常见的网络攻击方法与防护.pptx

1、8/8/20241学习要点本章要点口令攻击端口扫描网络监听缓冲区溢出拒绝服务攻击8/8/202428.1 网络攻击概述8.1.1 网络攻击分类从攻击的目的来看，可以有拒绝服务攻击(DoS)、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；从攻击的纵向实施过程来看，有获取初级权限的攻击、提升最高权限的攻击、后门攻击、跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。常见的攻击方式有下面四大类：拒绝服务攻击、利用型攻击、信息收集型攻击、假消息攻击。8/8/202438.1.2 网络攻击步骤1.攻击的

2、准备阶段 1)确定攻击的目的 2)信息收集 2.攻击的实施阶段 1)获得权限 2)权限的扩大 3.攻击的善后工作 1)隐藏踪迹2)后门 8/8/202448.2 口 令 攻 击8.2.1 原理1获得普通用户帐号的方法(1)利用目标主机的Finger功能(2)利用目标主机的X.500服务(3)从电子邮件地址中收集(4)查看主机是否有习惯性的帐号 2获得用户口令的方法(1)通过网络监听非法得到用户口令(2)在知道用户的帐号后(如电子邮件前面的部分)利用一些专门软件强行破解用户口令(3)利用系统管理员的失误 8/8/202458.2.2 口令攻击的类型(1)社会工程学(Social Engineer

3、ing)。(2)猜测攻击。(3)字典攻击。(4)穷举攻击。(5)混合攻击。(6)直接破解系统口令文件。(7)网络嗅探(Sniffer)。(8)键盘记录。(9)其他攻击方式。8/8/202468.2.3 方法(或工具)1NT口令破解程序1)L0phtcrack(简称LC5)2)NTSweep3)NTCrack4)PWDump2UNIX口令破解程序1)Crack2)John the Ripper3)XIT4)Slurpie8/8/202478.2.4 防护1好口令是防范口令攻击的最基本、最有效的方法最好采用字母、数字、标点符号、特殊字符的组合，同时有大小写字母，长度最好达到8个以上，最好容易记忆，

4、不必把口令写下来，绝对不要用自己或亲友的生日、手机号码等易于被他人获知的信息作密码。2.注意保护口令安全不要将口令记在纸上或存储于计算机文件中；最好不要告诉别人你的口令；不要在不同的系统中使用相同的口令；在输入口令时应确保无人在身边窥视；在公共上网场所，如网吧等处最好先确认系统是否安全；定期更改口令，至少6个月更改一次，这会使自己遭受口令攻击的风险降到最低。8/8/202488.3 端口扫描与安全防范 端口的概念 端口是为了运行在计算机上的各种服务提供的服务端口，计算机通过端口进行通信和提供服务。如果把IPIP地址比作一间房子，端口就是出入这间房子的门。端口是通过端口号来标记的，端口号只有整数

5、，范围是从0 0到6553565535。在计算机网络中，每个特定的服务都在特定的端口侦听，当用户有数据到达，计算机检查数据包中的端口号再根据端口号将它们发向特定的端口。8/8/202498.3.2 端口的分类 按分配方式分，端口分为公认端口、注册端口及动态（私有）端口。公认端口：端口号从0 0到10231023，这些端口紧密绑定于一些服务。其中8080端口分配给WWWWWW服务，2525端口分配给SMTPSMTP服务等，通常这些端口的通讯明确表明了某种服务的协议。注册端口：端口号从10241024到4915149151，这些端口松散地绑定于一些服务。动态端口：又称私有端口，端口号从491524

6、9152到6553565535。8/8/2024108.3.3 端口扫描 端口扫描就是利用某种程序自动依次检测目标计算机上所有的端口，根据端口的响应情况判断端口上运行的服务。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。8/8/2024118.3.3 端口扫描 端口扫描原理:尝试与目标主机的某些端口建立连接,如果目标主机该端口有回复,则说明该端口开放,即为”活动端口”扫描原理分类全TCPTCP连接半打开式扫描（SYNSYN扫描）FINFIN扫描第三方扫描 8/8/2024128.3.3 端口扫描 扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行 8/8/202413

