网络攻击与防范.ppt_咨信网zixin.com.cn

资源描述

1、第五章第五章网络攻击与防范网络攻击与防范第五章第五章网络攻击与防范技术网络攻击与防范技术 5.1 网络攻击概述与分类网络攻击概述与分类5.2 目标探测目标探测5.3 扫描的概念与原理扫描的概念与原理5.4 网络监听网络监听5.5 缓冲区溢出攻击缓冲区溢出攻击 5.6 拒绝服务攻击拒绝服务攻击 5.7 欺骗攻击与防范欺骗攻击与防范 1可编辑版第五章第五章网络攻击与防范网络攻击与防范5.1 网络攻击概述与分类网络容易受到攻击的原因网络容易受到攻击的原因网络软件不完善网络软件不完善+协议本身存在安全缺陷。协议本身存在安全缺陷。TCP/IP网络协议存在大量的安全漏洞。网络协议存在大量的安全漏

2、洞。TCP/IP是冷战时期的产物，目标是要保证通达，保证传输是冷战时期的产物，目标是要保证通达，保证传输的粗旷性。通过来回确认来保证数据的完整性，不确认则的粗旷性。通过来回确认来保证数据的完整性，不确认则要重传。要重传。TCP/IP没有内在的控制机制来支持源地址的鉴别。没有内在的控制机制来支持源地址的鉴别。黑客利用黑客利用TCP/IP的漏洞，可以使用侦听的方式来截获数据，能对数的漏洞，可以使用侦听的方式来截获数据，能对数据进行检查，推测据进行检查，推测TCP的系列号，修改传输路由，修改鉴别过程，的系列号，修改传输路由，修改鉴别过程，插入黑客的数据流。插入黑客的数据流。莫里斯病毒就是利用这一点，

3、给互联网造成巨大的危害。莫里斯病毒就是利用这一点，给互联网造成巨大的危害。2可编辑版第五章第五章网络攻击与防范网络攻击与防范近近10年安全漏洞发布趋势年安全漏洞发布趋势年份年份数量数量3可编辑版第五章第五章网络攻击与防范网络攻击与防范5.1 网络攻击概述与分类网络攻击概述与分类网络攻击目的网络攻击目的炫耀自己的技术；炫耀自己的技术；恶作剧、练功；恶作剧、练功；窃取数据；窃取数据；报复；报复；抗议或宣示。抗议或宣示。4可编辑版第五章第五章网络攻击与防范网络攻击与防范5.1 网络攻击概述与分类网络攻击概述与分类常用的攻击方法窃听窃听欺骗欺骗拒绝服务拒绝服务数据驱动攻击数据驱动攻击 5

4、可编辑版第五章第五章网络攻击与防范网络攻击与防范网络攻击的一般流程网络攻击的一般流程6可编辑版第五章第五章网络攻击与防范网络攻击与防范5.2 目标探测目标探测目目标标探探测测是是防防范范不不法法黑黑客客攻攻击击行行为为的手段之一的手段之一也是黑客进行攻击的第一步。也是黑客进行攻击的第一步。7可编辑版第五章第五章网络攻击与防范网络攻击与防范5.2.1 目标探测的内容目标探测的内容1外网信息。外网信息。包包括括域域名名、管管理理员员信信息息、网网络络地地址址范范围围、网网络络位位置置、网网络络地地址址分分配配机机构构信信息息、系系统统提提供供的的各各种服务和网络安全配置等。种服务和网络

5、安全配置等。2内网信息。内网信息。包包括括内内部部网网络络协协议议、拓拓扑扑结结构构、系系统统体体系系结结构构和安全配置等。和安全配置等。8可编辑版第五章第五章网络攻击与防范网络攻击与防范5.2.2 目标探测的方法目标探测的方法 1确定目标范围确定目标范围 Ping命令命令Whois查询查询 Whois查询就是查询域名和查询就是查询域名和IP地址的注册信地址的注册信息。国际域名由设在美国的息。国际域名由设在美国的Internet信息管信息管理中心（理中心（InterNIC）和它设在世界各地的认）和它设在世界各地的认证注册商管理，国内域名由中国互联网络信证注册商管理，国内域名由中国互联网络信

6、息中心（息中心（CNNIC）管理。）管理。9可编辑版第五章第五章网络攻击与防范网络攻击与防范2.分析目标网络信息分析目标网络信息使用专用的工具，如使用专用的工具，如VisualRoute等。等。这这些些软软件件的的主主要要功功能能：快快速速分分析析和和辨辨别别Internet连接的来源，标识某个连接的来源，标识某个IP地址的地理位置等。地址的地理位置等。3.分析目标网络路由分析目标网络路由了了解解信信息息从从一一台台计计算算机机到到达达互互联联网网另另一一端端的的另另一一台台计计算算机机传传播播路路径径，常常见见的的检检测测工工具具为为Tracert/TraceRoute。10可编辑版第

