9787030303684《计算机网络安全》第7章计.pptx

第七章黑客攻击与入侵检测本章导言? 知 识 点：● 黑客定义● 黑客攻击●入侵检测? 难 点：● 黑客攻击原理与防范● 入侵追踪技术◆ 要 求熟练掌握以下内容：● 熟知黑客攻击手段● 熟知入侵检测技术● 熟练掌握黑客攻击防范措施了解以下内容：●了解入侵检测的分类与工具使用7.1 黑客攻击-1.什么是黑客黑客的发展黑客的分类网络黑客计算机朋客网络骇客-7.1 黑客攻击-2.黑客常用的攻击方法和防范措施黑客攻击黑客攻击的原因黑客攻击的一般过程黑客攻击防范措施协议欺骗类的攻击与防范拒绝服务类的攻击与防范网络嗅探攻击与防范缓冲区溢出攻击与防范SQL注入式攻击与防范木马攻击与检查防范黑客攻击的原因由于少数高水平的黑客可以随意入侵他人电脑，呗在被攻击者毫不知情的情况下窃取电脑中的信息后悄悄退出，于是，很多人对此产生较强的好奇心和学习黑客技术的欲望，并在了解了黑客攻击技术后不计后果地进行尝试，给网络造成极大的安全威胁。黑客常见攻击的理由如下：想在别人面前炫耀自己的技术，如进入别人电脑修改一下文件和系统，算是打个招呼，也会让对方对自己更加崇拜；看不惯他人的某些做法，又不方便当面指责，于是攻击他的电脑教训一下；好玩，恶作剧，这是许多人或者学生入侵或破坏的主要原因，除了有练功的效果外还有探险的感觉；窃取数据，偷取他人的QQ、网游密码等，然后从事商业活动；对某个单位或者组织表示抗议。黑客攻击的一般过程第一步，收集被攻击方的有关信息。第二步，建立模拟环境。第三步，利用适当的工具进行扫描。第四步，实施攻击。第五步，清理痕迹。为了达到长期控制目标主机的目的，黑客灾区的管理员权限之后会立刻在其中建立后门，这样就可以随时登录该主机。为了避免被目标主机管理员发现，在完成入侵之后需要清楚其中的系统日志文件、应用程序日志文件和防火墙日志文件等，清理完毕即可从目标主机中退出。达到全身而退的效果是经验老到的黑客的基本技能。协议欺骗类的攻击与防范-1.源IP地址欺骗攻击与防范-许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可回到源地址，那么源IP地址一定是有效的，而这恰恰使得源IP地址欺骗成为可能的前提。假定同一网段内两台主机A和B，另一网段内有主机X。X为了获得与A、B相同的特权，所做的欺骗攻击如下：首先，X冒充A向主机B发送一个带有随机序列号的SYS包。主机B相应，回送一个应答包给A，该应答号为原序列号加1。可是，此时的主机A已经被X用拒绝服务攻击给“淹没”了，导致主机A的服务失效。结果，主机A将B发来的包丢弃。为了完成传输层三次握手的协议，X还需向B回送一个应答包，其应答号为B向A发送的数据包的序列号加1。此时，主机X并不能检测到主机B的数据包，因为二者不在同一网段内，只有利用TCP顺序号估算法来预测应答的顺序号并将其发送给目标主机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上享有的特权，并开始对这些服务实施攻击。-1.源IP地址欺骗攻击与防范为防止源端IP地址欺骗，可以采取以下措施来加以防范，尽可能地保护系统免受这类攻击。第一，放弃基于地址的信任策略。抵御这种攻击的一种简易方法就是抛弃以地址为基础的验证。不允许remote类别的远程调用命令的使用，这将迫使所有用户使用其它远程通信手段。第二，数据包加密。在数据包发送到网络之前对数据包加密，能在很大程度上保证数据的完整性和真实性。第三，数据包过滤。利用网络设备的配置来进行数据包过滤，比如配置路由器，使其能够拒绝来自网络外部但具有网络内部IP地址的数据包的连接请求。-协议欺骗类的攻击与防范2.源路由器欺骗攻击与防范-一般情况下，信息报从起点到终点走过的路径是由位于此两点间的路由器决定的，数据包本身只是知道从哪里出发，到达目的地是哪里，不知道也不关心沿途经过的具体路径。源路由可以使信息包的发送者将此信息包经过的路径写在数据包里，是数据包沿着一个对方不可预料的途径到达目的主机。仍以上面源IP地址欺骗例子说明如下：-2.源路由器欺骗攻击与防范-主机A享有主机B的某些特权，主机X想冒充主机A从主机B获得某些服务，主机B的IP 地址为xxx.xxx.xxx.xxx。首先，攻击者修改距离X最近的路由器，使得到达此路由器且包含目的地址xxx.xxx.xxx.xxx的数据包以主机X的所在的网络为目的地；然后，攻击者X利用IP欺骗向主机B发送源路由（制定最近的路由器）数据包。当B回送数据包时，就传送到被更改过的路由器，这就使得入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护的服务和数据。-2.源路由器欺骗攻击与防范为防范路由器欺骗攻击，一般采用的措施如下。第一，配置好网络互联设备——路由器。使得它能抛弃那些来自外部网络却冒充内部网络来的报文，这是对付这