校园网常见安全问题及案例分析

18
常见的攻击方法
格式化串攻击——所谓格式化串，就是在 *printf()系列函数中按照一定的格式对数据进 行输出，可以输出到标准输出，即printf()，也 可以输出到文件句柄，字符串等，然后利用 printf函数的参数错误访问越界数据，从而达 到攻击的目的
19
常见的攻击方法
管理员编写程序的错误 主要集中在CGI程序中，诱发的原因是没有合理的 检测输入的参数导致 。大部分CGI 脚本编写时 都等待某种特殊格式的数据。它们期望用户的输 入能匹配收集并发送信息的表单。不过事情并不 总是这样。用户可以有许多种办法绕过这些预定 义的格式而给脚本发送一些看起来是随机的数 据，从而导致cgi脚本执行攻击者指定的程序
35
案例分析
·20051126215655189.asp是一个用来生成admin.asp这个木 马页面的一个asp网页，这个网页又是哪来的呢？ 查看该文件的生成日期为 2005年11月26日 21:56:55 继续查看IIS日志
2005-11-26 13:56:55 192.168.1.1 POST /upfile_article.asp - 80 - 220.201.17.3 Mozilla/4.0+(compatible;+MSIE+5.01;+Win dows+NT+5.0) 200 0 0
2005-11-26 14:01:59 192.168.1.1 POST /UploadFiles/20051126215655189.asp - 80 - 67.15.22.36 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+Alexa +Toolbar) 200 0 0
11
常见的攻击方法
暴力破解——暴力破解攻击（brute-force
attack)使 用数字和字母的任意组合，猜出用户名和口令。暴力攻 击有个要求就是必须被攻击方必须对攻击方的反复测试 做出自动的回应。 暴力破解一个很典型的例子就是某些黑客向某个加密算 法进行挑战，他们为了破解一条经过RC4算法和不对称密 钥加密过的信息，动用了120台群集在一起的工作站，两 台巨型计算机和来自三个主要研究中心的信息花费了八 天的时间才把信息给破译出来。实际上花8天的时间去破 译一个加密算法是非常短的时间。
30
案例分析
检查钓鱼网站在系统上生成的时间为 Index.htm 2005年11月26日 23:17:55 我们对照IIS的日志看看这个时间日志里记录 了什么东西？
31
案例分析
· 注意，首先需要解释的事情是web日志纪 录的时间是按标准时区的时间纪录的，我 们所在的地区为东八区，因此日志上记录 的时间要比计算机上的时间晚8个小时， 也就是说日志上显示的15点实际上是机器 上的23点。
20
常见的攻击方法
错误的配置
管理员使用了系统默认的配置引起的 例如SQL server的默认管理员密码为空
21
常见的攻击方法
木马与病毒、蠕虫
特性
宿主 表现形式 传播方式 主要危害
病毒
需要 不以文件形式存 在 依赖宿主文件或 介质
蠕虫
不需要 独立的文件 自主传播
木马
需要 伪装成其他文 件 依靠用户主动 传播 留下后门，窃 取信息 慢
校园网常见安全问题与案例分析
1
校园网常见安全问题与案例分析
· 常见的攻击种类 · 案例分析
Baidu Nhomakorabea
2
常见的攻击方法
1、哄骗与监听 2、键纪录 3、拒绝服务攻击* 4、基于故障的攻击* 5、暴力破解 6、木马与蠕虫、病毒 7、端口扫描 8、网络欺诈
3
常见的攻击方法
哄骗与中间攻击（监听） 哄骗——在网络中一台主机假冒另一个实体的攻
9
常见的攻击方法
所有中间攻击的一个基础就是数据监听。数据 监听在非交换环境下非常容易发生，而在全交换 环境下这种攻击的难度会大大增加。如果攻击者 仅做包捕获而不做其他的攻击的话，我们要发现 它相对来说非常困难。
10
常见的攻击方法