7、五章第五章网络攻击与防范网络攻击与防范5.3 扫描概念和原理扫描概念和原理计算机扫描就是对计算机系统或者其他网计算机扫描就是对计算机系统或者其他网络设备进行与安全相关的检测，以找出安络设备进行与安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。全隐患和可被黑客利用的漏洞。扫描技术分类扫描技术分类主机扫描主机扫描端口扫描端口扫描漏洞扫描漏洞扫描 11可编辑版第五章第五章网络攻击与防范网络攻击与防范5.3.1 主机扫描技术主机扫描技术简单主机扫描技术简单主机扫描技术(1)发送发送ICMP Echo Request数据包到目标主机；数据包到目标主机；(2)Ping扫描；扫描；(3)发送发送I

8、CMP Echo Request到广播地址或者目标网络到广播地址或者目标网络地址。地址。复杂主机扫描技术复杂主机扫描技术(1)异常的异常的IP包头；包头；(2)IP头中设置无效的字段值；头中设置无效的字段值；(3)错误的数据分片；错误的数据分片；(4)反向映射探测。反向映射探测。12可编辑版第五章第五章网络攻击与防范网络攻击与防范5.3.2 端口扫描技术端口扫描技术 1TCP connect 扫描扫描最最基基本本的的TCPTCP扫扫描描，操操作作系系统统提提供供的的connectconnect（）系系统统调调用用，用用来来与与每每一一个个目目标标计计算算机机的的端端口口进进行行连连接接。

9、如如果果端端口口处处于于侦侦听听状状态态，那那么么connectconnect（）就就能能成成功功。否否则则，该该端端口是不能用的，即没有提供服务。口是不能用的，即没有提供服务。优势：优势：没有权限限制没有权限限制速度快速度快缺陷：缺陷：容易暴露容易暴露13可编辑版第五章第五章网络攻击与防范网络攻击与防范2TCP SYN扫描扫描 3TCP FIN 扫描扫描 14可编辑版第五章第五章网络攻击与防范网络攻击与防范4TCP Xmas扫描扫描5TCP NULL扫描扫描 15可编辑版第五章第五章网络攻击与防范网络攻击与防范5UDP扫描扫描UDP扫描并不可靠。扫描并不可靠。1)目标主机可以禁止

10、任何目标主机可以禁止任何UDP包通过；包通过；2)UDP本身不是可靠的传输协议，数据传输的完整性不能得到保证；本身不是可靠的传输协议，数据传输的完整性不能得到保证；3)系系统统在在协协议议栈栈的的实实现现上上有有差差异异，对对一一个个关关闭闭的的UDP端端口口，可可能能不不会会返返回任何信息，而只是简单的丢弃。回任何信息，而只是简单的丢弃。6FTP返回扫描返回扫描 16可编辑版第五章第五章网络攻击与防范网络攻击与防范 FTP 代理扫描是用一个代理的代理扫描是用一个代理的FTP服务器来扫描服务器来扫描TCP端口。端口。假假设设S是是扫扫描描机机，T是是扫扫描描目目标标，F是是一一个个支支持持

11、代代理理选选项项的的FTP服服务务器器，能能够跟够跟S和和T建立连接，建立连接，FTP端口扫描步骤如下：端口扫描步骤如下：（1）S与与F建建立立一一个个FTP会会话话，使使用用PORT命命令令声声明明一一个个选选择择的的端端口口p-T作为代理传输所需要的被动端口；作为代理传输所需要的被动端口；（2）然后）然后S使用一个使用一个LIST命令尝试启动一个到命令尝试启动一个到p-T的数据传输；的数据传输；（3）如果端口）如果端口p-T确实在监听，传输就会成功，返回码确实在监听，传输就会成功，返回码150和和226被发送被发送回给回给S。否则。否则S会收到会收到 “425 Can build data

12、 connection:Connection refused”的应答的应答;（4）S持持续续使使用用PORT和和LIST命命令令，直直到到对对T上上所所有有的的选选择择端端口口扫扫描描完完毕为止。毕为止。这种方法的优点是难以跟踪，能穿过防火墙。主要缺点是速度很慢，这种方法的优点是难以跟踪，能穿过防火墙。主要缺点是速度很慢，有的有的FTP服务器最终还是能得到一些线索，关闭代理功能。服务器最终还是能得到一些线索，关闭代理功能。17可编辑版第五章第五章网络攻击与防范网络攻击与防范防止端口扫描防止端口扫描防止端口扫描：防止端口扫描：(1)关闭闲置和有潜在危险的端口。关闭闲置和有潜在危险的端口。(2