7、8.3.3 端口扫描手工扫描系统内置的命令:netstat:netstat 此命令可以显示出你的计算机当前开放的所有端口，其中包括TCPTCP端口和UDPUDP端口。有经验的管理员会经常地使用它，以此来查看计算机的系统服务是否正常，是否被“黑客”留下后门、木马等。运行一下netstat -anetstat -a看看系统开放了什么端口，并记录下来，以便以后作为参考使用，当发现有不明的端口时就可以及时的做出对策。8/8/2024148.3.3 端口扫描利用扫描软件 扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器，可以不留痕迹地发现远程服务器的各种端口的分配、提供的服务以及他们使

8、用的软件版本，这样能间接或直接地了解到远程主机所存在的问题。8/8/2024158.3.3 端口扫描X-Scan X-Scan V3.0.2V3.0.2，它不仅是一个端口扫描软件，同时还是一个漏洞扫描器，其主要功能有：采用多线程方式对指定IPIP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。8/8/2024168.3.4 端口扫描的安全防范 安全防范的措施有很多，例如我们可以安装一个防火墙，它可以及时发现黑客的扫描活动，具体使用方法

9、在以前的章节中已经介绍。另外还可以安装一个扫描监测工具ProtectXProtectX，ProtectXProtectX可以在你连接上网络时保护电脑，防止黑客入侵，假如任何人尝试入侵连接到你的电脑，ProtectXProtectX即会发出声音警告并将入侵者的IPIP地址记录下来。8/8/2024178.4 拒绝服务攻击的概念 拒绝服务攻击，即DoSDoS（Denial of ServiceDenial of Service），造成DoSDoS的攻击行为被称为DoSDoS攻击，其目的是使计算机或网络无法提供正常的服务。这种攻击行为通常是攻击者利用TCP/IPTCP/IP协议的弱点或系统存在的漏洞

10、，对网络服务器充斥大量要求回复的信息，消耗网络的带宽或系统资源，导致网络或系统不胜负荷以致瘫痪而停止提供正常的网络服务。8/8/2024188.4 拒绝服务攻击与防范最基本的DoSDoS攻击就是利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求。几种DosDos攻击方法：1 1）SYN floodSYN flood 2 2）PingPing攻击3 3）LandLand攻击 4 4）SmurfSmurf攻击 5 5）电子邮件炸弹 8/8/2024198.4.1 拒绝服务攻击的概念 DoSDoS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息

11、后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。8/8/2024208.4.2 分布式拒绝服务攻击DDOS 分布式拒绝服务攻击概念：（Distributed Denial Of ServiceDistributed Denial Of Service）是一种基于DoSDoS的分布、协作的大规模特殊形式的拒绝服务攻击，就是攻击者在客户端控制大量的攻击源，并且同时向攻击目标发起的一种拒绝服务攻击。8/8/20

12、24218.4.2 分布式拒绝服务攻击DDOS分布式拒绝服务攻击主要以下部分组成：客户端：用于通过发动攻击的应用程序，攻击者通过它来发送各种命令。主控端：被攻击者控制的主机,并运行了DDOSDDOS主控端程序,客户端一般通过远程登录控制主控端。代理端：每个代理端也是一台已被入侵并运行特定程序的主机,主控端控制多个代理,为保证隐蔽性,主控端只是单向发送命令到代理,并且使用了假冒的IPIP地址,主控端发送到代理端的命令往往经过了加密,每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击的数据包.目标主机：DDosDDos攻击的主机或网络。8/8/2024228.4.2 分布式拒绝服务攻击DD