键记录攻击——键记录攻击就是记录计算机键盘的每个击 键动作。可以将击键存储在一个文件中，并可以随意将 文件发送到预先确定的电子邮件地址。 · 截取所有的击键、鼠标敲击、活动窗口中的字幕、静态 文本和其他的用户输入项。 · 悄悄地运行，而不影响受害者计算机的性能。 · 截取口令和登录名 · 保存用户名和登录时间 · 保存消息框和窗口中的文本 · 加密输出的日志文件，这样只有黑客能阅读
32
案例分析
检查这个时段IIS的日志发现下面两条值得我 们注意
1. 2005-11-26 15:17:45 192.168.1.1 POST /admin.asp Action=UpFile&Action2=Post 80 - 220.201.17.3 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+Ale xa+Toolbar) 200 0 0 2005-11-26 15:17:59 192.168.1.1 GET /images/index.htm - 80 - 220.201.17.3 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+Ale xa+Toolbar) 200 0 0
15
常见的攻击方法
资源消耗的拒绝服务攻击 邮件炸弹。。。 基于故障的拒绝服务攻击
畸形消息攻击
16
常见的攻击方法
基于故障的攻击——所谓基于故障的攻击就是利 用服务程序的某些缺陷进行的攻击。 这些缺陷可能来源于： 1、程序本身设计上漏洞 2、管理员错误的配置
17
常见的攻击方法
程序的漏洞缺陷 缓冲溢出攻击——缓冲溢出指的是一种系统攻击 的手段，通过往程序的缓冲区写超出其长度的内 容，造成缓冲区的溢出，从而破坏程 序的堆 栈，使程序转而执行其它指令，以达到攻击的目 的。据统计，通过缓冲区 溢出进行的攻击占所 有系统攻击总数的80%以上
27
案例分析
28
案例分析
处理过程 1. 通知管理员马上摘除掉钓鱼的页面 2. 我们开始检查机器，以确定被攻击的原 因和时间
29
案例分析
服务器的情况 · 操作系统 windows 2000 + sp4 · 补丁情况 安装了最新的补丁程序 · 安装了norton的防毒软件，并更新了最新 的病毒库 · 服务器前面有防火墙，外部只允许访问80 端口 · 系统管理员密码12位
击，被哄骗的实体确信它正与一台可信任的主机 交往。 哄骗攻击通常的方法有两种，一种是伪造数据 包中的相关信息来达到目的，另一种是改变DNS 的指向来骗取主机的信任。
4
常见的攻击方法
前者通常被用来隐藏攻击者的真正来源，但是它 要建立起连接在技术上存在一些难度，因此这种 哄骗大多数情况下被用在DOS攻击当中。而后者 则是为了获取用户的敏感信息而产生的一种攻 击，要想达到改变DNS的指向有两种方法，一种 是修改DNS的缓存信息，另一种是修改系统本身 的DNS缓存。
42
案例分析
·fileExt=lcase(ofile.FileExt) ·//从上传文件那获得上传的后缀名 · arrUpFileType=split(UpFileType,"|") · for i=0 to ubound(arrUpFileType) · if fileEXT=trim(arrUpFileType(i)) then · EnableUpload=true · exit for · end if ·//将获得的后缀名与系统定义好的允许上传的后缀名进 行比对，如果为允许上传的类型则将EnableUpload负值 为true
13
常见的攻击方法
拒绝服务攻击——拒绝服务攻击就是企图通过
使你的服务计算机崩溃或把它压跨来阻止你提供 服务，拒绝服务攻击是最容易实施的攻击行为， 也是目前网络上存在最多的攻击
14
常见的攻击方法
常见的拒绝服务攻击有：
基于协议的拒绝服务攻击如 SYN洪水（SYN flood） Land攻击 泪滴（teardrop） UDP洪水（UDP flood）
5
常见的攻击方法
中间攻击——为什么叫中间攻击，它有一个共同的特
征，这种攻击状态下攻击者必须处于两个被攻击者物 理连接的中间。因此叫中间攻击。中间攻击包括监听 和连接劫持。
6
常见的攻击方法
正常的连接过程
7
常见的攻击方法
一个连接劫持攻击过程
8
常见的攻击方法
·ARP欺骗
