网络攻防实战演练.ppt

1、Click to edit Master title style,Click to edit Master text stylesgood1,Second levelgood2,Third levelgood3,进入我们新的空间,fdq,2010,信息学院,fdq,2010,信息学院,LinYi Normal University,网络连着你我他,Click to edit Master title style,Click to edit Master text stylesgood1,Second levelgood2,Third levelgood3,进入我们新的空间,fdq,2010,

2、信息学院,Click to edit Master title style,Click to edit Master text stylesgood1,Second levelgood2,Third levelgood3,*,*,进入我们新的空间,fdq,2010,信息学院,Click to edit Master title style,Click to edit Master text stylesgood1,Second levelgood2,Third levelgood3,*,*,进入我们新的空间,fdq,2010,信息学院,Click to edit Master title st

3、yle,Click to edit Master text stylesgood1,Second levelgood2,Third levelgood3,*,*,进入我们新的空间,fdq,2010,信息学院,Click to edit Master title style,Click to edit Master text stylesgood1,Second levelgood2,Third levelgood3,*,*,计算机网络,傅德谦,2010.9,网络攻防技术,or,网络侦查与审计技术,网络侦查审计,的三个阶段,侦 查,渗 透,控 制,定位出网络资源的具体情况,检查各种系统的漏洞,控

4、制网络资源、创建账号、修改日志、行使管理员的权限,第一节：侦查阶段,第一节：侦查阶段,本节要点：,描述侦查过程,识别特殊的侦查方法,安装和配置基于网络和基于主机的侦查软件,实施网络级和主机级的安全扫描,配置和实施企业级的网络漏洞扫描器,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。,安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。,安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。,安全扫描的检测技术,基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置

5、发现安全漏洞。,基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。,基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。,基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。,安全扫描系统具有的功能说明,协调了其它的安全设备,使枯燥的系统安全信息易于理解，告诉了你系统发生的事情,跟踪用户进入，在系统中的行为和离开的信息,可以报告和识别文件的改动,纠正系统的错误设置,安全扫描,whois,nslookup,host,Traceroute,Ping,扫描工具,安全扫描常用命令,Traceroute,命令,用于路

6、由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等,可以推测出网络物理布局,判断出响应较慢的节点和数据包在路由过程中的跳数,Traceroute,或者使用极少被其它程序使用的高端,UDP,端口，或者使用,PING,数据包,Traceroute,路由跟踪原理,TTL=1,数据,?TTL,-,10,小于等于,0,ICMP time exceeded,发,IP,包的源地址,IP,包的所有内容,路由器的,IP,地址,A,B,Traceroute,路由跟踪原理,TTL=1,数据,小于等于,0,ICMP time exceeded,发,IP,包的源地址,IP,包的所有内容,路由器的,IP

7、地址,A,B,我知道路由器,A,存在于这个路径上,路由器,A,的,IP,地址,B,Traceroute,路由跟踪原理,A,我知道路由器,A,存在于这个路径上,路由器,A,的,IP,地址,TTL=2,数据,?TTL,-,10,2-1=10,TTL=1,数据,小于等于,0,ICMP time exceeded,发,IP,包的源地址,IP,包的所有内容,路由器的,IP,地址,?TTL,-,10,我知道路由器,B,存在于这个路径上,路由器,B,的,IP,地址,B,Traceroute,路由跟踪原理,A,我知道路由器,A,存在于这个路径上,路由器,A,的,IP,地址,TTL=3,数据,?TTL,-,1

8、0,3-1=20,TTL=2,数据,我知道路由器,B,存在于这个路径上,路由器,B,的,IP,地址,?TTL,-,10,2-1=10,TTL=1,数据,port number,是一个一般应用程序都不会用的号码（,30000,以上），所以当此数据包 到达目的地后该主机会送回一个,ICMP port unreachable,的消息，而当源主机收到这个消息时，便知道目的地已经到达了。,ICMP port unreachable,我到达了目的地,普通,Traceroute,到防火墙后的主机,假定防火墙的规则阻止除,PING,和,PING,响应（,ICMP,类型,8,和,0,）,uniwistracer

