电子商务安全技术第11章网络攻击与防御.pptVIP

第十章 系统入侵的鉴别与防御 10.1 系统入侵的分析 黑客守则 1) 不恶意破坏系统 2) 不修改系统文档 3) 不在bbs上谈论入侵事项 4) 不把要侵入的站点告诉不信任的朋友 5) 在post文章时不用真名 6) 入侵时不随意离开用户主机 7) 不入侵政府机关系统 8) 不在电话中谈入侵事项 9) 将笔记保管好 10) 要成功就要实践 11) 不删除或涂改已入侵主机的帐号 12) 不与朋友分享已破解的帐号 踩点工具 SNMP协议 TraceRoute程序 Whois协议 DNS服务器 Finger协议 Ping实用程序 扫描漏洞侦测 使用自制工具 使用专用工具SATAN等 攻击 建立帐户 安装远程控制器 发现信任关系全面攻击 获取特权 … 按照攻击的性质及其手段可将通常的网络攻击分为以下四大类型 口令攻击 拒绝服务攻击也叫业务否决攻击 利用型攻击 信息收集型攻击 假消息攻击 口令攻击 通过猜测或获取口令文件等方式获得系统认证口令 从而进入系统 危险口令类型 ? 用户名 ? 用户名变形 ? 生日 ? 常用英文单词 ? 5位以下长度的口令 ? 无口令默认口令 拒绝服务攻击 通过使计算机功能或性能崩溃来阻止提供服务，是常见实施的攻击行为 主要包括 ?死ping （ping of death） ?泪滴（teardrop） ?UDP洪流（UDP flood） ?SYN洪水（SYN flood） ?Land攻击 ?Smurf攻击 ?Fraggle攻击 ?电子邮件炸弹 ?畸形消息攻击 死ping ping of death 在早期版本中许多操作系统对网络数据包的最大尺寸有限制，对TCP/IP栈的实现在ICMP包上规定为64KB 在读取包的报头后要根据该报头里包含的信息来为有效载荷生成缓冲区当发送ping请求的数据包声称自己的尺寸超过ICMP上限也就是加载的尺寸超过64K上限时就会使ping请求接收方出现内存分配错误导致TCP/IP堆栈崩溃致使接受方当机。 防御： 现在所有的标准TCP/IP实现都已实现对付超大尺寸的包并且大多数防火墙能够自动过滤这些攻击包括从windows98之后的windows,NT(service pack 3之后) linux Solaris 和Mac OS都具有抵抗一般ping of death攻击的能力此外对防火墙进行配置阻断ICMP以及任何未知协议都将防止此类攻击 泪滴teardrop 泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击 IP分段含有指示该分段所包含的是原包的哪一段的信息 某些TCP/IP 包括service pack 4以前的NT 在收到含有重叠偏移的伪造分段时将崩溃 防御 服务器应用最新的服务包或者在设置防火墙时对分段进行重组而不是转发它们。 UDP洪流UDP flood 利用简单的TCP/IP服务建立大流量数据流如Chargen和Echo来传送无用的占满带宽的数据通过伪造与某一主机的Chargen服务之间的一次UDP连接回复地址指向提供Echo服务的一台主机这样就生成在两台主机之间的足够多的无用数据流过多的数据流就会导致带宽耗尽 防御 关掉不必要的TCP/IP服务或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求 SYN洪水SYN flood 一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息因为它们只有有限的内存缓冲区用于创建连接如果这一缓冲区充满了虚假连接的初始信息该服务器就会对接下来的连接停止响应直到缓冲区里的连接企图超时在一些创建连接不受限制的实现里SYN洪流具有类似的影响 防御 在防火墙上过滤来自同一主机的后续连接SYN洪水威胁很大由于释放洪流的主机并不寻求响应所以无法从一个简单高容量的传输中鉴别出来 Land攻击 在Land攻击中将一个SYN包的原地址和目标地址都设置成同一服务器地址导致接受服务器向自己的地址发送SYN-ACK消息结果这个地址又发回ACK消息并创建一个空连接每一个这样的连接都将保留直到超时掉对Land攻击反应不同许多UNIX实现将崩溃NT则变得极其缓慢大约持续五分钟 防御 打最新的补丁或者在防火墙进行配置 将那些在外部接口上入站的含有内部源地址滤掉包括10域127域192.168域172.16到172.31域。 Smurf攻击 简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求ping 数据包来淹没受害主机的方式进行最终导致该网络的所有主机都对此ICMP应答请求作出答复导致网络阻塞比ping of death洪水的流量高一或两个数量级更复杂的Smurf将源地址改为第三方的受害者最终导致第三方雪崩。 防御 为了防止黑客利用你的网络攻击他人关闭外部路由器