【爆款】安全攻防实践.pptVIP

DNS欺骗防御 * 安装最新版本的DNS软件 安全设置对抗DNS欺骗 关闭DNS服务递归功能 限制域名服务器作出响应的地址 限制域名服务器作出响应的递归请求地址 限制发出请求的地址 其他欺骗攻击-路由欺骗 ICMP重定向报文欺骗 RIP路由欺骗 源径路由欺骗 * 拒绝服务攻击定义 拒绝服务式攻击(Denial of Service)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。 拒绝服务攻击方式 利用大量数据挤占网络带宽 利用大量请求消耗系统性能 利用协议实现缺陷 利用系统处理方式缺陷 * 典型的拒绝服务攻击方式 SYN Flood UDP Flood Teardrop LAND Smurf …… * (syn) Hello ,I’m here (syn+ack) I’m ready ? I’m waiting…… SYN Flood (syn) Hello ,I’m here ? I’m waiting…… (syn) Hello ,I’m here …… I’m waiting…… I’m waiting…… I’m waiting…… UDP FLOOD UDP Flood 1）大量UDP小包冲击应用服务器（DNS、Radius认证等） 2）利用系统服务形成流量（Echo chargen） 3) 利用正常UDP服务发送大流量形成网络拥塞 * LAND攻击 运用IP Spoofing技术送出一连串SYN数据包给目标主机，让目标主机系统误以为这些数据包是由自己发送的。由于目标主机在处理这些数据包的时候，它自己并无法回应给自己SYN-ACK数据包，因而造成系统当机。 * 1 (SYN) hello,I’m 1 Syn+Ack Ack SYN SYN ＋ACK ACK PSH 1:1025…… PSH 1025:2049…… PSH 2049:3073…… FIN ACK PSH 1:1025…… PSH 1000:2049…… PSH 2049:3073…… 试图重组时 主机崩溃 TearDrop（分片攻击） * Smurf攻击 黑客 伪装受害者IP 中间网站 目标子网络主机 目标子网络主机 目标子网络主机 攻击信息 大量ICMP封包 (Layer3) 子网络主机 子网络主机 子网络主机 目标网站 大量广播(Layer2) * 拒绝服务攻击的危害 消耗带宽 瘫痪服务器 DNS 网页 电子邮件 阻塞网络 路由器 交换器 * DDoS攻击原理 * 工具介绍 TFN2K Trinoo * 31335 27665 27444 udp master client .. 主机列表 telnet betaalmostdone 攻击指令 目标 主机 nc 拒绝服务攻击防御 定期扫描 过滤不必要的端口与服务 节点配置防火墙/DDOS设备 过滤IP地址 限制SYN/ICMP流量 检查来源 * 通过端口扫描确定主机开放的端口，不同的端口对应 运行着的不同的网络服务 端口测试数据包 测试响应数据包 信息收集技术-端口扫描 我知道主机上开放的端口了 * 端口扫描类型 常规扫描(tcp connect scan) 半打开扫描（tcp syn scan） 隐秘扫描（Stealth Scan） SYN/ACK scan：发送一个SYN/ACK分组，测知防火墙的规则设计。它可确定防火墙是否只是简单的分组过滤(只允许已建立好的连接)；还是一个基于状态的防火墙(可执行高级的分组过滤) FIN scan：发送FIN分组，目标系统应给所有关闭着的端口发回一个RST分组，这种技巧通常只工作在基于UNIX的TCP/IP协议上； Xmas scan：这一技巧是往目标端口发送一个FIN、URG、PUSH置位的分组，如果目标端口关闭，则返回一个RST分组； Null scan：发送所有标识位复位的TCP分组； UDP扫描 * 端口扫描- 常规扫描 * 扫描的方法 ─ TCP Connect Scan 主要是利用TCP三次握手(Three-way handshaking)的连接方式來达到扫描的目的 A B 1. SYN 2. SYN + ACK 3. ACK 三次握手 使用Nmap 做TCP Connect Scan 端口扫描-半打开扫描 * 扫描的方法 ─ TCP SYN Scan 沒有完成三次握手 如左上图，当主机 A 收到主机 B 的回应后，並不会回传 ACK 数据包给主机 B 。 TCP SYN Scan的优缺点 优点：由于沒有完成 TCP 三次握手，所以不会在目标主机上留下记录。 缺点：需有管理者的权限才可执行TCP SYN Scan (以左上