網路攻擊模式分析 - 資通安全研發中心- 國立成功大學

網 路 攻 擊 模 式 分 析
賴 溪 松 教 授
國 立 成 功 大 學 計 算 機 與 網 路 中 心 主 任
國 立 成 功 大 學 電 機 系 及 電 腦 與 通 訊 研 究 所 教 授
TEL:(06)2757575 ext 61020
E-mail:laihcs@eembox.ncku.edu.tw
http://www.icsc.ncku.edu.tw/
FAX:(06)274-3533
1

大 綱
• 網 路 攻 擊 行 為
• 駭 客 攻 擊 行 為 模 式
• 駭 客 攻 擊 行 為 的 階 段 與 步 驟
2
Cryptology & Network Security Lab.

網 路 攻 擊 行 為 (1/2)
Normal: s d
Interrupt: s d
中 途 攔 截
Intercept: s d
中 途 竊 聽
3
Cryptology & Network Security Lab.

網 路 攻 擊 行 為 (2/2)
Modify: s
竄 改
d
Fabricate:
偽 造
i
S’
d
s
4
Cryptology & Network Security Lab.

駭 客 的 攻 擊 行 為 模 式
5
Cryptology & Network Security Lab.

準 備 階 段
網 路 勘 查
偽 裝 / 欺 騙
掃 描
竊 聽
ping, whois…
IP spoofing
Nmap, Nessus…
sniffer
通 行 密 碼 破 解
Passwd crack…
攻 擊 及 攻 佔
後 階 段
漏 洞 利 用
主 機 存 取
exploit
Read, write, copy,…
安 置 後 門
Trojan horse
毀 滅 階 段
阻 絕 服 務
DDoS

(1) 網 路 勘 察
• 此 階 段 主 要 是 駭 客 不 熟 悉 攻 擊 目 標 的 網 路 架
構 , 因 此 利 用 whois 查 詢 、nslookup 查 詢 等 等
以 發 掘 一 些 潛 在 的 IP 位 址 範 圍 、 員 工 姓 名 、 電
話 號 碼 、 網 域 名 稱 伺 服 器 、 郵 件 伺 服 器 等 等 的
資 訊 。
• 藉 由 所 搜 集 到 之 初 始 資 訊 , 雖 可 知 道 潛 在 的 IP
位 址 範 圍 或 伺 服 器 位 址 , 但 並 不 能 確 定 這 些 主
機 是 否 alive、 有 什 麼 漏 洞 等 , 因 此 仍 需 經 過 掃
描 的 動 作 才 能 具 體 確 定 這 些 事 實 。
7
Cryptology & Network Security Lab.

8
Cryptology & Network Security Lab.

9
Cryptology & Network Security Lab.

(2) 偽 裝 / 欺 騙
• 攻 擊 者 為 了 隱 藏 自 己 的 身 分 , 往 往 會 利
用 某 些 技 術 ( 如 傳 送 假 造 位 址 或 利 用 主 機
架 構 ), 造 成 目 標 主 機 的 誤 以 為 其 為 受 信
任 的 主 機 , 因 而 達 到 其 攻 擊 行 為 。
10
Cryptology & Network Security Lab.

(3) 掃 描
• 當 駭 客 確 定 目 標 位 址 後 , 便 會 利 用 掃 描 軟 體
(Scanners), 從 遠 端 掃 描 偵 測 目 標 主 機 的 各 類
資 訊 。
• 這 些 資 訊 包 括 主 機 之 作 業 系 統 類 型 及 版 本 、 開
啟 的 網 路 服 務 、 系 統 弱 點 、 主 機 間 信 任 關 係
等 。
• 由 於 這 些 掃 描 結 果 是 駭 客 用 以 入 侵 目 標 網 路 系
統 的 重 要 資 訊 , 因 此 此 行 為 極 具 威 脅 性 。
11
Cryptology & Network Security Lab.

攻 擊 模 擬 結 果 : 掃 描
• Nmap 軟 體 掃 描 主 機 獲 取 開 放 之 tcp port
及 作 業 系 統 資 訊 。
Interesting ports on victim4.com.tw (192.168.1.5):
Port State Protocol Service
21 open tcp ftp
23 open tcp telnet
25 open tcp smtp
79 open tcp finger
110 open tcp pop-3
135 open tcp loc-srv
139 open tcp netbios-ssn
Remote operating system guess: Windows 2000
12
Cryptology & Network Security Lab.

