计算机系统安全常用攻击手段.pptVIP

3、Sniffer的危害与预防六、网络监听Sniffer危害：能截获口令或机密信息；能攻击相邻的网络。Sniffer的预防：使用加密传输敏感数据。使用安全拓扑结构。一个网段仅由互相信任的计算机组成。每台机器通过硬连接线接到Hub。Hub再接到交换机上。*第30页，共56页，星期日，2025年，2月5日4、检测Sniffer的原理反应时间向可疑发送大量物理地址不存在的包，处于监听模式的机器回应时间延迟。观测DNS监听软件往往会尝试进行反向地址解析，查看DNS上是否地址解析请求明显增多。利用Ping模式监测混杂模式的主机对错误地址的ICMP包会有回应。利用arp数据包监测向局域网内的主机发送非广播式的arp包来检测。*第31页，共56页，星期日，2025年，2月5日5、检测Sniffer的方法六、网络监听方法一：对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。正常的机器不接收错误的物理地址，处于监听状态的机器能接收。方法二：同上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能下降。通过比较发送前、后机器性能加以判断。*第32页，共56页，星期日，2025年，2月5日Sniffer工具Sniffit可用于Unix、Linux、NTNetXray由CincoNetworks公司开发高级数据包查错工具界面友好防止Sniffer的工具AntiSniffer可监测同一网段内的机器，如果返回正值，则表明该机处于混杂模式，有可能已被安装Sniffer。*第33页，共56页，星期日，2025年，2月5日1、什么是拒绝服务的攻击七、拒绝服务攻击拒绝服务的攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户可用的一种攻击方式。拒绝服务的攻击降低了资源的可用性，这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器，甚至是系统管理员的时间，攻击的结果是减少或失去服务。*第34页，共56页，星期日，2025年，2月5日拒绝服务攻击方式七、拒绝服务攻击1)死亡之ping（pingofdeath）由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方宕机。*第35页，共56页，星期日，2025年，2月5日拒绝服务攻击方式七、拒绝服务攻击2）SYNFlooding攻击对WindowsNT攻击很有效使用一个伪装的地址向目标计算机发送连接请求叫做IP欺骗技术。当目标计算机收到这样的请求后，就会使用一些资源来为新的连接提供服务，接着回复请求一个肯定答复（叫做SYN－ACK）。由于SYN－ACK是返回到一个伪装的地址，没有任何响应。于是目标计算机将继续设法发送SYN－ACK。一些系统都有缺省的回复次数和超时时间，只有回复一定的次量、或者超时时，占用的资源才会释放。例：WindowsNT3.5和40中缺省设置为可重复发送SYN－ACK答复5次。要等待3+6+12+24+48+96=189秒之后，才释放资源。*第36页，共56页，星期日，2025年，2月5日SYN-Flooding攻击示意图*第37页，共56页，星期日，2025年，2月5日拒绝服务攻击方式七、拒绝服务攻击3)Land攻击在Land攻击中，一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址，此举将导致接收服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。*第38页，共56页，星期日，2025年，2月5日拒绝服务攻击方式七、拒绝服务攻击4)Smurf攻击smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（Ping）数据包来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比pingofdeath洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。*第39页，共56页，星期日，2025年，2月5日Smurf攻击示意图*第4