网络攻击与防范 ppt62.pptVIP

第7章 网络攻击与防范 7.1 网络攻击概述 7.1.1 网络入侵与攻击的概念 网络入侵是一个广义上的概念，它是指任何威胁和破坏计算机或网络系统资源的行为，例如非授权访问或越权访问系统资源、搭线窃听网络信息等。入侵行为的人或主机称为入侵者。一个完整的入侵包括入侵准备、攻击、侵入实施等过程。而攻击是入侵者进行入侵所采取的技术手段和方法，入侵的整个过程都伴随着攻击，有时也把入侵者称为攻击者。 入侵者（或攻击者）所采用的攻击手段主要有以下八种特定类型。 · 冒充。将自己伪装成为合法用户（如系统管理员），并以合法的形式攻击系统。 · 重放。攻击者首先复制合法用户所发出的数据（或部分数据），然后进行重发，以欺骗接收者，进而达到非授权入侵的目的。 · 篡改。 · 服务拒绝。中止或干扰服务器为合法用户提供服务或抑制所有流向某一特定目标的数据。 · 内部攻击。利用其所拥有的权限对系统进行破坏活动。 · 外部攻击。通过搭线窃听、截获辐射信号、冒充系统管理人员或授权用户、设置旁路躲避鉴别和访问控制机制等各种手段入侵系统。 · 陷阱门。首先通过某种方式侵入系统，然后安装陷阱门（如值入木马程序）。并通过更改系统功能属性和相关参数，使入侵者在非授权情况下能对系统进行各种非法操作。 · 特洛伊木马。这是一种具有双重功能的客户/服务体系结构。特洛伊木马系统不但拥有授权功能，而且还拥有非授权功能，一旦建立这样的体系，整个系统便被占领。 7.1.2 拒绝服务攻击 1． 死亡之ping 死亡之ping（ping of death）是最常使用的拒绝服务攻击手段之一，它利用ping（Packet Internet Groper）命令来发送不合法长度的测试包来使被攻击者无法正常工作。 2． 泪滴 如果一个攻击者打破这种正常的分片和重组IP数据包的过程，把偏移字段设置成不正确的值（假如，把上面的偏移设置为0，1300，3000），在重组IP数据包时可能会出现重合或断开的情况，就可能导致目标操作系统崩溃。这就是所谓的泪滴（teardrop）攻击。 防范泪滴攻击的有效方法是给操作系统安装最新的补丁程序，修补操作系统漏洞。同时，对防火墙进行合理地设置，在无法重组IP数据包时将其丢弃，而不进行转发。 3． ICMP泛洪 ICMP泛洪（ICMP flood）是利用ICMP报文进行攻击的一种方法。如果攻击者向目标主机发送大量的ICMP ECHO报文，将产生ICMP泛洪，目标主机会将大量的时间和资源用于处理ICMP ECHO报文，而无法处理正常的请求或响应，从而实现对目标主机的攻击。 防范ICMP泛洪的有效方法是对防火墙、路由器和交换机进行相应地设置，过滤来自同一台主机的、连续的ICMP报文。 4． UDP泛洪 UDP泛洪（UDP flood）的实现原理与ICMP泛洪类似，攻击者通过向目标主机发送大量的UDP报文，导致目标主机忙于处理这些UDP报文，而无法处理正常的报文请求或响应。 5． Land攻击 LAND攻击利用了TCP连接建立的三次握手过程，通过向一个目标主机发送一个用于建立请求连接的TCP SYN报文而实现对目标主机的攻击。与正常的TCP SYN报文不同的是：LAND攻击报文的源IP地址和目的IP地址是相同的，都是目标主机的IP地址。这样目标主机接在收到这个SYN报文后，就会向该报文的源地址发送一个ACK报文，并建立一个TCP连接控制结构，而该报文的源地址就是自己。由于目的IP地址和源IP地址是相同的，都是目标主机的IP地址，因此这个ACK报文就发给了目标主机本身。 6．Smurf攻击 在网络连通性诊断中我们通常使用ICMP ECHO，当一台主机接收到这样一个报文后，会向报文的源地址回应一个ICMP ECHO REPLY。在TCP/IP网络中，一般情况下主机不会检查该ICMP ECHO请求的源地址。利用该“漏洞”，攻击者可以把ICMP ECHO的源地址设置为一个广播地址或某一子网的IP地址，这样目标主机就会以广播形式回复ICMP ECHO REPLY，导致网络中产生大量的广播报文，形成广播风暴，轻则影响网络的正常运行，重则由于耗用过量的网络带宽和主机（如路由器、交换机等）资源，导致网络瘫痪。将这种利用虚假源IP地址进行ICMP报文传输的攻击方法称为smurf攻击。 8． 电子邮件炸弹 电子邮件炸弹（E-Mail Bomb）是指电子邮件的发送者利用某些特殊的电子邮件软件，在很短时间内连续不断地将大容量的电子邮件发送给同一个收件人，而一般收件人的邮箱容量是有限的，同时电子邮件服务