网络安全与管理第3章课件(1).ppt

1、网络安全与管理第第3章章 网络攻击与防范网络攻击与防范 知识目标 理解网络攻击的概念和技术 掌握端口的概念、端口扫描的原理和防范方法 掌握网络监听的概念、原理和防范方法 掌握Web欺骗、DNS欺骗、IP欺骗和ARP欺骗的概念、原理和相关方法 掌握缓冲区溢出和拒绝服务攻击的概念、原理和防范方法 理解分布式拒绝服务攻击的概念和原理 掌握电子邮件攻击的原理和防范方法 掌握木马的概念、原理、防范与清除方法 技能目标 掌握网络攻击的一般步骤 了解端口扫描工具和网络监听工具的使用方法 了解缓冲区溢出攻击的过程 掌握黑客攻击的一般过程和攻击方法3.1 网络攻击的概念网络攻击的概念3.1.1 什么是网络攻击什

2、么是网络攻击“攻击”是指任何非授权的行为，范围从简单的使服务器无法正常工作到完全破坏或控制服务器。网络攻击主要是通过对信息收集、分析、整理后，利用目标系统的漏洞，有针对性地对目标系统（服务器、网络设备与安全设备）进行资源入侵与破坏、机密信息窃取、监视与控制等的活动。3.1.2 网络攻击的技术网络攻击的技术 常见的网络攻击技术包括：端口扫描、网络监听、各种网络欺骗、缓冲区溢出、拒绝式服务、病毒、电子邮件攻击。3.1.3 网络攻击的步骤网络攻击的步骤 进行一次成功的网络攻击，一般要经过以下5个步骤：（1）隐藏自己的位置。（2）寻找并分析目标主机。（3）获得账号和密码，登录目标主机。（4）获得目标主

3、机的控制权。（5）窃取网络资源和特权。3.2 端口扫描端口扫描3.2.1 端口的概念端口的概念 在网络技术中，端口有两种含义：第一种是物理意义上的端口，是指连接其他网络设备的接口，如集线器、交换机、路由器、网卡的端口。第二种是逻辑意义上的端口，一般是指TCP/IP中的端口。3.2.2 端口扫描的原理端口扫描的原理 端口扫描是指通过检测远程或本地系统来判断目标主机的端口开放情况及提供的服务和它们的软件版本，以便了解主机所存在的安全问题。其原理是向目标主机的某些端口发送数据包进行探测，并根据目标端口的响应确定哪些端口是开放的。3.2.3 端口扫描工具端口扫描工具 端口扫描工具又称为扫描器，是一种自

4、动检测远程或本地主机安全性缺陷或漏洞的程序。常用的端口扫描工具有以下几种:1.SuperScan 2.HostScan 3.X-Scan3.2.4 端口扫描的防范端口扫描的防范 扫描一般是攻击者对目标主机发起攻击的重要一步。通过扫描可以获取目标主机的有用信息，发掘出系统存在的漏洞和弱点。为了降低主机被攻击的风险，应该从以下几个方面进行防范：（1）关闭所有闲置和潜在威胁的端口。（2）安装防火墙、入侵检测系统等安全软件。（3）修正系统和网络，使其暴露尽可能少的信息。3.3 网络监听网络监听3.3.1 网络监听的概念网络监听的概念 网络监听，也称为网络嗅探，主要工作在网络的底层，通过在互相通信的两台

5、计算机之间利用技术手段插入一台可以接收并记录通信内容的设备，最终实现对通信双方的数据记录。由于网络监听的“被动性”和“非干扰”性，使得网络监听具有很强的隐蔽性，让网络信息泄密变得不容易发现。网络监听可以在网上的任何位置实施，如网关、路由器、远程网的调制解调器或者网络中的某一台主机等。嗅探器（sniffer）嗅探器是一类用于捕获网络报文的软件。它可以用来进行网络流量分析，以找出网络中潜在的问题。当一段网络运行不好，速度较慢而又找不出问题所在时，用sniffer往往可以作出精确的判断。sniffer具有捕获网络报文的功能，也可以被黑客用来捕获网络中传输的用户口令、金融账号、机密或敏感数据、专用数据

