第08章网络攻击与防范祥解.pptVIP

第8章 网络攻击与防范 Internet 迅猛发展普及，各种网络应用层出不穷，使用户完成过去不可想象的工作。 网络攻击成为网络安全中最严重的现象之一有必要研究。主动攻击，也有被动攻击 8.1 网络攻击概述（应用） 8.2 常见网络攻击(重点) 8.3 入侵检测与IDS 8.4 计算机紧急响应 8.1 网络攻击概述 8.1.1 网络攻击的概念 8.1.2 网络攻击的类型 8.1.3 网络攻击的过程 ? 8.1.1 网络攻击的概念 广义概念： 任何在非授权情况下，试图存取信息、处理信息或破坏网络系统以使系统不可靠、不可用的故意行为都被称为网络攻击。 入侵与攻击： 攻击成功的结果就是入侵。 侵入以前：对目标网络攻击 侵入以后：窃取或破坏别人的资源 同样手段和技术，攻击者 ：入侵 网络管理员检测并对漏洞采取措施 8.1.1-攻击者采用的攻击手段（8种） 冒充：将自己伪装成合法用户(如系统管理员) 重放： 先复制合法用户所发出的数据，重发，欺骗接收者，实现非授权入侵的目的 篡改：秘密方式篡改合法用户传输的内容 服务拒绝：中止或干扰服务器为合法用户提供服务或抑制所有流向某一特定目标的数据。 8.1.1-攻击者采用的攻击手段（8种） 内部攻击：利用所拥有的权限对系统进行破坏。最危险，80%来自内部。 外部攻击：通过搭线窃听、截获辐射信号、冒充系统管理员或授权用户、设置旁路躲避鉴别和访问机制等各种手段入侵系统。 陷阱门： 先通过某种方式侵入系统，再安装陷阱门，通过更改系统功能属性和相关参数，使得入侵者在非授权情况下能对系统进行各种非法操作。 特洛伊木马： 具有双重功能的客户/服务器体系结构。一旦建立，整个系统被占领。 8.1.2 网络攻击的类型 拒绝服务型攻击 利用型攻击 信息收集型攻击 虚假信息型攻击 -8.1.2-拒绝服务型攻击 攻击者利用各种手段来消耗网络带宽或者服务器的系统资源，导致被攻击服务器资源耗尽、系统崩溃而无法提供正常的网络服务。信任度 公司声誉 DoS利用TCP协议自身漏洞攻击，方式： SYN Flood IP碎片攻击 Smurf攻击 死亡之ping 泪滴(teardrop)攻击 UDP Flood Fraggle 8.1.2- 2 利用型攻击 口令猜测： NetBIOS TelNet NFS用户账号，猜测其密码,成功的口令猜测能提供对机器的控制。 特洛伊木马 一种直接由黑客或通过用户秘密安装到目标系统的程序。一旦安装成功，并拥有管理员权限，远程控制目标系统 缓冲区溢出 服务程序 strcpy（） strcat（）代码点缀在缓冲区有效载荷末尾，溢出后，返回指针指向恶意代码，系统控制权被夺取。 8.1.2- 3 信息收集型攻击 地址扫描： ping程序，措施：防火墙过滤掉ICMP应答即可。 端口扫描: 使用软件，向大范围主机连接一系列的TCP端口。扫描软件可报告它成功地建立了连接的主句的开放端口。 反向映射 黑客向主机发送假消息，根据返回的hostunreachable判断哪些主机在工作。 DNS域转换： Finger服务 8.1.2- 4-5 虚假信息型攻击 DNS高速缓存污染 DNS服务器与其他域名服务器交换信息时不进行身份验证，使得黑客可以将虚假信息渗入，把黑客引向自己的主机。 伪造电子邮件 对邮件发送者不进行身份验证，假冒用户伪造邮件，附件可按装的木马程序。 解决：身份鉴别 8.1.3 网络攻击的过程（5-12） 隐藏自身-利用技术手段隐藏自己真实的IP地址 入侵网络中一台防护较弱的主机（肉鸡），利用这台主机进行攻击。攻击被发现，暴露的也是肉鸡的IP地址 网络代理跳板。图8-1 二级代理结构。 踩点和扫描 网络踩点通过各种途径对攻击目标尽可能多了解信息：IP地址，所在网络操作系统类型和版本，系统管理人员的邮件地址等，分析得到被攻击系统可能存在的漏洞 利用各种工具探测目标网络的每台主机，以寻找该系统的安全漏洞。 主动式扫描 基于网络 执行脚本文件模拟对系统的攻击并记录。 被动使扫描 基于主机 8.1.3 网络攻击的过程-345 侵入系统并提升权限 先以普通用户身份登录目标主机，然后利用系统漏洞提升自己的权限。系统管理员权限，完全控制 手段： 社会工程学攻击。 暴力攻击 标准单词，字典 种植后门 入侵者在被侵入主机上种植一些供自己访问的后门。木马是另外一种长期主流对方主机的手段，远程控制功能比后门更强。 网络隐身 在入侵完毕后，清除被入侵主机上的登录日志及其他相关日志。 第8章 网络攻击与防范 8.1 网络攻击概述 8.2 常见网络攻击 8.3入侵检测 8.4计算机紧急响应 8.2 常见网络攻击 攻击目的： 破坏：破坏攻击的目标，使