP/VLAN虚拟子网细分网络/加密传输数据/ARP防火墙 ### ICMP路由重定向攻击 伪造路由器发送虚假ICMP路由控制报文，使受害主机按照指定路由路径 目的： 嗅探/假冒攻击 工具： Netwox （netowx 86 -f “host xxx.xxx.xxx.xxx” -g xxx.xxx.xxx.xxx -i xxx.xxx.xxx.xxx） 防护： 过滤部分ICMP包/防火墙过滤/判定是否来自于本地路由 ### RST攻击 模式： 伪造/中断 直接关闭一个TCP连接 限制条件：通讯源IP和端口号一致/序号（seq）落入TCP窗口内 ### DNS Spoofing攻击 过程： 嗅探DNS包，注入假DNS响应包 ### TCP/IP攻击防御 网络接口层：监听/优化网络拓扑/加密通讯 互联层： 检测过滤/防火墙/静态ARP 传输层： 加密传输/身份认证 应用层： 数字签名/加密/访问控制/IDS等等 ## DOS DoS攻击是指利用网络协议漏洞或其他系统以及应用软件的漏洞耗尽被攻击目标资源，使得被攻击的计算机或网络无法正常提供服务，直至系统停止响应甚至崩溃的攻击方式。即攻击者通过某种手段，导致目标机器或网络停止向合法用户提供正常的服务或资源访问。 ### 资源耗尽型 网络带宽/磁盘资源/CPU和内存资源 ### 配置修改型 修改或删除某些配置文件，使服务停止或性能下降 ### 系统缺陷型 利用系统漏洞（如口令错误次数等等） ### 物理破坏 破坏或改变网络部件实现拒绝访问 ### 基本攻击形式 1. 服务过载-向守护进程发送大量请求-导致请求丢弃-网络负担加大 2. 消息流-向某主机发送大量数据报文拖慢速度 3. 奖网络电缆接地 4. “粘住”攻击-使用TCP半连接耗尽资源 ### 攻击模式 1. SYN Flood 第三次ack不发送 2. 死ping ping报文长度超过64KB上线，导致内存分配错误-宕机 3. 泪滴（teardrop）IP分段指示该分段的位置，构造重叠偏移的分段-导致崩溃 4. land攻击 特殊SYN包（源IP与目的IP均为特定服务器）服务器不停与自己创建连接 5. smurf （ICMP）用虚假IP源向路由器的广播地址发消息，路由进行广播，设备回应，造成网络堵塞 6. Fraggle （UDP Echo）与smurf类似 7. 炸弹攻击 同时发出大量垃圾信息 ### DDOS 三层： 攻击者/主控端/代理端 UDP报文-4个空字节，针对每个端口进行，产生大量ICMP报文堵塞网络 IDS监测防御 ## 缓冲区溢出 本质：数组-输入数据超过分配的内存，覆盖其他程序的内存 位置：stack heap 数据段 作用：引发程序崩溃/利用漏洞执行任意指令/获取root权限 方法：制造缓冲区溢出程序运行用户shell