北邮 计算机学院 崔宝江
TCP三次握手机制
主机A：客户端 主机 B：服务端
1
发送TCP SYN分段 (seq=100 ctl=SYN) SYN received SYN received 发送TCP SYN&ACK分段 (seq=300 ack=101 ctl=syn,ack)
2
3
Established (seq=101 ack=301 ctl=ack)
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
嵩山少林武术职业学院（2009年4月22日－5月14 日）
/js.js -->/nn/rs.htm --> iis.swf /cao/b.css orz.exe (病毒)
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
2）网站挂马 －－在网页中写入iframe等盗链脚本，实现打 开网页触发漏洞获得权限植入恶意代码的目的
演示：少林武校网站 演示： 利用操作系统缓冲区溢出漏洞实施网页挂马
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
网页挂马的实现
在网页代码中加入隐蔽的框架
2
3
Established (seq=101 ack=301 ctl=ack)
北邮 计算机学院 崔宝江
全TCP连接
长期以来TCP端口扫描的基础
扫描主机尝试（使用三次握手）与目的机指定端口建 立建立正规的连接
连接由系统调用connect()开始
对于每一个监听端口，connect()会获得成功，否则返 回－1，表示端口不可访问
很容易被检测出来
Courtney,Gabriel和TCP Wrapper监测程序通常用来进 行监测。另外，TCP Wrapper可以对连接请求进行控制， 所以它可以用来阻止来自不明主机的全连接扫描
北邮 计算机学院 崔宝江
TCP SYN扫描
TCP SYN分段，指向某端口 TCP SYN&ACK分段
(主动关闭) FIN_WAIT_1 FIN_WAIT_2 TIME_WAIT TIME_WAIT
CLOSE_WAIT ( 被动关闭) CLOSE_WAIT LAST_ACK
北邮 计算机学院 崔宝江 ACK, SEQ = u + 1, ACK = v + 1 CLOSED
端口扫描基础
北邮 计算机学院 崔宝江
端口扫描基础
扫描原理
1）全TCP连接 2）SYN扫描（半打开式扫描）
发送SYN,远端端口开放，则回应SYN=1,ACK=1,本地发送RST给远端， 拒绝连接 发送SYN,远端端口未开放，回应RST
北邮 计算机学院 崔宝江
TCP三次握手机制
主机A：客户端 主机 B：服务端
1
发送TCP SYN分段 (seq=100 ctl=SYN) SYN received SYN received 发送TCP SYN&ACK分段 (seq=300 ack=101 ctl=syn,ack)
北邮 计算机学院 崔宝江
32 bit
比特 0 8 源 端 口 序 号 TCP 首部 确 数据 偏移 保 留 检 验 和 选 项 （长 度 可 变） 认 号 窗 口 紧 急 指 针 填 充 20 字节的 固定首部 16 24 目 的 端 口 31
U A P R S F R C S S Y I G K H T N N
？
收到什么分段？
TCP RST分段
？
开放
该端口开放么？
TCP SYN&ACK
TCP RST 不开放
北邮 计算机学院 崔宝江
TCP 的正常的连接建立和关闭
客户进程 服务器进程 LISTEN（被动打开） (主动打开) SYN_SENT ESTABLISHED ESTABLISHED （全双工数据传送阶段） FIN, SEQ = u ACK, SEQ = v, ACK = u + 1 FIN, ACK, SEQ = v, ACK = u + 1 SYN, SEQ = x SYN, ACK, SEQ = y, ACK = x + 1 ACK, SEQ = x + 1, ACK = y + 1 ESTABLISHED SYN_RCVD SYN_RCVD
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
1）文件附加恶意代码
（4）电子书爱好者
一些提供电子书下载的网站有稳定的流量和访客，某些热 门下载可能被人为植入木马进行传播。
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
捆绑
传统的捆绑器
A文件附加到B文件的末尾
资源更新捆绑器
将PE文件的资源更新后加入其它恶意程序
(主动关闭) FIN_WAIT_1 FIN_WAIT_2 TIME_WAIT TIME_WAIT
