CH6 网络及系统攻击技术.pptVIP

第6章　网络与系统攻击技术 6.1　网络安全概述 6.2　黑客与骇客 6.3　网络攻击 6.4　网络扫描 6.5　监听与嗅探 6.6　口令攻击 6.7　拒绝服务攻击 6.8　缓冲区溢出攻击 6.9 小结与后记 6.1　网络安全概述 6.1.1　网络存在的威胁 目前网络存在的威胁主要表现如下: ? 非授权访问 ? 信息泄漏或丢失 ? 破坏数据完整性 ? 拒绝服务攻击 ? 利用网络传播病毒 6.1.2　网络安全技术简介 1．入侵检测技术 入侵检测技术是用于检测损害或企图损害系统的机密性、完整性或可用性等行为的一类安全技术。 入侵检测技术是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。 2．防火墙技术 防火墙（FireWall）是用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为：防火墙=过滤器＋安全策略（＋网关），它是一种非常有效的网络安全技术。 防火墙服务于以下几个目的： ? 限制他人进入内部网络，过滤掉不安全服务和非法用户。 ? 限定人们访问特殊站点。 ? 为监视Internet安全提供方便。 3．网络加密和认证技术 网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。 认证主要包括身份认证和消息认证。 4．网络防病毒技术 5．网络备份技术 6.2　黑客与骇客 黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。黑客是那些检查（网络）系统完整性和安全性的人，他们通常非常精通计算机硬件和软件知识，并有能力通过创新的方法剖析系统。黑客通常会去寻找网络中漏洞，但是往往并不去破坏计算机系统。正是因为黑客的存在，人们才会不断了解计算机系统中存在的安全问题。 入侵者（Cracker，有人翻译成“骇客”）是那些利用网络漏洞破坏系统的人，他们往往会通过计算机系统漏洞来入侵。他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。 6.2.2　黑客的发展动向 1．组织越来越扩大化 2．行动越来越公开化 3．案件越来越频繁化 4．情况越来越复杂化 6.3　网 络 攻 击 6.3.1　攻击分类 1．主动攻击 主动攻击包括拒绝服务攻击、信息篡改、资源使用以及欺骗等攻击方法。 2．被动攻击 被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察。被动攻击包括嗅探以及信息收集等攻击方法。 6.3.2　攻击的步骤 1．隐藏 2．探测 3．找出被信任的主机 4．寻找目标网中的漏洞 5．攻击 6.4　网络扫描 1.概念： 网络扫描是指扫描系统向网络设备主动发送一些探测数据包，根据返回的数据包得到被扫描设备的情况。 2.与监听、嗅探的联系与区别 扫描与监听、嗅探都是探测、收集目标信息的方法。扫描是一种主动获取信息的方法，而监听、嗅探是被动的探测信息的方法。扫描获得的信息多、快、准，不用像监听、嗅探那样被动地等待捕获系统数据流的传输。 3.分类 （1）扫描按内容可分为：端口扫描、系统扫描和漏洞扫描； （2）按扫描的范围可分为：单机扫描、网段扫描。 6.4.1　端口扫描 “端口扫描”通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回的端口状态来分析目标计算机的端口是否打开、是否可用。 端口扫描行为的一个重要特征是，在短时间内有很多来自相同的源地址传向不同的目的端口的包。 端口扫描器在扫描过程中主要具有以下三个方面的能力。 （1）发现一个计算机或网络的能力。 （2）一旦发现一台计算机，就有发现目标计算机正在运行什么服务的能力。 （3）通过测试目标计算机上的这些服务，发现存在的漏洞的能力。 端口扫描举例 1．SYN扫描 SYN扫描是端口扫描的一种，用于确定一个服务进程是否开启。 扫描方主动向一个端口发起连接。这个端口如果处于活动状态，说明对应的服务是开着的。按照TCP，扫描方的以上操作向被扫描方发送了一个有SYN标志位的TCP连接包。如果这个端口是开着的，连接的发起方将会收到有SYN | ACK标志位的TCP应答包，否则会收到有RST标志的TCP重置包。 　系统扫描结果 6.4.3 漏洞扫描 漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现