13、)利用网络防火墙软件。利用网络防火墙软件。18可编辑版第五章第五章网络攻击与防范网络攻击与防范5.3.3 漏洞扫描漏洞扫描漏洞扫描是对目标网络或者目标主机进行安全漏漏洞扫描是对目标网络或者目标主机进行安全漏洞检测与分析，发现可能被攻击者利用的漏洞。洞检测与分析，发现可能被攻击者利用的漏洞。通用漏洞扫描器构成：通用漏洞扫描器构成：控制台模块控制台模块扫描活动处理模块扫描活动处理模块扫描引擎模块扫描引擎模块结果处理模块和漏洞库。结果处理模块和漏洞库。Nmap、X-Scan、SuperScan、Shadow Security Scanner、MS06040Scanner 19可编辑版第五章第五

14、章网络攻击与防范网络攻击与防范5.4 网络监听网络监听网络监听技术是提供给网络安全管理人员进行网网络监听技术是提供给网络安全管理人员进行网络管理的工具，用来监视网络的状态、数据流动络管理的工具，用来监视网络的状态、数据流动情况以及网络上传输的信息等，黑客也可以利用情况以及网络上传输的信息等，黑客也可以利用网络监听来截取主机口令等。网络监听来截取主机口令等。20可编辑版第五章第五章网络攻击与防范网络攻击与防范5.4.1 网络监听原理网络监听原理以太网（以太网（Ethernet）协议的工作方式是将要发送的）协议的工作方式是将要发送的数据包发往连接在一起的所有主机，只有与数据包数据包发往连接在

15、一起的所有主机，只有与数据包中目的地址一致的那台主机才能接收到信息包。中目的地址一致的那台主机才能接收到信息包。当主机工作在监听模式下时，无论数据包中的目标当主机工作在监听模式下时，无论数据包中的目标地址是什么，主机都将接收，这就是实现网络监听地址是什么，主机都将接收，这就是实现网络监听的基础。的基础。21可编辑版第五章第五章网络攻击与防范网络攻击与防范5.4.2 网络监听检测与防范网络监听检测与防范1网络监听检测网络监听检测(1)反应时间反应时间(2)观测观测DNS(3)ping模式进行监测模式进行监测(4)arp数据包进行监测数据包进行监测22可编辑版第五章第五章网络攻击与防范网络

16、攻击与防范 2网络监听的防范网络监听的防范（1）采采用用加加密密手手段段进进行行信信息息传传输输也也是是一一个个很很好好的的办法办法（2）以以交交换换式式集集线线器器代代替替共共享享式式集集线线器器。交交换换式式集集线线器器代代替替共共享享式式集集线线器器，使使单单播播包包仅仅在在两两个个节节点之间传送，从而防止非法监听。点之间传送，从而防止非法监听。（3）使用）使用Kerberos。23可编辑版第五章第五章网络攻击与防范网络攻击与防范5.5 缓冲区溢出攻击缓冲区溢出攻击5.5.1 缓冲区溢出原理缓冲区溢出原理缓缓冲冲区区是是内内存存中中存存放放计计算算机机正正在在处处理理数数据据的的地

17、地方方。当当数数据据量量超超出出缓缓冲冲区区的的长长度度时时，多多出出来来的的数数据据就就会会破破坏坏堆堆栈栈中中的的数据，导致应用程序或整个系统的崩溃等故障；数据，导致应用程序或整个系统的崩溃等故障；攻攻击击者者在在溢溢出出数数据据中中加加上上精精心心设设计计的的机机器器代代码码，当当这这些些代代码码溢溢出出到到缓缓冲冲区区以以外外时时会会被被执执行行，能能达达到到破破坏坏计计算算机机系系统统目的，即缓冲区溢出攻击。目的，即缓冲区溢出攻击。24可编辑版第五章第五章网络攻击与防范网络攻击与防范缓冲区溢出 1通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，使系统崩溃。例：#incl

