網路攻擊模式分析 - 資通安全研發中心- 國立成功大學
網路攻擊模式分析 - 資通安全研發中心- 國立成功大學 網路攻擊模式分析 - 資通安全研發中心- 國立成功大學
網 路 攻 擊 模 式 分 析 賴 溪 松 教 授 國 立 成 功 大 學 計 算 機 與 網 路 中 心 主 任 國 立 成 功 大 學 電 機 系 及 電 腦 與 通 訊 研 究 所 教 授 TEL:(06)2757575 ext 61020 E-mail:laihcs@eembox.ncku.edu.tw http://www.icsc.ncku.edu.tw/ FAX:(06)274-3533 1
- Page 2 and 3: 大 綱 • 網 路 攻 擊 行 為
- Page 4 and 5: 網 路 攻 擊 行 為 (2/2) Modif
- Page 6 and 7: 準 備 階 段 網 路 勘 查 偽
- Page 8 and 9: 8 Cryptology & Network Security Lab
- Page 10 and 11: (2) 偽 裝 / 欺 騙 • 攻 擊
- Page 12 and 13: 攻 擊 模 擬 結 果 : 掃 描
- Page 14 and 15: 竊 聽 程 式 —ettercap 14 Cryp
- Page 16 and 17: (5) 通 行 碼 破 解 • 駭 客
- Page 18 and 19: (6) 漏 洞 利 用 • 漏 洞 利
- Page 20 and 21: 正 常 程 式 的 執 行 情 況
- Page 22 and 23: (7) 主 機 存 取 • 主 要 是
- Page 24 and 25: 特 洛 依 木 馬 程 式 (cont.)
- Page 26 and 27: 攻 擊 模 擬 結 果 : 安 置
- Page 28 and 29: The Plain DDOS Model (1999-2000) Sl
- Page 30 and 31: 網 路 現 況 威 脅 分 類 1.
- Page 32 and 33: 網 路 威 脅 現 況 分 類 (co
- Page 34: 我 國 刑 法 網 路 犯 罪 修
網 路 攻 擊 模 式 分 析<br />
賴 溪 松 教 授<br />
國 立 成 功 大 學 計 算 機 與 網 路 中 心 主 任<br />
國 立 成 功 大 學 電 機 系 及 電 腦 與 通 訊 研 究 所 教 授<br />
TEL:(06)2757575 ext 61020<br />
E-mail:laihcs@eembox.ncku.edu.tw<br />
http://www.icsc.ncku.edu.tw/<br />
FAX:(06)274-3533<br />
1
大 綱<br />
• 網 路 攻 擊 行 為<br />
• 駭 客 攻 擊 行 為 模 式<br />
• 駭 客 攻 擊 行 為 的 階 段 與 步 驟<br />
2<br />
Cryptology & Network Security Lab.
網 路 攻 擊 行 為 (1/2)<br />
Normal: s d<br />
Interrupt: s d<br />
中 途 攔 截<br />
Intercept: s d<br />
中 途 竊 聽<br />
3<br />
Cryptology & Network Security Lab.
網 路 攻 擊 行 為 (2/2)<br />
Modify: s<br />
竄 改<br />
d<br />
Fabricate:<br />
偽 造<br />
i<br />
S’<br />
d<br />
s<br />
4<br />
Cryptology & Network Security Lab.
駭 客 的 攻 擊 行 為 模 式<br />
5<br />
Cryptology & Network Security Lab.
準 備 階 段<br />
網 路 勘 查<br />
偽 裝 / 欺 騙<br />
掃 描<br />
竊 聽<br />
ping, whois…<br />
IP spoofing<br />
Nmap, Nessus…<br />
sniffer<br />
通 行 密 碼 破 解<br />
Passwd crack…<br />
攻 擊 及 攻 佔<br />
後 階 段<br />
漏 洞 利 用<br />
主 機 存 取<br />
exploit<br />
Read, write, copy,…<br />
安 置 後 門<br />
Trojan horse<br />
毀 滅 階 段<br />
阻 絕 服 務<br />
DDoS
(1) 網 路 勘 察<br />
• 此 階 段 主 要 是 駭 客 不 熟 悉 攻 擊 目 標 的 網 路 架<br />
構 , 因 此 利 用 whois 查 詢 、nslookup 查 詢 等 等<br />
以 發 掘 一 些 潛 在 的 IP 位 址 範 圍 、 員 工 姓 名 、 電<br />
話 號 碼 、 網 域 名 稱 伺 服 器 、 郵 件 伺 服 器 等 等 的<br />
資 訊 。<br />
• 藉 由 所 搜 集 到 之 初 始 資 訊 , 雖 可 知 道 潛 在 的 IP<br />
位 址 範 圍 或 伺 服 器 位 址 , 但 並 不 能 確 定 這 些 主<br />
機 是 否 alive、 有 什 麼 漏 洞 等 , 因 此 仍 需 經 過 掃<br />
描 的 動 作 才 能 具 體 確 定 這 些 事 實 。<br />
7<br />
Cryptology & Network Security Lab.
