返回
第08章 网络攻击攻击活动隐藏实战技术详解ppt课件.ppt

第08章 网络攻击攻击活动隐藏实战技术详解ppt课件.ppt

ID:59195313

大小:435.50 KB

页数:32页

时间:2020-09-26

第08章 网络攻击攻击活动隐藏实战技术详解ppt课件.ppt_第1页
第08章 网络攻击攻击活动隐藏实战技术详解ppt课件.ppt_第2页
第08章 网络攻击攻击活动隐藏实战技术详解ppt课件.ppt_第3页
第08章 网络攻击攻击活动隐藏实战技术详解ppt课件.ppt_第4页
第08章 网络攻击攻击活动隐藏实战技术详解ppt课件.ppt_第5页
资源描述:

《第08章 网络攻击攻击活动隐藏实战技术详解ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第8章网络攻击活动隐藏实战技术网络攻击活动是一系列连续操作,如果攻击时一不小心露出马脚,所有前面的准备都会付诸东流,甚至会“引火烧身”。所以活动的隐藏应该贯穿攻击的始终。本章内容进程活动隐藏文件隐藏网络连接隐藏网络隐蔽通道进程活动隐藏攻击者在对目标系统进行攻击时,产生攻击进程,如果不将这些进程隐藏在系统中,就会被网络管理员发现。常用的隐藏手段:进程名替换进程名称命名相似替换进程名显示命令修改进程管理核心模块进程名替换将目标系统中某些不常用进程停止,然后借用其名称运行。例如将sniffer的名称修改为in.sysl

2、og后执行很多病毒木马都会选择和系统进程相似的名称进程名称命名相似产生的进程名称设置与系统地进程名称接近,使得管理员不容易发现。比如将进程命名为explor这样就可以和系统自带的explorer进行混淆替换进程名显示命令修改系统中进程显示命令[ps],过滤掉与攻击相关的进程。可以修改库函数使得ps命令不能显示所有进程。可以将一个后门或程序嵌入中断驱动程序,使得它不会在进程表中显示。修改进程管理核心模块修改系统的进程管理模块,控制进程的显示,主要是netstat、ps等。详见书中源代码文件隐藏攻击者在进行相关操作时

3、,往往要在目标系统上创建一些用户攻击的文件,因此需要因此通过攻击产生的文件。常用的手段有:修改文件属性文件命名相似以特殊的方式命名文件存放位置替换文件显示命令替换文件管理核心模块修改文件属性将文件属性设置为系统文件隐藏属性。利用[attrib+h]进行隐藏可以使用查看所有隐藏文件和现实系统隐藏文件来查看文件命名相似攻击所产生的文件名称设置为系统中文件的名称接近。例如一个后门程序命名为command.exe或者攻击者创建文件名/bin/ls,让管理员误认为这是一个系统的文件夹,实际上却是一个文件。以特殊的方式命名攻

4、击者将所产生的文件名称设置为特殊形式。例如在linux环境相将”.+其他字符”,就能将文件隐藏但是此种隐藏方式可以通过[ls-a]来查看文件存放位置攻击所产生的文件存放在临时目录下或大量的系统文件中。由于临时文件夹下有大量的文件,通常管理员不会去查看的但是可能会直接清除临时文件夹。替换文件显示命令修改操作系统的文件命令,过滤掉与攻击者相关的文件。例如在Unix中,可以修改系统的ls命令,攻击者只需要编写一个简单的shell文件,替换ls命令即可替换文件管理核心模块修改系统的文件管理模块,控制文件的现实。攻击者可以

5、利用操作系统提供加载核心模块的功能,重定向文件系统调用,强制内核按照攻击者的方式运行,控制文件输出。详见书中代码实现网络连接隐藏网络管理员可以通过[netstat]命令查看网络连接状况,从而发现异常连接。因此需要对网络连接进行隐藏,避开网络管理员。常用的手段:网络连接进程名称替换将目标系统中某些不常用的网络连接停止,然后借用其名,常见的进程由cron,nfs,rpc等。替换网络连接显示命令修改操作系统中与网络连接相关的命令,过滤掉于攻击者相关的命令。替换操作系统的网络连接管理模块攻击者可以利用操作系统提供的家在核

6、心模块功能,重定向系统调用,强制内核按照攻击者的方式运行,控制网络连接输出信息。网络隐蔽通道攻击者如果想要长久的控制目标网络,需要建立网络秘密通道。当前,最常用的网络访问控制是防火墙,因此必须要突破防火墙的限制,绕过防火墙的过滤机制。常用的方式基于ICMP的网络隐蔽通道基于窃听的网络隐蔽通道基于TCP协议序列号的网络隐蔽通道基于IP协议的网络隐蔽通道基于ICMP的网络隐蔽通道ICMP(InternetControlMessageProtocol,网际报文控制协议),主要用途是向IP和高层协议通报有关网络层的差错和

7、流量控制情况。根据ICMP报文,可以实现多种服务,例如Ping,tracert等8位类型字段共有15种类型的报文,但是ICMP响应保温和查询报文用户最关心。响应报文数据包的选项部分可以填写数据,通常是用来记录ICMP报文到达远程主机的过程中,沿途经过的路由器地址以及沿途经过路由器时耗费的时间。通常情况下很少有设备检车这个字段中的内容,从而给隐蔽通道的建立提供了机会。利用Ping命令隐藏信息,建立隐蔽通道Ping命令在使用时,ping发送一个响应请求,然后测量循环传输时间。源主机在发送ICMPECHO请求时,在IC

8、MP数据包包头的选项域可以添加任何数据。当目标主机收到ICMP报文请求以后,在ICMP响应报文中填写标识域和序号域回应请求,并且把请求数据包中选项域的内容原封不动地返回。攻击者可以建立隐蔽通道,把要发送的数据隐藏在ICMP数据包包头的选项域中。正常情况下,防火墙和入侵检测系统都不会检查ICMP中的内容,隐藏隐蔽通道很容易穿透网络安全设备。甚至在一些防护措施比较严密的网络中

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。