9、oute,traceroute to (210.106.0.105),30 hops max,40 byte packets,1 10.0.0.1(10.0.0.1)0.540 ms 0.394 ms 0.397 ms,2 202.106.0.2(202.106.0.2)2.455 ms 2.479 ms 2.512 ms,3 61.109.101.34(61.109.101.34)4.812 ms 4.780 ms 4.747 ms,4 130.10.52.4(130.10.52.4)5.010 ms 4.903 ms 4.980 ms,5 134.202.31.115(134.202.31

10、115)5.520 ms 5.809 ms 6.061 ms,6 212.36.70.16(134.202.31.115)9.584 ms 21.754 ms 20.530 ms,7 202.99.46.7(202.99.46.7)94.127 ms 81.764 ms 96.476 ms,8 202.99.44.76(202.99.44.76)96.012 ms 98.224 ms 99.312 ms,使用,ICMP,数据包后,Traceroute,结果,xuyitraceroute-I,traceroute to (210.106.0.105),30 hops max,40 byte p

11、ackets,1 10.0.0.1(10.0.0.1)0.540 ms 0.394 ms 0.397 ms,2 202.106.0.2(202.106.0.2)2.455 ms 2.479 ms 2.512 ms,3 61.109.101.34(61.109.101.34)4.812 ms 4.780 ms 4.747 ms,4 130.10.52.4(130.10.52.4)5.010 ms 4.903 ms 4.980 ms,5 134.202.31.115(134.202.31.115)5.520 ms 5.809 ms 6.061 ms,6 212.36.70.16(134.202.3

12、1.115)9.584 ms 21.754 ms 20.530 ms,7 202.99.46.7(202.99.46.7)94.127 ms 81.764 ms 96.476 ms,8 202.99.44.76(202.99.44.76)96.012 ms 98.224 ms 99.312 ms,使用,ICMP,的,Traceroute,原理,由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端口为其接受的端口，就可以绕过防火墙到达目标主机。,起始端口号计算公式,起始端口号,=(,目标端口,-,两机间的跳数*探测数据包数,)-1,例：防火墙允许,FTP,数据包通过，即开放了,21,

13、号端口,两机间跳数为,2,起始端口号（,ftp,端口两机间的跳数*默认的每轮跳数,),1,（,21,2*3,）,-1,15,1,14,扫描类型,按照获得结果分类,存活性扫描,端口扫描,系统堆栈扫描,按照攻击者角色分类,主动扫描,被动扫描,一、存活性扫描,发送扫描数据包，等待对方的回应数据包,其最终结果并不一定准确，依赖于网络边界设备的过滤策略,最常用的探测包是,ICMP,数据包,例如发送方发送,ICMP Echo Request,，期待对方返回,ICMP Echo Reply,Ping,扫描作用及工具,子网,192.168.1.16,192.168.1.18,192.168.1.10,192.

14、168.1.12,192.168.1.14,结果,192.168.1.10,192.168.1.12,192.168.1.14,192.168.1.16,192.168.1.18,Ping,扫描,Ping,扫描程序能自动扫描你所指定的,IP,地址范围,二、端口扫描,端口扫描不仅可以返回,IP,地址，还可以发现目标系统上活动的,UDP,和,TCP,端口,Netscan tools,扫描结果,端口扫描技术一览,探测分段，指向某一端口,回应分段,对回应分段进行分析,对,SYN,分段的回应,对,FIN,分段的回应,对,ACK,分段的回应,对,Xmas,分段的回应,对,Null,分段的回应,对,RST,

