NCSE-8攻击技术与防御基础（）.pptVIP

攻击技术与防御基础 ＮＣＳＥ考试辅导教材第8章 教学内容 8.1 什么是黑客 8.2 黑客攻击步骤介绍 8.3 常见攻击类型 8.4 攻击防御 8.5 个人防火墙的应用 8.1 什么是黑客 真正意义上的黑客不以政治为目的，不以破坏为动力，不在攻击中获利，但随着网络的普及和深入，黑客的涵义在慢慢地发生变化。做出破坏行为的人不应称为“黑客”，而应称为“攻击者”、“破坏者”。? 8.2黑客攻击步骤介绍 8.2.1 什么是攻击行为 8.2.2 攻击的步骤 8.2.1 什么是攻击行为 基本上任何一种威胁网络主机安全的行为都是攻击行为。一种更正式的定义是：一种攻击行为是“一个安全漏洞或一个安全漏洞的一种情况”。所以，只要网络或主机存在安全威胁，攻击行为就会发生。因此，为避免攻击行为，必须减少或消除薄弱环节。但是在提高安全的同时，我们还必须意识到这样做会以牺牲性能为代价。 8.2.2 攻击的步骤 攻击前 攻击过程中 攻击完成后 攻击前 攻击前的主要工作就是收集信息。 攻击者在入侵网络前，必须通过各种方法了解网络或主机（如IP地址范围、开放的服务和端口、应用软件版本等）的情况，找出其中的弱点，才能进行攻击。 通常用到的手段主要有扫描、寻找活动主机、开放端口、画出网络图，除技术手段外还会用到欺骗、假冒，甚至利用一顿晚餐、一个电话、一份丢弃的文件，都可能使用户将自己的弱点暴露出来。 一些常用的程序： Ping、Quickping、TraceRoute、Whois、SNMP 攻击过程中 1.端口探测 SuperScan X-Scan Nmap 协议栈指纹技术：用于确定目标主机运行的操作系统类型。它检测主机TCP/IP栈，探测以收集特征，进行多种栈“测试”，从而区分不同的操作系统。主要用到FIN端口探测、ACK值取样、Bogus标志探测、TCP选项处理、初始序列号取样、TCP窗口大小、分片处理、SYN洪泛、ICMP错误消息抑制、ICMP错误消息反馈、服务类型等。 2.应用程序旗标探测 旗标探测（banner grabbing）直接对主机进行Telnet或者Ftp链接，默认情况下，将得到远程主机返回的Banner信息。 3.漏洞探测 在收集到初始信息后，攻击者们会探测目标网络上的每台主机，来寻求系统内部安全漏洞。 X-scan SSS 4.自编程序 较高水平的攻击者会利用用户未打补丁程序这段时间，自编程序进入到系统中进行破坏。 5.体系结构探测 攻击者们将一些图书的数据包传送给目标主机，使其做出相对的响应。由于每种操作系统的响应时间和方式都是不一样的，他们利用这种特征把得到的结果与准备好的数据库中的资料相对比，便可以轻而易举地判断出目标主机操作系统所使用的版本及其他信息。 6.嗅探 攻击完成后 攻击者在完成攻击后一定会采取某些措施来隐藏自己的踪迹，否则一旦被人发现就会受到相应的制裁。 日志文件 文件信息（文件的访问、修改时间等） 网络通信监控和保护设备 8.3 常见攻击类型 8.3.1 口令破解 8.3.2 恶意代码 8.3.3 即时通信 8.3.4 木马攻击 8.3.5 网络钓鱼 8.3.6 系统漏洞 8.3.7 拒绝服务攻击 8.3.1口令破解 字典攻击 暴力攻击 特洛伊木马程序 IP欺骗和报文嗅探 8.3.2恶意代码 恶意代码是一种程序，它功过把代码在不被察觉的情况下镶嵌到另一个程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。 8.3.3即时通信 绝大多数的这类攻击都隐藏在似乎是来自于好友的消息中，它们都诱骗用户点击消息中的链接或下载代码，而这些连接和附件都会导致用户计算机感染恶意代码。 目前发现威胁即时通信的都是木马，而不是蠕虫。但根据历史经验，这种蠕虫的出现只是时间问题——任何软件都有其自身的缺陷 8.3.4木马攻击 木马是一个程序，它驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接受的数据进行识别后，对目标计算机执行特定的操作，实质是一个通过端口进行通信的网络客户/服务器程序。 8.3.5网络钓鱼 网络钓鱼（Phishing）是前不久流行起来的一种攻击方式，攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务信息。 “网络钓鱼”攻击者采用具有迷惑性的网站地址和网站页面进行欺骗，比如数字“0”和字母“O”，数字“1”和字母“l”。钓鱼的技术含量并不高，但是其危害很大，并且很隐蔽。 8.3.6系统漏洞 安全漏洞是在软件的编写过程中遗留下来的。软件由于工程庞大，在发布后难免会存在安全漏洞。 缓冲区溢出 8.3.7拒绝服务攻击 DoS是Denial of Service的简称，即