8<br />
Cryptology & Network Security Lab.
9<br />
Cryptology & Network Security Lab.
(2) 偽 裝 / 欺 騙<br />
• 攻 擊 者 為 了 隱 藏 自 己 的 身 分 , 往 往 會 利<br />
用 某 些 技 術 ( 如 傳 送 假 造 位 址 或 利 用 主 機<br />
架 構 ), 造 成 目 標 主 機 的 誤 以 為 其 為 受 信<br />
任 的 主 機 , 因 而 達 到 其 攻 擊 行 為 。<br />
10<br />
Cryptology & Network Security Lab.
(3) 掃 描<br />
• 當 駭 客 確 定 目 標 位 址 後 , 便 會 利 用 掃 描 軟 體<br />
(Scanners), 從 遠 端 掃 描 偵 測 目 標 主 機 的 各 類<br />
資 訊 。<br />
• 這 些 資 訊 包 括 主 機 之 作 業 系 統 類 型 及 版 本 、 開<br />
啟 的 網 路 服 務 、 系 統 弱 點 、 主 機 間 信 任 關 係<br />
等 。<br />
• 由 於 這 些 掃 描 結 果 是 駭 客 用 以 入 侵 目 標 網 路 系<br />
統 的 重 要 資 訊 , 因 此 此 行 為 極 具 威 脅 性 。<br />
11<br />
Cryptology & Network Security Lab.
攻 擊 模 擬 結 果 : 掃 描<br />
• Nmap 軟 體 掃 描 主 機 獲 取 開 放 之 tcp port<br />
及 作 業 系 統 資 訊 。<br />
Interesting ports on victim4.com.tw (192.168.1.5):<br />
Port State Protocol Service<br />
21 open tcp ftp<br />
23 open tcp telnet<br />
25 open tcp smtp<br />
79 open tcp finger<br />
110 open tcp pop-3<br />
135 open tcp loc-srv<br />
139 open tcp netbios-ssn<br />
Remote operating system guess: Windows 2000<br />
12<br />
Cryptology & Network Security Lab.
(4) 竊 聽<br />
• 駭 客 可 以 藉 一 些 竊 聽 程 式 ( 如 Sniffit 等 ) 竊<br />
聽 流 經 該 其 所 在 位 址 網 路 區 塊 之 封 包 ,<br />
藉 以 收 集 到 重 要 的 資 訊 , 如 帳 號 、 通 行<br />
碼 等 資 訊 , 以 便 做 進 一 步 之 入 侵 。<br />
• 一 般 而 言 , 駭 客 能 夠 藉 由 竊 聽 作 為 攻 擊<br />
手 段 , 主 要 是 資 料 未 經 加 密 ( 即 在 不 安 全<br />
之 通 道 上 ) 傳 送 。 因 此 , 使 得 駭 客 輕 易 藉<br />
由 此 項 攻 擊 取 得 大 部 份 通 訊 內 容 。<br />
13<br />
Cryptology & Network Security Lab.
竊 聽 程 式 —ettercap<br />
14<br />
Cryptology & Network Security Lab.
竊 聽 程 式 —sniffit<br />
15<br />
Cryptology & Network Security Lab.