15、分段的回应,对,UDP,数据报的回应,端口扫描原理,一个端口就是一个潜在的通信通道，即入侵通道,对目标计算机进行端口扫描，得到有用的信息,扫描的方法：,手工进行扫描,端口扫描软件,OSI,参考模型,Application,Presentation,Session,Transport,Network,Data Link,Physical,Data Link,Network,Transport,Session,Presentation,Application,Physical,比特流,帧（,Frame,）,包（,Packet,）,分段（,Segment,）,会话流,代码流,数据,TCP/IP,协议

16、簇,传输层,数据连路层,网络层,物理层,应用层,会话层,表示层,应用层,传输层,网络层,物理层,HTTP,、,FTP,、,SMTP,、,SNMP,、,POP,、,TELNET,、,RIP,、,NNTP,等,TCP,和,UDP,IP,、,ICMP,、,IGMP,、,ARP,、,RARP,等,IP,协议包头,VER,HDR.LTH,SERVICE,DATADRAM LENGTH,DATAGRAM IDENTIFICATION,FLAGS,FRAGMENT OFFSET,TTL,PROTOCOL,HEADER CHECKSUM,SOURCE ADDRESS,DESTINATION ADDRESS,O

17、PTIONS,0,15,16,31,ICMP,协议包头,Type(,类型,),Code,（代码）,Checksum,（校验和）,ICMP Content,0,7,8,15,16,31,TCP,协议包头,Source port(16),Destination port(16),Sequence number(32),Headerlength(4),Acknowledgement number(32),Reserved(6),Code bits(6),Window(16),Checksum(16),Urgent(16),Options(0 or 32 if any),Data(varies),Bi

18、t 0,Bit 15,Bit 16,Bit 31,20 bytes,UDP,协议包头,Source Port,Length,0,15,16,31,Data,Destination Port,Checksum,TCP,三次握手机制,SYN received,主机,A,：客户端,主机,B,：服务端,发送,TCP SYN,分段,(seq=100 ctl=SYN),1,发送,TCP SYN&ACK,分段,(seq=300 ack=101 ctl=syn,ack),SYN received,2,Established,(seq=101 ack=301 ctl=ack),3,TCP,连接的终止,主机,A,

19、客户端,主机,B,：服务端,1,发送,TCP FIN,分段,2,发送,TCP ACK,分段,3,发送,TCP FIN,分段,4,发送,TCP ACK,分段,关闭,A,到,B,的连接,关闭,B,到,A,的连接,TCP/IP,相关问题,一个,TCP,头包含,6,个标志位。它们的意义如下所述：,SYN,：标志位用来建立连接，让连接双方同步序列号。如果,SYN,1,而,ACK=0,，则表示该数据包为连接请求，如果,SYN=1,而,ACK=1,则表示接受连接；,FIN,：表示发送端已经没有数据要求传输了，希望释放连接；,RST,：用来复位一个连接。,RST,标志置位的数据包称为复位包。一般情况下，如果

20、TCP,收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包；,URG,：为紧急数据标志。如果它为,1,，表示本数据包中包含紧急数据。此时紧急数据指针有效；,ACK,：为确认标志位。如果为,1,，表示包中的确认号时有效的。否则，包中的确认号无效；,PSH,：如果置位，接收端应尽快把数据传送给应用层。,大部分,TCP/IP,遵循的原则,(1),SYN,数据包,监听的端口,SYN,|,ACK,正常的三次握手开始,大部分,TCP/IP,遵循的原则,(2),SYN,或者,FIN,数据包,关闭的端口,RST,数据包,丢弃数据包,大部分,TCP/IP,遵循的原则,(3),RST,数据

21、包,监听的端口,丢弃,RST,数据包,大部分,TCP/IP,遵循的原则,(4),包含,ACK,的,数据包,监听的端口,RST,数据包,丢弃数据包,大部分,TCP/IP,遵循的原则,(5),SYN,位关闭的,数据包,监听的端口,丢弃数据包,大部分,TCP/IP,遵循的原则,(6),FIN,数据包,监听的端口,丢弃数据包,端口扫描方式,全,TCP,连接,TCP SYN,扫描,TCP FIN,扫描,其它,TCP,扫描方式,UDP,扫描,UDP recvfrom,（）和,write,（）扫描,秘密扫描技术,间接扫描,全,TCP,连接,长期以来,TCP,端口扫描的基础,扫描主机尝试（使用三次握手）与目的

