第10章 网络攻防技术.pptVIP

第10章 网络攻防技术 本章要求 了解网络攻击带来的问题 理解常见的网络入侵手段和网络攻击手段 掌握安全防范的基本原则和安全监测技术 掌握安全审计和安全扫描技术。 本章主要内容 10.1 网络攻击 10.2 网络入侵技术 10.3 网络攻击技术 10.4 安全防范和安全监测 10.1 网络攻击 10.1.1网络攻击概念 10.1.2网络攻击分类 10.1.3网络攻击的一般过程 10.1.1网络攻击概念 网络的入侵是指对接入网络的计算机系统的非法进人，即攻击者未经合法的手段和程序而取得了使用该系统资源的权力。 网络入侵的目的有多种，或者是取得使用系统的存储能力、处理能力以及访问其存储的内容的权力，或者是作为进人其他系统的跳板，或者是想破坏这个系统(使其毁坏或丧失服务能力)。 网络攻击是指对网络系统的机密性、完整性、可用性、可控性、抗抵赖性产生危害的行为。这些行为可抽象地分为四个基本情形：信息泄漏攻击、完整性破坏攻击、拒绝服务攻击和非法使用攻击。 网络攻击的全过程是：攻击者发起并应用一定的攻击工具（包括攻击策略与方法），对目标网络系统进行攻击操作，达到一定的攻击效果，实现攻击者预定义的攻击效果。 10.1.2网络攻击分类 在最高层次，网络攻击可分为主动攻击和被动攻击两类。 被动攻击主要是收集信息而不是进行访问，通过网络窃听截取数据包并进行分析，从中窃取重要的敏感信息。数据的合法用户对这种活动一点也不会觉察。被动攻击包括嗅探以及信息收集等攻击方法。 主动攻击包含窃取、篡改、假冒和破坏等，是攻击者访问他所需信息的故意行为。 从攻击的目的来看，可以有拒绝服务攻击、获取系统权限的攻击、获取敏感信息的攻击； 从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击； 从攻击的纵向实施过程来看，有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击； 从攻击的类型来看，有对各种操作系的攻击、对网络设备的攻击、对特定应用系统的攻击。 10.1.3网络攻击的一般过程 进行网络攻击主要工作流程：收集信息，远程攻击，远程登录，取得普通用户名及权限，取得超级用户名及权限，留下后门，清除日志。主要内容包括目标分析，文档获取，破解密码，日志清除等技术。 一次成功的攻击，一般都经过下面步骤： 1.隐藏IP：通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。 2.踩点扫描：踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具对攻击目标的IP地址或地址段的主机上寻找漏洞。 3.获得系统或管理员权限：得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限；通过管理漏洞获得管理员权限；通过软件漏洞得到系统权限；通过监听获得敏感信息进一步获得相应权限；通过弱口令获得远程管理员的用户密码；通过穷举法获得远程管理员的用户密码；通过攻破与目标机有信任关系的另一台机器进而得到目标机的控制权；通过欺骗获得权限以及其他有效的方法。 4.种植后门：为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。 5.在网络中隐身：一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。 10.2 网络入侵技术 10.2.1端口扫描 10.2.2漏洞扫描 10.2.3网络监听 10.2.4口令破译 10.2.1端口扫描 一个端口就是一个潜在的通信通道，也就是一个入侵通道。 端口扫描技术通过对目标系统的所有端口进行扫描，查看哪些端口处于打开状态，正在提供什么服务，再凭经验得知这种服务可能存在什么缺陷，为黑客的入侵收集可利用的信息。 进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。 扫描器是一种自动检测远程或本地主机系统安全性缺陷或漏洞的专用程序。扫描器不是直接攻击网络漏洞的程序，而是用来帮助用户（包括合法和非法的用户）发现目标的某些内在的弱点。 常用的端口扫描工具有SuperScan，X－Scan，Fluxay（流光）等。 根据端口扫描利用的技术，可将扫描分成以下类型： 1、TCP connect() 扫描 2、TCP SYN扫描 3、TCP FIN 扫描 4、IP段扫描 5、UDP ICMP端口不能到达扫描 6、ICMP echo扫描 10.2.2漏洞扫描 漏洞是