(5) 通 行 碼 破 解<br />
• 駭 客 利 用 了 掃 描 技 術 , 得 知 目 標 系 統 一 些 弱 點<br />
後 , 便 可 入 侵 該 系 統 複 製 其 通 行 碼 檔 , 以 試 圖<br />
找 出 該 系 統 使 用 者 的 通 行 碼 。<br />
• 通 行 碼 破 解 程 式 是 利 用 通 行 碼 在 系 統 裏 加 密 的<br />
演 算 法 , 模 擬 加 密 程 序 , 將 字 典 檔 (Dictionary<br />
File) 中 所 猜 測 的 明 文 字 串 加 密 成 密 文 , 再 和 通<br />
行 碼 檔 裏 的 密 文 欄 位 作 比 對 。<br />
16<br />
Cryptology & Network Security Lab.
攻 擊 模 擬 結 果 : 通 行 碼 破 解<br />
victim 主 機 之<br />
通 行 碼 檔 ,<br />
在 attacker 的<br />
主 機 上 執 行 通<br />
行 碼 破 解 程 式<br />
在 密 碼 檔 15 個 帳 號 中 , 共 找 到 10 個 使 用 者 相 對 應 之<br />
通 行 碼 , 破 解 時 間 為 56 分 18 秒 。<br />
17<br />
Cryptology & Network Security Lab.
(6) 漏 洞 利 用<br />
• 漏 洞 利 用 是 指 程 式 或 軟 體 的 不 當 設 計 或<br />
實 作 , 以 及 在 設 定 上 的 錯 誤 , 使 得 非 授<br />
權 者 可 以 藉 以 利 用 此 漏 洞 來 獲 取 資 訊 、<br />
取 得 使 用 者 或 管 理 者 權 限 等 等 , 例 如 緩<br />
衝 區 溢 位 (buffer overflow) 即 是 這 類 問<br />
題 。<br />
18<br />
Cryptology & Network Security Lab.
Buffer Overflow<br />
• 緩 衝 區 溢 位 (Buffer Overflow) 是 由 於 程 式<br />
撰 寫 人 員 的 疏 忽 , 使 得 攻 擊 者 的 輸 入 大<br />
於 程 式 撰 寫 人 員 的 預 期 , 造 成 緩 衝 區 容<br />
量 的 不 足 , 導 致 系 統 會 執 行 攻 擊 者 欲 執<br />
行 的 攻 擊 程 式<br />
• Ex: 送 入 一 個 256 字 元 的 使 用 者 名 稱 、 在<br />
舊 版 本 IE 的 URL 中 輸 入 超 過 128 字 元 的 網<br />
址 等 都 會 造 成 緩 衝 區 溢 位<br />
19<br />
Cryptology & Network Security Lab.
正 常 程 式 的 執 行 情 況<br />
程 式<br />
副 程 式 ( 參 數 )<br />
.<br />
.<br />
.<br />
…<br />
副 程 式 ( 參 數 )<br />
…<br />
return<br />
stack<br />
返 回 位 址<br />
參 數<br />
20<br />
Cryptology & Network Security Lab.
Buffer Overflow<br />
程 式<br />
副 程 式 ( 參 數 )<br />
副 程 式 ( 參 數 )<br />
.<br />
.<br />
.<br />
…<br />
…<br />
return<br />
stack<br />
返 回 位 址<br />
駭 客 程 式<br />
參 數<br />
參 數 溢 位<br />
…<br />
21<br />
Cryptology & Network Security Lab.
(7) 主 機 存 取<br />
• 主 要 是 針 對 目 標 被 駭 客 入 侵 後 ( 利 用 通 行 碼 破 解<br />
或 漏 洞 ), 駭 客 使 用 取 得 之 使 用 者 或 管 理 者 權<br />
限 , 對 主 機 各 檔 案 之 存 取 行 為 , 這 些 行 為 包<br />
括 :<br />
• 複 製 (copy)<br />
• 讀 取 (read)<br />
• 篡 改 (modify)<br />
• 移 除 (delete)<br />
• 竊 取 (steal)<br />
22<br />
Cryptology & Network Security Lab.
(8) 安 置 後 門<br />
• 攻 擊 者 還 會 再 回 去 該 主 機 做 存 取 或 作 為<br />
入 侵 其 他 主 機 之 跳 板 。<br />
• 駭 客 擔 心 系 統 管 理 者 發 現 入 侵 行 為 後 ,<br />
修 正 該 項 漏 洞 , 使 得 他 們 無 法 重 新 登 入<br />
該 主 機 。 因 此 , 在 他 們 入 侵 某 主 機 後 ,<br />
很 有 可 能 就 安 置 後 門 程 式 , 讓 自 己 可 以<br />
在 未 來 重 新 獲 得 存 取 的 權 限 。<br />
23<br />
Cryptology & Network Security Lab.
