第6章 网络攻击技术.pptVIP

学习目标 了解黑客与网络攻击的基础知识； 掌握口令攻击、端口扫描、缓冲区溢出、网络监听、特洛伊木马等攻击方式的原理、方法及危害； 掌握入侵检测技术和入侵检测系统原理 6.1 网络攻击概述 6.1.1 关于黑客 6.1.2 黑客攻击的步骤 6.1.3 网络入侵的对象 6.1.4 主要的攻击方法 6.1.5 攻击的新趋势 6.1.1 关于黑客 黑客(hacker) 源于20世纪50年代麻省理工学院 独立思考、奉公守法的计算机迷 骇客(Cracker) 怀不良企图， 非法侵入他人系统进行偷窥、破坏活动的人 6.1.2 黑客攻击的步骤 1．收集信息 Ping程序：可以测试一个主机是否处于活动状态、到达主机的时间等。 Tracert程序：可以用该程序来获取到达某一主机经过的网络及路由器的列表。 Finger协议：可以用来取得某一主机上所有用户的详细信息。 DNS服务器：该服务器提供了系统中可以访问的主机的IP地址和主机名列表。 SNMP协议：可以查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其它内部细节。 Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。 6.1.2 黑客攻击的步骤 2．探测系统安全弱点 利用“补丁”找到突破口 用户没有及时地使用“补丁”程序，这就给了攻击者可趁之机。 利用扫描器发现安全漏洞 扫描器可以对整个网络或子网进行扫描，寻找安全漏洞。 比较流行的扫描器: x-san 6.1.2 黑客攻击的步骤 3．实施攻击 （1）掩盖行迹，预留后门。 攻击者潜入系统后，会尽量销毁可能留下的痕迹，并在受损害系统中找到新的漏洞或留下后门，以备下次光顾时使用。 （2）安装探测程序。 攻击者退出去以后，探测软件仍可以窥探所在系统的活动，收集攻击者感兴趣的信息，如：用户名、账号、口令等，并源源不断地把这些秘密传给幕后的攻击者。 （3）取得特权，扩大攻击范围。 如果攻击者获得根用户或管理员的权限……? 6.1.3 网络入侵的对象 网络入侵对象 （1）固有的安全漏洞 协议的安全漏洞、弱口令、缓冲区溢出等 （2）系统维护措施不完善的系统 。 系统维护；软件更新或升级；路由器及防火墙的过滤规则 。 （3）缺乏良好安全体系的系统 建立有效的、多层次的防御体系 6.1.4 主要的攻击方法 1. 扫描技术 2．口令攻击 3．欺骗技术 4．放置特洛伊木马 5．DoS 6.3 扫描器 6.3.1 端口与服务 6.3.1 端口与服务 （1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。 （2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。 （3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口 6.4 口令攻击 6.4.1 获取口令的一些方法 6.4.2 设置安全的口令 6.4.3 一次性口令 6.4.2 设置安全的口令 （1）口令的选择：字母数字及标点的组合，如：Ha,Pp@y!和w/(X,y)*;使用一句话的开头字母做口令，如：由A fox jumps over a lazy dog!产生口令：AfJoAld!。 （2）口令的保存：记住、放到安全的地方，加密最好。 （3）口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令。 6.4.3一次性口令（OTP，One-Time Password） OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。 口令列表，每次登录使用完一个口令后就将它从列表明中删除； 用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。 6.5.1 IP欺骗的工作原理 （1）使被信任主机丧失工作能力 TCP SYN-Flood ： t1: Z （X） －－－SYN －－－ B Z （X） －－－SYN －－－＞ B Z （X） －－－SYN －－－＞ B …………………………… t2: X ＜－－－SYN/ACK--------B X ＜－－－SYN/ACK--------B …………………………… t3: X ＜－－－ RST －－－ B 6