13、OS黑客主控端代理端目标主机图85 分布式拒绝服务攻击8/8/2024238.4.3拒绝服务攻击的防范 用户应随时注意自己网络的通信量。平时我们应健全设备的防范机制 配置防火墙，阻止任何实际不需要的端口上的通信。要求ISPISP协助和合作。必须周期性的审核系统。对所有可能成为目标的主机进行优化，禁止所有不必要的服务。8/8/2024248.5 网络监听与防范 8.5.1 网络监听的工作原理 网络监听是攻击者最常用的一种方法，当信息在网络中进行传播的时候，攻击者可以利用一种工具，将网络接口设置成为监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。8/8/2024258.5 网

14、络 监 听8.5.1 原理通常，在计算机网络上交换的数据结构单位是数据包，而在以太网(Ethernet)中则称为帧。以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。通常只有与数据包中目标地址一致的那台主机才能接收到信息包。网络接口不会识别IP地址。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太帧的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个48位的地址，这个48位的地址是与IP地址相对应的，即一个IP地址对应一个物理地址。8/8/2024268.5.1 原理在Ethernet中填写了物理地址的帧从网络接口(即网卡中)

15、发送出去，并传送到物理线路上。如果局域网是由粗缆(10Base5)或细缆(10Base2)连接的共享式以太网络，那么数字信号在电缆上传输时就能够到达线路上的每台主机。当连接在同一条电缆或交换机上的主机被逻辑地分为几个子网的时候，如果有一台主机处于监听模式，它还可以接收到发向与自己不在同一个子网(使用了不同的掩码、IP地址和网关)的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。在通常的网络环境下，用户的信息(包括口令)都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不难，只要掌握初步的TCP/IP协议知识即可以轻松地监听到所需信息。8/8/2024278.5.2

16、方法(或工具)在Windows环境下，常用的网络监听工具有Netxray和Sniffer pro。在UNIX环境下，常用的监听工具有Sniffit、Snoop、Tcpdump、Dsniff等。下面介绍一下Sniffer pro的使用。在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。具体操作是选择文件菜单选定设置，弹出如图所示的“当前设置”对话框，选择网络适配器。8/8/2024288.5.2 方法(或工具)报文捕获功能可以在报文捕获面板中进行完成，捕获面板如左图所示。在捕获过程中可以通过查看如图3-11所示面板查看捕获报文的数量和缓冲区的利用率，单击Capture

17、菜单，选择capture panel命令，可以打开右图所示面板。8/8/2024298.5.2 方法(或工具)Sniffer软件提供了强大的分析能力和解码功能。如图所示 8/8/2024308.5.2 方法(或工具)1基本捕获条件基本捕获条件有下列两种(如图8-13所示)。8/8/2024318.5.2 方法(或工具)2高级捕获条件在Advanced选项卡中，你可以编辑你的协议捕获条件，如图3-14所示。8/8/2024328.5.2 方法(或工具)3任意捕获条件在Data Pattern选项卡，可以编辑任意捕获条件，如图8-15所示。8/8/2024338.5.3 检测和防护1.对可能存在的

18、网络监听的检测(1)对于被怀疑正在运行监听程序的计算机，用正确的IP地址和错误的物理地址ping，运行监听程序的计算机就会有响应。(2)向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降，通过比较前后该计算机性能就加以判断。(3)使用反监听工具如antisniffer等进行检测。8/8/2024348.5.3 检测和防护2.对网络监听的防范措施 1)从逻辑或物理上对网络分段 2)以交换式集线器代替共享式集线器 3)使用加密技术 4)划分VLAN 8/8/2024358.6 缓冲区溢出8.6.1 原理缓冲区是内存中存放数据的地方。缓冲区

19、是程序运行的时候计算机内存中的一个连续块，它保存了给定类型的数据，随着动态分配变量会出现问题。大多数时候为了不占用太多的内存，一个有动态分配变量的程序在运行时才决定给它分配多少内存。一个缓冲区溢出程序使用这个溢出的数据将汇编语言代码放到计算机的内存里，通常是产生管理员权限的地方。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。8/8/2024368.6.2 攻击方式缓冲区溢出漏洞可以使任何一个有黑客技术的人取得计算机的控制权甚至是最高权限。黑客要达到目的通常要完成两个任务：一是在程序的地址空间里安排适当的代码；二是通过适当的初始化寄存器和存储器，让程序跳转到安排好的地址空间执行。1.在

