第9讲网络攻击与防范.pptVIP

第6章 网络攻击与防范 网络攻击可以分为以下两类。 (1) 被动攻击(Passive Attacks)：在被动攻击中，攻击者简单地监听所有信息流以获得某些秘密。这种攻击可以是基于网络(跟踪通信链路)或基于系统(用秘密抓取数据的特洛伊木马)的，被动攻击是最难被检测到的。 (2) 主动攻击(Active Attacks)：攻击者试图突破读者的安全防线。这种攻击涉及到数据流的修改或创建错误流，主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。例如，系统访问尝试是指，攻击者利用系统的安全漏洞获得用户或服务器系统的访问权。 6.1.2网络攻击的原理和手法 密码入侵 特洛伊木马程序 W W W欺骗 电子邮件攻击 通过傀儡机攻击其他节点 网络监听 安全漏洞攻击 6.1.4 网络攻击的防范策略 1．提高安全意识 2．使用防病毒和防火墙软件 3．安装网络防火墙或代理服务器，隐藏自己的IP地址 黑客行为准则 黑客必须具备的技能 这就是黑客 网络攻击的特点 网络安全面临的威胁 网络面临多种风险  嗅探程序是一种被动的接受程序，属于被动触发的，它只会收集数据包，而不发送任何数据. 下面是一种简单检测方法的步骤。 (1) 怀疑IP地址为6的机器上装有嗅探程序，它是MAC地址确定为00:40:63:18:0E:68。 (2) 确保机器是在这个局域网中间。 (3) 修改arp表中IP地址6对应的MAC地址。 (4) 用ping命令ping这个IP地址。 (5) 没有任何人能够看到发送的是数据包，因为每台计算机的MAC地址无法与这个数据包中的目的MAC相符，所以，这个包应该会被丢弃。但是嗅探器有可能接收这个数据。 (6) 如果看到了应答，说明这个MAC包没有被丢弃，也就是说，很有可能有嗅探器存在。 嗅探器的危害和防范对策 1) 危害 1.嗅探器能够捕获密码 2.嗅探器能够捕获专用的或者机密的信息 3.嗅探器还可以用来窥探底层的协议信息。 2 )防范对策 1.网络分段 2. 加密 3.一次性密码技术 6.4 木马攻击 特洛伊木马（Trojan Horse) 特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下被执行。其名称源于古希腊的特洛伊木马神话， 传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。 特洛伊木马程序并不是一种病毒，因为它不具有病毒的可传染性、自我复制能力等特性，但是特洛伊木马程序具有很大的破坏力和危害性。 木马攻击  一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。 特洛伊木马的类型 1．远程访问型特洛伊木马 2．密码发送型特洛伊木马 3．键盘记录型特洛伊木马 4．毁坏型特洛伊木马 5．FTP型特洛伊木马 木马攻击 入侵途径 攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。 通过一定的手段把木马执行文件弄到被攻击者的电脑系统里，如邮件、下载等 一般的木马执行文件非常小，大都是几K到几十K，因此若把木马捆绑到其它正常文件上，你很难发现的 木马也可以通过Script、ActiveX及Asp、CGI交互脚本、iis漏洞等方式植入 木马在被植入攻击主机后，它一般会通过一定的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，这样攻击者有这些信息才能够与木马里应外合控制攻击主机。检测防范： 检测或关闭系统进程、网络端口、注册表、使用防火墙等 拒绝服务(DoS) 一般网络设备对包的最大处理尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷（PayLoad）生成缓冲区。 当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方宕机。 减轻危害的方法： 现在所有的标准TCP/IP都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击。 对操作系统进行升级和打补丁 拒绝服务(DoS) SYN-flood攻击 利用了TCP建立连接时三次握手的弱点 TCP