22、机指定端口建立建立正规的连接,连接由系统调用,connect(),开始,对于每一个监听端口，,connect(),会获得成功，否则返回,1,，表示端口不可访问,很容易被检测出来,Courtney,Gabriel,和,TCP,Wrapper,监测程序通常用来进行监测。另外，,TCP,Wrapper,可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。,TCP,SYN,扫描,TCP SYN,分段，指向某端口,？,该端口开放么？,开放,TCP SYN&ACK,分段,不开放,TCP RST,分段,收到什么分段？,？,TCP RST,TCP SYN&ACK,TCPFIN,扫描,TCP F

23、IN,分段，指向某端口,？,该端口开放么？,开放,不开放,TCP RST,分段,收到什么分段？,？,TCP RST,没有收到分段,其他,TCP,扫描方式,NULL,扫描,发送一个没有任何标志位的,TCP,包，根据,RFC 793,，如果目标主机的相应端口是关闭的话，应该发送回一个,RST,数据包,向目标主机发送一个,FIN,、,URG,和,PUSH,分组，根据,RFC 793,，如果目标主机的相应端口是关闭的，那么应该返回一个,RST,标志,当一个包含,ACK,的数据包到达目标主机的监听端口时，数据包被丢弃，同时发送一个,RST,数据包,ACK,扫描,FIN+URG+PUSH,（,Xmas,扫

24、描）,UDP,扫描,使用的是,UDP,协议，扫描变得相对比较困难,打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。然而，许多主机在向未打开的,UDP,端口发送数据包时，会返回一个,ICMP_PORT_UNREACHABLE,错误，即类型为,3,、代码为,13,的,ICMP,消息,UDP,和,ICMP,错误都不保证能到达，因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输,这种扫描方法是很慢的，因为,RFC,对,ICMP,错误消息的产生速率做了规定,这种扫描方法需要具有,root,权限,UDP,recvfrom(),和,write(),扫描,当非,root

25、用户不能直接读到端口不能到达错误时，某些系统如,Linux,能间接地在它们到达时通知用户。,在非阻塞的,UDP,套接字上调用,recvfrom(),时，如果,ICMP,出错还没有到达时回返回,AGAIN,重试。如果,ICMP,到达时，返回,CONNECT REFUSED,连接被拒绝。这就是用来查看端口是否打开的技术。,对一个关闭的端口的第二个,write(),调用将失败。,秘密扫描技术,不含标准,TCP,三次握手协议的任何部分，比,SYN,扫描隐蔽得多,FIN,数据包能够通过只监测,SYN,包的包过滤器,秘密扫描技术使用,FIN,数据包来探听端口,Xmas,和,Null,扫描秘密扫描的两个变

26、种,Xmas,扫描打开,FIN,，,URG,和,PUSH,标记,而,Null,扫描关闭所有标记。这些组合的目的是为了通过所谓的,FIN,标记监测器的过滤,秘密扫描通常适用于,UNIX,目标主机,跟,SYN,扫描类似，秘密扫描也需要自己构造,IP,包,间接扫描,利用第三方的,IP,（欺骗主机）来隐藏真正扫描者的,IP,假定参与扫描过程的主机为扫描机，隐藏机，目标机。,扫描机和目标机的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送任何数据包（除了与扫描有关的包）,端口扫描软件,端口扫描器是黑客最常使用的工具,单独使用的端口扫描工具,集成的扫描工具,三、系统堆栈指纹扫

