第8章网络威胁与攻击分析new.pptVIP

第8章网络威胁与攻击分析 8.1 认识黑客（Hacker） 8.1.1 Hacker起源 8.1.2 黑客守则 8.1.3 网络攻击三部曲 8.2 网络攻击概览 8.2.1 口令攻击 8.2.2 服务拒绝攻击 8.2.3 利用型攻击 8.2.4 信息收集型攻击 8.2.5 假消息攻击 8.1认识黑客（Hacker） 8.1.1 Hacker起源 飞客“phreak”–早期攻击电话网的青少年，研究各种盗打电话而不用付费的技术。 黑客（Hack）：通常是指试图通过网络闯入其他人的计算机中，并试图进行操作行为的人。（cut roughly or clumsily, chop--砍辟，砍伐工，person paid to do hard and uninteresting work as a writer--引伸义干了一件漂亮的事；Hacker differs from Cracker） 黑客“Hacker”：一个给予喜欢发现和解决技术挑战、攻击计算机网络系统的精通计算机技能的人的称号，与闯入计算机网络系统目的在于破坏和偷窃信息的骇客不同。 骇客“Cracker”：一个闯入计算机系统和网络试图破坏和偷窃个人信息的个体，与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。 8.1.2黑客守则 1) 不恶意破坏系统 2) 不修改系统文档 3) 不在bbs上谈论入侵事项 4) 不把要侵入的站点告诉不信任的朋友 5) 在post文章时不用真名 6) 入侵时不随意离开用户主机 7) 不入侵政府机关系统 8) 不在电话中谈入侵事项 9) 将笔记保管好 10) 要成功就要实践 11) 不删除或涂改已入侵主机的帐号 12) 不与朋友分享已破解的帐号 8.1.3网络攻击三部曲 踩点-扫描-攻击 踩点信息收集 SNMP协议 TraceRoute程序 Whois协议 DNS服务器 Finger协议 Ping实用程序 扫描漏洞侦测 使用自制工具 使用专用工具SATAN等 攻击 建立帐户 安装远程控制器 发现信任关系全面攻击 获取特权 8.1 认识黑客（Hacker） 8.1.1 Hacker起源 8.1.2 黑客守则 8.1.3 网络攻击三部曲 8.2 网络攻击概览 8.2.1 口令攻击 8.2.2 服务拒绝攻击 8.2.3 利用型攻击 8.2.4 信息收集型攻击 8.2.5 假消息攻击 8.2网络攻击概览 按照攻击的性质及其手段，可将通常的网络攻击分为以下五大类型 口令攻击 拒绝服务攻击（也叫业务否决攻击） 利用型攻击 信息收集型攻击 假消息攻击 8.2.1口令攻击 通过猜测或获取口令文件等方式，获得系统认证口令，从而进入系统。 危险口令类型： 用户名 用户名变形 生日 常用英文单词 6位以下长度的口令 无口令默认口令 8.2.2服务拒绝攻击 拒绝服务攻击：通过使计算机功能或性能崩溃，来阻止提供服务。是常见实施的攻击行为。主要包括： 死ping（ping of death） 泪滴teardrop UDP 洪流（UDP flood） SYN 洪水（SYN flood） Land 攻击 Smurf 攻击 Fraggle 攻击 电子邮件炸弹 畸形消息攻击 死ping（ping of death） 概览：在早期版本中，许多操作系统对网络数据包的最大尺寸有限制。对TCP/IP栈的实现，在ICMP包上规定为64KB，在读取包的报头后，要根据该报头里包含的信息，来为有效载荷生成缓冲区。当发送ping请求的数据包声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64K上限时，就会使ping请求接收方出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。 防御：现在所有的标准TCP/IP实现，都已实现对付超大尺寸的包，并且，大多数防火墙能够自动过滤这些攻击，包括从windows98之后的windows NT(service pack 3之后)、linux 、Solaris 和Mac OS都具有抵抗一般ping of death攻击的能力，此外，对防火墙进行配置，阻断ICMP以及任何未知协议都将防止此类攻击。 泪滴teardrop 概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重叠偏移的伪造分段时，将崩溃。 防御：服务器应用最新的服务包，或者在设置防火墙时，对分段进行重组，而不是转发它们。 UDP 洪流（UDP flood） 概览：利用简单的TCP/IP服务，建立大流量数据流，如Char gen和Echo来传送无用的占满带宽的数据，通过伪造与某一