常见攻击防御技术.pptVIP

常见攻击防御技术 2009年9月份; 目录; Hacker的起源; Hacker的发展; 典型人物; 典型人物; 典型人物; Hacker的泛滥; 黑客的分类; 目录; 黑客攻击分类;预攻击探测; 典型攻击过程; 黑客攻击通常思路;从已经取得控制权的主机上通过 telnet或 rsh 跳跃 从 windows 主机上通过 wingates 等服务进行跳跃 利用配置不当的代理服务器进行跳跃 先通过拨号找寻并连入某台主机，然后通过这台主机 ;预攻击探测;相关命令获取 手工获取banner 漏洞扫描技术 ; 预攻击探测; 相关网络命令--Ping; 相关网络命令--finger; 手工获取Banner; 预攻击探测; 活动主机的扫描; ICMP echo扫描; Broadcast ICMP扫描; 尝试连接常用端口方式扫描; 预攻击探测; 操作系统扫描; 操作系统扫描; 获取标识信息; 获取标识信息; Windows API; TCP/IP协议栈; 其他识别方式（TTL）; 预攻击探测; 端口扫描技术; 端口扫描技术; 端口扫描技术;（1）TCP connect扫描 这是最基本的扫描方式。如果目标主机上的某个端口处于侦听状态，可根据其IP地址和端口号使用标准的connect()调用来与之建立连接。若目标主机未开放该端口，则connect操作失败。因此，使用这种方法可以检测到目标主机开放了那些端口。在执行这种扫描方式时，不需要对目标主机拥有任何权限。 （2）TCP SYN 扫描 这种技术通常认为是“半”扫描，扫描程序发送一个SYN数据包，等待目标主机的应答。如果目标主机返回SYN|ACK，表示端口处于侦听状态。若返回RST，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序发送一个RST数据包，来终止这个连接。这种扫描技术的优点在于一般不会再目标计算机上留下纪录。但要求攻击者在发起攻击的计算机上必须有root权限，因为不是通过标准的connect调用来扫描端口，必须直接在网络上向目标主机发送SYN和RST数据包。 ;（3）TCP FIN 扫描 向目标主机的某个端口发送FIN数据包，若端口处于侦听状态，目标主机不会回复FIN数据包。相反，若端口未被侦听，目标主机会用适当的RST来回复。这种方法须依赖于系统的实现。某些系统对所有的FIN一律回复RST，??管端口是否打开。在这种情况下，TCP FIN扫描就不适用了。 （4）IP分片扫描 这种方法不直接发送TCP探测数据包，而是预先将数据包分成两个较小的IP数据包传送给目标主机。目标主机收到这些IP段后，会把它们组合还原为原先的TCP探测数据包。将数据包分片的目的是使他们能够通过防火墙和包过滤器，将一个TCP分为几个较小的数据包，可能会穿过防火墙而到达目标主机。 ;FIN的包（或者是任何没有ACK或SYN标记的包）;（5）UDP端口扫描 许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH错误 ，需要root权限。 （6）UDP recvfrom()和write()扫描 如果攻击者在发起攻击的计算机上没有root权限，它不能读到端口不可达（ICMP_PORT_UNREACH）错误数据包。在Linux中可以间接的检测到是否收到了目标主机的这个应答数据包。例如，对一个未侦听端口的第二个write()调用将失败。在非阻塞的UDP套接字上调用recvfrom()时，如果未收到这个应答，返回EAGAIM（其意思是可以重试）。如果收到这个应答，则返回ECONNREFUSED（连接被拒绝）。可以根据recvfrom（）和write（）的返回字来判断目标主机是否发送了ICMP_PORT_UNREACH应答。; 预攻击探测; 帐号扫描; Finger服务探测; NetBios探测; 预攻击探测; 漏洞扫描;预攻击探测; 常见攻击行为; 暴力猜解就是从口令侯选器中一一选取单词，或用枚 举法选取，然后用各种同样的加密算法进行加密再比较。 一致则猜测成功，否则再尝试。 口令候选器 枚举法 口令加密 口令比较 获取口令的方法 防御方法 ; 暴力猜解; 暴力猜解攻击; 暴力猜解攻击; 常见攻击行为; 利用已知漏洞的攻击; 缓冲区溢出攻击; 防止