4-网络攻防技术原理.pdf

网络攻防技术原理 文伟平 博士 教授 北京大学软件与微电子学院 北京大学网络安全与软件安全保障实验室 课程内容 u 网络扫描及防范技术 u 口令破解及防范技术 u 网络监听及防范技术 u 欺骗攻击及防范技术 u 拒绝服务攻击及防范技术 网络扫描及防范技术 u安全扫描的基本概念 u安全扫描的工作原理 u安全扫描的主要技术 u安全扫描技术的防范 u现有安全扫描软件介绍 一、扫描的基本概念 u什么是安全扫描 u为什么需要安全扫描 u安全扫描的主要功能 什么是安全扫描 安全扫描：采用模拟黑客攻击技术来测 试主机和网络的安全性 ，它检测主机当 前可用的服务及其开放端口 ，查找可能 被远程试图恶意访问者攻击的大量众所 周知的漏洞，隐患及安全脆弱点。 为什么需要网络扫描 u由于系统管理员的疏忽或缺乏经验，导 致旧有的漏洞依然存在 u由于网络技术的飞速发展，网络规模迅 猛增长和计算机系统日益复杂 ，导致新 的系统漏洞层出不穷 u许多人出于好奇或别有用心 ，不停的窥 视网上资源 网络扫描是一把双刃剑 u安全评估工具 系统管理员保障系统安全的有效工具 u网络漏洞扫描 网络入侵者收集信息的重要手段 扫描的主要功能 u 扫描目标主机识别其工作状态 （开/关机） u 识别目标主机端口的状态 （监听/关闭） 21 ftp 23 Telnet 25 smtp(发) 110 POP3 （收） 80 web站点默认80为服务端口 u 识别目标主机系统及服务程序的类型和版本 u 根据已知漏洞信息 ，分析系统脆弱点 u 生成扫描结果报告 二、扫描原理 u预备知识 （套接字 、 TCP 协议 、 ICMP协议） u扫描器的基本工作原理 套接字的概念 u网络通信，归根结底是进程的通信。 u在网络中 ，每个节点有一个网络地址 。 进程间通信时 ，首先确定各自所在网络 节点的IP地址 。 u网络地址只能确定进程所在的计算机， 一台计算机上可能同时有多个网络进程 ， 因此还需要端口号。在一台计算机中端 口号与进程是一一对应的关系 。 u套接字＝网络地址 （IP）+端口号 (port) 协议层次 u发送端与接收端以唯一确定的套接字为 标识传输数据包 （packet）。 u每个数据包都经过逐层报头 （header） 封装。 应用层 数据 （HTTP、FTP等） 传输层 报头 1 数据 （TCP、UDP） 网络层 报头2 报头 1 数据 （IP等） 网络访问层 报头3 报头2 报头 1 数据 发送端的 接收端的 数据走向 数据走向 IP协议 32比