第5章-网络攻击原理及技术.pptVIP

本章主要讨论分析人为网络攻击的一些情况。对网络系统的人为攻击，通常是通过寻找网络系统的弱点，以非授权访问方式达到破坏、欺骗和窃取数据等目的的。若要保证网络安全、可靠，必须熟知网络攻击的基本原理及技术，才可以在被攻击之前做好必要的防护。 教学目标 理解网络攻击的概念和网络攻击的一般流程； 了解侦查和反侦查（包嗅探、端口扫描、Ping扫描、因特网信息查询） 了解口令攻击和防范 了解DOS攻击和防范 了解欺骗攻击及其防御 掌握端口管理技术 重点 理解网络攻击的概念和网络攻击的一般流程； 了解侦查和反侦查 掌握端口管理技术 难点 各种攻击手段及防范方法 5.1 网络攻击 5.1.1 网络攻击的概念 5.1.2 网络攻击的一般流程 5.1.3 侦察和防范侦察 5.2 口令攻击 5.3 DoS/DDoS攻击 5.4 欺骗攻击及其防御 5.4.1 Web欺骗攻击 5.4.2 ARP欺骗攻击 5.5 端口管理技术 5.5.1 端口及其服务 5.5.2 端口的关闭与开放 5.1 网络攻击 5.1.1 网络攻击的概念 网络攻击是指对网络系统的机密性、完整性、可用性、不可否认性产生危害的任何行为。 5.1.2 网络攻击的一般流程 信息收集、实施攻击、隐藏攻击行为、创建后门和清除攻击痕迹 1.信息收集 信息收集是指通过各种方式获取所需要的信息，比如目标系统使用的操作系统、管理员账号等,属于攻击前的准备阶段,也称之为踩点。 2.实施攻击 作为破坏性攻击，只需利用软件工具发动攻击即可；作为入侵性攻击，往往要利用收集到的信息，找到其系统安全漏洞，然后再利用漏洞获取一定的权限。 3.隐蔽攻击行为 攻击者在获得系统最高管理员权限之后，可以随意修改系统上的文件。然而一旦入侵系统，就必然会留下痕迹；所以在入侵系统之后，攻击者大多都会采取隐藏技术来消隐自己的攻击行为。 4.创建后门 一次成功的入侵通常要耗费攻击者的大量时间与精力，为了长期保持对已攻系统的访问权，在退出之前攻击者常在系统中创建一些后门，以便下次入侵。木马就是创建后门的一个典型范例。 5.清除攻击痕迹 攻击者为了隐蔽自身，一般在入侵后需要清除登录日志以及其它相关的日志。 5.1.3 侦察和防范侦察 侦察通过使用软件和有限的信息尝试获得目标网络的全部信息。 侦察包括以下几种方式: 包嗅探 端口扫描 Ping扫描 因特网信息查询 包嗅探 包嗅探软件将网卡置为混合模式去捕捉网络中的所有数据包 包嗅探危害: 对于Telnet, FTP, SNMP, POP, HTTP等使用明文方式传输数据可以直接获得数据具体内容. 局限在相同的冲突域. 其可以被网络管理人员合法的使用,但也可以被用作于攻击. 防范包嗅探攻击 缓解和防范包嗅探攻击的技术和工具包含: 加密 低层使用交换架构 包嗅探软件 使用免费的Ethereal软件,轻松获取网络中传输的数据包信息. 包嗅探软件 常用的网络监听工具有Sniffer Pro、Ethereal、Iris、Kismet、Netxray等等。 端口扫描和Ping扫描 通过Ping扫描和端口扫描识别网络中: 1、所有主机和网络设备 2、所有提供的服务 3、操作系统信息一些现存的弱点漏洞 常用的网络安全扫描工具 一个扫描工具应具备的基本功能是：1、寻找一台机器或一个网络；2、一旦发现一台机器，可以找出机器上正在提供的服务；3、测试哪些服务具有漏洞。 目前流行的网络扫描工具有以下几种： 1、端口扫描工具SuperScan 2、网络主机扫描工具Nmap 3、漏洞扫描工具X-Scan SuperScan简介 功能强大的端口扫描工具。　1）通过Ping来检验IP是否在线；　　2）IP和域名相互转换；　　3）检验目标计算机提供的服务类别；　　4）检验一定范围目标计算机的是否在线和端口情况；　　5）工具自定义列表检验目标计算机是否在线和端口情况；　　6）自定义要检验的端口，并可以保存为端口列表文件；　　7）软件自带一个木马端口列表trojans.lst，通过这个列表我们可以检测目标计算机是否有木马；同时，我们也可以自己定义修改这个木马端口列表。 X scan简介 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，CG