第8讲攻击与应急响应主要内容网络用户最反感：一、攻击概述2、攻击的层次3、攻击的人员4、系统的漏洞5、软件错误6、系统配置不当7、时间性8、攻击实例需要两个参数：对方的IP地址和对方的机器名,然后再点按钮“Kill”，对方计算机立刻重启或蓝屏9、远程攻击的步骤寻找目标主机收集目标信息寻找目标主机收集目标信息寻找目标主机收集目标信息可以从公开渠道获得的信息由域名得到IP地址由IP地址得到地理位置个人资料网站基本信息查询网站注册信息搜索引擎资源搜索使用Shed使用Lansee资源搜索端口扫描漏洞扫描结构探测确定操作系统类型getosDNS信息查询Nslookup35Whois（他是谁）程序Whois（他是谁）程序Whois（他是谁）程序图形界面的网络工具ShadowScan图形界面的网络工具IP-Tools获取目标主机的一般权限获取目标主机的管理权限隐藏自己的行踪破坏目标主机或以此为跳板攻击其他主机开辟后门，方便以后入侵二、缓冲区溢出攻击讨厌的Windows 又出错了！如何能够进行系统调用？概念原因后果堆栈规定内存的生长方向为向上，则栈的生长方向为向下，压栈的操作push＝ESP-4，出栈的操作是pop=ESP+4 在Win32系统中，ESP是堆栈指针寄存器，它指向当前堆栈储存区域的顶部。 EBP是基址寄存器，它指向当前堆栈储存区的底部。当要在堆栈中进行搜索时，常常需要它作用一个静态参考点。 除此之外，EIP是指令指针，它指向下一条将要被执行的指令。在一次函数调用中，堆栈中将被依次压入： 参数，返回地址，EBP 如果函数有局部变量，接下来，就在堆栈中开辟相应的空间以构造变量 函数执行结束，这些局部变量的内容将被丢失。但是不被清除 在函数返回的时候，弹出EBP，恢复堆栈到函数调用的地址，弹出返回地址到EIP以继续执行程序/*function_call.c考察堆栈在函数调用中的变化*/ voidfun(int); intmain(void) { …… fun(1); …… return0; } voidfun(intpara) { charbuffer_a[8]; charbuffer_b[8]; …… }看一段小程序我们用gcc-S来获得汇编语言输出，可以看到main函数的开头部分对应如下语句： pushl%ebp movl%esp,%ebp subl$8,%esp 首先把EBP保存下来，然后EBP等于现在的ESP，这样EBP就可以用来访问本函数的局部变量 之后ESP减8，就是堆栈向上增长8个字节，用来存放name[]数组。现在堆栈的布局如下：运行时的堆栈分配执行完gets(name)之后堆栈溢出由于我们输入的name字符串太长，name数组容纳不下，只好向内存顶部继续写‘A’ 由于堆栈的生长方向与内存的生长方向相反，这些‘A’覆盖了堆栈的老的元素 EBP，ret都已经被‘A’覆盖了 在main返回的时候，就会把‘AAAA’的ASCII码：0x41414141作为返回地址，CPU会试图执行0x41414141处的指令，结果出现错误，这就是一次堆栈溢出攻击成功发生必须同时满足三个条件阻止缓冲区溢出允许缓冲区溢出但不允许改变控制流允许改变控制流但禁止敏感代码的执行安装安全补丁主要内容什么是网络扫描器为什么需要网络扫描器网络扫描器的主要功能扫描器的工作原理TCP协议（一）来源端口（2字节）TCP协议（三）TCP协议（四）ICMP协议（一）ICMP协议（二）扫描器的基本工作原理安全扫描工具网络扫描的主要技术主机扫描技术－传统技术ICMPecho扫描BroadcastICMP扫描Non-EchoICMP扫描主机扫描技术－高级技术异常的IP包头在IP头中设置无效的字段值错误的数据分片通过超长包探测内部路由器反向映射探测端口扫描技术开放扫描TCPConnect扫描开放扫描TCPConnect扫描半开放扫描TCPSYN扫描隐蔽扫描技术TCPFIN扫描分段扫描UDP端口扫描nmap扫描器Nmap用法开放扫描TCPConnect扫描ICMPSweep扫描半开放扫描TCPSYN扫描UDP端口扫描确定目标机支持哪些IP协议(TCP，ICMP，IGMP等)探测目标主机的操作系统主要内容恶意代码恶意代码危害的例子恶意代码的简单比较各种恶意代码的融合趋势恶意代码的分类恶意代码的分类（续）病毒发展史（续1）什么是计算机蠕虫蠕虫病毒的特点蠕虫特点——传播快蠕虫特点——传播广蠕虫特点——危害高计算机蠕虫的类型系统漏洞型病毒系统漏洞型病毒Internet群发邮件型蠕虫共享型蠕虫寄生型蠕虫混合型蠕虫蠕虫的爆发周期越来越短…蠕虫功能结构模型脚本病毒网页病毒特点和趋势特洛伊木马特洛伊木马启动方式加载方式加载方式－启动文件加载方式－注册表加载方式－服务加载方式－修改文件关联存放