2 网络安全攻击技术-1.ppt

网络安全攻击 主要内容 网络攻击五种基本要素 攻击分类 入侵攻击的步骤（入侵攻击五部曲） 入侵五步曲之一隐藏IP 入侵五步曲之二信息搜集 网络攻击一般有五种基本要素 一、攻击者：根据目标和动机的不同可以区分为六种不同的攻击者，黑客、入侵者、间谍、恐怖分子、团伙和职业罪犯。 二、工具：进行攻击所使用的工具。 三、访问：对系统的访问更进一步可分为以下几个小类。利用脆弱性----设计、系统本身的配置和实现都是可被用来访问的方法。侵入的级别----侵入者可获得未授权的访问，但也可能得到未授权的使用。进程的使用----特定的进程或服务为被授权的用户使用被归于这一类，如发送邮件等。 四、结果：攻击可能有四种结果：服务的拒绝和偷窃，或信息的破坏及偷窃。 五、目标：通常与攻击类型密切相关。 网络攻击的来源 网络攻击的来源包括两个：内部网络和企业外网，相比起来，来自内网的攻击可能更不容易为人们所警惕和防范。这也是网络安全管理员要格外注意的环节。 网络攻击的一般模式 网络安全攻击的常用手段 口令攻击、漏洞扫描、包侦测、地址欺骗、拒绝服务、缓冲区溢出、病毒与特洛伊木马、未授权访问等。 攻击分类 在最高层次，攻击可被分为两类：主动攻击 、被动攻击。 从攻击的目的来看，可以分为：拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击； 从攻击的切入点来看，可以分为：缓冲区溢出攻击、系统设置漏洞的攻击等； 从攻击的纵向实施过程来看，又可以分为：获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等； 从攻击的类型来看，又可以分为：对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。从黑客的攻击方式上又分为：入侵攻击、非入侵攻击。 所以说，很难以一个统一的模式对各种攻击手段进行分类。 入侵攻击的步骤（入侵攻击五部曲） 对于一次成功的入侵一般需要五个步骤，这里我们称为“黑客攻击五部曲”： 1、隐藏IP 2、信息搜集（踩点、扫描、监听） 3、实施入侵（获得系统或管理员权限） 4、保持访问（种植后门等） 5、隐藏踪迹（清除日至） 五部曲之一——隐藏IP 通常有两种方法可以实现隐藏IP地址的效果： 1、 利用别人的机器（俗称‘肉鸡’）进行攻击，也就是说黑客先登录到一个第三方的主机然后再对目标进行攻击，这样一旦被发现被攻击者也只能得到那台“肉鸡”的IP。 2、 做多极跳板攻击－Sock代理，这样在被攻击者的机器上留下的将是代理跳板主机的IP地址。 五部曲之二—信息搜集（踩点、扫描、监听） 踩点的方法 域名及其注册机构的查询 公司性质的了解 对主页进行分析 邮件地址的搜集 目标IP地址范围查询 五部曲之二—信息搜集（踩点、扫描、监听） 踩点的总类 主动的侦查—扫描 被动的侦查—监听 五部曲之二—信息搜集（踩点、扫描、监听） 扫描的目的 扫描的目的就是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。 扫描的原理 扫描是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器、数据库应用等对象。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。 五部曲之二—信息搜集（踩点、扫描、监听） 扫描的策略 第一种是被动式策略 所谓被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查； 第二种是主动式策略 主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。 利用被动式策略扫描称为系统安全扫描 利用主动式策略扫描称为网络安全扫描。 五部曲之二—信息搜集（踩点、扫描、监听） 检测技术 基于应用的检测技术 基于主机的检测技术 基于目标的漏洞检测技术 基于网络的检测技术 五部曲之二—信息搜集（踩点、扫描、监听） 扫描的8个基本步骤 找到初始信息 找到网络的地址范围 找到活动的机器 找到开放端口和入口点 弄清操作系统 弄清每个端口运行的是哪种服务 综合漏洞扫描 画出网络图 五部曲之二—信息搜集（踩点、扫描、监听） 目前流行的扫描类型是 TCP conntect扫描 直接发送TCP请求，根据返回信息，确定扫描目标是否存在，缺点会在目标机器上被记录。 TCP SYN扫描 这种扫描又称为半开放扫描，是针对TCP的三次握手弱点的扫描方式，目前已经可以被防火墙等软件记录。 ACK扫描 向扫面目标发送连接确认信息。 FIN扫描 向端口发送终止连接请求，如果对方端口开放则没有回应，如果没有开放会有RST回复。缺点：有些系统无论端口开放与否都会对中断请求发送RST回复。 五部曲之二—信息搜集（踩点、扫描、监听） 目前流行的扫描类型是 反向映射 向所有目标地址发送RST请求，这种请求通常不会