第5章 网络击与防范.ppt

IP欺骗过程 A B Z 互相信任 DoS攻击 探测ISN规律 SYN (我是B，可以连接吗？) SYN|ACK ACK (我是B，确认连接) * * 攻击描述： 屏蔽主机B。方法：Dos攻击，如Land攻击、SYN洪水攻击 序列号采样和猜测。猜测ISN的基值和增加规律 将源地址伪装成被信任主机，发送SYN数据请求建立连接 等待目标主机发送SYN+ACK，黑客看不到该数据包 再次伪装成被信任主机发送ACK，并带有预测的目标机的ISN+1 建立连接，通过其它已知漏洞获得Root权限，安装后门并清除Log * * 针对IP欺骗攻击的预防措施 安装VPN网关，实现加密和身份认证； 实施PKI CA,实现身份认证； 通信加密：是在通信时要求加密传输和通信和验证； ARP欺骗攻击与防范 ARP欺骗攻击是针对ARP协议的一种攻击技术，可以造成内部网络的混乱，让某些欺骗的计算机无法正常访问网络，让网关无法同客户机正常通信。 * * （1）ARP欺骗攻击 A B Hacker 当A与B需要通讯时：A发送ARP Request询问B的MAC地址 B发送ARP Reply告诉A自己的MAC地址 * * Meet-in-Middle: Hacker发送伪装的ARP Reply告诉A，计算机B的MAC地址是Hacker计算机的MAC地址。 Hacker发送伪装的ARP Reply告诉B，计算机A的MAC地址是Hacker计算机的MAC地址。 这样A与B之间的通讯都将先经过Hacker，然后由Hacker进行转发。于是Hacker可以捕获到所有A与B之间的数据传输（如用户名和密码）。 这是一种典型的中间人攻击方法。 * * Hi,我就是A啊 Hi,我就是B啊 A B Hacker ARP欺骗攻击原理 ARP攻击防护 1)静态绑定 2)使用ARP防护软件 本章教学要求： （1）了解网络攻击的概念； （2）了解目标探测的内容和方法； （3）掌握扫描器工作原理； （4）了解常用的端口扫描技术； （5）了解网络监听的原理与防范方法； （6）掌握缓冲区溢出原理及攻击方法和防范； （7）掌握分布式拒绝服务攻击概念、攻击步骤和防范方法； （8）了解网络欺骗攻击与防范； 作业 列举三种常见的网络攻击方法，并简述每种方法的基本原理。 在复杂的防火墙部署中，防火墙规则集可能会比较凌乱。随着时间的发展，这些规则集可能与安全策略脱轨，同时也有可能产生没有用的规则。定期对防火墙规则进行审查可以解决这些问题。这种检查可以带来一些短期效益。例如有的管理员在调试一个新安装的应用程序时，加入了一条规则来允许所有通信通过，但是测试完成后却完了删除该规则。通过防火墙规则测试就可以发现这个被遗忘的防火墙规则。 　　另外，分析防火墙规则集还可以发现防火墙中自相矛盾的规则。举个例子来说，一个企业的过滤策略可能被用来在网络边界位置阻挡Windows网络端口。在网络架构区域，管理员可能在本地防火墙上设定了开放TCP端口135、139和445，另外还有UDP端口138，因为他们认为在边界设备上已经包含了这些端口的过滤。但是，这种做法有可能引入安全缺陷。 * VisualRoute 网络路径结点回溯分析工具，以在世界地图上显示连结的路径的方式，让你知道当无法连上某些IP时的真正问题所在。VisualRoute将traceroute、ping以及Whois等功能集合在了一个简单易用的图形界面里，它可以用来分析互联网的连通性，并找到快速有效的数据点以解决相关的问题。此外，该软件还具有一个独特的功能，它能够找到路由器或者服务器的地理位置。 * 对于大多数用户，DNS是互联网服务供应商那里自动处理的，这不是 我们大多数人需要亲自完成的任务。当然你也可以自行选择使用第三方 DNS解析，而这就是Google Public DNS的目的所在。Google借免费DNS解析服务可以获得海量的数据，从分析DNS请求日志可以得到很多隐私数据，Google公司就可以更方便的有目标的投放广告，总而言之一句话，免费的DNS解析服务能给Google公司带来大量潜在的收入。 Google Public DNS服务究竟会看 到些什么？ 下面的分类详细描述了哪些信息会被收集，哪些信息不会被收集： · IP地址：会，但只是暂时的。Google表示这些数据永远不会存储超 过24至48小时，而且它仅被收集来确定技术问题和帮助防止攻击。 · 姓名或其他个人身份信息：不会。Google保证这种类型的数据不会 被收集。 · 地理位置：会的。Google表示会永久存储细到“metro-level”的 位置，但目的会是调试和改进Google Public DNS服务。Google表