6、和低级协议信息等。提示：sniffer与一般键盘捕获程序不同，键盘捕获程序捕获在终端上输入的键值，而嗅探器捕获的则是真实的网络报文。3.3.2 网络监听的原理网络监听的原理 为了对网络监听的原理有一个深入的了解，首先介绍一下网卡、局域网及sniffer的工作原理。1.网卡的工作原理网卡的工作原理 网卡是主机用来接收网络数据的物理设备。当网卡收到传输来的数据时，网卡内的程序先接收数据头的目的MAC地址，然后根据计算机上的网卡驱动程序设置的接收模式判断该不该接收。若认为应该接收，就在接收后产生中断信号通知CPU，CPU得到中断信号产生中断，操作系统就根据程序中设置的网卡中断程序地址调用驱动程序接收

7、数据，驱动程序接收数据后放入信号堆栈让操作系统处理；若认为不该接收，则丢弃不管。2.局域网的工作原理局域网的工作原理 数据在数据链路层以帧为单位进行传输。传输数据时，包含MAC地址的帧从网络接口（网卡）发送到网线上，到达目的主机的网络接口时，正常情况下，网络接口读入数据帧，并进行检查，如果数据帧中携带的MAC地址是自己的MAC地址或者广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃，所以不该接收的数据在网卡处就被截断了，计算机根本不知道。3.sniffer的工作原理的工作原理 sniffer要捕获的报文必须是物理信号能收到的数据信息。在以太网中，根据连接的网络设备不同

8、，可分为共享式网络和交换式网络。1）共享式网络中的嗅探器 网卡对数据包的处理过程2）交换式网络上的sniffer 地址欺骗的过程示意图3.3.3 网络监听的工具网络监听的工具 使用嗅探器能够帮助管理员检查和解决在本地计算机上遇到的一些网络问题。常见的嗅探器有以下几种:1.Sniffer Pro 2.Windump3.3.4 网络监听的防范网络监听的防范 1规划网络 2.采用加密通信 3.监测sniffer3.4 网络欺骗网络欺骗网络欺骗是指攻击者通过伪造自己在网络上的身份，从而得到目标主机或网络的访问权限。目前，针对TCP/IP的欺骗技术有很多种，包括Web欺骗、IP欺骗、DNS欺骗和ARP欺

9、骗等。3.4.1 Web欺骗欺骗 Web欺骗是一种电子信息欺骗，攻击者建立一个令人信服但完全错误的Web站点的“复制”，这个Web站点复制看起来十分逼真，它具有原网页几乎所有的网页元素。然而，攻击者控制着这个Web站点复制，这样被攻击者的浏览器和真正的Web站点之间的所有网络信息都被攻击者所截获。Web欺骗之所以能够成功，其关键是攻击者打断了被攻击主机到Web服务器之间的正常连接，并建立一条从被攻击主机到攻击主机再到Web服务器的连接。为了建立起这样的中间Web服务器，攻击者常常采用如下形式的欺骗。1.使用相似的使用相似的URL 攻击者可以注册一个与目标公司或组织相似的域名，然后建立一个欺骗网

10、站，骗取该公司的用户的信任，以便得到这些用户的信息。2.改写改写URL 通常，一个网页有若干个超链接，通过这些超链接可以访问其他的网页。一个具有超链接的Web页面从Web服务器到浏览器的传输过程中，如果其中的内容被修改了的话，欺骗就会发生，其中最重要的就是改写URL，即攻击者改写网页上的URL链接，把用户指向或重定向到攻击者控制的主机。3.会话劫持会话劫持 会话劫持，就是在一次正常的通信过程中，攻击者作为第三方参与到其中，或者是在数据流（如基于TCP的会话）中注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成有攻击者。这是一种结合了嗅探和欺骗技术在内的攻击手段。会话劫持过程Web