A 实现了交换环境下 B 的监听过程 发给B的信 B回应给A 息 的包 ARP修改后转 ARP包我是 转发给 包我是 A修改后 B 给A B C
12
常见的攻击方法
从上面这个例子可以看出，暴力攻击往往需要花费大量的 时间，并且攻击的结果却往往令人失望或是需要巨大毅 力。但是由于大部分的系统都暴露在这种攻击的威胁 下，所以针对这种攻击衍生出字典穷举攻击，它是暴力 攻击中的一种自定义的，定向的攻击版本。它根据人们 设置密码时通常的原则都是有一定规律的特点，将一些 人们常用的密码组合作为探测口令，这样大大提高了攻 击的效率。 字典文件：它是包含各种单词组合或是不同语言的单词列 表。有专门生成字典的工具，你也可以在网上下载到黑 客们整理好的字典文件，
38
案例分析
· 分析upfile_article.asp程序 程序用来验证用户身份的语句为 if session("AdminName")="" and request.Cookies("asp163")("UserName")="" then response.Write("请登录后再使用本功 能！")
24
校园网常见安全问题
校园网常见的安全问题： · 蠕虫病毒 · 木马程序 · 系统入侵 ·DOS攻击 · 垃圾邮件
25
校园网常见安全问题与案例分析
· 常见的攻击种类 · 案例分析
26
案例分析
事件起因：我们接到国外投诉，IP地址 192.168.1.1 上面存在钓鱼网站，访问该地 址发现是，该网站是某校电子系的主页， 在网站的某个目录下存在钓鱼网站，如下 图所示：
39
案例分析
· 系统提供session和cookies两种验证机制， 而判断为非法用户的条件是session和 cookies里的用户标示均为空。 · 但是我们知道cookies信息是保存在用户端 本地的，因此入侵者可以很轻易的伪造 cookies里的用户信息来绕过这项安全机 制，这个漏洞导致用户无需任何的有效账 号就可以使用系统的上传功能。
2.
33
案例分析
· admin.asp 是一个ASP木马页面功能 包括: 1. 查看文件 2. 上传和下载文件 3. 删除和修改文件 4. 执行相应的系统命令 钓鱼网页就是通过这个页面传上去的
34
案例分析
· 继续查看admin.asp文件的生成时间为
2005年 11月 26日 22:01:59 继续查看与之相关的IIS日志，发现这么一条
40
案例分析
· 用户可以绕过身份验证，但是程序还对上 传的文件类型进行了判断，入侵者是如何 绕过这一关的呢？继续分析程序用来判断 上传类型的代码段：
41
案例分析
· FoundErr=false · //初始定义了FoundErr的值为假 · EnableUpload=false · //初始定义了EnableUpload的值为假 · for each formName in upload.file · //列出所有上传了的文件，系统允许上传 多个文件 ·set ofile=upload.file(formName) ·//生成一个文件对象
破坏数据完整性、 侵占资源 系统完整性 快 极快
传播速度
22
常见的攻击方法
端口扫描 某种意义上说端口扫描不算是一种攻击，但 是它是大多数攻击的前奏。 黑客都会通过扫描端口来收集要攻击的主机 的相关信息，这些信息包括操作系统类 型，开放的端口，开放的服务，系统存在 的漏洞。
23
常见的攻击方法
· 网络欺诈 通过网络进行的一种欺诈行为，典型的有 钓鱼网站、虚假信息的垃圾邮件等
36
案例分析
·upfile_article.asp是网站建设者写的一个管 理程序，用来给管理员上传附件的。基本 可以确定入侵者是通过这个页面上传了asp 木马程序，然后控制系统的。但是这个页 面有一系列的身份验证措施和上传文件类 型的限制措施，入侵者是怎么突破这些的 呢？
37
案例分析
upfile_article.asp有两项安全机制 1. 只有有合法用户身份的人才能使用 upfiel_article.asp这个文件上传文件 2. 系统仅允许上传gif、jpg、rar、zip这几种 格式的文件，禁止上传asp、asa、aspx等 类型的文件