15 网络威胁与攻击分析.pptVIP

第八章 网络威胁与攻击分析 姚宏 中国地质大学计算机学院 网络工程系 认识黑客（Hacker) 黑客守则 1) 不恶意破坏系统 2) 不修改系统文档 3) 不在bbs上谈论入侵事项 4) 不把要侵入的站点告诉不信任的朋友 5) 在post文章时不用真名 6) 入侵时不随意离开用户主机 7) 不入侵政府机关系统 8) 不在电话中谈入侵事项 9) 将笔记保管好 10) 要成功就要实践 11) 不删除或涂改已入侵主机的帐号 12) 不与朋友分享已破解的帐号 网络攻击三部曲踩点-扫描-攻击 踩点（信息收集）： SNMP协议 TraceRoute程序 Whois协议 DNS服务器 Finger协议 Ping实用程序 扫描（漏洞侦测）： 使用自制工具 使用专用工具（SATAN等） 攻击： 建立帐户 安装远程控制器 发现信任关系，全面攻击 获取特权 网络攻击概览 按照攻击的性质及其手段，可将通常的网络攻击分为以下四大类型： .口令攻击 .拒绝服务攻击（也叫业务否决攻击） .利用型攻击 .信息收集型攻击 .假消息攻击 口令攻击 服务拒绝攻击 拒绝服务攻击通过使计算机功能或性能崩溃来阻止提供服务，是常见实施的攻击行为。主要包括： .死ping （ping of death） .泪滴 （tear drop） .UDP 洪流（UDP flood） .SYN 洪水 （SYN flood） .Land 攻击 .Smurf 攻击 .Fraggle 攻击 .电子邮件炸弹 .畸形消息攻击 服务拒绝攻击 服务拒绝攻击 服务拒绝攻击 服务拒绝攻击 服务拒绝攻击 服务拒绝攻击 服务拒绝攻击 利用型攻击 利用型攻击是一类试图直接对主机进 行控制的攻击，最常见的有三种： .口令猜测 .特洛伊木马 .缓冲区溢出 利用型攻击 利用型攻击 利用型攻击 利用型攻击 .缓冲区溢出例子： Void sub(char * str ) { char buf [16]; strcpy (buf ,str ) } Void main() { char large_ str [256] int i; for(i=0;i255;i++) large_ str [i]= =‘A’; sub(large_ str ) } 堆栈结构： 16 4 4 4 [buf ] [ ebp ] [ret] [large_ str ] 信息收集型攻击 信息收集型攻击并不对目标本身造成危 害，顾名思义，这类攻击被用来为进一 步入侵提供有用的信息，主要包括： .扫描技术 .体系结构刺探 .利用信息服务 信息收集型攻击 信息收集型攻击 信息收集型攻击 信息收集型攻击 假消息攻击 用于攻击目标配置不正确的消息。 主要包括： .DNS高速缓存污染 .伪造电子邮件 假消息攻击 ⑴“特洛依木马”(Trojan Horse) 一种故意隐藏在正常程序代码中的异常特殊代码，在条件成熟时进行特殊任务的执行。 “逻辑炸弹”(Logic Bomb)： 基于逻辑条件的满足而触发 “时间炸弹” (Time Bomb)： 基于时间条件的满足而激活。 不自身复制、不传染、任务完成后自毁或隐藏。 ⑵“计算机病毒”(Computer Virus) 一种人为编制的特殊程序代码，可将自己附着在其他程序代码上以便传播，可自我复制、隐藏和潜伏，并带有破坏数据、文件或系统的特殊功能。 特洛依木马的特例。 具有宿主。 ⑶“细菌”(Bacteria) 一种简单的可自身复制的程序，一旦进入系统，该程序就连续不停地运行，尽可能地占据处理器时间和存储空间，造成系统因缺乏可用资源而不能工作。 无宿主。 ⑷“蠕虫”(Worm) 一种独立运行的程序代码，在网络环境下主动传播和复制，利用系统资源侵入网络，从而阻塞和拒绝网络服务。无宿主、不驻留、仅存在于内存，可经网络传播。 分类已随着恶意程序彼此间的交叉和互相渗透(变异)变得模糊。 恶意程序的出现、发展和变化给计算机系统、网络系统和各类信息系统带来了巨大的危害，尽管已经出现了许多有效的防范措施，但仍然远远不够。因此，必须了解恶意程序及其对它的防御。由于计算机病毒的特殊功能和潜在的威胁，它成为所有计算机恶意程序的代名词。 目前的威胁：复合类病毒！病毒制造者将各类病毒机理相互借鉴，形成各类改进型、混合型、交叉型和多形型的病毒。 二、计算机病毒的特性 所有计算机病毒都具有(或者部分具有)下述的特性，这些特性是病毒赖以生存的手段和机制，是计算机病毒对抗技术中必须涉及的重要问题。 ①传染性(propagati