网管员必读——网络安全(第2版)第三章.pptVIP

第三章 黑客攻击及其预防本章仅从基础层面对黑客攻击的一些主要方面进行介绍，如了解黑客攻击的类型和主要攻击方式，端口和漏洞扫描，以及在Windows 2000/Server 2003系统下针对拒绝服务攻击所进行的TCP协议深层配置。本章重点 黑客攻击的主要类型 黑客攻击的基本步骤及各步骤所用的主要工具 主要的拒绝服务类型及相应的防御措施 Windows 2000/Server 2003系统中抵御拒绝服务的TCP/IP堆栈设置 典型漏洞扫描工具的使用 MBSA的主要功能和基本使用方法 3.1 认识黑客和黑客攻击3.1.1 “黑客”与“骇客”“黑客”的英文应是“Hacker”，原意是“开辟、开创”之意，也就是说“黑客”应该是开辟道路的人。而所谓的“Cracker”（中文：骇客）的意思则是“解密、破译”之意，明显是具有恶意的。黑客的叫法起源于20世纪70年代麻省理工学院的实验室，源于一种共享的网络精神。有人把“黑客”看做是大师级的电脑高手，而把“骇客”看做是初级的“黑客”，只具备一定的攻击能力。 3.1.2 主要黑客攻击类型目前黑客网络攻击的类型主要有以下几种。 利用监听嗅探技术获取对方网络上传输的有用信息。 利用拒绝服务攻击使目的网络暂时或永久性瘫痪。 利用网络协议上存在的漏洞进行网络攻击。 利用系统漏洞，例如缓冲区溢出或格式化字符串等，以获得目的主机的控制权。 利用网络数据库存在的安全漏洞，获取或破坏对方数据。 利用计算机病毒传播快、破坏范围广的特性，开发合适的病毒破坏对方网络。以上类型所采用的攻击手法主要有如下几种：网络监听、拒绝服务攻击、源IP地址欺骗、源路由欺骗攻击、缓冲区溢出、密码攻击、应用层攻击。以上各种攻击手法的具体实施方法参见书中介绍。 3.1.3 黑客攻击方式的十大最新发展趋势当前黑客攻击技术呈现以下几个方面的发展趋势： 攻击工具的功能不断增强，攻击过程实现自动化 攻击工具越来越智能化 攻击门槛越来越低 受攻击面更广 变种病毒数量不断翻番，防不胜防 漏洞发现得更快 防火墙也开始变得“无奈” 国产木马、后门程序成为主流 “网络钓鱼”形式的诈骗活动增多 黑客攻击“合法化”“组织化”以上具体内容参见书中介绍。 3.2 黑客攻击的基本步骤黑客要实施攻击，一般来说必须有3个基本步骤：搜集信息（踩点）→选择目标，实施攻击→上传黑客程序，下载用户数据。黑客攻击的关键一步就是搜集信息，也就是踩点。本节介绍的工具包括：Whois、Nslookup、ARIN、Traceroute、Ping、 Visual Ping、Nmap、Port Scanners、ScanPort、Default port and OS、Vulnerability Scanners和Telnet等。说明：因为本节内容全部是介绍以上软件的具体应用，所以不在课件中具体介绍，具体使用方法参看书本相应部分。 3.3 拒绝服务攻击及防御方法3.3.1 常见拒绝服务攻击的行为特征与防御方法下面是几种典型的拒绝服务攻击行为特征和防御方法： 死亡之Ping（Ping of death）攻击“死亡之Ping”的攻击原理就是来源于一般路由器对包的最大大小有限制（通常是在64KB以内），当收到大小超过64KB的ICMP包时就会出现内存分配错误，导致TCP/IP堆栈崩溃，从而使接受方计算机宕机。利用这一机制，黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包，最终使目标计算机的TCP/IP堆栈崩溃。 泪滴（Teardrop）攻击实施泪滴攻击的黑客们在截取IP数据包后，把偏移字段设置成不正确的值，这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包，但接收端会不断偿试，这样就可能致使目标计算机操作系统因资源耗尽而崩溃。 TCP SYN洪水（TCP SYN Flood）攻击“TCP SYN洪水”攻击的原理来源就是TCP/IP栈只能等待有限数量ACK（应答）消息，因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。 分片IP报文攻击为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易地把这些IP分片报文组装起来。目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文。这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