27、描,利用,TCP/IP,来识别不同的操作系统和服务,向系统发送各种特殊的包，根据系统对包回应的差别，推断出操作系统的种类,堆栈指纹程序利用的部分特征,ICMP,错误信息抑制,服务类型值,(TOS),TCP/IP,选项,对,SYN FLOOD,的抵抗力,TCP,初始窗口,堆栈指纹的应用,利用,FIN,探测,利用,TCP ISN,采样,使用,TCP,的初始化窗口,ICMP,消息抑制机制,ICMP,错误引用机制,ToS,字段的设置,DF,位的设置,ICMP,错误信息回显完整性,TCP,选项,ACK,值,利用,FIN,标记探测,FIN,的包（或者是任何没有,ACK,或,SYN,标记的包）,开放端口,是

28、否是,MS-WINDOWS,，,BSDI,，,CISCO,，,HP/UX,，,MVS,和,IRIX,系统,RESET,是,否,利用,BOGUS,标记探测,SYN,包（含有没有定义的,TCP,标记的,TCP,头）,开放端口,是否是,LINUX,系统,包含这个没有定义的标记的数据包,是,否,关闭连接,使用,TCP,的初始化窗口,简单地检查返回包里包含的窗口长度。根据各个操作系统的不同的初始化窗口大小来唯一确定操作系统类型：,注：,TCP,使用滑动窗口为两台主机间传送缓冲数据。每台,TCP/IP,主机支持两个滑动窗口，一个用于接收数据，另一个用于发送数据。窗口尺寸表示计算机可以缓冲的数据量大小。,N

29、MAP,工具,功能强大、不断升级并且免费,对网络的侦查十分有效,它具有非常灵活的,TCP/IP,堆栈指纹引擎,它可以穿透网络边缘的安全设备,注：,NMAP,穿透防火墙的一种方法是利用碎片扫描技术（,fragment scans,），你可以发送隐秘的,FIN,包（,-sF,），,Xmas tree,包（,-sX,）或,NULL,包（,-sN,）。这些选项允许你将,TCP,查询分割成片断从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。,四、其它扫描,共享扫描软件,使用,Telnet,使用,SNMP,认证扫描,代理扫描,社会工程,共享扫描软件,提供了允许审计人员扫描,Windows,网络

30、共享的功能,只能侦查出共享名称，但不会入侵共享,Ping Pro,RedButton,共享扫描软件,子网,192.168.1.16,192.168.1.10,结果,192.168.1.10,：,home,，,data,192.168.1.16,：,files,，,apps,共享扫描,共享目录,Files,apps,共享目录,home,data,使用,Telnet,是远程登录系统进行管理的程序,可以利用,Telnet,客户端程序连接到其它端口，从返回的报错中获得需要的系统信息,使用,SNMP,SNMPv1,最普通但也最不安全,它使用弱的校验机制,用明文发送,community name,SNMP

31、信息暴露,企业级的扫描工具,扫描等级,配置文件和策略,报告功能,报告风险等级,Axcent BetRecon,Finger,服务漏洞；,GameOver,（远程管理访问攻击）,未授权注销禁止,服务漏洞，包括,SMTP,、,DNS,、,FTP,、,HTTP,、,SOCKS,代理和低的,sendmail,补丁等级,企业级的扫描工具,Network Associates CyberCop Scanner,是,Network Associates,的产品，象,NetRecon,一样，,CyberCop Scanner,是一个主机级别的审计程序。也把各种漏洞分类为低、中、高三个等级,提 示：,Cybe

32、rCop Monitor,不是网络扫描器，它是入侵监测系统程序，能够对黑客活动进行监视，提供报警功能，还能惩罚黑客。,企业级的扫描工具,WebTrends Security Analyzer,与,UNIX,搭配使用多年,操作界面也简单易用,Internet Security Systems,的扫描产品,ISS Internet Scanner,有三个模块：,intranet,，,firewall,和,Web,服务器,程序的策略是希望将网络活动分类，并针对每种活动提供一种扫描方案,ISS Security Scanner,基于主机的扫描程序,社会工程,电话访问欺骗,信任欺骗,教 育,电话访问,一

