第三章网络安全威胁.pptVIP

南京邮电大学信息安全系 第三章 网络安全威胁 南京邮电大学信息安全系 《网络信息安全》教研组 主要内容 3.1 隐藏攻击者的地址和身份 3.2 踩点技术（Footprinting） 3.3 扫描技术（Scanning） 3.4 嗅探技术（Sniffing） 3.5 攻击技术（Attack Technology） 3.6 权限提升（Escalating Privilege） 3.7 掩盖踪迹（Covering Tracks） 3.8 创建后门（Creating Bookdoor） 网络攻击与防御技术的关系 ① “网络渗透”过程有多个阶段、多种技术，但没有一个统一的定式。 ② 网络攻击技术发展很快，今天可行的技术可能明天就过时了。 ③ 网络攻击技术的过时主要是因为相应的网络防御技术发展也很快。 ④ 许多网络安全技术都是双刃剑，两者相辅相成，互为补充（如：扫描、嗅探和嗅探检测等）。 网络防御技术 1）加密/签名/散列技术（理论基础） 2）主机加固技术（打补丁） 3）病毒防护技术（广义病毒） 4）防火墙技术（门卫/被动/进出） 5）虚拟专用网技术（端-端/密码技术） 6）入侵检测技术（警察/动态/内部） 7）蜜罐技术（主动/位置/误报漏报少） 8）计算机取证技术（主机取证和网络取证） 3.1 隐藏攻击者的地址和身份 1．IP地址欺骗或盗用技术 源IP地址为假冒或虚假 2．MAC地址盗用技术 修改注册表或使用ifconfig命令 3．通过Proxy隐藏技术 作为攻击跳板；实际上很难真正实现隐藏 4．网络地址转换技术 私有IP地址可以隐藏内部网络拓扑结构 5．盗用他人网络账户技术 网络安全链路中最薄弱的链接 3.2 踩点技术（Footprinting） 黑客尽可能地收集目标系统安全状况的各种信息： ① 目标系统的用户注册信息——Whois ② 域名、IP地址、DNS服务器、邮件服务器——Nslookup 、host ③ 网络拓扑和路由信息——Traceroute 获取公开的信息；采用的技术合法。 3.3 扫描技术（Scanning） 3.3.1 主机扫描（Host Scanning） 一般使用Ping实现：发送ICMP echo请求给目标主机，若收到ICMP echo应答则表明目标主机激活。 ① Fping工具以并行轮转方式发送大量Ping请求，以加快扫描速度。 ② 防火墙的存在使得Ping扫描的应答可能丢失，扫描结果就不一定准确。 3.3.2 端口扫描（Port Scanning） 通常采用Nmap等扫描工具： ① 获得目标主机开放的TCP和UDP端口列表 ② 确定主机上开放的网络服务 ③ 得到监听端口返回的Banner信息 利用这些服务的漏洞，进行进一步入侵。 TCP三次握手缺陷 　 SYN包,C的序列号 Client 　SYN+ACK包,S序列号,C应答号　Server 　 ACK包,S的应答号 ? 源端口(1024高端口) 　? 目的端口(1024熟知 ? 源IP地址(寻址只关心 端口，表明Server上 目的IP，不认证源IP地 提供的服务) 址，可能是“假”地址) ? 目的IP地址 3.3.3 操作系统探测（Operate System Probing） 协议栈指纹鉴别（TCP Stack Fingerprinting） 各个OS实现协议栈细节不同的原因如下： 1）对RFC相关文件理解不同； 2）TCP/IP规范并不被严格执行； 3）规范中一些选择性特性只在某些系统使用； 4）某些系统私自对IP协议做了改进。 操作系统探测的方法 ① 对目标主机发出OS探测包，每种OS有其独特响应方法，可根据返回的响应包确定目标主机OS类型。 协议栈指纹：TTL值、TCP窗口大小、DF标志、TOS、IP碎片、ACK值、TCP选项等。 ② 利用Ping扫描返回的TTL值进行简单的OS探测 3.3.4 漏洞扫描（Hole Scanning） ① 漏洞（脆弱性，Vulnerability） 计算机或网络系统具有的某种可能被入侵者恶意利用的特性。 ② 漏洞扫描 针对特定应用和服务（如操作系统、Web服务器、数据库服