网络安全课件第2章 网络攻击与防范.ppt

网络安全技术 第2章 网络攻击与防范 网络攻击的目的和分类 网络攻击步骤 网络攻击的实施 网络攻击的防范 2.1 黑客概述 什么是黑客？黑客是“Hacker”的音译，源于动词Hack，其引申意义是指“干了一件非常漂亮的事”。对于计算机而言，黑客就是精通网络、系统、外设以及软硬件技术的人。 什么是骇客？有些黑客逾越尺度，运用自己的知识去做出有损他人权益的事情，就称这种人为骇客（Cracker，破坏者）。 黑客分类 目前将黑客分成三类： 第一类：破坏者 第二类：红客 第三类：间谍 黑客准则 不恶意破坏系统。 不修改系统文档。 不在BBS上谈论入侵事项。 入侵时不随意离开用户主机。 不入侵或破坏政府机关系统的主机，不破坏互联网的基础结构和基础建设。 不在电话中谈入侵事项。 不删除或涂改已入侵主机的账号。 不与朋友分享已破解的账号。 黑客的行为发展趋势 网站被黑可谓是家常便饭，世界范围内一般美国和日本的网站比较难入侵，韩国、澳大利亚等国家的网站比较容易入侵，黑客的行为有三方面发展趋势： 手段高明化：黑客界已经意识到单靠一个人力量远远不够了，已经逐步形成了一个团体，利用网络进行交流和团体攻击，互相交流经验和自己写的工具。 活动频繁化：做一个黑客已经不再需要掌握大量的计算机和网路知识，学会使用几个黑客工具，就可以再互联网上进行攻击活动，黑客工具的大众化是黑客活动频繁的主要原因。 动机复杂化：黑客的动机目前已经不再局限于为了国家、金钱和刺激。已经和国际的政治变化、经济变化紧密的结合在一起。 2.2 常见网络攻击-攻击目的 破坏 窃取信息 控制中间站点 入侵 获取口令 获得超级用户权限 攻击事件分类 外部攻击 审计试图登录的失败记录 内部攻击 观察试图连接特定文件、程序或其它资源的失败记录 行为滥用 通过审计信息来发现那些权力滥用者往往是很困难的 攻击事件分类－外部攻击 破坏型攻击 利用型攻击 口令猜测 特洛伊木马 缓冲区溢出 信息收集型攻击 扫描技术 地址扫描 端口扫描 反响扫描 慢速扫描 漏洞扫描 攻击事件分类－外部攻击 信息收集型攻击 体系结构探测 利用信息服务 DNS域转换 Finger服务 LDAP服务 网络欺骗攻击 DNS欺骗攻击 电子邮件攻击 Web欺骗 IP欺骗 垃圾信息攻击 2.3 网络攻击步骤 第一阶段：攻击的准备阶段 确定攻击目标 收集相关信息 网站信息的收集 资源信息的收集 发现系统漏洞 端口扫描 综合扫描 准备攻击工具 第二阶段：攻击的实施阶段 第一步，隐藏自己的位置。 第二步，利用收集到的信息获取账号和密码，登录主机。 第三步，利用漏洞或者其他方法获得控制权并窃取网络资源和特权。 第三阶段：攻击的善后阶段 清除日志 植入后门程序 Guest用户 木马程序 安装各种工具 2.4 网络攻击的实施 网络信息搜集 常用DOS命令 网站信息搜集 结构探测 端口扫描 基于认证的入侵防范 IPC$入侵 Telnet入侵 其他方式入侵 隐藏技术 安全解决方案 常用DOS命令 ping命令 用于测试网络连接性，通过发送ICMP包，获得主机的一些属性。 netstat命令 用于了解网络的整体使用情况。 nbstat命令 用于显示本地计算机和远程计算机的基于TCP/IP（NetBT）的NetBIOS的统计资料、名称表和名称缓存。 不同操作系统对ping 的TTL返回值 信息的搜集（一） 获得网站的IP地址—ping命令 信息的搜集（一） 获得网站的IP地址—nslookup命令 信息的搜集（二） 由IP地址获得目标主机的地理位置 。IP地址的分配是全球统一管理的，因此，入侵者可以通过查询有关机构的IP地址来得到IP所对应的物理位置，我们介绍2个个人网站： 信息的搜集（二） ron.ac/cn/service/index.php 信息的搜集（二） 信息的搜集（二） / 信息的搜集（三） 网站注册信息搜集 一个网站在正式发布之前，需要向有关机构申请域名。域名信息和相关的申请信息存储在管理机构的数据库中，信息一般是公开的，从中包含一定的敏感信息： 注册人的姓名； 注册人的E-mail，联系电话，传真等； 注册机构、通信地址、邮编； 注册有效时间、失效时间。 信息的搜集（三） 中国互联网络信息中心（），记录所有以cn结尾的注册信息： 信息的搜集（三） 中国万网（），中国最大的域名和网站托管服务提供商。可以查看.cn、.com、.net等。 结构探测（一） 结构探测：若要对一个网站发起入侵，入侵者必须首先了解目标网络的基本结构。只有清楚地掌握了目标网络中