33、位新的职员寻求帮助，试图找到在计算机上完成某个特定任务的方法,一位愤怒的经理打电话给下级，因为他的口令突然失效,一位系统管理员打电话给一名职员，需要修补它的账号，而这需要使用它的口令,一位新雇佣的远程管理员打电话给公司，询问安全系统的配置资料,一位客户打电话给供应商，询问公司的新计划，发展方向和公司主要负责人,信任欺骗,当电话社交工程失败的时候，攻击者可能展开长达数月的信任欺骗,典型情况,通过熟人介绍，来一次四人晚餐,可以隐藏自己的身份，通过网络聊天或者是电子邮件与之结识,伪装成工程技术人员骗取别人回复信件，泄漏有价值的信息,一般说来，有魅力的异性通常是最可怕的信任欺骗者，不过不论对于男性还是

34、女性，女性总是更容易令人信任,防范措施,教 育,网络安全中人是薄弱的一环,作为安全管理人员，避免员工成为侦查工具的最好方法是对他们进行教育。,提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。,扫描目标,网络级别的信息,信 息,描 述,网络拓扑,安全审计人员首先应当搞清楚网络的类型（以太网，令牌环等等），,IP,地址范围，子网和其它网络信息。配线架的位置也很重要。作为安全管理人员，你的目标是利用防火墙、代理服务器等设备保护这些信息。,路由器和交换机,掌握路由器和交换机的种类对分析网络安全十分重要，你可以是路由器泄漏信息。,防火墙种类,大多数的网络都有防火墙。如

35、果你能够访问防火墙，便可以侦查它并寻找相应的漏洞。,IP,服务,最基本的服务包括,DHCP,，,BOOTP,，,WINS,，,SAMBA,，和,DNS,。,DNS,服务特别容易遭受缓冲区溢出的攻击。,Modem,池,也许最流行的绕过防火墙是做法是通过,modem,连接再附以,Man-in-the-middle,攻击和包捕获。,War dialer,是在,Internet,上寻找网络连接的重要的审计工具。,扫描目标,主机级别的信息,信 息,描 述,活动端口,你应该了解服务器上有那些端口是活动的。,HTTP,和,FTP,服务是最容易遭受端口扫描的服务，而且黑客会进一步实施缓冲区溢出攻击。,数据库,

36、数据库类型（例如,Oracle,Microsoft SQL Server,和,IBM DB2,），物理位置和应用协议都很有价值。,服务器,服务器类型是非常有价值的信息。一旦你确定了服务器的种类是,Microsoft,或,UNIX,，便可以有针对性的利用系统的缺省设置和补丁侦查登录账户名称，弱口令和低的补丁等级。,安全扫描技术的发展趋势,使用插件（,plugin,）或者叫功能模块技术,使用专用脚本语言,由安全扫描程序到安全评估专家系统,对网络进行安全评估,DMZ,E-Mail File Transfer,HTTP,Intranet,生产部,工程部,市场部,人事部,路由,Internet,中继,安

37、全弱点扫描,通讯,&,应用服务层,可适应性安全弱点监测和响应,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,安全弱点扫描,操作系统层,对于,DMZ,区域的检测,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,应用程序层,安全弱点扫描,第二节：渗透阶段,重点内容：服务器渗透与攻击技术,本节要点：,讨论渗透策略和手法,列举潜在的物理、操作系统和,TCP/IP,堆栈攻击,识别和分析暴力攻击、社会工

38、程和拒绝服务攻击,实施反渗透和攻击的方法,入侵和攻击的范畴,在,Internet,上,在局域网上,本地,离线,2025/1/1 周三,75,在,Internet,上,协作攻击：,Internet,允许全世界范围的连接，这很容易使来自全世界的人们在一个攻击中进行合作参与。,会话劫持：在合法的用户得到鉴别可以访问后，攻击者接管一个现存动态会话的过程。,欺骗：欺骗是一种模仿或采取不是自己身份的行为。,转播：是攻击者通过第三方的机器转播或反射他的通信，这样攻击就好象来自第三方的机器而不是他。,特洛伊木马或病毒：特洛伊木马的常见用途是安装后门。,在局域网上,嗅探流量：观察网络上所有流量的被动攻击。,广播