11、欺骗的解决方法1.短期的解决方法短期的解决方法（1）禁止浏览器执行网页中的JavaScript程序，这样各类改写信息将原形毕露。（2）确保浏览器的连接状态是可见的，它将提供当前位置的各类信息。（3）确保浏览器的连接状态栏是可见的，并时刻注意即将打开的网页的URL在状态栏中是否能够正确地显示。（4）养成从地址栏中输入网址来实现浏览所有网站的好习惯。2.长期的解决方法长期的解决方法（1）改变浏览器的设置，使之具有反映真实URL信息的功能，而不会被虚假的Web站点所蒙蔽。（2）对于通过安全连接建立的Web浏览器对话，浏览器还应该将通信双方的IP地址、MAC地址等相关信息显示出来，而不只是显示安全连接

12、状态。（3）对于所传输的内容进行加密，这样除了接收者之外无人可以读懂。3.4.2 DNS欺骗欺骗 域名系统（domain name system，DNS）是一种用于TCP/IP应用程序的分布式数据库，采用客户机/服务器的模式，由解析器和域名服务器组成。域名服务器是指保存有该网络中所有主机的域名和对应的地址，并具有将网络域名转换为IP地址功能的服务器。1.DNS的工作原理的工作原理 DNS工作过程2.DNS欺骗欺骗 DNS欺骗的思想是：让DNS服务器的缓存中存有错误的IP地址，即在DNS缓存中放一个伪造的缓存记录。为此，攻击者需要先伪造一个用户的DNS请求，然后再伪造一个查询应答。DNS欺骗的防

13、范 对用户来说，可以从两方面进行防范：（1）尽量少用域名，而是直接用IP地址来访问网站，这样可以避开DNS欺骗攻击。（2）加密所有对外的数据流，对服务器来说尽量使用SSH之类的有加密支持的协议，一般用户可以使用PGP之类的软件加密所有发到网络上的数据。3.4.3 IP欺骗欺骗 所谓IP欺骗是指入侵者使用一台计算机上网，而借用另外一台主机的IP地址，从而冒充另外一台主机与服务器通信，以达到蒙混过关的目的。被冒充的主机往往具有某种特权或被服务器所信任，这也是入侵者进行IP欺骗的关键。1.IP欺骗的步骤欺骗的步骤 一般进行一次IP欺骗需要经过以下步骤：（1）确定攻击目标。（2）使被信任主机的网络暂时

14、瘫痪，以免对攻击造成干扰。（3）连接到目标主机的某个端口来猜测来自目标主机的初始序列号（initial sequence number，ISN）。（4）冒充被信任的主机，并发送带有SYN（TCP/IP建立连接时使用的握手信号）标志的数据段请求连接。（5）根据猜测出来的正确序列号（ISN+1）向目标主机发送ACK包。（6）连接建立，进行序列会话。2.IP欺骗的防范策略欺骗的防范策略 目前，针对IP欺骗的防范策略有以下几种。1）放弃基于IP的信任策略 2）对数据包进行限制 3）应用加密技术 4）使用随机化的初始序列3.4.4 ARP欺骗欺骗 ARP（address resolution proto

15、col）是一种将目标主机的IP地址转换成MAC地址的协议。为了便于主机之间的通信，每台安装有TCP/IP的计算机中都有一个ARP缓存表，表中的IP地址与MAC地址是一一对应的，如下表所示。ARP缓存表举例主 机IP地址MAC地址A192.168.0.1aa-aa-aa-aa-aa-aaB192.168.0.2bb-bb-bb-bb-bb-bbC192.168.0.3cc-cc-cc-cc-cc-ccD192.168.0.4dd-dd-dd-dd-dd-ddARP欺骗的种类 ARP欺骗分为以下两种：1.对路由器ARP表的欺骗 2.对内网计算机的网关欺骗3.5 缓冲区溢出攻击缓冲区溢出攻击 缓冲区

16、是系统为程序运行时在计算机中申请的一段连续的内存，用来保存给定类型的数据。缓冲区溢出是一种常见的系统攻击手段，通过向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，以达到攻击的目的。为了说明缓冲区的原理，先看一个C语言程序（example1.c）的例子。example1.c#include#include void function(char*str)char buffer16;strcpy(buffer,str);void main()char large_string256;int i;for(i=0;i255;i+)large_strin