(4) 竊 聽
• 駭 客 可 以 藉 一 些 竊 聽 程 式 ( 如 Sniffit 等 ) 竊
聽 流 經 該 其 所 在 位 址 網 路 區 塊 之 封 包 ,
藉 以 收 集 到 重 要 的 資 訊 , 如 帳 號 、 通 行
碼 等 資 訊 , 以 便 做 進 一 步 之 入 侵 。
• 一 般 而 言 , 駭 客 能 夠 藉 由 竊 聽 作 為 攻 擊
手 段 , 主 要 是 資 料 未 經 加 密 ( 即 在 不 安 全
之 通 道 上 ) 傳 送 。 因 此 , 使 得 駭 客 輕 易 藉
由 此 項 攻 擊 取 得 大 部 份 通 訊 內 容 。
13
Cryptology & Network Security Lab.

竊 聽 程 式 —ettercap
14
Cryptology & Network Security Lab.

竊 聽 程 式 —sniffit
15
Cryptology & Network Security Lab.

(5) 通 行 碼 破 解
• 駭 客 利 用 了 掃 描 技 術 , 得 知 目 標 系 統 一 些 弱 點
後 , 便 可 入 侵 該 系 統 複 製 其 通 行 碼 檔 , 以 試 圖
找 出 該 系 統 使 用 者 的 通 行 碼 。
• 通 行 碼 破 解 程 式 是 利 用 通 行 碼 在 系 統 裏 加 密 的
演 算 法 , 模 擬 加 密 程 序 , 將 字 典 檔 (Dictionary
File) 中 所 猜 測 的 明 文 字 串 加 密 成 密 文 , 再 和 通
行 碼 檔 裏 的 密 文 欄 位 作 比 對 。
16
Cryptology & Network Security Lab.

攻 擊 模 擬 結 果 : 通 行 碼 破 解
victim 主 機 之
通 行 碼 檔 ,
在 attacker 的
主 機 上 執 行 通
行 碼 破 解 程 式
在 密 碼 檔 15 個 帳 號 中 , 共 找 到 10 個 使 用 者 相 對 應 之
通 行 碼 , 破 解 時 間 為 56 分 18 秒 。
17
Cryptology & Network Security Lab.

(6) 漏 洞 利 用
• 漏 洞 利 用 是 指 程 式 或 軟 體 的 不 當 設 計 或
實 作 , 以 及 在 設 定 上 的 錯 誤 , 使 得 非 授
權 者 可 以 藉 以 利 用 此 漏 洞 來 獲 取 資 訊 、
取 得 使 用 者 或 管 理 者 權 限 等 等 , 例 如 緩
衝 區 溢 位 (buffer overflow) 即 是 這 類 問
題 。
18
Cryptology & Network Security Lab.

Buffer Overflow
• 緩 衝 區 溢 位 (Buffer Overflow) 是 由 於 程 式
撰 寫 人 員 的 疏 忽 , 使 得 攻 擊 者 的 輸 入 大
於 程 式 撰 寫 人 員 的 預 期 , 造 成 緩 衝 區 容
量 的 不 足 , 導 致 系 統 會 執 行 攻 擊 者 欲 執
行 的 攻 擊 程 式
• Ex: 送 入 一 個 256 字 元 的 使 用 者 名 稱 、 在
舊 版 本 IE 的 URL 中 輸 入 超 過 128 字 元 的 網
址 等 都 會 造 成 緩 衝 區 溢 位
19
Cryptology & Network Security Lab.

正 常 程 式 的 執 行 情 況
程 式
副 程 式 ( 參 數 )
.
.
.
…
副 程 式 ( 參 數 )
…
return
stack
返 回 位 址
參 數
20
Cryptology & Network Security Lab.

Buffer Overflow
程 式
副 程 式 ( 參 數 )
副 程 式 ( 參 數 )
.
.
.
…
…
return
stack
返 回 位 址
駭 客 程 式
參 數
參 數 溢 位
…
21
Cryptology & Network Security Lab.