18、ude void main(int argc,char*argv)char buffer10;strcpy(buffer,argv1);执行该程序，输入字符串长度小于10时，程序正常运行，否则系统崩溃。25可编辑版第五章第五章网络攻击与防范网络攻击与防范26可编辑版第五章第五章网络攻击与防范网络攻击与防范 2通通过过向向程程序序的的缓缓冲冲区区写写超超出出其其长长度度的的内内容容，造造成成缓缓冲冲区区的的溢溢出出，从从而而破破坏坏程程序序的的堆堆栈栈，使使程程序序转转而而执执行行其其它它指指令令，以达到攻击目的。以达到攻击目的。例如下面程序：例如下面程序：#include#includ

19、e void function(int a)char buffer5;char*ret;ret=buffer+12;*ret+=8;27可编辑版第五章第五章网络攻击与防范网络攻击与防范void main()int x;x=10;function(7);x=1;coutxendl;程序的运行结果是？程序的运行结果是？28可编辑版第五章第五章网络攻击与防范网络攻击与防范程序的实际运行结果是程序的实际运行结果是10，而不是，而不是1。上段程序的执行过程：上段程序的执行过程：依依次次为为形形式式参参数数a a、RETRET、EBPEBP分分配配4 4字字节节的的内内存存，为为语语句句char

20、 char buffer5 buffer5 分分配配内内存存时时，需需要要5 5字字节节的的内内存存。对对于于3232位位存存储储器器，内内存存的的分分配配是是以以4 4个个字字节节为为单单位位来来进进行行的的，所所以以为为bufferbuffer分分配配的内存一共需要的内存一共需要8 8个字节。个字节。29可编辑版第五章第五章网络攻击与防范网络攻击与防范void main()int x;x=10;function(7);x=1;coutxendl;为参数赋值返回地址压栈执行被调用函数调用结束后返回返回处30可编辑版第五章第五章网络攻击与防范网络攻击与防范执执行行ret ret=bu

21、ffer buffer+1212后后，retret指指向向RET(buffer RET(buffer 地址和地址和RETRET地址相差地址相差1212个字节个字节)。RETRET的的值值是是函函数数function(7)function(7)的的返返回回地地址址，即即“x=1”“x=1”的的首首地地址址，执执行行*ret*ret+=8=8语语句句后后就就将将RETRET的的值值加加上上了了8 8个个字字节节，而而x=1x=1这这条条语语句句占占有有8 8个字节。个字节。31可编辑版第五章第五章网络攻击与防范网络攻击与防范5.5.2 缓冲区溢出攻击方法缓冲区溢出攻击方法1在程序的地址空间里安

22、排适当的代码在程序的地址空间里安排适当的代码（1）植入法。）植入法。（2）利用已经存在的代码。）利用已经存在的代码。2控制程序转移到攻击代码控制程序转移到攻击代码（1）激活记录。）激活记录。（2）函数指针。）函数指针。（3）长跳转缓冲区。）长跳转缓冲区。32可编辑版第五章第五章网络攻击与防范网络攻击与防范5.5.3 防范缓冲区溢出防范缓冲区溢出1编写正确的代码编写正确的代码编写安全代码是防止缓冲区溢出的最有效办法：编写安全代码是防止缓冲区溢出的最有效办法：char str10 while（gets（str）!=NULL）puts（str）;memset（str,0,sizeof（st

23、r）;由由于于没没有有严严格格规规定定输输入入到到str中中的的字字符符长长度度，很很容容易易产产生生缓缓冲冲区区溢溢出出漏洞。漏洞。正确的方式是使用fgets（char s,int size,FILE*stream）。char str10 while（fgets(str,sizeof(str),stdin)!=NULL）puts（str）;memset（str,0,sizeof（str）;33可编辑版第五章第五章网络攻击与防范网络攻击与防范2及时安装漏洞补丁及时安装漏洞补丁 3.借助防火墙阻止缓冲区溢出。借助防火墙阻止缓冲区溢出。5.5.3 防范缓冲区溢出防范缓冲区溢出34可编辑版第五

24、章第五章网络攻击与防范网络攻击与防范5.6 拒绝服务攻击拒绝服务攻击DoSDoS（Denial Denial of of ServiceService）通通过过堵堵塞塞网网络络、占占用用系系统统资资源源等等方方法法，拒拒绝绝用用户户的的服服务务访访问问，破破坏坏系系统的正常运行。统的正常运行。DoSDoS攻击的基本原理攻击的基本原理:35可编辑版第五章第五章网络攻击与防范网络攻击与防范5.6.1 IP碎片攻击碎片攻击 ping of death 攻击者发送一个长度超过攻击者发送一个长度超过65535的的Echo Request数据包，造成系数据包，造成系统崩溃或挂起。统崩溃或挂起。jol