17、gi=a;function(large_string);该程序的功能是通过strcpy函数把str中的字符串复制到数组buffer16中，如果str的长度超过16就会造成数组buffer的溢出，使程序出错，如下图所示。example1.c 运行时错误显示3.5.1 缓冲区溢出的原理缓冲区溢出的原理 为了更好地理解缓冲区溢出攻击的原理，首先要了解计算机在机器语言级上是如何工作的。在Windows操作系统下的C语言程序结构中，每个进程都可以占有4个主要区域：代码区、数据区、堆栈区和命令行及环境参数区。在内存中，它们的位置如下图所示。C语言程序结构栈帧结构调用function后堆栈中的情况3.5.2

18、 缓冲区溢出攻击的过程缓冲区溢出攻击的过程 缓冲区溢出可能会带来两种结果：一是过长的数据覆盖了EBP、RET返回地址等存储单元，引起程序运行失败，严重的可能导致系统崩溃；另一种是攻击者将精心设计的代码放到缓冲区，通过缓冲区溢出准确地控制跳转地址，将程序流程引向预定的地址，CPU就会执行这个指令，从而达到攻击的目的。如果入侵者在预定的地址中放置设计好的代码Shellcode，则当程序被溢出时，入侵者就能获得对系统的控制权。因此，入侵者进行攻击的关键就是修改以较高权限运行的程序跳转指令的地址。攻击者的步骤 入侵者为了修改以较高权限运行的程序跳转指令的地址，一般要经过以下3个步骤。（1）将需要执行的

19、代码放到目标系统的内存。下面是两种常用的方法：植入法：通过主机，将需要执行的代码（目标平台上可执行的）直接放到缓冲区。利用已经有的代码：只要修改传入参数。（2）猜测缓冲区的地址。（3）修改返回地址，控制程序跳转，改变程序流程。3.5.3 缓冲区溢出攻击的防范措缓冲区溢出攻击的防范措施施 针对缓冲区溢出攻击，可以采取多种防范措施。1.编写严格的代码 2.指针完整性检查 3.关闭不必要的特权程序 4.及时给系统漏洞打补丁3.6 拒绝服务攻击拒绝服务攻击3.6.1 拒绝服务攻击的概念拒绝服务攻击的概念 拒绝服务（denial of service，DoS）攻击是一种简单易学、应用广泛、实用性和可操作

20、性强的攻击方式，其目的是使目标主机或网络失去及时响应外界请求的能力。简单地说，任何无法导致服务器无法对合法用户提供正常服务的攻击都可以称为拒绝服务攻击。分布式拒绝服务 分布式拒绝服务（distributed denial of service，DDoS）攻击是在传统的DoS攻击基础上产生的一类攻击方式，是指攻击者借助于客户机/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的攻击能力。3.6.2 拒绝服务攻击的原理拒绝服务攻击的原理 为了说明拒绝服务攻击的原理，下面将对DoS攻击和DDoS攻击分别进行分析。1.DoS攻击攻击 拒绝服务常见

21、的就是入侵者通过向目标机器发送大量的数据包，导致目标网络的所有可用资源全部耗尽。下面通过分析几个典型的攻击实例来说明拒绝服务攻击的原理。1）Land攻击 Land攻击主要是利用TCP初始连接建立期间的应答方式存在的问题进行攻击，其攻击的关键在于服务器端和客户端都有各自的序列号。正常的TCP三次握手过程Land攻击过程示意图2）SYN Flood攻击 同样是利用TCP连接的漏洞进行攻击，但与Land攻击不同的是，SYN Flood攻击通过给目标主机发送伪造的、带有虚假源IP地址的SYN数据包，而且这个源IP都是互联网上不存在的地址。目标主机收到SYN请求之后，会按照请求的SYN数据包的源IP地址

