第10章 网络攻击.ppt

第10章 网络攻击 网络攻击综述 网络攻击：网络攻击者利用目前网络通信协议（如TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。 攻击：试图绕过安全控制的破坏活动。 利用网络当中存在的安全漏洞和缺陷，对系统进行网络攻击。 网络攻击的一般步骤 1.准备阶段 2.实施阶段 3.善后阶段 准备阶段 明确攻击目的 破坏型攻击 破坏攻击目标，使其不能正常工作。 主要手段有拒绝服务攻击和网络炸弹。 入侵型攻击. 获得一定的权限达到控制目标的目的。 这种攻击比破坏型攻击更普遍。 收集信息 技术信息 操作系统及版本 提供的服务 服务器程序的类型及版本 社会信息 服务器所属公司的名称、规模 网络管理员的生活习惯、电话号码、名字、生日等 收集方式 手工 工具（扫描器） 实施阶段 破坏型攻击 利用工具进行攻击即可。 入侵型攻击 利用收集到的信息，寻找目标系统的漏洞，获取系统权限，最终获取系统的最高权限。 系统漏洞包括系统软件设计的漏洞和安全管理上的漏洞，主要原因是软件设计上存在安全缺陷，例如缓冲区溢出漏洞。 漏洞可以被分为本地漏洞和远程漏洞。 善后阶段 清除入侵痕迹 端口扫描工具 Nmap X scan Super Scan Shadow Security Scanner MS06040 Scanner Nmap——探测工具王 功能 NMAP是探测网络主机和开放服务的佼佼者。是Linux下使用者的最爱，现在已经有Windows的版本。NMAP支持多种协议的扫描如UDP，TCP connect,TCP SYN, ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。还提供一些实用功能，比如通过tcp/ip来甄别操作系统类型；秘密扫描、动态延迟和重发；欺骗扫描、端口过滤探测、分布扫描等。 -sT TCP Connect()扫描 这是对TCP的最基本形式的侦测。对目标主机端口进行试探，如果该端口开放，则连接成功，否则代表这个端口没有开放。 -sS TCP SYN扫描 就是我们介绍的‘半开’式的扫描，速度会比connect扫描快。 -sF -sX –sN Stealth FIN,Xmas Tree 或者Null扫描模式。 -sP Ping扫描 对指定的IP发送ICMP，如果对方屏蔽了echo request，nmap还能发送一个TCP ack包到80端口探测。 -sU UDP扫描 确定某个UDP端口是否打开。 xscan Superscan——速度之王 MS06040Scanner—专用的漏洞扫描器 MS06040Scanner的工作原理是首先是通过端口扫描和操作系统扫描获取操作系统类型和开放的端口，如果是windows2000系统，开放了TCP 139 或者TCP 445端口，并且返回的数据包跟漏洞库里的定义相匹配，则说明该主机可能可能存在MS06040漏洞，我们就可以使用MS06040漏洞利用程序对其进行远程溢出攻击。 拒绝服务攻击 拒绝服务攻击（DoS Denial of Service）：目的是使目标主机停止服务或系统崩溃。 原理：目标系统资源的有限性，当对目标资源的请求大大超过系统的处理能力时，就会造成拒绝服务攻击。 拒绝服务攻击形式 网络连接 带宽资源 其他资源，如磁盘空间、进程数 分布式拒绝服务攻击 拒绝服务攻击采用的是一对一的形式。 缺陷：攻击能力弱；易被发现。 由供给者控制大量的傀儡机统一对攻击目标进行攻击。 优点：隐蔽性强；攻击能力强。 DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