网络攻防技术讲义.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 教材与参考书 教材： 李毅超 曹跃，网络与系统攻击技术 电子科大出版社 2007 周世杰 陈伟 钟婷，网络与系统防御技术 电子科大出版社 2007 参考书 阙喜戎 等 编著，信息安全原理及应用，清华大学出版社 Christopher M.King, Curitis E.Dalton, T. Ertem Osmanoglu（常晓波等译）. 安全体系结构的设计、部署与操作，清华大学出版社，2003(Christopher M.King, et al, Security Architecture, design, deployment Operations ) William Stallings，密码编码学与网络安全－原理与实践（第三版），电子工业出版社，2004 Stephen Northcutt， 深入剖析网络边界安全，机械工业出版社，2003 冯登国，计算机通信网络安全，2001 Bruce Schneier, Applied Cryptography, Protocols, algorithms, and source code in C (2nd Edition)( 应用密码学 －协议、算法与C源程序， 吴世忠、祝世雄、张文政等译) 蔡皖东，网络与信息安全，西北工业大学出版社，2004 * Any Question? QA * Thank you! * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 使用源路由进行IP地址欺骗 Eve Alice Bob 3. Eve窃听数据，并修改后发送给Alice 1. 发送源路由数据包，其中从Bob到Alice的路径包括Eve 2. Bob发送到Alice的数据将经过Eve * 使用网络攻击获得访问权 会话劫持 Eve Alice Bob 1. Alice Telnet Bob 2. Alice 与Bob之间的 Telnet 连接 3. Eve窃听并分析TCP序列号 4. Eve伪装Alice的IP地址发送数据包给Bob * 会话劫持（续） 工具： Dsniff IP Watcher： TTYWatcher: TTYSnoop: * 使用网络攻击获得访问权 多功能工具NetCat: / 两种工作模式：客户模式和侦听模式 通过标准输入设备进行输入 客户模式的netcat 输出被通过网络发送到任意系统的TCP或者UDP端口 输出到标准输出设备 侦听模式的netcat 从任意TCP或UDP端口上收到的输入 客户模式 侦听模式 * Netcat Netcat主要功能： 文件传输 端口扫描 建立到开放端口的连接 创建被动的后门命令shell 主动地推动一个后门命令shell 流量中继 * 网络攻击阶段及工具 侦察 扫描 拒绝服务攻击 掩盖踪迹和隐藏 使用应用程序和操作 系统的攻击获得访问权 使用网络攻击 获得访问权 维护访问权 * 拒绝服务攻击 拒绝服务攻击分类 杀死进程 重新配置系统 使进程崩溃 填充进程表 填充整个文件系统 恶意数据包攻击（如Land攻击，Teardrop攻击） 数据包泛洪（SYN泛洪，Smurf， DDoS） 本地 网络 停止服务 消耗资源 * Land攻击 发送假的数据包，它的源IP地址和端口号与目标主机相同。旧的TCP/IP协议栈对这种未知情况就会造成混乱，甚至崩溃。 * Teardrop攻击 发送重叠的数据包碎片。在数据包头内碎片的长度被设置为不正确的值，所以主机对这些数据包碎片组装时就不能对其正确排队。一些TCP/IP协议栈收到这样的碎片就会崩溃。 还包括Newtear攻击， Bonk攻击，Syndrop攻击 * SYN泛洪 发送大量的SYN包 无法接受正常的服务请求 连接队列被填满 * Smurf攻击 放大器 广播假的Ping，源地址采用Y IP地址为y * DDoS Master Client Zombie * 网络攻击阶段及工具 侦察 扫描 决绝服务攻击 掩盖踪迹和隐藏 使用应用程序和操作 系统的攻击获得访问权 使用网络攻击 获得访问权 维护访问权 * 维护访问权 木马（Trojan Horse） Back Orifice 2000(BO2K): ....... 后门（Backdoor） RootKits:修改系统命令甚至内核 du find ls Ifconfig netst