第2章 网络安全威胁71.ppt

南京邮电大学信息安全系 第2章 网络安全威胁 南京邮电大学信息安全系 《网络信息安全》教研组 主要内容 2.1 隐藏攻击者的地址和身份 2.2 踩点技术（Footprinting） 2.3 扫描技术（Scanning） 2.4 嗅探技术（Sniffing） 2.5 攻击技术（Attack Technology） 2.6 权限提升（Escalating Privilege） 2.7 掩盖踪迹（Covering Tracks） 2.8 创建后门（Creating Bookdoor） 2.9 Web攻击技术 网络攻击与防御技术的关系 ① “网络渗透”过程有多个阶段、多种技术，但没有一个统一的定式。 ② 网络攻击技术发展很快，今天可行的技术可能明天就过时了。 ③ 网络攻击技术的过时主要是因为相应的网络防御技术发展也很快。 ④ 许多网络安全技术都是双刃剑，两者相辅相成，互为补充（如：扫描、嗅探和嗅探检测等）。 网络防御技术 1）加密/签名/散列技术（理论基础） 2）主机加固技术（打补丁） 3）病毒防护技术（广义病毒） 4）防火墙技术（门卫/被动/进出） 5）虚拟专用网技术（端-端/密码技术） 6）入侵检测技术（警察/动态/内部） 7）蜜罐技术（主动/位置/误报漏报少） 8）计算机取证技术（主机取证和网络取证） 2.1 隐藏攻击者的地址和身份 1．IP地址欺骗或盗用技术 源IP地址为假冒或虚假 2．MAC地址盗用技术 修改注册表或使用ifconfig命令 3．通过Proxy隐藏技术 作为攻击跳板；实际上很难真正实现隐藏 4．网络地址转换技术 私有IP地址可以隐藏内部网络拓扑结构 5．盗用他人网络账户技术 网络安全链路中最薄弱的链接 2.2 踩点技术（Footprinting） 黑客尽可能地收集目标系统安全状况的各种信息： ① 目标系统的用户注册信息——Whois ② 域名、IP地址、DNS服务器、邮件服务器——Nslookup 、host ③ 网络拓扑和路由信息——Traceroute 获取公开的信息；采用的技术合法。 2.3 扫描技术（Scanning） 2.3.1 主机扫描（Host Scanning） 一般使用Ping实现：发送ICMP echo请求给目标主机，若收到ICMP echo应答则表明目标主机激活。 ① Fping工具以并行轮转方式发送大量Ping请求，以加快扫描速度。 ② 防火墙的存在使得Ping扫描的应答可能丢失，扫描结果就不一定准确。 2.3.2 端口扫描（Port Scanning） 通常采用Nmap等扫描工具： ① 获得目标主机开放的TCP和UDP端口列表 ② 确定主机上开放的网络服务 ③ 得到监听端口返回的Banner信息 利用这些服务的漏洞，进行进一步入侵。 TCP三次握手缺陷 　 SYN包,C的序列号 Client 　SYN+ACK包,S序列号,C应答号　Server 　 ACK包,S的应答号 ? 源端口(1024高端口) 　? 目的端口(1024熟知 ? 源IP地址(寻址只关心 端口，表明Server上 目的IP，不认证源IP地 提供的服务) 址，可能是“假”地址) ? 目的IP地址 端口扫描的类型（1） 端口扫描的类型（2） 端口扫描的类型（3） 2.3.3 操作系统探测（Operate System Probing） 协议栈指纹鉴别（TCP Stack Fingerprinting） 各个OS实现协议栈细节不同的原因如下： 1）对RFC相关文件理解不同； 2）TCP/IP规范并不被严格执行； 3）规范中一些选择性特性只在某些系统使用； 4）某些系统私自对IP协议做了改进。 操作系统探测的方法 ① 对目标主机发出OS探测包，每种OS有其独特响应方法，可根据返回的响应包确定目标主机OS类型。 协议栈指纹：TTL值、TCP窗口大小、DF标志、TOS、IP碎片、ACK值、TCP选项等。 ② 利用Ping扫描返回的TTL值进行简单的OS探测 2.3.4 漏洞扫描（Hole Scanning） ① 漏洞（脆弱性，Vulnerability） 计算机或网络系统具有的某种可能被入侵者