第7章 网络攻击与防范技术.ppt

第7章 网络攻击与防范技术 本章：4 学时 理论讲授2学时，上机实验2学时 第7章 网络攻击与防范技术 熟练掌握：网络攻击的概念；网络攻击手段；IP安全体系结构IPSec等。 掌握：网络安全服务协议；虚拟专用网技术。 了解：电子邮件安全技术。 第7章 网络攻击与防范技术 7.1 网络攻击 7.2 电子邮件安全技术 7.3 IP安全技术 7.4 网络安全服务协议 7.5 虚拟专用网技术 本章小结 实验 13-3 网络监听工具SnifferPro的使用 第7章 网络攻击与防范技术 网络安全问题已成为信息时代人类共同面临的挑战。国内的网络安全问题也日益突出。具体表现为：计算机系统受计算机病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力等方面存在许多薄弱环节；网络政治颠覆活动频繁等。 7.1 网络攻击 网络攻击是指网络攻击者通过网络对计算机或其他网络设备进行的非授权访问或访问尝试，而无论其成功与否。在Internet日益渗透到人们的工作和生活的今天，网络安全问题日趋严重 。 7.1 网络攻击 7.1.1 探测攻击 探测攻击是黑客通过扫描允许连接的服务和开放的端口，能够迅速发现目标主机端口的分配情况以及提供的各项服务和服务程序的版本号，找到有机可乘的服务或端口后进行攻击。常见的探测攻击程序有：SATAN、Saint、NTScan、Nessus等。 7.1 网络攻击 7.1.2 网络监听攻击 网络监听技术可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，只要将网络接口（网卡）设置成监听模式，便可以源源不断地截获网络上传输的信息。网络监听可以在任何一个位置实施，如局域网中的一台主机、网关或远程网的调制解调器之间等。 1. 网络监听原理 一个网络接口应该只响应以下两种数据帧： 目的MAC地址为本机硬件地址的数据帧。 向所有设备发送的广播数据帧。 网卡有以下4种接收模式： 广播方式：该模式下的网卡能够接收网络中的广播信息。 组播方式：设置在该模式下的网卡能够接收组播数据。 直接方式：在这种模式下，只有目的网卡才能接收该数据。 混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。 如果将网卡的工作模式设置为“混杂模式”，那么网卡将接受所有传递给它的数据包，这实际上就是网络监听的基本原理：让网卡接收一切能接收的数据。 例如：在以太网中，主机A、B、C与普通集线器HUB相连接，集线器通过路由器访问外部网络。 2. 网络监听的检测 对网络监听的检测主要是检测网络接口 设备是否工作在混杂模式，一般有以下几种 方式： 1）采用ARP技术进行检测 2）采用DNS技术进行检测 3）通过测试网络和主机的响应时间进行检测 1）采用ARP技术进行检测 ARP（Address Resolution Protocol，地址解析协议）技术是ping命令的一种变体，采用该方式时，向局域网内的主机发送非广播方式的ARP数据包，如果局域网内的某台主机响应了这个ARP请求，就可以判断它很可能处于网络监听模式，这是目前相对来说比较好的检测模式。 2）采用DNS技术进行检测 正常情况下，局域网中不处于监听网络通信的机器一般不会试图反向解析数据包中的IP地址，但是许多攻击者使用的网络监听工具都对IP地址进行反向DNS解析，希望根据域名寻找更有价值的主机。根据这个现象，采用DNS技术进行检测时，测试主机首先将自己的工作模式设置为“混杂模式”，然后向网络发送伪造的含虚假目标IP地址的数据包，同时监听是否有设备向DNS服务器发送请求解析该虚假目标IP地址的数据包，如果有，则该设备可能工作在监听状态。 3）通过测试网络和主机的响应时间进行检测 采用该方式时，测试主机首先利用ICMP（Internet Control Message Protocol，Internet控制报文协议）请求及响应计算出目标主机的平均响应时间。在得到这个数据后，测试主机再次向本地网络发送大量的伪造数据包，与此同时再次发送测试数据包以确定目标主机的平均响应时间的变化值。非混杂模式的机器的响应时间变化量会很小，而混杂模式的机器的响应时间变化量则通常会有1~4个数量级。这种测试已被证明是最有效的，它能够发现网络中处于混杂模式的机器，但缺点是这个测试会在很短的时间内产生巨大的通信流量。 7.1 网络攻击 7.1.3 缓冲区溢出攻击 缓冲区（buffer）是内存中存放计算机正在处理的数据的地方