39、攻击者发送一个信息包到广播地址，以达到产生大量流量的目的。,文件访问：通过找到用户标识和口令，可以对文件进行访问。,远程控制：通过安装木马实现对机器的远程控制。,应用抢劫：接收应用并且达到非授权访问。,在本地,旁侧偷看,未上锁的终端,被写下的口令,拔掉机器,本地登录,离线,下载口令文件,下载加密的文本,复制大量的数据,常见的攻击方法,1.,欺骗攻击,(Spoofing),3.,拒绝服务,(Denial of Service),攻击,2.,中间人攻击,(Man-in-the-Middle Attacks),4.,缓冲区溢出（,Buffer Overflow,）攻击,5.,后门和漏洞攻击,6.,

40、暴力破解攻击,容易遭受攻击的目标,路由器,数据库,邮件服务,名称服务,Web,和,FTP,服务器,和与协议相关的服务,一、欺骗技术,电子邮件欺骗,修改邮件客户软件的帐户配置,通过使用网络报文窃听以及路由和传输协议进行这种攻击。主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息。,Man-in-the-Middle Attacks,原理,二、中间人攻击,(Man-in-the-Middle Attacks),报文窃听,(Packet Sniffers),数据包篡改,(Packet alte

41、ration),重放攻击（,Replay attack,）,会话劫持,(Session hijacking),中间人攻击的类型,报文窃听是一种软件应用，该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。,可以轻易通过解码工具（,sniffers/netxray,等）获得敏感信息（用户密码等）。,报文窃听,(Packet Sniffers),报文窃听,(Packet Sniffers),实例分析,用交换机来替代,HUB,，可以减少危害。,防窃听工具：使用专门检测网络上窃听使用情况的软件与硬件。,加密：采用,IP Security(IPSec),、,Secure Shell

42、SSH),、,Secure Sockets Layer(SSL),等技术。,验证,(Authentication),：采用一次性密码技术,(one-time-passwords OTPs),Packet Sniffers,窃听防范,数据包篡改,(Packet alteration),对捕获的数据包内容进行篡改，以达到攻击者的目的,更改数据包的校验和及头部信息，为进一步攻击 做准备,攻击者截获了一次远程主机登录过程后，选择适当的时机对该登录过程进行重放，以进入远程主机。,重放攻击（,R,eplay attack,）,会话劫持,(session hijacking),关于,TCP,协议的序列号,

43、阻断正常会话,三、,DOS,攻击,DoS,（,Deny Of Service,）就是攻击者通过使你的网络设备崩溃或把它压跨（网络资源耗尽）来阻止合法用户获得网络服务，,DOS,是最容易实施的攻击行为。,DoS,攻击主要是利用了,TCP/IP,协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的实现缺陷。,DoS,的技术分类,典型,DOS,攻击,Ping of Death,Ping of Death,范例,IP,数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现,TearDrop,攻击。第一个包的偏移量为,0,，长度为,N,，第二个包的偏移量小于,

44、N,。为了合并这些数据段，,TCP/IP,堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。,泪滴,(teardrop),攻击一,Teardrop,攻击原理：,受影响的系统：,Linux/Windows NT/95,攻击特征：攻击过程简单，发送一些,IP,分片异常的数据包。,防范措施：,泪滴,(teardrop),攻击二,服务器升级最新的服务包,设置防火墙时对分片进行重组，而不是转发它们。,UDP,洪水,(UDP flood),Fraggle,攻击,发送畸形,UDP,碎片，使得被攻击者在重组过程中发生未加预料的错误,典型的,Fraggle,攻击,碎片偏移位的错乱,强制发送

