网络安全与管理第3章课件(1).ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络安全与管理第3章课件(1).ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 管理 课件
- 资源描述:
-
1、网络安全与管理第第3章章 网络攻击与防范网络攻击与防范 知识目标 理解网络攻击的概念和技术 掌握端口的概念、端口扫描的原理和防范方法 掌握网络监听的概念、原理和防范方法 掌握Web欺骗、DNS欺骗、IP欺骗和ARP欺骗的概念、原理和相关方法 掌握缓冲区溢出和拒绝服务攻击的概念、原理和防范方法 理解分布式拒绝服务攻击的概念和原理 掌握电子邮件攻击的原理和防范方法 掌握木马的概念、原理、防范与清除方法 技能目标 掌握网络攻击的一般步骤 了解端口扫描工具和网络监听工具的使用方法 了解缓冲区溢出攻击的过程 掌握黑客攻击的一般过程和攻击方法3.1 网络攻击的概念网络攻击的概念3.1.1 什么是网络攻击什
2、么是网络攻击“攻击”是指任何非授权的行为,范围从简单的使服务器无法正常工作到完全破坏或控制服务器。网络攻击主要是通过对信息收集、分析、整理后,利用目标系统的漏洞,有针对性地对目标系统(服务器、网络设备与安全设备)进行资源入侵与破坏、机密信息窃取、监视与控制等的活动。3.1.2 网络攻击的技术网络攻击的技术 常见的网络攻击技术包括:端口扫描、网络监听、各种网络欺骗、缓冲区溢出、拒绝式服务、病毒、电子邮件攻击。3.1.3 网络攻击的步骤网络攻击的步骤 进行一次成功的网络攻击,一般要经过以下5个步骤:(1)隐藏自己的位置。(2)寻找并分析目标主机。(3)获得账号和密码,登录目标主机。(4)获得目标主
3、机的控制权。(5)窃取网络资源和特权。3.2 端口扫描端口扫描3.2.1 端口的概念端口的概念 在网络技术中,端口有两种含义:第一种是物理意义上的端口,是指连接其他网络设备的接口,如集线器、交换机、路由器、网卡的端口。第二种是逻辑意义上的端口,一般是指TCP/IP中的端口。3.2.2 端口扫描的原理端口扫描的原理 端口扫描是指通过检测远程或本地系统来判断目标主机的端口开放情况及提供的服务和它们的软件版本,以便了解主机所存在的安全问题。其原理是向目标主机的某些端口发送数据包进行探测,并根据目标端口的响应确定哪些端口是开放的。3.2.3 端口扫描工具端口扫描工具 端口扫描工具又称为扫描器,是一种自
4、动检测远程或本地主机安全性缺陷或漏洞的程序。常用的端口扫描工具有以下几种:1.SuperScan 2.HostScan 3.X-Scan3.2.4 端口扫描的防范端口扫描的防范 扫描一般是攻击者对目标主机发起攻击的重要一步。通过扫描可以获取目标主机的有用信息,发掘出系统存在的漏洞和弱点。为了降低主机被攻击的风险,应该从以下几个方面进行防范:(1)关闭所有闲置和潜在威胁的端口。(2)安装防火墙、入侵检测系统等安全软件。(3)修正系统和网络,使其暴露尽可能少的信息。3.3 网络监听网络监听3.3.1 网络监听的概念网络监听的概念 网络监听,也称为网络嗅探,主要工作在网络的底层,通过在互相通信的两台
5、计算机之间利用技术手段插入一台可以接收并记录通信内容的设备,最终实现对通信双方的数据记录。由于网络监听的“被动性”和“非干扰”性,使得网络监听具有很强的隐蔽性,让网络信息泄密变得不容易发现。网络监听可以在网上的任何位置实施,如网关、路由器、远程网的调制解调器或者网络中的某一台主机等。嗅探器(sniffer)嗅探器是一类用于捕获网络报文的软件。它可以用来进行网络流量分析,以找出网络中潜在的问题。当一段网络运行不好,速度较慢而又找不出问题所在时,用sniffer往往可以作出精确的判断。sniffer具有捕获网络报文的功能,也可以被黑客用来捕获网络中传输的用户口令、金融账号、机密或敏感数据、专用数据
