网络的攻击与防范-理论与实践 第2篇 网络攻击篇 第10章 网络攻击实施和技术分析.pptVIP

第二篇 网络攻击篇 第10章 网络攻击实施和技术分析 第10章 网络攻击实施和技术分析 “网络攻击”是指任何的非授权而进入或试图进入他人计算机网络的行为。这种行为包括对整个网络的攻击，也包括对网络中的服务器或单个计算机的攻击。攻击的目的在于干扰、破坏、摧毁对方服务器的正常工作，攻击的范围从简单地使某种服务器无效到完全破坏整个网络。 第10章 网络攻击实施和技术分析 10.1网络嗅探技术 10.2 缓冲区溢出攻击技术原理分析 10.3 拒绝服务（DoS）攻击技术原理分析 10.4 攻击后期行为归纳 10.5 实验：网络攻击综合实施 10.1 网络嗅探技术 嗅探(Sniffer)技术是网络安全攻防技术中很重要的一种。 对黑客来说,通过嗅探技术能以非常隐蔽的方式攫取网络中的大量敏感信息,与主动扫描相比,嗅探行为更难被察觉,也更容易操作。 对安全管理人员来说,借助嗅探技术,可以对网络活动进行实时监控,并进行发现各种网络攻击行为. 嗅探器实际是一把双刃剑。 10.1网络嗅探技术 10.1.1 网络嗅探原理 10.1.2 嗅探造成的危害 10.1.3 常见的嗅探器 10.1.4 嗅探对策 10.1.1 网络嗅探原理 嗅探器(Sniffer)最初是作为网络管理员检测网络通信的一种工具，它既可以是软件，又可以是一个硬件设备。 在局域网中,以太网的共享式特性决定了嗅探能够成功。而TCP/IP协议栈中的应用协议大多数以明文在网络上传输，这些明文数据中，往往包含一些敏感信息(如密码,账号等)，因此使用Sniffer可以悄无声息地监听到所有局域网内的数据通信，得到这些敏感信息，同时Sniffer的隐蔽性好，它只是“被动”接收数据，而不向外发送数据，所以在传输数据的过程中，很难觉察到它在监听。 10.1.2嗅探造成的危害 1、捕获口令 Sniffer可以记录到明文传送的userid和passwd，即使网络传送过程中使用了加密的数据，Sniffer记录的数据一样有可能使入侵者想办法算出你的算法。一般Sniffer只嗅探每个报文的前200到300个字节，而用户名和口令都包含在这一部分中。 10.1.2嗅探造成的危害 2、捕获专用的或者机密的信息 比如金融帐号，许多用户很放心在网上使用自己的信用卡或现金帐号，然而Sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin，或者偷窥机密或敏感的信息数据。通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者拦截整个的email会话过程.。 10.1.2嗅探造成的危害 3、可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限 10.1.2嗅探造成的危害 4、窥探低级的协议信息 通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址，远程网络接口IP地址，IP路由信息和TCP连接的字节顺序号码等。这些信息由入侵者掌握后将对网络安全构成极大的危害，例如通常的IP地址欺骗就是要求准确插入TCP连接的字节顺序号。 10.1.2嗅探造成的危害 Sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用Sniffer这种攻击手段，以便得到更多的信息，并捕获网络和其他网络进行身份鉴别的过程。 10.1.2常见的嗅探器 1、Sniffer Pro Sniffer Pro是NAI公司推出的功能强大的协议分析软件。具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。Sniffer Pro 4.6可以运行在各种Windows平台上，只要安装在网络中的任何一台机器上，都可以监控到整个网络。Sniffer Pro软件比较大，运行时需要的计算机内存比较大，否则运行比较慢。 10.1.2常见的嗅探器 2、Sniffit Sniffit是由Lawrence Berkeley Laboratory实验室开发的一个免费的网络监听软件，可以在Linux、Solaris、SGI等各种平台运行的网络监听软件，它可以提供完全的数据包内容输出，可以选择源地址和目的地址或地址集合，监听的端口，协议和网络接口等。Sniffit是基于Libpcap开发的，除了适用于UNIX类型操作系统的版本外，也有可运行于Windows平台(NT和2000)的相同版本，但需要Winpcap的支持。 10.1.2常见的嗅探器 3、Tcpdump/Windump Tcpdump是一个非常经典的网络包监听分析工具，Tcpdump(基于Libpcap)，支持Solaris，BSD