网络攻防技术概论.pptVIP

黑客入侵技术 ;端 口 扫 描 网 络 监 听 IP电子欺骗 拒绝服务攻击 特洛伊木马 E-mail 炸 弹 缓冲区溢出 ;黑客攻击介绍 ;黑客与入侵者;黑客攻击的目的;黑客攻击的3个阶段;黑客攻击手段;6.1 端 口 扫 描;扫描器简介; （１）端口 ? 许多TCP/IP程序可以通过Internet启动，这些程序大都是面向客户/服务器的程序。当inetd接收到一个连接请求时，它便启动一个服务，与请求客户服务的机器通讯。为简化这一过程，每个应用程序（比如FTP、Telnet）被赋予一个唯一的地址，这个地址称为端口。在一般的Internet服务器上都有数千个端口，为了简便和高效，为每个指定端口都设计了一个标准的数据帧。换句话说，尽管系统管理员可以把服务绑定（bind）到他选定的端口上，但服务一般都被绑定到指定的端口上，它们被称为公认端口。 ;;(3) 端口扫描的原理 下面介绍入侵者们如何利用上述这些信息，来隐藏自己的端口扫描。 1．TCP connect( )扫描 2．TCP SYN扫描 3．TCP FIN扫描 4．Fragmentation 扫描 5．UDP recfrom( )和write( )扫描 6．ICMP扫描;;;;;;;6.2 网 络 监 听;1．监听的可能性 网络监听是黑客们常用的一种方法。 表6.1描述了在通常的一些传输介质上，信息被监听的可能性。;表6.1 不同的数据链路上传输的信息被监听的可能性;2．以太网中可以监听的原因 当主机工作在监听模式下，那么，无论数据包中的目标物理地址是什么，主机都将接收。 如果一台主机处于监听模式下，它还能接收到发向与自己不在同—子网（使用了不同的掩码、IP地址和网关）的主机的那些信息包。 ;3.监听模式的设置 要使主机工作在监听模式下，需要向网络接口发送I/O控制命令；将其设置为监听模式。在UNIX系统中，发送这些命令需要超级用户的权限。在UNIX系统中普通用户是不能进行网络监听的。但是，在上网的Windows 95中，则没有这个限制。只要运行这一类的监听软件即可，而且具有操作方便，对监听到信息的综合能力强的特点。 ;4. 常用的监听工具;(2)．Sniffit软件 Sniffit是由Lawrence Berkeley实验室开发的，运行于Solaris、SGI和Linux等平台的一种免费网络监听软件，具有功能强大且使用方便的特点。使用时，用户可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。 ;6.2.2 网络监听的检测 1．简单的检测方法 （1）方法一 对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。 （2）方法二 往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后该机器性能（icmp echo delay等方法）加以判断。 ;;;2．对付一个监听 3．其他防范监听的方法 4．ifstatus工具;6.3 IP电子欺骗; 因此，只能盗用本网段的IP地址。原因很简单：一个最简单的网段，也要有一个路由器作为出口。在路由器的配置中，要指定这个网段的网络地址和掩码。如果这个网段的主机使用了其他网段的IP地址，则路由器不认为这个IP地址是属于它的网段，所以不给转发。防止盗用IP地址可以绑定IP地址和物理地址。;6.3.2 IP电子欺骗的原理 1．IP电子欺骗过程 IP电子欺骗就是伪造某台主机的IP地址的技术 ，通过IP地址的伪装使得某台主机能够伪装成另外的一台主机。 关于IP欺骗技术有如下3个特征： （1）只有少数平台能够被这种技术攻击。 （2）这种技术出现的可能性比较小。 （3）这种攻击方法很容易防备。 ;2．可以实施欺骗的对象 （1）运行Sun RPC的计算机。 （2）基于IP地址认证的网络服务。 （3）MIT的X视窗系统。 （4）提供R系列服务（如提供rlogin、rsh与rcp等服务）的计算机。;6.3.3 IP电子欺骗的实施 1．关于信任关系 几乎所有的欺骗都是基于某些计算机之间的相互信任的，黑客可以通过很多命令、端口扫描技术与监听技术来确定计算机之间的信任关系。 ;2. IP欺骗技术攻击方式 （1）通过假冒为计算机B来欺骗计算机A和C; （2）通过假冒为计算机A或C来欺骗计算机B 为了假冒C去欺骗B，首先是攻击原来的C，使得C瘫痪。 ;3．攻击的几个过程 （1）使计算机C的网络部分不能正常工作 （2）找到计算机B发出的包的系列号 （3）实施攻击 （4）建立一个更好