6、和低级协议信息等。提示:sniffer与一般键盘捕获程序不同,键盘捕获程序捕获在终端上输入的键值,而嗅探器捕获的则是真实的网络报文。3.3.2 网络监听的原理网络监听的原理 为了对网络监听的原理有一个深入的了解,首先介绍一下网卡、局域网及sniffer的工作原理。1.网卡的工作原理网卡的工作原理 网卡是主机用来接收网络数据的物理设备。当网卡收到传输来的数据时,网卡内的程序先接收数据头的目的MAC地址,然后根据计算机上的网卡驱动程序设置的接收模式判断该不该接收。若认为应该接收,就在接收后产生中断信号通知CPU,CPU得到中断信号产生中断,操作系统就根据程序中设置的网卡中断程序地址调用驱动程序接收
7、数据,驱动程序接收数据后放入信号堆栈让操作系统处理;若认为不该接收,则丢弃不管。2.局域网的工作原理局域网的工作原理 数据在数据链路层以帧为单位进行传输。传输数据时,包含MAC地址的帧从网络接口(网卡)发送到网线上,到达目的主机的网络接口时,正常情况下,网络接口读入数据帧,并进行检查,如果数据帧中携带的MAC地址是自己的MAC地址或者广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃,所以不该接收的数据在网卡处就被截断了,计算机根本不知道。3.sniffer的工作原理的工作原理 sniffer要捕获的报文必须是物理信号能收到的数据信息。在以太网中,根据连接的网络设备不同
8、,可分为共享式网络和交换式网络。1)共享式网络中的嗅探器 网卡对数据包的处理过程2)交换式网络上的sniffer 地址欺骗的过程示意图3.3.3 网络监听的工具网络监听的工具 使用嗅探器能够帮助管理员检查和解决在本地计算机上遇到的一些网络问题。常见的嗅探器有以下几种:1.Sniffer Pro 2.Windump3.3.4 网络监听的防范网络监听的防范 1规划网络 2.采用加密通信 3.监测sniffer3.4 网络欺骗网络欺骗网络欺骗是指攻击者通过伪造自己在网络上的身份,从而得到目标主机或网络的访问权限。目前,针对TCP/IP的欺骗技术有很多种,包括Web欺骗、IP欺骗、DNS欺骗和ARP欺
9、骗等。3.4.1 Web欺骗欺骗 Web欺骗是一种电子信息欺骗,攻击者建立一个令人信服但完全错误的Web站点的“复制”,这个Web站点复制看起来十分逼真,它具有原网页几乎所有的网页元素。然而,攻击者控制着这个Web站点复制,这样被攻击者的浏览器和真正的Web站点之间的所有网络信息都被攻击者所截获。Web欺骗之所以能够成功,其关键是攻击者打断了被攻击主机到Web服务器之间的正常连接,并建立一条从被攻击主机到攻击主机再到Web服务器的连接。为了建立起这样的中间Web服务器,攻击者常常采用如下形式的欺骗。1.使用相似的使用相似的URL 攻击者可以注册一个与目标公司或组织相似的域名,然后建立一个欺骗网
10、站,骗取该公司的用户的信任,以便得到这些用户的信息。2.改写改写URL 通常,一个网页有若干个超链接,通过这些超链接可以访问其他的网页。一个具有超链接的Web页面从Web服务器到浏览器的传输过程中,如果其中的内容被修改了的话,欺骗就会发生,其中最重要的就是改写URL,即攻击者改写网页上的URL链接,把用户指向或重定向到攻击者控制的主机。3.会话劫持会话劫持 会话劫持,就是在一次正常的通信过程中,攻击者作为第三方参与到其中,或者是在数据流(如基于TCP的会话)中注射额外的信息,或者是将双方的通信模式暗中改变,即从直接联系变成有攻击者。这是一种结合了嗅探和欺骗技术在内的攻击手段。会话劫持过程Web