特 洛 依 木 馬 程 式 (cont.)<br />
• 一 般 而 言 , 木 馬 程 式 常 會 分 為 兩 部 分<br />
• Server 端 程 式<br />
• 送 到 受 害 電 腦 , 引 誘 受 害 者 執 行 的 程 式<br />
• 執 行 後 , 會 在 受 害 端 主 機 上 開 啟 一 個 port 並 且 設<br />
定 為 listen 狀 態 , 提 供 駭 客 進 行 連 線<br />
• Client 端 程 式<br />
• 攻 擊 端 的 操 縱 程 式<br />
• 利 用 Client 端 操 控 程 式 , 可 以 對 Server 端 進 行 任<br />
意 的 存 取 行 為 , 包 含 更 改 設 定 、 重 新 開 機 等<br />
24<br />
Cryptology & Network Security Lab.
特 洛 依 木 馬 程 式 (cont.)<br />
攻 擊 者<br />
利 用 Client 端 程 式<br />
操 控 受 害 主 機<br />
25<br />
Cryptology & Network Security Lab.<br />
ip:192.1680.1<br />
port:12345 受 害 主 機<br />
執 行 Server<br />
端 程 式 後 便<br />
會 開 啟 一 個<br />
port<br />
一 旦 受 害 者 執 行 Server 端 程 式 後 , 受 害 主 機 就 會 變 成 類 似<br />
FTP Server 供 攻 擊 者 進 行 存 取
攻 擊 模 擬 結 果 : 安 置 後 門<br />
attacker 主 機 從<br />
遠 端 連 線 可 對<br />
victim 主 機 進 行<br />
多 種 操 作 行 為<br />
• 入 侵 者 端 可 以 控 制 目 標 主 機 上 的 所 有 檔 案 的 執 行 、 開<br />
啟 、 刪 除 。 甚 至 可 以 更 改 Windows 上 登 錄 管 理 的 數 值<br />
與 機 碼 。 此 外 , 亦 可 擷 取 目 標 主 機 上 的 螢 幕 畫 面 與 按<br />
鍵 記 錄 。<br />
26<br />
Cryptology & Network Security Lab.
(9) 阻 絕 服 務<br />
• 駭 客 可 能 花 了 很 多 心 思 , 都 無 法 入 侵 目<br />
標 系 統 , 或 者 有 其 他 商 業 或 非 商 業 的 原<br />
因 , 使 他 們 利 用 阻 絕 服 務 的 程 式 , 對 目<br />
標 系 統 發 動 阻 絕 服 務 攻 擊 。<br />
• 雖 然 攻 擊 結 果 不 致 於 讓 資 料 流 失 , 但 卻<br />
讓 系 統 癱 瘓 或 讓 網 路 塞 車 , 而 造 成 該 網<br />
路 系 統 無 法 提 供 服 務 之 目 的 。<br />
27<br />
Cryptology & Network Security Lab.
The Plain DDOS Model (1999-2000)<br />
Slaves<br />
Masters<br />
Victim<br />
Attackers<br />
:<br />
:<br />
...<br />
src: random<br />
dst: victim<br />
ISP<br />
.com<br />
28<br />
Cryptology & Network Security Lab.
攻 擊 模 擬 結 果 : 阻 絕 服 務<br />
• 執 行 trash2 程 式 攻 擊 一 台 victim 主 機 , 在 幾 秒 鐘<br />
內 該 主 機 出 現 藍 色 畫 面 , 隨 後 雖 然 主 機 系 統 仍<br />
可 使 用 , 但 已 失 去 了 網 路 連 線 功 能 , 需 要 重 新<br />
開 機 以 回 復 正 常 作 業 。<br />
攻 擊 目<br />
標 之 IP<br />
攻 擊 封<br />
包 個 數<br />
29<br />
Cryptology & Network Security Lab.
