网络安全 黑客与网络攻击笔记

黑客简介

什么是黑客？
定义一：

精通计算机技术，善于发现互联网漏洞并且侵入他人计算机系统进行查看，更改，窃取数据或者干扰计算机程序的人。                                                                                --《新华字典》
定义二：

是指对计算机科学，编辑和设计方面有高度理解的人。                          --《百度百科》

黑客的产生

任何系统都不可能绝对安全
银行卡：广西17岁黑客叶某获取了160万条个人信息和银行卡号，涉案金额15亿元
ATM机：2010年美国黑客大会上，黑客现场演示如何破解ATM机并让其不断吐钞票
国家层面：黑客攻击别国计算机网络系统
电影：《碟中谍4》潜入克里姆林宫

人类的好奇心
证明自己的能力

Kevin Mitnick
15岁时入侵北美空中防务指挥系统，翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。

Gary McKinnon

英国黑客，被控在2001年和2002年非法侵入了美军五角大楼和NASA的计算机网络，这位自称技术并不高超的黑客辩解是为了寻找小绿人和UFO方面的信息。

经济利益驱使
黑客产业链
各个角色分工明确：老板、病毒编写者，流量商，盗号者，贩卖商等
电信诈骗、钓鱼网站（社会工程学）

黑客的特点

情商低
性格孤僻
讨厌被约束
典型代表：孙悟空大闹天宫
亦正亦邪
年龄范围广
全球最小的黑客，汪正扬

胆大包天、做事不计后果
典型代表1：阿桑奇
维基解密：关塔那摩丑闻，驻阿美军丑闻，希拉里邮件门
典型代表2：斯诺登
揭露美国政府棱镜项目

网络攻击的步骤

1.隐藏位置
2.网络探测和资料收集，寻找攻击目标（踩点）
3.弱点挖掘（寻找漏洞）
4.掌握控制权
5.隐藏行踪
6.实施攻击
7.开辟后门

隐藏位置

黑客与网络攻击

利用网络协议的网络攻击

ARP协议
Address Resolution Protocol，地址解析协议

一组协议

帮助主机把网络层地址(IP)解析为链路层地址(MAC)
ARP协议在Internet的通信子网层和网络层之间起到一个桥梁的作用

ARP缓存区命令
arp–a显示高速缓存区中的ARP表
arp–s添加静态ARP表项
例：arp-s 157.55.86.212   00-aa-00-62-c6-09
arp–d删除高速缓存区中的ARP表项

ARP攻击原理——冒充网关

攻击原理
攻击者以间断循环的方式不停地向整个局域网里所有的计算机发送ARP请求包，欺骗局域网中所有的计算机把攻击者的机器当成网关，从而让局域网中所有的机器都把数据包发给它，然后再由它来转发到Internet上。

注：ARP不能通过IP路由器发送广播，所以不能用来确定远程网络设备的硬件地址。

ARP欺骗的预防
把正确的网关的IP-MAC对应关系写入自己的计算机的静态ARP缓存中，就能很大程度上缓解ARP欺骗造成的威胁。
ARP –s 192.169.0.254 AA-AA-AA-AA-AA-AA
缺点：网关的MAC地址不能及时更新
在网关处采取防范措施。

IP欺骗

IP协议
Internet Protocol，网际网协议
是用于报文交换网络的一种面向数据的协议
不保证数据能准确的传输

攻击原理1
攻击者伪造的IP地址不可达或者根本不存在。
主要用于迷惑目标主机上的入侵检测系统，或者是对目标主机进行DOS攻击

攻击原理2
攻击者伪造他人的源IP地址。
利用主机之间的正常信任关系。基于“三次握手”
实现过程
使被信任的主机（Y）瘫痪
猜出目标主机（X）的序列号ISN
发送ACK，建立连接

常见工具
Mendax
Mendax是一种非常容易使用的TCP序列号预测以及rshd欺骗工具。
IPSpoof
用于TCP及IP欺骗。
Hunt
Hunt是一个网络嗅探器，但它也同时提供很多欺骗功能

常见工具
Dsniff
Dsniff是一个网络审计及攻击工具集。其中的arpspoof，
dnsspoof以及macof工具可以在网络中拦截普通攻击者通常无法
获得的数据,并对这些数据进行修改,从而达到欺骗以及劫持会
话的目的。
ISNPrint
一个用于查看目标主机当前连接的ISN的工具,但是它并不提供
ISN预测功能。可以在它的基础上添加适当的算法得到ISN的估
计值。

IP欺骗的预防

采取配置边界路由器的方法，即禁止从外网进入却申明
自己具有内部网络IP地址的数据包通过路由器
存在缺陷
如果系统要向外部主机提供信任关系，则对路由器的配置就会
失去作用
如果欺骗入侵是源于网络内部的话，
配置路由器根本无济于事

IP欺骗的预防
目标主机
尽量不采用使用源地址认证的服务系统，实现基于密码的认证
信任主机
能够阻止SYN湮没的情况发生
最终的解决办法是密码认证机制

TCP协议
Transport Controlled Protocol，传输控制协议
是一种面向连接的，可靠的传输层协议
建立连接，需要“三次握手”

TCP协议的包结构
TCP协议中的标志位
URG：紧急标志
ACK：确认标志
PSH：推标志
RST：复位标志
SYN：建立连接标志
FIN：结束标志

SYN Flood攻击原理
SYN Flood是当前最流行的DoS（拒绝服务攻击）与
DDoS（分布式拒绝服务攻击）的方式之一，这是一种利
用TCP协议缺陷，发送大量伪造的TCP连接请求，从而
使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻
击方式。

SYN Flood攻击的防御
缩短SYN Timeout时间
设置SYN Cookie，如果短时间内连续收到某个IP的重复
SYN报文，就认为受到了攻击，以后从这个IP地址来的
包会被一概丢弃

DDoS（分布式拒绝服务攻击）攻击原理
攻击准备
攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性

攻击者进入其已经发现的最弱的客户主机之内(“肉机”)，并且
秘密地安置一个其可远程控制的代理程序(端口监督程序demon)

发起攻击
攻击者使他的全部代理程序同时发送由残缺的数字包构成的连
接请求送至目标系统
包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，
最终将导致它因通信淤塞而崩溃