(7) 主 機 存 取
• 主 要 是 針 對 目 標 被 駭 客 入 侵 後 ( 利 用 通 行 碼 破 解
或 漏 洞 ), 駭 客 使 用 取 得 之 使 用 者 或 管 理 者 權
限 , 對 主 機 各 檔 案 之 存 取 行 為 , 這 些 行 為 包
括 :
• 複 製 (copy)
• 讀 取 (read)
• 篡 改 (modify)
• 移 除 (delete)
• 竊 取 (steal)
22
Cryptology & Network Security Lab.

(8) 安 置 後 門
• 攻 擊 者 還 會 再 回 去 該 主 機 做 存 取 或 作 為
入 侵 其 他 主 機 之 跳 板 。
• 駭 客 擔 心 系 統 管 理 者 發 現 入 侵 行 為 後 ,
修 正 該 項 漏 洞 , 使 得 他 們 無 法 重 新 登 入
該 主 機 。 因 此 , 在 他 們 入 侵 某 主 機 後 ,
很 有 可 能 就 安 置 後 門 程 式 , 讓 自 己 可 以
在 未 來 重 新 獲 得 存 取 的 權 限 。
23
Cryptology & Network Security Lab.

特 洛 依 木 馬 程 式 (cont.)
• 一 般 而 言 , 木 馬 程 式 常 會 分 為 兩 部 分
• Server 端 程 式
• 送 到 受 害 電 腦 , 引 誘 受 害 者 執 行 的 程 式
• 執 行 後 , 會 在 受 害 端 主 機 上 開 啟 一 個 port 並 且 設
定 為 listen 狀 態 , 提 供 駭 客 進 行 連 線
• Client 端 程 式
• 攻 擊 端 的 操 縱 程 式
• 利 用 Client 端 操 控 程 式 , 可 以 對 Server 端 進 行 任
意 的 存 取 行 為 , 包 含 更 改 設 定 、 重 新 開 機 等
24
Cryptology & Network Security Lab.

特 洛 依 木 馬 程 式 (cont.)
攻 擊 者
利 用 Client 端 程 式
操 控 受 害 主 機
25
Cryptology & Network Security Lab.
ip:192.1680.1
port:12345 受 害 主 機
執 行 Server
端 程 式 後 便
會 開 啟 一 個
port
一 旦 受 害 者 執 行 Server 端 程 式 後 , 受 害 主 機 就 會 變 成 類 似
FTP Server 供 攻 擊 者 進 行 存 取

攻 擊 模 擬 結 果 : 安 置 後 門
attacker 主 機 從
遠 端 連 線 可 對
victim 主 機 進 行
多 種 操 作 行 為
• 入 侵 者 端 可 以 控 制 目 標 主 機 上 的 所 有 檔 案 的 執 行 、 開
啟 、 刪 除 。 甚 至 可 以 更 改 Windows 上 登 錄 管 理 的 數 值
與 機 碼 。 此 外 , 亦 可 擷 取 目 標 主 機 上 的 螢 幕 畫 面 與 按
鍵 記 錄 。
26
Cryptology & Network Security Lab.

(9) 阻 絕 服 務
• 駭 客 可 能 花 了 很 多 心 思 , 都 無 法 入 侵 目
標 系 統 , 或 者 有 其 他 商 業 或 非 商 業 的 原
因 , 使 他 們 利 用 阻 絕 服 務 的 程 式 , 對 目
標 系 統 發 動 阻 絕 服 務 攻 擊 。
• 雖 然 攻 擊 結 果 不 致 於 讓 資 料 流 失 , 但 卻
讓 系 統 癱 瘓 或 讓 網 路 塞 車 , 而 造 成 該 網
路 系 統 無 法 提 供 服 務 之 目 的 。
27
Cryptology & Network Security Lab.

The Plain DDOS Model (1999-2000)
Slaves
Masters
Victim
Attackers
:
:
...
src: random
dst: victim
ISP
.com
28
Cryptology & Network Security Lab.

攻 擊 模 擬 結 果 : 阻 絕 服 務
• 執 行 trash2 程 式 攻 擊 一 台 victim 主 機 , 在 幾 秒 鐘
內 該 主 機 出 現 藍 色 畫 面 , 隨 後 雖 然 主 機 系 統 仍
可 使 用 , 但 已 失 去 了 網 路 連 線 功 能 , 需 要 重 新
開 機 以 回 復 正 常 作 業 。
攻 擊 目
標 之 IP
攻 擊 封
包 個 數
29
Cryptology & Network Security Lab.

