黑客入侵与防范.pptVIP

主要的技术和攻击手段 端口扫描 网络监听 口令破译 IP欺骗 木马 拒绝服务攻击 电子邮件攻击 缓冲区溢出 缓冲区溢出原理 * * * 死亡之ping防御 防御死亡之ping攻击的基本方法：现在所有的标准TCP/IP协议都已具有对付超过64kB大小数据包的能力，并且大多数防火墙能够通过对数据包中的信息和时间间隔的分析自动过滤这些攻击。 TCP SYN 洪水攻击 TCP SYN Flood： TCP SYN 洪水攻击应用最广、最容易实现 TCP SYN 洪水攻击原理：TCP/IP栈只能等待有限数量的ACK应答消息，因为每台计算机里用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区冲满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。 TCP SYN 洪水攻击利用了TCP/IP协议的这一系统漏洞来进行攻击。要明白其具体的攻击过程，需理解TCP协议建立连接的三次握手过程。 TCP协议建立连接的三次握手过程 三次握手： （1）建立发起者向目标计算机发送一个TCP SYN报文。 （2）目标计算机收到这个SYN报文后，在内存中创建TCP连接 控制块（TCB），然后向发起者回送一个TCP ACK报文， 等待发起者的回应。 （3）发起者收到TCP ACK报文后，再回应一个ACK报文。 攻击原理：攻击过程与TCP连接的三次握手过程基本一样，只是在最后一步发起者收到TCP ACK报文后不向目标计算机回应ACK报文，这样导致目标计算机一直处于等待状态；如果目标计算机接收到大量的TCP SYN报文，而没有收到发起者的ACK回应，会一直等待，处于这种尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。 注：TCB，线程控制块，PCB，进程控制块 攻击者 目标主机 SYN SYN/ACK SYN/ACK 等待应答 SYN：同步 SYN/ACK:同步/确认 TCP SYN 洪水攻击 TCP SYN 洪水攻击 . . . . SYN/ACK SYN/ACK SYN/ACK SYN SYN SYN 攻击者 目标主机 SYN SYN/ACK 1 n SYN/ACK SYN/ACK SYN/ACK SYN/ACK . . . . 等待应答SYN/ACK . . . . . . . . . TCP SYN 洪水攻击防御 TCP SYN 洪水攻击原理：攻击者在实施TCP SYN 洪水攻击时，首先利用伪造的IP地址向目标发出多个连接（SYN）请求目标系统在接收到请求后发送确认信息并等待回答；由于黑客发送请示的IP地址是仿造的，所以确认信息不会到达任何计算机，当然也就不会有任何计算机为此确认信息作出应答了；而在没有接收到任何应答之前，目标计算机系统是不会主动放弃连接的会继续在缓冲区中保持相应连接信息；当达到一定数量的的等待连接之后，缓冲区内存资源耗尽，从而开始拒绝接收任何其他连接请求。 防御方法：在防火墙上过滤来自同一主机的后续连接。 DDoS攻击时序(分布式拒绝服务) 1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。 攻击者 各种客户主机 目标系统 2)攻击者进入其已经发现的最弱的客户主机之内(“肉机”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。 攻击准备： 安置代理 代理程序 DDoS攻击时序(分布式拒绝服务) 3)攻击者使他的全部代理程序同时发送由残缺的数据包构成的连接请求送至目标系统。 攻击者 目标系统 发起攻击： 指令 攻击的代理程序 4)包括虚假的连接请求在内的大量残缺的数据包攻击目标系统，最终将导致它因通信阻塞而崩溃。 虚假的连接请求 DDoS攻击时序(分布式拒绝服务) DDoS攻击时序(分布式拒绝服务) 　从图可以看出，DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。 　　　　1、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。 　　　　2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。 　　　　3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。 　　　　 攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