信息攻击.pptVIP

第四章 常见网络攻击手段 1、扫描技术 2、什么是扫描器 扫描器分类 端口扫描器 (如：NMAP， PORTSCAN) 扫描目标机开放的服务端口及其有关信息 漏洞扫描器(如：ISS、NESSUS、SATAN等) 对于重视安全的网站进行漏洞扫描，可能一无所获，因为流行的漏洞早已打补丁了。因此端口扫描器对黑客或许更有用。 3、扫描器的工作原理 4、扫描器的功能 5、常用的网络命令 1、ping命令 主要目的是检测目标主机是不是可连通的。原理是通过向目标主机传送一个小数据包，目标主机接受并将该包返送回来，如果返回的数据包和发送的数据包一致，那就是Ping命令成功了。通过对返回数据进行分析，就能判断计算机是否开着，或者这个数据包从发送到返回需要多少时间。根据响应时间和数据丢失率，判断与对方的连接成功与否，连接效果、速度如何。 5、常用的网络命令 2、tracert tracert命令用来跟踪一个报文从一台计算机到另一台计算机所走的路径。 3、其他扫描命令 还有一些可用来了解目标主机的信息的命令，如：rusers,finger和hosts,它们都是UNIX的命令，可以用来收集目标计算机上有关用户的信息。 5、常用的端口扫描技术 5、常用的端口扫描技术 TCP SYN扫描  优点：即使日志中对扫描有所记录，但尝试进行连接的纪录也要比全扫描少得多。 缺点：在大多数的操作系统中，发送主机需要构造适用于这种扫描的IP包。 SYN-Flooding攻击示意图 5、常用的端口扫描技术 5、常用的端口扫描技术 IP欺骗与防范 一、IP欺骗的定义： 利用主机之间的正常信任关系发动的攻击。就是冒充别人的源地址。 二、信任关系： 在Unix系统中，rlogin,rsh,rcp等远程调用命令的信任基础是IP地址，若地址验证通过，则无须口令验证就能远程登录。 修改$HOME/.rhosts文件内容，可建立两台机器之间的信任关系。当/etc/hosts.equiv中出现一个“+”或$HOME/.rhosts中出现“++”时，表明任意地址的主机无须口令可直接用r命令登录此主机。 IP欺骗与防范 二、信任关系： 指的是一方信任另一方，被信任方可以访问信任方的资源。 IP欺骗与防范 三、IP欺骗的步骤： 找到要攻击的主机X. 发现和它有关的被信任主机T. 利用某种攻击方法使T瘫痪。 对X的序列号进行取样。 猜测新的可能的序列号。 用这个序列号进行尝试连接。 若连接成功，则执行一个命令，留下一个后门。 IP欺骗示意图 IP欺骗与防范 四、TCP序列号预测： 上述过程说起来很容易，但猜测X的序列号是比较难的。 1、可以通过扫描得到。 2、通常使用大量的TCP SYN数据包。 3、为什么要让主机T瘫痪。 回忆TCP三次握手（C是客户端，S是服务器端） （1）C…SYN→S （2）C…SYN/ACK→C （3）C…ACK→S IP欺骗中的三次握手： 数据包1：T→X（实际上是A→X,A是假冒了T） 标志：SYN SEQ：Client-serial（客户的序列号） 数据包2：X→T 标志：SYN/ACK SEQ: Sever-serial （服务器的序列号） ACK： Client-serial+1 数据包3： T→X（实际上是A→X） 标志：ACK SEQ： Client-serial+1 ACK：guessed-sever-serial+1 IP欺骗与防范 四、TCP序列号预测： 序列号的方法： （1）64K规则 （2）时间相关规则 （3）随机产生规则 IP欺骗与防范 IP欺骗的防范： 1、改变间隔 2、禁止基于IP地址的验证 3、使用包过滤 4、使用加密方法 5、使用随机化的初始序列号 RIDS-100入侵检测系统 RIDS-100入侵检测系统是由瑞星公司自主开发研制的新一代网络安全产品，它集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据。 RIDS-100入侵检测系统的布置图 入侵检测引擎 管理控制台 管理控制台是对检测引擎进行配置、管理和数据查询的软件程序，它可以安装在内网的管理员主机（Windows 2000/NT操作系统）上。 主要功能 网络监控和统计 1）内外网连接情况 主要功能 网络监测和统计 2）网络流量的实时统计 主要功能 网络监测和统计 2）网络统计 传输层统计 按TCP,UDP,ICMP进