常见网络攻击与防范-精选课件(公开).ppt

常见网络攻击与防范 提纲 常见的网络攻击方法 常用的安全防范措施 常见的网络攻击方法 入侵技术的发展 入侵系统的常用步骤 较高明的入侵步骤 常见的安全攻击方法 直接获取口令进入系统：网络监听，暴力破解 利用系统自身安全漏洞 特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装 WWW欺骗：诱使用户访问纂改过的网页 电子邮件攻击：邮件炸弹、邮件欺骗 网络监听：获取明文传输的敏感信息 通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S) 网络监听及防范技术 网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法 间接性 利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏 隐蔽性 网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信 网络监听及防范技术 ——共享式局域网下 共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到 一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式 网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧 网络监听及防范技术 ——共享式局域网下 使用MAC地址来确定数据包的流向 若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据 当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序 共享式网络下窃听就使用网卡的混杂模式 网络监听及防范技术 ——共享式局域网下 网络监听及防范技术 ——交换式局域网下 在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识 ARP协议实现IP—MAC的配对寻址 ARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。 局域网中每台主机都维护着一张ARP表，其中存放着IP—MAC地址对。 网络监听及防范技术 ——交换式局域网下 ARP改向的中间人窃听 网络监听及防范技术 ——交换式局域网下 X分别向A和B发送ARP包，促使其修改ARP表 主机A的ARP表中B为IPb—MACx 主机B的ARP表中A为IPa—MACx X成为主机A和主机B之间的“中间人” 网络监听及防范技术 ——网络窃听的被动防范 分割网段 细化网络会使得局域网中被窃听的可能性减小 使用静态ARP表 手工输入IP—MAC地址对 采用第三层交换方式 取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换 加密 SSH、SSL、IPSec 网络监听及防范技术 ——网络窃听的主动防范 交换式局域网下的主动防范措施 监听ARP数据包 监听通过交换机或者网关的所有ARP数据包，与预先建立的数据库相比较 定期探测数据包传送路径 使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查，并与备份的合法路径作比较 IP欺骗及防范技术 ——会话劫持 IP欺骗及防范技术 ——会话劫持 会话劫持攻击的基本步骤 发现攻击目标 确认动态会话 猜测序列号 关键一步，技术难点 使被冒充主机下线 伪造FIN包，拒绝服务攻击 接管会话 IP欺骗及防范技术——防范技术 没有有效的办法可以从根本上防范会话劫持攻击 所有会话都加密保护——实现困难 使用安全协议（SSH、VPN）——保护敏感会话 电子邮件欺骗及防范技术 ——案例 2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。 这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。 虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波，刺激人们针对信息安全问题展开了更加深切的讨论。 电子邮件欺骗及防范技术 ——原理 发送邮件使用SMTP（即简单邮件传输协议） SMTP协议的致命缺陷：过于信任原则 SMTP假设的依据是：不怀疑邮件的使用者的身份和意图 伪装成为他人身份向受害者发送邮件 可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件 电子邮件欺骗及防范技术 ——防范 查看电子邮件头部信息 不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源 采用SMTP身份验证机制