网络安全和防火墙 第4部分 高级攻击.pptVIP

@2006 VCampus Corporation All Rights Reserved. 第六单元 高级攻击 学习目标 掌握常见高级攻击方式原理 熟悉常见高级攻击的防范措施 清楚病毒、木马、间谍软件各自的特点 掌握针对网站的常用攻击方法及防范措施 欺骗和中间人攻击 网络欺骗主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗等。 中间人攻击是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，实质上两台主机是通过中间这台主机来交换信息的，这台计算机就称为“中间人”，而两端主机却毫无察觉。 ARP欺骗 利用ARP列表生成机制的漏洞来进行全网络嗅探和攻击的技术 利用ARP欺骗的木马或病毒 怎样防范: （1）在客户端使用arp命令绑定网关的真实MAC地址命令如下： arp (先清除错误的ARP表) arp 03-03-03-03-03-03 （静态指定网关的MAC地址） （2）在交换机上做端口与MAC地址的静态绑定。 （3）在路由器上做IP地址与MAC地址的静态绑定。 （4）使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。 （5）提高用户的安全意识，养成良好的安全习惯，包括：及时安装系统补丁程序；为系统设置强壮的密码；安装防火墙；安装有效的杀毒软件并及时升级病毒库；不主动进行网络攻击，不随便运行不受信任的软件。 中间人攻击示意图 嗅探攻击 嗅探器(sniffer) 是利用计算机网络接口截获本不应该接收数据报文的一种技术，也可以将网络中所有经过本物理网卡的所有流量全都截取下来。 嗅探攻击的威胁在于攻击者能够分析出所有以明文传输的信息，包括： 明文传送的用户口令 明文传送的专用或机密的信息 可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限 可以用来分析网络结构，进行网络渗透。?? 链路攻击和TCP会话劫持 会话劫持（Session Hijack）是一种结合了嗅探以及欺骗技术在内的攻击手段。 主要有两种类型： 中间人攻击 注射式攻击 经典的会话劫持工具 TTYwatch HUNT 会话劫持示意图 会话劫持的危害及防范 会话劫持攻击使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的访问状态，因此对系统安全构成的威胁比较严重。 防范这类攻击的最佳办法是使用加密协议传输数据 。 计算机病毒的定义 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 计算机病毒的特点 计算机病毒首先是一段可执行的程序 计算机病毒的传染性 计算机病毒的潜伏性 计算机病毒的可触发性 计算机病毒的破坏性 计算机病毒的针对性 计算机病毒的衍生性 计算机病毒的类型 磁盘引导区传染的计算机病毒 操作系统传染的计算机病毒 应用程序传染的计算机病毒 预防计算机病毒 安装防病毒软件，并且及时升级。 安全使用互联网，不要随意点击、下载和运行各种来历不明的程序和脚本。 要重视文件的备份，经常做文件备份，重要的文件要多做几份。 可移动存储介质在使用之前先杀毒。 保证主机的物理安全，防止他人运行未授权的程序。 集中式病毒管理 “集中式管理、分布式杀毒”技术，使安装在网络系统中的每台计算机上的杀毒软件构筑成协调一致的立体防护体系，而网络管理员只需通过控制台，就可实时掌握全网各节点的病毒监测状况，也可远程指挥每台计算机杀毒软件的工作方式。 克服网络杀毒产品不能全网统一杀毒的缺陷，杜绝了因部分计算机未能及时杀毒而留下的隐患。 木马攻击 完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。 服务器程序用于监听被侵入主机的端口或监视用户活动，控制器端程序则用于接收服务器程序返回的信息并可控制远程主机。 木马的特点 隐蔽性 自动运行性 包含具有未公开并且可能产生危险后果的功能的程序 具备自动恢复功能 能自动打开特别的端口 木马的类型 破坏型 密码发送型 远程访问型 键盘记录木马 DoS攻击木马 代理木马 FTP木马 程序杀手木马 反弹端口型木马 非法服务 非法服务会在系统上开启一个秘密的端口，提供未经许可的服务，这和很多木马的工作原理是一样的。 常见的非法服务包括： Net Bus Back Orifice 和 Back Orifice 2000 灰鸽子 冰河2.X 击键信息收集器 击键信息收集器（key loggers）都是作为应用程序被安装在受害者的计算机上，并且在用户完全不知情的前提下驻留在系统内存中。这些应用程序将收集用户所有的击键信息并将其保