第7章网络攻击与防范.pptxVIP

1;第八章网络攻击和防范;8.1网络攻击概述;8.1.1黑客与入侵者;8.1.2系统攻击的三个阶段;信息收集工具;探测系统的安全弱点的主要方法;攻击行为表现;;8.1.3网络入侵的对象;8.1.4主要的攻击方法;1．获取口令一般方法;2.放置特洛伊木马;3．WWW的欺骗技术;4.电子邮件攻击;5．网络监听;6．寻找系统漏洞;;8.1.5攻击的新趋势;1.利用AI的网络攻击愈演愈烈;2.云平台安全挑战加剧;3.物联网安全问题凸显;4.数字供应链攻击增多;;8.2口令攻击;8.2.1口令攻击;8.2.2设置安全的口令;8.2.3．一次性口令（OTP）;;8.3扫描器;8.3.2端口扫描;扫描器的种类;扫描器的种类;扫描器用途及危害;8.3.3常用的扫描技术;8.3.3一个简单的扫描程序分析;2．代码分析;;8.4网络监听;以太网协议的工作方式为将要发送的数据帧发往物理连接在一起的所有主机。

在帧头中包含着应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，并检查数据帧帧头中的地址字段，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。

;8.4.2网络监听工具及其作用;8.4.3如何发现sniffer;;8.5IP欺骗;8.5.1．IP欺骗的工作原理;2.序列号猜测

序列号的猜测方法如下：攻击者先与被攻击主机的一个端口（如：SMTP）建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN（初始序列号）存储起来。

攻击者还需要估计他的主机与被信任主机之间的RTT（往返时间），这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000，每次连接增加64000。现在就不难估计出ISN的大小了，它是128000乘以RTT的一半，如果此时目标主机刚刚建立过一个连接，那么再加上一个64000。

;3.实施欺骗

Z伪装成A信任的主机B攻击目标A的过程如下：

t1:Z（B）－－SYN－－－A

t2:B＜－－－SYN/ACK－－－A

t3:Z??B）－－－ACK－－－＞A

t4:Z（B）－－－PSH－－－＞A

;8.5.2IP欺骗的防止;;8.6拒绝服务;DoS攻击的基本过程;由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区；

声称自己的ICMP包超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方宕机。

;DoS攻击——SYNFlooding攻击;;8.6.2分布式拒绝服务;?

图6-4DDoS攻击体系;;拒绝服务攻击方式;Smurf攻击示意图;Smurf攻击是一种利用IP路由漏洞的攻击方法。攻击通常分为以下五步：

锁定目标：一个被攻击的主机（通常是一些Web服务）；

寻找中间代理的站点：用来对攻击实施放大（通常会选择多个，以便更好地隐藏自己，伪装攻）；?

发送伪造ICMP包：黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Pingecho包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；?

中间代理向子网广播：中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；?

响应包全都回应到攻击目标上去

;1.过滤广播地址：在网络的出口路由器上配置过滤规则，禁止广播地址的流量通过、阻止攻击者的EchoRequest报文进入目标网络。

2.启用反向路径过滤(ReversePathFiltering)：通过验证数据包的源IP地址是否为网络出口合法的路径返回地址，来过滤掉源IP地址伪造的报文。

3.使用流量限制措施:通过使用防火墙和入侵检测系统(IDS)等技术，对网络流量进行监控和管理,及时发现并限制异常流量。

;2.Trinoo攻击：

使用“主控”程序对实际实施攻击的任何数量的“代理”程序实现自动控制。

攻击者连接到安装了master程序的计算机，启动master程序，然后根据一个IP地址的列表，由master程序负责启动所有的代理程序。

代理程序用UDP信息包攻击网络，从而攻击目标。

在攻击之前，侵入者为了安装软件，已经控制了装有master程序的计算机和所有装有代理程序的计算机。;2.T