第一章 安全基础.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * DDoS攻击的五种常用方式 a.单向的对Master的控制通道，Master无法发现Attacker地址。 b.针对脆弱路由器的攻击手段。 c.更强的加密功能，基于Base64编码，AES加密。 d.随机选择目的端口。 4)Stacheldraht攻击 Stacheldraht结合了Trinoo和TFN的特点， DDoS攻击的五种常用方式 并且它将attacker和master间的通信加密，增加了master端的自动更新功能，即能够自动更新daemon主机列表。 5) SHAFT是一种独立发展起来的DDoS攻击方法，独特之处在于： 首先，在攻击过程中，受控主机之间可以交换对分布端的控制和端口，这使得入侵检测工具难以奏效。 其次，SHAFT采用了“ticket”机制进行攻击，使其攻击命令有一定秘密性。 第三，SHAFT采用了独特的包统计方法使其攻击得以顺利完成。 反弹技术实现DDoS攻击与传统DDoS攻击的区别： 1．反弹技术实现DDoS攻击比传统DDoS攻击更加难以抵御。实际上它的攻击网络结构和传统的相比多了第四层——被锁定的反弹服务器层。反弹服务器的数量可以远比驻有守护进程的代理服务器多，故反弹技术可以使攻击时的洪水流量变弱，最终才在目标机汇合为大量的洪水，其攻击规模也比传统DDoS攻击大得多。 2．目标机更难追查到攻击来源。目标机接收到的攻击数据报的源IP是真实的，反弹服务器追查到的数据报源IP是假的。又由于反弹服务器上收发数据报的流量较小（远小于代理服务器发送的数量），所以，服务器根据网络流量来自动检测是否为DDoS攻击源的这种机制将不起作用。 DDoS攻击下的防御 对DDoS攻击体系的检测与防范是一个整体行为，必须从主控端、代理端、目标端分别进行。总体上包括两个方面： 一是主控端与代理端主机应防止被攻击者侵入并加以利用。 二是在目标端建立监控机制及时检测网络流量变化判断是否发生DDoS攻击以便采取适当措施。 DDoS攻击下的防御 第一种情况是我们根本的防范目标，但是这属于单机的安全防御，所以这里不加详述。第二方面是DDoS所特有的网络特征，下面将就此作一点介绍。 实际上，DDoS的唯一检测方式是：异常的网络交通流量。下面将分别介绍5种异常模式及相应的解决办法。 口令攻击 攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。 口令穷举 口令嗅探 木马攻击 特洛伊木马是一种恶意的程序，它隐藏在正常的程序里。一旦被引入到用户的系统中，木马程序便会运行在系统中。完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码就无安全可言了。 会话劫持攻击 会话劫持(Session Hijack)是一种结合了嗅探以及欺骗技术在内的攻击手段。广义上说，会话劫持就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流（例如基于TCP的会话）里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成 有黑客联系。 会话劫持利用了TCP/IP工作原理来设计攻击。 TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击，如HTTP、FTP、Telnet等。 欺骗攻击 IP欺骗 公司使用其他计算机的IP地址来获得信息或者得到特权。 电子信件欺骗 电子信件的发送方地址的欺骗。比如说，电子信件看上去是来自TOM，但事实上TOM没有发信，是冒充TOM的人发的信。 WEB欺骗 越来越多的电子商务使用互连网。为了利用网站做电子商务，人们不得不被鉴别并被授权来得到信任。在任何实体必须被信任的时候，欺骗的机会出现了。 非技术类欺骗 这些类型的攻击是把精力集中在攻击攻击的人力因素上。它需要通过社会工程技术来实现。 欺骗攻击 IP欺骗攻击 信任关系 理论依据 (TCP/IP建立连接之前的三次握手) 第一步：B----------SYN1---------?A 第二步：B?---SYN2+ACK1-------A 第三步：B----------ACK2---------?A SYN （数据序列） ACK（确认标识） ISN（连接初始值） ACK1=SYN1+1 SY