22、发送一个SYN/ACK数据包，由于这个源IP地址是虚假不存在的地址，目标主机发送的SYN/ACK包根本不能得到回应，服务器会保持这个未完成的连接直到超时。3）Smurf攻击 Smurf攻击主要利用的是IP协议的直接广播特性。其原理是，攻击者发送一个源地址为目标主机的IP地址、目的地址为某网络的广播地址的ICMP echo请求包，此时，该网络上所有的主机都会向目标主机回应ICMP echo应答包。如果这时一个以太网的规模较大，可能会有上百台的主机对收到的ICMP echo请求进行回复，从而使目标主机被大量的echo信息吞没而导致其无法处理其他任何网络传输，停止为合法的用户提供服务。2.DDoS攻

23、击攻击 虽然同样是拒绝服务攻击，但与DoS攻击不同的是，DDoS攻击侧重于利用傀儡主机。在实施DDoS攻击前，攻击者首先控制若干个主控傀儡机（被攻击者入侵并完全控制，且运行着特定攻击程序的主机，俗称“肉鸡”），然后再由主控傀儡机去控制多个攻击傀儡机。在进行DDoS攻击时，攻击者向主控傀儡机发出攻击命令后，每个主控傀儡机再将这个命令向自己控制的攻击傀儡机发送，由攻击傀儡机向目标主机发动拒绝服务攻击，其攻击过程如下图所示。DDoS攻击3.6.3 拒绝服务攻击的防范拒绝服务攻击的防范 目前，还没有一种有效的方法能够抵御DoS和DDoS攻击，但可以采取一定的措施确保网络系统在最短时间内恢复正常，并及时

24、准确地收集相关入侵信息以便尽可能地减小损失。1.与网络服务提供商合作 2.优化路由和服务器 3.检查漏洞3.7 电子邮件攻击电子邮件攻击3.7.1 电子邮件攻击的原理电子邮件攻击的原理 电子邮件炸弹可以说是目前网络安全中最为流行的一种恶作剧方法，这些用来制作恶作剧的特殊程序称为E-mail bomber（邮件炸弹），攻击者用它来对某个或多个邮箱发送大量的邮件，使网络流量加大、消耗系统资源，从而使系统瘫痪。以下是几种常见的邮件攻击方法。1.回复转发的死循环回复转发的死循环 假设甲要对乙的邮箱进行攻击，甲首先会申请两个电子邮箱：邮箱A和邮箱B。其中，邮箱A设置为启动转发和自动回复功能，并且转发的对

25、象为乙的邮箱；邮箱B设置为启动自动回复功能。然后，甲利用邮箱B向邮箱A发送邮件，由于邮箱A和邮箱B都有自动回复功能，所以会进行循环发信，而邮箱A收到的邮件都会转发给乙的邮箱，这样乙的邮箱很快就被填满了。2.“胀胀”破邮箱容量破邮箱容量 攻击者申请一个邮箱，并开启匿名功能。然后使用诸如Outlook等邮件工具向目标邮箱发送一个大容量的附件，在启动并设置Outlook中的“邮件拆分大小”（如可以设置成拆分所有大于20KB的邮件）功能后进行发送。这样以后只要使用这个经过设置的邮箱发送邮件，一旦邮件的大小超过了规定的字节数，Outlook就会自动将邮件进行拆分。若攻击者不间断地进行发送，就会使目标邮箱

26、被大量的邮件塞满，从而导致拒绝服务。3.基于软件的攻击基于软件的攻击 现在，已经有很多种能够自动产生邮件炸弹的软件，而且有逐渐普及的趋势，并且这类软件简单易用，只需在“轰炸地址”中输入需要攻击的邮箱地址，设置邮箱的发送服务器（如SMTP服务器），以及发送量和发送邮件的线程数目等，就可以进行自动攻击。3.7.2 电子邮件攻击的防范电子邮件攻击的防范 邮件炸弹的防范工作比较繁琐，而且很难保证万无一失，但可以使用如下方法来尽可能地避免邮件炸弹的袭击，以及做好善后处理。不随意公开自己的邮箱地址。谨慎使用自动回复功能。设置邮件过滤功能。邮件的备份。3.8 木马木马3.8.1 木马的概念木马的概念 特洛伊

