《第3章网络攻防技术应用》-公开课件.ppt

第3章 网络攻防技术应用 河南经贸职业学院信息管理系 主要内容 3.1.1 网络黑客 “黑客”一词大家一定耳熟能详，它来源于英文“Hacker”，一般是指计算机技术的行家，热衷于深入探究系统的奥秘，寻找系统的漏洞，为别人解决困难，并不断克服网络和计算机给人们带来的限制的人。 然而，我们现在通常把怀着不良的企图，强行闯入远程计算机系统或恶意干扰远程系统完整性，通过非授权的访问权限，盗取数据甚至破坏计算机系统的“入侵者”称为“黑客”，这是片面的。真正的黑客(Hacker)称这些入侵者为骇客(Cracker)。Hacker和Cracker之间有着本质的不同，Hacker发现创造东西，Cracker专门破坏东西，所以，人们现在所说的黑客是指Cracker。 黑客攻击的主要目的是：(1) 窃取信息；(2) 获取口令；(3) 控制中间站点；(4) 获得超级用户权限。 3.1.2 网络攻击的目标 黑客的攻击目标主要有两类：系统和数据，其所对应的安全性也涉及系统安全和数据安全两个方面。 系统型攻击的特点是：攻击发生在网络层，破坏系统的可用性，使系统不能正常工作。可能留下明显的攻击痕迹，用户会发现系统不能工作。 数据型攻击的特点是：发生在网络的应用层，面向信息，主要目的是篡改和偷取信息，不会留下明显的痕迹。 3.1.3网络攻击分类 1.阻塞类攻击 阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。拒绝服务攻击(DoS，Denial of Service)是典型的阻塞类攻击，它是一类个人或多人利用Internet协议组的某些工具，拒绝合法用户对目标系统(如服务器)和信息的合法访问的攻击。 常见的方法：TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。 DoS攻击的后果：使目标系统死机；使端口处于停顿状态；在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件；扭曲系统的资源状态，使系统的处理速度降低。 3.1.3网络攻击分类 2.探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。主要包括：扫描技术、体系结构刺探、系统信息服务收集等。目前正在发展更先进的网络无踪迹信息探测技术。 网络安全扫描技术：网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强，也可被网络攻击者用来进行网络攻击。 3.1.3网络攻击分类 3.控制类攻击 控制型攻击是一类试图获得对目标机器控制权的攻击。 最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。口令截获与破解仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏技术和秘密信道技术；缓冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。 3.1.3网络攻击分类 4.欺骗类攻击 欺骗类攻击包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。主要包括：ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。 3.1.3网络攻击分类 5.漏洞类攻击 漏洞(Hole)：系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。针对扫描器发现的网络系统的各种漏洞实施的相应攻击，伴随新发现的漏洞，攻击手段不断翻新，防不胜防。要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点，不论是公开的还是秘密的，都提供漏洞的归档和索引等。 3.1.3网络攻击分类 6.破坏类攻击 破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。逻辑炸弹与计算机病毒的主要区别：逻辑炸弹没有感染能力，它不会自动传播到其他软件内。由于我国使用的大多数系统都是国外进口的，其中是否存在逻辑炸弹，应该保持一定的警惕。对于机要部门中的计算机系统，应该以使用自己开发的软件为主。 3.2.1网络攻击的一般模型概述 对一般情况而言的，网络攻击通常遵循同一种行为模型，都要经过搜集信息、获取权限、消除痕迹和深入攻击等几个阶段，如图3-1所示。然而一些高明的入侵者会对自己隐藏的更好，利用“傀儡机”来实施攻击，入侵成功后还会把入侵痕迹清除干净，并留下后门为以后实施攻击提供方便。 3.2.1网络攻击的一般模型概述 1.搜集信息 搜集信息是攻击的侦查阶段，攻击者在发动攻击前了解目标的网络结构，