網 路 現 況 威 脅 分 類<br />
1. 駭 客 特 定 攻 擊 對 象<br />
• 從 密 碼 暴 力 破 解 、 木 馬 後 門 程 式 ( 如 近 期 造<br />
成 資 料 外 洩 之 peep 程 式 ) 到 阻 斷 服 務 攻 擊<br />
(DDoS) 等 , 主 要 都 是 鎖 定 特 定 的 網 路 商 業<br />
網 站 為 對 象 進 行 攻 擊 , 如 Yahoo、<br />
Amazon 等<br />
• 即 使 網 管 人 員 與 使 用 者 已 做 好 修 補 , 仍 有<br />
可 能 造 成 受 害 端 主 機 的 危 害<br />
30<br />
Cryptology & Network Security Lab.
網 路 威 脅 現 況 分 類 (cont.)<br />
2. 網 管 人 員 的 疏 忽<br />
• 最 近 幾 年 新 型 態 的 攻 擊 類 型<br />
• 利 用 網 管 人 員 未 能 即 時 修 補 Web、Ftp、<br />
SQL 等 伺 服 程 式 漏 洞 的 疏 失 , 進 行 攻 擊 並<br />
成 為 跳 板 , 並 造 成 網 路 的 癱 瘓<br />
• 最 著 名 的 例 子 為 CodeRed Worm 及 SQL<br />
Slammer Worm<br />
31<br />
Cryptology & Network Security Lab.
網 路 威 脅 現 況 分 類 (cont.)<br />
3. 一 般 使 用 者 疏 忽<br />
• 目 前 最 難 以 防 範 的 一 種 網 路 威 脅 狀 態<br />
• 在 於 終 端 的 電 腦 使 用 者 並 未 隨 時 下 載 修 補 作 業 系<br />
統 或 應 用 程 式 的 最 新 修 補 程 式 , 造 成 駭 客 或 電 腦<br />
病 毒 有 機 可 乘 , 並 不 斷 地 在 各 使 用 者 間 交 互 感 染<br />
• 此 種 行 為 是 發 生 於 電 腦 終 端 使 用 者 , 即 使 軟 體 廠<br />
商 與 網 管 人 員 盡 再 大 的 努 力 , 使 用 者 未 能 加 以 配<br />
合 , 便 可 能 造 成 重 大 的 損 失 。<br />
• 最 著 名 的 案 例 即 Blast 與 sasser 病 毒 , 利 用<br />
Windows 系 統 之 RPC 及 lsass 的 漏 洞 對 個 人 電 腦 進<br />
行 攻 擊 與 散 佈 。<br />
32<br />
Cryptology & Network Security Lab.
我 國 刑 法 網 路 犯 罪 修 正 案<br />
(92.6.3 立 法 院 三 讀 通 過 )<br />
• 第 三 十 六 章 妨 害 電 腦 使 用 罪 專 章 , 第 三<br />
百 五 十 八 條 入 侵 他 人 電 腦 處 三 年 以 下 有<br />
期 徒 刑 , 併 科 十 萬 元 罰 金 ;<br />
• 第 三 百 五 十 九 條 製 作 電 腦 病 毒 程 式 導 致<br />
他 人 損 害 , 處 五 年 以 下 有 期 徒 刑 、 拘 役<br />
或 科 或 併 科 新 台 幣 二 十 萬 元 以 下 罰 金 ;<br />
33<br />
Cryptology & Network Security Lab.
我 國 刑 法 網 路 犯 罪 修 正 案 (cont.)<br />
• 第 三 百 六 十 條 無 故 封 包 郵 件 灌 爆 別 人 電 子 信 箱<br />
或 癱 瘓 網 路 造 成 公 眾 或 他 人 損 害 , 處 三 年 以 下<br />
有 期 徒 刑 或 科 或 併 科 十 萬 元 以 下 罰 金 ;<br />
• 第 三 百 六 十 一 條 規 定 , 入 侵 公 務 機 關 電 腦 或 相<br />
關 設 備 , 犯 上 述 三 條 條 文 者 , 加 重 其 刑 至 二 分<br />
之 一 ;<br />
• 第 三 百 六 十 二 條 製 作 病 毒 專 供 妨 害 電 腦 使 用 犯<br />
罪 的 電 腦 程 式 , 供 自 己 或 他 人 犯 罪 , 導 致 公 眾<br />
或 他 人 損 害 , 處 五 年 以 下 有 期 徒 刑 、 拘 役 或 科<br />
或 併 科 二 十 萬 元 以 下 罰 金 。<br />
34<br />
Cryptology & Network Security Lab.