通信网络安全与防护-第四章-网络攻击技术.pptxVIP

第四章 网络攻击技术;4.1 黑客与网络攻击概述 4.2 欺骗型攻击-社会工程学 4.3 利用型攻击 4.4 DoS与DDoS 4.5 APT;从黑客行为上划分，黑客有“善意”与“恶意”两种，即所谓白帽（White Hat）及黑帽（Black Hat）。 白帽利用他们的技能做一些善事，而黑帽则利用他们的技能做一些恶事。 白帽长期致力于改善计算机社会及其资源，为了改善服务质量及产品，他们不断寻找弱点及脆弱性并公布于众。 与白帽的动机相反，黑帽主要从事一些破坏活动，从事的是一种犯罪行为。;其攻击过程可归纳为以下9个步骤： 踩点（Foot Printing） 扫描（scanning） 查点（enumeration） 获取访问权（Gaining Access） 权限提升（Escalating Privilege） 窃取（pilfering） 掩盖踪迹（Covering Track） 创建后门（Creating Back Doors） 拒绝服务攻击（Denial of Services）;黑客 攻击流程图; “踩点”原意为策划一项盗窃活动的准备阶段。举例来说，当盗贼决定抢劫一家银行时，他们不会大摇大摆地走进去直接要钱，而是先下一番工夫来搜集这家银行的相关信息，包括武装押运车的路线及运送时间、摄像头的位置、逃跑出口等信息。在黑客攻击领域，“踩点”是传统概念的电子化形式。;黑客攻击流程;　　常见的踩点方法包括： 在域名及其注册机构的查询 公司性质的了解 对主页进行分析 邮件地址的搜集 目标IP地址范围查询 　　踩点的目的就是探察对方的各方面情况，确定攻击的时机。模清除对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。; 如果可以的话，尽量将攻击目标的有关信息搜集全面，这些信息包括：; 服务器信息 网站域名与IP地址 DNS信息 服务器系统中运行的TCP和UDP服务 操作系统 入侵检测系统 网站所使用的整站、论坛和留言板等程序; 局域网内网信息 内网连接协议（如IP、IPX等） 内部域名和组 网络结构 通过内部局域网连通到网络的指定IP地址 系统体系结构 内部入侵检测系统 反病毒系统 访问控制机制和相关访问控制列表 系统用户名、用户组名、路由表等信息;远程访问信息 内部电话号码 远程系统类型（VPN类型） 认证机制 互联网信息 FTP等连接源地址和目??地址 连接类型 访问控制机制;为达到以上目的，黑客常采用以下技术。 1.开放信息源搜索 通过一些标准搜索引擎，揭示一些有价值的信息。 2.whois查询 whois是目标Internet域名注册数据库。 3.DNS区域传送;案例1 通过浏览器获得一个网站的详细信息 打开首页页面后，查看一下页面下方是否有EMAIL地址、QQ、MSN等信息。如果网站存在这些信息，可以将这些信息复制粘贴到写字板中，留待后面使用。 在网页中点击鼠标右键，在弹出的菜单中选择“查看源文件”。通过这种查看页面源代码的方式往往能够找到许多有价值的信息，如管理员建设这个网站时选用了哪一款网站程序。 ;案例2 查询域名注册信息和经营性网站备案信息获取资料 登陆/ ，在域名查询中输入欲查询网站的域名，在进入查询结果页面后点击“查看”选项，此时你会看到与该网站域名注册人的相关信息，这其中会包括Email地址、电话、公司、通信地址、注册人姓名等。 登陆工信部ICP信息备案管理系统（/），在公共查询一栏中输入域名地址，也可以查询出与网站管理人员相关的信息。 ;获取上述信息后，可以利用搜索引擎进行二次查询。 逐一的搜索Email地址、电话号码等相关信息，就可以在网络中查询到该网站注册人的蛛丝马迹，这些信息有时能够让黑客充分的掌握网站管理员的个人信息及在网络中的行踪，甚至管理员所常用的密码就是你搜寻出电话号码或者生日日期等。 通过“网站程序+漏洞”这样的关键词，查找一下服务器采用的建站程序在近期是否出现过漏洞信息以及如何利用该漏洞也是黑客入侵前需要整理的重要资料。 ; 通过踩点已获得一定信息（IP地址范围、DNS服务器地址、邮件服务器地址等），下一步需要确定目标网络范围内哪些系统是“活动”的，以及它们提供哪些服务。扫描的主要目的是使攻击者对攻击的目标系统所提供的各种服务进行评估，以便集中精力在最有希望的途径上发动攻击。 扫描中采用的主要技术有Ping扫射（Ping Sweep）、TCP/UDP端口扫描、操作系统检测以及旗标（banner）的获取。;查点就是搜索特定系统上用户和用户组名、路由表、SNMP信息、共享资源、服务程序及旗标等信息。查点所采用的技术依操作系统而定。 在Windows系统上主要采用的技术有“查点NetBIOS”线路、空会话（Null Session）