25、t2攻击攻击在一个死循环中不停地发送一个在一个死循环中不停地发送一个ICMP/UDP的的IP碎片，可以使碎片，可以使Windows系统的机器死锁。系统的机器死锁。Teardrop 发送一些发送一些IP分片异常的数据包，在分片异常的数据包，在IP包的分片装配过程中，由于包的分片装配过程中，由于分片重叠，计算过程中出现长度为负值，在执行分片重叠，计算过程中出现长度为负值，在执行memcpy的时候的时候导致系统崩溃。导致系统崩溃。36可编辑版第五章第五章网络攻击与防范网络攻击与防范5.6.2 UDP洪泛洪泛通过伪造与某一主机的Chargen服务之间的一次UDP连接，回复地址指向开放Echo服

26、务的一台主机，这样就在两台主机之间生成足够多的无用数据流，导致带宽耗尽的拒绝服务攻击。37可编辑版第五章第五章网络攻击与防范网络攻击与防范5.6.3 SYN洪泛洪泛38可编辑版第五章第五章网络攻击与防范网络攻击与防范5.6.4 Smurf攻击攻击39可编辑版第五章第五章网络攻击与防范网络攻击与防范5.6.5 分布式拒绝服务攻击分布式拒绝服务攻击40可编辑版第五章第五章网络攻击与防范网络攻击与防范DDoSDDoS攻击的步骤攻击的步骤1.搜集攻击目标了解被攻击目标主机数目、地址情况，目标主机的配置、性能、目标的带宽等。2占领傀儡机黑客通过扫描工具等，发现互联网上那些有漏洞的机器

27、，随后就是尝试攻击。攻击成功后，就可以占领和控制被攻击的主机，即傀儡机。3.实际攻击黑客登录到作为控制台的攻击机，向所有傀儡机发出命令，这时候埋伏在傀儡机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致受害主机死机或是无法响应正常的请求。41可编辑版第五章第五章网络攻击与防范网络攻击与防范防范防范DDoS攻击的策略攻击的策略1及及早早发发现现系系统统存存在在的的攻攻击击漏漏洞洞，及及时时安安装装系系统统补补丁程序。丁程序。2要要经经常常检检查查系系统统的的物物理理环环境境，禁禁止止那那些些不不必必要要的的网络服务。网络服务。3充充分分利利用用防防火火

28、墙墙等等网网络络安安全全设设备备，配配置置好好它它们们的的安全规则，过滤掉所有可能伪造的数据包。安全规则，过滤掉所有可能伪造的数据包。42可编辑版第五章第五章网络攻击与防范网络攻击与防范5.7 欺骗攻击与防范欺骗攻击与防范攻击者针对认证机制的缺陷，将自己伪装攻击者针对认证机制的缺陷，将自己伪装成可信任方，从而与受害者进行交流，最成可信任方，从而与受害者进行交流，最终窃取信息或是展开进一步的攻击。终窃取信息或是展开进一步的攻击。IP欺骗欺骗DNS欺骗欺骗ARP欺骗欺骗 43可编辑版第五章第五章网络攻击与防范网络攻击与防范IP欺骗的原理欺骗的原理 44可编辑版第五章第五章网络攻击与防范

29、网络攻击与防范 ARP欺骗攻击与防范欺骗攻击与防范 ARP欺骗攻击是针对ARP协议的一种攻击技术，可以造成内部网络的混乱，让某些欺骗的计算机无法正常访问网络，让网关无法同客户机正常通信。45可编辑版第五章第五章网络攻击与防范网络攻击与防范ARP欺骗攻击原理欺骗攻击原理 46可编辑版第五章第五章网络攻击与防范网络攻击与防范ARP攻击防护攻击防护 1)静态绑定静态绑定2)使用使用ARP防护软件防护软件 47可编辑版第五章第五章网络攻击与防范网络攻击与防范本章教学要求：本章教学要求：（1）了解网络攻击的概念；）了解网络攻击的概念；（2）了解目标探测的内容和方法；）了解目标探测的内容和方法；（3）掌握扫描器工作原理；）掌握扫描器工作原理；（4）了解常用的端口扫描技术；）了解常用的端口扫描技术；（5）了解网络监听的原理与防范方法；）了解网络监听的原理与防范方法；（6）掌握缓冲区溢出原理及攻击方法和防范；）掌握缓冲区溢出原理及攻击方法和防范；（7）掌握分布式拒绝服务攻击概念、攻击步骤）掌握分布式拒绝服务攻击概念、攻击步骤和防范方法；和防范方法；（8）了解网络欺骗攻击与防范；）了解网络欺骗攻击与防范；48可编辑版

展开阅读全文