20、程序的地址空间里安排适当的代码2控制程序转移到攻击代码的形式3植入综合代码和流程控制8/8/2024378.6.3 检测和防护目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响。1强制写正确的代码的方法2通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码3利用编译器的边界检查来实现缓冲区的保护4在程序指针失效前进行完整性检查8/8/2024388.7 木马与安全防范 8.7.1木马的概念 在计算机网络安全中，木马程序是指一种基于远程控制的黑客工具，由两个部份组成：一个是服务器程序，一个是控制器程序。服务器程序驻留在目标计算机中，在目标计算机系统启动的时候自动运行，然后这个服务程序

21、就会在目标计算机上的某一端口进行侦听，为攻击者的控制程序提供服务。若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑，为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就没有安全可言了。8/8/2024398.7.1木马的概念木马程序往往具备以下特点：1 1）隐蔽性 2 2）自动恢复功能 3 3）功能的特殊性 8/8/2024408.7.2 木马的种类 1 1）远程控制型木马 2 2）密码发送型木马 3 3）破坏型木马 4 4）FTPFTP型木马 8/8/2024418.7.3 木马工具冰河 冰河可以实现以下主要功能：1 1）在局域网中能够自动跟踪

22、目标计算机屏幕的变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕。2 2）能够获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。3 3）记录各种口令信息：包括开机口令、屏幕保护口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。4 4）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。5 5）远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件等多项文件操作功能。6 6）限

23、制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。8/8/2024428.7.4 木马的防范 使用网络的时候防范木马侵入计算机的几种方法：1 1）由于杀毒软件一般都能够查杀出现在比较流行木马，所以我们最重要的一件事就是在计算机上安装上杀毒软件，并且启动监控程序，一旦有木马入侵，杀毒软件就会提醒并可以删除掉。不过现在有些开发的木马已经能够逃脱病毒的监测，所以安装上杀毒软件并不是高枕无忧了，还就需要我们在使用网络的时候处处小心。2 2）不要执行来历不明的软件。很多木马都是通过绑定在其它的软件来实现传播的，只要执行了这个被绑定的的软件计算机就会被感染，所以对

24、于从网上下载的软件在安装、使用前一定要用反病毒软件，或者专门查杀木马的软件进行检查，确定无毒了再执行使用。3 3）不要轻易的打开邮箱里的附件或者来自陌生网友传送过来的文件，一些攻击者可以这种欺骗手段将木马伪装成普通的文件，所以在打开这些陌生的文件一定要经过反病毒软件的扫描。4 4）由于一些扩展名为VBS、SHS、PIF的文件大多为木马文件，所以遇到这些扩展名的文件一定要注意，如果不是自己的重要文件千万不要打开，最好立即删除。5 5）上网时最好运行反木马实时监控程序。由于杀毒软件还不能查杀一些木马病毒，所以最好安装专业的木马查杀软件。8/8/2024438.7.5 木马的清除 1 1）“广外女生”的清除 2 2）“冰河”的清除 请参见教材P209P2098/8/2024448.8 邮件炸弹 8.8.1 邮件炸弹的概念 邮件炸弹指的是邮件发送者利用特殊的电子邮件软件，在很短的时间内连续不断地将邮件邮寄给同一个收信人，在这些数以千万计的大容量信件面前收件箱肯定不堪重负，最终导致邮箱不能使用。8/8/2024458.8.2 预防邮件炸弹 使用电子邮箱时应该注意的几点：1 1）采用过滤功能 2 2）使用转信功能 3 3）谨慎使用自动回信功能 4 4）使用专用工具 5 5）向ISPISP求援 6 6）在公共场合注意言行 8/8/202446END