解析网络攻击与防护.pptVIP

  1. 1、本文档共128页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
网络攻击步骤 预攻击探测 漏洞扫描(综合扫描) 木马攻击 拒绝服务攻击 欺骗攻击 蠕虫病毒攻击 其他攻击 一、网络攻击步骤 网络安全威胁国家基础设施 一、网络攻击步骤 网络中存在的安全威胁 一、网络攻击步骤 典型攻击步骤 一、网络攻击步骤 一、网络攻击步骤 攻击手法 vs. 入侵者技术 二、预攻击探测 预攻击概述 端口扫描基础 操作系统识别 资源扫描与查找 用户和用户组查找 二、预攻击探测 1.预攻击概述 Ping sweep 寻找存活主机 Port scan 寻找存活主机的开放服务(端口) OS fingerprint 操作系统识别 资源和用户信息扫描 网络资源,共享资源,用户名和用户组等 二、预攻击探测 Ping工具 操作系统本身的ping工具 Ping: Packet InterNet Groper 用来判断远程设备可访问性最常用的方法 Ping原理: 发送ICMP Echo消息,等待Echo Reply消息 可以确定网络和外部主机的状态 可以用来调试网络的软件和硬件 每秒发送一个包,显示响应的输出,计算网络来回的时间 最后显示统计结果——丢包率 二、预攻击探测 关于Ping Ping有许多命令行参数,可以改变缺省的行为 可以用来发现一台主机是否active 为什么不能ping成功? 没有路由,网关设置? 网卡没有配置正确 增大timeout值 被防火墙阻止 …… “Ping of death” 发送特大ping数据包(65535字节)导致机器崩溃 许多老的操作系统都受影响 二、预攻击探测 Windows平台 Pinger、 Ping Sweep、 WS_Ping ProPack 二、预攻击探测 二、预攻击探测 二、预攻击探测 2.端口扫描基础 开放扫描(Open Scanning) 需要扫描方通过三次握手过程与目标主机建立完整的TCP连接 可靠性高,产生大量审计数据,容易被发现 半开放扫描(Half-Open Scanning) 扫描方不需要打开一个完全的TCP连接 秘密扫描(Stealth Scanning) 不包含标准的TCP三次握手协议的任何部分 隐蔽性好,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息 二、预攻击探测 基本的TCP connect()扫描(开放) Reverse-ident扫描(开放) TCP SYN扫描(半开放) IP ID header aka “dump”扫描(半开放) TCP Fin扫描(秘密) TCP XMAS扫描(秘密) TCP ftp proxy扫描(bounce attack) 用IP分片进行SYN/FIN扫描(躲开包过滤防火墙) UDP ICMP端口不可达扫描 UDP recvfrom扫描 二、预攻击探测 二、预攻击探测 开放扫描 TCP connect()扫描 原理 扫描器调用socket的connect()函数发起一个正常的连接 如果端口是打开的,则连接成功 否则,连接失败 优点 简单,不需要特殊的权限 缺点 服务器可以记录下客户的连接行为,如果同一个客户轮流对每一个端口发起连接,则一定是在扫描 二、预攻击探测 Reverse-ident扫描 Ident协议(RFC1413)使得可以发现任何一个通过TCP连接的进程的所有者的用户名,即使该进程并没有发起该连接 只有在TCP全连接之后才有效 TCP端口113 例如 可以先连接到80端口,然后通过identd来发现服务器是否在root下运行 建议关闭ident服务,或者在防火墙上禁止,除非是为了审计的目的 二、预攻击探测 半开放扫描 TCP SYN扫描 原理 向目标主机的特定端口发送一个SYN包 如果应答包为RST包,则说明该端口是关闭的 否则,会收到一个SYN|ACK包。于是,发送一个RST,停止建立连接 由于连接没有完全建立,所以称为“半开连接扫描” 优点 很少有系统会记录这样的行为 缺点 在UNIX平台上,需要root权限才可以建立这样的SYN数据包 二、预攻击探测 IP ID header aka “dump” 扫描 由Antirez首先使用,并在Bugtraq上公布 原理: 扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描,并通过观察其IP序列号的增长规律获取端口的状态 优点 不直接扫描目标主机也不直接和它进行连接,隐蔽性较好 缺点 对第三方主机的要求较高 二、预攻击探测 秘密扫描 TCP Fin扫描 原理 扫描器发送一个FIN数据包 如果端口关闭的,则远程主机丢弃该包,并送回一个RST包 否则的话,远程主机丢弃该包,不回送 变种,组合其他的标记 优点 不是TCP建立连接的过程,所以比较隐蔽 缺点 与SYN扫描类似,也需要构造专门的

文档评论(0)

max + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档