网络攻击行为分析.pptxVIP

第 2 章网络攻击行为分析基本内容网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具，就象刀具，是基本生活用具，又可成为杀人凶器。我们要做到“知己知彼”，才能“百战不殆”，对黑客的攻击手段、途径、方法和工具了解得越多，越有利于保护网络和信息的安全。在介绍信息安全技术以前，本章先来分析与黑客攻击相关的知识。 刀，是基本生活用具，但又是杀人凶网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具。2.1 影响信息安全的人员分析 计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息的威胁；二是针对网络中设备的威胁。如果按威胁的对象、性质则可以细分为四类：第一类是针对硬件实体设施第二类是针对软件、数据和文档资料第三类是兼对前两者的攻击破坏第四类是计算机犯罪。安全威胁的来源安全威胁主要来自以下几个方面：不可控制的自然灾害，如地震、雷击恶意攻击、违纪、违法和计算机犯罪人为的无意失误和各种各样的误操作计算机硬件系统的故障软件的“后门”和漏洞安全威胁的表现形式 伪装 非法连接 非授权访问 拒绝服务抵赖 信息泄露 业务流分析 改动信息流篡改或破坏数据 推断或演绎信息 非法篡改程序 实施安全威胁的人员 心存不满的员工软硬件测试人员技术爱好者好奇的年青人黑客（Hacker）破坏者（Cracker）以政治或经济利益为目的的间谍 互联网上的黑色产业链 2.2 网络攻击的层次 针对端口攻击针对服务攻击针对第三方软件攻击DOS攻击针对系统攻击口令攻击欺骗网络攻击的途径网络攻击的层次 第一层攻击：第一层攻击基于应用层的操作 ，这些攻击的目的只是为了干扰目标的正常工作。第二层攻击：第二层攻击指本地用户获得不应获得的文件(或目录)读权限 。第三层攻击：在第二层的基础上发展成为使用户获得不应获得的文件(或目录)写权限。第四层攻击：第四层攻击主要指外部用户获得访问内部文件的权利。 第五层攻击：第五层攻击指非授权用户获得特权文件的写权限。 第六层攻击：第六层攻击指非授权用户获得系统管理员的权限或根权限。 网络攻击的层次2.3 网络攻击的一般步骤 （1）隐藏IP（2）踩点扫描（3）获得系统或管理员权限（4）种植后门（5）在网络中隐身2.4 网络入侵技术网络主要攻击手段任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。网络攻击实际上是针对安全策略的违规行为、针对授权的滥用行为与针对正常行为特征的异常行为的总和。网络主要攻击手段网站篡改（占45.91%）垃圾邮件（占28.49%）蠕虫（占6.31%）网页恶意代码（占0.51%）木马（占4.01%）网络仿冒（占4.97%）拒绝服务攻击（占0.58%）主机入侵（占1.14%） 网络入侵技术----漏洞攻击漏洞攻击：利用软件或系统存在的缺陷实施攻击。漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。 缓冲区溢出漏洞攻击 ：通过向程序的缓冲区写入超过其长度的数据，造成溢出，从而破坏程序的堆栈，转而执行其它的指令，达到攻击的目的。RPC漏洞、SMB漏洞、打印漏洞 缓冲区溢出Buffer overflow attack 缓冲区溢出攻击缓冲区溢出漏洞大量存在于各种软件中利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严重后果。最早的攻击1988年UNIX下的Morris worm最近的攻击Codered 利用IIS漏洞SQL Server Worm 利用SQL Server漏洞Blaster 利用RPC漏洞Sasser利用LSASS漏洞向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，破坏程序的堆栈，使程序转而执行其他的指令，达到攻击的目的。原因：程序中缺少错误检测:void func(char *str) { char buf[16]; strcpy(buf,str);}如果str的内容多于16个非0字符，就会造成buf的溢出，使程序出错。类似函数有strcat、sprintf、vsprintf、gets、scanf等一般溢出会造成程序读/写或执行非法内存的数据，引发segmentation fault异常退出.如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。类似函数有strcat、sprintf、vsprintf、gets、scanf等一般溢出会造成程序读/写或执行非法内存的数据，引发segmentation fault异常退出.如果在一个suid程序