27、木马（Trojan horse）简称木马，其名称取自希腊神话中的特洛伊木马记。木马是一种潜伏在计算机中、受外部用户控制以窃取本机信息或控制权的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，往往采用多种手段（例如，隐藏在其他程序的后面）来隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，所以无法清除干净；所谓非授权性是指木马的服务一旦运行并被控制端连接，控制端将享有服务端的大部分操作权限，例如，给计算机增加口令，浏览、移动、复制或删除文件，修改注册表等。3.8.2 木马的原理木马的原理 一个完整的木马程序一般由服务端程序和控制端程序两部分组成。

28、其中，客户端是用于攻击者植入木马、远程控制的机器，服务端是被种植木马的机器。作为服务端的主机一般会打开一个默认的端口并进行监听，如果有客户端向服务端主机的这一端口提出连接请求，服务端主机上的相应程序就会自动运行，来应答客户端主机的请求，这个程序称为守护进程。黑客利用木马工具进行网络入侵一般分为以下几个步骤。1.配置木马配置木马 木马程序一般都有木马配置程序，主要是为了实现木马伪装和信息反馈两方面的功能。2.传播木马传播木马 木马的传播方式主要有两种：一种通过E-mail；另一种是软件下载。下面是几种常见的伪装方式：（1）修改图标。（2）捆绑文件。（3）出错显示。（4）定制端口。（5）自我销毁。

29、（6）木马更名。3.运行木马运行木马 木马在安装时首先将自己复制到Windows的系统文件夹中，然后在注册表、启动组、非启动组中设置好木马的触发条件，这样木马的安装就完成了。木马被激活后进入内存，并开启木马端口，准备与控制端建立连接。4.信息泄露信息泄露 一般木马都有有一个信息反馈机制。所谓信息反馈机制是指木马安装成功后会收集一些服务端的软硬件信息，并通过E-mail、IRC等方式告知控制端用户。5.建立连接建立连接 一个木马要建立连接首先必须满足两个条件：一是服务端已成功安装了木马程序；二是控制端和服务端都要在线。6.远程控制远程控制 木马建立连接后，控制端通过木马程序对服务端进行远程控制，

30、例如，窃取密码、操作文件、修改注册表和系统操作等。3.8.3 木马的防范与清除木马的防范与清除 由于木马危害的严重性，以及新的变种及类型层出不穷，在检测清除木马的同时，用户可以从以下几方面来提高防范意识：不要下载、接收或执行任何来历不明的软件或文件。不要浏览不健康、不正规的网站。尽量少用共享文件夹。安装反病毒软件、木马专杀工具和防火墙，并及时升级代码库。及时给操作系统打上补丁，并经常升级常用的应用软件。3.9 黑客黑客 黑客是hacker的音译，其引申意义是指“干了一件非常漂亮的事”。最初的黑客是指独立思考、奉公守法的计算机迷，他们智力超群，对计算机全身心的投入，而且具有超常的编程水平和计算机

31、系统知识。但到了今天，“黑客”一词已被用于那些专门利用计算机网络进行破坏或恶作剧的人，也称为骇客。3.9.1 黑客的进攻过程黑客的进攻过程 尽管黑客攻击的目标不同、技能有高低之分、手法多种多样，但是他们对目标施行攻击的过程却大致相同。1.信息收集 2.扫描 3.模拟攻击 4.获取访问权并提升权限 5.窃取信息 6.掩盖踪迹 7.创建后门 3.9.2 黑客常用的攻击方法黑客常用的攻击方法 黑客常用的攻击方法主要有以下几种：（1）口令入侵。（2）放置木马程序。（3）Web欺骗技术。（4）电子邮件攻击。（5）通过节点进行攻击。（6）网络监听。（7）安全漏洞攻击。（8）获取特权。3.9.3 黑客的常用工具黑客的常用工具 黑客常用的工具有以下几种。1.扫描器 2.木马 3.网络嗅探器 4.攻击工具 5.口令破解第3章 结束谢谢！