11、欺骗的解决方法1.短期的解决方法短期的解决方法(1)禁止浏览器执行网页中的JavaScript程序,这样各类改写信息将原形毕露。(2)确保浏览器的连接状态是可见的,它将提供当前位置的各类信息。(3)确保浏览器的连接状态栏是可见的,并时刻注意即将打开的网页的URL在状态栏中是否能够正确地显示。(4)养成从地址栏中输入网址来实现浏览所有网站的好习惯。2.长期的解决方法长期的解决方法(1)改变浏览器的设置,使之具有反映真实URL信息的功能,而不会被虚假的Web站点所蒙蔽。(2)对于通过安全连接建立的Web浏览器对话,浏览器还应该将通信双方的IP地址、MAC地址等相关信息显示出来,而不只是显示安全连接
12、状态。(3)对于所传输的内容进行加密,这样除了接收者之外无人可以读懂。3.4.2 DNS欺骗欺骗 域名系统(domain name system,DNS)是一种用于TCP/IP应用程序的分布式数据库,采用客户机/服务器的模式,由解析器和域名服务器组成。域名服务器是指保存有该网络中所有主机的域名和对应的地址,并具有将网络域名转换为IP地址功能的服务器。1.DNS的工作原理的工作原理 DNS工作过程2.DNS欺骗欺骗 DNS欺骗的思想是:让DNS服务器的缓存中存有错误的IP地址,即在DNS缓存中放一个伪造的缓存记录。为此,攻击者需要先伪造一个用户的DNS请求,然后再伪造一个查询应答。DNS欺骗的防
13、范 对用户来说,可以从两方面进行防范:(1)尽量少用域名,而是直接用IP地址来访问网站,这样可以避开DNS欺骗攻击。(2)加密所有对外的数据流,对服务器来说尽量使用SSH之类的有加密支持的协议,一般用户可以使用PGP之类的软件加密所有发到网络上的数据。3.4.3 IP欺骗欺骗 所谓IP欺骗是指入侵者使用一台计算机上网,而借用另外一台主机的IP地址,从而冒充另外一台主机与服务器通信,以达到蒙混过关的目的。被冒充的主机往往具有某种特权或被服务器所信任,这也是入侵者进行IP欺骗的关键。1.IP欺骗的步骤欺骗的步骤 一般进行一次IP欺骗需要经过以下步骤:(1)确定攻击目标。(2)使被信任主机的网络暂时
14、瘫痪,以免对攻击造成干扰。(3)连接到目标主机的某个端口来猜测来自目标主机的初始序列号(initial sequence number,ISN)。(4)冒充被信任的主机,并发送带有SYN(TCP/IP建立连接时使用的握手信号)标志的数据段请求连接。(5)根据猜测出来的正确序列号(ISN+1)向目标主机发送ACK包。(6)连接建立,进行序列会话。2.IP欺骗的防范策略欺骗的防范策略 目前,针对IP欺骗的防范策略有以下几种。1)放弃基于IP的信任策略 2)对数据包进行限制 3)应用加密技术 4)使用随机化的初始序列3.4.4 ARP欺骗欺骗 ARP(address resolution proto
15、col)是一种将目标主机的IP地址转换成MAC地址的协议。为了便于主机之间的通信,每台安装有TCP/IP的计算机中都有一个ARP缓存表,表中的IP地址与MAC地址是一一对应的,如下表所示。ARP缓存表举例主 机IP地址MAC地址A192.168.0.1aa-aa-aa-aa-aa-aaB192.168.0.2bb-bb-bb-bb-bb-bbC192.168.0.3cc-cc-cc-cc-cc-ccD192.168.0.4dd-dd-dd-dd-dd-ddARP欺骗的种类 ARP欺骗分为以下两种:1.对路由器ARP表的欺骗 2.对内网计算机的网关欺骗3.5 缓冲区溢出攻击缓冲区溢出攻击 缓冲区
展开阅读全文