CLOSE_WAIT ( 被动关闭) CLOSE_WAIT LAST_ACK
北邮 计算机学院 崔宝江 ACK, SEQ = u + 1, ACK = v + 1 CLOSED
端口扫描基础
向系统发送各种特殊的包，根据系统对 包回应的差别，推断出对方开放的端口 端口扫描程序利用的部分特征
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
诱骗式植入
－－诱骗式植入是通过诱使用户点击或执行某些 操作，从而植入恶意程序的攻击方式，主要用于 病毒从外网到内网的植入。 －－主要植入手段： 1)文件附加恶意代码 2)网站挂马
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
1）文件附加恶意代码 －－通过将恶意代码和文件进行捆绑，或者将恶 意代码写入文件体内，实现打开文件就被植入 恶意代码。
ICMP错误信息抑制 服务类型值(TOS) TCP/IP选项 对SYN FLOOD的抵抗力 TCP初始窗口
北邮 计算机学院 崔宝江
端口扫描工具（Windows 平台）
SuperScan Nmap
北邮 计算机学院 崔宝江
端口扫描工具：SuperScan
北邮 计算机学院 崔宝江
针对端口扫描的防范措施
采用杀毒软件（启动行为监控功能） 采用主动防御软件
现在恶意程序和正常软件进行捆绑后安装，正 在成为主流
潜伏周期长 检测难
北邮 计算机学院 崔宝江写入iframe等盗链脚本，实现打 开网页触发漏洞获得权限植入恶意代码的目的
演示：少林武校网站 演示： 利用操作系统缓冲区溢出漏洞实施网页挂马
堆栈突破型（利用主机/设备的漏洞）
远程溢出拒绝服务攻击 利用协议栈漏洞
资源消耗型（利用 TCP/IP 协议缺陷）
SYN Flood ACK Flood Connection Flood HTTP Get Flood
流量消耗型
ICMP Flood UDP Flood、UDP DNS Query Flood
TCP 报文段 发送在前 IP 首部
TCP 首部
TCP 数据部分
IP 数据部分
北邮 计算机学院 崔宝江
TCP 的正常的连接建立和关闭
客户进程 服务器进程 LISTEN（被动打开） (主动打开) SYN_SENT ESTABLISHED ESTABLISHED （全双工数据传送阶段） FIN, SEQ = u ACK, SEQ = v, ACK = u + 1 FIN, ACK, SEQ = v, ACK = u + 1 SYN, SEQ = x SYN, ACK, SEQ = y, ACK = x + 1 ACK, SEQ = x + 1, ACK = y + 1 ESTABLISHED SYN_RCVD SYN_RCVD
框架的代码如下： <iframe src= 地址 width=0 height=0></iframe> 其中“地址”就是木马所在的远程地址， “width=0 height=0”意味着该框架为不可视的， 用户就很难发现木马的运行。
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
网页挂马防范
被动防范措施
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
1）文件附加恶意代码
（1）网络视频爱好者
这些网站下载视频，无一例外，会被推荐安装一些专用播 放器，这些专用播放器中，捆绑病毒的概率接近100%。
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
1）文件附加恶意代码
（2）盗版游戏爱好者、游戏外挂使用者
盗号集团将捆绑了恶意代码的软件伪装后防止游戏外挂的 软件下载站或网盘中，盗号集团故意传播外挂、插件有关 的消息，吸引玩家下载。部分外挂插件下载站的经营者也 非常狡猾，这些站点在多数时间提供正常软件下载，但会 在某个特定的时间将下载链接替换成病毒下载。
信息安全技术认知实习
崔宝江 北京邮电大学计算机学院 cui_bj@ 13611330827
北邮 计算机学院 崔宝江
目录
一. 前沿热点技术认知实习内容
网络诱骗式攻击技术
二. 动手操作类认知实习内容
端口扫描 拒绝服务攻击
三. 总结
北邮 计算机学院 崔宝江
网络诱骗式攻击技术
采用IPS、web防火墙等防护产品 采用网站防篡改产品 人工定期检测网页hash值（MD5sum）
主动防范措施
采用网站安全漏扫分析软件定期分析网站漏洞
北邮 计算机学院 崔宝江
目录
一. 前沿热点技术认知实习内容
网络诱骗式攻击技术
二. 动手操作类认知实习内容
端口扫描 拒绝服务攻击
三. 总结
北邮•计算机学院•崔宝江
北邮 计算机学院 崔宝江
北邮 计算机学院 崔宝江