45、超大数据包,纯粹的资源消耗,阻止,IP,碎片攻击,Windows,系统请打上最新的,Service Pack,，目前的,Linux,内核已经不受影响。,如果可能，在网络边界上禁止碎片包通过，或者用,iptables,限制每秒通过碎片包的数目。,如果防火墙有重组碎片的功能，请确保自身的算法没有问题，否则,DoS,就会影响整个网络,Windows 2000,系统中，自定义,IP,安全策略，设置,“,碎片检查,”,TCP SYN flood,剖析,SYN Flood,攻击,TCP SYN,分段,伪造,Source IP,x,TCP SYN/ACK,分段,IP,x,不断发送大量伪造的,TCP SYN,

46、分段,最多可打开的半开连接数量,超时等待时间,等待期内的重试次数,X,半开连接缓冲区溢出,TCP SYN Flood,攻击过程示例,对,SYN Flood,攻击的防御,对,SYN Flood,攻击的几种简单解决方法,缩短,SYN Timeout,时间,SYN Flood,攻击的效果取决于服务器上保持的,SYN,半连接数，这个值等于,SYN,攻击的频度,x SYN Timeout,，所以通过缩短从接收到,SYN,报文到确定这个报文无效并丢弃改连接的时间,设置,SYN Cookie,给每一个请求连接的,IP,地址分配一个,Cookie,，如果短时间内连续受到某个,IP,的重复,SYN,报文，就认定

47、是受到了攻击，以后从这个,IP,地址来的包会被一概丢弃,增强,Windows 2000,对,SYN Flood,的防御,打开,regedit,，找到,HKEY_LOCAL_MACHINESystem CurrentControlSetServicesTcpipParameters,增加一个,SynAttackProtect,的键值，类型为,REG_DWORD,，取值范围是,0-2,，这个值决定了系统受到,SYN,攻击时采取的保护措施，包括减少系统,SYN+ACK,的重试的次数等，默认值是,0,（没有任何保护措施），推荐设置是,2,。,增强,Windows 2000,对,SYN Flood,的防

48、御,增加一个,TcpMaxHalfOpen,的键值，类型为,REG_DWORD,，取值范围是,100-0 xFFFF,，这个值是系统允许同时打开的半连接，默认情况下,WIN2K PRO,和,SERVER,是,100,，,ADVANCED SERVER,是,500,，这个值取决于服务器,TCP,负荷的状况和可能受到的攻击强度。,增加一个,TcpMaxHalfOpenRetried,的键值，类型为,REG_DWORD,，取值范围是,80-0 xFFFF,，默认情况下,WIN2K PRO,和,SERVER,是,80,，,ADVANCED SERVER,是,400,，这个值决定了在什么情况下系统会打开

49、SYN,攻击保护。,Smurf,攻击,Smurf,攻击示意图,Smurf,攻击,Smurf,攻击的防止措施,Land,攻击,电子邮件炸弹,分布式拒绝服务,(Distributed Denial of Service),DDoS,攻击原理,黑客侵入并控制了很多台电脑，并使它们一起向主机发动,DoS,攻击，主机很快陷于瘫痪，这就是分布式拒绝服务攻击,DDoS,（,Distributed Denial Of Service,）。,分布式拒绝服务攻击网络结构图,三层模型,DDoS,攻击过程,DDoS,攻击使用的常用工具,TFN(Tribe Flood Network),Trinoo,Stacheld

50、raht,TFN2K,TFN,是由著名黑客,Mixter,编写的，是第一个公开的,UnixDDoS,工具。由主控端程序和客户端 程序两部分组成。它主要采取的攻击方法为：,SYN,风暴、,Ping,风暴、,UDP,炸弹和,SMURF,，具有伪造数据包的能力。,TFN(Tribe Flood Network),TFN2K,是由,TFN,发展而来的，在,TFN,所具有的特性上，,TFN2K,又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而,TFN,对,ICMP,的通讯没有加密。攻击方法增加了,Mix,和,Targa3,。并且,TFN2K,可配置的代理端进程