第5章 网络攻击与防范.ppt

第五章 网络攻击与防范技术 5.1 网络攻击概述与分类 5.2 目标探测 5.3 扫描的概念与原理 5.4 网络监听 5.5 缓冲区溢出攻击 5.6 拒绝服务攻击 5.7 欺骗攻击与防范 5.1 网络攻击概述与分类 网络容易受到攻击的原因— 网络软件不完善+协议本身存在安全缺陷。 TCP/IP网络协议存在大量的安全漏洞。 TCP/IP是冷战时期的产物，目标是要保证通达，保证传输的粗旷性。通过来回确认来保证数据的完整性，不确认则要重传。TCP/IP没有内在的控制机制来支持源地址的鉴别。 黑客利用TCP/IP的漏洞，可以使用侦听的方式来截获数据，能对数据进行检查，推测TCP的系列号，修改传输路由，修改鉴别过程，插入黑客的数据流。 莫里斯病毒就是利用这一点，给互联网造成巨大的危害。 近10年安全漏洞发布趋势 5.1 网络攻击概述与分类 网络攻击目的 炫耀自己的技术； 恶作剧、练功； 窃取数据； 报复； 抗议或宣示。 5.1 网络攻击概述与分类 常用的攻击方法 窃听 欺骗 拒绝服务 数据驱动攻击 网络攻击的一般流程 5.2 目标探测 目标探测是防范不法黑客攻击行为的手段之一 也是黑客进行攻击的第一步。 5.2.1 目标探测的内容 1．外网信息。 包括域名、管理员信息、网络地址范围、网络位置、网络地址分配机构信息、系统提供的各种服务和网络安全配置等。 2．内网信息。 包括内部网络协议、拓扑结构、系统体系结构和安全配置等。 5.2.2 目标探测的方法 1．确定目标范围 Ping命令 Whois查询 Whois查询就是查询域名和IP地址的注册信息。国际域名由设在美国的Internet信息管理中心（InterNIC）和它设在世界各地的认证注册商管理，国内域名由中国互联网络信息中心（CNNIC）管理。 2. 分析目标网络信息 使用专用的工具，如VisualRoute等。 这些软件的主要功能：快速分析和辨别Internet连接的来源，标识某个IP地址的地理位置等。 3. 分析目标网络路由 了解信息从一台计算机到达互联网另一端的另一台计算机传播路径，常见的检测工具为Tracert/TraceRoute。 5.3 扫描概念和原理 计算机扫描就是对计算机系统或者其他网络设备进行与安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。 扫描技术分类 主机扫描 端口扫描 漏洞扫描 5.3.1 主机扫描技术 简单主机扫描技术 (1) 发送ICMP Echo Request数据包到目标主机； (2) Ping扫描； (3)发送ICMP Echo Request到广播地址或者目标网络地址。 复杂主机扫描技术 (1)异常的IP包头； (2)IP头中设置无效的字段值； (3)错误的数据分片； (4)反向映射探测。 5.3.2 端口扫描技术 1．TCP connect 扫描 最基本的TCP扫描，操作系统提供的connect（）系统调用，用来与每一个目标计算机的端口进行连接。如果端口处于侦听状态，那么connect（）就能成功。否则，该端口是不能用的，即没有提供服务。 优势： 没有权限限制 速度快 缺陷： 容易暴露 2．TCP SYN扫描 3．TCP FIN 扫描 4．TCP Xmas扫描 5．TCP NULL扫描 5．UDP扫描 UDP扫描并不可靠。 1)目标主机可以禁止任何UDP包通过； 2)UDP本身不是可靠的传输协议，数据传输的完整性不能得到保证； 3)系统在协议栈的实现上有差异，对一个关闭的UDP端口，可能不会返回任何信息，而只是简单的丢弃。 6．FTP返回扫描 FTP 代理扫描是用一个代理的FTP服务器来扫描TCP端口。 假设S是扫描机，T是扫描目标，F是一个支持代理选项的FTP服务器，能够跟S和T建立连接，FTP端口扫描步骤如下： （1） S与F建立一个FTP会话，使用PORT命令声明一个选择的端口p-T作为代理传输所需要的被动端口； （2）然后S使用一个LIST命令尝试启动一个到p-T的数据传输； （3）如果端口p-T确实在监听，传输就会成功，返回码150和226被发送回给S。否则S会收到 “425 Can build data connection:Connection refused” 的应答; （4）S持续使用PORT和LIST命令，直到对T上所有的选择端口扫描完毕为止。 这种方法的优点是难以跟踪，能穿过防火墙。主要缺点是速度很慢，有的FTP服务器最终还是能得到一些线索，关闭代理功能。 防止端口扫描 防止端口扫描：　 (1) 关闭闲置