網 路 現 況 威 脅 分 類
1. 駭 客 特 定 攻 擊 對 象
• 從 密 碼 暴 力 破 解 、 木 馬 後 門 程 式 ( 如 近 期 造
成 資 料 外 洩 之 peep 程 式 ) 到 阻 斷 服 務 攻 擊
(DDoS) 等 , 主 要 都 是 鎖 定 特 定 的 網 路 商 業
網 站 為 對 象 進 行 攻 擊 , 如 Yahoo、
Amazon 等
• 即 使 網 管 人 員 與 使 用 者 已 做 好 修 補 , 仍 有
可 能 造 成 受 害 端 主 機 的 危 害
30
Cryptology & Network Security Lab.

網 路 威 脅 現 況 分 類 (cont.)
2. 網 管 人 員 的 疏 忽
• 最 近 幾 年 新 型 態 的 攻 擊 類 型
• 利 用 網 管 人 員 未 能 即 時 修 補 Web、Ftp、
SQL 等 伺 服 程 式 漏 洞 的 疏 失 , 進 行 攻 擊 並
成 為 跳 板 , 並 造 成 網 路 的 癱 瘓
• 最 著 名 的 例 子 為 CodeRed Worm 及 SQL
Slammer Worm
31
Cryptology & Network Security Lab.

網 路 威 脅 現 況 分 類 (cont.)
3. 一 般 使 用 者 疏 忽
• 目 前 最 難 以 防 範 的 一 種 網 路 威 脅 狀 態
• 在 於 終 端 的 電 腦 使 用 者 並 未 隨 時 下 載 修 補 作 業 系
統 或 應 用 程 式 的 最 新 修 補 程 式 , 造 成 駭 客 或 電 腦
病 毒 有 機 可 乘 , 並 不 斷 地 在 各 使 用 者 間 交 互 感 染
• 此 種 行 為 是 發 生 於 電 腦 終 端 使 用 者 , 即 使 軟 體 廠
商 與 網 管 人 員 盡 再 大 的 努 力 , 使 用 者 未 能 加 以 配
合 , 便 可 能 造 成 重 大 的 損 失 。
• 最 著 名 的 案 例 即 Blast 與 sasser 病 毒 , 利 用
Windows 系 統 之 RPC 及 lsass 的 漏 洞 對 個 人 電 腦 進
行 攻 擊 與 散 佈 。
32
Cryptology & Network Security Lab.

我 國 刑 法 網 路 犯 罪 修 正 案
(92.6.3 立 法 院 三 讀 通 過 )
• 第 三 十 六 章 妨 害 電 腦 使 用 罪 專 章 , 第 三
百 五 十 八 條 入 侵 他 人 電 腦 處 三 年 以 下 有
期 徒 刑 , 併 科 十 萬 元 罰 金 ;
• 第 三 百 五 十 九 條 製 作 電 腦 病 毒 程 式 導 致
他 人 損 害 , 處 五 年 以 下 有 期 徒 刑 、 拘 役
或 科 或 併 科 新 台 幣 二 十 萬 元 以 下 罰 金 ;
33
Cryptology & Network Security Lab.

我 國 刑 法 網 路 犯 罪 修 正 案 (cont.)
• 第 三 百 六 十 條 無 故 封 包 郵 件 灌 爆 別 人 電 子 信 箱
或 癱 瘓 網 路 造 成 公 眾 或 他 人 損 害 , 處 三 年 以 下
有 期 徒 刑 或 科 或 併 科 十 萬 元 以 下 罰 金 ;
• 第 三 百 六 十 一 條 規 定 , 入 侵 公 務 機 關 電 腦 或 相
關 設 備 , 犯 上 述 三 條 條 文 者 , 加 重 其 刑 至 二 分
之 一 ;
• 第 三 百 六 十 二 條 製 作 病 毒 專 供 妨 害 電 腦 使 用 犯
罪 的 電 腦 程 式 , 供 自 己 或 他 人 犯 罪 , 導 致 公 眾
或 他 人 損 害 , 處 五 年 以 下 有 期 徒 刑 、 拘 役 或 科
或 併 科 二 十 萬 元 以 下 罰 金 。
34
Cryptology & Network Security Lab.