彭思喜电商安全第3章常见的网络攻击与防范技术.pptVIP

3.1 黑客 3.1.2　黑客案例 3.1 黑客 3.1.4　黑客攻击的一般过程 预攻击 内容： 获得域名及IP分布 获得拓扑及OS等 获得端口和服务 获得应用系统情况 跟踪新漏洞发布 目的： 收集信息，进行进一步攻击决策 攻击 内容： 获得远程权限 进入远程系统 提升本地权限 进一步扩展权限 进行实质性操作 目的： 进行攻击，获得系统的一定权限 后攻击 内容： 植入后门木马 删除日志 修补明显的漏洞 进一步渗透扩展 目的： 消除痕迹，长期维持一定的权限 3.1 黑客 3.1.4　黑客攻击的一般过程 3.2 IP欺骗与防范 3.2.1　IP欺骗原理 IP欺骗是利用不同主机间的信任关系而进行欺骗攻击的一种手段，这种信任关系是以IP地址验证为基础的。 信任关系 　　 在Unix领域中，信任关系能够很容易得到。假如在主机A和B上各有一个帐户，在使用当中会发现，在主机A上使用时需要输入在A上的相应帐户，在主机B上使用时必须输入在B上的帐户，主机A和B把你当作两个互不相关的用户，显然有些不便。为了减少这种不便，可以在主机A和主机B中建立起两个帐户的相互信任关系。这样，A和B主机就可以毫无阻碍地使用任何以r*开头的远程登录对方如:rlogin，rcall，rsh等，而无口令验证的烦恼。这些命令将允许以地址为基础的验证，或者允许或者拒绝以IP地址为基础的存取服务　 这里的信任关系是基于IP地址的。 3.2 IP欺骗与防范 3.2.1　IP欺骗原理 Rlogin 　　 Rlogin 是一个简单的客户/服务器程序，它利用TCP传输。Rlogin 允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin 将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP 地址。因此，根据以上所举的例子，我们能利用Rlogin 来从B远程登录到A，而且不会被提示输入口令。 3.2 IP欺骗与防范 3.2.1　IP欺骗原理 IP欺骗 IP欺骗由若干步骤组成，简要地描述如下：先做以下假定:首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作:使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP 序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。 3.2 IP欺骗与防范 3.2.1　IP欺骗的防范 1.改变间隔 2.禁止基于IP地址的验证 3.使用包过滤技术 4.使用加密方法 5.使用随机化的初始序列号 3.3 Sniffer探测与防范 3.3.1　Snifer原理 数据报嗅探是一种协议分析软件，它利用网卡的混杂模式来监听网络中的数据报。 Sniffer可以用于嗅探网络中的明文口令信息： Telnet FTP SNMP POP 数据报嗅探工具必须与监听对象在同一个冲突域里面。 3.3 Sniffer探测与防范 3.3.1　Snifer原理 在一个共享式网络，可以听取所有的流量 是一把双刃剑 管理员可以用来监听网络的流量情况 开发网络应用的程序员可以监视程序的网络情况 黑客可以用来刺探网络情报 目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer) 3.3 Sniffer探测与防范 3.3.1　Snifer原理 3.3 Sniffer探测与防范 3.3.1　Snifer原理 3.3 Sniffer探测与防范 Snifer的防范 主要的防范手段： 认证—使用强认证方式，例如使用一次性口令。 反嗅探工具—利用反嗅探工具来发现网络中的嗅探行为。 加密—这是最为有效的防范手段。 3.3 Sniffer探测与防范 Windows下常用的抓包工具 Buttsniffer 简单，不需要安装，可以在Windows NT下运行，适合于后台运作 NetMon 友好的图形界面，分析功能强 NetXRay 界面友好，统计分析功能强，过滤器功能 基于WinPcap的工具 WinDump(tcpdump的Windows版本) Analyzer 3.4 端口扫描技术 扫描技术 主机扫描：确定在目标网络上的主机是否可达，同时尽可能多映射目标网络的拓扑结构，主要利用ICMP数据包 端口扫描：发现远程主机开放的端口以及服务 操作系统指纹扫描：根据协议栈判别操作系统 华 农 经 济