壓力測試

Kali下壓力測試攻擊包括VoIP壓力測試、WEB壓力測試、網絡壓力測試及無線壓力測試四個分類。

Voip壓力測試

包括iaxflood和inviteflood。

WEB壓力測試工具

THC-SSL-DOS與傳統DDoS工具不同的是，它不需要任何帶寬，只需要一臺執行單一攻擊的電腦。命令thc-ssl-dos -l 500 目標IP 443 --accept 。

網絡壓力測試工具

dhcpig是耗盡DHCP資源池的壓力測試。DHCP服務為新接入內網的計算機自動分配IP地址，而dhcpig工具借助Scapy大量偽造Mac地址，從DHCP服務器那裏騙取IP，進而把DHCP所能分配的IP地址全部耗盡。這樣，新加入網絡的計算機將無法獲取IP地址，從而無法上網。

Macof工具可做泛洪攻擊。交換機Mac表的空間有限，當Mac表存滿Mac地址時就會報錯，並且進入非正常狀態。在此狀態下交換機會把接收的信息用廣播的形式發出去，這樣就可以用抓包工具把廣播的信息抓到。

Siege可以根據配置對一個Web站點進行多用戶的並發訪問，記錄每個用戶所有請求過程的響應時間，並在一定數量的並發訪問下重復進行。

T50具有獨特的數據包註入工具，功能強大，支持unix系統，可進行多種協議數據包註入，是唯一可以使用GRE封裝協議的工具。

數據取證工具

PDF取證工具

peepdf是一個使用python編寫的PDF文件分析工具，它可以檢測到惡意的PDF文件。

反數字取證

chkrootkit是一個Linux系統下的查找檢測rootkit後門的工具，是判斷系統是否被植入Rootkit的利器。

內存取證工具

Volatility是開源的Windows、Linux、Mac、Android的內存取證分析工具，支持各種操作系統,可以通過抓取的內存狀態文件，分析出當時系統當時運行著哪些程序，系統的部分數據等。

詳見 Linux下內存取證工具Volatility的使用

取證分割工具

binwalk是固件的分析工具，旨在協助研究人員對固件分析，提取及逆向工程。

取證哈希驗證工具集

主要用作哈希驗證，如對下載的文件進行哈希計算，計算它的MD5值並和官網的MD5值進行比較，以確定該文件是否被植入後門信息。

• md5deep可以批量計算文件的哈希值，並和哈希值列表進行比對
• rahash2可以快速對文件整體、部分區塊、字符串等執行加密解密和hash等各種操作。

數字取證套件

Autopsy是一款數字取證平臺，提供了一個瀏覽器平臺，訪問本地端口9999。

DFF是數字取證工作輔助工具，它具有靈活的模塊系統，具有多種功能，包括：回復錯誤或崩潰導致的文件丟失，證據的研究和分析。DFF提供了一個強大的體系結構和一些列有用的模塊。

取證鏡像工具集

主要是針對鏡像文件的取證分析，如mmstat與mmls等命令。

報告工具與系統服務

1.Dradis是一個獨立的web應用程序，它會自動在瀏覽器中打開https://127.0.0.1:3004。設置密碼，使用任何登錄名即可進入Dradis框架進行使用。

2.媒體捕捉工具包括Cutycapt（將網頁內容截成圖片保存）和Recordmydesktop（屏幕錄像工具）。

3.證據管理：Maltego

4.MagicTree可以幫助攻擊者進行數據合並、查詢、外部命令執行（如直接調用nmap，將掃描結果直接導入tree中）和報告生成，所有數據都會以樹形結構存儲。

5.Truectypt：免費開源的加密軟件，同時支持Windows，OS，Linux等操作系統。

6.系統服務目錄主要是方便我們及時啟動或關閉某些服務，命令行輸入service 服務名 start和service 服務名 stop可以達到相同效果。

課本筆記

一、惡意代碼安全攻防

1.惡意代碼定義與分類：計算機病毒、蠕蟲、惡意移動代碼、後門、特洛伊木馬、僵屍程序、內核套件（Rootkit）、融合型惡意代碼。

2.Rootkit：用戶模式Rootkit和內核模式Rootkit。其中內核模式Rootkit包括Linux內核模式Rootkit和Windows內核模式Rootkit。

3.惡意代碼分析方法：

• 惡意代碼分析技術概述：靜態分析和動態分析
• 惡意代碼分析環境：惡意代碼發燒友的分析環境、基於虛擬化構建惡意代碼分析環境、用於研究的惡意代碼自動分析環境
• 惡意代碼靜態分析技術：反病毒軟件掃描、文件格式識別、字符串提取分析、二進制結構分析、反匯編、反編譯、代碼結構與邏輯分析、加殼識別、代碼脫殼
• 惡意代碼動態分析技術：基於快照對比的方法和工具、系統動態行為監控方法（文件行為監控軟件、進程行為監控軟件、註冊表監控軟件、本地網絡棧行為監控軟件）、網絡協議棧監控方法、沙箱技術、動態調試技術

二、緩沖區溢出和Shellcode

1.軟件安全的困境三要素為復雜性，可擴展性和連通性。軟件安全漏洞從技術上分為內存安全違規類，輸入驗證類，競爭條件類，極限混淆與提升類。

2.緩沖區溢出基本概念：計算機程序中存在的一類內存安全違規類漏洞，在計算機程序向特定緩沖區內填充數據時，超出了緩沖區本身的容量，導致外溢數據覆蓋了相鄰內存空間的合法數據，從而改變了程序執行流程破壞系統運行完整性。

3.緩沖區溢出在進程內存空間中的位置不同，又分為棧溢出，堆溢出和內核溢出。

4.為了防止緩沖區溢出攻擊，一般采用嘗試杜絕溢出的防禦技術，允許溢出但不讓程序改變執行流程的技術，無法讓攻擊代碼執行的防禦技術來進行防禦。

---恢復內容結束---

2017-2018-2 20179202《網絡攻防技術》第九周作業